Azure Active Directory 액세스 검토를 사용하여 사용자 액세스 관리

  • 8분

직원 및 게스트의 그룹 및 애플리케이션 액세스는 시간이 지남에 따라 변경됩니다. 부실 액세스 할당과 관련된 위험을 줄이기 위해 관리자는 Azure AD(Azure Active Directory)를 사용하여 그룹 구성원 또는 애플리케이션 액세스에 대한 액세스 검토를 만들 수 있습니다. 액세스 검토를 사용하는 몇 가지 시나리오는 다음과 같습니다.

  • 권한 있는 역할의 사용자가 너무 많음
  • 자동화가 불가능한 경우
  • 그룹을 새로운 용도로 사용하는 경우
  • 비즈니스 크리티컬 데이터 액세스
  • 정책의 예외 목록을 유지 관리하기 위해서
  • 그룹 소유자에게 그룹에 여전히 게스트가 필요한지 확인하도록 요청
  • 정기적으로 검토를 반복하도록 함

Azure AD(Azure Active Directory) 액세스 검토를 통해 조직은 관리 감독 없이 그룹 구성원 자격을 효율적으로 관리할 수 있습니다. 사용자와 게스트에게 적절한 액세스 권한이 있는지 확인할 수 있습니다. 액세스 검토를 통해 다음을 수행할 수 있습니다.

  • 정기 검토 일정을 잡거나 임시 검토를 수행하여 애플리케이션 및 그룹과 같은 특정 리소스에 대한 액세스 권한이 있는 사람을 확인합니다.
  • 인사이트, 규정 준수 또는 정책 이유에 대한 검토 추적
  • 지속적인 액세스의 필요성을 스스로 증명할 수 있는 특정 관리자, 비즈니스 소유자 또는 최종 사용자에게 검토를 위임합니다.
  • 인사이트를 사용하여 사용자가 계속 액세스해야 하는지 여부를 효율적으로 결정
  • 리소스에 대한 사용자 액세스 제거와 같은 검토 결과 자동화
  • 한 명 이상의게스트를 구성원으로 하는 Azure AD의 검토 그룹을 자동화합니다.
  • 게스트 사용자가 한 명 이상 할당된 Azure AD에 연결된 검토 애플리케이션을 자동화합니다.

액세스 검토 흐름을 보여주는 다이어그램

주요 장점

액세스 검토를 활성화하면 다음과 같은 주요 이점이 있습니다.

  • 협업 제어 - 액세스 검토를 통해 조직은 사용자에게 필요한 모든 리소스에 대한 액세스를 관리할 수 있습니다. 사용자가 공유하고 공동 작업할 때 조직은 정보가 승인된 사용자에게만 있음을 확신할 수 있습니다.

  • 위험 관리 - 액세스 검토는 조직에서 데이터 및 애플리케이션에 대한 액세스를 검토할 수 있는 방법을 제공하여 데이터 유출 및 데이터 유출 위험을 줄입니다. 여기에는 회사 리소스에 대한 외부 파트너의 액세스 권한을 정기적으로 검토하는 기능이 포함됩니다.

  • 규정 준수 및 거버넌스 문제 해결 - 액세스 검토를 통해 그룹, 앱 및 사이트에 대한 액세스 수명 주기를 관리하고 재인증할 수 있습니다. 조직과 관련된 규정 준수 또는 위험에 민감한 애플리케이션에 대한 추적 검토를 제어할 수 있습니다.

  • 비용 절감 - 액세스 검토는 클라우드에 구축되며 기본적으로 그룹, 애플리케이션, 액세스 패키지와 같은 클라우드 리소스와 함께 작동합니다. 액세스 검토를 사용하는 것은 자체 도구를 구축하거나 온프레미스 도구 세트를 업그레이드하는 것보다 비용이 적게 듭니다.

그룹 구성원에 대한 액세스 검토 만들기

필수 구성 요소

  • Azure AD 프리미엄 P2
  • 전역 관리자 또는 사용자 관리자
  • Microsoft 365 및 보안 그룹 소유자(미리 보기)

하나 이상의 액세스 검토 만들기

  1. Azure Portal에 로그인하고 ID 거버넌스 페이지를 엽니다.

  2. 액세스 검토 > + 새 액세스 검토 를 선택하여 새 액세스 검토를 만듭니다.

  3. 검토할 항목 선택 섹션에서 팀 + 그룹 을 선택합니다.

  4. Review 범위 섹션에서 다음 두 가지 옵션 중 하나를 선택합니다.

    • 게스트 사용자가 있는 모든 Microsoft 365 그룹 - 조직의 모든 Microsoft Teams 및 Microsoft 365 그룹에서 모든 게스트에 대해 되풀이 검토를 작성하려면 이 옵션을 선택합니다. '제외할 그룹 선택'을 선택하여 특정 그룹을 제외하도록 선택할 수 있습니다.

    • 팀 + 그룹 선택 - 검토할 팀 및/또는 그룹의 한정된 집합을 지정하려면 이 옵션을 선택합니다. 이 옵션을 선택하면 오른쪽에 선택할 수 있는 그룹 목록이 표시됩니다.

  5. Scope 섹션에서 검토 범위를 선택할 수 있습니다. 옵션은 다음과 같습니다.

    • 게스트 사용자만 - 이 옵션을 선택하면 디렉터리의 Azure AD B2B 게스트로만 액세스 검토가 제한됩니다.
    • 모든 사용자 - 이 옵션을 선택하면 리소스와 연결된 모든 사용자 개체에 대한 액세스 검토 범위가 지정됩니다.

    게스트가 있는 모든 Microsoft 365 그룹을 선택한 경우 유일한 옵션은 게스트 사용자만 검토하는 것입니다.

    팀 및 그룹

  6. 다음: 검토 를 선택합니다.

  7. 검토자 선택 섹션에서 액세스 검토를 수행할 사람을 한 명 이상 선택합니다. 다음 중 하나를 선택할 수 있습니다.

    • 그룹 소유자(팀 또는 그룹에 대한 검토를 수행할 때만 사용 가능)
    • 선택한 사용자 또는 그룹
    • 사용자는 자신의 액세스를 검토
    • 사용자 관리자. 사용자 관리자 또는 그룹 소유자 를 선택하면 대체 검토자를 지정할 수도 있습니다. 대체 검토자는 사용자에게 디렉터리에 지정된 관리자가 없거나 그룹에 소유자가 없는 경우 검토를 수행해야 합니다.

  8. 검토 반복 지정 섹션에서 주간, 월간, 분기별, 반기별, 연간 과 같은 빈도를 지정할 수 있습니다. 그런 다음 검토자의 입력을 위해 검토가 열리는 기간을 정의하는 기간 을 지정합니다. 예를 들어 월별 검토에 대해 설정할 수 있는 최대 기간은 검토가 겹치지 않도록 27일입니다. 검토자 입력이 더 일찍 적용되도록 기간을 단축할 수 있습니다. 그런 다음 시작 날짜종료 날짜 를 선택할 수 있습니다.

    새로운 액세스 검토

  9. 페이지 하단에서 다음: 설정 버튼을 선택합니다.

  10. 완료 시 설정에서 검토가 완료된 후 수행할 작업을 지정할 수 있습니다.

    거부된 사용자의 액세스 권한을 자동으로 제거하려면 리소스에 결과 자동 적용 을 사용으로 설정합니다. 검토가 완료될 때 결과를 수동으로 적용하려면 스위치를 사용 안함 으로 설정합니다.

    검토자가 응답하지 않는 경우 목록을 사용하여 검토 기간 내에 검토자가 검토하지 않은 사용자에 대한 조치를 지정합니다. 이 설정은 검토자가 수동으로 검토한 사용자에게 영향을 미치지 않습니다. 최종 검토자의 결정이 거부 이면 사용자의 액세스 권한이 제거됩니다.

    • 변경 내용 없음 - 사용자의 액세스 권한을 변경하지 않은 상태로 둡니다.
    • 액세스 권한 제거 - 사용자 액세스 권한 제거
    • 액세스 승인 - 사용자 액세스 승인
    • 권장 받기 - 사용자의 지속적인 액세스 거부 또는 승인에 대한 시스템 권장 사항을 따릅니다.

    작업을 사용하여 거부된 게스트 사용자에게 적용하여 게스트가 거부된 경우 어떻게 되는지 지정합니다.

    • 리소스에서 사용자의 멤버십 제거 는 검토 중인 그룹 또는 애플리케이션에 대한 거부된 사용자의 액세스를 제거하지만 테넌트에 계속 로그인할 수 있습니다.
    • 사용자가 30일 동안 로그인하지 못하도록 차단한 다음 테넌트에서 사용자 제거는 거부된 사용자가 다른 리소스에 대한 액세스 권한이 있는지 여부에 관계없이 테넌트에 로그인하지 못하도록 차단합니다. 실수가 있었거나 관리자가 액세스를 다시 활성화하기로 결정한 경우 사용자가 비활성화된 후 30일 이내에 그렇게 할 수 있습니다. 비활성화된 사용자에 대한 조치가 없으면 테넌트에서 삭제됩니다.

  11. 다른 사용자 또는 그룹에 알림을 보내 검토 완료 업데이트를 받을 수 있습니다. 이 기능을 사용하면 검토 작성자가 아닌 이해 관계자가 검토 진행 상황을 업데이트할 수 있습니다. 이 기능을 사용하려면 사용자 또는 그룹 선택 을 선택하고 완료 상태를 받을 사용자 또는 그룹을 추가합니다.

  12. 검토 결정 도우미 사용 에서 검토 프로세스 중에 검토자가 추천을 받을지 여부를 선택합니다.

  13. 고급 설정 섹션에서 다음을 선택할 수 있습니다.

    • 검토자가 승인 이유를 제공하도록 하려면 정리 필요활성화 로 설정합니다.
    • 액세스 검토가 시작될 때 Azure AD가 검토자에게 이메일 알림을 보내고 검토가 완료되면 관리자에게 이메일 알림을 보내도록 하려면 이메일 알림활성화 로 설정합니다.
    • Azure AD가 검토를 완료하지 않은 검토자에게 진행 중인 액세스 검토에 대한 알림을 보내도록 하려면 알림활성화 로 설정합니다. 이러한 알림은 검토 기간의 중간에 전송됩니다.
    • 검토자에게 전송된 이메일의 내용은 검토 이름, 리소스 이름, 기한 및 기타 세부 정보와 같은 검토 세부 정보를 기반으로 자동 생성됩니다. 다른 지침이나 연락처 정보와 같은 기타 정보를 전달할 방법이 필요한 경우 검토자 이메일을 위한 추가 콘텐츠 섹션에서 이러한 세부 정보를 지정할 수 있습니다. 입력한 정보는 지정된 검토자에게 발송되는 초대 및 미리 알림 이메일에 포함됩니다. 다음 이미지에서 강조 표시된 섹션은 이 정보가 표시되는 위치를 보여줍니다.

    완료 시 설정 옵션

  14. 다음: 검토 + 만들기 를 선택하여 다음 페이지로 이동합니다.

  15. 액세스 검토의 이름을 지정합니다. 선택적으로 검토에 설명을 제공합니다. 이름과 설명은 검토자에게 표시됩니다.

  16. 정보를 검토하고 만들기 를 선택합니다.

그룹 소유자가 액세스 검토를 만들고 관리하도록 허용(미리 보기)

필수 역할: 전역 또는 사용자 관리자

  1. Azure Portal에 로그인하고 ID 거버넌스 페이지를 엽니다.

  2. 왼쪽 메뉴의 액세스 검토 에서 설정 을 클릭합니다.

  3. 액세스 검토를 만들고 관리할 수 있는 대리인 페이지에서 (미리 보기) 그룹 소유자가 자신이 소유한 그룹의 액세스 검토를 만들고 관리할 수 있음 설정을 로 설정합니다.

그룹에 대한 액세스 검토

액세스 검토 설정을 지정했으면 시작 을 선택합니다. 액세스 검토는 상태 표시기와 함께 목록에 나타납니다.

기본적으로 Azure AD는 검토가 시작된 직후 검토자에게 이메일을 보냅니다. Azure AD에서 전자 메일을 보내지 않도록 선택한 경우 검토자에게 액세스 검토가 완료되기를 기다리고 있음을 알려야 합니다.

알림 이메일에서 또는 사이트 https://myapps.microsoft.com로 직접 이동하여 액세스 검토 프로세스를 시작할 수 있습니다. 다음 두 가지 방법으로 액세스를 승인하거나 거부할 수 있습니다.

  • 각 사용자 요청에 대해 적절한 작업을 선택하여 '수동으로' 한 명 이상의 사용자에 대한 액세스를 승인하거나 거부할 수 있습니다.

  • 시스템 권장 사항을 수락할 수 있습니다.

    검토할 사용자를 나열하는 오픈 액세스 검토

Azure Active Directory의 감사 로그

관리자는 액세스 검토 외에도 감사 로그를 사용하여 다음을 비롯한 시스템 활동 기록 준수 여부를 검토할 수 있습니다.

사용자 중심 보기

  • 사용자에게 적용된 업데이트 유형은 무엇인가요?
  • 몇 명의 사용자가 변경되었나요?
  • 얼마나 많은 암호가 변경되었나요?
  • 관리자가 디렉터리에서 수행한 작업은 무엇인가요?

그룹 중심 보기

  • 추가된 그룹은 무엇인가요?
  • 멤버 자격이 변경된 그룹이 있나요?
  • 그룹의 소유자가 변경되었나요?
  • 그룹 또는 사용자에게 할당된 라이선스는 무엇인가요?

애플리케이션 중심 보기

  • 추가되거나 업데이트된 애플리케이션은 무엇인가요?
  • 제거된 애플리케이션은 무엇인가요?
  • 애플리케이션의 서비스 주체가 변경되었나요?
  • 애플리케이션 이름이 변경되었나요?
  • 애플리케이션에 동의한 사람은 누구인가요?

Azure Active Directory 관리 센터의 Monitoring 섹션에서 감사 로그에 액세스하고 필터를 사용하여 정보를 찾을 수 있습니다.

AAD 관리 센터의 감사 로그

자세한 내용은 Azure Active Directory에서 감사 로그를 참고하세요.