사용자 만들기 및 관리
Azure 리소스에 액세스해야 하는 모든 사용자에게 Azure 사용자 계정이 필요합니다. 사용자 계정에는 로그인 프로세스에서 인증하는 데 필요한 모든 정보가 포함됩니다. 인증되면 Microsoft Entra ID는 액세스 토큰을 빌드하여 사용자에게 권한을 부여하고, 액세스할 수 있는 리소스를 결정하며, 해당 리소스로 수행할 수 있는 작업을 결정합니다.
Microsoft Entra 관리 센터는 Microsoft Entra 제품을 위한 웹 기반 ID 포털입니다. 조직과 관리자가 중앙에서 Microsoft Entra 솔루션을 구성하고 관리할 수 있는 통합된 관리 환경을 제공합니다.
이 연습에서는 Microsoft Entra 관리 센터를 사용하여 사용자 개체를 처리합니다. 한 번에 하나의 디렉터리에서만 작업할 수 있지만, 디렉터리 + 구독 창을 사용하여 디렉터리를 전환할 수 있습니다.
사용자 보기
Microsoft Entra 사용자를 보려면 왼쪽 창에서 사용자를 선택한 다음 모든 사용자를 선택합니다. 모든 사용자 창이 나타납니다. 다음 스크린샷에 표시된 대로 사용자 유형 및 ID 열을 확인합니다.
일반적으로 Microsoft Entra ID는 다음 세 가지 방법으로 사용자를 정의합니다.
클라우드 ID: 이러한 사용자는 Microsoft Entra ID에만 존재합니다. 예를 들어 당신이 직접 관리하는 사용자와 관리자 계정이 여기에 해당합니다. 사용자가 다른 Microsoft Entra 인스턴스에 정의되어 있지만 이 디렉터리에서 제어하는 구독 리소스에 액세스해야 하는 경우 해당 원본은 Microsoft Entra ID 또는 외부 Microsoft Entra ID입니다. 이 계정은 주 디렉터리에서 제거할 경우 삭제됩니다.
디렉터리 동기화된 ID: 온-프레미스 Active Directory에 존재하는 사용자입니다. Microsoft Entra Connect를 통해 발생하는 동기화 작업은 이러한 사용자를 Azure로 가져옵니다. 해당 출처는 Windows Server AD입니다.
게스트 사용자: Azure 외부에 존재하는 사용자입니다. 예를 들어 다른 클라우드 공급자의 계정과 Microsoft 계정(Xbox LIVE 계정 등)이 여기에 해당합니다. 해당 출처는 초대된 사용자입니다. 이 계정 유형은 외부 공급업체나 계약자가 Azure 리소스에 액세스해야 하는 경우에 유용합니다. 더 이상 도움이 필요하지 않으면 계정과 모든 액세스 권한을 제거할 수 있습니다.
사용자 추가
여러 가지 방법으로 Microsoft Entra ID에 클라우드 ID를 추가할 수 있습니다.
- 온-프레미스 Windows Server Active Directory 동기화
- Microsoft Entra 관리 센터 사용
- Azure Portal 사용
- 명령줄 사용
- 기타 옵션
온-프레미스 Windows Server Active Directory 동기화
Microsoft Entra Connect는 기존 Active Directory를 Microsoft Entra 인스턴스와 동기화할 수 있는 별도의 서비스입니다. 대부분의 엔터프라이즈 고객은 이 방법으로 디렉터리에 사용자를 추가합니다. 이 방법은 사용자가 SSO(Single Sign-On)를 사용하여 로컬 및 클라우드 기반 리소스에 액세스할 수 있다는 이점이 있습니다.
Microsoft Entra 관리 센터 사용
Microsoft Entra 관리 센터를 통해 수동으로 새 사용자를 추가할 수 있습니다. 소규모 사용자 집합을 추가하는 가장 쉬운 방법입니다. 이 기능을 수행하려면 사용자 관리자 역할에 있어야 합니다.
새 사용자를 추가하려면 상단 메뉴 모음에서 새 사용자를 선택한 다음 새 사용자 만들기를 선택합니다.
이름과 사용자 이름 외에도 직위나 부서 등의 프로필 정보를 속성 탭에서 추가할 수 있습니다.
기본 동작은 조직에 새 사용자를 만드는 것입니다. 사용자는 디렉터리에 할당된 기본 도메인 이름을 포함하는 사용자 이름(예: alice@staracoustics.onmicrosoft.com)을 갖게 됩니다.
사용자를 디렉터리로 초대할 수도 있습니다. 이 경우 알려진 메일 주소로 메일이 전송되며, 초대를 수락하면 계정이 생성되어 해당 메일 주소와 연결됩니다.
초대된 사용자는 특정 이메일 주소가 연결되어 있지 않은 경우 연결된 MSA(Microsoft 계정)를 만들어야 하며 계정은 게스트 사용자로 Microsoft Entra ID에 추가됩니다.
명령줄 사용
추가할 사용자가 많은 경우 명령줄 도구를 사용하는 것이 더 좋습니다. New-MgUser PowerShell 명령을 실행하여 클라우드 기반 사용자를 추가할 수 있습니다.
# Create a password profile value
$PasswordProfile = @{ Password = "<Password>" }
# Create the new user
New-MgUser -DisplayName "Abby Brown" -PasswordProfile $PasswordProfile -MailNickName "AbbyB" -UserPrincipalName "AbbyB@contoso.com" -AccountEnabled
이 명령은 당신이 새로 만든 사용자 개체를 반환합니다.
DisplayName Id UserPrincipalName
----------- -- -----------------
Abby Brown f36634c8-8a93-4909-9248-0845548bc515 AbbyB@contoso.com
표준 명령줄 인터페이스를 선호하는 경우 Azure CLI를 사용할 수 있습니다.
az ad user create --display-name "Abby Brown" \
--password "<password>" \
--user-principal-name "AbbyB@contoso.com" \
--force-change-password-next-login true \
--mail-nickname "AbbyB"
명령줄 도구를 사용하면 스크립팅을 통해 사용자를 대량으로 추가할 수 있습니다. 이 작업을 위한 가장 일반적인 방법은 쉼표로 구분된 값(CSV) 파일을 사용하는 것입니다. 수동으로 파일을 만들거나, 기존 데이터 원본에서 파일을 내보낼 수 있습니다.
CSV를 사용하려는 경우 다음과 같은 몇 가지 사항을 고려해야 합니다.
명명 규칙:사용자 이름, 표시 이름 및 별칭에 대한 명명 규칙을 설정하거나 구현합니다. 예를 들어 사용자 이름은 성, 마침표(.), 이름순으로 구성될 수 있습니다(예: Smith.John@contoso.com).
암호: 새로 만든 사용자의 초기 암호에 대한 규칙을 구현합니다. 새 사용자가 보안이 강화된 방식으로 암호를 받는 방법을 결정합니다. 일반적으로 사용되는 방법은 임의 암호를 생성한 다음, 새 사용자나 관리자에게 메일로 보내는 것입니다.
Azure PowerShell에서 CSV를 사용하려면 다음을 수행합니다.
Connect-MgGraph 명령을 실행하여 디렉터리에 대한 PowerShell 연결을 만듭니다. 디렉터리에 대한 권한이 있는 관리자 계정으로 연결합니다.
새 사용자의 새로운 암호 프로필을 만듭니다. 새 사용자의 암호는 디렉터리에 대해 설정한 암호 복잡성 규칙을 준수해야 합니다.
Import-CSV를 사용하여 CSV를 가져옵니다. CSV의 경로와 파일 이름을 지정해야 합니다.파일의 사용자를 반복하여 각 사용자에게 필요한 사용자 매개 변수를 생성합니다. 매개 변수의 예로 사용자 계정 이름, 표시 이름, 이름, 부서, 직위 등이 있습니다.
New-MgUser명령을 실행하여 각 사용자를 만듭니다. 각 계정을 활성화해야 합니다.
기타 옵션
Microsoft Graph API를 사용하거나 동일한 디렉터리를 공유하는 경우 Microsoft 365 관리 센터 및 Microsoft Intune 관리 콘솔을 통해 프로그래밍 방식으로 Microsoft Entra ID에 사용자를 추가할 수도 있습니다.