테넌트 제한 설정 v2

적용 대상: 인력 테넌트(자세한 정보)

보안을 강화하기 위해 사용자가 외부 계정을 사용하여 네트워크나 디바이스에서 로그인할 때 액세스할 수 있는 항목을 제한할 수 있습니다. 테넌트간 액세스 설정에 포함된 테넌트 제한 설정을 사용하여 외부 앱에 대한 액세스를 제어하는 정책을 만들 수 있습니다.

예를 들어 조직의 사용자가 알 수 없는 테넌트에 별도의 계정을 만들거나 외부 조직에서 사용자에게 조직에 로그인할 수 있는 계정을 부여했다고 가정합니다. 테넌트 제한을 사용하면 사용자가 네트워크 또는 디바이스에서 외부 계정으로 로그인한 동안 일부 또는 전체 외부 앱을 사용하지 못하도록 할 수 있습니다.

다음 다이어그램에서는 예제 조직에서 테넌트 제한 v2를 사용하여 사용자 액세스를 방지하기 위해 수행하는 단계를 보여 줍니다.

테넌트 제한 v2는 다음 두 보호 유형 모두에 대한 옵션을 제공합니다.

• 인증 평면 보호 는 테넌트 제한 v2 정책을 사용하여 외부 ID를 사용하는 로그인을 차단하는 것을 의미합니다. 예를 들어 공격자가 악의적인 테넌트에 로그인하지 못하도록 차단하여 악의적인 내부자가 외부 이메일을 통해 데이터를 유출하지 못하도록 차단할 수 있습니다. 테넌트 제한 v2의 인증 평면 보호는 일반적으로 사용할 수 있습니다.

• 데이터 평면 보호 는 인증을 우회하는 공격을 방지하는 것을 의미합니다. 예를 들어 공격자는 Teams 모임에 익명으로 참가하거나 SharePoint 파일에 익명으로 액세스하여 악의적인 테넌트의 앱에 대한 액세스를 허용하려고 할 수 있습니다. 또는 공격자가 악의적인 테넌트의 디바이스에서 액세스 토큰을 복사하여 조직 디바이스로 가져올 수 있습니다. 테넌트 제한 v2의 데이터 평면 보호는 사용자가 리소스에 액세스하려는 시도에 대해 인증하도록 강제합니다. 데이터 평면 보호는 인증이 실패할 경우 액세스를 차단합니다.

테넌트 제한 v1 은 회사 프록시에 구성된 테넌트 허용 목록을 통해 인증 평면 보호를 제공합니다. 테넌트 제한 v2는 회사 프록시를 사용하거나 사용하지 않고 세분화된 인증 및 데이터 평면 보호를 위한 옵션을 제공합니다. 헤더 삽입에 회사 프록시를 사용하는 경우 옵션에는 인증 평면 보호만 포함됩니다.

테넌트 제한 v2 개요

조직의 테넌트 간 액세스 설정에서 테넌트 제한 v2 정책을 구성할 수 있습니다. 정책을 만든 후에는 조직에서 정책을 적용하는 세 가지 방법이 있습니다.

• 범용 테넌트 제한. 이 옵션은 회사 프록시 없이 인증 평면 보호를 제공합니다. 유니버설 테넌트 제한은 전역 보안 액세스를 사용하여 운영 체제, 브라우저 또는 디바이스 폼 팩터에 관계없이 모든 트래픽에 태그를 지정합니다. 이 옵션을 사용하면 클라이언트 및 원격 네트워크 연결을 모두 지원할 수 있습니다.
• 인증 계층. 조직에서 회사 프록시를 배포하고 Microsoft Entra ID 및 Microsoft 계정에 대한 모든 트래픽에서 테넌트 제한 v2 신호를 설정하도록 프록시를 구성할 수 있습니다.
• 윈도우. 회사 소유 Windows 디바이스의 경우 디바이스에서 직접 테넌트 제한을 적용하여 인증 평면 보호와 데이터 평면 보호를 모두 적용할 수 있습니다. 테넌트 제한은 토큰 침입에 대한 데이터 경로 검사 및 보호를 제공하기 위해 리소스 액세스에 적용됩니다. 정책 적용에는 회사 프록시가 필요하지 않습니다. 디바이스는 Microsoft Entra ID를 관리하거나 그룹 정책을 통해 도메인에 가입되고 관리될 수 있습니다.

지원되는 시나리오

테넌트 제한 v2의 범위를 특정 사용자, 그룹, 조직 또는 외부 앱으로 지정할 수 있습니다. Windows 운영 체제용 네트워킹 스택에 빌드된 앱은 보호됩니다. 다음과 같은 시나리오가 지원됩니다.

• 모든 Office 앱(모든 버전/릴리스 채널)
• UWP(유니버설 Windows 플랫폼) .NET 애플리케이션
• 인증을 위해 Microsoft Entra ID를 사용하는 모든 Microsoft 애플리케이션 및 파트너 애플리케이션을 포함하여 Microsoft Entra ID로 인증하는 모든 애플리케이션에 대한 인증 평면 보호
• SharePoint Online, Exchange Online 및 Microsoft Graph에 대한 데이터 평면 보호
• 양식, SharePoint Online, OneDrive 및 Teams에 대한 익명 액세스 보호(페더레이션 컨트롤이 구성됨)
• Microsoft 테넌트 또는 소비자 계정에 대한 인증 및 데이터 평면 보호
• 전역 보안 액세스에서 범용 테넌트 제한을 사용하는 경우 모든 브라우저와 플랫폼에서 작동합니다.
• Windows 그룹 정책, Microsoft Edge 및 Microsoft Edge의 모든 웹 사이트를 사용하는 경우
• 디바이스 기반 인증 시나리오(Microsoft Graph와 통합된 사용자 지정 애플리케이션 포함)

지원되지 않는 시나리오

• 소비자 OneDrive 계정에 대한 익명 차단. 차단 https://onedrive.live.com/하여 프록시 수준에서 이 제한을 해결할 수 있습니다.
• 사용자가 익명 링크 또는 비 Microsoft Entra 계정을 사용하여 Slack과 같은 파트너 앱에 액세스하는 경우
• 사용자가 가정용 컴퓨터에서 업무용 컴퓨터로 Microsoft Entra ID 발급 토큰을 복사한 후 Slack과 같은 타사 앱에 액세스할 때 사용하는 경우
• Microsoft 계정에 대한 사용자별 테넌트 제한.

테넌트 제한 v1과 v2 비교

다음 표에서는 각 버전의 기능을 비교합니다.

프록시에서 테넌트 제한 v1 정책을 v2로 마이그레이션

v1에서 v2로 테넌트 제한 정책을 마이그레이션하는 작업은 일회성 작업입니다. 마이그레이션 후에는 클라이언트 쪽 변경이 필요하지 않습니다. Microsoft Entra 관리 센터를 통해 후속 서버 쪽 정책을 변경할 수 있습니다.

프록시에서 테넌트 제한 v2를 사용하도록 설정하는 경우 인증 평면에서만 테넌트 제한 v2를 적용할 수 있습니다. 인증 및 데이터 평면 모두에서 테넌트 제한 v2를 사용하도록 설정하려면 GPO(Windows 그룹 정책 개체)를 사용하여 테넌트 제한 v2에 대한 클라이언트 쪽 신호를 사용하도록 설정해야 합니다.

1단계: 파트너 테넌트 허용 목록 구성

테넌트 제한 v1을 사용하면 테넌트 ID 및/또는 Microsoft 로그인 엔드포인트의 허용 목록을 만들어 사용자가 조직에서 권한을 부여하는 외부 테넌트에 액세스할 수 있도록 할 수 있습니다. 테넌트 제한 v1은 프록시에 헤더를 Restrict-Access-To-Tenants: <allowed-tenant-list> 추가하여 허용 목록을 달성했습니다. 예: Restrict-Access-To-Tenants: "contoso.com, fabrikam.com, northwindtraders.com". 테넌트 제한 v1에 대해 자세히 알아봅니다.

테넌트 제한 v2를 사용하면 구성이 서버 쪽 클라우드 정책으로 이동됩니다. 테넌트 제한 v1 헤더가 필요하지 않으므로 회사 프록시에서 이 헤더를 제거합니다. 헤더의 각 테넌트에 대해 allowed-tenant-list 파트너 테넌트 정책을 만듭니다. 다음 지침을 따릅니다.

• 외부 ID(예 user@<externaltenant>.com: )에서 모든 외부 테넌트 액세스를 차단하는 테넌트 제한 v2 기본 정책을 유지합니다.
• 다음은 이 문서의 뒷부분에 있는 특정 파트너를 위한 테넌트 제한 v2 구성의 단계에 따라, 테넌트 제한 v1 허용 목록에 나열된 각 테넌트에 대한 파트너 테넌트 정책을 만드는 방법입니다.
• 특정 사용자만 특정 애플리케이션에 액세스할 수 있도록 허용합니다. 이 설계는 필요한 사용자에 대해서만 액세스를 제한하여 보안 태세를 향상합니다.

2단계: 소비자 계정 또는 Microsoft 계정 테넌트 차단

사용자가 소비자 애플리케이션에 로그인할 수 없도록 하려면, 테넌트 제한 v1은 sec-Restrict-Tenant-Access-Policy과 같은 login.live.com의 트래픽에 헤더가 삽입되도록 해야 합니다sec-Restrict-Tenant-Access-Policy: restrict-msa.

테넌트 제한 v2를 사용하면 구성이 서버 쪽 클라우드 정책으로 이동됩니다. 테넌트 제한 v1 헤더는 필요하지 않습니다. 회사 프록시에서 테넌트 제한 v1 헤더 sec-Restrict-Tenant-Access-Policy: restrict-msa를 제거합니다.

2단계: 이 문서의 뒷부분에 있는 특정 파트너에 대한 테넌트 제한 v2를 구성하여 Microsoft 계정 테넌트에 대한 파트너 테넌트 정책을 만듭니다. Microsoft 계정 테넌트에는 사용자 수준 할당을 사용할 수 없으므로 정책은 Microsoft 계정의 모든 사용자에게 적용됩니다. 그러나 애플리케이션 수준 세분성을 사용할 수 있습니다. Microsoft 계정 또는 소비자 계정에서 필요한 애플리케이션에만 액세스할 수 있는 애플리케이션을 제한해야 합니다.

3단계: 회사 프록시에서 테넌트 제한 v2 사용

다음 회사 프록시 설정을 sec-Restrict-Tenant-Access-Policy: <DirectoryID>:<policyGUID>사용하여 테넌트 제한 v2 헤더의 클라이언트 쪽 태그를 사용하도록 회사 프록시를 구성할 수 있습니다.

해당 설정에서 <DirectoryID>을 Microsoft Entra 테넌트 ID로 대체합니다. 테넌트 간 액세스 정책의 개체 ID로 바꿉니다 <policyGUID> .

테넌트 제한과 인바운드 및 아웃바운드 설정 비교

테넌트 제한은 테넌트 간 액세스 설정과 함께 구성되지만 인바운드 및 아웃바운드 액세스 설정과 별도로 작동합니다. 테넌트 간 액세스 설정을 통해 사용자가 조직의 계정으로 로그인하는 시기를 제어할 수 있습니다. 이와 대조적으로 테넌트 제한을 통해 사용자가 외부 계정을 사용할 때 제어할 수 있습니다. B2B 협업 및 B2B 직접 연결에 대한 인바운드 및 아웃바운드 설정은 테넌트 제한 설정에 영향을 주지 않으며 영향을 받지 않습니다.

액세스 설정을 다음과 같이 생각해 보세요.

• 인바운드 설정은 내부 앱에 대한 외부 계정 액세스를 제어합니다.
• 아웃바운드 설정은 외부 앱에 대한 내부 계정 액세스를 제어합니다.
• 테넌트 제한은 외부 앱에 대한 외부 계정 액세스를 제어합니다.

테넌트 제한과 B2B 협업

사용자가 외부 조직 및 앱에 액세스해야 하는 경우 테넌트 제한을 사용하여 외부 계정을 차단하고 대신 B2B 협업을 사용하는 것이 좋습니다. B2B 협업을 통해 다음과 같은 기능을 얻을 수 있습니다.

• B2B 협업 사용자에 대해 조건부 액세스를 사용하고 다단계 인증을 강제합니다.
• 인바운드 및 아웃바운드 액세스를 관리합니다.
• B2B 협업 사용자의 고용 상태가 변경되거나 해당 자격 증명이 위반되면 세션 및 자격 증명을 종료합니다.
• 로그인 로그를 사용하여 B2B 협업 사용자에 대한 세부 정보를 볼 수 있습니다.

필수 조건

테넌트 제한을 구성하려면 다음이 필요합니다.

• P1 또는 P2를 Microsoft Entra ID.
• 테넌트 제한 v2 정책을 구성하는 보안 관리자 이상의 역할이 있는 계정입니다.
• Windows GPO 구성의 경우 최신 업데이트가 포함된 Windows 10 또는 Windows 11을 실행하는 Windows 디바이스입니다.

테넌트 제한 v2에 대한 서버 쪽 클라우드 정책 구성

1단계: 기본 테넌트 제한 구성

테넌트 제한 v2에 대한 설정은 Microsoft Entra 관리 센터의 테넌트 간 액세스 설정 아래에 있습니다. 먼저 모든 사용자, 그룹, 앱 및 조직에 적용하려는 기본 테넌트 제한을 구성합니다. 파트너별 구성이 필요한 경우 파트너의 조직을 추가하고 기본값과 다른 설정을 사용자 지정할 수 있습니다.

기본 테넌트 제한을 구성하려면 다음을 수행합니다.

1. Microsoft Entra 관리 센터에 최소한 보안 관리자로 로그인합니다.

2. Entra ID>외부 ID>테넌트 간 액세스 설정으로 이동합니다.

3. 기본 설정 탭을 선택합니다.

   

4. 테넌트 제한 섹션으로 스크롤합니다.

5. 테넌트 제한 편집 기본 링크를 선택합니다.

   

6. 테넌트에 아직 기본 정책이 없는 경우 정책 ID 옆에 정책 만들기 링크가 나타납니다. 해당 링크를 선택합니다.

   

7. 테넌트 제한 창에는 테넌트 ID 값과 테넌트 제한에 대한 정책 ID 값이 모두 표시됩니다. 복사 아이콘을 사용하여 이 두 값을 모두 복사합니다. 나중에 테넌트 제한을 사용하도록 Windows 클라이언트를 구성할 때 사용합니다.

   

8. 외부 사용자 및 그룹 탭을 선택합니다. Access 상태에서 다음 옵션 중 하나를 선택합니다.

   • 액세스 허용: 외부 계정으로 로그인한 모든 사용자가 외부 앱에 액세스할 수 있도록 허용 합니다(외부 애플리케이션 탭에 지정됨).
   • 액세스 차단: 외부 계정으로 로그인한 모든 사용자가 외부 앱에 액세스하지 못하도록 차단 합니다(외부 애플리케이션 탭에 지정됨).

   

   참고

   기본 설정은 개별 계정 또는 그룹으로 범위를 지정할 수 없으므로 항상 동일하게 <. 모든 사용자 및 그룹에 대한 액세스를 차단하는 경우 외부 애플리케이션 탭에서 모든 외부 애플리케이션에 대한 액세스를 차단해야 합니다.

9. 외부 애플리케이션 탭을 선택합니다. Access 상태에서 다음 옵션 중 하나를 선택합니다.

   • 액세스 허용: 외부 계정으로 로그인한 모든 사용자가 적용 대상 섹션에 지정된 앱에 액세스할 수 있도록 허용합니다 .
   • 액세스 차단: 외부 계정으로 로그인한 모든 사용자가 적용 대상 섹션에 지정된 앱에 액세스 하지 못하도록 차단합니다 .

   

10. 적용 대상에서 다음 옵션 중 하나를 선택합니다.

    • 모든 외부 애플리케이션: Access 상태에서 선택한 작업을 모든 외부 애플리케이션에 적용합니다. 모든 외부 애플리케이션에 대한 액세스를 차단하는 경우 외부 사용자 및 그룹 탭에서 모든 사용자 및 그룹에 대한 액세스를 차단해야 합니다.

    • 외부 애플리케이션 선택: Access 상태 의 작업을 적용할 외부 애플리케이션을 선택할 수 있습니다.

      애플리케이션을 선택하려면 Microsoft 애플리케이션 추가 또는 다른 애플리케이션 추가를 선택합니다. 그런 다음 애플리케이션 이름 또는 애플리케이션 ID( 클라이언트 앱 ID 또는 리소스 앱 ID)로 검색하고 앱을 선택합니다. (일반적으로 사용되는 Microsoft 애플리케이션의 ID 목록을 참조하세요.) 앱을 더 추가하려면 추가 단추를 사용합니다. 완료되면 제출을 선택합니다.

    

11. 저장을 선택합니다.

2단계: 특정 파트너에 대한 테넌트 제한 v2 구성

테넌트 제한을 사용하여 기본적으로 액세스를 차단하지만 사용자가 자신의 외부 계정을 사용하여 특정 애플리케이션에 액세스할 수 있도록 허용하려는 경우를 가정해 보겠습니다. 예를 들어 사용자가 자신의 Microsoft 계정으로 Microsoft Learn에 액세스할 수 있도록 합니다. 이 섹션의 지침에서는 기본 설정보다 우선하는 조직별 설정을 추가하는 방법을 설명합니다.

1. 최소한 보안 관리자 또는 조건부 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. Entra ID>외부 ID>테넌트 간 액세스 설정으로 이동합니다.

3. 조직 설정을 선택합니다.

   참고

   추가하려는 조직이 이미 목록에 추가된 경우 추가를 건너뛰고 설정 수정으로 직접 이동하면 됩니다.

4. 조직 추가를 선택합니다.

5. 조직 추가 창에서 조직의 전체 도메인 이름(또는 테넌트 ID)을 입력합니다.

   예를 들어 Microsoft 계정에 대한 다음 테넌트 ID를 검색합니다.

   9188040d-6c67-4c5b-b112-36a304b66dad
   

   

6. 검색 결과에서 조직을 선택한 다음 추가를 선택합니다.

7. 설정을 수정합니다. 조직 설정 목록에서 조직을 찾은 다음 가로로 스크롤하여 테넌트 제한 열을 확인합니다. 이 시점에서 이 조직의 모든 테넌트 제한 설정은 기본 설정에서 상속됩니다. 이 조직의 설정을 변경하려면 기본 링크에서 상속된 링크를 선택합니다.

   

8. 조직의 테넌트 제한 창이 나타납니다. 테넌트 ID 및 정책 ID의 값을 복사합니다. 나중에 테넌트 제한을 사용하도록 Windows 클라이언트를 구성할 때 사용합니다.

   

9. 설정 사용자 지정을 선택한 다음 외부 사용자 및 그룹 탭을 선택합니다. Access 상태에서 다음 옵션을 선택합니다.

   • 액세스 허용: 외부 계정으로 로그인한 사용자에게 적용 에 지정된 사용자 및 그룹이 외부 앱에 액세스할 수 있도록 허용 합니다(외부 애플리케이션 탭에 지정됨).
   • 액세스 차단: 외부 계정으로 로그인한 사용자에게 적용 에 지정된 사용자 및 그룹이 외부 앱에 액세스하지 못하도록 차단 합니다(외부 애플리케이션 탭에 지정됨).

   이 문서의 Microsoft 계정 예제에서는 액세스 허용을 선택합니다.

   

10. 적용 대상에서 모든 <조직> 사용자 및 그룹을 선택합니다.

    

    참고

    사용자 세분성은 Microsoft 계정에서 지원되지 않으므로 조직< 사용자 및 그룹 선택 > 기능을 사용할 수 없습니다. 다른 조직의 경우 조직< 사용자 및 그룹 선택을 >선택한 다음 다음 단계를 수행할 수 있습니다.

    1. 외부 사용자 및 그룹 추가를 선택합니다.
    2. 선택 창의 검색 상자에 사용자 이름 또는 그룹 이름을 입력합니다.
    3. 검색 결과에서 사용자 또는 그룹을 선택합니다.
    4. 더 추가하려면 추가 를 선택하고 다음 단계를 반복합니다.
    5. 추가하려는 사용자 및 그룹 선택을 마치면 제출을 선택합니다.

11. 외부 애플리케이션 탭을 선택합니다. Access 상태에서 외부 애플리케이션에 대한 액세스를 허용할지 또는 차단할지 선택합니다.

    • 액세스 허용: 사용자가 외부 계정을 사용할 때 적용 대상에 지정된 외부 애플리케이션에 액세스할 수 있습니다.
    • 액세스 차단: 사용자가 외부 계정을 사용하는 경우 적용 대상에 지정된 외부 애플리케이션에 사용자가 액세스 하지 못하도록 차단합니다.

    이 문서의 Microsoft 계정 예제에서는 액세스 허용을 선택합니다.

    

12. 적용 대상에서 다음 옵션 중 하나를 선택합니다.

    • 모든 외부 애플리케이션: Access 상태에서 선택한 작업을 모든 외부 애플리케이션에 적용합니다.
    • 외부 애플리케이션 선택: Access 상태에서 선택한 작업을 모든 외부 애플리케이션에 적용합니다.

    이 문서의 Microsoft 계정 예제에서는 외부 애플리케이션 선택을 선택합니다.

    참고

    모든 외부 애플리케이션에 대한 액세스를 차단하는 경우 외부 사용자 및 그룹 탭에서 모든 사용자 및 그룹에 대한 액세스를 차단해야 합니다.

    

13. 외부 애플리케이션 선택을 선택한 경우 다음 단계를 수행합니다.

    1. Microsoft 애플리케이션 추가 또는 다른 애플리케이션 추가를 선택합니다. 이 문서의 Microsoft Learn 예제에서는 다른 애플리케이션 추가를 선택합니다.
    2. 검색 상자에 애플리케이션 이름 또는 애플리케이션 ID( 클라이언트 앱 ID 또는 리소스 앱 ID)를 입력합니다. (일반적으로 사용되는 Microsoft 애플리케이션의 ID 목록을 참조하세요.) 이 문서의 Microsoft Learn 예제에서는 애플리케이션 ID 18fbca16-2224-45f6-85b0-f7bf2b39b3f3를 입력합니다.
    3. 검색 결과에서 애플리케이션을 선택한 다음 추가를 선택합니다.
    4. 추가하려는 각 애플리케이션에 대해 이전 단계를 반복합니다.
    5. 애플리케이션 선택을 마치면 제출을 선택합니다.

    

14. 선택한 애플리케이션이 외부 애플리케이션 탭에 나열됩니다. 저장을 선택합니다.

    

클라이언트 쪽에서 테넌트 제한 v2 구성

클라이언트에 테넌트 제한 v2를 적용하는 세 가지 옵션이 있습니다.

• Microsoft Entra Global Secure Access의 일부로 범용 테넌트 제한 v2 사용
• 회사 프록시에서 테넌트 제한 v2 설정
• Windows 관리 디바이스에서 테넌트 제한 사용(미리 보기)

옵션 1: Microsoft Entra Global Secure Access의 일부로 범용 테넌트 제한 v2 사용

Microsoft Entra Global Secure Access의 일부인 유니버설 테넌트 제한 v2는 모든 디바이스 및 플랫폼에 대한 인증 평면 보호를 제공합니다.

옵션 2: 회사 프록시에 테넌트 제한 v2 설정

회사 네트워크의 모든 디바이스 및 앱에서 로그인이 제한되도록 하려면 테넌트 제한 v2를 적용하도록 회사 프록시를 구성합니다. 회사 프록시에 테넌트 제한을 구성하면 데이터 평면 보호는 제공되지 않지만 인증 평면 보호는 제공됩니다.

1. 테넌트 제한 v2 헤더를 다음과 같이 구성합니다.

   헤더 이름	헤더 값	샘플 값
   sec-Restrict-Tenant-Access-Policy	<TenantId>:<policyGuid>	aaaabbbb-0000-cccc-1111-dddd2222eeee:1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5

   • TenantID는 Microsoft Entra 테넌트 ID입니다. Microsoft Entra 관리 센터에 로그인하고 Entra ID>개요> 속성으로 이동하여 이 값을 찾습니다.
   • policyGUID는 테넌트 간 액세스 정책의 개체 ID입니다. /crosstenantaccesspolicy/default를 호출하고 반환된 id 필드를 사용하여 이 값을 찾습니다.

2. 회사 프록시에서 테넌트 제한 v2 헤더를 다음 Microsoft 로그인 도메인으로 보냅니다.

   • login.live.com
   • login.microsoft.com
   • login.microsoftonline.com
   • login.windows.net

   이 헤더는 네트워크의 모든 로그인에 대해 테넌트 제한 v2 정책을 적용합니다. 이 헤더는 Teams 모임, SharePoint 파일 또는 인증이 필요하지 않은 기타 리소스에 대한 익명 액세스를 차단하지 않습니다.

중단 및 검사 기능을 지원하지 않는 테넌트 제한 v2

Windows가 아닌 플랫폼의 경우 트래픽을 중단하고 검사하여 프록시를 통해 테넌트 제한 v2 매개 변수를 헤더에 추가할 수 있습니다. 그러나 일부 플랫폼은 중단 및 검사를 지원하지 않으므로 테넌트 제한 v2가 작동하지 않습니다. 이러한 플랫폼의 경우 다음과 같은 Microsoft Entra ID 기능을 통해 보호를 제공할 수 있습니다.

• 조건부 액세스: 관리되는 디바이스 또는 규격 디바이스만 사용할 수 있습니다.
• 조건부 액세스: 게스트 또는 외부 사용자에 대한 액세스 관리
• B2B 협업: Restrict-Access-To-Tenants 매개변수에 나열된 동일한 테넌트에 대해 아웃바운드 규칙을 테넌트 간 액세스로 제한
• B2B 협업: B2B 사용자에 대한 초대를 Restrict-Access-To-Tenants 매개 변수에 나열된 동일한 도메인으로 제한
• 애플리케이션 관리: 사용자가 애플리케이션에 동의하는 방법 제한
• Intune: Intune을 통해 앱 정책을 적용하여 관리되는 앱의 사용을 디바이스를 등록한 계정의 UPN으로만 제한 합니다( 앱에서 구성된 조직 계정만 허용).

이러한 대안은 보호를 제공하지만 테넌트 제한을 통해서만 특정 시나리오를 처리할 수 있습니다. 예를 들어 브라우저를 사용하여 전용 앱 대신 웹을 통해 Microsoft 365 서비스에 액세스하는 것이 있습니다.

옵션 3: Windows 관리 디바이스에서 테넌트 제한 사용(미리 보기)

테넌트 제한 v2 정책을 만든 후에는 테넌트 ID와 정책 ID를 디바이스의 테넌트 제한 구성에 추가하여 각 Windows 10 또는 Windows 11 디바이스에 정책을 적용할 수 있습니다.

Windows 디바이스에서 테넌트 제한을 사용하도록 설정하면 정책 적용에 회사 프록시가 필요하지 않습니다. 디바이스는 테넌트 제한 v2를 적용하기 위해 Microsoft Entra ID가 될 필요가 없습니다. 그룹 정책을 사용하여 관리되는 도메인 가입 디바이스도 지원됩니다.

그룹 정책을 사용하여 테넌트 제한 배포

그룹 정책을 사용하여 테넌트 제한 구성을 Windows 디바이스에 배포할 수 있습니다. 다음 리소스를 참조하세요.

• Windows 10 2021년 11월 업데이트용 관리 템플릿(21H2)
• Windows 10 2021년 11월 업데이트에 대한 그룹 정책 설정 참조 스프레드시트(21H2)

디바이스에서 정책 테스트

디바이스에서 테넌트 제한 v2 정책을 테스트하려면 다음 단계를 따릅니다.

1. Windows 컴퓨터에서 Windows 로고 키를 선택하고 gpedit를 입력한 다음 그룹 정책 편집(제어판)을 선택합니다.

2. 컴퓨터 구성>관리 템플릿>Windows 구성 요소>테넌트 제한으로 이동합니다.

3. 오른쪽 창에서 클라우드 정책 세부 정보를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.

4. 앞에서 기록한 테넌트 ID 및 정책 ID 값을 검색하고( 1단계의 7단계: 기본 테넌트 제한 구성) 다음 필드에 입력합니다. 다른 모든 필드는 비워둡니다.

   • Microsoft Entra Directory ID: Microsoft Entra 관리 센터에 로그인하고 Entra ID개요> 속성으로 이동하여 이전에 기록한 테넌트 ID > 값을 입력합니다.

   • 정책 GUID: 테넌트 간 액세스 정책의 ID입니다. 앞에서 기록한 정책 ID 값입니다.

     

5. 확인을 선택합니다.

임차인 제한 버전 2 이벤트 보기

이벤트 뷰어에서 테넌트 제한과 관련된 이벤트를 봅니다.

1. 이벤트 뷰어에서 애플리케이션 및 서비스 로그를 엽니다.
2. Microsoft>Windows>TenantRestrictions>Operational로 가서 이벤트를 찾습니다.

PowerShell과 같은 Chrome, Firefox 및 .NET 애플리케이션 차단

애플리케이션을 차단하려면 Windows에서 비즈니스용 앱 컨트롤(이전의 Windows Defender 애플리케이션 컨트롤 [WDAC])을 설정하고 Windows 방화벽 설정을 사용하도록 설정해야 합니다.

Microsoft 리소스에 대한 액세스를 제어하도록 비즈니스용 App Control 설정

비즈니스용 앱 제어는 Windows에 기본 제공되는 정책 엔진으로, 사용자의 디바이스에서 실행할 수 있는 애플리케이션을 제어할 수 있습니다. 테넌트 제한 v2의 경우 비즈니스용 App Control을 사용하여 허가 되지 않은 앱 (테넌트 제한 v2 보호를 제공하지 않는 앱)이 Microsoft 리소스에 액세스하지 못하도록 차단해야 합니다. 이 요구 사항을 사용하면 Microsoft Entra로 보호되는 데이터에 보안 수단을 통해서만 액세스할 수 있다는 것을 알고 있는 동시에 원하는 브라우저 및 앱을 계속 사용할 수 있습니다.

비인기 앱은 Windows 네트워킹 스택을 사용하지 않으므로 Windows에 추가된 테넌트 제한 v2 기능의 이점을 활용하지 않습니다. Microsoft Entra에 대한 login.live.com 또는 테넌트 제한 v2 보호가 필요하다는 것을 나타내는 Microsoft 리소스에 신호를 보낼 수 없습니다. 따라서 데이터 평면 보호를 제공하기 위해 비인식 앱에 의존할 수 없습니다.

두 가지 방법으로 비즈니스용 App Control을 사용하여 비인기 앱으로부터 보호할 수 있습니다.

• 비인식 앱(즉, PowerShell 또는 Chrome이 완전히 실행되지 않도록 차단)을 완전히 사용하지 않도록 합니다. 실행할 수 있는 앱을 제어하는 표준 비즈니스용 App Control 정책을 사용할 수 있습니다.
• 비인기 앱의 사용을 허용하지만 Microsoft 리소스에 액세스하지 못하도록 차단합니다. 이 메서드의 경우 앱 ID 태그 지정 정책(AppIdTaggingPolicy)이라는 특수한 비즈니스용 App Control 정책을 사용합니다.

두 옵션 모두 먼저 비즈니스용 앱 컨트롤 정책을 만들어야 합니다. 그런 다음 필요에 따라 앱 ID 태그 지정 정책으로 변환합니다. 마지막으로 테스트 컴퓨터에서 테스트한 후 디바이스에 적용합니다.

자세한 내용은 App Control AppId 태그 지정 정책 만들기를 참조하세요.

1단계: 앱 제어 정책 마법사를 사용하여 정책 만들기

1. 앱 제어 정책 마법사를 설치합니다.

2. 정책 만들기를 선택하고 정책 형식을 선택합니다. 기본값은 다중 정책, 기본 정책입니다.

3. 기본 템플릿을 선택합니다(권장: 기본 Windows 또는 Microsoft 허용). 자세한 단계는 템플릿 기본 정책을 참조하세요.

4. 정책을 앱 ID 태그 지정 정책으로 변환하는 경우 마법사는 정책 규칙이 설정된다고 가정합니다. 여기에서 설정할 수 있지만 필수는 아닙니다. 이러한 정책 규칙에는 고급 부팅 옵션 메뉴, 스크립트 적용 사용 안 함, 스토어 애플리케이션 적용, 감사 모드 및 사용자 모드 코드 무결성이 포함됩니다.

5. 정책 XML의 저장 위치를 선택하고 정책을 만듭니다.

2단계: 정책을 앱 ID 태그 지정 정책으로 변환

마법사에서 정책을 만들거나 PowerShell을 사용하여 직접 만든 후 .xml 출력을 앱 ID 태그 지정 정책으로 변환합니다. 태그 지정 정책은 Microsoft 리소스에 대한 액세스를 허용하려는 앱을 표시합니다. GUID라는 출력값이 새 정책 식별자(ID)입니다.

   Set-CIPolicyIdInfo -ResetPolicyID .\policy.xml -AppIdTaggingPolicy -AppIdTaggingKey "M365ResourceAccessEnforced" -AppIdTaggingValue "True" 

3단계: 테스트용 정책 컴파일 및 배포

정책을 편집하고 앱 ID 태그 지정 정책으로 변환한 후 파일 이름과 일치하는 정책 ID로 컴파일합니다.

   ConvertFrom-CIPolicy .\policy.xml ".\{PolicyID}.cip"

그런 다음 CiPolicies\Active 디렉터리에 정책을 배포합니다.

   copy ".\{Policy ID}.cip" c:\windows\system32\codeintegrity\CiPolicies\Active\ 

RefreshPolicy.exe호출하여 시스템에서 정책을 새로 고칩니다.

Windows 방화벽 설정 사용

Windows 방화벽 기능을 사용하면 보호되지 않는 앱이 Chrome, Firefox 및 PowerShell과 같은 .NET 애플리케이션을 통해 Microsoft 리소스에 액세스하는 것을 차단할 수 있습니다. 이러한 애플리케이션은 테넌트 제한 v2 정책에 따라 차단되거나 허용됩니다.

예를 들어 테넌트 제한 v2에 대한 CIP(고객 식별 프로그램) 정책에 PowerShell을 추가하고 테넌트 제한 v2 정책의 엔드포인트 목록에 graph.microsoft.com 경우 PowerShell은 방화벽을 사용하도록 설정된 상태로 액세스할 수 있어야 합니다.

1. Windows 컴퓨터에서 Windows 로고 키를 선택하고 gpedit를 입력한 다음 그룹 정책 편집(제어판)을 선택합니다.

2. 컴퓨터 구성>관리 템플릿>Windows 구성 요소>테넌트 제한으로 이동합니다.

3. 오른쪽 창에서 클라우드 정책 세부 정보를 마우스 오른쪽 단추로 클릭한 다음 편집을 선택합니다.

4. Microsoft 엔드포인트의 방화벽 보호 사용 확인란을 선택한 다음 확인을 선택합니다.

   

5. 다음을 실행 gpudate하여 디바이스에서 그룹 정책을 새로 고칩니다.

      gupdate /force
   

6. 디바이스를 다시 시작합니다.

테넌트 제한 v2가 액세스를 차단하는지 테스트합니다.

방화벽 및 비즈니스용 앱 컨트롤 설정을 사용하도록 설정한 후 Chrome 브라우저를 사용하여 로그인하고 office.com 액세스합니다. 다음 메시지가 표시되며 로그인에 실패해야 합니다.

테넌트 제한 및 데이터 평면 지원(미리 보기)

다음 리소스는 테넌트 제한 v2를 적용합니다. 이러한 리소스는 잘못된 행위자가 침투한 토큰을 사용하여 또는 익명으로 리소스에 직접 액세스하는 토큰 침투 시나리오를 해결합니다.

• 팀
• OneDrive 앱과 같은 SharePoint Online
• Outlook 앱과 같은 Exchange Online
• Office.com 및 Office 앱

테넌트 제한 및 Microsoft Forms(미리 보기)

테넌트 제한 v2가 적용되면 Microsoft Forms에서 외부에 호스트된 양식에 대한 모든 익명 또는 인증되지 않은 ID 액세스를 자동으로 차단합니다.

테넌트 제한 및 Microsoft Teams(미리 보기)

기본적으로 Teams에는 개방형 페더레이션이 있습니다. 외부 테넌트가 호스트하는 모임에 참가하는 사람을 차단하지는 않습니다. Teams 모임에 대한 액세스를 보다 세부적인 제어를 위해 Teams의 페더레이션 컨트롤을 사용하여 특정 테넌트 허용 또는 차단을 수행할 수 있습니다. 테넌트 제한 v2와 함께 이러한 페더레이션 컨트롤을 사용하여 Teams 모임에 대한 익명 액세스를 차단할 수도 있습니다.

Teams에 대한 테넌트 제한을 적용하려면 Microsoft Entra 테넌트 간 액세스 설정에서 테넌트 제한 v2를 구성해야 합니다. 또한 Teams 관리 포털에서 페더레이션 컨트롤을 설정하고 Teams를 다시 시작해야 합니다. 회사 프록시에 구현된 테넌트 제한 v2는 인증이 필요하지 않은 Teams 모임, SharePoint 파일 및 기타 리소스에 대한 익명 액세스를 차단하지 않습니다.

Teams에 테넌트 제한을 사용하는 것을 고려 중인 경우 ID에 대해 다음 사항에 유의하세요.

• Teams는 현재 사용자가 회사 제공 또는 홈 제공 ID를 사용하여 외부에서 호스팅 되는 모든 모임에 참가할 수 있도록 허용하고 있습니다. 아웃바운드 테넌트 간 액세스 설정을 사용하여 회사 제공 또는 홈 제공 ID를 가진 사용자가 외부에서 호스팅된 Teams 모임에 참가할 수 있는지를 제어할 수 있습니다.
• 테넌트 제한으로 인해 사용자는 외부에서 발급된 ID를 사용하여 Teams 모임에 참가할 수 없습니다.

순수 익명 모임 참여

테넌트 제한 v2는 외부에 호스트된 Teams 모임에 대한 인증되지 않고 외부에서 발급된 모든 ID 액세스를 자동으로 차단합니다.

예를 들어 Contoso가 Teams 페더레이션 컨트롤을 사용하여 Fabrikam 테넌트를 차단한다고 가정합니다. Contoso 디바이스를 사용하는 사용자가 Fabrikam 계정을 사용하여 Contoso Teams 모임에 참가하는 경우 익명 사용자로 모임에 참가할 수 있습니다. Contoso에서 테넌트 제한 v2도 사용하도록 설정하면 Teams는 익명 액세스를 차단하고 사용자는 모임에 참가할 수 없습니다.

외부에서 발급된 아이디를 통한 회의 참여

외부에서 발급된 ID가 있는 특정 사용자 또는 그룹이 외부에서 호스트되는 특정 Teams 모임에 참가할 수 있도록 테넌트 제한 v2 정책을 구성할 수 있습니다. 이 구성을 사용하면 사용자는 외부에서 발급된 ID로 Teams에 로그인하고 지정된 테넌트의 외부 호스트된 Teams 모임에 참가할 수 있습니다.

테넌트 제한 v2 및 SharePoint Online(프리뷰)

SharePoint Online은 인증 평면과 데이터 평면 모두에서 테넌트 제한 v2를 지원합니다.

인증된 세션

테넌트에서 테넌트 제한 v2를 사용하도록 설정하면 인증 중에 무단 액세스가 차단됩니다. 사용자가 인증된 세션 없이 SharePoint Online 리소스에 직접 액세스하는 경우 로그인하라는 메시지가 표시됩니다. 테넌트 제한 v2 정책에서 액세스를 허용하는 경우 사용자는 리소스에 액세스할 수 있습니다. 그렇지 않으면 액세스가 차단됩니다.

익명 액세스(미리 보기)

사용자가 홈 테넌트 또는 회사 ID를 사용하여 익명 파일에 액세스하려고 하면 사용자는 파일에 액세스할 수 있습니다. 그러나 사용자가 외부에서 발급된 ID를 사용하여 익명 파일에 액세스하려고 하면 액세스가 차단됩니다.

예를 들어 사용자가 테넌트 A에 대한 테넌트 제한 v2로 구성된 관리되는 디바이스를 사용하고 있다고 가정합니다. 사용자가 테넌트 A 리소스에 대해 생성된 익명 액세스 링크를 선택하는 경우 익명으로 리소스에 액세스할 수 있어야 합니다. 그러나 사용자가 테넌트 B에서 SharePoint Online에 대해 생성된 익명 액세스 링크를 선택하면 로그인하라는 메시지가 표시됩니다. 외부에서 발급된 ID를 통해 리소스에 대한 익명 액세스는 항상 차단됩니다.

테넌트 제한 v2 및 OneDrive(프리뷰)

인증된 세션

테넌트에서 테넌트 제한 v2를 사용하도록 설정하면 인증 중에 무단 액세스가 차단됩니다. 사용자가 인증된 세션 없이 OneDrive 리소스에 직접 액세스하는 경우 로그인하라는 메시지가 표시됩니다. 테넌트 제한 v2 정책에서 액세스를 허용하는 경우 사용자는 리소스에 액세스할 수 있습니다. 그렇지 않으면 액세스가 차단됩니다.

익명 액세스(미리 보기)

SharePoint와 마찬가지로 OneDrive는 인증 평면과 데이터 평면 모두에서 테넌트 제한 v2를 지원합니다. OneDrive에 대한 익명 액세스 차단도 지원됩니다. 예를 들어 테넌트 제한 v2 정책의 적용은 microsoft-my.sharepoint.com(OneDrive 엔드포인트)에서 작동합니다.

이 문서에서 다루지 않는 내용

일반 계정용 OneDrive(onedrive.live.com을 통해)는 테넌트 제한 v2를 지원하지 않습니다. 일부 URL(예: onedrive.live.com)은 통합되지 않고 구식 스택을 사용합니다. 사용자가 이러한 URL을 통해 OneDrive 소비자 테넌트에 액세스하면 정책이 적용되지 않습니다. 해결 방법으로 프록시 수준에서 https://onedrive.live.com/을 차단할 수 있습니다.

테넌트 제한 v2 및 서비스 주체

테넌트 제한 v2는 서비스 주체의 액세스를 차단합니다. 다음을 사용하여 클라이언트 신호를 사용하도록 설정할 수 있습니다.

• 방화벽 또는 회사 프록시입니다. 서비스 주체를 사용하여 로그인합니다.

      $client_id = "00001111-aaaa-2222-bbbb-3333cccc4444"
      $clientSecret = Get-Credential -Username $client_id
      Connect-MgGraph -TenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee" -ClientSecretCredential $clientSecret
  

  로그인은 다음과 같이 실패합니다.

  Connect-MgGraph : ClientSecretCredential authentication failed: AADSTS5000211: A tenant restrictions policy added to this request by a device or network administrator does not allow access to 'tenant'.

• Windows GPO입니다. Microsoft 엔드포인트의 방화벽 보호 사용 및 비즈니스용 앱 제어 사용을 확인해야 합니다. 이 문서 앞부분의 Chrome, Firefox 및 PowerShell과 같은 .NET 애플리케이션을 차단을 참조하세요.

Apple 디바이스용 Microsoft Enterprise SSO 플러그 인을 사용하는 테넌트 제한 사항

Apple 디바이스용 Microsoft Enterprise SSO 플러그 인은 Apple의 Enterprise SSO 기능을 지원하는 모든 애플리케이션에서 macOS, iOS 및 iPadOS의 Microsoft Entra 계정에 대한 SSO(Single Sign-On)를 제공합니다. Apple 디바이스용 Microsoft Enterprise SSO 플러그 인을 사용하려면 네트워크 프록시, 가로채기 및 기타 엔터프라이즈 시스템에서 특정 URL을 제외해야 합니다.

조직에서 2022년 이후에 릴리스된 Apple OS 버전을 사용하는 경우 TLS 검사에서 Microsoft 로그인 URL을 제외할 필요가 없습니다. 테넌트 제한 기능을 사용하는 경우 Microsoft 로그인 URL에서 TLS 검사를 수행하고 요청에 필요한 헤더를 추가할 수 있습니다. 자세한 내용은 Apple 디바이스용 Microsoft Enterprise SSO 플러그 인을 참조하세요.

macOS 디바이스에서 네트워킹 구성의 유효성을 검사하여 TLS 검사로 인해 SSO 구성이 중단되지 않았는지 확인할 수 있습니다.

로그인 로그

Microsoft Entra 로그인 로그를 통해 테넌트 제한 v2 정책이 적용된 로그인에 대한 세부 정보를 볼 수 있습니다. B2B 사용자가 공동 작업을 위해 리소스 테넌트에 로그인하면 홈 테넌트와 리소스 테넌트 모두에서 로그인 로그가 생성됩니다. 이러한 로그에는 사용 중인 애플리케이션, 이메일 주소, 테넌트 이름, 홈 테넌트 및 리소스 테넌트 모두에 대한 테넌트 ID와 같은 정보가 포함됩니다. 다음 예제에서는 성공적인 로그인을 보여줍니다.

로그인에 실패하면 활동 세부 정보에 실패 원인에 대한 정보가 제공됩니다.

감사 로그

감사 로그는 게스트 사용자가 시작한 활동을 포함하여 시스템 및 사용자 활동에 대한 레코드를 제공합니다. 모니터링에서 테넌트에 대한 감사 로그를 보거나 사용자의 프로필로 이동하여 특정 사용자에 대한 감사 로그를 볼 수 있습니다.

이벤트에 대한 자세한 내용을 보려면 로그에서 이벤트를 선택합니다.

Microsoft Entra ID에서 이러한 로그를 내보낸 후 원하는 보고 도구를 사용하여 익숙한 보고서를 얻을 수도 있습니다.

마이크로소프트 그래프

Microsoft Graph를 사용하여 정책 정보를 가져옵니다.

HTTP 요청

• 기본 정책을 가져옵니다.

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default
  

• 시스템 기본값으로 다시 설정:

  POST https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/default/resetToSystemDefault
  

• 파트너 구성 가져오기:

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners
  

• 특정 파트너 구성 가져오기:

  GET https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

• 특정 파트너를 업데이트합니다.

  PATCH https://graph.microsoft.com/beta/policies/crossTenantAccessPolicy/partners/9188040d-6c67-4c5b-b112-36a304b66dad
  

요청 본문

"tenantRestrictions": {
    "usersAndGroups": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllUsers",
                "targetType": "user"
            }
        ]
    },
    "applications": {
        "accessType": "allowed",
        "targets": [
            {
                "target": "AllApplications",
                "targetType": "application"
            }
        ]
    }
}

알려진 제한 사항

테넌트 제한 v2는 모든 클라우드에서 지원됩니다. 그러나 테넌트 제한 v2는 클라우드 간 요청으로 적용되지 않습니다.

테넌트 제한 v2는 회사 프록시를 통한 클라이언트 신호와 함께 macOS 플랫폼 SSO 기능에서 작동하지 않습니다. 테넌트 제한 v2 및 플랫폼 SSO를 사용하는 고객은 전역 보안 액세스 클라이언트 신호와 함께 범용 테넌트 제한 v2를 사용해야 합니다. 이는 중간 네트워크 솔루션이 헤더를 삽입할 때 플랫폼 SSO가 테넌트 제한과 호환되지 않는 Apple 제한 사항입니다. 이러한 솔루션의 예로 Apple 시스템 루트 인증서 외부의 인증서 신뢰 체인을 사용하는 프록시가 있습니다.

관련 콘텐츠

• Microsoft Entra 외부 ID에서 B2B에 대한 외부 공동 작업 설정 구성