다음을 통해 공유

Microsoft Entra B2B 협업을 사용하여 관리되는 공동 작업으로 전환

공동 작업을 이해하면 리소스에 대한 외부 액세스를 보호하는 데 도움이 됩니다. 이 문서의 정보를 사용하여 외부 협업을 Microsoft Entra B2B 공동 작업으로 이동합니다.

시작하기 전 주의 사항:

이 문서는 10개 문서 시리즈 중 5번입니다. 문서를 순서대로 검토하는 것이 좋습니다. 전체 시리즈를 보려면 다음 단계 섹션으로 이동합니다.

공동 작업 제어

사용자가 공동 작업하는 조직(인바운드 및 아웃바운드)과 조직에서 게스트를 초대할 수 있는 사용자를 제한할 수 있습니다. 대부분의 조직에서는 사업부에서 공동 작업을 결정하고 승인 및 감독을 위임할 수 있도록 허용합니다. 예를 들어 정부, 교육 및 재무의 조직은 공개 협업을 허용하지 않는 경우가 많습니다. Microsoft Entra 기능을 사용하여 공동 작업을 제어할 수 있습니다.

테넌트 액세스를 제어하려면 다음 솔루션 중 하나 이상을 배포합니다.

  • 외부 공동 작업 설정 - 초대를 받는 전자 메일 도메인 제한
  • 테넌트 간 액세스 설정 - 사용자, 그룹 또는 테넌트(인바운드)에 의한 게스트의 애플리케이션 액세스를 제어합니다. 사용자(아웃바운드)에 대한 외부 Microsoft Entra 테넌트 및 애플리케이션 액세스를 제어합니다.
  • 연결된 조직 – 권한 관리에서 액세스 패키지를 요청할 수 있는 조직 결정

공동 작업 파트너 확인

필요한 경우 공동 작업하는 조직 및 조직 사용자의 도메인을 문서화합니다. 도메인 기반 제한은 실용적이지 않을 수 있습니다. 한 공동 작업 파트너는 여러 도메인을 가질 수 있으며 파트너는 도메인을 추가할 수 있습니다. 예를 들어 여러 사업부를 사용하는 파트너는 별도의 도메인을 사용하여 동기화를 구성할 때 더 많은 도메인을 추가할 수 있습니다.

사용자가 Microsoft Entra B2B를 사용하는 경우 로그인 로그, PowerShell 또는 통합 문서를 사용하여 공동 작업 중인 외부 Microsoft Entra 테넌트를 검색할 수 있습니다. 더 알아보세요:

다음 방법을 통해 향후 공동 작업을 활성화할 수 있습니다.

  • 외부 조직 - 가장 포괄
  • 외부 조직, 하지만 거부된 조직은 아님
  • 특정 외부 조직 - 가장 제한적

비고

공동 작업 설정이 매우 제한적인 경우 사용자가 공동 작업 프레임워크를 벗어날 수 있습니다. 보안 요구 사항에서 허용하는 광범위한 협업을 사용하도록 설정하는 것이 좋습니다.

한 도메인으로 제한하면 관련이 없는 다른 도메인이 있는 조직과의 권한 있는 공동 작업을 방지할 수 있습니다. 예를 들어, Contoso와의 초기 연락 지점은 .com 도메인을 가진 전자 메일을 사용하는 미국에 있는 직원일 수 있습니다. 그러나 .com 도메인만 허용하는 경우 .ca 도메인을 가진 캐나다 직원을 생략할 수 있습니다.

사용자의 하위 집합에 대해 특정 공동 작업 파트너를 허용할 수 있습니다. 예를 들어 대학은 학생 계정이 외부 테넌트에 액세스하지 못하도록 제한할 수 있지만 교수진이 외부 조직과 공동 작업하도록 허용할 수 있습니다.

외부 공동 작업 설정을 사용하여 허용 목록 및 차단 목록

조직에 대해 허용 목록 또는 차단 목록을 사용할 수 있습니다. 허용 목록 또는 차단 목록을 모두 사용할 수 없습니다.

  • 허용 목록 - 공동 작업을 도메인 목록으로 제한합니다. 다른 도메인은 차단 목록에 있습니다.
  • 차단 목록 - 차단 목록에 없는 도메인과의 공동 작업 허용

자세한 정보: 특정 조직의 B2B 사용자에 대한 초대 허용 또는 차단

중요합니다

허용 목록 및 차단 목록은 디렉터리의 사용자에게 적용되지 않습니다. 기본적으로 비즈니스용 OneDrive 및 SharePoint 허용 목록 또는 차단 목록에는 적용되지 않습니다. 이러한 목록은 별개입니다. 그러나 SharePoint-OneDrive B2B 통합을 사용하도록 설정할 수 있습니다.

일부 조직에는 관리되는 보안 공급자의 잘못된 행위자 도메인 차단 목록이 있습니다. 예를 들어 조직에서 Contoso와 비즈니스를 수행하고 도메인을 .com 사용하는 경우 관련 없는 조직에서 도메인을 .org 사용하고 피싱 공격을 시도할 수 있습니다.

테넌트 간 액세스 설정

테넌트 간 액세스 설정을 사용하여 인바운드 및 아웃바운드 액세스를 제어할 수 있습니다. 또한 외부 Microsoft Entra 테넌트의 다요소 인증, 호환 디바이스 및 Microsoft Entra 하이브리드 조인 디바이스 클레임을 신뢰할 수 있습니다. 조직 정책을 구성하면 Microsoft Entra 테넌트에 적용되며 도메인 접미사에 관계없이 해당 테넌트의 사용자에게 적용됩니다.

21Vianet 또는 Azure Government에서 운영하는 Microsoft Azure와 같은 Microsoft 클라우드에서 협업을 사용하도록 설정할 수 있습니다. 공동 작업 파트너가 다른 Microsoft 클라우드에 상주하는지 여부를 확인합니다.

더 알아보세요:

특정 테넌트(허용 목록)에 대한 인바운드 액세스를 허용하고 액세스를 차단하도록 기본 정책을 설정할 수 있습니다. 그런 다음 사용자, 그룹 또는 애플리케이션의 액세스를 허용하는 조직 정책을 만듭니다.

테넌트에 대한 액세스를 차단할 수 있습니다(차단 목록). 기본 정책을 허용 으로 설정한 다음 일부 테넌트에 대한 액세스를 차단하는 조직 정책을 만듭니다.

비고

테넌트 간 액세스 설정에서 인바운드 액세스는 사용자가 초대를 보내거나 초대를 사용하는 것을 방지하지 않습니다. 그러나 애플리케이션 액세스 및 토큰이 게스트 사용자에게 발급되는지 여부를 제어합니다. 게스트가 초대를 사용할 수 있는 경우 정책은 애플리케이션 액세스를 차단합니다.

외부 조직 사용자의 액세스를 제어하려면 인바운드 액세스와 비슷하게 아웃바운드 액세스 정책(허용 목록 및 차단 목록)을 구성합니다. 기본 및 조직별 정책을 구성합니다.

자세한 정보: B2B 협업을 위한 테넌트 간 액세스 설정 구성

비고

테넌트 간 액세스 설정은 Microsoft Entra 테넌트에 적용됩니다. Microsoft Entra ID를 사용하지 않는 파트너에 대한 액세스를 제어하려면 외부 공동 작업 설정을 사용합니다.

권한 관리 및 연결된 조직

권한 관리를 사용하여 자동 게스트 수명 주기 거버넌스를 보장합니다. 액세스 패키지를 만들고 외부 사용자 또는 Microsoft Entra 테넌트 및 기타 도메인을 지원하는 연결된 조직에 게시합니다. 액세스 패키지를 만들 때 연결된 조직에 대한 액세스를 제한합니다.

자세한 정보: 자격 관리란?

외부 사용자 액세스 제어

공동 작업을 시작하려면 파트너가 리소스에 액세스하도록 초대하거나 사용하도록 설정합니다. 사용자는 다음을 통해 액세스 권한을 얻습니다.

Microsoft Entra B2B를 사용하도록 설정하면 링크 및 전자 메일 초대를 사용하여 게스트 사용자를 초대할 수 있습니다. 셀프 서비스 등록 및 내 액세스 포털에 액세스 패키지를 게시하려면 더 많은 구성이 필요합니다.

비고

셀프 서비스 등록은 외부 공동 작업 설정에서 허용 목록 또는 차단 목록을 적용하지 않습니다. 대신 테넌트 간 액세스 설정을 사용합니다. 사용자 지정 API 커넥터를 사용하여 셀프 서비스 등록과 허용 목록 및 차단 목록을 통합할 수 있습니다. 사용자 흐름에 API 커넥터를 추가합니다.

게스트 사용자 초대

게스트 사용자를 리소스에 액세스하도록 초대할 수 있는 사용자를 결정합니다.

  • 가장 제한적: 게스트 초대자 역할을 가진 관리자 및 사용자만 허용
  • 보안 요구 사항이 허용되면 모든 Member UserType이 게스트를 초대하도록 허용합니다.
  • 게스트 UserType에서 게스트를 초대할 수 있는지 확인

    • 게스트는 기본 Microsoft Entra B2B 사용자 계정입니다.

      게스트 초대 설정의 스크린샷.

외부 사용자 정보

Microsoft Entra 권한 관리를 사용하여 외부 사용자가 대답하는 질문을 구성합니다. 이 질문은 승인자가 결정을 내리는 데 도움이 되는 것으로 보입니다. 각 액세스 패키지 정책에 대한 질문 집합을 구성할 수 있으므로 승인자는 승인한 액세스에 대한 관련 정보를 갖습니다. 예를 들어 공급업체 계약 번호를 공급업체에 요청합니다.

자세한 정보: 권한 관리에서 액세스 패키지에 대한 승인 및 요청자 정보 설정 변경

셀프 서비스 포털을 사용하는 경우 API 커넥터를 사용하여 등록하는 동안 사용자 특성을 수집합니다. 특성을 사용하여 액세스 권한을 할당합니다. Azure Portal에서 사용자 지정 특성을 만들고 셀프 서비스 등록 사용자 흐름에서 사용할 수 있습니다. Microsoft Graph API를 사용하여 이러한 특성을 읽고 씁니다.

더 알아보세요:

Microsoft Entra 사용자에 대한 초대 상환 문제 해결

공동 작업 파트너의 초대된 게스트 사용자는 초대를 사용하는 데 문제가 있을 수 있습니다. 완화 방법은 다음 목록을 참조하세요.

  • 사용자 도메인이 허용 목록에 없음
  • 파트너의 홈 테넌트 제한으로 인해 외부 공동 작업이 방지됩니다.
  • 사용자가 파트너 Microsoft Entra 테넌트에 있지 않습니다. 예를 들어 contoso.com 사용자는 Active Directory에 있습니다.

외부 사용자 액세스

일반적으로 외부 사용자와 공유할 수 있는 리소스가 있으며, 일부는 공유할 수 없습니다. 외부 사용자가 액세스하는 항목을 제어할 수 있습니다.

자세한 정보: 권한 관리를 사용하여 외부 액세스 관리

기본적으로 게스트 사용자는 그룹 멤버 자격을 포함하여 테넌트 멤버 및 기타 파트너에 대한 정보와 특성을 볼 수 있습니다. 이 정보에 대한 외부 사용자 액세스를 제한하는 것이 좋습니다.

외부 공동 작업 설정의 게스트 사용자 액세스 옵션 스크린샷

다음과 같은 게스트 사용자 제한을 권장합니다.

  • 디렉터리의 검색 그룹 및 기타 속성에 대한 게스트 액세스 제한
    • 외부 공동 작업 설정을 사용하여 게스트가 구성원이 아닌 그룹을 읽지 못하도록 제한
  • 직원 전용 앱에 대한 액세스 차단
    • 게스트가 아닌 사용자에 대한 Microsoft Entra 통합 애플리케이션에 대한 액세스를 차단하는 조건부 액세스 정책 만들기
  • Azure Portal에 대한 액세스 차단
    • 필요한 예외를 만들 수 있습니다.
    • 모든 게스트 및 외부 사용자를 사용하여 조건부 액세스 정책을 만듭니다. 액세스를 차단하는 정책을 구현합니다.

자세한 정보: 조건부 액세스: 클라우드 앱, 작업 및 인증 컨텍스트

액세스가 필요하지 않은 사용자 제거

액세스가 필요하지 않은 사용자를 검토하고 제거하는 프로세스를 설정합니다. 테넌트에 외부 사용자를 게스트로, 구성원 계정을 가진 사용자를 포함합니다.

자세한 정보: Microsoft Entra ID 거버넌스를 사용하여 더 이상 리소스 액세스 권한이 없는 외부 사용자를 검토하고 제거합니다.

일부 조직에서는 외부 사용자를 구성원(공급업체, 파트너 및 계약자)으로 추가합니다. 특성 또는 사용자 이름을 할당합니다.

  • 공급업체 - v-alias@contoso.com
  • 파트너 - p-alias@contoso.com
  • 도급업체 - c-alias@contoso.com

멤버 계정을 사용하여 외부 사용자를 평가하여 액세스를 확인합니다. 권한 관리 또는 Microsoft Entra B2B를 통해 게스트 사용자를 초대하지 않을 수 있습니다.

이러한 사용자를 찾으려면 다음을 수행합니다.

현재 외부 사용자를 Microsoft Entra B2B로 전환

Microsoft Entra B2B를 사용하지 않는 경우 테넌트에 직원이 아닌 사용자가 있을 수 있습니다. 이러한 계정을 Microsoft Entra B2B 외부 사용자 계정으로 전환한 다음 UserType을 게스트로 변경하는 것이 좋습니다. Microsoft Entra ID 및 Microsoft 365를 사용하여 외부 사용자를 처리합니다.

포함 또는 제외:

  • 조건부 액세스 정책의 게스트 사용자
  • 액세스 패키지 및 액세스 검토의 게스트 사용자
  • Microsoft Teams, SharePoint 및 기타 리소스에 대한 외부 액세스

현재 액세스, UPN(사용자 계정 이름) 및 그룹 멤버 자격을 유지하면서 이러한 내부 사용자를 전환할 수 있습니다.

Lear more: B2B 협업에 외부 사용자 초대

공동 작업 방법 서비스 해제

관리되는 공동 작업으로의 전환을 완료하려면 원치 않는 공동 작업 메서드를 해제합니다. 서비스 해제는 협업에 적용할 제어 수준과 보안 태세를 기반으로 합니다. 외부 액세스에 대한 보안 태세를 확인하세요.

Microsoft Teams 초대

기본적으로 Teams는 외부 액세스를 허용합니다. 조직은 외부 도메인과 통신할 수 있습니다. Teams의 도메인을 제한하거나 허용하려면 Teams 관리 센터를 사용합니다.

SharePoint 및 OneDrive를 통해 공유

SharePoint 및 OneDrive를 통해 공유하면 권한 관리 프로세스에 없는 사용자가 추가됩니다.

전자 메일로 보낸 문서 및 민감도 레이블

사용자는 전자 메일로 외부 사용자에게 문서를 보냅니다. 민감도 레이블을 사용하여 문서에 대한 액세스를 제한하고 암호화할 수 있습니다.

민감도 레이블에 대해 자세히 알아보세요.

사용 허가되지 않은 공동 작업 도구

일부 사용자는 Google Docs, Dropbox, Slack 또는 Zoom을 사용할 수 있습니다. 조직 관리 디바이스에 대한 회사 네트워크, 방화벽 수준 및 모바일 애플리케이션 관리에서 이러한 도구의 사용을 차단할 수 있습니다. 그러나 이 작업은 승인된 인스턴스를 차단하고 관리되지 않는 디바이스의 액세스를 차단하지 않습니다. 원하지 않는 도구를 차단하고 사용 허가되지 않은 사용에 대한 정책을 만듭니다.

애플리케이션을 관리하는 방법에 대한 자세한 내용은 다음을 참조하세요.

다음 단계

다음 문서 시리즈를 사용하여 리소스에 대한 외부 액세스 보호에 대해 알아봅니다. 나열된 순서를 따르는 것이 좋습니다.

  1. Microsoft Entra ID를 사용하여 외부 액세스에 대한 보안 태세 결정

  2. 조직에서 외부 협업의 현재 상태 파악

  3. 리소스에 대한 외부 액세스를 위한 보안 계획 수립

  4. Microsoft Entra ID 및 Microsoft 365의 그룹으로 외부 액세스 보호

  5. Microsoft Entra B2B 협업을 사용하여 관리되는 공동 작업으로 전환 (현재 위치)

  6. Microsoft Entra 권한 관리를 사용하여 외부 액세스 관리

  7. 조건부 액세스 정책을 사용하여 리소스에 대한 외부 액세스 관리

  8. 민감도 레이블을 사용하여 Microsoft Entra ID의 리소스에 대한 외부 액세스 제어

  9. Microsoft Entra ID를 사용하여 Microsoft Teams, SharePoint 및 비즈니스용 OneDrive에 대한 외부 액세스 보호

  10. 로컬 게스트 계정을 Microsoft Entra B2B 게스트 계정으로 변환

  • Last updated on