액세스 검토를 사용하여 오래된 게스트 계정 모니터링 및 정리

  • 아티클

사용자가 외부 파트너와 협업함에 따라 시간이 지남에 따라 Microsoft Entra 테넌트에서 많은 게스트 계정이 만들어질 수 있습니다. 협업이 종료되고 사용자가 더 이상 테넌트에 액세스하지 않으면 게스트 계정이 부실해질 수 있습니다. 관리자는 비활성 게스트 인사이트를 사용하여 게스트 계정을 대규모로 모니터링할 수 있습니다. 관리자는 액세스 검토를 사용하여 비활성 게스트 사용자를 자동으로 검토하고, 로그인하지 못하도록 차단하고, 디렉터리에서 삭제할 수 있습니다.

Microsoft Entra ID에서 비활성 사용자 계정을 관리하는 방법에 대해 자세히 알아봅니다.

부실한 게스트 계정을 모니터링하고 정리하는 데 효과적인 몇 가지 권장 패턴이 있습니다.

  1. 비활성 게스트 보고서를 사용하여 조직의 비활성 게스트에 대한 지능형 인사이트를 사용하여 대규모로 게스트 계정을 모니터링합니다. 조직의 요구 사항에 따라 비활성 임곗값을 사용자 지정하고 모니터링하려는 게스트 사용자의 범위를 좁혀 비활성 상태일 수 있는 게스트 사용자를 식별합니다.

  2. 게스트가 여전히 액세스 권한이 필요한지 여부를 스스로 증명하는 다단계 검토를 작성합니다. 2단계 검토자는 결과를 평가하고 최종 결정을 내립니다. 액세스가 거부된 게스트는 사용하지 않도록 설정되고 나중에 삭제됩니다.

  3. 비활성 외부 게스트를 제거하려면 검토를 작성합니다. 관리자는 비활성을 기간으로 정의합니다. 해당 시간 프레임 내에 테넌트에 로그인하지 않는 게스트를 사용하지 않도록 설정하고 나중에 삭제합니다. 기본적으로 이는 최근에 만들어진 사용자에게 영향을 미치지 않습니다. 비활성 계정을 식별하는 방법에 대해 자세히 알아보기.

다음 지침을 사용하여 비활성 게스트 계정의 모니터링을 대규모로 개선하고 이러한 패턴을 따르는 액세스 검토를 만드는 방법을 알아봅니다. 구성 권장 사항을 고려한 다음 환경에 맞게 필요한 변경을 수행합니다.

라이선스 요구 사항

이 기능을 사용하려면 Microsoft Entra ID Governance 또는 Microsoft Entra Suite 라이선스가 필요합니다. 요구 사항에 적합한 라이선스를 찾으려면 Microsoft Entra ID Governance 라이선스 기본 사항을 참조하세요.

비활성 게스트 인사이트를 통해 대규모 게스트 계정 모니터링

이 문서의 단계는 시작하는 포털에 따라 조금씩 다를 수 있습니다.

  1. Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>대시보드로 이동합니다.

  3. 게스트 액세스 거버넌스 카드로 이동하여 비활성 게스트 계정 보고서에 액세스하고 비활성 게스트 보기를 클릭합니다.

  4. 비활성 게스트 보고서는 90일 동안 비활성 게스트 사용자에 대한 인사이트를 제공합니다. 임곗값은 기본적으로 90일로 설정되지만 조직의 요구에 따라 "비활성 임곗값 편집"을 사용하여 구성할 수 있습니다.

  5. 이 보고서의 일부로 제공되는 인사이트는 다음과 같습니다.

    • 게스트 계정 개요(한 번 이상 로그인하거나 로그인한 적이 없는 게스트를 추가로 분류한 총 게스트 및 비활성 게스트)
    • 게스트 비활성 배포(마지막 로그인 후 일수를 기준 게스트 사용자의 백분율 분포)
    • 게스트 비활성 개요(비활성 임곗값을 구성하기 위한 게스트 비활성 지침)
    • 게스트 계정 요약(작업 상태에 대한 인사이트와 함께 모든 게스트 계정의 세부 정보가 포함된 내보낼 수 있는 표 형식 보기입니다. 작업 상태는 구성된 비활성 임계값에 따라 활성 또는 비활성일 수 있습니다.)

  6. 비활성 날짜는 사용자가 한 번 로그인한 경우 마지막 로그인 날짜를 기준으로 계산됩니다. 로그인한 적이 없는 사용자의 경우 비활성 날짜는 생성 날짜를 기준으로 계산됩니다.

참고 항목

고객 인사이트가 포함된 보고서는 "모든 데이터 다운로드"를 사용하여 다운로드할 수 있습니다. 다운로드를 위한 각 작업은 게스트 사용자 수에 따라 다소 시간이 걸릴 수 있으며 최대 1백만 명의 게스트 사용자가 다운로드할 수 있습니다.

게스트가 지속적인 액세스를 스스로 증명할 수 있도록 다단계 검토 작성

  1. 검토할 게스트 사용자에 대한 동적 그룹을 만듭니다. 예를 들면 다음과 같습니다.

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. 동적 그룹에 대한 액세스 검토를 만들려면Microsoft Entra ID > ID 거버넌스 > 액세스 검토로 이동합니다.

  3. 새 액세스 검토를 선택합니다.

  4. 검토 형식을 구성합니다.

    속성
    검토할 항목 선택 팀 + 그룹
    검토 범위 팀 + 그룹 선택
    그룹 동적 그룹 선택
    Scope 게스트 사용자만
    (선택 사항) 비활성 게스트 검토 비활성 사용자(테넌트 수준)만 확인란을 선택합니다.
    비활성 상태인 일 수를 입력합니다.

    게스트가 계속 액세스할 수 있음을 스스로 증명할 수 있도록 다단계 검토를 위한 검토 형식 대화 상자를 보여 주는 스크린샷.

  5. 다음: 검토를 선택합니다.

  6. 검토 구성:

    속성
    첫 번째 스테이지 검토
    다중 스테이지 검토 확인란 선택
    검토자 선택 사용자가 자신의 액세스 권한을 검토합니다.
    스테이지 기간(일) 일 수를 입력합니다
    두 번째 스테이지 검토
    검토자 선택 그룹 소유자 또는 선택한 사용자 또는 그룹
    스테이지 기간(일) 일 수를 입력합니다.
    (선택 사항) 대체 검토자를 지정합니다.
    검토 되풀이 지정
    검토 되풀이 드롭다운에서 기본 설정을 선택합니다.
    시작 날짜 날짜 선택
    종료 기본 설정 선택
    다음 스테이지로 이동할 검토 대상자 지정
    다음 스테이지로 이동하는 검토자 검토 대상자를 선택합니다. 예를 들어 자체 승인하거나 모름이라고 응답한 사용자를 선택합니다.

    스크린샷은 게스트가 계속 액세스할 수 있음을 스스로 증명할 수 있도록 다단계 검토를 위한 첫 번째 단계 검토를 보여 줍니다.

  7. 다음: 설정을 선택합니다.

  8. 설정 구성:

    속성
    설정 완료 시
    결과를 리소스에 자동 적용 확인란 선택
    검토자가 응답하지 않는 경우 액세스 권한 제거
    거부된 게스트 사용자에 적용할 작업 30일 동안 사용자 로그인을 차단한 후 테넌트에서 제거
    (선택 사항) 검토가 끝나면 다음 주소로 알림을 보냅니다. 통지할 다른 사용자 또는 그룹을 지정합니다.
    검토자 의사 결정 도우미 사용
    검토자 이메일에 대한 추가 콘텐츠 검토자를 위한 사용자 지정 메시지 추가
    기타 모든 필드 나머지 옵션은 기본값 상태로 둡니다.

    게스트가 지속적인 액세스를 스스로 증명할 수 있도록 다단계 검토를 위한 설정 대화 상자를 보여 주는 스크린샷.

  9. 다음: 검토 + 만들기를 선택합니다.

  10. 액세스 검토 이름을 입력합니다. (선택 사항) 설명을 제공합니다.

  11. 만들기를 실행합니다.

비활성 외부 게스트를 제거하려면 검토를 작성합니다.

  1. 검토할 게스트 사용자에 대한 동적 그룹을 만듭니다. 예를 들면 다음과 같습니다.

    (user.userType -eq "Guest") and (user.mail -contains "@contoso.com") and (user.accountEnabled -eq true)

  2. 동적 그룹에 대한 액세스 검토를 만들려면Microsoft Entra ID > ID 거버넌스 > 액세스 검토로 이동합니다.

  3. 새 액세스 검토를 선택합니다.

  4. 검토 형식 구성:

    속성
    검토할 항목 선택 팀 + 그룹
    검토 범위 팀 + 그룹 선택
    그룹 동적 그룹 선택
    Scope 게스트 사용자만
    비활성 사용자(테넌트 수준)만 확인란 선택
    비활성 기간(일) 비활성 상태인 일 수를 입력합니다.

    참고 항목

    구성한 비활성 시간은 최근에 만들어진 사용자에게 영향을 미치지 않습니다. 액세스 검토는 사용자가 구성한 기간 내에 만들어졌는지 확인하고 최소한 해당 시간 동안 존재하지 않은 사용자는 무시합니다. 예를 들어 비활성 시간을 90일로 설정하고 게스트 사용자를 90일 내에 만들거나 초대한 경우 해당 게스트 사용자는 액세스 검토 범위에 포함되지 않습니다. 이렇게 하면 게스트가 제거되기 전에 한 번 로그인할 수 있습니다.

    비활성 외부 참석자를 제거하기 위한 검토 형식 대화 상자를 보여 주는 스크린샷.

  5. 다음: 검토를 선택합니다.

  6. 검토 구성:

    속성
    검토자 지정
    검토자 선택 그룹 소유자 또는 사용자 또는 그룹을 선택합니다.
    (선택 사항) 프로세스를 자동화된 상태로 유지하려면 작업을 취하지 않을 검토자를 선택합니다.
    검토 되풀이 지정
    기간(일) 기본 설정에 따라 값을 입력하거나 선택합니다.
    검토 되풀이 드롭다운에서 기본 설정을 선택합니다.
    시작 날짜 날짜 선택
    종료 옵션 선택

  7. 다음: 설정을 선택합니다.

    비활성 외부 게스트를 제거하기 위한 검토 대화 상자를 보여 주는 스크린샷.

  8. 설정 구성:

    속성
    설정 완료 시
    결과를 리소스에 자동 적용 확인란 선택
    검토가 응답하지 않는 경우 액세스 권한 제거
    거부된 게스트 사용자에 적용할 작업 30일 동안 사용자 로그인을 차단한 후 테넌트에서 제거
    검토자 의사 결정 도우미 사용
    30일 이내의 로그인 없음 확인란 선택
    기타 모든 필드 기본 설정에 따라 상자를 선택/선택 취소합니다.

    비활성 외부 게스트를 제거하기 위한 설정 대화 상자를 보여 주는 스크린샷.

  9. 완료되면 다음: 검토 + 만들기를 선택합니다.

  10. 액세스 검토 이름을 입력합니다. (선택 사항) 설명을 제공합니다.

  11. 만들기를 실행합니다.

구성한 일 수 동안 테넌트에 로그인하지 않은 게스트 사용자는 30일 동안 사용하지 않도록 설정된 후 삭제됩니다. 삭제 후 최대 30일 동안 게스트를 복원할 수 있으며 이후에는 새 초대가 필요합니다.