개요: Microsoft Entra External ID를 사용한 테넌트 간 액세스
Microsoft Entra 조직은 외부 ID 테넌트 간 액세스 설정을 사용하여 B2B 협업 및 B2B 직접 연결을 통해 다른 Microsoft Entra 조직 및 다른 Microsoft Azure 클라우드와 협업하는 방법을 관리할 수 있습니다. 테넌트 간 액세스 설정은 외부 Microsoft Entra 조직이 사용자와 공동 작업하는 방식(인바운드 액세스) 및 사용자가 외부 Microsoft Entra 조직과 공동 작업하는 방식(아웃바운드 액세스)을 세부적으로 제어할 수 있습니다. 또한 이러한 설정을 통해 다른 Microsoft Entra 조직에서 MFA(다단계 인증) 및 디바이스 클레임(준수 클레임 및 Microsoft Entra 하이브리드 가입 클레임)을 신뢰할 수 있습니다.
이 문서에서는 Microsoft 클라우드 전반을 포함하여 외부 Microsoft Entra 조직과의 B2B 협업 및 B2B 직접 연결을 관리하는 데 사용되는 테넌트 간 액세스 설정에 대해 설명합니다. 비 Microsoft Entra ID(예: 소셜 ID 또는 비 IT 관리 외부 계정)와 B2B 공동 작업에 더 많은 설정을 사용할 수 있습니다. 이러한 외부 협업 설정에는 게스트 사용자 액세스를 제한하고, 게스트를 초대할 수 있는 사용자를 지정하고, 도메인을 허용하거나 차단하는 옵션이 포함됩니다.
Important
Microsoft는 2023년 8월 30일에 테넌트 간 액세스 설정을 사용하는 고객을 새로운 스토리지 모델로 이동하기 시작했습니다. 자동화된 작업이 설정을 마이그레이션할 때 테넌트 간 액세스 설정이 업데이트되었음을 알리는 항목이 감사 로그에 표시될 수 있습니다. 마이그레이션이 처리되는 짧은 기간 동안에는 설정을 변경할 수 없습니다. 변경할 수 없는 경우 잠시 기다렸다가 다시 변경해 보세요. 마이그레이션이 완료되면 스토리지 공간이 더 이상 25kb로 제한되지 않으며 추가할 수 있는 파트너 수에 더 이상 제한이 없습니다.
인바운드 및 아웃바운드 설정을 사용하여 외부 액세스 관리
외부 ID 테넌트 간 액세스 설정은 다른 Microsoft Entra 조직과 공동 작업하는 방법을 관리합니다. 이러한 설정은 외부 Microsoft Entra 조직의 사용자가 리소스에 대해 갖는 인바운드 액세스 수준과 사용자가 외부 조직에 대해 갖는 아웃바운드 액세스 수준을 모두 결정합니다.
다음 다이어그램은 테넌트 간 액세스 인바운드 및 아웃바운드 설정을 보여 줍니다. 리소스 Microsoft Entra 테넌트는 공유할 리소스가 포함된 테넌트입니다. B2B 협업의 경우 리소스 테넌트는 초대하는 테넌트(예: 외부 사용자를 초대하려는 회사 테넌트)입니다. 사용자 홈 Microsoft Entra 테넌트는 외부 사용자를 관리하는 테넌트입니다.
기본적으로 다른 Microsoft Entra 조직과의 B2B 협업이 사용하도록 설정되고 B2B 직접 연결은 차단됩니다. 그러나 다음과 같은 포괄적인 관리자 설정을 통해 이 두 기능을 모두 관리할 수 있습니다.
아웃바운드 액세스 설정은 사용자가 외부 조직의 리소스에 액세스할 수 있는지 여부를 제어합니다. 이러한 설정을 모든 사용자에게 적용하거나 개별 사용자, 그룹 및 애플리케이션을 지정할 수 있습니다.
인바운드 액세스 설정은 외부 Microsoft Entra 조직의 사용자가 조직의 리소스에 액세스할 수 있는지 여부를 제어합니다. 이러한 설정을 모든 사용자에게 적용하거나 개별 사용자, 그룹 및 애플리케이션을 지정할 수 있습니다.
신뢰 설정 (인바운드)은 사용자가 홈 테넌트에서 이러한 요구 사항을 이미 충족한 경우 조건부 액세스 정책이 외부 조직의 MFA(다단계 인증), 규격 디바이스 및 Microsoft Entra 하이브리드 조인 디바이스 클레임을 신뢰할지 여부를 결정합니다. 예를 들어 MFA를 신뢰하도록 신뢰 설정을 구성하는 경우 MFA 정책이 외부 사용자에게 계속 적용되지만 홈 테넌트에서 이미 MFA를 완료한 사용자는 테넌트에서 MFA를 다시 완료할 필요가 없습니다.
기본 설정
기본 테넌트 간 액세스 설정은 조직 설정을 구성한 조직을 제외하고 테넌트 외부의 모든 Microsoft Entra 조직에 적용됩니다. 기본 설정은 변경할 수 있지만 B2B 협업 및 B2B 직접 연결에 대한 초기 기본 설정은 다음과 같습니다.
B2B 협업: 모든 내부 사용자는 기본적으로 B2B 협업을 사용할 수 있습니다. 이 설정은 사용자가 자신의 리소스에 액세스할 수 있는 외부 게스트를 초대하거나 외부 조직에 게스트로 초대받을 수 있음을 의미합니다. 다른 Microsoft Entra 조직의 MFA 및 디바이스 클레임은 신뢰할 수 없습니다.
B2B 직접 연결: B2B 직접 연결 트러스트 관계는 기본적으로 설정되지 않습니다. Microsoft Entra ID는 모든 외부 Microsoft Entra 테넌트에 대한 모든 인바운드 및 아웃바운드 B2B 직접 연결 기능을 차단합니다.
조직 설정: 기본적으로 조직 설정에 추가되는 조직은 없습니다. 이는 모든 외부 Microsoft Entra 조직이 사용자 조직과의 B2B 협업을 위해 사용하도록 설정되었음을 의미합니다.
테넌트 간 동기화: 다른 테넌트의 사용자는 테넌트 간 동기화를 통해 테넌트에 동기화되지 않습니다.
위에 설명된 동작은 동일한 Microsoft Azure 클라우드에 있는 다른 Microsoft Entra 테넌트와의 B2B 협업에 적용됩니다. 클라우드 간 시나리오에서는 기본 설정이 약간 다르게 작동합니다. 이 문서의 뒷부분에 있는 Microsoft 클라우드 설정을 참조하세요.
조직 설정
조직별 설정은 조직을 추가하고 해당 조직에 대한 인바운드 및 아웃바운드 설정을 수정하여 구성할 수 있습니다. 조직 설정이 기본 설정보다 우선합니다.
B2B 협업: 다른 Microsoft Entra 조직과의 B2B 협업의 경우 테넌트 간 액세스 설정을 사용하여 인바운드 및 아웃바운드 B2B 협업을 관리하고 특정 사용자, 그룹 및 애플리케이션에 대한 액세스 범위를 지정합니다. 모든 외부 조직에 적용되는 기본 구성을 설정한 다음, 필요에 따라 개별 조직별 설정을 만들 수 있습니다. 테넌트 간 액세스 설정을 사용하면 다른 Microsoft Entra 조직에서 MFA(다단계) 및 디바이스 클레임(규격 클레임 및 Microsoft Entra 하이브리드 가입 클레임)을 신뢰할 수도 있습니다.
팁
외부 사용자에 대해 MFA를 신뢰하려는 경우 ID 보호 MFA 등록 정책에서 외부 사용자를 제외하는 것이 좋습니다. 두 정책이 모두 있는 경우 외부 사용자는 액세스 요구 사항을 충족할 수 없습니다.
B2B 직접 연결: B2B 직접 연결의 경우 조직 설정을 사용하여 다른 Microsoft Entra 조직과 상호 신뢰 관계를 설정합니다. 조직과 외부 조직 모두 인바운드 및 아웃바운드 테넌트 간 액세스 설정을 구성하여 B2B 직접 연결을 상호 활성화해야 합니다.
외부 협업 설정을 사용하여 외부 사용자를 초대할 수 있는 사용자를 제한하고, B2B 특정 도메인을 허용하거나 차단하고, 디렉터리에 대한 게스트 사용자 액세스에 대한 제한을 설정할 수 있습니다.
자동 상환 설정
자동 상환 설정은 사용자가 리소스/대상 테넌트에 처음 액세스할 때 동의 확인 프롬프트를 수락할 필요가 없도록 초대를 자동으로 상환하는 인바운드 및 아웃바운드 조직 신뢰 설정입니다. 이 설정은 다음 이름의 확인란입니다.
- 테넌트<테넌트>의 초대를 자동으로 사용합니다.
다른 시나리오에 대한 설정 비교
자동 상환 설정은 다음 상황에서 테넌트 간 동기화, B2B 협업 및 B2B 직접 연결에 적용됩니다.
- 테넌트 간 동기화를 사용하여 대상 테넌트에서 사용자를 만드는 경우.
- B2B 협업을 사용하여 사용자가 리소스 테넌트에 추가되는 경우.
- 사용자가 B2B 직접 연결을 사용하여 리소스 테넌트의 리소스에 액세스하는 경우.
다음 표에서는 이러한 시나리오에 대해 이 설정을 사용하도록 설정했을 때 비교하는 방법을 보여 줍니다.
| Item | 테넌트 간 동기화 | B2B 협업 | B2B 직접 연결 |
|---|---|---|---|
| 자동 상환 설정 | Required | 선택 사항 | 선택 사항 |
| 사용자는 B2B 협업 초대 이메일을 받습니다. | 아니요 | 아니요 | 해당 없음 |
| 사용자는 동의 확인 프롬프트를 수락해야 합니다. | 아니요 | 없음 | 아니요 |
| 사용자는 B2B 협업 알림 이메일을 받습니다. | 예 | 네 | 해당 없음 |
이 설정은 애플리케이션 동의 환경에 영향을 주지 않습니다. 자세한 내용은 Microsoft Entra ID의 애플리케이션에 대한 동의 환경을 참조하세요. 이 설정은 Azure 상용 및 Azure Government와 같은 다양한 Microsoft 클라우드 환경의 조직에 대해 지원되지 않습니다.
동의 확인 프롬프트가 표시되지 않는 경우는 언제인가요?
자동 상환 설정은 홈/원본 테넌트(아웃바운드) 및 리소스/대상 테넌트(인바운드) 모두가 이 설정을 확인하는 경우에만 동의 확인 프롬프트 및 초대 이메일을 표시하지 않습니다.
다음 표는 다양한 테넌트 간 액세스 설정 조합에 대해 자동 상환 설정이 선택된 경우 원본 테넌트 사용자에 대한 동의 확인 프롬프트 동작을 보여 줍니다.
| 홈/원본 테넌트 | 리소스/대상 테넌트 | 원본 테넌트 사용자에 대한 동의 프롬프트 동작 |
|---|---|---|
| 아웃바운드 | 인바운드 | |
 |
|
표시 안 함 |
|
 |
표시됨 |
|
|
표시됨 |
|
|
표시됨 |
| 인바운드 | 아웃바운드 | |
|
|
표시됨 |
|
|
표시됨 |
|
|
표시됨 |
|
|
표시됨 |
Microsoft Graph를 사용하여 이 설정을 구성하려면 crossTenantAccessPolicyConfigurationPartner 업데이트 API를 참조하세요. 고유의 온보딩 환경을 빌드하는 방법에 대한 자세한 내용은 B2B 협업 초대 관리자를 참조하세요.
자세한 내용은 테넌트 간 동기화 구성, B2B 협업을 위한 테넌트 간 액세스 설정 구성 및 B2B 직접 연결을 위한 테넌트 간 액세스 설정 구성을 참조하세요.
구성 가능한 상환
구성 가능한 사용을 사용하면 게스트 사용자가 초대를 수락할 때 로그인할 수 있는 ID 공급자의 순서를 사용자 지정할 수 있습니다. 이 기능을 사용하도록 설정하고 사용 순서 탭에서 사용 순서를 지정할 수 있습니다.
게스트 사용자가 초대 전자 메일에서 초대 수락 링크를 선택하면 Microsoft Entra ID는 기본 사용 순서에 따라 초대를 자동으로 교환합니다. 새 사용 순서 탭에서 ID 공급자 순서를 변경하면 새 주문이 기본 사용 순서를 재정의합니다.
사용 순서 탭에서 기본 ID 공급자와 대체 ID 공급자를 모두 찾을 수 있습니다.
기본 ID 공급자는 다른 인증 원본과의 페더레이션이 있는 공급자입니다. 대체 ID 공급자는 사용자가 기본 ID 공급자와 일치하지 않는 경우 사용되는 공급자입니다.
대체 ID 공급자는 MSA(Microsoft 계정), 전자 메일 일회용 암호 또는 둘 다일 수 있습니다. 두 대체 ID 공급자를 모두 사용하지 않도록 설정할 수는 없지만 모든 기본 ID 공급자를 사용하지 않도록 설정하고 대체 ID 공급자만 사용 옵션에 사용할 수 있습니다.
기능의 알려진 제한 사항은 다음과 같습니다.
기존 SSO(Single Sign-On) 세션이 있는 Microsoft Entra ID 사용자가 전자 메일 OTP(일회용 암호)를 사용하여 인증하는 경우 다른 계정 사용을 선택하고 사용자 이름을 다시 입력하여 OTP 흐름을 트리거해야 합니다. 그렇지 않으면 사용자가 리소스 테넌트에 계정이 없음을 나타내는 오류가 발생합니다.
게스트 사용자가 전자 메일을 한 번만 사용하여 초대를 사용할 수 있는 경우 현재 SharePoint 사용이 차단됩니다. 이는 OTP를 통해 사용하는 Microsoft Entra ID 사용자와 관련이 있습니다. 다른 모든 사용자는 영향을 받지 않습니다.
사용자가 Microsoft Entra ID와 Microsoft 계정 모두에서 동일한 전자 메일을 사용하는 시나리오에서는 관리자가 Microsoft 계정을 상환 방법으로 사용하지 않도록 설정한 후에도 Microsoft Entra ID 또는 Microsoft 계정 중에서 선택하라는 메시지가 표시됩니다. Microsoft 계정을 선택하면 사용하지 않도록 설정된 경우에도 상환 옵션으로 허용됩니다.
확인된 Microsoft Entra ID에 대한 직접 페더레이션기본s
SAML/WS-Fed ID 공급자 페더레이션(직접 페더레이션)은 이제 Microsoft Entra ID 확인 도메인에 대해 지원됩니다. 이 기능을 사용하면 Microsoft Entra에서 확인된 도메인에 대한 외부 ID 공급자와의 직접 페더레이션을 설정할 수 있습니다.
참고 항목
직접 페더레이션 구성을 설정하려는 동일한 테넌트에서 도메인이 확인되지 않았는지 확인합니다. 직접 페더레이션을 설정한 후에는 테넌트의 사용 기본 설정을 구성하고 구성 가능한 새 사용 교차 테넌트 액세스 설정을 통해 Microsoft Entra ID를 통해 SAML/WS-Fed ID 공급자를 이동할 수 있습니다.
게스트 사용자가 초대를 사용하면 기존 동의 화면이 표시되고 내 앱 페이지로 리디렉션됩니다. 리소스 테넌트에서 이 직접 페더레이션 사용자의 사용자 프로필로 이동하면 이제 사용자가 발급자인 외부 페더레이션과 함께 사용됨을 알 수 있습니다.
B2B 사용자가 Microsoft 계정을 사용하여 초대를 사용하지 못하도록 방지
이제 B2B 게스트 사용자가 Microsoft 계정을 사용하여 초대를 사용하지 못하도록 방지할 수 있습니다. 즉, 새 B2B 게스트 사용자는 전자 메일 일회용 암호를 대체 ID 공급자로 사용하고 기존 Microsoft 계정을 사용하여 초대를 사용하거나 새 Microsoft 계정을 만들라는 요청을 받을 수 없습니다. 사용 순서 설정의 대체 ID 공급자에서 Microsoft 계정을 사용하지 않도록 설정하여 이 작업을 수행할 수 있습니다.
언제든지 한 명 이상의 대체 ID 공급자를 사용하도록 설정해야 합니다. 즉, Microsoft 계정을 사용하지 않도록 설정하려면 전자 메일 일회용 암호를 사용하도록 설정해야 합니다. Microsoft 계정으로 로그인한 기존 게스트 사용자는 후속 로그인 중에 이를 계속 사용합니다. 이 설정을 적용하려면 사용 상태를 다시 설정해야 합니다.
테넌트 간 동기화 설정
테넌트 간 동기화 설정은 원본 테넌트의 관리자가 사용자를 대상 테넌트로 동기화할 수 있도록 허용하는 인바운드 전용 조직 설정입니다. 이 설정은 대상 테넌트에 지정된 사용자가 이 테넌트에 동기화하도록 허용이라는 이름의 확인란입니다. 이 설정은 수동 초대 또는 Microsoft Entra 권한 관리와 같은 다른 프로세스를 통해 만들어진 B2B 초대에는 영향을 미치지 않습니다.
Microsoft Graph를 사용하여 이 설정을 구성하려면 crossTenantIdentitySyncPolicyPartner 업데이트 API를 참조하세요. 자세한 내용은 테넌트 간 동기화 구성을 참조하세요.
테넌트 제한
테넌트 제한 사항 설정을 사용하면 다음을 포함하여 사용자가 관리하는 디바이스에서 사용할 수 있는 외부 계정 형식을 제어할 수 있습니다.
- 사용자가 알 수 없는 테넌트에서 만든 계정입니다.
- 사용자가 해당 조직의 리소스에 액세스할 수 있도록 외부 조직이 사용자에게 제공한 계정입니다.
이러한 형식의 외부 계정을 허용하지 않고 대신 B2B 협업을 사용하도록 테넌트 제한을 구성하는 것이 좋습니다. B2B 협업을 통해 다음과 같은 기능을 얻을 수 있습니다.
- B2B 협업 사용자에 대해 조건부 액세스를 사용하고 다단계 인증을 강제합니다.
- 인바운드 및 아웃바운드 액세스를 관리합니다.
- B2B 협업 사용자의 고용 상태가 변경되거나 해당 자격 증명이 위반되면 세션 및 자격 증명을 종료합니다.
- B2B 협업 사용자에 대한 세부 정보를 보려면 로그인 로그를 사용합니다.
테넌트 제한은 다른 테넌트 간 액세스 설정과 별개이므로 구성한 인바운드, 아웃바운드 또는 신뢰 설정은 테넌트 제한에 영향을 주지 않습니다. 테넌트 제한 사항 구성에 대한 자세한 내용은 테넌트 제한 사항 V2 설정을 참조하세요.
Microsoft 클라우드 설정
Microsoft 클라우드 설정을 사용하면 다양한 Microsoft Azure 클라우드의 조직과 협업할 수 있습니다. Microsoft 클라우드 설정을 사용하면 다음 클라우드 간에 상호 B2B 협업을 설정할 수 있습니다.
- Microsoft Azure 상업용 클라우드 및 Microsoft Azure Government
- 21Vianet에서 운영하는 Microsoft Azure 상용 클라우드 및 Microsoft Azure(21Vianet에서 운영)
참고 항목
Microsoft Azure Government는 Office GCC-High 및 DoD 클라우드를 포함합니다.
B2B 협업을 설정하기 위해 두 조직 모두 파트너의 클라우드를 사용하도록 Microsoft 클라우드 설정을 구성합니다. 그런 다음 각 조직은 파트너의 테넌트 ID를 사용하여 파트너를 찾아 조직 설정에 추가합니다. 여기에서 각 조직은 기본 테넌트 간 액세스 설정이 파트너에 적용되도록 허용하거나 파트너별 인바운드 및 아웃바운드 설정을 구성할 수 있습니다. 다른 클라우드의 파트너와 B2B 협업을 설정한 후에는 다음을 수행할 수 있습니다.
- B2B 협업을 사용하여 파트너 테넌트의 사용자를 초대하여 웹 기간 업무 앱, SaaS 앱, SharePoint Online 사이트, 문서 및 파일을 비롯한 조직의 리소스에 액세스할 수 있습니다.
- B2B 협업을 사용하여 파트너 테넌트에서 사용자에게 Power BI 콘텐츠를 공유합니다.
- B2B 협업 사용자에게 조건부 액세스 정책을 적용하고 사용자의 홈 테넌트에서 다단계 인증 또는 디바이스 클레임(준수 클레임 및 Microsoft Entra 하이브리드 가입 클레임)을 신뢰하도록 선택합니다.
참고 항목
B2B 직접 연결은 다른 Microsoft 클라우드의 Microsoft Entra 테넌트와의 협업에는 지원되지 않습니다.
구성 단계는 B2B 협업을 위한 Microsoft 클라우드 설정 구성을 참조하세요.
클라우드 간 시나리오의 기본 설정
다른 Microsoft Azure 클라우드에서 파트너 테넌트와 협업하려면 두 조직이 서로 B2B 협업을 사용하도록 설정해야 합니다. 첫 번째 단계는 테넌트 간 설정에서 파트너의 클라우드를 사용하도록 설정하는 것입니다. 다른 클라우드를 처음 사용하도록 설정하면 해당 클라우드의 모든 테넌트에 대해 B2B 협업이 차단됩니다. 협업할 테넌트를 조직 설정에 추가해야 하며, 이때 기본 설정은 해당 테넌트에 대해서만 적용됩니다. 기본 설정을 그대로 유지하거나 테넌트에 대한 조직 설정을 수정할 수 있습니다.
중요 사항
Important
기본 인바운드 또는 아웃바운드 설정을 액세스 차단으로 변경하면 조직 또는 파트너 조직의 앱에 대한 기존의 중요 비즈니스용 액세스가 차단될 수 있습니다. 이 문서에서 설명하는 도구를 사용하고 비즈니스 관련자와 협의하여 필요한 액세스 권한을 확인하세요.
Azure Portal에서 테넌트 간 액세스 설정을 구성하려면 Global 관리istrator, Security 관리istrator 또는 정의한 사용자 지정 역할이 있는 계정이 필요합니다.
신뢰 설정을 구성하거나 특정 사용자, 그룹 또는 애플리케이션에 액세스 설정을 적용하려면 Microsoft Entra ID P1 라이선스가 필요합니다. 구성하는 테넌트에 이 라이선스가 필요합니다. 다른 Microsoft Entra 조직과의 상호 신뢰 관계가 필요한 B2B 직접 연결의 경우 두 테넌트 모두에 Microsoft Entra ID P1 라이선스가 필요합니다.
테넌트 간 액세스 설정은 B2B 협업을 관리하고 다른 Microsoft Entra 조직과의 B2B 직접 연결을 관리하는 데 사용됩니다. 비 Microsoft Entra ID(예: 소셜 ID 또는 비 IT 관리 외부 계정)를 사용한 B2B 공동 작업의 경우 외부 공동 작업 설정을 사용합니다. 외부 협업 설정에는 게스트 사용자 액세스를 제한하고, 게스트를 초대할 수 있는 사용자를 지정하고, 도메인을 허용하거나 차단하기 위해 B2B 협업 옵션이 포함됩니다.
액세스 설정을 외부 조직의 특정 사용자, 그룹 또는 애플리케이션에 적용하려면 설정을 구성하기 전에 해당 조직에 정보를 문의해야 합니다. 설정을 대상으로 올바르게 지정할 수 있도록 사용자 개체 ID, 그룹 개체 ID 또는 애플리케이션 ID(클라이언트 앱 ID 또는 리소스 앱 ID)를 가져옵니다.
팁
로그인 로그를 확인하여 외부 조직의 앱에 대한 애플리케이션 ID를 찾을 수 있습니다. 인바운드 및 아웃바운드 로그인 식별 섹션을 참조하세요.
사용자 및 그룹에 대해 구성하는 액세스 설정은 애플리케이션에 대한 액세스 설정과 일치해야 합니다. 충돌하는 설정은 허용되지 않으며 이러한 설정을 구성하려고 하면 경고 메시지가 표시됩니다.
예 1: 모든 외부 사용자 및 그룹에 대한 인바운드 액세스를 차단하는 경우 모든 애플리케이션에 대한 액세스도 차단해야 합니다.
예 2: 모든 사용자(또는 특정 사용자 또는 그룹)에 대해 아웃바운드 액세스를 허용하는 경우 외부 애플리케이션에 대한 모든 액세스를 차단할 수 없습니다. 하나 이상의 애플리케이션에 대한 액세스를 허용해야 합니다.
외부 조직과 B2B 직접 연결을 허용하고 조건부 액세스 정책에 MFA가 필요한 경우 조건부 액세스가 허용되도록 신뢰 설정을 반드시 구성해야 합니다. 정책은 외부 조직의 MFA 클레임을 수락합니다.
기본적으로 모든 앱에 대한 액세스를 차단하는 경우 사용자는 Microsoft Rights Management Service(OME(Office 365 메시지 암호화)라고도 함)로 암호화된 이메일을 읽을 수 없습니다. 이 이슈를 방지하려면 사용자가 이 앱 ID인 00000012-0000-0000-c000-000000000000에 액세스할 수 있도록 아웃바운드 설정을 구성하는 것이 좋습니다. 이 앱이 허용하는 유일한 애플리케이션이면 다른 모든 앱에 대한 액세스가 기본적으로 차단됩니다.
테넌트 간 액세스 설정을 관리하기 위한 사용자 지정 역할
테넌트 간 액세스 설정은 조직에서 정의한 사용자 지정 역할을 통해 관리할 수 있습니다. 이를 통해 관리를 위해 기본 제공 역할 중 하나를 사용하는 대신 자세한 범위의 역할을 정의하여 테넌트 간 액세스 설정을 관리할 수 있습니다. 조직은 테넌트 간 액세스 설정을 관리하기 위해 사용자 지정 역할을 정의할 수 있습니다. 이를 통해 관리를 위해 기본 제공 역할을 사용하는 대신 세부적으로 범위가 지정된 역할을 만들어 테넌트 간 액세스 설정을 관리할 수 있습니다.
권장되는 사용자 지정 역할
테넌트 간 액세스 관리자
이 역할은 기본 및 조직 기반 설정을 포함하여 테넌트 간 액세스 설정의 모든 것을 관리할 수 있습니다. 이 역할은 테넌트 간 액세스 설정의 모든 설정을 관리해야 하는 사용자에게 할당되어야 합니다.
아래에서 이 역할에 대한 권장 작업 목록을 찾아보세요.
| 작업 |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/allowedCloudEndpoints/update |
| microsoft.directory/crossTenantAccessPolicy/basic/update |
| microsoft.directory/crossTenantAccessPolicy/default/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/default/b2bDirectConnect/update |
| microsoft.directory/crossTenantAccessPolicy/default/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/default/tenantRestrictions/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update |
| microsoft.directory/crossTenantAccessPolicy/partners/create |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/partners/delete |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update |
테넌트 간 액세스 읽기 권한자
이 역할은 기본 및 조직 기반 설정을 포함하여 테넌트 간 액세스 설정의 모든 내용을 읽을 수 있습니다. 이 역할은 테넌트 간 액세스 설정의 설정을 검토하기만 하고 관리할 필요는 없는 사용자에게 할당되어야 합니다.
아래에서 이 역할에 대한 권장 작업 목록을 찾아보세요.
| 작업 |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
테넌트 간 액세스 파트너 관리자
이 역할은 파트너와 관련된 모든 것을 관리하고 기본 설정을 읽을 수 있습니다. 이 역할은 조직 기반 설정을 관리해야 하지만 기본 설정을 변경할 수 없는 사용자에게 할당되어야 합니다.
아래에서 이 역할에 대한 권장 작업 목록을 찾아보세요.
| 작업 |
|---|
| microsoft.directory.tenantRelationships/standard/read |
| microsoft.directory/crossTenantAccessPolicy/standard/read |
| microsoft.directory/crossTenantAccessPolicy/basic/update |
| microsoft.directory/crossTenantAccessPolicy/default/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bCollaboration/update |
| microsoft.directory/crossTenantAccessPolicy/partners/b2bDirectConnect/update |
| microsoft.directory/crossTenantAccessPolicy/partners/create |
| microsoft.directory/crossTenantAccessPolicy/partners/crossCloudMeetings/update |
| microsoft.directory/crossTenantAccessPolicy/partners/delete |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/basic/update |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/create |
| microsoft.directory/crossTenantAccessPolicy/partners/identitySynchronization/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/standard/read |
| microsoft.directory/crossTenantAccessPolicy/partners/tenantRestrictions/update |
테넌트 간 액세스 관리 작업 보호
테넌트 간 액세스 설정을 수정하는 모든 작업은 보호된 작업으로 간주되며 조건부 액세스 정책을 통해 추가로 보호될 수 있습니다. 자세한 내용 및 구성 단계는 보호된 작업을 참조하세요.
인바운드 및 아웃바운드 로그인 식별
인바운드 및 아웃바운드 액세스 설정을 지정하기 전에 사용자 및 파트너에게 필요한 액세스 권한을 식별하는 데 도움이 되는 몇 가지 도구를 사용할 수 있습니다. 사용자와 파트너에게 필요한 액세스 권한을 제거하지 않도록 현재 로그인 동작을 검사해야 합니다. 이 예비 단계를 수행하면 최종 사용자 및 파트너 사용자에게 필요한 액세스 권한이 손실되지 않도록 방지하는 데 도움이 됩니다. 그러나 경우에 따라 이러한 로그는 30일 동안만 유지되므로 비즈니스 관련자와 협의하여 필요한 액세스 권한이 손실되지 않도록 하는 것이 좋습니다.
테넌트 간 로그인 작업 PowerShell 스크립트
외부 테넌트와 연결된 사용자 로그인 작업을 검토하려면 테넌트 간 사용자 로그인 작업 PowerShell 스크립트를 사용합니다. 예를 들어 인바운드 작업(로컬 테넌트의 리소스에 액세스하는 외부 사용자) 및 아웃바운드 작업(외부 테넌트의 리소스에 액세스하는 로컬 사용자)에 대해 사용 가능한 모든 로그인 이벤트를 보려면 다음 명령을 실행합니다.
Get-MSIDCrossTenantAccessActivity -SummaryStats -ResolveTenantId
외부 테넌트 ID 및 외부 테넌트 이름별로 나열되는 인바운드 및 아웃바운드 작업에 대해 사용 가능한 모든 로그인 이벤트에 대한 요약이 출력됩니다.
로그인 로그 PowerShell 스크립트
외부 Microsoft Entra 조직에 대한 사용자의 액세스 권한을 확인하려면 Microsoft Graph PowerShell SDK의 Get-MgAuditLogSignIn cmdlet을 사용하여 지난 30일 동안 기록된 로그인 로그의 데이터를 봅니다. 예를 들어 다음 명령을 실행합니다.
#Initial connection
Connect-MgGraph -Scopes "AuditLog.Read.All"
Select-MgProfile -Name "beta"
#Get external access
$TenantId = "<replace-with-your-tenant-ID>"
Get-MgAuditLogSignIn -Filter "ResourceTenantId ne '$TenantID'" -All:$True |
Group-Object ResourceTenantId,AppDisplayName,UserPrincipalName |
Select-Object count,@{n='Ext TenantID/App User Pair';e={$_.name}}
사용자가 외부 테넌트의 앱에 대해 시작한 아웃바운드 로그인 목록이 출력됩니다.
Azure Monitor
조직에서 Azure Monitor 서비스를 구독하는 경우 테넌트 간 액세스 작업 통합 문서(Azure Portal의 모니터링 통합 문서 갤러리에서 사용 가능)를 사용하여 더 오랜 기간의 인바운드 및 아웃바운드 로그인을 시각적으로 검색합니다.
SIEM(보안 정보 및 이벤트 관리) 시스템
조직에서 로그인 로그를 SIEM(보안 정보 및 이벤트 관리) 시스템으로 내보내는 경우 SIEM 시스템에서 필요한 정보를 검색할 수 있습니다.
테넌트 간 액세스 설정에 대한 변경 내용 식별
Microsoft Entra 감사 로그는 테넌트 간 액세스 설정 변경 및 작업과 관련된 모든 작업을 캡처합니다. 테넌트 간 액세스 설정에 대한 변경 내용을 감사하려면 CrossTenantAccessSettings의 범주를 사용해 모든 작업을 필터링하여 테넌트 간 액세스 설정에 대한 변경 내용을 표시합니다.
