Microsoft Entra B2B 협업 초대 사용

이 문서에서는 게스트 사용자가 리소스에 액세스하는 방법 및 게스트 사용자가 거치게 될 동의 프로세스에 대해 설명합니다. 게스트에게 초대 이메일을 보낼 때 초대장에는 게스트가 앱 또는 포털에 대한 액세스 권한을 얻기 위해 사용할 수 있는 링크가 포함됩니다. 초대 이메일은 게스트가 리소스에 액세스할 수 있는 방법 중 하나입니다. 디렉터리에 게스트를 추가하고, 공유하려는 포털 또는 앱의 직접 링크를 제공하는 방법도 있습니다. 게스트는 어떤 방법을 사용하든 최초 동의 프로세스를 거쳐야 합니다. 이 프로세스를 통해 게스트는 개인정보처리방침 및 사용 약관에 동의하게 됩니다.

게스트 사용자를 디렉터리에 추가하면 게스트 사용자 계정의 동의 상태가 처음에는 PendingAcceptance로 설정됩니다(PowerShell에서 볼 수 있음). 이 설정은 게스트가 초대를 수락하고 개인정보처리방침 및 사용 약관에 동의할 때까지 유지됩니다. 그 후에는 동의 상태가 동의함으로 바뀌고, 동의 페이지가 더 이상 게스트에게 표시되지 않습니다.

Important

• 2021년 7월 12일부터, Microsoft Entra B2B 고객이 사용자 지정 또는 기간 업무 애플리케이션에 대한 셀프 서비스 등록과 함께 사용하기 위해 새로운 Google 통합을 설정하는 경우 인증이 시스템 웹 보기로 이동될 때까지 Google ID를 사용한 인증이 작동하지 않습니다. 자세히 알아보기.
• 2021년 9월 30부터 Google은 포함된 웹 보기 로그인 지원을 중단합니다. 앱이 포함된 웹 보기로 사용자를 인증하고 외부 사용자 초대 또는 셀프 서비스 등록을 위해 Azure AD B2C 또는 Microsoft Entra B2B와 함께 Google 페더레이션을 사용하는 경우 Google Gmail 사용자는 인증할 수 없습니다. 자세히 알아보기.
• 이제 이메일 일회용 암호 기능은 모든 새 테넌트 및 명시적으로 해제하지 않은 기존 테넌트에 대해 기본적으로 설정됩니다. 이 기능이 해제된 경우 대체 인증 방법은 초대받은 사용자에게 Microsoft 계정을 만들도록 요청하는 것입니다.

공통 엔드포인트를 통한 상환 프로세스 및 로그인

게스트 사용자는 이제 공용 엔드포인트(URL)를 통해 다중 테넌트 또는 Microsoft 자사 앱에 로그인할 수 있습니다 https://myapps.microsoft.com. 이전에는 공통 URL이 인증을 위해 리소스 테넌트 대신 게스트 사용자를 해당 홈 테넌트로 리디렉션하므로 테넌트별 링크가 필요했습니다(예: https://myapps.microsoft.com/?tenantid=<tenant id>). 이제 게스트 사용자는 애플리케이션의 공통 URL로 이동하여 로그인 옵션을 선택한 다음, 조직에 로그인을 선택할 수 있습니다. 그런 다음, 사용자는 조직의 도메인 이름을 입력합니다.

그러면 사용자는 해당 이메일 주소로 로그인하거나 구성한 ID 공급자를 선택할 수 있는 테넌트별 엔드포인트로 리디렉션됩니다.

직접 링크를 통한 상환 절차

초대 이메일 또는 애플리케이션의 공통 URL 대신 게스트에게 앱 또는 포털의 직접 링크를 제공할 수 있습니다. 먼저 Microsoft Entra 관리 센터 또는 PowerShell을 통해 디렉터리에 게스트 사용자를 추가해야 합니다. 그런 다음, 직접 로그온 링크를 비롯한 사용자 지정 가능한 방법을 사용하여 사용자에게 애플리케이션을 배포할 수 있습니다. 게스트가 초대 이메일 대신 직접 링크를 사용하더라도 최초 동의 과정을 거치게 됩니다.

참고 항목

직접 링크는 테넌트에 따라 다릅니다. 즉, 공유 앱이 있는 테넌트에서 게스트를 인증할 수 있도록 테넌트 ID 또는 확인된 도메인이 포함됩니다. 다음은 테넌트 컨텍스트가 포함된 직접 링크의 예입니다.

• 앱 액세스 패널: https://myapps.microsoft.com/?tenantid=<tenant id>
• 확인된 도메인의 앱 액세스 패널: https://myapps.microsoft.com/<;verified domain>
• Microsoft Entra 관리 센터: https://entra.microsoft.com/<tenant id>
• 개별 앱: 직접 로그온 링크 사용 방법을 참조하세요.

다음과 같이 직접 링크를 통해 초대 이메일을 보내는 것이 좋은 경우도 있습니다. 이러한 특수한 사례가 조직에 중요한 경우 초대 이메일을 전송하는 방법을 사용하여 사용자를 초대하는 것이 좋습니다.

• 경우에 따라 연락처 개체(예: Outlook 연락처 개체)와 충돌이 발생하기 때문에 초대된 사용자 개체에는 이메일 주소가 없을 수 있습니다. 이 경우에 사용자는 초대 이메일에서 상환 URL을 선택해야 합니다.
• 사용자는 초대된 이메일 주소의 별칭으로 로그인할 수 있습니다. (별칭은 이메일 계정과 연결된 다른 이메일 주소입니다.) 이 경우에 사용자는 초대 이메일에서 상환 URL을 선택해야 합니다.

초대 이메일을 통한 상환 절차

Microsoft Entra 관리 센터를 사용하여 디렉터리에 게스트 사용자를 추가하면 프로세스에서 게스트에게 초대 전자 메일이 전송됩니다. PowerShell을 사용하여 디렉터리에 게스트 사용자를 추가할 때 초대 이메일을 보내도록 선택할 수도 있습니다. 다음은 게스트가 이메일의 링크를 사용할 때 거치게 되는 경험에 대한 설명입니다.

1. 게스트가 Microsoft Invitations에서 보낸 초대 이메일을 받습니다.
2. 게스트가 이메일에서 초대 수락을 선택합니다.
3. 게스트가 자신의 자격 증명을 사용하여 여러분의 디렉터리에 로그인합니다. 게스트가 디렉터리에 페더레이션할 수 있는 계정을 갖고 있지 않으며 이메일 OTP(일회용 암호) 기능이 설정되어 있지 않으면 MSA를 만들라는 메시지가 게스트에게 표시됩니다. 자세한 내용은 초대 사용 흐름을 참조하세요.
4. 게스트는 아래에 설명된 동의 환경을 거칩니다.

연락처 개체 충돌로 인한 상환 프로세스 제한 사항

초대된 외부 게스트 사용자의 메일이 기존 연락처 개체와 충돌하여 proxyAddress 없이 게스트 사용자가 생성되는 경우가 발생할 수 있습니다. 이는 게스트 사용자가 SAML/WS-Fed IdP, MSA, Google 페더레이션 또는 이메일 일회용 암호 계정을 사용하여 직접 링크를 통해 초대를 사용하지 못하게 하는 알려진 제한 사항입니다.

그러나 다음 시나리오는 계속 작동해야 합니다.

• SAML/WS-Fed IdP, 이메일 일회용 암호 및 Google 페더레이션 계정을 사용하여 초대 이메일 사용 링크를 통해 초대를 사용합니다.
• SAML/WS-Fed IdP, 이메일 일회용 암호 및 Google Federation 계정을 사용하여 상환 프로세스를 마친 후 애플리케이션에 다시 로그인합니다.

충돌하는 연락처 개체로 인해 초대를 사용할 수 없는 사용자를 차단 해제하려면 다음 단계를 따릅니다.

1. 충돌하는 연락처 개체를 삭제합니다.
2. Microsoft Entra 관리 센터에서 게스트 사용자를 삭제합니다(사용자의 "초대 수락됨" 속성은 보류 중 상태여야 함).
3. 게스트 사용자를 다시 초대합니다.
4. 사용자가 초대를 사용할 때까지 기다립니다.
5. 사용자의 연락처 이메일을 Exchange에 다시 추가하고 다음에 포함되어야 하는 DL을 추가합니다.

초대 사용 흐름

사용자가 초대 전자 메일에서 초대 수락 링크를 선택하면 Microsoft Entra ID는 아래 표시된 기본 상환 순서에 따라 초대를 자동으로 교환합니다.

1. Microsoft Entra ID는 사용자 기반 검색을 수행하여 사용자가 관리되는 Microsoft Entra 테넌트에 이미 존재하는지 확인합니다. (관리되지 않는 Microsoft Entra 계정은 더 이상 상환 흐름에 사용할 수 없습니다.) 사용자의 UPN(사용자 계정 이름)이 기존 Microsoft Entra 계정과 개인 MSA와 모두 일치하는 경우 사용자에게 상환할 계정을 선택하라는 메시지가 표시됩니다.

2. 관리자가 페더레이션을 사용하도록 설정했으면 Microsoft Entra는 사용자의 도메인 접미사가 구성된 SAML/WS-Fed ID 공급자의 도메인과 일치하는지 확인한 후 사용자를 미리 구성된 ID 공급자로 리디렉션합니다.

3. 관리자가 Google 페더레이션을 사용하도록 설정한 경우 Microsoft Entra ID는 사용자의 도메인 접미사가 gmail.com인지 googlemail.com인지 확인하고 사용자를 Google로 리디렉션합니다.

4. 사용 프로세스에서는 사용자에게 기존 개인 MSA가 있는지 확인합니다. 사용자에게 기존 MSA가 이미 있는 경우 기존 MSA로 로그인합니다.

5. 사용자의 홈 디렉터리가 확인되면 로그인을 위해 사용자가 해당 ID 공급자로 전송됩니다.

6. 홈 디렉터리를 찾을 수 없고 게스트에 대해 이메일 일회용 암호 기능을 사용하도록 설정한 경우 초대된 이메일을 통해 사용자에게 암호가 전송됩니다. 사용자는 Microsoft Entra 로그인 페이지에서 이 암호를 검색하고 입력합니다.

7. 홈 디렉터리를 찾을 수 없고 게스트의 이메일 일회용 암호가 비활성화된 경우 초대된 이메일을 사용하여 소비자 MSA를 만들라는 메시지가 사용자에게 표시됩니다. Microsoft Entra ID에서 확인되지 않은 도메인의 업무 이메일을 사용하여 MSA 만들기를 지원합니다.

8. 올바른 ID 공급자에 인증한 후 사용자는 동의 환경을 완료하기 위해 Microsoft Entra ID로 리디렉션됩니다.

구성 가능한 상환

구성 가능한 상환 을 사용하면 초대를 사용할 때 게스트에게 제공되는 ID 공급자의 순서를 사용자 지정할 수 있습니다. 게스트가 초대 수락 링크를 선택하면 Microsoft Entra ID는 기본 주문에 따라 초대를 자동으로 사용합니다. 테넌트 간 액세스 설정에서 ID 공급자 상환 순서를 변경하여 이를 재정의할 수 있습니다.

게스트의 동의 환경

게스트가 파트너 조직의 리소스에 처음으로 로그인하면 다음과 같은 동의 환경이 표시됩니다. 이러한 동의 페이지는 로그인 후에만 게스트에게 표시되며 사용자가 이미 동의한 경우에는 전혀 표시되지 않습니다.

1. 게스트는 초대장을 보낸 조직의 개인정보처리방침을 설명하는 권한 검토 페이지를 검토합니다. 사용자는 계속 진행하려면 초대장을 보낸 조직의 개인 정보 정책에 따라 정보 사용에 동의해야 합니다.

   

   참고 항목

   테넌트 관리자가 조직의 개인정보처리방침에 연결할 수 있는 방법에 대한 자세한 내용은 방법: Microsoft Entra ID에 조직의 개인 정보 추가를 참조하세요.

2. 사용 약관이 구성되면 게스트가 사용 약관을 열고 검토한 다음, 동의를 선택합니다.

   

   사용 약관은 외부 ID>사용 약관에서 구성할 수 있습니다.

3. 달리 지정하지 않는 한, 게스트는 액세스 가능한 애플리케이션이 나열되는 앱 액세스 패널로 리디렉션됩니다.

   

디렉터리에서 게스트의 초대가 수락됨 값이 예로 변경됩니다. MSA를 만든 경우 게스트의 원본이 Microsoft 계정으로 표시됩니다. 게스트 사용자 계정 속성에 대한 자세한 내용은 Microsoft Entra B2B 협업 사용자 속성을 참조하세요. 애플리케이션에 액세스하는 동안 관리자 동의가 필요한 오류가 표시되는 경우 앱에 관리자 동의를 부여하는 방법을 참조하세요.

자동 상환 처리 설정

사용자가 B2B 협업을 위해 다른 테넌트에 추가될 때 동의 프롬프트를 수락할 필요가 없도록 초대를 자동으로 사용하려고 할 수 있습니다. 구성되면 사용자에게 아무런 조치가 필요하지 않은 B2B 협업 사용자에게 알림 이메일이 전송됩니다. 사용자는 알림 이메일을 직접 보내므로 이메일을 받기 전에 테넌트에 먼저 액세스할 필요가 없습니다.

초대를 자동으로 사용하는 방법에 대한 자세한 내용은 테넌트 간 액세스 개요 및 B2B 협업을 위한 테넌트 간 액세스 설정 구성을 참조하세요.

다음 단계

• Microsoft Entra B2B 협업이란?
• B2B 협업 사용자 속성
• 초대 전자 메일