Microsoft Entra 외부 ID B2B에 대한 외부 공동 작업 설정 구성

적용 대상: 인력 테넌트 외부 테넌트(자세한 정보)

외부 공동 작업 설정을 사용하면 조직에서 B2B 공동 작업을 위해 외부 사용자를 초대할 수 있는 역할을 지정할 수 있습니다. 이러한 설정에는 특정 도메인을 허용하거나 차단하는 옵션과 Microsoft Entra 디렉터리에서 외부 게스트 사용자가 볼 수 있는 항목을 제한하는 옵션도 포함됩니다. 다음과 같은 옵션을 사용할 수 있습니다.

• 게스트 사용자 액세스 확인: Microsoft Entra 외부 ID를 사용하면 Microsoft Entra 디렉터리에서 외부 게스트 사용자가 볼 수 있는 항목을 제한할 수 있습니다. 예를 들어 게스트 사용자의 그룹 멤버 자격 보기를 제한하거나 게스트가 자신의 프로필 정보만 볼 수 있도록 허용할 수 있습니다.

• 게스트를 초대할 수 있는 사용자 지정: 기본적으로 B2B 협업 게스트 사용자를 포함하여 조직의 모든 사용자가 외부 사용자를 B2B 협업에 초대할 수 있습니다. 초대를 보내는 기능을 제한하려는 경우 모든 사용자에 대한 초대를 설정하거나 해제하거나 초대를 특정 역할로 제한할 수 있습니다.

• 사용자 흐름을 통해 게스트 셀프 서비스 등록 사용: 빌드하는 애플리케이션의 경우 사용자가 앱에 등록하고 새 게스트 계정을 만들 수 있는 사용자 흐름을 만들 수 있습니다. 외부 공동 작업 설정에서 기능을 사용하도록 설정한 다음 셀프 서비스 등록 사용자 흐름을 앱에 추가할 수 있습니다.

• 도메인 허용 또는 차단: 공동 작업 제한을 사용하여 지정한 도메인에 대한 초대를 허용하거나 거부할 수 있습니다. 자세한 내용은 도메인 허용 또는 차단을 참조하세요.

다른 Microsoft Entra 조직과의 B2B 공동 작업의 경우 테넌트 간 액세스 설정을 검토하여 인바운드 및 아웃바운드 B2B 공동 작업 및 특정 사용자, 그룹 및 애플리케이션에 대한 액세스 범위를 확인해야 합니다.

참고 항목

2025년 7월부터 Microsoft는 B2B 협업을 위한 게스트 사용자 로그인 환경에 대한 업데이트를 배포하기 시작합니다. 롤아웃은 2025년 말까지 계속됩니다. 이 업데이트를 사용하면 게스트 사용자가 자신의 조직의 로그인 페이지로 리디렉션되어 자격 증명을 제공합니다. 게스트 사용자는 자신의 홈 테넌트의 브랜딩과 URL 엔드포인트를 볼 수 있습니다. 이 단계는 사용할 로그인 정보에 대한 명확성을 보장합니다. 자체 조직에서 인증이 성공하면 게스트 사용자가 조직에 반환되어 로그인 프로세스를 완료합니다. 다음 예에서는 Woodgrove Groceries의 회사 브랜딩이 왼쪽에 표시됩니다. 오른쪽의 예제에서는 사용자의 홈 테넌트에 대한 사용자 지정 브랜딩을 표시합니다.

포털에서 설정 구성

Microsoft Entra 관리 센터에서 외부 공동 작업 설정 페이지를 활성화하고 설정을 업데이트하려면 전역 관리자 역할이 할당되어야 합니다. Microsoft Graph를 사용하는 경우 개별 설정에 더 적은 권한의 역할을 사용할 수 있습니다. 이 문서의 뒷부분에서 Microsoft Graph를 사용하여 설정 구성 을 참조하세요.

게스트 사용자 액세스를 구성하는 방법

1. Microsoft Entra 관리 센터에 로그인합니다.

2. Entra ID>외부 식별>외부 협업 설정으로 이동합니다.

3. 게스트 사용자 액세스에서 게스트 사용자에게 부여할 액세스 수준을 선택합니다.

   

   • 게스트 사용자는 멤버와 동일한 액세스 권한을 갖습니다(가장 포괄). 이 옵션은 게스트에게 멤버 사용자와 동일한 Microsoft Entra 리소스 및 디렉터리 데이터에 대한 액세스 권한을 부여합니다.

   • 게스트 사용자는 디렉터리 개체의 속성 및 멤버 자격에 대한 액세스가 제한됩니다. (기본값) 이 설정은 사용자, 그룹 또는 기타 디렉터리 리소스 열거와 같은 특정 디렉터리 작업에서 게스트를 차단합니다. 게스트가 숨겨지지 않은 모든 그룹의 구성원 자격을 볼 수 있습니다. 기본 게스트 권한에 대해 자세히 알아봅니다.

   • 게스트 사용자 액세스는 자체 디렉터리 개체의 속성 및 멤버 자격으로 제한됩니다(가장 제한적). 이 설정을 사용하면 게스트는 자신의 프로필에만 액세스할 수 있습니다. 게스트는 다른 사용자의 프로필, 그룹 또는 그룹 멤버십을 볼 수 없습니다.

게스트 초대 설정을 구성하는 방법

1. Microsoft Entra 관리 센터에 로그인합니다.

2. Entra ID>외부 식별>외부 협업 설정으로 이동합니다.

3. 게스트 초대 설정에서 적절한 설정을 선택합니다.

   

   • 조직의 모든 사용자가 게스트 및 비관리자(가장 포함)를 포함한 게스트 사용자를 초대할 수 있습니다. 조직의 게스트가 조직의 구성원이 아닌 사용자를 포함하여 다른 게스트를 초대하도록 허용하려면 이 라디오 단추를 선택합니다.
   • 특정 관리자 역할에 할당된 구성원 사용자 및 사용자는 구성원 권한이 있는 게스트를 포함하여 게스트 사용자를 초대할 수 있습니다. 특정 관리자 역할이 있는 구성원 사용자와 사용자가 게스트를 초대하도록 허용하려면 이 라디오 단추를 선택합니다.
   • 특정 관리자 역할에 할당된 사용자만 게스트 사용자를 초대할 수 있습니다. 사용자 관리자 또는 게스트 초대자 역할이 있는 사용자만 게스트를 초대하도록 허용하려면 이 라디오 단추를 선택합니다.
   • 조직의 어느 누구도 관리자(가장 제한적)를 포함한 게스트 사용자를 초대할 수 없습니다. 조직의 모든 사용자가 게스트를 초대하는 것을 거부하려면 이 라디오 단추를 선택합니다.

게스트 셀프 서비스 가입을 구성하는 방법

1. Microsoft Entra 관리 센터에 로그인합니다.

2. Entra ID>외부 식별>외부 협업 설정으로 이동합니다.

3. 사용자 흐름을 통해 게스트 셀프 서비스 등록 사용 아래에서 사용자가 앱에 등록할 수 있는 사용자 흐름을 만들 수 있도록 하려면 예를 선택합니다. 이 설정에 대한 자세한 내용은 앱에 셀프 서비스 등록 사용자 흐름 추가를 참조하세요.

   

외부 사용자 나가기 설정을 구성하는 방법

1. Microsoft Entra 관리 센터에 로그인합니다.

2. Entra ID>외부 식별>외부 협업 설정으로 이동합니다.

3. 외부 사용자 휴가 설정에서 외부 사용자가 조직에서 자신을 제거할 수 있는지 여부를 제어할 수 있습니다.

   • 예: 사용자는 관리자 또는 개인 정보 보호 연락처의 승인 없이 조직 자체를 떠날 수 있습니다.
   • 아니요: 사용자는 조직 자체를 떠날 수 없습니다. 관리자 또는 개인 정보 담당자에게 연락하여 조직에서 제거하도록 요청하라고 안내하는 메시지가 표시됩니다.

   중요합니다

   Microsoft Entra 테넌트에 개인 정보 정보를 추가한 경우에만 외부 사용자 휴가 설정을 구성할 수 있습니다. 그렇지 않으면 이 설정을 사용할 수 없습니다.

   

협업 제한을 구성하는 방법(도메인 허용 또는 차단)

중요합니다

가장 적은 권한으로 역할을 사용하는 것이 좋습니다. 이 방법은 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 긴급 시나리오 또는 기존 역할을 사용할 수 없는 경우 제한해야 하는 높은 권한의 역할입니다.

1. Microsoft Entra 관리 센터에 로그인합니다.

2. Entra ID>외부 식별>외부 협업 설정으로 이동합니다.

3. 공동 작업 제한에 따라 지정한 도메인에 대한 초대를 허용하거나 거부할지 여부를 선택하고 텍스트 상자에 특정 도메인 이름을 입력할 수 있습니다. 여러 도메인 경우 도메인을 하나씩 새 줄에 입력합니다. 자세한 내용은 특정 조직의 B2B 사용자에 대한 초대 허용 또는 차단을 참조하세요.

   

Microsoft Graph 설정 구성

Microsoft Graph API를 사용하여 외부 협업 설정을 구성할 수 있습니다.

• 게스트 사용자 액세스 제한 및게스트 초대 제한의 경우 authorizationPolicy 리소스 유형을 사용합니다.
• 사용자 흐름 설정을 통해 게스트 셀프 서비스 등록 사용의 경우 authenticationFlowsPolicy 리소스 유형을 사용합니다.
• 외부 사용자 휴가 설정의 경우 externalidentitiespolicy 리소스 유형을 사용합니다.
• 전자 메일 일회용 암호 설정(이제 Microsoft Entra 관리 센터의 모든 ID 공급자 페이지에 있음)의 경우 emailAuthenticationMethodConfiguration 리소스 유형을 사용합니다.

사용자에게 게스트 초대자 역할 할당

게스트 초대자 역할을 사용하면 개별 사용자에게 더 높은 권한 관리자 역할을 할당하지 않고도 게스트를 초대할 수 있는 기능을 제공할 수 있습니다. 게스트 초대자 역할이 있는 사용자는 특정 관리자 역할에 할당된 사용자만 게스트 사용자를 초대할 수 있는 옵션(게스트 초대 설정 아래)을 선택한 경우에도 게스트를 초대할 수 있습니다.

다음은 Microsoft Graph PowerShell을 사용하여 Guest Inviter 역할에 사용자를 추가하는 방법을 보여주는 예제입니다.

Import-Module Microsoft.Graph.Identity.DirectoryManagement

$roleName = "Guest Inviter"
$role = Get-MgDirectoryRole | where {$_.DisplayName -eq $roleName}
$userId = <User Id/User Principal Name>

$DirObject = @{
  "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$userId"
  }

New-MgDirectoryRoleMemberByRef -DirectoryRoleId $role.Id -BodyParameter $DirObject

B2B 사용자를 위한 로그인 로그

B2B 사용자가 공동 작업을 위해 리소스 테넌트에 로그인하면 홈 테넌트와 리소스 테넌트 모두에서 로그인 로그가 생성됩니다. 이러한 로그에는 사용 중인 애플리케이션, 이메일 주소, 테넌트 이름, 홈 테넌트 및 리소스 테넌트 모두에 대한 테넌트 ID와 같은 정보가 포함됩니다.

다음 단계

Microsoft Entra B2B 협업에 대한 다음 문서를 참조하세요.

• Microsoft Entra B2B 협업이란?
• 역할에 B2B 협업 사용자 추가