Microsoft Entra 배포 시나리오 - 모든 앱에서 인력 및 게스트 온보딩, ID 및 액세스 수명 주기 거버넌스

아티클
07/16/2024

다음 배포 시나리오에서는 5개의 Microsoft Entra 제품군 제품을 모두 결합하고 테스트하는 방법에 대한 자세한 지침을 제공합니다.

이 가이드에서는 Microsoft Entra Suite의 가치와 해당 기능을 함께 사용하는 방법을 보여주는 시나리오에 대해 설명합니다.

시나리오 개요

이 가이드에서는 가상의 조직인 Contoso가 새로운 원격 직원을 고용하고 필요한 앱 및 리소스에 안전하고 원활한 액세스를 제공하려는 시나리오에 대해 Microsoft Entra Suite 제품을 구성하는 방법을 설명합니다. 외부 사용자(예: 파트너, 공급업체 또는 고객)를 초대하고 공동 작업하고 관련 앱 및 리소스에 대한 액세스 권한을 제공하려고 합니다.

Contoso는 Microsoft Entra 확인된 ID 사용하여 새 원격 직원(인사 데이터 기반) 및 외부 사용자(이메일 초대에 따라)에 대한 ID 및 상태의 디지털 증명을 발급하고 확인합니다. 디지털 지갑은 앱 및 리소스에 대한 액세스를 허용하기 위해 ID 증명 및 상태를 저장합니다. 추가 보안 조치로 Contoso는 자격 증명이 저장하는 그림을 기반으로 Face Check 얼굴 인식으로 ID를 확인할 수 있습니다.

Microsoft Entra ID 거버넌스를 사용하여 확인 가능한 자격 증명을 기반으로 직원 및 외부 사용자에 대한 액세스 패키지를 만들고 부여합니다.

직원의 경우 작업 기능 및 부서에 대한 액세스 패키지를 기반으로 합니다. 액세스 패키지에는 직원이 액세스해야 하는 클라우드 및 온-프레미스 앱과 리소스가 포함됩니다.
외부 협력자의 경우 초대에 액세스 패키지를 기반으로 외부 사용자 역할 및 권한을 정의합니다. 액세스 패키지에는 외부 사용자가 액세스해야 하는 앱 및 리소스만 포함됩니다.

직원 및 외부 사용자는 ID 확인으로 디지털 증명을 제공하는 셀프 서비스 포털을 통해 액세스 패키지를 요청할 수 있습니다. Single Sign-On 및 다단계 인증을 통해 직원 및 외부 사용자 Microsoft Entra 계정은 액세스 패키지에 포함된 앱 및 리소스에 대한 액세스를 제공합니다. Contoso는 수동 승인 또는 프로비전 없이 자격 증명을 확인하고 액세스 패키지를 부여합니다.

Contoso는 Microsoft Entra ID 보호 및 조건부 액세스를 사용하여 위험한 로그인 및 사용자 동작으로부터 계정을 모니터링하고 보호합니다. 위치, 디바이스 및 위험 수준에 따라 적절한 액세스 제어를 적용합니다.

필수 조건 구성

솔루션을 성공적으로 배포하고 테스트하려면 이 섹션에서 설명하는 필수 구성 요소를 구성합니다.

Microsoft Entra 확인된 ID 구성

이 시나리오에서는 빠른 설정(미리 보기)을 사용하여 Microsoft Entra 확인된 ID 구성하려면 다음 필수 구성 요소 단계를 완료합니다.

사용자 지정 도메인 추가 문서의 단계에 따라 사용자 지정 도메인 (빠른 설정에 필요)을 등록합니다.
전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
- 확인된 ID를 선택합니다.
- Setup을 선택합니다.
- 시작하기를 선택합니다.
Microsoft Entra 테넌트에 등록된 도메인이 여러 개 있는 경우 확인된 ID에 사용할 도메인을 선택합니다.
설정 프로세스가 완료되면 내 계정 페이지에서 테넌트 직원에게 편집하고 제공할 수 있는 기본 작업 공간 자격 증명이 표시됩니다.
Microsoft Entra 자격 증명을 사용하여 테스트 사용자의 내 계정에 로그인합니다. 확인된 작업 공간 자격 증명을 발급하려면 내 확인된 ID 가져오기를 선택합니다.

신뢰할 수 있는 외부 조직 추가(B2B)

시나리오에 대해 신뢰할 수 있는 외부 조직(B2B)을 추가하려면 다음 필수 구성 요소 단계를 따릅니다.

최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>External Identities>테넌트 간 액세스 설정으로 이동합니다. 조직 설정을 선택합니다.
조직 추가를 선택합니다.
조직의 전체 도메인 이름(또는 테넌트 ID)을 입력합니다.
검색 결과에서 조직을 선택합니다. 추가를 선택합니다.
조직 설정에서 새 조직(기본 설정에서 액세스 설정을 상속)을 확인합니다.

카탈로그 만들기

시나리오에 대한 권한 관리 카탈로그를 만들려면 다음 단계를 수행합니다.

최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>권한 관리>카탈로그를 찾아보세요.
+새 카탈로그를 선택합니다.
카탈로그의 고유한 이름과 설명을 입력합니다. 요청자는 액세스 패키지의 세부 정보에서 이 정보를 확인합니다.
내부 사용자에 대해서만 이 카탈로그에 액세스 패키지를 만들려면 외부 사용자>에 대해 사용 안 됨을 선택합니다.
카탈로그에서 리소스를 추가할 카탈로그를 엽니다. 리소스+>리소스 추가를 선택합니다.
유형을 선택한 다음 그룹 및 팀, 애플리케이션 또는 SharePoint 사이트를 선택합니다.
카탈로그에 추가할 종류의 리소스를 하나 이상 선택합니다. 추가를 선택합니다.

액세스 패키지 만들기

솔루션을 성공적으로 배포하고 테스트하려면 이 섹션에서 설명하는 액세스 패키지를 구성합니다.

원격 사용자에 대한 액세스 패키지(내부)

다음 단계에 따라 원격(내부) 사용자에 대해 확인된 ID를 사용하여 권한 관리에서 액세스 패키지를 만듭니다.

최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.
새 액세스 패키지를 선택합니다.
기본 사항의 경우 액세스 패키지에 이름(예: 원격 사용자용 Finance Apps)을 지정합니다. 이전에 만든 카탈로그를 지정합니다.
리소스 역할의 경우 리소스 종류(예: 그룹 및 Teams, 애플리케이션, SharePoint 사이트)를 선택합니다. 하나 이상의 리소스를 선택합니다.
역할에서 사용자가 각 리소스에 할당할 역할을 선택합니다.
요청에서 디렉터리에 있는 사용자의 경우를 선택합니다.
사용자 및 그룹 선택에서 디렉터리에서 사용자에 대해 선택합니다. + 사용자 및 그룹 추가를 선택합니다. 액세스 패키지를 요청할 수 있는 기존 그룹을 선택합니다.
필수 확인된 ID로 스크롤합니다.
+ 발급자 추가를 선택합니다. Microsoft Entra 확인된 ID 네트워크에서 발급자를 선택합니다. 게스트 지갑의 기존 확인된 ID에서 발급자를 선택해야 합니다.
선택 사항: 승인에서 사용자가 액세스 패키지를 요청할 때 승인이 필요한지 여부를 지정합니다.
선택 사항: 요청자 정보에서 질문을 선택합니다. 요청자에게 물어보려는 질문(표시 문자열이라고 함)을 입력합니다. 지역화 옵션을 추가하려면 지역화 추가를 선택합니다.
수명 주기에서 액세스 패키지에 대한 사용자의 할당이 만료되는 시점을 지정합니다. 사용자가 할당을 확장할 수 있는지 여부를 지정합니다. 만료 섹션에서 액세스 패키지 할당 만료를 날짜, 일수, 시간 또는 없음으로 설정합니다.
액세스 검토에서 예를 선택합니다.
시작 시 현재 날짜를 선택합니다. 검토 빈도를 분기별로 설정합니다. 기간(일)을 21로 설정합니다.

게스트용 액세스 패키지(B2B)

다음 단계에 따라 게스트에 대해 확인된 ID(B2B)를 사용하여 권한 관리에서 액세스 패키지를 만듭니다.

최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>권한 관리>액세스 패키지로 이동합니다.
새 액세스 패키지를 선택합니다.
기본 사항의 경우 액세스 패키지에 이름(예: 원격 사용자용 Finance Apps)을 지정합니다. 이전에 만든 카탈로그를 지정합니다.
리소스 역할의 경우 리소스 종류(예: 그룹 및 Teams, 애플리케이션, SharePoint 사이트)를 선택합니다. 하나 이상의 리소스를 선택합니다.
역할에서 사용자가 각 리소스에 할당할 역할을 선택합니다.
요청의 경우 디렉터리에 없는 사용자를 선택합니다.
연결된 특정 조직을 선택합니다. 이전에 추가한 연결된 조직 목록에서 선택하려면 디렉터리 추가를 선택합니다.
이전에 연결된 조직을 검색할 이름 또는 도메인 이름을 입력합니다.
필수 확인된 ID로 스크롤합니다.
+ 발급자 추가를 선택합니다. Microsoft Entra 확인된 ID 네트워크에서 발급자를 선택합니다. 게스트 지갑의 기존 확인된 ID에서 발급자를 선택해야 합니다.
선택 사항: 승인에서 사용자가 액세스 패키지를 요청할 때 승인이 필요한지 여부를 지정합니다.
선택 사항: 요청자 정보에서 질문을 선택합니다. 요청자에게 물어보려는 질문(표시 문자열이라고 함)을 입력합니다. 지역화 옵션을 추가하려면 지역화 추가를 선택합니다.
수명 주기에서 액세스 패키지에 대한 사용자의 할당이 만료되는 시점을 지정합니다. 사용자가 할당을 확장할 수 있는지 여부를 지정합니다. 만료 섹션에서 액세스 패키지 할당 만료를 날짜, 일수, 시간 또는 없음으로 설정합니다.
액세스 검토에서 예를 선택합니다.
시작 시 현재 날짜를 선택합니다. 검토 빈도를 분기별로 설정합니다. 기간(일)을 21로 설정합니다.
특정 검토자를 선택합니다. 자체 검토를 선택합니다.

최소한 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
보호>조건부 액세스>정책으로 이동합니다.
새 정책을 선택합니다.
원격 위험 수준이 높은 로그인 사용자를 위한 애플리케이션 보호와 같은 정책 이름을 입력합니다.
할당의 경우 사용자를 선택합니다.
1. 포함의 경우 원격 사용자 그룹을 선택하거나 모든 사용자를 선택합니다.
2. 제외의 경우 사용자 및 그룹을 선택합니다. 조직의 비상 액세스 또는 비상 계정을 선택합니다.
3. 완료를 선택합니다.
클라우드 앱 또는 작업>포함의 경우 이 정책을 대상으로 지정할 애플리케이션을 선택합니다.
조건>로그인 위험의 경우 구성을 예로 설정합니다. 이 정책이 적용되는 로그인 위험 수준을 선택하려면 높음 및 중간을 선택합니다.
1. 완료를 선택합니다.
액세스 제어 권한 부여의>경우.
1. 액세스>권한 부여를 선택하려면 다단계 인증이 필요합니다.
세션의 경우 로그인 빈도를 선택합니다. 매번 선택합니다.
설정을 확인합니다. 정책 사용을 선택합니다.

액세스 패키지 요청

확인된 ID 요구 사항을 사용하여 액세스 패키지를 구성한 후 정책 범위 내에 있는 최종 사용자는 내 액세스 포털에서 액세스를 요청할 수 있습니다. 승인자는 승인 요청을 검토하는 동안 요청자가 제공하는 확인된 자격 증명의 클레임을 볼 수 있습니다.

원격 사용자 또는 게스트로 로그인합니다 myaccess.microsoft.com.
이전에 만든 액세스 패키지(예: 원격 사용자용 Finance Apps)를 검색합니다. 나열된 패키지를 찾아보거나 검색 창을 사용할 수 있습니다. 요청을 선택합니다.
시스템에는 이 액세스 패키지에 대한 액세스를 요청하려면 확인 가능한 자격 증명을 제시해야 한다는 메시지와 함께 정보 배너가 표시됩니다. 액세스 요청을 선택합니다. Microsoft Authenticator를 시작하려면 휴대폰으로 QR 코드를 스캔합니다. 자격 증명을 공유합니다.
자격 증명을 공유한 후 승인 워크플로를 계속 진행합니다.
선택 사항: Microsoft Entra ID Protection 지침의 위험 검색 시뮬레이션을 따릅니다. 사용자 위험을 중간 또는 높음으로 올리려면 여러 번 시도해야 할 수 있습니다.
시나리오에 대해 이전에 만든 애플리케이션에 액세스하여 차단된 액세스를 확인합니다. 블록 적용을 위해 최대 1시간을 기다려야 할 수 있습니다.
로그인 로그를 사용하여 이전에 만든 조건부 액세스 정책에 의해 차단된 액세스의 유효성을 검사합니다. ZTNA 네트워크 액세스 클라이언트 - 프라이빗 애플리케이션에서 비대화형 로그인 로그를 엽니다. 이전에 리소스 이름으로 만든 Private Access 애플리케이션 이름에서 로그를 봅니다.

다음을 통해 공유

Microsoft Entra 배포 시나리오 - 모든 앱에서 인력 및 게스트 온보딩, ID 및 액세스 수명 주기 거버넌스

시나리오 개요