다음을 통해 공유

PIM에서 Azure 리소스 및 Microsoft Entra 역할의 액세스 검토 만들기

사용자가 권한 있는 Azure 리소스 및 Microsoft Entra 역할에 액세스해야 하는 필요성은 시간이 지남에 따라 변합니다. 오래된 역할 할당과 관련된 위험을 줄이려면 주기적으로 액세스를 검토해야 합니다. Microsoft Entra PIM(Privileged Identity Management)을 사용하여 Azure 리소스 및 Microsoft Entra 역할에 대한 권한 있는 액세스에 대한 액세스 검토를 만들 수 있습니다. 자동으로 발생하는 정기 액세스 검토를 구성할 수도 있습니다. 이 문서에서는 하나 이상의 액세스 검토를 만드는 방법을 설명합니다.

필수 조건

Privileged Identity Management를 사용하려면 라이선스가 필요합니다. 라이선스에 대한 자세한 내용은 Microsoft Entra ID 거버넌스 라이선스 기본 사항을 참조하세요 .

PIM에 대한 라이선스에 대한 자세한 내용은 Privileged Identity Management를 사용하기 위한 라이선스 요구 사항을 참조하세요.

Azure 리소스에 대한 액세스 검토를 만들려면 Azure 리소스에 대한 소유자 또는 사용자 액세스 관리자 역할에 할당되어야 합니다. Microsoft Entra 역할에 대한 액세스 검토를 만들려면 최소한 권한 있는 역할 관리자 역할이 할당되어야 합니다.

서비스 주체에 대한 액세스 검토를 사용하려면 Microsoft Entra ID P2 또는 Microsoft Entra ID 거버넌스 라이선스 외에 Microsoft Entra 워크로드 ID 프리미엄 플랜이 필요합니다.

  • 워크로드 ID 프리미엄 라이선스: Microsoft Entra 관리 센터의 워크로드 ID 블레이드 에서 라이선스를 보고 획득할 수 있습니다.

참고 항목

액세스 검토는 각 검토 인스턴스의 시작 부분에 액세스 스냅샷을 캡처합니다. 검토 프로세스 중에 변경된 사항은 후속 검토 주기에 반영됩니다. 기본적으로 새로운 되풀이가 시작될 때마다 사용자, 검토 중인 리소스 및 해당 검토자에 대한 관련 데이터가 검색됩니다.

액세스 검토 만들기

  1. 필수 구성 요소 역할 중 하나에 할당된 사용자로 Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>Privileged Identity Management으로 이동합니다.

  3. Microsoft Entra 역할을 선택하려면 Microsoft Entra 역할을 선택합니다. Azure 리소스의 경우 Azure 리소스를 선택합니다.

    Microsoft Entra 관리 센터 스크린샷에서 ID 거버넌스를 선택합니다.

  4. Microsoft Entra 역할의 경우 관리에서 Microsoft Entra 역할을 다시 선택합니다. Azure 리소스의 경우 관리하려는 구독을 선택합니다.

  5. 관리에서 액세스 검토를 선택한 다음 새로 만들기를 선택하여 새 액세스 검토를 만듭니다.

    Microsoft Entra 역할 - 모든 검토의 상태를 보여 주는 액세스 검토 목록 스크린샷입니다.

  6. 액세스 검토의 이름을 지정합니다. 필요한 경우 검토에 설명을 지정합니다. 이름 및 설명이 검토자에게 표시됩니다.

    액세스 검토 만들기 - 검토 이름 및 설명의 스크린샷

  7. 시작 날짜를 설정합니다. 기본적으로 액세스 검토는 한 번 수행됩니다. 생성 시 시작되며 한 달 후에 끝납니다. 시작 날짜와 종료 날짜를 변경하여 액세스 검토를 나중에 시작하고 원하는 기간(일 수) 동안 지속할 수 있습니다.

    시작 날짜, 빈도, 기간, 종료, 횟수 및 종료 날짜 스크린샷

  8. 액세스 검토를 되풀이하려면 빈도 설정을 한 번 에서 매주, 매월, 분기별, 매년 또는 반기 단위로 변경합니다. 기간 슬라이더 또는 텍스트 상자를 사용하여 검토 기간을 지정합니다. 예를 들어 검토가 겹치는 상황을 방지하기 위해 월별 검토에 대해 설정할 수 있는 최대 기간은 27일입니다.

  9. 설정을 사용하여 되풀이 액세스 검토 시리즈를 종료하는 방법을 지정합니다. 이 시리즈는 세 가지 방법으로 끝날 수 있습니다. 연속적으로 실행되어 무기한, 특정 날짜까지 또는 정의된 수의 발생이 완료된 후 검토를 시작합니다. 사용자 또는 검토를 관리할 수 있는 다른 관리자는 설정에서 날짜를 변경하여 만든 후 해당 날짜에 종료되도록 계열을 중지할 수 있습니다.

  10. 사용자 범위 섹션에서 검토 범위를 선택합니다. Microsoft Entra 역할의 경우 첫 번째 범위 옵션은 사용자 및 그룹입니다. 직접 할당된 사용자 및 역할 할당 가능 그룹이 이 선택에 포함됩니다. Azure 리소스 역할의 경우 첫 번째 범위는 사용자입니다. Azure 리소스 역할에 할당된 그룹이 확장되어 이 선택 항목이 있는 검토에 전이적 사용자 할당을 표시합니다. 서비스 주체를 선택하여 Azure 리소스 또는 Microsoft Entra 역할에 직접 액세스할 수 있는 컴퓨터 계정을 검토할 수도 있습니다.

    사용자가 스크린샷의 역할 멤버 자격을 검토할 수 있는 범위입니다.

  11. 또는 비활성 사용자에 대해서만 액세스 검토를 만들 수 있습니다. 사용자 범위 섹션에서 비활성 사용자(테넌트 수준)만true로 설정합니다. 토글이 true로 설정된 경우 검토 범위는 비활성 사용자에만 중점을 둡니다. 그런 다음 , 비활성 일수를 지정합니다. 최대 730일(2년)을 지정할 수 있습니다. 지정된 일 수 동안 비활성 상태였던 사용자만 검토의 대상입니다.

  12. 역할 멤버 자격 검토에서 검토할 권한 있는 Azure 리소스 또는 Microsoft Entra 역할을 선택합니다.

    참고 항목

    둘 이상의 역할을 선택하면 여러 액세스 검토가 생성됩니다. 예를 들어 5개의 역할을 선택하면 별도의 액세스 검토가 5개 생성됩니다.

    역할 멤버 자격 검토 스크린샷

  13. 할당 유형에서 주체가 그 역할에 할당된 방식에 따라 검토 범위를 지정합니다. 적격 할당만 선택하여 활성화 상태에 관계없이 적격 할당을 검토하거나, 활성 할당만 선택하여 활성 할당을 검토합니다. 모든 할당을 유형에 관계없이 검토하려면 모든 활성 및 적격 할당을 선택합니다.

    검토자 과제 유형 목록 스크린샷

  14. 검토자 섹션에서 하나 이상의 사용자를 선택하여 모든 사용자를 검토합니다. 또는 구성원이 자신의 액세스 권한을 검토하도록 할 수도 있습니다.

    선택한 사용자 또는 구성원의 검토자 목록(자체)

    • 선택한 사용자 - 검토를 완료할 특정 사용자를 지정하려면 이 옵션을 사용합니다. 이 옵션은 검토 범위에 관계없이 사용할 수 있으며 선택한 검토자는 사용자, 그룹 및 서비스 주체를 검토할 수 있습니다.
    • 멤버(자체) - 사용자가 자신의 역할 할당을 검토하도록 하려면 이 옵션을 사용합니다. 이 옵션은 검토 범위가 사용자 및 그룹 또는 사용자 로 범위가 지정된 경우에만 사용할 수 있습니다. Microsoft Entra 역할 에 대해 이 옵션을 선택하면 역할 할당 가능 그룹은 검토에 포함되지 않습니다.
    • 관리자 – 사용자의 관리자가 역할 할당을 검토하도록 하려면 이 옵션을 사용합니다. 이 옵션은 검토 범위가 사용자 및 그룹 또는 사용자 로 범위가 지정된 경우에만 사용할 수 있습니다. 관리자를 선택하면 대체 검토자를 지정할 수도 있습니다. 사용자가 디렉터리에 관리자를 지정하지 않은 경우 대체 검토자에게 사용자를 검토하라는 메시지가 표시됩니다. microsoft Entra 역할경우 역할 할당 가능 그룹이 선택된 경우 대체 검토자가 검토합니다.

설정 완료 시

  1. 검토가 완료된 후 수행되는 작업을 지정하려면 완료 시 설정 섹션을 확장합니다.

    자동 적용 완료 시 설정과 검토자가 응답하지 않을 때의 선택 항목을 보여 주는 스크린샷입니다.

  2. 거부된 사용자에 대한 액세스를 자동으로 제거하려면 리소스에 결과 자동 적용을사용으로 설정합니다. 검토가 완료되면 결과를 수동으로 적용하려면 스위치를 사용 안 함으로 설정합니다.

  3. 검토자가 목록에 응답하지 않는 경우 사용하여 검토 기간 내에 검토자가 검토하지 않는 사용자에 대해 수행되는 작업을 지정합니다. 이 설정은 이미 검토된 사용자에게 영향을 주지 않습니다.

    • 변경 내용 없음 - 사용자의 액세스 권한을 변경하지 않고 그대로 둡니다.
    • 액세스 제거 - 사용자의 액세스 제거
    • 액세스 승인 - 사용자의 액세스 승인
    • 권장 사항 수행 - 사용자의 지속적인 액세스 거부 또는 승인에 대한 시스템 권장 사항 수행

  4. 거부된 게스트 사용자 목록에 작업을 적용하여 거부된 게스트 사용자에 대해 수행되는 작업을 지정할 수 있습니다. 이 설정은 현재 Microsoft Entra ID 및 Azure 리소스 역할 검토에 대해 편집할 수 없습니다. 게스트 사용자는 모든 사용자와 마찬가지로 거부된 경우 항상 리소스에 대한 액세스 권한을 잃게 됩니다.

    완료 설정 시 - 거부된 게스트 사용자 스크린샷에 적용할 작업입니다.

  5. 다른 사용자 또는 그룹에 알림을 보내 검토 완료 업데이트를 받을 수 있습니다. 이 기능을 사용하면 검토 작성자 이외의 관련자를 검토 진행 상황에서 업데이트할 수 있습니다. 이 기능을 사용하려면 사용자 또는 그룹 선택을 선택하고 완료 상태 알림을 받을 사용자 또는 그룹을 추가합니다.

    완료 설정 시 - 추가 사용자를 추가하여 알림 스크린샷을 받습니다.

고급 설정

  1. 더 많은 설정을 구성하려면 고급 설정 섹션을 확장합니다.

    추천 표시를 위한 고급 설정에는 승인 이유, 메일 알림 및 미리 알림 스크린샷이 필요합니다.

  2. 권장 사항 표시사용하도록 설정하여 검토자에게 사용자의 액세스 정보를 기반으로 시스템 권장 사항을 표시합니다. 권장은 30일 간격을 기반으로 합니다. 지난 30일 동안 로그인한 사용자는 액세스에 대한 권장 승인과 함께 표시되는 반면, 로그인하지 않은 사용자는 권장 액세스 거부와 함께 표시됩니다. 이러한 로그인은 대화형인지 여부와 관계가 없습니다. 사용자의 마지막 로그인도 권장 사항과 함께 표시됩니다.

  3. 승인에 필요한 이유 요청사용으로 설정하여 검토자가 승인 이유를 제공하도록 요구합니다.

  4. 액세스 검토가 시작될 때 Microsoft Entra ID가 검토자에게 전자 메일 알림을 보내고 검토가 완료되면 관리자에게 전자 메일 알림을 보내도록 메일 알림을 설정합니다.

  5. 리마인더를활성화하여 Microsoft Entra ID가 현재 진행 중인 액세스 리뷰에 대한 알림을 검토를 완료하지 않은 검토자에게 보내도록 합니다.

  6. 검토자에게 보낸 전자 메일의 콘텐츠는 검토 이름, 리소스 이름, 기한 등과 같은 검토 세부 정보에 따라 자동으로 생성됩니다. 추가 지침 또는 연락처 정보와 같은 추가 정보를 전달하는 방법이 필요한 경우 검토자 전자 메일에 대한 추가 콘텐츠 에 이러한 세부 정보를 지정하면 초대 및 할당된 검토자에게 전송된 미리 알림 전자 메일에 포함됩니다. 강조 표시된 섹션은 이 정보가 표시되는 위치입니다.

    강조 표시가 있는 검토자에게 보낸 전자 메일의 콘텐츠

액세스 검토 관리

검토자가 액세스 검토의 개요 페이지에서 검토를 완료하면 진행 상황을 추적할 수 있습니다. 액세스 권한은 검토가 완료될 때까지 디렉터리에서 변경되지 않습니다. Microsoft Entra 역할에 대한 액세스 검토의 세부 정보를 보여 주는 액세스 검토 개요 페이지 스크린샷

액세스 검토 후 Azure 리소스 및 Microsoft Entra 역할에 대한 액세스 검토 완료의 단계에 따라 결과를 보고 적용합니다.

일련의 액세스 검토를 관리하는 경우 액세스 검토로 이동한 후 예정된 검토에서 예정된 항목을 찾아서 종료 날짜를 편집하거나 그에 따라 검토자를 추가/제거합니다.

완료 설정에서 선택한 항목에 따라 검토 종료 날짜 이후 또는 검토를 수동으로 중지할 때 자동 적용이 실행됩니다. 검토 상태가 완료 됨에서 적용 상태와 같은 중간 상태로 변경되고 마지막으로 적용됨 상태로 변경 됩니다. 거부된 사용자(있는 경우)가 몇 분 내에 역할에서 제거되는 것을 볼 수 있어야 합니다.

액세스 검토에서 Microsoft Entra 역할 및 Azure 리소스 역할에 할당된 그룹이 미치는 영향

Microsoft Entra 역할의 경우 역할 할당 가능 그룹을 사용하여 역할 할당 가능 그룹을 역할에 할당할 수 있습니다. 역할 할당 가능 그룹이 할당된 Microsoft Entra 역할에 대한 검토가 만들어지면 그룹 멤버 자격을 확장하지 않고 그룹 이름이 검토에 표시됩니다. 검토자는 역할에 대한 전체 그룹의 액세스 권한을 승인하거나 거부할 수 있습니다. 거부된 그룹은 검토 결과가 적용될 때 역할에 대한 할당을 잃게 됩니다.

Azure 리소스 역할의 경우 모든 보안 그룹을 역할에 할당할 수 있습니다. 보안 그룹이 할당된 Azure 리소스 역할에 대한 검토가 만들어지면 역할 검토자는 그룹의 멤버 자격에 대한 완전히 확장된 보기를 볼 수 있습니다. 검토자가 보안 그룹을 통해 역할에 할당된 사용자를 거부하는 경우 사용자는 그룹에서 제거되지 않습니다. 그룹이 다른 Azure 또는 비 Azure 리소스와 공유될 수 있기 때문입니다. 관리자는 액세스 거부로 인한 변경 내용을 구현해야 합니다.

참고 항목

보안 그룹에 할당된 다른 그룹이 있을 수 있습니다. 이 경우 역할에 할당된 보안 그룹에 직접 할당된 사용자만 역할 검토에 표시됩니다.

액세스 검토 업데이트

하나 이상의 액세스 검토가 시작된 후 기존 액세스 검토의 설정을 수정하거나 업데이트할 수 있습니다. 고려해야 할 몇 가지 일반적인 시나리오는 다음과 같습니다.

  • 검토자 추가 및 제거 - 액세스 검토를 업데이트할 때 기본 검토자 외에도 대체 검토자를 추가하도록 선택할 수 있습니다. 액세스 검토를 업데이트할 때 기본 검토자를 제거할 수 있습니다. 그러나 대체 검토자는 의도적으로 제거할 수 없습니다.

    참고 항목

    검토자 유형이 관리자인 경우에만 대체 검토자를 추가할 수 있습니다. 검토자 유형이 선택된 사용자인 경우 기본 검토자를 추가할 수 있습니다.

  • 검토자 알림 - 액세스 검토를 업데이트할 때 고급 설정에서 미리 알림 옵션을 사용하도록 선택할 수 있습니다. 사용하도록 설정하면 사용자는 검토 기간의 중간 지점에서 이메일 알림을 받습니다. 검토자는 검토를 완료했는지 여부에 관계없이 알림을 받습니다.

    액세스 검토 설정의 미리 알림 옵션 스크린샷.

  • 설정 업데이트 - 액세스 검토가 되풀이되는 경우 "현재" 및 "시리즈" 아래에 별도의 설정이 있습니다. “현재” 아래 설정을 업데이트하면 현재 액세스 검토의 변경 내용만 적용되지만, “시리즈” 아래 설정을 업데이트하면 모든 이후 반복에 해당하는 설정이 업데이트됩니다.

    액세스 검토 아래의 설정 페이지의 스크린샷.

참고 항목

Azure 플랜에서 AOBO(관리자 대신)를 사용하여 Azure 리소스에 대한 액세스 검토를 만드는 것은 지원되지 않습니다. AOBO를 통해 고객의 구독을 관리하는 CSP 파트너인 경우 자체(파트너) 테넌트에서 액세스 검토를 만들 수 없습니다.
해결 방법:
CSP 파트너가 필요한 권한을 가진 고객 테넌트에서 게스트 사용자 로 추가되고 고객의 테넌트 내에서 액세스 검토를 만듭니다.

다음 단계

  • Last updated on