조직에는 CEO의 사용자 계정과 같이 엄격한 보안이 필요한 리소스가 있습니다. 현재 기술 지원팀 관리자는 암호를 재설정하여 CEO 계정에 액세스할 수 있으며, 테넌트 수준 그룹 관리자는 SharePoint에서 재무 데이터 액세스 권한이 있는 보안 그룹에 사용자를 추가할 수 있습니다.
제한된 관리 관리 단위를 사용하면 지정한 특정 사용자 집합이 아닌 다른 사용자가 테넌트에서 특정 개체를 수정하지 못하도록 보호할 수 있습니다. 이를 통해 관리자로부터 테넌트 수준 역할 할당을 제거하지 않고도 보안 또는 규정 준수 요구 사항을 충족할 수 있습니다.
제한된 관리 장치를 사용하는 이유는 무엇인가요?
제한된 관리 장치를 사용하여 테넌트의 액세스를 관리할 수 있는 몇 가지 이유는 다음과 같습니다.
임원 계정 및 해당 디바이스 보호
암호를 초기화하거나 BitLocker 복구 키에 액세스할 수 있는 기술 지원 관리자로부터 C레벨 경영진 계정과 해당 디바이스를 보호하려고 합니다. C 수준 사용자 계정을 제한된 관리 관리 단위에 추가하고 필요한 경우 암호를 재설정하고 BitLocker 복구 키에 액세스할 수 있는 신뢰할 수 있는 특정 관리자 집합을 사용하도록 설정할 수 있습니다.
로컬 관리자에게만 규정 준수 제어 구현
특정 국가/지역의 관리자만 특정 리소스를 관리할 수 있도록 규정 준수 제어를 구현하려고 합니다. 제한된 관리 장치에 해당 리소스를 추가하고 로컬 관리자를 할당하여 해당 개체를 관리할 수 있습니다. 전역 관리자라도 제한된 관리 장치(감사 가능한 이벤트)로 범위가 할당된 역할에 자신을 명시적으로 할당하지 않는 한 개체를 수정할 수 없습니다.
중요한 보안 그룹의 관리를 특정 관리자로 제한
보안 그룹을 사용하여 조직의 중요한 애플리케이션에 대한 액세스를 제어하고 있으며, 그룹을 수정할 수 있는 테넌트 범위 관리자가 애플리케이션에 액세스할 수 있는 사용자를 제어할 수 있도록 허용하지 않으려고 합니다. 이러한 보안 그룹을 제한된 관리 장치에 추가한 다음 할당한 특정 관리자만 보안 그룹을 관리할 수 있도록 할 수 있습니다.
예제 시나리오
다음 다이어그램에서는 임원 지원에서만 수정할 수 있는 개체가 있는 임원 제한 관리 단위(자주색 상자에 표시됨)를 보여 줍니다. 테넌트 수준 관리자와 로컬 관리자는 관리 실행 단위인 Executive의 개체를 수정할 수 없습니다.
참고
제한된 관리 관리 단위에 개체를 배치하면 개체를 변경할 수 있는 사용자가 심각하게 제한됩니다. 이러한 제한으로 인해 기존 워크플로가 중단될 수 있습니다.
어떤 개체가 멤버가 될 수 있나요?
제한된 관리 장치의 멤버가 될 수 있는 개체는 다음과 같습니다.
| Microsoft Entra 개체 형식 | 관리 단위 | 제한된 관리 관리 단위 |
|---|---|---|
| 사용자 | 예 | 예 |
| 장치 | 예 | 예 |
| 그룹(보안) | 예 | 예 |
| 그룹(Microsoft 365) | 예 | 아니요 |
| 그룹(메일 사용 가능 보안) | 예 | 아니요 |
| 그룹(배포) | 예 | 아니요 |
어떤 형식의 작업이 차단되나요?
제한된 관리 장치 범위에 명시적으로 할당되지 않은 관리자의 경우 제한된 관리 장치에 있는 개체의 Microsoft Entra 속성을 직접 수정하는 작업은 차단되지만 Microsoft 365 서비스의 관련 개체에 대한 작업은 영향을 받지 않습니다.
| 작업 유형 | 차단됨 | 허용됨 |
|---|---|---|
| 사용자 계정 이름, 사용자 사진과 같은 표준 속성 읽기 | ✅ | |
| 사용자, 그룹 또는 디바이스의 Microsoft Entra 속성 수정 | ❌ | |
| 사용자, 그룹 또는 디바이스 삭제 | ❌ | |
| 사용자의 암호 업데이트 | ❌ | |
| 제한된 관리 장치에서 그룹의 소유자 또는 멤버 수정 | ❌ | |
| 제한된 관리 장치의 사용자, 그룹 또는 디바이스를 Microsoft Entra ID의 그룹에 추가 | ✅ | |
| 제한된 관리 장치의 사용자에 대한 Exchange의 이메일 및 사서함 설정 수정 | ✅ | |
| Intune을 사용하여 제한된 관리 장치의 디바이스에 정책 적용 | ✅ | |
| SharePoint에서 사이트 소유자로 그룹 추가 또는 제거 | ✅ | |
| 제한된 관리 관리 단위에서 라이선스 할당 및 사용자의 사용 위치 업데이트 | ✅ |
누가 개체를 수정할 수 있나요?
제한된 관리 장치 범위에서 명시적 할당이 있는 관리자만 제한된 관리 장치에 있는 개체의 Microsoft Entra 속성을 변경할 수 있습니다.
| 역할 | 범위 | 차단됨 | 허용됨 |
|---|---|---|---|
| 전역 관리자 | 임차인 | ❌ | |
| 권한 있는 역할 관리자 | 임차인 | ❌ | |
| 그룹 관리자, 사용자 관리자 또는 기타 역할 | 리소스 | ❌ | |
| 제한된 관리 장치에 추가된 그룹 또는 디바이스의 소유자 | ❌ | ||
| 기본 제공 또는 사용자 지정 역할 | 임차인 | ❌ | |
| 관리 단위 범위로 할당할 수 있는 역할 | 제한된 관리 관리 단위 | ✅ | |
| 관리 단위 범위로 할당할 수 있는 역할 | 개체가 멤버인 다른 제한된 관리 관리 단위 | ✅ | |
| 관리 단위 범위로 할당할 수 있는 역할 | 개체가 멤버인 또 다른 일반 관리 단위 | ❌ |
테넌트 범위를 가진 관리자가 제한된 관리 관리 단위에서 개체를 수정하려고 하면 다음과 유사한 메시지가 표시됩니다.
This user is a member of a restricted management administrative unit. Management rights are limited to administrators scoped on that administrative unit.
제한된 관리 관리 단위를 관리할 수 있는 사람은 누구인가요?
테넌트 범위의 다음 역할은 제한된 관리 관리 단위의 개체를 수정 할 수 없지만 제한된 관리 관리 단위 자체를 관리할 수 있습니다 .
| 역할 | 범위 | 제한된 관리 관리 단위에서 개체 수정 | 제한된 관리 행정 단위 관리 |
|---|---|---|---|
| 전역 관리자 | 임차인 | 아니요 | 예 |
| 권한 있는 역할 관리자 | 임차인 | 아니요 | 예 |
이 관리에는 다음 작업이 포함됩니다.
- 제한된 관리 관리 단위 만들기 또는 삭제
- 제한된 관리 관리 단위에서 멤버 추가 또는 제거
- 관리 단위 범위가 제한된 역할 할당 또는 역할 할당 제거
- 제한된 관리 관리 단위 범위를 사용하여 자신에게 역할 할당
관리 단위 범위가 제한된 관리자가 작업을 변경하거나 조직을 떠나는 경우 액세스 권한을 다시 얻으려면 전역 관리자 또는 권한 있는 역할 관리자가 다른 관리자 또는 자신을 제한된 관리 관리 단위에 할당할 수 있습니다.
감사 로그
제한된 관리 관리 단위에 대한 변경 사항을 추적하는 데 도움이 되도록 이러한 작업은 Microsoft Entra 감사 로그에 기록됩니다.
| 활동 | 카테고리 | 세부 정보 |
|---|---|---|
| 관리 단위 추가 | 관리 단위 |
IsMemberManagementRestricted = 참입니다 |
| 제한된 관리 장치에 멤버 추가 | 관리 단위 | |
| 제한된 관리 장치에서 멤버 제거 | 관리 단위 | |
| 제한된 관리 장치를 통해 범위가 지정된 역할에 멤버 추가 | 역할관리 | |
| 제한된 관리 장치를 통해 범위가 지정된 역할에서 멤버 제거 | 역할관리 |
제한 사항
제한된 관리 장치에 대한 몇 가지 제한 사항은 다음과 같습니다.
- 제한된 관리 설정은 관리 장치 만들기 중에 적용되어야 하며 관리 장치가 만들어진 후에는 변경할 수 없습니다.
- 제한된 관리 관리 단위의 그룹 및 사용자는 Privileged Identity Management, 권한 관리, 수 명 주기 워크플로 및 액세스 검토와 같은 Microsoft Entra ID 거버넌스 기능을 사용하여 관리할 수 없습니다.
- 그룹이 공개 멤버 자격을 갖도록 구성된 경우( 표시 유형 속성을
Public설정하여) 사용자는 셀프 서비스 그룹 멤버 자격을 사용하여 그룹에 가입할 수 있습니다. 이 구성은 기본 설정이 아니며, 퍼블릭 멤버 자격을 허용하도록 제한된 관리 관리 단위에서 그룹을 구성하는 것은 권장되지 않습니다. 이는 일시적인 제한 사항이며 제거됩니다. - 제한된 관리 장치에 추가된 역할 할당 가능 그룹은 해당 멤버 자격을 수정할 수 없습니다. 그룹 소유자는 제한된 관리 장치에서 그룹을 관리할 수 없으며 전역 관리자 및 권한 있는 역할 관리자(둘 다 관리 장치 범위에서 할당될 수 없음)만 멤버 자격을 수정할 수 있습니다.
- 개체가 제한된 관리 장치에 있을 때 필요한 역할이 관리 장치 범위에서 할당할 수 있는 역할 중 하나가 아닌 경우 특정 작업이 불가능할 수 있습니다. 예를 들어 제한된 관리 관리 단위의 전역 관리자는 전역 관리자의 암호를 재설정할 수 있는 관리 단위 범위에 할당할 수 있는 관리자 역할이 없기 때문에 시스템의 다른 관리자가 암호를 재설정할 수 없습니다. 이러한 시나리오에서는 먼저 제한된 관리 장치에서 전역 관리자를 제거한 다음 다른 전역 관리자 또는 권한 있는 역할 관리자가 암호를 초기화해야 합니다.
- 제한된 관리 장치를 삭제하는 경우 이전 멤버의 모든 보호를 제거하는 데 최대 30분이 걸릴 수 있습니다.
- 테넌트에는 최대 100개의 제한된 관리 장치가 있습니다.
프로그래밍 기능
애플리케이션은 기본적으로 제한된 관리 장치의 개체를 수정할 수 없습니다. 제한된 관리 행정 단위의 개체를 관리하기 위한 애플리케이션 액세스 권한을 부여하려면 제한된 관리 행정 단위의 범위에서 애플리케이션에 Microsoft Entra 역할을 할당해야 합니다. 애플리케이션에 Microsoft Graph 애플리케이션 권한을 할당하는 경우 해당 권한이 제한되므로 적용되지 않습니다.
라이선스 요구 사항
제한된 관리 장치에는 각 관리 장치 관리자에 대한 Microsoft Entra ID P1 라이선스와 관리 장치 멤버에 대한 Microsoft Entra ID Free 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 체험판 및 프리미엄 버전의 일반적으로 사용할 수 있는 기능 비교를 참조하세요.