Privileged Identity Management에서 Microsoft Entra 역할 할당 확장 또는 갱신

  • 아티클

Microsoft Entra PIM(Privileged Identity Management)은 Microsoft Entra ID 역할에 대한 액세스 및 할당 수명 주기를 관리하는 컨트롤을 제공합니다. 관리자는 시작 및 종료 날짜-시간 속성을 사용하여 역할을 할당할 수 있습니다. 할당 종료에 도달하면 Privileged Identity Management에서 영향을 받는 사용자 또는 그룹에 메일 알림을 보냅니다. 또한 적절한 액세스가 유지되는지 확인하기 위해 Microsoft Entra 관리자에게 이메일 알림을 보냅니다. 액세스가 연장되지 않더라도 할당이 갱신되어 만료된 상태에서 최대 30일 동안 표시됩니다.

연장 및 갱신할 수 있는 사람

전역 관리자 또는 권한 있는 역할 관리자만 Microsoft Entra 역할 할당을 확장하거나 갱신할 수 있습니다. 영향을 받는 사용자 또는 그룹은 만료 예정인 역할을 연장하도록 요청하고 이미 만료된 역할의 갱신을 요청할 수 있습니다.

알림이 전송되는 시기

Privileged Identity Management에서 관리자와 영향을 받는 역할의 사용자 또는 그룹에 대해 만료 14일 이내 및 만료 하루 전에 메일 알림을 보냅니다. 할당이 공식적으로 만료되면 다른 이메일이 전송됩니다.

만료될 예정이거나 만료된 역할을 할당한 사용자 또는 그룹이 연장이나 갱신을 요청하면 관리자에게 알림이 전송됩니다. 관리자가 요청을 승인 또는 거부로 해결하면 다른 모든 관리자에게 결정이 통지됩니다. 그러면 요청하는 사용자 또는 그룹에 결정에 대한 알림이 표시됩니다.

역할 할당 연장

다음 단계에서는 역할 할당의 연장 또는 갱신을 요청, 해결 또는 관리에 대한 프로세스를 간략하게 설명합니다.

만료될 예정인 할당 자체 연장

역할에 할당된 사용자는 내 역할 페이지의 적격 또는 활성 탭에서 또는 Privileged Identity Management 포털의 Microsoft Entra 역할 또는 최상위 수준 내 역할 페이지에서 만료되는 역할 할당을 직접 연장할 수 있습니다. 포털에서 사용자는 앞으로 14일 이내에 만료될 적격 및 활성(할당됨) 역할을 연장하도록 요청할 수 있습니다.

Microsoft Entra 역할 - 작업 열과 함께 적합 역할을 나열하는 내 역할 페이지.

할당 종료 날짜-시간이 14일 이내이면 연장 단추가 사용자 인터페이스에서 활성 링크가 됩니다. 다음 예제에서는 현재 날짜가 3월 27일이라고 가정합니다.

참고 항목

역할에 할당된 그룹의 경우 상속된 할당이 있는 사용자가 그룹 할당을 확장할 수 없도록 확장 링크를 사용할 수 없게 됩니다.

활성화 또는 연장 링크가 포함된 작업 열을 보여 주는 스크린샷.

이 역할 할당의 연장을 요청하려면 연장을 선택하여 요청 양식을 엽니다.

이유 상자가 포함된 역할 할당 연장 창을 보여 주는 스크린샷.

연장 요청의 이유를 입력하고 연장을 선택합니다.

참고 항목

연장이 필요한 이유와 부여되어야 하는 연장 기간(이 정보가 있는 경우)에 대한 세부 정보를 포함시키는 것이 좋습니다.

관리자는 확장 요청을 검토하라는 이메일 알림을 받습니다. 연장 요청이 이미 제출된 경우 Azure 알림이 포털에 표시됩니다.

기존 보류 중인 역할 할당 연장이 이미 있음을 설명하는 알림을 보여 주는 스크린샷.

보류 중인 요청 페이지로 이동하여 요청 상태를 보거나 취소합니다.

Microsoft Entra 역할 - 보류 중인 요청과 취소 링크가 나열된 보류 중인 요청 페이지를 보여 주는 스크린샷.

관리자 승인된 연장

사용자 또는 그룹이 그룹 할당 연장 요청을 제출하면 관리자는 원래 할당에 대한 세부 정보와 요청 이유가 포함된 이메일 알림을 받게 됩니다. 알림에는 관리자가 요청을 승인하거나 거부할 수 있는 직접 링크가 포함됩니다.

관리자는 메일의 링크를 사용하는 것 외에도 Privileged Identity Management 관리 포털로 이동한 후 왼쪽 창에서 요청 승인을 선택하여 요청을 승인하거나 거부할 수 있습니다.

Microsoft Entra 역할 - 승인 또는 거부할 요청과 링크가 나열된 요청 승인 페이지를 보여 주는 스크린샷.

관리자가 승인 또는 거부를 선택하면 요청의 세부 정보가 감사 로그에 대한 비즈니스 타당성을 제공하는 필드와 함께 표시됩니다.

요청자 이유, 할당 유형, 시작 시간, 종료 시간 및 이유가 포함된 역할 할당 승인 요청을 보여 주는 스크린샷.

역할 할당 연장에 대한 요청을 승인할 때 관리자는 새로운 시작 날짜 및 종료 날짜 및 할당 유형을 선택할 수 있습니다. 관리자가 특정 작업을 완료하도록 제한된 액세스를 제공하려는 경우 할당 유형 변경이 필요할 수 있습니다(예: 하루). 이 예제에서는 관리자가 적격에서 활성으로 할당을 변경할 수 있습니다. 즉, 활성화를 요구하지 않고도 요청자에게 액세스 권한을 제공할 수 있습니다.

관리자가 시작한 연장

역할에 할당된 사용자가 역할 할당에 대한 연장을 요청하지 않는 경우 관리자는 사용자를 대신하여 할당을 연장할 수 있습니다. 역할 할당을 관리자가 연장하면 승인이 필요하지 않지만 역할이 연장되면 다른 모든 관리자에게 알림이 전송됩니다.

역할 할당을 연장하려면 Privileged Identity Management에서 역할 또는 할당 보기로 이동합니다. 연장해야 하는 할당을 찾습니다. 그런 다음 작업 열에서 연장을 선택합니다.

Microsoft Entra 역할 - 연장할 링크가 포함된 적합 역할을 나열하는 할당 페이지를 보여 주는 스크린샷.

Microsoft Graph API를 사용하여 역할 할당 확장

다음 요청에서 관리자는 Microsoft Graph API를 사용하여 활성 할당을 확장합니다.

HTTP 요청

POST https://graph.microsoft.com/v1.0/roleManagement/directory/roleAssignmentScheduleRequests 
 
{
    "action": "adminExtend",
    "justification": "TEST",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "scheduleInfo": {
        "startDateTime": "2022-04-10T00:00:00Z",
        "expiration": {
            "type": "afterDuration",
            "duration": "PT3H"
        }
    }
}

HTTP 응답

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#roleManagement/directory/roleAssignmentScheduleRequests/$entity",
    "id": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "status": "Provisioned",
    "createdDateTime": "2022-05-13T16:18:36.3647674Z",
    "completedDateTime": "2022-05-13T16:18:40.0835993Z",
    "approvalId": null,
    "customData": null,
    "action": "adminExtend",
    "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
    "roleDefinitionId": "31392ffb-586c-42d1-9346-e59415a2cc4e",
    "directoryScopeId": "/",
    "appScopeId": null,
    "isValidationOnly": false,
    "targetScheduleId": "c3a3aa36-22e2-4240-8e4c-ea2a3af7c30f",
    "justification": "TEST",
    "createdBy": {
        "application": null,
        "device": null,
        "user": {
            "displayName": null,
            "id": "aaaaaaaa-bbbb-cccc-1111-222222222222"
        }
    },
    "scheduleInfo": {
        "startDateTime": "2022-05-13T16:18:40.0835993Z",
        "recurrence": null,
        "expiration": {
            "type": "afterDuration",
            "endDateTime": null,
            "duration": "PT3H"
        }
    },
    "ticketInfo": {
        "ticketNumber": null,
        "ticketSystem": null
    }
}

역할 할당 갱신

만료된 역할 할당을 갱신하는 프로세스는 연장 요청 프로세스와 개념적으로는 유사하지만 다릅니다. 다음 단계를 통해 필요한 경우 할당 및 관리자가 만료된 역할에 대한 액세스를 갱신할 수 있습니다.

자체 갱신

리소스에 더 이상 액세스할 수 없는 사용자는 최대 30일까지 만료된 할당 내역에 액세스할 수 있습니다. 이렇게 하려면 왼쪽 창에서 내 역할을 찾은 다음 Microsoft Entra 역할 섹션에서 만료된 역할 탭을 선택합니다.

내 역할 페이지 - 만료된 역할 탭을 보여 주는 스크린샷.

표시되는 역할 목록의 기본값은 적격 역할입니다. 적격 또는 활성 할당된 역할을 선택합니다.

목록에서 역할 할당에 대한 갱신을 요청하려면 갱신 작업을 선택합니다. 그런 다음 요청 이유를 제공합니다. 관리자가 승인이나 거부를 결정하는 데 도움이 되도록 추가 컨텍스트 또는 비즈니스 타당성뿐만 아니라 기간을 제공하는 것이 좋습니다.

이유 상자가 표시된 역할 할당 갱신 창을 보여 주는 스크린샷.

요청을 제출한 후 관리자에게 역할 할당을 갱신하도록 보류 중인 요청이 통지됩니다.

관리자 승인

Microsoft Entra 관리자는 이메일 알림의 링크를 통해 갱신 요청에 액세스하거나 Microsoft Entra 관리 센터에서 Privileged Identity Management에 액세스하고 PIM에서 요청 승인을 선택하여 갱신 요청에 액세스할 수 있습니다.

Microsoft Entra 역할 - 승인 또는 거부할 요청과 링크가 나열된 요청 승인 페이지를 보여 주는 스크린샷.

관리자가 승인 또는 거부를 선택하면 요청의 세부 정보가 감사 로그에 대한 비즈니스 타당성을 제공하는 필드와 함께 표시됩니다.

역할 할당 요청 승인 페이지를 보여 주는 스크린샷.

역할 할당 갱신에 대한 요청을 승인할 때 관리자는 새로운 시작 날짜, 종료 날짜 및 할당 유형을 입력해야 합니다.

관리자 갱신

또한 Microsoft Entra 역할의 만료된 역할 탭 내에서 만료된 역할 할당을 갱신할 수도 있습니다. 할당 화면에서 만료된 모든 역할 할당 목록을 보려면 만료된 역할을 선택합니다.

갱신 링크와 함께 만료된 역할을 나열하는 Microsoft Entra 역할 - 할당 페이지의 스크린샷.

다음 단계