Microsoft Entra B2B 모범 사례
이 문서에는 Microsoft Entra 외부 ID의 B2B(Business to Business) 협업에 대한 모범 사례와 권장 사항이 포함되어 있습니다.
Important
이제 이메일 일회용 암호 기능은 모든 새 테넌트 및 명시적으로 해제하지 않은 기존 테넌트에 대해 기본적으로 설정됩니다. 이 기능이 해제된 경우 대체 인증 방법은 초대받은 사용자에게 Microsoft 계정을 만들도록 요청하는 것입니다.
B2B 권장 사항
| 권장 | 설명 |
|---|---|
| 외부 파트너와의 협업을 보호하려면 Microsoft Entra 지침을 참조하세요. | Microsoft Entra ID 및 Microsoft 365에서 외부 협업 보호의 권장 사항에 따라 조직의 외부 파트너와의 협업에 대한 전체적인 거버넌스 방식을 취하는 방법을 알아봅니다. |
| 테넌트 간 액세스 및 외부 공동 작업 설정을 신중하게 계획 | Microsoft Entra ID는 외부 사용자 및 조직과의 협업을 관리하기 위한 유연한 제어 집합을 제공합니다. 모든 협업을 허용/차단하거나 특정 조직, 사용자 및 앱에 대해서만 협업을 구성할 수 있습니다. 테넌트 간 액세스 및 외부 협업에 대한 설정을 구성하기 전에, 사용자가 작업하고 파트너 관계인 조직의 인벤토리를 살펴봅니다. 그런 다음 다른 Microsoft Entra 테넌트와의 B2B 직접 연결 또는 B2B 협업을 사용하도록 설정할지 여부와 B2B 협업 초대 관리 방법을 결정합니다. |
| 테넌트 제한을 사용하여 네트워크 및 관리되는 디바이스에서 외부 계정이 사용되는 방식을 제어합니다. | 테넌트 제한을 사용하면 사용자가 알 수 없는 테넌트 또는 외부 조직으로부터 받은 계정에서 만든 계정을 사용하지 못하도록 방지할 수 있습니다. 이러한 계정을 허용하지 않고 대신 B2B 협업을 사용하는 것이 좋습니다. |
| 최적의 로그인 환경을 위해 ID 공급자와 페더레이션 | 가능하다면 언제나 ID 공급자와 직접 페더레이션하여 초대된 사용자가 MSA(Microsoft 계정) 또는 Microsoft Entra 계정을 만들 필요 없이 공유 앱 및 리소스에 로그인하도록 허용할 수 있습니다. Google 페더레이션 기능을 사용하여 B2B 게스트 사용자가 Google 계정으로 로그인할 수 있습니다. 또는 SAML/WS-Fed ID 공급자(미리 보기) 기능을 사용하여 IdP(ID 공급자)가 SAML 2.0 또는 WS-Fed 프로토콜을 지원하는 모든 조직과의 페더레이션을 설정할 수 있습니다. |
| 다른 방법으로 인증할 수 없는 B2B 게스트에 대해 이메일 일회용 암호 기능 사용 | 이메일 일회용 암호 기능은 B2B 게스트 사용자가 Microsoft Entra ID, MSA(Microsoft 계정) 또는 Google 페더레이션과 같은 다른 수단을 통해 인증될 수 없는 경우 이를 인증합니다. 게스트 사용자는 초대를 사용하거나 공유 리소스에 액세스할 때 메일 주소로 전송되는 임시 코드를 요청할 수 있습니다. 그런 다음, 이 코드를 입력하여 로그인을 계속합니다. |
| 로그인 페이지에 회사 브랜딩 추가 | B2B 게스트 사용자를 위해 보다 직관적인 로그인 페이지를 사용자 지정할 수 있습니다. 로그인 및 액세스 패널 페이지에 회사 브랜딩을 추가하는 방법을 참조하세요. |
| B2B 게스트 사용자 상환 환경에 개인 정보 취급 방침 추가 | 초대된 사용자가 계속하려면 개인 정보 취급 방침에 동의해야만 하도록 조직의 개인 정보 취급 방침에 대한 URL을 첫 초대 상환 프로세스에 추가할 수 있습니다. 방법: Microsoft Entra ID에 조직의 개인 정보 추가를 참조하세요. |
| 대량 초대(미리 보기) 기능을 사용하여 여러 B2B 게스트 사용자를 동시에 초대 | Azure Portal에서 대량 초대 미리 보기 기능을 사용하여 동시에 여러 게스트 사용자를 조직에 초대합니다. 이 기능을 사용하여 CSV 파일을 업로드하여 B2B 게스트 사용자를 만들고 대량 초대를 보낼 수 있습니다. B2B 사용자를 대량 초대하는 방법에 대한 자습서를 참조하세요. |
| Microsoft Entra 다단계 인증을 위한 조건부 액세스 정책 적용 | 파트너 B2B 사용자와 공유하려는 앱에 MFA 정책을 적용하는 것이 좋습니다. 이러한 방식으로 MFA는 파트너 조직에서 MFA를 사용하는지 여부에 관계없이 테넌트의 앱에 일관되게 적용됩니다. B2B 협업 사용자에 대한 조건부 액세스를 참조하세요. |
| 디바이스 기반 조건부 액세스 정책을 적용하는 경우에는 제외 목록을 사용하여 B2B 사용자에 대한 액세스를 허용합니다. | 조직에서 디바이스 기반 조건부 액세스 정책을 사용하도록 설정하는 경우 B2B 게스트 사용자 디바이스는 조직에서 관리되지 않으므로 차단됩니다. 디바이스 기반 조건부 액세스 정책에서 제외할 특정 파트너 사용자가 포함된 제외 목록을 만들 수 있습니다. B2B 협업 사용자에 대한 조건부 액세스를 참조하세요. |
| B2B 게스트 사용자에게 직접 링크를 제공하는 경우 테넌트별 URL 사용 | 초대 이메일 대신 게스트에게 앱 또는 포털의 직접 링크를 제공할 수도 있습니다. 직접 링크는 테넌트별로 달라야 하므로 공유 앱이 있는 테넌트에서 게스트를 인증할 수 있도록 테넌트 ID 또는 확인된 도메인이 포함되어야 합니다. 게스트 사용자를 위한 상환 환경을 참조하세요. |
| 앱을 개발할 때 UserType을 사용하여 게스트 사용자 환경을 확인합니다. | 애플리케이션을 개발 중이고 테넌트 사용자와 게스트 사용자에게 다른 환경을 제공하려면 UserType 속성을 사용합니다. UserType 클레임은 현재 토큰에 포함되지 않습니다. 애플리케이션은 Microsoft Graph API를 사용하여 사용자가 자신의 UserType을 얻기 위해 디렉터리를 쿼리해야 합니다. |
| 조직과의 사용자 관계가 변경되는 경우에만 UserType 속성을 변경합니다. | PowerShell을 사용하여 사용자의 UserType 속성을 Member에서 Guest로 변환하는 것이 가능하지만(그 반대의 경우도 해당) 사용자의 조직에 대한 사용자의 관계가 변경되는 경우에만 이 속성을 변경해야 합니다. B2B 게스트 사용자의 속성을 참조하세요. |
| 사용자의 환경이 Microsoft Entra 디렉터리 제한의 영향을 받는지 확인합니다. | Microsoft Entra B2B에는 Microsoft Entra 서비스 디렉터리 제한이 적용됩니다. 사용자가 만들 수 있는 디렉터리 수와 사용자 또는 게스트 사용자가 속할 수 있는 디렉터리 수에 대한 자세한 내용은 Microsoft Entra 서비스 한도 및 제한을 참조하세요. |
| 스폰서 기능을 사용하여 B2B 계정 수명 주기 관리 | 스폰서는 게스트 사용자를 담당하는 사용자 또는 그룹입니다. 이 새로운 기능에 대한 자세한 내용은 B2B 사용자를 위한 스폰서 필드를 참조 하세요. |