Microsoft Entra ID에서의 테넌트 구성
Microsoft Entra ID는 사용자 및 앱과 같은 개체를 테넌트라는 그룹으로 구성합니다. 테넌트를 사용하면 관리자가 조직 내 사용자와 조직에서 소유한 앱에 대한 정책을 설정하여 보안 및 운영 정책을 충족할 수 있습니다.
누가 앱에 로그인할 수 있나요?
앱 개발과 관련하여 개발자는 앱 등록 중에 앱을 단일 테넌트 또는 다중 테넌트로 구성하도록 선택할 수 있습니다.
- 단일 테넌트 앱은 등록된 테넌트(홈 테넌트라고도 함)에서만 사용할 수 있습니다.
- 다중 테넌트 앱은 홈 테넌트 및 기타 테넌트의 사용자가 사용할 수 있습니다.
애플리케이션을 등록할 때 다음과 같이 대상 그룹을 설정하여 단일 테넌트 또는 다중 테넌트로 구성할 수 있습니다.
| 관객 | 단일/다중 테넌트 | 로그인할 수 있는 사용자 |
|---|---|---|
| 이 디렉터리의 계정만 | 단일 임차인 | 디렉터리의 모든 사용자 및 게스트 계정은 애플리케이션 또는 API를 사용할 수 있습니다. 대상 대상이 조직 내부인 경우 이 옵션을 사용합니다. |
| 모든 Microsoft Entra 디렉터리의 계정 | 다중 임차인 | Microsoft의 회사 또는 학교 계정을 사용하는 모든 사용자와 게스트는 애플리케이션 또는 API를 사용할 수 있습니다. 여기에는 Microsoft 365를 사용하는 학교와 기업이 포함됩니다. 대상 고객이 비즈니스 또는 교육 고객인 경우 이 옵션을 사용합니다. |
| Microsoft Entra 디렉터리의 계정 및 개인 Microsoft 계정(예: Skype, Xbox, Outlook.com) | 멀티테넌트 | 회사 또는 학교 또는 개인 Microsoft 계정이 있는 모든 사용자는 애플리케이션 또는 API를 사용할 수 있습니다. 여기에는 Microsoft 365를 사용하는 학교와 기업뿐만 아니라 Xbox 및 Skype와 같은 서비스에 로그인하는 데 사용되는 개인 계정이 포함됩니다. 이 옵션을 사용하여 가장 광범위한 Microsoft 계정 집합을 대상으로 지정합니다. |
다중 테넌트 앱에 대한 모범 사례
IT 관리자가 테넌트에서 설정할 수 있는 다양한 정책의 수 때문에 훌륭한 다중 테넌트 앱을 빌드하는 것은 어려울 수 있습니다. 다중 테넌트 앱을 빌드하도록 선택한 경우 다음 모범 사례를 따릅니다.
- 조건부 액세스 정책 구성된 테넌트에서 앱을 테스트합니다.
- 최소 사용자 액세스 원칙에 따라 앱이 실제로 필요한 권한만 요청하도록 합니다.
- 앱의 일부로 노출하는 모든 권한에 적절한 이름과 설명을 제공합니다. 이렇게 하면 사용자와 관리자가 앱의 API를 사용하려고 할 때 동의한 내용을 알 수 있습니다. 자세한 내용은 권한 가이드모범 사례 섹션을 참조하세요.
메모
다중 테넌트 애플리케이션은 동일한 국가별 클라우드 인스턴스에 배포할 수 있지만 Azure National Cloud배포할 수는 없습니다. 예제:
- 상업용 테넌트에서 만든 다중 테넌트 애플리케이션을 다른 상용 테넌트에 추가할 수 있습니다.
- Azure Government 테넌트에서 만든 다중 테넌트 애플리케이션을 다른 Azure Government 테넌트에 추가할 수 있습니다.
다음 단계
Microsoft Entra ID의 테넌티에 대한 자세한 내용은 다음을 참조하세요.
- 앱을 다중 테넌트 변환하는 방법