외부 테넌트에서 기본 사용자 권한
외부 구성의 Microsoft Entra 테넌트는 Microsoft Entra 외부 ID 시나리오에만 사용됩니다. 외부 테넌트는 회사 인력 디렉터리와 고객 관련 앱 디렉터리 간에 명확한 분리를 제공합니다. 또한 외부 테넌트에서 만든 사용자는 외부 테넌트에 있는 다른 사용자에 대한 정보에 액세스할 수 없습니다. 기본적으로 고객은 다른 사용자, 그룹 또는 디바이스에 대한 정보에 액세스할 수 없습니다.
외부 테넌트에는 다음 사용자 유형이 포함될 수 있습니다.
외부 사용자는 외부 테넌트에 등록된 앱의 소비자 및 비즈니스 고객입니다. 로컬 계정이 있지만 외부에서 인증합니다. 외부 사용자는 기본 사용자 권한으로 제한되며 역할을 할당할 수 없습니다. 일반적으로 셀프 서비스 등록을 통해 만들어지지만 Microsoft Entra 관리 센터 또는 Microsoft Graph에서 새 외부 사용자 만들기 옵션을 사용하여 만들 수 있습니다.
내부 사용자는 내부적으로 인증하고 외부 테넌트에서 Microsoft Entra 역할을 할당한 사용자(일반적으로 관리자)입니다. 역할을 할당하지 않으면 기본 사용자 권한이 있습니다. 관리 센터 또는 Microsoft Graph에서 새 사용자 만들기 옵션을 사용하여 내부 사용자를 만들 수 있습니다.
초대된 사용자는 자신의 외부 자격 증명으로 로그인하고 외부 테넌트에서 Microsoft Entra 역할을 할당한 사용자(일반적으로 관리자)입니다. 역할을 할당하지 않으면 기본 사용자 권한이 있습니다. 관리 센터 또는 Microsoft Graph에서 외부 사용자 초대 옵션을 사용하여 사용자를 초대할 수 있습니다.
기본 권한
다음 표에서는 외부 테넌트 고객의 사용자에게 할당된 기본 사용 권한을 설명합니다.
- 셀프 서비스 등록을 사용하는 사용자
- 관리자가 만든 사용자
- 초대된 사용자
| 영역 | 고객 사용자 권한 |
|---|---|
| 사용자 및 연락처 | - 앱 프로필 관리 환경을 통해 자신의 프로필 읽기 및 업데이트 - 자신의 암호 변경 - 로컬 또는 소셜 계정으로 로그인합니다 |
| 애플리케이션 | - 애플리케이션 액세스 - 애플리케이션에 대한 동의를 철회합니다 |
Microsoft Graph API 및 권한
다음 표는 고객이 프로필 정보를 관리할 수 있도록 하는 API 작업을 나타냅니다. 사용자 ID 또는 userPrincipalName은 항상 로그인한 사용자입니다.
| 사용자 작업 | API 작업 | 필수 사용 권한 |
|---|---|---|
| 프로필 읽기 | GET /me 또는 GET /users/{id 또는 userPrincipalName} | User.Read |
| 프로필 업데이트 | PATCH /me 또는 PATCH /users/{id 또는 userPrincipalName} 다음 속성을 업데이트할 수 있습니다. city, country, displayName, givenName, jobTitle, postalCode, state, streetAddress, surname 및 preferredLanguage |
User.ReadWrite |
| 암호 변경 | POST /me/changePassword | Directory.AccessAsUser.All |