이 문서는 10개의 문서 중 5번째 문서입니다. 문서를 순서대로 검토하는 것이 좋습니다. 전체 시리즈를 보려면 다음 단계 섹션으로 이동합니다.
협업 제어
사용자가 협업할 수 있는 조직(인바운드 및 아웃바운드)과 조직 내에서 게스트를 초대할 수 있는 사용자를 제한할 수 있습니다. 대부분의 조직은 사업부가 협업을 결정하고 승인 및 감독을 위임할 수 있도록 허용합니다. 예를 들어 정부, 교육 및 재무 조직은 공개 협업을 허용하지 않는 경우가 많습니다. Microsoft Entra 기능을 사용하여 협업을 제어할 수 있습니다.
테넌트 액세스를 제어하려면 다음 솔루션 중 하나 이상을 배포합니다.
외부 협업 설정 – 초대가 이동하는 메일 도메인 제한
테넌트 간 액세스 설정 – 사용자, 그룹 또는 테넌트별로 게스트의 애플리케이션 액세스를 제어합니다(인바운드). 사용자(아웃바운드)에 대한 외부 Microsoft Entra 테넌트 및 애플리케이션 액세스를 제어합니다.
연결된 조직 – 권한 관리에서 액세스 패키지를 요청할 수 있는 조직 결정
협업 파트너 확인하기
필요한 경우 협업을 하는 조직 및 조직 사용자의 도메인을 문서화합니다. 도메인 기반 제한은 실용적이지 않을 수 있습니다. 한 협업 파트너가 여러 도메인을 가질 수 있으며 파트너가 도메인을 추가할 수 있습니다. 예를 들어 여러 사업부, 별도의 여러 도메인이 있는 파트너는 동기화를 구성할 때 더 많은 도메인을 추가할 수 있습니다.
사용자가 Microsoft Entra B2B를 사용하는 경우 로그인 로그, PowerShell 또는 통합 문서를 통해 공동 작업 중인 외부 Microsoft Entra 테넌트를 발견할 수 있습니다. 자세히 보기:
협업 설정이 매우 제한적이면 사용자가 협업 프레임워크를 벗어날 수 있습니다. 보안 요구 사항에서 허용하는 광범위한 협업을 사용하도록 설정하는 것이 좋습니다.
하나의 도메인으로 제한하면 관련 없는 다른 도메인이 있는 조직과의 권한 있는 협업을 방지할 수 있습니다. 예를 들어 Contoso와의 초기 연락 담당자는 .com 도메인이 있는 메일을 보유하는 미국에 있는 직원일 수 있습니다. 그러나 .com 도메인만 허용하면 .ca 도메인을 보유하는 캐나다 직원을 실수로 생략할 수 있습니다.
일부 사용자에 대해 특정 협업 파트너를 허용할 수 있습니다. 예를 들어 대학에서 학생 계정이 외부 테넌트에 액세스하지 못하도록 제한하지만 교직원은 외부 조직과 협업할 수 있도록 허용할 수 있습니다.
외부 협업 설정을 사용하는 허용 목록 및 차단 목록
조직에 대해 허용 목록 또는 차단 목록을 사용할 수 있습니다. 허용 목록 또는 차단 목록 중 하나만 사용할 수 있습니다.
허용 목록 및 차단 목록은 디렉터리의 사용자에게 적용되지 않습니다. 기본적으로 비즈니스용 OneDrive 및 SharePoint 허용 목록 또는 차단 목록에는 적용되지 않으며 이러한 목록은 별개입니다. 그러나 SharePoint-OneDrive B2B 통합을 사용하도록 설정할 수 있습니다.
일부 조직에는 관리형 보안 공급자의 잘못된 행위자 도메인 차단 목록이 있습니다. 예를 들어 조직이 Contoso와 비즈니스를 수행하고 .com 도메인을 사용하는 경우 관련 없는 조직은 .org 도메인을 사용하고 피싱 공격을 시도할 수 있습니다.
테넌트 간 액세스 설정
테넌트 간 액세스 설정을 사용하여 인바운드 및 아웃바운드 액세스를 제어할 수 있습니다. 또한 다단계 인증, 규격 디바이스, 외부 Microsoft Entra 테넌트의 HAAJD(Microsoft Entra 하이브리드 조인 디바이스) 클레임을 신뢰할 수 있습니다. 조직 정책을 구성하면 Microsoft Entra 테넌트에 적용되며 도메인 접미사에 관계없이 해당 테넌트의 사용자에게 적용됩니다.
21Vianet에서 운영하는 Microsoft Azure 또는 Azure Government와 같은 Microsoft 클라우드 전반에서 협업을 사용하도록 설정할 수 있습니다. 협업 파트너가 다른 Microsoft Cloud에 상주하는지 확인합니다.
특정 테넌트(허용 목록)에 대한 인바운드 액세스를 허용하고 액세스를 차단하도록 기본 정책을 설정할 수 있습니다. 그런 다음, 사용자, 그룹 또는 애플리케이션의 액세스를 허용하는 조직 정책을 만듭니다.
테넌트에 대한 액세스를 차단할 수 있습니다(차단 목록). 기본 정책을 허용으로 설정한 다음, 일부 테넌트 액세스를 차단하는 조직 정책을 만듭니다.
참고
테넌트 간 액세스 설정, 인바운드 액세스는 사용자가 초대를 보내는 것을 방지하거나 초대가 사용되지 못하게 하지는 않습니다. 그러나 애플리케이션 액세스를 제어하고 토큰이 게스트 사용자에게 발급되는지 여부를 제어합니다. 게스트가 초대를 사용할 수 있는 경우 정책은 애플리케이션 액세스를 차단합니다.
외부 조직 사용자의 액세스를 제어하려면 인바운드 액세스와 유사하게 아웃바운드 액세스 정책(허용 목록 및 차단 목록)을 구성합니다. 기본 및 조직별 정책을 구성합니다.
Microsoft Entra B2B를 사용하도록 설정하면 링크와 이메일 초대를 통해 게스트 사용자를 초대할 수 있습니다. 셀프 서비스 등록 및 내 액세스 포털에 액세스 패키지 게시를 수행하려면 더 많은 구성이 필요합니다.
참고
셀프 서비스 등록은 외부 협업 설정에서 허용 목록 또는 차단 목록을 적용하지 않습니다. 대신 테넌트 간 액세스 설정을 사용합니다. 사용자 지정 API 커넥터를 사용하여 허용 목록 및 차단 목록을 셀프 서비스 등록과 통합할 수 있습니다. 사용자 흐름에 API 커넥터 추가를 참조하세요.
보안 요구 사항이 허용하는 경우 모든 멤버 UserType이 게스트를 초대하도록 허용합니다.
게스트 UserType이 게스트를 초대할 수 있는지 확인
게스트는 기본 Microsoft Entra B2B 사용자 계정입니다.
외부 사용자 정보
Microsoft Entra 권한 관리를 사용하여 외부 사용자가 대답하는 질문을 구성합니다. 이러한 질문은 승인자가 결정을 내리는 데 도움을 주기 위해 제시됩니다. 승인자가 승인하는 액세스에 대한 관련 정보를 알 수 있도록 각 액세스 패키지 정책에 대한 질문 집합을 구성할 수 있습니다. 예를 들어 공급업체에 공급업체 계약 번호를 요청합니다.
셀프 서비스 포털을 사용하는 경우 API 커넥터를 사용하여 등록하는 동안 사용자 특성을 수집합니다. 특성을 사용하여 액세스 권한을 할당합니다. Azure Portal에 사용자 지정 특성을 만들고 셀프 서비스 등록 사용자 흐름에서 사용할 수 있습니다. 또한 Microsoft Graph API를 사용하여 이러한 특성을 읽고 씁니다.
Microsoft Entra B2B를 사용하지 않는 경우 테넌트에 직원이 아닌 사용자가 있을 가능성이 높습니다. 이러한 계정을 Microsoft Entra B2B 외부 사용자 계정으로 전환한 다음 해당 UserType을 Guest로 변경하는 것이 좋습니다. 외부 사용자를 처리하려면 Microsoft Entra ID와 Microsoft 365를 사용합니다.
다음을 포함하거나 제외합니다.
조건부 액세스 정책의 게스트 사용자
액세스 패키지 및 액세스 검토의 게스트 사용자
Microsoft Teams, SharePoint 및 기타 리소스에 대한 외부 액세스
이러한 내부 사용자의 현재 액세스, UPN(사용자 계정 이름) 및 그룹 멤버 자격을 유지하면서 전환할 수 있습니다.
일부 사용자는 Google Docs, Dropbox, Slack 또는 Zoom을 사용할 수 있습니다. 해당 도구를 회사 네트워크에서 사용하지 못하도록 방화벽 수준에서 차단할 수 있으며 조직 관리 디바이스를 위한 모바일 애플리케이션 관리를 사용하여 차단할 수도 있습니다. 그러나 이 작업은 승인된 인스턴스를 차단하며, 비관리형 디바이스의 액세스는 차단하지 않습니다. 원치 않는 도구를 차단하고 미승인 사용에 대한 정책을 만듭니다.