조직과의 B2B 협업 허용 또는 차단
적용 대상: 인력 테넌트 외부 테넌트(자세히 알아보기)
허용 목록 또는 차단 목록을 사용하여 특정 조직의 B2B 협업 사용자에 대한 초대를 허용하거나 차단할 수 있습니다. 예를 들어 개인 이메일 주소 도메인을 차단하려는 경우 Gmail.com 및 Outlook.com과 같은 도메인이 포함된 차단 목록을 설정할 수 있습니다. 또는 회사가 Contoso.com, Fabrikam.com 및 Litware.com과 같은 다른 회사와 파트너 관계에 있고 초대를 이러한 조직으로만 제한하려는 경우 Contoso.com, Fabrikam.com 및 Litware.com을 허용 목록에 추가할 수 있습니다.
이 문서에서는 B2B 협업에 대한 허용 또는 차단 목록을 구성하는 다음 두 가지 방법에 대해 설명합니다.
- 조직의 외부 협업 설정에서 협업 제한을 구성하여 포털에서 수행
- PowerShell 사용
중요 사항
- 허용 목록 또는 차단 목록을 만들 수 있습니다. 두 목록을 모두 설정할 수는 없습니다. 기본값으로 허용 목록에 없는 모든 도메인은 차단 목록에 있으며 그 반대의 경우도 마찬가지입니다.
- 조직당 하나의 정책만 만들 수 있습니다. 더 많은 도메인을 포함하도록 정책을 업데이트하거나 정책을 삭제하고 새 정책을 만들 수도 있습니다.
- 허용 목록 또는 차단 목록에 추가할 수 있는 도메인 수는 정책 크기로만 제한됩니다. 이 한도는 문자 수에 적용되므로 더 짧은 도메인 또는 더 긴 도메인을 더 많이 포함할 수 있습니다. 전체 정책의 최대 크기는 25KB(25,000자)이며, 여기에는 허용 목록 또는 차단 목록과 다른 기능에 대해 구성된 기타 매개 변수가 포함됩니다.
- 이 목록은 OneDrive 및 SharePoint Online 허용/차단 목록과 독립적으로 작동합니다. SharePoint Online에서 개별 파일 공유를 제한하려면 OneDrive 및 SharePoint Online에 대한 허용 또는 차단 목록을 설정해야 합니다. 자세한 내용은 도메인별로 SharePoint 및 OneDrive 콘텐츠 공유 제한을 참조하세요.
- 이미 초대를 사용한 외부 사용자에게는 목록이 적용되지 않습니다. 목록은 설정한 후에 적용됩니다. 사용자 초대가 대기 상태이며 해당 도메인을 차단하는 정책을 설정한 경우 해당 사용자가 초대를 사용하려 하면 실패하게 됩니다.
- 초대 시 허용/차단 목록과 테넌트 간 액세스 설정이 모두 확인됩니다.
포털에서 허용 또는 차단 목록 정책 설정
기본값으로 모든 도메인에 초대 보내기 허용(가장 포괄적) 설정을 사용합니다. 이 경우 모든 조직의 B2B 사용자를 초대할 수 있습니다.
중요
가장 적은 권한으로 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 높은 권한 있는 역할입니다.
차단 목록 추가
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.
가장 일반적인 시나리오는, 조직이 대부분의 조직과 협력하고자 하지만 특정 도메인의 사용자는 B2B 사용자로 초대하지 못하게 차단하려는 경우입니다.
차단 목록을 추가하려면 다음을 수행합니다.
전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>외부 ID>외부 협업 설정으로 이동합니다.
협업 제한에서 지정된 도메인에 초대 거부를 선택합니다.
대상 도메인에서 차단할 도메인 중 하나의 이름을 입력합니다. 여러 도메인 경우 도메인을 하나씩 새 줄에 입력합니다. 예:
완료되면 저장을 선택합니다.
정책을 설정한 후 차단된 도메인의 사용자를 초대하려 하면 해당 사용자의 도메인이 초대 정책에 따라 차단된 상태라고 설명하는 메시지가 나타납니다.
허용 목록에 추가
더욱 제한적인 구성을 사용하면 허용 목록에 특정 도메인을 설정하고 언급되지 않은 다른 조직이나 도메인에 대한 초대를 제한할 수 있습니다.
허용 목록을 사용하려면 비즈니스 요구 사항을 완전히 평가하는 데 충분한 시간을 할애해야 합니다. 이 정책은 지나치게 제한적이기 때문에 사용자가 협력을 위해 이메일로 문서를 보내거나 규제를 받지 않는 다른 IT 방식을 모색할 수 있습니다.
허용 목록에 추가하려면 다음을 수행합니다.
전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>외부 ID>외부 협업 설정으로 이동합니다.
협업 제한에서 지정된 도메인에 초대 거부(가장 제한적)를 선택합니다.
대상 도메인에서 허용할 도메인 중 하나의 이름을 입력합니다. 여러 도메인 경우 도메인을 하나씩 새 줄에 입력합니다. 예:
완료되면 저장을 선택합니다.
정책이 설정되면 허용 목록에 없는 도메인의 사용자를 초대하려 하면 해당 사용자의 도메인이 현재 초대 정책에 따라 차단되었다는 메시지가 표시됩니다.
허용 목록에서 차단 목록으로 전환하거나 그 반대로 전환
한 정책에서 다른 정책으로 전환하면 기존 정책 구성이 취소됩니다. 전환 수행에 앞서 구성의 세부 정보를 백업해야 합니다.
PowerShell을 사용하여 허용 또는 차단 목록 정책 설정
필수 조건
참고 항목
AzureADPreview 모듈은 미리 보기 상태이므로 완전히 지원되는 모듈이 아닙니다.
PowerShell을 사용하여 허용 또는 차단 목록을 설정하려면 Azure AD PowerShell 모듈의 미리 보기 버전을 설치해야 합니다. 특히 AzureADPreview 모듈 version 2.0.0.98 이상을 설치합니다.
모듈 버전(및 설치 여부)을 확인하려면 다음을 수행합니다.
상승된 사용자 권한(관리자 권한으로 실행)으로 Windows PowerShell을 엽니다.
다음 명령을 실행하여 컴퓨터에 Azure AD PowerShell 모듈 버전이 설치되어 있는지 확인합니다.
Get-Module -ListAvailable AzureAD*
모듈이 설치되지 않았거나 필요한 버전이 없으면 다음 중 하나를 수행합니다.
결과가 반환되지 않으면 다음 명령을 실행하여 최신 버전의
AzureADPreview
모듈을 설치합니다.Install-Module AzureADPreview
결과에
AzureAD
모듈만 표시되는 경우 다음 명령을 실행하여AzureADPreview
모듈을 설치합니다.Uninstall-Module AzureAD Install-Module AzureADPreview
결과에
AzureADPreview
모듈만 표시되지만 버전이2.0.0.98
보다 낮은 경우 다음 명령을 실행하여 업데이트합니다.Uninstall-Module AzureADPreview Install-Module AzureADPreview
AzureAD
및AzureADPreview
모듈이 모두 결과에 표시되지만AzureADPreview
모듈의 버전이2.0.0.98
보다 낮은 경우 다음 명령을 실행하여 업데이트합니다.Uninstall-Module AzureAD Uninstall-Module AzureADPreview Install-Module AzureADPreview
AzureADPolicy cmdlet을 사용한 정책 구성
허용 또는 차단 목록을 만들려면 New-AzureADPolicy cmdlet을 사용합니다. 다음 예제에서는 "live.com" 도메인을 차단하는 차단 목록을 설정하는 방법을 보여줍니다.
$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")
New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
다음은 같은 예제이지만 정책 정의 인라인이 있습니다.
New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
허용 또는 차단 목록 정책을 설정하려면 Set-AzureADPolicy cmdlet을 사용합니다. 예:
Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id
정책을 가져오려면 Get-AzureADPolicy cmdlet을 사용합니다. 예:
$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1
정책을 제거오려면 Remove-AzureADPolicy cmdlet을 사용합니다. 예:
Remove-AzureADPolicy -Id $currentpolicy.Id