다중 테넌트 조직의 제한 사항
이 문서에서는 Microsoft Entra ID 및 Microsoft 365에서 다중 테넌트 조직 기능을 사용할 때 알아야 할 제한 사항에 대해 설명합니다. UserVoice의 다중 테넌트 조직 기능에 대한 피드백을 제공하려면 Microsoft Entra UserVoice를 참조하세요. Microsoft에서는 서비스를 개선할 수 있도록 UserVoice를 면밀하게 모니터링하고 있습니다.
범위
이 문서에 설명된 제한 사항의 범위는 다음과 같습니다.
범위 | 설명 |
---|---|
범위 내 | - 상호 프로비전된 B2B 멤버를 사용하여 새 Microsoft Teams에서 원활한 공동 작업 환경을 지원하기 위해 다중 테넌트 조직과 관련된 Microsoft Entra 관리자 제한 사항 - 중앙 집중식으로 프로비전된 B2B 멤버를 사용하여 Microsoft Viva Engage에서 원활한 공동 작업 환경을 지원하기 위해 다중 테넌트 조직과 관련된 Microsoft Entra 관리자 제한 사항 |
관련 범위 | - 다중 테넌트 조직과 관련된 Microsoft 365 관리 센터 제한 사항 - Microsoft 365 다중 테넌트 조직 사용자 검색 환경 - Microsoft 365와 관련된 테넌트 간 동기화 제한 사항 |
범위 아님 | - Microsoft 365와 관련 없는 테넌트 간 동기화 - 새로운 Teams의 최종 사용자 환경 - Viva Engage의 최종 사용자 환경 - 테넌트 마이그레이션 또는 통합 |
지원되지 않는 시나리오 | - 학생 시나리오와 관련된 교육 테넌트 전체의 다중 테넌트 조직 - Microsoft 365 정부의 다중 테넌트 조직 - 클래식 Teams의 다중 테넌트 조직에서 원활한 공동 작업 환경 - 테넌트 수가 100개를 초과하는 다중 테넌트 조직을 위한 셀프 서비스 - 21Vianet에서 운영하는 Azure Government 또는 Microsoft Azure의 다중 테넌트 조직 - 클라우드 간 다중 테넌트 조직 |
Microsoft 365 관리 센터를 사용하여 다중 테넌트 조직을 만들거나 조인합니다.
Microsoft 365 관리 센터에서 다중 테넌트 조직을 만든 후에는 이름이
MTO_Sync_<TenantID>
인 Microsoft 관리 센터에서 만든 테넌트 간 동기화 구성을 확인할 수 있습니다. Microsoft 365 관리 센터에서 Microsoft 365 관리 센터에서 만들고 관리하는 구성을 인식하도록 하려면 이름을 편집하거나 변경하지 마세요.Microsoft Entra ID로 만든 동기화 작업은 Microsoft 365 관리 센터에 표시되지 않습니다. Microsoft 365 관리 센터는 구성되지 않은 아웃바운드 동기화 상태를 나타냅니다. 이는 정상적인 동작입니다. Microsoft 365 관리 센터에서 만든 테넌트 간 동기화 작업을 제어하는 데 지원되는 Microsoft 365 관리 센터용 패턴은 없습니다.
테넌트 간 액세스 설정
Microsoft Entra ID의 테넌트 간 동기화는 문제의 테넌트가 ID 동기화를 위한 테넌트 간 액세스 설정에서 인바운드 동기화를 허용하기 전에 테넌트 간 동기화 구성 설정을 지원하지 않습니다.
따라서 다중 테넌트 조직을 만들기 전에
userSyncInbound
를 true로 설정하여 ID 동기화를 위한 테넌트 간 액세스 설정 템플릿을 사용하는 것이 좋습니다.마찬가지로, 다중 테넌트 조직을 만들기 전에
automaticUserConsentSettings.inboundAllowed
및automaticUserConsentSettings.outboundAllowed
를 true로 설정하여 파트너 구성을 위한 테넌트 간 액세스 설정 템플릿을 사용하는 것이 좋습니다.
조인 요청
조인 요청이 실패하는 데에는 여러 가지 이유가 있습니다. Microsoft 365 관리 센터에서 조인 요청이 성공하지 못하는 이유를 표시하지 않는 경우 Microsoft Graph API 또는 Microsoft Graph 탐색기를 사용하여 조인 요청 응답을 검사해 보세요.
다중 테넌트 조직을 만들고, 테넌트를 다중 테넌트 조직에 추가하고, 추가된 테넌트의 조인 요청이 계속 실패하는 올바른 순서를 따른 경우 Microsoft Entra 또는 Microsoft 365 관리 센터에서 지원 요청을 제출합니다.
외부 멤버 사용자를 프로비전하는 옵션
- 다양한 다중 허브 다중 스포크 토폴로지에 대해 이미 Microsoft Entra 테넌트 간 동기화를 사용하고 있는 경우에는 Microsoft 365 관리 센터 공유 사용자 기능을 사용할 필요가 없습니다. 대신 기존 Microsoft Entra 테넌트 간 동기화 작업을 계속 사용할 수 있습니다.
- 이전에 Microsoft Entra 테넌트 간 동기화를 사용하지 않았으며 동일한 사용자 집합이 모든 다중 테넌트 조직 테넌트에 공유되는 공동 작업 사용자 집합 토폴로지를 설정하려는 경우 Microsoft 365 관리 센터 공유 사용자 기능을 사용할 수 있습니다.
- 자체 규모의 사용자 프로비전 엔진이 이미 있는 경우 자체 엔진을 계속 사용하여 직원의 수명 주기를 관리하는 동시에 새로운 다중 테넌트 조직의 이점을 활용할 수 있습니다.
- 원본 테넌트에서 프로비전 엔진을 통해 사용자를 만드는 대신 호스트 테넌트에 개별 외부 멤버 사용자를 만들어야 하는 경우 사용자 만들기, 초대 및 삭제 방법을 참조하세요.
Microsoft Entra 관리 센터의 테넌트 간 동기화
복잡한 ID 구성이 있는 엔터프라이즈 조직의 경우 Microsoft Entra 관리 센터의 테넌트 간 동기화를 사용하는 것이 좋습니다.
기본적으로 새 B2B 사용자는 B2B 멤버로 프로비전되고 기존 B2B 게스트는 B2B 게스트로 유지됩니다. 이 매핑 적용을 항상으로 설정하여 B2B 게스트를 B2B 멤버로 전환하도록 선택할 수 있습니다.
기본적으로
showInAddressList
는 true로 대상 테넌트에 동기화됩니다. 조직의 요구 사항에 맞게 이 특성 매핑을 조정할 수 있습니다.B2B 사용자의 대규모 프로비저닝이 연락처 개체와 충돌할 수 있습니다. 연락처 개체의 처리 또는 변환은 현재 지원되지 않습니다.
테넌트 간 동기화를 사용하여 B2B 사용자로 변환된 하이브리드 ID를 대상으로 지정하는 것은 현재 지원되지 않습니다.
Microsoft 365 관리 센터에서 사용자 동기화
소규모 다중 테넌트 조직의 경우 Microsoft 365 관리 센터를 사용하여 사용자를 다중 테넌트 조직의 여러 테넌트에 동기화하는 것이 좋습니다.
사용자를 공유하기 위해 Microsoft 365 관리 센터는 대상 테넌트당 하나씩 여러 테넌트 간 동기화 작업을 만들어 모든 작업에 대해 동일한 사용자 범위를 유지합니다.
Microsoft 365 관리 센터에서 테넌트 간 동기화 작업을 만든 후 조직의 요구에 맞게 Microsoft Entra 관리 센터에서 특성 매핑을 조정할 수 있습니다.
호스트 테넌트에서 관리되는 B2B 게스트 또는 B2B 멤버
B2B 게스트를 B2B 구성원으로 승격하는 것은 B2B 구성원을 조직의 신뢰할 수 있는 사용자로 간주하는 다중 테넌트 조직의 전략적 결정을 보여주는 것입니다. B2B 멤버의 기본 권한을 검토합니다.
조직에서 다중 테넌트 조직 테넌트에서 B2B 사용자 프로비저닝을 비롯한 다중 테넌트 조직 기능을 롤아웃할 때 일부 사용자를 B2B 게스트로 프로비전하는 동시에 다른 사용자를 B2B 멤버로 프로비전할 수 있습니다.
B2B 게스트를 B2B 멤버로 승격하기 위해 호스트 테넌트 관리자는 속성이 반복적으로 동기화되지 않는다고 가정하여 userType을 변경할 수 있습니다.
테넌트 간 동기화를 사용하여 관리되는 B2B 게스트 또는 B2B 멤버
테넌트 간 동기화를 사용하여 userType 속성을 반복해서 동기화하는 경우 원본 테넌트 관리자는 특성 매핑을 수정할 수 있습니다.
원본 테넌트에 두 개의 Microsoft Entra 테넌트 간 동기화 구성을 설정해야 할 수 있습니다. 하나는 userType 특성 매핑이 B2B 게스트로 구성되어 있고 다른 하나는 userType 특성 매핑이 B2B 멤버로 구성되어 있으며 각각 이 매핑 적용이 항상으로 설정되어 있습니다.
사용자를 한 구성 범위에서 다른 구성 범위로 이동하면 대상 테넌트에서 B2B 게스트 또는 B2B 멤버가 될 사용자를 쉽게 제어할 수 있습니다. 이 방법을 사용하면 삭제를 위한 대상 개체 작업을 사용하지 않도록 설정할 수도 있습니다.
호스트 테넌트에서 관리되는 전체 주소 목록
B2B 사용자의 showInAddressList 속성은 Microsoft Graph 탐색기 또는 Microsoft Graph PowerShell에서 사용자 관리자 권한으로 업데이트할 수 있습니다.
사용자 개체의 showInAddressList 속성을 업데이트하면 Microsoft Exchange Online의 주소 목록 설정에서 받는 사람 숨기기도 업데이트됩니다.
주소 목록에서 받는 사람 숨기기 설정(showInAddressList 속성과 다르게 구성된 경우)은 주소 목록 표시 여부를 결정하는 데 우선적으로 적용됩니다.
사용자 유형 게스트로 인해 Exchange 관리 센터에서 받는 사람 숨기기 설정을 구성할 수 없는 경우 HiddenFromAddressListsEnabled 속성을 사용하여 PowerShell에서 구성할 수 있습니다.
자세한 내용은 전체 주소 목록에 게스트 추가를 참조하세요.
테넌트 간 동기화를 사용하여 관리되는 전체 주소 목록
- 테넌트 간 동기화를 사용하여 속성을 동기화하는 경우 원본 테넌트의 showInAddressList는 대상 테넌트에서 주소 목록 표시 유형을 제어하는 데 사용할 수 있습니다.
- 반면에 원본 테넌트의 주소 목록에서 받는 사람 숨기기는 대상 테넌트에서 주소 목록 표시 유형에 영향을 주도록 사용할 수 없습니다.
Microsoft 앱
SharePoint OneDrive 사용자 인터페이스에서 Fabrikam의 사용자와 파일을 공유할 때 현재 사용자 인터페이스는 직관적이지 않을 수 있습니다. Contoso의 Fabrikam에 있는 B2B 멤버가 Fabrikam의 사용자에 포함되기 때문입니다.
Microsoft 365 관리 센터, Microsoft Forms, Microsoft OneNote 및 Microsoft Planner에서는 B2B 멤버 사용자가 지원되지 않을 수 있습니다.
Microsoft Power BI에서의 B2B 멤버 지원은 현재 미리 보기로 제공됩니다. B2B 게스트 사용자는 Power BI 대시보드에 계속 액세스할 수 있습니다.
Microsoft Power Apps, Microsoft Dynamics 365 및 관련 워크로드에서 B2B 멤버 사용자는 사용할 수 있는 기능이 제한될 수 있습니다. 자세한 내용은 Microsoft Entra B2B 협업으로 사용자 초대를 참조하세요.
Microsoft Purview에서는 다중 테넌트 조직 기능이 아직 지원되지 않습니다. 외부 사용자 및 레이블이 지정된 콘텐츠에 대한 기존 기능과 민감도 레이블 사용한 외부 협업에 대해 알아봅니다.
Microsoft Intune에서는 다중 테넌트 조직 기능이 아직 지원되지 않습니다. 외부 조직의 규격 디바이스 클레임을 신뢰하기 위한 기존 기능에 대해 자세히 알아봅니다.
B2B 사용자 또는 B2B 멤버
다중 테넌트 조직의 일부로 이미 상환된 B2B 사용자에 대한 상환 다시 설정은 현재 사용하지 않도록 설정되어 있습니다.
B2B 사용자의 대규모 프로비저닝이 연락처 개체와 충돌할 수 있습니다. 연락처 개체의 처리 또는 변환은 현재 지원되지 않습니다.
테넌트 간 동기화를 사용하여 B2B 사용자로 변환된 하이브리드 ID를 대상으로 지정하는 기능은 인증 원본에서 테스트되지 않았으며 지원되지 않습니다.
로그인한 사용자는 보안 읽기 권한자 또는 글로벌 읽기 권한자와 같은 역할을 할당받지 않고도 다중 테넌트 조직 및 다중 테넌트 조직 멤버 테넌트의 기본 특성을 읽을 수 있습니다.
테넌트 간 동기화 프로비전 해제
기본적으로 동기화 작업이 실행되는 동안 프로비전 범위가 줄어들면 삭제를 위한 대상 개체 작업이 사용하지 않도록 설정되지 않는 한 사용자는 범위를 벗어나 일시 삭제됩니다. 자세한 내용은 프로비전 해제 및 프로비전 범위 내에 있는 사용자 정의를 참조하세요.
현재 SkipOutOfScopeDeletions는 애플리케이션 프로비전 작업에는 작동하지만 테넌트 간 동기화에는 작동하지 않습니다. 테넌트 간 동기화 범위를 벗어난 사용자의 일시 삭제를 방지하려면 삭제 대상 개체 작업을 사용하지 않도록 설정으로 설정합니다.