Microsoft 365의 외부 사용자에게 모든 사용자 클레임 부여
요약
2018년 3월 23일부터 Microsoft 365의 외부 사용자에 의한 액세스 동작 및 거버넌스를 업데이트하고 있습니다.
이 변경이 수행되면 외부 사용자에게는 해당 사용자 또는 사용자가 속한 그룹과 공유되는 콘텐츠만 표시됩니다. 외부 사용자는 더 이상 모든 사용자, 모든 인증된 사용자 또는 모든 양식 사용자 그룹에 공유되는 콘텐츠를 볼 수 없습니다. 기본적으로 이러한 그룹에 대한 사용 권한이 부여된 콘텐츠는 조직의 사용자에게만 표시됩니다.
관리자는 외부 사용자가 모든 사용자, 모든 인증된 사용자 또는 모든 양식 사용자에게 공유되는 콘텐츠를 볼 수 있도록 기본 동작을 변경할 수 있습니다.
추가 정보
배경
온-프레미스 Active Directory 도메인에서 Everyone 특수 그룹은 Active Directory 도메인의 모든 ID를 나타냅니다. 기본적으로 사용하지 않도록 설정되는 도메인의 게스트 계정이 포함됩니다. 기본적으로 Everyone 그룹에는 위임된 관리자가 도메인에 추가한 모든 사용자 계정이 포함됩니다.
이 변경 전에 Microsoft 365는 온-프레미스 Active Directory 도메인의 동작을 공유했습니다. 테넌트의 Azure Active Directory(Azure AD)에 있는 모든 사용자는 사용자의 보안 컨텍스트에 Everyone 클레임을 추가한 후 모든 사용자 그룹의 구성원으로 효과적으로 간주되었습니다. 여기에는 외부 사용자가 포함되었습니다. 이 클레임을 사용하면 사용자가 Everyone 그룹과 공유되는 모든 콘텐츠에 액세스할 수 있습니다.
마찬가지로 모든 인증된 사용자 및 모든 양식 사용자 클레임이 각 사용자의 보안 컨텍스트에 자동으로 추가되었습니다. 여기에는 테넌트의 Azure AD 계정이 있는 외부 사용자가 포함되었습니다. 이러한 클레임을 통해 사용자는 모든 인증된 사용자 또는 모든 양식 사용자 그룹과 공유되는 모든 콘텐츠에 액세스할 수 있습니다.
Microsoft 365를 사용하면 사용자가 조직 내부 및 외부 사용자와 원활하게 공유하고 공동 작업할 수 있습니다. 조직의 사용자가 Microsoft 365 그룹에 외부 사용자를 추가하거나 외부 사용자와 콘텐츠를 공유하고 액세스를 위해 인증("로그인")을 요구하는 경우 외부 게스트 사용자를 나타내기 위해 Azure AD 계정이 자동으로 만들어집니다. 위임된 관리자가 외부 사용자에 대한 계정을 만들 필요는 없습니다.
외부 사용자에 대한 기본 액세스로 업데이트
사용자 기반 공유를 더 잘 지원하기 위해 Microsoft 365의 외부 사용자에 의한 액세스 동작 및 거버넌스를 업데이트하고 있습니다.
2018년 3월 23일부터 외부 사용자에게는 기본적으로 모든 사용자, 모든 인증된 사용자 또는 모든 양식 사용자 클레임이 더 이상 부여되지 않습니다. 외부 사용자에게는 외부 사용자가 속한 그룹과 공유되는 콘텐츠 및 외부 사용자와 직접 공유되는 콘텐츠에 대한 액세스 권한만 부여됩니다. 외부 사용자는 이러한 세 가지 특수 그룹과 공유되는 콘텐츠에 액세스할 수 없습니다.
외부 사용자에 대한 액세스를 제어하는 새로운 옵션
다음 지침을 사용하여 선택한 그룹에 대한 외부 사용자에게 액세스 권한을 부여합니다.
| 그룹 클레임 | 절차 | 결과 |
|---|---|---|
| 모든 사용자 | Set-SPOTenant -ShowEveryoneClaim $true Windows PowerShell cmdlet을 실행하여 외부 사용자에게 Everyone 클레임을 부여하도록 테넌트를 구성합니다. | 모든 사용자 클레임이 부여된 외부 사용자는 모든 사용자 그룹에 공유되는 콘텐츠에 액세스할 수 있습니다. |
| 모든 인증된 사용자 및 모든 양식 사용자 | Set-SPOTenant -ShowAllUsersClaim $true Windows PowerShell cmdlet을 실행하여 외부 사용자에게 모든 인증된 사용자 및 모든 양식 사용자 클레임을 부여하도록 테넌트를 구성합니다. | 모든 인증된 사용자 및 모든 양식 사용자 클레임이 부여된 외부 사용자는 모든 인증된 사용자 및 모든 양식 사용자 그룹에 공유되는 콘텐츠에 액세스할 수 있습니다. |
기본 클레임 대신 Azure AD 그룹 및 동적 멤버 자격 사용
모든 사용자, 외부 사용자를 제외한 모든 사용자, 모든 인증된 사용자 및 All Forms 사용자 그룹과의 공유를 계속 지원하지만 Azure AD 고객 정의 그룹을 사용하여 역할 기반 액세스 관리를 구현하는 것이 좋습니다. 여기에는 Microsoft 365 그룹이 포함됩니다.
Microsoft 365 그룹은 Microsoft 365 서비스 및 환경에서 콘텐츠에 대한 멤버 자격 및 액세스를 정의합니다. 많은 Microsoft 365 서비스는 이미 Azure AD 동적 그룹을 지원하며, 이러한 서비스는 Azure AD 속성 및 비즈니스 논리를 기반으로 하는 규칙 집합으로 정의됩니다.
동적 그룹은 적절한 사용자가 올바른 콘텐츠에 액세스할 수 있도록 하는 가장 좋은 방법입니다. 동적 그룹을 사용하면 규칙을 기반으로 하는 정의를 사용하여 그룹을 한 번 정의할 수 있습니다. 이 기능을 사용하면 조직이 변경되면 구성원을 추가하거나 제거할 필요가 없습니다.
FAQ
Q: 현재 테넌트가 변경 내용을 받지 못하도록 옵트아웃할 수 있나요?
A: 현재 공식적인 "옵트아웃" 프로세스는 없습니다. 이러한 그룹을 계속 사용하여 외부 사용자에게 공유하는 경우 2018년 3월 23일 이전에 PowerShell에서 다음 cmdlet을 실행할 수 있습니다.
Set-SPOTenant -ShowEveryoneClaim $true
참고
기본적으로 -ShowEveryoneClaim 속성 값은 True 로 설정됩니다. 그러나 속성 값이 null 이 아닌지 확인하려면 이 명령을 실행하여 설정을 완전히 업데이트합니다. 설정이 업데이트되었는지 확인하려면 Microsoft 지원 문의하세요.
테넌시의 모든 외부 사용자에게 허용되는 리소스 식별
필수 구성 요소
-
참고
다음 "프로세스" 섹션의 쿼리는 웹 브라우저에서도 실행할 수 있습니다.
Outlook.com 소비자 계정을 만듭니다. 이 계정은 조직 외부에 있습니다. 이 예제에서는 계정이 contoso_externaluser@outlook.com.인 것으로 가정합니다.
가정
- Microsoft 365 조직은 Contoso입니다. 조직에서는 SharePoint 사이트 및 그룹에 contoso.sharepoint.com 사용하고 OneDrive 스토리지에 contoso-my.sharepoint.com.
- 조직의 관리자입니다. 사용자 ID .isadmin@contoso.com
프로세스
- 모든 외부 사용자가 액세스할 수 있는 리소스를 확인하는 방법을 통해 모든 사용자에게 외부 사용자에게 모든 사용자 클레임을 부여하도록 테넌트 구성
피드백
다음에 대한 사용자 의견 제출 및 보기