Microsoft Entra ID의 역할 기반 액세스 제어 개요
이 문서에서는 Microsoft Entra 역할 기반 액세스 제어를 이해하는 방법을 설명합니다. Microsoft Entra 역할을 사용하면 최소 권한 원칙을 준수하여 관리자에게 세분화된 권한을 부여할 수 있습니다. Microsoft Entra 기본 제공 및 사용자 지정 역할은 Azure 리소스(Azure 역할)에 대한 역할 기반 액세스 제어 시스템을
- Microsoft Entra 역할은 Microsoft Graph API를 사용하여 사용자, 그룹 및 애플리케이션과 같은 Microsoft Entra 리소스에 대한 액세스를 제어합니다.
- Azure 역할은 Azure Resource Management를 사용하여 가상 머신 또는 스토리지와 같은 Azure 리소스에 대한 액세스를 제어합니다.
두 시스템 모두 유사하게 사용되는 역할 정의 및 역할 할당을 포함합니다. 그러나 Microsoft Entra 역할 권한은 Azure 사용자 지정 역할에서 사용할 수 없으며 그 반대의 경우도 마찬가지입니다.
Microsoft Entra 역할 기반 액세스 제어 이해
Microsoft Entra ID는 다음 두 가지 유형의 역할 정의를 지원합니다.
기본 제공 역할은 사용 권한이 고정된 역할입니다. 이러한 역할 정의는 수정할 수 없습니다. Microsoft Entra ID에서 지원하는 많은
사용자 지정 역할 정의(또는 기본 제공 역할 사용)를 만든 후에는 역할 할당을 만들어 사용자에게 할당할 수 있습니다. 역할 할당은 사용자에게 지정된 범위의 역할 정의에 대한 권한을 부여합니다. 이 2단계 프로세스를 사용하면 단일 역할 정의를 만들고 여러 범위에서 여러 번 할당할 수 있습니다. 범위는 역할 멤버가 액세스할 수 있는 Microsoft Entra 리소스 집합을 정의합니다. 가장 일반적인 범위는 조직 전체 수준 범위입니다. 사용자 지정 역할은 조직 전체 범위에서 할당할 수 있습니다. 즉, 역할 멤버는 조직의 모든 리소스에 대한 역할 권한을 갖습니다. 개체 범위에서 사용자 지정 역할을 할당할 수도 있습니다. 개체 범위의 예로는 단일 애플리케이션이 있습니다. 조직의 모든 애플리케이션을 통해 한 사용자에게 동일한 역할을 할당한 다음, Contoso Expense Reports 앱의 범위만 있는 다른 사용자에게 동일한 역할을 할당할 수 있습니다.
Microsoft Entra ID에서 사용자가 리소스에 액세스할 수 있는지 확인하는 방법
다음은 Microsoft Entra ID가 관리 리소스에 대한 액세스 권한이 있는지 확인하는 데 사용하는 개략적인 단계입니다. 이 정보를 사용하여 액세스 문제를 해결합니다.
- 사용자(또는 서비스 주체)가 Microsoft Graph 엔드포인트에 대한 토큰을 획득합니다.
- 사용자가 발급된 토큰을 사용하여 Microsoft Graph를 통해 Microsoft Entra ID에 대한 API 호출을 합니다.
- 상황에 따라 Microsoft Entra ID는 다음 작업 중 하나를 수행합니다.
- 사용자의 액세스 토큰에 있는 wids 클레임을 기반으로 사용자의 역할 멤버십을 평가합니다.
- 직접 또는 그룹 멤버 자격을 통해 사용자에게 적용되는 모든 역할 할당을 작업이 수행되는 리소스에 대해 검색합니다.
- Microsoft Entra ID는 API 호출의 작업이 사용자가 이 리소스에 대해 가지고 있는 역할에 포함되는지 여부를 결정합니다.
- 사용자에게 요청된 범위에서 작업이 있는 역할이 없으면 액세스 권한이 부여되지 않습니다. 그렇지 않으면 액세스 권한이 부여됩니다.
역할 할당
Microsoft Entra 리소스에서 역할 할당은 범위에서 보안 주체에 역할 정의을 연결하여 Microsoft Entra 리소스에 대한 액세스 권한을 부여하는 것입니다. 역할 할당을 만들어 액세스 권한을 부여하고 역할 할당을 제거하여 액세스 권한을 취소합니다. 역할 할당의 핵심은 다음 세 가지 요소로 구성됩니다.
- 보안 주체 - 권한을 받는 신원입니다. 사용자, 그룹 또는 서비스 주체일 수 있습니다.
- 역할 정의 - 권한 컬렉션입니다.
- 범위 - 해당 사용 권한을 적용할 수 있는 위치를 제한하는 방법입니다.
역할 할당을
다음 다이어그램은 역할 할당의 예를 보여줍니다. 이 예제에서 Chris는 Contoso 위젯 작성기 앱 등록 범위에서 앱 등록 관리자 사용자 지정 역할이 할당되었습니다. 할당은 Chris에게 이 특정 앱 등록에 대해서만 앱 등록 관리자 역할의 권한을 부여합니다.
보안 주체
보안 주체는 Microsoft Entra 리소스에 대한 액세스 권한이 할당된 사용자, 그룹 또는 서비스 주체를 나타냅니다. 사용자는 Microsoft Entra ID에 사용자 프로필이 있는 개인입니다. 그룹은 역할 할당 가능 그룹설정된 새 Microsoft 365 또는 보안 그룹입니다. 서비스 주체는 애플리케이션, 호스트 서비스 및 자동화 도구와 함께 Microsoft Entra 리소스에 액세스하도록 만들어진 ID입니다.
역할 정의
역할 정의 또는 역할은 권한 컬렉션입니다. 역할 정의에는 만들기, 읽기, 업데이트 및 삭제와 같은 Microsoft Entra 리소스에서 수행할 수 있는 작업이 나열됩니다. Microsoft Entra ID에는 두 가지 유형의 역할이 있습니다.
- Microsoft에서 만든, 변경할 수 없는 기본 제공 역할입니다.
- 조직에서 만들고 관리하는 사용자 지정 역할입니다.
범위
범위는 역할 할당의 일부로 허용된 작업을 특정 리소스 집합으로 제한하는 방법입니다. 예를 들어 개발자에게 사용자 지정 역할을 할당하려는 경우 특정 애플리케이션 등록만 관리하려면 특정 애플리케이션 등록을 역할 할당의 범위로 포함할 수 있습니다.
역할을 할당할 때 다음 범위 유형 중 하나를 지정합니다.
- 임차인
- 관리 단위
- Microsoft Entra 리소스
Microsoft Entra 리소스를 범위로 지정하는 경우 다음 중 하나일 수 있습니다.
- Microsoft Entra 그룹
- 엔터프라이즈 애플리케이션
- 애플리케이션 등록
컨테이너 범위, 예를 들어 테넌트나 관리 단위에 역할이 할당되면, 해당 역할은 컨테이너 자체가 아닌 그 안에 포함된 개체에 대한 권한을 부여합니다. 반대로 리소스 범위에 역할이 할당되면 리소스 자체에 대한 사용 권한을 부여하지만 그 이상으로 확장되지는 않습니다(특히 Microsoft Entra 그룹의 구성원으로 확장되지 않음).
자세한 내용은 Microsoft Entra 역할 할당을 참조하세요.
역할 할당 옵션
Microsoft Entra ID는 역할을 할당하기 위한 여러 옵션을 제공합니다.
- 역할을 할당하는 기본 방법인 사용자에게 직접 역할을 할당할 수 있습니다. 기본 제공 및 사용자 지정 Microsoft Entra 역할은 액세스 요구 사항에 따라 사용자에게 할당할 수 있습니다. 자세한 내용은 Microsoft Entra 역할 할당을 참조하세요.
- Microsoft Entra ID P1을 사용하면 역할 할당 가능 그룹을 만들고 이러한 그룹에 역할을 할당할 수 있습니다. 개인 대신 그룹에 역할을 할당하면 역할에서 사용자를 쉽게 추가하거나 제거할 수 있으며 그룹의 모든 멤버에 대해 일관된 권한을 만듭니다. 자세한 내용은 Microsoft Entra 역할 할당을 참조하세요.
- Microsoft Entra ID P2를 사용하면 Microsoft Entra PIM(Microsoft Entra Privileged Identity Management)을 사용하여 역할에 대한 Just-In-Time 액세스를 제공할 수 있습니다. 이 기능을 사용하면 영구 액세스 권한을 부여하는 대신 역할이 필요한 사용자에게 시간 제한 액세스 권한을 부여할 수 있습니다. 또한 자세한 보고 및 감사 기능도 제공합니다. 자세한 내용은 privileged Identity ManagementMicrosoft Entra 역할 할당
참조하세요.
라이선스 요구 사항
Microsoft Entra ID에서 기본 제공 역할을 사용하는 것은 무료입니다. 사용자 지정 역할을 사용하려면 사용자 지정 역할 할당이 있는 모든 사용자에 대해 Microsoft Entra ID P1 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 일반 공급되는 무료 및 프리미엄 버전 기능 비교를 참조하세요.