다음을 통해 공유

환경 액세스 전략의 보안 및 분리

  • 아티클

참고

Azure Active Directory는 이제 Microsoft Entra ID입니다. 자세한 정보.

환경 및 콘텐츠에 대한 액세스는 제한되어야 하며 일반적으로 PoLP(최소 권한 원칙)를 따라야 합니다. Microsoft Power Platform에서는 이 액세스를 다양한 수준에서 처리할 수 있습니다.

Microsoft Power Platform 환경 및 Power Apps를 통한 거버넌스 가이드에서 언급했듯이, 가이드의 수명 주기에서 규정 준수를 추진하기 위해 제한된 액세스 권한이 있는 다양한 Microsoft Power Platform 환경 및 사용자 역할을 사용할 수 있습니다. 이 접근 방식을 구현하려면 사용자에게 필요한 환경에만 액세스 권한을 부여하고 해당 환경에서 관련 보안 역할만 할당하세요. 보안 역할에 대한 자세한 내용은 보안 역할 및 권한을 참조하세요.

설정을 계획할 때 자동으로 할당되는 액세스 권한의 범위를 결정합니다. 액세스 권한 할당 제어를 위한 회사의 기존 관행과 프로세스를 어떻게 통합할지 결정합니다(예: IAM(계정 및 액세스 관리) 시스템과의 통합).

각 환경에 대해 Microsoft Entra 보안 그룹을 만들고 각 환경에 할당하는 것이 좋습니다. 이 접근 방식의 장점은 특정 보안 그룹의 멤버십에 따라 환경에 대한 액세스를 제한할 수 있다는 것입니다. 이 멤버십 기반 액세스는 Power Platform 관리 센터에서 설정됩니다. 자세한 내용은 보안 그룹을 사용하여 Dynamics 365 Guides 환경에 대한 액세스 제한으로 이동하세요.

할당 후에는 해당 Microsoft Power Platform 환경에서는 Microsoft Entra 보안 그룹의 구성원인 사용자만 만들 수 있습니다. Microsoft Entra 보안 그룹을 할당하는 방법에 대한 자세한 내용은 환경에 대한 사용자 액세스 제어로 이동하세요. 테스트 환경과 프로덕션 환경을 모두 분리하고 모든 환경에 대해 별도의 보안 그룹을 생성하여 특별히 액세스를 제어해야 합니다.

보안 역할 할당을 효과적으로 관리하려면 시스템과 관련된 개인/역할과 일치하는 담당자 팀을 만드는 것이 좋습니다. 팀 관리 방법에 대한 자세한 내용은 Microsoft Dataverse 팀 관리로 이동하세요.

담당자 팀을 사용하면 다음과 같이 두 가지 주요 이점이 있습니다.

  • Microsoft Entra 보안 그룹을 활용하고 기존 IAM 프로세스에 연결하여 보안 역할을 할당합니다.
  • 할당 프로세스를 간소화합니다. 예를 들어 필요한 기능에 액세스하려면 작성자에게 작성자 역할과 기본 사용자 역할이 모두 필요합니다. 작성자 팀에 보안 역할을 할당하면 새 작성자를 담당자 팀에 추가하기만 하면 필요한 역할을 부여할 수 있습니다.

담당자 팀과 보안 역할의 예를 보여주는 다이어그램.

조직에서 사업부가 있는 플랫폼을 사용하는 경우 각 사업부에 대해 담당자 팀이 자동으로 만들어집니다. 사업부에 하나의 역할(예: 작성자)에 대한 사용자만 있는 경우 담당자 팀을 사용하여 올바른 보안 역할을 할당할 수 있습니다. 그러나 많은 경우 단일 사업부에는 여러 역할의 사용자가 포함되어 있습니다. 따라서 추가 담당자 팀을 만들고 관련 보안 역할을 할당해야 합니다. 기본적으로 각 사용자는 사용자 생성 프로세스 중에 하나의 사업부에 할당됩니다. 하지만 다른 사업부에 대한 액세스 권한은 특정 담당자 팀에 할당하여 부여할 수 있습니다.

효과적인 관리를 위해서는 확장 가능한 설정이 필요합니다. 가급적 권한 관리를 자동화하는 것이 좋습니다. 프로세스는 가급적 IAM 시스템에 연결되어야 합니다. 다음은 새 작성자를 만드는 개략적인 프로세스의 예입니다(사용자가 기존 사용자 계정을 가지고 있는 경우).

  1. IAM 시스템을 통해 작성자 생성 요청이 시작됩니다.

  2. 요청은 승인 체인을 통해 라우팅됩니다.

  3. 사용자에게 다음과 같이 관련 Microsoft Entra 그룹이 할당됩니다.

    • 사용자에게 올바른 라이선스를 제공하는 그룹(예: Dynamics 365 Guides 라이선스)
    • 사용자에게 관련 Microsoft Power Platform 환경에 대한 액세스 권한을 부여하는 그룹
    • 사용자에게 필요한 보안 역할을 부여하는 관련 Microsoft Power Platform 팀의 구성원 자격을 부여하는 그룹

  4. 사용자가 올바른 사업부에 배정됩니다. 할당은 일반적으로 수동 프로세스이지만, 일관된 할당을 보장하고 IAM을 연결하기 위해 Power Apps 또는 Power Automate를 통해 자동화할 수 있습니다.

여러 사업부가 있는 설정의 경우 각 사업부의 모든 역할에 대해 Microsoft Entra 보안 그룹을 만들어 사용자를 올바른 팀에 추가해야 합니다. 또는 Microsoft Power Platform에서 직접 팀을 할당할 수 있습니다.

Microsoft Power Platform에서 직접 단계를 완료하는 경우 지원 프로세스를 만들어 오류를 쉽게 제거하고 제거하는 것이 좋습니다. 예를 들어 관리자가 팀에 멤버십을 할당하고 사용자를 올바른 사업부에 할당하는 데 도움이 되는 캔버스 앱을 구현할 수 있습니다.

다음 단계