다음을 통해 공유

다중 테넌트 사용자 관리에 대한 일반적인 고려 사항

  • 아티클

이 문서는 Microsoft Entra 다중 테넌트 환경에서 사용자 수명 주기 관리를 구성하고 제공하기 위한 지침을 제공하는 일련의 문서 중 세 번째 문서입니다. 시리즈의 다음 문서에서는 설명된 대로 자세한 정보를 제공합니다.

  • 다중 테넌트 사용자 관리 소개는 Microsoft Entra 다중 테넌트 환경에서 사용자 수명 주기 관리를 구성하고 제공하기 위한 지침을 제공하는 일련의 문서 중 첫 번째 문서입니다.
  • 다중 테넌트 사용자 관리 시나리오에서는 다중 테넌트 사용자 관리 기능을 사용할 수 있는 세 가지 시나리오인 최종 사용자 시작, 스크립팅 및 자동화를 설명합니다.
  • 시나리오에서 단일 테넌트가 작동하지 않는 경우 다중 테넌트 사용자 관리에 대한 일반적인 솔루션은 테넌트 간에 자동 사용자 수명 주기 관리 및 리소스 할당, 테넌트 간에 온-프레미스 앱 공유와 같은 문제에 대한 지침을 제공하는 문서입니다.

이 지침은 일관된 사용자 수명 주기 관리 상태를 달성하는 데 도움이 됩니다. 수명 주기 관리에는 Microsoft Entra B2B Collaboration(B2B) 및 테넌트 간 동기화를 포함하는 사용 가능한 Azure 도구를 사용하여 테넌트 전체에서 사용자를 프로비전, 관리, 프로비전 해제하는 작업이 포함됩니다.

동기화 요구 사항은 조직의 특정 요구 사항에 따라 다릅니다. 조직의 요구 사항을 충족하는 솔루션을 설계할 때 이 문서의 다음 고려 사항은 최상의 옵션을 식별하는 데 도움이 됩니다.

  • 테넌트 간 동기화
  • 디렉터리 개체
  • Microsoft Entra 조건부 액세스
  • 추가 액세스 제어
  • Office 365

테넌트 간 동기화

테넌트 간 동기화는 다중 테넌트 조직의 공동 작업 및 액세스 문제를 해결할 수 있습니다. 다음 표에서는 일반적인 동기화 사용 사례를 보여 줍니다. 두 개 이상의 협업 패턴과 관련된 고려 사항이 있는 경우 테넌트 간 동기화와 고객 개발을 모두 사용하여 사용 사례를 충족할 수 있습니다.

사용 사례 테넌트 간 동기화 사용자 지정 개발
사용자 수명 주기 관리 확인 표시 아이콘 확인 표시 아이콘
파일 공유 및 앱 액세스 확인 표시 아이콘 확인 표시 아이콘
소버린 클라우드와의 동기화 지원 확인 표시 아이콘
리소스 테넌트의 동기화 제어 확인 표시 아이콘
동기화 그룹 개체 확인 표시 아이콘
동기화 관리자 링크 확인 표시 아이콘 확인 표시 아이콘
특성 수준 권위의 원천 확인 표시 아이콘
Microsoft Windows Server Active Directory에 대한 Microsoft Entra 쓰기 저장 확인 표시 아이콘

디렉터리 개체 고려 사항

UPN과 SMTP 주소를 사용하여 외부 사용자 초대

Microsoft Entra B2B는 사용자의 UPN(UserPrincipalName)이 초대를 보내기 위한 기본 SMTP(메일 전송 프로토콜) 주소입니다. 사용자의 UPN이 기본 SMTP 주소와 동일한 경우 B2B는 예상대로 작동합니다. 그러나 UPN이 외부 사용자의 기본 SMTP 주소와 다른 경우 사용자가 초대를 수락할 때 확인되지 못할 수 있습니다. 사용자의 실제 UPN을 모르는 경우 이 문제가 발생할 수 있습니다. B2B에 대한 초대를 보낼 때 UPN을 검색하고 사용해야 합니다.

이 문서의 Microsoft Exchange Online 섹션에서는 외부 사용자의 기본 주 SMTP를 변경하는 방법을 설명합니다. 이 기술은 외부에 대한 모든 이메일과 알림이 UPN이 아닌 실제 기본 SMTP 주소로 흐르도록 하려는 경우에 유용합니다. UPN이 메일 흐름을 라우팅할 수 없는 경우 요구 사항일 수 있습니다.

외부 사용자의 UserType 변환

콘솔을 사용하여 외부 사용자 계정에 대한 초대를 수동으로 만들면 게스트 사용자 형식의 사용자 개체가 만들어집니다. 다른 기술을 사용하여 초대를 만들면 사용자 유형을 외부 게스트 계정이 아닌 다른 것으로 설정할 수 있습니다. 예를 들어, API를 사용할 때 해당 계정이 외부 멤버 계정인지 외부 게스트 계정인지 구성할 수 있습니다.

외부 게스트 사용자에서 외부 멤버 사용자 계정으로 변환하는 경우 Exchange Online에서 B2B 계정을 처리하는 방법에 문제가 있을 수 있습니다. 외부 멤버 사용자로 초대한 메일 사용 가능 계정은 사용할 수 없습니다. 외부 멤버 계정에서 메일을 사용하도록 설정하려면 다음과 같은 최선의 방식을 사용합니다.

  • 조직 간 사용자를 외부 게스트 사용자 계정으로 초대합니다.
  • 계정을 GAL에 표시합니다.
  • UserType을 Member로 설정합니다.

이 방식을 사용하면 계정이 Exchange Online 및 Office 365 전체에서 MailUser 개체로 표시됩니다. 또한 타이밍 문제가 있다는 점에 유의합니다. Microsoft Entra 사용자 ShowInAddressList 속성이 Exchange Online PowerShell HiddenFromAddressListsEnabled 속성(서로 반대임)과 일치하는지 확인하여 사용자가 GAL에 표시되는지 확인합니다. 이 문서의 Microsoft Exchange Online 섹션에서는 공개 상태 변경에 대한 자세한 정보를 제공합니다.

멤버 사용자를 게스트 사용자로 변환할 수 있습니다. 이는 게스트 수준 권한으로 제한하려는 내부 사용자에게 유용합니다. 내부 게스트 사용자는 조직의 직원은 아니지만 해당 사용자 및 자격 증명을 관리하는 사용자입니다. 내부 게스트 사용자에게 라이선스를 부여하지 않도록 할 수 있습니다.

외부 사용자 또는 멤버 대신 메일 연락처 개체 사용과 관련된 문제

기존 GAL 동기화를 사용하여 다른 테넌트의 사용자를 나타낼 수 있습니다. Microsoft Entra B2B 협업을 사용하지 않고 GAL 동기화를 수행하면 메일 연락처 개체가 만들어집니다.

  • 메일 연락처 개체와 메일 사용이 가능한 외부 멤버 또는 게스트 사용자는 동일한 이메일 주소를 사용하여 동일한 테넌트에 동시에 존재할 수 없습니다.
  • 초대된 외부 사용자와 동일한 메일 주소에 대한 메일 연락처 개체가 존재하는 경우 외부 사용자가 만들어지지만 메일을 사용할 수는 없습니다.
  • 메일 사용이 가능한 외부 사용자가 동일한 메일에 존재하는 경우 메일 연락처 개체를 만들려고 하면 만들 때 예외가 발생합니다.

Important

메일 연락처를 사용하려면 AD DS(Active Directory Services) 또는 Exchange Online PowerShell이 필요합니다. Microsoft Graph는 연락처 관리를 위한 API 호출을 제공하지 않습니다.

다음 표에는 메일 연락처 개체 및 외부 사용자 상태의 결과가 표시됩니다.

기존 상태 프로비저닝 시나리오 유효 결과
없음 B2B 멤버 초대 이메일을 사용하지 않는 구성원 사용자. 중요 참고 사항을 참조합니다.
None B2B 게스트 초대 메일 사용이 가능한 외부 사용자입니다.
메일 연락처 개체가 있음 B2B 멤버 초대 오류. 프록시 주소의 충돌.
메일 연락처 개체가 있음 B2B 게스트 초대 메일 연락처 및 메일 사용 불가 외부 사용자. 중요 참고 사항을 참조합니다.
메일 사용 외부 게스트 사용자 메일 연락처 개체 만들기 오류
메일 사용이 가능한 외부 멤버 사용자가 존재합니다. 메일 연락처 만들기 오류

Microsoft는 다음을 만들기 위해 기존 GAL 동기화 대신 Microsoft Entra B2B 협업을 사용하는 것이 좋습니다.

  • GAL에 표시하도록 설정한 외부 사용자입니다.
  • 기본적으로 GAL에 표시되지만 메일을 사용할 수 없는 외부 멤버 사용자입니다.

메일 연락처 개체를 사용하여 GAL에 사용자를 표시하도록 선택할 수 있습니다. 이 방식은 메일 연락처가 보안 주체가 아니기 때문에 다른 권한을 제공하지 않고 GAL을 통합합니다.

목표를 달성하려면 다음 권장 방식을 따릅니다.

  • 게스트 사용자를 초대합니다.
  • GAL에서 숨김 해제합니다.
  • 로그인을 차단하여 사용하지 않도록 설정합니다.

메일 연락처 개체는 사용자 개체로 변환될 수 없습니다. 따라서 메일 연락처 개체와 연결된 속성(예: 그룹 멤버 자격 및 기타 리소스 액세스)은 전송할 수 없습니다. 사용자를 나타내기 위해 메일 연락처 개체를 사용하면 다음과 같은 문제가 발생합니다.

  • Office 365 그룹 Office 365 그룹은 그룹의 멤버가 되고 그룹과 연결된 콘텐츠와 상호 작용할 수 있는 사용자 형식을 관리하는 정책을 지원합니다. 예를 들어 그룹은 게스트 사용자의 참가를 허용하지 않을 수 있습니다. 이러한 정책은 메일 연락처 개체를 제어할 수 없습니다.
  • Microsoft Entra SSGM(셀프 서비스 그룹 관리) 메일 연락처 개체는 SSGM 기능을 사용하는 그룹의 멤버가 될 수 없습니다. 받는 사람이 사용자 개체 대신 연락처로 표시되는 그룹을 관리하는 데 더 많은 도구가 필요할 수 있습니다.
  • Microsoft Entra ID 거버넌스, 액세스 검토. 액세스 검토 기능을 사용하여 Office 365 그룹의 멤버 자격을 검토하고 증명할 수 있습니다. 액세스 검토는 사용자 개체를 기반으로 합니다. 메일 연락처 개체로 표시되는 멤버는 액세스 검토 범위를 벗어납니다.
  • Microsoft Entra ID 거버넌스, EM(권한 관리). EM을 사용하여 회사의 EM 포털에서 외부 사용자에 대한 셀프 서비스 액세스 요청을 사용하도록 설정하면 요청 시 사용자 개체가 만들어집니다. 메일 연락처 개체는 지원하지 않습니다.

Microsoft Entra 조건부 액세스 고려 사항

사용자 홈 테넌트의 사용자, 디바이스 또는 네트워크 상태는 리소스 테넌트에 전달되지 않습니다. 따라서 외부 사용자는 다음 제어를 사용하는 조건부 액세스 정책을 충족하지 못할 수 있습니다.

허용되는 경우 홈 테넌트에서 다단계 인증 및 디바이스 준수를 준수하는 CTAS(테넌트 간 액세스 설정)을 사용하여 이 동작을 재정의할 수 있습니다.

  • 다단계 인증이 필요합니다. CTAS가 구성되지 않은 경우 외부 사용자는 리소스 테넌트에서 다단계 인증을 등록/응답해야 합니다(홈 테넌트에서 다단계 인증이 충족된 경우에도 동일). 이 시나리오에서는 여러 다단계 인증 문제가 발생합니다. 다단계 인증 증명을 다시 설정해야 하는 경우 테넌트 전체에서 여러 다단계 인증 증명 등록을 인식하지 못할 수 있습니다. 인식하지 못하는 경우 사용자가 홈 테넌트, 리소스 테넌트 또는 둘 다의 관리자에게 문의해야 할 수 있습니다.
  • 디바이스가 준수 상태로 표시되어야 합니다. CTAS가 구성되지 않으면 디바이스 ID가 리소스 테넌트에 등록되지 않으므로 외부 사용자는 이 제어가 필요한 리소스에 액세스할 수 없습니다.
  • Microsoft Entra 하이브리드 조인 디바이스가 필요합니다. CTAS를 구성하지 않으면 리소스 테넌트(또는 리소스 테넌트에 연결된 온-프레미스 Active Directory)에 디바이스 ID가 등록되지 않습니다. 따라서 외부 사용자는 이 컨트롤이 필요한 리소스에 액세스할 수 없습니다.
  • 승인된 클라이언트 앱이 필요하거나 앱 보호 정책이 필요합니다. CTAS를 구성하지 않으면 외부 사용자는 디바이스 등록도 필요하기 때문에 리소스 테넌트 Intune MAM(모바일 애플리케이션 관리) 정책을 적용할 수 없습니다. 이 제어를 사용하는 리소스 테넌트 CA(조건부 액세스) 정책에서는 홈 테넌트 MAM 보호에서 정책을 충족하도록 허용하지 않습니다. 모든 MAM 기반 조건부 액세스 정책에서 외부 사용자를 제외합니다.

또한 다음 조건부 액세스 조건을 사용할 수 있지만 발생할 수 있는 결과에 유의합니다.

  • 로그인 위험 및 사용자 위험. 홈 테넌트에서의 사용자 행동에 따라 로그인 위험과 사용자 위험이 부분적으로 결정됩니다. 홈 테넌트는 데이터와 위험 점수를 저장합니다. 리소스 테넌트 정책이 외부 사용자를 차단하는 경우 리소스 테넌트 관리자가 액세스를 사용하도록 설정하지 못할 수도 있습니다. Microsoft Entra ID Protection 및 B2B 사용자에서는 Microsoft Entra ID Protection이 Microsoft Entra 사용자의 손상된 자격 증명을 검색하는 방법을 설명합니다.
  • 위치. 리소스 테넌트의 명명된 위치 정의에 따라 정책 범위가 결정됩니다. 정책 범위는 홈 테넌트에서 관리되는 신뢰할 수 있는 위치를 평가하지 않습니다. 조직에서 테넌트 간에 신뢰할 수 있는 위치를 공유하려는 경우 리소스 및 조건부 액세스 정책을 정의하는 각 테넌트의 위치를 정의합니다.

다중 테넌트 환경 보안

다중 테넌트 환경의 보안은 각 테넌트가 보안 모범 사례를 준수하도록 하는 것에서 시작됩니다. 테넌트 보안에 대한 지침은 보안 검사 목록모범 사례를 검토합니다. 이러한 모범 사례를 따르고 긴밀하게 협력하는 테넌트와 함께 검토합니다.

관리자 계정 보호 및 최소 권한 보장

다중 테넌트 환경 모니터링

  • 감사 로그 UI, API 또는 Azure Monitor 통합(사전 경고용)을 사용하여 테넌트 간 액세스 정책의 변경 내용을 모니터링합니다. 감사 이벤트는 "CrossTenantAccessSettings" 및 "CrossTenantIdentitySyncSettings" 범주를 사용합니다. 이러한 범주에서 감사 이벤트를 모니터링하면 테넌트의 테넌트 간 액세스 정책 변경 내용을 식별하고 작업을 수행할 수 있습니다. Azure Monitor에서 경고를 만들 때 다음 쿼리와 같은 쿼리를 만들어 테넌트 간 액세스 정책 변경을 식별할 수 있습니다.
AuditLogs
| where Category contains "CrossTenant"
  • 테넌트 간 액세스 설정에 추가된 새 파트너를 모니터링합니다.
AuditLogs
| where OperationName == "Add a partner to cross-tenant access setting"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].displayName == "tenantId"
| extend initiating_user=parse_json(tostring(InitiatedBy.user)).userPrincipalName
| extend source_ip=parse_json(tostring(InitiatedBy.user)).ipAddress
| extend target_tenant=parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue
| project TimeGenerated, OperationName,initiating_user,source_ip, AADTenantId,target_tenant
| project-rename source_tenant= AADTenantId
  • 동기화를 허용/허용하지 않는 테넌트 간 액세스 정책의 변경 사항을 모니터링합니다.
AuditLogs
| where OperationName == "Update a partner cross-tenant identity sync setting"
| extend a = tostring(TargetResources)
| where a contains "true"
| where parse_json(tostring(TargetResources[0].modifiedProperties))[0].newValue contains "true"
  • 테넌트 간 액세스 작업 대시보드를 사용하여 테넌트의 애플리케이션 액세스를 모니터링합니다. 모니터링을 통해 테넌트의 리소스에 액세스하는 사용자와 해당 사용자가 어디에서 는지 확인할 수 있습니다.

동적 멤버 자격 그룹.

조직에서 기존 조건부 액세스 정책에서 모든 사용자 동적 멤버 자격 그룹 조건을 사용하는 경우 외부 사용자는 모든 사용자의 범위에 속하므로 이 정책이 영향을 미칩니다.

기본값으로 거부

  • 애플리케이션에 대한 사용자 할당이 필요합니다. 애플리케이션의 사용자 할당이 필요하나요? 속성 집합이 아니요로 설정된 경우 외부 사용자가 애플리케이션에 액세스할 수 있습니다. 특히 중요한 정보가 애플리케이션에 포함된 경우 애플리케이션 관리자는 액세스 제어 영향을 이해해야 합니다. Microsoft Entra 앱을 Microsoft Entra 테넌트의 사용자 집합으로 제한에서는 성공적으로 인증한 테넌트의 모든 사용자가 테넌트에 등록된 애플리케이션을 사용할 수 있는 방법을 설명합니다. 이 설정은 기본값으로 켜져 있습니다.

심층 방어

조건부 액세스

  • 리소스에 대한 액세스 정책을 제어하는 액세스 제어 정책을 정의합니다.
  • 외부 사용자를 염두에 두고 조건부 액세스 정책을 설계합니다.
  • 외부 사용자를 위한 정책을 특별히 만듭니다.
  • 외부 계정에 대한 전용 조건부 액세스 정책을 만듭니다. 조직에서 기존 조건부 액세스 정책에서 모든 사용자 동적 멤버 자격 그룹 조건을 사용하는 경우 외부 사용자는 모든 사용자의 범위에 속하므로 이 정책이 영향을 미칩니다.

제한된 관리 단위

보안 그룹을 사용하여 테넌트 간 동기화 범위에 있는 사용자를 제어할 때는 보안 그룹을 변경할 수 있는 사용자를 제한합니다. 테넌트 간 동기화 작업에 할당된 보안 그룹의 소유자 수를 최소화하고 그룹을 제한된 관리 단위에 포함합니다. 이 시나리오에서는 테넌트 간에 그룹 구성원을 추가하거나 제거하고 계정을 프로비전할 수 있는 사람의 수를 제한합니다.

기타 액세스 제어 고려 사항

사용 약관

Microsoft Entra 사용 약관은 조직이 최종 사용자에게 정보를 제공하는 데 사용할 수 있는 간단한 방법을 제공합니다. 사용 약관을 사용하여 외부 사용자가 리소스에 액세스하기 전에 사용 약관을 승인하도록 요구할 수 있습니다.

Microsoft Entra ID P1 또는 P2 기능이 있는 게스트 사용자를 위한 라이선스 고려 사항

Microsoft Entra 외부 ID 가격 책정은 MAU(월간 활성 사용자)를 기준으로 책정됩니다. 활성 사용자 수는 달력 월 내에 인증 작업이 있는 고유 사용자의 수입니다. Microsoft Entra 외부 ID에 대한 청구 모델은 MAU 기반 가격 책정 방법을 설명합니다.

Office 365 고려 사항

다음 정보는 이 백서의 시나리오 컨텍스트에서 Office 365를 처리합니다. 자세한 내용은 Microsoft 365 인터테넌트 협업 365 인터테넌트 공동 작업에서 확인할 수 있습니다. 이 문서는 파일 및 대화의 중앙 위치 사용, 일정 공유, IM 사용, 통신을 위한 오디오/비디오 호출 및 리소스 및 애플리케이션에 대한 액세스 보안이 포함된 옵션을 설명합니다.

Microsoft Exchange Online

Exchange Online은 외부 사용자의 특정 기능을 제한합니다. 외부 게스트 사용자 대신 외부 멤버 사용자를 만들어 제한을 줄일 수 있습니다. 외부 사용자에 대한 지원에는 다음과 같은 제한 사항이 있습니다.

  • 외부 사용자에게 Exchange Online 라이선스를 할당할 수 있습니다. 그러나 Exchange Online용 토큰을 발급할 수는 없습니다. 결과적으로 리소스에 액세스할 수 없습니다.
    • 외부 사용자는 리소스 테넌트에서 공유되거나 위임된 Exchange Online 사서함을 사용할 수 없습니다.
    • 외부 사용자를 공유 사서함에 할당할 수 있지만 해당 사용자는 액세스할 수 없습니다.
  • 외부 사용자를 GAL에 포함하려면 숨기기를 해제해야 합니다. 이는 기본적으로 숨겨져 있습니다.
    • 숨겨진 외부 사용자는 초대 시 만들어집니다. 사용자가 초대를 회수했는지 여부에 관계없이 만들어집니다. 따라서 모든 외부 사용자가 숨김 해제되면 목록에는 초대를 사용하지 않은 외부 사용자의 사용자 개체가 포함됩니다. 시나리오에 따라 개체를 나열할 수도 있고 원하지 않을 수도 있습니다.
    • 외부 사용자는 Exchange Online PowerShell을 사용하여 숨기지 않을 수 있습니다. Set-MailUser PowerShell cmdlet을 실행하여 HiddenFromAddressListsEnabled 속성을 $false 값으로 설정할 수 있습니다.

예시:

Set-MailUser [ExternalUserUPN] -HiddenFromAddressListsEnabled:\$false\

여기서 ExternalUserUPN은 계산된 UserPrincipalName.입니다.

예시:

Set-MailUser externaluser1_contoso.com#EXT#@fabricam.onmicrosoft.com\ -HiddenFromAddressListsEnabled:\$false

외부 사용자가 Microsoft 365 관리 센터에서 숨기지 않을 수 있습니다.

  • PrimarySmtpAddress, ExternalEmailAddress, EmailAddressesMailTip과 같은 Exchange 특정 속성에 대한 업데이트는 Exchange Online PowerShell을 통해서만 설정할 수 있습니다. Exchange Online 관리 센터에서는 GUI(그래픽 사용자 인터페이스)를 사용하여 특성을 수정할 수 없습니다.

예제에 표시된 대로 Set-MailUser PowerShell cmdlet은 메일 관련 속성에 사용할 수 있습니다. Set-User PowerShell cmdlet을 사용하여 수정할 수 있는 사용자 속성이 있습니다. Microsoft Graph API를 사용하면 대부분의 속성을 수정할 수 있습니다.

Set-MailUser의 가장 유용한 기능 중 하나는 EmailAddresses 속성을 조작하는 기능입니다. 이 다중값 특성은 외부 사용자에 대한 여러 프록시 주소(예: SMTP, X500, SIP(세션 시작 프로토콜))를 포함할 수 있습니다. 기본적으로 외부 사용자에게는 UserPrincipalName(UPN)과 관련된 스탬프가 찍힌 기본 SMTP 주소가 있습니다. 기본 SMTP를 변경하거나 SMTP 주소를 추가하려면 이 속성을 설정할 수 있습니다. Exchange 관리 센터를 사용할 수 없습니다. Exchange Online PowerShell을 사용해야 합니다. Exchange Online에서 사서함에 대한 이메일 주소 추가 또는 제거EmailAddresses와 같은 다중값 속성을 수정하는 다양한 방법을 보여 줍니다.

Microsoft 365의 Microsoft SharePoint

Microsoft 365의 SharePoint에는 사용자(내부 또는 외부)가 Microsoft Entra 테넌트에서 구성원 또는 게스트 유형인지에 따라 고유한 서비스별 권한이 있습니다. Microsoft 365 외부 공유 및 Microsoft Entra B2B 협업은 SharePoint 및 OneDrive와의 통합을 사용하여 파일, 폴더, 목록 항목, 문서 라이브러리 및 사이트를 조직 외부의 사용자와 공유할 수 있는 방법을 설명합니다. Microsoft 365는 인증 및 관리에 Azure B2B를 사용하는 동안 이 작업을 수행합니다.

Microsoft 365의 SharePoint에서 외부 공유를 사용하도록 설정한 후 Microsoft 365 사용자 선택기에서 SharePoint에서 게스트 사용자를 검색하는 기능은 기본적으로 끄기 입니다. 게스트 사용자가 Exchange Online GAL에서 숨겨져 있을 때 이 설정은 해당 사용자를 검색하지 못하도록 합니다. 게스트 사용자가 다음 두 가지 방법으로 표시되도록 설정할 수 있습니다(함께 사용할 수 있음).

  • 다음과 같은 방법으로 게스트 사용자를 검색하는 기능을 사용하도록 설정할 수 있습니다.
  • Exchange Online GAL에 표시되는 게스트 사용자도 Microsoft 365 사용자 선택기에서 SharePoint에 표시됩니다. 계정은 ShowPeoplePickerSuggestionsForGuestUsers 설정에 관계없이 표시됩니다.

Microsoft Teams

Microsoft Teams에는 사용자 유형에 따라 액세스를 제한하는 기능이 있습니다. 사용자 유형을 변경하면 콘텐츠 액세스 및 사용 가능한 기능에 영향을 미칠 수 있습니다. Microsoft Teams에서는 사용자가 홈 테넌트 외부의 Teams에서 작업할 때 Teams 클라이언트의 테넌트 전환 메커니즘을 사용하여 컨텍스트를 변경하도록 요구합니다.

Microsoft Teams에 대한 테넌트 전환 메커니즘을 사용하려면 사용자가 홈 테넌트 외부의 Teams에서 작업할 때 Teams 클라이언트의 컨텍스트를 수동으로 전환해야 할 수 있습니다.

다른 전체 외부 도메인의 Teams 사용자가 Teams 페더레이션을 통해 사용자를 찾고, 전화를 걸고, 채팅하고, 모임을 확정하도록 설정할 수 있습니다. Microsoft ID를 사용하여 외부 모임 관리 및 사람 및 조직과의 채팅에서는 조직 내 사용자가 Microsoft를 ID 공급자로 사용하는 조직 외부 사람과 채팅하고 만날 수 있도록 허용하는 방법을 설명합니다.

Teams의 게스트 사용자에 대한 라이선스 고려 사항

Office 365 워크로드와 함께 Azure B2B를 사용할 때 주요 고려 사항에는 게스트 사용자(내부 또는 외부)가 구성원 사용자와 동일한 환경을 갖지 않는 인스턴스가 포함됩니다.

  • Microsoft 그룹.Office 365 그룹에 게스트 추가는 Microsoft 365 그룹의 게스트 액세스를 통해 사용자와 팀이 그룹 대화, 파일, 일정 초대 및 그룹 Notebook에 대한 액세스 권한을 부여하여 조직 외부의 사람들과 협업할 수 있는 방법을 설명합니다.
  • Microsoft Teams.Teams의 Teams 소유자, 멤버 및 게스트 기능은 Microsoft Teams의 게스트 계정 환경을 설명합니다. 외부 구성원 사용자를 사용하여 Teams에서 완전한 충실도 환경을 사용하도록 설정할 수 있습니다.
    • 상업용 클라우드의 여러 테넌트에 대해 홈 테넌트에서 라이선스가 부여된 사용자는 동일한 법인 내의 다른 테넌트에 있는 리소스에 액세스할 수 있습니다. 추가 라이선스 비용 없이 외부 구성원 설정을 사용하여 액세스 권한을 부여할 수 있습니다. 이 설정은 Teams 및 그룹용 SharePoint 및 OneDrive에 적용됩니다.
    • 다른 Microsoft 클라우드의 다중 테넌트 및 다른 클라우드의 다중 테넌트에 대해서는 B2B 멤버 라이선스 검사를 아직 사용할 수 없습니다. Teams에서 B2B 구성원을 사용하려면 각 B2B 구성원에 대한 추가 라이선스가 필요합니다. 이 요구 사항은 Power BI와 같은 다른 워크로드에도 영향을 미칠 수 있습니다.
    • 동일한 법인에 속하지 않는 테넌트에 대한 B2B 구성원 사용량에는 추가 라이선스 요구 사항이 적용됩니다.
  • Identity Governance 기능. 권한 관리 및 액세스 검토에는 외부 사용자에 대한 다른 라이선스가 필요할 수 있습니다.
  • 기타 제품. Dynamics CRM(고객 관계 관리)과 같은 제품에는 사용자가 표시되는 모든 테넌트에서 라이선스가 필요할 수 있습니다.

다음 단계

  • 다중 테넌트 사용자 관리 소개는 Microsoft Entra 다중 테넌트 환경에서 사용자 수명 주기 관리를 구성하고 제공하기 위한 지침을 제공하는 일련의 문서 중 첫 번째 문서입니다.
  • 다중 테넌트 사용자 관리 시나리오에서는 다중 테넌트 사용자 관리 기능을 사용할 수 있는 세 가지 시나리오인 최종 사용자 시작, 스크립팅 및 자동화를 설명합니다.
  • 시나리오에서 단일 테넌트가 작동하지 않는 경우 다중 테넌트 사용자 관리에 대한 일반적인 솔루션은 테넌트 간에 자동 사용자 수명 주기 관리 및 리소스 할당, 테넌트 간에 온-프레미스 앱 공유와 같은 문제에 대한 지침을 제공하는 문서입니다.
  • 미국 방위 산업 기반 Microsoft 공동 작업 프레임워크에서는 MTO(다중 테넌트 조직)을 수용하기 위한 ID 후보 참조 아키텍처에 대해 설명합니다. 이 시나리오는 특히 미국 소버린 클라우드에 Microsoft 365 미국 정부 기관용(GCC High) 및 Azure Government를 배포한 MTO에 적용됩니다. 또한 상업용 또는 미국 소버린 클라우드에 있는 조직을 포함한 규제가 높은 환경에서 외부 협업을 다룹니다.