다음을 통해 공유

권한이 부여된 액세스 관리 시작

이 문서에서는 organization 권한 있는 액세스 관리를 사용하도록 설정하고 구성하는 방법을 안내합니다. Microsoft 365 관리 센터 또는 Exchange Management PowerShell을 사용하여 권한 있는 액세스를 관리하고 사용할 수 있습니다.

시작하기 전에

권한 있는 액세스 관리를 시작하기 전에 Microsoft 365 구독 및 추가 기능을 확인합니다.

권한 있는 액세스 관리에 액세스하고 사용하려면 organization 지원 구독 또는 추가 기능이 있어야 합니다. 자세한 내용은 권한 있는 액세스 관리에 대한 구독 요구 사항을 참조하세요.

기존 Office 365 Enterprise E5 플랜이 없고 권한 있는 액세스 관리를 시도하려는 경우 기존 Office 365 구독에 Microsoft 365를 추가하거나 Microsoft 365 Enterprise E5 평가판에 등록할 수 있습니다.

권한 있는 액세스 관리 사용 및 구성

다음 단계에 따라 organization 권한 있는 액세스를 설정하고 사용합니다.

  • 1단계: 승인자 그룹 만들기

    권한 있는 액세스 사용을 시작하기 전에 관리자 권한 및 권한 있는 작업에 대한 액세스를 위해 들어오는 요청에 대한 승인 권한이 필요한 사용자를 결정합니다. 승인자 그룹의 일부인 모든 사용자는 액세스 요청을 승인할 수 있습니다. Office 365 메일 사용 보안 그룹을 만들어 이 그룹을 사용하도록 설정합니다.

  • 2단계: 권한 있는 액세스 사용

    권한 있는 액세스 관리 액세스 제어에서 제외하려는 시스템 계정 집합을 포함하여 기본 승인자 그룹을 사용하여 Office 365 권한 있는 액세스를 명시적으로 사용하도록 설정합니다.

  • 3단계: 액세스 정책 만들기

    승인 정책을 만들어 개별 작업에서 범위가 지정된 특정 승인 요구 사항을 정의합니다. 승인 유형 옵션은 자동 또는 수동입니다.

  • 4단계: 권한 있는 액세스 요청 제출/승인

    권한이 부여된 경우 권한 있는 액세스에는 연결된 승인 정책이 정의된 모든 작업에 대한 승인이 필요합니다. 승인 정책에 포함된 작업의 경우 사용자는 작업을 실행하는 데 필요한 권한을 가지기 위해 액세스 승인을 요청하고 액세스 승인을 부여해야 합니다.

승인이 부여되면 요청한 사용자는 의도한 작업을 실행할 수 있습니다. 권한 있는 액세스는 사용자를 대신하여 작업을 권한 부여하고 실행합니다. 요청된 기간(기본 기간은 4시간)에 대해 승인이 계속 유효하고 요청한 사용자가 의도한 작업을 여러 번 실행할 수 있습니다. 이러한 모든 실행이 기록되어 보안 및 규정 준수 감사에 사용할 수 있습니다.

참고

Exchange Management PowerShell을 사용하여 권한 있는 액세스를 사용하도록 설정하고 구성하려면 Multi-Factor Authentication을 사용하여 PowerShell에 Exchange Online 연결의 단계에 따라 Office 365 자격 증명으로 Exchange Online PowerShell에 연결합니다. Exchange Online PowerShell에 연결하는 동안 권한 있는 액세스를 사용하도록 설정하는 단계를 사용하려면 organization 다단계 인증을 사용하도록 설정할 필요가 없습니다. 다단계 인증을 사용하여 연결하면 권한 있는 액세스가 요청에 서명하는 데 사용하는 인증 토큰이 만들어집니다.

1단계: 승인자 그룹 만들기

  1. organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인합니다.

  2. 관리 센터에서 그룹 그룹>추가로 이동합니다.

  3. 메일 사용 가능 보안 그룹을 선택한 다음 새 그룹에 대한 이름, 그룹 전자 메일 주소설명을 입력합니다.

  4. 그룹을 저장합니다. 그룹이 완전히 구성되고 Microsoft 365 관리 센터 표시되는 데 몇 분 정도 걸릴 수 있습니다.

  5. 새 승인자 그룹을 선택하고 편집 을 선택하여 그룹에 사용자를 추가합니다.

  6. 그룹을 저장합니다.

2단계: 권한 있는 액세스 사용

Microsoft 365 관리 센터에서

  1. organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft 365 관리 센터에 로그인합니다.

  2. 관리 센터에서 설정>조직 설정>보안 & 개인 정보 권한>있는 액세스로 이동합니다.

  3. 권한 있는 작업에 대한 승인 필요를 켭니다.

  4. 1단계에서 만든 승인자 그룹을 기본 승인자 그룹으로 할당합니다.

  5. 저장 하고 닫습니다.

Exchange 관리 PowerShell에서

권한 있는 액세스를 사용하도록 설정하고 승인자 그룹을 할당하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Enable-ElevatedAccessControl -AdminGroup '<default approver group>' -SystemAccounts @('<systemAccountUPN1>','<systemAccountUPN2>')

예:

Enable-ElevatedAccessControl -AdminGroup 'pamapprovers@fabrikam.onmicrosoft.com' -SystemAccounts @('sys1@fabrikamorg.onmicrosoft.com', 'sys2@fabrikamorg.onmicrosoft.com')

참고

시스템 계정 기능은 조직 내의 특정 자동화가 권한 있는 액세스에 대한 종속성 없이 작동하도록 합니다. 그러나 이러한 제외를 예외적으로 만들고 허용되는 제외를 정기적으로 승인하고 감사하는 것이 좋습니다.

3단계: 액세스 정책 만들기

organization 대해 최대 30개 권한 있는 액세스 정책을 만들고 구성할 수 있습니다.

Microsoft 365 관리 센터에서

  1. organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft 365 관리 센터에 로그인합니다.

  2. 관리 센터에서 설정>조직 설정>보안 & 개인 정보** >권한 있는 액세스로 이동합니다.

  3. 액세스 정책 및 요청 관리를 선택합니다.

  4. 정책 구성을 선택하고 정책 추가를 선택합니다.

  5. 드롭다운 필드에서 organization 적절한 값을 선택합니다.

    • 정책 유형: 작업, 역할 또는 역할 그룹

    • 정책 범위: Exchange

    • 정책 이름: 사용 가능한 정책에서 선택

    • 승인 유형: 수동 또는 자동

    • 승인 그룹: 1단계에서 만든 승인자 그룹 선택

  6. 만들기를 선택한 다음, 닫기를 선택합니다. 정책을 완전히 구성하고 사용하도록 설정하는 데 몇 분 정도 걸릴 수 있습니다.

Exchange 관리 PowerShell에서

승인 정책을 만들고 정의하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

New-ElevatedAccessApprovalPolicy -Task 'Exchange\<exchange management cmdlet name>' -ApprovalType <Manual, Auto> -ApproverGroup '<default/custom approver group>'

예:

New-ElevatedAccessApprovalPolicy -Task 'Exchange\New-MoveRequest' -ApprovalType Manual -ApproverGroup 'mbmanagers@fabrikamorg.onmicrosoft.com'

4단계: 권한 있는 액세스 요청 제출/승인

권한 있는 작업을 실행하기 위해 권한 상승 요청

권한 있는 액세스 요청은 제출 후 최대 24시간 동안 유효합니다. 승인자가 24시간 이내에 요청을 승인하거나 거부하지 않으면 요청이 만료되고 액세스 권한이 부여되지 않습니다.

Microsoft 365 관리 센터에서

  1. 자격 증명을 사용하여 Microsoft 365 관리 센터에 로그인합니다.

  2. 관리 센터에서 설정>조직 설정>보안 & 개인 정보** >권한 있는 액세스로 이동합니다.

  3. 액세스 정책 및 요청 관리를 선택합니다.

  4. 새 요청을 선택합니다. 드롭다운 필드에서 organization 적절한 값을 선택합니다.

    • 요청 유형작업, 역할 또는 역할 그룹

    • 요청 범위: Exchange

    • 사용자: 사용 가능한 정책에서 선택

    • 기간(시간): 요청된 액세스 시간 수입니다. 언제든지 시간을 요청할 수 있습니다.

    • 설명: 액세스 요청과 관련된 주석에 대한 텍스트 필드

  5. 저장을 선택한 다음, 닫기를 선택합니다. 시스템은 이메일로 승인자 그룹에 요청을 보냅니다.

Exchange 관리 PowerShell에서

Exchange Online PowerShell에서 다음 명령을 실행하여 승인자 그룹에 승인 요청을 만들고 제출합니다.

New-ElevatedAccessRequest -Task 'Exchange\<exchange management cmdlet name>' -Reason '<appropriate reason>' -DurationHours <duration in hours>

예:

New-ElevatedAccessRequest -Task 'Exchange\New-MoveRequest' -Reason 'Attempting to fix the user mailbox error' -DurationHours 4

권한 상승 요청 상태 보기

승인 요청을 만든 후 연결된 요청 ID를 사용하여 관리 센터 또는 Exchange Management PowerShell에서 권한 상승 요청의 상태 검사 수 있습니다.

Microsoft 365 관리 센터

  1. 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인합니다.

  2. 관리 센터에서 설정>조직 설정>보안 & 개인 정보 권한>있는 액세스로 이동합니다.

  3. 액세스 정책 및 요청 관리를 선택합니다.

  4. 보기를 선택하여 제출된 요청을 보류 중, 승인됨, 거부 또는 고객 Lockbox 상태 필터링합니다.

Exchange 관리 PowerShell에서

Exchange Online PowerShell에서 다음 명령을 실행하여 특정 요청 ID에 대한 승인 요청 상태 확인합니다.

Get-ElevatedAccessRequest -Identity <request ID> | select RequestStatus

예:

Get-ElevatedAccessRequest -Identity 28560ed0-419d-4cc3-8f5b-603911cbd450 | select RequestStatus

권한 상승 권한 부여 요청 승인

승인 요청을 만들면 관련 승인자 그룹의 구성원이 이메일 알림을 받습니다. 요청 ID를 사용하여 요청을 승인할 수 있습니다. 요청자가 요청이 승인되거나 거부되면 이메일 알림을 받습니다.

Microsoft 365 관리 센터

  1. 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인합니다.

  2. 관리 센터에서 설정>조직 설정>보안 & 개인 정보 권한>있는 액세스로 이동합니다.

  3. 액세스 정책 및 요청 관리를 선택합니다.

  4. 나열된 요청을 선택하여 세부 정보를 보고 요청에 대한 작업을 수행합니다.

  5. 승인을 선택하여 요청을 승인하거나 거부를 선택하여 요청을 거부합니다. 해지를 선택하여 이전에 승인된 요청에 대한 액세스를 취소할 수 있습니다.

Exchange 관리 PowerShell에서

권한 상승 권한 부여 요청을 승인하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Approve-ElevatedAccessRequest -RequestId <request id> -Comment '<approval comment>'

예:

Approve-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<approval comment>'

권한 상승 권한 부여 요청을 거부하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Deny-ElevatedAccessRequest -RequestId <request id> -Comment '<denial comment>'

예:

Deny-ElevatedAccessRequest -RequestId a4bc1bdf-00a1-42b4-be65-b6c63d6be279 -Comment '<denial comment>'

Office 365 권한 있는 액세스 정책 삭제

organization 더 이상 권한 있는 액세스 정책이 필요하지 않은 경우 삭제할 수 있습니다.

Microsoft 365 관리 센터

  1. organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인합니다.

  2. 관리 센터에서 설정>조직 설정>보안 & 개인 정보 권한>있는 액세스로 이동합니다.

  3. 액세스 정책 및 요청 관리를 선택합니다.

  4. 정책 구성을 선택합니다.

  5. 삭제할 정책을 선택한 다음 정책 제거를 선택합니다.

  6. 닫기를 선택합니다.

Exchange 관리 PowerShell에서

권한 있는 액세스 정책을 삭제하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Remove-ElevatedAccessApprovalPolicy -Identity <identity GUID of the policy you want to delete>

Office 365 권한 있는 액세스 사용 안 함

필요한 경우 organization 대한 권한 있는 액세스 관리를 사용하지 않도록 설정할 수 있습니다. 권한 있는 액세스를 사용하지 않도록 설정해도 연결된 승인 정책 또는 승인자 그룹은 삭제되지 않습니다.

Microsoft 365 관리 센터

  1. organization 관리자 계정에 대한 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인합니다.

  2. 관리 센터에서 설정>조직 설정>보안 & 개인 정보** >권한 있는 액세스로 이동합니다.

  3. 권한 있는 액세스에 대한 승인 필요를 켭니다.

Exchange 관리 PowerShell에서

권한 있는 액세스를 사용하지 않도록 설정하려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Disable-ElevatedAccessControl
  • Last updated on