액세스 검토에서 그룹 및 애플리케이션의 액세스 검토 완료
관리자는 그룹 또는 애플리케이션에 대한 액세스 검토를 만들고 검토자는 액세스 검토를 수행합니다. 이 문서에서는 액세스 검토 결과를 보고 적용하는 방법에 대해 설명합니다.
참고 항목
이 문서에서는 디바이스 또는 서비스에서 개인 데이터를 삭제하는 방법에 대한 단계를 제공하며 GDPR에 따라 의무를 지원하는 데 사용할 수 있습니다. GDPR에 대한 일반정인 정보는 Microsoft Trust Center의 GDPR 섹션 및 Service Trust 포털의 GDPR 섹션을 참조하세요.
필수 조건
- Microsoft Entra ID P2 또는 Microsoft Entra ID Governance
- 그룹 및 애플리케이션에 대한 검토 액세스를 관리하는 전역 관리자, 사용자 관리자 또는 ID 거버넌스 관리자입니다. 전역 관리자 역할 또는 권한 있는 역할 관리자 역할이 있는 사용자는 역할 할당 가능 그룹의 검토를 관리할 수 있습니다. 다음을 참조하세요. Microsoft Entra 그룹을 사용하여 역할 할당 관리
- 보안 읽기 권한자에게 읽기 액세스 권한이 있습니다.
자세한 내용은 다음을 참조하세요. 라이선스 요구 사항.
액세스 검토 상태 보기
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.
다음 단계를 수행하여 완료된 액세스 검토의 진행률을 추적합니다.
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>액세스 검토로 이동합니다.
목록에서 액세스 검토를 선택합니다.
개요 페이지에서 검토의 현재 인스턴스의 진행 상황을 볼 수 있습니다. 당시 활성 인스턴스가 열려 있지 않으면 이전 인스턴스에 대한 정보가 표시됩니다. 액세스 권한은 검토가 완료될 때까지 디렉터리에서 변경되지 않습니다.
현재 아래의 모든 블레이드는 각 검토 인스턴스 기간 동안에만 볼 수 있습니다.
참고 항목
현재 액세스 검토에는 활성 검토 인스턴스에 대한 정보만 표시되지만 예약 검토 섹션에서 시리즈에서 아직 진행되지 않은 검토에 대한 정보를 얻을 수 있습니다.
결과 페이지는 중지, 재설정 및 결과 다운로드 기능을 포함하여 인스턴스에서 검토 중인 각 사용자에 대한 추가 정보를 제공합니다.
Microsoft 365 그룹에서 게스트 액세스를 검토하는 액세스 검토를 보는 경우 개요 창에 검토의 각 그룹이 나열됩니다.
그룹을 선택하면 해당 그룹에 대한 검토 진행 상황을 볼 수 있으며 중지, 초기화, 적용 및 삭제도 수행할 수 있습니다.
예약된 종료 날짜에 도달하기 전에 액세스 검토를 중지하려면 중지 단추를 선택합니다.
검토를 중지하면 검토자가 더 이상 응답을 제공할 수 없습니다. 중단한 검토는 다시 시작할 수 없습니다.
액세스 검토에 더 이상 관심이 없으면 삭제 단추를 클릭하여 삭제할 수 있습니다.
다단계 검토 상태 보기(미리 보기)
다단계 액세스 검토의 상태 및 단계를 보려면 다음을 수행합니다.
상태를 확인하려는 다단계 검토를 선택하거나 어떤 단계에 있는지 확인합니다.
현재 아래 왼쪽 탐색 메뉴에서 결과를 선택합니다.
결과 페이지에 있으면 상태 아래에 다단계 검토가 진행 중인 단계가 표시됩니다. 액세스 검토 설정 중에 지정된 기간이 지나면 검토의 다음 단계가 활성화되지 않습니다.
결정이 내려졌지만 이 단계의 검토 기간이 아직 만료되지 않은 경우 결과 페이지에서 현재 스테이지 중지 단추를 선택할 수 있습니다. 그러면 다음 검토 단계가 트리거됩니다.
결과 검색
검토 결과를 보려면 결과 페이지를 선택합니다. 사용자의 액세스 권한만 보려면 검색 상자에 액세스가 검토된 사용자의 표시 이름 또는 사용자 계정 이름을 입력합니다.
되풀이되는 액세스 검토의 완료된 인스턴스의 결과를 보려면 기록 검토을 선택한 다음, 인스턴스의 시작 및 종료 날짜를 기준으로 완료된 액세스 검토 인스턴스 목록에서 특정 인스턴스를 선택합니다. 이 인스턴스의 결과는 결과 페이지에서 얻을 수 있습니다. 반복 액세스 검토를 사용하면 일회성 액세스 검토보다 더 자주 업데이트해야 할 수 있는 리소스에 대한 액세스에 대한 일정한 그림을 가질 수 있습니다.
진행 중이거나 완료된 액세스 검토 결과를 검색하려면 다운로드 단추를 선택합니다. 결과 CSV 파일은 Excel 또는 UTF-8로 인코딩된 CSV 파일을 열 수 있는 다른 프로그램에서 볼 수 있습니다.
프로그래밍 방식으로 결과 검색
Microsoft Graph 또는 PowerShell을 사용하여 액세스 검토 결과를 검색할 수도 있습니다.
먼저 액세스 검토의 인스턴스를 찾아야 합니다. accessReviewScheduleDefinition이 되풀이 액세스 검토인 경우 인스턴스는 각 되풀이를 나타냅니다. 되풀이되지 않는 검토에는 정확히 하나의 인스턴스가 있습니다. 또한 인스턴스는 일정 정의에서 검토 중인 각 고유 그룹을 나타냅니다. 일정 정의가 여러 그룹을 검토하는 경우 각 그룹에는 각 되풀이에 대한 고유한 인스턴스가 있습니다. 모든 인스턴스에는 검토자가 조치를 취할 수 있는 결정 목록이 포함되어 있으며, ID당 하나의 결정이 검토됩니다.
인스턴스를 식별한 후 Graph를 사용하여 결정을 검색하려면 Graph API를 호출하여 인스턴스의 결정을 나열합니다. 인스턴스가 다단계 검토인 경우 Graph API를 호출하여 다단계 액세스 검토의 결정을 나열합니다. 호출자는 위임된 AccessReview.Read.All
또는 AccessReview.ReadWrite.All
권한이 있는 애플리케이션의 적절한 역할을 가진 사용자이거나 AccessReview.Read.All
또는 AccessReview.ReadWrite.All
애플리케이션 권한이 있는 애플리케이션이어야 합니다. 자세한 내용은 보안 그룹 검토 방법에 대한 자습서를 참조하세요.
ID 거버넌스용 Microsoft Graph PowerShell cmdlet 모듈의 Get-MgIdentityGovernanceAccessReviewDefinitionInstanceDecision
cmdlet을 사용하여 PowerShell에서 결정을 검색할 수도 있습니다. 이 API의 기본 페이지 크기는 100개 의사 결정 항목입니다.
변경 내용 적용
완료 시 설정에서 선택한 내용에 따라 리소스에 결과를 자동 적용할 수 있는 경우 검토 인스턴스가 완료되면 자동 적용하거나 검토를 수동으로 중지하는 경우 이전 버전에서 자동 적용을 실행합니다.
검토에 대해 결과를 리소스에 자동 적용이 설정되지 않은 경우 검토 기간이 종료되거나 검토가 조기에 중단된 후 시리즈 아래의 검토 기록으로 이동하여 적용하려는 검토의 인스턴스를 선택합니다.
변경 내용을 수동으로 적용하려면 적용을 선택합니다. 검토에서 사용자의 액세스가 거부된 경우 적용을 선택하면 Microsoft Entra ID에서 해당 멤버 자격 또는 애플리케이션 할당을 제거합니다.
검토 상태는 완료됨에서 적용 중과 같은 중간 상태를 거쳐 마지막으로 결과 적용됨 상태로 변경됩니다. 거부된 사용자(있는 경우)가 몇 분 내에 그룹 구성원 자격 또는 애플리케이션 할당에서 제거되는 것을 볼 수 있어야 합니다.
수동 또는 자동으로 결과를 적용해도 온-프레미스 디렉터리에서 시작된 그룹에는 영향을 미치지 않습니다. 온-프레미스에서 시작된 그룹을 변경하려면 결과를 다운로드하고 이러한 변경 내용을 해당 디렉터리의 그룹 표시에 적용합니다.
참고 항목
일부 거부된 사용자는 결과를 적용할 수 없습니다. 이러한 상황이 발생할 수 있는 시나리오는 다음과 같습니다.
- 동기화된 온-프레미스 Windows Server AD 그룹의 멤버 자격 검토: 그룹이 온-프레미스 Windows Server AD에서 동기화되는 경우 Microsoft Entra ID에서 그룹을 관리할 수 없으므로 멤버 자격을 변경할 수 없습니다.
- 중첩된 그룹이 할당된 리소스(역할, 그룹, 애플리케이션) 검토: 중첩된 그룹을 통해 멤버 자격이 있는 사용자의 경우 중첩된 그룹에 대한 멤버 자격을 제거하지 않으므로 검토 중인 리소스에 대한 액세스 권한은 유지됩니다.
- 사용자를 찾을 수 없음/기타 오류로 인해 적용 결과가 지원되지 않을 수도 있습니다.
- 메일 사용 가능 그룹 멤버 자격 확인: Microsoft Entra ID에서는 해당 그룹을 관리할 수 없으므로 멤버 자격 변경이 불가능합니다.
- 그룹 할당을 사용하는 애플리케이션을 검토해도 해당 그룹의 멤버는 제거되지 않으므로 애플리케이션 할당에 대한 그룹 관계의 기존 액세스 권한이 보존됩니다.
액세스 검토에서 거부된 게스트 사용자에 대한 작업
검토를 만들 때 작성자는 액세스 검토에서 거부된 게스트 사용자에 대해 두 가지 옵션 중에서 선택할 수 있습니다.
- 거부된 게스트 사용자는 리소스에 대한 액세스 권한을 제거할 수 있습니다. 이 설정이 기본값입니다.
- 거부된 게스트 사용자는 30일 동안 로그인을 차단한 후 테넌트에서 삭제할 수 있습니다. 30일 동안 게스트 사용자는 관리자가 테넌트에 대한 액세스를 복원할 수 있습니다. 30일 기간이 완료된 후 게스트 사용자에게 부여된 리소스에 대한 액세스 권한이 다시 부여되지 않으면 해당 사용자는 테넌트에서 영구적으로 제거됩니다. 또한 전역 관리자는 Microsoft Entra 관리 센터를 사용하여 해당 기간에 도달하기 전에 명시적으로 최근 삭제된 사용자를 영구적으로 삭제할 수 있습니다. 사용자가 영구적으로 삭제되면 해당 게스트 사용자에 대한 데이터가 활성 액세스 검토에서 제거됩니다. 삭제된 사용자에 대한 감사 정보는 감사 로그에 남아 있습니다.
거부된 B2B 직접 연결 사용자에 대한 작업
거부된 B2B 직접 연결 사용자 및 팀은 팀의 모든 공유 채널에 액세스할 수 없습니다.