다중 테넌트 조직 선택적 정책 템플릿
리소스를 제어하는 관리자는 다중 테넌트 조직 협업을 위한 지침 원칙입니다. 테넌트 간 액세스 설정은 각 테넌트 간 관계에 필요합니다. 테넌트 관리자는 다중 테넌트 조직 내의 파트너 테넌트용 테넌트 간 액세스 파트너 구성 및 ID 동기화 설정을 명시적으로 구성합니다.
다중 테넌트 조직의 파트너 테넌트에게 동일한 테넌트 간 액세스 설정을 적용하기 위해 각 테넌트 관리자는 다중 테넌트 조직 전용의 선택적 테넌트 간 액세스 설정 템플릿을 구성할 수 있습니다. 이 문서에서는 템플릿을 사용하여 다중 테넌트 조직에 새로 조인하는 파트너 테넌트에게 적용되는 테넌트 간 액세스 설정을 미리 구성하는 방법을 설명합니다.
테넌트 간 액세스 설정 자동 생성
다중 테넌트 조직 내에서 각 테넌트 쌍에는 파트너 구성 및 ID 동기화 모두에 대한 양방향 테넌트 간 액세스 설정이 있어야 합니다. 이러한 설정은 신뢰를 사용하도록 설정하고 사용자 및 애플리케이션을 공유하기 위한 기본 정책 프레임워크를 제공합니다.
테넌트가 새 다중 테넌트 조직에 조인하거나 파트너 테넌트가 기존 다중 테넌트 조직에 조인할 때 확대된 다중 테넌트 조직의 다른 파트너 테넌트의 테넌트 간 액세스 설정이 아직 없는 경우 구성되지 않은 상태로 자동으로 생성됩니다. 구성되지 않은 상태에서 이러한 테넌트 간 액세스 설정은 기본 설정을 통과합니다.
기본 테넌트 간 액세스 설정은 조직별 사용자 지정 설정을 만들지 않은 모든 외부 테넌트에 적용됩니다. 일반적으로 이러한 설정은 비독점 설정으로 구성됩니다. 예를 들어 다단계 인증 및 규격 디바이스 클레임에 대한 테넌트 간 트러스트가 사용하지 않도록 설정되고 B2B 직접 연결 또는 B2B 협업에서 사용자 및 그룹 공유가 허용되지 않을 수 있습니다.
반면 다중 테넌트 조직에서는 일반적으로 테넌트 간 액세스 설정이 신뢰되어야 합니다. 예를 들어 다단계 인증 및 규격 디바이스 클레임에 대한 테넌트 간 트러스트를 사용하도록 설정하고 B2B 직접 연결 또는 B2B 협업에서 사용자 및 그룹 공유를 허용할 수 있습니다.
자체적으로 다중 테넌트 조직 파트너 테넌트에 대한 테넌트 간 액세스 설정의 자동 생성은 인증 또는 권한 부여 정책 동작을 변경하지 않지만 조직 테넌트별로 다중 테넌트 조직 파트너 테넌트 간 액세스 설정을 쉽게 사용자 지정할 수 있습니다.
다중 테넌트 조직 구성의 정책 템플릿
앞서 설명한 대로 다중 테넌트 조직에서 테넌트 간 액세스 설정은 일반적으로 신뢰할 수 있어야 합니다. 예를 들어 다단계 인증 및 규격 디바이스 클레임에 대한 테넌트 간 트러스트를 사용하도록 설정하고 B2B 직접 연결 또는 B2B 협업에서 사용자 및 그룹 공유를 허용할 수 있습니다.
이전 섹션에 따라 테넌트 간 액세스 설정의 자동 생성은 모든 다중 테넌트 조직 파트너 테넌트에 대한 테넌트 간 액세스 설정의 존재를 보장하지만, 다중 테넌트 조직 파트너 테넌트에 대한 테넌트 간 액세스 설정의 추가 유지 관리는 테넌트별로 개별적으로 수행됩니다.
다중 테넌트 조직 형성 시 관리자의 워크로드를 줄이려면 선택적으로 테넌트 간 액세스 설정의 선점 구성을 위해 정책 템플릿을 사용할 수 있습니다. 이러한 템플릿 집합은 테넌트가 다중 테넌트 조직에 모든 외부 다중 테넌트 조직 파트너 테넌트에 조인할 때와 파트너 테넌트가 기존 다중 테넌트 조직을 해당 새 파트너 테넌트에 조인할 때 적용됩니다.
파트너 테넌트가 다중 테넌트 조직에 조인할 때 선택적 정책 템플릿의 사용 또는 구성은 파트너 구성 및 ID 동기화 모두에 대해 해당 테넌트 간 액세스 설정을 선제적으로 수정합니다.
예를 들어 세 개의 테넌트 A, B 및 C가 있는 예상 다중 테넌트 조직에 대한 관리자의 작업을 고려합니다.
- 세 테넌트의 관리자는 다단계 인증 및 규격 디바이스 클레임에 대해 테넌트 간 트러스트를 사용하도록 설정하고 B2B 직접 연결 및 B2B 협업에서 사용자 및 그룹 공유를 허용하도록 해당 선택적 정책 템플릿을 사용하도록 설정하고 구성합니다.
- 관리자 A는 다중 테넌트 조직을 만들고 테넌트 B와 C를 다중 테넌트 조직에 보류 중인 테넌트로 추가합니다.
- 관리자 B가 다중 테넌트 조직에 합류합니다. 테넌트 A 정책 템플릿 설정에 따라 파트너 테넌트 B에 대한 테넌트 A의 테넌트 간 액세스 설정이 수정되었습니다. 그 반대의 경우, 테넌트 B 정책 템플릿 설정에 따라 파트너 테넌트 A에 대한 테넌트 B의 테넌트 간 액세스 설정이 수정됩니다.
- 관리자 C가 다중 테넌트 조직에 합류합니다. 테넌트 A(및 B) 정책 템플릿 설정에 따라 파트너 테넌트 C에 대한 테넌트 A(및 B)의 테넌트 간 액세스 설정이 수정되었습니다. 마찬가지로 테넌트 C 정책 템플릿 설정에 따라 파트너 테넌트 A 및 B에 대한 테넌트 C의 테넌트 간 액세스 설정이 수정됩니다.
- 이 다중 테넌트 조직 세 테넌트가 형성된 후 다중 테넌트 조직 모든 테넌트 쌍의 테넌트 간 액세스 설정이 선제적으로 구성되었습니다.
요약하자면, 선택적 정책 템플릿을 구성하면 다중 테넌트 조직 테넌트 간 액세스 설정을 균일하게 초기화하는 동시에 테넌트별로 필요에 따라 테넌트 간 액세스 설정을 사용자 지정할 수 있는 최대 유연성을 유지할 수 있습니다.
정책 템플릿 사용을 중지하려면 기본 상태로 다시 설정할 수 있습니다. 자세한 내용은 다중 테넌트 조직 템플릿 구성을 참조하세요.
정책 템플릿 범위 지정 및 추가 속성
관리자에게 추가 구성 가능성을 제공하기 위해 정책 템플릿에 따라 테넌트 간 액세스 설정을 수정할 시기를 선택할 수 있습니다. 예를 들어 테넌트가 다중 테넌트 조직에 조인할 때 다음 테넌트용 정책 템플릿을 적용하도록 선택할 수 있습니다.
| 테넌트 | 설명 |
|---|---|
| 새 파트너 테넌트만 | 테넌트 간 액세스 설정이 자동으로 생성된 테넌트 |
| 기존 파트너 테넌트만 | 테넌트 간 액세스 설정이 이미 있는 테넌트 |
| 모든 파트너 테넌트 | 새 파트너 테넌트와 기존 파트너 테넌트 모두 |
| 파트너 테넌트 없음 | 정책 템플릿을 효과적으로 사용하지 않도록 설정 |
이 컨텍스트에서 새 파트너는 아직 테넌트 간 액세스 설정을 구성하지 않은 테넌트를 참조하고 기존 파트너는 이미 테넌트 간 액세스 설정을 구성한 테넌트를 참조합니다. 이 범위는 테넌트 간 액세스 파트너 구성 템플릿의 templateApplicationLevel 속성 및 테넌트 간 액세스 ID 동기화 템플릿의 templateApplicationLevel속성으로 지정됩니다.
마지막으로 템플릿 속성 값의 해석 측면에서의 템플릿 속성 값 null은 대상 테넌트 간 액세스 설정의 해당 속성 값에 영향을 주지 않지만 정의된 템플릿 속성 값은 대상 테넌트 간 액세스 설정의 해당 속성 값을 템플릿에 따라 수정합니다. 다음 표에서는 템플릿 속성 값이 해당 테넌트 간 액세스 설정 값에 적용되는 방법을 보여 줍니다.
| 템플릿 값 | 초기 파트너 설정 값 (다중 테넌트 조직에 조인하기 전) |
최종 파트너 설정 값 (다중 테넌트 조직에 조인한 후) |
|---|---|---|
null |
<파트너 설정 값> | <파트너 설정 값> |
| <템플릿 값> | <어떤 값> | <템플릿 값> |
Microsoft 365 관리 센터가 사용하는 정책 템플릿
Microsoft 365 관리 센터에서 다중 테넌트 조직이 형성되면 관리자는 다음 다중 테넌트 조직 템플릿 집합에 동의합니다.
- ID 동기화는 사용자가 이 테넌트로 동기화할 수 있도록 설정됩니다.
- 인바운드 및 아웃바운드 모두에 대한 사용자 초대를 자동으로 사용하도록 테넌트 간 액세스가 설정됩니다.
이 작업은 해당하는 세 개의 템플릿 속성 값을 true(으)로 설정하여 수행됩니다.
automaticUserConsentSettings.inboundAllowedautomaticUserConsentSettings.outboundAlloweduserSyncInbound
자세한 내용은 Microsoft 365에서 다중 테넌트 조직 조인 또는 탈퇴를 참조하세요.
다중 테넌트 조직 해체 시 테넌트 간 액세스 설정
현재 다중 테넌트 조직 디스어셈블리를 지원하는 동등한 정책 템플릿 기능은 없습니다. 파트너 테넌트가 다중 테넌트 조직을 떠날 때 각 테넌트 관리자는 다중 테넌트 조직을 떠난 파트너 테넌트에 대한 테넌트 간 액세스 설정을 다시 검사하고 그에 따라 수정해야 합니다.
다중 테넌트 조직을 떠난 파트너 테넌트는 이전의 모든 다중 테넌트 조직 파트너 테넌트에 대한 테넌트 간 액세스 설정을 다시 검사하고 그에 따라 수정해야 하며 테넌트 간 액세스 설정을 위한 두 정책 템플릿을 다시 설정하는 것이 좋습니다.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기