다음을 통해 공유

Microsoft Entra를 사용하여 배포 아키텍처 Microsoft Entra 외부 ID

  • 아티클

기업은 Microsoft Entra를 사용하여 잠재적으로 조합된 직원, 파트너 및 소비자에 대해 여러 사용 사례를 사용하도록 설정할 수 있습니다. 이 문서에서는 Microsoft Entra ID 및 Microsoft Entra와 함께 다음 외부 ID 배포 아키텍처를 안전하게 배포하고 사용하는 패턴을 기반으로 하는 모범 사례를 권장합니다. 각 아키텍처에 대한 정보와 리소스에 대한 링크를 포함합니다.

  • 인력 및 공동 작업 지향 아키텍처
  • 비즈니스 파트너를 위한 격리된 액세스
  • 소비자 지향 아키텍처
  • 아키텍처 조합

조직과의 관계에 따라 다음 가상 사용자를 정의합니다.

  • 인력. 조직의 정규직 직원, 파트타임 직원 또는 계약자.
  • 비즈니스 파트너. 엔터프라이즈와 비즈니스 관계가 있는 조직. 이러한 조직에는 상호 목표를 달성하기 위해 기업과 협력하는 공급업체, 공급업체, 컨설턴트 및 전략적 동맹이 포함될 수 있습니다.
  • 소비자. 비즈니스 관계를 맺고 있고 제품 및 서비스를 구매하거나 소비하기 위해 애플리케이션에 액세스하는 고객과 같은 개인
  • 외부 사용자. 비즈니스 파트너 및 소비자와 같이 조직 외부에 있는 사용자입니다.

이 문서에서는 각 아키텍처에 대해 다음과 같은 고려 사항을 다룹니다.

  • 계정 수명 주기. 환경에서 사용자 계정을 온보딩 및 오프보딩하는 비즈니스 규칙을 정의하는 기능입니다.
  • 외부 ID 공급자. 자체 ID 공급자(예: 다른 Microsoft Entra 테넌트, SAML 페더레이션 공급자) 또는 소셜 ID 공급자를 사용하여 조직의 외부 사용자를 처리할 수 있습니다. 또한 ID 공급자가 없는 사용자를 위해 테넌트에 계정을 만드는 기능도 참조합니다.
  • 자격 증명 관리. ID 공급자가 없는 사용자의 암호 또는 추가 인증 요소와 같은 사용자에 대한 자격 증명을 관리하는 옵션입니다.
  • 임시 공동 작업. 문서, 보고서 및 유사한 사용자가 만든 콘텐츠에 대한 외부 사용자와 함께 환경의 사용자(인력 사용자 또는 다른 외부 사용자)를 허용하거나 거부할 수 있는 컨트롤입니다.
  • 역할 기반 리소스 할당입니다. 역할에 캡슐화된 미리 정의된 사용 권한 집합에 따라 외부 사용자에게 애플리케이션 할당, 그룹 멤버 자격 또는 SharePoint 사이트 멤버 자격과 같은 리소스에 대한 액세스 권한을 부여할 수 있습니다.
  • 위험 관리. 외부 사용자에 대한 액세스를 사용하도록 설정할 때 보안, 운영 및 규정 준수 위험을 평가하고 관리합니다.

인력 및 공동 작업 지향 아키텍처

인력 및 공동 작업 지향 아키텍처를 사용하면 인력이 외부 조직의 비즈니스 파트너와 공동 작업할 수 있습니다. 여기에는 애플리케이션에 대한 무단 액세스로부터 보호하기 위한 컨트롤이 포함됩니다.

일반적인 시나리오에는 SharePoint, Power BI, Microsoft Teams 또는 LOB(기간 업무) 애플리케이션과 같은 생산성 도구를 사용하여 콘텐츠를 공유하도록 비즈니스 파트너를 초대하여 공동 작업을 시작하는 직원이 포함됩니다. 게스트 사용자는 자체 ID 공급자가 있는 외부 조직에서 올 수 있습니다. 예를 들어 다른 Microsoft Entra ID 테넌트 또는 SAML(Security Assertion Markup Language) 페더레이션 ID 공급자가 있습니다.

다이어그램은 인력 및 공동 작업 지향 아키텍처의 예를 보여 줍니다.

인력 및 공동 작업 지향 아키텍처에서 Microsoft Entra ID 인력 구성 테넌트는 Microsoft Entra ID 거버넌스 및 Microsoft Entra 외부 ID 사용하여 엔터프라이즈 애플리케이션 및 리소스에 대한 액세스 권한을 부여하는 정책을 정의합니다. 이러한 정책에는 계정 및 액세스 수명 주기 및 보안 제어가 포함됩니다.

인력 및 공동 작업 지향 아키텍처 구현 리소스

인력 및 공동 작업 지향 아키텍처 고려 사항

계정 수명 주기

사용자는 임시 공동 작업 시나리오에서 비즈니스 파트너를 테넌트에 초대할 수 있습니다. 초대된 외부 사용자를 추적하고 오프보딩하는 사용자 지정 프로세스를 정의합니다. 액세스 검토를 사용하여 게스트 액세스를 관리하면 게스트 사용자에게 적절한 액세스 권한이 있는지 확인하는 방법을 설명합니다.

승인 워크플로와 같은 기본 제공 컨트롤이 있는 권한 관리 액세스 패키지를 통해 비즈니스 파트너를 온보딩할 수도 있습니다. 권한 관리로 온보딩된 사용자 계정에는 액세스 패키지에 대한 액세스 권한이 손실된 후 기본 제공 추적 및 오프보딩 수명 주기가 있습니다.

관리자는 특정 애플리케이션에 대해 셀프 서비스 로그인/등록 흐름을 사용하도록 설정할 수도 있습니다. 조직은 액세스 검토 또는 Microsoft Graph 호출과 같은 기능을 사용하여 이러한 방식으로 온보딩된 외부 사용자를 추적하고 오프보딩하는 사용자 지정 프로세스를 정의해야 합니다.

외부 ID 공급자

인력 및 공동 작업 지향 아키텍처는 Microsoft Entra 또는 SAML/WS-Federation ID 공급자가 있는 조직의 비즈니스 파트너를 지원합니다.

조직 전자 메일 주소가 있지만 ID 공급자가 없는 비즈니스 파트너는 전자 메일 일회용 암호를 사용하여 테넌트에 액세스할 수 있습니다.

필요한 경우 Microsoft 계정, Google 또는 Facebook 소셜 ID 공급자를 사용하여 비즈니스 파트너를 온보딩하도록 테넌트 구성을 수행할 수 있습니다.

관리자는 ID 공급자를 세부적으로 제어할 수 있습니다.

자격 증명 관리

비즈니스 파트너 사용자가 MFA를 수행해야 하는 경우 특정 비즈니스 파트너 조직의 MFA 인증 방법 클레임을 신뢰하도록 선택할 수 있습니다. 그렇지 않으면 이러한 사용자 계정을 적용하여 Microsoft Entra ID에서 MFA에 대한 추가 인증 방법을 등록합니다.

Microsoft는 외부 사용자에 대해 다단계 인증을 적용하는 것이 좋습니다. B2B 사용자 에 대한 인증 및 조건부 액세스는 게스트를 대상으로 하는 조건부 액세스 정책을 만드는 방법을 설명합니다.

임시 공동 작업

이 아키텍처는 직원 사용자가 Microsoft 365, Microsoft Teams 및 Power BI와 같은 Microsoft 협업 서비스를 사용하여 비즈니스 파트너와 상호 작용할 수 있도록 최적화되어 있습니다.

역할 기반 리소스 할당

시간 제한 애플리케이션 역할 할당 및 특정 외부 조직에 대한 의무 분리와 같은 기본 제공 컨트롤이 있는 권한 관리 액세스 패키지를 사용하여 비즈니스 파트너에게 액세스 권한을 부여합니다.

위험 관리

조직 테넌트 내의 비즈니스 파트너가 해당 규정의 규정 준수 범위에 영향을 미치는지 확인합니다. 적절한 예방 및 형사 기술 제어를 구현합니다.

온보딩된 후 비즈니스 파트너는 광범위한 사용 권한 집합이 있는 환경에서 애플리케이션 및 리소스에 액세스할 수 있습니다. 의도하지 않은 노출을 완화하려면 예방 및 검색 컨트롤을 구현합니다. 모든 환경 리소스 및 애플리케이션에 적절한 권한을 일관되게 적용합니다.

위험 분석 결과에 따라 위험을 완화하는 데 사용할 수 있는 여러 가지 방법이 있습니다.

기타 고려 사항

외부 ID에서 사용하는 기능은 해당 활동에 따라 월별 요금에 추가할 수 있습니다. 월간 활성 사용자를 기반으로 Microsoft Entra 외부 ID 대한 청구 모델은 외부 ID 기능을 구현하기로 한 결정에 영향을 줄 수 있습니다.

비즈니스 파트너를 위한 격리된 액세스

내부 또는 외부 사용자를 위한 리소스 간에 액세스 및 가시성에 대한 명확한 경계가 있도록 외부 사용자를 조직 테넌트에서 격리해야 하는 경우 인력 지향 아키텍처를 확장할 수 있습니다. 이를 통해 직원이 외부 연결 애플리케이션을 관리하거나 액세스해야 하는 경우 직원 테넌트에서 외부 사용자 계정과 공존하도록 직원 사용자 계정을 선택적으로 온보딩할 수 있습니다.

이 아키텍처에서는 경계로 추가 Microsoft Entra ID 인력 구성 테넌트를 만듭니다. 외부 사용자가 보안, 규정 준수 및 유사한 요구 사항을 충족할 수 있도록 조직 테넌트와 격리된 애플리케이션 및 리소스를 호스트합니다. 미리 정의된 비즈니스 역할에 따라 구조적 액세스 할당을 구성할 수 있습니다. 테넌트 간 동기화를 사용하여 회사 테넌트에서 추가 테넌트에 인력 사용자를 온보딩할 수 있습니다.

다음 다이어그램에서는 이 아키텍처의 예를 보여 줍니다. Contoso는 외부 사용자와 Contoso 사용자의 감소된 하위 집합이 합작 투자 애플리케이션에 액세스하는 새로운 합작투자를 시작합니다.

다이어그램은 비즈니스 파트너를 위한 격리된 액세스의 예를 보여 줍니다.

공급망 관리는 다른 공급업체의 외부 사용자에게 액세스 권한을 부여하고 선택적으로 온보딩된 인력 사용자의 하위 집합을 공급망 애플리케이션 및 리소스에 부여하는 이 아키텍처의 예입니다.

두 예제에서 파트너 액세스를 위한 추가 테넌트는 리소스 격리, 보안 정책 및 관리 역할을 제공합니다.

다음과 같은 엄격한 컨트롤을 사용하여 추가 테넌트에서 Microsoft Entra Identity GovernanceMicrosoft Entra 외부 ID 구성합니다.

  • 게스트 사용자 프로필 제한
  • 공동 작업을 위한 허용 목록 조직 및 앱
  • 게스트 계정 수명 주기 정의, 시간 제한 리소스 할당, 정기 액세스 검토 예약
  • 외부 사용자 온보딩의 일부로 더 엄격한 증명 집합 적용

협업 테넌트에서 이 아키텍처를 확장하여 비즈니스 요구 사항에 따라 여러 격리 경계를 만들 수 있습니다(예: 지역별 격리, 파트너별, 규정 준수 관할권별).

비즈니스 파트너 구현 리소스에 대한 격리된 액세스

비즈니스 파트너에 대한 격리된 액세스 고려 사항

계정 수명 주기

테넌트 간 동기화를 통해 추가 테넌트에 온보딩되는 인력 사용자의 범위가 지정된 온보딩입니다. 조직 테넌트에서 사용자 유형과 일치하는 특성 매핑이 있는 멤버 사용자 유형을도록 동기화하도록 동기화할 수 있습니다.

비즈니스 파트너는 승인 워크플로와 같은 기본 제공 컨트롤이 있는 권한 관리 액세스 패키지를 통해 온보딩할 수 있습니다. 권한 관리를 사용하여 온보딩된 사용자 계정에는 액세스 패키지 정책당 리소스에 대한 액세스 권한이 손실된 후 기본 제공 추적 및 오프보딩 수명 주기가 있습니다.

이 아키텍처는 추가 테넌트에서 인력 사용자 임시 공동 작업에 최적화되지 않지만 구성원이 비즈니스 파트너를 초대할 수 있습니다. 조직은 액세스 검토 또는 Microsoft Graph 호출과 같은 기능을 사용하여 이러한 방식으로 온보딩된 외부 사용자를 추적하고 오프보딩하는 사용자 지정 프로세스를 정의해야 합니다.

관리자는 특정 애플리케이션에 대해 셀프 서비스 로그인/등록 흐름을 사용하도록 설정할 수도 있습니다. 조직은 액세스 검토 또는 Microsoft Graph 호출과 같은 기능을 사용하여 이러한 방식으로 온보딩된 외부 사용자를 추적하고 오프보딩하는 사용자 지정 프로세스를 정의해야 합니다.

외부 ID 공급자

이 아키텍처는 Microsoft Entra 또는 SAML/WS-Federation ID 공급자가 있는 조직의 비즈니스 파트너를 지원합니다.

조직 전자 메일 주소가 있지만 ID 공급자가 없는 비즈니스 파트너는 전자 메일 일회용 암호를 사용하여 테넌트에 액세스할 수 있습니다.

비즈니스 파트너는 Microsoft 계정, Google 또는 Facebook 소셜 ID 공급자와 함께 온보딩할 수 있습니다.

자격 증명 관리

사용자가 MFA를 수행해야 하는 경우 특정 비즈니스 파트너 조직에서 오는 MFA 인증 방법 클레임을 신뢰하도록 선택할 수 있습니다. 신뢰할 수 있는 계정으로 구성하지 않거나 ID 공급자가 없는 사용자의 경우 MFA(다단계 인증)를 위한 다른 인증 방법을 등록할 수 있습니다.

관리자는 회사 테넌트에서 온 인력 사용자를 위해 MFA 인증 방법 및 디바이스 상태를 신뢰하도록 선택할 수 있습니다.

관리자는 특정 조직의 비즈니스 파트너 MFA 인증 방법을 신뢰하도록 선택할 수 있습니다.

외부 사용자에 대해 다단계 인증을 적용하도록 게스트를 대상으로 하는 조건부 액세스 정책을 만듭니다. B2B 사용자 에 대한 인증 및 조건부 액세스는 조직의 리소스에 액세스하는 외부 사용자의 인증 흐름을 설명합니다.

임시 공동 작업

이 아키텍처에서는 인력 사용자가 시작하는 임시 협업이 가능합니다. 그러나 테넌트 전환 시 사용자 환경 마찰로 인해 최적화되지 않습니다. 대신 역할 기반 리소스 할당을 사용하여 비즈니스 역할에 따라 사용자가 만든 콘텐츠 리포지토리(예: SharePoint 사이트)에 대한 액세스 권한을 부여합니다.

역할 기반 리소스 할당

기본 제공 컨트롤이 있는 권한 관리 액세스 패키지를 사용하여 비즈니스 파트너에게 액세스 권한을 부여합니다. 예제 컨트롤에는 특정 외부 조직에 대한 시간 제한 리소스 역할 할당 및 업무 분리가 포함됩니다.

위험 관리

이 아키텍처는 추가 테넌트에서 제공하는 별도의 보안 경계 때문에 비즈니스 파트너가 회사 테넌트에서 리소스에 대한 무단 액세스(의도적으로 또는 악의적으로)를 얻는 위험을 완화합니다. 회사 테넌트에 적용 가능한 규정 범위를 포함할 수 있도록 별도의 테넌트를 만듭니다.

테넌트 간 액세스 설정 및 도메인 허용 목록과 같은 기능을 사용하여 외부 공동 작업을 위해 허용된 조직의 범위에 대한 허용 목록 접근 방식을 구현합니다. Microsoft Entra B2B 협업을 사용하여 관리되는 공동 작업 으로 전환하면 리소스에 대한 외부 액세스를 보호하는 방법을 설명합니다.

열거 및 유사한 정찰 기술의 악의적이거나 우발적인 시도를 방지하려면 게스트 액세스를 자신의 디렉터리 개체의 속성 및 멤버 자격으로 제한합니다.

온보딩된 후 비즈니스 파트너는 광범위한 사용 권한 집합이 있는 환경에서 애플리케이션 및 리소스에 액세스할 수 있습니다. 의도하지 않은 노출을 완화하려면 예방 및 검색 컨트롤을 구현합니다. 모든 환경 리소스 및 애플리케이션에 적절한 권한을 일관되게 적용합니다.

기타

환경의 추가 테넌트는 운영 오버헤드와 전반적인 복잡성을 증가합니다.

비즈니스 요구 사항을 충족하기 위해 가능한 한 적은 수의 테넌트 만들기를 노력합니다. 조직 테넌트와 별개인 추가 테넌트의 게스트로 대표되는 인력 사용자가 있는 경우 Microsoft 365 의 다중 테넌트 조직을 계획합니다.

외부 ID에서 사용하는 기능은 해당 활동에 따라 월별 요금에 추가할 수 있습니다. Microsoft Entra 외부 ID 대한 청구 모델은 세부 정보를 제공합니다.

소비자 지향 아키텍처

소비자 지향 아키텍처는 다음 구성 요소가 필요할 수 있는 개별 소비자에게 애플리케이션을 제공하는 데 가장 적합합니다.

  • 네이티브 앱 및 사용자 지정 DNS(도메인 이름 시스템) 도메인에 대한 API 기반 인증을 포함하여 인증 페이지에서 고도로 사용자 지정된 브랜딩
  • 크기가 방대한 사용자 기반(잠재적으로 100만 명 이상의 사용자).
  • 로컬 전자 메일 및 암호로 셀프 서비스 등록을 지원하거나 Microsoft 계정, Facebook 및 Google과 같은 소셜 ID 공급자와의 페더레이션을 지원합니다.

소비자 지향 아키텍처에서 외부 구성된 테넌트는 애플리케이션 소비자가 사용하는 애플리케이션 및 리소스에 ID 서비스를 제공합니다.

다음 다이어그램에서는 소비자 지향 아키텍처 예제를 보여 줍니다.

다이어그램은 소비자 지향 아키텍처의 예를 보여 줍니다.

소비자 지향 아키텍처 구현 리소스

소비자 지향 아키텍처 고려 사항

계정 수명 주기

사용자 지정 URL 도메인, 모바일 앱에 대한 네이티브 인증 및 특성 수집에 대한 사용자 지정 논리와 같은 소비자 등록 및 로그인 환경의 심층 사용자 지정을 지원합니다.

초대를 사용하여 소비자 계정을 온보딩합니다.

오프보딩 환경에는 사용자 지정 애플리케이션 개발이 필요합니다.

외부 ID 공급자

소비자 셀프 서비스는 로컬 전자 메일 및 암호를 사용하여 로컬 계정을 등록합니다.

유효한 전자 메일 주소가 있는 소비자는 전자 메일 일회용 암호를 사용할 수 있습니다.

소비자는 Google 및 Facebook 로그인을 사용하여 인증합니다.

자격 증명 관리

로컬 계정이 있는 소비자는 암호를 사용할 수 있습니다.

모든 소비자 계정은 다단계 인증을 위해 이메일 확인과 같은 추가 인증 방법을 등록할 수 있습니다.

임시 공동 작업

소비자 지향 아키텍처는 임시 공동 작업에 최적화되지 않습니다. Microsoft 365는 지원하지 않습니다.

애플리케이션은 사용자 찾기/선택 및 콘텐츠 중심 워크플로와 같은 공동 작업 기능을 제공하여 액세스를 공유/관리하는 사용자 지정 논리가 필요합니다.

역할 기반 리소스 할당

애플리케이션은 앱 역할 또는 그룹을 지원할 수 있습니다. 에 역할 기반 액세스 제어를 사용하면 Microsoft Entra 외부 ID 애플리케이션에 대한 애플리케이션 역할을 정의하고 사용자 및 그룹에 해당 역할을 할당할 수 있는 방법을 설명합니다.

사용자 지정 논리 또는 워크플로를 사용하여 사용자를 역할 또는 그룹에 할당합니다.

위험 관리

사용자는 자신의 사용자 프로필만 보고 관리할 수 있습니다.

애플리케이션은 사용자가 서로 상호 작용할 수 있도록 사용자 지정 논리를 개발해야 합니다.

기타

Azure Web Apps와 같은 애플리케이션 인프라를 지원하는 Azure 리소스의 경우 인력 테넌트에 연결하는 Azure 구독에서 호스트합니다.

아키텍처 조합

조직의 집계된 요구 사항 집합은 하나의 아키텍처에만 맞지 않을 수 있습니다. 여러 아키텍처를 사용하거나 이 문서에 설명된 아키텍처의 여러 인스턴스를 배포해야 할 수 있습니다.

예를 들어 대규모 컨설팅 회사는 다음 아키텍처를 배포할 수 있습니다.

  • 인력 및 마케팅 기관 및 컨설턴트와 같은 외부 협력자를 위한 인력 및 공동 작업 지향 아키텍처 입니다.
  • 각 합작 투자에 별도의 경계가 필요한 경우 알아야 할 액세스 및 격리가 필요한 합작 투자와 같은 프로젝트에 대한 비즈니스 파트너 에 대한 격리된 액세스입니다.

또 다른 예제에서는 대형 소매점에서 다음 아키텍처를 배포할 수 있습니다.

  • 인력 및 마케팅 기관 및 컨설턴트와 같은 외부 협력자를 위한 인력 및 공동 작업 지향 아키텍처 입니다.
  • 충성도 프로그램, 전자 상거래 및 유사한 소비자 중심 기능을 사용하도록 설정하는 소비자 지향 아키텍처 입니다. 여러 브랜드가 있거나 다양한 지역에서 작업하는 소매업체에는 별도의 아키텍처 인스턴스가 필요할 수 있습니다.

다음 단계

추가 지침은 Microsoft Entra 배포 계획을 검토하세요.