그룹 유형, 멤버 자격 유형 및 액세스 관리에 대해 알아보기

Microsoft Entra ID는 리소스, 애플리케이션 및 작업에 대한 액세스를 관리하는 여러 가지 방법을 제공합니다. Microsoft Entra 그룹을 사용하면 각 개별 사용자 대신 사용자 그룹에 액세스 권한과 권한을 부여할 수 있습니다. Microsoft Entra 리소스에 대한 액세스를 액세스가 필요한 사용자로만 제한하는 것은 제로 트러스트의 핵심 보안 원칙 중 하나입니다.

이 문서에서는 그룹 및 액세스 권한을 함께 사용하여 Microsoft Entra 사용자를 더 쉽게 관리하는 동시에 보안 모범 사례를 적용하는 방법에 대한 개요를 제공합니다.

참고 항목

일부 그룹은 Azure Portal 또는 Microsoft Entra 관리 센터에서 관리할 수 없습니다.

• 온-프레미스 Active Directory에서 동기화된 그룹은 온-프레미스에서만 관리할 수 있습니다.
• 배포 목록 및 메일로 활성화된 보안 그룹은 Exchange 관리 센터 또는 Microsoft 365 관리 센터에서만 관리할 수 있습니다. 로그인하고 해당 관리 센터에서 해당 그룹을 관리할 수 있는 적절한 권한이 있어야 합니다.

Microsoft Entra 그룹 개요

그룹을 효과적으로 사용하면 개별 사용자에게 역할 및 사용 권한을 할당하는 등의 수동 작업을 줄일 수 있습니다. 그룹에 역할을 할당하고 해당 직무 또는 부서에 따라 그룹에 구성원을 할당할 수 있습니다. 그룹에 적용되는 조건부 액세스 정책을 만든 다음 그룹에 정책을 할당할 수 있습니다. 그룹에 대한 잠재적인 사용으로 인해 그룹의 작동 방식과 관리 방법을 이해하는 것이 중요합니다.

그룹 형식

Microsoft Entra 관리 센터에서 다음 두 가지 유형의 그룹을 관리할 수 있습니다.

• 보안 그룹: 공유 리소스에 대한 액세스를 관리하는 데 사용됩니다.

  • 보안 그룹의 구성원은 사용자, 디바이스, 서비스 주체포함할 수 있습니다.
  • 그룹은 중첩된 그룹이라고도 하는 다른 그룹의 멤버일 수 있습니다. 참고를 참조하세요.
  • 사용자 및 서비스 주체는 보안 그룹의 소유자가 될 수 있습니다.

• Microsoft 365 그룹: 협업 기회를 제공합니다.

  • Microsoft 365 그룹의 멤버는 사용자만 포함할 수 있습니다.
  • 사용자 및 서비스 주체는 Microsoft 365 그룹의 소유자가 될 수 있습니다.
  • 조직 외부의 사용자는 그룹의 구성원일 수 있습니다.
  • 자세한 내용은 Microsoft 365 그룹에 관한 자세한 정보를 참조하세요.

참고 항목

기존 보안 그룹을 다른 보안 그룹에 중첩하는 경우 부모 그룹의 멤버만 공유 리소스 및 애플리케이션에 액세스할 수 있습니다. 중첩된 그룹을 관리하는 방법에 대한 자세한 내용은 그룹을 관리하는 방법을 참조하세요.

멤버 자격 유형

• 할당된 그룹: 특정 사용자를 그룹의 멤버로 추가하고 고유한 권한을 가질 수 있습니다.
• 사용자에 대한 동적 멤버 그룹: 규칙을 사용하여 사용자를 구성원으로 자동으로 추가하고 제거할 수 있습니다. 멤버의 특성이 변경되면 시스템은 디렉터리에서 동적 멤버 자격 그룹에 대한 규칙을 확인합니다. 시스템은 멤버가 규칙 요구 사항을 충족하는지(추가됨), 아니면 더 이상 규칙 요구 사항을 충족하지 않는지(제거됨) 확인합니다.
• 디바이스에 대한 동적 멤버 자격 그룹: 규칙을 사용하여 자동으로 디바이스를 구성원으로 추가하고 제거할 수 있습니다. 디바이스의 특성이 변경되면 시스템은 디렉터리의 동적 멤버 자격 그룹 규칙을 확인하여 디바이스가 규칙 요구 사항을 충족하는지(추가됨), 아니면 더 이상 규칙 요구 사항을 충족하지 않는지(제거됨) 확인합니다.

Important

디바이스 또는 사용자 중 하나의 동적 그룹만 만들 수 있습니다. 디바이스 소유자의 특성을 기반으로 하는 디바이스 그룹은 만들 수 없습니다. 디바이스 멤버 자격 규칙은 디바이스 특성만 참조할 수 있습니다. 자세한 내용은 동적 그룹만들기를 참조하세요.

액세스 관리

Microsoft Entra ID를 사용하면 단일 사용자 또는 그룹에 대한 액세스 권한을 제공하여 조직의 리소스에 대한 액세스 권한을 부여할 수 있습니다. 그룹을 사용하면 리소스 소유자 또는 Microsoft Entra 디렉터리 소유자가 그룹의 모든 구성원에게 액세스 권한 집합을 할당할 수 있습니다. 리소스 또는 디렉터리 소유자는 부서 관리자 또는 지원 센터 관리자와 같은 사람에게 그룹 관리 권한을 부여할 수도 있습니다. 그러면 해당 사용자가 구성원을 추가하고 제거할 수 있습니다. 그룹 소유자를 관리하는 방법에 대한 자세한 내용은 그룹 관리 문서를 참조하세요.

Microsoft Entra 그룹이 액세스를 관리할 수 있는 리소스는 다음과 같습니다.

• 사용자, 애플리케이션, 청구 및 기타 개체를 관리할 수 있는 권한과 같은 Microsoft Entra 조직의 일부입니다.
• 조직 외부(예: 비 Microsoft SaaS(Software as a Service) 앱)
• Azure 서비스
• SharePoint 사이트
• 온-프레미스 리소스

액세스 권한이 다른 권한과 동일하지 않을 수 있으므로 이 액세스 권한이 필요한 각 애플리케이션, 리소스 및 서비스는 별도로 관리해야 합니다. 최소 권한 원칙을 사용하여 액세스 권한을 부여하면 공격 또는 보안 위반의 위험을 줄이는 데 도움이 됩니다.

할당 유형

그룹을 만든 후에는 해당 액세스를 관리하는 방법을 결정해야 합니다.

• 직접 할당. 리소스 소유자는 사용자를 리소스에 직접 할당합니다.

• 그룹 할당. 리소스 소유자는 Microsoft Entra 그룹을 리소스에 할당하여 자동으로 모든 그룹 구성원에게 리소스에 대한 액세스 권한을 부여합니다. 그룹 소유자와 리소스 소유자 모두 그룹 멤버 자격을 관리하며, 두 소유자 모두 그룹에서 멤버를 추가하거나 제거할 수 있습니다. 그룹 멤버 자격 관리에 대한 자세한 내용은 그룹 관리 문서를 참조하세요.

• 규칙 기반 할당. 리소스 소유자는 그룹을 만들고 규칙을 사용하여 특정 리소스에 할당되는 사용자를 정의합니다. 규칙은 개별 사용자에게 할당되는 특성을 따릅니다. 리소스 소유자는 규칙을 관리하며, 리소스에 대한 액세스를 허용하는 데 필요한 특성 및 값을 결정합니다. 자세한 내용은 동적 그룹만들기를 참조하세요.

• 외부 기관 할당. 온-프레미스 디렉터리 또는 SaaS 앱 등의 외부 소스에서 액세스가 제공됩니다. 이 상황에서 리소스 소유자가 리소스에 대한 액세스 권한을 제공하는 그룹을 할당한 다음, 외부 소스가 그룹 구성원을 관리합니다.

클라우드에서 그룹을 관리하기 위한 모범 사례

다음은 클라우드에서 그룹을 관리하는 모범 사례입니다.

• 셀프 서비스 그룹 관리 사용: 사용자가 그룹을 검색 및 조인하거나 고유한 Microsoft 365 그룹을 만들고 관리할 수 있도록 허용합니다.
  • 팀이 IT에 대한 관리 부담을 줄이면서 스스로 구성할 수 있습니다.
  • 그룹 명명 정책 적용하여 제한된 단어의 사용을 차단하고 일관성을 보장합니다.
  • 그룹 소유자가 갱신하지 않는 한 지정된 기간 후에 사용하지 않는 그룹을 자동으로 삭제하는 그룹 만료 정책을 사용하도록 설정하여 비활성 그룹이 남아 있지 않도록 합니다.
  • 조인하거나 승인이 필요한 모든 사용자를 자동으로 수락하도록 그룹을 구성합니다.
  • 자세한 내용은 Microsoft Entra ID셀프 서비스 그룹 관리 설정을 참조하세요.
• 민감도 레이블 활용: 민감도 레이블을 사용하여 보안 및 규정 준수 요구 사항에 따라 Microsoft 365 그룹을 분류하고 관리합니다.
  • 세분화된 액세스 제어를 제공하고 중요한 리소스가 보호되도록 합니다.
  • 자세한 내용은 Microsoft Entra ID Microsoft 365 그룹에 민감도 레이블 할당을 참조하세요.
• 동적 그룹을 사용하여 멤버 자격 자동화: 동적 멤버 자격 규칙을 구현하여 부서, 위치 또는 직위와 같은 특성에 따라 그룹에서 사용자 및 디바이스를 자동으로 추가하거나 제거합니다.
  • 수동 업데이트를 최소화하고 느린 액세스 위험을 줄입니다.
  • 이 기능은 Microsoft 365 그룹 및 보안 그룹에 적용됩니다.
• 정기 액세스 검토 수행: Microsoft Entra ID 거버넌스 기능을 사용하여 정기적인 액세스 검토를 예약합니다.
  • 할당된 그룹의 멤버 자격이 시간이 지남에 따라 정확하고 관련성이 유지되도록 합니다.
  • 자세한 내용은 Microsoft Entra ID에서 동적 멤버 자격 그룹 만들기 또는 업데이트()를 참조하세요.
• 액세스 패키지로 멤버 자격 관리: Microsoft Entra Identity Governance를 사용하여 액세스 패키지를 만들어 여러 그룹 멤버 자격 관리를 간소화합니다. 액세스 패키지는 다음을 수행할 수 있습니다.
  • 멤버 자격에 대한 승인 워크플로 포함
  • 액세스 만료에 대한 조건 정의
  • 그룹 및 애플리케이션에서 액세스 권한을 부여, 검토 및 취소하는 중앙 집중식 방법 제공
  • 자세한 내용은 권한 관리 액세스 패키지 만들기를 참조하세요.
• 여러 그룹 소유자 할당: 그룹에 두 명 이상의 소유자를 할당하여 연속성을 보장하고 단일 개인에 대한 종속성을 줄입니다.
  • 자세한 내용은 Microsoft Entra 그룹 및 그룹 멤버 자격 관리 참조하세요.
• 그룹 기반 라이선스 사용: 그룹 기반 라이선스는 사용자 프로비저닝을 간소화하고 일관된 라이선스 할당을 보장합니다.
  • 동적 멤버 자격 그룹을 사용하여 특정 조건을 충족하는 사용자의 라이선스를 자동으로 관리합니다.
  • 자세한 내용은 Microsoft Entra ID의 그룹 기반 라이선스란?을 참조하세요.
• RBAC(역할 기반 액세스 제어) 적용): 그룹을 관리할 수 있는 사용자를 제어하는 역할을 할당합니다.
  • RBAC는 권한 오용 위험을 줄이고 그룹 관리를 간소화합니다.
  • 자세한 내용은 microsoft Entra ID 역할 기반 액세스 제어 개요를 참조하세요.

관련 콘텐츠

• Microsoft Entra 그룹 및 그룹 멤버 자격 만들기 및 관리
• 그룹을 사용하여 SaaS 앱에 대한 액세스 관리
• 동적 멤버 자격 그룹에 대한 규칙 관리