Microsoft Entra ID의 다중 테넌트 조직 기능
이 문서에서는 다중 테넌트 조직 시나리오 및 Microsoft Entra ID의 관련 기능에 대한 개요를 제공합니다.
테넌트란?
테넌트는 사용자, 그룹, 디바이스와 같은 조직 개체와 Microsoft 365 및 타사 애플리케이션과 같은 애플리케이션 등록을 포함하여 단일 조직의 정보가 상주하는 Microsoft Entra ID의 인스턴스입니다. 테넌트는 디렉터리에 등록된 애플리케이션과 같은 리소스에 대한 액세스 및 규정 준수 정책도 포함합니다. 테넌트에서 제공하는 기본 기능에는 ID 인증과 리소스 액세스 관리가 포함됩니다.
Microsoft Entra 관점에서 테넌트는 ID 및 액세스 관리 범위를 형성합니다. 예를 들어 테넌트 관리자는 테넌트 내의 일부 또는 모든 사용자가 애플리케이션을 사용할 수 있도록 하고 해당 테넌트의 사용자에게 해당 애플리케이션에 대한 액세스 정책을 적용합니다. 또한 테넌트는 해당 조직의 직원이 사용하는 조직 메일 도메인 및 SharePoint URL과 같이 최종 사용자 환경을 구동하는 조직 브랜딩 데이터를 포함합니다. Microsoft 365 관점에서 테넌트는 기본 협업 및 라이선스 경계를 형성합니다. 예를 들어 Microsoft Teams 또는 Microsoft Outlook의 사용자는 테넌트의 다른 사용자를 쉽게 찾아서 협업할 수 있지만 다른 테넌트에서 사용자를 찾거나 볼 수는 없습니다.
테넌트는 권한 있는 조직 데이터를 포함하며 다른 테넌트와 안전하게 격리됩니다. 또한 테넌트는 특정 지역 또는 클라우드에서 데이터를 유지하고 처리하도록 구성할 수 있으며, 이를 통해 조직은 테넌트를 데이터 보존 및 규정 준수 요구 사항을 충족하는 메커니즘으로 사용할 수 있습니다.
다중 테넌트 조직이란 무엇인가요?
다중 테넌트 조직은 둘 이상의 Microsoft Entra ID 인스턴스가 있는 조직입니다. 조직에 다중 테넌트가 있을 수 있는 주된 이유는 다음과 같습니다.
- 대기업: 독립적으로 운영되는 여러 자회사 또는 사업부가 있는 조직입니다.
- 인수 합병: 회사를 병합하거나 인수하는 조직입니다.
- 매각 활동: 매각 시 한 조직은 해당 조직의 사업 일부를 분할하여 새 조직을 형성하거나 기존 조직에 매각합니다.
- 여러 클라우드: 규정 준수 또는 규정이 있는 조직은 여러 클라우드 환경에 존재해야 합니다.
- 여러 지리적 경계: 다양한 거주 규정이 있는 여러 지리적 위치에서 운영되는 조직입니다.
- 테넌트 테스트 또는 준비: 주 테넌트에 보다 광범위하게 배포하기 전에 테스트 또는 준비 목적으로 다중 테넌트가 필요한 조직입니다.
- 부서 또는 직원이 만든 테넌트: 부서 또는 직원이 개발, 테스트 또는 별도의 컨트롤을 위해 테넌트를 만든 조직입니다.
다중 테넌트 과제
조직에서 최근에 새 기업을 인수했거나, 다른 회사와 합병했거나, 새로 구성된 사업부를 기반으로 재구성했을 수 있습니다. 서로 다른 ID 관리 시스템이 있는 경우 다른 테넌트에서 사용자가 리소스에 액세스하고 협업하기가 어려울 수 있습니다.
다음 다이어그램에서는 다른 테넌트의 사용자가 어떻게 조직의 테넌트 간에 애플리케이션에 액세스하지 못할 수 있는지 보여 줍니다.
조직이 발전함에 따라 IT 팀은 변화하는 요구 사항에 맞게 적응해야 합니다. 여기에는 종종 기존 테넌트와 통합하거나 새 테넌트를 구성하는 것이 포함됩니다. ID 인프라를 관리하는 방법에 관계없이 사용자가 리소스에 액세스하고 협업하는 원활한 환경을 제공하는 것이 중요합니다. 현재는 사용자 지정 스크립트 또는 온-프레미스 솔루션을 사용하여 테넌트 간에 원활한 환경을 제공하기 위해 테넌트를 한데 모을 수 있습니다.
B2B 직접 연결
사용자가 테넌트 간에 Teams Connect 공유 채널에서 협업할 수 있도록 하려면 Microsoft Entra B2B 직접 연결을 사용하면 됩니다. B2B 직접 연결은 Teams에서 원활한 협업을 위해 다른 Microsoft Entra 조직과 상호 신뢰 관계를 설정할 수 있는 External Identities의 기능입니다. 신뢰가 설정되면 B2B 직접 연결 사용자는 홈 테넌트를 사용하여 Single Sign-On 액세스 권한을 갖습니다.
다음은 다중 테넌트에서 B2B 직접 연결을 사용하는 기본 제약 조건입니다.
- 현재 B2B 직접 연결은 Teams Connect 공유 채널에서만 작동합니다.
자세한 내용은 B2B 직접 연결 개요를 참조하세요.
B2B 협업
사용자가 테넌트 간에 협업할 수 있도록 하려면 Microsoft Entra B2B 협업을 사용하면 됩니다. B2B 협업은 게스트 사용자를 초대하여 조직과 협업할 수 있는 외부 ID 내의 기능입니다. 외부 사용자가 초대를 사용하거나 등록을 완료하면 테넌트에 사용자 개체로 표시됩니다. B2B 협업을 통해 회사의 애플리케이션과 서비스를 외부 사용자와 안전하게 공유하면서 회사 데이터에 대한 제어를 유지할 수 있습니다.
다음은 다중 테넌트에서 B2B 협업을 사용하는 기본 제약 조건입니다.
- 관리자는 B2B 초대 프로세스를 사용하여 사용자를 초대하거나 B2B 협업 초대 관리자를 사용하여 온보딩 환경을 빌드해야 합니다.
- 관리자는 사용자 지정 스크립트를 사용하여 사용자를 동기화해야 할 수 있습니다.
- 자동 상환 설정에 따라 사용자는 동의 프롬프트를 수락하고 각 테넌트에서 상환 프로세스를 따라야 할 수 있습니다.
- 기본적으로 사용자는 외부 멤버와 다른 권한을 가지며 원하는 사용자 환경이 아닐 수 있는 외부 게스트 유형입니다.
자세한 내용은 B2B 협업 개요를 참조하세요.
테넌트 간 동기화
사용자가 테넌트 간에 보다 원활한 협업 환경을 갖도록 하려면 테넌트 간 동기화를 사용하면 됩니다. 테넌트 간 동기화는 조직의 테넌트 전체에서 B2B 협업 사용자 만들기, 업데이트, 삭제를 자동화하는 Microsoft Entra ID의 단방향 동기화 서비스입니다. 테넌트 간 동기화는 B2B 협업 기능을 기반으로 하며 기존 B2B 테넌트 간 액세스 설정을 활용합니다. 사용자는 대상 테넌트에서 B2B 협업 사용자 개체로 표시됩니다.
다음은 테넌트 간 동기화를 사용할 때의 주요 이점입니다.
- 사용자 지정 스크립트를 만들어 유지 관리하지 않고도 조직 내에서 B2B 협업 사용자를 자동으로 만들고 필요한 애플리케이션에 대한 액세스를 제공합니다.
- 사용자 환경을 개선하고 사용자가 초대 메일을 받지 않고 각 테넌트에서 동의 프롬프트를 수락하지 않고도 리소스에 액세스할 수 있도록 합니다.
- 사용자가 조직을 떠날 때 자동으로 사용자를 업데이트하고 제거합니다.
다음은 다중 테넌트 간에 테넌트 간 동기화를 사용하는 기본 제약 조건입니다.
- 현재 Teams 또는 Microsoft 365 환경을 개선하지 않습니다. 동기화된 사용자는 다른 B2B 협업 사용자가 사용할 수 있는 동일한 테넌트 간 Teams 및 Microsoft 365 환경을 갖습니다.
- 그룹, 디바이스 또는 연락처를 동기화하지 않습니다.
자세한 내용은 테넌트 간 동기화란?을 참조하세요.
다중 테넌트 조직
다중 테넌트 조직은 조직 내에서 테넌트 그룹을 구성할 수 있는 Microsoft Entra ID 및 Microsoft 365의 기능입니다. 그룹의 각 테넌트 쌍은 B2B 또는 테넌트 간 동기화를 구성하는 데 사용할 수 있는 테넌트 간 액세스 설정에 따라 관리됩니다.
다중 테넌트 조직의 주요 이점은 다음과 같습니다.
- 조직 내부 및 조직 외부 사용자 구분
- 새 Microsoft Teams에서 향상된 공동 작업 환경
- 테넌트 전체에서 향상된 사용자 검색 환경
자세한 내용은 Microsoft Entra ID의 다중 테넌트 조직이란?을 참조하세요.
다중 테넌트 기능 비교
조직의 요구 사항에 따라 B2B 직접 연결, B2B 협업, 테넌트 간 동기화 및 다중 테넌트 조직 기능의 조합을 사용할 수 있습니다. B2B 직접 연결 및 B2B 협업은 독립적인 기능이며, 테넌트 간 동기화 및 다중 테넌트 조직 기능은 서로 독립적이지만 둘 다 기본 B2B 공동 작업을 사용합니다.
다음 표에서는 각 기능의 기능을 비교합니다. 다양한 외부 ID 시나리오에 대한 자세한 내용은 외부 ID 기능 집합 비교를 참조하세요.
B2B 직접 연결 (조직-조직 외부 또는 내부) |
B2B 협업 (조직-조직 외부 또는 내부) |
테넌트 간 동기화 (조직 내부) |
다중 테넌트 조직 (조직 내부) |
|
---|---|---|---|---|
용도 | 사용자는 외부 테넌트에서 호스트되는 Teams 연결 공유 채널에 액세스할 수 있습니다. | 사용자는 일반적으로 제한된 게스트 권한으로 외부 테넌트에서 호스트되는 앱/리소스에 액세스할 수 있습니다. 자동 상환 설정에 따라 사용자는 각 테넌트에서 동의 프롬프트를 수락해야 할 수 있습니다. | 사용자는 다른 테넌트에서 호스트되더라도 동일한 조직 앱/리소스에 원활하게 액세스할 수 있습니다. | 사용자는 새로운 Teams 및 사용자 검색에서 다중 테넌트 조직에서 보다 원활하게 공동 작업할 수 있습니다. |
값 | Teams 연결 공유 채널 내에서만 외부 협업을 사용하도록 설정합니다. 관리자는 B2B 사용자를 관리할 필요가 없으므로 더 편리합니다. | 외부 협업을 사용하도록 설정합니다. B2B 협업 사용자를 관리하여 관리자에 대한 제어 및 모니터링을 강화합니다. 관리자는 이러한 외부 사용자가 앱/리소스에 액세스하는 것을 제한할 수 있습니다. | 조직 테넌트 간에 협업을 사용하도록 설정합니다. 관리자는 조직 내의 앱/리소스에 대한 지속적인 액세스를 보장하기 위해 테넌트 간에 사용자를 수동으로 초대하고 동기화할 필요가 없습니다. | 조직 테넌트 간에 협업을 사용하도록 설정합니다. 관리자는 테넌트 간 액세스 설정을 통해 전체 구성 기능을 계속 갖습니다. 선택적 테넌트 간 액세스 템플릿은 테넌트 간 액세스 설정의 사전 구성을 허용합니다. |
기본 관리자 워크플로 | 테넌트 간 액세스를 구성하여 외부 사용자에게 홈 테넌트 자격 증명에 대한 테넌트 인바운드 액세스를 제공합니다. | B2B 초대 프로세스를 사용하여 리소스 테넌트에서 외부 사용자를 추가하거나 B2B 협업 초대 관리자를 사용하여 사용자 고유의 온보딩 환경을 빌드합니다. | 다중 테넌트 간에 사용자를 B2B 협업 사용자로 동기화하도록 테넌트 간 동기화 엔진을 구성합니다. | 다중 테넌트 조직을 만들고, 테넌트를 추가(초대)하며, 다중 테넌트 조직에 가입합니다. 기존 B2B Collaboration 사용자를 활용하거나 테넌트 간 동기화를 사용하여 B2B Collaboration 사용자를 프로비전합니다. |
신뢰 수준 | 중간 신뢰도. B2B 직접 연결 사용자는 추적하기 쉽고 외부 조직에 특정 수준의 신뢰도를 의무화합니다. | 신뢰도는 낮음에서 중간입니다. 사용자 개체는 세분화된 컨트롤을 사용하여 쉽게 추적하고 관리할 수 있습니다. | 높은 신뢰도. 모든 테넌트는 동일한 조직의 일부이며 사용자에게는 일반적으로 모든 앱/리소스에 대한 멤버 액세스 권한이 부여됩니다. | 높은 신뢰도. 모든 테넌트는 동일한 조직의 일부이며 사용자에게는 일반적으로 모든 앱/리소스에 대한 멤버 액세스 권한이 부여됩니다. |
사용자에게 미치는 영향 | 사용자는 홈 테넌트 자격 증명을 사용하여 리소스 테넌트에 액세스합니다. 사용자 개체는 리소스 테넌트에서 만들어지지 않습니다. | 외부 사용자는 테넌트에서 B2B 협업 사용자로 추가됩니다. | 동일한 조직 내에서 사용자는 홈 테넌트에서 리소스 테넌트에 B2B 협업 사용자로 동기화됩니다. | 동일한 다중 테넌트 조직 내에서 B2B 공동 작업 사용자, 특히 멤버 사용자는 Microsoft 365에서 향상된 원활한 공동 작업을 활용할 수 있습니다. |
사용자 유형 | B2B 직접 연결 사용자 - 해당 없음 |
B2B 협업 사용자 - 외부 멤버 - 외부 게스트(기본값) |
B2B 협업 사용자 - 외부 멤버(기본값) - 외부 게스트 |
B2B 협업 사용자 - 외부 멤버(기본값) - 외부 게스트 |
다음 다이어그램에서는 B2B 직접 연결, B2B Collaboration 및 테넌트 간 동기화 기능을 함께 사용하는 방법을 보여 줍니다.
용어
Microsoft Entra 기능과 관련된 다중 테넌트 조직 시나리오를 더 잘 이해하려면 다음 용어 목록을 다시 참조할 수 있습니다.
용어 | 정의 |
---|---|
테넌트 | Microsoft Entra ID의 인스턴스. |
조직 | 비즈니스 계층 구조의 최상위 수준입니다. |
다중 테넌트 조직 | 둘 이상의 Microsoft Entra ID 인스턴스가 있는 조직과 Microsoft Entra ID로 해당 인스턴스를 그룹화할 수 있는 기능이 있는 조직입니다. |
작성자 테넌트 | 다중 테넌트 조직을 만든 테넌트입니다. |
소유자 테넌트 | 소유자 역할이 있는 테넌트입니다. 처음에는 작성자 테넌트입니다. |
추가된 테넌트 | 소유자 테넌트가 추가한 테넌트입니다. |
가입자 테넌트 | 다중 테넌트 조직에 가입하는 테넌트입니다. |
가입 요청 | 가입자 또는 추가된 테넌트가 다중 테넌트 조직에 가입하기 위한 가입 요청을 제출합니다. |
보류 중인 테넌트 | 소유자가 추가했지만 아직 가입하지 않은 테넌트입니다. |
활성 테넌트 | 다중 테넌트 조직을 만들거나 가입한 테넌트입니다. |
멤버 테넌트 | 멤버 역할이 있는 테넌트입니다. 대부분의 가입자 테넌트는 멤버로 시작합니다. |
다중 테넌트 조직 테넌트 | 보류 중이 아닌 다중 테넌트 조직의 활성 테넌트입니다. |
테넌트 간 동기화 | 조직의 테넌트 간에 B2B 협업 사용자 만들기, 업데이트, 삭제를 자동화하는 Microsoft Entra ID의 단방향 동기화 서비스입니다. |
테넌트 간 액세스 설정 | 특정 Microsoft Entra 조직과의 협업을 관리하는 설정입니다. |
테넌트 간 액세스 설정 템플릿 | 다중 테넌트 조직에 새로 가입한 파트너 테넌트에 적용되는 테넌트 간 액세스 설정을 미리 구성하는 선택적 템플릿입니다. |
조직 설정 | 특정 Microsoft Entra 조직에 대한 테넌트 간 액세스 설정입니다. |
구성 | 테넌트 간 동기화에 필요한 설정(예: 대상 테넌트, 사용자 범위, 특성 매핑)을 포함하는 Microsoft Entra ID의 애플리케이션 및 기본 서비스 주체입니다. |
프로비전 | 경계를 넘어 개체를 자동으로 만들거나 동기화하는 프로세스입니다. |
자동 상환 | 새로 만든 사용자가 초대 메일을 받지 않거나 대상 테넌트에 추가될 때 동의 프롬프트를 수락해야 하므로 초대를 자동으로 사용하는 B2B 설정입니다. |