메인 콘텐츠로 건너뛰기

인증 및 설정

인증 및 사용자 관리 도구가 포함된 Azure Active Directory 구성 Azure Active Directory 사용자 목록, 비밀번호 재설정 및 사용자 활성화/비활성화 도구 Azure Active Directory(Azure AD) 통합은 Azure AD 앱 등록을 통해 OAuth 2.0 인증을 사용하는 Microsoft Graph API를 사용합니다. 자동화된 사용자 관리를 위해 위임된 권한 대신 애플리케이션(관리자 수준) 권한이 필요합니다. 조직은 적절한 권한과 관리자 동의로 Azure Portal에서 Azure AD 애플리케이션을 생성해야 합니다. Azure AD(Entra ID)를 통해 사용자 프로비저닝, 라이선스 관리, 그룹 관리 및 보안 작업을 지원합니다.

필요한 애플리케이션 권한

  • User.ReadWrite.All: 사용자 계정을 생성, 읽기, 업데이트 및 삭제합니다.
  • User.Read.All: 사용자 프로필에 대한 읽기 전용 접근 권한.
  • Group.ReadWrite.All: 그룹 멤버십 및 속성을 관리합니다.
  • Directory.ReadWrite.All: 고급 작업을 위한 전체 디렉터리 접근 권한.
  • UserAuthenticationMethod.ReadWrite.All: MFA 및 인증 방법을 관리합니다.

사용 가능한 작업

모든 필요한 권한이 구성되면 툴킷은 다음 작업을 활성화합니다.

사용자 관리

  • 사용자 가져오기: 이메일, 이름, 부서, 직함, 관리자를 포함한 사용자 프로필을 검색합니다.
  • 사용자 목록: 부서, 위치 또는 사용자 정의 속성별로 모든 사용자를 조회합니다.
  • 사용자 생성: UPN, 표시 이름, 비밀번호 및 라이선스로 새 사용자 계정을 프로비저닝합니다.
  • 사용자 업데이트: 부서, 전화, 직함, 사무실 위치를 포함한 사용자 속성을 수정합니다.
  • 사용자 삭제: 사용자 계정을 제거합니다(软 삭제; 30일간 복구 가능).
  • 사용자 복원: 휴지통에서 삭제된 사용자를 복구합니다.
  • 사용자 사진 가져오기: 사용자 프로필 사진을 검색합니다.
  • 사용자 사진 설정: 사용자의 프로필 사진을 업로드합니다.

비밀번호 관리

  • 비밀번호 재설정: 강제 비밀번호 재설정 및 임시 비밀번호를 전송합니다.
  • 강제 비밀번호 변경: 다음 로그인 시 비밀번호 변경을 요구합니다.
  • 비밀번호 설정: 사용자 계정에 대한 특정 비밀번호를 설정합니다.
  • 비밀번호 정책 가져오기: 비밀번호 복잡성 및 만료 설정을 검색합니다.

계정 제어

  • 계정 비활성화: 계정을 삭제하지 않고 사용자 로그인을 차단합니다.
  • 계정 활성화: 비활성화된 사용자 계정을 다시 활성화합니다.
  • 세션 취소: 모든 활성 세션 및 새로고침 토큰에서 강제 로그아웃합니다.
  • 로그인 차단: 특정 사용자의 리소스 접근을 방지합니다.

라이선스 관리

  • 라이선스 할당: Office 365, Microsoft 365 또는 Azure 라이선스를 사용자에게 할당합니다.
  • 라이선스 제거: 사용자에게서 라이선스를 할당 해제합니다.
  • 사용자 라이선스 가져오기: 사용자에게 할당된 모든 라이선스를 봅니다.
  • 사용 가능한 라이선스 목록: 조직의 라이선스 풀 및 가용성을 조회합니다.
  • 일괄 라이선스 할당: 여러 사용자에게 동시에 라이선스를 할당합니다.

그룹 작업

  • 그룹 생성: 보안 그룹, Microsoft 365 그룹 또는 배포 목록을 생성합니다.
  • 그룹 가져오기: 멤버 및 소유자를 포함한 그룹 세부 정보를 검색합니다.
  • 그룹 목록: 필터링을 사용하여 모든 그룹을 조회합니다.
  • 그룹 업데이트: 그룹 속성을 수정합니다.
  • 그룹 삭제: 디렉터리에서 그룹을 제거합니다.
  • 그룹에 사용자 추가: 사용자에게 그룹 멤버십을 부여합니다.
  • 그룹에서 사용자 제거: 그룹 멤버십을 취소합니다.
  • 그룹 멤버 목록: 그룹의 모든 사용자를 가져옵니다.
  • 그룹 소유자 목록: 그룹 관리자를 봅니다.

디렉터리 역할

  • 역할 할당: 관리자 역할(글로벌 관리자, 사용자 관리자 등)을 부여합니다.
  • 역할 제거: 관리자 권한을 취소합니다.
  • 사용자 역할 가져오기: 사용자에게 할당된 모든 역할을 봅니다.
  • 사용 가능한 역할 목록: 디렉터리 역할 템플릿을 조회합니다.

관리자 관계

  • 관리자 가져오기: 사용자의 직속 관리자를 검색합니다.
  • 관리자 설정: 사용자에게 관리자를 할당합니다.
  • 관리자 제거: 관리자 할당을 해제합니다.
  • 직속 보고자 가져오기: 관리자에게 보고하는 모든 사용자를 나열합니다.

인증 방법

  • 인증 방법 가져오기: 구성된 MFA 방법(전화, 이메일, 인증기)을 봅니다.
  • 인증 방법 추가: 새 인증 방법을 등록합니다.
  • 인증 방법 제거: 인증 방법을 삭제합니다.
  • MFA 재설정: MFA 등록을 지우고 재등록을 강제합니다.

구성 옵션

  • 기본 도메인: 새 사용자 생성을 위한 기본 도메인을 설정합니다.
  • 비밀번호 복잡성: 최소 비밀번호 요구 사항을 구성합니다.
  • 라이선스 기본값: 새 사용자에게 특정 라이선스를 자동 할당합니다.
  • 그룹 템플릿: 새 사용자를 추가할 표준 그룹.

사용 사례

  • 사용자 온보딩: 계정 생성, 라이선스 할당 및 그룹 멤버십을 포함한 새 직원 프로비저닝을 자동화합니다.
  • 퇴사 처리: 퇴사 직원의 계정 비활성화, 라이선스 취소 및 그룹 멤버십 제거.
  • 비밀번호 재설정: 지원 티켓에 의해 트리거되는 셀프 서비스 비밀번호 재설정 워크플로우.
  • 라이선스 관리: 사용량에 따라 라이선스 할당을 최적화하고 미사용 라이선스를 회수합니다.
  • 보안 감사: 관리자 역할 할당 및 특권 접근을 모니터링합니다.
  • 일괄 작업: 조직 변경(부서 이동, 직함 변경)을 위한 대규모 사용자 업데이트.
  • 컴플라이언스 보고: 컴플라이언스 감사를 위한 사용자 접근 보고서를 생성합니다.
  • HR 통합: HR 시스템과 Azure AD 간의 사용자 데이터를 동기화합니다.

모범 사례

  • 서비스 프린시펄 사용: 개인 계정 대신 전용 앱 등록을 생성합니다.
  • 최소 권한: 작업에 대한 최소 필요한 권한을 부여합니다.
  • 관리자 동의: 테넌트 관리자가 애플리케이션 권한에 대한 동의를 부여하도록 합니다.
  • 오류 처리: 동시 수정 충돌을 우아하게 처리합니다.
  • 일괄 작업: 대규모 사용자 작업을 위해 일괄 엔드포인트를 사용합니다.
  • 감사 로깅: 컴플라이언스를 위한 모든 사용자 관리 작업을 기록합니다.

보안 고려 사항

  • 클라이언트 시크릿을 안전하게 저장합니다. 정기적으로 교체합니다(최대 2년 만료).
  • Azure AD 감사 로그에서 앱 로그인 및 API 사용량을 모니터링합니다.
  • 민감한 작업(역할 할당, 삭제)에 대한 승인 워크플로우를 구현합니다.
  • 조건부 접근 정책을 사용하여 관리자 작업을 보호합니다.

일반적인 문제 및 해결 방법

  • 권한 부족: 앱에 관리자 동의가 있는 필요한 애플리케이션 권한이 있는지 확인합니다.
  • 라이선스 사용 불가: 할당 전에 조직의 라이선스 풀을 확인합니다.
  • UPN 충돌: 사용자 생성 시 고유한 사용자 프린시펄 이름을 보장합니다.
  • 불변 ID: 클라우드 전용 계정에서는 immutableId를 수정할 수 없습니다.