특정 조직의 B2B 사용자 초대 허용 또는 차단Allow or block invitations to B2B users from specific organizations

허용 목록이나 거부 목록을 사용하여 특정 조직의 B2B 사용자 초대를 허용 또는 차단할 수 있습니다.You can use an allow list or a deny list to allow or block invitations to B2B users from specific organizations. 예를 들어 개인 이메일 주소 도메인을 차단하기 위해 Outlook.com Gmail.com 등을 포함하는 거부 목록을 설정할 수 있습니다.For example, if you want to block personal email address domains, you can set up a deny list that contains domains like Gmail.com and Outlook.com. Contoso.com, Fabrikam.com 및 Litware.com 같은 다른 기업과 비즈니스 파트너 관계에 있고 초대를 이 조직으로만 제한하려는 경우 Contoso.com, Fabrikam.com 및 Litware.com을 허용 목록에 추가할 수 있습니다.Or, if your business has a partnership with other businesses like Contoso.com, Fabrikam.com, and Litware.com, and you want to restrict invitations to only these organizations, you can add Contoso.com, Fabrikam.com, and Litware.com to your allow list.

중요 고려 사항Important considerations

  • 허용 목록 또는 거부 목록을 만들 수 있습니다.You can create either an allow list or a deny list. 두 목록을 모두 설정할 수는 없습니다.You can't set up both types of lists. 기본적으로 허용 목록에 없는 모든 도메인은 거부 목록에 있게 되고 반대의 경우도 마찬가지가 됩니다.By default, whatever domains are not in the allow list are on the deny list, and vice versa.
  • 조직당 하나의 정책만 만들 수 있습니다.You can create only one policy per organization. 더 많은 도메인을 포함하도록 정책을 업데이트하거나 정책을 삭제하고 새 정책을 만들 수도 있습니다.You can update the policy to include more domains, or you can delete the policy to create a new one.
  • 허용 목록 또는 거부 목록에 추가할 수 있는 도메인 수는 정책 크기에 의해서만 제한 됩니다.The number of domains you can add to an allow list or deny list is limited only by the size of the policy. 전체 정책의 최대 크기는 25KB (25000 자)입니다. 여기에는 허용 목록 또는 거부 목록과 다른 기능에 대해 구성 된 기타 매개 변수가 포함 됩니다.The maximum size of the entire policy is 25 KB (25,000 characters), which includes the allow list or deny list and any other parameters configured for other features.
  • 이 목록은 OneDrive for Business 및 SharePoint Online 허용/차단 목록과는 독립적으로 적용됩니다.This list works independently from OneDrive for Business and SharePoint Online allow/block lists. SharePoint Online에서의 개별 파일 공유를 제한하려면 OneDrive for Business 및 SharePoint Online에 대한 허용 또는 거부 목록을 설정해야 합니다.If you want to restrict individual file sharing in SharePoint Online, you need to set up an allow or deny list for OneDrive for Business and SharePoint Online. 자세한 내용은 SharePoint Online 및 OneDrive for Business에서 제한된 도메인 공유를 참조하세요.For more information, see Restricted domains sharing in SharePoint Online and OneDrive for Business.
  • 이 목록은 이미 초대를 받은 외부 사용자에 게는 적용 되지 않습니다.The list does not apply to external users who have already redeemed the invitation. 목록은 설정한 후에 시행됩니다.The list will be enforced after the list is set up. 사용자 초대가 대기 상태이며 해당 도메인을 차단하는 정책을 설정한 경우 해당 사용자가 초대를 사용하려 하면 실패하게 됩니다.If a user invitation is in a pending state, and you set a policy that blocks their domain, the user's attempt to redeem the invitation will fail.

포털에서 허용 또는 차단 목록 정책 설정Set the allow or deny list policy in the portal

기본적으로 모든 도메인에 초대 보내기 허용(가장 포괄적) 설정을 사용합니다.By default, the Allow invitations to be sent to any domain (most inclusive) setting is enabled. 이 경우 모든 조직의 B2B 사용자를 초대할 수 있습니다.In this case, you can invite B2B users from any organization.

거부 목록 추가Add a deny list

가장 일반적인 시나리오로, 조직이 대부분의 조직과 협력하고자 하지만 특정 도메인의 사용자는 B2B 사용자로 초대하지 못하게 차단하려는 경우입니다.This is the most typical scenario, where your organization wants to work with almost any organization, but wants to prevent users from specific domains to be invited as B2B users.

거부 목록을 추가하려면To add a deny list:

  1. Azure Portal에 로그인합니다.Sign in to the Azure portal.

  2. Azure Active Directory > 사용자 > 사용자 설정을 선택 합니다.Select Azure Active Directory > Users > User settings.

  3. 외부 사용자에서 외부 공동 작업 설정 관리를 선택 합니다.Under External users, select Manage external collaboration settings.

  4. 협업 제한에서 지정된 도메인에 초대 거부를 선택합니다.Under Collaboration restrictions, select Deny invitations to the specified domains.

  5. 대상 도메인에서 차단할 도메인 중 하나의 이름을 입력합니다.Under TARGET DOMAINS, enter the name of one of the domains that you want to block. 여러 도메인 경우 도메인을 하나씩 새 줄에 입력합니다.For multiple domains, enter each domain on a new line. 예를 들어:For example:

    추가된 도메인에 거부 옵션 표시

  6. 완료 되 면 저장을 클릭 합니다.When you're done, click Save.

정책을 설정한 후 차단된 도메인의 사용자를 초대하려 하면 해당 사용자의 도메인이 초대 정책에 따라 차단된 상태라고 설명하는 메시지가 나타납니다.After you set the policy, if you try to invite a user from a blocked domain, you receive a message saying that the domain of the user is currently blocked by your invitation policy.

허용 목록 추가Add an allow list

더 제한적인 구성으로, 허용 목록에서 특정 도메인을 설정하여 여기에 없는 다른 조직이나 도메인에 대한 초대를 제한할 수 있습니다.This is a more restrictive configuration, where you can set specific domains in the allow list and restrict invitations to any other organizations or domains that aren't mentioned.

허용 목록을 사용하려면 비즈니스 요구를 완벽하게 평가할 수 있는 충분한 시간이 필요합니다.If you want to use an allow list, make sure that you spend time to fully evaluate what your business needs are. 이 정책은 지나치게 제한적이기 때문에 사용자가 협력을 위해 이메일로 문서를 보내거나 규제를 받지 않는 다른 IT 방식을 모색할 수 있습니다.If you make this policy too restrictive, your users may choose to send documents over email, or find other non-IT sanctioned ways of collaborating.

허용 목록을 추가하려면To add an allow list:

  1. Azure Portal에 로그인합니다.Sign in to the Azure portal.

  2. Azure Active Directory > 사용자 > 사용자 설정을 선택 합니다.Select Azure Active Directory > Users > User settings.

  3. 외부 사용자에서 외부 공동 작업 설정 관리를 선택 합니다.Under External users, select Manage external collaboration settings.

  4. 협업 제한에서 지정된 도메인에 초대 거부(가장 제한적) 를 선택합니다.Under Collaboration restrictions, select Allow invitations only to the specified domains (most restrictive).

  5. 대상 도메인에서 허용할 도메인 중 하나의 이름을 입력합니다.Under TARGET DOMAINS, enter the name of one of the domains that you want to allow. 여러 도메인 경우 도메인을 하나씩 새 줄에 입력합니다.For multiple domains, enter each domain on a new line. 예를 들어:For example:

    추가된 도메인에 허용 옵션 표시

  6. 완료 되 면 저장을 클릭 합니다.When you're done, click Save.

정책을 설정한 후 허용 목록에 없는 도메인의 사용자를 초대하려 하면 해당 사용자의 도메인이 초대 정책에 따라 차단된 상태라고 설명하는 메시지가 나타납니다.After you set the policy, if you try to invite a user from a domain that's not on the allow list, you receive a message saying that the domain of the user is currently blocked by your invitation policy.

허용 목록과 거부 목록 간 전환Switch from allow to deny list and vice versa

한 정책을 다른 정책으로 전환하면 기존 정책 구성을 버리게 됩니다.If you switch from one policy to the other, this discards the existing policy configuration. 전환 수행에 앞서 상세 구성 정보를 백업해야 합니다.Make sure to back up details of your configuration before you perform the switch.

PowerShell을 사용한 허용 또는 차단 목록 정책 설정Set the allow or deny list policy using PowerShell

필수 조건Prerequisite

참고

AzureADPreview 모듈은 미리 보기 상태 이므로 완전히 지원 되는 모듈이 아닙니다.The AzureADPreview Module is not a fully supported module as it is in preview.

PowerShell을 사용하여 허용 또는 거부 목록을 설정하려면 Azure Active Directory Module for Windows PowerShell의 미리 보기 버전을 설치해야 합니다.To set the allow or deny list by using PowerShell, you must install the preview version of the Azure Active Directory Module for Windows PowerShell. 특히 AzureADPreview module version 2.0.0.98 이상을 설치합니다.Specifically, install the AzureADPreview module version 2.0.0.98 or later.

모듈 버전(및 설치 여부)을 확인하려면To check the version of the module (and see if it's installed):

  1. 향상된 사용자 권한(관리자 권한으로 실행)으로 Windows PowerShell을 엽니다.Open Windows PowerShell as an elevated user (Run as Administrator).

  2. 다음 명령을 실행하여 컴퓨터에 설치된 Azure Active Directory Module for Windows PowerShell 버전이 있는지 확인합니다.Run the following command to see if you have any versions of the Azure Active Directory Module for Windows PowerShell installed on your computer:

    Get-Module -ListAvailable AzureAD*
    

모듈이 설치되지 않았거나 필요한 버전이 없으면 다음 중 하나를 수행합니다.If the module is not installed, or you don't have a required version, do one of the following:

  • 결과가 반환되지 않으면 다음 명령을 실행하여 최신  AzureADPreview module 버전을 설치합니다.If no results are returned, run the following command to install the latest version of the AzureADPreview module:

    Install-Module AzureADPreview
    
  • 결과에 하나의  AzureAD module만 표시되면 다음 명령을 실행하여  AzureADPreview module을 설치합니다.If only the AzureAD module is shown in the results, run the following commands to install the AzureADPreview module:

    Uninstall-Module AzureAD 
    Install-Module AzureADPreview 
    
  • 결과에  AzureADPreview module이 하나 표시되나 버전이  2.0.0.98 미만이면 다음 명령을 실행하여 업데이트합니다.If only the AzureADPreview module is shown in the results, but the version is less than 2.0.0.98, run the following commands to update it:

    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    
  • 결과에  AzureADPreview module이 모두 표시되나  AzureADPreview module 버전이  2.0.0.98 미만이면 다음 명령을 실행하여 업데이트합니다.If both the AzureAD and AzureADPreview modules are shown in the results, but the version of the AzureADPreview module is less than 2.0.0.98, run the following commands to update it:

    Uninstall-Module AzureAD 
    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    

AzureADPolicy cmdlet을 사용한 정책 구성Use the AzureADPolicy cmdlets to configure the policy

허용 또는 거부 목록을 만들려면 New-AzureADPolicy cmdlet을 사용합니다.To create an allow or deny list, use the New-AzureADPolicy cmdlet. 다음 예제에서는 "live.com" 도메인을 차단하는 거부 목록을 설정하는 방법을 보여줍니다.The following example shows how to set a deny list that blocks the "live.com" domain.

$policyValue = @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}")

New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

다음은 같은 예제이나 정책 정이 인라인이 있습니다.The following shows the same example, but with the policy definition inline.

New-AzureADPolicy -Definition @("{`"B2BManagementPolicy`":{`"InvitationsAllowedAndBlockedDomainsPolicy`":{`"AllowedDomains`": [],`"BlockedDomains`": [`"live.com`"]}}}") -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true 

허용 또는 거부 목록 정책을 설정하려면 Set-AzureADPolicy cmdlet을 사용합니다.To set the allow or deny list policy, use the Set-AzureADPolicy cmdlet. 예를 들어:For example:

Set-AzureADPolicy -Definition $policyValue -Id $currentpolicy.Id 

정책을 가져오려면 Get-AzureADPolicy cmdlet을 사용합니다.To get the policy, use the Get-AzureADPolicy cmdlet. 예를 들어:For example:

$currentpolicy = Get-AzureADPolicy | ?{$_.Type -eq 'B2BManagementPolicy'} | select -First 1 

정책을 제거오려면 Remove-AzureADPolicy cmdlet을 사용합니다.To remove the policy, use the Remove-AzureADPolicy cmdlet. 예를 들면 다음과 같습니다.For example:

Remove-AzureADPolicy -Id $currentpolicy.Id 

다음 단계Next steps