조직에서 에이전트 ID 관리

Microsoft Entra 에이전트 ID 조직 전체에서 에이전트 ID를 관리하기 위한 중앙 집중식 도구 집합을 제공합니다. 에이전트 ID는 Microsoft Entra ID 고유한 ID 유형으로, 에이전트 워크로드에 맞게 분류, 메타데이터 및 보안 제어를 사용하는 AI 에이전트용으로 설계되었습니다.

이 문서에서는 에이전트 보기 및 비활성화, 액세스 제어, 활동 모니터링 및 보안 위험 대응에 이르기까지 주요 에이전트 관리 작업을 다룹니다. 테넌트 차원의 에이전트 감독을 담당하는 관리자이든 특정 에이전트를 관리하는 스폰서이든 이 가이드는 조직에서 에이전트 ID를 효과적으로 관리하는 데 필요한 정보를 제공합니다.

사전 요구 사항

다양한 관리 작업에는 서로 다른 역할 및 라이선스가 필요합니다. 다음 표에는 에이전트 ID 관리의 각 영역에 필요한 역할이 요약되어 있습니다.

에이전트 ID 보기

Microsoft Entra 관리 센터 테넌트에서 모든 에이전트 ID를 볼 수 있는 중앙 집중식 인터페이스를 제공합니다. 열을 검색, 필터링, 정렬 및 사용자 지정하여 특정 에이전트를 찾을 수 있습니다.

1. Microsoft Entra 관리 센터 로그인합니다.
2. Entra ID>Agents>Agent ID로 찾습니다.
3. 이름, 설명, 상태, 소유자, 스폰서, 부여된 권한 및 로그인 로그를 포함하여 세부 정보를 보려면 에이전트 ID를 선택합니다.

특정 에이전트를 검색하려면 검색 상자에 이름 또는 개체 ID 를 입력하거나 청사진 앱 ID 필터를 추가합니다. 열 선택 단추를 선택하여 표시되는 열을 사용자 지정할 수 있습니다 . 사용 가능한 열에는 이름, 생성 날짜, 상태, 개체 ID, 접근 권한 보기, 청사진 앱 ID, 소유자 및 스폰서, 에이전트 신원 사용이 포함됩니다.

이 보기에서 에이전트 필터링, 열 사용자 지정 및 보기에 대한 자세한 지침은 테넌트에서 에이전트 ID 보기 및 필터링을 참조하세요.

대리인 정체성 청사진 관리

에이전트 정체성 청사진은 개별 에이전트 정체성이 만들어지는 부모 정의입니다. 관리 센터에서는 모든 블루프린트 주체를 보고, 그들의 권한을 관리하며, 활동을 모니터링할 수 있습니다.

1. Microsoft Entra 관리 센터 로그인합니다.
2. Entra ID>Agents>Agent 청사진으로 이동하세요.
3. 에이전트 ID 청사진 주체를 선택하여 관리하십시오.

블루프린트의 관리 페이지에서 다음을 수행할 수 있습니다.

• 연결된 에이전트 ID 보기: 이 청사진에서 만든 모든 자식 에이전트 ID를 확인합니다.
• 청사진 액세스 관리: 청사진에 할당된 권한 보기, 관리 및 해지
• 소유자 및 스폰서 관리: 소유자는 기술 관리를 처리하고 스폰서는 에이전트의 목적 및 수명 주기 결정에 대해 책임을 집니다.
• 감사 로그 보기: 보안 및 규정 준수에 대한 관리 변경 내용을 추적합니다.
• 로그인 로그 보기: 인증 이벤트를 모니터링합니다.
• 청사진 사용 안 함: 명령 모음에서 사용 안 함을 선택합니다.

자세한 지침은 테넌트에서 에이전트 ID 청사진 보기 및 관리를 참조하세요.

청사진에 대한 상속 가능한 권한 구성

상속 가능한 사용 권한을 사용하면 에이전트 ID가 부모 청사진에서 OAuth 2.0 위임된 권한 범위를 자동으로 상속할 수 있습니다. 청사진에 상속 가능한 권한을 구성하면 새로 만든 에이전트 ID는 대화형 사용자 또는 관리자 동의 프롬프트 없이 기본 범위 집합을 받습니다.

리소스 앱당 두 가지 상속 패턴이 지원됩니다.

필수 권한만 사용하여 열거형 범위로 시작한 다음 필요에 따라 확장합니다. 이 방법은 최소 권한 원칙을 따르며 에이전트가 실제로 사용하는 사용 권한을 더 쉽게 감사할 수 있습니다.

키 제한:

• 청사진당 최대 10개의 리소스 앱.
• 열거형 범위의 경우 리소스 앱당 최대 40개의 범위입니다.
• 일부 높은 권한 범위는 플랫폼 정책에 의해 차단되며 상속될 수 없습니다.

상속 가능한 권한은 Microsoft Graph 사용하여 inheritablePermissions 애플리케이션 리소스의 agentIdentityBlueprint 탐색 속성을 통해 구성됩니다. 단계별 API 예제(추가, 업데이트, 삭제)는 에이전트 ID 청사진에 대한 상속 가능한 권한 구성을 참조하세요.

리소스에 대한 에이전트 액세스 제어

조건부 액세스 정책은 에이전트 ID 인증을 위한 테넌트 차원의 제어를 제공합니다. 이러한 정책을 사용하여 모든 에이전트 ID를 차단하거나, 특정 에이전트만 허용하거나, ID 보호 신호에 따라 위험한 에이전트를 차단할 수 있습니다.

에이전트 ID에 대한 조건부 액세스에 대한 핵심 사항:

• 정책은 차단 권한 부여 컨트롤을 사용하여 모든 에이전트 ID 또는 모든 에이전트 사용자로 범위를 지정할 수 있습니다.
• 정책은 모든 리소스를 대상으로 지정하여 조직 전체에서 에이전트 액세스를 방지할 수 있습니다.
• 에이전트 위험 조건 (높음, 중간, 낮음)을 사용하면 ID 보호의 위험 신호에 따라 에이전트를 차단할 수 있습니다.
• 정책은 적용 전에 안전한 평가를 위해 보고서 전용 모드 를 지원합니다.

자세한 정책 구성, 단계별 연습 및 비즈니스 시나리오 예제는 에이전트 ID에 대한 조건부 액세스를 참조하세요.

에이전트 활동 모니터링

로그인 및 감사 로그

에이전트 ID 활동은 Microsoft Entra 감사 및 로그인 로그에서 캡처됩니다.

• 감사 로그는 발생한 기본 ID 유형에서 에이전트 관련 이벤트를 기록합니다. 예를 들어 에이전트 ID 사용자를 만드는 작업은 "사용자 만들기" 감사 활동으로 나타나고 에이전트 ID를 만드는 작업은 "서비스 주체 만들기"로 나타납니다.
• 로그인 로그 에는 에이전트 및 해당 로그인 동작에 대한 속성을 제공하는 리소스 종류가 포함 agentSignIn 됩니다.

에이전트 로그인 로그를 보려면 다음을 수행합니다.

1. 리포트 판독기 이상의 역할로 Microsoft Entra 관리 센터에 로그인합니다.
2. Entra ID>모니터링 및 상태>로그인 로그에서 이동합니다.
3. 다음 필터를 사용합니다.
   • 에이전트 유형: 에이전트 ID 사용자, 에이전트 정체성, 에이전트 정체성 청사진 또는 에이전트가 아님 중에서 선택합니다.
   • 에이전트:아니요 또는 예 중에서 선택합니다.

Microsoft Graph 사용하여 에이전트 로그인 이벤트를 검색할 수도 있습니다.

GET https://graph.microsoft.com/beta/auditLogs/signIns?$filter=signInEventTypes/any(t: t eq 'servicePrincipal') and agent/agentType eq 'AgentIdentity'

로그 유형 및 액세스 방법에 대한 자세한 내용은 Microsoft Entra 에이전트 ID 로그 참조하세요.

에이전트 위험 감지 및 수정

에이전트에 대한 ID 보호

Microsoft Entra ID Protection은 에이전트 신원에서 비정상적인 동작을 모니터링합니다. 익숙하지 않은 리소스 액세스, 로그인 급증 및 실패한 액세스 시도를 포함하여 6가지 오프라인 위험 유형을 검색합니다. 관리자는 위험한 에이전트 보고서를 검토하고 대응 조치를 취할 수 있습니다. 손상 확인, 안전 확인, 위험 해제 또는 에이전트 사용 안 함.

에이전트가 손상된 것으로 확인되면 위험 수준이 높음으로 설정됩니다. 높은 에이전트 위험을 차단하도록 구성된 조건부 액세스 정책이 있는 경우 에이전트가 리소스에 액세스하지 못하도록 자동으로 차단됩니다.

전체 위험 검색 테이블, 응답 작업, Graph API 세부 정보 및 보고서 연습은 에이전트에 대한 Identity Protection 참조하세요.

에이전트 보안 인시던트에 대응

에이전트 활동이 위험 검색 또는 보안 문제를 트리거하는 경우 다음 순서를 따릅니다.

1. 탐지: Microsoft Entra 관리 센터에서 위험한 에이전트 보고서를 검토하십시오. 위험 검색은 최대 90일 동안 볼 수 있습니다. 세부 정보에는 에이전트의 표시 이름, 위험 상태, 위험 수준, 에이전트 유형 및 스폰서가 포함됩니다.
2. 응답: 즉각적인 조치를 취합니다.
   • 손상 확인: 위험 수준을 높음으로 설정하고 높은 에이전트 위험을 차단하도록 구성된 위험 기반 조건부 액세스 정책을 트리거합니다.
   • Disable: Microsoft Entra ID 및 연결된 앱에서 모든 로그인을 방지합니다.
3. 조사: 위험 검색 세부 정보, 로그인 로그 및 감사 로그를 검토하여 범위 및 영향을 이해합니다.
4. 복구: 조사 결과에 따라:
   • 오탐인 경우: 위험을 무시하고 에이전트를 다시 활성화합니다.
   • 실제로 보안 침해가 발생한 경우: 다시 활성화하기 전에 자격 증명을 변경하거나 에이전트 식별정보를 사용 중지합니다.

위험 유형, 검색 메커니즘 및 응답 작업에 대한 자세한 내용은 에이전트에 대한 ID 보호를 참조하세요.

에이전트 신원 및 스폰서 모니터링 관리

스폰서 책임

각 에이전트 ID에는 수명 주기 및 액세스 결정을 담당하는 책임이 있는 사람 스폰서가 있어야 합니다. 주요 거버넌스 동작은 다음과 같습니다.

• Automatic 스폰서 이전: 스폰서가 조직을 떠나는 경우 Microsoft Entra ID 자동으로 스폰서의 관리자에게 스폰서쉽을 재할당합니다.
• 만료 알림: 액세스 패키지 할당이 만료될 때 스폰서는 알림을 받습니다. 스폰서는 연장을 요청하거나(새 승인 주기를 트리거) 할당이 만료되도록 할 수 있습니다.
• 액세스 요청 경로: 액세스 패키지는 에이전트의 자체 프로그래밍 방식 요청, 에이전트 대신 스폰서 또는 관리자 직접 할당의 세 가지 경로를 통해 요청할 수 있습니다.

액세스 패키지는 보안 그룹 멤버 자격, 애플리케이션 OAuth API 권한(Microsoft Graph 애플리케이션 권한 포함) 및 Microsoft Entra 역할을 부여할 수 있습니다.

액세스 패키지 구성 및 스폰서 정책을 포함한 전체 거버넌스 개요는 관리 에이전트 ID를 참조하세요.

수명 주기 워크플로를 사용하여 스폰서 알림 자동화

수명 주기 워크플로는 에이전트 ID 후원을 위한 두 가지 자동화된 작업을 제공합니다.

• 스폰서쉽 변경에 대한 전자 메일을 관리자에게 보냅니다.
• 스폰서 변경에 대한 전자 메일을 공동 사용자에게 보내기

두 작업 모두 이동자 및 떠나는 사람 카테고리 작업입니다. 이들은 조인자 템플릿이 아닌 이동자 또는 떠나는 사람 워크플로우 템플릿에서만 트리거됩니다. 이렇게 하면 에이전트의 스폰서가 역할을 변경하거나 조직을 떠날 때 스폰서쉽의 연속성이 보장됩니다.

단계별 워크플로 구성은 수명 주기 워크플로의 에이전트 ID 스폰서 작업을 참조하세요.

대규모 에이전트 관리 자동화

많은 수의 에이전트 ID를 관리하는 조직의 경우 다음 옵션을 사용할 수 있습니다.

• 다중 선택 사용 안 함: 관리 센터는 한 번에 여러 에이전트 ID를 선택하고 모든 에이전트 ID 페이지에서 일괄로 사용하지 않도록 설정합니다.
• Microsoft Graph API: 에이전트 ID 엔드포인트는 프로그래밍 방식 관리를 지원합니다. 예를 들어, ID 보호는 프로그래밍 방식의 위험 모니터링을 위해 riskyAgents 및 agentRiskDetections 컬렉션을 노출합니다.

에이전트 ID 사용 안 함 또는 제한

조직은 필요한 범위에 따라 세 가지 수준에서 에이전트 ID 사용을 제어할 수 있습니다.

모든 범위에서 비활성화된 에이전트 ID를 다시 사용하도록 설정하면 액세스 및 토큰 발급이 복원됩니다.

관련 콘텐츠

• Microsoft Entra 에이전트 ID
• 최종 사용자 환경에서 에이전트 관리