Microsoft Entra ID에서 앱 등록 권한 위임
이 문서에서는 Microsoft Entra ID의 사용자 지정 역할에 의해 부여된 권한을 사용하여 애플리케이션 관리 요구 사항을 해결하는 방법을 설명합니다. Microsoft Entra ID에서는 다음과 같은 방법으로 애플리케이션 만들기 및 관리 권한을 위임할 수 있습니다.
- 애플리케이션을 만들고 자신이 만든 애플리케이션을 관리할 수 있는 사용자를 제한합니다. 기본적으로 Microsoft Entra ID에서는 모든 사용자가 애플리케이션을 등록하고 자신이 만든 애플리케이션의 모든 측면을 관리할 수 있습니다. 이는 선택한 사람에게만 해당 사용 권한을 허용하도록 제한할 수 있습니다.
- 한 명 이상의 소유자를 애플리케이션에 할당합니다. 이는 특정 애플리케이션에 대한 Microsoft Entra 구성의 모든 측면을 관리할 수 있는 기능을 누군가에게 부여하는 간단한 방법입니다.
- 모든 애플리케이션에 대해 Microsoft Entra ID의 구성을 관리할 수 있는 액세스 권한을 부여하는 기본 제공 관리 역할 할당. 이는 애플리케이션 구성과 관련되지 않은 Microsoft Entra의 다른 부분을 관리하기 위한 액세스 권한을 부여하지 않고 IT 전문가에게 광범위한 애플리케이션 구성 권한을 관리하기 위한 액세스 권한을 부여하는 데 권장되는 방법입니다.
- 매우 구체적인 사용 권한을 정의하고 사용자에게 단일 애플리케이션의 범위를 제한된 소유자로 할당하거나 디렉터리 범위(모든 애플리케이션)에서 제한된 관리자로 할당하는 사용자 지정 역할을 생성합니다.
두 가지 이유로 인해, 위의 방법 중 하나를 사용하여 액세스 권한을 부여하는 것이 중요합니다. 먼저 관리 작업을 수행하는 기능을 위임하면 높은 권한의 관리자 오버헤드가 줄어듭니다. 둘째, 제한된 권한을 사용하면 보안 상태를 개선하고 무단 액세스 가능성을 줄입니다. 역할 보안 계획에 대한 지침은 Microsoft Entra ID에서 하이브리드 및 클라우드 배포에 대한 권한 있는 액세스 보호를 참조하세요.
애플리케이션을 만들 수 있는 사용자 제한
기본적으로 Microsoft Entra ID에서는 모든 사용자가 애플리케이션을 등록하고 자신이 만든 애플리케이션의 모든 측면을 관리할 수 있습니다. 또한 누구나 회사 데이터에 액세스하는 앱에 동의할 수 있습니다. 전역 스위치를 ‘아니요’로 설정하고 선택한 사용자를 애플리케이션 개발자 역할에 추가하여 이러한 권한을 선택적으로 부여하도록 선택할 수 있습니다.
애플리케이션 등록을 만들거나 애플리케이션에 동의할 수 있는 기본 기능을 사용하지 않도록 설정하려면
애플리케이션 등록을 만들거나 애플리케이션에 동의하는 기본 기능을 사용하지 않도록 설정하려면 다음 단계에 따라 조직에 대해 이러한 설정 중 하나 또는 둘 다를 설정합니다.
최소한 클라우드 애플리케이션 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>사용자>사용자 설정으로 이동합니다.
사용자가 애플리케이션을 등록할 수 있음 설정을 아니요로 설정합니다.
이렇게 하면 사용자가 애플리케이션 등록을 만들 수 있는 기본값 기능을 사용하지 않도록 설정됩니다.
ID>엔터프라이즈 애플리케이션>동의 및 권한으로 이동합니다.
사용자 동의 허용 안 함 옵션을 선택합니다.
이렇게 하면 사용자가 대신 회사 데이터에 액세스하는 애플리케이션에 동의할 수 있는 기본값 기능이 사용되지 않습니다.
기본값 기능이 사용하지 않도록 설정된 경우 애플리케이션을 만들고 동의할 수 있는 개별 사용 권한 부여
사용자가 애플리케이션을 등록할 수 있음 설정이 아니요로 설정된 경우 애플리케이션 등록을 만들 수 있는 기능을 부여하도록 애플리케이션 개발자 역할을 할당합니다. 또한 이 역할은 사용자가 앱이 사용자 대신 회사 데이터에 액세스하는 것에 동의할 수 있음에 대한 설정이 ‘아니오’로 된 경우 대신 동의할 수 있는 권한을 부여합니다.
애플리케이션 소유자 할당
소유자를 할당하는 것은 특정 애플리케이션 등록 또는 엔터프라이즈 애플리케이션에 대한 Microsoft Entra 구성의 모든 측면을 관리하는 기능을 부여하는 간단한 방법입니다. 자세한 내용은 엔터프라이즈 애플리케이션 소유자 할당을 참조하세요.
기본 제공 애플리케이션 관리자 역할 할당
Microsoft Entra ID에는 모든 애플리케이션에 대해 Microsoft Entra ID의 구성을 관리할 수 있는 액세스 권한을 부여하기 위한 기본 제공 관리자 역할 집합이 있습니다. 이러한 역할은 애플리케이션 구성과 관련되지 않은 Microsoft Entra의 다른 부분을 관리하기 위한 액세스 권한을 부여하지 않고 IT 전문가에게 광범위한 애플리케이션 구성 권한을 관리하기 위한 액세스 권한을 부여하는 데 권장되는 방법입니다.
- 애플리케이션 관리자: 이 역할의 사용자는 엔터프라이즈 애플리케이션, 등록 및 애플리케이션 및 애플리케이션 프록시 설정의 모든 측면을 만들고 관리할 수 있습니다. 또한 이 역할은 Microsoft Graph를 제외하고 위임된 권한과 애플리케이션 권한에 동의하는 기능을 부여합니다. 이 역할에 할당된 사용자는 새 애플리케이션 등록 또는 엔터프라이즈 애플리케이션을 만들 때 소유자로 추가되지 않습니다.
- 클라우드 애플리케이션 관리자: 이 역할의 사용자는 애플리케이션 관리자 역할과 동일한 권한을 가집니다. 애플리케이션 프록시를 관리하는 기능은 제외됩니다. 이 역할에 할당된 사용자는 새 애플리케이션 등록 또는 엔터프라이즈 애플리케이션을 만들 때 소유자로 추가되지 않습니다.
자세한 내용과 이러한 역할에 대한 설명을 보려면 Microsoft Entra 기본 제공 역할을 참조하세요.
애플리케이션 관리자 또는 클라우드 애플리케이션 관리자 역할을 할당하려면 Microsoft Entra ID를 사용하여 사용자에게 역할 할당 방법 가이드의 지침을 따릅니다.
Important
애플리케이션 관리자 및 클라우드 애플리케이션 관리자는 애플리케이션에 자격 증명을 추가하고 이러한 자격 증명을 사용하여 애플리케이션의 ID를 가장할 수 있습니다. 애플리케이션에는 관리자 역할의 사용 권한에 대한 권한 상승이 있을 수 있습니다. 이 역할의 관리자는 애플리케이션의 권한에 따라 애플리케이션을 가장하는 동안 사용자 또는 다른 개체를 잠재적으로 만들거나 업데이트할 수 있습니다. 두 역할 모두, 조건부 액세스 설정을 관리하는 기능은 부여하지 않습니다.
사용자 지정 역할 만들기 및 할당(미리 보기)
사용자 지정 역할을 만들고 사용자 지정 역할을 할당하는 단계는 다음과 같습니다.
- 사용자 지정 ‘역할 정의’를 만들고 사전 설정 목록에서 해당 정의에 대한 권한을 추가합니다. 이러한 권한은 기본 제공 역할에 사용되는 권한과 동일한 권한입니다.
- 사용자 지정 역할을 할당하는 ‘역할 할당’을 만듭니다.
이 분리를 통해 단일 역할 정의를 만든 후 다른 ‘범위’에서 여러 번 할당할 수 있습니다. 사용자 지정 역할은 조직 전체 범위에서 할당하거나, 단일 Microsoft Entra 개체의 범위에서 할당할 수 있습니다. 개체 범위의 예로는 단일 앱 등록이 있습니다. 다른 범위를 사용하여, 동일한 역할 정의가 Sally에게는 조직의 모든 앱 등록에 할당되고 Naveen에게는 Contoso Expense Reports 앱 등록에만 할당됩니다.
애플리케이션 관리 권한 위임에 있어 사용자 지정 역할을 만들고 사용하는 경우에서의 팁
- 사용자 지정 역할은 Microsoft Entra 관리 센터의 최신 앱 등록 블레이드에서만 액세스 권한을 부여합니다. 레거시 앱 등록 블레이드에는 액세스 권한을 부여하지 않습니다.
- Microsoft Entra 관리 포털에 대한 액세스 제한 사용자 설정이 예로 설정된 경우 사용자 지정 역할은 Microsoft Entra 관리 센터에 대한 액세스 권한을 부여하지 않습니다.
- 사용자가 역할 할당을 사용하여 액세스할 수 있는 앱 등록은 앱 등록 페이지의 ‘모든 애플리케이션’ 탭에만 표시됩니다. ‘소유한 애플리케이션’ 탭에는 표시되지 않습니다.
사용자 지정 역할의 기본 사항에 대한 자세한 내용은 사용자 지정 역할 개요를 참조하고 사용자 지정 역할을 만들기 및 역할 할당 방법을 참조하세요.
문제 해결
증상 - 애플리케이션을 등록하려고 할 때 액세스가 거부됨
Microsoft Entra ID에 애플리케이션을 등록하려고 하면 다음과 유사한 메시지가 나타납니다.
Access denied
You do not have access
You don't have permission to register applications in the <directoryName> directory. To request access, contact your administrator.
원인
디렉터리 관리자가 애플리케이션을 만들 수 있는 사용자를 제한했기 때문에 디렉터리에 애플리케이션을 등록 할 수 없습니다.
솔루션
다음 중 하나를 수행하려면 관리자에게 문의하세요.
- 애플리케이션 개발자 역할을 할당하여 애플리케이션을 만들고 동의할 수 있는 권한을 부여합니다.
- 애플리케이션 등록을 만들고 애플리케이션 소유자로 할당합니다.