권한 관리에서 연결된 조직 관리
권한 관리를 통해 조직 외부 사용자와 협업을 수행할 수 있습니다. 특정 외부 조직의 많은 사용자와 자주 공동 작업하는 경우 해당 조직의 ID 원본을 연결된 조직으로 추가할 수 있습니다. 연결된 조직이 있으면 해당 조직에서 더 많은 사람이 액세스를 요청할 수 있는 방법이 간소화됩니다. 이 문서에서는 조직 외부 사용자가 디렉터리의 리소스 요청을 허용할 수 있도록 연결된 조직을 추가하는 방법을 설명합니다.
연결된 조직이란?
연결된 조직은 나와 관계가 있는 다른 조직을 말합니다. 해당 조직의 사용자가 SharePoint Online 사이트 또는 앱과 같은 내 리소스에 액세스할 수 있도록 하려면 해당 디렉터리에서 해당 조직의 사용자에 대한 표현이 필요합니다. 대부분의 경우 해당 조직의 사용자는 Microsoft Entra 디렉터리에 아직 없기 때문에 권한 관리를 사용하여 필요에 따라 해당 사용자를 Microsoft Entra 디렉터리로 가져올 수 있습니다.
모든 사람이 액세스를 요청할 수 있는 경로를 제공하고 싶고 해당 새 사용자가 어떤 조직에 속해 있는지 확실하지 않은 경우 디렉터리에 없는 사용자에 대한 액세스 패키지 할당 정책을 구성할 수 있습니다. 해당 정책에서 모든 사용자(연결된 모든 조직 + 새로운 외부 사용자) 옵션을 선택합니다. 요청자가 승인되고 디렉터리의 연결된 조직에 속하지 않는 경우 연결된 조직이 자동으로 만들어집니다.
지정된 조직의 개인만 액세스를 요청할 수 있도록 허용하려면 먼저 연결된 조직을 만듭니다. 둘째, 디렉터리에 없는 사용자에 대한 액세스 패키지 할당 정책을 구성하고 특정 연결된 조직 옵션을 선택한 다음 만든 조직을 선택합니다.
네 가지 방법으로 권한 관리를 통해 연결된 조직을 형성하는 사용자를 지정할 수 있습니다. 다음과 같습니다.
- 다른 Microsoft Entra 디렉터리(모든 Microsoft 클라우드)의 사용자
- SAML/WS-Fed IdP(ID 공급자) 페더레이션에 대해 구성된 다른 타사 디렉터리의 사용자
- 전자 메일 주소가 모두 동일한 do기본 이름을 가진 다른 타사 디렉터리의 사용자 또는 해당 조직과 관련된 일반 사용자 또는
- 공통 조직이 없는 사용자와 업무상 협업이 필요한 경우 live.com 도메인과 같은 Microsoft 계정이 있는 사용자.
예를 들어, Woodgrove Bank에서 일하고 있고, 두 개의 외부 조직과 협업하려는 경우를 가정해 보겠습니다. 두 외부 조직의 사용자에게 동일한 리소스에 대한 액세스 권한을 부여하려고 하지만 이 두 조직의 구성은 다릅니다.
- Contoso는 아직 Microsoft Entra ID를 사용하지 않습니다. Contoso 사용자는 contoso.com으로 끝나는 이메일 주소를 가지고 있습니다.
- Graphic Design Institute는 Microsoft Entra ID를 사용하며 최소한 일부 사용자는 graphicdesigninstitute.com으로 끝나는 사용자 계정 이름을 가지고 있습니다.
이 경우 두 개의 연결된 조직을 구성한 다음 하나의 정책이 포함된 하나의 액세스 패키지를 구성할 수 있습니다.
- 아직 Microsoft Entra 디렉터리에 포함되지 않은 도메인의 사용자가 다음과 같은 경우 이메일 일회용 암호를 사용하여 인증할 수 있도록 이메일 OTP(일회용 암호) 인증이 켜져 있는지 확인합니다. 액세스를 요청하거나 나중에 리소스에 액세스합니다. 또한 외부 사용자 액세스를 허용하려면 Microsoft Entra B2B 외부 협업 설정을 구성해야 할 수도 있습니다.
- Contoso에 대한 연결된 조직을 만듭니다. contoso.com 도메인을 지정하면 권한 관리는 해당 도메인과 연결된 기존 Microsoft Entra 테넌트가 없다는 것을 인식하고 해당 연결된 조직의 사용자가 이메일로 인증하면 인식됩니다. contoso.com 이메일 주소 도메인이 포함된 시간 암호입니다.
- Graphic Design Institute를 위한 또 다른 연결된 조직을 만듭니다. graphicdesigninstitute.com 도메인을 지정하면 권한 관리에서는 해당 도메인과 연결된 테넌트가 있음을 인식합니다.
- 외부 사용자가 요청할 수 있는 카탈로그에서 액세스 패키지를 만듭니다.
- 해당 액세스 패키지에서 아직 디렉터리에 없는 사용자에 대한 액세스 패키지 할당 정책을 만듭니다. 해당 정책에서 특정 연결된 조직 옵션을 선택하고 두 개의 연결된 조직을 지정합니다. 이렇게 하면 연결된 조직 중 하나와 일치하는 ID 원본을 가진 각 조직의 사용자가 액세스 패키지를 요청할 수 있습니다.
- 도메인이 contoso.com인 사용자 계정 이름을 가진 외부 사용자가 액세스 패키지를 요청하면 이메일을 사용하여 인증됩니다. 이 이메일 도메인은 Contoso에 연결된 조직과 일치하며 사용자는 패키지를 요청할 수 있습니다. 요청한 후 외부 사용자의 액세스 작동 방식에는 B2B 사용자를 초대하고 외부 사용자에게 액세스 권한을 할당하는 방법이 설명되어 있습니다.
- 또한 Graphic Design Institute 테넌트의 조직 계정을 사용하는 외부 사용자는 Graphic Design Institute에 연결된 조직과 일치하고 액세스 패키지를 요청할 수 있습니다. 그리고 Graphic Design Institute는 Microsoft Entra ID를 사용하기 때문에 graphicdesigninstitute.example과 같이 Graphic Design Institute 테넌트에 추가된 다른 확인된 도메인과 일치하는 주체 이름을 가진 모든 사용자도 동일한 정책을 사용하여 액세스 패키지를 요청할 수 있습니다.
Microsoft Entra 디렉터리 또는 도메인의 사용자를 인증하는 방법은 인증 유형에 따라 다릅니다. 연결된 조직의 인증 유형은 다음과 같습니다.
- 동일한 클라우드에 있는 Microsoft Entra ID
- 다른 클라우드의 Microsoft Entra ID
- SAML/WS-Fed IdP(ID 공급자) 페더레이션
- 일회성 암호(도메인)
- Microsoft 계정
연결된 조직을 추가하는 방법에 대한 데모는 다음 비디오를 시청하세요.
연결된 조직 목록 보기
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.
필수 역할: 전역 관리자 또는 ID 거버넌스 관리자
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>권한 관리>연결된 조직으로 이동합니다.
검색 상자에서는 연결기관명으로 연결기관을 검색하실 수 있습니다. 그러나 도메인 이름은 검색할 수 없습니다.
연결된 조직 추가
외부 Microsoft Entra 디렉터리 또는 도메인을 연결된 조직으로 추가하려면 이 섹션의 지침을 따릅니다.
필수 역할: 전역 관리자 또는 ID 거버넌스 관리자
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>권한 관리>연결된 조직으로 이동합니다.
연결된 조직 페이지에서 연결된 조직 추가를 선택합니다.
기본 탭을 선택한 다음, 조직의 표시 이름 및 설명을 입력합니다.
새 연결된 조직을 만들 때 상태가 자동으로 구성됨으로 설정됩니다. 연결된 조직의 상태 속성에 대한 자세한 내용은 연결된 조직의 상태 속성을 참조하세요.
디렉터리 + 도메인 탭을 선택하고 디렉터리 + 도메인 추가를 선택합니다.
그러면 디렉터리 + 도메인 선택 창이 열립니다.
검색 상자에 도메인 이름을 입력하여 Microsoft Entra 디렉터리 또는 도메인을 검색합니다. Microsoft Entra 디렉터리와 연결되지 않은 도메인을 추가할 수도 있습니다. 전체 도메인 이름을 입력해야 합니다.
조직 이름과 인증 형식이 올바른지 확인합니다. MyAccess 포털에 액세스하기 전에 사용자 로그인은 조직의 인증 유형에 따라 달라집니다. 연결된 조직의 인증 형식이 Microsoft Entra ID인 경우 해당 조직의 디렉터리에 계정이 있고 해당 Microsoft Entra ID 디렉터리의 확인된 도메인이 있는 모든 사용자는 해당 디렉터리에 로그인한 다음 연결된 해당 조직을 허용하는 패키지 액세스에 대한 액세스를 요청할 수 있습니다. 조직. 인증 유형이 일회용 암호인 경우 해당 도메인의 이메일 주소를 가진 사용자가 MyAccess 포털을 방문할 수 있습니다. 암호를 사용하여 인증한 후 사용자가 요청할 수 있습니다.
참고 항목
일부 도메인의 액세스는 Microsoft Entra B2B(Business to Business) 허용 또는 거부 목록에 의해 차단될 수 있습니다. 또한 Microsoft Entra 인증을 위해 구성된 연결된 조직과 동일한 도메인을 가진 이메일 주소를 가지고 있지만 해당 Microsoft Entra 디렉터리에 인증하지 않은 사용자는 해당 연결된 조직의 일부로 인식되지 않습니다. 자세한 내용은 특정 조직의 B2B 사용자 초대 허용 또는 차단을 참조하세요.
Microsoft Entra 디렉터리 또는 도메인을 추가하려면 추가를 선택합니다. 여러 Microsoft Entra 디렉터리 및 도메인을 추가할 수 있습니다.
Microsoft Entra 디렉터리 또는 도메인을 추가한 후 선택을 선택합니다.
조직이 목록에 나타납니다.
스폰서 탭을 선택한 다음, 이 연결된 조직의 스폰서(선택 사항)를 추가합니다.
스폰서는 이 연결된 조직과의 관계에 대한 연락 지점인 디렉터리에 이미 있는 내부 또는 외부 사용자입니다. 내부 스폰서는 디렉터리의 멤버 사용자입니다. 외부 스폰서는 이전에 초대되었으며 이미 디렉터리에 있는 연결된 조직의 게스트 사용자입니다. 이 연결된 조직의 사용자가 이 액세스 패키지에 대한 액세스를 요청하는 경우 스폰서를 승인자로 사용할 수 있습니다. 게스트 사용자를 디렉터리에 초대하는 방법에 대한 자세한 내용은 Microsoft Entra B2B 협업 사용자 추가를 참조하세요.
추가/제거를 선택하면 내부 또는 외부 스폰서를 선택할 수 있는 창이 열립니다. 창에는 디렉터리의 필터링되지 않은 사용자 및 그룹 목록이 표시됩니다.
검토 + 만들기 탭을 선택하고 조직 설정을 검토한 다음, 만들기를 선택합니다.
연결된 조직 업데이트
연결된 조직이 다른 도메인으로 변경되거나 조직의 이름이 변경되거나 스폰서를 변경하려는 경우 이 섹션의 지침에 따라 연결된 조직을 업데이트할 수 있습니다.
필수 역할: 전역 관리자 또는 ID 거버넌스 관리자
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>권한 관리>연결된 조직으로 이동합니다.
연결된 조직 페이지에서 업데이트하려는 연결된 조직을 선택합니다.
연결된 조직의 개요 창에서 편집을 선택하여 조직 이름, 설명 또는 상태를 변경합니다.
디렉터리 + 도메인 창에서 디렉터리 + 도메인 업데이트를 선택하여 다른 디렉터리나 도메인으로 변경합니다.
스폰서 창에서 내부 스폰서 추가 또는 외부 스폰서 추가를 선택하여 사용자를 스폰서로 추가합니다. 스폰서를 제거하려면 스폰서를 선택하고 오른쪽 창에서 삭제를 선택합니다.
연결된 조직 삭제
외부 Microsoft Entra 디렉터리 또는 도메인과 더 이상 관계가 없거나 제안된 연결 조직을 더 이상 원하지 않는 경우 연결된 조직을 삭제할 수 있습니다.
필수 역할: 전역 관리자 또는 ID 거버넌스 관리자
최소한 ID 관리 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID 거버넌스>권한 관리>연결된 조직으로 이동합니다.
연결된 조직 페이지에서 삭제하려는 연결된 조직을 선택하여 엽니다.
연결된 조직의 개요 창에서 삭제를 선택하여 삭제합니다.
프로그래밍 방식으로 연결된 조직 관리
또한 Microsoft Graph를 사용하여 연결된 조직을 만들고, 나열하고, 업데이트하고, 삭제할 수 있습니다. 위임된 EntitlementManagement.ReadWrite.All 권한이 있는 애플리케이션을 사용하는 적절한 역할의 사용자는 API를 호출하여 connectedOrganization 개체를 관리하고 스폰서를 설정할 수 있습니다.
Microsoft PowerShell을 통해 연결된 조직 관리
ID 거버넌스용 Microsoft Graph PowerShell cmdlet 모듈 버전 1.16.0 이상의 cmdlet을 사용하여 PowerShell에서 연결된 조직을 관리할 수도 있습니다.
아래 스크립트는 Graph의 v1.0 프로필을 사용하여 연결된 모든 조직을 검색하는 방법을 보여 줍니다. 반환된 각 연결된 조직에는 해당 연결된 조직의 디렉터리 및 도메인의 identitySources 목록이 포함되어 있습니다.
Connect-MgGraph -Scopes "EntitlementManagement.ReadWrite.All"
$co = Get-MgEntitlementManagementConnectedOrganization -all
foreach ($c in $co) {
foreach ($i in $c.identitySources) {
write-output $c.Id $c.DisplayName $i.AdditionalProperties["@odata.type"]
}
}
연결된 조직의 국가 재산
권한 관리에는 연결된 조직에 대해 구성된 상태와 제안된 두 가지 상태가 있습니다.
구성된 연결된 조직은 해당 조직 내의 사용자가 액세스 패키지에 액세스할 수 있도록 허용하는 완전한 기능을 갖춘 연결된 조직입니다. 관리자가 Microsoft Entra 관리 센터에 새로운 연결된 조직을 만드는 경우 관리자가 이 연결된 조직을 만들었고 사용하려고 하므로 기본적으로 구성됨 상태가 됩니다. 또한 API를 통해 프로그래밍 방식으로 연결된 조직을 만든 경우에는 명시적으로 다른 상태로 설정하지 않는 한 기본 상태를 구성해야 합니다.
구성된 연결된 조직은 연결된 조직의 선택기에 표시되고 "모든 구성된 연결 조직"을 대상으로 하는 모든 정책 범위 내에 있게 됩니다.
제안된 연결된 구성은 자동으로 만들어졌지만 관리자가 조직을 만들거나 승인하지 않은 연결된 조직입니다. 사용자가 구성된 연결된 조직 외부에서 액세스 패키지에 등록하는 경우 테넌트의 관리자가 해당 파트너 관계를 설정하지 않았기 때문에 자동으로 생성된 모든 연결된 조직은 제안됨 상태가 됩니다.
제안된 연결된 조직은 모든 정책에 대한 “구성된 모든 연결된 조직”에 대한 범위에 속하지 않지만 특정 조직을 대상으로 하는 정책에 대해서만 정책에서 사용할 수 있습니다.
구성된 연결된 조직의 사용자만 구성된 모든 조직의 사용자가 사용할 수 있는 액세스 패키지를 요청할 수 있습니다. 제안된 연결된 조직의 사용자에게는 마치 해당 도메인에 대해 연결된 조직이 없는 것 같은 환경이 제공됩니다. 특정 조직으로 범위가 지정되거나 어떠한 사용자에게 범위가 지정된 액세스 패키지만 보고 요청할 수 있습니다. 테넌트에 "구성된 모든 연결된 조직"을 허용하는 정책이 있는 경우 소셜 ID 공급자에 대해 제안된 연결된 조직을 구성된 조직으로 변환하지 않는지 확인합니다.
참고 항목
이 새로운 기능을 롤아웃하는 과정의 일환으로 2020년 9월 9일 이전에 생성된 모든 연결된 조직은 구성됨으로 간주됩니다. 모든 조직의 사용자가 가입할 수 있도록 허용된 액세스 패키지가 있는 경우 해당 날짜 이전에 생성된 연결된 조직의 목록을 검토하여 구성됨으로 잘못 분류되지 않도록 해야 합니다. 특히, 구성된 모든 연결된 조직의 사용자에 대한 승인이 필요하지 않은 할당 정책이 있는 경우 소셜 ID 공급자가 구성됨으로 표시되어서는 안 됩니다. 관리자는 상태 속성을 적절하게 업데이트할 수 있습니다. 지침은 연결된 조직 업데이트를 참조하세요.
참고 항목
경우에 따라 사용자는 소셜 ID 공급자의 개인 계정을 사용하여 액세스 패키지를 요청할 수 있습니다. 여기서 해당 계정의 이메일 주소는 Microsoft Entra 테넌트에 해당하는 기존 연결된 조직과 동일한 도메인을 갖습니다. 해당 사용자가 승인되면 해당 도메인을 대표하는 새로운 연결 조직이 제안됩니다. 이 경우 사용자가 액세스 권한을 다시 요청하는 대신 조직 계정을 사용하고 있는지 확인합니다. 그러면 포털은 구성된 연결된 조직 Microsoft Entra 테넌트에서 오는 이 사용자를 식별합니다.