Azure AD B2C: FAQ(질문과 대답)

차세대 Microsoft Entra 외부 ID 솔루션의 초기 미리 보기를 공지했습니다. 이 초기 미리 보기는 단일 통합 플랫폼 내에서 파트너, 고객, 시민, 환자 등을 포함한 모든 외부 ID에 걸쳐 안전하고 매력적인 환경을 통합하는 발전적인 단계를 나타냅니다. 미리 보기에 대한 자세한 내용은 고객을 위한 Microsoft Entra 외부 ID란?을 참조하세요.

현재로서는 사용자가 취해야 할 작업은 없습니다. 차세대 플랫폼은 현재 초기 미리 보기로만 제공됩니다. 당사는 현재 Azure AD B2C 솔루션을 지원하기 위해 최선을 다하고 있습니다. 현재 Azure AD B2C 고객이 마이그레이션해야 하는 요구 사항은 없으며 현재 Azure AD B2C 서비스를 중단할 계획도 없습니다. 차세대 플랫폼이 GA에 가까워지면 모든 소중한 B2C 고객에게 새 플랫폼으로의 마이그레이션을 포함하여 사용 가능한 옵션에 대한 세부 정보가 제공될 것입니다.

차세대 플랫폼은 CIAM(고객 ID 및 액세스 관리)의 향후를 대표하므로 초기 미리 보기 기간 동안 여러분의 참여와 피드백을 환영하고 권장합니다. 초기 미리 보기에 참여하고 싶다면 영업팀에 자세한 내용을 문의하세요.

Microsoft Entra 확장이 작동하지 않는 두 가지 일반적인 이유가 있습니다. Azure AD B2C에서는 디렉터리의 사용자 역할이 전역 관리자여야 합니다. 액세스 권한이 있어야 한다고 생각되면 관리자에게 문의하세요. 전역 관리자 권한이 있는 경우 Microsoft Entra 디렉터리가 아닌 Azure AD B2C 디렉터리에 있어야 합니다. Azure AD B2C 테넌트를 만드는 방법에 대한 지침을 확인할 수 있습니다.

Microsoft Entra ID와 Azure AD B2C는 별도의 제품입니다. Azure AD B2C 기능을 사용하려면 기존 직원 기반 Microsoft Entra 테넌트와 별도의 Azure AD B2C 테넌트를 만듭니다. Microsoft Entra 테넌트는 조직을 나타냅니다. Azure AD B2C 테넌트는 신뢰 당사자 애플리케이션에서 사용할 ID 컬렉션을 나타냅니다. Azure AD B2C > ID 공급자 또는 사용자 지정 정책을 사용하여 새 OpenID Connect 공급자를 추가하여 조직 내 직원의 인증을 허용하는 Microsoft Entra ID에 페더레이션 할 수 Azure AD B2C.

Azure AD B2C를 사용하여 Microsoft 365에 사용자를 인증할 수는 없습니다. Microsoft Entra ID는 SaaS 앱에 대한 직원 액세스를 관리하기 위한 Microsoft 솔루션으로, 이러한 목적으로 설계된 라이선스, 조건부 액세스 등의 기능이 있습니다. Azure AD B2C는 웹 및 모바일 애플리케이션을 빌드하기 위한 ID 및 액세스 관리 플랫폼을 제공합니다. Azure AD B2C가 Microsoft Entra 테넌트에 페더레이션되도록 구성된 경우 Microsoft Entra 테넌트는 Azure AD B2C를 사용하는 애플리케이션에 대한 직원 액세스를 관리합니다.

Microsoft Entra 테넌트에서 테넌트에 속한 사용자는 <xyz>@<tenant domain> 형식의 메일 주소로 로그인합니다. <tenant domain>은 테넌트의 확인된 도메인 중 하나이거나 초기 <...>.onmicrosoft.com 도메인입니다. 이 계정 유형은 회사 또는 학교 계정입니다.

Azure AD B2C 테넌트에서 대부분의 앱은 사용자가 임의의 이메일 주소(예: joe@comcast.net, bob@gmail.com, sarah@contoso.com 또는 jim@live.com)를 사용하여 로그인하도록 합니다. 이 계정 유형은 로컬 계정입니다. 또한 임의의 사용자 이름이 로컬 계정으로 지원됩니다(예: joe, bob, sarah 또는 jim). Azure Portal에서 Azure AD B2C에 대한 ID 공급자를 구성하는 경우 이러한 두 로컬 계정 형식 중 하나를 선택할 수 있습니다. Azure AD B2C 테넌트에서 ID 공급자를 클릭한 다음, 로컬 계정을 선택한 다음 사용자 이름을 선택합니다.

애플리케이션에 대한 사용자 계정은 가입 사용자 흐름, 가입 또는 로그인 사용자 흐름, Microsoft Graph API, Azure Portal을 통해 만들 수 있습니다.

• 기본적으로 각 테넌트는 총 125만개의 개체(사용자 계정 및 애플리케이션)를 수용할 수 있지만 사용자 지정 도메인을 추가 및 확인할 때 이 한도를 525만개의 개체로 늘릴 수 있습니다. 이 제한을 늘리려면 Microsoft 지원에 문의하세요. 그러나 2022년 9월 이전에 테넌트를 만든 경우 이 제한은 영향을 미치지 않으며 테넌트는 만들 때 할당된 크기, 즉 5천만개의 개체를 보존합니다.

현재 Amazon, Facebook, GitHub(미리 보기), Google, LinkedIn, Microsoft 계정(MSA), QQ(미리 보기), Twitter, WeChat(미리 보기) 및 Weibo(미리 보기)를 비롯한 여러 소셜 ID 공급자를 지원합니다. 고객의 요구에 따라 다른 인기 있는 소셜 ID 공급자에 대한 지원도 추가하기 위해 평가하고 있습니다.

Azure AD B2C는 사용자 지정 정책도 지원합니다. 사용자 지정 정책을 사용하면 OpenID Connect나 SAML을 지원하는 모든 ID 공급자에 대한 사용자 고유의 정책을 만들 수 있습니다. 사용자 지정 정책 시작 팩을 확인하여 사용자 지정 정책을 시작하세요.

아니요. 지원되는 소셜 ID 공급자 집합에 사용되는 기본 범위는 다음과 같습니다.

• Facebook: 전자 메일
• Google+: 전자 메일
• Microsoft 계정: openid 메일 프로필
• Amazon: 프로필
• LinkedIn: r_emailaddress, r_basicprofile

ADFS 서버에서 다음을 실행합니다. Set-AdfsProperties -SignedSamlRequestsRequired $true. 이렇게 하면 Azure AD B2C가 ADFS에 대한 모든 요청에 서명하게 됩니다.

아니요, 어디서나 애플리케이션을 호스팅할 수 있습니다.(클라우드 또는 온-프레미스) 공개적으로 액세스할 수 있는 엔드포인트에서 HTTP 요청을 보내고 받는 기능만 있으면 Azure AD B2C와 상호 작용할 수 있습니다.

Azure Portal에서 Azure AD B2C 서비스를 열기 전에 관리하려는 디렉터리로 전환해야 합니다. 위쪽 메뉴에서 설정 아이콘을 선택하여 디렉터리 + 구독 메뉴에서 관리하려는 디렉터리로 전환합니다.

Azure AD B2C 테넌트를 만들 수 있는 권한이 없을 수 있습니다. 전역 관리자 또는 테넌트 작성자 역할을 가진 사용자만 테넌트를 만들 수 있습니다. 전역 관리자에게 문의해야 합니다.

회사 브랜딩 기능을 사용하여 확인 메일의 콘텐츠를 사용자 지정할 수 있습니다. 특히, 전자 메일의 다음 두 요소를 사용자 지정할 수 있습니다.

• 배너 로고: 오른쪽 아래에 표시됩니다.

• 배경색: 맨 위에 표시됩니다.

  

전자 메일 서명에는 Azure AD B2C 테넌트를 처음 만들 때 제공한 Azure AD B2C 테넌트의 이름이 포함됩니다. 다음 지침을 사용하여 이름을 변경할 수 있습니다.

1. 전역 관리자 권한으로 Azure Portal에 로그인합니다.
2. Microsoft Entra ID 블레이드를 엽니다.
3. 속성 탭을 선택합니다
4. 이름 필드를 변경합니다.
5. 페이지 맨 위에서 저장을 선택합니다.

현재 이메일의 "보낸 사람:" 필드를 변경할 수 없습니다.

Microsoft Graph API를 사용하여 마이그레이션 도구를 작성할 수 있습니다. 자세한 내용은 사용자 마이그레이션 가이드를 참조하세요.

로컬 계정에 대한 Azure AD B2C 암호 사용자 흐름은 Microsoft Entra ID 정책을 기반으로 합니다. Azure AD B2C의 가입, 가입 또는 로그인 및 암호 재설정 사용자 흐름은 "강력한" 암호 강도를 사용하며 어떠한 암호도 만료되지 않습니다. 자세한 내용은 Microsoft Entra ID의 암호 정책 및 제한 사항을 참조하세요.

계정 잠금 및 암호에 대한 자세한 내용은 Azure AD B2C에서 자격 증명 공격 완화를 참조하세요.

아니요, Microsoft Entra Connect는 Azure AD B2C와 함께 작동하도록 설계되지 않았습니다. Microsoft Graph API를 사용자 마이그레이션에 사용하는 것이 좋습니다. 자세한 내용은 사용자 마이그레이션 가이드를 참조하세요.

이 기능은 공개 미리 보기로 제공됩니다. 자세한 내용은 포함된 로그인 환경을 참조하세요.

Microsoft Dynamics 365 포털과의 통합을 사용할 수 있습니다. 인증에 Azure AD B2C를 사용하도록 Dynamics 365 포털 구성을 참조하세요.

Azure AD B2C는 SharePoint 외부 파트너 공유 시나리오에 해당하지 않습니다. 대신 Microsoft Entra B2B를 참조하세요.

외부 ID 시나리오에 적절한 기능을 적용하는 방법에 대한 자세한 내용은 외부 ID에 대한 솔루션 비교를 참조하세요.

아니요, Azure AD B2C는 Microsoft Entra ID P1 또는 P2와 동일한 보고서 집합을 지원하지 않습니다. 하지만 많은 공통점이 있습니다.

• 로그인 보고서는 요약 정보와 함께 각 로그인 레코드를 제공합니다.
• 감사 보고서에는 관리자 작업과 애플리케이션 작업이 모두 포함됩니다.
• 사용 현황 보고서는 사용자 수, 로그인 수 및 MFA 크기를 포함합니다.

예. 최종 사용자는 Microsoft Authenticator 앱과 같이 TOTP 인증을 지원하는 모든 인증 앱을 다운로드해야 합니다(권장). 자세한 내용은 인증 방법을 참조하세요.

TOTP 인증 앱 코드가 Android 또는 iPhone 휴대폰 또는 디바이스에서 작동하지 않는 경우 디바이스의 클록 시간이 올바르지 않을 수 있습니다. 디바이스 설정에서 네트워크 제공 시간을 사용하거나 시간을 자동으로 설정하는 옵션을 선택합니다.

Azure AD B2C 테넌트를 만드는 동안 해당 국가/지역에서 Go-Local 추가 기능을 사용할 수 있는 경우 필요에 따라 사용하도록 설정하라는 메시지가 표시됩니다.

아니요. Go-Local 추가 기능을 사용하도록 설정하면 월 50,000개의 무료 MAU가 적용되지 않습니다. 첫 번째 MAU에서 Go-Local 추가 기능에 대한 요금이 청구됩니다. 그러나 Azure AD B2C 프리미엄 P1 또는 P2 가격 책정에서 사용할 수 있는 다른 기능에 대해 매월 50,000개 MAU를 계속 무료로 사용할 수 있습니다.

Azure AD B2C Go-Local 추가 기능을 활성화하려면 Go-Local 광고 기능 활성화의 단계를 따릅니다.

예, 언어 사용자 지정을 확인하세요. 36개 언어에 대한 번역이 제공되며, 모든 문자열을 요구에 맞게 재정의할 수 있습니다.

예, 고유한 도메인을 사용할 수 있습니다. 자세한 내용은 Azure AD B2C 사용자 지정 도메인을 확인하세요.

Azure AD B2C 테넌트를 삭제하려면 다음 단계를 수행합니다.

새로운 통합 앱 등록 환경 또는 레거시 애플리케이션(레거시) 환경을 사용할 수 있습니다. 새 환경에 대해 자세히 알아보세요.

아니요, Azure AD B2C는 종량제 Azure 서비스이며 Enterprise Mobility Suite의 일부가 아닙니다.

아니요, Azure AD B2C 테넌트는 Microsoft Entra ID P1 또는 Microsoft Entra ID P2 라이선스를 사용하지 않습니다. Azure AD B2C는 표준 Microsoft Entra 테넌트에 대한 Microsoft Entra ID P1 또는 P2 라이선스와 다른 Azure AD B2C Premium P1 또는 P2 라이선스를 사용합니다. Azure AD B2C 테넌트는 기본적으로 지원되는 Microsoft Entra ID 기능에 설명 된 대로 Microsoft Entra ID P1 또는 P2 기능과 유사한 일부 기능을 지원합니다.

아니요, Azure AD B2C 테넌트는 Microsoft Entra 엔터프라이즈 애플리케이션에 대한 그룹 기반 할당을 지원하지 않습니다.

다음 AD B2C 기능은 현재 Microsoft Azure Government에서 사용할 수 없습니다.

• API 커넥터
• 조건부 액세스

Azure AD B2C에서 refreshTokensValidFromDateTime와(과) refreshTokenIssuedTime 사이의 시간 차이가 5분 이하인 경우 새로 고침 토큰은 여전히 유효한 것으로 간주됩니다. 그러나 refreshTokenIssuedTime가 refreshTokensValidFromDateTime보다 크면 새로 고침 토큰은 취소됩니다. 새로 고침 토큰이 유효하거나 취소되었는지 확인하려면 다음 단계를 따릅니다.

1. authorization_code를 사용하여 RefreshToken 및 AccessToken를 검색합니다.

2. 7분 동안 기다립니다.

3. PowerShell cmdlet Revoke-MgUserSignInSession 또는 Microsoft Graph API invalidateAllRefreshTokens를 사용하여 RevokeAllRefreshToken 명령을 실행합니다.

4. 10분 동안 기다립니다.

5. RefreshToken를 다시 검색합니다.

현재 Azure AD B2C는 이 특정 시나리오에 대해 Single Sign-Out을 지원하지 않습니다. 모든 애플리케이션이 동일한 쿠키에서 동시에 작동하므로 쿠키 경합으로 인해 발생합니다.

Azure Active Directory B2C에 대한 파일 지원 요청을 참조하세요.

현재 Azure AD B2C는 Azure Portal에서 사용자 세션 해지를 지원하지 않습니다. 그러나 Microsoft Graph PowerShell 또는 Microsoft Graph API를 사용하여 이 작업을 수행할 수 있습니다.