권한이 부여된 액세스 관리 구성

  • 9분

Microsoft Purview에서 PAM(Privileged Access Management)을 구성하면 조직에서 구조적 액세스 제어를 적용하여 상주 관리 권한과 관련된 위험을 줄일 수 있습니다.

필수 구성 요소

PAM을 구성하기 전에 다음 필수 구성 요소가 충족되는지 확인합니다.

  • Microsoft 365 구독: organization 구독에 PAM에 대한 지원이 포함되어 있는지 확인합니다. 구독 세부 정보를 확인합니다.
  • 적절한 역할: PAM을 구성할 전역 관리자 또는 Exchange 관리자 역할이 있는지 확인합니다.
  • 액세스 그룹 계획: 권한 있는 액세스 요청에 대한 승인자 및 시스템 계정을 결정합니다.

권한 있는 액세스 관리를 구성하는 단계

다음 단계에 따라 organization PAM을 설정합니다.

1. 승인자의 그룹 만들기

승인자 그룹은 권한 있는 액세스 요청을 검토하고 권한을 부여할 책임이 있습니다. 메일 사용 보안 그룹을 설정하면 요청이 적절하게 라우팅됩니다.

  1. 관리자 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인합니다.

  2. 관리자 자격 증명을 사용하여 Teams & 그룹>활성 팀 & 그룹으로 이동합니다.

  3. 보안 그룹 탭을 선택한 다음 메일 사용 보안 그룹 추가를 선택합니다.

    메일 사용 보안 그룹을 추가하는 방법을 보여 주는 스크린샷

  4. 기본 사항 설정 페이지에서 다음 세부 정보를 입력합니다.

    • 이름: 그룹에 대한 설명이 포함된 이름을 제공합니다.
    • 설명: 그룹의 목적에 대한 간략한 설명을 추가합니다.

  5. 소유자 할당 페이지에서 그룹의 소유자를 할당합니다.

  6. 구성원 추가 페이지에서 승인자 역할을 할 개인을 추가합니다.

  7. 설정 편집 페이지에서 그룹 전자 메일 주소를 구성합니다.

  8. 그룹 만들기를 선택합니다. 그룹이 완전히 구성될 때까지 몇 분 정도 기다립니다.

2. 권한 있는 액세스 관리 사용

PAM을 사용하도록 설정하면 승인 워크플로가 활성화되어 중요한 관리 작업에 제어된 프로세스를 통해 부여된 상승된 권한이 필요한지 확인합니다.

Microsoft 365 관리 센터를 사용하여 권한 있는 액세스 관리 사용

  1. Microsoft 365 관리 센터에 로그인합니다.

  2. 설정>조직 설정>보안 & 개인 정보 권한>있는 액세스로 이동합니다.

    권한 있는 액세스 설정에 액세스할 위치를 보여 주는 스크린샷

  3. 권한 있는 액세스 요청 허용 확인란을 선택하고 기본 승인 그룹을 선택합니다.

  4. 1단계에서 만든 승인자의 그룹을 기본 승인 그룹으로 할당합니다.

    승인 그룹을 할당하는 방법을 보여 주는 스크린샷

  5. 설정을 저장하고 닫습니다.

PowerShell을 사용하여 권한 있는 액세스 관리 사용

Enable-ElevatedAccessControl Exchange Online PowerShell의 cmdlet을 사용하여 권한 있는 액세스 관리를 사용하도록 설정하고 승인자 그룹을 할당합니다. 이렇게 하면 권한 있는 작업에 승인이 필요하고 이러한 요청을 승인할 책임이 있는 그룹을 정의합니다.

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

예제:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

매개 변수는 -AdminGroup 승인을 위해 메일 사용 가능 보안 그룹을 지정하고 매개 변수는 -SystemAccounts 권한 있는 액세스 제어에서 특정 계정을 제외하므로 필수 시스템 작업이 중단 없이 계속되도록 합니다.

3. 액세스 정책 만들기

액세스 정책은 권한 있는 액세스 권한이 부여되는 규칙을 정의합니다. 이러한 정책은 필요한 경우에만 정의된 조건에서 상승된 권한이 제공되도록 합니다.

Microsoft 365 관리 센터를 사용하여 액세스 정책 만들기

  1. 설정>조직 설정>보안 & 개인 정보 권한>있는 액세스로 이동합니다.

  2. 정책 만들기를 선택하고 요청>관리 정책 정책>추가를 선택합니다.

  3. 정책을 구성합니다.

    • 정책 유형: 작업, 역할 또는 역할 그룹

    • 정책 범위: Exchange

    • 정책 이름: 사용 가능한 옵션 중에서 선택

    • 승인 유형: 수동 또는 자동

    • 승인자: 승인 유형수동으로 설정된 경우 승인자의 그룹을 선택합니다.

    권한 있는 액세스 관리 정책을 추가할 필드를 보여 주는 스크린샷

  4. 만들기를 선택하여 새 권한 있는 액세스 관리 정책을 추가합니다.

Exchange Management PowerShell을 사용하여 액세스 정책 만들기

PowerShell의 New-ElevatedAccessApprovalPolicy cmdlet을 사용하여 권한 있는 액세스 정책을 만듭니다. 이 정책은 관리자 권한 작업이 승인되고 실행되는 조건을 정의합니다.

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

예제:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'
  • -Task: 권한 있는 액세스 승인이 필요한 Exchange cmdlet을 지정합니다.
  • -ApprovalType: 승인자가 승인자 그룹에 의해 수동으로 처리되는지(수동) 또는 자동으로(자동) 처리되는지 여부를 결정합니다.
  • -ApproverGroup: -ApprovalType이 수동으로 설정된 경우 요청을 승인하는 메일 사용 보안 그룹을 식별합니다.

4. 권한 있는 액세스 관리 테스트 및 사용

테스트를 통해 구성된 정책 및 워크플로가 의도한 대로 작동하여 사용자가 요청을 제출하고 승인자가 작업을 수행할 수 있습니다.

  • 요청 제출: 사용자는 Microsoft 365 관리 센터의 권한 있는 액세스 섹션으로 이동하거나 PowerShell을 사용하여 작업에 대한 상승된 권한을 요청할 수 있습니다.

  • 요청 승인: 승인자는 메일 알림 통해 또는 Microsoft 365 관리 센터에서 직접 요청을 검토하고 조치를 수행합니다.

권한 있는 액세스 관리를 구성하면 중요한 작업에 대한 보안 및 임시 관리 권한이 보장됩니다. 승인자 그룹을 만들고, PAM을 사용하도록 설정하고, 액세스 정책을 정의함으로써 조직은 최소 권한 원칙을 적용하고 보안 태세를 강화할 수 있습니다. 정기적인 감사 및 검토는 중요한 구성 및 데이터를 보호하는 PAM의 효율성을 더욱 강화합니다.