Share via

자습서: B2B 게스트 사용자에 다단계 인증 적용

  • 아티클

외부 B2B 게스트 사용자와 공동 작업하는 경우 MFA(다단계 인증) 정책으로 앱을 보호하는 것이 좋습니다. 이렇게 하면 외부 사용자가 사용자 이름과 암호만으로는 리소스에 액세스할 수 없습니다. Microsoft Entra ID에서는 액세스를 위해 MFA가 필요한 조건부 액세스 정책을 사용하여 이 목표를 달성할 수 있습니다. 조직의 멤버에게 MFA 정책을 사용하는 것과 같은 방법으로 MFA 정책을 테넌트, 앱 또는 개별 게스트 사용자 수준에서 적용할 수 있습니다. 게스트 사용자의 조직에 다단계 인증 기능이 있더라도 리소스 테넌트는 항상 사용자에 대한 Microsoft Entra 다단계 인증을 할 책임이 있습니다.

예시:

Diagram showing a guest user signing into a company's apps.

  1. 회사 A 초대장의 관리자 또는 직원은 액세스에 MFA가 필요하도록 구성된 클라우드 또는 온-프레미스 애플리케이션을 사용하도록 게스트 사용자를 초대합니다.
  2. 게스트 사용자는 자신의 회사, 학교 또는 소셜 ID로 로그인합니다.
  3. 사용자는 MFA 인증 질문을 완료해야 합니다.
  4. 사용자는 회사 A와 함께 MFA를 설정하고 해당 MFA 옵션을 선택합니다. 사용자는 애플리케이션에 액세스할 수 있습니다.

참고 항목

Microsoft Entra 다단계 인증은 예측 가능성을 보장하기 위해 리소스 테넌시에서 수행됩니다. 게스트 사용자가 로그인하면 백그라운드에 표시되는 리소스 테넌트 로그인 페이지와 포그라운드에 표시되는 자신의 홈 테넌트 로그인 페이지 및 회사 로고를 볼 수 있습니다.

이 자습서에서는 다음을 수행합니다.

  • MFA를 설정하기 전에 로그인 환경을 테스트합니다.
  • 사용자 환경의 클라우드 앱에 액세스하려면 MFA가 필요한 조건부 액세스 정책을 만듭니다. 이 자습서에서는 Windows Azure 서비스 관리 API 앱을 사용하여 프로세스를 설명합니다.
  • What If 도구를 사용하여 MFA 로그인을 시뮬레이트합니다.
  • 조건부 액세스 정책을 테스트합니다.
  • 테스트 사용자 및 정책을 정리합니다.

Azure 구독이 아직 없는 경우 시작하기 전에 무료 계정을 만듭니다.

필수 조건

이 자습서의 시나리오를 완료하려면 다음이 필요합니다.

  • 조건부 액세스 정책 기능을 포함하는 Microsoft Entra ID P1 또는 P2 에디션에 액세스. MFA를 적용하려면 Microsoft Entra 조건부 액세스 정책을 만들어야 합니다. 파트너에게 MFA 기능이 있는지 여부에 관계없이 MFA 정책은 조직에서 항상 적용됩니다.
  • 게스트 사용자로 테넌트 디렉터리에 추가하고 로그인하는 데 사용할 수 있는 유효한 외부 메일 계정. 게스트 계정을 만드는 방법을 모르는 경우 Microsoft Entra 관리 센터에서 B2B 게스트 사용자 추가를 참조하세요.

Microsoft Entra ID로 테스트 게스트 사용자 만들기

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

  1. 최소한 사용자 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>사용자>모든 사용자로 이동합니다.

  3. 새 사용자를 선택한 다음 외부 사용자 초대를 선택합니다.

    Screenshot showing where to select the new guest user option.

  4. 기본 탭ID 아래에 외부 사용자의 이메일 주소를 입력합니다. 필요에 따라 표시 이름과 환영 메시지를 포함합니다.

    Screenshot showing where to enter the guest email.

  5. 필요에 따라 속성할당 탭에서 사용자에게 추가 세부 정보를 추가할 수 있습니다.

  6. 검토 + 초대를 선택하여 게스트 사용자에게 자동으로 초청을 발송합니다. 사용자를 초대함 메시지가 나타납니다.

  7. 초대를 발송한 후 사용자 계정이 디렉터리에 게스트로 자동 추가됩니다.

MFA를 설정하기 전에 로그인 환경 테스트

  1. 테스트 사용자 이름과 암호를 사용하여 Microsoft Entra 관리 센터에 로그인합니다.
  2. 로그인 자격 증명만 사용하여 Microsoft Entra 관리 센터에 액세스할 수 있어야 합니다. 다른 인증은 필요하지 않습니다.
  3. 로그아웃.

MFA가 필요한 조건부 액세스 정책 만들기

  1. 최소한 조건부 액세스 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>보호>보안 센터로 이동합니다.

  3. 보호에서 조건부 액세스를 선택합니다.

  4. 조건부 액세스 페이지의 위쪽 도구 모음에서 새 정책 만들기를 선택합니다.

  5. 새로 만들기 페이지의 이름 텍스트 상자에 B2B에 액세스하려면 MFA 필요를 입력합니다.

  6. 할당 섹션의 사용자 및 그룹 아래에서 링크를 선택합니다.

  7. 사용자 및 그룹 페이지에서 사용자 및 그룹 선택을 선택한 다음, 게스트 또는 외부 사용자를 선택합니다. 다른 외부 사용자 유형, 기본 제공 디렉터리 역할 또는 사용자 및 그룹에 정책을 할당할 수 있습니다.

    Screenshot showing selecting all guest users.

  8. 할당 섹션의 클라우드 앱 또는 작업 아래에서 링크를 선택합니다.

  9. 앱 선택을 선택한 다음, 선택 아래에서 링크를 선택합니다.

    Screenshot showing the Cloud apps page and the Select option.

  10. 선택 페이지에서 Windows Azure 서비스 관리 API를 선택한 다음 선택을 선택합니다.

  11. 새로 만들기 페이지의 액세스 제어 섹션에서 허용 아래에 있는 링크를 선택합니다.

  12. 허용 페이지에서 액세스 권한 부여를 선택하고, 다단계 인증 필요 확인란을 선택한 다음, 선택을 선택합니다.

    Screenshot showing the Require multifactor authentication option.

  13. 정책 사용에서 켜기를 선택합니다.

    Screenshot showing the Enable policy option set to On.

  14. 만들기를 실행합니다.

What If 옵션을 사용하여 로그인 시뮬레이트

  1. 조건부 액세스 | 정책 페이지에서 What If를 선택합니다.

    Screenshot that highlights where to select the What if option on the Conditional Access - Policies page.

  2. 사용자 아래에서 링크를 선택합니다.

  3. 검색 상자에서 테스트 게스트 사용자의 이름을 입력합니다. 검색 결과에서 사용자를 선택한 다음, 선택을 선택합니다.

    Screenshot showing a guest user selected.

  4. 클라우드 앱, 작업 또는 인증 콘텐츠 아래에서 링크를 선택합니다. 앱 선택을 선택한 다음, 선택 아래에서 링크를 선택합니다.

    Screenshot showing the Windows Azure Service Management API app selected.

  5. 클라우드 앱 페이지의 애플리케이션 목록에서 Windows Azure 서비스 관리 API를 선택한 다음 선택을 선택합니다.

  6. What If를 선택하고, 적용되는 정책 탭의 평가 결과 아래에 새 정책이 표시되는지 확인합니다.

    Screenshot showing the results of the What If evaluation.

조건부 액세스 정책 테스트

  1. 테스트 사용자 이름과 암호를 사용하여 Microsoft Entra 관리 센터에 로그인합니다.

  2. 추가 인증 방법에 대한 요청이 표시되어야 합니다. 정책이 적용되는 데 다소 시간이 걸릴 수 있습니다.

    Screenshot showing the More information required message.

    참고 항목

    Microsoft Entra 홈 테넌트에서 MFA를 신뢰하도록 테넌트 간 액세스 설정을 구성할 수도 있습니다. 이렇게 하면 외부 Microsoft Entra 사용자는 리소스 테넌트에 등록하는 대신 자체 테넌트에 등록된 MFA를 사용할 수 있습니다.

  3. 로그아웃.

리소스 정리

더 이상 필요하지 않은 경우 테스트 사용자 및 테스트 조건부 액세스 정책을 제거합니다.

  1. 최소한 사용자 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>사용자>모든 사용자로 이동합니다.
  3. 테스트 사용자를 선택한 후 사용자 삭제를 선택합니다.
  4. ID>보호>보안 센터로 이동합니다.
  5. 보호에서 조건부 액세스를 선택합니다.
  6. 정책 이름 목록에서 테스트 정책의 상황에 맞는 메뉴(…)를 선택한 후 삭제를 선택합니다. 를 선택하여 확인합니다.

다음 단계

이 자습서에서는 게스트 사용자가 클라우드 앱 중 하나에 로그인할 때 MFA를 사용해야 하는 조건부 액세스 정책을 만들었습니다. 협업을 위해 게스트 사용자를 추가하는 방법을 자세히 알아보려면 Azure Portal에서 Microsoft Entra B2B 협업 사용자 추가를 참조하세요.