테넌트 제한 v1에서 테넌트 제한 v2로의 마이그레이션 계획

적용 대상: 인력 테넌트 외부 테넌트(자세한 정보)

관리자는 테넌트 제한 v1을 사용하여 네트워크의 외부 테넌트에 대한 사용자 액세스를 제어합니다. 그러나 테넌트 간 액세스 설정이 있는 테넌트 제한 v2는 테넌트 수준 제한과 개별 사용자, 그룹 및 애플리케이션 제어와 같은 추가적인 세분성을 추가합니다. 테넌트 제한 v2는 네트워크 프록시에서 클라우드 기반 포털로 정책 관리를 이동합니다. 조직은 프록시 헤더 크기 제한으로 인해 더 이상 최대 대상 테넌트 수를 초과하지 않습니다.

테넌트 제한 v1에서 테넌트 제한 v2로의 마이그레이션은 다른 라이선스 요구 사항이 없는 일회성 프로세스입니다. 마이그레이션을 계획할 때 네트워킹 및 ID 팀의 관련자를 포함합니다.

필수 조건

다음 필수 조건이 충족되는지 확인합니다.

• 테넌트 제한 v1 헤더를 삽입하는 프록시에 대한 관리자 액세스
  • 프록시는 온-프레미스 또는 클라우드 기반 서비스를 사용할 수 있습니다.
• Microsoft Entra ID P1 또는 P2 라이선스
• 마이그레이션 타당성: 테넌트 제한 v2의 지원되지 않는 시나리오

필요한 역할

이 섹션에는 배포에 필요한 최소 권한 역할이 있습니다. 보안 관리자 역할 또는 다음 권한 이상의 사용자 지정 역할을 사용합니다.

Microsoft.directory/crossTenantAccessPolicy/

• 표준/읽기
• Partners/standard/read
• 기본/표준/읽기
• 기본/업데이트
• Default/tenantRestrictions/update
• 파트너/테넌트제한사항/업데이트
• 파트너/생성
• 파트너/b2b협력/업데이트
• 기본/b2b협업/업데이트

새 테넌트 제한 정책 만들기 및 상태 지정

프록시가 삽입하는 현재 헤더 문자열을 가져옵니다. 현재 정책을 평가하고 원치 않는 테넌트 ID 또는 허용되는 대상을 제거합니다. 평가 후 외부 테넌트 ID 및/또는 외부 도메인 목록을 만듭니다.

마이그레이션에 대한 테넌트 간 액세스 설정 및 테넌트 제한 v2 정책을 구성합니다. 테넌트 간 액세스 아웃바운드 설정은 내부 ID가 액세스하는 테넌트를 정의합니다. 테넌트 간 액세스 설정에서 테넌트 제한 v2는 관리형 네트워크에 있는 동안 다른 외부 ID가 액세스하는 테넌트를 정의합니다.

기술 고려 사항

테넌트 간 액세스 아웃바운드 설정을 구성하는 경우 이 정책은 1시간 이내에 적용되며 테넌트 제한 v1 정책 외에 추가로 평가됩니다. 테넌트 간 액세스 설정 및 테넌트 제한 v1이 평가되고 가장 제한적인 항목이 적용됩니다. 이 작업은 사용자에게 영향을 줄 수 있으므로 사용자에게 부정적인 영향을 주지 않도록 새 정책에서 가능한 한 많이 테넌트 제한 v1 정책을 미러링합니다. 테넌트 간 액세스 설정에서 구성하는 테넌트 제한 v2 정책은 프록시를 새 헤더로 업데이트한 후에 적용됩니다.

참고

다음 섹션에는 일반적인 시나리오에 대한 마이그레이션 및 구성 관리가 있습니다. 이 지침을 사용하여 조직에 필요한 정책을 만들 수 있습니다.

특정 외부 테넌트에 대한 내부 ID 액세스만 허용

직원과 같은 내부 ID가 관리형 네트워크의 특정 외부 테넌트에 액세스할 수 있도록 허용합니다. 내부 ID에 대해 허용 목록에 없는 테넌트에 대한 액세스를 차단합니다. 계약자 및 공급업체와 같은 외부 ID가 모든 외부 테넌트에 액세스하지 못하도록 차단합니다.

1. 테넌트 간 액세스 설정의 조직 설정에서 각 도메인/테넌트를 조직으로 추가합니다.

2. 모든 사용자 및 그룹을 허용하고 모든 애플리케이션을 허용하려면 추가된 각 조직에 대해 B2B 협업에 대한 아웃바운드 액세스를 구성합니다.

   

3. B2B 협업에 대한 모든 사용자 및 그룹 및 모든 애플리케이션을 차단하려면 기본 테넌트 간 액세스 아웃바운드 설정을 구성합니다. 이 작업은 1단계에서 추가되지 않은 테넌트에만 적용됩니다.

   

4. 테넌트 제한 기본값에서 정책 ID(생성되지 않은 경우)를 만들고 모든 사용자, 그룹 및 외부 애플리케이션을 차단하도록 정책을 구성합니다. 이 작업은 1단계에서 추가되지 않은 테넌트에만 적용됩니다.

   

내부 및 외부 ID가 특정 외부 테넌트에 액세스하도록 허용

직원과 같은 내부 ID, 계약자 및 공급업체와 같은 외부 ID가 관리형 네트워크의 특정 외부 테넌트에 액세스할 수 있도록 허용합니다. 모든 ID에 대해 허용 목록에 없는 테넌트에 대한 액세스를 차단합니다.

1. 테넌트 간 액세스 설정의 조직 설정에서 각 도메인/테넌트 ID를 조직으로 추가합니다.

2. 추가된 각 조직이 내부 ID를 사용하도록 하려면 모든 사용자, 그룹 및 애플리케이션을 허용하도록 B2B 협업에 대한 아웃바운드 액세스를 구성합니다.

3. 추가된 각 조직이 외부 ID를 사용하도록 하려면 모든 사용자, 그룹 및 애플리케이션을 허용하도록 조직 테넌트 제한을 구성합니다.

   

4. B2B 협업을 위해 모든 사용자, 그룹 및 애플리케이션을 차단하려면 기본 테넌트 간 아웃바운드 액세스 설정을 구성하십시오. 이 작업은 1단계에서 추가되지 않은 테넌트에만 적용됩니다.

   

5. 테넌트 제한 기본값에서 정책 ID(생성되지 않은 경우)를 만들고 모든 사용자, 그룹 및 외부 애플리케이션을 차단하도록 정책을 구성합니다. 이 작업은 1단계에서 추가되지 않은 테넌트에만 적용됩니다.

   

   참고

   소비자 MSA(Microsoft 계정)를 대상으로 하려면 테넌트 ID가 9188040d-6c67-4c5b-b112-36a304b66dad인 조직을 추가합니다.

   팁

   테넌트 제한 v2 정책이 만들어지지만 적용되지 않습니다.

테넌트 제한 v2 사용

테넌트 ID 및 정책 ID 값을 사용하여 새 헤더를 만듭니다. 네트워크 프록시를 업데이트하여 새 헤더를 삽입합니다.

참고

네트워크 프록시를 업데이트하여 새 sec-Restrict-Tenant-Access-Policy 헤더를 삽입하는 경우 두 개의 테넌트 제한 v1 헤더인 Restrict-Access-To-Tenants 및 Restrict-Access-Context를 제거합니다.

팁

단계적 롤아웃에서 네트워크 프록시를 업데이트합니다. 현재 테넌트 제한 v1 헤더 및 값을 저장합니다.

중요한

잠재적인 문제를 탐색하는 데 도움이 되는 롤백 플랜을 만듭니다.

다음 패턴 중 하나를 사용하여 프록시 구성을 마이그레이션합니다. 프록시가 선택한 패턴을 지원하는지 확인합니다.

• 테넌트 제한 v2 헤더를 사용하여 한 번에 하나의 프록시 업그레이드 - 이 프록시를 통해 송신하는 사용자는 업데이트된 헤더를 수신하며, 새 정책이 적용됩니다. 문제를 모니터링합니다. 문제가 발생하지 않으면 다음 프록시를 업데이트하고 모든 프록시를 업데이트할 때까지 계속합니다.
• 사용자에 따라 헤더 삽입 업데이트 - 일부 프록시에는 인증된 사용자가 필요하며 사용자 및 그룹에 따라 삽입할 헤더를 선택할 수 있습니다. 새 테넌트 제한 v2 헤더를 테스트 사용자 그룹에 롤아웃합니다. 문제를 모니터링합니다. 문제가 발생하지 않는 경우 트래픽의 100%가 범위 안에 들어올 때까지 더 많은 사용자를 단계별로 추가합니다.
• 새 테넌트 제한 v2 헤더를 모두 한꺼번에 적용하도록 서비스 업데이트 - 이 옵션은 권장되지 않습니다.

새 헤더 업데이트를 롤아웃할 때 사용자가 예상된 동작을 경험하는지 테스트하고 유효성을 검사합니다.

모니터

테넌트 제한 v2 및 테넌트 간 액세스 아웃바운드 설정이 배포되면 로그인 로그를 모니터링하거나 테넌트 간 활동 통합 문서를 사용하여 사용자가 권한 없는 테넌트에 액세스하지 않는지 확인합니다. 이러한 도구는 누가 어떤 외부 애플리케이션에 액세스하는지 식별하는 데 도움이 됩니다. 그룹 멤버 자격 및/또는 특정 애플리케이션에 따라 아웃바운드 액세스를 제한하도록 테넌트 간 액세스 아웃바운드 설정 및 테넌트 제한을 구성할 수 있습니다.

다음 단계

• 인바운드 테넌트 간 액세스 설정 구성
• 유니버설 테넌트 제한 구성