테넌트 제한 설정 v2

  • 아티클

참고 항목

이 문서에 설명된 특정 기능은 미리 보기 기능입니다. 미리 보기에 대한 자세한 내용은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

보안을 강화하기 위해 사용자가 외부 계정을 사용하여 네트워크나 디바이스에서 로그인할 때 액세스할 수 있는 항목을 제한할 수 있습니다. 테넌트 간 액세스 설정에 포함된 테넌트 제한 설정을 사용하면 외부 앱에 대한 액세스를 제어하는 정책을 만들 수 있습니다.

예를 들어 조직의 사용자가 알 수 없는 테넌트에 별도의 계정을 만들었거나 외부 조직이 사용자에게 조직에 로그인할 수 있는 계정을 제공했다고 가정해 보겠습니다. 테넌트 제한을 사용하면 사용자가 네트워크 또는 디바이스에서 외부 계정으로 로그인한 동안 일부 또는 전체 외부 앱을 사용하지 못하도록 할 수 있습니다.

테넌트 제한 v2를 보여 주는 다이어그램.

단계 설명
1 Contoso는 테넌트 간 액세스 설정에서 테넌트 제한을 구성하여 모든 외부 계정과 외부 앱을 차단합니다. Contoso는 Contoso의 테넌트 ID와 테넌트 제한 정책 ID로 로컬 컴퓨터 구성을 업데이트하여 각 Windows 디바이스에 정책을 적용합니다.
2 Contoso 관리 Windows 디바이스를 사용하는 사용자는 알 수 없는 테넌트의 계정을 사용하여 외부 앱에 로그인하려고 합니다. Windows 디바이스는 인증 요청에 HTTP 헤더를 추가합니다. 헤더에는 Contoso의 테넌트 ID와 테넌트 제한 정책 ID가 포함되어 있습니다.
3 인증 평면 보호: Microsoft Entra ID는 인증 요청의 헤더를 사용하여 Microsoft Entra 클라우드에서 테넌트 제한 정책을 조회합니다. Contoso의 정책은 외부 계정이 외부 테넌트에 액세스하는 것을 차단하므로 요청은 인증 수준에서 차단됩니다.
4 데이터 평면 보호(미리 보기): 사용자는 Contoso 네트워크 외부에서 가져오는 인증 응답 토큰을 복사하여 Windows 디바이스에 붙여넣고 외부 애플리케이션에 액세스하려고 합니다. 그러나 Microsoft Entra ID는 토큰의 클레임을 Windows 디바이스에서 추가한 HTTP 헤더와 비교합니다. 둘이 일치하지 않기 때문에 Microsoft Entra ID는 사용자가 애플리케이션에 액세스할 수 없도록 세션을 차단합니다.

테넌트 제한 v2는 인증 평면 보호 옵션과 데이터 평면 보호 옵션을 모두 제공합니다.

  • 인증 평면 보호는 테넌트 제한 v2 정책을 통해 외부 ID를 사용한 로그인을 차단하는 것을 의미합니다. 예를 들어 공격자가 악의적인 테넌트에 로그인하지 못하도록 차단하여 악의적인 내부자가 외부 이메일을 통해 데이터를 유출하지 못하도록 차단할 수 있습니다. 테넌트 제한 v2 인증 평면 보호는 일반 공급됩니다.

  • 데이터 평면 보호는 인증을 우회하는 공격을 차단하는 것을 의미합니다. 예를 들어 공격자가 Teams 익명 모임 참가 또는 SharePoint 익명 파일 액세스를 사용하여 악의적인 테넌트 앱에 대한 액세스를 허용하려고 시도할 수 있습니다. 또는 공격자가 악의적인 테넌트의 디바이스에서 액세스 토큰을 복사하여 조직 디바이스로 가져올 수 있습니다. 테넌트 제한 v2 데이터 평면 보호는 사용자가 리소스에 액세스하려고 할 때 인증하도록 강제하고, 인증이 실패하면 액세스를 차단합니다.

테넌트 제한 v1은 회사 프록시에 구성된 테넌트 허용 목록을 통해 인증 평면 보호를 제공하는 반면, 테넌트 제한 v2는 회사 프록시를 사용하는 또는 사용하지 않는 세분화된 인증 및 데이터 평면 보호 옵션을 제공합니다. 헤더 삽입에 회사 프록시를 사용하는 경우 옵션에는 인증 평면 보호만 포함됩니다.

테넌트 제한 v2 개요

조직의 테넌트 간 액세스 설정에서 테넌트 제한 v2 정책을 구성할 수 있습니다. 정책을 만든 후에는 세 가지 방법으로 조직 내에서 정책을 적용할 수 있습니다.

  • 유니버설 테넌트 제한 v2. 이 옵션은 회사 프록시를 사용하지 않는 인증 평면 및 데이터 평면 보호를 모두 제공합니다. 유니버설 테넌트 제한은 전역 보안 액세스(미리 보기)를 사용하여 운영 체제, 브라우저 또는 디바이스 폼 팩터에 관계없이 모든 트래픽에 태그를 지정합니다. 클라이언트 및 원격 네트워크 연결을 모두 지원할 수 있습니다.
  • 인증 평면 테넌트 제한 v2. 조직에 회사 프록시를 배포하고 모든 트래픽의 테넌트 제한 v2 신호를 Microsoft Entra ID 및 MSA(Microsoft 계정)로 설정하도록 프록시를 구성할 수 있습니다.
  • Windows 테넌트 제한 v2. 회사 소유 Windows 디바이스의 경우 디바이스에서 직접 테넌트 제한을 적용하여 인증 평면 보호와 데이터 평면 보호를 모두 적용할 수 있습니다. 리소스 액세스 시 테넌트 제한이 적용되어 데이터 경로 적용 범위와 토큰 반입에 대한 보호 기능을 제공합니다. 정책 적용에는 회사 프록시가 필요하지 않습니다. 디바이스는 그룹 정책 통해 관리되는 Microsoft Entra ID 관리형 또는 도메인 조인 디바이스입니다.

참고 항목

이 문서에서는 Microsoft Entra 관리 센터를 사용하여 테넌트 제한 v2를 구성하는 방법을 설명합니다. Microsoft Graph 테넌트 간 액세스 API를 사용하여 동일한 테넌트 제한 정책을 만들 수도 있습니다.

지원되는 시나리오

테넌트 제한 v2는 특정 사용자, 그룹, 조직 또는 외부 앱으로 범위를 지정할 수 있습니다. Windows 운영 체제 네트워킹 스택에 빌드된 앱은 보호됩니다. 다음과 같은 시나리오가 지원됩니다.

  • 모든 Office 앱(모든 버전/릴리스 채널).
  • UWP(유니버설 Windows 플랫폼) .NET 애플리케이션.
  • 인증에 Microsoft Entra ID를 사용하는 모든 Microsoft 자사 애플리케이션과 타사 애플리케이션을 포함하여 Microsoft Entra ID로 인증하는 모든 애플리케이션에 대한 인증 평면 보호
  • SharePoint Online 및 Exchange Online에 대한 데이터 평면 보호.
  • SharePoint Online, 비즈니스용 OneDrive 및 Teams에 대한 익명 액세스 보호(페더레이션 제어 구성)
  • Microsoft 테넌트 또는 소비자 계정에 대한 인증 및 데이터 평면 보호.
  • 전역 보안 액세스(미리 보기)에서 유니버설 테넌트 제한을 사용하는 경우 모든 브라우저 및 플랫폼
  • Windows 그룹 정책 사용하는 경우 Microsoft Edge 및 Microsoft Edge의 모든 웹 사이트

지원되지 않는 시나리오

  • 소비자 OneDrive 계정을 익명으로 차단합니다. 고객은 https://onedrive.live.com/을 차단하여 프록시 수준에서 문제를 해결할 수 있습니다.
  • 사용자가 익명 링크 또는 비 Azure AD 계정을 사용하여 Slack과 같은 타사 앱에 액세스하는 경우.
  • 사용자가 가정용 컴퓨터에서 업무용 컴퓨터로 Microsoft Entra ID 발급 토큰을 복사한 후 Slack과 같은 타사 앱에 액세스할 때 사용하는 경우
  • Microsoft 계정에 대한 사용자별 테넌트 제한

테넌트 제한 v1 및 v2 비교

다음 표에서는 각 버전의 기능을 비교합니다.

테넌트 제한 v1 테넌트 제한 v2
정책 적용 회사 프록시는 Microsoft Entra ID 컨트롤 플레인에서 테넌트 제한 정책을 적용합니다. 옵션:

- 정책 신호를 사용하여 모든 트래픽에 태그를 지정하고, 모든 플랫폼에서 인증 및 데이터 평면 지원을 모두 제공하는 전역 보안 액세스(미리 보기)의 유니버설 테넌트 제한

- 회사 프록시가 모든 트래픽에 테넌트 제한 v2 신호를 설정하는 인증 평면 전용 보호

- Microsoft 트래픽이 테넌트 제한 정책을 가리키도록 구성되고, 정책은 클라우드에 적용되는 Windows 디바이스 관리
정책 적용 제한 Microsoft Entra 트래픽 허용 목록에 테넌트를 추가하여 회사 프록시를 관리합니다. 테넌트에 대한 액세스 제한 <allowed-tenant-list>에서 헤더 값의 문자 제한은 추가할 수 있는 테넌트 수를 제한합니다. 테넌트 간 액세스 정책의 클라우드 정책에 의해 관리됩니다. 각 외부 테넌트에 대해 파트너 정책이 만들어집니다. 현재 모든 외부 테넌트에 대한 구성은 크기 제한이 25KB인 하나의 정책에 포함되어 있습니다.
악의적인 테넌트 요청 Microsoft Entra ID는 악의적인 테넌트 인증 요청을 차단하여 인증 평면 보호를 제공합니다. Microsoft Entra ID는 악의적인 테넌트 인증 요청을 차단하여 인증 평면 보호를 제공합니다.
세분성 테넌트 및 모든 Microsoft 계정으로 제한됩니다. 테넌트, 사용자, 그룹 및 애플리케이션 세분성. (사용자 수준 세분성은 Microsoft 계정에서 지원되지 않습니다.)
익명 액세스 Teams 모임 및 파일 공유에 대한 익명 액세스가 허용됩니다. Teams 모임에 대한 익명 액세스가 차단됩니다. 익명으로 공유된 리소스("링크가 있는 모든 사용자")에 대한 액세스가 차단됩니다.
Microsoft 계정 Restrict-MSA 헤더를 사용하여 일반 계정에 대한 액세스를 차단합니다. ID 평면과 데이터 평면 모두에서 Microsoft 계정(MSA 및 라이브 ID) 인증을 제어할 수 있습니다.

예를 들어 기본적으로 테넌트 제한을 적용하는 경우 다음과 같이 사용자가 Microsoft 계정으로 특정 앱에 액세스할 수 있도록 허용하는 Microsoft 계정 관련 정책을 만들 수 있습니다.
Microsoft Learn(앱 ID 18fbca16-2224-45f6-85b0-f7bf2b39b3f3) 또는
Microsoft Enterprise Skills Initiative(앱 ID 195e7f27-02f9-4045-9a91-cd2fa1c2af2f).
프록시 관리 Microsoft Entra 트래픽 허용 목록에 테넌트를 추가하여 회사 프록시를 관리합니다. 회사 프록시 인증 평면 보호의 경우 모든 트래픽에서 테넌트 제한 v2 신호를 설정하도록 프록시를 구성합니다.
플랫폼 지원 모든 플랫폼에서 지원됩니다. 인증 평면 보호만 제공합니다. 전역 보안 액세스(미리 보기)의 유니버설 테넌트 제한은 모든 운영 체제, 브라우저 또는 디바이스 폼 팩터를 지원합니다.

회사 프록시 인증 평면 보호는 macOS, Chrome 브라우저 및 .NET 애플리케이션을 지원합니다.

Windows 디바이스 관리는 Windows 운영 체제 및 Microsoft Edge를 지원합니다.
포털 지원 Microsoft Entra 관리 센터에 정책 구성을 위한 사용자 인터페이스가 없습니다. 클라우드 정책을 설정할 수 있는 사용자 인터페이스는 Microsoft Entra 관리 센터에 있습니다.
지원되지 않는 앱 해당 없음 WDAC(Windows Defender Application Control) 또는 Windows 방화벽(예: Chrome, Firefox 등)을 사용하여 Microsoft 엔드포인트에서 지원되지 않는 앱 사용을 차단합니다. Chrome, Firefox 및 PowerShell과 같은 .NET 애플리케이션 차단을 참조하세요.

프록시의 v2로 테넌트 제한 v1 정책 마이그레이션

v1에서 v2로 테넌트 제한 정책을 마이그레이션하는 것은 일회성 작업입니다. 마이그레이션 후에는 클라이언트 쪽 변경이 필요하지 않습니다. Microsoft Entra 관리 센터를 통해 후속 서버 쪽 정책을 변경할 수 있습니다.

프록시에서 TRv2를 사용하도록 설정하는 경우 인증 평면에서만 TRv2를 적용할 수 있습니다. 인증 및 데이터 평면 모두에서 TRv2를 사용하도록 설정하려면 유니버설 TRv2를 사용하여 TRv2 클라이언트 쪽 신호를 사용하도록 설정해야 합니다.

1단계: 파트너 테넌트 허용 목록 구성

TRv1: 테넌트 제한 v1(TRv1)을 사용하면 테넌트 ID 및/또는 Microsoft 로그인 엔드포인트의 허용 목록을 만들어 사용자가 조직에서 권한을 부여하는 외부 테넌트에 액세스할 수 있도록 할 수 있습니다. TRv1은 프록시에 헤더를 추가하여 Restrict-Access-To-Tenants: <allowed-tenant-list> 이를 달성했습니다. 예: '테넌트 제한: "contoso.com, fabrikam.com, dogfood.com" 테넌트 제한 v1에 대해 자세히 알아보세요.

TRv2: 테넌트 제한 v2(TRv2)를 사용하면 구성이 서버 쪽 클라우드 정책으로 이동되며 TRv1 헤더가 필요하지 않습니다.

  • 회사 프록시에서 테넌트 제한 v1 헤더 Restrict-Access-To-Tenants: <allowed-tenant-list>를 제거해야 합니다.
  • 허용된 테넌트 목록의 각 테넌트에 대해 2단계: 특정 파트너에 대한 테넌트 제한 v2 구성의 단계에 따라 파트너 테넌트 정책을 만듭니다. 다음 지침을 따라야 합니다.

참고 항목

  • 외장 ID(예: user@externaltenant.com)를 사용하여 모든 외부 테넌트 액세스를 차단하는 테넌트 제한 v2 기본 정책을 유지합니다.
  • 2단계: 특정 파트너에 대한 테넌트 제한 v2 구성의 단계에 따라 v1 허용 목록에 나열된 각 테넌트에 대한 파트너 테넌트 정책을 만듭니다.
  • 특정 사용자만 특정 애플리케이션에 액세스할 수 있도록 허용합니다. 이 설계는 필요한 사용자에 대해서만 액세스를 제한하여 보안 태세를 향상합니다.

2단계: 소비자 계정 또는 Microsoft 계정 테넌트 차단

TRv1: 사용자가 소비자 애플리케이션에 로그인할 수 없도록 합니다. Trv1은 sec-Restrict-Tenant-Access-Policy: restrict-msa'와 같은 login.live.com 방문하는 트래픽에 sec-Restrict-Tenant-Access-Policy 헤더를 삽입해야 합니다.

TRv2: TRv2를 사용하면 구성이 서버 쪽 클라우드 정책으로 이동되며 TRv1 헤더가 필요하지 않습니다.

  • 회사 프록시에서 테넌트 제한 v1 헤더 sec-Restrict-Tenant-Access-Policy: restrict-msa'를 제거해야 합니다.
  • 2단계: 특정 파트너에 대한 테넌트 제한 v2 구성에 따라 Microsoft 계정 테넌트에 대한 파트너 테넌트 정책을 만듭니다. MSA 테넌트에는 사용자 수준 할당을 사용할 수 없으므로 정책이 모든 MSA 사용자에게 적용됩니다. 그러나 애플리케이션 수준 세분성을 사용할 수 있으므로 MSA 또는 소비자 계정이 필수 애플리케이션에만 액세스할 수 있도록 애플리케이션을 제한해야 합니다.

참고 항목

MSA 테넌트 차단은 다음을 포함하여 디바이스에 대한 사용자 없는 트래픽을 차단하지 않습니다.

  • Autopilot, Windows 업데이트 및 조직 원격 분석에 대한 트래픽.
  • 소비자 계정의 B2B 인증 또는 "통과" 인증. 여기서 Azure 앱 및 Office.com 앱은 Microsoft Entra ID를 사용하여 소비자 컨텍스트에서 소비자 사용자를 로그인합니다.

3단계: 회사 프록시에서 테넌트 제한 v2 사용

TRv2: 다음 회사 프록시 설정을 사용하여 테넌트 제한 V2 헤더의 클라이언트 쪽 태그를 사용하도록 회사 프록시를 구성할 수 있습니다. sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>

여기서 <DirectoryID>은(는) Microsoft Entra 테넌트 ID이고 <policyGUID>은(는) 테넌트 간 액세스 정책의 개체 ID입니다.

테넌트 제한과 인바운드 및 아웃바운드 설정 비교

테넌트 제한은 테넌트 간 액세스 설정과 함께 구성되지만 인바운드 및 아웃바운드 액세스 설정과 별도로 작동합니다. 테넌트 간 액세스 설정을 통해 사용자가 조직의 계정으로 로그인하는 시기를 제어할 수 있습니다. 이와 대조적으로 테넌트 제한을 통해 사용자가 외부 계정을 사용할 때 제어할 수 있습니다. B2B 협업 및 B2B 직접 연결에 대한 인바운드 및 아웃바운드 설정은 테넌트 제한 설정에 영향을 주지 않습니다(영향을 받지 않음).

다양한 테넌트 간 액세스 설정을 다음과 같이 생각해 보세요.

  • 인바운드 설정은 내부 앱에 대한 외부 계정 액세스를 제어합니다.
  • 아웃바운드 설정은 외부 앱에 대한 내부 계정 액세스를 제어합니다.
  • 테넌트 제한은 외부 앱에 대한 외부 계정 액세스를 제어합니다.

테넌트 제한과 B2B 협업

사용자가 외부 조직 및 앱에 액세스해야 하는 경우 테넌트 제한을 사용하도록 설정하여 외부 계정을 차단하고 대신 B2B 협업을 사용하는 것이 좋습니다. B2B 협업을 통해 다음과 같은 기능을 얻을 수 있습니다.

  • B2B 협업 사용자에 대해 조건부 액세스를 사용하고 다단계 인증을 강제합니다.
  • 인바운드 및 아웃바운드 액세스를 관리합니다.
  • B2B 협업 사용자의 고용 상태가 변경되거나 해당 자격 증명이 위반되면 세션 및 자격 증명을 종료합니다.
  • B2B 협업 사용자에 대한 세부 정보를 보려면 로그인 로그를 사용합니다.

필수 조건

테넌트 제한을 구성하려면 다음이 필요합니다.

  • Microsoft 엔트라 ID P1 또는 P2
  • Global 관리istrator 또는 Security 관리istrator 역할이 있는 계정
  • 최신 업데이트가 설치된 Windows 10, Windows 11을 실행하는 Windows 디바이스

서버 쪽 테넌트 제한 v2 클라우드 정책 구성

1단계: 기본 테넌트 제한 v2 구성

테넌트 제한 v2에 대한 설정은 테넌트 간 액세스 설정의 Microsoft Entra 관리 센터에 있습니다. 먼저 모든 사용자, 그룹, 앱 및 조직에 적용할 기본 테넌트 제한을 구성합니다. 그런 다음 파트너별 구성이 필요한 경우 파트너의 조직을 추가하고 기본값과 다른 설정을 사용자 지정할 수 있습니다.

기본 테넌트 제한을 구성하려면

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

  1. 최소한 보안 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>External Identities>테넌트 간 액세스 설정으로 이동한 다음 테넌트 간 액세스 설정을 선택합니다.

  3. 기본 설정 탭을 선택합니다.

    기본 설정 탭의 테넌트 제한 섹션을 보여 주는 스크린샷.

  4. 테넌트 제한 섹션으로 스크롤합니다.

  5. 테넌트 제한 기본값 편집 링크를 선택합니다.

    기본 설정 편집 단추를 보여 주는 스크린샷

  6. 테넌트에 기본 정책이 아직 없으면 정책 ID 옆에 정책 만들기 링크가 표시됩니다. 해당 링크를 선택합니다.

    정책 만들기 링크를 보여 주는 스크린샷.

  7. 테넌트 제한 사항 페이지에는 테넌트 ID와 테넌트 제한 사항 정책 ID가 모두 표시됩니다. 복사 아이콘을 사용하여 이 두 값을 모두 복사합니다. 나중에 테넌트 제한을 사용하도록 Windows 클라이언트를 구성할 때 필요합니다.

    테넌트 제한 사항에 대한 테넌트 ID 및 정책 ID를 보여 주는 스크린샷.

  8. 외부 사용자 및 그룹 탭을 선택합니다. 액세스 상태에서 다음 중 하나를 선택합니다.

    • 액세스 허용: 외부 계정으로 로그인한 모든 사용자가 외부 앱에 액세스하도록 허용합니다(외부 애플리케이션 탭에서 지정).
    • 액세스 차단: 외부 계정으로 로그인한 모든 사용자가 외부 앱(외부 애플리케이션 탭에 지정됨)에 액세스하지 못하도록 차단합니다.

    액세스 상태 설정을 보여 주는 스크린샷.

    참고 항목

    기본 설정은 개별 계정이나 그룹으로 범위를 지정할 수 없으므로 적용 대상은 항상 모든 <테넌트> 사용자 및 그룹과 같습니다. 모든 사용자 및 그룹의 액세스를 차단하는 경우 모든 외부 애플리케이션(외부 애플리케이션 탭)에 대한 액세스도 차단해야 합니다.

  9. 외부 애플리케이션 탭을 선택합니다. 액세스 상태에서 다음 중 하나를 선택합니다.

    • 액세스 허용: 외부 계정으로 로그인한 모든 사용자가 적용 대상 섹션에 지정된 앱에 액세스하도록 허용합니다.
    • 액세스 차단: 외부 계정으로 로그인한 모든 사용자가 적용 대상 섹션에 지정된 앱에 액세스하지 못하도록 차단합니다.

    외부 애플리케이션 탭의 액세스 상태를 보여 주는 스크린샷.

  10. 적용 대상에서 다음 중 하나를 선택합니다.

    • 모든 외부 애플리케이션: 액세스 상태 아래에서 선택한 작업을 모든 외부 애플리케이션에 적용합니다. 모든 외부 애플리케이션에 대한 액세스를 차단하는 경우 사용자 및 그룹 탭에서 모든 사용자 및 그룹에 대한 액세스도 차단해야 합니다.
    • 외부 애플리케이션 선택: 액세스 상태에서 작업을 적용할 외부 애플리케이션을 선택할 수 있습니다. 애플리케이션을 선택하려면 Microsoft 애플리케이션 추가 또는 다른 애플리케이션 추가를 선택합니다. 그런 다음 애플리케이션 이름이나 애플리케이션 ID(클라이언트 앱 ID 또는 리소스 앱 ID)로 검색하고 앱을 선택합니다. (일반적으로 사용되는 Microsoft 애플리케이션의 ID 목록을 참조하세요.) 더 많은 앱을 추가하려면 추가 단추를 사용합니다. 완료되면 제출을 선택합니다.

    외부 애플리케이션 탭 선택을 보여 주는 스크린샷.

  11. 저장을 선택합니다.

2단계: 특정 파트너에 대한 테넌트 제한 v2 구성

테넌트 제한을 사용하여 기본적으로 액세스를 차단하지만 사용자가 자신의 외부 계정을 사용하여 특정 애플리케이션에 액세스하도록 허용하려고 한다고 가정해 보겠습니다. 예를 들어 사용자가 자신의 Microsoft 계정을 사용하여 Microsoft Learn에 액세스할 수 있게 만들려 한다고 가정하겠습니다. 이 섹션의 지침에서는 기본 설정보다 우선하는 조직별 설정을 추가하는 방법을 설명합니다.

예: Microsoft 계정을 허용하도록 테넌트 제한 v2 구성

  1. Microsoft Entra 관리 센터에 보안 관리istrator 또는 조건부 액세스 관리istrator로 로그인합니다.

  2. ID>External Identities>테넌트 간 액세스 설정으로 이동합니다.

  3. 조직 설정을 선택합니다.

    참고 항목

    추가하려는 기관이 이미 목록에 있는 경우에는 추가를 건너뛰고 바로 설정 수정으로 이동할 수 있습니다.

  4. 조직 추가를 선택합니다.

  5. 조직 추가 창에서 조직의 전체 도메인 이름(또는 테넌트 ID)을 입력합니다.

    : 다음 Microsoft 계정 테넌트 ID를 검색합니다.

    9188040d-6c67-4c5b-b112-36a304b66dad

    조직 추가를 보여 주는 스크린샷

  6. 검색 결과에서 조직을 선택한 다음, 추가를 선택합니다.

  7. 설정 수정: 조직 설정 목록에서 조직을 찾은 다음, 가로로 스크롤하여 테넌트 제한 열을 확인합니다. 이 시점에서 이 조직의 모든 테넌트 제한 설정은 기본 설정에서 상속됩니다. 이 조직의 설정을 변경하려면 테넌트 제한 사항 열 아래에서 기본값에서 상속됨 링크를 선택합니다.

    기본 설정을 사용하여 추가된 조직을 보여 주는 스크린샷

  8. 조직의 테넌트 제한 페이지가 나타납니다. 테넌트 ID정책 ID 값을 복사합니다. 나중에 테넌트 제한을 사용하도록 Windows 클라이언트를 구성할 때 필요합니다.

    테넌트 ID와 정책 ID를 보여 주는 스크린샷.

  9. 설정 사용자 지정을 선택한 다음 외부 사용자 및 그룹 탭을 선택합니다. 액세스 상태에서 다음 옵션 중 하나를 선택합니다.

    • 액세스 허용: 외부 계정으로 로그인한 적용 대상에 지정된 사용자 및 그룹이 외부 앱(외부 애플리케이션 탭에서 지정)에 액세스할 수 있도록 허용합니다.
    • 액세스 차단: 외부 계정으로 로그인한 적용 대상에 지정된 사용자 및 그룹이 외부 앱(외부 애플리케이션 탭에 지정됨)에 액세스하지 못하도록 차단합니다.

    참고 항목

    Microsoft 계정 예에서는 액세스 허용을 선택합니다.

    외부 사용자의 액세스 선택 허용을 선택하는 것을 보여 주는 스크린샷.

  10. 적용 대상에서 모든 <조직> 사용자 및 그룹을 선택합니다.

    참고 항목

    사용자 세분성은 Microsoft 계정에서 지원되지 않으므로 <조직> 사용자 및 그룹 선택 기능을 사용할 수 없습니다. 다른 조직의 경우 <조직> 사용자 및 그룹 선택을 선택한 다음, 추가하려는 사용자 또는 그룹마다 다음 단계를 수행하면 됩니다.

    • 외부 사용자 및 그룹 추가를 선택합니다.
    • 선택 창의 검색 상자에서 사용자 이름 또는 그룹 이름을 입력합니다.
    • 검색 결과에서 사용자 또는 그룹을 선택합니다.
    • 더 추가하려면 추가를 선택하고 이 단계를 반복합니다. 추가할 사용자 및 그룹 선택을 마쳤으면 제출을 선택합니다.

    외부 사용자 및 그룹 선택을 보여 주는 스크린샷.

  11. 외부 애플리케이션 탭을 선택합니다. 액세스 상태에서 외부 애플리케이션에 대한 액세스를 허용할지 차단할지 선택합니다.

    • 액세스 허용: 외부 계정을 사용할 때 사용자가 적용 대상에 지정된 외부 애플리케이션에 액세스할 수 있도록 허용합니다.
    • 액세스 차단: 외부 계정을 사용할 때 사용자가 적용 대상에 지정된 외부 애플리케이션에 액세스하지 못하도록 차단합니다.

    참고 항목

    Microsoft 계정 예에서는 액세스 허용을 선택합니다.

    액세스 상태 선택을 보여 주는 스크린샷.

  12. 적용 대상에서 다음 중 하나를 선택합니다.

    • 모든 외부 애플리케이션: 액세스 상태 아래에서 선택한 작업을 모든 외부 애플리케이션에 적용합니다.
    • 외부 애플리케이션 선택: 액세스 상태 아래에서 선택한 작업을 모든 외부 애플리케이션에 적용합니다.

    참고 항목

    • Microsoft 계정 예에서는 외부 애플리케이션 선택을 선택합니다.
    • 모든 외부 애플리케이션에 대한 액세스를 차단하는 경우 사용자 및 그룹 탭에서 모든 사용자 및 그룹에 대한 액세스도 차단해야 합니다.

    선택 항목에 적용을 선택하는 것을 보여 주는 스크린샷.

  13. 외부 애플리케이션 선택을 선택한 경우 추가하려는 각 애플리케이션에 대해 다음을 수행합니다.

    • Microsoft 애플리케이션 추가 또는 다른 애플리케이션 추가를 선택합니다. Microsoft Learn 예에서는 다른 애플리케이션 추가를 선택합니다.
    • 검색 상자에서 애플리케이션 이름 또는 애플리케이션 ID(클라이언트 앱 ID 또는 리소스 앱 ID)를 입력합니다. (일반적으로 사용되는 Microsoft 애플리케이션의 ID 목록을 참조하세요.) Microsoft Learn 예에서는 애플리케이션 ID 18fbca16-2224-45f6-85b0-f7bf2b39b3f3을 입력합니다.
    • 검색 결과에서 애플리케이션을 선택한 다음 추가를 선택합니다.
    • 추가하려는 각 애플리케이션에 대해 반복합니다.
    • 애플리케이션 선택을 마쳤으면 제출을 선택합니다.

    애플리케이션 선택을 보여 주는 스크린샷

  14. 선택한 애플리케이션은 외부 애플리케이션 탭에 나열됩니다. 저장을 선택합니다.

    선택한 애플리케이션을 보여 주는 스크린샷.

참고 항목

MSA 테넌트를 차단해도 다음은 차단되지 않습니다.

  • 디바이스의 사용자 없는 트래픽. 여기에는 Autopilot, Windows 업데이트 및 조직 원격 분석에 대한 트래픽이 포함됩니다.
  • 소비자 계정의 B2B 인증.
  • 여러 Azure 앱과 Office.com에 사용되는 "통과" 인증. 이 경우 각 앱이 Microsoft Entra ID를 사용하여 소비자 컨텍스트에서 소비자 사용자를 로그인합니다.

클라이언트 쪽 테넌트 제한 v2 구성

클라이언트에 테넌트 제한 v2를 적용하는 세 가지 옵션이 있습니다.

  • 옵션 1: Microsoft Entra 전역 보안 액세스의 일부인 유니버설 테넌트 제한 v2(미리 보기)
  • 옵션 2: 회사 프록시에 테넌트 제한 v2 설정
  • 옵션 3: Windows 관리 디바이스에 테넌트 제한 사용(미리 보기)

옵션 1: Microsoft Entra 전역 보안 액세스의 일부인 유니버설 테넌트 제한 v2(미리 보기)

Microsoft Entra 전역 보안 액세스의 일부인 유니버설 테넌트 제한 v2는 모든 디바이스 및 플랫폼에 대한 인증과 데이터 평면 보호를 제공하기 때문에 권장하는 옵션입니다. 이 옵션은 인증을 우회하려는 정교한 시도를 보다 철저하게 차단합니다. 예를 들어 공격자가 Teams의 익명 모임 참가와 같은 악의적인 테넌트의 앱에 대한 익명 액세스를 허용하려고 시도할 수 있습니다. 또는 공격자가 악의적인 테넌트의 디바이스에서 얻은 액세스 토큰을 조직 디바이스로 가져오려고 시도할 수 있습니다. 유니버설 테넌트 제한 v2는 인증 평면(Microsoft Entra ID 및 Microsoft 계정) 및 데이터 평면(Microsoft 클라우드 애플리케이션)에서 테넌트 제한 v2 신호를 전송하여 이러한 공격을 차단합니다.

옵션 2: 회사 프록시에 테넌트 제한 v2 설정

테넌트 제한 v2 정책은 Mac 컴퓨터, 모바일 디바이스, 지원되지 않는 Windows 애플리케이션, Chrome 브라우저 등과 같이 Windows 10, Windows 11 또는 Windows Server 2022를 사용하지 않는 디바이스에 직접 적용할 수 없습니다. 회사 네트워크의 모든 디바이스와 앱에서 로그인을 제한하려면 테넌트 제한 v2를 적용하도록 회사 프록시를 구성합니다. 회사 프록시에 테넌트 제한을 구성하면 데이터 평면 보호는 제공되지 않지만 인증 평면 보호는 제공됩니다.

Important

이전에 테넌트 제한을 설정한 경우 login.live.com으로의 restrict-msa 전송을 중지해야 합니다. 그렇지 않으면 새 설정이 MSA 로그인 서비스에 대한 기존 지침과 충돌하게 됩니다.

  1. 테넌트 제한 v2 헤더를 다음과 같이 구성합니다.

    헤더 이름 헤더 값
    sec-Restrict-Tenant-Access-Policy <TenantId>:<policyGuid>
    • TenantID는 Microsoft Entra 테넌트 ID입니다. 관리자로 Microsoft Entra 관리 센터에 로그인하고, ID>개요로 이동하고, 개요 탭을 선택하여 이 값을 찾습니다.
    • policyGUID는 테넌트 간 액세스 정책의 개체 ID입니다. /crosstenantaccesspolicy/default를 호출하고 반환된 "id" 필드를 사용하여 이 값을 찾습니다.

  2. 회사 프록시에서 테넌트 제한 v2 헤더를 다음 Microsoft 로그인 도메인으로 보냅니다.

    • login.live.com
    • login.microsoft.com
    • login.microsoftonline.com
    • login.windows.net

    이 헤더는 네트워크의 모든 로그인에 대해 테넌트 제한 v2 정책을 적용합니다. 이 헤더는 Teams 모임, SharePoint 파일 또는 인증이 필요하지 않은 기타 리소스에 대한 익명 액세스를 차단하지 않습니다.

중단 및 검사를 지원하지 않는 테넌트 제한 v2

Windows가 아닌 플랫폼의 경우 트래픽을 중단하고 검사하여 프록시를 통해 테넌트 제한 v2 매개 변수를 헤더에 추가할 수 있습니다. 그러나 일부 플랫폼은 중단 및 검사를 지원하지 않으므로 테넌트 제한 v2가 작동하지 않습니다. 이러한 플랫폼의 경우 다음과 같은 Microsoft Entra ID 기능을 통해 보호를 제공할 수 있습니다.

이러한 대안은 보호를 제공하지만 브라우저를 사용하여 전용 앱 대신 웹을 통해 Microsoft 365 서비스에 액세스하는 등 특정 시나리오는 테넌트 제한을 통해서만 다룰 수 있습니다.

옵션 3: Windows 관리 디바이스에 테넌트 제한 사용(미리 보기)

테넌트 제한 v2 정책을 만든 후 테넌트 ID와 정책 ID를 디바이스의 테넌트 제한 구성에 추가하여 각 Windows 10, Windows 11 및 Windows Server 2022 디바이스에 정책을 적용할 수 있습니다. Windows 디바이스에서 테넌트 제한이 사용하도록 설정되면 정책 적용에 회사 프록시가 필요하지 않습니다. Microsoft Entra ID 관리형 디바이스가 아니어도 테넌트 제한 v2를 적용할 수 있습니다. 그룹 정책을 통해 관리되는 도메인 조인 디바이스도 지원됩니다.

참고 항목

Windows의 테넌트 제한 V2는 일부 시나리오에서 인증 및 데이터 평면을 보호하는 부분 솔루션입니다. 관리형 Windows 디바이스에서 작동하며 .NET 스택, Chrome 또는 Firefox를 보호하지 않습니다. Windows 솔루션은 Microsoft Entra 전역 보안 액세스(미리 보기)에 유니버설 테넌트 제한이 일반 공급될 때까지 임시 솔루션을 제공합니다.

Windows 10 2021년 11월 업데이트(21H2) 및 그룹 정책 설정용 관리 템플릿(.admx)

그룹 정책을 사용하여 테넌트 제한 구성을 Windows 디바이스에 배포할 수 있습니다. 다음 리소스를 참조하세요.

디바이스에서 정책 테스트

디바이스에서 테넌트 제한 v2 정책을 테스트하려면 다음 단계를 따릅니다.

참고 항목

  • 디바이스는 최신 업데이트가 포함된 Windows 10 또는 Windows 11을 실행해야 합니다.

  1. Windows 컴퓨터에서 Windows 키를 누르고 gpedit를 입력한 다음 그룹 정책 편집(제어판)을 선택합니다.

  2. 컴퓨터 구성>관리 템플릿>Windows 구성 요소>테넌트 제한 사항으로 이동합니다.

  3. 오른쪽 창에서 클라우드 정책 세부 정보를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.

  4. 이전에 기록한 테넌트 ID정책 ID를 검색하고(기본 테넌트 제한을 구성하려면 아래 7단계), 다음 필드에 입력합니다(다른 모든 필드는 비워 둠).

    Windows 클라우드 정책 세부 정보 스크린샷.

  5. 확인을 선택합니다.

Chrome, Firefox 및 PowerShell과 같은 .NET 애플리케이션을 차단합니다.

Windows 방화벽 기능을 사용하면 보호되지 않는 앱이 Chrome, Firefox 및 PowerShell과 같은 .NET 애플리케이션을 통해 Microsoft 리소스에 액세스하는 것을 차단할 수 있습니다. 테넌트 제한 v2 정책에 따라 차단/허용되는 애플리케이션입니다.

예를 들어 고객이 테넌트 제한 v2 CIP 정책에 PowerShell을 추가하고 고객의 테넌트 제한 v2 정책 엔드포인트 목록에 graph.microsoft.com이 있는 경우 PowerShell은 방화벽이 사용하도록 설정된 상태에서 여기에 액세스할 수 있습니다.

  1. Windows 컴퓨터에서 Windows 키를 누르고 gpedit를 입력한 다음 그룹 정책 편집(제어판)을 선택합니다.

  2. 컴퓨터 구성>관리 템플릿>Windows 구성 요소>테넌트 제한 사항으로 이동합니다.

  3. 오른쪽 창에서 클라우드 정책 세부 정보를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.

  4. Microsoft 엔드포인트의 방화벽 보호 사용 확인란을 선택한 다음 확인을 선택합니다.

방화벽 정책 사용하도록 설정을 보여 주는 스크린샷.

방화벽 설정을 사용하도록 설정한 후 Chrome 브라우저를 사용하여 로그인해 보세요. 로그인이 실패하고 다음 메시지가 표시됩니다.

인터넷 액세스가 차단되었음을 보여 주는 스크린샷.

테넌트 제한 v2 이벤트 보기

이벤트 뷰어에서 테넌트 제한과 관련된 이벤트를 봅니다.

  1. 이벤트 뷰어에서 애플리케이션 및 서비스 로그를 엽니다.
  2. Microsoft>Windows>TenantRestrictions>Operational로 이동하여 이벤트를 찾습니다.

테넌트 제한 및 데이터 평면 지원(미리 보기)

Trv2는 잘못된 행위자가 침투한 토큰 또는 동의어로 리소스에 직접 액세스하는 토큰 침투 시나리오를 해결하는 다음 리소스에 의해 적용됩니다.

  • Teams
  • OneDrive 앱과 같은 SharePoint Online
  • Outlook 앱과 같은 Exchange Online
  • Office.com/Office 앱

테넌트 제한 및 Microsoft Teams(미리 보기)

Teams는 기본적으로 개방형 페더레이션을 사용합니다. 즉, 외부 테넌트가 주최하는 모임에 참가하는 사람을 차단하지 않습니다. Teams 모임에 대한 액세스를 더 효과적으로 제어하려면 Teams에서 페더레이션 제어를 사용하여 특정 테넌트를 허용하거나 차단하고 테넌트 제한 v2를 사용하여 Teams 모임에 대한 익명 액세스를 차단할 수 있습니다. Teams에 대한 테넌트 제한을 적용하려면 Microsoft Entra 테넌트 간 액세스 설정에서 테넌트 제한 v2를 구성해야 합니다. 또한 Teams 관리 포털에서 페더레이션 제어를 설정하고 Teams를 다시 시작해야 합니다. 회사 프록시에 구현된 테넌트 제한은 Teams 모임, SharePoint 파일 및 인증이 필요하지 않은 기타 리소스에 대한 익명 액세스를 차단하지 않습니다.

  • Teams에서는 현재 사용자가 회사/집에서 제공한 ID를 사용하여 외부에서 호스트되는 모든 모임에 참여할 수 있습니다. 아웃바운드 테넌트 간 액세스 설정을 사용하면 회사/집에서 제공한 ID를 가진 사용자가 외부에서 호스트되는 Teams 모임에 참가하도록 제어할 수 있습니다.
  • 테넌트 제한으로 인해 사용자는 외부에서 발급된 ID를 사용하여 Teams 모임에 참가할 수 없습니다.

참고 항목

Microsoft Teams 앱은 SharePoint Online과 Exchange Online 앱에 종속됩니다. Microsoft Teams 서비스 또는 SharePoint Online 또는 Exchange Online 대신 Office 365 앱에서 TRv2 정책을 별도로 설정하는 것이 좋습니다. Office 365의 일부인 애플리케이션(SPO 또는 EXO 등) 중 하나를 허용/차단하면 Microsoft Teams와 같은 앱에도 영향이 갑니다. 마찬가지로 Microsoft Teams 앱을 허용/차단하면 Teams 앱의 SPO와 EXO가 영향을 받게 됩니다.

순수 익명 모임 참가

테넌트 제한 v2는 외부에서 호스트되는 Teams 모임에 대한 인증되지 않은 모든 ID 및 외부에서 발급된 ID 액세스를 자동으로 차단합니다. 예를 들어, Contoso가 Teams 페더레이션 제어를 사용하여 Fabrikam 테넌트를 차단한다고 가정해보겠습니다. Contoso 디바이스를 사용하는 사용자가 Fabrikam 계정을 사용하여 Contoso Teams 모임에 참가하는 경우 익명 사용자로 모임에 참가할 수 있습니다. 이제 Contoso가 테넌트 제한 v2도 사용하도록 설정하면 Teams는 익명 액세스를 차단하고 사용자는 모임에 참가할 수 없습니다.

외부에서 발급된 ID를 사용하여 모임 참가

외부에서 발급된 ID가 있는 특정 사용자 또는 그룹이 외부에서 호스트되는 특정 Teams 모임에 참가할 수 있도록 테넌트 제한 v2 정책을 구성할 수 있습니다. 이 구성을 사용하면 사용자는 외부에서 발급된 ID로 Teams에 로그인하고 지정된 테넌트의 외부 호스트된 Teams 모임에 참가할 수 있습니다.

인증 ID 인증된 세션 결과
테넌트 멤버 사용자(인증된 세션)

예: 사용자가 자신의 홈 ID를 멤버 사용자로 사용합니다(예: user@mytenant.com)		 인증됨 테넌트 제한 v2가 Teams 모임에 대한 액세스를 허용합니다. TRv2는 테넌트 멤버 사용자에게 적용되지 않습니다. 테넌트 간 액세스 인바운드/아웃바운드 정책이 적용됩니다.
익명(인증된 세션 없음)

예: 사용자가 Teams 모임에 액세스하기 위해 InPrivate 브라우저 창 등에서 인증되지 않은 세션을 사용하려고 합니다.		 인증되지 않음 테넌트 제한 v2가 Teams 모임에 대한 액세스를 차단합니다.
외부에서 발급된 ID(인증된 세션)

예: 사용자가 집 ID 이외의 다른 ID를 사용합니다(예: user@externaltenant.com).		 외부 발급 신분증으로 인증됨 테넌트 제한 v2 정책에 따라 Teams 모임에 대한 액세스를 허용하거나 차단합니다. 정책에서 허용하는 경우 사용자는 모임에 참가할 수 있습니다. 그렇지 않으면 액세스가 차단됩니다.

테넌트 제한 v2 및 SharePoint Online

SharePoint Online은 인증 평면과 데이터 평면 모두에서 테넌트 제한 v2를 지원합니다.

인증된 세션

테넌트에 테넌트 제한 v2가 사용하도록 설정되면 인증 중에 무단 액세스가 차단됩니다. 사용자가 인증된 세션 없이 SharePoint Online 리소스에 직접 액세스하는 경우 로그인하라는 메시지가 표시됩니다. 테넌트 제한 v2 정책이 액세스를 허용하는 경우 사용자는 리소스에 액세스할 수 있습니다. 그렇지 않으면 액세스가 차단됩니다.

익명 액세스(미리 보기)

사용자가 홈 테넌트/회사 ID를 사용하여 익명 파일에 액세스하려고 하면 해당 파일에 액세스할 수 있습니다. 그러나 사용자가 외부에서 발급된 ID를 사용하여 익명 파일에 액세스하려고 하면 액세스가 차단됩니다.

예를 들어 사용자가 테넌트 A에 대해 테넌트 제한 v2로 구성된 관리 디바이스를 사용하고 있다고 가정하겠습니다. 테넌트 A 리소스에 대해 생성된 익명 액세스 링크를 선택하는 경우 익명으로 리소스에 액세스할 수 있어야 합니다. 그러나 테넌트 B SharePoint Online에 대해 생성된 익명 액세스 링크를 선택하면 로그인하라는 메시지가 표시됩니다. 외부에서 발급된 ID를 사용하는 리소스에 대한 익명 액세스는 항상 차단됩니다.

테넌트 제한 v2 및 OneDrive

인증된 세션

테넌트에 테넌트 제한 v2가 사용하도록 설정되면 인증 중에 무단 액세스가 차단됩니다. 사용자가 인증된 세션 없이 비즈니스용 OneDrive에 직접 액세스하는 경우 로그인하라는 메시지가 표시됩니다. 테넌트 제한 v2 정책이 액세스를 허용하는 경우 사용자는 리소스에 액세스할 수 있습니다. 그렇지 않으면 액세스가 차단됩니다.

익명 액세스(미리 보기)

SharePoint와 마찬가지로 비즈니스용 OneDrive는 인증 평면과 데이터 평면 모두에서 테넌트 제한 v2를 지원합니다. 비즈니스용 OneDrive에 대한 익명 액세스 차단도 지원됩니다. 예를 들어 테넌트 제한 v2 정책 적용은 비즈니스용 OneDrive 엔드포인트(microsoft-my.sharepoint.com)에서 작동합니다.

이 문서에서 다루지 않는 내용

일반 계정용 OneDrive(onedrive.live.com을 통해)는 테넌트 제한 v2를 지원하지 않습니다. 일부 URL(예: onedrive.live.com)은 수렴되지 않으며 레거시 스택을 사용합니다. 사용자가 이러한 URL을 통해 OneDrive 소비자 테넌트에 액세스하면 정책이 적용되지 않습니다. 해결 방법으로 프록시 수준에서 https://onedrive.live.com/을 차단할 수 있습니다.

로그인 로그

Microsoft Entra 로그인 로그를 통해 테넌트 제한 v2 정책이 적용된 로그인에 대한 세부 정보를 볼 수 있습니다. B2B 사용자가 공동 작업을 위해 리소스 테넌트에 로그인하면 홈 테넌트와 리소스 테넌트 모두에서 로그인 로그가 생성됩니다. 이러한 로그에는 사용 중인 애플리케이션, 이메일 주소, 테넌트 이름, 홈 테넌트 및 리소스 테넌트 모두에 대한 테넌트 ID와 같은 정보가 포함됩니다. 다음 예제는 성공한 로그인을 보여줍니다.

성공한 로그인의 작업 세부 정보를 보여주는 스크린샷

로그인이 실패하면 작업 세부 정보에는 실패 원인에 대한 정보가 제공됩니다.

실패한 로그인의 작업 세부 정보를 보여주는 스크린샷

감사 로그

감사 로그는 게스트 사용자가 시작한 작업을 비롯하여 시스템 및 사용자 작업에 대한 기록을 제공합니다. [모니터링]에서 테넌트의 감사 로그를 보거나, 사용자의 프로필로 이동하여 특정 사용자의 감사 로그를 볼 수 있습니다.

감사 로그 페이지를 보여 주는 스크린샷.

다음과 같이 로그에서 이벤트를 선택하면 이벤트에 대한 자세한 정보를 볼 수 있습니다.

감사 로그 세부 정보를 보여 주는 스크린샷.

Microsoft Entra ID에서 이러한 로그를 내보낸 후 원하는 보고 도구를 사용하여 익숙한 보고서를 얻을 수도 있습니다.

Microsoft Graph

Microsoft Graph를 사용하여 정책 정보를 가져옵니다.

HTTP 요청

  • 기본 정책 가져오기

    GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default

  • 시스템 기본값으로 초기화

    POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault

  • 파트너 구성 가져오기

    GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners

  • 특정 파트너 구성 가져오기

    GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad

  • 특정 파트너 업데이트

    PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad

요청 본문

"tenantRestrictions": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}

다음 단계

비 Azure AD ID, 소셜 ID 및 비 IT 관리 외부 계정과의 B2B 협업에 대한 외부 협업 설정 구성을 참조하세요.