다음을 통해 공유


테넌트 전체 표시 허용 및 요청

전역 관리자라는 Microsoft Entra 역할을 가진 사용자는 테넌트 전체에 대한 책임을 가질 수 있지만 클라우드용 Microsoft Defender에서 조직 전체 정보를 볼 수 있는 Azure 권한이 부족합니다. Microsoft Entra 역할 할당은 Azure 리소스에 대한 액세스 권한을 부여하지 않으므로 권한 상승이 필요합니다.

자신에게 테넌트 전체 권한 부여

테넌트 수준 권한을 사용자 자신에게 할당하려면:

  1. 조직에서 Microsoft Entra PIM(Privileged Identity Management) 또는 기타 PIM 도구를 사용하여 리소스 액세스를 관리하는 경우 해당 사용자에 대해 전역 관리자 역할이 활성화되어 있어야 합니다.

  2. 테넌트의 루트 관리 그룹에 할당되지 않은 전역 관리자 사용자로서 클라우드용 Defender의 개요 페이지를 열고 배너에서 테넌트 전체 가시성 링크를 누릅니다.

    클라우드용 Microsoft Defender에서 테넌트 수준 권한 사용

  3. 할당할 새 Azure 역할을 선택합니다.

    사용자에게 할당할 테넌트 수준 권한을 정의하는 양식.

    일반적으로 보안 관리자 역할은 루트 수준에서 정책을 적용해야 하며, 보안 읽기 권한자는 테넌트 수준 가시성을 제공하는 데 충분합니다. 이러한 역할로 부여되는 권한에 대한 자세한 내용은 보안 관리자 기본 제공 역할 설명 또는 보안 읽기 권한자 기본 제공 역할 설명을 참조하세요.

    클라우드용 Defender와 관련된 해당 역할 간 차이점은 역할 및 허용되는 작업에 있는 표를 참조하세요.

    조직 전체 보기는 테넌트의 루트 관리 그룹 수준에서 역할을 부여하여 수행됩니다.

  4. Azure Portal에서 로그아웃한 다음, 다시 로그인합니다.

  5. 액세스 권한을 높이면 클라우드용 Microsoft Defender를 열거나 새로 고쳐 Microsoft Entra 테넌트의 모든 구독에 대한 표시 여부가 있는지 확인합니다.

테넌트 수준 권한을 사용자 자신에게 할당하는 프로세스는 다음과 같은 많은 작업을 자동으로 수행합니다.

  • 사용자의 권한이 일시적으로 승격됩니다.

  • 새 권한을 활용하면 사용자는 루트 관리 그룹에서 원하는 Azure RBAC 역할에 할당됩니다.

  • 승격된 권한이 제거됩니다.

Microsoft Entra 권한 상승 프로세스에 대한 자세한 내용은 모든 Azure 구독 및 관리 그룹을 관리하기 위해 액세스 권한 상승을 참조하세요.

권한이 부족할 때 테넌트 전체 권한 요청하기

클라우드용 Defender로 이동하면 보기가 제한된다는 팩트를 알리는 배너가 표시될 수 있습니다. 이 배너가 표시되면 해당 배너를 선택하여 조직의 전역 관리자에게 요청을 보냅니다. 할당받고 싶은 역할을 요청에 포함하면, 전역 관리자가 어떤 역할을 부여할지 결정할 수 있습니다.

해당 요청을 수락할지 거부할지는 전역 관리자의 결정입니다.

Important

7일에 한 번만 요청을 제출할 수 있습니다.

전역 관리자에게 권한 승격을 요청하려면 다음과 같이 합니다.

  1. Azure Portal에서 클라우드용 Microsoft Defender를 엽니다.

  2. “제한된 정보를 볼 수 있습니다.”라는 배너가 표시되면 해당 배너를 선택합니다.

    사용자에게 테넌트 전체의 사용 권한을 요청할 수 있음을 알리는 배너.

  3. 상세 요청 양식에서 원하는 역할과 권한이 필요한 이유를 선택합니다.

    Azure 전역 관리자에게 테넌트 전체 권한을 요청하기 위한 세부 정보 페이지.

  4. 액세스 요청을 선택합니다.

    전역 관리자에게 메일을 보냅니다. 메일에는 요청을 승인하거나 거부할 수 있는 클라우드용 Defender의 링크가 포함됩니다.

    새 권한을 얻기 위해 전역 관리자에게 이메일 보내기.

    전역 관리자가 요청 검토를 선택하고 프로세스를 완료한 후에는 요청을 보낸 사용자에게 메일이 발송됩니다.

권한 제거

루트 테넌트 그룹에서 권한을 제거하려면 다음 단계를 따릅니다.

  1. Azure Portal로 이동합니다.
  2. Azure Portal 상단 검색 창에서 관리 그룹을 검색합니다.
  3. 관리 그룹 창의 관리 그룹 목록에서 테넌트 루트 그룹을 찾아서 선택합니다.
  4. 테넌트 루트 그룹 내부에 있으면 왼쪽 메뉴에서 액세스 제어(IAM)를 선택합니다.
  5. 액세스 제어(IAM) 창에서 역할 할당 탭을 선택합니다. 여기에는 테넌트 루트 그룹에 대한 모든 역할 할당 목록이 표시됩니다.
  6. 역할 할당 목록을 검토하여 제거해야 할 역할을 식별합니다.
  7. 제거하려는 역할 할당(보안 관리자 또는 보안 읽기 권한자)을 선택하고 제거를 선택합니다. 테넌트 루트 그룹에서 역할 할당을 변경하는 데 필요한 권한이 있는지 확인합니다.

다음 단계

다음 관련 페이지에서 클라우드용 Defender 권한에 관해 자세히 알아봅니다.