권한 관리에서 외부 사용자에 대한 액세스 제어

  • 아티클

권한 관리는 Microsoft Entra B2B를 사용하여 액세스를 공유하므로 조직 외부 사람과 협업할 수 있습니다. Microsoft Entra B2B를 사용하면 외부 사용자가 자신의 홈 디렉터리에 인증하지만 해당 디렉터리에 표시됩니다. 디렉터리의 표현을 사용하면 사용자에게 리소스에 대한 액세스 권한을 할당할 수 있습니다.

이 문서에서는 외부 사용자의 액세스 권한을 제어하는 데 사용할 수 있는 설정에 대해 설명합니다.

권한 관리의 작동 방식

Microsoft Entra B2B 초대 환경을 사용하는 경우 리소스 디렉터리에 초대하여 협업하려는 외부 게스트 사용자의 이메일 주소를 이미 알고 있어야 합니다. 소규모 또는 단기 프로젝트를 진행 중이고 모든 참가자를 이미 알고 있는 경우 각 사용자를 직접 초대하는 것이 좋지만, 협업하려는 사용자 수가 많거나 시간이 지나면서 참가자가 바뀌는 경우에는 이 프로세스를 관리하기가 어렵습니다. 예를 들어 다른 조직과 협업 중이고 해당 조직과의 연락 담당자가 지금은 한 명이지만, 이후에 해당 조직의 사용자가 추가되면 그 사용자에게도 액세스 권한이 필요합니다.

권한 관리를 사용하면 관리자가 지정하는 조직의 사용자가 액세스 패키지를 직접 요청할 수 있도록 허용하는 정책을 정의할 수 있습니다. 이 정책에는 승인이 필요한지 여부, 액세스 검토가 필요한지 여부 및 액세스 권한의 만료 날짜가 포함됩니다. 대부분의 경우 디렉터리로 이동하는 사용자를 적절하게 감독하려면 승인이 필요합니다. 승인이 필요한 경우 주요 외부 조직 파트너의 경우 외부 조직에서 한 명 이상의 사용자를 디렉터리에 초대하고, 그들을 스폰서로 지정하고, 스폰서를 승인자로 구성하는 것을 고려할 수 있습니다. 왜냐하면 스폰서는 어떤 외부 사용자인지 알 가능성이 높기 때문입니다. 조직의 액세스가 필요합니다. 액세스 패키지를 구성한 후에는 액세스 패키지의 요청 링크를 얻어서 외부 조직의 연락 담당자(스폰서)에게 전달할 수 있습니다. 이 연락 담당자는 소속 외부 조직의 다른 사용자와 이 링크를 공유할 수 있고, 다른 사용자는 이 링크를 사용하여 액세스 패키지를 요청할 수 있습니다. 이미 디렉터리에 초대된 조직의 사용자도 이 링크를 사용할 수 있습니다.

자체 Microsoft Entra 디렉터리가 없는 조직에서 사용자를 데려오기 위해 권한 관리를 사용할 수도 있습니다. 해당 도메인에 대한 통합 ID 공급자를 구성하거나 이메일 기반 인증을 사용할 수 있습니다. Microsoft 계정이 있는 사용자를 포함하여 소셜 ID 공급자의 사용자를 가져올 수도 있습니다.

일반적으로 요청이 승인되면 권한 관리에서는 사용자에게 필요한 액세스 권한을 프로비전합니다. 사용자가 아직 디렉터리에 없는 경우 권한 관리에서는 먼저 사용자를 초대합니다. 사용자가 초대되면 Microsoft Entra ID는 자동으로 해당 사용자에 대한 B2B 게스트 계정을 만들지만 사용자에게 이메일을 보내지는 않습니다. 관리자가 이전에 B2B 허용 또는 차단 목록을 설정하여 다른 조직의 도메인에 대한 초대를 허용 또는 차단함으로써 협업이 허용되는 조직을 제한했을 수 있습니다. 해당 목록에서 사용자의 도메인을 허용하지 않는 경우 초대되지 않으며 목록이 업데이트될 때까지 액세스 권한을 할당할 수 없습니다.

외부 사용자의 액세스 권한이 영원히 지속되지 않도록 정책에서 만료 날짜를 지정합니다. 예를 들어 180일로 지정합니다. 180일 후에 액세스 권한이 연장되지 않으면 권한 관리에서는 해당 액세스 패키지와 연결된 모든 액세스 권한을 제거합니다. 기본적으로 권한 관리를 통해 초대된 사용자에게 다른 액세스 패키지 할당이 없는 경우 마지막 할당이 사라지면 게스트 계정의 로그인이 30일 동안 차단된 후 게스트 계정이 제거됩니다. 이는 불필요한 계정이 늘어나지 않도록 차단하는 조치입니다. 이러한 설정은 다음 섹션에 설명된 것처럼 구성할 수 있습니다.

외부 사용자의 액세스 권한 작동 원리

다음 다이어그램과 단계는 외부 사용자에게 액세스 패키지에 대한 액세스 권한을 부여하는 방법에 대한 개요를 제공합니다.

Diagram showing the lifecycle of external users

  1. 협업하려는 Microsoft Entra 디렉터리 또는 도메인에 대해 연결된 조직을 추가합니다. 소셜 ID 공급자에 대해 연결된 조직을 구성할 수도 있습니다.

  2. 액세스 패키지를 포함하려면 카탈로그에서 외부 사용자가 사용하도록 설정됨 카탈로그 설정이 인지 확인합니다.

  3. 디렉터리에 없는 사용자용 정책을 포함하고 요청할 수 있는 연결된 조직, 승인자 및 수명 주기 설정을 지정하는 액세스 패키지를 디렉터리에 만듭니다. 정책에서 연결된 특정 조직 옵션 또는 연결된 모든 조직 옵션을 선택하면 이전에 구성된 조직의 사용자만 요청할 수 있습니다. 정책에서 모든 사용자 옵션을 선택하면 아직 디렉터리에 속하지 않거나 연결된 조직에 속하지 않은 사용자를 포함하여 모든 사용자가 요청할 수 있습니다.

  4. 액세스 패키지가 숨겨져 있는지 확인하려면 액세스 패키지의 숨겨진 설정을 확인합니다. 숨겨지지 않은 경우 해당 액세스 패키지의 정책 설정에서 허용된 모든 사용자는 테넌트에 대한 내 액세스 포털에서 액세스 패키지를 찾아볼 수 있습니다.

  5. 외부 조직의 연락 담당자에게 외부 조직의 사용자와 공유할 수 있는 내 액세스 포털 링크를 보냅니다. 외부 조직의 사용자는 이 링크를 통해 액세스 패키지를 요청할 수 있습니다.

  6. 외부 사용자(이 예제에서는 요청자 A)가 내 액세스 포털 링크를 사용하여 액세스 패키지에 대한 액세스 권한을 요청합니다. 내 액세스 포털에서는 사용자가 연결된 조직의 일부로 로그인해야 합니다. 사용자가 로그인하는 방법은 연결된 조직 및 외부 사용자 설정에 정의된 디렉터리 또는 도메인의 인증 유형에 따라 달라집니다.

  7. 승인자는 요청을 승인합니다(정책에 승인이 필요하다고 가정).

  8. 요청이 전송 중 상태로 전환됩니다.

  9. B2B 초대 프로세스를 사용하여 디렉터리에 게스트 사용자 계정이 생성됩니다(이 예제에서는 요청자 A(게스트)). 허용 목록 또는 차단 목록이 정의된 경우 목록 설정이 적용됩니다.

  10. 게스트 사용자에게 액세스 패키지의 모든 리소스에 대한 액세스 권한이 할당됩니다. Microsoft Entra ID 및 다른 Microsoft Online Services 또는 연결된 SaaS 애플리케이션에서 변경 내용이 적용될 때까지 다소 시간이 걸릴 수 있습니다. 자세한 내용은 변경 내용 적용 시기를 참조하세요.

  11. 액세스 권한이 전달되었다는 이메일이 외부 사용자에게 전송됩니다.

  12. 외부 사용자는 리소스에 액세스하려면 메일의 링크를 선택하거나 디렉터리 리소스에 직접 액세스하여 초대 프로세스를 완료하면 됩니다.

  13. 정책 설정에 만료 날짜가 포함된 경우 나중에 외부 사용자에게 할당된 액세스 패키지가 만료되면 해당 액세스 패키지에서 외부 사용자의 액세스 권한이 제거됩니다.

  14. 외부 사용자 설정의 수명 주기에 따라 외부 사용자에게 더 이상 액세스 패키지 할당이 없으면 외부 사용자의 로그인이 차단되고 외부 사용자 계정이 디렉터리에서 제거됩니다.

외부 사용자에 대한 설정

조직 외부 사용자가 액세스 패키지를 요청하고 해당 액세스 패키지의 리소스에 대한 액세스 권한을 얻을 수 있도록 몇 가지 설정이 제대로 구성되었는지 확인해야 합니다.

외부 사용자를 위한 카탈로그 사용

  • 기본적으로 새 카탈로그를 만들면 외부 사용자가 카탈로그에서 액세스 패키지를 요청할 수 있도록 카탈로그가 설정됩니다. 외부 사용자에 대해 사용로 설정되었는지 확인합니다.

    Edit catalog settings

    관리자 또는 카탈로그 소유자인 경우 Microsoft Entra 관리 센터 카탈로그 목록에서 현재 외부 사용자에 대해 활성화된 카탈로그 목록을 볼 수 있습니다. 외부 사용자에 대해 사용하도록 설정됨에 대한 필터 설정을 로 변경하면 됩니다. 필터링된 보기에 표시된 카탈로그 중 액세스 패키지 수가 0이 아닌 경우 해당 액세스 패키지에는 외부 사용자가 요청할 수 있도록 허용하는 디렉터리에 없는 사용자에 대한 정책이 있을 수 있습니다.

Microsoft Entra B2B 외부 협업 설정 구성

  • 게스트가 디렉터리에 다른 게스트를 초대할 수 있도록 허용하면 권한 관리 외부에서 게스트 초대가 발생할 수 있습니다. 적절하게 관리되는 초대만 허용하려면 게스트가 초대할 수 있음아니요로 설정하는 것이 좋습니다.

  • 이전에 B2B 허용 목록을 사용한 경우 해당 목록을 삭제하거나 권한 관리를 사용하여 파트너 관계를 맺으려는 모든 조직의 모든 도메인을 목록에 추가해야 합니다. 또는 B2B 차단 목록을 사용하는 경우 파트너 관계를 맺으려는 조직의 도메인이 해당 목록에 포함되면 안 됩니다.

  • 모든 사용자(모든 연결된 조직 + 새 외부 사용자)에 대한 권한 관리 정책을 만들었는데 사용자가 디렉터리의 연결된 조직에 속하지 않은 경우 사용자가 패키지를 요청할 때 연결된 조직이 자동으로 만들어집니다. 그러나 모든 B2B 허용 또는 차단 목록 설정이 우선 적용됩니다. 따라서 허용 목록을 사용하는 경우 모든 사용자가 액세스를 요청하고 차단 목록을 사용하는 경우 모든 권한 있는 도메인을 차단 목록에서 제외할 수 있도록 허용 목록을 제거하려고 합니다.

  • 모든 사용자(모든 연결된 조직 + 새 외부 사용자)를 포함하는 권한 관리 정책을 만들려면 먼저 디렉터리에 대한 이메일 일회용 암호 인증을 설정해야 합니다. 자세한 내용은 이메일 일회용 암호 인증을 참조하세요.

  • Microsoft Entra B2B 외부 협업 설정에 대한 자세한 내용은 외부 협업 설정 구성을 참조하세요.

    Microsoft Entra external collaboration settings

    참고 항목

    다른 Microsoft 클라우드에서 Microsoft Entra 테넌트에 대한 연결된 조직을 만드는 경우 테넌트 간 액세스 설정을 적절하게 구성해야 합니다. 이러한 설정을 구성하는 방법에 대한 자세한 내용은 테넌트 간 액세스 설정 구성을 참조하세요.

조건부 액세스 정책 검토

  • 게스트 사용자에게 영향을 주는 조건부 액세스 정책에서 권한 관리 앱을 제외해야 합니다. 그렇지 않으면 조건부 액세스 정책으로 인해 MyAccess에 액세스하거나 디렉터리에 로그인할 수 없게 될 수 있습니다. 예를 들어 게스트가 등록된 디바이스를 갖고 있지 않고, 알려진 위치에 있지 않고, MFA(다단계 인증)를 다시 등록하지 않으려는 경우 이러한 요구 사항을 조건부 액세스 정책에 추가하면 게스트가 권한 관리를 사용할 수 없습니다. 자세한 내용은 Microsoft Entra 조건부 액세스의 조건이란?을 참조하세요.

  • 권한 관리 고객에 대한 일반적인 정책은 게스트에 대한 권한 관리를 제외한 모든 앱을 게스트에서 차단하는 것입니다. 이 정책을 사용하면 게스트가 My Access에 들어가서 액세스 패키지를 요청할 수 있습니다. 이 패키지에는 모든 앱 차단 정책에서 제외되어야 하는 그룹(다음 예에서는 내 액세스의 게스트라고 함)이 포함되어야 합니다. 패키지가 승인되면 게스트가 디렉터리에 포함됩니다. 최종 사용자가 액세스 패키지 할당이 있고 그룹의 일부인 경우 다른 모든 앱에 액세스할 수 있습니다. 다른 일반적인 정책에는 MFA 및 규격 디바이스에서 권한 관리 앱을 제외하는 것이 포함됩니다.

    Screenshot of exclude app options.

    Screenshot of selection to exclude cloud apps.

    Screenshot of the exclude guests app selection.

참고 항목

권한 관리 앱에는 MyAccess의 권한 관리 측면, Microsoft Entra 관리 센터의 권한 관리 측면 및 MS 그래프의 권한 관리 부분이 포함되어 있습니다. 후자의 두 가지는 액세스에 대한 추가 권한이 필요하므로 명시적 권한이 제공되지 않는 한, 게스트가 액세스할 수 없습니다.

SharePoint Online 외부 공유 설정 검토

  • 외부 사용자에 대한 액세스 패키지에 SharePoint Online 사이트를 포함하려면 조직 수준 외부 공유 설정을 모든 사람(사용자 로그인이 필요 없음) 또는 새 및 기존 게스트(게스트는 로그인하거나 확인 코드를 입력해야 함)로 설정해야 합니다. 자세한 내용은 외부 공유 설정 또는 해제를 참조하세요.

  • 권한 관리 외부에서 외부 공유를 제한하려는 경우 외부 공유 설정을 기존 게스트로 설정하면 됩니다. 그러면 권한 관리를 통해 초대된 새 사용자만 이러한 사이트에 액세스할 수 있습니다. 자세한 내용은 외부 공유 설정 또는 해제를 참조하세요.

  • 사이트 수준 설정에서 게스트 액세스 권한을 설정(앞에서 나열한 옵션과 동일한 옵션 선택)합니다. 자세한 내용은 사이트에 대한 외부 공유를 설정하거나 해제하기를 참조하세요.

Microsoft 365 그룹 공유 설정 검토

  • 외부 사용자에 대한 액세스 패키지에 Microsoft 365 그룹을 포함하려면 사용자가 조직에 새 게스트를 추가할 수 있도록 허용켜기로 설정하여 게스트 액세스를 허용합니다. 자세한 내용은 Microsoft 365 그룹에 대한 게스트 액세스 관리를 참조하세요.

  • 외부 사용자가 SharePoint Online 사이트 및 Microsoft 365 그룹과 연결된 리소스에 액세스할 수 있게 하려면 SharePoint Online 외부 공유를 켜야 합니다. 자세한 내용은 외부 공유 설정 또는 해제를 참조하세요.

  • PowerShell의 디렉터리 수준에서 Microsoft 365 그룹에 대한 게스트 정책을 설정하는 방법에 대한 자세한 내용은 예: 디렉터리 수준에서 그룹의 게스트 정책 구성을 참조하세요.

Teams 공유 설정 검토

외부 사용자의 수명 주기 관리

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

액세스 패키지 요청을 통해 디렉터리에 초대된 외부 사용자에게 할당된 액세스 패키지가 더 이상 없는 경우에 수행할 작업을 선택할 수 있습니다. 사용자가 모든 액세스 패키지 할당을 포기하거나 마지막 액세스 패키지 할당이 만료되는 경우 이 상황이 발생할 수 있습니다. 기본적으로 외부 사용자에게 더 이상 액세스 패키지 할당이 없는 경우 디렉터리에 로그인하지 못하도록 차단됩니다. 30일 후에는 해당 게스트 사용자 계정이 디렉터리에서 제거됩니다. 외부 사용자의 로그인이 차단되지 않거나 삭제되지 않도록 구성하거나, 외부 사용자의 로그인이 차단되지 않았지만 삭제되도록 구성할 수도 있습니다(미리 보기).

필수 역할: 전역 관리자 또는 ID 거버넌스 관리자

  1. 최소한 ID 관리 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID 거버넌스>권한 관리>설정으로 이동합니다.

  3. 편집을 선택합니다.

    Settings to manage the lifecycle of external users

  4. 외부 사용자의 수명 주기 관리 섹션에서 외부 사용자에 대한 다양한 설정을 선택합니다.

  5. 외부 사용자에게 할당된 마지막 액세스 패키지가 만료되는 경우 이 디렉터리에 로그인하지 못하도록 차단하려면 외부 사용자가 이 디렉터리에 로그인하지 못하도록 차단로 설정합니다.

    참고 항목

    권한 관리는 외부 게스트 사용자 계정이 권한 관리를 통해 초대되었거나 게스트 사용자 계정을 관리되는 계정으로 변환하여 수명 주기 관리를 위한 자격 관리에 추가된 로그인을 차단합니다. 또한 해당 사용자가 액세스 패키지 할당이 아닌 이 디렉터리의 리소스에 추가된 경우에도 사용자 로그인이 차단됩니다. 이 디렉터리에 로그인하지 못하도록 차단된 사용자는 액세스 패키지를 다시 요청하거나 이 디렉터리에서 다른 액세스 권한을 요청할 수 없습니다. 나중에 사용자가 이 액세스 패키지 또는 다른 액세스 패키지에 대한 액세스 권한을 요청해야 하는 경우에는 사용자의 로그인을 차단하도록 구성하지 마세요.

  6. 외부 사용자가 액세스 패키지에 대한 마지막 할당을 상실한 후 이 디렉터리에서 게스트 사용자 계정을 제거하려면 외부 사용자 제거로 설정합니다.

    참고 항목

    권한 관리는 권한 관리를 통해 초대되었거나 게스트 사용자 계정을 관리로 변환하여 수명 주기 관리를 위한 자격 관리에 추가된 외부 게스트 사용자 계정 만 제거합니다. 또한 해당 사용자가 액세스 패키지 할당이 아닌 이 디렉터리의 리소스에 추가된 경우에도 이 디렉터리에서 사용자가 제거된다는 점에 유의합니다. 게스트는 액세스 패키지 할당을 받기 전에 이 디렉터리에 있는 경우 유지됩니다. 그러나 게스트가 액세스 패키지 할당을 통해 초대되고 초대된 후에 비즈니스용 OneDrive 또는 SharePoint Online 사이트에 할당된 경우에도 제거됩니다. 외부 사용자 제거 설정을 No변경하면 이후 마지막 액세스 패키지 할당이 손실된 사용자에게만 영향을 줍니다. 삭제하도록 예약되고 로그인이 차단된 사용자는 원래 일정에 따라 계속 삭제됩니다.

  7. 해당 디렉터리에서 게스트 사용자 계정을 제거하려면 제거 전 일 수를 설정할 수 있습니다. 외부 사용자는 액세스 패키지가 만료되면 알림을 받지만 해당 계정이 제거되면 알림이 없습니다. 액세스 패키지에 대한 마지막 할당을 잃는 즉시 게스트 사용자 계정을 제거하려면 해당 디렉터리에서 외부 사용자를 제거하기 전까지 남은 일 수0으로 설정합니다. 이 값의 변경 내용은 이후에 마지막 액세스 패키지 할당을 사용하는 사용자에게만 영향을 미칩니다. 삭제 예정이었던 사용자는 원래 일정에 따라 삭제됩니다.

  8. 저장을 선택합니다.

다음 단계