이 예제 시나리오는 사용자가 Microsoft Entra B2B 협업을 사용할 때 외부 사용자에 대한 ID 및 거버넌스 제어를 제공하여 다른 조직과 공동 작업하는 데 도움이 됩니다.
아키텍처
이 아키텍처의 Visio 파일을 다운로드합니다.
워크플로
리소스 디렉터리 - Microsoft 365 그룹 및 팀인 리소스가 포함된 Microsoft Entra 디렉터리입니다. 이 예제에서 리소스는 액세스 패키지에 추가되는 프로젝트 팀으로, 조직 외부의 사용자가 액세스 권한을 요청할 수 있습니다.
외부 디렉터리(커넥트 조직) - 연결된 조직의 외부 사용자를 포함하는 외부 Microsoft Entra 디렉터리입니다. 이러한 사용자는 정책에서 프로젝트 팀에 대한 액세스를 요청할 수 있습니다.
카탈로그 1 - 카탈로그는 관련 리소스 및 액세스 패키지에 대한 컨테이너입니다. 카탈로그 1에는 프로젝트 팀과 해당 액세스 패키지가 포함됩니다.
카탈로그는 위임하는 데 사용되므로 관리자가 아닌 사용자는 자신의 액세스 패키지를 만들 수 있습니다. 카탈로그 소유자는 자신이 소유한 리소스를 카탈로그에 추가할 수 있습니다.
리소스 - 액세스 패키지에 표시되는 리소스입니다. 보안 그룹, 애플리케이션 및 SharePoint Online 사이트를 포함할 수 있습니다. 이 예제에서는 프로젝트 팀입니다.
액세스 1 - 액세스 패키지는 각각에 대한 액세스 유형이 있는 리소스의 컬렉션입니다. 액세스 패키지는 내부 직원 및 조직 외부 사용자의 액세스를 제어하는 데 사용됩니다. 이 예제에서 프로젝트 팀은 외부 사용자가 액세스를 요청할 수 있는 단일 정책이 있는 리소스입니다. 이 예제의 내부 사용자는 Microsoft Entra 권한 관리를 사용할 필요가 없습니다. Microsoft Teams를 사용하여 프로젝트 팀에 추가됩니다.
그룹 1 리소스 역할 - 리소스 역할은 리소스와 연결되고 리소스에 의해 정의된 권한입니다. 그룹에는 멤버 및 소유자의 두 가지 역할이 있습니다. SharePoint 사이트에는 일반적으로 세 개의 역할이 있지만, 추가 사용자 지정 역할도 있을 수 있습니다. 애플리케이션에는 사용자 지정 역할이 있을 수 있습니다.
외부 액세스 정책 - 액세스 패키지에 할당하기 위한 규칙을 정의하는 정책입니다. 이 예제에서는 연결된 조직의 사용자가 프로젝트 팀에 대한 액세스를 요청할 수 있도록 하는 정책이 사용됩니다. 요청이 완료되면 정책에 정의된 대로 승인자의 승인이 필요합니다. 또한 정책은 시간 제한 및 갱신 설정을 지정합니다.
승인자 - 승인자가 액세스 요청을 승인합니다. 내부 또는 외부 사용자일 수 있습니다.
요청자 - 내 액세스 포털을 통해 액세스를 요청하는 외부 사용자입니다. 포털에는 요청자가 요청할 수 있는 액세스 패키지만 표시됩니다.
조직 흐름 외부의 사용자에 대한 리소스에 대한 액세스 요청
다음은 Microsoft 365 그룹 또는 팀에 대한 액세스 권한이 외부 사용자에게 부여되는 방법을 보여 주는 개략적인 워크플로입니다. 액세스가 더 이상 필요하지 않거나 시간 제한에 도달한 경우 게스트 계정을 제거하는 작업이 포함됩니다.
구성 요소
- Microsoft Entra ID 는 사용자가 로그인하고 리소스에 액세스할 수 있는 방법을 제공하는 클라우드 기반 ID 및 액세스 관리 서비스를 제공합니다. 다음과 같은 기능과 기능이 있습니다.
- Microsoft Entra 권한 관리는 조직이 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화하여 ID를 관리하고 수명 주기에 대규모로 액세스할 수 있도록 하는 ID 거버넌스 기능입니다.
- Microsoft Entra B2B(Business-to-Business) 협업 은 Microsoft Entra 권한 관리에서 액세스를 공유하는 데 사용되므로 내부 사용자가 외부 사용자와 공동 작업할 수 있습니다.
- Microsoft Entra 액세스 검토를 사용하면 조직에서 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 역할 할당을 효율적으로 관리할 수 있습니다. 사용자의 액세스를 정기적으로 검토하여 적절한 사용자만 계속 액세스하도록 할 수 있습니다.
- Microsoft Teams 게스트 액세스를 사용하면 외부 사용자가 회사 리소스에 대한 제어를 유지하면서 팀, 채널, 리소스, 채팅 및 애플리케이션에 액세스할 수 있습니다.
- Microsoft Entra 조건부 액세스 는 의사 결정을 내리고 조직 정책을 적용하기 위해 신호를 함께 제공합니다. 이 솔루션의 조건부 액세스는 사용 약관 계약 및 다단계 인증을 적용하고 게스트 계정에 대한 세션 시간 제한을 설정하는 데 사용되었습니다.
대안
Microsoft Entra 권한 관리에 대한 대체 솔루션은 내부 사용자가 외부 사용자를 팀에 초대할 수 있도록 하는 것입니다. 그러면 초대된 사용자가 리소스 디렉터리에 게스트 계정을 만들 수 있습니다.
이 대안은 고객에게 필요한 ID 및 거버넌스 제어를 제공하지 않습니다. AD 권한 관리와 비교할 때의 단점은 다음과 같습니다.
- 외부 사용자가 액세스를 요청할 수 없으며 초대를 받아야 합니다. 외부 사용자는 초대를 요청하는 방법, 팀에 따라 다를 수 있고 시간이 지남에 따라 변경되는 프로세스에 대해 알아야 합니다.
- 비즈니스 근거, 이메일 알림, 검토 프로세스 또는 승인 프로세스가 없어 감사 문제가 있습니다.
- 특정 리소스에 대한 액세스를 쉽게 관리, 제거 또는 업데이트할 수 없습니다. 프로젝트 리소스가 변경될 가능성이 높기 때문에 효율성 문제가 있습니다.
- 외부 사용자가 초대되었지만 사용자의 조직이 허용되지 않는 경우 사용자에게 액세스가 거부되어 혼동을 일으킵니다.
- 게스트 계정이 자동으로 제거되지 않으며 만료 집합이 없습니다. 만료를 처리하는 수동 프로세스는 계정을 만들 때 제한을 설정해야 하는 자동 프로세스보다 오류가 발생하기 쉽고 덜 효율적입니다. 보안 문제 및 효율성 문제에 해당합니다.
이러한 문제를 처리하기 위한 사용자 지정 솔루션을 구축하는 것은 AD 권한 관리를 갖춘 비용 경쟁력이나 기능 경쟁력이 없을 수 있습니다.
시나리오 정보
이 예제 시나리오는 고객이 다른 조직과 즉시 협업해야 했던 COVID-19 팬데믹 중에 빌드되었습니다. 즉, 외부 사용자에 대한 ID 및 거버넌스 제어를 제공해야 했습니다.
회사 커뮤니케이션을 위한 고객의 기본 도구는 Microsoft Teams였습니다. 사용자는 Teams 채팅, 모임 및 통화를 사용하여 공동 작업했습니다. Teams 채널은 파일 및 대화에 대한 액세스를 제공했습니다.
Teams 모임은 외부 사용자를 효과적으로 만날 수 있는 방법을 제공했습니다. 그러나 외부 사용자가 팀과 채널에 액세스할 수 없으므로 공동 작업이 어설프고 생산성이 저하되었습니다. 고객에게 더 나은 해결책이 필요했습니다.
Teams는 외부 사용자와 통신하고 공동 작업하는 데 두 가지 옵션을 제공합니다.
- 외부 액세스 - 내부 사용자가 외부 사용자를 찾고, 호출하고, 채팅할 수 있는 페더레이션 유형입니다. 외부 액세스 사용자는 게스트 액세스를 사용하여 게스트로 초대되지 않는 한 팀에 추가할 수 없습니다.
- 게스트 액세스 - 내부 사용자가 외부 사용자를 팀에 초대할 수 있습니다. 초대된 사용자는 Microsoft Entra ID로 게스트 계정을 가져옵니다. 게스트 액세스를 사용하면 외부 사용자를 팀에 초대할 수 있으며 채널의 문서와 리소스, 채팅 및 애플리케이션에 대한 액세스를 제공합니다. 고객은 필요에 따라 회사 데이터에 대한 제어를 유지 관리합니다.
게스트 액세스는 고객의 공동 작업 요구 사항을 충족했지만 보안 및 거버넌스 문제를 야기했습니다.
- 게스트는 필요에 따라 특정 팀에만, 필요한 기간 동안만 액세스할 수 있어야 합니다. 프로젝트가 완료되면 게스트 계정을 제거해야 합니다.
- 감사 요구 사항을 충족하는 게스트 계정을 만들기 위한 승인 프로세스가 있어야 합니다. 내부 사용자는 요청을 검토하고 적절하게 승인해야 합니다.
- 솔루션을 신속하게 빌드하고 자동화할 수 있어야 합니다. 적절한 보안 및 거버넌스 제어가 있을 때까지 게스트 계정을 만들 수 없습니다.
Microsoft Entra 권한 관리는 보안 및 거버넌스 요구 사항을 충족하는 기본 도구였습니다.
- 내부 및 외부 사용자 모두에 대해 팀, 애플리케이션 및 SharePoint 온라인 사이트를 포함한 Microsoft 365 그룹에 대한 액세스를 효율적으로 관리하는 데 도움이 됩니다.
- 액세스 요청 워크플로, 액세스 할당, 검토 및 만료를 자동화하는 기능을 제공합니다.
게스트 액세스 및 Microsoft Entra 권한은 고객의 공동 작업 요구 사항을 충족했습니다. 외부 사용자는 선택한 팀에 참가할 수 있으며 액세스가 관리됩니다. 또한 Microsoft Entra 권한 관리는 팀 이외의 리소스에 대한 액세스 관리와 같이 나중에 사용할 수 있는 기능을 제공합니다.
잠재적인 사용 사례
이 솔루션은 액세스 권한이 필요한 내부 및 외부 사용자, 그룹, 애플리케이션 및 SharePoint Online 사이트에 대한 액세스를 관리해야 하는 모든 상황에 적용됩니다. Microsoft Entra 권한 관리에는 다음과 같은 기능과 장점이 있습니다.
- 다음과 같은 리소스에 대한 직원 액세스를 위한 간소화된 온보딩 및 관리가 있습니다.
- Microsoft Entra 보안 그룹.
- Microsoft 365 그룹.
- Microsoft 365 팀.
- SaaS 애플리케이션을 포함한 애플리케이션.
- 적절한 보안 조치를 구현하는 사용자 지정 애플리케이션.
- SharePoint Online사이트
- 외부 사용자가 필요한 리소스에 액세스하기 위한 간소화된 절차가 있습니다.
- 액세스를 요청할 수 있는 외부 사용자를 제공할 수 있는 연결된 조직을 지정할 수 있습니다.
- 액세스를 요청하고 승인된 사용자는 자동으로 팀 디렉터리에 초대되고 리소스에 대한 액세스 권한이 할당됩니다.
- 제한에 도달하면 자동 제거를 사용하여 리소스에 대한 사용자의 액세스에 시간 제한을 설정할 수 있습니다.
- 다른 액세스 패키지 할당이 없는 외부 사용자에 대한 액세스가 만료되면 사용자의 계정을 자동으로 제거할 수 있습니다.
- 사용자에게 필요한 것보다 더 이상 액세스할 수 없도록 할 수 있습니다.
- 관리자와 같은 지정된 개인의 승인을 포함하는 액세스 요청에 대한 승인 프로세스가 있습니다.
- Microsoft Entra 보안 그룹 또는 Microsoft 365 그룹을 사용하는 다른 리소스에 대한 액세스를 관리할 수 있습니다. 예를 들어 그룹 기반 라이선스를 사용하여 사용자에게 라이선스를 부여하는 것이 있습니다.
- 사용자가 요청할 수 있는 리소스가 포함된 액세스 패키지를 만드는 기능을 관리자가 아닌 사용자에게 위임할 수 있습니다.
고려 사항
이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.
구현 시 중요한 단계는 외부 사용자를 허용하도록 테넌트 설정을 구성하는 것입니다.
- 외부 사용자에 대해 카탈로그 사용 - 카탈로그에서 외부 사용자에 대해 사용 설정이 예로 설정되어 있는지 확인합니다. 기본적으로 Microsoft Entra 권한 관리에서 새 카탈로그를 만들 때 외부 사용자가 카탈로그의 패키지에 대한 액세스를 요청할 수 있도록 허용합니다.
- Microsoft Entra B2B 외부 공동 작업 설정 - Azure B2B 외부 공동 작업 설정은 Microsoft Entra 권한 관리를 사용하여 외부 사용자를 리소스에 초대할 수 있는지 여부에 영향을 줄 수 있습니다. 다음 설정을 확인합니다.
- 게스트가 디렉터리에 다른 게스트를 초대할 수 있는지 확인합니다. 관리되는 초대만 허용하려면 게스트가 초대할 수 있음을 아니요로 설정하는 것이 좋습니다.
- 초대를 적절하게 허용하거나 차단하고 있는지 확인합니다. 자세한 내용은 특정 조직의 B2B 사용자 초대 허용 또는 차단을 참조하세요.
- 조건부 액세스 정책 검토 - 조건부 액세스를 확인하여 게스트 사용자가 충족할 수 없는 조건부 액세스 정책에서 제외되었는지 확인합니다. 그렇지 않으면 디렉터리에 로그인할 수 없으며 리소스에 액세스할 수 없습니다.
- SharePoint Online 외부 공유 설정 검토 - 외부 사용자를 위한 액세스 패키지에 SharePoint Online 사이트를 포함하는 경우 조직 수준 외부 공유 설정을 구성해야 합니다. 로그인이 필요하지 않은 경우 모든 사용자 또는 초대된 사용자의 기존 게스트 로 설정합니다. 자세한 내용은 조직 수준 외부 공유 설정 변경을 참조하세요.
- Microsoft 365 그룹 공유 설정 검토 - 외부 사용자를 위한 액세스 패키지에 Microsoft 365 그룹 또는 팀을 포함하는 경우 게스트 액세스를 허용하려면 사용자가 조직에 새 게스트를 추가하도록 허용이 켜짐으로 설정되어 있는지 확인합니다.
- Teams 공유 설정 검토 - 외부 사용자를 위한 액세스 패키지에 팀을 포함하는 경우 게스트 액세스를 허용하려면 Microsoft Teams에서 게스트 액세스 허용이 켜짐으로 설정되어 있는지 확인합니다. 또한 Teams 게스트 액세스 설정이 구성되어 있는지 확인합니다.
- 외부 사용자의 수명 주기 관리 - 외부 사용자에게 액세스 패키지 할당이 더 이상 없을 때 발생하는 작업을 선택할 수 있습니다. 이는 모든 할당이 사용자에 의해 포기되거나 만료될 때 발생합니다. 기본적으로 사용자는 디렉터리에 로그인하지 못하도록 차단됩니다. 30일 후에는 해당 게스트 사용자 계정이 디렉터리에서 제거됩니다.
추가 고려 사항:
- 액세스 할당 - 액세스 패키지는 액세스 할당을 위해 다른 메커니즘을 대체하지 않습니다. 다음과 같은 상황에서 가장 적합합니다.
- 직원에게는 특정 작업에 대해 시간이 제한된 액세스가 필요합니다.
- 액세스에는 관리자 또는 기타 지정된 개인의 승인이 필요합니다.
- 부서에서 IT의 개입 없이 리소스를 관리하려고 합니다.
- 둘 이상의 조직에서 프로젝트를 협업하고 있으며, 따라서 한 조직의 여러 사용자가 다른 조직의 리소스에 액세스하려면 초대를 받아야 합니다.
- 리소스 업데이트 - Microsoft Entra 권한 관리를 사용하면 언제든지 액세스 패키지의 리소스를 변경할 수 있습니다. 패키지 사용자는 변경된 패키지에 맞게 리소스 액세스가 자동으로 조정됩니다.
비용 최적화
비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 방법을 찾는 것입니다. 자세한 내용은 비용 최적화 핵심 요소 개요를 참조하세요.
- Microsoft Entra 권한 관리를 사용하려면 Microsoft Entra ID P2 라이선스가 필요합니다.
- 게스트 액세스는 모든 Microsoft 365 Business Standard, Microsoft 365 Business Premium 및 Microsoft 365 Education 구독에서 사용할 수 있습니다. 추가 Microsoft 365 라이선스는 필요하지 않습니다.
- Microsoft Entra 외부 ID 대한 청구 모델은 Microsoft 365의 게스트에게 적용됩니다. 외부 사용자만 게스트로 초대할 수 있습니다.
참가자
Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.
보안 주체 작성자:
- Martin Boam | 설계자
다음 단계
- Microsoft Teams의 팀 및 채널 개요
- Microsoft Teams의 팀 및 채널 이해하기
- 게스트 액세스 및 외부 액세스를 사용하여 조직 외부 사용자와 공동 작업
- Microsoft Entra 권한 관리에서 새 액세스 패키지 만들기
- 자습서: Microsoft Entra 권한 관리에서 리소스에 대한 액세스 관리
- Microsoft Entra 권한 관리란?
- Microsoft Entra ID Governance가 무엇인가요?
- Microsoft Entra 액세스 검토란?
- Microsoft Entra 권한 관리의 일반적인 시나리오
- Microsoft Entra 권한 관리에서 외부 사용자에 대한 액세스 제어
- 조직의 사용자에 대한 액세스 제어
- 팀의 게스트와 공동 작업
- 게스트 액세스 및 외부 액세스를 사용하여 조직 외부 사용자와 공동 작업
- 조직 외부 사용자와 공동 작업
- 조건부 액세스란?