거버넌스 및 테넌트 간 동기화
테넌트 간 동기화는 유연하고 즉시 사용할 수 있는 솔루션으로, 계정을 프로비전하고 조직의 테넌트 간에 원활한 협업을 용이하게 합니다. 테넌트 간 동기화는 테넌트 전체에서 사용자 ID 수명 주기를 자동으로 관리합니다. 원본 테넌트에서 동기화 범위에서 사용자를 프로비전, 동기화 및 프로비전 해제합니다.
이 문서에서는 Microsoft Entra ID Governance 고객이 테넌트 간 동기화를 사용하여 ID를 관리하고 다중 테넌트 조직에서 수명 주기에 액세스하는 방법을 설명합니다.
배포 예
이 예제에서 Contoso는 3개의 프로덕션 Microsoft Entra 테넌트가 있는 다중 테넌트 조직입니다. Contoso는 다음 시나리오를 해결하기 위해 테넌트 간 동기화 및 Microsoft Entra ID Governance 기능을 배포합니다.
- 여러 테넌트에서 직원 ID 수명 주기 관리
- 워크플로를 사용하여 다른 테넌트에서 시작된 직원의 수명 주기 프로세스 자동화
- 다른 테넌트에서 시작된 직원에게 리소스 액세스 자동 할당
- 직원이 여러 테넌트에서 리소스에 대한 액세스를 요청하도록 허용
- 동기화된 사용자의 액세스 검토
테넌트 간 동기화 관점에서 Contoso Europe, Middle East 및 Africa(Contoso EMEA) 및 Contoso United States(Contoso US)는 원본 테넌트이며 Contoso는 대상 테넌트입니다. 다음 다이어그램은 이 토폴로지를 보여 줍니다.
이 지원되는 테넌트 간 동기화 토폴로지는 Microsoft Entra ID의 여러 항목 중 하나입니다. 테넌트는 원본 테넌트 또는 대상 테넌트이거나 둘 다일 수 있습니다. 다음 섹션에서는 테넌트 간 동기화 및 Microsoft Entra ID Governance 기능으로 여러 가지 시나리오를 해결하는 방법을 알아봅니다.
테넌트 전체에서 직원 수명 주기 관리
Microsoft Entra ID의 테넌트 간 동기화는 B2B 협업 사용자 만들기, 업데이트 및 삭제를 자동화합니다.
조직이 테넌트에서 B2B 협업 사용자를 만들거나 프로비전할 때 사용자 액세스는 조직에서 프로비전한 방법(게스트 또는 멤버 사용자 유형)에 따라 부분적으로 달라집니다. 사용자 유형을 선택할 때는 다양한 Microsoft Entra B2B 협업 사용자 속성을 고려합니다. 멤버 사용자 유형은 사용자가 더 큰 다중 테넌트 조직의 일부이며 조직 테넌트의 리소스에 대한 멤버 수준 액세스가 필요한 경우에 적합합니다. Microsoft Teams에는 다중 테넌트 조직의 멤버 사용자 유형이 필요합니다.
기본적으로 테넌트 간 동기화에는 Microsoft Entra ID의 사용자 개체에 일반적으로 사용되는 특성이 포함됩니다. 다음 다이어그램은 이 시나리오를 보여 줍니다.
조직은 이 특성을 사용하여 원본 및 대상 테넌트에서 동적 멤버 자격 그룹을 만들고 패키지에 액세스할 수 있습니다. 일부 Microsoft Entra ID 기능에는 수명 주기 워크플로 사용자 범위 지정과 같이 대상으로 지정할 사용자 특성이 있습니다.
테넌트에서 B2B 협업 사용자를 제거하거나 프로비전 해제하려면 해당 테넌트에서 리소스에 대한 액세스를 자동으로 중지합니다. 이 구성은 직원이 조직을 떠나는 상황과 관련이 있습니다.
워크플로를 사용하여 수명 주기 프로세스 자동화
Microsoft Entra ID 수명 주기 워크플로는 Microsoft Entra 사용자를 관리하는 ID 거버넌스 기능입니다. 조직은 입사자, 이동자 및 퇴사자 프로세스를 자동화할 수 있습니다.
다중 테넌트 간 동기화를 사용하면 다중 테넌트 조직에서 관리하는 B2B 협업 사용자에 대해 자동으로 실행되도록 수명 주기 워크플로를 구성할 수 있습니다. 예를 들어 createdDateTime 이벤트 사용자 특성에 의해 트리거되는 사용자 온보딩 워크플로를 구성하여 새 B2B 협업 사용자에 대한 액세스 패키지 할당을 요청합니다. userType 및 userPrincipalName 같은 특성을 사용하여 조직이 소유한 다른 테넌트에 있는 사용자의 수명 주기 워크플로 범위를 지정합니다.
액세스 패키지를 사용하여 동기화된 사용자 액세스 제어
다중 테넌트 조직은 B2B 협업 사용자가 대상 테넌트의 공유 리소스에 액세스할 수 있도록 할 수 있습니다. 필요한 경우 사용자가 액세스 권한을 요청할 수 있습니다. 다음 시나리오에서는 ID 거버넌스 기능인 권한 관리 액세스 패키지가 리소스 액세스를 제어하는 방법을 참조하세요.
원본 테넌트에서 직원에게 대상 테넌트에서 액세스 권한 자동 할당
선천적(birthright) 할당이라는 용어는 하나 이상의 사용자 속성을 기반으로 리소스 액세스 권한을 자동으로 부여하는 것을 의미합니다. 선천적 할당을 구성하려면 권한 관리에서 액세스 패키지에 대한 자동 할당 정책을 만들고 공유 리소스 액세스 권한을 부여하도록 리소스 역할을 구성합니다.
조직은 원본 테넌트에서 테넌트 간 동기화 구성을 관리합니다. 따라서 조직은 동기화된 B2B 협업 사용자를 위해 리소스 액세스 관리를 다른 원본 테넌트 관리자에게 위임할 수 있습니다.
- 원본 테넌트에서 관리자는 테넌트 간 리소스 액세스가 필요한 사용자에 대한 테넌트 간 동기화 특성 매핑을 구성합니다.
- 대상 테넌트에서 관리자는 자동 할당 정책의 특성을 사용하여 동기화된 B2B 협업 사용자의 액세스 패키지 멤버 자격을 결정합니다.
대상 테넌트에서 자동 할당 정책을 추진하려면 원본 테넌트에서 부서 또는 지도 디렉터리 확장과 같은 기본 특성 매핑을 동기화합니다.
원본 테넌트 직원이 대상 테넌트 공유 리소스에 대한 액세스를 요청할 수 있도록 설정
ID 거버넌스 액세스 패키지 정책을 사용하면 다중 테넌트 조직에서 테넌트 간 동기화로 만든 B2B 협업 사용자가 대상 테넌트의 공유 리소스에 대한 액세스를 요청할 수 있습니다. 이 프로세스는 직원이 다른 테넌트가 소유한 리소스에 대한 JIT(Just-In-Time) 액세스 권한이 필요한 경우에 유용합니다.
동기화된 사용자 액세스 검토
Microsoft Entra의 액세스 검토는 조직에서 그룹 구성원, 엔터프라이즈 애플리케이션에 대한 액세스, 역할 할당을 관리할 수 있도록 지원합니다. 정기적으로 사용자 액세스를 검토하여 적절한 사용자에게 액세스 권한이 있는지 확인합니다.
동적 멤버 자격 그룹이나 액세스 패키지와 같이 리소스 액세스 구성이 자동으로 액세스 권한을 할당하지 않는 경우에는 액세스 검토가 완료되면 그 결과를 리소스에 적용하도록 구성합니다. 다음 섹션에서는 다중 테넌트 조직이 원본 및 대상 테넌트의 테넌트에서 사용자에 대한 액세스 검토를 구성하는 방법을 설명합니다.
원본-테넌트 사용자 액세스 검토
다중 테넌트 조직은 액세스 검토에 내부 사용자를 포함할 수 있습니다. 이 작업을 수행하면 사용자를 동기화하는 원본 테넌트에서 액세스를 재인증할 수 있습니다. 테넌트 간 동기화에 할당된 보안 그룹을 정기적으로 검토하려면 이 방법을 사용합니다. 따라서 다른 테넌트에 대한 지속적인 B2B 공동 작업 액세스는 사용자 홈 테넌트에서 승인을 받았습니다.
원본 테넌트에서 사용자의 액세스 검토를 사용하여 테넌트 간 동기화와 완료 시 거부된 사용자를 제거하는 액세스 검토 간의 잠재적 충돌을 방지합니다.
대상-테넌트 사용자 액세스 검토
조직은 대상 테넌트에서 테넌트 간 동기화로 프로비전된 사용자를 포함하여 액세스 검토에 B2B 협업 사용자를 포함할 수 있습니다. 이 옵션을 사용하면 대상 테넌트의 리소스에 대한 액세스를 재인증할 수 있습니다. 조직은 액세스 검토의 모든 사용자를 대상으로 지정할 수 있지만 필요한 경우 게스트 사용자를 명시적으로 대상으로 지정할 수 있습니다.
B2B 협업 사용자를 동기화하는 조직의 경우 일반적으로 액세스 검토에서 거부된 게스트 사용자를 자동으로 제거하지 않는 것이 좋습니다. 테넌트 간 동기화는 동기화 범위에 있는 경우 사용자를 다시 프로비전합니다.