Microsoft Entra ID의 셀프 서비스 등록이란?
이 문서에서는 셀프 서비스 등록을 사용하여 Microsoft Entra의 일부인 Microsoft Entra ID에서 조직을 채우는 방법을 설명합니다. 관리되지 않는 Microsoft Entra 조직에서 도메인 이름을 가져오면 비관리형 테넌트를 관리자로 가져오기를 참조하세요.
셀프 서비스 등록을 사용하는 이유
- 고객이 원하는 서비스를 더욱 빠르게 제공합니다.
- 서비스에 대한 메일 기반 제공 사항을 만듭니다.
- 사용자가 기억하기 쉬운 업무용 이메일 별칭을 사용하여 신속하게 ID를 만들 수 있도록 하는 이메일 기반 등록 흐름을 만듭니다.
- 셀프 서비스로 작성된 Microsoft Entra 테넌트는 다른 서비스에 사용할 수 있는 관리형 테넌트로 전환할 수 있습니다.
용어 및 정의
- 셀프 서비스 등록: 사용자가 클라우드 서비스에 등록하고 해당 메일 도메인을 기반으로 Microsoft Entra ID에 ID가 자동으로 생성되게 하는 방법입니다.
- 비관리형 Microsoft Entra 테넌트: 해당 ID가 만들어지는 테넌트입니다. 관리되지 않는 테넌트는 전역 관리자가 없는 테넌트입니다.
- 메일로 확인된 사용자: Microsoft Entra ID의 사용자 계정의 한 유형입니다. 셀프 서비스 제공 사항에 등록한 후 자동으로 생성된 ID를 갖는 사용자를 메일로 확인된 사용자라고 합니다. 이메일로 확인된 사용자는 creationmethod=EmailVerified라는 태그가 지정된 테넌트의 일반 멤버입니다.
셀프 서비스 설정을 제어하는 방법
관리자는 현재 두 개의 셀프 서비스 컨트롤을 보유하며 다음을 제어할 수 있습니다.
- 사용자가 이메일을 통해 테넌트에 조인할 수 있습니다.
- 사용자가 애플리케이션 및 서비스를 자신이 사용하도록 라이선스를 허여할 수 있습니다.
이러한 기능은 어떻게 제어할 수 있나요?
관리자는 Microsoft Entra cmdlet인 다음의 Set-MsolCompanySettings 매개 변수를 사용하여 이러한 기능을 구성할 수 있습니다.
- AllowEmailVerifiedUsers는 사용자가 이메일 유효성 검사를 통해 테넌트에 조인할 수 있는지 여부를 제어합니다. 조인하려면 사용자에게 테넌트의 확인된 도메인 중 하나와 일치하는 도메인의 메일 주소가 있어야 합니다. 이 설정은 테넌트의 모든 도메인에 대해 회사 전체에 적용됩니다. 해당 매개 변수를 $false로 설정하면 이메일로 확인된 사용자가 테넌트에 조인할 수 없습니다.
- AllowAdHocSubscriptions는 사용자가 셀프 서비스 등록을 수행할 수 있는 기능을 제어합니다. 이 매개 변수를 $false로 설정하면 사용자가 셀프 서비스 등록을 수행할 수 없습니다.
AllowEmailVerifiedUsers 및 AllowAdHocSubscriptions는 관리되거나 관리되지 않는 테넌트에 적용할 수 있는 테넌트 전체 설정입니다. 예제는 다음과 같습니다.
- contoso.com과 같은 확인된 도메인을 사용하여 테넌트를 관리합니다.
- 다른 테넌트에서 B2B 협업을 사용하여 constoso.com의 홈 테넌트에 아직 존재하지 않는 사용자(userdoesnotexist@contoso.com)를 초대합니다.
- 홈 테넌트에는 AllowEmailVerifiedUsers가 설정되어 있습니다.
이전 조건이 true이면 홈 테넌트에서 멤버 사용자가 만들어지고, 초대하는 테넌트에서 B2B 게스트 사용자가 만들어집니다.
참고 항목
교육용 Office 365 사용자는 이 토글을 사용하도록 설정한 경우에도 현재 기존 관리형 테넌트에 추가되는 유일한 사용자입니다.
Flow 및 Power Apps 평가판 등록에 대한 자세한 내용은 다음 문서를 참조하세요.
컨트롤이 어떻게 작동하나요?
이 두 매개 변수를 함께 사용하여 정의하면 셀프 서비스 등록을 더욱 세밀하게 제어할 수 있습니다. 예를 들어 Microsoft Entra ID에 이미 계정이 있는 사용자만 다음 명령을 사용하여 셀프 서비스 등록을 수행할 수 있습니다. 즉, 메일로 확인된 계정을 먼저 만들어야 하는 사용자는 셀프 서비스 등록을 수행할 수 없습니다.
Import-Module Microsoft.Graph.Identity.SignIns
connect-MgGraph -Scopes "Policy.ReadWrite.Authorization"
$param = @{
allowedToSignUpEmailBasedSubscriptions=$true
allowEmailVerifiedUsersToJoinOrganization=$false
}
Update-MgPolicyAuthorizationPolicy -BodyParameter $param
다음 순서도는 테넌트와 셀프 서비스 가입에 대한 이러한 매개 변수 및 해당 결과 조건의 다양한 조합을 설명합니다.
이 설정의 세부 정보는 PowerShell cmdlet Get-MsolCompanyInformation을 사용하여 검색할 수 있습니다. 이에 대한 자세한 내용은 Get-MsolCompanyInformation을 참조하세요.
Get-MgPolicyAuthorizationPolicy | Select-Object AllowedToSignUpEmailBasedSubscriptions, AllowEmailVerifiedUsersToJoinOrganization
이러한 매개 변수를 사용하는 방법에 대한 자세한 내용과 예는 Update-MgPolicyAuthorizationPolicy를 참조하세요.