Microsoft Entra ID에서는 모든 사용자에게 일련의 기본 권한이 부여됩니다. 사용자의 액세스는 사용자 유형, 역할 할당 및 개별 개체의 소유권으로 구성됩니다.
이 문서에서는 이러한 기본 권한에 대해 설명하고, 멤버와 게스트 사용자 기본값을 비교합니다. 기본 사용자 권한은 Microsoft Entra ID의 사용자 설정에서만 변경할 수 있습니다.
구성원 및 게스트 사용자
기본 권한 집합은 사용자가 테넌트의 기본 구성원(구성원 사용자)인지 아니면 B2B(Business-to-Business) 협업 게스트(게스트 사용자)와 같은 다른 디렉터리에서 가져온 사용자인지에 따라 달라집니다. 게스트 사용자를 추가하는 방법에 대한 자세한 내용은 Microsoft Entra B2B 협업이란?을 참조하세요. 기본 권한의 기능은 다음과 같습니다.
멤버 사용자는 애플리케이션을 등록하고, 자신의 프로필 사진 및 휴대폰 번호를 관리하고, 자신의 암호를 변경하고, B2B 게스트를 초대할 수 있습니다. 이러한 사용자는 몇 가지 예외를 제외하고 모든 디렉터리 정보를 읽을 수도 있습니다.
게스트 사용자에게 는 제한된 디렉터리 권한이 있습니다. 자신의 프로필을 관리하고, 자신의 암호를 변경하고, 다른 사용자, 그룹, 앱에 대한 일부 정보를 검색할 수 있습니다. 그러나 모든 디렉터리 정보를 읽을 수는 없습니다.
예를 들어 게스트 사용자는 모든 사용자, 그룹, 기타 디렉터리 개체의 목록을 열거할 수 없습니다. 게스트를 관리자 역할에 추가하여 모든 읽기 및 쓰기 권한을 부여할 수 있습니다. 게스트가 다른 게스트를 초대할 수도 있습니다.
멤버 및 게스트 기본 권한 비교
| 지역 | 멤버 사용자 권한 | 기본 게스트 사용자 권한 | 제한된 게스트 사용자 권한 |
|---|---|---|---|
| 사용자 및 연락처 |
|
|
|
| 그룹 |
|
|
|
| 애플리케이션 |
|
|
|
| 장치 |
|
사용 권한 없음 | 사용 권한 없음 |
| 조직 |
|
|
|
| 역할 및 범위 |
|
사용 권한 없음 | 사용 권한 없음 |
| Abunələr |
|
사용 권한 없음 | 사용 권한 없음 |
| 정책 |
|
사용 권한 없음 | 사용 권한 없음 |
| 사용 약관 | 사용자가 수락한 사용 약관을 읽습니다. | 사용자가 수락한 사용 약관을 읽습니다. | 사용자가 수락한 사용 약관을 읽습니다. |
멤버 사용자의 기본 권한 제한
제한을 사용자의 기본 권한에 추가할 수 있습니다.
멤버 사용자의 기본 권한은 다음과 같은 방법으로 제한할 수 있습니다.
주의
Microsoft Entra 관리 포털 스위치에 대한 액세스 제한은 보안 조치가 아닙니다. 기능에 대한 자세한 내용은 다음 표를 참조하세요.
| 허가 | 설정 설명 |
|---|---|
| 애플리케이션 등록 | 이 옵션을 아니요 로 설정하면 사용자가 애플리케이션 등록을 만들 수 없습니다. 특정 개인을 애플리케이션 개발자 역할에 추가하여 권한을 다시 부여할 수 있습니다. |
| 사용자가 LinkedIn을 사용하여 회사 또는 학교 계정을 연결할 수 있도록 허용 | 이 옵션을 아니요로 설정하면 사용자가 회사 또는 학교 계정을 LinkedIn 계정과 연결할 수 없습니다 . 자세한 내용은 LinkedIn 계정 연결 데이터 공유 및 동의를 참조하세요. |
| 보안 그룹 만들기 | 이 옵션을 아니요 로 설정하면 사용자가 보안 그룹을 만들 수 없습니다. 최소 사용자 관리자 역할이 할당된 사용자는 여전히 보안 그룹을 만들 수 있습니다. 방법을 알아보려면 그룹 설정을 구성하기 위한 Microsoft Entra cmdlet을 참조하세요. |
| Microsoft 365 그룹 만들기 | 이 옵션을 아니요 로 설정하면 사용자가 Microsoft 365 그룹을 만들 수 없습니다. 이 옵션을 Some 로 설정하면 사용자 집합이 Microsoft 365 그룹을 만들 수 있습니다. 사용자 관리자 역할이 적어도 할당된 사용자는 Microsoft 365 그룹을 만들 수 있습니다. 방법을 알아보려면 그룹 설정을 구성하기 위한 Microsoft Entra cmdlet을 참조하세요. |
| Microsoft Entra 관리 포털에 대한 액세스 제한 |
이 스위치는 무엇을 합니까? 관리자가 아닌 사용자가 Microsoft Entra 관리 포털을 검색할 수 없습니다. 예 관리자가 아닌 사용자가 Microsoft Entra 관리 포털을 검색하지 못하도록 제한합니다. 그룹 또는 애플리케이션의 소유자이면서 관리자가 아닌 사용자는 Azure Portal을 사용하여 본인이 소유한 리소스를 관리할 수 없습니다.
그것은 무엇을 하지 않나요?
이 스위치는 언제 사용해야 하나요?
이 스위치는 언제 사용하지 않아야 하나요?
관리자가 아닌 특정 사용자에게 Microsoft Entra 관리 포털을 사용할 수 있는 권한을 부여하려면 어떻게 해야 하나요?
Microsoft Entra 관리 포털에 대한 액세스 제한 |
| 관리자가 아닌 사용자가 테넌트 만들기를 제한 | 사용자는 테넌트 관리 아래의 Microsoft Entra ID 및 Microsoft Entra 관리 포털에서 테넌트를 만들 수 있습니다. 테넌트 만들기는 감사 로그에 DirectoryManagement 범주 및 회사 만들기 활동으로 기록됩니다. 기본적으로 Microsoft Entra 테넌트를 만드는 사용자에게는 전역 관리자 역할이 자동으로 할당됩니다. 새로 만든 테넌트는 설정이나 구성을 상속하지 않습니다.
이 스위치는 무엇을 합니까?
관리자가 아닌 특정 사용자에게 새 테넌트를 만들 수 있는 권한을 부여하려면 어떻게 해야 하나요? |
| 사용자가 자신의 소유 디바이스에 대해 BitLocker 키를 복구하지 못하도록 제한 | 이 설정은 디바이스 설정의 Microsoft Entra 관리 센터에서 찾을 수 있습니다. 이 옵션을 Yes 로 설정하면 사용자가 자신의 소유 디바이스에 대해 BitLocker 키를 셀프 서비스 복구할 수 없게 됩니다. BitLocker 키를 검색하려면 사용자가 조직의 지원 센터에 문의해야 합니다. 이 옵션을 아니요 로 설정하면 사용자가 BitLocker 키를 복구할 수 있습니다. |
| 다른 사용자의 내용을 읽기 | 이 설정은 Microsoft Graph 및 PowerShell에서만 사용할 수 있습니다. 이 플래그를 $false(으)로 설정하면 관리자가 아닌 모든 사용자가 디렉터리에서 사용자 정보를 읽을 수 없습니다. 이 플래그는 Microsoft Teams와 같은 다른 Microsoft 서비스에서 사용자 정보를 읽지 못하게 할 수 있습니다.특수한 상황을 위한 설정이므로 플래그를 |
다음 스크린샷에는 비관리자 사용자가 테넌트를 만들 수 없도록 제한 옵션이 표시됩니다.
게스트 사용자의 기본 권한 제한
게스트 사용자의 기본 권한은 다음과 같은 방법으로 제한할 수 있습니다.
참고 항목
게스트 사용자 액세스 제한 설정으로 대체된 게스트 사용자 권한은 제한된 설정입니다. 이 기능을 사용하는 방법에 대한 지침은 Microsoft Entra ID에서 게스트 액세스 권한 제한(Restrict guest access permissions)을 참조하세요.
| 허가 | 설정 설명 |
|---|---|
| 게스트 사용자 액세스 제한 | 이 옵션을 게스트 사용자로 설정하면 멤버가 기본적으로 게스트 사용자에게 모든 멤버 사용자 권한을 부여하는 것과 동일한 액세스 권한이 있습니다. 이 옵션을 게스트 사용자 액세스로 설정하면 자체 디렉터리 개체의 속성 및 멤버 자격으로 제한 되며 게스트 액세스는 기본적으로 자체 사용자 프로필로만 제한됩니다. 사용자 계정 이름, 개체 ID 또는 표시 이름으로 검색하는 경우에도 다른 사용자에 대한 액세스는 더 이상 허용되지 않습니다. 그룹 멤버 자격을 포함한 그룹 정보에 대한 액세스도 더 이상 허용되지 않습니다. 이 설정은 Microsoft Teams와 같은 일부 Microsoft 365 서비스에서 조인된 그룹에 대한 액세스를 차단하지 않습니다. 자세한 내용은 Microsoft Teams 게스트 액세스를 참조하세요. 이 권한 설정과 관계없이 게스트 사용자를 관리자 역할에 계속 추가할 수 있습니다. |
| 게스트는 초대할 수 있습니다. | 이 옵션을 예 로 설정하면 게스트가 다른 게스트를 초대할 수 있습니다. 자세한 내용은 외부 공동 작업 설정 구성을 참조하세요. |
개체 소유권
애플리케이션 등록 소유자 권한
사용자가 애플리케이션을 등록하면 자동으로 해당 사용자가 해당 애플리케이션의 소유자로 추가됩니다. 소유자는 애플리케이션의 메타데이터(예: 앱에서 요청하는 이름 및 권한)를 관리할 수 있습니다. 또한 애플리케이션의 테넌트별 구성(예: SSO(Single Sign-On) 구성 및 사용자 할당)도 관리할 수 있습니다.
소유자는 다른 소유자를 추가하거나 제거할 수도 있습니다. 최소 애플리케이션 관리자 역할이 할당된 사용자와 달리 소유자는 자신이 소유한 애플리케이션만 관리할 수 있습니다.
엔터프라이즈 애플리케이션 소유자 권한
사용자가 새 엔터프라이즈 애플리케이션을 추가하면 자동으로 해당 사용자가 소유자로 추가됩니다. 소유자로서 SSO 구성, 프로비전, 사용자 할당 등, 애플리케이션의 테넌트 특정 구성도 관리할 수 있습니다.
소유자는 다른 소유자를 추가하거나 제거할 수도 있습니다. 최소 애플리케이션 관리자 역할이 할당된 사용자와 달리 소유자는 자신이 소유한 애플리케이션만 관리할 수 있습니다.
그룹 소유자 권한
사용자가 그룹을 만들면 자동으로 해당 그룹의 소유자로 추가됩니다. 소유자는 그룹 속성(예: 이름)과 그룹 멤버 자격을 관리할 수 있습니다.
소유자는 다른 소유자를 추가하거나 제거할 수도 있습니다. 적어도 그룹 관리자 역할이 할당된 사용자와 달리 소유자는 자신이 소유한 그룹만 관리할 수 있으며 그룹의 멤버 자격 유형이 할당된 경우에만 그룹 구성원을 추가하거나 제거할 수 있습니다.
그룹 소유자를 할당하려면 그룹의 소유자 관리를 참조하세요.
PIM(Privileged Access Management)을 사용하여 그룹을 역할 할당에 적합한 그룹으로 만들려면 Microsoft Entra 그룹을 사용하여 역할 할당을 관리하세요.
소유권 권한
다음 표에서는 멤버 사용자가 소유한 개체에 대해 가지고 있는 Microsoft Entra ID의 특정 사용 권한을 설명합니다. 사용자는 자신이 소유한 개체에 대해서만 이러한 권한을 가집니다.
소유한 애플리케이션 등록
사용자가 수행할 수 있는 소유한 애플리케이션에 대한 작업은 다음과 같습니다.
| 행동 | 묘사 |
|---|---|
| microsoft.directory/응용프로그램/청중/업데이트 | Microsoft Entra ID에서 applications.audience 속성을 업데이트합니다. |
| Microsoft.Directory/애플리케이션/인증/업데이트 | Microsoft Entra ID에서 applications.authentication 속성을 업데이트합니다. |
| microsoft.directory/응용 프로그램/기본/업데이트 | Microsoft Entra ID에서 애플리케이션의 기본 속성을 업데이트합니다. |
| Microsoft 디렉터리/애플리케이션/자격 증명/업데이트 (microsoft.directory/applications/credentials/update) | Microsoft Entra ID에서 applications.credentials 속성을 업데이트합니다. |
| Microsoft.Directory/애플리케이션/삭제 | Microsoft Entra ID에서 애플리케이션을 삭제합니다. |
| Microsoft 디렉토리/애플리케이션/소유자/업데이트 | Microsoft Entra ID에서 applications.owners 속성을 업데이트합니다. |
| Microsoft.Directory/응용 프로그램/권한/업데이트 | Microsoft Entra ID에서 applications.permissions 속성을 업데이트합니다. |
| Microsoft.Directory/애플리케이션/정책/업데이트 | Microsoft Entra ID에서 applications.policies 속성을 업데이트합니다. |
| Microsoft.Directory/응용 프로그램/복원 | Microsoft Entra ID에서 애플리케이션을 복원합니다. |
소유한 엔터프라이즈 애플리케이션
사용자는 소유한 엔터프라이즈 애플리케이션에 대해 다음 작업을 수행할 수 있습니다. 엔터프라이즈 애플리케이션은 서비스 주체, 하나 이상의 애플리케이션 정책 및 경우에 따라 서비스 주체와 동일한 테넌트에 있는 애플리케이션 개체로 구성됩니다.
| 행동 | 묘사 |
|---|---|
| microsoft.directory/auditLogs/allProperties/읽기 | Microsoft Entra ID의 감사 로그에서 모든 속성(권한 속성 포함)을 읽습니다. |
| Microsoft.Directory/정책/기본/업데이트 | Microsoft Entra ID의 정책에 대한 기본 속성을 업데이트합니다. |
| Microsoft.Directory/정책/삭제 | Microsoft Entra ID에서 정책을 삭제합니다. |
| Microsoft.Directory/정책/소유자/업데이트 | Microsoft Entra ID에서 policies.owners 속성을 업데이트합니다. |
| microsoft.directory/servicePrincipals/appRoleAssignedTo/update | Microsoft Entra ID에서 servicePrincipals.appRoleAssignedTo 속성을 업데이트합니다. |
| microsoft.directory/servicePrincipals/appRoleAssignments/업데이트 | Microsoft Entra ID에서 users.appRoleAssignments 속성을 업데이트합니다. |
| microsoft.directory/servicePrincipals/audience/update | Microsoft Entra ID에서 servicePrincipals.audience 속성을 업데이트합니다. |
| microsoft.directory/servicePrincipals/authentication/update (서비스 주체 인증 업데이트) | Microsoft Entra ID에서 servicePrincipals.authentication 속성을 업데이트합니다. |
| microsoft.directory/servicePrincipals/basic/업데이트 | Microsoft Entra ID의 서비스 주체에 대한 기본 속성을 업데이트합니다. |
| microsoft.directory/servicePrincipals/credentials/update (microsoft 디렉토리/서비스 주체/자격 증명/업데이트) | Microsoft Entra ID에서 servicePrincipals.credentials 속성을 업데이트합니다. |
| microsoft.directory/servicePrincipals/삭제 | Microsoft Entra ID에서 서비스 주체를 삭제합니다. |
| microsoft.directory/servicePrincipals/owners/update (서비스 주체 소유자 업데이트) | Microsoft Entra ID에서 servicePrincipals.owners 속성을 업데이트합니다. |
| 마이크로소프트 디렉토리/서비스 주체/권한/업데이트 | Microsoft Entra ID에서 servicePrincipals.permissions 속성을 업데이트합니다. |
| microsoft.directory/servicePrincipals/policies/update | Microsoft Entra ID에서 servicePrincipals.policies 속성을 업데이트합니다. |
| microsoft.directory/signInReports/allProperties/read (모두 읽기 권한) | Microsoft Entra ID의 로그인 보고서에서 모든 속성(권한 속성 포함)을 읽습니다. |
| microsoft.directory/서비스Principal/동기화자격증명관리/관리 | 애플리케이션 프로비저닝 비밀 및 자격 증명 관리 |
| Microsoft 디렉터리/서비스 주체/동기화 작업/관리 | 애플리케이션 프로비전 동기화 작업 시작, 다시 시작, 일시 중지 |
| microsoft.directory/servicePrincipals/synchronizationSchema/manage | 애플리케이션 프로비전 동기화 작업과 스키마 만들기 및 관리 |
| microsoft.directory/servicePrincipals/동기화/기준/읽기 | 서비스 주체와 연결된 프로비저닝 설정 읽기 |
소유 디바이스
사용자가 수행할 수 있는 소유한 디바이스에 대한 작업은 다음과 같습니다.
| 행동 | 묘사 |
|---|---|
| microsoft.directory/devices/bitLockerRecoveryKeys/read | Microsoft Entra ID에서 devices.bitLockerRecoveryKeys 속성을 참조하세요. |
| Microsoft.Directory/devices/사용 안 함 | Microsoft Entra ID에서 디바이스를 사용하지 않도록 설정합니다. |
소유 그룹
사용자는 소유 그룹에 대해 다음 작업을 수행할 수 있습니다.
참고 항목
동적 멤버 자격 그룹의 소유자가 동적 멤버 자격 그룹의 규칙을 편집하려면 그룹 관리자, Intune 관리자 또는 사용자 관리자 역할이 있어야 합니다. 자세한 내용은 Microsoft Entra ID에서 동적 멤버 자격 그룹 만들기 또는 업데이트를 참조하세요.
| 행동 | 묘사 |
|---|---|
| microsoft.directory/groups/appRoleAssignments/업데이트 | Microsoft Entra ID에서 groups.appRoleAssignments 속성을 업데이트합니다. |
| microsoft.directory/groups/basic/업데이트 | Microsoft Entra ID의 그룹에 대한 기본 속성을 업데이트합니다. |
| 마이크로소프트 디렉토리/그룹/삭제 | Microsoft Entra ID에서 그룹을 삭제합니다. |
| microsoft.디렉터리/그룹/멤버/업데이트 | Microsoft Entra ID에서 groups.members 속성을 업데이트합니다. |
| microsoft.디렉터리/그룹/소유자/업데이트 | Microsoft Entra ID에서 groups.owners 속성을 업데이트합니다. |
| microsoft.directory/groups/복원 | Microsoft Entra ID에서 그룹을 복원합니다. |
| Microsoft.Directory/그룹/설정/업데이트 | Microsoft Entra ID에서 groups.settings 속성을 업데이트합니다. |
다음 단계
게스트 사용자 액세스 제한 설정에 대한 자세한 내용은 Microsoft Entra ID에서 게스트 액세스 권한 제한을 참조하세요.
Microsoft Entra 관리자 역할을 할당하는 방법에 대한 자세한 내용은 Microsoft Entra ID의 관리자 역할에 사용자 할당을 참조하세요.
Microsoft Azure에서 리소스 액세스를 제어하는 방법에 대한 자세한 내용은 Azure의 리소스 액세스 이해를 참조하세요.