관리자 동의 워크플로 구성
이 문서에서는 사용자가 관리자 동의가 필요한 애플리케이션에 대한 액세스를 요청할 수 있도록 관리자 동의 워크플로를 구성하는 방법을 알아봅니다. 관리자 동의 워크플로를 사용하여 요청하는 기능을 사용하도록 설정합니다. 애플리케이션에 동의하는 방법에 대한 자세한 내용은 사용자 및 관리자 동의를 참조하세요.
관리자 동의 워크플로는 관리자에게 관리자 승인이 필요한 애플리케이션에 대한 액세스 권한을 부여하는 안전한 방법을 제공합니다. 사용자가 애플리케이션에 액세스하려고 하지만 동의를 제공할 수 없는 경우 관리자 승인 요청을 보낼 수 있습니다. 이 요청은 검토자로 지정된 관리자에게 이메일을 통해 전송됩니다. 검토자가 요청에 대한 작업을 수행하고 사용자에게 작업에 대한 알림이 표시됩니다.
요청을 승인하려면 검토자에게 요청된 애플리케이션에 대한 관리자 동의를 부여하는 데 필요한 권한이 있어야 합니다. 단순히 검토자로 지정한다고 해서 권한이 상승되지 않습니다.
필수 조건
관리자 동의 워크플로를 구성하려면 다음이 필요합니다.
- Azure 계정. 체험 계정을 만듭니다.
- 관리자 동의 워크플로를 켜려면 전역 관리자여야 합니다.
Important
가장 적은 권한으로 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 높은 권한 있는 역할입니다.
관리자 동의 워크플로 사용
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.
관리자 동의 워크플로를 사용하도록 설정하고 검토자를 선택하려면
전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>애플리케이션>엔터프라이즈 애플리케이션>동의 및 권한>관리자 동의 설정으로 이동합니다.
관리자 동의 요청에서 사용자가 동의할 수 없는 앱에 대한 관리자 동의를 요청할 수 있음에 대해 예를 선택합니다.
다음 설정을 구성합니다.
- 관리자 동의 요청을 검토할 수 있는 사용자 - 관리자 동의 요청에 대해 검토자로 지정된 사용자, 그룹 또는 역할을 선택합니다. 검토자는 관리자 동의 요청을 보거나 차단하거나 거부할 수 있지만 전역 관리자만 Microsoft Graph 앱 역할(애플리케이션 권한)을 요청하는 앱에 대한 관리자 동의 요청을 승인할 수 있습니다. 검토자로 지정된 사용자는 검토자로 설정된 후 보류 중인 내 작업 탭에서 들어오는 요청을 볼 수 있습니다. 모든 새 검토자는 기존 또는 만료된 관리자 동의 요청에 대해 작업할 수 없습니다.
- 선택한 사용자는 요청에 대한 이메일 알림 수신 - 요청이 있을 때 검토자에게 이메일 알림을 사용하거나 사용하지 않도록 설정합니다.
- 선택한 사용자가 요청 만료 미리 알림 수신 - 요청이 만료되려고 할 때 검토자에 대한 미리 알림 이메일 알림을 사용하거나 사용하지 않도록 설정합니다. 첫 번째 만료 예정 알림 이메일은 구성된 "동의 요청이 (일) 후에 만료됩니다"의 중간에 발송될 가능성이 높습니다. 예를 들어 동의 요청이 3일 후에 만료되도록 구성한 경우, 첫 번째 알림 이메일은 둘째 날에 발송되고 마지막 만료 이메일은 동의 요청이 만료되는 거의 즉시 발송됩니다.
- 동의 요청 만료 전 일 수 - 요청이 유효한 상태로 유지 되는 기간을 지정 합니다.
저장을 선택합니다. 이 워크플로가 활성화되는 데 최대 1시간이 걸릴 수 있습니다.
참고 항목
관리자 동의 요청을 검토할 수 있는 사용자 목록을 수정하여 이 워크플로의 검토자를 추가 또는 제거할 수 있습니다. 현재 이 기능의 한계는 검토자가 검토자로 지정되어 있는 동안 이루어진 요청을 검토할 수 있으며, 검토자 목록에서 삭제된 후에도 해당 요청에 대한 만료 알림 이메일을 받게 된다는 점입니다. 또한 새 검토자가 검토자로 설정되기 전에 생성된 요청에는 새 검토자가 배정되지 않습니다.
Microsoft Graph를 사용하여 관리자 동의 워크플로 구성
관리자 동의 워크플로를 프로그래밍 방식으로 구성하려면 Microsoft Graph의 adminConsentRequestPolicy 업데이트 API를 사용합니다.