인력 및 외부 테넌트에서 지원되는 기능
조직에서 테넌트를 사용하려는 방법과 관리하려는 리소스에 따라 Microsoft Entra 테넌트를 구성하는 방법에는 두 가지가 있습니다.
- 인력 테넌트 구성은 직원, 내부 비즈니스 앱 및 기타 조직 리소스를 위한 것입니다. B2B 협업은 직원 테넌트에서 외부 비즈니스 파트너 및 게스트와 공동 작업하는 데 사용됩니다.
- 외부 테넌트 구성은 소비자 또는 비즈니스 고객에게 앱을 게시하려는 외부 ID 시나리오에만 사용됩니다.
이 문서에서는 직원 및 외부 테넌트에서 사용할 수 있는 기능과 기능에 대한 자세한 비교를 제공합니다.
참고 항목
미리 보기 중에는 프리미엄 라이선스가 필요한 특징이나 기능을 외부 테넌트에서 사용할 수 없습니다.
일반 기능 비교
다음 표에서는 인력 및 외부 테넌트에서 사용할 수 있는 일반적인 특징과 기능을 비교합니다.
| 기능 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| 외부 ID 시나리오 | 비즈니스 파트너 및 기타 외부 사용자가 인력과 공동 작업할 수 있도록 허용합니다. 게스트는 초대 또는 셀프 서비스 등록을 통해 비즈니스 애플리케이션에 안전하게 액세스할 수 있습니다. | 외부 ID를 사용하여 애플리케이션을 보호합니다. 소비자 및 비즈니스 고객은 셀프 서비스 등록을 통해 소비자 앱에 안전하게 액세스할 수 있습니다. 초대도 지원됩니다. |
| 로컬 계정 | 로컬 계정은 조직의 내부 구성원만 지원됩니다. | 로컬 계정은 - 셀프 서비스 등록을 사용하는 외부 사용자(소비자, 비즈니스 고객)에 대해 지원됩니다. - 관리자가 만든 계정입니다. |
| Groups | 그룹은 관리 및 사용자 계정을 관리하는 데 사용할 수 있습니다. | 그룹은 관리 계정을 관리하는 데 사용할 수 있습니다. Microsoft Entra 그룹 및 애플리케이션 역할에 대한 지원은 고객 테넌트로 단계적으로 진행되고 있습니다. 최신 업데이트는 그룹 및 애플리케이션 역할 지원을 참조하세요. |
| 역할 및 관리자 | 역할 및 관리자는 관리 계정과 사용자 계정에 대해 완벽하게 지원됩니다. | 역할은 고객 계정으로는 지원되지 않습니다. 고객 계정에는 테넌트 리소스에 대한 액세스 권한이 없습니다. |
| ID 보호 | Microsoft Entra 테넌트에 대한 지속적인 위험 검색 기능을 제공합니다. 이를 통해 조직은 ID 기반 위험을 검색, 조사 및 수정할 수 있습니다. | Microsoft Entra ID 보호 위험 검색의 하위 집합을 사용할 수 있습니다. 자세히 알아보기. |
| 셀프 서비스 암호 재설정 | 사용자가 최대 두 가지 인증 방법을 사용하여 암호를 재설정할 수 있도록 허용합니다(사용 가능한 방법은 다음 행 참조). | 사용자가 일회용 암호로 이메일을 사용하여 암호를 재설정할 수 있도록 허용합니다. 자세히 알아보기. |
| 언어 사용자 지정 | 사용자가 회사 인트라넷 또는 웹 기반 애플리케이션에 인증할 때 브라우저 언어에 따라 로그인 환경을 사용자 지정합니다. | 언어를 사용하여 로그인 및 등록 프로세스 과정에서 고객에게 표시되는 문자열을 수정합니다. 자세히 알아보기. |
| 사용자 지정 특성 | 디렉터리 확장 특성을 사용하여 사용자 개체, 그룹, 테넌트 세부 정보 및 서비스 주체에 대한 Microsoft Entra 디렉터리에 더 많은 데이터를 저장합니다. | 디렉터리 확장 특성을 사용하여 사용자 개체에 대한 고객 디렉터리에 더 많은 데이터를 저장합니다. 사용자 지정 사용자 특성을 만들어서 사용자 등록 흐름에 추가합니다. 자세히 알아보기. |
사용자 지정 보기 및 느낌
다음 표에서는 직원 및 외부 테넌트에서 보기 및 느낌 사용자 지정에 사용할 수 있는 기능을 비교합니다.
| 기능 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| 회사 브랜딩 | 이러한 모든 환경에 적용되는 회사 브랜딩을 추가하여 사용자에게 일관된 로그인 환경을 만들 수 있습니다. | 인력과 동일합니다. 자세한 정보 |
| 언어 사용자 지정 | 브라우저 언어로 로그인 환경을 사용자 지정합니다. | 인력과 동일합니다. 자세한 정보 |
| 사용자 지정 도메인 이름 | 사용자 지정 도메인은 관리 계정에만 사용할 수 있습니다. | 외부 테넌트에 대한 사용자 지정 URL 도메인(미리 보기) 기능을 사용하면 고유한 도메인 이름으로 앱 로그인 엔드포인트를 브랜드화할 수 있습니다. |
| 모바일 앱에 대한 네이티브 인증 | 사용할 수 없음 | Microsoft Entra의 네이티브 인증은 모바일 애플리케이션 로그인 환경의 디자인을 완전히 제어할 수 있습니다. |
고유한 비즈니스 논리 추가
사용자 지정 인증 확장을 사용하면 외부 시스템과 통합하여 Microsoft Entra 인증 환경을 사용자 지정할 수 있습니다. 사용자 지정 인증 확장은 기본적으로 활성화될 때 고유한 비즈니스 논리를 정의하는 REST API 엔드포인트에 대한 HTTP 호출을 하는 이벤트 수신기입니다. 다음 표에서는 직원 및 외부 테넌트에서 사용할 수 있는 사용자 지정 인증 확장 이벤트를 비교합니다.
| 이벤트 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| TokenIssuanceStart | 외부 시스템에서 클레임을 추가합니다. | 외부 시스템에서 클레임을 추가합니다. |
| OnAttributeCollectionStart | 사용할 수 없음 | 특성 컬렉션 페이지가 렌더링되기 전에 등록의 특성 컬렉션 단계가 시작될 때 발생합니다. 값을 미리 채우고 차단 오류를 표시하는 등의 작업을 추가할 수 있습니다. 자세한 정보 |
| OnAttributeCollectionSubmit | 사용할 수 없음 | 사용자가 특성을 입력하고 제출한 후 등록 흐름 중에 발생합니다. 사용자의 항목 유효성 검사 또는 수정과 같은 작업을 추가할 수 있습니다. 자세한 정보 |
ID 공급자 및 인증 방법
다음 표에서는 ID 공급자 및 직원 및 외부 테넌트에서 기본 인증 및 MFA(다단계 인증)에 사용할 수 있는 방법을 비교합니다.
| 기능 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| 외부 사용자를 위한 ID 공급자(기본 인증) | 셀프 서비스 등록 게스트의 경우 - Microsoft Entra 계정 - Microsoft 계정 - 이메일 일회용 암호 - Google 페더레이션 - Facebook 페더레이션 초대된 게스트의 경우 - Microsoft Entra 계정 - Microsoft 계정 - 이메일 일회용 암호 - Google 페더레이션 - SAML/WS-Fed 페더레이션 |
셀프 서비스 등록 사용자(소비자, 비즈니스 고객) - 암호가 있는 이메일 - 이메일 일회용 암호 - Google 페더레이션(미리 보기) - Facebook 페더레이션(미리 보기) 초대된 게스트의 경우(미리 보기) 디렉터리 역할으로 초대된 게스트(예: 관리자): - Microsoft Entra 계정 - Microsoft 계정 - 이메일 일회용 암호 |
| MFA 인증 방법 | 내부 사용자(직원 및 관리자)의 경우 - 인증 및 확인 방법 게스트(초대 또는 셀프 서비스 )의 경우 - 게스트 MFA 인증 방법 |
셀프 서비스 등록 사용자(소비자, 기업 고객) 또는 초대된 사용자의 경우(미리 보기) - 이메일 일회용 암호 - SMS 기반 인증 |
애플리케이션 등록
다음 표에서는 각 유형의 테넌트에서 애플리케이션 등록에 사용할 수 있는 기능을 비교합니다.
| 기능 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| 프로토콜 | SAML 신뢰 당사자, OpenID Connect, OAuth2 | OpenID Connect 및 OAuth2 |
| 지원되는 계정 유형 | 다음 계정 유형:
|
항상 이 조직 디렉터리(단일 테넌트) 계정을 사용합니다. |
| 플랫폼 | 다음 플랫폼:
|
다음 플랫폼:
|
| 인증>리디렉션 URI | URI Microsoft Entra ID는 사용자를 성공적으로 인증하거나 로그아웃한 후 인증 응답(토큰)을 반환할 때 대상으로 허용합니다. | 인력과 동일합니다. |
| 인증>프런트 채널 로그아웃 URL | 이 URL은 Microsoft Entra ID가 애플리케이션이 사용자의 세션 데이터를 지우도록 요청하는 요청을 보내는 위치입니다. Single Sign-Out이 제대로 작동하려면 프런트 채널 로그아웃 URL이 필요합니다. | 인력과 동일합니다. |
| 인증>암시적 권한 부여 및 하이브리드 흐름 | 권한 부여 엔드포인트에서 직접 토큰을 요청합니다. | 인력과 동일합니다. |
| 인증서 및 비밀 | 인력과 동일합니다. | |
| API 권한 | 애플리케이션에 대한 사용 권한을 추가, 제거 및 대체합니다. 사용 권한이 애플리케이션에 추가된 후 사용자 또는 관리자는 새 권한에 대한 동의를 부여해야 합니다. Microsoft Entra ID에서 앱의 요청된 권한 업데이트에 대해 자세히 알아봅니다. | 허용되는 권한은 Microsoft Graph offline_access, openid 및 User.Read 및 My API 위임된 권한입니다. 관리자만 조직을 대신하여 동의할 수 있습니다. |
| API 노출 | API로 보호되는 데이터 및 기능에 대한 액세스를 제한하는 사용자 지정 범위를 정의합니다. 이 API의 일부에 액세스해야 하는 애플리케이션은 사용자 또는 관리자가 이러한 범위 중 하나 이상에 동의하도록 요청할 수 있습니다. | API로 보호되는 데이터 및 기능에 대한 액세스를 제한하기 위한 사용자 지정 범위를 정의합니다. 이 API의 일부에 액세스해야 하는 애플리케이션은 이러한 범위 중 하나 이상에 대한 관리자 동의를 요청할 수 있습니다. |
| 앱 역할 | 앱 역할은 사용자 또는 앱에 권한을 할당하는 사용자 지정 역할입니다. 애플리케이션은 앱 역할을 정의 및 게시하고 권한 부여 중에 앱 역할을 권한으로 해석합니다. | 인력과 동일합니다. 외부 테넌트에서 애플리케이션에 대한 역할 기반 액세스 제어를 사용에 자세히 알아봅니다. |
| 소유자 | 애플리케이션 소유자는 애플리케이션 등록을 보고 편집할 수 있습니다. 또한 모든 애플리케이션(예: 클라우드 애플리케이션 관리자)을 관리할 수 있는 관리 권한이 있는 사용자(나열되지 않을 수 있는 사용자)는 애플리케이션 등록을 보고 편집할 수 있습니다. | 인력과 동일합니다. |
| 역할 및 관리자 | 관리 역할은 Microsoft Entra ID에서 권한 있는 작업에 대한 액세스 권한을 부여하는 데 사용됩니다. | 외부 테넌트에서는 클라우드 애플리케이션 관리자 역할만 사용할 수 있습니다. 이 역할은 애플리케이션 등록 및 엔터프라이즈 애플리케이션의 모든 측면을 만들고 관리하는 기능을 부여합니다. |
| 앱에 사용자 및 그룹 할당 | 사용자 할당이 필요한 경우 사용자가 직접 사용자 할당을 통해 또는 그룹 멤버 자격을 통해 애플리케이션에 할당하는 사용자만 로그인할 수 있습니다. 자세한 내용은 애플리케이션에 대한 사용자 및 그룹 할당 관리를 참조하세요. | 사용할 수 없음 |
OpenID Connect 및 OAuth2 흐름
다음 표에서는 각 유형의 테넌트에서 OAuth 2.0 및 OpenID Connect 권한 부여 흐름에 사용할 수 있는 기능을 비교합니다.
| 기능 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| OpenID Connect | 예 | 예 |
| 인증 코드 | 예 | 예 |
| PKCE(코드 교환)을 사용하여 권한 부여 코드 | 예 | 예 |
| 클라이언트 자격 증명 | 예 | V2.0 애플리케이션 (미리 보기) |
| 디바이스 권한 | 예 | 프리뷰 |
| On-Behalf-Of 흐름 | 예 | 예 |
| 암시적 부여 | 예 | 예 |
| 리소스 소유자 암호 자격 증명 | 예 | 아니요, 모바일 애플리케이션의 경우 네이티브 인증을 사용합니다. |
OpenID Connect 및 OAuth2 흐름의 기관 URL
기관 URL은 MSAL이 토큰을 요청할 수 있는 디렉터리를 나타내는 URL입니다. 외부 테넌트 앱의 경우 항상 <테넌트 이름>.ciamlogin.com 형식을 사용합니다.
다음 JSON은 기관 URL이 있는 .NET 애플리케이션 appsettings.json 파일의 예를 보여줍니다.
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
조건부 액세스
다음 표에서는 각 테넌트 유형에서 조건부 액세스에 사용할 수 있는 기능을 비교합니다.
| 기능 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| 할당 | 사용자, 그룹 및 워크로드 ID | 모든 사용자 포함 및 사용자 및 그룹을 제외. 자세한 내용은 앱 MFA(다단계 인증) 추가를 참조하세요. |
| 대상 리소스 | ||
| 조건 | ||
| 허용 | 리소스에 액세스 권한 부여 또는 차단 | |
| 세션 | 세션 컨트롤 | 사용할 수 없음 |
계정 관리
다음 표에서는 각 테넌트 유형에서 사용자 관리에 사용할 수 있는 기능을 비교합니다. 표에 설명된 것처럼 특정 계정 유형은 초대 또는 셀프 서비스 등록을 통해 생성됩니다. 테넌트에서 사용자 관리자는 관리 센터를 통해 계정을 만들 수도 있습니다.
| 기능 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| 계정 유형 |
|
|
| 사용자 프로필 정보 관리 | 프로그래밍 방식 및 Microsoft Entra 관리 센터 사용. | 인력과 동일합니다. |
| 사용자 암호 다시 설정 | 암호를 잊어버린 경우, 사용자가 디바이스로부터 잠긴 경우 또는 사용자가 암호를 받지 못한 경우 관리자는 사용자의 암호를 다시 설정할 수 있습니다. | 인력과 동일합니다. |
| 최근에 삭제된 사용자 복원 또는 제거 | 사용자를 삭제하면 30일 동안 계정이 일시 중단된 상태로 유지됩니다. 30일이라는 기간 동안 사용자는 모든 속성과 함께 계정을 복원할 수 있습니다. | 인력과 동일합니다. |
| 계정 사용 안 함 | 새 사용자가 로그인할 수 없도록 합니다. | 인력과 동일합니다. |
암호 보호
다음 표에서는 각 테넌트 유형에서 암호 보호에 사용할 수 있는 기능을 비교합니다.
| 기능 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| 스마트 잠금 | 스마트 잠금은 사용자의 암호를 추측하거나 무차별 암호 대입 방법을 사용하여 로그인하려는 악의적인 행위자를 잠그는 데 도움이 됩니다. | 인력과 동일합니다. |
| 사용자 지정 금지 암호 | Microsoft Entra 사용자 지정 금지 암호 목록을 사용하면 평가하고 차단할 특정 문자열을 추가할 수 있습니다. | 사용할 수 없음. |
토큰 사용자 지정
다음 표에서는 각 유형의 테넌트에서 토큰 사용자 지정에 사용할 수 있는 기능을 비교합니다.
| 기능 | 인력 테넌트 | 외부 테넌트 |
|---|---|---|
| 클레임 매핑 | 엔터프라이즈 애플리케이션에 대한 JWT(JSON 웹 토큰)에서 발급된 사용자 지정 클레임. | 인력과 동일합니다. 선택적 클레임은 특성 및 클레임을 통해 구성되어야 합니다. |
| 클레임 변환 | 엔터프라이즈 애플리케이션용 JWT(JSON 웹 토큰)에서 발급된 사용자 특성 변환을 적용합니다. | 인력과 동일합니다. |
| 사용자 지정 클레임 공급자 | 외부 시스템에서 클레임을 가져오는 외부 REST API를 호출하는 사용자 지정 인증 확장. | 인력과 동일합니다. 자세한 정보 |
| 보안 그룹 | 그룹 선택적 클레임 구성 | 그룹 구성 선택적 클레임은 그룹 개체 ID로 제한됩니다. |
| 토큰 수명 | Microsoft Entra ID에서 발급한 보안 토큰의 수명을 지정할 수 있습니다. | 인력과 동일합니다. |
Microsoft Graph API
외부 테넌트에서 지원되는 모든 기능은 Microsoft Graph API를 통한 자동화에도 지원됩니다. 외부 테넌트에서 미리 보기로 제공되는 일부 기능은 일반적으로 Microsoft Graph를 통해 사용할 수 있습니다. 자세한 내용은 Microsoft Graph를 사용하여 Microsoft Entra ID 및 네트워크 액세스 관리를 참조하세요.