Share via


B2B 직접 연결 개요

B2B 직접 연결은 원활한 협업을 위해 다른 Microsoft Entra 조직과 상호 신뢰 관계를 설정할 수 있는 Microsoft Entra External ID의 기능입니다. 이 기능은 현재 Microsoft Teams 공유 채널에서 작동합니다. B2B 직접 연결을 사용하면 두 조직의 사용자가 서로의 조직에 게스트로 추가하지 않고도 홈 자격 증명과 Teams의 공유 채널을 사용하여 함께 작업할 수 있습니다. B2B 직접 연결을 사용하여 외부 Microsoft Entra 조직과 리소스를 공유할 수 있습니다. 또는 B2B 직접 연결을 사용하여 조직 내 여러 Microsoft Entra 테넌트 간에 리소스를 공유할 수 있습니다.

B2B 직접 연결을 보여 주는 다이어그램

B2B 직접 연결을 사용하려면 서로 리소스에 액세스할 수 있도록 두 Microsoft Entra 조직 간에 상호 신뢰 관계가 필요합니다. 리소스 조직과 외부 조직 모두 테넌트 간 액세스 설정에서 B2B 직접 연결을 상호 사용하도록 설정해야 합니다. 신뢰가 설정되면 B2B 직접 연결 사용자는 홈 Microsoft Entra 조직의 자격 증명을 사용하여 조직 외부의 리소스에 Single Sign-On 액세스가 가능합니다.

현재 B2B 직접 연결 기능은 Teams 공유 채널에서 작동합니다. 두 조직 간에 B2B 직접 연결이 설정되면 한 조직의 사용자가 Teams에서 공유 채널을 만들고 외부 B2B 직접 연결 사용자를 초대할 수 있습니다. 그런 다음 Teams 내에서 B2B 직접 연결 사용자는 공유 채널을 호스팅하는 조직에 수동으로 로그인하지 않고도 홈 테넌트 Teams 인스턴스의 공유 채널에 원활하게 액세스할 수 있습니다.

B2B 직접 연결 사용자와 관련된 라이선스 및 가격 책정 정보는 Microsoft Entra 외부 ID 가격 책정을 참조하세요.

B2B 직접 연결을 위한 테넌트 간 액세스 관리

Microsoft Entra 조직은 인바운드 및 아웃바운드 테넌트 간 액세스 설정을 정의하여 다른 Microsoft Entra 조직과의 신뢰 관계를 관리할 수 있습니다. 테넌트 간 액세스 설정을 사용하면 다른 조직이 사용자와 협업하는 방식(인바운드 액세스) 및 사용자가 다른 조직과 협업하는 방식(아웃바운드 액세스)을 세부적으로 제어할 수 있습니다.

  • 인바운드 액세스 설정은 외부 조직의 사용자가 조직의 리소스에 액세스할 수 있는지 여부를 제어합니다. 이러한 설정을 모든 사용자에게 적용하거나 개별 사용자, 그룹 및 애플리케이션을 지정할 수 있습니다.

  • 아웃바운드 액세스 설정은 사용자가 외부 조직의 리소스에 액세스할 수 있는지 여부를 제어합니다. 이러한 설정을 모든 사용자에게 적용하거나 개별 사용자, 그룹 및 애플리케이션을 지정할 수 있습니다.

  • 테넌트 제한은 사용자가 사용자의 디바이스와 네트워크를 사용할 때 외부 조직에 액세스할 수 있는 방법을 결정하지만 외부 조직에서 발급한 계정을 사용하여 로그인합니다.

  • 신뢰 설정 은 조건부 액세스 정책이 사용자가 리소스에 액세스할 때 외부 조직의 MFA(다단계 인증), 규격 디바이스 및 Microsoft Entra 하이브리드 조인 디바이스 클레임을 신뢰할지 여부를 결정합니다.

Important

B2B 직접 연결은 양 기관이 다른 기관과의 액세스를 허용한 경우에만 가능합니다. 예를 들어 Contoso는 Fabrikam에서 인바운드 B2B 직접 연결을 허용할 수 있지만 Fabrikam에서 Contoso와의 아웃바운드 B2B 직접 연결도 사용하도록 설정해야 공유할 수 있습니다. 따라서 외부 조직의 관리자와 협력하여 해당 조직의 테넌트 간 액세스 설정이 공유를 허용하는지 확인해야 합니다. B2B 직접 연결을 사용하면 B2B 직접 연결에 대해 사용하도록 설정한 사용자에 대한 제한된 데이터 공유가 가능하기 때문에 이 상호 계약은 중요합니다.

기본 설정

기본 테넌트 간 액세스 설정은 개별 설정을 구성한 조직을 제외한 모든 외부 Microsoft Entra 조직에 적용됩니다. 처음에는 Microsoft Entra ID가 기본적으로 모든 외부 Microsoft Entra 테넌트의 모든 인바운드 및 아웃바운드 B2B 직접 연결 기능을 차단합니다. 이러한 기본 설정을 변경할 수 있지만 일반적으로 그대로 두고 개별 조직과의 B2B 직접 연결 액세스를 사용하도록 설정합니다.

조직별 설정

조직을 추가하고 테넌트 간 액세스 설정을 수정하여 조직별 설정을 구성할 수 있습니다. 그러면 이러한 설정이 이 조직의 기본 설정보다 우선 적용됩니다.

예 1: Fabrikam과 B2B 직접 연결 허용 및 다른 모든 차단

이 예에서 Contoso는 기본적으로 모든 외부 조직과의 B2B 직접 연결을 차단하지만 Fabrikam의 모든 사용자, 그룹 및 앱에 대해서는 B2B 직접 연결을 허용하려고 합니다.

기본적으로 B2B 직접 연결을 차단하지만 조직을 허용하는 예제입니다.

Contoso는 테넌트 간 액세스에 대해 다음 기본 설정을 설정합니다.

  • 모든 외부 사용자 및 그룹에 대해 B2B 직접 연결에 대한 인바운드 액세스를 차단합니다.
  • 모든 Contoso 사용자 및 그룹에 대해 B2B 직접 연결에 대한 아웃바운드 액세스를 차단합니다.

그런 다음 Contoso는 Fabrikam 조직을 추가하고 Fabrikam에 대해 다음 조직 설정을 구성합니다.

  • 모든 Fabrikam 사용자 및 그룹에 대해 B2B 직접 연결에 대한 인바운드 액세스를 허용합니다.
  • Fabrikam B2B 직접 연결 사용자가 모든 내부 Contoso 애플리케이션에 대한 인바운드 액세스를 허용합니다.
  • 모든 Contoso 사용자를 허용하거나 B2B 직접 연결을 사용하여 Fabrikam에 대한 아웃바운드 액세스 권한을 갖도록 사용자 및 그룹을 선택합니다.
  • Contoso B2B 직접 연결 사용자가 모든 Fabrikam 애플리케이션에 대한 아웃바운드 액세스 권한을 갖도록 허용합니다.

이 시나리오가 작동하려면 Fabrikam이 Contoso와 자체 사용자 및 애플리케이션에 대해 동일한 테넌트 간 액세스 설정을 구성하여 Contoso와의 B2B 직접 연결을 허용해야 합니다. 구성이 완료되면 Teams 공유 채널을 관리하는 Contoso 사용자가 전체 Fabrikam 이메일 주소를 검색하여 Fabrikam 사용자를 추가할 수 있습니다.

예 2: Fabrikam의 마케팅 그룹과만 B2B 직접 연결 사용

위의 예부터 Contoso는 Fabrikam 마케팅 그룹만 B2B 직접 연결을 통해 Contoso의 사용자와 공동 작업할 수 있도록 선택할 수도 있습니다. 이 경우 Contoso는 Fabrikam에서 마케팅 그룹의 개체 ID를 가져와야 합니다. 그런 다음 모든 Fabrikam 사용자에게 인바운드 액세스를 허용하는 대신 다음과 같이 Fabrikam 관련 액세스 설정을 구성합니다.

  • Fabrikam의 마케팅 그룹에 대해서만 B2B 직접 연결에 대한 인바운드 액세스를 허용합니다. Contoso는 허용된 사용자 및 그룹 목록에서 Fabrikam의 마케팅 그룹 개체 ID를 지정합니다.
  • Fabrikam B2B 직접 연결 사용자가 모든 내부 Contoso 애플리케이션에 대한 인바운드 액세스를 허용합니다.
  • 모든 Contoso 사용자 및 그룹이 B2B 직접 연결을 사용하여 Fabrikam에 대한 아웃바운드 액세스 권한을 갖도록 허용합니다.
  • Contoso B2B 직접 연결 사용자가 모든 Fabrikam 애플리케이션에 대한 아웃바운드 액세스 권한을 갖도록 허용합니다.

또한 Fabrikam은 마케팅 그룹이 B2B 직접 연결을 통해 Contoso와 공동 작업할 수 있도록 아웃바운드 테넌트 간 액세스 설정을 구성해야 합니다. 구성이 완료되면 Teams 공유 채널을 관리하는 Contoso 사용자가 전체 Fabrikam 이메일 주소를 검색하여 Fabrikam Marketing 그룹 사용자만 추가할 수 있습니다.

인증

B2B 직접 연결 시나리오에서는 인증할 때 Microsoft Entra 조직(사용자의 홈 테넌트)의 사용자가 다른 Microsoft Entra 조직(리소스 테넌트)의 파일 또는 앱에 로그인을 시도하게 됩니다. 사용자는 홈 테넌트의 Microsoft Entra 자격 증명을 사용하여 로그인합니다. 로그인 시도는 사용자의 홈 테넌트와 리소스 테넌트 모두의 테넌트 간 액세스 설정에 대해 평가됩니다. 모든 액세스 요구 사항이 충족되면 사용자가 리소스에 액세스할 수 있도록 허용하는 토큰이 사용자에게 발급됩니다. 이 토큰은 1시간 동안 유효합니다.

조건부 액세스 정책이 있는 테넌트 간 시나리오에서 인증이 작동하는 방식에 대한 자세한 내용은 테넌트 간 시나리오의 인증 및 조건부 액세스를 참조하세요.

MFA(다단계 인증)

외부 조직과 B2B 직접 연결을 허용하고 조건부 액세스 정책에 MFA가 필요한 경우 조건부 액세스가 허용되도록 인바운드 신뢰 설정반드시 구성해야 합니다. 정책은 외부 조직의 MFA 클레임을 수락합니다. 이 구성은 외부 조직의 B2B 직접 연결 사용자가 조건부 액세스 정책을 준수하도록 하고 보다 원활한 사용자 환경을 제공합니다.

예를 들어 Contoso(리소스 테넌트)가 Fabrikam의 MFA 클레임을 신뢰한다고 가정해 보겠습니다. Contoso에는 MFA가 필요한 조건부 액세스 정책이 있습니다. 이 정책의 범위는 모든 게스트, 외부 사용자 및 SharePoint Online입니다. B2B 직접 연결의 필수 조건으로 Contoso는 Fabrikam의 MFA 클레임을 수락하도록 테넌트 간 액세스 설정에서 신뢰 설정을 구성해야 합니다. Fabrikam 사용자가 B2B 직접 연결 지원 앱(예: Teams Connect 공유 채널)에 액세스하는 경우 사용자는 Contoso에서 적용하는 MFA 요구 사항의 적용을 받습니다.

  • Fabrikam 사용자가 홈 테넌트에서 이미 MFA를 수행한 경우 공유 채널 내의 리소스에 액세스할 수 있습니다.
  • Fabrikam 사용자가 MFA를 완료하지 않은 경우 리소스 액세스가 차단됩니다.

조건부 액세스 및 Teams에 대한 자세한 내용은 Microsoft Teams 설명서에서 보안 및 규정 준수 개요를 참조하세요.

디바이스 규정 준수를 위한 신뢰 설정

테넌트 간 액세스 설정에서 신뢰 설정을 사용하여 사용자의 디바이스가 디바이스 규정 준수 정책을 충족하는지 또는 Microsoft Entra 하이브리드 조인되었는지에 대한 외부 사용자 홈 테넌트의 클레임을 신뢰할 수 있습니다. 디바이스 트러스트 설정을 사용하도록 설정하면 Microsoft Entra ID는 사용자의 인증 세션에서 디바이스 클레임을 확인합니다. 사용자의 홈 테넌트에서 정책이 이미 충족되었음을 나타내는 디바이스 클레임이 세션에 포함된 경우 해당 외부 사용자에게 공유 리소스에 대한 원활한 로그온이 허용됩니다. 모든 Microsoft Entra 조직 또는 개별 조직의 디바이스 트러스트 설정을 사용하도록 설정할 수 있습니다. (자세한 정보)

B2B 직접 연결 사용자 환경

현재 B2B 직접 연결은 Teams Connect 공유 채널 기능을 사용하도록 설정합니다. B2B 직접 연결 사용자는 테넌트를 전환하거나 다른 계정으로 로그인하지 않고도 외부 조직의 Teams 공유 채널에 액세스할 수 있습니다. B2B 직접 연결 사용자의 액세스는 공유 채널의 정책에 따라 결정됩니다.

리소스 조직에서 Teams 공유 채널 소유자는 Teams 내에서 외부 조직의 사용자를 검색하여 공유 채널에 추가할 수 있습니다. 추가된 후 B2B 직접 연결 사용자는 Teams의 홈 인스턴스 내에서 공유 채널에 액세스할 수 있으며 여기에서 채팅, 통화, 파일 공유 및 앱 공유와 같은 기능을 사용하여 공동 작업을 수행할 수 있습니다. 자세한 내용은 Microsoft Teams의 팀 및 채널 개요를 참조하세요. Teams 공유 채널을 통해 B2B 직접 연결 사용자가 사용할 수 있는 리소스, 파일 및 애플리케이션에 대한 자세한 내용은 Microsoft Teams의 채팅, 팀, 채널 및 앱을 참조하세요.

사용자 액세스 및 관리

B2B 직접 연결 사용자는 두 조직 간의 상호 연결을 통해 협업하는 반면 B2B Collaboration 사용자는 조직에 초대되어 사용자 개체를 통해 관리됩니다.

  • B2B 직접 연결은 두 조직의 관리자가 구성한 상호 양방향 연결을 통해 다른 Microsoft Entra 조직의 사용자와 협업하는 방법을 제공합니다. 사용자는 B2B 직접 연결 지원 Microsoft 애플리케이션에 대한 Single Sign-On 액세스 권한을 갖습니다. 현재 B2B 직접 연결은 Teams Connect 공유 채널을 지원합니다.

  • B2B Collaboration을 통해 외부 파트너를 초대하여 Microsoft, SaaS 또는 사용자 지정 개발 앱에 액세스할 수 있습니다. B2B 협업은 외부 파트너가 Microsoft Entra ID를 사용하지 않거나 B2B 직접 연결을 설정하는 것이 실용적이지 않거나 불가능할 때 특히 유용합니다. B2B 협업을 통해 외부 사용자는 Microsoft Entra 계정, 소비자 Microsoft 계정 또는 Google과 같이 직접 사용하도록 설정하는 소셜 ID를 비롯한 기본 ID를 사용하여 로그인할 수 있습니다. B2B Collaboration을 통해 외부 사용자가 Microsoft 애플리케이션, SaaS 앱, 사용자 지정 개발 앱 등에 로그인하도록 할 수 있습니다.

B2B 직접 연결과 B2B Collaboration과 함께 Teams 사용

Teams의 컨텍스트 내에서 B2B 직접 연결을 사용하는 사람과 협업하는지 B2B Collaboration을 사용하는지에 따라 리소스를 공유할 수 있는 방법에 차이가 있습니다.

  • B2B 직접 연결을 사용하면 팀 내의 공유 채널에 외부 사용자를 추가할 수 있습니다. 이 사용자는 공유 채널 내의 리소스에 액세스할 수 있지만 전체 팀 또는 공유 채널 외부의 다른 리소스에 액세스할 수 없습니다. 예를 들어, Azure Portal에 액세스할 수 없습니다. 그러나 내 앱 포털에 액세스할 수 있습니다. B2B 직접 연결 사용자는 Microsoft Entra 조직에 존재하지 않으므로, 공유 채널 소유자가 Teams 클라이언트에서 관리합니다. 자세한 내용은 Microsoft Teams에서 팀 소유자 및 멤버 할당을 참조하세요.

  • B2B Collaboration을 통해 게스트 사용자를 팀에 초대할 수 있습니다. B2B Collaboration 게스트 사용자는 초대하는 데 사용된 이메일 주소를 사용하여 리소스 테넌트에 로그인합니다. 액세스 권한은 리소스 테넌트의 게스트 사용자에게 할당된 권한에 따라 결정됩니다. 게스트 사용자는 팀의 공유 채널을 보거나 참여할 수 없습니다.

Teams의 B2B Collaboration과 B2B 직접 연결 간의 차이점에 대한 자세한 내용은 Microsoft Teams의 게스트 액세스를 참조하세요.

모니터링 및 감사

B2B 직접 연결 작업 모니터링 및 감사에 대한 보고는 Azure Portal과 Microsoft Teams 관리 센터에서 모두 사용할 수 있습니다.

Microsoft Entra 모니터링 및 감사 로그

Microsoft Entra ID에는 조직의 감사 로그 및 로그인 로그에 테넌트 간 액세스 및 B2B 직접 연결에 대한 정보를 포함하고 있습니다. 이러한 로그는 Azure Portal의 모니터링에서 볼 수 있습니다.

  • Microsoft Entra 감사 로그: Microsoft Entra 감사 로그는 인바운드 및 아웃바운드 정책이 생성, 업데이트 또는 삭제된 시간을 보여줍니다.

    감사 로그를 보여 주는 스크린샷

  • Microsoft Entra 로그인 로그 Microsoft Entra 로그인 로그는 홈 조직과 리소스 조직 모두에서 사용할 수 있습니다. B2B 직접 연결이 사용하도록 설정되면 다른 테넌트의 B2B 직접 연결 사용자에 대한 사용자 개체 ID를 포함하는 로그인 로그가 시작됩니다. 각 조직에서 보고되는 정보는 다음과 같이 다양합니다.

    • 두 조직 모두에서 B2B 직접 연결 로그인은 B2B 직접 연결의 테넌트 간 액세스 유형으로 레이블이 지정됩니다. 로그인 이벤트는 B2B 직접 연결 사용자가 리소스 조직에 처음 액세스할 때 기록되고 사용자에 대해 새로 고침 토큰이 발급될 때 다시 기록됩니다. 사용자는 자신의 로그인 로그에 액세스할 수 있습니다. 관리자는 전체 조직의 로그인을 보고 B2B 직접 연결 사용자가 테넌트의 리소스에 액세스하는 방법을 확인할 수 있습니다.

    • 홈 조직에서 로그에는 클라이언트 애플리케이션 정보가 포함됩니다.

    • 리소스 조직에서 로그에는 조건부 액세스 탭의 conditionalAccessPolicies가 포함됩니다.

    로그인 로그를 보여 주는 스크린샷

  • Microsoft Entra 액세스 검토: Microsoft Entra 액세스 검토를 통해 테넌트 관리자는 외부 사용자에 대한 일회성 또는 반복적인 액세스 검토를 구성하여 외부 게스트 사용자가 앱과 리소스에 필요 이상으로 오래 액세스하지 못하게 할 수 있습니다. 액세스 검토에 대해 자세히 알아보기.

Microsoft Teams 모니터링 및 감사 로그

Microsoft Teams 관리 센터는 각 Teams의 외부 B2B 직접 연결 멤버를 포함하여 공유 채널에 대한 보고를 표시합니다.

  • Teams 감사 로그: Teams는 공유 채널을 호스팅하는 테넌트에서 다음 감사 이벤트를 지원합니다. 공유 채널 수명 주기(채널 만들기/삭제), 테넌트 내/테넌트 간 멤버 수명 주기(멤버 추가/제거/승격 /강등). 이러한 감사 로그는 리소스 테넌트에서 사용할 수 있으므로 관리자는 Teams 공유 채널에 대한 액세스 권한이 있는 사람을 결정할 수 있습니다. 외부 공유 채널에서의 작업과 관련된 외부 사용자의 홈 테넌트에는 감사 로그가 없습니다.

  • Teams 액세스 검토: Teams인 Groups의 액세스 검토는 이제 Teams 공유 채널을 사용하는 B2B 직접 연결 사용자를 검색할 수 있습니다. 액세스 검토를 작성할 때 공유 채널에 직접 추가된 모든 내부 사용자, 게스트 사용자 및 외부 B2B 직접 연결 사용자로 검토 범위를 지정할 수 있습니다. 그러면 검토자에게 공유 채널에 직접 액세스할 수 있는 사용자가 표시됩니다.

  • 현재 제한 사항: 액세스 검토는 내부 사용자 및 외부 B2B 직접 연결 사용자를 검색할 수 있지만 공유 채널에 추가된 다른 팀은 검색할 수 없습니다. 공유 채널에 추가된 팀을 보고 제거하기 위해 공유 채널 소유자는 Teams 내에서 멤버 자격을 관리할 수 있습니다.

Microsoft Teams 감사 로그에 대한 자세한 내용은 Microsoft Teams 감사 설명서를 참조하세요.

개인 정보 및 데이터 처리

B2B 직접 연결을 사용하면 사용자 및 그룹이 외부 조직에서 호스팅하는 앱 및 리소스에 액세스할 수 있습니다. 연결을 설정하려면 외부 조직의 관리자도 B2B 직접 연결을 사용하도록 설정해야 합니다.

외부 조직과의 B2B 연결을 사용하도록 설정하면 아웃바운드 설정을 사용하도록 설정한 외부 조직이 사용자에 대한 제한된 연락처 데이터에 액세스할 수 있습니다. Microsoft는 이 데이터를 해당 조직과 공유하여 사용자와 연결하기 위한 요청을 보낼 수 있도록 합니다. 제한된 연락처 데이터를 포함하여 외부 조직에서 수집한 데이터에는 해당 조직의 개인 정보 보호 정책 및 사례가 적용됩니다.

아웃바운드 액세스

외부 조직과 B2B 직접 연결이 사용하도록 설정되면 외부 조직의 사용자는 전체 이메일 주소로 사용자를 검색할 수 있습니다. 일치하는 검색 결과는 이름 및 가족 이름을 포함하여 사용자에 대한 제한된 데이터를 반환합니다. 사용자는 더 많은 데이터를 공유하기 전에 외부 조직의 개인 정보 보호 정책에 동의해야 합니다. 조직에서 제공하고 사용자에게 제공할 개인 정보를 검토하는 것이 좋습니다.

인바운드 액세스

내부 직원 및 외부 게스트가 정책을 검토할 수 있도록 전역 개인 정보 연락처 및 조직의 개인정보처리방침을 모두 추가하는 것을 권장합니다. 단계에 따라 조직의 개인 정보를 추가합니다.

사용자 및 그룹에 대한 액세스 제한

조직 및 외부 조직 내의 특정 사용자 및 그룹에 대한 B2B 직접 연결을 제한하기 위해 테넌트 간 액세스 설정을 사용하는 것을 고려할 수 있습니다.

다음 단계