Microsoft Entra 역할 구성 및 관리

  • 7분

Microsoft Entra ID는 Microsoft의 클라우드 기반 ID 및 액세스 관리 서비스로, 직원이 로그인하고 리소스에 액세스할 수 있도록 합니다.

  • Microsoft 365, Azure Portal, 수천 개의 기타 SaaS 애플리케이션 등의 외부 리소스.
  • 조직에서 자체 개발한 클라우드 앱과 함께 회사 네트워크와 인트라넷의 앱 같은 내부 리소스.

Microsoft Entra ID는 누가 사용하나요?

Microsoft Entra ID는 다음 사용자를 위한 것입니다.

  • IT 관리자 - IT 관리자는 Microsoft Entra ID를 사용하여 비즈니스 요구 사항에 따라 앱 및 앱 리소스에 대한 액세스를 제어할 수 있습니다. 예를 들어 Microsoft Entra ID를 사용하여 중요한 조직 리소스에 액세스할 때 다단계 인증을 요구할 수 있습니다. 또한 Microsoft Entra ID를 사용하여 기존 Windows Server AD와 Microsoft 365를 비롯한 클라우드 앱 간에 사용자 프로비전을 자동화할 수 있습니다. 마지막으로 Microsoft Entra ID는 사용자 ID 및 자격 증명을 자동으로 보호하고 액세스 거버넌스 요구 사항을 충족하는 데 도움이 되는 강력한 도구를 제공합니다.
  • 앱 개발자 - 앱 개발자는 앱에 SSO(Single Sign-On)를 추가하여 사용자의 기존 자격 증명과 함께 사용할 수 있는 표준 기반 접근 방식으로 Microsoft Entra ID를 사용할 수 있습니다. Microsoft Entra ID는 조직의 기존 데이터를 사용하여 맞춤형 앱 환경을 빌드할 수 있는 API도 제공합니다.
  • Microsoft 365, Office 365, Azure 또는 Dynamics CRM 온라인 구독자 - 여러분은 구독자로서 이미 Microsoft Entra ID를 사용하고 있습니다. 각 Microsoft 365, Office 365, Azure 및 Dynamics CRM Online 테넌트는 자동으로 Microsoft Entra ID 테넌트가 됩니다. 통합 클라우드 앱에 대한 액세스를 즉시 관리할 수 있습니다.

Microsoft Entra ID에서 사용자 중 한 명에게 Microsoft Entra 리소스를 관리할 수 있는 권한이 필요한 경우 필요한 권한을 제공하는 역할에 할당해야 합니다.

Azure를 처음 접하는 경우 Azure의 다양한 역할을 모두 이해하기가 약간 힘들 수 있습니다. 다음 섹션에서는 다음 역할을 설명하고 Azure 역할 및 Microsoft Entra 역할에 대한 추가 정보를 제공합니다.

  • 클래식 구독 관리자 역할
  • Azure 역할
  • Microsoft Entra 역할

Microsoft Entra 역할

Microsoft Entra 역할은 디렉터리에서 Microsoft Entra 리소스를 관리하는 데 사용됩니다. 사용자 만들기 또는 편집과 같은 작업이 가장 일반적입니다. 그러나 다른 사용자에게 관리 역할을 할당하고, 사용자 암호를 재설정하고, 사용자 라이선스를 관리하고, 도메인을 관리해야 하는 것이 일반적입니다. 다음 표는 Microsoft Entra 역할 가운데 좀 더 중요한 몇 가지를 설명합니다.

Microsoft Entra 역할 권한 참고
전역 관리자 Microsoft Entra ID의 모든 관리 기능 및 Microsoft Entra ID에 페더레이션되는 서비스에 대한 액세스 관리 Microsoft Entra 테넌트에 등록하는 사람이 첫 번째 전역 관리자가 됩니다.
다른 사람에게 관리자 역할 할당
모든 사용자 및 다른 관리자의 암호 다시 설정
사용자 관리자 사용자 및 그룹과 관련된 모든 것을 만들고 관리
지원 티켓 관리
서비스 상태 모니터링
사용자, 기술 지원팀 관리자 및 다른 사용자 관리자의 암호 변경
대금 청구 관리자 구매
구독 관리
지원 티켓 관리
서비스 상태 모니터링

Azure Portal의 역할 및 관리자 화면에서 Microsoft Entra 역할 목록을 볼 수 있습니다.

Azure Portal의 Microsoft Entra ID 관리 메뉴에 있는 역할 및 관리자 창의 Azure AD 역할의 스크린샷

Azure 역할과 Microsoft Entra 역할의 차이점

간단히 말하면 Azure 역할은 Azure 리소스를 관리하는 권한을 제어하고, Microsoft Entra 역할은 Microsoft Entra 리소스를 관리하는 권한을 제어합니다. 다음 표에서는 몇 가지 차이점을 비교합니다.

Azure 역할 Microsoft Entra 역할
Azure 리소스에 대한 액세스 관리 Microsoft Entra 리소스에 대한 액세스 관리
사용자 지정 역할 지원 사용자 지정 역할 지원
여러 수준(관리 그룹, 구독, 리소스 그룹, 리소스)에서 범위를 지정할 수 있음 범위가 테넌트 수준에 있거나 관리 단위에 적용할 수 있음
Azure Portal, Azure CLI, Azure PowerShell, Azure Resource Manager 템플릿, REST API에서 역할 정보에 액세스 가능 Azure 관리 포털, Microsoft 365 관리 센터, Microsoft Graph 및 PowerShell에서 액세스할 수 있는 역할 정보

Azure 역할과 Microsoft Entra 역할이 겹치나요?

기본적으로 Azure 역할과 Microsoft Entra 역할은 Azure와 Microsoft Entra ID를 포괄하지 않습니다. 그러나 전역 관리자가 Azure Portal에서 Azure 리소스에 대한 액세스 관리 스위치를 선택하여 액세스 권한을 높이면 전역 관리자에게 특정 테넌트의 모든 구독에 대한 사용자 액세스 관리자 역할(Azure 역할)이 부여됩니다. 사용자 액세스 관리자 역할은 사용자가 다른 사용자에게 Azure 리소스에 대한 액세스 권한을 부여할 수 있게 해줍니다. 이 스위치는 구독에 대한 액세스 권한을 다시 얻고자 할 때 유용하게 사용할 수 있습니다.

여러 Microsoft Entra 역할이 Microsoft Entra ID와 Microsoft 365(예: 전역 관리자 및 사용자 관리자 역할)를 포괄합니다. 예를 들어 전역 관리자 역할의 구성원은 Microsoft Entra ID와 Microsoft 365에서 Microsoft Exchange와 Microsoft SharePoint를 변경하는 등의 전역 관리자 기능이 있습니다. 그러나 기본적으로 전역 관리자는 Azure 리소스에 액세스할 수 없습니다.

Azure 역할과 Microsoft Entra 역할의 관계 다이어그램 Azure 테넌트에서 액세스할 수 있는 Azure 역할 Microsoft Entra ID 및 Microsoft 365에서도 액세스할 수 있는 Microsoft Entra 역할

역할 할당

Microsoft Entra ID 내에서 역할을 할당하는 방법에는 여러 가지가 있습니다. 요구 사항에 가장 적합한 방법을 선택해야 합니다. 사용자 인터페이스는 방법마다 약간 다를 수 있지만, 구성 옵션은 비슷합니다. 역할을 할당하는 방법은 다음과 같습니다.

  • 사용자 또는 그룹에 역할 할당

    • Microsoft Entra ID - 역할 및 관리 - 역할 선택 - + 할당 추가

  • 역할에 사용자 또는 그룹 할당

    • Microsoft Entra ID - 사용자(또는 그룹) 열기 - 사용자(또는 그룹) 선택 - 할당된 역할 - + 할당 추가

  • 구독, 리소스 그룹 또는 관리 그룹과 같은 광범위한 범위에 역할 할당

    • 각 설정 화면 내의 액세스 제어(IAM)를 통해 수행

  • PowerShell 또는 Microsoft Graph API를 사용하여 역할 할당

  • PIM(Privileged Identity Management)을 사용하여 역할 할당

구성 요구 사항에 가장 적합한 방법을 사용할 수 있지만, 기본 제공 제한이 없으므로 주의해야 합니다. 관리 권한이 필요 없는 사용자가 있는 그룹에 실수로 관리 역할을 할당할 가능성이 있습니다. 추가 사용 권한을 통해 적절한 지식이 없는 사용자가 솔루션을 수정하거나 공격자에게 공격 기회를 허용할 수 있습니다. 적절한 ID 거버넌스가 핵심입니다.

예제 - PIM을 사용하여 역할 할당

사용자에게 Microsoft Entra 역할을 할당하는 일반적인 방법은 사용자에게 할당된 역할 페이지를 사용하는 것입니다. 또한 PIM(Privileged Identity Management)을 사용하여 사용자 자격이 Just-In-Time 역할로 승격되도록 구성할 수 있습니다.

참고 항목

Microsoft Entra ID Premium P2 라이선스 플랜이 있고 PIM을 이미 사용하는 경우 모든 역할 관리 작업은 Privileged Identity Management 환경에서 수행됩니다. 이 기능은 현재 한 번에 하나의 역할만 할당하도록 제한되어 있습니다. 현재는 여러 역할을 선택하여 한 사용자에게 한 번에 할당할 수 없습니다.

전역 관리자 권한이 할당되고 프리미언 P2 라이선스가 있는 사용자를 위한 Privileged Identity Manager 스크린샷

Microsoft Entra ID에서 사용자 지정 역할 만들기 및 할당

이 섹션에서는 Microsoft Entra ID에서 사용자 지정 역할을 새로 만드는 방법을 설명합니다. 사용자 지정 역할의 기본 사항은 사용자 지정 역할 개요를 참조하세요. 역할은 디렉터리 수준 범위 또는 앱 등록 리소스 범위에서만 할당할 수 있습니다.

사용자 지정 역할은 Microsoft Entra ID 개요 페이지의 역할 및 관리자 탭에서 만들 수 있습니다.

  1. Microsoft Entra ID - 역할 및 관리자 - 새 사용자 지정 역할을 선택합니다.

    역할 및 관리자 페이지의 사용자 지정 역할 생성 또는 편집 스크린샷

  2. 기본 탭에서 역할의 이름과 설명을 입력한 후, 다음을 선택합니다.

    기본 탭 스크린샷. 기본 탭에서 사용자 지정 역할의 이름 및 설명을 제공합니다.

  3. 권한 탭에서 앱 등록의 기본 속성 및 자격 증명 속성을 관리하는 데 필요한 권한을 선택합니다.

  4. 먼저 검색 창에 "자격 증명"을 입력하고 microsoft.directory/applications/credentials/update 권한을 선택합니다.

    권한 탭의 사용자 지정 역할에 대한 권한 선택을 보여 주는 스크린샷

  5. 그런 다음, 검색 창에 "기본"을 입력하고 microsoft.directory/applications/basic/update권한을 선택한 후, 다음을 선택합니다.

  6. 검토 + 만들기 탭에서 권한을 검토하고 만들기를 선택합니다.

사용자 지정 역할이 할당할 수 있는 역할 목록에 표시됩니다.