다음을 통해 공유

다중 테넌트 사용자 관리 소개

  • 아티클

이 문서는 Microsoft Entra 다중 테넌트 환경에서 사용자 수명 주기 관리를 구성하고 제공하기 위한 지침을 제공하는 일련의 문서 중 첫 번째 문서입니다. 시리즈의 다음 문서에서는 설명된 대로 자세한 정보를 제공합니다.

이 지침은 일관된 사용자 수명 주기 관리 상태를 달성하는 데 도움이 됩니다. 수명 주기 관리에는 Microsoft Entra B2B Collaboration(B2B) 및 테넌트 간 동기화를 포함하는 사용 가능한 Azure 도구를 사용하여 테넌트 전체에서 사용자를 프로비전, 관리, 프로비전 해제하는 작업이 포함됩니다.

사용자를 단일 Microsoft Entra 테넌트에 프로비전하면 리소스에 대한 통합 보기와 단일 정책 및 제어 집합이 제공됩니다. 이 방법은 일관된 사용자 수명 주기 관리를 가능하게 합니다.

Microsoft는 가능한 경우 단일 테넌트를 권장합니다. 여러 테넌트가 있으면 고유한 테넌트 간 협업 및 관리 요구 사항이 발생할 수 있습니다. 단일 Microsoft Entra 테넌트로의 통합이 불가능한 경우 다중 테넌트 조직은 다음과 같은 이유로 두 개 이상의 Microsoft Entra 테넌트로 확장될 수 있습니다.

  • 합병
  • 취득
  • 매각
  • 퍼블릭, 소버린 및 지역 클라우드 간 협업
  • 단일 Microsoft Entra 테넌트로의 통합을 금지하는 정치적 또는 조직적 구조

Microsoft Entra B2B 협업

Microsoft Entra B2B 협업(B2B)을 사용하면 회사의 애플리케이션과 서비스를 외부 사용자와 안전하게 공유할 수 있습니다. 사용자가 어느 조직에서나 올 수 있는 경우 B2B를 사용하면 IT 환경 및 데이터에 대한 액세스를 제어할 수 있습니다.

B2B Collaboration을 사용하여 조직의 사용자가 관리하는 여러 테넌트 액세스에 대한 외부 액세스를 제공할 수 있습니다. 일반적으로 B2B 외부 사용자 액세스는 사용자 고유의 조직에서 관리하지 않는 사용자에 대한 액세스 권한을 부여할 수 있습니다. 그러나 외부 사용자 액세스는 조직에서 관리하는 여러 테넌트에서 액세스를 관리할 수 있습니다.

Microsoft Entra B2B 협업과 혼동되는 부분은 B2B 게스트 사용자의 속성을 둘러싸고 있습니다. 내부 계정과 외부 사용자 계정 및 멤버와 게스트 사용자 유형 간의 차이는 혼동을 야기합니다. 처음에는 모든 내부 사용자가 UserType 특성이 Member(멤버 사용자)로 설정된 멤버 사용자입니다. 내부 사용자는 Microsoft Entra ID에 권한이 있고 사용자가 상주하는 테넌트에 대해 인증하는 계정을 가지고 있습니다. 멤버 사용자는 테넌트에서 기본 멤버 수준 권한을 가진 라이선스가 있는 사용자입니다. 구성원 사용자를 조직의 직원으로 취급합니다.

한 테넌트 내부 사용자를 외부 사용자로 다른 테넌트로 초대할 수 있습니다. 외부 사용자는 외부 Microsoft Entra 계정, 소셜 ID 또는 기타 외부 ID 공급자를 사용하여 로그인합니다. 외부 사용자는 외부 사용자를 초대하는 테넌트 외부에서 인증합니다. B2B 첫 번째 릴리스에서 모든 외부 사용자는 UserType 게스트(게스트 사용자)였습니다. 게스트 사용자는 테넌트에서 권한이 제한됩니다. 예를 들어 게스트 사용자는 테넌트 디렉터리의 모든 사용자 또는 그룹 목록을 열거할 수 없습니다.

사용자의 UserType 속성에 대해 B2B는 비트를 내부에서 외부로, 그 반대로 뒤집는 것도 지원하므로 혼동을 야기합니다.

내부 사용자를 멤버 사용자에서 게스트 사용자로 변경할 수 있습니다. 예를 들어 테넌트에서 게스트 수준 권한이 있는 허가되지 않은 내부 게스트 사용자를 가질 수 있으며, 이는 조직의 직원이 아닌 사람에게 사용자 계정 및 자격 증명을 제공할 때 유용합니다.

외부 사용자를 게스트 사용자에서 멤버 사용자로 변경하여 외부 사용자에게 멤버 수준 권한을 부여할 수 있습니다. 이 변경은 조직에 대한 여러 테넌트 관리 및 모든 테넌트에서 사용자에게 멤버 수준 권한을 부여해야 하는 경우에 유용합니다. 이 필요는 사용자가 지정된 테넌트에서 내부인지 외부인지에 관계없이 발생할 수 있습니다. 멤버 사용자에게 더 많은 라이선스가 필요할 수 있습니다.

B2B에 대한 대부분의 설명서는 외부 사용자를 게스트 사용자로 지칭합니다. 모든 게스트 사용자가 외부라고 가정하는 방식으로 UserType 속성을 구성합니다. 설명서에서 게스트 사용자를 호출할 때 외부 게스트 사용자라고 가정합니다. 이 문서는 외부와 내부 및 멤버 사용자와 게스트 사용자를 구체적으로 의도적으로 참조합니다.

테넌트 간 동기화

테넌트 간 동기화를 사용하면 다중 테넌트 조직에서 기존 B2B 외부 협업 기능을 사용하여 최종 사용자에게 원활한 액세스 및 협업 환경을 제공할 수 있습니다. 이 기능은 Microsoft 소버린 클라우드(예: Microsoft 365 미국 정부 GCC High, DOD 또는 중국의 Office 365)에서 테넌트 간 동기화를 허용하지 않습니다. 자동화된 사용자 지정 테넌트 간 동기화 시나리오에 대한 도움말은 다중 테넌트 사용자 관리에 대한 일반적인 고려 사항을 참조하세요.

Arvind Harinder가 Microsoft Entra ID의 테넌트 간 동기화 기능에 대해 이야기하는 것을 시청하세요(아래에 포함됨).

다음 개념 및 방법 문서에서는 Microsoft Entra B2B 협업 및 테넌트 간 동기화에 대한 정보를 제공합니다.

개념 문서

  • B2B 모범 사례는 사용자 및 관리자에게 가장 원활한 환경을 제공하기 위한 권장 사항을 제공합니다.
  • B2B 및 Office 365 외부 공유에서는 B2B, Office 365 및 SharePoint/OneDrive를 통한 리소스 공유의 유사점과 차이점을 설명합니다.
  • Microsoft Entra B2B 협업 사용자의 속성은 Microsoft Entra ID의 외부 사용자 개체의 속성과 상태를 설명합니다. 설명은 초대 회수 전후에 대한 세부 정보를 제공합니다.
  • B2B 용 조건부 액세스는 외부 사용자에 대해 조건부 액세스 및 다단계 인증이 작동하는 방식을 설명합니다.
  • 테넌트 간 액세스 설정은 외부 Microsoft Entra 조직이 사용자와 공동 작업하는 방식(인바운드 액세스) 및 사용자가 외부 Microsoft Entra 조직과 공동 작업하는 방식(아웃바운드 액세스)을 세부적으로 제어할 수 있습니다.
  • 테넌트 간 동기화 개요에서는 조직의 테넌트 전체에서 Microsoft Entra B2B 협업 사용자 만들기, 업데이트 및 삭제를 자동화하는 방법을 설명합니다.

방법 문서

용어

Microsoft 콘텐츠의 다음 용어는 Microsoft Entra ID의 다중 테넌트 협업을 나타냅니다.

  • 리소스 테넌트: 사용자가 다른 사용자와 공유하려는 리소스가 포함된 Microsoft Entra 테넌트입니다.
  • 홈 테넌트: 리소스 테넌트의 리소스에 액세스해야 하는 사용자가 포함된 Microsoft Entra 테넌트입니다.
  • 내부 사용자: 내부 사용자에게는 권한이 있고 사용자가 상주하는 테넌트에 대해 인증하는 계정이 있습니다.
  • 외부 사용자: 외부 사용자는 로그인할 수 있는 외부 Microsoft Entra 계정, 소셜 ID 또는 기타 외부 ID 공급자를 가지고 있습니다. 외부 사용자는 외부 사용자를 초대한 테넌트 외부의 어딘가에서 인증합니다.
  • 멤버 사용자: 내부 또는 외부 멤버 사용자는 테넌트에서 기본 멤버 수준 권한을 가진 라이선스가 있는 사용자입니다. 구성원 사용자를 조직의 직원으로 취급합니다.
  • 게스트 사용자: 내부 또는 외부 게스트 사용자는 테넌트에서 권한이 제한되어 있습니다. 게스트 사용자는 조직의 직원이 아닙니다(예: 파트너용 사용자). 대부분의 B2B 설명서는 주로 외부 게스트 사용자 계정을 참조하는 B2B 게스트를 나타냅니다.
  • 사용자 수명 주기 관리: 리소스에 대한 사용자 액세스를 프로비전, 관리 및 프로비전 해제하는 프로세스입니다.
  • 통합 GAL: 각 테넌트의 각 사용자에게 GAL(전체 주소 목록)에 있는 각 조직의 사용자가 표시됩니다.

요구 사항을 충족하는 방법 결정

조직의 고유한 요구 사항에 따라 테넌트 간에 사용자를 관리하기 위한 전략에 영향을 줍니다. 효과적인 전략을 만들려면 다음 요구 사항을 고려하세요.

  • 테넌트 수
  • 조직 유형
  • 현재 토폴로지
  • 특정 사용자 동기화 요구 사항

일반적인 요구 사항

조직에서는 초기에 즉각적인 협업을 위해 원하는 요구 사항에 중점을 둡니다. Day One 요구 사항이라고도 하는 이러한 요구 사항은 최종 사용자가 가치를 창출하는 기능을 중단하지 않고 원활하게 병합할 수 있도록 하는 데 집중합니다. Day One 및 관리 요구 사항을 정의할 때 다음 조건 및 요구 사항을 포함하는 것이 좋습니다.

통신 요구 사항

  • 통합 전체 주소 목록: 각 사용자가 홈 테넌트에서 GAL에 있는 다른 모든 사용자를 볼 수 있습니다.
  • 약속 있음/없음 정보: 사용자가 서로의 가용성을 검색할 수 있도록 설정합니다. 이 작업은 Exchange Online에서 조직 관계를 사용하여 수행할 수 있습니다.
  • 채팅 및 현재 상태: 사용자가 다른 사람의 현재 상태를 확인하고 인스턴트 메시징을 시작할 수 있도록 합니다. Microsoft Teams에서 외부 액세스를 통해 구성합니다.
  • 리소스(예: 회의실) 예약: 사용자가 조직에서 회의실 또는 기타 리소스를 예약할 수 있도록 합니다. 테넌트 간 회의실 예약은 현재 Exchange Online에서 사용할 수 없습니다.
  • 단일 이메일 도메인: 모든 사용자가 단일 이메일 도메인(예: users@contoso.com)에서 메일을 보내고 받을 수 있도록 합니다. 전송하려면 이메일 주소 다시 쓰기 솔루션이 필요합니다.

액세스 요구 사항

  • 문서 액세스: 사용자가 SharePoint, OneDrive 및 Teams에서 문서를 공유할 수 있도록 합니다.
  • 관리: 관리자가 여러 테넌트에 배포된 구독 및 서비스의 구성을 관리할 수 있도록 허용합니다.
  • 애플리케이션 액세스: 최종 사용자가 조직 전체의 애플리케이션에 액세스할 수 있도록 허용합니다.
  • Single Sign On: 사용자가 더 많은 자격 증명을 입력할 필요 없이 조직 전체의 리소스에 액세스할 수 있도록 합니다.

계정 만들기 패턴

외부 사용자 계정의 수명 주기를 만들고 관리하기 위한 Microsoft 메커니즘은 세 가지 일반적인 패턴을 따릅니다. 이러한 패턴을 사용하여 요구 사항을 정의하고 구현할 수 있습니다. 시나리오에 가장 적합한 패턴을 선택한 다음 패턴 세부 정보에 집중합니다.

메커니즘 설명 가장 적합한 경우
최종 사용자 시작 리소스 테넌트 관리자가 외부 사용자를 테넌트, 앱 또는 리소스에 초대하는 기능을 테넌트 내의 사용자에게 위임합니다. 홈 테넌트에서 사용자를 초대하거나 개별적으로 등록할 수 있습니다. Day One에 통합된 전체 주소 목록이 필요하지 않습니다.
스크립팅됨 리소스 테넌트 관리자가 공유 시나리오를 지원하기 위해 스크립팅된 끌어오기 프로세스를 배포하여 외부 사용자의 검색 및 프로비전을 자동화합니다. 적은 수의 테넌트(예: 2개).
자동화됨 리소스 테넌트 관리자가 ID 프로비전 시스템을 사용하여 프로비전 및 프로비전 해제 프로세스를 자동화합니다. 테넌트 전체에서 통합된 전체 주소 목록이 필요합니다.

다음 단계