Azure AD에서 외부 공동 작업 관리

  • 4분

Azure Active Directory는 Microsoft 365에서 사용하는 디렉터리 서비스입니다. Azure Active Directory 조직 관계 설정은 Teams, Microsoft 365 그룹, SharePoint 및 OneDrive의 공유에 직접적인 영향을 미칩니다.

External Identities 설정 Microsoft Teams

Azure AD External Identities는 조직 외부의 사용자와 안전하게 상호 작용할 수 있는 모든 방법을 나타냅니다. 파트너나 배포자, 제공업체, 공급업체와 공동 작업하려는 경우 리소스를 공유하고 내부 사용자가 외부 조직에 액세스할 수 있는 방법을 정의할 수 있습니다.

다음은 Microsoft 팀의 외부 공동 작업 환경에 대한 External Identities 설정입니다.

설정 기본값 설명
게스트 사용자 액세스 게스트는 디렉터리 개체의 속성 및 구성원 자격에 대해 제한된 액세스 권한을 갖습니다. Azure Active Directory에서 게스트가 갖는 사용 권한을 결정합니다.
게스트 초대 설정 조직의 모든 사용자는 게스트 및 관리자가 아닌 사용자를 포함하여 게스트를 초대할 수 있습니다. 게스트, 구성원 및 관리자가 게스트를 조직에 초대할 수 있는지 여부를 결정합니다.

이 설정은 Teams 및 SharePoint와 같은 Microsoft 365 공유 환경에 영향을 줍니다.
사용자 흐름을 통해 게스트 셀프 서비스 가입 사용 아니요 사용자가 만든 앱에 다른 사람이 가입하고 새 게스트 계정을 만들 수 있는 사용자 흐름을 만들 수 있는지 여부를 결정합니다.
공동 작업 제한 사항 모든 도메인에 초대를 보낼 수 있도록 허용 이 설정을 사용하면 공유에 허용되거나 차단된 도메인 목록을 지정할 수 있습니다. 허용 도메인이 지정되면 해당 도메인에만 공유 초대를 보낼 수 있습니다. 거부된 도메인을 지정하면 공유 초대장을 해당 도메인으로 보낼 수 없습니다.

이 설정은 Teams 및 SharePoint와 같은 Microsoft 365 공유 환경에 영향을 줍니다. SharePoint 또는 Teams의 도메인 필터링을 사용하여 더 세분화된 수준으로 도메인을 허용하거나 차단할 수 있습니다.
테넌트 간 액세스 - B2B Collaboration: 액세스 허용
- B2B 직접 연결: 액세스 차단
- 조직 설정: 없음		 이 설정은 외부 Azure AD 조직이 사용자와 공동 작업하는 방식(인바운드 액세스) 및 사용자가 외부 Azure AD 조직(아웃바운드 액세스)과 공동 작업하는 방법을 제어합니다.

B2B 직접 연결에 대한 Azure Active Directory 테넌트 간 액세스 설정도 외부적으로 채널을 공유하도록 구성해야 합니다.

외부 공동 작업 설정

외부 협업 설정을 사용하면 조직에서 B2B Collaboration을 위해 외부 사용자를 초대할 수 있는 역할을 지정할 수 있습니다. 이러한 설정에는 다음과 같은 옵션이 포함됩니다.

  • 게스트 사용자 액세스
  • 게스트를 초대할 수 있는 사용자 지정
  • 사용자 흐름을 통해 게스트 셀프 서비스 가입 사용
  • 도메인 허용 또는 차단

다음을 통해 설정을 구성합니다.

  1. 테넌트 관리자로 Azure AD 관리 센터에 로그인합니다.

  2. External Identities > 외부 공동 작업 설정 을 선택합니다.

  3. 게스트 사용자 액세스 에서 게스트 사용자에게 부여할 액세스 수준을 선택합니다.

    • 게스트 사용자는 구성원과 동일한 액세스 권한을 갖습니다(대부분 포함): 이 옵션은 게스트에게 구성원 사용자와 동일한 Azure AD 리소스 및 디렉터리 데이터 액세스 권한을 부여합니다.

    • 게스트 사용자는 디렉터리 개체의 속성 및 구성원에 대한 액세스가 제한됨: (기본값) 이 설정은 사용자, 그룹 또는 기타 디렉터리 리소스 열거와 같은 특정 디렉터리 작업에서 게스트를 차단합니다. 게스트는 숨겨진 모든 그룹의 구성원을 볼 수 있습니다.

    • 게스트 사용자 액세스는 자신의 디렉터리 개체 속성 및 구성원으로 제한됨(가장 제한적): 이 설정을 사용하면 게스트는 자신의 프로필에만 액세스할 수 있습니다. 게스트는 다른 사용자의 프로필, 그룹 또는 그룹 멤버십을 볼 수 없습니다.

  4. 게스트 초대 설정 에서 적절한 설정을 선택합니다.

    • 조직의 모든 사용자가 게스트 및 비관리자를 포함하여 게스트 사용자를 초대할 수 있음(대부분 포함): 조직의 게스트가 조직의 구성원이 아닌 게스트를 포함하여 다른 게스트를 초대할 수 있도록 하려면 이 라디오 버튼을 선택합니다.

    • 구성원 사용자 및 특정 관리자 역할에 할당된 사용자는 구성원 권한이 있는 게스트를 포함하여 게스트 사용자를 초대할 수 있습니다.: 구성원 사용자 및 특정 관리자 역할이 있는 사용자가 게스트를 초대할 수 있도록 허용하려면 이 라디오 버튼을 선택합니다.

    • 특정 관리자 역할에 할당된 사용자만 게스트 사용자를 초대할 수 있음: 관리자 역할이 있는 사용자만 게스트를 초대할 수 있도록 허용하려면 이 라디오 버튼을 선택합니다. 관리자 역할에는 전역 관리자, 사용자 관리자게스트 초대자 가 있습니다.

    • 조직의 누구도 관리자를 포함하여 게스트 사용자를 초대할 수 없음(가장 제한적임): 조직의 모든 사람이 게스트를 초대하는 것을 거부하려면 이 라디오 버튼을 선택합니다.

  5. 사용자 흐름을 통한 게스트 셀프 서비스 가입 활성화 에서 사용자가 앱에 가입할 수 있는 사용자 흐름을 만들 수 있도록 하려면 를 선택합니다.

  6. 공동 작업 제한 에서 지정한 도메인에 대한 초대를 허용할지 거부할지 선택하고 텍스트 상자에 특정 도메인 이름을 입력할 수 있습니다. 여러 도메인의 경우 새 줄에 각 도메인을 입력합니다.

    Azure AD 외부 공동 작업 설정 스크린샷

테넌트 간 액세스 설정

테넌트 간 액세스 설정은 B2B Collaboration을 관리하고 Microsoft 클라우드를 비롯한 외부 Azure AD 조직과의 B2B 직접 연결을 관리하는 데 사용됩니다.

기본적으로는 Azure AD B2B 직접 연결 을 사용하지 않도록 설정됩니다. 사용자가 Microsoft Teams의 공유 채널에서 조직 외부 사용자와 공동 작업할 수 있도록 하려면 B2B 직접 연결을 구성해야 합니다. 전체 또는 특정 외부 조직과 공유 채널을 사용하도록 설정할 수 있습니다.

다음은 B2B 직접 연결 기능에 대한 관리자 설정입니다.

  • 아웃바운드 액세스 설정 은 사용자가 외부 조직의 리소스에 액세스할 수 있는지 여부를 제어할 수 있습니다. 사용자가 다른 조직의 공유 채널에 참여할 수 있도록 하려면 이 설정을 사용하도록 설정합니다.

  • 인바운드 액세스 설정 은 외부 Azure AD 조직의 사용자가 조직의 리소스에 액세스할 수 있는지 여부를 제어합니다. 사용자가 다른 조직의 사용자를 공유 채널에 참여하도록 초대할 수 있도록 하려면 이 설정을 사용하도록 설정합니다.

  • 신뢰 설정(인바운드)은 외부 조직의 사용자가 자신의 홈 테넌트에서 조건부 액세스 정책이 MFA(다단계 인증), 규격 디바이스 및 하이브리드 Azure AD 조인 디바이스 클레임 요구 사항을 이미 충족한 경우 이를 신뢰할지 여부를 결정합니다.

B2B 직접 연결 관리자 설정을 보여 주는 다이어그램

모든 외부 조직과 공유 채널 사용

조직에서 다른 조직과의 공동 작업을 제한할 필요가 없는 경우 기본적으로 모든 조직을 사용하도록 설정하면 각 조직을 개별적으로 관리하는 데 드는 시간과 복잡성을 줄일 수 있습니다. 자세한 내용은 모든 외부 조직의 공유 채널 사용을 참조하세요.

특정 조직과 공유 채널 사용

조직에 특정 조직과의 공동 작업을 제한해야 하는 경우 공동 작업하려는 각 조직에 대해 B2B 직접 연결을 구성해야 합니다. 대략적인 단계는 다음과 같습니다.

  • 조직을 추가합니다.
  • 조직의 사용자가 조직의 공유 채널에 초대될 수 있도록 조직의 인바운드 설정을 구성합니다.
  • 조직의 사용자가 다른 조직의 공유 채널에 초대될 수 있도록 조직의 아웃바운드 설정을 구성합니다.

자세한 내용은 외부 참가자와 공유 채널에서 공동 작업을 참조하세요.

개별 그룹 및 팀에 대한 게스트 액세스 차단

조직 수준의 제어 이외에 개별 그룹에 대한 게스트 액세스도 제어할 수 있습니다.

그래프용 Azure Active Directory PowerShell 사용

대부분의 그룹 및 팀에 대한 게스트 액세스를 허용하나 게스트 액세스를 차단하고자 하는 지점이 있는 경우 그래프용 Azure Active Directory PowerShell 을 사용해 개별 그룹 및 팀의 게스트 액세스를 차단할 수 있습니다. 단, 이러한 명령은 전역 관리자 권한이 있어야 실행할 수 있습니다.

  1. 이 모듈의 최신 버전인지 확인하려면 Install-Module AzureADPreview을(를) 실행합니다.

  2. 다음 스크립트를 실행하여 <GroupName>을(를) 게스트 액세스를 차단하려는 그룹의 이름으로 변경합니다.

    $GroupName = "<GroupName>"

Connect-AzureAD

$template = Get-AzureADDirectorySettingTemplate | ? {$_.displayname -eq "group.unified.guest"}
$settingsCopy = $template.CreateDirectorySetting()
$settingsCopy["AllowToAddGuests"]=$False
$groupID= (Get-AzureADGroup -SearchString $GroupName).ObjectId
New-AzureADObjectSetting -TargetType Groups -TargetObjectId $groupID -DirectorySetting $settingsCopy

  3. 설정을 확인하려면 이 명령을 실행합니다.

    Get-AzureADObjectSetting -TargetObjectId $groupID -TargetType Groups | fl Values

민감도 레이블 사용

조직에서 민감도 레이블을 사용하는 경우에는 민감도 레이블을 사용자에 사용할 수 있으므로 그룹별 기준으로 게스트 액세스를 제어하기 위해 사용하는 것이 바람직합니다.

사용자는 Microsoft Teams에서 새 팀을 만들 때 민감도 레이블을 선택할 수 있습니다. 민감도 드롭다운에서 레이블을 선택할 때 개인 정보 설정은 레이블 구성을 반영하여 변경될 수 있습니다. 사용자가 레이블에 대해 선택한 외부 사용자 액세스 설정에 따라 조직 외부의 사용자를 팀에 추가할 수 있는지의 여부가 결정됩니다.