Microsoft Entra B2B 협업 FAQ

조직의 로그인 페이지를 사용자 지정하는 방법에 대한 자세한 내용은 로그인 및 액세스 패널 페이지에 회사 브랜딩 추가를 참조하세요.

예. 그러나 사용자 선택을 사용하여 SharePoint Online에서 기존 게스트 사용자를 검색하는 기능은 기본적으로 꺼져 있습니다. 기존 게스트 사용자를 검색하는 옵션을 설정하려면 ShowPeoplePickerSuggestionsForGuestUsers를 켜기로 설정합니다. 테넌트 수준 또는 사이트 컬렉션 수준에서 이 설정을 사용할 수 있습니다. Set-SPOTenant 및 Set-SPOSite cmdlet을 사용하여 이 설정을 변경할 수 있습니다. 구성원은 이러한 cmdlet을 사용하여 디렉터리에 있는 기존의 모든 게스트 사용자를 검색할 수 있습니다. 테넌트 범위에 대한 변경 내용은 이미 프로비전된 SharePoint Online 사이트에 영향을 주지 않습니다.

예, B2B 협업을 사용하여 외부 게스트 사용자에게 Power BI 콘텐츠를 배포할 수 있습니다. Microsoft 클라우드 간에 Power BI 콘텐츠를 공유하려면 Microsoft 클라우드 설정을 사용하여 클라우드와 외부 클라우드 간에 상호 B2B 협업을 설정할 수 있습니다.

예. .csv 파일 업로드 기능을 사용하는 방법에 대한 자세한 내용은 이 PowerShell 샘플을 참조하세요.

B2B 초대 API를 사용하여 거의 모든 초대자 프로세스를 사용자 지정할 수 있습니다.

예. 게스트 사용자는 일반 사용자와 동일한 방식으로 다단계 인증 방법을 재설정할 수 있습니다.

초대하는 조직은 다단계 인증을 수행합니다. 초대하는 조직은 다단계 인증을 사용하는 자신의 B2B 사용자에게 라이선스를 충분히 제공해야 합니다.

테넌트 간 액세스 설정을 사용하면 다른 Microsoft Entra 조직의 다단계 인증 및 디바이스 클레임(규정 준수 클레임 및 Microsoft Entra 하이브리드 조인 클레임)을 신뢰할 수 있습니다.

테넌트 간 액세스 설정은 다른 조직과 협업하는 방법에 대한 설정을 저장하는 디렉터리의 정책입니다. 이 정책 파일의 크기 제한은 25KB이며, 최대 크기에 도달하면 파일 크기를 더 늘리는 조직 추가 또는 변경을 수행할 수 없습니다. 이 정책에 콘텐츠를 저장하는 방법 때문에 테넌트 간 액세스 설정에서 추가할 수 있는 조직에 대한 정의된 제한이 없습니다. 많은 조직에 설정을 적용해야 하는 경우 해당 설정을 기본 설정으로 구현하는 것이 좋습니다. 단계에 따라 정책의 현재 크기를 계산하여 25KB 파일 크기 제한에 근접했는지 확인하세요.

어떤 조직에서는 B2B 협업 사용자를 추가하고 필요한 경우 애플리케이션에 프로비전한 다음, 초대를 보내려고 합니다. B2B 협업 초대 API를 사용하여 온보딩 워크플로를 사용자 지정할 수 있습니다.

예. 기본적으로 게스트 개체는 조직의 전역 주소 목록에 표시되지 않지만 표시되도록 만들 수 있습니다. 자세한 내용은 그룹별 Microsoft 365 게스트 액세스 문서의 전역 주소 목록에 게스트 추가를 참조하세요.

물론 그렇습니다. 자세한 내용은 역할에 게스트 사용자 추가를 참조하세요.

사용자가 제한된 관리자 역할을 할당받지 않은 경우 B2B 협업 사용자는 Microsoft Entra 관리 센터에 액세스할 필요가 없습니다. 그러나 제한된 관리자 역할을 할당받은 B2B 협업 사용자는 포털에 액세스할 수 있습니다. 또한 이러한 관리자 역할 중 하나가 할당되지 않은 게스트 사용자가 포털에 액세스하는 경우 사용자는 특정 부분의 환경에 액세스할 수 있습니다. 게스트 사용자 역할에는 디렉터리에 대한 일부 사용 권한이 있습니다.

예, 관리 센터 또는 포털에 대한 게스트 사용자 액세스를 차단하는 조건부 액세스 정책을 만들 수 있습니다. 조건부 액세스 정책을 구성할 때 정책을 적용하려는 외부 사용자의 유형을 세부적으로 제어할 수 있습니다. 이 정책을 구성할 경우 실수로 구성원과 관리자에 대한 액세스를 차단하지 않도록 주의하세요. 외부 사용자에 대한 조건부 액세스에 대해 자세히 알아봅니다.

예. 다단계 인증 및 소비자 이메일 계정은 둘 다 Microsoft Entra B2B 협업에 지원됩니다.

Microsoft Entra 테넌트가 사용자의 홈 디렉터리이면 Microsoft Entra 관리 센터에서 사용자의 암호를 다시 설정할 수 있습니다. 하지만 다른 Microsoft Entra 디렉터리 또는 외부 ID 공급자가 관리하는 계정으로 로그인한 게스트 사용자에 대한 암호는 직접 재설정할 수는 없습니다. 게스트 사용자 또는 사용자의 홈 디렉터리에 있는 관리자만 암호를 재설정할 수 있습니다. 다음은 게스트 사용자에 대해 암호 재설정이 작동하는 방식에 대한 몇 가지 예입니다.

• "Guest"(UserType==Guest)로 표시된 Microsoft Entra 테넌트의 게스트 사용자는 https://aka.ms/ssprsetup을 통해 SSPR에 등록할 수 없습니다. 이러한 유형의 게스트 사용자는 https://aka.ms/sspr을(를) 통해서만 SSPR를 수행할 수 있습니다.

• Microsoft 계정(예: guestuser@live.com)으로 로그인한 게스트 사용자는 Microsoft 계정 SSPR(셀프 서비스 암호 재설정)을 사용하여 사용자 고유의 암호를 재설정할 수 있습니다. Microsoft 계정 암호를 재설정하는 방법을 참조하세요.

• Google 계정 또는 다른 외부 ID 공급자로 로그인한 게스트 사용자는 ID 공급자의 SSPR 메서드를 사용하여 사용자 고유의 암호를 재설정할 수 있습니다. 예를 들어 Google 계정 guestuser@gmail.com을 사용하는 게스트 사용자는 암호 변경 또는 재설정의 지침에 따라 자신의 암호를 재설정할 수 있습니다.

• ID 테넌트가 JIT(Just-In-Time) 또는 “바이럴” 테넌트(별개의 관리되지 않는 Azure 테넌트를 의미)인 경우 게스트 사용자만 암호를 재설정할 수 있습니다. 직원이 회사 이메일 주소를 사용하여 서비스에 가입할 때 생성된 바이럴 테넌트 관리를 인계받는 조직도 있습니다. 조직이 바이럴 테넌트를 인계받고 나면 해당 조직의 관리자만이 사용자 암호를 재설정하거나 SSPR을 사용하도록 설정할 수 있습니다. 필요한 경우 초대 조직 관리자는 디렉터리에서 게스트 사용자 계정을 제거하고 초대를 다시 보낼 수 있습니다.

• 게스트 사용자의 홈 디렉터리가 Microsoft Entra 테넌트인 경우 사용자의 암호를 다시 설정할 수 있습니다. 예를 들어 온-프레미스 Active Directory에서 사용자를 만들거나 동기화하고 UserType을 Guest로 설정할 수 있습니다. 이 사용자는 디렉터리에 속해 있기 때문에 Microsoft Entra 관리 센터에서 암호를 재설정할 수 있습니다.

예, Dynamics 365(온라인)는 Microsoft Entra B2B 협업을 지원합니다. 자세한 내용은 Dynamics 365 문서 Microsoft Entra B2B 협업으로 사용자 초대를 참조하세요.

Microsoft Entra ID에는 모든 Microsoft Entra 클라우드 사용자 계정에 동등하게 적용되는 고정된 문자 세트, 암호 강도 및 계정 잠금 요구 사항이 있습니다. 클라우드 사용자 계정은 다른 ID 공급자와 페더레이션되지 않은 계정입니다. 예를 들면 다음과 같습니다.

• Microsoft 계정
• Facebook
• ADFS(Active Directory Federation Services)
• 다른 클라우드 테넌트(B2B 협업용)

페더레이션 계정의 경우 암호 정책은 온-프레미스 테넌트 및 사용자의 Microsoft 계정 설정에서 적용되는 정책에 따라 다릅니다.

게스트 사용자는 인증하는 데 ID 공급자를 사용할 수 있습니다. 자세한 내용은 B2B 협업 사용자의 속성을 참조하세요. UserType 속성을 사용하여 사용자 환경을 결정합니다. UserType 클레임은 현재 토큰에 포함되지 않습니다. 애플리케이션은 Microsoft Graph API를 이용하여 사용자 디렉터리를 쿼리하고 UserType을 가져와야 합니다.

B2B 협업을 개선하기 위해 사용자의 의견을 지속적으로 수렴하고 있습니다. Microsoft Entra B2B 협업에 대한 사용자 시나리오, 모범 사례 및 원하는 기능을 공유해 주세요. Microsoft 기술 커뮤니티에서 토론에 참여합니다.

B2B 협업 아이디어에서 아이디어를 제출하고 향후 기능에 대해 투표해 주세요.

UI, PowerShell 스크립트 또는 API를 사용하여 파트너 조직의 다른 사용자를 초대할 수 있습니다. 그런 다음, 게스트 사용자에게 공유 앱에 대한 직접 링크를 보낼 수 있습니다. 대부분의 경우에는 이메일 초대를 열고 상환 URL을 클릭할 필요가 없습니다. Microsoft Entra B2B 협업 초대 사용을 참조하세요.

파트너에게 온-프레미스 인증 인프라로 페더레이션된 Microsoft Entra 테넌트가 있는 경우 온-프레미스 SSO(Single Sign-On)가 자동으로 이루어집니다. 파트너에 Microsoft Entra 테넌트가 없는 경우 새 사용자에 대한 Microsoft Entra 계정이 만들어집니다.

아니요. Azure AD B2C 로컬 계정은 Azure AD B2C 테넌트에 로그인하는 데에만 사용될 수 있습니다. 이 계정은 Microsoft Entra 테넌트에 로그인하는 데 사용할 수 없습니다. B2B 협업을 위해 Azure AD B2C 로컬 계정을 Microsoft Entra 테넌트에 초대하는 기능은 지원되지 않습니다.

모든 Microsoft Entra 통합 애플리케이션이 Azure B2B 게스트 사용자를 지원할 수 있지만, 게스트 사용자를 인증하려면 테넌트로 설정된 엔드포인트를 사용해야 합니다. 게스트 사용자가 앱을 인증할 때 발행되는 SAML 토큰에서 클레임을 사용자 지정해야 할 수도 있습니다.

예. 자세한 내용은 B2B 협업 사용자에 대한 조건부 액세스를 참조하세요.

예. Microsoft Entra B2B 협업은 허용 목록 및 차단 목록을 지원합니다.

조직에서 Microsoft Entra B2B를 사용하는 데 필요한 라이선스에 대한 자세한 내용은 외부 ID 가격을 참조하세요.

경우에 따라 다릅니다. 기본적으로 Microsoft Entra 전용은 로그인 ID에 대해 UPN만 허용합니다. UPN과 이메일이 동일한 경우 Microsoft Entra B2B 초대 및 후속 로그인이 예상대로 작동합니다. 그러나 사용자의 이메일과 UPN이 일치하지 않고 UPN 대신 이메일을 사용하여 로그인하는 경우 문제가 발생할 수 있습니다. 비 UPN 이메일을 사용하여 사용자가 초대되면 이메일 초대 링크를 사용하여 초대를 사용할 수 있지만 직접 링크를 통한 초대 사용은 실패합니다. 그러나 사용자가 초대를 성공적으로 사용하더라도 ID 공급자(Microsoft Entra ID 또는 페더레이션된 ID 공급자)가 이메일을 대체 로그인 ID로 허용하도록 구성되지 않으면 비 UPN 이메일을 사용하는 후속 로그인 시도가 실패합니다. 이 문제는 다음으로 완화할 수 있습니다.

1. 초대된/홈 Microsoft Entra 테넌트에서 이메일을 대체 로그인 ID로 사용
2. 페더레이션된 ID 공급자가 이메일을 로그인 ID로 지원하도록 설정합니다(Microsoft Entra ID가 다른 ID 공급자에 페더레이션된 경우). 또는
3. 사용자에게 UPN을 통해 사용/로그인하도록 지시합니다.

이 문제를 완전히 방지하려면 관리자가 사용자의 UPN과 이메일이 동일한 값인지 확인해야 합니다.

B2B 협업 흐름에서 해당 디렉터리에 사용자를 추가하고, 초대 사용 프로세스, 앱 할당 등에서 동적으로 업데이트합니다. 업데이트 및 쓰기는 일반적으로 한 디렉터리 인스턴스에서 발생하며 모든 인스턴스에 걸쳐 복제해야 합니다. 모든 인스턴스가 업데이트되면 복제가 완료됩니다. 개체가 한 인스턴스에서 기록 또는 업데이트되고 이 개체를 검색하기 위한 호출이 다른 인스턴스에 대해 수행될 경우 복제 대기 시간이 발생할 수 있습니다. 이 문제가 발생할 경우 새로 고치거나 다시 시도하면 도움이 됩니다. API를 사용하여 앱을 작성할 경우 백오프를 사용하여 다시 시도하는 것은 이 문제를 완화하기 위한 좋은 방어 사례입니다.

다음 단계

Microsoft Entra B2B 협업이란?