Office 365 Identity & Access: 사용자 및 권한 관리

튜토리얼

사용자 계정 및 권한 관리하기: Office 365 Identity & Access. 이 문서는 Office 365에서 IdentityAccess Management 도구를 사용하여 사용자 계정 및 권한을 관리하는 방법을 보여줍니다.

먼저 Office 365 Identity 및 Access Management 솔루션 개요를 살펴보겠습니다. 이 섹션에서는 Office 365 Identity 및 Access Management에서 다양한 유형의 사용자를 생성하고 이들에게 리소스에 대한 액세스를 부여하는 방법에 대해 논의합니다.

특히, 이 섹션에서는 Microsoft 365, Azure AD 포털 또는 Azure AD PowerShell을 사용하여 내부 및 외부 사용자를 생성하는 방법에 중점을 둡니다. 또한, 이 세 가지 도구를 사용하여 사용자에게 필요한 리소스에 대한 액세스를 부여하는 방법을 실습합니다.

Office 365 사용자 계정 및 권한 관리의 연장선으로 사용자 비밀번호 재설정이 포함됩니다. 따라서 본문에서는 Office 365 사용자의 비밀번호를 재설정하는 세 가지 방법에 대해 설명합니다.

또한 읽어보세요. Office 365에서 피싱 공격으로부터 보호하는 방법

Office 365 ID 및 액세스 관리 개요

Office 365 ID 및 액세스 관리(IAM) 도구를 사용하면 관리자가 사용자 계정 및 권한을 관리할 수 있습니다. Microsoft 365는 내부 사용자와 외부 사용자라는 2가지 유형의 사용자를 제공합니다.

내부 사용자는 조직의 구성원이며 외부 사용자는 협업을 목적으로 Office 365 테넌트에 추가된 다른 조직의 구성원입니다.

내부 또는 외부 사용자를 생성한 후에는 역할 또는 그룹을 통해 리소스에 대한 액세스 권한을 부여합니다. 역할별 액세스 권한을 부여하려면 사용자를 해당 역할에 추가하세요.

사용자에게 그룹 멤버십을 통한 리소스 액세스를 부여할 때, 사용자를 그룹에 추가하는 것이 좋습니다. 그런 다음 해당 Azure AD 역할에 그룹을 추가합니다.

이 접근 방식은 사용자가 그룹에 할당된 권한을 상속받는 것을 보장합니다.

그룹에 그룹을 추가하려면 그룹을 만들 때 역할 할당을 먼저 활성화해야 합니다. 그러나 이 설정을 활성화한 후에는 그룹에 대해 영구적입니다.

대안으로, 역할 할당 가능 그룹에 내장된 역할에 액세스 권한을 부여한 다음 사용자를 그룹에 추가할 수 있습니다.

더 읽기 Office 365에서 역할 기반 액세스 제어 구현하는 방법

방법 1:

M365 Portal을 사용하여 Office 365 ID 및 액세스 관리를 통한 사용자 계정 및 권한 관리

또한 Microsoft 365 그룹 생성, 그룹에 사용자 추가, 사용자 또는 그룹을 역할에 할당하는 단계별 지침을 제공합니다.

단계 1 옵션 2: Microsoft 365 포털에서 Office 365 내부 사용자 생성

Microsoft 365에서 사용자 및 권한을 관리하기 시작하려면 적절한 권한을 가진 계정으로 admin.microsoft.com에 액세스하십시오.

다음으로 활성 사용자 페이지에 액세스하십시오. 탐색 메뉴 아이콘을 클릭하여(이미 확장되어 있지 않은 경우), 사용자 노드에서 “활성 사용자”를 선택하십시오.

“활성 사용자” 페이지에서 “사용자 추가”를 클릭하여 새로운 사용자 생성 워크플로우를 시작하십시오. 이를 통해 필요한 사용자 세부 정보를 추가하고 필요한 경우 라이선스 및 역할을 할당할 수 있습니다.

더 읽기 개선된 보안을 위한 Office 365 활동 로그 모니터링 방법

단계 1 옵션 2: Microsoft 365 포털에서 Office 365 외부 사용자 생성

다른 사용자가 외부 사용자의 캘린더를 자신의 캘린더에 추가할 수 있도록하려면, Microsoft 365에서 외부 사용자를 만들기 전에 Exchange Online에서 사용자를 메일 연락처로 추가하는 것이 좋습니다.

내 경험상, 이 단계를 건너 뛰면 다른 사용자가 외부 사용자의 캘린더를 자신의 것에 추가하는 데 문제가 발생할 수 있습니다.

그러나 내부 사용자가 외부 사용자를 자신의 캘린더에 추가할 필요가 없는 경우, 이 단계를 건너 뛸 수 있고 아래 단계 2로 이동할 수 있습니다:단계 1: Exchange Online에서 사용자를 메일 연락처로 추가(선택 사항).

단계 1: Exchange Online에 사용자용 메일 연락처 추가(옵션).

Exchange Online 연락처 페이지를 열려면 관리자 자격 증명을 사용하여 admin.exchange.microsoft.com에 로그인하십시오. 로그인한 후에 수신자 -> 연락처 페이지로 이동하십시오.

마지막으로 “메일 연락처 추가”를 클릭하고 단계를 완료하십시오. 데모로 Gmail 계정을 추가했습니다.

단계 2: 메일 연락처를 게스트 사용자로 추가합니다.

admin.microsoft.com에 로그인하고 사용자 탭 내의 “게스트 사용자” 섹션으로 이동하십시오. 그런 다음, 새 게스트 사용자를 추가하려면 “게스트 사용자 추가”를 클릭하십시오.

이 작업은 새 브라우저 탭에서 Azure AD “새 사용자” 페이지를 엽니다. Azure AD 페이지에서 사용자 초대 옵션을 선택하고 필요한 정보를 추가한 후 초대 버튼을 클릭하십시오.

계정을 활성화하려면 외부 사용자는 Microsoft로부터의 이메일을 확인하고 메시지에 제공된 링크를 따라야 합니다.

더 읽기 Office 365 보안 강화를 위한 조건부 액세스 정책 사용

단계 2 옵션 1: Office 365 포털에서 역할을 통해 사용자 계정에 권한 부여

오피스 365에서 사용자에게 역할을 할당하려면 Microsoft 365 포털로 이동하여 아래 지침을 따르세요.

내부 및 외부 사용자를 Microsoft 365 역할에 할당합니다.

1. 메뉴에서 역할을 확장하고 역할 할당을 클릭하세요.

2. 다음으로, 사용자에게 할당할 Azure AD 역할을 클릭하세요. 예를 들어, “헬프데스크 관리자”입니다.

3. 역할 플라이아웃에서 할당됨 탭을 클릭하고 “사용자 추가”를 클릭한 다음, 사용자를 선택하고 추가를 클릭하세요.

추가된 후 “할당됨” 탭을 확인하여 성공적으로 추가되었는지 확인하세요.

또한 읽어보세요 오피스 365 사용자 보고서 확인

2단계 옵션 2: Microsoft 365 포털에서 그룹을 통해 사용자 계정에 권한 부여

사용자에게 그룹을 통한 액세스 권한을 할당하려면 2단계 프로세스를 따르세요.

먼저 사용자를 그룹에 추가합니다. 그런 다음 역할 관리 인터페이스를 사용하여 그룹에 역할을 할당합니다.

이전에 언급했듯이 역할을 그룹에 할당하는 옵션을 선택해야 하는 것은 그룹을 만들 때여야 합니다. 따라서 사용자 역할을 할당하기 위해 그룹을 사용하려면 그룹을 만들고 생성 프로세스 중에 역할 할당 기능을 활성화하십시오.

1. 이를 위해 Microsoft 365 포털에서 “팀 및 그룹”을 확장한 다음 “활성 팀 및 그룹”을 선택하십시오.

2. 그런 다음 “그룹 추가” 워크플로를 열려면 그룹 추가를 클릭하십시오.

새 그룹을 만들 때는 워크플로의 “구성원” 섹션에 사용자를 그룹에 추가할 수 있습니다. 또한 “이 그룹에 관리자 역할을 할당할 수 있도록 허용” 확인란을 “설정” 섹션에서 확인할 수 있습니다.

구성에 대한 두 번째 스크린샷을 참조하십시오.

3. 그룹에 역할을 할당하려면 메뉴를 탐색하여 역할을 확장한 다음 역할 할당을 클릭하십시오.

4. 역할 할당을 클릭한 후에 “도움데스크 관리자”와 같은 그룹에 할당하려는 Azure AD 역할을 선택하십시오.

5. 그런 다음 역할 플라이아웃에서 할당됨 탭을 클릭하십시오. 그런 다음 “그룹 추가”를 클릭하십시오.

6. 마지막으로, 역할을 할당하려는 그룹을 선택하고 추가를 클릭합니다.

그룹을 역할에 추가한 후에는 “할당됨” 탭을 확인하여 성공적으로 추가되었는지 확인하십시오.

더 읽기 최고의 IAM 도구 10선 – Identity Access Management (장단점)

Microsoft 365 포털에서 Office 365 사용자 암호 재설정

1. Microsoft 365 포털에서 사용자 암호를 재설정하려면 네비게이션 패널에서 “사용자” 메뉴를 확장합니다. 다음으로 “활성 사용자”를 선택하고 암호를 재설정해야 하는 사용자 계정 위로 마우스를 올립니다. 암호를 재설정합니다.

2. 계정 위로 마우스를 올리면 나타나는 키 기호를 클릭합니다. 이렇게 하면 암호 재설정 프로세스가 시작됩니다.

3. 마지막으로, “암호 재설정” 플라이아웃에서 원하는 옵션을 선택하고 “암호 재설정”을 클릭합니다. Microsoft 365 포털은 새로운 암호가 포함된 확인 메시지를 표시합니다.

또한 읽기 Azure AD 감사 로그를 확인하여 사용자 로그인 (성공 실패)

방법 2:

Azure AD 포털을 사용하여 Office 365 IAM으로 사용자 계정 및 권한 관리

이 포털은 관리자가 사용자 계정을 관리하고 권한을 구성하는 등 다양한 기능과 도구를 제공합니다. 이 섹션에서는 Azure AD 포털에서 사용자 계정을 관리하는 중요한 단계를 탐색합니다. Azure AD 포털.

단계 1 옵션 1: Azure AD 포털에서 Office 365 내부 사용자 만들기

1. 먼저 portal.azure.com에 로그인하고 메뉴에서 사용자 옵션으로 이동합니다.


2. 그런 다음 “추가”를 클릭하고 사용자를 선택합니다. 마지막으로 만들기 사용자 템플릿을 선택하고 필요한 세부 정보를 제공한 다음 만들기를 클릭합니다.

또한 읽기 New-MgGroupMemberByRef – Powershell을 사용하여 Azure AD 그룹에 사용자 추가

단계 1 옵션 2: Azure AD 포털에서 Office 365 외부 사용자 만들기

이전에 외부 사용자를 만들기 전에 사용자에게 메일 연락처를 추가하는 것을 추천했습니다. 내부 사용자가 외부 사용자의 캘린더를 자신의 것에 추가해야 하는 경우에는 이렇게 권장됩니다.

메일 연락처를 만들려면 admin.exchange.microsoft.com의 Exchange Online Contact 페이지에 로그인하세요. 로그인한 후에 수신자 -> 연락처 페이지로 이동하세요. 그런 다음 “메일 연락처 추가”를 클릭하고 필요한 단계를 완료하세요.

위의 선택 사항을 완료한 후에 외부 사용자에게 Azure AD에서 초대장을 보내려면 다음 단계를 따르세요:

1. 먼저 “2단계 중 1단계” 가이드를 따라 2단계에 도달할 때까지 진행하세요.

2. 그런 다음 사용자 초대 템플릿을 선택하세요. 마지막으로 필요한 정보를 제공하고 초대를 클릭하세요.

위의 단계를 완료하면 사용자가 Microsoft로부터 이메일을 받습니다.

그 안에는 Azure AD 등록을 완료하기 위한 링크가 포함되어 있습니다. 사용자는 프로세스를 완료하기 위해 링크를 클릭해야 합니다.

또한 읽기 Get-MgUser – PowerShell 스크립트를 사용하여 Azure AD 사용자 찾기 및 필터링

단계 2 옵션 1: Azure AD 포털에서 역할을 통해 사용자 계정 권한 부여

1. 사용자를 만든 후에는 Azure AD 포털을 사용하여 사용자에게 역할을 할당하십시오. 이 작업을 수행하려면 Azure Active Directory 메뉴에서 “역할 및 관리자”를 클릭하십시오. 

2. 그런 다음 사용자에게 할당하려는 역할을 선택하십시오. 필요한 경우 검색 기능을 사용하십시오. 

3. 그런 다음 “할당 추가”를 클릭하여 프로세스를 완료하십시오.

또한 읽기 Azure AD Connect에서 비밀번호 Writeback 활성화하는 방법

단계 2 옵션 2: Azure AD 포털에서 그룹을 통해 사용자 계정 권한 부여

1 위의 단계 3에서는 Azure AD 역할을 통해 사용자에게 권한을 할당하는 방법을 보여주었습니다. 그러나 더 나은 방법은 그룹 멤버십에 기반하여 사용자 역할을 할당하는 것입니다.

Azure AD에서 작업을 완료하기 위해 다음 단계를 따르십시오:

먼저, 그룹을 만들고 AD 역할을 할당할 수 있도록 활성화하십시오. 둘째, 사용자를 새 그룹의 구성원으로 추가하십시오.

마지막으로, 사용자에게 할당하려는 역할을 Azure AD 그룹에 할당함으로써 사용자에게 역할을 할당하십시오.

다음은 실제 작업 단계입니다:

1. 메뉴에서 “그룹”을 클릭한 다음 “새 그룹”을 클릭하십시오.

2. “Azure AD 역할이 그룹에 할당됨”을 켜고, 아래 스크린샷에서 옵션을 선택한 후 “만들기”를 클릭하여 그룹 생성을 완료하십시오. 

다음으로, 사용자를 그룹에 추가하고 역할을 할당하려면 다음 단계를 따르십시오:

3. 그룹 노드에서 그룹을 클릭한 다음 그룹 페이지에서 “구성원”을 클릭하십시오. 그런 다음 사용자를 Azure AD 그룹에 추가하려면 “+ 구성원 추가”를 클릭하십시오.

4. Azure Active Directory 그룹을 역할에 할당하려면 Azure Active Directory 메뉴에서 “역할 및 관리자”를 클릭하세요. 그런 다음, 그룹에 할당하려는 역할을 선택하고 “할당 추가”를 클릭하세요.


참고 PowerShell을 사용하여 Office 365에 연결하는 방법

Azure AD 포털에서 Office 365 사용자 암호 재설정

관리자는 Office 365 신원 및 액세스 관리 솔루션을 사용하여 사용자 계정과 권한을 관리하기 위해 암호를 재설정할 수 있어야 합니다. 따라서 Azure AD 포털에서 사용자 암호를 재설정할 수 있다는 것을 아는 것이 좋습니다.

1. Azure Active Directory 포털에서 사용자 계정을 재설정하려면 “사용자” 노드를 클릭하세요.

2. 사용자를 선택하고 ‘비밀번호 재설정’을 클릭하여 사용자 자세한 정보 위에있는 프로세스를 완료하세요.



또한 읽기사용자를위한 Office 365에서 MFA가 활성화되었는지 확인하는 방법

방법 3:

PowerShell을 사용하여 Office 365 ID 및 액세스 관리로 사용자 계정 및 권한 관리

이제 세 번째이자 마지막 방법으로 넘어갑니다. PowerShell을 사용하여 동일한 작업을 수행합니다.

먼저, 수행해야 할 작업에 필요한 PowerShell 모듈을 설치해야합니다.

단계 1: 필수 모듈 설치: AzureAD, ExchangePowerShell, Az.Accounts 및 Az.Resources

1. 관리자로 PowerShell을 열어주세요. PowerShell을 검색 한 다음 ‘관리자로 실행’을 클릭하십시오.

2. 다운로드 한 모듈에서 명령을 실행하는 새 인스턴스를 열려면 관리자 권한으로 PowerShell을 열고 다음 명령어를 실행하십시오

powershell.exe -ExecutionPolicy "RemoteSigned"

3. 다음으로, 필요한 PowerShell 모듈을 설치하려면 다음 명령을 실행하세요. 첫 번째 명령은 모듈을 설치하고, 두 번째 명령은 모듈을 현재 현재 PowerShell 세션에 가져옵니다.

Install-Module AzureAD, ExchangeOnlineManagement, Az.Accounts, Az.Resources
Import-Module AzureAD, ExchangeOnlineManagement, Az.Resources, Az.Accounts

참고 읽기 PowerShell을 사용하여 Active Directory 그룹의 구성원을 가져와서 CSV로 내보내기

2단계 옵션 1: PowerShell에서 Office 365 내부 사용자 생성

1. 이 명령을 실행하여 Azure AD 테넌트에 연결합니다. 이는 PowerShell에 로그인 로그인 세부 정보를 요청하도록 합니다.

Connect-AzureAD

2. 연결되면 새 Office 365 사용자를 생성하기 위해 다음 명령을 실행하세요.

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$PasswordProfile.Password = "enter password here"
New-AzureADUser -DisplayName "M365 PowerShell" -PasswordProfile $PasswordProfile -UserPrincipalName "[email protected]" -AccountEnabled $true -MailNickName "M365PowerShell"

참고 읽기 Get-AzureADAuditSignInLogs – PowerShell에서 마지막 30일 동안의 로그인 로그 찾기

2단계 옵션 2: PowerShell에서 Office 365 외부 사용자 생성

이전 두 가지 방법에서 언급된 대로, 외부 사용자는 먼저메일 연락처로 추가될 수 있으며, 이는 선택 사항입니다.

내부 사용자가 외부 사용자의 캘린더를 자신의 것에 추가해야 하는 경우, PowerShell을 사용하여 메일 연락처를 추가하려면 단계 1에서 2로 이동하여 진행하십시오. 또는 단계 3로 건너뛰십시오.

1. 단계 2 옵션 1에서 열린 PowerShell 콘솔에서Exchange Online에 연결하려면 아래 명령을 실행하고 PowerShell에서 요청 시로그인 세부 정보를 입력하십시오.  

Connect-ExchangeOnline

2. 이 명령을 사용하여 초대할 외부 사용자의 메일 연락처를 추가하십시오. 명령의 일부를 필요에 맞게 수정하십시오. 

New-MailContact -Name "Victor Gmaail PowerShell" -ExternalEmailAddress "enter user's email here"

3. 다음으로 제공된 명령을 실행하여 초대장을 보내십시오: 명령을 실행하기 전에 매개 변수를 수정하십시오. 

New-AzureADMSInvitation -InvitedUserEmailAddress email@externaldomain.com -SendInvitationMessage $True -InviteRedirectUrl "http://myapps.microsoft.com"

추가로 읽기 0xc000006a – 사용자 로그온 철자 오류 또는 잘못된 암호

단계 3 옵션 1: PowerShell에서 역할을 통해 사용자 계정 권한 부여

다음 명령을 실행하여 사용자에게 역할을 할당하십시오. 명령을 수정하여 요구 사항을 충족합니다. 

I have included comments in the script to explain each command. 

#step 1: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: Get the ID of the role you want to assign the user
$roleDefinitionid = (Get-AzureADMSRoleDefinition -Filter "displayName eq 'Helpdesk Administrator'").Id
#step 3: assign the user the role
$roleAssignment = New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $userid

#단계 1: 역할에 추가할 사용자의 ID를 가져옵니다:

#단계 2: 사용자에게 할당할 역할의 ID를 가져옵니다

#step 1: Create a role-assignable group in Azure Active Directory - skip this step if you have an existing role assignable group
$group = New-AzureADMSGroup -DisplayName "InfraSOS_Helpdesk_Administrators" -Description "This group is assigned to Helpdesk Administrator built-in role in Azure AD." -MailEnabled $false -SecurityEnabled $true -MailNickName "InfraSOShelpdeskadministrators" -IsAssignableToRole $true
#step 2: get the ID of the user you want to add to a role:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 3: add the user to the AAD group
Add-AzureADGroupMember -ObjectId $group.id -RefObjectId $userid
#step 4: add azure AD group to an azure AD role
New-AzureADMSRoleAssignment -DirectoryScopeId '/' -RoleDefinitionId $roleDefinitionid -PrincipalId $group.id

#단계 3: 사용자에게 역할을 할당합니다

옵션 2: PowerShell에서 그룹을 통해 사용자 계정 권한 부여하기

그룹 멤버십을 통해 사용자에게 역할을 할당하려면 아래 스크립트의 명령을 실행하십시오.

#step 1: get the ID of the user you want to reset its password:
$userid = (Get-AzADUser -DisplayName "M365 PowerShell").id
#step 2: set a new password for the user
#step 3: reset the passord.
Set-AzureADUserPassword -ObjectId  $userid -Password $password -ForceChangePasswordNextLogin $true

#단계 1: 역할할당 가능한 그룹 Azure Active Directory 에서 생성 기존 역할 할당 가능한 그룹이 있는 경우 단계 건너뛰세요

#단계 2: 사용자의 ID 가져오기:

#단계 3: 사용자를 AAD 그룹 추가

#단계 4: Azure AD 그룹을 Azure AD 역할 추가

또한 읽기 SSPR: Azure Active Directory 자동 서비스 암호 재설정 사용

PowerShell을 사용하여 Office 365 사용자 암호 재설정

Source:
https://infrasos.com/office-365-identity-access-manage-user-accounts-permissions/