다음을 통해 공유


게스트 액세스 및 B2B 외부 사용자 액세스를 허용하는 정책

이 문서에서는 Microsoft Entra B2B(Business-to-Business) 계정이 있는 게스트 및 외부 사용자에 대한 액세스를 허용하도록 권장되는 제로 트러스트 ID 및 디바이스 액세스 정책을 조정하는 방법을 설명합니다. 이 지침은 일반적인 ID 및 디바이스 액세스 정책을 기반으로 합니다.

이러한 권장 사항은 보호의 시작 지점 계층에 적용되도록 설계되었습니다. 그러나 엔터프라이즈특수 보안 보호에 대한 특정 요구 사항에 따라 권장 사항을 조정할 수도 있습니다.

B2B 계정이 Microsoft Entra 테넌트로 인증할 수 있는 경로를 제공해도 이러한 계정이 전체 환경에 액세스할 수 있는 것은 아닙니다. B2B 사용자 및 해당 계정은 조건부 액세스 정책에서 파일과 같은 서비스 및 리소스에 액세스할 수 있습니다.

게스트 및 외부 사용자 액세스를 허용 및 보호하도록 일반 정책 업데이트

이 다이어그램에서는 B2B 게스트 및 외부 사용자 액세스에 대한 공통 ID 및 디바이스 액세스 정책 중에서 추가하거나 업데이트할 정책을 보여 드립니다.

게스트 액세스를 보호하기 위한 정책 업데이트의 요약을 보여 주는 다이어그램

다음 표에서는 만들고 업데이트해야 하는 정책을 나열합니다. 공통 정책은 공통 ID 및 디바이스 액세스 정책 문서의 관련 구성 지침에 연결됩니다.

보호 수준 정책 자세한 정보
출발점 게스트 및 외부 사용자에 대해 항상 MFA 필요 이 새 정책을 만들고 다음을 구성합니다.
  • 할당 > 사용자 및 그룹 > 포함의 경우 사용자 및 그룹 선택을 선택한 다음 모든 게스트 및 외부 사용자를 선택합니다.
  • 할당 > 조건 > 로그인 위험의 경우 모든 로그인 위험 수준을 선택합니다.
로그인 위험이 중간 또는 높은 경우 MFA 필요 게스트 및 외부 사용자를 제외하도록 이 정책을 수정합니다.

조건부 액세스 정책에 게스트 및 외부 사용자를 포함하거나 제외하려면 할당 > 사용자 및 그룹 > 포함 또는 제외에 대해 모든 게스트 및 외부 사용자를 검사.

게스트 및 외부 사용자를 제외하는 컨트롤의 스크린샷.

자세한 정보

Microsoft Teams를 사용하여 게스트 및 외부 사용자 액세스

Microsoft Teams는 다음 사용자를 정의합니다.

  • 게스트 액세스 는 팀의 구성원으로 추가될 수 있고 팀의 통신 및 리소스에 액세스할 수 있는 Microsoft Entra B2B 계정을 사용합니다.

  • 외부 액세스 는 B2B 계정이 없는 외부 사용자를 위한 것입니다. 외부 사용자 액세스에는 초대, 통화, 채팅 및 모임이 포함되지만 팀 구성원 자격 및 팀 리소스에 대한 액세스는 포함되지 않습니다.

자세한 내용은 게스트와 팀의 외부 사용자 액세스 간의 비교를 참조 하세요.

Teams의 ID 및 디바이스 액세스 정책 보안에 대한 자세한 내용은 Teams 채팅, 그룹 및 파일 보안에 대한 정책 권장 사항을 참조하세요.

게스트 및 외부 사용자에 대해 항상 MFA 필요

이 정책은 게스트가 홈 테넌트에서 MFA에 등록되었는지 여부에 관계없이 테넌트에서 MFA에 등록하라는 메시지를 표시합니다. 테넌트에서 리소스에 액세스하는 게스트 및 외부 사용자는 모든 요청에 MFA를 사용해야 합니다.

위험 기반 MFA에서 게스트 및 외부 사용자 제외

조직은 Microsoft Entra ID Protection을 사용하여 B2B 사용자에게 위험 기반 정책을 적용할 수 있지만, 해당 ID가 홈 디렉터리에 있기 때문에 리소스 디렉터리에서 B2B 협업 사용자를 위한 Microsoft Entra ID Protection 구현에는 제한이 있습니다. 이러한 제한 사항으로 인해 Microsoft는 위험 기반 MFA 정책에서 게스트를 제외하고 이러한 사용자가 항상 MFA를 사용하도록 요구하는 것이 좋습니다.

자세한 내용은 B2B 협업 사용자에 대한 ID 보호의 제한 사항을 참조 하세요.

디바이스 관리에서 게스트 및 외부 사용자 제외

하나의 조직만 디바이스를 관리할 수 있습니다. 디바이스 준수가 필요한 정책에서 게스트 및 외부 사용자를 제외하지 않는 경우 이러한 정책은 이러한 사용자를 차단합니다.

다음 단계

Microsoft 365 클라우드 앱 및 클라우드용 Microsoft Defender 앱에 대한 정책 스크린샷

다음을 위해 조건부 액세스 정책을 구성합니다.