Microsoft Entra ID의 그룹을 사용하여 액세스 제어 보호
Microsoft Entra ID를 사용하면 그룹을 사용하여 조직의 리소스에 대한 액세스를 관리할 수 있습니다. 액세스 제어에 그룹을 사용하여 애플리케이션에 대한 액세스를 관리하고 최소화합니다. 그룹을 사용하는 경우 해당 그룹의 멤버만 리소스에 액세스할 수 있습니다. 그룹을 사용하면 다음과 같은 관리 기능도 사용할 수 있습니다.
- 특성 기반 동적 멤버 자격 그룹
- 온-프레미스 Active Directory에서 동기화된 외부 그룹
- 관리자 관리 또는 셀프 서비스 관리 그룹
액세스 제어를 위한 그룹의 이점에 대해 자세히 알아보려면 애플리케이션에 대한 액세스 관리를 참조하세요.
애플리케이션을 개발하는 동안 그룹 클레임으로 액세스 권한을 부여합니다. 자세한 내용은 Microsoft Entra ID를 사용하여 애플리케이션에 대한 그룹 클레임 구성 방법을 참조하세요.
현재 많은 애플리케이션은 확장 문제를 피하기 위해, 즉 토큰에서 반환되는 그룹 수를 줄이기 위해 securityEnabled 플래그가 true로 설정된 그룹의 하위 집합을 선택합니다. 그룹에 대해 securityEnabled 플래그를 true로 설정한다고 해서 그룹이 안전하게 관리되는 것은 아닙니다.
위험 완화를 위한 모범 사례
다음 표에는 보안 그룹에 대한 몇 가지 보안 모범 사례와 각 사례가 완화하는 잠재적 보안 위험이 나와 있습니다.
| 보안 모범 사례 | 보안 위험 완화 |
|---|---|
리소스 소유자와 그룹 소유자가 동일한 주체인지 확인합니다. 애플리케이션은 고유한 그룹 관리 환경을 빌드하고 액세스를 관리할 새 그룹을 만들어야 합니다. 예를 들어 애플리케이션은 Group.Create 권한이 있는 그룹을 만들고 자신을 그룹 소유자로 추가합니다. 이러한 방식으로 애플리케이션은 테넌트의 다른 그룹을 수정할 수 있는 권한 없이 해당 그룹을 제어할 수 있습니다. |
그룹 소유자와 리소스 소유자가 다른 엔터티인 경우 그룹 소유자는 리소스에 액세스하지 않아야 하지만 의도치 않게 액세스할 수 있는 사용자를 그룹에 추가할 수 있습니다. |
| 리소스 소유자와 그룹 소유자 간의 암시적 계약을 빌드합니다. 리소스 소유자와 그룹 소유자는 리소스에 대한 액세스 권한을 가져오기 위해 그룹에 추가할 수 있는 그룹 목적, 정책 및 멤버에 맞춰 조정해야 합니다. 이 신뢰 수준은 비기술적이며 인간 또는 비즈니스 계약에 의존합니다. | 그룹 소유자와 리소스 소유자가 의도가 다른 경우 그룹 소유자는 리소스 소유자가 액세스 권한을 부여할 의도가 없는 그룹에 사용자를 추가할 수 있습니다. 이 작업으로 인해 불필요하고 잠재적으로 위험한 액세스가 발생할 수 있습니다. |
| 액세스 제어를 위해 프라이빗 그룹을 사용합니다. Microsoft 365 그룹은 표시 유형 개념으로 관리됩니다. 이 속성은 그룹의 조인 정책과 그룹 리소스의 표시 유형을 제어합니다. 보안 그룹에는 누구나 조인을 허용하거나 소유자 승인을 요구하는 조인 정책이 있습니다. 온-프레미스 동기화 그룹은 공용 또는 프라이빗일 수도 있습니다. 온-프레미스 동기화 그룹에 가입한 사용자는 클라우드 리소스에도 액세스할 수 있습니다. | 액세스 제어를 위해 공용 그룹을 사용하면 모든 멤버가 그룹에 조인하고 리소스에 액세스할 수 있습니다. 공용 그룹을 사용하여 외부 리소스에 대한 액세스 권한을 부여하면 권한 상승의 위험이 있습니다. |
| 그룹 중첩. 액세스 제어에 그룹을 사용하고 다른 그룹이 멤버로 있는 경우 하위 그룹의 멤버는 리소스에 액세스할 수 있습니다. 이 경우 부모 그룹과 하위 그룹의 소유자가 여러 명입니다. | 각 그룹의 목적과 이러한 그룹에 올바른 멤버를 추가하는 방법에 따라 여러 그룹 소유자와 정렬하는 것은 더 복잡하고 실수로 액세스 권한을 부여하기 쉽습니다. 중첩된 그룹의 수를 제한하거나 가능하면 사용하지 마세요. |