B2B 게스트 사용자의 속성 이해 및 관리
적용 대상: 인력 테넌트 외부 테넌트(자세한 정보)
B2B 협업은 조직 외부의 사용자 및 파트너와 협업할 수 있는 Microsoft Entra 외부 ID의 기능입니다. B2B 협업을 통해 외부 사용자는 자신의 자격 증명을 사용하여 Microsoft Entra 조직에 로그인하도록 초대됩니다. 이 B2B 협업 사용자는 공유하려는 앱 및 리소스에 액세스할 수 있습니다. B2B 공동 작업 사용자에 대한 사용자 개체는 직원과 동일한 디렉터리에 만들어집니다. B2B 공동 작업 사용자 개체는 기본적으로 디렉터리에서 제한된 권한을 가지며 직원처럼 관리하거나 그룹에 추가하는 등의 작업을 수행할 수 있습니다. 이 문서에서는 이 사용자 개체의 속성 및 이를 관리하는 방법에 대해 설명합니다.
다음 표에서는 B2B 협업 사용자를 인증하는 방법(내부 또는 외부)과 조직과의 관계(게스트 또는 구성원)에 따라 설명합니다.
- 외부 게스트: 일반적으로 외부 사용자 또는 게스트로 간주되는 대부분의 사용자는 이 범주에 속합니다. 이 B2B 협업 사용자는 외부 Microsoft Entra 조직 또는 외부 ID 공급자(예: 소셜 ID)의 계정을 갖고 있으며, 리소스 조직 내에서 게스트 수준 권한을 갖습니다. 리소스 Microsoft Entra 디렉터리에 만든 사용자 개체의 UserType은 Guest입니다.
- 외부 구성원: 이 B2B 협업 사용자는 외부 Microsoft Entra 조직 또는 외부 ID 공급자(예: 소셜 ID)의 계정과 조직의 리소스에 대한 구성원 수준 액세스 권한을 가집니다. 이 시나리오는 사용자가 대규모 조직의 일부로 간주되고 조직의 다른 테넌트의 리소스에 대한 구성원 수준 액세스가 필요한 여러 테넌트로 구성된 조직에서 일반적입니다. 리소스 Microsoft Entra 디렉터리에 만든 사용자 개체의 UserType은 Member입니다.
- 내부 게스트: Microsoft Entra B2B 협업이 불가능하던 시기에는 배포자, 공급자, 공급업체 및 기타 사용자의 내부 자격 증명을 설정하고 사용자 개체 UserType을 Guest로 설정하여 이들을 게스트로 지정하는 방법으로 협업하는 것이 일반적이었습니다. 이와 같은 내부 게스트 사용자가 있는 경우 외부 ID 공급자가 인증 및 계정 수명 주기를 관리할 수 있도록 B2B 협업을 사용하도록 초대할 수 있습니다.
- 내부 구성원: 이러한 사용자는 일반적으로 조직의 직원으로 간주됩니다. 사용자는 Microsoft Entra ID를 통해 내부적으로 인증되며 리소스 Microsoft Entra 디렉터리에 만들어진 사용자 개체에는 UserType이 Member입니다.
선택한 사용자 유형에는 앱 또는 서비스에 대해 다음과 같은 제한 사항이 있지만 제한되지는 않습니다.
앱 또는 서비스 | 제한 사항 |
---|---|
Power BI | - Power BI에서 UserType 구성원에 대한 지원은 현재 미리 보기로 제공됩니다. 자세한 내용은 Microsoft Entra B2B에서 외부 게스트 사용자에게 Power BI 콘텐츠 배포를 참조하세요. |
Azure Virtual Desktop | - 외부 멤버 및 외부 게스트는 Azure Virtual Desktop에서 지원되지 않습니다. |
Important
이제 이메일 일회용 암호 기능은 모든 새 테넌트 및 명시적으로 해제하지 않은 기존 테넌트에 대해 기본적으로 설정됩니다. 이 기능이 해제된 경우 대체 인증 방법은 초대받은 사용자에게 Microsoft 계정을 만들도록 요청하는 것입니다.
초대 상환
이제 Microsoft Entra B2B 협업 사용자가 Microsoft Entra 외부 ID에서 어떻게 보이는지 살펴보겠습니다.
초대 상환 전
B2B 협업 사용자 계정은 게스트 사용자 고유의 자격 증명을 사용하여 게스트 사용자를 공동 작업하도록 초대한 결과입니다. 초대가 초기에 게스트 사용자에게 전송되면 계정이 사용자 테넌트성됩니다. 인증이 게스트 사용자의 ID 공급 기업에서 수행되기 때문에 이 계정에는 연결된 자격 증명이 없습니다. 디렉터리의 게스트 사용자 계정에 대한 Identities 속성은 게스트가 초대를 사용할 때까지 호스트의 조직 도메인으로 설정됩니다. 초대를 보내는 사용자는 게스트 사용자 계정의 스폰서 특성에 대한 기본값으로 추가됩니다. 관리 센터에서 초대된 사용자의 프로필은 수락 보류 중 초대 상태를 표시합니다. Microsoft Graph API를 사용하여 externalUserState
를 쿼리하면 Pending Acceptance
가 반환됩니다.
초대 상환 후
B2B 협업 사용자가 초대를 수락하면 ID 속성이 사용자 ID 공급자에 따라 업데이트됩니다.
B2B 협업 사용자가 다른 외부 ID 공급자의 Microsoft 계정 또는 자격 증명을 사용하는 경우 ID는 ID 공급자(예: Microsoft 계정, google.com 또는 facebook.com)를 반영합니다.
B2B 협업 사용자가 다른 Microsoft Entra 조직의 자격 증명을 사용하는 경우 ID는 ExternalAzureAD입니다.
내부 자격 증명을 사용하는 외부 사용자의 경우 ID 속성이 호스트의 조직 도메인으로 설정됩니다. 디렉터리 동기화 속성은 계정이 조직의 온-프레미스 Active Directory에 있고 Microsoft Entra ID와 동기화된 경우 예이고, 계정이 클라우드 전용 Microsoft Entra 계정인 경우 아니요입니다. 디렉터리 동기화 정보는
onPremisesSyncEnabled
Microsoft Graph 속성을 통해서도 사용할 수 있습니다.
Microsoft Entra B2B 협업 사용자의 주요 속성
사용자 계정 이름
B2B 협업 사용자 개체(예: 게스트 사용자)에 대한 UPN에는 게스트 사용자의 이메일, #EXT#, tenantname.onmicrosoft.com이 차례로 포함됩니다. 예를 들어 사용자 john@contoso.com이(가) 디렉터리 fabrikam에 외부 사용자로 추가되면 해당 사용자의 UPN은 john_contoso.com#EXT#@fabrikam.onmicrosoft.com이 됩니다.
사용자 유형
이 속성은 사용자와 호스트 테넌트 사이의 관계를 나타냅니다. 이 속성에는 다음 두 가지 값이 사용될 수 있습니다.
구성원: 이 값은 호스트 조직의 직원과 조직의 급여 부서에 있는 사용자를 나타냅니다. 예를 들어 이 사용자는 내부 전용 사이트에 대한 액세스 권한을 요구합니다. 이 사용자는 외부 협력자로 간주되지 않습니다.
게스트: 이 값은 외부 협력자, 파트너 또는 고객과 같이 회사 내부 인사로 간주되지 않는 사용자를 나타냅니다. 예를 들어, 이러한 사용자는 CEO(최고 경영자)의 내부 메모를 받거나 회사 혜택을 받을 것으로 예상되지 않습니다.
참고 항목
UserType은 사용자가 로그인하는 방법, 사용자의 디렉터리 역할 등과 관계가 없습니다. 이 속성은 단순히 사용자와 호스트 조직 사이의 관계를 나타내며, 조직에서 이 속성에 속한 모든 정책을 시행할 수 있게 합니다.
Identities
이 속성은 사용자 기본 ID 공급자를 나타냅니다. 사용자는 사용자 프로필에서 ID 옆에 있는 링크를 선택하거나 Microsoft Graph API를 통해 identities
속성을 쿼리하여 볼 수 있는 여러 ID 공급자를 가질 수 있습니다.
참고 항목
ID와 UserType은 독립적인 속성입니다. ID 값은 UserType에 대한 특정 값을 의미하지 않습니다.
ID 속성 값 | 로그인 상태 |
---|---|
ExternalAzureAD | 이 사용자는 외부 조직에 속해 있으며 다른 조직에 속한 Microsoft Entra 계정을 사용하여 인증합니다. |
Microsoft 계정 | 이 사용자는 Microsoft 계정에 속하며 Microsoft 계정을 사용하여 인증합니다. |
{호스트의 도메인} | 이 사용자는 이 조직에 속한 Microsoft Entra 계정을 사용하여 인증합니다. |
google.com | 이 사용자는 Gmail 계정이 있고 다른 조직에 셀프 서비스를 사용하여 가입했습니다. |
facebook.com | 이 사용자는 Facebook 계정이 있고 다른 조직에 셀프 서비스를 사용하여 가입했습니다. |
이 사용자는 Microsoft Entra 외부 ID 이메일 OTP(일회용 암호)를 사용하여 가입했습니다. | |
{발급자 URI} | 이 사용자는 Microsoft Entra ID를 ID 공급자로 사용하지 않고 대신 SAML(Security Assertion Markup Language)/WS-Fed 기반 ID 공급자를 사용하는 외부 조직에 속해 있습니다. ID 필드를 클릭하면 발급자 URI가 표시됩니다. |
외부 사용자에게는 휴대폰 로그인이 지원되지 않습니다. B2B 계정은 phone
값을 ID 공급자로 사용할 수 없습니다.
디렉터리가 동기화됨
이 디렉터리 동기화 속성은 사용자가 온-프레미스 Active Directory와 동기화되고 있고 온-프레미스에서 인증되는지 여부를 나타냅니다. 계정이 조직의 온-프레미스 Active Directory에 있고 Microsoft Entra ID와 동기화된 경우 이 속성은 예이고, 계정이 클라우드 전용 Microsoft Entra 계정인 경우에는 아니요입니다. Microsoft Graph 디렉터리 동기화 속성은 onPremisesSyncEnabled
에 해당합니다.
Microsoft Entra B2B 사용자를 게스트 대신 멤버로 추가할 수 있나요?
일반적으로 Microsoft Entra B2B 사용자와 게스트 사용자는 동의어입니다. 따라서 Microsoft Entra B2B 협업 사용자는 기본적으로 UserType이 Guest로 설정된 사용자로 추가됩니다. 그러나 경우에 따라 파트너 조직은 호스트 조직이 속한 더 큰 조직의 구성원일 수 있습니다. 만약 그렇다면 호스트 조직에서 파트너 조직의 사용자를 게스트가 아닌 구성원으로 처리하려 할 수 있습니다. Microsoft Entra B2B 초대 관리자 API를 사용하여 파트너 조직의 사용자를 호스트 조직에 멤버로 추가하거나 초대합니다.
디렉터리의 게스트 사용자 필터링
사용자 목록에서 필터 추가를 사용하여 디렉터리의 게스트 사용자만 표시할 수 있습니다.
UserType 변환
Microsoft Entra 관리 센터에서 사용자 프로필을 편집하거나 PowerShell을 사용하여 UserType을 Member에서 Guest로 또는 그 반대로 변환할 수 있습니다. 그러나 UserType 속성은 사용자와 조직 사이의 관계를 나타냅니다. 따라서 사용자와 조직의 관계가 변할 때에만 이 속성을 변경해야 합니다. 사용자의 관계가 변경되면 UPN(사용자 계정 이름)을 변경해야 합니까? 사용자가 같은 리소스에 대한 액세스 권한을 계속 가져야 합니까? 사서함을 할당해야 합니까?와 같은 다른 질문에 답변해야 합니다.
게스트 사용자 권한
게스트 사용자는 기본 제한된 디렉터리 권한을 가집니다. 자신의 프로필을 관리하고, 자신의 암호를 변경하고, 다른 사용자, 그룹, 앱에 대한 일부 정보를 검색할 수 있습니다. 그러나 모든 디렉터리 정보를 읽을 수는 없습니다.
B2B 게스트 사용자는 Microsoft Teams 공유 채널에서 지원되지 않습니다. 공유 채널에 대한 액세스는 B2B 직접 연결을 참조하세요.
게스트 사용자에게 더 높은 권한을 부여하려는 경우가 있을 수 있습니다. 게스트 사용자를 모든 역할에 추가하고 디렉터리에서 기본 게스트 사용자 제한을 제거하여 사용자에게 구성원과 동일한 권한을 부여할 수 있습니다. 기본 제한을 해제하여 회사 디렉터리의 게스트 사용자에게 구성원 사용자와 동일한 권한을 부여할 수 있습니다. 자세한 내용은 Microsoft Entra 외부 ID에서 게스트 액세스 권한 제한 문서를 확인합니다.
게스트 사용자를 Exchange 전역 주소 목록에 표시할 수 있나요?
예. 기본적으로 게스트 개체는 조직의 전체 주소 목록에 표시되지 않지만 Microsoft Graph PowerShell을 사용하여 표시할 수 있습니다. 자세한 내용은 Microsoft 365 그룹별 게스트 액세스 문서에서 "전체 주소 목록에 게스트 추가"를 참조하세요.
게스트 사용자의 이메일 주소를 업데이트할 수 있나요?
게스트 사용자가 초대를 수락하고 그 후에 이메일 주소를 변경한 경우, 새 이메일 주소는 디렉터리의 게스트 사용자 개체와 자동으로 동기화되지 않습니다. 해당 메일의 속성은 Microsoft Graph API를 통해 생성됩니다. Microsoft Graph API, Exchange 관리 센터 또는 Exchange Online PowerShell을 통해 메일 속성을 업데이트할 수 있습니다. 변경 내용은 Microsoft Entra 게스트 사용자 개체에 반영됩니다.