유니버설 테넌트 제한 사항
유니버설 테넌트 제한은 전역 보안 액세스를 사용하여 운영 체제, 브라우저 또는 디바이스 폼 팩터에 관계없이 모든 트래픽에 태그를 지정하는 테넌트 제한 v2의 기능을 향상시킵니다. 클라이언트 및 원격 네트워크 연결을 모두 지원할 수 있습니다. 관리자는 더 이상 프록시 서버 구성이나 복잡한 네트워크 구성을 관리할 필요가 없습니다.
유니버설 테넌트 제한 사항은 인증 및 데이터 평면 모두에 대해 전역 보안 액세스 기반 정책 신호를 사용하여 이러한 적용을 수행합니다. 테넌트 제한 v2를 통해 엔터프라이즈는 Microsoft Graph, SharePoint Online 및 Exchange Online과 같은 Microsoft Entra 통합 애플리케이션에 대해 외부 테넌트 ID를 사용하는 사용자의 데이터 반출을 방지할 수 있습니다. 이러한 기술은 함께 작동하여 모든 디바이스와 네트워크에서 유니버설로 데이터 반출을 방지합니다.
다음 표에서는 이전 다이어그램의 각 지점에서 수행된 단계를 설명합니다.
| 단계 | Description |
|---|---|
| 1 | Contoso는 모든 외부 계정 및 외부 앱을 차단하도록 테넌트 간 액세스 설정에서 **테넌트 제한 v2 ** 정책을 구성합니다. Contoso는 전역 보안 액세스 유니버설 테넌트 제한을 사용하여 정책을 적용합니다. |
| 2 | Contoso 관리 디바이스를 사용하는 사용자가 승인되지 않은 외부 ID를 사용하여 Microsoft Entra 통합 앱에 액세스하려고 합니다. |
| 3 | 인증 평면 보호: Contoso의 정책은 Microsoft Entra ID를 사용하여 허가되지 않은 외부 계정이 외부 테넌트에 액세스하지 못하도록 차단합니다. |
| 4 | 데이터 평면 보호: 사용자가 Contoso 네트워크 외부에서 가져오는 인증 응답 토큰을 복사하여 디바이스에 붙여넣고 승인되지 않은 외부 애플리케이션에 다시 액세스하려고 하면 차단됩니다. 토큰 불일치는 재인증을 트리거하고 액세스를 차단합니다. SharePoint Online의 경우 익명으로 리소스에 액세스하려는 시도가 차단됩니다. |
유니버설 테넌트 제한은 다음과 같은 방법으로 브라우저, 디바이스 및 네트워크 전반에서 데이터 반출을 방지하는 데 도움이 됩니다.
- 이를 통해 Microsoft Entra ID, Microsoft 계정 및 Microsoft 애플리케이션이 연결된 테넌트 제한 v2 정책을 조회하고 적용할 수 있습니다. 이 조회를 통해 일관된 정책 적용이 가능해집니다.
- 로그인하는 동안 인증 평면에서 모든 Microsoft Entra 통합 타사 앱과 함께 작동합니다.
- 데이터 평면 보호를 위해 Exchange, SharePoint 및 Microsoft Graph와 함께 작동합니다.
필수 조건
- 전역 보안 액세스 기능과 상호 작용하는 관리자는 수행하는 작업에 따라 다음 역할 할당 중 하나 이상이 있어야 합니다.
- 전역 보안 액세스 기능을 관리하는 전역 보안 액세스 관리자 역할입니다.
- 조건부 액세스 정책을 만들고 상호 작용하는 조건부 액세스 관리자입니다.
- 제품에는 라이선스가 필요합니다. 자세한 내용은 글로벌 보안 액세스란?의 라이선스 섹션을 참조하세요. 필요한 경우 라이선스를 구매하거나 평가판 라이선스를 받을 수 있습니다.
알려진 제한 사항
- 유니버설 테넌트 제한을 사용하도록 설정하고 허용 목록에 있는 테넌트 중 하나에 대한 Microsoft Entra 관리 센터에 액세스하는 경우 “액세스 거부됨” 오류가 표시될 수 있습니다. Microsoft Entra 관리 센터에 다음 기능 플래그를 추가합니다.
?feature.msaljs=true&exp.msaljsexp=true- 예를 들어 Contoso에서 근무하며 Fabrikam을 파트너 테넌트로 등록하도록 허용한 경우입니다. Fabrikam 테넌트의 Microsoft Entra 관리 센터에 대한 오류 메시지가 표시 될 수 있습니다.
- 해당 URL
https://entra.microsoft.com/에 대해 “액세스 거부됨” 오류 메시지가 표시되는 경우https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home과 같이 기능 플래그를 추가하세요.
- 해당 URL
테넌트 제한 v2 정책 구성
조직에서 유니버설 테넌트 제한을 사용하려면 먼저 기본 테넌트 제한과 특정 파트너에 대한 테넌트 제한을 모두 구성해야 합니다.
이러한 정책을 구성하는 자세한 내용은 테넌트 제한 v2 설정 문서를 참조하세요.
테넌트 제한 v2에 대한 태그 사용
테넌트 제한 v2 정책을 만든 후에는 전역 보안 액세스를 활용하여 테넌트 제한 v2에 대한 태그 지정을 적용할 수 있습니다. 전역 보안 액세스 관리자 및 보안 관리자 역할을 모두 가진 관리자는 전역 보안 액세스를 적용하려면 다음 단계를 수행해야 합니다.
- Microsoft Entra 관리 센터에 글로벌 보안 액세스 관리자로 로그인합니다.
- 전역 보안 액세스>전역 설정>세션 관리>테넌트 제한으로 이동합니다.
- 네트워크에서 테넌트 제한을 적용하려면 태그 지정 활성화로 토글을 선택합니다.
- 저장을 선택합니다.
SharePoint Online(미리 보기)을 사용하여 유니버설 테넌트 제한을 사용해 보세요.
이 기능은 다음 예에서 Exchange Online 및 Microsoft Graph에 대해 동일하게 작동하며 사용자 환경에서 이를 실제로 확인하는 방법을 설명합니다.
인증 경로를 시도해 보세요.
- 전역 보안 액세스 글로벌 설정에서 유니버설 테넌트 제한이 꺼진 상태입니다.
- 테넌트 제한 v2 정책에 허용 목록에 포함되지 않은 외부 ID를 사용하여 SharePoint Online(
https://yourcompanyname.sharepoint.com/)으로 이동합니다.- 예를 들어, Fabrikam 테넌트의 Fabrikam 사용자입니다.
- Fabrikam 사용자는 SharePoint Online에 액세스할 수 있어야 합니다.
- 유니버설 테넌트 제한을 설정합니다.
- 최종 사용자로서 전역 보안 액세스 Client가 실행 중인 상태에서 명시적으로 허용 목록에 나열되지 않은 외부 ID를 사용하여 SharePoint Online으로 이동합니다.
- 예를 들어, Fabrikam 테넌트의 Fabrikam 사용자입니다.
- Fabrikam 사용자는 다음과 같은 오류 메시지와 함께 SharePoint Online에 액세스하지 못하도록 차단되어야 합니다.
- 액세스가 차단되었습니다. Contoso IT 부서에서 액세스할 수 있는 조직을 제한했습니다. 액세스 권한을 얻으려면 Contoso IT 부서에 문의하세요.
데이터 경로를 사용해 보기
- 전역 보안 액세스 글로벌 설정에서 유니버설 테넌트 제한이 꺼진 상태입니다.
- 테넌트 제한 v2 정책에 허용 목록에 포함되지 않은 외부 ID를 사용하여 SharePoint Online(
https://yourcompanyname.sharepoint.com/)으로 이동합니다.- 예를 들어, Fabrikam 테넌트의 Fabrikam 사용자입니다.
- Fabrikam 사용자는 SharePoint Online에 액세스할 수 있어야 합니다.
- SharePoint Online이 열려 있는 동일한 브라우저에서 개발자 도구로 이동하거나 키보드에서 F12를 누릅니다. 네트워크 로그 캡처를 시작합니다. 모든 것이 예상대로 작동하면 상태 200이 표시됩니다.
- 계속하기 전에 로그 보존 옵션이 선택되어 있는지 확인합니다.
- 로그와 함께 브라우저 창을 열어 두세요.
- 유니버설 테넌트 제한을 설정합니다.
- Fabrikam 사용자로서 SharePoint Online이 열려 있는 브라우저에 몇 분 내에 새 로그가 나타납니다. 또한 브라우저는 백 엔드에서 발생하는 요청과 응답을 기반으로 자체적으로 새로 고쳐질 수 있습니다. 몇 분 후에도 브라우저가 자동으로 새로 고쳐지지 않으면 SharePoint Online이 열린 상태에서 브라우저에서 새로 고침을 누릅니다.
- Fabrikam 사용자는 이제 다음과 같이 액세스가 차단되었음을 확인합니다.
- 액세스가 차단되었습니다. Contoso IT 부서에서 액세스할 수 있는 조직을 제한했습니다. 액세스 권한을 얻으려면 Contoso IT 부서에 문의하세요.
- Fabrikam 사용자는 이제 다음과 같이 액세스가 차단되었음을 확인합니다.
- 로그에서 302인 상태를 찾습니다. 이 행에는 트래픽에 적용되는 유니버설 테넌트 제한이 표시됩니다.
- 동일한 응답에서 유니버설 테넌트 제한이 적용되었음을 식별하는 다음 정보에 대한 헤더를 확인합니다.
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requres";error_category="insufficiant_claims"
- 동일한 응답에서 유니버설 테넌트 제한이 적용되었음을 식별하는 다음 정보에 대한 헤더를 확인합니다.
사용 조건
Microsoft Entra 프라이빗 액세스 및 Microsoft Entra 인터넷 액세스 미리 보기 환경 및 기능의 사용에는 서비스를 획득한 계약의 미리 보기 온라인 서비스 이용 약관이 적용됩니다. 미리 보기에는 온라인 서비스용 범용 사용 약관 및 Microsoft 제품 및 서비스 데이터 보호 부록("DPA") 및 미리 보기와 함께 제공되는 기타 고지 사항에 자세히 설명된 대로 보안, 규정 준수 및 개인 정보 보호 약정이 축소되거나 다르게 적용될 수 있습니다.
다음 단계
Microsoft Entra 인터넷 액세스를 시작하기 위한 다음 단계는 향상된 전역 보안 액세스 신호를 사용하도록 설정하는 것입니다.
전역 보안 액세스에 대한 조건부 액세스 정책에 대한 자세한 내용은 다음 문서를 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기