Microsoft Entra ID 거버넌스 설명

  • 4분

Microsoft Entra ID 거버넌스를 사용하면 올바른 프로세스 및 표시 유형을 사용하여 보안 및 직원 생산성에 대한 조직의 필요를 분산시킬 수 있습니다. 조직 내에서 직원의 역할이 변경되면 Microsoft Entra ID Governance를 사용하여 ID 및 액세스 프로세스 자동화, 비즈니스 그룹에 위임 및 가시성 향상을 통해 적합한 사용자가 올바른 리소스에 적합하게 액세스할 수 있도록 자동으로 보장할 수 있습니다.

ID 거버넌스는 조직에 다음 작업을 수행할 수 있는 기능을 제공합니다.

  • ID 수명 주기 거버넌스.
  • 액세스 수명 주기 거버넌스.
  • 관리를 위한 권한 있는 액세스 보호.

이 작업은 직원, 비즈니스 파트너, 공급업체에 대해 완료되고 온-프레미스와 클라우드 모두에서 서비스 및 애플리케이션 전체에 대해 완료할 수 있습니다.

조직에서 다음 4가지 핵심 질문을 해결하는 데 도움을 주기 위한 것입니다.

  • 액세스할 수 있는 리소스 및 사용자는 무엇인가요?
  • 해당 사용자가 해당 액세스를 사용하여 수행하는 작업은 무엇인가요?
  • 액세스를 관리하기 위한 유효한 조직 컨트롤이 있나요?
  • 감사자는 컨트롤이 작동하는지 확인할 수 있나요?

ID 수명 주기

사용자의 ID 수명 주기 관리는 ID 거버넌스의 핵심입니다.

예를 들어 직원의 ID 수명 주기 관리를 계획할 때 많은 조직에서 '입사, 이동 및 퇴사' 프로세스를 모델링합니다. 개인이 처음으로 조직에 합류할 때 새 디지털 ID가 아직 없으면 새로 생성합니다. 개인이 조직 간에 이동할 때 해당 디지털 ID에 더 많은 액세스 권한을 추가하거나 제거해야 할 수도 있습니다. 개인이 퇴사할 때 액세스 권한을 제거해야 할 수도 있으며, ID는 감사 용도 이외로는 더 이상 필요하지 않을 수 있습니다.

다음 다이어그램은 ID 수명 주기의 간소화된 버전을 보여 줍니다.

직원의 ID 수명 주기를 보여 주는 다이어그램. 수명 주기는 액세스 권한 없이 시작하여 조직에 조인하고, 그런 다음 새 역할로 이동하고, 조직을 떠나는 주기로 표시됩니다. 주기가 반복됩니다.

많은 조직에서 직원의 이 ID 수명 주기는 Workday 또는 SuccessFactors와 같은 HR(인사) 시스템에 있는 해당 사용자 표시에 연결됩니다. HR 시스템은 직원의 현재 목록과 해당 직원의 이름 또는 부서와 같은 일부 속성을 제공할 권한이 있습니다. 조직은 직원이 1일째에 생산성을 높일 수 있도록 HR 시스템의 신호를 기반으로 하는 신입 직원의 ID를 만드는 프로세스를 자동화해야 합니다.

Microsoft Entra ID Governance에서 다음을 사용하여 사용자의 ID 수명 주기를 자동화할 수 있습니다.

  • Microsoft Entra ID와 Active Directory 모두에서 사용자 ID를 자동으로 유지 관리하기 위한 조직의 HR 원본에서 인바운드 프로비전.
  • 조직에서 신입 직원이 업무를 시작하기 전, 조직에서 근무하는 동안 상태가 변경될 때, 퇴사할 때 등과 같은 특정 주요 이벤트에서 실행되는 워크플로 작업을 자동화하는 수명 주기 워크플로.
  • 자격 관리 자동 할당 정책을 사용자의 특성 변경 내용에 따라 사용자의 그룹 멤버 자격, 애플리케이션 역할 및 SharePoint 사이트 역할을 추가 및 제거할 수 있습니다. 권한 관리에 대한 정보는 후속 단원에서 다룹니다.
  • 수백 개의 클라우드 및 온-프레미스 애플리케이션에 대한 커넥터를 사용하여 다른 애플리케이션에서 사용자 계정을 만들고, 업데이트하고, 제거하는 사용자 프로비전.

일반적으로 ID의 수명 주기를 관리하는 것은 HR 시스템과의 통합을 통하든 사용자 프로비저닝 애플리케이션을 통해서든 사용자에게 필요한 액세스를 업데이트하는 것입니다.

액세스 수명 주기

액세스 수명 주기는 사용자의 조직 생활 전체에서 액세스를 관리하는 프로세스입니다. 사용자는 조직에 합류하는 지점부터 퇴사하는 시점까지 서로 다른 수준의 액세스 권한이 필요합니다. 다양한 스테이지에서 역할과 책임에 따라 여러 다른 리소스에 액세스할 권한이 필요합니다.

조직은 사용자의 ID를 만들 때 해당 사용자에 대해 처음으로 프로비전된 범위를 넘어서 액세스를 관리하는 프로세스가 필요합니다. 또한 기업 조직은 액세스 정책 및 컨트롤을 지속적으로 개발하고 적용할 수 있도록 효율적으로 규모를 조정해야 합니다.

Microsoft Entra ID 거버넌스를 사용하면 IT 부서에서 다양한 리소스에서 사용자에게 부여해야 하는 액세스 권한과 필요한 적용 검사를 설정할 수 있습니다.

조직은 동적 그룹과 같은 기술을 통해 액세스 수명 주기 프로세스를 자동화할 수 있습니다. 동적 그룹을 사용하면 관리자가 그룹의 멤버를 결정하는 특성 기반 규칙을 만들 수 있습니다. 사용자 또는 디바이스의 특성이 변경되면 시스템은 디렉터리에 있는 모든 동적 그룹 규칙을 평가하여 변경으로 인해 그룹에서 추가 또는 제거되는 모든 사용자가 트리거되는지 확인합니다. 사용자 또는 디바이스가 그룹의 규칙을 충족하면 해당 그룹의 멤버로 추가됩니다. 규칙을 더 이상 충족하지 않으면 제거됩니다.

권한 관리를 통해 조직은 사용자가 그룹 및 팀 멤버 자격, 앱 역할 및 SharePoint Online 역할의 패키지에서 액세스를 요청하는 방법을 정의하고 액세스 요청에 대한 업무 분리 검사를 적용할 수 있습니다.

조직은 액세스 재인증을 위해 되풀이되는 Microsoft Entra 액세스 검토를 사용하여 액세스 권한을 정기적으로 검토할 수 있습니다.

권한 있는 액세스 수명 주기

권한 있는 액세스를 모니터링하는 것이 ID 거버넌스의 핵심 부분입니다. 직원, 공급업체 및 계약자에게 관리 권한이 할당되면 오용될 가능성이 있으므로 거버넌스 프로세스가 있어야 합니다.

Microsoft Entra PIM(Privileged Identity Management)은 액세스 권한 보호에 맞춰진 추가 제어 기능을 제공합니다. PIM은 Microsoft Entra ID, Azure 및 기타 Microsoft 온라인 서비스 전반에서 리소스에 액세스할 수 있는 사용자 수를 최소화하는 데 도움이 됩니다. PIM은 회사의 리소스를 보호하는 데 도움이 되는 포괄적인 거버넌스 제어 세트를 제공합니다.

ID 액세스 권한 수명 주기를 보여 주는 다이어그램. 수명 주기는 관리자 없이 시작하여 첫 번째 관리자 역할, 두 번째 관리자 역할, IT를 떠나는 주기로 표시됩니다.