특정 조직의 B2B 사용자 초대 허용 또는 차단

  • 아티클

허용 목록 또는 차단 목록을 사용하여 특정 조직의 B2B 협업 사용자에 대한 초대를 허용하거나 차단할 수 있습니다. 예를 들어 개인 이메일 주소 도메인을 차단하려는 경우 Gmail.com 및 Outlook.com과 같은 도메인이 포함된 차단 목록을 설정할 수 있습니다. 또는 회사가 Contoso.com, Fabrikam.com 및 Litware.com과 같은 다른 회사와 파트너 관계에 있고 초대를 이러한 조직으로만 제한하려는 경우 Contoso.com, Fabrikam.com 및 Litware.com을 허용 목록에 추가할 수 있습니다.

이 문서에서는 B2B 협업에 대한 허용 또는 차단 목록을 구성하는 다음 두 가지 방법에 대해 설명합니다.

중요 고려 사항

  • 허용 목록 또는 차단 목록을 만들 수 있습니다. 두 목록을 모두 설정할 수는 없습니다. 기본적으로 허용 목록에 없는 모든 도메인은 차단 목록에 있으며 그 반대의 경우도 마찬가지입니다.
  • 조직당 하나의 정책만 만들 수 있습니다. 더 많은 도메인을 포함하도록 정책을 업데이트하거나 정책을 삭제하고 새 정책을 만들 수도 있습니다.
  • 허용 목록 또는 차단 목록에 추가할 수 있는 도메인 수는 정책 크기로만 제한됩니다. 이 제한은 문자 수에 적용되므로 더 짧은 도메인 또는 더 긴 도메인을 더 많이 포함할 수 있습니다. 전체 정책의 최대 크기는 25KB(25,000자)이며, 여기에는 허용 목록 또는 차단 목록과 다른 기능에 대해 구성된 기타 매개 변수가 포함됩니다.
  • 이 목록은 OneDrive for Business 및 SharePoint Online 허용/차단 목록과는 독립적으로 적용됩니다. SharePoint Online에서 개별 파일 공유를 제한하려면 비즈니스용 OneDrive 및 SharePoint Online에 대한 허용 또는 차단 목록을 설정해야 합니다. 자세한 내용은 SharePoint Online 및 OneDrive for Business에서 제한된 도메인 공유를 참조하세요.
  • 이 목록은 이미 초대를 사용한 외부 사용자에게는 적용되지 않습니다. 목록은 설정한 후에 시행됩니다. 사용자 초대가 대기 상태이며 해당 도메인을 차단하는 정책을 설정한 경우 해당 사용자가 초대를 사용하려 하면 실패하게 됩니다.
  • 초대 시 허용/차단 목록과 테넌트 간 액세스 설정이 모두 확인됩니다.

포털에서 허용 또는 차단 목록 정책 설정

기본적으로 모든 도메인에 초대 보내기 허용(가장 포괄적) 설정을 사용합니다. 이 경우 모든 조직의 B2B 사용자를 초대할 수 있습니다.

차단 목록 추가

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

가장 일반적인 시나리오로, 조직이 대부분의 조직과 협력하고자 하지만 특정 도메인의 사용자는 B2B 사용자로 초대하지 못하게 차단하려는 경우입니다.

차단 목록을 추가하려면 다음을 수행합니다.

  1. 최소한 사용자 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>사용자>사용자 설정으로 이동합니다.

  3. 외부 사용자에서 외부 협업 설정 관리를 선택합니다.

  4. 협업 제한에서 지정된 도메인에 초대 거부를 선택합니다.

  5. 대상 도메인에서 차단할 도메인 중 하나의 이름을 입력합니다. 여러 도메인 경우 도메인을 하나씩 새 줄에 입력합니다. 예를 들면 다음과 같습니다.

    도메인이 추가된 거부 옵션을 보여 주는 스크린샷

  6. 완료되면 저장을 선택합니다.

정책을 설정한 후 차단된 도메인의 사용자를 초대하려 하면 해당 사용자의 도메인이 초대 정책에 따라 차단된 상태라고 설명하는 메시지가 나타납니다.

허용 목록에 추가

이는 특정 도메인을 허용 목록에 설정하고, 언급되지 않은 다른 조직 또는 도메인에 대한 초대를 제한할 수 있는 더 제한적인 구성입니다.

허용 목록을 사용하려면 비즈니스 요구 사항을 완전히 평가하는 데 충분한 시간을 할애해야 합니다. 이 정책은 지나치게 제한적이기 때문에 사용자가 협력을 위해 이메일로 문서를 보내거나 규제를 받지 않는 다른 IT 방식을 모색할 수 있습니다.

허용 목록에 추가하려면 다음을 수행합니다.

  1. 최소한 사용자 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>사용자>사용자 설정으로 이동합니다.

  3. 외부 사용자에서 외부 협업 설정 관리를 선택합니다.

  4. 협업 제한에서 지정된 도메인에 초대 거부(가장 제한적)를 선택합니다.

  5. 대상 도메인에서 허용할 도메인 중 하나의 이름을 입력합니다. 여러 도메인 경우 도메인을 하나씩 새 줄에 입력합니다. 예를 들면 다음과 같습니다.

    도메인이 추가된 허용 옵션을 보여 주는 스크린샷

  6. 완료되면 저장을 선택합니다.

정책이 설정되면 허용 목록에 없는 도메인의 사용자를 초대하려 하면 해당 사용자의 도메인이 현재 초대 정책에 따라 차단되었다는 메시지가 표시됩니다.

허용 목록에서 차단 목록으로 전환하거나 그 반대로 전환

한 정책을 다른 정책으로 전환하면 기존 정책 구성을 버리게 됩니다. 전환 수행에 앞서 상세 구성 정보를 백업해야 합니다.

PowerShell을 사용하여 허용 또는 차단 목록 정책 설정

필수 요소

참고

AzureADPreview 모듈은 미리 보기 상태이므로 완전히 지원되는 모듈이 아닙니다.

PowerShell을 사용하여 허용 또는 차단 목록을 설정하려면 미리 보기 버전의 Windows PowerShell용 Azure Active Directory 모듈을 설치해야 합니다. 특히 AzureADPreview 모듈 version 2.0.0.98 이상을 설치합니다.

모듈 버전(및 설치 여부)을 확인하려면

  1. 향상된 사용자 권한(관리자 권한으로 실행)으로 Windows PowerShell을 엽니다.

  2. 다음 명령을 실행하여 컴퓨터에 설치된 Azure Active Directory Module for Windows PowerShell 버전이 있는지 확인합니다.

    Get-Module -ListAvailable AzureAD*

모듈이 설치되지 않았거나 필요한 버전이 없으면 다음 중 하나를 수행합니다.

  • 결과가 반환되지 않으면 다음 명령을 실행하여 최신  AzureADPreview 모듈 버전을 설치합니다.

    Install-Module AzureADPreview

  • 결과에 하나의  AzureAD 모듈만 표시되면 다음 명령을 실행하여  AzureADPreview 모듈을 설치합니다.

    Uninstall-Module AzureAD 
Install-Module AzureADPreview

  • 결과에  AzureADPreview 모듈이 하나 표시되나 버전이  2.0.0.98 미만이면 다음 명령을 실행하여 업데이트합니다.

    Uninstall-Module AzureADPreview 
Install-Module AzureADPreview

  • 결과에  AzureADPreview 모듈이 모두 표시되나  AzureADPreview 모듈 버전이  2.0.0.98 미만이면 다음 명령을 실행하여 업데이트합니다.

    Uninstall-Module AzureAD 
Uninstall-Module AzureADPreview 
Install-Module AzureADPreview

AzureADPolicy cmdlet을 사용한 정책 구성

허용 또는 차단 목록을 만들려면 New-AzureADPolicy cmdlet을 사용합니다. 다음 예제에서는 "live.com" 도메인을 차단하는 차단 목록을 설정하는 방법을 보여 줍니다.

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true

다음은 같은 예제이나 정책 정이 인라인이 있습니다.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true

허용 또는 차단 목록 정책을 설정하려면 Set-AzureADPolicy cmdlet을 사용합니다. 예를 들면 다음과 같습니다.

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id

정책을 가져오려면 Get-AzureADPolicy cmdlet을 사용합니다. 예를 들면 다음과 같습니다.

$currentpolicy = Get-AzureADPolicy -All $true | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1

정책을 제거오려면 Remove-AzureADPolicy cmdlet을 사용합니다. 예를 들면 다음과 같습니다.

Remove-AzureADPolicy -Id $currentpolicy.Id

다음 단계