내부 사용자를 B2B 협업에 초대
적용: 
인력 테넌트 
외부 테넌트(자세히 알아보기)
Microsoft Entra B2B 협업이 제공되기 전에는 조직에서 내부 자격 증명을 설정하여 배포자, 공급자, 공급업체 및 기타 게스트 사용자와 협업할 수 있었습니다. 이와 같은 내부 게스트 사용자가 있는 경우 대신 B2B 협업을 사용하도록 초대할 수 있습니다. 이러한 B2B 게스트 사용자는 자신의 ID와 자격 증명을 사용하여 로그인할 수 있으므로 암호 유지 관리 또는 계정 수명 주기 관리가 필요하지 않습니다.
기존 내부 계정에 초대를 보내면 해당 사용자의 개체 ID, UPN, 그룹 멤버십 및 앱 할당을 유지할 수 있습니다. 사용자를 수동으로 삭제하고 다시 초대하거나 리소스를 재할당할 필요가 없습니다. 사용자를 초대하려면 초대 API를 사용하여 초대와 함께 내부 사용자 개체와 게스트 사용자의 이메일 주소를 둘 다 전달합니다. 사용자가 초대를 수락하면 B2B 서비스는 기존 내부 사용자 개체를 B2B 사용자로 변경합니다. 앞으로 사용자는 자신의 B2B 자격 증명을 사용하여 클라우드 리소스 서비스에 로그인해야 합니다.
고려해야 할 사항
온-프레미스 리소스에 대한 액세스: 사용자가 B2B 협업에 초대된 후에도 자신의 내부 자격 증명을 사용하여 온-프레미스 리소스에 액세스할 수 있습니다. 내부 계정의 암호를 재설정하거나 변경하여 이를 방지할 수 있습니다. 단, 이메일 일회용 암호 인증은 예외입니다. 사용자의 인증 방법이 일회성 암호로 변경되면 더 이상 내부 자격 증명을 사용할 수 없습니다.
청구: 이 기능은 사용자의 UserType을 변경하지 않으므로 사용자의 청구 모델을 외부 ID MAU(월간 활성 사용자) 가격 책정으로 자동 전환하지 않습니다. 사용자에 대한 MAU 가격 책정을 활성화하려면 사용자의 UserType을
guest로 변경합니다. 또한 MAU 청구를 활성화하려면 Microsoft Entra 테넌트를 Azure 구독에 연결해야 합니다.Teams: 사용자가 외부 자격 증명을 사용하여 Teams에 액세스할 때 처음에는 Teams 테넌트 선택기에서 해당 테넌트를 사용할 수 없습니다. 사용자는 테넌트 컨텍스트가 포함된 URL(예:
https://teams.microsoft.com/?tenantId=<TenantId>)을 사용하여 Teams에 액세스할 수 있습니다. 그 후에 Teams 테넌트 선택기에서 테넌트를 사용할 수 있게 됩니다.온-프레미스 동기화 사용자: 온-프레미스와 클라우드 간에 동기화되는 사용자 계정의 경우, 온-프레미스 디렉터리는 B2B 협업을 사용하도록 초대된 후에도 권한 원본으로 유지됩니다. 온-프레미스 계정에 대한 모든 변경(계정 비활성화 또는 삭제 포함)은 클라우드 계정과 동기화됩니다. 따라서 온-프레미스 계정을 삭제하는 것만으로는 사용자가 자신의 클라우드 계정을 유지하면서 온-프레미스 계정에 로그인하는 것을 막을 수 없습니다. 대신 온-프레미스 계정 암호를 임의의 GUID 또는 기타 알 수 없는 값으로 설정할 수 있습니다.
참고 항목
Microsoft Entra Connect 동기화에는 onPremisesUserPrincipalName 특성을 사용자 개체에 기록하는 기본 규칙이 있습니다. 이 특성이 있으면 사용자가 외부 자격 증명을 사용하여 로그인하지 못할 수 있으므로 이 특성을 사용하여 사용자 개체에 대한 내부에서 외부로의 변환을 차단합니다. Microsoft Entra Connect를 사용 중이고 내부 사용자를 B2B 협업에 초대할 수 있도록 하려면 onPremisesUserPrincipalName 특성이 사용자 개체에 기록되지 않도록 기본 규칙을 수정해야 합니다.
내부 사용자를 B2B 협업에 초대하는 방법
Microsoft Entra 관리 센터, PowerShell 또는 초대 API를 사용하여 내부 사용자에게 B2B 초대를 보낼 수 있습니다. 유의 사항:
사용자를 초대하기 전에 내부 사용자 개체의
User.Mail속성(Microsoft Entra 관리 센터에 있는 사용자의 Email 속성)이 B2B 협업에 사용할 외부 이메일 주소로 설정되어 있는지 확인합니다. 내부 사용자에게 기존 사서함이 있는 경우 이 속성을 외부 이메일 주소로 변경할 수 없습니다. Exchange 관리 센터에서 특성을 업데이트해야 합니다.사용자를 초대하면 이메일을 통해 초대가 사용자에게 전송됩니다. PowerShell 또는 초대 API를 사용하는 경우
SendInvitationMessage를False로 설정하여 이 이메일을 표시하지 않을 수 있습니다. 그런 다음 다른 방법으로 사용자에게 알릴 수 있습니다. 초대 API에 대해 자세히 알아봅니다.사용자가 초대를 사용할 때 사용 중인 계정은
User.Mail속성의 도메인과 일치해야 합니다. 그렇지 않으면 Teams와 같은 일부 서비스에서 사용자를 인증할 수 없습니다.
Microsoft Entra 관리 센터를 사용하여 B2B 초대 보내기
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.
최소한 외부 ID 공급자 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>사용자>모든 사용자로 이동합니다.
목록에서 사용자를 찾거나 검색 상자를 사용합니다. 그런 다음 사용자를 선택합니다.
개요 탭의 내 피드에서 외부 사용자로 전환을 선택합니다.
참고 항목
카드에 “이 B2B 사용자의 초대를 다시 보내거나 사용 상태를 다시 설정하세요.”라고 표시되는 경우 사용자가 이미 B2B 협업에 외부 자격 증명을 사용하도록 초대된 것입니다.
외부 이메일 주소를 추가하고 보내기를 선택합니다.
참고 항목
옵션을 사용할 수 없는 경우 사용자의 Email 속성이 B2B Collaboration에 사용해야 하는 외부 이메일 주소로 설정되어 있는지 확인합니다.
확인 메시지가 나타나고 이메일을 통해 사용자에게 초대장이 전송됩니다. 그러면 사용자는 외부 자격 증명을 사용하여 초대를 사용할 수 있습니다.
PowerShell을 사용하여 B2B 초대 보내기
최신 Microsoft Graph PowerShell 모듈이 필요합니다. 다음 명령을 사용하여 최신 모듈로 업데이트하고 내부 사용자를 B2B 협업에 초대합니다.
Update-Module Microsoft.Graph
Get-MgUser -UserId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee'
New-MgInvitation -InvitedUserEmailAddress John@contoso.com -SendInvitationMessage:$true -InviteRedirectUrl "https://myapplications.microsoft.com" -InvitedUser $msGraphUser
초대 API를 사용하여 B2B 초대 보내기
아래 샘플은 초대 API를 호출하여 내부 사용자를 B2B 사용자로 초대하는 방법을 보여줍니다.
POST https://graph.microsoft.com/v1.0/invitations
Authorization: Bearer eyJ0eX...
ContentType: application/json
{
"invitedUserEmailAddress": "<<external email>>",
"sendInvitationMessage": true,
"invitedUserMessageInfo": {
"messageLanguage": "en-US",
"ccRecipients": [
{
"emailAddress": {
"name": null,
"address": "<<optional additional notification email>>"
}
}
],
"customizedMessageBody": "<<custom message>>"
},
"inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",
"invitedUser": {
"id": "<<ID for the user you want to convert>>"
}
}
API에 대한 응답은 새 게스트 사용자를 디렉터리에 초대할 때 받는 것과 동일한 응답입니다.