Microsoft Entra 외부ID 소개
Microsoft Entra 외부 ID는 조직 외부 사용자와 작업하기 위한 강력한 솔루션을 결합합니다. 외부 ID 기능을 사용하면 외부 ID가 앱 및 리소스에 안전하게 액세스하도록 허용할 수 있습니다. 외부 파트너, 소비자 또는 비즈니스 고객과 함께 작업하는 경우 사용자는 자신의 ID를 가져올 수 있습니다. 이러한 ID는 회사 또는 정부 발행 계정에서 Google 또는 Facebook과 같은 소셜 ID 공급자에 이르기까지 다양할 수 있습니다.
이러한 시나리오는 Microsoft Entra 외부 ID의 범위에 속합니다.
소비자 앱을 만드는 조직 또는 개발자인 경우 외부 ID를 사용하여 애플리케이션에 인증 및 CIAM(고객 ID 및 액세스 관리)을 빠르게 추가합니다. 앱을 등록하고, 사용자 지정된 로그인 환경을 만들고, 외부 구성의 Microsoft Entra 테넌트에서 앱 사용자를 관리합니다. 이 테넌트는 직원 및 조직 리소스와는 별개입니다.
직원이 비즈니스 파트너 및 게스트와 공동 작업할 수 있도록 하려면 B2B 협업에 외부 ID를 사용합니다. 초대 또는 셀프 서비스 등록을 통해 엔터프라이즈 앱에 대한 보안 액세스를 허용합니다. 인력 구성의 테넌트인 직원 및 조직 리소스를 포함하는 Microsoft Entra 테넌트에 대한 게스트의 액세스 수준을 결정합니다.
Microsoft Entra 외부 ID는 인증 및 CIAM이 필요한 소비자 지향 앱 개발자와 안전한 B2B 협업을 원하는 기업 모두를 위한 유연한 솔루션입니다.
소비자 및 비즈니스 고객을 위한 앱 보호
조직과 개발자는 소비자 및 비즈니스 고객에게 앱을 게시할 때 외부 테넌트의 외부 ID를 CIAM 솔루션으로 사용할 수 있습니다. 외부 구성에서 별도의 Microsoft Entra 테넌트를 만들 수 있으며, 이를 통해 앱 및 사용자 계정을 작업 인력과 별도로 관리할 수 있습니다. 이 테넌트 내에서 사용자 지정 브랜드 등록 환경 및 사용자 관리 기능을 쉽게 구성할 수 있습니다.
고객이 따르는 일련의 등록 단계와 사용할 수 있는 로그인 방법(예: 이메일 및 암호, 일회성 암호 또는 Google 또는 Facebook의 소셜 계정)을 정의하는 셀프 서비스 등록 흐름을 설정합니다.
테넌트에 대한 회사 브랜드 설정을 구성하여 앱에 로그인하는 사용자를 위한 사용자 지정 모양과 느낌을 만듭니다. 이러한 설정을 사용하면 고유의 배경 이미지, 색, 회사 로고 및 텍스트를 추가하여 앱 전반의 로그인 환경을 사용자 지정할 수 있습니다.
일련의 기본 제공 사용자 특성 중에서 선택하거나 사용자 고유의 사용자 지정 특성을 추가하여 등록하는 동안 고객으로부터 정보를 수집합니다.
사용자 활동 및 참여 데이터를 분석하여 전략적 의사 결정을 돕고 비즈니스 성장을 촉진할 수 있는 중요한 인사이트를 파악합니다.
외부 ID를 사용하면 고객이 이미 가지고 있는 ID로 로그인할 수 있습니다. 애플리케이션을 사용할 때 고객이 등록하고 로그인하는 방법을 사용자 지정하고 제어할 수 있습니다. 이러한 CIAM 기능은 External ID에 기본 제공되므로 향상된 보안, 규정 준수 및 확장성과 같은 Microsoft Entra 플랫폼 기능의 이점도 누릴 수 있습니다.
자세한 내용은 외부 테넌트의 Microsoft Entra 외부 ID 개요를 참조하세요.
비즈니스 게스트와 공동 작업
External ID B2B 협업을 통해 인력은 외부 비즈니스 파트너와 협업할 수 있습니다. 공유하려는 앱 및 리소스에 액세스할 수 있도록 모든 사용자가 자신의 자격 증명을 사용하여 Microsoft Entra 조직에 로그인하도록 초대할 수 있습니다. 비즈니스 게스트가 Office 365 앱, SaaS(Software-as-a-Service) 앱 및 LOB(기간 업무) 애플리케이션에 액세스할 수 있도록 해야 하는 경우 B2B 협업을 사용합니다. 비즈니스 게스트와 연결된 자격 증명이 없습니다. 대신 홈 조직 또는 ID 공급자를 사용하여 인증한 다음, 조직에서 게스트 협업의 사용자 자격 여부를 확인합니다.
협업을 위해 조직에 비즈니스 게스트를 추가하는 다양한 방법이 있습니다.
Microsoft Entra 계정, Microsoft 계정 또는 사용하도록 설정한 소셜 ID(예: Google)를 사용하여 공동 작업하도록 사용자를 초대합니다. 관리자는 Microsoft Entra 관리 센터 또는 PowerShell을 사용하여 사용자를 공동 작업하도록 초대할 수 있습니다. 사용자는 자신의 회사, 학교 또는 기타 이메일 계정으로 간단한 사용 프로세스를 통해 공유 리소스에 로그인합니다.
셀프 서비스 등록 사용자 흐름을 사용하여 게스트가 애플리케이션 자체에 등록할 수 있도록 합니다. 회사, 학교 또는 소셜 ID(예: Google 또는 Facebook)에 가입할 수 있도록 환경을 사용자 지정할 수 있습니다. 또한 가입 프로세스 중에 사용자에 대한 정보를 수집할 수 있습니다.
액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화하여 대규모 외부 사용자의 ID와 액세스를 관리할 수 있는 ID 거버넌스 기능인 Microsoft Entra 권한 관리를 사용합니다.
직원과 동일한 디렉터리에 비즈니스 게스트에 대한 사용자 개체가 만들어집니다. 이 사용자 개체는 디렉터리의 다른 사용자 개체처럼 관리되고 그룹에 추가될 수 있습니다. 권한 부여를 위해 사용자 개체에 권한을 할당하는 동시에 인증을 위해 기존 자격 증명을 사용하도록 할 수 있습니다.
테넌트 간 액세스 설정을 사용하여 다른 Microsoft Entra 조직 및 Microsoft Azure 클라우드와의 협업을 관리할 수 있습니다. 비 Azure AD 외부 사용자 및 조직과의 협업을 위해 외부 협업 설정을 사용합니다.
"인력" 및 "외부" 테넌트란?
테넌트는 등록된 앱 및 사용자 디렉터리를 포함하여 조직의 리소스를 포함하는 Microsoft Entra ID의 신뢰할 수 있는 전용 인스턴스입니다. 조직에서 테넌트를 사용하려는 방법과 관리하려는 리소스에 따라 테넌트를 구성하는 두 가지 방법이 있습니다.
- 직원 테넌트 구성은 직원, 내부 비즈니스 앱 및 기타 조직 리소스를 포함하는 표준 Microsoft Entra 테넌트입니다. 직원 테넌트에서 내부 사용자는 B2B 협업을 사용하여 외부 비즈니스 파트너 및 게스트와 공동 작업할 수 있습니다.
- 외부 테넌트 구성은 소비자나 비즈니스 고객에게 게시하려는 앱에만 사용됩니다. 이 고유 테넌트는 표준 Microsoft Entra 테넌트 모델을 따르지만 소비자 시나리오에 대해 구성됩니다. 여기에는 앱 등록 및 소비자 또는 고객 계정의 디렉터리가 포함됩니다.
자세한 내용은 Microsoft Entra External ID의 인력 및 외부 테넌트 구성을 참조하세요.
외부 ID 기능 집합 비교
다음 표에서는 외부 ID를 사용하여 사용하도록 설정할 수 있는 시나리오를 비교합니다.
직원 테넌트에서 외부 ID | 외부 테넌트에서 외부 ID | |
---|---|---|
기본 시나리오 | 직원들이 비즈니스 게스트와 공동 작업할 수 있도록 허용합니다. 게스트가 선호하는 ID를 사용하여 Microsoft Entra 조직의 리소스에 로그인할 수 있도록 합니다. Microsoft 애플리케이션 또는 사용자 고유의 애플리케이션(SaaS 앱, 사용자 지정 개발 앱 등)에 대한 액세스를 제공합니다. 예: 게스트를 초대하여 Microsoft 앱에 로그인하거나 Teams에서 게스트 멤버가 됩니다. |
ID 환경에 외부 ID를 사용하여 외부 소비자 및 비즈니스 고객에게 앱을 게시합니다. 최신 SaaS 또는 사용자 지정 개발 애플리케이션에 대한 ID 및 액세스 관리를 제공합니다(자사 Microsoft 앱이 아님). 예: 소비자 모바일 앱 사용자에 대한 사용자 지정 로그인 환경을 만들고 앱 사용량을 모니터링합니다. |
대상 사용자 | 공급자, 파트너, 공급업체와 같은 외부 조직의 비즈니스 파트너와 협업. 이러한 사용자에게는 Microsoft Entra ID 또는 관리형 IT가 있을 수도 있고 없을 수도 있습니다. | 앱의 소비자 및 비즈니스 고객. 이러한 사용자는 외부 앱 및 사용자를 위해 구성된 Microsoft Entra 테넌트에서 관리됩니다. |
사용자 관리 | B2B 협업 사용자는 직원과 동일한 인력 테넌트에서 관리되지만 일반적으로 게스트 사용자로 주석이 추가됩니다. 게스트 사용자는 직원과 동일한 방식으로 관리하고 동일한 그룹에 추가할 수 있습니다. 테넌트 간 액세스 설정을 사용하여 B2B 협업에 액세스할 수 있는 사용자를 결정할 수 있습니다. | 앱 사용자는 애플리케이션의 소비자를 위해 만드는 외부 테넌트에서 관리됩니다. 외부 테넌트의 사용자는 작업 인력 테넌트의 사용자와 다른 기본 권한을 갖습니다. 조직의 직원 디렉터리에서 분리된 외부 테넌트에서 관리됩니다. |
SSO(Single Sign-On) | 연결된 모든 Microsoft Entra 앱에 대한 SSO가 지원됩니다. 예를 들어 Microsoft 365 또는 온-프레미스 앱 및 다른 SaaS 앱(예: Salesforce 또는 Workday)에 대한 액세스를 제공할 수 있습니다. | 외부 테넌트에 등록된 앱에 대한 SSO가 지원됩니다. Microsoft 365 또는 다른 Microsoft SaaS 앱에 대한 SSO는 지원되지 않습니다. |
회사 브랜딩 | 인증 환경의 기본 상태는 Microsoft 모양과 느낌입니다. 관리자는 회사 브랜딩을 사용하여 게스트 로그인 환경을 사용자 지정할 수 있습니다. | 외부 테넌트의 기본 브랜딩은 중립적이며 기존 Microsoft 브랜딩을 포함하지 않습니다. 관리자는 조직 또는 애플리케이션별로 브랜딩을 사용자 지정할 수 있습니다. 자세히 알아보기. |
Microsoft 클라우드 설정 | 지원. | 해당 사항 없음 |
권한 관리 | 지원. | 해당 없음. |
관련 기술
외부 사용자 및 조직과의 협업과 관련된 여러 Microsoft Entra 기술이 있습니다. 외부 ID 협업 모델을 디자인할 때 이러한 다른 기능을 고려하세요.
B2B 직접 연결
B2B 직접 연결을 사용하면 다른 Microsoft Entra 조직과 양방향 트러스트 관계를 만들어 Teams Connect 공유 채널 기능을 사용하도록 설정할 수 있습니다. 이 기능을 사용하면 채팅, 통화, 파일 공유 및 앱 공유를 위해 Teams 공유 채널에 원활하게 로그인할 수 있습니다. 두 조직이 상호 B2B 직접 연결을 사용하도록 설정하면 사용자는 홈 조직에서 인증하고 액세스를 위해 리소스 조직에서 토큰을 받습니다. B2B 협업과 달리 B2B 직접 연결 사용자는 직원 디렉터리에 게스트로 추가되지 않습니다. Microsoft Entra 외부 ID의 B2B 직접 연결에 대해 자세히 알아봅니다.
외부 조직과 B2B 직접 연결을 설정하면 다음 Teams 공유 채널 기능을 사용할 수 있습니다.
공유 채널 소유자는 Teams 내에서 외부 조직의 허용된 사용자를 검색하여 공유 채널에 추가할 수 있습니다.
외부 사용자는 조직을 전환하거나 다른 계정으로 로그인하지 않고도 Teams 공유 채널에 액세스할 수 있습니다. Teams 내에서 외부 사용자는 파일 탭을 통해 파일 및 앱에 액세스할 수 있습니다. 공유 채널의 정책은 사용자의 액세스를 결정합니다.
테넌트 간 액세스 설정을 사용하여 다른 Microsoft Entra 조직과의 신뢰 관계를 관리하고 B2B 직접 연결에 대한 인바운드 및 아웃바운드 정책을 정의합니다.
Teams 공유 채널을 통해 B2B 직접 연결 사용자가 사용할 수 있는 리소스, 파일 및 애플리케이션에 대한 자세한 내용은 Microsoft Teams의 채팅, 팀, 채널 및 앱을 참조하세요.
라이선스 및 청구는 MAU(월간 활성 사용자)를 기반으로 합니다. Microsoft Entra 외부 ID의 청구 모델에 대해 자세히 알아봅니다.
Azure Active Directory B2C
Azure AD B2C(Azure Active Directory B2C)는 고객 ID 및 액세스 관리를 위한 Microsoft의 레거시 솔루션입니다. Azure AD B2C에는 Azure AD B2C 서비스를 통해 Azure Portal에서 관리하는 별도의 소비자 기반 디렉터리가 포함되어 있습니다. 각 Azure AD B2C 테넌트는 다른 Microsoft Entra ID 및 Azure AD B2C 테넌트와 별개입니다. Azure AD B2C 포털 환경은 Microsoft Entra ID와 유사하지만 Identity Experience Framework를 사용하여 사용자 경험을 사용자 지정하는 기능과 같은 주요 차이점이 있습니다.
Azure AD B2C 테넌트가 Microsoft Entra 테넌트와 어떻게 다른지에 대한 자세한 내용은 Azure AD B2C에서 지원되는 Microsoft Entra 기능을 참조하세요. Azure AD B2C 구성 및 관리에 대한 자세한 내용은 Azure AD B2C 설명서를 참조하세요.
비즈니스 게스트 등록을 위한 Microsoft Entra 권한 관리
초대하는 조직에서는 개별적인 외부 협력자가 누구인지, 리소스에 액세스해야 하는 사람이 누구인지를 미리 알지 못할 수도 있습니다. 제어하는 정책을 통해 파트너 회사의 사용자가 스스로 등록할 수 있는 방법이 필요합니다. 다른 조직의 사용자가 액세스를 요청할 수 있도록 Microsoft Entra 권한 관리를 사용하여 외부 사용자에 대한 액세스를 관리하는 정책을 구성할 수 있습니다. 승인되면 이러한 사용자는 게스트 계정으로 프로비전되고 그룹, 앱 및 SharePoint Online 사이트에 할당됩니다.
조건부 액세스
조직은 조건부 액세스 정책을 통해 MFA와 같은 적절한 액세스 제어를 외부 사용자에게 적용하여 보안을 강화할 수 있습니다.
외부 테넌트의 조건부 액세스 및 MFA
외부 테넌트에서 조직은 Microsoft Entra 조건부 액세스 정책을 만들고 등록 및 로그인 사용자 흐름에 MFA를 추가하여 고객에게 MFA를 적용할 수 있습니다. 외부 테넌트는 두 번째 단계 인증을 위한 두 가지 방법을 지원합니다.
- 이메일 일회용 암호: 사용자가 이메일 및 암호로 로그인하면 이메일로 전송되는 암호를 묻는 메시지가 표시됩니다.
- SMS 기반 인증: 외부 테넌트에 있는 사용자를 위한 MFA에 대한 두 번째 단계 인증 방법으로 SMS를 사용할 수 있습니다. 이메일 및 암호, 이메일 및 일회용 암호 또는 Google 또는 Facebook과 같은 소셜 ID로 로그인하는 사용자에게는 SMS를 사용한 두 번째 인증을 요청하는 메시지가 표시됩니다.
외부 테넌트에서의 인증 방법에 대해 자세히 알아봅니다.
B2B 협업 및 B2B 직접 연결을 위한 조건부 액세스
인력 테넌트에서 조직은 정규 직원 및 조직 멤버에 대해 사용하도록 설정된 것과 동일한 방식으로 외부 B2B 협업 및 B2B 직접 연결 사용자에 대한 조건부 액세스 정책을 적용할 수 있습니다. Microsoft Entra 테넌트 간 시나리오의 경우 조건부 액세스 정책에 MFA 또는 디바이스 규정 준수가 필요한 경우 이제 외부 사용자의 홈 조직에서 MFA 및 디바이스 준수 클레임을 신뢰할 수 있습니다. 신뢰 설정을 사용하는 경우 인증 중에 Microsoft Entra ID는 MFA 클레임 또는 디바이스 ID에 대한 사용자의 자격 증명을 확인하여 정책이 이미 충족되었는지 확인합니다. 이 경우 외부 사용자에게 공유 리소스에 대한 원활한 로그온이 부여됩니다. 그렇지 않으면 사용자의 홈 테넌트에서 MFA 또는 디바이스 챌린지가 시작됩니다. 인력 테넌트의 외부 사용자를 위한 인증 흐름 및 조건부 액세스에 대해 자세히 알아봅니다.
다중 테넌트 애플리케이션
SaaS(서비스 제공 소프트웨어) 애플리케이션을 많은 조직에 제공하는 경우 모든 Microsoft Entra 테넌트의 로그인을 허용하도록 애플리케이션을 구성할 수 있습니다. 이 구성을 애플리케이션 다중 테넌트 만들기라고 합니다. Microsoft Entra 테넌트의 사용자는 애플리케이션에서 자신의 계정을 사용하는 데 동의한 후 애플리케이션에 로그인할 수 있습니다. 다중 테넌트 로그인을 사용하도록 설정하는 방법을 참조하세요.
다중 테넌트 조직
다중 테넌트 조직은 둘 이상의 Microsoft Entra ID 인스턴스가 있는 조직입니다. 다중 테넌스에는 여러 가지 이유가 있습니다. 예를 들어 조직은 여러 클라우드 또는 지리적 경계에 걸쳐 있을 수 있습니다.
다중 테넌트 조직 기능을 통해 Microsoft 365 전반에서 원활한 협업이 가능합니다. Microsoft Teams 및 Microsoft Viva Engage와 같은 애플리케이션에서 여러 테넌트로 구성된 조직 전체의 직원 협업 환경을 개선합니다.
테넌트 간 동기화 기능은 사용자가 초대 이메일을 받지 않고 각 테넌트에서 동의 확인 프롬프트를 수락하지 않고도 리소스에 액세스할 수 있도록 보장하는 단방향 동기화 서비스입니다.
다중 테넌트 조직 및 테넌트 간 동기화에 대해 자세히 알아보려면 다중 테넌트 조직 설명서 및 기능 비교를 참조하세요.
Microsoft Graph API
다음 섹션에 나열된 기능을 제외한 모든 외부 ID 기능은 Microsoft Graph API를 통한 자동화에도 지원됩니다. 자세한 내용은 Microsoft Graph를 사용하여 Microsoft Entra ID 및 네트워크 액세스 관리를 참조하세요.
Microsoft Graph에서 지원되지 않는 기능
외부 ID 기능 | 다음에서 지원: | Automation 해결 방법 |
---|---|---|
사용자가 속한 조직 식별 | 인력 테넌트 | 테넌트 - Azure Resource Manager API를 나열합니다. Teams 공유 채널 및 B2B 직접 연결의 경우 TenantReferences Microsoft Graph API 가져오기를 사용합니다. |
B2B Collaboration용 Microsoft Entra Microsoft Graph API
테넌트 간 액세스 설정 API: Microsoft Graph의 테넌트 간 액세스 API를 사용하면 Azure Portal에서 구성할 수 있는 동일한 B2B 협업 및 B2B 직접 연결 정책을 프로그래밍 방식으로 만들 수 있습니다. 이러한 API를 사용하여 인바운드 및 아웃바운드 협업에 대한 정책을 설정할 수 있습니다. 예를 들어 기본적으로 모든 사용자에 대한 기능을 허용하거나 차단하고 특정 조직, 그룹, 사용자 및 애플리케이션에 대한 액세스를 제한할 수 있습니다. 또한 API를 사용하면 다른 Microsoft Entra 조직의 MFA(다단계 인증) 및 디바이스 클레임(준수 클레임 및 Microsoft Entra 하이브리드 가입 클레임)을 수락할 수 있습니다.
B2B 협업 초대 관리자: Microsoft Graph의 초대 관리자 API는 비즈니스 게스트를 위한 사용자 고유의 온보딩 환경을 빌드하는 데 사용할 수 있습니다. 예를 들어 초대 만들기 API 를 사용하여 사용자 지정 초대 이메일을 B2B 사용자에게 직접 자동으로 보낼 수 있습니다. 또는 앱이 생성 응답에서 반환된 inviteRedeemUrl을 사용하여 초대된 사용자에게 선택한 통신 메커니즘을 통해 자신의 초대를 만들 수 있습니다.