외부 ID에 대한 인증 및 조건부 액세스
팁
이 문서는 B2B 협업 및 B2B 직접 연결에 적용됩니다. 테넌트가 고객 ID 및 액세스 관리를 위해 구성된 경우 Microsoft Entra 외부 ID 보안 및 거버넌스를 참조하세요.
외부 사용자가 조직의 리소스에 액세스하는 경우 인증 흐름은 협업 방식(B2B 협업 또는 B2B 직접 연결), 사용자의 홈 테넌트와 테넌트 호스팅 리소스 모두에 구성된 사용자의 ID 공급자(외부 Microsoft Entra 테넌트, 소셜 ID 공급자 등), 조건부 액세스 정책 및 테넌트 간 액세스 설정으로 결정됩니다.
이 문서에서는 조직의 리소스에 액세스하는 외부 사용자의 인증 흐름에 대해 설명합니다. 조직은 외부 사용자에 대해 여러 조건부 액세스 정책을 적용할 수 있으며, 이는 조직의 상근 직원 및 구성원에 대해 사용하도록 설정된 것과 동일한 방식으로 테넌트, 앱 또는 개별 사용자 수준에서 적용할 수 있습니다.
외부 Microsoft Entra 사용자의 인증 흐름
다음은 Microsoft Entra 조직이 다른 Microsoft Entra 조직의 사용자와 리소스를 공유할 때의 인증 흐름을 보여주는 다이어그램입니다. 이 다이어그램에서는 테넌트 간 액세스 설정(예: 다단계 인증)이 조건부 액세스 정책에서 작동하여 사용자가 리소스에 액세스할 수 있는지 확인하는 방법을 보여줍니다. 이 흐름은 6단계에 명시된 경우를 제외하고 B2B Collaboration 및 B2B 직접 연결 모두에 적용됩니다.
| 단계 | Description |
|---|---|
| 1 | Fabrikam(사용자의 홈 테넌트)의 사용자가 Contoso의 리소스(리소스 테넌트)에 대한 로그인을 시작합니다. |
| 2 | 로그인하는 동안 Microsoft Entra STS(보안 토큰 서비스)가 Contoso의 조건부 액세스 정책을 평가합니다. 또한 테넌트 간 액세스 설정(Fabrikam의 아웃바운드 설정 및 Contoso의 인바운드 설정)을 평가하여 Fabrikam 사용자에게 액세스가 허용되는지 확인합니다. |
| 3 | Microsoft Entra ID가 Contoso의 인바운드 트러스트 설정을 확인하여 Contoso에서 Fabrikam의 MFA 및 디바이스 클레임(디바이스 규정 준수, Microsoft Entra 하이브리드 조인 상태)을 신뢰하는지 확인합니다. 그렇지 않은 경우 6단계로 건너뜁니다. |
| 4 | Contoso가 Fabrikam의 MFA 및 디바이스 클레임을 신뢰하는 경우 Microsoft Entra ID는 사용자가 MFA를 완료했음을 나타내기 위해 사용자의 인증 세션을 검사. Contoso에서 Fabrikam의 디바이스 정보를 신뢰하는 경우 Microsoft Entra ID는 인증 세션에서 디바이스 상태(규정 준수 또는 Microsoft Entra 하이브리드 조인됨)를 나타내는 클레임을 찾습니다. |
| 5 | MFA가 필수인데 아직 완료되지 않았거나 디바이스 클레임이 제공되지 않은 경우 Microsoft Entra ID는 필요에 따라 사용자의 홈 테넌트에서 MFA 및 디바이스 챌린지를 발급합니다. Fabrikam에서 MFA 및 디바이스 요구 사항이 충족되면 사용자는 Contoso의 리소스에 액세스할 수 있습니다. 확인을 충족할 수 없는 경우 액세스가 차단됩니다. |
| 6 | 트러스트 설정이 구성되지 않고 MFA가 필요한 경우 B2B 협업 사용자에게 MFA를 묻는 메시지가 표시됩니다. 리소스 테넌트에서 MFA를 충족해야 합니다. B2B 직접 연결 사용자에 대한 액세스가 차단됩니다. 디바이스 규정 준수가 필요하지만 평가할 수 없는 경우 B2B Collaboration 및 B2B 직접 연결 사용자 모두에 대한 액세스가 차단됩니다. |
자세한 내용은 외부 사용자에 대한 조건부 액세스 섹션을 참조하세요.
비 Azure AD 외부 사용자에 대한 인증 흐름
Microsoft Entra 조직이 ID 공급자를 사용하여 Microsoft Entra ID 이외의 외부 사용자와 리소스를 공유하는 경우 인증 흐름은 사용자가 ID 공급자를 사용하여 인증하는지 아니면 이메일 일회용 암호를 사용하여 인증하는지에 따라 달라집니다. 두 경우 모두에서 리소스 테넌트는 사용할 인증 방법을 식별한 다음, 사용자를 ID 공급자로 리디렉션하거나 일회용 암호를 발급합니다.
예 1: 비 Azure AD 외부 사용자에 대한 인증 흐름 및 토큰
다음 다이어그램에서는 외부 사용자가 비 Azure AD ID 공급자(예: Google, Facebook 또는 페더레이션된 SAML/WS-Fed ID 공급자)의 계정으로 로그인하는 경우의 인증 흐름을 보여 줍니다.
| 단계 | Description |
|---|---|
| 1 | B2B 게스트 사용자가 리소스에 대한 액세스를 요청합니다. 리소스는 사용자를 해당 리소스 테넌트(신뢰할 수 있는 IdP)로 리디렉션합니다. |
| 2 | 리소스 테넌트가 사용자를 외부로 식별하고 사용자를 B2B 게스트 사용자의 IdP으로 리디렉션합니다. 사용자는 IdP에서 기본 인증을 수행합니다. |
| 3 | 권한 부여 정책이 B2B 게스트 사용자의 IdP에서 평가됩니다. 사용자가 이러한 정책을 충족하면 B2B 게스트 사용자의 IdP에서 사용자에게 토큰을 발급합니다. 사용자는 토큰을 사용하여 리소스 테넌트로 다시 리디렉션됩니다. 리소스 테넌트는 토큰의 유효성을 검사한 다음, 해당 조건부 액세스 정책에 대해 사용자를 평가합니다. 예를 들어 리소스 테넌트에서 사용자에게 Microsoft Entra 다단계 인증을 수행하도록 요구할 수 있습니다. |
| 4 | 인바운드 테넌트 간 액세스 설정 및 조건부 액세스 정책이 평가됩니다. 모든 정책이 충족되면 리소스 테넌트에서 자체 토큰을 발급하고 사용자를 해당 리소스로 리디렉션합니다. |
예 2: 일회용 암호 사용자에 대한 인증 흐름 및 토큰
다음은 이메일 일회용 암호 인증을 사용하도록 설정되어 있고 외부 사용자를 인증하는 다른 방법(예: Microsoft Entra ID, MSA(Microsoft 계정) 또는 소셜 ID 공급자)이 없을 때의 인증 흐름을 보여주는 다이어그램입니다.
| 단계 | Description |
|---|---|
| 1 | 사용자가 다른 테넌트의 리소스에 대한 액세스를 요청합니다. 리소스는 사용자를 해당 리소스 테넌트(신뢰할 수 있는 IdP)로 리디렉션합니다. |
| 2 | 리소스 테넌트는 사용자를 외부 메일 OTP(일회용 암호) 사용자로 식별하고 OTP를 사용하여 사용자에게 메일을 보냅니다. |
| 3 | 사용자가 OTP를 검색하고 코드를 전송합니다. 리소스 테넌트에서 조건부 액세스 정책에 대해 사용자를 평가합니다. |
| 4 | 모든 조건부 액세스 정책이 충족되면 리소스 테넌트에서 토큰을 발급하고 사용자를 해당 리소스로 리디렉션합니다. |
외부 사용자에 대한 조건부 액세스
조직은 정규 직원 및 조직 멤버에 사용하도록 설정된 것과 동일한 방식으로 외부 B2B Collaboration 및 B2B 직접 연결 사용자에 조건부 액세스 정책을 적용할 수 있습니다. 테넌트 간 액세스 설정이 도입되면서 외부 Microsoft Entra 조직의 MFA 및 디바이스 클레임도 신뢰할 수 있게 되었습니다. 이 섹션에서는 조건부 액세스를 조직 외부의 사용자에게 적용하기 위한 중요한 고려 사항에 대해 설명합니다.
참고 항목
조건부 액세스가 있는 사용자 지정 컨트롤은 테넌트 간 트러스트를 지원하지 않습니다.
외부 사용자 유형에 조건부 액세스 정책 할당
조건부 액세스 정책을 구성할 때 정책을 적용하려는 외부 사용자 유형을 세분화하여 제어할 수 있습니다. 외부 사용자는 인증 방식(내부 또는 외부) 및 조직과의 관계(게스트 또는 구성원)에 따라 분류됩니다.
- B2B 협업 게스트 사용자 - 일반적으로 게스트로 간주되는 대부분의 사용자가 이 범주에 속합니다. 이 B2B 협업 사용자는 외부 Microsoft Entra 조직 또는 외부 ID 공급자(예: 소셜 ID)의 계정을 갖고 있으며, 조직 내에서 게스트 수준 권한을 갖습니다. Microsoft Entra 디렉터리에 만든 사용자 개체의 UserType은 Guest입니다. 이 범주에는 초대를 받고 셀프 서비스 등록을 사용한 B2B 협업 사용자가 포함됩니다.
- B2B 협업 멤버 사용자 - 이 B2B 협업 사용자는 외부 Microsoft Entra 조직 또는 외부 ID 공급자(예: 소셜 ID)의 계정과 조직의 리소스에 대한 구성원 수준 액세스 권한을 갖습니다. 이 시나리오는 사용자가 대규모 조직의 일부로 간주되고 조직의 다른 테넌트의 리소스에 대한 구성원 수준 액세스가 필요한 여러 테넌트로 구성된 조직에서 일반적입니다. 리소스 Microsoft Entra 디렉터리에 만든 사용자 개체의 UserType은 Member입니다.
- B2B 직접 연결 사용자 - 특정 Microsoft 애플리케이션(현재 Microsoft Teams Connect 공유 채널)에 대한 Single Sign-On 액세스를 허용하는 다른 Microsoft Entra 조직과의 상호 양방향 연결인 B2B 직접 연결을 통해 리소스에 액세스할 수 있는 외부 사용자입니다. B2B 직접 연결 사용자는 Microsoft Entra 조직에 존재하지 않으며, 애플리케이션 내에서 Teams 공유 채널 소유자 등에 의해 관리됩니다.
- 로컬 게스트 사용자 - 로컬 게스트 사용자에게는 디렉터리에서 관리되는 자격 증명이 있습니다. Microsoft Entra B2B 협업이 불가능하던 시기에는 배포자, 공급자, 공급업체 및 기타 사용자의 내부 자격 증명을 설정하고 사용자 개체 UserType을 Guest로 설정하여 이들을 게스트로 지정하는 방법으로 협업하는 것이 일반적이었습니다.
- 서비스 공급자 사용자 - 조직의 클라우드 서비스 공급자 역할을 하는 조직입니다(Microsoft Graph 파트너별 구성의 isServiceProvider 속성이 true임).
- 다른 외부 사용자 - 이러한 범주에 속하지 않지만 조직의 내부 구성원으로 간주되지 않는 모든 사용자에게 적용됩니다. 즉, Microsoft Entra ID를 통해 내부적으로 인증되지 않으며 Microsoft Entra 디렉터리에서 만든 사용자 개체에는 UserType of Member가 없습니다.
참고 항목
이제 "모든 게스트 및 외부 사용자" 선택 항목이 "게스트 및 외부 사용자"와 모든 하위 유형으로 대체되었습니다. 이전에 "모든 게스트 및 외부 사용자"가 선택된 조건부 액세스 정책이 있었던 고객의 경우 이제 선택한 모든 하위 유형과 함께 "게스트 및 외부 사용자"가 표시됩니다. UX의 이러한 변경은 조건부 액세스 백 엔드에서 정책을 평가하는 방법에 대한 기능적 영향을 주지 않습니다. 새 선택 항목은 조건부 액세스 정책을 만들 때 사용자 범위에서 포함/제외할 게스트 및 외부 사용자의 특정 유형을 선택하는 데 필요한 세분성을 고객에게 제공합니다.
조건부 액세스 사용자 할당에 대해 자세히 알아봅니다.
외부 ID 조건부 액세스 정책 비교
다음 표에는 Microsoft Entra 외부 ID의 보안 정책과 규정 준수 옵션이 자세히 비교되어 있습니다. 보안 정책 및 규정 준수는 조건부 액세스 정책에서 호스트/초대한 조직에 의해 관리됩니다.
| 정책 | B2B 협업 사용자 | B2B 직접 연결 사용자 |
|---|---|---|
| 제어 권한 부여 - 액세스 차단 | 지원됨 | 지원됨 |
| 제어 권한 부여 - 다단계 인증 필요 | 지원됨 | 지원되는 경우 외부 조직에서 MFA 클레임을 수락하도록 인바운드 트러스트 설정을 구성해야 합니다. |
| 제어 권한 부여 - 규격 디바이스 필요 | 지원되는 경우 외부 조직에서 규정 준수 디바이스 클레임을 수락하도록 인바운드 트러스트 설정을 구성해야 합니다. | 지원되는 경우 외부 조직에서 규정 준수 디바이스 클레임을 수락하도록 인바운드 트러스트 설정을 구성해야 합니다. |
| 제어 권한 부여 - Microsoft Entra 하이브리드 조인 디바이스 필요 | 지원되는 경우 외부 조직의 Microsoft Entra 하이브리드 조인 디바이스 클레임을 수락하도록 인바운드 트러스트 설정을 구성해야 합니다. | 지원되는 경우 외부 조직의 Microsoft Entra 하이브리드 조인 디바이스 클레임을 수락하도록 인바운드 트러스트 설정을 구성해야 합니다. |
| 제어 권한 부여 - 승인된 클라이언트 앱 필요 | 지원되지 않음 | 지원되지 않음 |
| 제어 권한 부여 - 앱 보호 정책 필요 | 지원되지 않음 | 지원되지 않음 |
| 제어 권한 부여 - 암호 변경 필요 | 지원되지 않음 | 지원되지 않음 |
| 컨트롤 부여 - 사용 약관 | 지원됨 | 지원되지 않음 |
| 세션 컨트롤 - 앱 적용 제한 사용 | 지원됨 | 지원되지 않음 |
| 세션 컨트롤 - 조건부 액세스 앱 컨트롤 사용 | 지원됨 | 지원되지 않음 |
| 세션 컨트롤 - 로그인 빈도 | 지원됨 | 지원되지 않음 |
| 세션 컨트롤 - 영구 브라우저 세션 | 지원됨 | 지원되지 않음 |
Microsoft Entra 외부 사용자의 MFA
Microsoft Entra 테넌트 간 시나리오에서 리소스 조직은 모든 게스트 및 외부 사용자에게 MFA 또는 디바이스 규정 준수를 요구하는 조건부 액세스 정책을 만들 수 있습니다. 그러면 일반적으로 리소스에 액세스하는 B2B 협업 사용자는 리소스 테넌트에 대한 Microsoft Entra 다단계 인증을 설정해야 합니다. 그러나 Microsoft Entra ID는 이제 다른 Microsoft Entra 테넌트의 MFA 클레임을 신뢰하는 기능을 제공합니다. 다른 테넌트와 MFA 트러스트를 사용하도록 설정하면 B2B Collaboration 사용자의 로그인 프로세스가 간소화되고 B2B 직접 연결 사용자가 액세스할 수 있습니다.
B2B 협업 또는 B2B 직접 연결 사용자의 홈 테넌트에서 MFA 클레임을 수락하도록 인바운드 트러스트 설정을 구성한 경우 Microsoft Entra ID는 사용자의 인증 세션을 검사. 세션에 MFA 정책이 사용자의 홈 테넌트에서 이미 충족되었음을 나타내는 클레임이 포함된 경우 사용자에게 공유 리소스에 대한 원활한 로그온이 부여됩니다.
MFA 트러스트를 사용하도록 설정하지 않으면 B2B Collaboration 사용자 및 B2B 직접 연결 사용자의 사용자 환경이 달라집니다.
B2B 협업 사용자: 리소스 조직에서 사용자의 홈 테넌트에 대한 MFA 트러스트를 사용하도록 설정하지 않으면 리소스 조직에서 MFA 챌린지가 표시됩니다. 흐름은 비 Azure AD 외부 사용자에 대한 MFA 흐름과 동일합니다.
B2B 직접 연결 사용자: 리소스 조직에서 사용자의 홈 테넌트에 대한 MFA 트러스트를 사용하도록 설정하지 않으면 사용자가 리소스에 액세스하지 못하도록 차단됩니다. 외부 조직의 B2B 직접 연결을 허용하고 조건부 액세스 정책에 MFA가 필요한 경우 조직의 MFA 클레임을 수락하려면 인바운드 트러스트 설정을 반드시 구성해야 합니다.
MFA 인바운드 트러스트 설정을 구성하는 방법에 대해 자세히 알아봅니다.
비 Azure AD 외부 사용자에 대한 MFA
비 Azure AD 외부 사용자의 경우 리소스 테넌트에서 항상 MFA를 담당합니다. 다음 예제에서는 일반적인 MFA 흐름을 보여줍니다. 이 시나리오는 MSA(Microsoft 계정) 또는 소셜 ID를 포함한 모든 ID에 대해 작동합니다. 이 흐름은 홈 Microsoft Entra 조직에서 신뢰 설정을 구성하지 않는 경우 Microsoft Entra 외부 사용자에게도 적용됩니다.
Fabrikam이라는 회사의 관리자 또는 정보 근로자가 Fabrikam의 앱을 사용하도록 Contoso라는 다른 회사의 사용자를 초대합니다.
Fabrikam의 앱은 액세스 시 Microsoft Entra 다단계 인증을 요구하도록 구성됩니다.
Contoso의 B2B 협업 사용자가 Fabrikam의 앱에 액세스하려고 하면 Microsoft Entra 다단계 인증 챌린지를 완료하라는 메시지가 표시됩니다.
그러면 게스트 사용자는 Fabrikam에 대한 Microsoft Entra 다단계 인증을 설정하고 옵션을 선택할 수 있습니다.
Microsoft Entra 다단계 인증을 지원하는 충분한 프리미엄 Microsoft Entra ID 라이선스가 Fabrikam에 있어야 합니다. Contoso의 사용자는 Fabrikam의 이 라이선스를 사용합니다. B2B 라이선스에 대한 자세한 내용은 Microsoft Entra 외부 ID의 청구 모델을 참조하세요.
참고 항목
MFA는 예측 가능성을 보장하기 위해 리소스 테넌트에서 완료됩니다. 게스트 사용자가 로그인하면 백그라운드에 표시되는 리소스 테넌트 로그인 페이지와 포그라운드에 표시되는 자신의 홈 테넌트 로그인 페이지 및 회사 로고를 볼 수 있습니다.
B2B 협업 사용자의 Microsoft Entra 다단계 인증 초기화(증명)
다음 PowerShell cmdlet은 B2B 협업 사용자의 MFA 등록을 증명하거나 요청하는 데 사용할 수 있습니다.
참고 항목
Azure AD 및 MSOnline PowerShell 모듈은 2024년 3월 30일부터 더 이상 사용되지 않습니다. 자세히 알아보려면 사용 중단 업데이트를 참조하세요. 이 날짜 이후에는 이러한 모듈에 대한 지원이 Microsoft Graph PowerShell SDK 및 보안 수정 사항에 대한 마이그레이션 지원으로 제한됩니다. 사용되지 않는 모듈은 2025년 3월 30일까지 계속 작동합니다.
Microsoft Entra ID(마이그레이션의 Azure AD)와 상호 작용하려면 Microsoft Graph PowerShell로 마이그레이션하는 것이 좋습니다. 일반적인 마이그레이션 관련 질문은 마이그레이션 FAQ를 참조하세요. 참고: MSOnline 버전 1.0.x는 2024년 6월 30일 이후 중단될 수 있습니다.
Microsoft Entra ID에 연결합니다.
$cred = Get-Credential Connect-MsolService -Credential $cred증명 방법이 있는 모든 사용자를 가져옵니다.
Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}예시:
Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}다음과 같이 특정 사용자의 Microsoft Entra 다단계 인증 방법을 초기화하여 사용자가 증명 방법을 다시 설정하도록 요구합니다.
Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName gsamoogle_gmail.com#EXT#@ WoodGroveAzureAD.onmicrosoft.com
외부 사용자에 대한 인증 강도 정책
인증 강도는 외부 사용자가 리소스 액세스를 완료해야 하는 다단계 인증 방법의 조합을 정의할 수 있는 조건부 액세스 제어입니다. 이 제어 방법은 외부 사용자에 대해 피싱 방지 방법과 같은 특정 인증 방법을 적용할 수 있으므로 조직의 중요한 앱에 대한 외부 액세스를 제한하는 데 특히 유용합니다.
또한 공동 작업하거나 연결하는 다양한 유형의 게스트 또는 외부 사용자에게 인증 강도를 적용할 수 있습니다. 즉, B2B 협업, B2B 직접 연결 및 기타 외부 액세스 시나리오에 고유한 인증 강도 요구 사항을 적용할 수 있습니다.
Microsoft Entra ID는 다음과 같은 세 가지 기본 제공 인증 강도를 제공합니다.
- 다단계 인증 강도
- 암호 없는 MFA 강도
- 피싱 방지 MFA 강도
이러한 기본 제공 강도 중 하나를 사용하거나 필요한 인증 방법에 따라 사용자 지정 인증 강도 정책을 만들 수 있습니다.
참고 항목
현재는 Microsoft Entra ID로 인증하는 외부 사용자에게만 인증 강도 정책을 적용할 수 있습니다. 이메일 일회용 암호, SAML/WS-Fed 및 Google 페더레이션 사용자의 경우 MFA 권한 부여 제어를 사용하여 MFA를 요구합니다.
외부 Microsoft Entra 사용자에게 인증 강도 정책을 적용하는 경우 인증 강도 정책은 테넌트 간 액세스 설정에서 MFA 트러스트 설정과 함께 작동하여 외부 사용자가 MFA를 수행해야 하는 위치와 방법을 결정합니다. 먼저 Microsoft Entra 사용자가 홈 Microsoft Entra 테넌트에서 자신의 계정을 사용하여 인증합니다. 그런 다음 이 사용자가 리소스에 액세스하려고 하면 Microsoft Entra ID가 인증 강도 조건부 액세스 정책 및 검사 적용하여 MFA 트러스트를 사용하도록 설정했는지 확인합니다.
외부 사용자 시나리오에서 인증 강도를 충족하는 데 허용되는 인증 방법은 사용자가 MFA를 홈 테넌트에서 완료하는지 혹은 리소스 테넌트에서 완료하는지에 따라 다릅니다. 다음 표는 각 테넌트에서 허용되는 방법을 나타냅니다. 리소스 테넌트가 외부 Microsoft Entra 조직의 클레임을 신뢰하도록 선택하는 경우 "홈 테넌트" 열에 나열된 클레임만 MFA 이행을 위해 리소스 테넌트에 의해 허용됩니다. 리소스 테넌트가 MFA 트러스트를 사용하지 않도록 설정된 경우 외부 사용자는 "리소스 테넌트" 열에 나열된 방법 중 하나를 사용하여 리소스 테넌트에서 MFA를 완료해야 합니다.
표 1. 외부 사용자를 위한 인증 강도 MFA 방법
| 인증 방법 | 홈 테넌트 | 리소스 테넌트 |
|---|---|---|
| 두 번째 단계로 SMS | ✅ | ✅ |
| 음성 통화 | ✅ | ✅ |
| Microsoft Authenticator 푸시 알림 | ✅ | ✅ |
| Microsoft Authenticator 전화 로그인 | ✅ | ✅ |
| OATH 소프트웨어 토큰 | ✅ | ✅ |
| OATH 하드웨어 토큰 | ✅ | |
| FIDO2 보안 키 | ✅ | |
| 비즈니스용 Windows Hello | ✅ |
외부 사용자 또는 게스트에게 인증 강도 요구 사항을 적용하는 조건부 액세스 정책을 구성하려면 조건부 액세스: 외부 사용자에 대한 인증 강도 필요를 참조하세요.
외부 Microsoft Entra 사용자의 사용자 경험
인증 강도 정책은 테넌트 간 액세스 설정의 MFA 트러스트 설정과 함께 작동하여 외부 사용자가 MFA를 수행해야 하는 위치와 방법을 결정합니다.
먼저 Microsoft Entra 사용자는 홈 테넌트에서 자신의 계정으로 인증합니다. 그런 다음 이 사용자가 리소스에 액세스하려고 하면 Microsoft Entra ID는 인증 강도 조건부 액세스 정책을 적용하고 MFA 트러스트를 사용하도록 설정했는지 확인합니다.
- MFA 트러스트를 사용하는 경우 Microsoft Entra ID는 사용자의 홈 테넌트에서 MFA가 처리되었음을 나타내는 클레임에 대한 사용자의 인증 세션을 검사. (참조) 외부 사용자의 홈 테넌트에서 완료될 때 MFA 이행에 허용되는 인증 방법에 대한 표 1 입니다.) 세션에 사용자의 홈 테넌트에서 MFA 정책이 이미 충족되었음을 나타내는 클레임이 포함되어 있고 인증 강도 요구 사항을 충족하는 방법이 있는 경우 사용자에게 액세스가 허용됩니다. 그렇지 않으면 Microsoft Entra ID는 허용 가능한 인증 방법을 사용하여 홈 테넌트에서 MFA를 완료하라는 과제를 사용자에게 제시합니다. 홈 테넌트에서 MFA 방법을 사용하도록 설정해야 하며 사용자가 등록할 수 있어야 합니다.
- MFA 트러스트를 사용하지 않는 경우 Microsoft Entra ID는 허용 가능한 인증 방법을 사용하여 리소스 테넌트에서 MFA를 완료하라는 과제를 사용자에게 제시합니다. (외부 사용자의 MFA 이행에 허용되는 인증 방법은 표 1을 참조하세요.)
사용자가 MFA를 완료할 수 없거나 조건부 액세스 정책(예: 규정 준수 디바이스 정책)이 등록을 차단하는 경우 액세스가 차단됩니다.
디바이스 규정 준수 및 Microsoft Entra 하이브리드 조인 디바이스 정책
조직은 조건부 액세스 정책을 사용하여 사용자 디바이스를 Microsoft Intune에서 관리하도록 요구할 수 있습니다. 이러한 정책을 사용하면 외부 사용자가 관리되지 않는 디바이스를 리소스 조직에 등록할 수 없으므로 외부 사용자 액세스를 차단할 수 있습니다. 디바이스는 사용자 홈 테넌트에서만 관리할 수 있습니다.
하지만 디바이스 트러스트 설정을 사용하여 관리 디바이스를 요구하면서도 외부 사용자 차단을 해제할 수 있습니다. 테넌트 간 액세스 설정에서 사용자 디바이스가 디바이스 규정 준수 정책을 충족하는지 또는 Microsoft Entra 하이브리드 조인되었는지에 대한 외부 사용자 홈 테넌트의 클레임을 신뢰하도록 선택할 수 있습니다. 모든 Microsoft Entra 조직 또는 개별 조직의 디바이스 트러스트 설정을 지정할 수 있습니다.
디바이스 트러스트 설정을 사용하도록 설정하면 Microsoft Entra ID는 사용자의 인증 세션에서 디바이스 클레임을 확인합니다. 세션에 사용자의 홈 테넌트에서 정책이 이미 충족되었음을 나타내는 디바이스 클레임이 포함된 경우 외부 사용자에게 공유 리소스에 대한 원활한 로그온이 부여됩니다.
Important
- 외부 사용자 홈 테넌트의 디바이스 규정 준수 또는 Microsoft Entra 하이브리드 조인 상태와 관련된 클레임을 신뢰하지 않으려는 경우 외부 사용자가 관리 디바이스를 사용하도록 요구하는 조건부 액세스 정책을 적용하지 않는 것이 좋습니다.
디바이스 필터
외부 사용자에 대한 조건부 액세스 정책을 만드는 경우 Microsoft Entra ID에 등록된 디바이스의 디바이스 특성에 따라 정책을 평가할 수 있습니다. 디바이스 필터 조건을 사용하면 지원되는 연산자 및 속성과 조건부 액세스 정책에서 사용할 수 있는 다른 할당 조건을 사용하여 특정 디바이스를 대상으로 지정할 수 있습니다.
디바이스 필터를 테넌트 간 액세스 설정과 함께 사용하여 다른 조직에서 관리되는 디바이스에 대한 정책의 기초로 활용할 수 있습니다. 예를 들어 특정 디바이스 특성에 따라 외부 Microsoft Entra 테넌트의 디바이스를 차단하려 한다고 가정하겠습니다. 다음 단계를 수행하여 디바이스 특성 기반 정책을 설정할 수 있습니다.
- 해당 조직의 디바이스 클레임을 신뢰하도록 테넌트 간 액세스 설정을 구성합니다.
- 지원되는 디바이스 확장 특성 중 하나로 필터링하는 데 사용할 디바이스 특성을 할당합니다.
- 해당 특성이 포함된 디바이스에 액세스하는 것을 차단하는 디바이스 필터를 사용하여 조건부 액세스 정책을 만듭니다.
조건부 액세스를 사용하는 디바이스 필터링에 대해 자세히 알아봅니다.
모바일 애플리케이션 관리 정책
외부 사용자에 대한 앱 보호 정책을 요구하지 않는 것이 좋습니다. 승인된 클라이언트 앱 필요 및 앱 보호 정책 필요와 같은 조건부 액세스 권한 부여 제어를 사용하려면 디바이스를 리소스 테넌트에 등록해야 합니다. 컨트롤은 iOS 및 Android 디바이스에만 적용할 수 있습니다. 사용자 디바이스는 홈 테넌트에서만 관리할 수 있으므로 외부 게스트 사용자에게는 이러한 제어를 적용할 수 없습니다.
위치 기반 조건부 액세스
초대하는 조직이 신뢰할 수 있는 IP 주소 범위를 만들어 파트너 조직을 정의할 수 있는 경우 IP 범위를 기반으로 하는 위치 기반 정책을 적용할 수 있습니다.
지리적 위치에 따라 정책을 적용할 수도 있습니다.
위험 기반 조건부 액세스
외부 게스트 사용자가 권한 부여 제어를 충족하는 경우 로그인 위험 정책이 적용됩니다. 예를 들어 조직에서 중간 또는 높은 로그인 위험에 Microsoft Entra 다단계 인증을 요구할 수 있습니다. 그러나 사용자가 이전에 리소스 테넌트에서 Microsoft Entra 다단계 인증에 등록하지 않은 경우 사용자가 차단됩니다. 이는 악의적인 사용자가 합법적인 사용자의 암호를 손상시키고 자신의 Microsoft Entra 다단계 인증 자격 증명을 등록하지 못하도록 막기 위한 조치입니다.
그러나 사용자 위험 정책은 리소스 테넌트에서 확인할 수 없습니다. 예를 들어 위험 수준이 높은 외부 게스트 사용자에 대한 암호 변경이 필요한 경우 리소스 디렉터리에서 암호를 재설정할 수 없기 때문에 해당 사용자가 차단됩니다.
조건부 액세스 클라이언트 앱 조건
클라이언트 앱 조건은 다른 유형의 사용자와 마찬가지로 B2B 게스트 사용자에 대해 동일하게 동작합니다. 예를 들어 게스트 사용자가 레거시 인증 프로토콜을 사용하지 못하도록 할 수 있습니다.
조건부 액세스 세션 컨트롤
세션 컨트롤은 다른 유형의 사용자와 마찬가지로 B2B 게스트 사용자에 대해 동일하게 동작합니다.
ID 보호 및 사용자 위험 정책
ID 보호는 Microsoft Entra 사용자에 대해 손상된 자격 증명을 검색하고 손상될 수 있는 사용자 계정을 "위험"으로 표시합니다. 리소스 테넌트는 외부 사용자에게 사용자 위험 정책을 적용하여 위험한 로그인을 차단할 수 있습니다. 외부 사용자의 경우 사용자 위험은 홈 디렉터리에서 평가됩니다. 해당 사용자의 실시간 로그인 위험은 리소스에 액세스하려고 할 때 리소스 디렉터리에서 평가됩니다. 하지만 외부 사용자의 ID가 해당 홈 디렉터리에 있기 때문에 다음과 같은 제한 사항이 있습니다.
- 외부 사용자가 암호 재설정을 강제 적용하도록 ID 보호 사용자 위험 정책을 트리거하는 경우 리소스 조직에서 암호를 재설정할 수 없기 때문에 해당 사용자가 차단됩니다.
- 리소스 조직의 위험한 사용자 보고서는 외부 사용자의 홈 디렉터리에서 위험 평가가 수행되므로 외부 사용자를 반영하지 않습니다.
- 리소스 조직의 관리자는 B2B 사용자의 홈 디렉터리에 액세스할 수 없기 때문에 위험한 외부 사용자를 해제하거나 수정할 수 없습니다.
Microsoft Entra ID에 조직의 모든 외부 사용자가 포함된 그룹을 만들어 위험 기반 정책이 외부 사용자에게 영향을 주지 않도록 방지할 수 있습니다. 그런 다음, 이 그룹을 기본 제공 ID 보호 사용자 위험 및 로그인 위험 정책과 로그인 위험을 조건으로 사용하는 모든 조건부 액세스 정책에 대한 제외로 추가합니다.
자세한 내용은 ID 보호 및 B2B 사용자를 참조하세요.
다음 단계
자세한 내용은 다음 문서를 참조하세요.