범용 테넌트 제한은 테넌트 제한 v2의 기능을 향상시킵니다. 전역 보안 액세스를 사용하여 운영 체제, 브라우저 또는 디바이스 폼 팩터에 관계없이 모든 트래픽에 태그를 지정합니다. 클라이언트 및 원격 네트워크 연결 모두에 대한 지원을 허용합니다.
관리자는 더 이상 프록시 서버 구성이나 복잡한 네트워크 구성을 관리할 필요가 없습니다. 전역 보안 액세스 클라이언트 또는 원격 네트워크를 사용하여 모든 플랫폼에서 테넌트 제한 v2를 적용할 수 있습니다.
범용 테넌트 제한을 사용하도록 설정하면 Global Secure Access는 테넌트 제한 v2에 대한 정책 정보를 인증 평면의 네트워크 트래픽에 추가합니다. 이 트래픽은 Microsoft Entra ID 및 Microsoft Graph에서 가져옵니다. 따라서 조직에서 디바이스 및 네트워크를 사용하는 사용자는 권한 있는 외부 테넌트만 사용해야 합니다. 이 제한은 SSO(Single Sign-On)를 통해 Microsoft Entra ID 테넌트에 통합된 애플리케이션에 대한 데이터 반출을 방지하는 데 도움이 됩니다.
다음 다이어그램은 예제 조직이 테넌트 제한 v2를 사용하여 악의적인 사용자로부터 보호하기 위해 수행하는 단계를 보여 줍니다.
| 단계 | 설명 |
|---|---|
| 1 | Contoso는 테넌트 간 액세스 설정에서 테넌트 제한 v2 정책을 구성하여 모든 외부 계정 및 외부 앱을 차단합니다. Contoso는 전역 보안 액세스 및 범용 테넌트 제한을 사용하여 정책을 적용합니다. |
| 2 | Contoso 관리 디바이스를 사용하는 사용자는 허가되지 않은 외부 ID를 사용하여 Microsoft Entra 통합 앱에 액세스하려고 합니다. |
| 3 | 인증 평면 보호: Microsoft Entra ID를 사용하면 Contoso의 정책은 허가되지 않은 외부 계정이 외부 테넌트에 액세스하지 못하도록 차단합니다. 또한 Microsoft Graph 토큰을 다른 디바이스를 통해 가져와 수명 내에 환경으로 가져온 경우 이 토큰은 Global Secure Access 클라이언트가 있는 디바이스 또는 원격 네트워크를 통해 재생할 수 없습니다. |
| 4 | 데이터 평면 보호: Microsoft Graph 토큰을 다른 디바이스를 통해 가져와서 수명 내에 환경으로 가져온 경우 이 토큰은 Global Secure Access 클라이언트가 있는 디바이스 또는 원격 네트워크를 통해 재생할 수 없습니다. |
유니버설 테넌트 제한은 다음과 같은 방법으로 브라우저, 디바이스 및 네트워크에서 데이터 반출을 방지하는 데 도움이 됩니다.
- Microsoft Entra ID, Microsoft 계정 및 Microsoft 애플리케이션에서 연결된 테넌트 제한 v2 정책을 조회하고 적용할 수 있습니다. 이 조회를 통해 일관된 정책 적용이 가능해집니다.
- 로그인하는 동안 인증 평면에서 모든 Microsoft Entra 통합 타사 앱과 함께 작동합니다.
- Microsoft Graph를 보호하는 데 도움이 될 수 있습니다.
범용 테넌트 제한에 대한 적용 지점
인증 평면(Microsoft Entra ID)
인증 평면 적용은 Microsoft Entra ID 또는 Microsoft 계정 인증 시 발생합니다.
사용자가 Global Secure Access 클라이언트 또는 원격 네트워크 연결을 통해 연결되면 테넌트 제한 v2 정책이 확인되어 인증이 허용되어야 하는지 확인합니다. 사용자가 조직의 테넌트에 로그인하는 경우 테넌트 제한 v2 정책이 적용되지 않습니다. 사용자가 다른 테넌트에 로그인하는 경우 정책이 적용됩니다.
Microsoft Entra ID와 통합되거나 인증에 Microsoft 계정을 사용하는 모든 애플리케이션은 인증 평면에서 범용 테넌트 제한을 지원합니다.
데이터 평면(Microsoft Graph)
데이터 평면 적용은 현재 Microsoft Graph에서 지원됩니다. 데이터 평면 보호를 사용하면 가져온 인증 아티팩트를 조직의 디바이스에서 재생하여 데이터를 내보낼 수 없습니다. 이러한 아티팩트의 예는 다른 디바이스에서 가져오고 테넌트 제한 v2 정책에 정의된 인증 평면 적용을 우회하는 액세스 토큰입니다.
필수 조건
- 전역 보안 액세스 기능과 상호 작용하는 관리자는 해당 기능을 관리하려면 전역 보안 액세스 관리자 역할이 있어야 합니다.
- 전역 보안 액세스에는 라이선스가 필요합니다. 자세한 내용은 라이선싱 개요를 참조하세요. 아직 라이선스가 없는 경우 라이선스를 구입하거나 평가판 라이선스를 받을 수 있습니다.
- Microsoft 트래픽 프로필을 사용하도록 설정해야 합니다. 범용 테넌트 제한이 있는 서비스의 FQDN(정규화된 도메인 이름) 및 IP 주소를 터널 모드로 설정해야 합니다.
- 전역 보안 액세스 클라이언트를 배포하거나 원격 네트워크 연결을 구성해야 합니다.
테넌트 제한 v2 정책 구성
범용 테넌트 제한을 사용하려면 먼저 특정 파트너에 대한 기본 테넌트 제한 및 테넌트 제한을 모두 구성해야 합니다.
이러한 정책을 구성하는 방법에 대한 자세한 내용은 테넌트 제한 v2 설정을 참조하세요.
테넌트 제한에 대한 전역 보안 액세스 신호 사용
테넌트 제한 v2 정책을 만든 후 전역 보안 액세스를 사용하여 테넌트 제한 v2에 태그 지정을 적용할 수 있습니다. 전역 보안 액세스 관리자 및 보안 관리자 역할이 모두 있는 관리자는 다음 단계를 수행하여 전역 보안 액세스 적용을 사용하도록 설정해야 합니다.
Microsoft Entra 관리 센터에전역 보안 액세스 관리자로 로그인합니다.
전역 보안 액세스>설정>세션 관리>유니버설 테넌트 제한으로 이동합니다.
Entra ID에 대한 테넌트 제한 사용(모든 클라우드 앱 포함) 토글을 켭니다.
보편적 테넌트 제한을 적용해보세요
테넌트 제한은 사용자(또는 게스트 사용자)가 정책이 구성된 테넌트에서 리소스에 액세스하려고 할 때 적용되지 않습니다. 테넌트 제한 v2 정책은 다른 테넌트 ID가 로그인을 시도하거나 리소스에 액세스하는 경우에만 처리됩니다.
예를 들어 fabrikam.com 제외한 모든 조직을 차단하도록 테넌트 contoso.com 테넌트 제한 v2 정책을 구성하는 경우 정책은 다음 표에 따라 적용됩니다.
| 사용자 | 유형 | 테넌트 | 테넌트 제한 v2 정책이 처리되었나요? | 인증된 액세스가 허용되나요? | 익명 액세스가 허용되나요? |
|---|---|---|---|---|---|
alice@contoso.com |
회원 | contoso.com | 아니요(동일한 테넌트) | 예 | 아니요 |
alice@fabrikam.com |
회원 | fabrikam.com | 예 | 예(정책에서 허용하는 테넌트) | 아니요 |
bob@northwindtraders.com |
회원 | northwindtraders.com | 예 | 아니요(정책에서 허용되지 않는 테넌트) | 아니요 |
alice@contoso.com |
회원 | contoso.com | 아니요(동일한 테넌트) | 예 | 아니요 |
bob_northwindtraders.com#EXT#@contoso.com |
게스트 | contoso.com | 아니요(게스트 사용자) | 예 | 아니요 |
인증 평면 보호 유효성 검사
전역 보안 액세스 설정에서 범용 테넌트 제한에 대한 신호가 꺼져 있는지 확인합니다.
브라우저에서 내 앱 포털로 이동합니다. 본인의 테넌트와 다른 테넌트의 ID로 로그인하며, 해당 테넌트는 테넌트 제한 v2 정책의 허용 목록에 포함되지 않은 경우입니다. 이 단계를 수행하려면 프라이빗 브라우저 창을 사용하거나 기본 계정에서 로그아웃해야 할 수 있습니다.
예를 들어 테넌트가 Contoso인 경우 Fabrikam 테넌트에서 Fabrikam 사용자로 로그인합니다. 전역 보안 액세스에서 범용 테넌트 제한에 대한 신호가 꺼져 있으므로 Fabrikam 사용자는 내 앱 포털에 액세스할 수 있어야 합니다.
Microsoft Entra 관리 센터에서 범용 테넌트 제한을 설정합니다. 전역 보안 액세스>세션 관리>유니버설 테넌트 제한으로 이동한 다음 Entra ID에 대한 테넌트 제한 사용(모든 클라우드 앱 포함) 토글을 켭니다.
내 앱 포털에서 로그아웃하고 브라우저를 다시 시작합니다.
전역 보안 액세스 클라이언트가 실행 중인 상태에서 동일한 ID(이전 예제에서는 Fabrikam 테넌트에서 Fabrikam 사용자)를 사용하여 My Apps 포털 로 이동합니다.
내 앱 포털에 대한 인증이 차단되어야 합니다. 다음과 같은 오류 메시지가 나타납니다. "액세스가 차단되었습니다. Contoso IT 부서는 액세스할 수 있는 조직을 제한했습니다. 액세스 권한을 얻으려면 Contoso IT 부서에 문의하세요."
데이터 평면 보호 유효성 검사
전역 보안 액세스 설정에서 범용 테넌트 제한의 신호가 꺼져 있는지 확인합니다.
브라우저에서 Graph Explorer로 이동합니다. 본인의 테넌트와 다른 테넌트의 ID로 로그인하며, 해당 테넌트는 테넌트 제한 v2 정책의 허용 목록에 포함되지 않은 경우입니다. 이 단계를 수행하려면 프라이빗 브라우저 창을 사용하거나 기본 계정에서 로그아웃해야 할 수 있습니다.
예를 들어 테넌트가 Contoso인 경우 Fabrikam 테넌트에서 Fabrikam 사용자로 로그인합니다. Fabrikam 사용자는 전역 보안 액세스에서 테넌트 제한 v2의 신호가 꺼져 있으므로 Graph Explorer에 액세스할 수 있어야 합니다.
필요에 따라 Graph Explorer가 열려 있는 동일한 브라우저에서 키보드에서 F12를 선택하여 개발자 도구를 엽니다. 네트워크 로그 캡처를 시작합니다.
모든 것이 예상대로 작동할 때 Graph Explorer와 상호 작용할 때 상태를 반환하는
200HTTP 요청이 표시됩니다. 예를 들어 테넌트GET에서 사용자를 검색하는 요청을 보냅니다.로그 유지 옵션이 선택되어 있는지 확인합니다.
로그와 함께 브라우저 창을 열어 두세요.
Microsoft Entra 관리 센터에서 범용 테넌트 제한을 설정합니다. 전역 보안 액세스>세션 관리>유니버설 테넌트 제한으로 이동한 다음 Entra ID에 대한 테넌트 제한 사용(모든 클라우드 앱 포함) 토글을 켭니다.
다른 사용자(이전 예제의 Fabrikam 사용자)로 로그인하는 동안 Graph Explorer가 열려 있는 새 로그가 브라우저에 표시됩니다. 이 프로세스는 몇 분 정도 걸릴 수 있습니다. 또한 백 엔드에서 발생하는 요청 및 응답에 따라 브라우저가 자체 새로 고칠 수 있습니다. 몇 분 후에 브라우저가 새로 고쳐지지 않으면 페이지를 새로 고칩니다.
이제 액세스가 차단되었습니다. "액세스가 차단되었습니다. Contoso IT 부서는 액세스할 수 있는 조직을 제한했습니다. 액세스 권한을 얻으려면 Contoso IT 부서에 문의하세요."
로그에서
Status의 값302을 찾습니다. 이 행에는 트래픽에 적용되는 유니버설 테넌트 제한이 표시됩니다.동일한 응답에서 다음 정보에 대한 헤더를 확인하여 범용 테넌트 제한이 적용되었는지 확인합니다.
Restrict-Access-Confirm: 1x-ms-diagnostics: 2000020;reason="xms_trpid claim was not present but sec-tenant-restriction-access-policy header was in requires";error_category="insufficient_claims"
알려진 제한 사항
범용 테넌트 제한을 사용하도록 설정하고 테넌트 제한 v2 허용 목록에 있는 테넌트에 대한 Microsoft Entra 관리 센터에 액세스하는 경우 "액세스 거부" 오류가 발생할 수 있습니다. 이 오류를 해결하려면 Microsoft Entra 관리 센터에 ?feature.msaljs=true&exp.msaljsexp=true다음 기능 플래그를 추가합니다.
예를 들어 Contoso에서 근무한다고 가정합니다. 파트너 테넌트인 Fabrikam이 허용 목록에 있습니다. Fabrikam 테넌트의 Microsoft Entra 관리 센터에 대한 오류 메시지가 표시될 수 있습니다.
URL https://entra.microsoft.com/에 대해 "액세스 거부됨" 오류 메시지가 표시되면 다음과 같이 기능 플래그를 추가합니다 https://entra.microsoft.com/?feature.msaljs%253Dtrue%2526exp.msaljsexp%253Dtrue#home.
알려진 문제 및 제한 사항에 대한 자세한 내용은 전역 보안 액세스에 대한 알려진 제한 사항을 참조하세요.