Microsoft Entra 그룹을 사용하여 역할 할당 관리
Microsoft Entra ID P1 또는 P2를 사용하면 역할 할당 가능 그룹을 만들고 이러한 그룹에 Microsoft Entra 역할을 할당할 수 있습니다. 이 기능은 역할 관리를 간소화하고 일관된 액세스를 보장하며 권한 감사를 더욱 간단하게 만듭니다. 개인 대신 그룹에 역할을 할당하면 역할에서 사용자를 쉽게 추가하거나 제거할 수 있으며 그룹의 모든 멤버에 대해 일관된 권한이 만들어집니다. 특정 권한이 있는 사용자 지정 역할을 만들고 이를 그룹에 할당할 수도 있습니다.
왜 그룹에 역할을 할당할까요?
Contoso 회사가 Microsoft Entra 조직 내 직원의 암호를 관리하고 초기화하기 위해 여러 지역에 걸쳐 인력을 고용한 예를 생각해 보세요. 권한 있는 역할 관리자가 각 직원들에게 개별적으로 기술 지원팀 관리자 역할을 할당하도록 요청하는 대신, Contoso_Helpdesk_Administrators 그룹을 만들고 이 그룹에 역할을 할당할 수 있습니다. 사용자가 그룹에 가입하면 역할이 간접적으로 할당됩니다. 그런 후 기존 거버넌스 워크플로를 통해 그룹 멤버 자격의 승인 처리 및 감사를 처리하고 적법한 사용자만 해당 그룹의 멤버가 되고 따라서 기술 지원팀 관리자 역할이 할당되도록 할 수 있습니다.
그룹에 대한 역할 할당 작동 방식
그룹에 역할을 할당하려면 isAssignableToRole
속성이 true
로 설정된 새로운 보안 또는 Microsoft 365 그룹을 만들어야 합니다. Microsoft Entra 관리 센터에서 Microsoft Entra 역할을 그룹에 할당할 수 있습니다. 옵션을 예로 설정합니다. 어느 쪽이든 사용자에게 역할을 할당하는 것과 동일한 방식으로 하나 이상의 Microsoft Entra 역할을 그룹에 할당할 수 있습니다.
역할 할당 가능 그룹에 대한 제한 사항
역할 할당 가능 그룹에 대한 제한 사항은 다음과 같습니다.
isAssignableToRole
속성만 설정할 수 있으며, 새 그룹에 대해서는 Microsoft Entra 역할을 그룹에 할당할 수 있음 옵션을 사용할 수 있습니다.isAssignableToRole
속성은 변경 불가능합니다. 이 속성을 설정하여 그룹을 생성한 다음에는 변경할 수 없습니다.- 기존 그룹을 역할 할당 가능 그룹으로 만들 수 없습니다.
- 단일 Microsoft Entra 조직(테넌트)에는 최대 500개의 역할 할당 가능 그룹을 만들 수 있습니다.
역할 할당 가능 그룹은 어떻게 보호되나요?
그룹에 역할이 할당된 경우 동적 멤버 자격 그룹을 관리할 수 있는 IT 관리자는 해당 역할의 멤버 자격을 간접적으로 관리할 수도 있습니다. 예를 들어 Contoso_User_Administrators라는 그룹에 사용자 관리자 역할이 할당되었다고 가정해보세요. 동적 멤버 자격 그룹을 수정할 수 있는 Exchange 관리자는 자신을 Contoso_User_Administrators 그룹에 추가하고 이를 통해 사용자 관리자가 될 수 있습니다. 이와 같이 관리자가 의도치 않은 방식으로 자신의 권한을 상승시킬 수 있습니다.
생성 시 isAssignableToRole
속성이 true
로 설정된 그룹에만 역할을 할당할 수 있습니다. 이 속성은 변경 불가능합니다. 이 속성을 설정하여 그룹을 생성한 다음에는 변경할 수 없습니다. 기존 그룹에는 속성을 설정할 수 없습니다.
역할 할당 가능 그룹은 다음 제한 사항을 지정함으로써 발생 가능한 위반을 방지하도록 디자인되었습니다.
- 역할 할당 가능 그룹을 만들려면 권한 있는 역할 관리자 역할 이상을 할당받아야 합니다.
- 역할 할당 가능 그룹의 멤버 자격 형식은 할당되어야 하며 Microsoft Entra 동적 그룹일 수 없습니다. 동적 멤버 자격 그룹을 자동으로 채우면 원치 않는 계정이 그룹에 추가되어 역할에 할당될 수 있습니다.
- 기본적으로 권한 있는 역할 관리자는 역할 할당 가능 그룹의 멤버십을 관리하지만, 그룹 소유자를 추가하여 역할 할당 가능 그룹의 관리를 위임할 수 있습니다.
- Microsoft Graph의 경우 역할 할당 가능 그룹의 멤버 자격을 관리할 수 있도록 RoleManagement.ReadWrite.Directory 권한이 필요합니다. Group.ReadWrite.All 권한이 작동하지 않습니다.
- 권한 상승을 방지하려면 권한 있는 인증 관리자 이상 역할을 할당받아 자격 증명을 변경하거나 MFA를 다시 설정하거나 역할 할당 가능 그룹의 멤버와 소유자에 대한 중요한 특성을 수정해야 합니다.
- 그룹 중첩은 지원되지 않습니다. 그룹을 역할 할당 가능 그룹의 멤버로 추가할 수 없습니다.
PIM을 사용하여 역할 할당에 적격하도록 그룹을 수정합니다.
그룹 멤버에게 역할에 대한 고정 액세스 권한을 부여하지 않으려면 Microsoft Entra PIM(Privileged Identity Management)을 사용하여 역할 할당을 받을 수 있는 그룹을 만들 수 있습니다. 그런 후 그룹의 각 멤버가 고정된 기간 동안 역할 할당을 활성화할 수 있는 자격이 부여됩니다.
참고 항목
Microsoft Entra 역할로 승격하는 데 사용되는 그룹의 경우 적합한 멤버 할당에 대한 승인 프로세스를 요구하는 것이 좋습니다. 승인 없이 활성화할 수 있는 할당은 권한이 낮은 관리자의 보안 위험에 대해 취약해질 수 있습니다. 예를 들어 기술 지원팀 관리자는 적격 사용자의 암호를 재설정할 수 있는 권한이 있습니다.
지원되지 않는 시나리오
다음 시나리오는 지원되지 않습니다.
- 온-프레미스 그룹에 Microsoft Entra 역할(기본 제공 또는 사용자 지정)을 할당합니다.
알려진 문제
역할 할당 가능 그룹에 대해 알려진 문제는 다음과 같습니다.
- Microsoft Entra ID P2 라이선스 고객만 해당: 그룹을 삭제한 후에도 PIM UI에 해당 역할의 적합 멤버가 계속 표시됩니다. 기능적으로는 문제가 없습니다. 이는 Microsoft Entra 관리 센터의 캐시 문제일 뿐입니다.
- 동적 멤버 자격 그룹을 통해 역할을 할당하려면 새로운 Exchange 관리 센터를 사용합니다. 이전 Exchange 관리 센터는 해당 기능을 지원하지 않습니다. 이전 Exchange 관리 센터에 액세스해야 하는 경우 적절한 역할을 사용자에게 직접 할당합니다(역할 할당 가능한 그룹을 통하지 않음). Exchange PowerShell cmdlet은 예상대로 작동합니다.
- 개별 사용자 대신 역할 할당 가능한 그룹에 관리자 역할이 할당된 경우 그룹 멤버는 새 Exchange 관리 센터의 규칙, 조직 또는 공용 폴더에 액세스할 수 없습니다. 해결 방법은 그룹 대신 사용자에게 직접 역할을 할당하는 것입니다.
- Azure Information Protection 포털(클래식 포털)은 아직 그룹을 통해 역할 멤버 자격을 인식하지 못합니다. 통합 민감도 레이블 플랫폼으로 마이그레이션한 다음 Microsoft Purview 준수 포털을 사용하여 그룹 할당을 통해 역할을 관리할 수 있습니다.
라이선스 요구 사항
이 기능을 사용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. Just-In-Time 역할 활성화를 위한 Privileged Identity Management에는 Microsoft Entra ID P2 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 체험판 및 프리미엄 버전의 일반적으로 사용할 수 있는 기능 비교를 참조하세요.