인력 및 외부 테넌트에서 지원되는 기능
조직에서 테넌트를 사용하려는 방법과 관리하려는 리소스에 따라 Microsoft Entra 테넌트를 구성하는 방법에는 두 가지가 있습니다.
- 직원 테넌트 구성은 직원, 내부 비즈니스 앱 및 기타 조직 리소스를 위한 것입니다. B2B 협업은 직원 테넌트에서 외부 비즈니스 파트너 및 게스트와 공동 작업하는 데 사용됩니다.
- 외부 테넌트 구성은 소비자 또는 비즈니스 고객에게 앱을 게시하려는 외부 ID 시나리오에만 사용됩니다.
이 문서에서는 인력 및 외부 테넌트에서 사용할 수 있는 기능과 기능에 대한 자세한 비교를 제공합니다.
Important
외부 테넌트에서 Microsoft Entra 외부 ID 현재 미리 보기로 제공됩니다. 베타, 미리 보기 또는 일반 공급되지 않는 Azure 기능 및 서비스에 적용되는 유니버설 사용 조건은 온라인 서비스에 대한 유니버설 사용 조건을 참조하세요.
참고 항목
미리 보기 중에는 프리미엄 라이선스가 필요한 기능이나 기능을 외부 테넌트에서 사용할 수 없습니다.
일반 기능 비교
다음 표에서는 인력 및 외부 테넌트에서 사용할 수 있는 일반적인 기능과 기능을 비교합니다.
| 기능 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| 외부 ID 시나리오 | 비즈니스 파트너 및 기타 외부 사용자가 인력과 공동 작업할 수 있도록 허용합니다. 게스트는 초대 또는 셀프 서비스 등록을 통해 비즈니스 애플리케이션에 안전하게 액세스할 수 있습니다. | 외부 ID를 사용하여 애플리케이션을 보호합니다. 소비자 및 비즈니스 고객은 셀프 서비스 등록을 통해 소비자 앱에 안전하게 액세스할 수 있습니다. 초대도 지원됩니다(미리 보기). |
| 로컬 계정 | 로컬 계정은 조직의 내부 구성원에 대해서만 지원됩니다. | 로컬 계정은 셀프 서비스 등록을 사용하는 외부 사용자(소비자, 비즈니스 고객)에 대해 지원됩니다. - 관리자가 만든 계정입니다. |
| 외부 사용자를 위한 ID 공급자 | 셀프 서비스 등록 게스트: - Microsoft Entra 계정 - Microsoft 계정 - 이메일 일회용 암호 - Google 페더레이션 - Facebook 페더 레이션 초대된 게스트: - Microsoft Entra 계정 - Microsoft 계정 - 이메일 일회용 암호 - Google 페더레이션 - SAML/WS-Fed 페더레이션 |
셀프 서비스 등록 사용자(소비자, 비즈니스 고객): - 암호- 로 전자 메일 전자 메일 일회용 암호 - Google 페더레이션 Facebook 페더레이션 - |
| 인증 방법 | - 내부 사용자(직원 및 관리자): 각 인증 방법 작동 방식 - 게스트(초대 또는 셀프 서비스 등록): 외부 사용자에 대한 인증 방법 |
셀프 서비스 등록 사용자(소비자, 비즈니스 고객): - 일회용 암호로 전자 메일 보내기 |
| Groups | 그룹은 관리 및 사용자 계정을 관리하는 데 사용할 수 있습니다. | 그룹은 관리 계정을 관리하는 데 사용할 수 있습니다. Microsoft Entra 그룹 및 애플리케이션 역할에 대한 지원은 고객 테넌트로 단계적으로 진행되고 있습니다. 최신 업데이트는 그룹 및 애플리케이션 역할 지원을 참조하세요. |
| 역할 및 관리자 | 역할 및 관리자는 관리 계정과 사용자 계정에 대해 완벽하게 지원됩니다. | 역할은 고객 계정으로는 지원되지 않습니다. 고객 계정에는 테넌트 리소스에 대한 액세스 권한이 없습니다. |
| 사용자 지정 도메인 이름 | 사용자 지정 도메인은 관리 계정에만 사용할 수 있습니다. | 현재 지원되지 않습니다. 단, 등록 페이지와 로그인 페이지에서 고객에게 보이는 URL은 중립적이고 브랜드 없는 URL입니다. 자세한 정보 |
| ID 보호 | Microsoft Entra 테넌트에 대한 지속적인 위험 검색 기능을 제공합니다. 이를 통해 조직은 ID 기반 위험을 검색, 조사 및 수정할 수 있습니다. | Microsoft Entra ID 보호 위험 검색의 하위 집합을 사용할 수 있습니다. 자세히 알아보기. |
| 사용자 지정 인증 확장 | 외부 시스템의 클레임을 추가합니다. | 외부 시스템의 클레임을 추가합니다. |
| 토큰 사용자 지정 | 사용자 특성, 사용자 지정 인증 확장(미리 보기), 클레임 변환, 보안 그룹 멤버 자격을 토큰 클레임에 추가합니다. | 사용자 특성, 사용자 지정 인증 확장 및 보안 그룹 멤버 자격을 토큰 클레임에 추가합니다.자세히 알아보세요. |
| 셀프 서비스 암호 재설정 | 사용자가 최대 두 가지 인증 방법을 사용하여 암호를 재설정할 수 있도록 허용합니다(사용 가능한 방법은 다음 행 참조). | 사용자가 일회용 암호로 이메일을 사용하여 암호를 재설정할 수 있도록 허용합니다. 자세히 알아보기. |
| 언어 사용자 지정 | 사용자가 회사 인트라넷 또는 웹 기반 애플리케이션에 인증할 때 브라우저 언어에 따라 로그인 환경을 사용자 지정합니다. | 언어를 사용하여 로그인 및 등록 프로세스 과정에서 고객에게 표시되는 문자열을 수정합니다. 자세히 알아보기. |
| 사용자 지정 특성 | 디렉터리 확장 특성을 사용하여 사용자 개체, 그룹, 테넌트 세부 정보 및 서비스 주체에 대한 Microsoft Entra 디렉터리에 더 많은 데이터를 저장합니다. | 디렉터리 확장 특성을 사용하여 사용자 개체에 대한 고객 디렉터리에 더 많은 데이터를 저장합니다. 사용자 지정 사용자 특성을 만들어서 사용자 등록 흐름에 추가합니다. 자세히 알아보기. |
ID 공급자
다음 표에서는 각 테넌트 유형에서 사용 가능한 ID 공급자를 비교합니다.
| 기능 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| 외부 사용자를 위한 ID 공급자 | 셀프 서비스 등록 게스트의 경우: - Microsoft Entra 계정 - Microsoft 계정 - 일회용 암호 이메일 - Google 페더레이션 - Facebook 페더 레이션 초대된 게스트의 경우: - Microsoft Entra 계정 - Microsoft 계정 - 이메일 일회용 암호 - Google 페더레이션 - SAML/WS-Fed 페더레이션 |
셀프 서비스 등록 사용자(소비자, 비즈니스 고객): - 전자 메일로- 전자 메일 일회용 암호 - Google 페더레이션 Facebook 페더레이션 - |
| 인증 방법 | 내부 사용자(직원 및 관리자): - 각 인증 방법이 게스트에 대해 작동하는 방식(초대 또는 셀프 서비스 등록): - 외부 사용자에 대한 인증 방법 |
셀프 서비스 등록 사용자(소비자, 비즈니스 고객): - 일회용 암호 메일 보내기 |
애플리케이션 등록
다음 표에서는 각 테넌트 유형에서 애플리케이션 등록에 사용할 수 있는 기능을 비교합니다.
| 기능 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| 프로토콜 | SAML 신뢰 당사자, OpenID Connect, OAuth2 | OpenID Connect 및 OAuth2 |
| 지원되는 계정 유형 | 다음 계정 유형은 다음과 같습니다.
|
항상 이 조직 디렉터리에서만 계정을 사용합니다 (단일 테넌트). |
| 플랫폼 | 다음 플랫폼은 다음과 같습니다.
|
인력과 동일합니다. |
| 인증>리디렉션 URI | URI Microsoft Entra ID는 사용자를 성공적으로 인증하거나 로그아웃한 후 인증 응답(토큰)을 반환할 때 대상으로 허용합니다. | 인력과 동일합니다. |
| 인증>프런트 채널 로그아웃 URL | 이 URL은 Microsoft Entra ID가 애플리케이션이 사용자의 세션 데이터를 지우도록 요청하는 요청을 보내는 위치입니다. Single Sign-Out이 제대로 작동하려면 프런트 채널 로그아웃 URL이 필요합니다. | 인력과 동일합니다. |
| 인증>암시적 권한 부여 및 하이브리드 흐름 | 권한 부여 엔드포인트에서 직접 토큰을 요청합니다. | 인력과 동일합니다. |
| 인증서 및 비밀 | 인력과 동일합니다. | |
| 토큰 구성 |
|
|
| API 권한 | 애플리케이션에 대한 사용 권한을 추가, 제거 및 대체합니다. 사용 권한이 애플리케이션에 추가된 후 사용자 또는 관리자는 새 권한에 대한 동의를 부여해야 합니다. Microsoft Entra ID에서 앱의 요청된 권한을 업데이트하는 방법에 대해 자세히 알아봅니다. | 허용되는 권한은 Microsoft Graph offline_accessopenid및 User.Read내 API 위임 권한입니다. 관리자만 조직을 대신하여 동의할 수 있습니다. |
| API 노출 | API로 보호되는 데이터 및 기능에 대한 액세스를 제한하는 사용자 지정 범위를 정의합니다. 이 API의 일부에 액세스해야 하는 애플리케이션은 사용자 또는 관리자가 이러한 범위 중 하나 이상에 동의하도록 요청할 수 있습니다. | API로 보호되는 데이터 및 기능에 대한 액세스를 제한하기 위한 사용자 지정 범위를 정의합니다. 이 API의 일부에 액세스해야 하는 애플리케이션은 이러한 범위 중 하나 이상에 대한 관리자 동의를 요청할 수 있습니다. |
| 앱 역할 | 앱 역할은 사용자 또는 앱에 권한을 할당하는 사용자 지정 역할 입니다. 애플리케이션은 앱 역할을 정의 및 게시하고 권한 부여 중에 앱 역할을 권한으로 해석합니다. | 인력과 동일합니다. 외부 테넌트에서 애플리케이션에 역할 기반 액세스 제어를 사용하는 방법에 대해 자세히 알아봅니다. |
| 소유자 | 애플리케이션 소유자는 애플리케이션 등록을 보고 편집할 수 있습니다. 또한 모든 애플리케이션을 관리할 수 있는 관리 권한이 있는 사용자(나열되지 않을 수 있는 사용자)(예: Global 관리istrator, Cloud App 관리istrator 등)는 애플리케이션 등록을 보고 편집할 수 있습니다. | 인력과 동일합니다. |
| 역할 및 관리자 | 관리이상 역할은 Microsoft Entra ID에서 권한 있는 작업에 대한 액세스 권한을 부여하는 데 사용됩니다. | 외부 테넌트의 앱에는 클라우드 애플리케이션 관리이스트레이터 역할만 사용할 수 있습니다. 이 역할은 애플리케이션 등록 및 엔터프라이즈 애플리케이션의 모든 측면을 만들고 관리하는 기능을 부여합니다. |
| 앱에 사용자 및 그룹 할당 | 사용자 할당이 필요한 경우 사용자가 직접 사용자 할당을 통해 또는 그룹 멤버 자격을 통해 애플리케이션에 할당하는 사용자만 로그인할 수 있습니다. 자세한 내용은 애플리케이션에 대한 사용자 및 그룹 할당 관리를 참조 하세요. | 사용할 수 없음 |
OpenID 커넥트 및 OAuth2 흐름
다음 표에서는 각 유형의 테넌트에서 OAuth 2.0 및 OpenID 커넥트 권한 부여 흐름에 사용할 수 있는 기능을 비교합니다.
| 기능 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| OpenID Connect | 예 | 예 |
| 인증 코드 | 예 | 예 |
| PKCE(Code Exchange)를 사용하여 권한 부여 코드 | 예 | 예 |
| 클라이언트 자격 증명 | 예 | v2.0 애플리케이션 |
| 디바이스 권한 부여 | 예 | 아니요 |
| On-Behalf-Of 흐름 | 예 | 예 |
| 암시적 부여 | 예 | 예 |
| 리소스 소유자 암호 자격 증명 | 예 | 아니요 |
OpenID 커넥트 및 OAuth2 흐름의 기관 URL
기관 URL은 MSAL이 토큰을 요청할 수 있는 디렉터리를 나타내는 URL입니다. 외부 테넌트 앱의 경우 항상 tenant-name.ciamlogin.com> 형식<을 사용합니다.
다음 JSON은 기관 URL이 있는 .NET 애플리케이션 앱 설정의 예를 보여줍니다.
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
조건부 액세스
다음 표에서는 각 테넌트 유형에서 조건부 액세스에 사용할 수 있는 기능을 비교합니다.
| 기능 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| 할당 | 사용자, 그룹 및 워크로드 ID | 모든 사용자를 포함하고 사용자 및 그룹을 제외합니다. 자세한 내용은 앱에 MFA(다단계 인증) 추가를 참조 하세요. |
| 대상 리소스 | ||
| 조건 | ||
| 부여 | 리소스에 대한 액세스 권한 부여 또는 차단 | |
| 세션 | 세션 컨트롤 | 사용할 수 없음 |
계정 관리
다음 표에서는 각 테넌트 유형에서 사용자 관리에 사용할 수 있는 기능을 비교합니다. 표에 설명된 것처럼 특정 계정 유형은 초대 또는 셀프 서비스 등록을 통해 생성됩니다. 테넌트에서 사용자 관리자는 관리 센터를 통해 계정을 만들 수도 있습니다.
| 기능 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| 계정 유형 |
|
|
| 사용자 프로필 정보 관리 | 프로그래밍 방식으로 그리고 Microsoft Entra 관리 센터를 사용하여. | 인력과 동일합니다. |
| 사용자의 암호 재설정 | 관리 암호가 잊혀지거나, 사용자가 디바이스에서 잠기거나, 사용자가 암호를 받지 않은 경우 사용자의 암호를 재설정할 수 있습니다. | 인력과 동일합니다. |
| 최근에 삭제된 사용자 복원 또는 제거 | 사용자를 삭제하면 30일 동안 계정이 일시 중단된 상태로 유지됩니다. 30일이라는 기간 동안 사용자는 모든 속성과 함께 계정을 복원할 수 있습니다. | 인력과 동일합니다. |
| 계정 사용 안 함 | 새 사용자가 로그인할 수 없도록 합니다. | 인력과 동일합니다. |
암호 보호
| 기능 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| 스마트 잠금 | 스마트 잠금 은 사용자의 암호를 추측하거나 무차별 암호 대입 방법을 사용하여 로그인하려는 잘못된 행위자를 잠그는 데 도움이 됩니다. | 인력과 동일합니다. |
| 사용자 지정 금지 암호 | Microsoft Entra 사용자 지정 금지 암호 목록을 사용하면 평가하고 차단할 특정 문자열을 추가할 수 있습니다. | 사용할 수 없음. |