편집

Microsoft Teams 게스트 사용자 거버넌스

Microsoft Entra ID
Microsoft 365
Microsoft Teams

이 예제 시나리오는 사용자가 Microsoft Entra B2B 협업을 사용할 때 외부 사용자에 대한 ID 및 거버넌스 제어를 제공하여 다른 조직과 공동 작업하는 데 도움이 됩니다.

아키텍처

Architecture for governance of Teams guest users.

이 아키텍처의 Visio 파일을 다운로드합니다.

워크플로

  1. 리소스 디렉터리 - Microsoft 365 그룹 및 팀인 리소스가 포함된 Microsoft Entra 디렉터리입니다. 이 예제에서 리소스는 액세스 패키지에 추가되는 프로젝트 팀으로, 조직 외부의 사용자가 액세스 권한을 요청할 수 있습니다.

  2. 외부 디렉터리(커넥트 조직) - 연결된 조직의 외부 사용자를 포함하는 외부 Microsoft Entra 디렉터리입니다. 이러한 사용자는 정책에서 프로젝트 팀에 대한 액세스를 요청할 수 있습니다.

  3. 카탈로그 1 - 카탈로그는 관련 리소스 및 액세스 패키지에 대한 컨테이너입니다. 카탈로그 1에는 프로젝트 팀과 해당 액세스 패키지가 포함됩니다.

    카탈로그는 위임하는 데 사용되므로 관리자가 아닌 사용자는 자신의 액세스 패키지를 만들 수 있습니다. 카탈로그 소유자는 자신이 소유한 리소스를 카탈로그에 추가할 수 있습니다.

  4. 리소스 - 액세스 패키지에 표시되는 리소스입니다. 보안 그룹, 애플리케이션 및 SharePoint Online 사이트를 포함할 수 있습니다. 이 예제에서는 프로젝트 팀입니다.

  5. 액세스 1 - 액세스 패키지는 각각에 대한 액세스 유형이 있는 리소스의 컬렉션입니다. 액세스 패키지는 내부 직원 및 조직 외부 사용자의 액세스를 제어하는 데 사용됩니다. 이 예제에서 프로젝트 팀은 외부 사용자가 액세스를 요청할 수 있는 단일 정책이 있는 리소스입니다. 이 예제의 내부 사용자는 Microsoft Entra 권한 관리를 사용할 필요가 없습니다. Microsoft Teams를 사용하여 프로젝트 팀에 추가됩니다.

  6. 그룹 1 리소스 역할 - 리소스 역할은 리소스와 연결되고 리소스에 의해 정의된 권한입니다. 그룹에는 멤버 및 소유자의 두 가지 역할이 있습니다. SharePoint 사이트에는 일반적으로 세 개의 역할이 있지만, 추가 사용자 지정 역할도 있을 수 있습니다. 애플리케이션에는 사용자 지정 역할이 있을 수 있습니다.

  7. 외부 액세스 정책 - 액세스 패키지에 할당하기 위한 규칙을 정의하는 정책입니다. 이 예제에서는 연결된 조직의 사용자가 프로젝트 팀에 대한 액세스를 요청할 수 있도록 하는 정책이 사용됩니다. 요청이 완료되면 정책에 정의된 대로 승인자의 승인이 필요합니다. 또한 정책은 시간 제한 및 갱신 설정을 지정합니다.

  8. 승인자 - 승인자가 액세스 요청을 승인합니다. 내부 또는 외부 사용자일 수 있습니다.

  9. 요청자 - 내 액세스 포털을 통해 액세스를 요청하는 외부 사용자입니다. 포털에는 요청자가 요청할 수 있는 액세스 패키지만 표시됩니다.

조직 흐름 외부의 사용자에 대한 리소스에 대한 액세스 요청

다음은 Microsoft 365 그룹 또는 팀에 대한 액세스 권한이 외부 사용자에게 부여되는 방법을 보여 주는 개략적인 워크플로입니다. 액세스가 더 이상 필요하지 않거나 시간 제한에 도달한 경우 게스트 계정을 제거하는 작업이 포함됩니다.

Flow diagram with steps that shows how access works for external users.

구성 요소

  • Microsoft Entra ID 는 사용자가 로그인하고 리소스에 액세스할 수 있는 방법을 제공하는 클라우드 기반 ID 및 액세스 관리 서비스를 제공합니다. 다음과 같은 기능과 기능이 있습니다.
    • Microsoft Entra 권한 관리는 조직이 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화하여 ID를 관리하고 수명 주기에 대규모로 액세스할 수 있도록 하는 ID 거버넌스 기능입니다.
    • Microsoft Entra B2B(Business-to-Business) 협업 은 Microsoft Entra 권한 관리에서 액세스를 공유하는 데 사용되므로 내부 사용자가 외부 사용자와 공동 작업할 수 있습니다.
    • Microsoft Entra 액세스 검토를 사용하면 조직에서 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 역할 할당을 효율적으로 관리할 수 있습니다. 사용자의 액세스를 정기적으로 검토하여 적절한 사용자만 계속 액세스하도록 할 수 있습니다.
    • Microsoft Teams 게스트 액세스를 사용하면 외부 사용자가 회사 리소스에 대한 제어를 유지하면서 팀, 채널, 리소스, 채팅 및 애플리케이션에 액세스할 수 있습니다.
    • Microsoft Entra 조건부 액세스 는 의사 결정을 내리고 조직 정책을 적용하기 위해 신호를 함께 제공합니다. 이 솔루션의 조건부 액세스는 사용 약관 계약 및 다단계 인증을 적용하고 게스트 계정에 대한 세션 시간 제한을 설정하는 데 사용되었습니다.

대안

Microsoft Entra 권한 관리에 대한 대체 솔루션은 내부 사용자가 외부 사용자를 팀에 초대할 수 있도록 하는 것입니다. 그러면 초대된 사용자가 리소스 디렉터리에 게스트 계정을 만들 수 있습니다.

이 대안은 고객에게 필요한 ID 및 거버넌스 제어를 제공하지 않습니다. AD 권한 관리와 비교할 때의 단점은 다음과 같습니다.

  • 외부 사용자가 액세스를 요청할 수 없으며 초대를 받아야 합니다. 외부 사용자는 초대를 요청하는 방법, 팀에 따라 다를 수 있고 시간이 지남에 따라 변경되는 프로세스에 대해 알아야 합니다.
  • 비즈니스 근거, 이메일 알림, 검토 프로세스 또는 승인 프로세스가 없어 감사 문제가 있습니다.
  • 특정 리소스에 대한 액세스를 쉽게 관리, 제거 또는 업데이트할 수 없습니다. 프로젝트 리소스가 변경될 가능성이 높기 때문에 효율성 문제가 있습니다.
  • 외부 사용자가 초대되었지만 사용자의 조직이 허용되지 않는 경우 사용자에게 액세스가 거부되어 혼동을 일으킵니다.
  • 게스트 계정이 자동으로 제거되지 않으며 만료 집합이 없습니다. 만료를 처리하는 수동 프로세스는 계정을 만들 때 제한을 설정해야 하는 자동 프로세스보다 오류가 발생하기 쉽고 덜 효율적입니다. 보안 문제 및 효율성 문제에 해당합니다.

이러한 문제를 처리하기 위한 사용자 지정 솔루션을 구축하는 것은 AD 권한 관리를 갖춘 비용 경쟁력이나 기능 경쟁력이 없을 수 있습니다.

시나리오 정보

이 예제 시나리오는 고객이 다른 조직과 즉시 협업해야 했던 COVID-19 팬데믹 중에 빌드되었습니다. 즉, 외부 사용자에 대한 ID 및 거버넌스 제어를 제공해야 했습니다.

회사 커뮤니케이션을 위한 고객의 기본 도구는 Microsoft Teams였습니다. 사용자는 Teams 채팅, 모임 및 통화를 사용하여 공동 작업했습니다. Teams 채널은 파일 및 대화에 대한 액세스를 제공했습니다.

Teams 모임은 외부 사용자를 효과적으로 만날 수 있는 방법을 제공했습니다. 그러나 외부 사용자가 팀과 채널에 액세스할 수 없으므로 공동 작업이 어설프고 생산성이 저하되었습니다. 고객에게 더 나은 해결책이 필요했습니다.

Teams는 외부 사용자와 통신하고 공동 작업하는 데 두 가지 옵션을 제공합니다.

  • 외부 액세스 - 내부 사용자가 외부 사용자를 찾고, 호출하고, 채팅할 수 있는 페더레이션 유형입니다. 외부 액세스 사용자는 게스트 액세스를 사용하여 게스트로 초대되지 않는 한 팀에 추가할 수 없습니다.
  • 게스트 액세스 - 내부 사용자가 외부 사용자를 팀에 초대할 수 있습니다. 초대된 사용자는 Microsoft Entra ID로 게스트 계정을 가져옵니다. 게스트 액세스를 사용하면 외부 사용자를 팀에 초대할 수 있으며 채널의 문서와 리소스, 채팅 및 애플리케이션에 대한 액세스를 제공합니다. 고객은 필요에 따라 회사 데이터에 대한 제어를 유지 관리합니다.

게스트 액세스는 고객의 공동 작업 요구 사항을 충족했지만 보안 및 거버넌스 문제를 야기했습니다.

  • 게스트는 필요에 따라 특정 팀에만, 필요한 기간 동안만 액세스할 수 있어야 합니다. 프로젝트가 완료되면 게스트 계정을 제거해야 합니다.
  • 감사 요구 사항을 충족하는 게스트 계정을 만들기 위한 승인 프로세스가 있어야 합니다. 내부 사용자는 요청을 검토하고 적절하게 승인해야 합니다.
  • 솔루션을 신속하게 빌드하고 자동화할 수 있어야 합니다. 적절한 보안 및 거버넌스 제어가 있을 때까지 게스트 계정을 만들 수 없습니다.

Microsoft Entra 권한 관리는 보안 및 거버넌스 요구 사항을 충족하는 기본 도구였습니다.

  • 내부 및 외부 사용자 모두에 대해 팀, 애플리케이션 및 SharePoint 온라인 사이트를 포함한 Microsoft 365 그룹에 대한 액세스를 효율적으로 관리하는 데 도움이 됩니다.
  • 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화하는 기능을 제공합니다.

게스트 액세스 및 Microsoft Entra 권한은 고객의 공동 작업 요구 사항을 충족했습니다. 외부 사용자는 선택한 팀에 참가할 수 있으며 액세스가 관리됩니다. 또한 Microsoft Entra 권한 관리는 팀 이외의 리소스에 대한 액세스 관리와 같이 나중에 사용할 수 있는 기능을 제공합니다.

잠재적인 사용 사례

이 솔루션은 액세스 권한이 필요한 내부 및 외부 사용자, 그룹, 애플리케이션 및 SharePoint Online 사이트에 대한 액세스를 관리해야 하는 모든 상황에 적용됩니다. Microsoft Entra 권한 관리에는 다음과 같은 기능과 장점이 있습니다.

  • 다음과 같은 리소스에 대한 직원 액세스를 위한 간소화된 온보딩 및 관리가 있습니다.
    • Microsoft Entra 보안 그룹.
    • Microsoft 365 그룹.
    • Microsoft 365 팀.
    • SaaS 애플리케이션을 포함한 애플리케이션.
    • 적절한 보안 조치를 구현하는 사용자 지정 애플리케이션.
    • SharePoint Online사이트
  • 외부 사용자가 필요한 리소스에 액세스하기 위한 간소화된 절차가 있습니다.
  • 액세스를 요청할 수 있는 외부 사용자를 제공할 수 있는 연결된 조직을 지정할 수 있습니다.
  • 액세스를 요청하고 승인된 사용자는 자동으로 팀 디렉터리에 초대되고 리소스에 대한 액세스 권한이 할당됩니다.
  • 제한에 도달하면 자동 제거를 사용하여 리소스에 대한 사용자의 액세스에 시간 제한을 설정할 수 있습니다.
  • 다른 액세스 패키지 할당이 없는 외부 사용자에 대한 액세스가 만료되면 사용자의 계정을 자동으로 제거할 수 있습니다.
  • 사용자에게 필요한 것보다 더 이상 액세스할 수 없도록 할 수 있습니다.
  • 관리자와 같은 지정된 개인의 승인을 포함하는 액세스 요청에 대한 승인 프로세스가 있습니다.
  • Microsoft Entra 보안 그룹 또는 Microsoft 365 그룹을 사용하는 다른 리소스에 대한 액세스를 관리할 수 있습니다. 예를 들어 그룹 기반 라이선스를 사용하여 사용자에게 라이선스를 부여하는 것이 있습니다.
  • 사용자가 요청할 수 있는 리소스가 포함된 액세스 패키지를 만드는 기능을 관리자가 아닌 사용자에게 위임할 수 있습니다.

고려 사항

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

구현 시 중요한 단계는 외부 사용자를 허용하도록 테넌트 설정을 구성하는 것입니다.

A list of seven settings that require verification.

  1. 외부 사용자에 대해 카탈로그 사용 - 카탈로그에서 외부 사용자에 대해 사용 설정로 설정되어 있는지 확인합니다. 기본적으로 Microsoft Entra 권한 관리에서 새 카탈로그를 만들 때 외부 사용자가 카탈로그의 패키지에 대한 액세스를 요청할 수 있도록 허용합니다.
  2. Microsoft Entra B2B 외부 공동 작업 설정 - Azure B2B 외부 공동 작업 설정은 Microsoft Entra 권한 관리를 사용하여 외부 사용자를 리소스에 초대할 수 있는지 여부에 영향을 줄 수 있습니다. 다음 설정을 확인합니다.
    • 게스트가 디렉터리에 다른 게스트를 초대할 수 있는지 확인합니다. 관리되는 초대만 허용하려면 게스트가 초대할 수 있음아니요로 설정하는 것이 좋습니다.
    • 초대를 적절하게 허용하거나 차단하고 있는지 확인합니다. 자세한 내용은 특정 조직의 B2B 사용자 초대 허용 또는 차단을 참조하세요.
  3. 조건부 액세스 정책 검토 - 조건부 액세스를 확인하여 게스트 사용자가 충족할 수 없는 조건부 액세스 정책에서 제외되었는지 확인합니다. 그렇지 않으면 디렉터리에 로그인할 수 없으며 리소스에 액세스할 수 없습니다.
  4. SharePoint Online 외부 공유 설정 검토 - 외부 사용자를 위한 액세스 패키지에 SharePoint Online 사이트를 포함하는 경우 조직 수준 외부 공유 설정을 구성해야 합니다. 로그인이 필요하지 않은 경우 모든 사용자 또는 초대된 사용자의 기존 게스트 로 설정합니다. 자세한 내용은 조직 수준 외부 공유 설정 변경을 참조하세요.
  5. Microsoft 365 그룹 공유 설정 검토 - 외부 사용자를 위한 액세스 패키지에 Microsoft 365 그룹 또는 팀을 포함하는 경우 게스트 액세스를 허용하려면 사용자가 조직에 새 게스트를 추가하도록 허용켜짐으로 설정되어 있는지 확인합니다.
  6. Teams 공유 설정 검토 - 외부 사용자를 위한 액세스 패키지에 팀을 포함하는 경우 게스트 액세스를 허용하려면 Microsoft Teams에서 게스트 액세스 허용켜짐으로 설정되어 있는지 확인합니다. 또한 Teams 게스트 액세스 설정이 구성되어 있는지 확인합니다.
  7. 외부 사용자의 수명 주기 관리 - 외부 사용자에게 액세스 패키지 할당이 더 이상 없을 때 발생하는 작업을 선택할 수 있습니다. 이는 모든 할당이 사용자에 의해 포기되거나 만료될 때 발생합니다. 기본적으로 사용자는 디렉터리에 로그인하지 못하도록 차단됩니다. 30일 후에는 해당 게스트 사용자 계정이 디렉터리에서 제거됩니다.

추가 고려 사항:

  • 액세스 할당 - 액세스 패키지는 액세스 할당을 위해 다른 메커니즘을 대체하지 않습니다. 다음과 같은 상황에서 가장 적합합니다.
    • 직원에게는 특정 작업에 대해 시간이 제한된 액세스가 필요합니다.
    • 액세스에는 관리자 또는 기타 지정된 개인의 승인이 필요합니다.
    • 부서에서 IT의 개입 없이 리소스를 관리하려고 합니다.
    • 둘 이상의 조직에서 프로젝트를 협업하고 있으며, 따라서 한 조직의 여러 사용자가 다른 조직의 리소스에 액세스하려면 초대를 받아야 합니다.
  • 리소스 업데이트 - Microsoft Entra 권한 관리를 사용하면 언제든지 액세스 패키지의 리소스를 변경할 수 있습니다. 패키지 사용자는 변경된 패키지에 맞게 리소스 액세스가 자동으로 조정됩니다.

비용 최적화

비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 방법을 찾는 것입니다. 자세한 내용은 비용 최적화 핵심 요소 개요를 참조하세요.

  • Microsoft Entra 권한 관리를 사용하려면 Microsoft Entra ID P2 라이선스가 필요합니다.
  • 게스트 액세스는 모든 Microsoft 365 Business Standard, Microsoft 365 Business Premium 및 Microsoft 365 Education 구독에서 사용할 수 있습니다. 추가 Microsoft 365 라이선스는 필요하지 않습니다.
  • Microsoft Entra 외부 ID 대한 청구 모델은 Microsoft 365의 게스트에게 적용됩니다. 외부 사용자만 게스트로 초대할 수 있습니다.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

보안 주체 작성자:

다음 단계