Microsoft Entra ID에서 셀프 서비스 그룹 관리 설정
사용자가 Microsoft Entra ID에서 자신의 보안 그룹 또는 Microsoft 365 그룹을 만들고 관리할 수 있도록 설정할 수 있습니다. 그룹 소유자는 구성원 요청을 승인 또는 거부하고 그룹 구성원에 대한 제어를 위임할 수 있습니다. 셀프 서비스 그룹 관리 기능은 보안 그룹 및 Office 365 그룹에 대해서만 사용할 수 있지만 메일 사용 가능 보안 그룹 및 메일링 그룹에는 사용할 수 없습니다.
셀프 서비스 그룹 멤버 자격
사용자가 공유 리소스에 대한 액세스를 관리하는 데 사용되는 보안 그룹을 만들도록 허용할 수 있습니다. 사용자는 Azure AD(Azure Active Directory) PowerShell을 사용하거나 내 그룹 포털에서 Azure Portal에서 보안 그룹을 만들 수 있습니다.
참고 항목
Azure AD와 MSOnline PowerShell 모듈은 2024년 3월 30일부터 더 이상 사용되지 않습니다. 자세히 알아보려면 사용 중단 업데이트를 참조하세요. 이 날짜 이후에는 이러한 모듈에 대한 지원이 Microsoft Graph PowerShell SDK 및 보안 수정 사항에 대한 마이그레이션 지원으로 제한됩니다. 사용되지 않는 모듈은 2025년 3월 30일까지 계속 작동합니다.
Microsoft Graph PowerShell로 마이그레이션하여 Microsoft Entra ID(이전의 Azure AD)와 상호 작용하는 것이 좋습니다. 일반적인 마이그레이션 관련 질문은 마이그레이션 FAQ를 참조하세요. 참고 항목: MSOnline 버전 1.0.x는 2024년 6월 30일 이후 중단될 수 있습니다.
그룹의 소유자만 멤버 자격을 업데이트할 수 있지만 그룹 소유자에게 내 그룹 포털에서 멤버 자격 요청을 승인하거나 거부할 수 있는 기능을 제공할 수 있습니다. 내 그룹 포털을 통해 셀프 서비스에서 만든 보안 그룹은 소유자 승인 또는 자동 승인 여부에 관계없이 모든 사용자에 대해 가입할 수 있습니다. 내 그룹 포털에서 그룹을 만들 때 멤버 자격 옵션을 변경할 수 있습니다.
Microsoft 365 그룹은 사용자에게 공동 작업 기회를 제공합니다. SharePoint, Microsoft Teams 및 Planner와 같은 Microsoft 365 애플리케이션에서 그룹을 만들 수 있습니다. Microsoft Graph PowerShell을 사용하거나 내 그룹 포털에서 Azure Portal에서 Microsoft 365 그룹을 만들 수도 있습니다. 보안 그룹과 Microsoft 365 그룹 간 차이점에 대한 자세한 내용은 그룹에 대한 자세한 정보를 참조하세요.
생성된 그룹 | 보안 그룹 기본 동작 | Microsoft 365 그룹 기본 동작 |
---|---|---|
Microsoft Graph PowerShell | 소유자만 구성원을 추가할 수 있습니다. MyApp 그룹 액세스 패널에서 표시되지만 조인할 수 없음. |
모든 사용자에 대해 조인하려면 엽니다. |
Azure Portal | 소유자만 구성원을 추가할 수 있습니다. 내 그룹 포털에 표시되지만 조인할 수 없습니다. 소유자는 그룹을 만들 때 자동으로 할당되지 않습니다. |
모든 사용자에 대해 조인하려면 엽니다. |
내 그룹 포털 | 사용자는 그룹을 관리하고 여기에서 그룹 가입에 대한 액세스를 요청할 수 있습니다. 그룹을 만들 때 멤버 자격 옵션을 변경할 수 있습니다. |
모든 사용자에 대해 조인하려면 엽니다. 그룹을 만들 때 멤버 자격 옵션을 변경할 수 있습니다. |
셀프 서비스 그룹 관리 시나리오
두 가지 시나리오는 셀프 서비스 그룹 관리를 설명하는 데 도움이 됩니다.
위임된 그룹 관리
이 예제 시나리오에서는 관리자가 회사에서 사용 중인 SaaS(Software as a Service) 애플리케이션에 대한 액세스를 관리합니다. 액세스 권한 관리는 번거롭기 때문에 관리자는 비즈니스 소유자에게 새 그룹을 만들도록 요청합니다. 관리자는 애플리케이션에 대한 액세스 권한을 새 그룹에 할당하고 이미 애플리케이션에 액세스하는 모든 사용자를 그룹에 추가합니다. 그러면 비즈니스 소유자가 더 많은 사용자를 추가할 수 있으며 해당 사용자는 애플리케이션에 자동으로 프로비전됩니다.
비즈니스 소유자는 사용자에 대한 액세스를 관리하는 관리자를 대기할 필요가 없습니다. 관리자가 다른 비즈니스 그룹의 관리자에게 동일한 사용 권한을 부여하는 경우 해당 사용자는 고유한 그룹 멤버에 대한 액세스를 관리할 수도 있습니다. 비즈니스 소유자와 관리자는 서로의 그룹 멤버십을 보거나 관리할 수 없습니다. 관리자는 계속 해당 애플리케이션에 액세스할 수 있는 모든 사용자를 보고 필요한 경우 액세스 권한을 차단할 수 있습니다.
참고 항목
위임된 시나리오의 경우 관리자는 최소한 권한 있는 역할 관리자 Microsoft Entra 역할을 가지고 있어야 합니다.
셀프 서비스 그룹 관리
이 예제 시나리오에서는 두 사용자가 독립적으로 설정한 SharePoint Online 사이트가 있습니다. 이들은 상대방 팀을 해당 사이트에 액세스할 수 있도록 하려고 합니다. 이 작업을 수행하기 위해 Microsoft Entra ID에서 하나의 그룹을 만들 수 있습니다. SharePoint Online에서 각 그룹은 해당 그룹을 선택하여 사이트에 대한 액세스를 제공합니다.
누군가가 액세스를 원할 때 내 그룹 포털에서 요청합니다. 승인 후에는 두 SharePoint Online 사이트에 자동으로 액세스할 수 있습니다. 이후 사이트에 액세스하는 모든 사용자가 특정 SaaS 애플리케이션에 대한 액세스 권한도 가져야 하는지를 둘 중 한 명이 결정할 수 있습니다. SaaS 애플리케이션의 관리자는 애플리케이션에 대한 액세스 권한을 SharePoint Online 사이트에 추가할 수 있습니다. 이후로 승인된 모든 요청은 두 SharePoint Online 사이트 및 해당 SaaS 애플리케이션에 대한 액세스 권한을 부여합니다.
사용자 셀프서비스에 사용할 수 있는 그룹 만들기
최소한 그룹 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
Microsoft Entra ID를 선택합니다.
모든 그룹>그룹을 선택한 다음 일반 설정을 선택합니다.
참고 항목
이 설정은 내 그룹의 그룹 정보에 대한 액세스만 제한합니다. Microsoft Graph API 호출이나 Microsoft Entra 관리 센터와 같은 다른 방법을 통해 그룹 정보에 대한 액세스를 제한하지 않습니다.
참고 항목
당초 2024년 6월로 예정된 셀프 서비스 그룹 관리 설정 변경 내용은 현재 검토 중이며 원래 계획대로 진행되지 않습니다. 사용 중단 날짜는 향후 공지될 예정입니다.
소유자가 액세스 패널에서 그룹 구성원 요청을 관리할 수 있음을 예로 설정합니다.
액세스 패널에서 그룹 기능에 액세스하는 사용자 권한 제한을 아니요로 설정합니다.
사용자가 Azure Portal, API 또는 PowerShell에서 보안 그룹을 만들 수 있음l을 예 또는 아니요로 설정합니다.
이 설정에 대한 자세한 내용은 그룹 설정을 참조하세요.
사용자가 Azure Portal, API 또는 PowerShell에서 Microsoft 365 그룹을 만들 수 있음을 예 또는 아니요로 설정합니다.
이 설정에 대한 자세한 내용은 그룹 설정을 참조하세요.
또한 Azure Portal에서 구성원을 그룹 소유자로 할당할 수 있는 소유자를 사용하여 사용자의 셀프 서비스 그룹 관리를 보다 세밀하게 제어할 수 있습니다.
사용자가 그룹을 만들 수 있으면 조직의 모든 사용자가 새 그룹을 만들 수 있습니다. 기본 소유자는 이러한 그룹에 멤버를 추가할 수 있습니다. 고유의 그룹을 만들 수 있는 개인은 지정할 수 없습니다. 다른 그룹 구성원을 그룹 소유자로 만들기 위한 개인만 지정할 수 있습니다.
참고 항목
사용자가 보안 그룹 또는 Microsoft 365 그룹 조인을 요청하고 소유자가 멤버 자격 요청을 승인하거나 거부하려면 Microsoft Entra ID P1 또는 P2 라이선스가 필요합니다. Microsoft Entra ID P1 또는 P2 라이선스가 없으면 사용자는 MyApp 그룹 액세스 패널에서 그룹을 관리할 수 있습니다. 그러나 소유자 승인이 필요한 그룹을 만들 수 없으며 그룹에 가입하도록 요청할 수 없습니다.
그룹 설정
그룹 설정을 사용하여 보안 및 Microsoft 365 그룹을 만들 수 있는 사용자를 제어할 수 있습니다.
다음 표에서는 선택할 값을 결정하는 데 도움이 됩니다.
설정 | 값 | 테넌트에게 미치는 영향 |
---|---|---|
사용자가 Azure Portal, API 또는 PowerShell에서 보안 그룹을 만들 수 있음 | 예 | Microsoft Entra 조직의 모든 사용자는 새 보안 그룹을 만들고 Azure Portal, API 또는 PowerShell에서 이러한 그룹에 멤버를 추가할 수 있습니다. 이러한 새 그룹은 다른 모든 사용자에 대한 액세스 패널에도 표시됩니다. 그룹에 대한 정책 설정에서 허용하는 경우 다른 사용자가 이러한 그룹에 가입하도록 요청할 수 있습니다. |
아니요 | 사용자는 보안 그룹을 만들 수 없습니다. 소유자인 그룹의 멤버 자격을 관리하고 다른 사용자의 그룹 가입 요청을 승인할 수 있습니다. | |
사용자가 Azure Portal, API 또는 PowerShell에서 Microsoft 365 그룹을 만들 수 있음 | 예 | Microsoft Entra 조직의 모든 사용자는 새 Microsoft 365 그룹을 만들고 Azure Portal, API 또는 PowerShell에서 이러한 그룹에 멤버를 추가할 수 있습니다. 이러한 새 그룹은 다른 모든 사용자에 대한 액세스 패널에도 표시됩니다. 그룹에 대한 정책 설정에서 허용하는 경우 다른 사용자가 이러한 그룹에 가입하도록 요청할 수 있습니다. |
아니요 | 사용자는 M365 그룹을 만들 수 없습니다. 소유자인 그룹의 멤버 자격을 관리하고 다른 사용자의 그룹 가입 요청을 승인할 수 있습니다. |
이러한 그룹 설정에 대한 자세한 내용은 다음과 같습니다.
- 이러한 설정을 적용하는 데 최대 15분이 걸릴 수 있습니다.
- 전체는 아니지만 일부 사용자가 그룹을 만들 수 있도록 설정하려는 경우 그룹 관리자와 같이 그룹을 만들 수 있는 역할을 해당 사용자에게 할당할 수 있습니다.
- 이러한 설정은 사용자를 위한 것이며 서비스 주체에는 영향을 주지 않습니다. 예를 들어, 그룹을 만들 수 있는 권한이 있는 서비스 주체가 있는 경우 이러한 설정을 아니요로 지정해도 서비스 주체는 그룹을 계속 만들 수 있습니다.
Microsoft Graph를 사용하여 그룹 설정 구성
사용자가 Microsoft Graph를 사용하여 Azure Portal, API 또는 PowerShell 설정에서 Microsoft 365 그룹을 만들 수 있도록 구성하려면 groupSettings
개체에서 EnableGroupCreation
개체를 구성합니다. 자세한 내용은 그룹 설정 개요를 참조하세요.
사용자가 Microsoft Graph를 사용하여 Azure Portal, API 또는 PowerShell 설정에서 보안 그룹을 만들 수 있도록 구성하려면 authorizationPolicy 개체에서 defaultUserRolePermissions
의 allowedToCreateSecurityGroups
속성을 업데이트합니다.
다음 단계
Microsoft Entra ID에 대한 자세한 내용은 다음을 참조하세요.