관리자에 대한 권한 있는 액세스 전략 정의
PIM(Privileged Identity Management)이란?
PIM은 권한 있는 리소스에 대한 액세스를 관리하기 위한 Microsoft Entra ID의 서비스입니다. PIM으로 조직에서 중요한 리소스에 대한 액세스를 관리, 제어 및 모니터링할 수 있습니다. 중요한 리소스에는 Microsoft Entra ID, Azure, Microsoft 365 또는 Microsoft Intune과 같은 기타 Microsoft 온라인 서비스의 리소스가 포함됩니다.
PIM은 무엇을 하나요?
PIM은 리소스에 액세스하기 위한 시간 기반 및 승인 기반 역할 활성화를 제공합니다. 이렇게 하면 관심 있는 리소스에 대한 과도하거나, 불필요하거나 오용된 액세스 권한의 위험을 완화할 수 있습니다. PIM의 주요 기능은 다음과 같습니다.
- Microsoft Entra ID 및 Azure 리소스에 대한 JIT(Just-In-Time) 권한 있는 액세스 제공
- 시작 및 종료 날짜를 사용하여 리소스에 시간 범위 액세스 할당
- 권한 있는 역할을 활성화하기 위해 승인 필요
- Azure Multifactor Authentication을 적용하여 모든 역할 활성화
- 근거를 사용하여 사용자가 활성화하는 이유 이해
- 권한 있는 역할이 활성화되면 알림을 받습니다.
- 액세스 검토를 수행하여 사용자에게 여전히 역할이 필요한지 확인합니다.
- 내부 또는 외부 감사를 위해 감사 기록을 다운로드합니다.
조직에서 PIM을 배포하기 전에 지침을 따르고 이 섹션의 개념을 이해합니다. 이렇게 하면 조직의 권한 있는 ID 요구 사항에 맞게 조정된 계획을 만드는 데 도움이 됩니다.
참고
PIM에는 Premium P2 라이선스가 필요합니다.
관련자 식별
다음 섹션에서는 프로젝트에 참여하는 모든 관련자를 식별하는 데 도움이 됩니다. 승인, 검토 또는 정보를 유지해야 하는 사용자를 확인합니다. 또한 Microsoft Entra 역할용 PIM 및 Azure 역할용 PIM을 배포하기 위한 별도의 테이블을 포함합니다. 조직을 위해 적절한 경우 관련자를 다음 테이블에 추가합니다.
SO = 이 프로젝트에 대한 승인
R =이 프로젝트를 검토 및 입력 제공
I = 이 프로젝트에 대한 알림을 받음
관련자: Microsoft Entra 역할에 대한 Privileged Identity Management
| 이름 | 역할 | 작업 |
|---|---|---|
| 이름 및 이메일 | ID 설계자 또는 Azure 전역 관리자 - 조직의 핵심 ID 관리 인프라와 해당 변경을 맞추는 방법을 정의하는 것을 담당하는 ID 관리 팀의 담당자입니다. | SO/R/I |
| 이름 및 이메일 | 서비스 소유자/라인 관리자 - 서비스 또는 서비스 그룹의 IT 소유자 담당자입니다. 팀을 위해 의사 결정을 하고 PIM을 실행하도록 도와주는 핵심적인 역할을 합니다. | SO/R/I |
| 이름 및 이메일 | 보안 소유자 - 조직의 보안 요구 사항에 맞는 계획을 승인할 수 있는 보안 팀의 담당자입니다. | SO/R |
| 이름 및 이메일 | IT 지원 관리자/기술 지원팀 - 기술 지원팀의 관점에서 변경사항의 지원 가능성에 대한 피드백을 제공할 수 있는 IT 지원 조직의 담당자입니다. | R/I |
| 파일럿 사용자에 대한 이름 및 이메일 | 권한 있는 역할 사용자 - 권한 있는 ID 관리가 구현되는 사용자 그룹입니다. PIM이 구현되면 해당 역할을 활성화하는 방법을 알고 있어야 합니다. | I |
관련자: Azure 역할에 대한 Privileged Identity Management
| 이름 | 역할 | 작업 |
|---|---|---|
| 이름 및 이메일 | 구독/리소스 소유자 - PIM을 배포하려는 각 구독 또는 리소스의 IT 소유자의 담당자입니다. | SO/R/I |
| 이름 및 이메일 | 보안 소유자 - 조직의 보안 요구 사항에 맞는 계획을 승인할 수 있는 보안 팀의 담당자입니다. | SO/R |
| 이름 및 이메일 | IT 지원 관리자/기술 지원팀 - 기술 지원팀의 관점에서 변경사항의 지원 가능성에 대한 피드백을 제공할 수 있는 IT 지원 조직의 담당자입니다. | R/I |
| 파일럿 사용자에 대한 이름 및 이메일 | Azure 역할 사용자 - 권한 있는 ID 관리가 구현되는 사용자 그룹입니다. PIM이 구현되면 해당 역할을 활성화하는 방법을 알고 있어야 합니다. | I |
Privileged Identity Management 사용 시작
계획 프로세스의 일환으로 “Privileged Identity Management 사용 시작”문서를 따라 PIM을 준비합니다. PIM을 사용하면 배포를 도와주도록 설계된 몇 가지 기능에 액세스할 수 있습니다.
Azure 리소스에 대한 PIM을 배포하는 것이 목표인 경우 “Privileged Identity Management에서 관리할 Azure 리소스 검색” 문서를 따릅니다. 구독 및 관리 그룹의 소유자만 PIM에서 관리하는 리소스를 가져올 수 있습니다. 소유자는 관리 그룹, 구독, 리소스 그룹, 리소스를 비롯한 모든 수준의 PIM 기능을 이용할 수 있습니다. Azure 리소스에 대한 PIM의 배포를 시도하는 전역 관리자인 경우 모든 Azure 구독을 관리하도록 액세스 권한을 상승하여 검색할 디렉터리의 모든 Azure 리소스에 대한 액세스 권한을 부여할 수 있습니다. 그러나 PIM을 사용하여 리소스를 관리하기 전에 각 구독 소유자의 승인을 받는 것이 좋습니다.
최소 권한 원칙 적용
조직에서 Microsoft Entra ID 역할 및 Azure 역할에 대해 모두 최소 권한 원칙을 적용했는지 확인해야 합니다.
최소 권한 위임 계획
Microsoft Entra 역할의 경우 대부분의 관리자가 한두 가지 특정 관리자 역할만 필요할 때 조직이 많은 수의 관리자에게 전역 관리자 역할을 할당하는 것이 일반적입니다. 전역 관리자 또는 기타 높은 권한 역할을 많이 사용하는 경우, 권한 있는 역할 할당을 면밀하게 추적하기가 어렵습니다.
Microsoft Entra 역할에 대해 최소 권한 원칙을 적용하려면 다음 단계를 따릅니다.
사용할 수 있는 Microsoft Entra 관리자 역할을 읽고 이해하여 역할의 세분성을 알아 두세요. 또한 자신과 자신의 팀이 특정 작업에 대한 최소 권한 있는 역할을 설명하는 Microsoft Entra ID 작업별 관리자 역할도 참조하는 것이 좋습니다.
조직에서 권한 있는 역할을 가진 담당자를 나열합니다. PIM 검색 및 인사이트(미리 보기)를 사용하여 노출을 줄일 수 있습니다.
조직의 모든 글로벌 관리자에 대해 역할이 필요한 이유를 확인합니다. 다음으로 전역 관리자 역할에서 해당 역할을 제거하고 Microsoft Entra ID 내에서 낮은 권한의 기본 제공 역할 또는 사용자 지정 역할을 할당합니다. 참고로, Microsoft는 현재 전역 관리자 역할이 있는 관리자가 10명에 불과합니다.
모든 다른 Microsoft Entra 역할에 대해 할당 목록을 검토하고 더 이상 역할이 필요 없는 관리자를 식별하여 해당 관리자의 역할을 제거합니다.
마지막 두 단계를 자동화하려면 PIM에서 액세스 검토를 사용할 수 있습니다. “Privileged Identity Management에서 Microsoft Entra ID 역할에 대한 액세스 검토 시작”의 단계에 따라 구성원이 한 명 이상인 모든 Microsoft Entra 역할에 대한 액세스 검토를 설정할 수 있습니다.
검토자를 구성원(자신)으로 설정합니다. 역할 사용자는 모두 액세스 권한이 필요한지 확인하라는 메일을 받게 됩니다. 또한, 고급 설정에서 승인 사유를 설정하여 사용자가 역할이 필요한 이유를 명시해야 합니다. 해당 정보에 따라 불필요한 역할에서 사용자를 제거하거나 더 세부적인 관리자 역할에 위임할 수 있습니다.
액세스 검토는 이메일을 이용하여 해당 사용자에게 역할에 대한 자신의 액세스 권한을 검토하라고 알립니다. 메일이 연결되지 않은 권한 있는 계정이 있는 경우 해당 계정의 보조 메일 필드에 내용을 입력해야 합니다.
Azure 리소스 역할 위임 계획
Azure 구독 및 리소스에 대해 각 구독 또는 리소스의 역할을 검토하도록 유사한 액세스 리뷰 프로세스를 설정할 수 있습니다. 프로세스의 목적은 각 구독 또는 리소스에 연결된 소유자 및 사용자 액세스 관리자 할당을 최소화하고 불필요한 할당을 제거하는 것입니다. 그러나 조직은 흔히 각 구독 또는 리소스의 소유자가 특정 역할(특히 사용자 지정 역할)을 더 잘 알고 있다는 이유로 소유자에게 해당 작업을 위임합니다.
조직에서 Azure 역할에 대한 PIM을 배포하려는 전역 관리자 역할인 경우 모든 Azure 구독을 관리하도록 액세스 권한을 상승시켜 각 구독에 대한 액세스 권한을 획득할 수 있습니다. 그런 다음, 각 구독 소유자를 찾고 해당 소유자와 협력하여 불필요한 할당을 제거하고 소유자 역할 할당을 최소화할 수 있습니다.
Azure 구독에 대한 소유자 역할을 가진 사용자는 Azure 리소스에 대한 액세스 검토를 사용하여 Microsoft Entra 역할에 대해 앞에서 설명한 프로세스와 유사하게 불필요한 역할 할당을 감사하고 제거할 수도 있습니다.
Privileged Identity Management를 통해 보호할 역할 할당을 결정합니다.
조직에서 권한 있는 역할 할당을 정리하고 나면 PIM으로 보호할 역할을 결정해야 합니다.
역할이 PIM에 의해 보호되는 경우 역할에 할당할 자격이 있는 사용자는 해당 역할에서 부여하는 권한을 사용하도록 권한을 상승해야 합니다. 또한 권한 상승 프로세스는 Azure Multifactor Authentication을 사용 및 활성화하는 이유를 제공해야 할 수 있습니다. 또한 PIM은 알림, PIM 및 Microsoft Entra 감사 이벤트 로그를 통해 권한 상승을 추적할 수 있습니다.
PIM을 사용하여 보호할 역할을 선택하는 것은 어려울 수 있으며 각 조직마다 다릅니다. 이 섹션에서는 Microsoft Entra 역할 및 Azure 역할에 대한 모범 사례를 제공합니다.
Microsoft Entra 역할
권한이 가장 많은 Microsoft Entra 역할의 보호 우선순위를 지정하는 것이 중요합니다. 모든 PIM 고객의 사용 패턴을 기반으로, PIM에 의해 관리되는 상위 10개의 Microsoft Entra 역할은 다음과 같습니다.
전역 관리자
보안 관리자
사용자 관리자
Exchange 관리자
SharePoint 관리자
Intune 관리자
보안 Reader
서비스 관리자
대금 청구 관리자
비즈니스용 Skype 관리자
팁
Microsoft는 PIM을 사용해 전역 관리자와 보안 관리자를 가장 먼저 관리하는 것을 추천합니다. 손상될 시 가장 큰 피해를 줄 수 있는 사용자이기 때문입니다.
조직에서 가장 중요한 데이터 및 사용 권한을 고려하는 것이 중요합니다. 예를 들어, 조직의 Power BI 관리자 역할 또는 조직의 팀 관리자 역할이 데이터에 액세스하거나 핵심 워크플로를 변경할 수 있는 경우 PIM을 사용하여 해당 역할을 보호하는 것이 좋습니다.
게스트 사용자가 할당된 역할이 있는 경우 공격에 취약합니다.
팁
Microsoft는 게스트 사용자 계정이 손상되어 발생할 수 있는 위험을 줄이기 위해 PIM을 통해 게스트 사용자의 모든 역할을 관리하는 것을 추천합니다.
디렉터리 읽기, 메시지 센터 읽기 및 보안 읽기와 같은 읽기 권한자 역할은 쓰기 권한이 없기 때문에 다른 역할보다 중요성이 떨어지는 것으로 간주되기도 합니다. 그러나 해당 계정에 액세스할 수 있는 공격자가 개인 데이터를 비롯해 중요한 데이터를 읽을 수 있기 때문에 읽기 권한자 역할을 보호하는 고객도 있습니다. PIM을 사용하여 조직의 읽기 역할을 관리할지를 결정할 때 해당 위험을 고려해야 합니다.
Azure 역할
Azure 리소스에 대해 PIM을 사용하여 관리할 역할 할당을 결정할 때, 먼저 조직에 가장 중요한 구독/리소스를 식별해야 합니다. 이러한 구독/역할의 예:
- 가장 중요한 데이터를 호스팅하는 리소스
- 고객 관련 애플리케이션이 의존하는 핵심적인 리소스
전역 관리자가 가장 중요한 구독과 리소스를 결정하는 데 문제가 있는 경우 조직의 구독 소유자에게 문의하여 각 구독에서 관리하는 리소스 목록을 수집해야 합니다. 다음으로, 리소스가 손상된 경우(낮음, 보통, 높음) 구독 소유자와 협력하여 심각도에 따라 리소스를 그룹화합니다. 심각도 수준을 기준으로 PIM을 사용해 리소스 관리의 우선순위를 지정합니다.
팁
Microsoft 권장 사항은 중요 서비스의 구독/리소스 소유자와 협력하여 중요한 구독/리소스 내의 모든 역할에 대해 PIM 워크플로를 설정하는 것입니다.
Azure 리소스에 대한 PIM은 시간 제한 서비스 계정을 지원합니다. 서비스 계정은 일반 사용자 계정과 동일하게 취급해야 합니다.
중요하지 않은 구독/리소스의 경우 모든 역할에 대해 PIM을 설정할 필요가 없습니다. 그러나 여전히 PIM을 사용하여 소유자 및 사용자 액세스 관리자 역할을 보호하는 것이 좋습니다.
팁
Microsoft는 PIM을 사용하여 모든 구독/리소스의 소유자 역할 및 사용자 액세스 관리자 역할을 관리하는 것을 추천합니다.
그룹을 사용하여 역할을 할당할지 결정
개별 사용자가 아닌 그룹에 역할을 할당할지는 전략적 결정입니다. 계획할 때 다음의 경우 역할 할당을 관리하는 역할을 그룹에 할당하는 것이 좋습니다.
- 대부분의 사용자는 역할에 할당됩니다.
- 당신은 역할 할당을 위임하려고 합니다.
여러 사용자가 역할에 할당됨
역할에 할당된 사용자를 수동으로 추적하고 필요한 때에 따라 할당을 관리하는 데 시간이 걸릴 수 있습니다. 역할에 그룹을 할당하려면 먼저 역할 할당 가능 그룹을 생성된 다음 해당 그룹을 역할에 적합한 그룹으로 할당합니다. 해당 작업은 그룹의 모든 사용자에게 역할을 상승시킬 수 있는 개별 사용자와 동일한 활성화 프로세스를 제시합니다. 그룹 구성원은 PIM 활성화 요청 및 승인 프로세스를 통해 그룹에 대해 개별적으로 할당을 활성화합니다. 그룹이 활성화되지 않았습니다. 사용자의 그룹 멤버 자격만 있습니다.
역할 할당을 위임하려고 할 때
그룹 소유자는 그룹의 멤버 자격을 관리할 수 있습니다. Microsoft Entra ID 역할 할당 가능 그룹의 경우 권한 있는 역할 관리자, 전역 관리자, 그룹 소유자만 그룹 멤버 자격을 관리할 수 있습니다. 관리자가 그룹에 새 구성원을 추가하는 경우 구성원은 할당이 적격 또는 활성인지와 관계없이 그룹이 할당된 역할에 대한 액세스 권한을 얻습니다. 그룹 소유자를 통해 할당된 역할에 대한 그룹 구성원 관리를 위임하여 필요한 권한의 범위를 줄입니다.
팁
Microsoft는 PIM에서 관리하는 Microsoft Entra ID 역할 할당 가능 그룹을 가져오는 것을 추천합니다. 역할 할당 가능 그룹을 PIM에서 관리하는 경우 권한 있는 액세스 그룹이라고 합니다. PIM을 사용하여 그룹 소유자가 그룹 멤버 자격을 관리하려면 먼저 소유자 역할 할당을 활성화해야 합니다.
영구적이거나 자격이 있어야 하는 역할 할당 결정
PIM에 의해 관리할 역할의 목록을 결정한 후 자격이 있는 역할을 획득해야 하는 사용자 및 영구적으로 활성화된 역할을 획득해야 하는 사용자를 결정해야 합니다. 영구적으로 활성화된 역할은 Microsoft Entra ID 및 Azure 리소스를 통해 할당된 일반적인 역할인 반면에 자격이 있는 역할은 PIM에서만 할당할 수 있습니다.
Microsoft 권장 사항은 두 개의 비상 긴급 액세스 계정(영구적 글로벌 관리자 역할을 가져야 함) 이외의 Microsoft Entra 역할 및 Azure 리소스 역할에 대해 모두 영구적으로 활성화된 할당을 하지 않는 것입니다.
고정 관리자가 없도록 하는 것이 좋지만 현재 조직에 관리자가 없는 것은 어려운 경우가 있습니다. 해당 결정을 내릴 때 고려해야 할 사항은 다음과 같습니다.
권한 상승 빈도 – 사용자에게 권한 있는 할당 역할이 한 번만 필요한 경우 해당 사용자에게 영구적 할당을 하지 않는 것이 좋습니다. 반면에 사용자가 일상적인 작업을 위해 역할이 필요하고 PIM 사용으로 해당 사용자의 생산성이 크게 감소할 수 있는 경우 해당 사용자에 대해 영구적 역할을 고려할 수 있습니다.
조직에 고유한 사례 - 자격이 있는 역할을 부여한 개인이 먼 거리에 있는 팀 소속이거나 통신 및 권한 상승 프로세스 적용이 어려운 고위 경영진인 경우 영구적 역할의 할당을 고려할 수 있습니다.
팁
Microsoft 권장 사항은 영구적 역할 할당을 가진 사용자에 대해 정기 액세스 검토를 설정하는 것입니다.
Privileged Identity Management 설정 초안
PIM 솔루션을 구현하기 전에 조직에서 사용하는 모든 권한 있는 역할에 대한 PIM 설정 초안을 작성하는 것이 모범 사례입니다. 이 섹션에서는 특정 역할에 대한 PIM 설정의 몇 가지 예를 보여 줍니다. 해당 설정은 참고용일 뿐이며 조직마다 다를 수 있습니다. 이러한 각 설정을 테이블 뒤의 Microsoft 권장 사항을 통해 자세히 설명합니다.
Microsoft Entra 역할에 대한 Privileged Identity Management 설정
| 설정 | 전역 관리자 | Exchange 관리자 | 기술 지원팀 관리자 |
|---|---|---|---|
| MFA 필요, 2단계 인증 | 예 | 네 | 예 |
| 알림 | 예 | 네 | 예 |
| 인시던트 티켓 | 예 | 없음 | 예 |
| 승인 필요 | 예 | 없음 | 예 |
| 승인자 | 기타 글로벌 관리자 | 없음 | 없음 |
| 활성화 기간 | 1시간 | 2시간 | 8시간 |
| 영구 관리자 | 응급 액세스 계정 | 없음 | 없음 |
Azure 역할에 대한 Privileged Identity Management 설정
| 설정 | 중요한 구독 소유자 | 덜 중요한 구독의 사용자 액세스 관리자 | Virtual Machine 참가자 |
|---|---|---|---|
| MFA 필요, 2단계 인증 | 예 | 네 | 예 |
| 알림 | 예 | 네 | 예 |
| 승인 필요 | 예 | 없음 | 예 |
| 승인자 | 구독의 기타 소유자 | 없음 | 없음 |
| 활성화 기간 | 1시간 | 1시간 | 3시간 |
| 활성 관리자 | 없음 | None | 없음 |
| 활성화 만료 | 해당 없음 | 해당 없음 | 해당 없음 |
다음 테이블에서 각 설정을 설명합니다.
| 설정 | 설명 |
|---|---|
| 역할 | 설정을 정의하는 역할의 이름입니다. |
| MFA 필요, 2단계 인증 | 적격 사용자가 MFA를 수행해야 하는지 여부, 역할을 활성화하기 전에 2단계 인증. |
| Microsoft가 권장하는 것은 MFA를 적용하는 것입니다. 특히 역할에 게스트 사용자가 있는 경우 모든 관리자 역할에 대한 2단계 인증입니다. | |
| 알림 | True로 설정하는 경우 자격이 있는 사용자가 해당 역할을 활성화하면 글로벌 관리자, 권한 있는 역할 관리자 및 조직의 보안 관리자가 이메일 알림을 받습니다. |
| 일부 조직에는 관리자 계정에 연결된 메일 주소가 없습니다. 메일 알림을 받으려면 관리자가 메일을 받을 수 있도록 대체 메일 주소를 설정해야 합니다. | |
| 인시던트 티켓 | 자격이 있는 사용자가 자신의 역할을 활성화할 때 인시던트 티켓 번호를 기록해야 하는지 여부입니다. 이 설정은 조직이 원치 않는 활성화를 완화하기 위해 내부 문제 번호를 통해 각 활성화를 식별하는 데 도움이 됩니다. |
| Microsoft 권장 사항은 인시던트 티켓 번호를 이용하여 PIM을 내부 시스템과 연결하는 것입니다. 이 방법은 활성화에 대한 컨텍스트가 필요한 승인자에게 특히 유용합니다. | |
| 승인 필요 | 자격이 있는 사용자가 역할을 활성화하기 위해 승인을 받아야 하는지 여부입니다. |
| Microsoft 권장 사항은 가장 많은 사용 권한을 가진 역할에 대해 승인을 설정하는 것입니다. 모든 PIM 고객의 사용 패턴을 기반으로 하여 전역 관리자, 사용자 관리자, Exchange 관리자, 보안 관리자 및 암호 관리자는 승인이 필요한 가장 일반적인 역할입니다. | |
| 승인자 | 자격이 있는 역할을 활성화하기 위해 승인이 필요한 경우 요청을 승인해야 하는 개인을 나열합니다. 기본적으로 PIM은 영구적인지 또는 자격 여부와 관계없이 권한 있는 역할 관리자인 모든 사용자에게 승인자를 설정합니다. |
| 사용자가 Microsoft Entra 역할 및 역할 승인자 모두에 적합한 경우, 사용자가 직접 승인할 수 없습니다. | |
| Microsoft 권장 사항은 전역 관리자보다는 특정 역할에 관하여 가장 잘 알고 해당 역할이 자주 필요한 개인을 승인자로 선택하는 것입니다. | |
| 활성화 기간 | 역할이 만료되기 전에 사용자가 해당 역할에서 활성화되는 기간입니다. |
| 영구 관리자 | 역할에 대한 영구 관리자인(활성화할 필요가 없는) 사용자의 목록입니다. |
| Microsoft 권장 사항은 글로벌 관리자를 제외한 모든 역할에 대해 현재 관리자를 할당하지 않는 것입니다. | |
| 활성 관리자 | Azure 리소스의 경우 활성 관리자는 역할을 사용하기 위해 활성화할 필요가 없는 사용자의 목록입니다. 목록의 관리자는 역할을 상실하는 만료 시간을 설정할 수 있으므로 Microsoft Entra 역할과 같이 영구 관리자라고 하지 않습니다. |
| 활성화 만료 | Azure 역할에 대한 활성 역할 할당은 구성된 기간이 지나면 만료됩니다. 15일, 1개월, 3개월, 6개월, 1년 또는 영구 활성 중에서 선택할 수 있습니다. |
| 자격 만료 | Azure 역할에 대한 적격 역할 할당은 해당 기간이 지나면 만료됩니다. 15일, 1개월, 3개월, 6개월, 1년 또는 영구 적격 중에서 선택할 수 있습니다. |