B2B 동기화

이제 OneDrive 동기화 앱을 사용하면 사용자가 다른 조직에서 공유한 Microsoft SharePoint 또는 Microsoft OneDrive의 라이브러리 또는 폴더를 동기화할 수 있습니다. 이 시나리오를 B2B(Business-to-Business) 협업이라고도 합니다. OneDrive 동기화 앱 "B2B 동기화"에서 이 새로운 기능을 호출합니다.

Microsoft Entra 게스트 계정은 B2B Collaboration 가능하게 하는 데 핵심적인 역할을 합니다. 한 organization 게스트 계정은 다른 organization 멤버 계정에 연결됩니다. 게스트 계정을 만들면 OneDrive 및 SharePoint와 같은 Microsoft 365 서비스에서 organization 내 구성원에게 권한을 부여하는 것과 동일한 방식으로 사이트 및 폴더에 게스트 권한을 부여할 수 있습니다. 두 조직의 계정이 연결되므로 사용자는 organization 계정의 사용자 이름과 암호만 기억하면 됩니다. 따라서 계정에 대한 Single Sign-In을 사용하면 자체 organization 및 게스트 계정을 만든 다른 조직의 콘텐츠에 액세스할 수 있습니다.

중요

공유 수신자에 필요한 Microsoft Entra 게스트 계정이 organization 디렉터리에 만들어지도록 하려면 Microsoft Entra B2B와 SharePoint 및 OneDrive 통합을 사용하도록 설정하는 것이 좋습니다.

B2B 동기화 요구 사항

organization 외부 사용자가 공유 라이브러리 및 폴더를 동기화하려면 다음을 수행합니다.

• organization 외부 공유를 사용하도록 설정해야 합니다.
• 사이트 또는 OneDrive에 대해 외부 공유를 사용하도록 설정해야 합니다.
• 콘텐츠는 사이트 또는 폴더 수준에서 organization 외부 사용자와 공유해야 합니다. 폴더가 공유되는 경우 로그인이 필요한 링크를 통해야 합니다.
• 공유 받는 사람은 콘텐츠 테넌트(Microsoft Azure Commercial, Microsoft Azure Government 또는 Microsoft Azure 중국)와 동일한 클라우드에 Microsoft 365 회사 또는 학교 계정(Microsoft Entra ID)이 있어야 합니다. (Microsoft Azure Commercial에는 Microsoft 365 상용 및 GCC 클라우드 환경이 포함되며 Microsoft Azure Government GCC High 및 DoD 클라우드 환경이 포함되어 있습니다.)
• 모든 Microsoft Entra 조건부 액세스 정책은 게스트와 호환되어야 합니다(자세한 내용은 아래 참조).
• 19.086.*이전에 빌드를 사용하는 경우 ADAL을 사용하도록 설정하면 안 됩니다.

이 문서에서는 B2B 동기화 환경에 대한 개요를 제공하고 이러한 요구 사항을 자세히 설명합니다.

이 릴리스의 알려진 문제

• 한 클라우드(예: Microsoft Azure 중국)의 테넌트에서 공유되는 콘텐츠는 다른 클라우드(예: Microsoft Azure 상업용)의 사용자가 동기화할 수 없습니다.
• Mac에서는 주문형 파일 축소판 그림이 외부 organization 사이트에서 표시되지 않습니다. 썸네일은 사용자 고유의 organization 파일에 대해 올바르게 표시됩니다.
• Mac에서 게스트 계정이 동기화 앱에서 사용하는 양식과 다른 전자 메일 주소 형식으로 만들어진 경우 외부 사이트의 콘텐츠를 동기화할 수 없습니다. 예를 들어 대 입니다 first.last@fabrikam.comalias@fabrikam.com.
• Mac에서 외부 콘텐츠는 외부 organization 이름이 있는 콘텐츠 대신 사용자의 organization 폴더에 있는 로컬 컴퓨터에 배치될 수 있습니다.
• 외부 organization 게스트 계정에 대한 대화형 인증 UI는 동기화 클라이언트에서 지원되지 않습니다.

B2B 동기화 환경 개요

다음은 "Contoso"의 누군가가 "Fabrikam"의 누군가와 사이트 또는 폴더를 공유한 후 발생하는 일의 예입니다.

1. Fabrikam 수신자는 다음과 같은 이메일을 받습니다.

   

2. 받는 사람이 전자 메일의 링크를 클릭하여 공유 항목으로 이동하면 "조직 계정"을 클릭하여 Fabrikam 계정으로 로그인해야 합니다. 백그라운드에서 Microsoft Entra ID Contoso 게스트 계정을 만듭니다.

   

3. 받는 사람은 Fabrikam 사용자 이름 또는 암호를 입력한 다음 공유 항목을 볼 수 있습니다. 공유된 모든 항목을 동기화하지 않으려면 동기화하려는 라이브러리 또는 폴더를 찾아볼 수 있습니다. 동기화를 설정하려면 동기화 단추를 클릭해야 합니다.

   

4. 게스트의 브라우저는 "Microsoft OneDrive"를 열 것인지 묻는 메시지를 표시하며 이를 허용해야 합니다.

5. 게스트가 Fabrikam 계정으로 동기화 앱을 처음 사용한 경우 로그인해야 합니다. 전자 메일 주소는 이전 단계에서 사용된 Fabrikam 계정으로 자동으로 설정됩니다. 게스트는 "로그인"을 선택해야 합니다.

6. 게스트가 동일한 계정으로 Windows에 로그인한 경우 Fabrikam 암호를 입력하지 않고 동기화 앱에 로그인할 수 있습니다. 그렇지 않으면 암호를 입력해야 합니다.

7. 게스트는 컴퓨터에서 공유 항목을 동기화할 위치를 확인합니다.

   참고

   콘텐츠는 이름에 organization 이름이 포함된 폴더에 배치됩니다(이 예제에서는 "SharePoint - Contoso"). 사용자가 Fabrikam의 SharePoint 콘텐츠도 동기화하는 경우 "SharePoint - Fabrikam" 폴더도 있습니다.

8. 게스트는 OneDrive 동기화 앱 설정을 계속 진행합니다.

9. 게스트가 설정을 완료하면 사이트 동기화가 시작됩니다. 사용자는 알림 영역에서 파란색 클라우드 아이콘을 클릭하여 OneDrive 동기화 활동 센터를 열고 파일이 동기화되는 것을 보거나, 파일이 있는 로컬 폴더를 열거나, 웹 브라우저에서 SharePoint 사이트를 열 수 있습니다.

organization 외부 공유 사용

organization 사용자가 다른 조직의 파트너와 공유할 수 있도록 하려면 organization 수준에서 외부 공유를 사용하도록 설정해야 합니다. 이렇게 하려면 Microsoft 365의 전역 또는 SharePoint 관리자여야 합니다. organization 수준에서 외부 공유를 사용하도록 설정한 후 사이트별로 제한할 수 있습니다. 사이트의 설정은 organization 설정과 동일하거나 더 제한적일 수 있지만 더 관대하지는 않습니다.

두 개의 서로 다른 위치에서 organization 수준 공유 설정을 변경할 수 있습니다(둘 다 동일한 것을 제어).

• 새 SharePoint 관리 센터의 공유 페이지에서 자세한 내용은 organization 수준 외부 공유 설정 변경을 참조하세요.
• Microsoft 365 관리 센터 조직 설정 페이지 > SharePoint에 있습니다.

중요

모든 사용자 링크("익명 액세스" 링크라고도 함)를 허용하는 경우 이러한 링크는 게스트 계정을 만들지 않으므로 외부 공유 수신자는 해당 링크 유형을 받을 때 B2B 동기화를 활용할 수 없습니다.

자세한 내용은 외부 공유 개요를 참조하세요.

외부 공유 제어

사용자가 외부에서 organization 콘텐츠를 공유할 수 있도록 허용하는 경우 Microsoft 365의 여러 기능을 사용하여 콘텐츠에 대한 액세스 권한이 있는 사용자를 관리할 수 있습니다. 관리자 및 사이트 소유자는 권한을 검토하고 사이트에 대한 액세스를 감사할 수 있습니다. 자세한 내용은 organization 외부 사용자와 공유되는 사이트 콘텐츠 검색 및 외부 공유 알림 켜기를 참조하세요. 특정 인터넷 도메인에서만 외부 공유를 사용하도록 설정하거나 특정 도메인을 차단할 수 있습니다. 자세한 내용은 제한된 도메인 공유를 참조하세요. 특정 보안 그룹의 구성원만 외부에서 공유하도록 허용할 수도 있습니다. 자세한 내용은 외부 공유 설정 또는 해제를 참조하세요.

외부에서 공유하려는 각 작업 단위에 대해 별도의 사이트(하위 사이트가 아닌 사이트 모음)를 만드는 것이 좋습니다. 이렇게 하면 사이트에 명확하게 주석을 추가하여 organization 외부 사용자가 액세스할 수 있음을 나타내고 의도하지 않은 정보 공개를 방지할 수 있습니다. OneDrive의 콘텐츠를 공유하는 개별 사용자의 경우 다른 프로젝트 또는 공동 작업 그룹에 대해 별도의 폴더를 만드는 것이 좋습니다.

사이트 또는 폴더에 대한 게스트의 권한을 제거하거나 게스트 계정을 삭제하여 모든 organization 콘텐츠에서 해당 권한을 제거할 수 있습니다.

중요

모든 동기화된 콘텐츠는 권한이 제거된 후 사용자의 컴퓨터에 유지됩니다.

사이트에 대한 외부 공유 사용

모든 사이트에 대한 공유 설정을 보거나 변경하려면 새 SharePoint 관리 센터를 사용합니다.

1. SharePoint 관리 센터의 활성 사이트로 이동하고 조직에 대한 관리자 권한이 있는 계정으로 로그인합니다.

   참고

   21Vianet(중국)이 운영하는 Office 365를 사용하는 경우 Microsoft 365 관리 센터에 로그인한 다음 SharePoint 관리 센터로 이동하고 활성 사이트 페이지를 엽니다.

2. 외부 공유 열을 보려면 필요에 따라 보기를 사용자 지정합니다.

3. 필요한 경우 사이트의 외부 공유 설정을 변경합니다.

Microsoft Entra CA(조건부 액세스) 정책이 외부 액세스와 호환되는지 확인합니다.

테넌트 관리자는 테넌트에서 여러 종류의 조건부 액세스 정책을 사용하도록 설정할 수 있습니다. 게스트가 테넌트의 콘텐츠에 액세스하려는 경우 게스트가 액세스할 수 있도록 해당 정책을 조정해야 할 수 있습니다.

• 현재 동기화 클라이언트는 외부 콘텐츠를 동기화할 때 대화형 인증 UI를 지원하지 않습니다. MFA(다단계 인증) 또는 TOU(사용 약관) 프롬프트와 같은 로그인 UI가 필요한 모든 정책은 해당 테넌트에서 외부 콘텐츠의 동기화를 방지합니다. 게스트가 해당 테넌트에서 동기화를 시작하기 전에 테넌트 관리자가 이러한 정책을 배포하는 경우 사용자는 동기화 관계를 설정할 수 없습니다. 게스트가 테넌트에서 콘텐츠를 동기화한 후 정책이 배포되면 해당 게스트가 오류를 수신하고 테넌트에서 계속 동기화할 수 없습니다.

• 테넌트는 때때로 TOU(사용 약관)를 업데이트할 수 있습니다. 정책은 대화형 인증 프롬프트를 통해 업데이트된 TOU를 보고 수락하도록 사용자를 트리거할 수 있습니다. 동기화는 외부 테넌트 로그인 UI를 지원하지 않으므로 동기화는 외부 사이트의 콘텐츠를 동기화할 수 없음을 나타냅니다.

• 디바이스 준수를 사용하려면 사용자 컴퓨터를 테넌트에서 관리한 다음 요구 사항을 최신 상태로 유지해야 합니다. 게스트의 경우 해당 컴퓨터는 자체 organization 의해 관리될 가능성이 높으므로 콘텐츠 공유 테넌트에서 컴퓨터를 관리하도록 요구하는 경우와 호환되지 않습니다.

• 위치 기반 조건부 액세스 정책은 일반적으로 사용자가 신뢰할 수 있는 위치(예: 테넌트의 사무실 네트워크)에서 연결하지 않을 때 MFA와 같은 추가 요구 사항을 적용하는 데 사용됩니다. 일반적으로 게스트 시나리오에서는 클라이언트 컴퓨터가 신뢰할 수 있는 위치에 위치하지 않으며 동기화가 MFA를 지원하지 않으므로 이 정책이 게스트에게 적용되지 않도록 할 수 있습니다.

자세한 내용은 외부 ID에 대한 인증 및 조건부 액세스를 참조하세요.

공유 방법

사이트 및 폴더는 SharePoint 및 OneDrive에서 다양한 방법으로 공유할 수 있습니다.

• 사용자가 폴더를 동기화하는 경우 파일 탐색기 마우스 오른쪽 단추로 클릭하여 공유할 수 있습니다.
• 사용자는 웹의 SharePoint 사이트 또는 폴더로 이동하여 공유 단추를 클릭하여 공유할 수 있습니다.
• 사용자는 SharePoint 및 OneDrive 모바일 앱에서 사이트 및 폴더를 공유할 수 있습니다.
• 관리자는 게스트 계정을 만들고 관리 센터 또는 PowerShell을 사용하여 사이트에 추가할 수 있습니다.

참고

이러한 방법에 대한 자세한 내용은 사이트 공유 방법 알아보기 및 폴더 공유 방법 알아보기를 참조하세요.

B2B 동기화는 이러한 모든 공유 방법에서 작동합니다. 다음과 같은 요구 사항만 있습니다.

• 게스트가 공유 콘텐츠를 동기화하려면 사이트 또는 폴더 수준에서 콘텐츠를 공유해야 합니다. 게스트는 개별적으로 공유되는 파일(예: Office 앱)을 동기화할 수 없습니다.
• B2B 동기화는 게스트 계정이 organization 만들어지고 받는 사람에게 Microsoft Entra 계정이 있는 경우에만 작동합니다. 사용자가 모든 사용자 링크("익명 액세스" 링크라고도 함)를 만들어 공유하거나 Microsoft 계정 또는 기타 개인 계정 있는 사용자와 공유할 때는 작동하지 않습니다.

SharePoint 사이트에 게스트 추가

Microsoft 365의 관리자는 Microsoft Entra 관리 센터 개별적으로 게스트를 만든 다음 SharePoint 팀 사이트에 개별적으로 추가하거나 공유하려는 사이트에 이미 권한이 있는 보안 그룹에 추가하여 organization 외부 사용자와 공유할 수 있습니다. 고급 사용 권한 페이지를 사용하여 권한을 부여하는 경우(사이트 공유 단추를 사용하는 대신) 게스트에게 사이트에 대한 권한을 부여했음을 알려야 합니다. 초대 전자 메일을 받지 않습니다.

중요

고급 사용 권한 페이지를 사용하는 경우 문서 라이브러리 또는 폴더 수준이 아닌 사이트 수준에서 권한을 부여하는 것이 좋습니다.

PowerShell을 사용하여 게스트 계정을 대량으로 만들고 SharePoint 그룹에 추가

많은 게스트 계정에 권한을 만들고 부여해야 하는 경우 게스트 계정을 만들고 사이트에 권한을 부여하는 다음 PowerShell 스크립트를 사용할 수 있습니다. 스크립트는 CSV(쉼표로 구분된 값) 파일을 입력으로 사용합니다. 여기에는 사용자 표시 이름 및 전자 메일 주소 목록이 포함됩니다. 각 이름 및 이메일 주소에 대해 게스트 계정이 만들어지고 해당 계정이 보안 그룹에 추가되어 권한을 부여합니다. 스크립트는 결과 출력 CSV를 후속 실행 시 스크립트에 대한 입력으로 공급할 수 있도록 설계되었습니다. 이렇게 하면 CSV 파일에 더 많은 사용자를 추가하거나 실패한 계정 만들기를 다시 시도할 수 있습니다.

참고

Azure AD Powershell은 2024년 3월 30일에 사용 중단될 예정입니다. 자세한 내용은 사용 중단 업데이트를 참조하세요.

Microsoft Entra ID(이전의 Azure AD)와 상호 작용하려면 Microsoft Graph PowerShell로 마이그레이션하는 것이 좋습니다. Microsoft Graph PowerShell은 모든 Microsoft Graph API에 대한 액세스를 허용하며 PowerShell 7에서 사용할 수 있습니다. 일반적인 마이그레이션 쿼리에 대한 답변은 마이그레이션 FAQ를 참조하세요.

사용자가 Microsoft Entra 그룹에 추가되면 그룹에 환영하는 이메일을 받아야 합니다. 스크립트를 실행한 후에는 사용자에게 권한을 부여한 SharePoint 사이트에 대한 직접 링크가 있는 전자 메일을 보내야 합니다. 링크를 클릭하면 초대 조건에 동의하도록 아래 UI가 표시됩니다. 수락하면 공유한 사이트로 이동됩니다. 이 시점에서 동기화 단추를 클릭하여 사이트 파일을 PC 또는 Mac에 동기화하기 시작할 수 있습니다.

# first line of InviteGuests.ps1 PowerShell script
# requires latest AzureADPreview
# Get-Module -ListAvailable AzureAD*
# Uninstall-Module AzureAD
# Uninstall-Module AzureADPreview
# Install-Module AzureADPreview


# customizable properties for this script

$csvDir = ''
$csvInput = $csvDir + 'BulkInvite.csv'
$csvOutput = $csvDir + 'BulkInviteResults.csv'

$domain = 'YourTenantOrganization.onmicrosoft.com'
$admin = "admin@$domain"
$redirectUrl = 'https://YourTenantOrganization.sharepoint.com/sites/SiteName/'
$groupName = 'SiteName'


# CSV file expected format (with the header row):
# Name,Email
# Jane Doe,jane@contoso.com

$csv = import-csv $csvInput

# will prompt for credentials for the tenantorganization admin account
# (who has permissions to send invites and add to groups)
Connect-AzureAD -TenantDomain $domain -AccountId $admin

$group = (Get-AzureADGroup -SearchString $groupName)

foreach ($row in $csv)
{
    Try
    {
        if ((Get-Member -inputobject $row -name 'error') -and `
            ($row.error -eq 'success'))
        {
            $out = $row  #nothing to do, user already invited and added to group
        }
        else
        {
            echo ("name='$($row.Name)' email='$($row.Email)'")

            $inv = (New-AzureADMSInvitation -InvitedUserEmailAddress $row.Email -InvitedUserDisplayName $row.Name `
                        -InviteRedirectUrl $redirectUrl -SendInvitationMessage $false)

            $out = $row
            $out|Add-Member -MemberType ScriptProperty -force -name 'time' -Value {$(Get-Date -Format u)}
            $out|Add-Member -MemberType ScriptProperty -force -name 'status' -Value {$inv.Status}
            $out|Add-Member -MemberType ScriptProperty -force -name 'userId' -Value {$inv.InvitedUser.Id}
            $out|Add-Member -MemberType ScriptProperty -force -name 'redeemUrl' -Value {$inv.inviteRedeemUrl}
            $out|Add-Member -MemberType ScriptProperty -force -name 'inviteId' -Value {$inv.Id}

            # this will send a welcome to the group email
            Add-AzureADGroupMember -ObjectId $group.ObjectId -RefObjectId $inv.InvitedUser.Id

            $out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {'success'}
        }
    }
    Catch
    {
        $err = $PSItem.Exception.Message
        $out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {$err}
    }
    Finally
    {
        $out | export-csv -Path $csvOutput -Append
    }
}

# for more information please see
# https://learn.microsoft.com/azure/active-directory/b2b/b2b-tutorial-bulk-invite
# end of InviteGuests.ps1 powershell script

자세한 내용은 다음을 참조하시기 바랍니다.

• 상환 환경
• 초대 없이 사용자 추가

게스트가 공유 콘텐츠에 대한 액세스 권한을 잃으면

사용자의 게스트 계정이 삭제되거나 공유 콘텐츠에 대한 권한이 제거되면 동기화 앱에 오류가 표시됩니다.

• 라이브러리를 동기화할 수 없음을 나타내는 알림이 표시됩니다.

  

• 알림 영역의 OneDrive 아이콘에 오류가 표시됩니다.

  

  게스트가 아이콘을 클릭하면 활동 센터에 오류 배너가 표시됩니다.

  가 필요합니다.

B2B 동기화를 방지하기 위한 정책 설정

OneDrive 동기화 앱의 B2B 동기화 기능을 사용하면 organization 사용자가 다른 organization 공유한 콘텐츠를 동기화할 수 있습니다. organization 사용자가 B2B 동기화를 사용할 수 없도록 하려면 사용자의 Windows PC 또는 Mac에서 정책 값을 설정하여 외부 동기화를 차단할 수 있습니다.

다른 조직에서 공유되는 라이브러리 및 폴더 동기화를 방지하기 위해 organization 사용자가 B2B 동기화 기능을 사용하지 못하도록 하려는 경우에만 이러한 작업을 수행해야 합니다.

새 BlockExternalSync 설정은 OneDrive 동기화 제품 빌드 19.086.* 이상의 일부로 설치된 adm\OneDrive.admx 및 OneDrive.adml 파일에 설명되어 있습니다. ADM을 사용하여 동기화 앱 정책을 관리하는 경우 새 설정을 보려면 정상적으로 새 파일을 가져옵니다.

다른 관리 시스템을 사용하여 사용자의 Windows PC에 정책을 배포하는 경우 다음 명령에 해당하는 를 사용하여 B2B 동기화를 방지합니다.

reg add "HKLM\SOFTWARE\Policies\Microsoft\OneDrive" /v BlockExternalSync /t REG_DWORD /d 1

Apple Store 버전의 OneDrive가 있는 Mac에서는 다음 명령에 해당하는 를 사용하여 B2B 동기화를 방지합니다.

defaults write com.microsoft.OneDrive-mac BlockExternalSync -bool YES

독립 실행형 버전의 OneDrive가 있는 Mac에서는 다음 명령에 해당하는 를 사용하여 B2B 동기화를 방지합니다.

defaults write com.microsoft.OneDrive BlockExternalSync -bool YES