다음을 통해 공유


PIM에서 Azure 리소스 및 Microsoft Entra 역할의 액세스 검토 만들기

사용자가 권한 있는 Azure 리소스 및 Microsoft Entra 역할에 액세스해야 하는 필요성은 시간이 지남에 따라 변합니다. 오래된 역할 할당과 관련된 위험을 줄이려면 주기적으로 액세스를 검토해야 합니다. Microsoft Entra PIM(Privileged Identity Management)을 사용하여 Azure 리소스 및 Microsoft Entra 역할에 대한 권한 있는 액세스에 대한 액세스 검토를 만들 수 있습니다. 자동으로 발생하는 정기 액세스 검토를 구성할 수도 있습니다. 이 문서에서는 하나 이상의 액세스 검토를 만드는 방법을 설명합니다.

필수 조건

Privileged Identity Management를 사용하려면 라이선스가 필요합니다. 라이선스에 관한 자세한 내용은 Microsoft Entra ID 거버넌스 라이선스 기본 사항을 참조하세요.

PIM 라이선스에 대한 자세한 내용은 Privileged Identity Management를 사용하기 위한 라이선스 요구 사항을 참조하세요.

Azure 리소스의 액세스 검토를 만들려면 Azure 리소스의 소유자 또는 사용자 액세스 관리자 역할에 할당되어야 합니다. Microsoft Entra 역할에 대한 액세스 검토를 만들려면 최소한 권한 있는 역할 관리자 역할을 할당받아야 합니다.

서비스 주체에 대한 액세스 검토를 사용하려면 Microsoft Entra ID P2 또는 Microsoft Entra ID Governance 라이선스 외에 Microsoft Entra 워크로드 ID 프리미엄 플랜이 필요합니다.

  • 워크로드 ID 프리미엄 라이선스: Microsoft Entra 관리 센터의 워크로드 ID 블레이드에서 라이선스를 확인하고 획득할 수 있습니다.

참고 항목

액세스 검토는 각 검토 인스턴스의 시작 부분에 액세스 스냅샷을 캡처합니다. 검토 프로세스 중에 변경된 사항은 후속 검토 주기에 반영됩니다. 기본적으로 새로운 되풀이가 시작될 때마다 사용자, 검토 중인 리소스 및 해당 검토자에 대한 관련 데이터가 검색됩니다.

액세스 검토 만들기

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.

  1. Microsoft Entra 관리 센터에 필수 구성 요소 역할 중 하나에 할당된 사용자로 로그인합니다.

  2. ID 거버넌스>Privileged Identity Management로 이동합니다.

  3. Microsoft Entra 역할의 경우 Microsoft Entra 역할을 선택합니다. Azure 리소스의 경우 Azure 리소스를 선택합니다.

    Microsoft Entra 관리 센터 스크린샷에서 ID 거버넌스를 선택합니다.

  4. Microsoft Entra 역할의 경우 관리에서 Microsoft Entra 역할을 다시 선택합니다. Azure 리소스의 경우 관리하려는 구독을 선택합니다.

  5. 관리에서 액세스 검토를 선택한 다음 새로 만들기를 선택하여 새 액세스 검토를 만듭니다.

    Microsoft Entra 역할 - 모든 검토 스크린샷의 상태를 보여 주는 액세스 검토 목록.

  6. 액세스 검토의 이름을 지정합니다. 필요한 경우 검토에 설명을 지정합니다. 이름 및 설명이 검토자에게 표시됩니다.

    액세스 검토 만들기 - 이름 및 설명 검토 스크린샷

  7. 시작 날짜를 설정합니다. 기본적으로 액세스 검토는 한 번 수행됩니다. 생성 시 시작되며 한 달 후에 끝납니다. 시작 날짜와 종료 날짜를 변경하여 액세스 검토를 나중에 시작하고 원하는 기간(일 수) 동안 지속할 수 있습니다.

    시작 날짜, 빈도, 기간, 종료, 횟수, 종료 날짜 스크린샷.

  8. 액세스 검토를 반복하려면 빈도 설정을 한 번에서 매주, 매월, 분기마다, 매년 또는 반년마다로 변경합니다. 검토 기간을 지정하려면 검토 기간 슬라이더 또는 텍스트 상자를 사용하세요. 예를 들어 검토가 겹치는 상황을 방지하기 위해 월별 검토에 대해 설정할 수 있는 최대 기간은 27일입니다.

  9. 종료 설정을 사용하여 되풀이 액세스 검토 시리즈를 종료하는 방법을 지정합니다. 이 시리즈는 세 가지 방법으로 끝날 수 있습니다. 연속적으로 실행되어 무기한, 특정 날짜까지 또는 정의된 수의 발생이 완료된 후 검토를 시작합니다. 사용자 또는 다른 전역 관리자는 해당 날짜에 종료되도록 설정에서 날짜를 변경하여 생성 후 시리즈를 중지할 수 있습니다.

  10. 사용자 범위 섹션에서 검토의 범위를 선택합니다. Microsoft Entra 역할의 경우 첫 번째 범위 옵션은 사용자 및 그룹입니다. 직접 할당된 사용자 및 역할 할당 가능 그룹 이 선택 항목에 포함됩니다. Azure 리소스 역할경우 첫 번째 범위는 Users입니다. Azure 리소스 역할에 할당된 그룹이 확장되어 이 선택 항목이 있는 검토에 전이적 사용자 할당을 표시합니다. 또한 서비스 주체를 선택하여 Azure 리소스 또는 Microsoft Entra 역할에 직접 액세스할 수 있는 컴퓨터 계정을 검토할 수도 있습니다.

    역할 멤버 자격을 검토할 사용자 범위 스크린샷.

  11. 또는 비활성 사용자에 대해서만 액세스 검토를 만들 수 있습니다. 사용자 범위 섹션에서 비활성 사용자(테넌트 수준)만true로 설정합니다. 토글이 true으로 설정되면 검토 범위는 비활성 사용자에게만 집중됩니다. 그런 다음 비활성화된 날짜를지정합니다. 최대 730일(2년)을 지정할 수 있습니다. 지정된 일 수 동안 비활성 상태였던 사용자만 검토의 대상입니다.

  12. 역할 멤버 자격 검토에서 검토할 권한이 있는 Azure 리소스 또는 Microsoft Entra 역할을 선택합니다.

    참고 항목

    둘 이상의 역할을 선택하면 여러 액세스 검토가 생성됩니다. 예를 들어 5개의 역할을 선택하면 별도의 액세스 검토가 5개 생성됩니다.

    역할 멤버 자격 검토 스크린샷

  13. 할당 유형에서 주체가 역할에 할당된 방식에 따라 검토 범위를 지정합니다. 적격 할당만을 선택하여 적격 할당(검토 생성 시 활성화 상태에 관계 없음)을 검토하거나 활성 할당만 활성 할당을 검토합니다. 유형에 관계없이 모든 할당을 검토하려면 모든 활성 및 적격 할당을 선택합니다.

    검토자 할당 유형 목록 스크린샷.

  14. 검토자 섹션에서 모든 사용자를 검토할 한 명 이상의 사용자를 선택합니다. 또는 구성원이 자신의 액세스 권한을 검토하도록 할 수도 있습니다.

    선택한 사용자 또는 멤버(자신)의 검토자 목록

    • 선택한 사용자 - 검토를 완료할 특정 사용자를 지정하려면 이 옵션을 사용합니다. 이 옵션은 검토 범위에 관계없이 사용할 수 있으며 선택한 검토자는 사용자, 그룹 및 서비스 주체를 검토할 수 있습니다.
    • 멤버(자신) - 사용자에게 자신의 역할 할당을 검토하게 하려면 이 옵션을 사용합니다. 이 옵션은 검토 범위가 사용자 및 그룹 또는 사용자로 지정된 경우에만 사용할 수 있습니다. Microsoft Entra 역할 에 대해 이 옵션을 선택하면 역할 할당 가능 그룹은 검토에 포함되지 않습니다.
    • 관리자 - 사용자의 관리자가 사용자의 역할 할당을 검토하도록 하려면 이 옵션을 사용합니다. 이 옵션은 검토 범위가 사용자 및 그룹 또는 사용자로 지정된 경우에만 사용할 수 있습니다. 관리자를 선택하면 대체 검토자를 지정할 수도 있습니다. 사용자가 디렉터리에 관리자를 지정하지 않은 경우 대체 검토자에게 사용자를 검토하라는 메시지가 표시됩니다. microsoft Entra 역할경우 역할 할당 가능 그룹이 선택된 경우 대체 검토자가 검토합니다.

설정 완료 시

  1. 검토가 완료된 후 수행할 작업을 지정하려면 완료 시 설정 섹션을 확장합니다.

    완료 시 자동 적용 설정과 검토자가 응답하지 않는 선택 사항을 보여 주는 스크린샷.

  2. 거부된 사용자에 대한 액세스를 자동으로 제거하려면 결과를 리소스에 자동 적용사용으로 설정합니다. 검토가 완료될 때 결과를 수동으로 적용하려면 스위치를 사용 안 함으로 설정합니다.

  3. 검토자가 목록에 응답하지 않는 경우 사용하여 검토 기간 내에 검토자가 검토하지 않는 사용자에 대해 수행되는 작업을 지정합니다. 이 설정은 이미 검토된 사용자에게 영향을 주지 않습니다.

    • 변경 없음 - 사용자의 액세스 권한을 그대로 유지
    • 액세스 권한 제거 - 사용자의 액세스 권한을 제거
    • 액세스 권한 승인 - 사용자의 액세스 권한을 승인
    • 권장 작업 수행 - 사용자의 지속적인 액세스를 거부할 것인지 아니면 승인할 것인지에 대한 시스템의 권장 사항을 수용
  4. 거부된 게스트 사용자에 적용할 작업 목록을 사용하여 거부된 게스트 사용자에 대해 수행할 작업을 지정합니다. 이 설정은 현재 Microsoft Entra ID 및 Azure 리소스 역할 검토에 대해 편집할 수 없습니다. 게스트 사용자는 모든 사용자와 마찬가지로 거부된 경우 항상 리소스에 대한 액세스 권한을 잃게 됩니다.

    설정 완료 시 - 거부된 게스트 사용자에 적용할 작업 스크린샷.

  5. 다른 사용자 또는 그룹에 알림을 보내 검토 완료 업데이트를 받을 수 있습니다. 이 기능을 사용하면 검토 작성자 이외의 관련자를 검토 진행 상황에서 업데이트할 수 있습니다. 이 기능을 사용하려면 사용자 또는 그룹 선택을 선택하고, 완료 상태 알림을 받을 사용자가나 그룹을 추가하세요.

    설정 완료 시 - 알림을 받을 사용자 추가 스크린샷.

고급 설정

  1. 더 많은 설정을 구성하려면 고급 설정 섹션을 확장합니다.

    권장 사항 표시, 승인, 메일 알림 및 미리 알림 시 이유 필요의 고급 설정 스크린샷

  2. 권장 사항 표시사용으로 설정하면 사용자의 액세스 정보에 따라 검토자에게 시스템 권장 사항이 표시됩니다. 권장은 30일 간격을 기반으로 합니다. 지난 30일 동안 로그인한 사용자는 액세스에 대한 권장 승인과 함께 표시되는 반면, 로그인하지 않은 사용자는 권장 액세스 거부와 함께 표시됩니다. 이러한 로그인은 대화형인지 여부와 관계가 없습니다. 사용자의 마지막 로그인도 권장 사항과 함께 표시됩니다.

  3. 승인 시 이유 필요사용으로 설정하면 검토자가 승인 이유를 입력해야 합니다.

  4. 메일 알림사용으로 설정하면 Microsoft Entra ID는 액세스 검토가 시작될 때 검토자에게 이메일 알림을 보내고 검토가 완료될 때 관리자에게 이메일 알림을 보냅니다.

  5. 미리 알림을 설정하여 Microsoft Entra ID가 진행 중인 액세스 검토에 대한 미리 알림을 검토를 완료하지 않은 검토자에게 보낼 수 있도록 사용하도록 하십시오.

  6. 검토자에게 보낸 전자 메일의 콘텐츠는 검토 이름, 리소스 이름, 기한 등과 같은 검토 세부 정보에 따라 자동으로 생성됩니다. 검토자에게 추가 지침이나 연락처 정보 등 추가 정보를 전달하려면, 이러한 세부 정보를 검토자 이메일에 대한 추가 콘텐츠로 지정할 수 있으며, 이는 할당된 검토자에게 전송되는 초대 및 알림 이메일에 포함됩니다. 강조 표시된 섹션은 이 정보가 표시되는 위치입니다.

    강조 표시된 검토자에게 보낸 이메일 콘텐츠

액세스 검토 관리

검토자가 액세스 검토의 개요 페이지에서 검토를 완료하는 진행 상황을 추적할 수 있습니다. 액세스 권한은 검토가 완료될 때까지 디렉터리에서 변경되지 않습니다. Microsoft Entra 역할에 대한 액세스 검토 세부 정보를 보여 주는 액세스 검토 개요 페이지 스크린샷.

"액세스 검토를 완료한 후에는 Azure 리소스 및 Microsoft Entra 역할 검토 완료의 단계를 따라 결과를 보고 적용합니다."

일련의 액세스 검토를 관리하는 경우 액세스 검토로 이동한 후 예정된 검토에서 예정된 항목을 찾아서 종료 날짜를 편집하거나 그에 따라 검토자를 추가/제거합니다.

설정 완료 시에 대한 선택에 따라 검토의 종료 날짜 후 또는 수동으로 검토를 중지하면 자동 적용이 실행됩니다. 검토 상태는 완료됨에서 적용 등의 중간 상태를 거쳐 결국 적용된상태로 변경됩니다. 거부된 사용자(있는 경우)가 몇 분 내에 역할에서 제거되는 것을 볼 수 있어야 합니다.

액세스 검토에서 Microsoft Entra 역할 및 Azure 리소스 역할에 할당된 그룹이 미치는 영향

Microsoft Entra 역할의 경우 역할 할당 가능 그룹을 사용하여 역할 할당 가능 그룹을 역할에 할당할 수 있습니다. 역할 할당 가능 그룹이 할당된 Microsoft Entra 역할에 대한 검토가 만들어지면 그룹 멤버 자격을 확장하지 않고 그룹 이름이 검토에 표시됩니다. 검토자는 역할에 대한 전체 그룹의 액세스 권한을 승인하거나 거부할 수 있습니다. 거부된 그룹은 검토 결과가 적용될 때 역할에 대한 할당을 잃게 됩니다.

Azure 리소스 역할의 경우 모든 보안 그룹을 역할에 할당할 수 있습니다. 보안 그룹이 할당된 Azure 리소스 역할에 대한 검토가 만들어지면 역할 검토자는 그룹의 멤버 자격에 대한 완전히 확장된 보기를 볼 수 있습니다. 검토자가 보안 그룹을 통해 역할에 할당된 사용자를 거부하는 경우 사용자는 그룹에서 제거되지 않습니다. 그룹이 다른 Azure 또는 비 Azure 리소스와 공유될 수 있기 때문입니다. 관리자는 액세스 거부로 인한 변경 내용을 구현해야 합니다.

참고 항목

보안 그룹에 할당된 다른 그룹이 있을 수 있습니다. 이 경우 역할에 할당된 보안 그룹에 직접 할당된 사용자만 역할 검토에 표시됩니다.

액세스 검토 업데이트

하나 이상의 액세스 검토가 시작된 후 기존 액세스 검토의 설정을 수정하거나 업데이트할 수 있습니다. 고려해야 할 몇 가지 일반적인 시나리오는 다음과 같습니다.

  • 검토자 추가 및 제거 - 액세스 검토를 업데이트할 때 기본 검토자 외에 대체 검토자를 추가할 수 있습니다. 액세스 검토를 업데이트할 때 기본 검토자를 제거할 수 있습니다. 그러나 대체 검토자는 의도적으로 제거할 수 없습니다.

    참고 항목

    검토자 유형이 관리자인 경우에만 대체 검토자를 추가할 수 있습니다. 검토자 유형이 선택된 사용자인 경우 기본 검토자를 추가할 수 있습니다.

  • 검토자에게 미리 알림 - 액세스 검토를 업데이트할 때 고급 설정에서 미리 알림 옵션을 사용하도록 설정할 수 있습니다. 사용하도록 설정하면 사용자는 검토 기간의 중간 지점에서 이메일 알림을 받습니다. 검토자는 검토를 완료했는지 여부에 관계없이 알림을 받습니다.

    액세스 검토 설정 아래 미리 알림 옵션 스크린샷.

  • 설정 업데이트 - 액세스 검토가 반복되는 경우 “현재” 및 “시리즈” 아래에 개별 설정이 있습니다. “현재” 아래 설정을 업데이트하면 현재 액세스 검토의 변경 내용만 적용되지만, “시리즈” 아래 설정을 업데이트하면 모든 이후 반복에 해당하는 설정이 업데이트됩니다.

    액세스 검토 아래 설정 페이지 스크린샷

다음 단계