Azure Portal을 사용하여 외부 사용자에게 Azure 역할 할당
Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하면 환경의 특정 리소스에 액세스해야 하지만 전체 인프라 또는 청구 관련 범위에 액세스하지 않아도 되는 외부 공동 작업자, 공급업체 또는 프리랜서와 협력하는 대기업 및 중소기업의 보안을 더 효율적으로 관리할 수 있습니다. Microsoft Entra B2B의 기능을 사용하여 외부 사용자와 공동 작업할 수 있으며, Azure RBAC를 사용하여 사용자 환경에서 외부 사용자에게 필요한 권한만 부여할 수 있습니다.
필수 조건
Azure 역할을 할당하거나 역할 할당을 제거하려면 다음이 필요합니다.
Microsoft.Authorization/roleAssignments/write
및Microsoft.Authorization/roleAssignments/delete
사용 권한(예: 사용자 액세스 관리자 또는 소유자)
언제 외부 사용자를 초대하나요?
조직에 사용자를 초대하고 권한을 부여할 수 있는 몇 가지 예제 시나리오는 다음과 같습니다.
- 이메일 계정만 있는 외부 자영업자가 프로젝트에 대한 Azure 리소스에 액세스할 수 있도록 허용합니다.
- 외부 파트너가 특정 리소스 또는 전체 구독을 관리할 수 있도록 허용합니다.
- 고객 조직에 속하지 않은 지원 엔지니어(예: Microsoft 지원)가 문제 해결을 위해 일시적으로 고객의 Azure 리소스에 액세스할 수 있도록 허용합니다.
멤버 사용자와 게스트 사용자의 권한 차이
멤버 유형(멤버 사용자)이 있는 디렉터리의 사용자는 기본적으로 B2B 협업 게스트(게스트 사용자)로 다른 디렉터리에서 초대된 사용자와 다른 권한을 가집니다. 예를 들어 게스트 사용자가 디렉터리 권한을 제한하는 동안 멤버 사용자는 거의 모든 디렉터리 정보를 읽을 수 있습니다. 멤버 사용자 및 게스트 사용자에 대한 자세한 내용은 Microsoft Entra ID의 기본 사용자 권한은 무엇인가요?를 참조하세요.
디렉터리에 외부 사용자 초대
다음 단계에 따라 Microsoft Entra ID의 디렉터리에 외부 사용자를 초대합니다.
Azure Portal에 로그인합니다.
외부 사용자를 초대할 수 있도록 조직의 외부 공동 작업 설정이 구성되어 있는지 확인합니다. 자세한 내용은 외부 협업 설정 구성을 참조하세요.
Microsoft Entra ID>사용자를 선택합니다.
새 사용자>외부 사용자 초대를 선택합니다.
단계에 따라 외부 사용자를 초대합니다. 자세한 내용은 Azure Portal에서 Microsoft Entra B2B 협업 사용자 추가를 참조하세요.
외부 사용자를 디렉터리에 초대한 후 외부 사용자에게 공유 앱에 대한 직접 링크를 보내거나 외부 사용자가 초대 전자 메일에서 초대 수락 링크를 선택할 수 있습니다.
외부 사용자가 디렉터리에 액세스할 수 있게 하려면 초대 프로세스를 완료해야 합니다.
초대 프로세스에 대한 자세한 내용은 Microsoft Entra B2B 협업 초대 사용을 참조하세요.
외부 사용자에게 역할 할당
Azure RBAC에서 액세스 권한을 부여하려면 역할을 할당합니다. 외부 사용자에게 역할을 할당하려면 멤버 사용자, 그룹, 서비스 주체 또는 관리 ID와 동일한 단계를 수행 합니다. 다음 단계에 따라 다른 범위에서 외부 사용자에게 역할을 할당합니다.
Azure Portal에 로그인합니다.
위쪽의 검색 상자에서 액세스 권한을 부여할 범위를 검색합니다. 예를 들어 관리 그룹, 구독, 리소스 그룹 또는 특정 리소스를 검색합니다.
해당 범위에 대한 특정 리소스를 선택합니다.
액세스 제어(IAM) 를 선택합니다.
다음은 리소스 그룹에 대한 액세스 제어(IAM) 페이지의 예를 보여줍니다.
역할 할당 탭을 선택하여 이 범위에서 역할 할당을 확인합니다.
추가>역할 할당 추가를 선택합니다.
역할을 할당할 수 있는 권한이 없으면 역할 할당 추가 옵션이 비활성화됩니다.
역할 할당 추가 페이지가 열립니다.
역할 탭에서 Virtual Machine 기여자 같은 역할을 선택합니다.
멤버 탭에서 사용자, 그룹 또는 서비스 주체를 선택합니다.
멤버 선택을 선택합니다.
외부 사용자를 찾아 선택합니다. 목록에 사용자가 표시되지 않으면 선택 상자에 입력하여 디렉터리에서 표시 이름이나 메일 주소를 검색할 수 있습니다.
선택 상자에서 입력하여 디렉터리에서 표시 이름이나 메일 주소를 검색할 수 있습니다.
구성원 목록에 외부 사용자를 추가하려면 [선택]을 선택합니다.
검토 + 할당 탭에서 검토 + 할당을 선택합니다.
잠시 후 외부 사용자에게 선택한 범위에서 역할이 할당됩니다.
디렉터리에 아직 없는 외부 사용자에게 역할 할당
외부 사용자에게 역할을 할당하려면 멤버 사용자, 그룹, 서비스 주체 또는 관리 ID와 동일한 단계를 수행 합니다.
외부 사용자가 아직 디렉터리에 없는 경우 구성원 선택 창에서 직접 사용자를 초대할 수 있습니다.
Azure Portal에 로그인합니다.
위쪽의 검색 상자에서 액세스 권한을 부여할 범위를 검색합니다. 예를 들어 관리 그룹, 구독, 리소스 그룹 또는 특정 리소스를 검색합니다.
해당 범위에 대한 특정 리소스를 선택합니다.
액세스 제어(IAM) 를 선택합니다.
추가>역할 할당 추가를 선택합니다.
역할을 할당할 수 있는 권한이 없으면 역할 할당 추가 옵션이 비활성화됩니다.
역할 할당 추가 페이지가 열립니다.
역할 탭에서 Virtual Machine 기여자 같은 역할을 선택합니다.
멤버 탭에서 사용자, 그룹 또는 서비스 주체를 선택합니다.
멤버 선택을 선택합니다.
선택 상자에 초대하려는 사용자의 메일 주소를 입력하고 해당 사용자를 선택합니다.
구성원 목록에 외부 사용자를 추가하려면 [선택]을 선택합니다.
검토 + 할당 탭에서 검토 + 할당을 선택하여 외부 사용자를 디렉터리에 추가하고 역할을 할당하고 초대를 보냅니다.
잠시 후 역할 할당에 대한 알림과 초대에 대한 정보를 볼 수 있습니다.
외부 사용자를 수동으로 초대하려면 알림에서 초대 링크를 마우스 오른쪽 단추로 클릭하고 복사합니다. 초대 프로세스가 시작되므로 초대 링크를 선택하지 마세요.
초대 링크의 형식은 다음과 같습니다.
https://login.microsoftonline.com/redeem?rd=https%3a%2f%2finvitations.microsoft.com%2fredeem%2f%3ftenant%3d0000...
초대 프로세스를 완료하려면 외부 사용자에게 초대 링크를 보냅니다.
초대 프로세스에 대한 자세한 내용은 Microsoft Entra B2B 협업 초대 사용을 참조하세요.
디렉터리에서 외부 사용자 제거
디렉터리에서 외부 사용자를 제거하기 전에 먼저 해당 외부 사용자에 대한 역할 할당을 제거해야 합니다. 디렉터리에서 외부 사용자를 제거하려면 다음 단계를 수행합니다.
외부 사용자에게 역할 할당이 있는 관리 그룹, 구독, 리소스 그룹 또는 리소스와 같은 범위에서 IAM(액세스 제어)을 엽니다.
역할 할당 탭을 선택하여 모든 역할 할당을 봅니다.
역할 할당 목록에서 제거하려는 역할 할당을 사용하여 외부 사용자 옆에 검사 표시를 추가합니다.
제거를 선택합니다.
표시되는 역할 할당 제거 메시지에서 예를 선택합니다.
클래식 관리자 탭을 선택합니다.
외부 사용자에게 공동 관리 할당이 있는 경우 외부 사용자 옆에 검사 표시를 추가하고 제거를 선택합니다.
왼쪽 탐색 모음에서 Microsoft Entra ID>사용자를 선택합니다.
제거할 외부 사용자를 선택합니다.
삭제를 선택합니다.
표시되는 삭제 메시지에서 예를 선택합니다.
문제 해결
외부 사용자가 디렉터리를 찾아볼 수 없음
외부 사용자에게는 제한된 디렉터리 권한이 있습니다. 예를 들어 외부 사용자는 디렉터리를 찾아볼 수 없으며 그룹 또는 애플리케이션을 검색할 수 없습니다. 자세한 내용은 Microsoft Entra ID의 기본 사용자 권한은 무엇인가요?를 참조하세요.
외부 사용자에게 디렉터리에 추가 권한이 필요한 경우 외부 사용자에게 Microsoft Entra 역할을 할당할 수 있습니다. 실제로 외부 사용자가 디렉터리에 대한 전체 읽기 권한을 갖도록 하려면 Microsoft Entra ID의 디렉터리 읽기 권한자 역할에 외부 사용자를 추가할 수 있습니다. 자세한 내용은 Azure Portal에서 Microsoft Entra B2B 협업 사용자 추가를 참조하세요.
외부 사용자는 사용자, 그룹 또는 서비스 주체를 찾아 역할을 할당할 수 없습니다.
외부 사용자에게는 제한된 디렉터리 권한이 있습니다. 외부 사용자가 범위의 소유자 인 경우에도 다른 사용자에게 액세스 권한을 부여하는 역할을 할당하려고 하면 사용자, 그룹 또는 서비스 주체 목록을 찾아볼 수 없습니다.
외부 사용자가 디렉터리에서 다른 사람의 정확한 로그인 이름을 알고 있는 경우 액세스 권한을 부여할 수 있습니다. 실제로 외부 사용자가 디렉터리에 대한 전체 읽기 권한을 갖도록 하려면 Microsoft Entra ID의 디렉터리 읽기 권한자 역할에 외부 사용자를 추가할 수 있습니다. 자세한 내용은 Azure Portal에서 Microsoft Entra B2B 협업 사용자 추가를 참조하세요.
외부 사용자는 애플리케이션을 등록하거나 서비스 주체를 만들 수 없습니다.
외부 사용자에게는 제한된 디렉터리 권한이 있습니다. 외부 사용자가 애플리케이션을 등록하거나 서비스 주체를 만들 수 있어야 하는 경우 Microsoft Entra ID의 애플리케이션 개발자 역할에 외부 사용자를 추가할 수 있습니다. 자세한 내용은 Azure Portal에서 Microsoft Entra B2B 협업 사용자 추가를 참조하세요.
외부 사용자에게 새 디렉터리가 표시되지 않음
외부 사용자에게 디렉터리에 대한 액세스 권한이 부여되었지만 디렉터리 페이지에서 전환하려고 할 때 Azure Portal에 나열된 새 디렉터리가 표시되지 않는 경우 외부 사용자가 초대 프로세스를 완료했는지 확인합니다. 초대 프로세스에 대한 자세한 내용은 Microsoft Entra B2B 협업 초대 사용을 참조하세요.
외부 사용자에게 리소스가 표시되지 않음
외부 사용자에게 디렉터리에 대한 액세스 권한이 부여되었지만 Azure Portal에서 액세스 권한이 부여된 리소스가 표시되지 않는 경우 외부 사용자가 올바른 디렉터리를 선택했는지 확인합니다. 외부 사용자는 여러 디렉터리에 액세스할 수 있습니다. 디렉터리를 전환하려면 왼쪽 위에서 설정>디렉토리를 선택한 다음, 적절한 디렉터리를 선택합니다.