조직에서 테넌트를 사용하려는 방법과 관리하려는 리소스에 따라 Microsoft Entra 테넌트를 구성하는 방법에는 두 가지가 있습니다.
- 인력 테넌트 구성은 직원, 내부 비즈니스 앱 및 기타 조직 리소스를 위한 것입니다. B2B 협업은 직원 테넌트에서 외부 비즈니스 파트너 및 게스트와 공동 작업하는 데 사용됩니다.
- 외부 테넌트 구성은 소비자 또는 비즈니스 고객에게 앱을 게시하려는 외부 ID 시나리오에만 사용됩니다.
이 문서에서는 직원 및 외부 테넌트에서 사용할 수 있는 기능과 기능에 대한 자세한 비교를 제공합니다.
참고
미리 보기 중에는 프리미엄 라이선스가 필요한 특징이나 기능을 외부 테넌트에서 사용할 수 없습니다.
일반 기능 비교
다음 표에서는 인력 및 외부 테넌트에서 사용할 수 있는 일반적인 특징과 기능을 비교합니다.
| 기능 | 직원 임차인 | 외부 임차인 |
|---|---|---|
| 외부 ID 시나리오 | 비즈니스 파트너 및 기타 외부 사용자가 인력과 공동 작업할 수 있도록 허용합니다. 게스트는 초대 또는 셀프 서비스 등록을 통해 비즈니스 애플리케이션에 안전하게 액세스할 수 있습니다. | 외부 ID를 사용하여 애플리케이션을 보호합니다. 소비자 및 비즈니스 고객은 셀프 서비스 등록을 통해 소비자 앱에 안전하게 액세스할 수 있습니다. 초대도 지원됩니다. |
| 로컬 계정 | 로컬 계정은 조직의 내부 구성원만 지원됩니다. | 로컬 계정은 다음에서 지원됩니다.
|
| 그룹 | 그룹은 관리 및 사용자 계정을 관리하는 데 사용할 수 있습니다. | 그룹은 관리 계정을 관리하는 데 사용할 수 있습니다. Microsoft Entra 그룹 및 애플리케이션 역할에 대한 지원은 고객 테넌트로 단계적으로 진행되고 있습니다. 최신 업데이트는 그룹 및 애플리케이션 역할 지원을 참조하세요. |
| 역할 및 관리자 | 역할 및 관리자는 관리 계정과 사용자 계정에 대해 완벽하게 지원됩니다. | 역할은 모든 사용자에 대해 지원됩니다. 외부 테넌트의 모든 사용자에게는 관리자 역할이 할당되지 않은 한 기본 권한이 있습니다. |
| ID 보호 | Microsoft Entra 테넌트에 대한 지속적인 위험 검색 기능을 제공합니다. 이를 통해 조직은 ID 기반 위험을 검색, 조사 및 수정할 수 있습니다. | 사용할 수 없음 |
| ID 관리 체계 | 조직에서 ID 및 액세스 수명 주기를 제어하고 권한 있는 액세스를 보호할 수 있습니다. 자세히 알아보기. | 사용할 수 없음 |
| 셀프 서비스 암호 재설정 | 사용자가 최대 두 가지 인증 방법을 사용하여 암호를 재설정할 수 있도록 허용합니다(사용 가능한 방법은 다음 행 참조). | 사용자가 일회용 암호로 이메일을 사용하여 암호를 재설정할 수 있도록 허용합니다. 자세히 알아보기. |
| 언어 사용자 지정 | 사용자가 회사 인트라넷 또는 웹 기반 애플리케이션에 인증할 때 브라우저 언어에 따라 로그인 환경을 사용자 지정합니다. | 언어를 사용하여 로그인 및 등록 프로세스 과정에서 고객에게 표시되는 문자열을 수정합니다. 자세히 알아보기. |
| 사용자 지정 특성 | 디렉터리 확장 특성을 사용하여 사용자 개체, 그룹, 테넌트 세부 정보 및 서비스 주체에 대한 Microsoft Entra 디렉터리에 더 많은 데이터를 저장합니다. | 디렉터리 확장 특성을 사용하여 사용자 개체에 대한 고객 디렉터리에 더 많은 데이터를 저장합니다. 사용자 지정 사용자 특성을 만들어서 사용자 등록 흐름에 추가합니다. 자세히 알아보기. |
| 가격 책정 | B2B 협업 외부 게스트(UserType=Guest)에 대한 MAU(월간 활성 사용자) 가격. | 외부 테넌트에 있는 모든 사용자에 대해 역할 또는 UserType에 관계없이 MAU(월간 활성 사용자) 가격 책정. |
"디자인 및 인터페이스 사용자 지정"
다음 표에서는 직원 및 외부 테넌트에서 보기 및 느낌 사용자 지정에 사용할 수 있는 기능을 비교합니다.
| 기능 | 직원 임차인 | 외부 임차인 |
|---|---|---|
| 회사 브랜딩 | 이러한 모든 환경에 적용되는 회사 브랜딩을 추가하여 사용자에게 일관된 로그인 환경을 만들 수 있습니다. | 노동력과 동일합니다. 자세한 정보 |
| 언어 사용자 지정 | 브라우저 언어로 로그인 환경을 사용자 지정합니다. | 노동력과 동일합니다. 자세한 정보 |
| 사용자 지정 도메인 이름 | 사용자 지정 도메인은 관리 계정에만 사용할 수 있습니다. | 외부 테넌트에 대한 사용자 지정 URL 도메인 기능을 사용하면 고유한 도메인 이름으로 앱 로그인 엔드포인트를 브랜드화할 수 있습니다. |
| 모바일 앱에 대한 네이티브 인증 | 사용할 수 없음 | Microsoft Entra의 네이티브 인증은 모바일 애플리케이션 로그인 환경의 디자인을 완전히 제어할 수 있습니다. |
고유한 비즈니스 논리 추가
사용자 지정 인증 확장을 사용하면 외부 시스템과 통합하여 Microsoft Entra 인증 환경을 사용자 지정할 수 있습니다. 사용자 지정 인증 확장은 기본적으로 활성화될 때 고유한 비즈니스 논리를 정의하는 REST API 엔드포인트에 대한 HTTP 호출을 하는 이벤트 수신기입니다. 다음 표에서는 직원 및 외부 테넌트에서 사용할 수 있는 사용자 지정 인증 확장 이벤트를 비교합니다.
| 이벤트 | 직원 임차인 | 외부 임차인 |
|---|---|---|
| TokenIssuanceStart | 외부 시스템에서 클레임을 추가합니다. | 외부 시스템에서 클레임을 추가합니다. |
| 속성수집시작 시 | 사용할 수 없음 | 특성 컬렉션 페이지가 렌더링되기 전에 등록의 특성 컬렉션 단계가 시작될 때 발생합니다. 값을 미리 채우고 차단 오류를 표시하는 등의 작업을 추가할 수 있습니다. 자세한 정보 |
| 속성 컬렉션 제출 시 | 사용할 수 없음 | 사용자가 특성을 입력하고 제출한 후 등록 흐름 중에 발생합니다. 사용자의 항목 유효성 검사 또는 수정과 같은 작업을 추가할 수 있습니다. 자세한 정보 |
| OnOtpSend | 사용할 수 없음 | 한 번 암호 보내기 이벤트에 대한 사용자 지정 전자 메일 공급자를 구성합니다. 자세한 정보 |
ID 공급자 및 인증 방법
다음 표에서는 ID 공급자 및 직원 및 외부 테넌트에서 기본 인증 및 MFA(다단계 인증)에 사용할 수 있는 방법을 비교합니다.
| 기능 | 직원 임차인 | 외부 임차인 |
|---|---|---|
| 외부 사용자를 위한 ID 공급자(기본 인증) |
셀프 서비스 등록 게스트의 경우 - Microsoft Entra 계정 - Microsoft 계정 - 이메일 일회용 암호 - Google 페더레이션 - Facebook 페더레이션 초대된 게스트의 경우 - Microsoft Entra 계정 - Microsoft 계정 - 이메일 일회용 암호 - Google 페더레이션 - SAML/WS-Fed 페더레이션 |
셀프 서비스 등록 사용자(소비자, 비즈니스 고객) - Microsoft Entra 외부 ID에서 사용할 수 있는 인증 방법 초대된 게스트의 경우(미리 보기) 디렉터리 역할으로 초대된 게스트(예: 관리자): - Microsoft Entra 계정 - Microsoft 계정 - 이메일 일회용 암호 - SAML/WS-Fed 페더레이션 |
| MFA 인증 방법 |
내부 사용자(직원 및 관리자)의 경우 - 인증 및 확인 방법 게스트(초대 또는 셀프 서비스 )의 경우 - 게스트 MFA 인증 방법 |
셀프 서비스 등록 사용자(소비자, 비즈니스 고객) - Microsoft Entra 외부 ID 에서 사용할 수 있는 인증 방법초대된 사용자의 경우(미리 보기) - 일회용 전자 메일 암호 - SMS 기반 인증 |
Microsoft Entra 외부 ID에서 사용할 수 있는 인증 방법
사용자가 애플리케이션에 로그인할 때 사용자 이름 및 암호와 같은 일부 인증 방법을 기본 요소로 사용할 수 있습니다. 다른 인증 방법은 보조 단계로만 사용할 수 있습니다. 다음 표에서는 Microsoft Entra 외부 ID에서 로그인, 셀프 서비스 등록, 셀프 서비스 암호 재설정 및 MFA(다단계 인증) 중에 인증 방법을 사용할 수 있는 경우를 간략하게 설명합니다.
| 메서드 | 로그인 | 등록 | 암호 재설정 | 다중 인증 (assuming "MFA" refers to Multi-Factor Authentication) |
|---|---|---|---|---|
| 암호가 포함된 이메일 | 
|
|
||
| 이메일로 일회용 암호 보내기 |
|
|
|
|
| SMS 기반 인증 |
|
|||
| Apple 페더레이션 |
|
|
||
| Facebook 페더레이션 |
|
|
||
| Google 페더레이션 |
|
|
||
| Microsoft 개인 계정(OpenID Connect) |
|
|
||
| OpenID Connect 페더레이션 |
|
|
||
| SAML/WS-Fed 페더레이션 |
|
|
애플리케이션 등록
다음 표에서는 각 유형의 테넌트에서 애플리케이션 등록에 사용할 수 있는 기능을 비교합니다.
| 기능 | 직원 임차인 | 외부 임차인 |
|---|---|---|
| 프로토콜 | SAML 신뢰 당사자, OpenID Connect, OAuth2 | SAML 신뢰 당사자, OpenID Connect및 OAuth2 |
| 지원되는 계정 유형 | 다음 계정 유형:
|
항상 이 조직 디렉터리 내 계정(단일 테넌트)만 사용합니다. |
| 플랫폼 | 다음 플랫폼:
|
다음 플랫폼:
|
| 인증>리디렉션 URI | Microsoft Entra ID가 인증 또는 로그아웃을 성공적으로 수행한 후 인증 응답(토큰)을 반환할 때 받아들이는 대상 URI입니다. | 노동력과 동일합니다. |
| 인증>프런트 채널 로그아웃 URL | 이 URL은 Microsoft Entra ID가 애플리케이션이 사용자의 세션 데이터를 지우도록 요청하는 요청을 보내는 위치입니다. Single Sign-Out이 제대로 작동하려면 프런트 채널 로그아웃 URL이 필요합니다. | 노동력과 동일합니다. |
| 인증>암시적 권한 부여 및 하이브리드 흐름 | 권한 부여 엔드포인트에서 직접 토큰을 요청합니다. | 노동력과 동일합니다. |
| 인증서 및 비밀 | 여러 자격 증명: | 노동력과 동일합니다. |
| 인증서 및 비밀>회전 | 사용자가 계속 로그인할 수 있는 동안 클라이언트 자격 증명을 업데이트하여 유효하고 안전하게 유지되도록 합니다. 인증서, 비밀 및 페더레이션된 자격 증명은 새 자격 증명 을 추가한 다음 이전 자격 증명을 제거하여 회전할 수 있습니다. | 노동력과 동일합니다. |
| 인증서 및 비밀>정책 | 비밀 및 인증서 제한을 적용하도록 애플리케이션 관리 정책을 구성합니다. | 사용할 수 없음 |
| API 권한 | 애플리케이션에 대한 사용 권한을 추가, 제거 및 대체합니다. 사용 권한이 애플리케이션에 추가된 후 사용자 또는 관리자는 새 권한에 대한 동의를 부여해야 합니다. Microsoft Entra ID에서 앱의 요청된 권한 업데이트에 대해 자세히 알아봅니다. | 허용되는 권한은 Microsoft Graph offline_access, openid 및 User.Read 및 My API 위임된 권한입니다. 관리자만 조직을 대신하여 동의할 수 있습니다. |
| API 노출 | API로 보호되는 데이터 및 기능에 대한 액세스를 제한하는 사용자 지정 범위를 정의합니다. 이 API의 일부에 액세스해야 하는 애플리케이션은 사용자 또는 관리자가 이러한 범위 중 하나 이상에 동의하도록 요청할 수 있습니다. | API로 보호되는 데이터 및 기능에 대한 액세스를 제한하기 위한 사용자 지정 범위를 정의합니다. 이 API의 일부에 액세스해야 하는 애플리케이션은 이러한 범위 중 하나 이상에 대한 관리자 동의를 요청할 수 있습니다. |
| 소유자 | 애플리케이션 소유자는 애플리케이션 등록을 보고 편집할 수 있습니다. 또한 모든 애플리케이션(예: 클라우드 애플리케이션 관리자)을 관리할 수 있는 관리 권한이 있는 사용자(나열되지 않을 수 있는 사용자)는 애플리케이션 등록을 보고 편집할 수 있습니다. | 노동력과 동일합니다. |
| 역할 및 관리자 | 관리 역할은 Microsoft Entra ID에서 권한 있는 작업에 대한 액세스 권한을 부여하는 데 사용됩니다. | 외부 테넌트에서는 클라우드 애플리케이션 관리자 역할만 사용할 수 있습니다. 이 역할은 애플리케이션 등록 및 엔터프라이즈 애플리케이션의 모든 측면을 만들고 관리하는 기능을 부여합니다. |
애플리케이션에 대한 액세스 제어
다음 표에서는 각 테넌트 유형에서 애플리케이션 권한 부여에 사용할 수 있는 기능을 비교합니다.
| 기능 | 직원 임차인 | 외부 임차인 |
|---|---|---|
| RBAC(역할 기반 액세스 제어) | 애플리케이션에 대한 애플리케이션 역할을 정의하고 사용자 및 그룹에 해당 역할을 할당할 수 있습니다. Microsoft Entra ID에는 보안 토큰에 사용자 역할이 포함됩니다. 그러면 애플리케이션이 보안 토큰의 값에 따라 권한 부여를 결정할 수 있습니다. | 노동력과 동일합니다. 외부 테넌트에서 애플리케이션에 대한 역할 기반 액세스 제어를 사용에 자세히 알아봅니다. 사용 가능한 기능은 그룹 및 애플리케이션 역할 지원을 참조하세요. |
| 보안 그룹 | 보안 그룹을 사용하여 애플리케이션에서 RBAC를 구현할 수 있습니다. 여기서 특정 그룹의 사용자 멤버 자격은 해당 역할 멤버 자격으로 해석됩니다. Microsoft Entra ID에는 보안 토큰의 사용자 그룹 멤버 자격이 포함됩니다. 그러면 애플리케이션이 보안 토큰의 값에 따라 권한 부여를 결정할 수 있습니다. | 노동력과 동일합니다. 그룹 선택적 클레임은 그룹 개체 ID로 제한됩니다. |
| ABAC(특성 기반 액세스 제어) | 액세스 토큰에 사용자 특성을 포함하도록 앱을 구성할 수 있습니다. 그러면 애플리케이션이 보안 토큰의 값에 따라 권한 부여를 결정할 수 있습니다. 자세한 내용은 토큰 사용자 지정을 참조하세요. | 노동력과 동일합니다. |
| 사용자 할당 필요 | 사용자 할당이 필요한 경우 사용자가 직접 사용자 할당을 통해 또는 그룹 멤버 자격을 통해 애플리케이션에 할당하는 사용자만 로그인할 수 있습니다. 자세한 내용은 애플리케이션에 대한 사용자 및 그룹 할당 관리를 참조하세요. | 노동력과 동일합니다. 자세한 내용은 그룹 및 애플리케이션 역할 지원을 참조하세요. |
엔터프라이즈 애플리케이션
다음 표에서는 인력 및 외부 테넌트에서 엔터프라이즈 애플리케이션 등록에 사용할 수 있는 고유한 기능을 비교합니다.
| 기능 | 직원 임차인 | 외부 임차인 |
|---|---|---|
| 애플리케이션 갤러리 | 애플리케이션 갤러리에는 Microsoft Entra ID로 미리 통합된 수천 개의 애플리케이션이 포함되어 있습니다. | 애플리케이션 갤러리 카탈로그를 사용할 수 없습니다. 앱을 찾으려면 검색 창을 대신 사용합니다. |
| IdP(ID 공급자)가 시작한 로그인 | Single Sign-On에 SAML 2.0 IdP(ID 공급자)를 사용합니다. | 사용할 수 없음. |
| 셀프서비스 | 사용자가 앱을 자체 검색할 수 있도록 합니다. | 내 앱 포털에서 셀프 서비스를 사용할 수 없습니다. |
| 애플리케이션 프록시 | Microsoft Entra 애플리케이션 프록시 는 온-프레미스 웹 애플리케이션에 대한 보안 원격 액세스를 제공합니다. | 사용할 수 없음. |
엔터프라이즈 애플리케이션에 대한 동의 및 권한 기능
다음 표에서는 각 유형의 테넌트에서 엔터프라이즈 애플리케이션에 사용할 수 있는 동의 및 권한 기능을 보여 줍니다.
| 기능 | 직원 임차인 | 외부 임차인 |
|---|---|---|
| 엔터프라이즈 애플리케이션에 대한 관리자 동의 | 테넌트 전체 관리자 권한을 부여할 수 있으며 이를 검토하고 취소할 수도 있습니다. | 노동력과 동일합니다. |
| 엔터프라이즈 애플리케이션에 대한 사용자 동의 | 사용자가 애플리케이션에 동의하는 방법을 구성할 수 있으며 이러한 권한을 업데이트할 수 있습니다. | 관리자 동의가 필요하지 않은 권한으로 제한됩니다. |
| 관리자 동의 검토 또는 해지 | 사용 권한을 검토하고 해지합니다. | Microsoft Entra 관리 센터를 사용하여 관리자 동의를 취소합니다. |
| 사용자 동의 검토 또는 해지 | 사용 권한을 검토하고 해지합니다. | Microsoft Graph API 또는 PowerShell을 사용하여 사용자 동의를 취소합니다. |
| 앱에 사용자 또는 그룹 할당 | 개별 또는 그룹 기반 할당에서 앱에 대한 액세스를 관리할 수 있습니다. 중첩된 그룹 멤버 자격은 지원되지 않습니다. | 노동력과 동일합니다. |
| 앱 역할에 대한 RBAC(역할 기반 액세스 제어) | 세분화된 액세스 제어에 대한 역할을 정의하고 할당할 수 있습니다. | 노동력과 동일합니다. |
OpenID Connect 프로토콜 및 OAuth2 프로토콜 흐름
다음 표에서는 각 유형의 테넌트에서 OAuth 2.0 및 OpenID Connect 권한 부여 흐름에 사용할 수 있는 기능을 비교합니다.
| 기능 | 직원 임차인 | 외부 임차인 |
|---|---|---|
| 오픈ID 커넥트 | 예 | 예 |
| 인증 코드 | 예 | 예 |
| PKCE(코드 교환)을 사용하여 권한 부여 코드 | 예 | 예 |
| 클라이언트 자격 증명 | 예 | V2.0 애플리케이션 (미리 보기) |
| 디바이스 권한 | 예 | 프리뷰 |
| 대리 흐름 | 예 | 예 |
| 암시적 부여 | 예 | 예 |
| 리소스 소유자 암호 자격 증명 | 예 | 아니요, 모바일 애플리케이션의 경우 네이티브 인증을 사용합니다. |
OpenID Connect 및 OAuth2 흐름의 권한 URL
기관 URL은 MSAL이 토큰을 요청할 수 있는 디렉터리를 나타내는 URL입니다. 외부 테넌트 앱의 경우 항상 <테넌트 이름>.ciamlogin.com 형식을 사용합니다.
다음 JSON은 기관 URL이 있는 .NET 애플리케이션 appsettings.json 파일의 예를 보여줍니다.
{
"AzureAd": {
"Authority": "https://<Enter_the_Tenant_Subdomain_Here>.ciamlogin.com/",
"ClientId": "<Enter_the_Application_Id_Here>"
}
}
조건부 액세스
다음 표에서는 각 테넌트 유형에서 조건부 액세스에 사용할 수 있는 기능을 비교합니다.
| 기능 | 직원 임차인 | 외부 임차인 |
|---|---|---|
| 할당 | 사용자, 그룹 및 워크로드 ID | 모든 사용자 포함 및 사용자 및 그룹을 제외. 자세한 내용은 앱 MFA(다단계 인증) 추가를 참조하세요. |
| 대상 리소스 | ||
| 조건 | ||
| 그랜트 | 리소스에 액세스 권한 부여 또는 차단 | |
| 세션 | 세션 컨트롤 | 사용할 수 없음 |
사용 약관 정책
다음 표에서는 각 유형의 테넌트에서 사용 약관 정책에 사용할 수 있는 기능을 비교합니다.
| 기능 | 직원 임차인 | 외부 임차인 |
|---|---|---|
| 조건부 액세스 정책 | Microsoft Entra 사용 약관 | 사용할 수 없음 |
| 셀프 서비스 등록 | 사용할 수 없음 | 등록 페이지에서 사용 약관 정책에 연결된 필수 특성을 추가합니다. 하이퍼링크는 다양한 언어를 지원하도록 사용자 지정할 수 있습니다. |
| 로그인 페이지 | 회사 브랜딩을 사용하여 개인 정보 보호를 위해 오른쪽 아래 모서리에 추가할 수 있는 링크입니다. | 인력과 같습니다. |
계정 관리
다음 표에서는 각 테넌트 유형에서 사용자 관리에 사용할 수 있는 기능을 비교합니다. 표에 설명된 것처럼 특정 계정 유형은 초대 또는 셀프 서비스 등록을 통해 생성됩니다. 테넌트에서 사용자 관리자는 관리 센터를 통해 계정을 만들 수도 있습니다.
| 기능 | 직원 임차인 | 외부 임차인 |
|---|---|---|
| 계정 유형 |
|
|
| 사용자 프로필 정보 관리 |
|
테넌트 간 동기화를 사용할 수 없다는 점을 제외하면 인력과 동일합니다. |
| 사용자 암호 다시 설정 | 암호를 잊어버린 경우, 사용자가 디바이스로부터 잠긴 경우 또는 사용자가 암호를 받지 못한 경우 관리자는 사용자의 암호를 다시 설정할 수 있습니다. | 노동력과 동일합니다. |
| 최근에 삭제된 사용자 복원 또는 제거 | 사용자를 삭제하면 30일 동안 계정이 일시 중단된 상태로 유지됩니다. 30일이라는 기간 동안 사용자는 모든 속성과 함께 계정을 복원할 수 있습니다. | 노동력과 동일합니다. |
| 계정 사용 안 함 | 새 사용자가 로그인할 수 없도록 합니다. | 노동력과 동일합니다. |
암호 보호
다음 표에서는 각 테넌트 유형에서 암호 보호에 사용할 수 있는 기능을 비교합니다.
| 기능 | 직원 임차인 | 외부 임차인 |
|---|---|---|
| 스마트 잠금 | 스마트 잠금은 사용자의 암호를 추측하거나 무차별 암호 대입 방법을 사용하여 로그인하려는 악의적인 행위자를 잠그는 데 도움이 됩니다. | 노동력과 동일합니다. |
| 사용자 지정 금지 암호 | Microsoft Entra 사용자 지정 금지 암호 목록을 사용하면 평가하고 차단할 특정 문자열을 추가할 수 있습니다. | 사용할 수 없음. |
토큰 사용자 지정
다음 표에서는 각 유형의 테넌트에서 토큰 사용자 지정에 사용할 수 있는 기능을 비교합니다.
| 기능 | 직원 임차인 | 외부 임차인 |
|---|---|---|
| 클레임 매핑 | 엔터프라이즈 애플리케이션에 대한 JWT(JSON 웹 토큰)에서 발급된 사용자 지정 클레임. | 노동력과 동일합니다. 선택적 클레임은 특성 및 클레임을 통해 구성되어야 합니다. |
| 클레임 변환 | 엔터프라이즈 애플리케이션용 JWT(JSON 웹 토큰)에서 발급된 사용자 특성 변환을 적용합니다. | 노동력과 동일합니다. |
| 사용자 지정 클레임 공급자 | 외부 시스템에서 클레임을 가져오는 외부 REST API를 호출하는 사용자 지정 인증 확장. | 노동력과 동일합니다. 자세한 정보 |
| 보안 그룹 | 그룹 선택적 클레임 구성 | 그룹 구성 선택적 클레임은 그룹 개체 ID로 제한됩니다. |
| 토큰 수명 | Microsoft Entra ID에서 발급한 보안 토큰의 수명을 지정할 수 있습니다. | 노동력과 동일합니다. |
| 세션 및 토큰 해지 | 관리자는 사용자의 모든 새로 고침 토큰 및 세션을 무효화 할 수 있습니다. | 노동력과 동일합니다. |
통합 로그인
SSO(Single Sign-On) 는 사용자에게 자격 증명을 요청하는 횟수를 줄여 보다 원활한 환경을 제공합니다. 사용자는 자격 증명을 한 번 입력하고, 설정된 세션은 추가 프롬프트 없이 동일한 디바이스 및 웹 브라우저의 다른 애플리케이션에서 다시 사용할 수 있습니다. 다음 표에서는 각 테넌트 유형에서 SSO에 사용할 수 있는 기능을 비교합니다.
| 기능 | 직원 임차인 | 외부 임차인 |
|---|---|---|
| 애플리케이션 등록 유형 |
|
|
| 도메인 이름 | 사용자가 인증하면 세션 쿠키가 웹 브라우저의 Microsoft Entra 도메인 login.microsoftonline.com 에 설정됩니다. |
사용자가 인증하면 세션 쿠키가 Microsoft Entra 외부 ID 도메인 <tenant-name>.ciamlogin.com 또는 웹 브라우저의 사용자 지정 URL 도메인 에 설정됩니다. SSO가 올바르게 작동하도록 하려면 단일 URL 도메인을 사용합니다. |
| 로그인 유지 | 로그인 유지 옵션을 사용하거나 사용하지 않도록 설정할 수 있습니다. | 노동력과 동일합니다. |
| 사용자 프로비전 | SCIM(System for Cross-___domain Identity Management)과 함께 자동 사용자 프로비저닝 을 사용하여 Microsoft Entra 외부 ID와 지원되는 앱 간에 사용자 계정을 동기화합니다. 이렇게 하면 사용자 데이터가 자동으로 최신 상태로 유지됩니다. 사용자 프로비저닝은 차등 쿼리를 지원합니다. 이러한 쿼리는 마지막 업데이트 이후의 변경 내용만 동기화합니다. 이렇게 하면 성능이 향상되고 시스템 부하가 줄어듭니다. | 노동력과 동일합니다. |
| 세션 무효화 | 다시 인증이 필요한 SSO가 무효화될 수 있는 시나리오:
|
노동력과 동일합니다. |
| 조건부 액세스 | 조건부 액세스 섹션을 확인합니다. | 조건부 액세스 섹션을 확인합니다. |
| Microsoft Entra의 네이티브 인증 | 사용할 수 없음 | 네이티브 인증 은 SSO를 지원하지 않습니다. |
| 로그아웃 | SAML 또는 OpenID Connect 애플리케이션이 사용자를 로그아웃 엔드포인트로 보내면 Microsoft Entra ID가 브라우저에서 사용자의 세션을 제거하고 무효화합니다. | 노동력과 동일합니다. |
| Single Sign-Out | 로그아웃에 성공하면 Microsoft Entra ID는 사용자가 로그인한 다른 모든 SAML 및 OpenID Connect 애플리케이션에 로그아웃 알림을 보냅니다. | 노동력과 동일합니다. |
활동 로그 및 보고서
아래 표에서는 다양한 유형의 테넌트에서 활동 로그 및 보고서에 사용할 수 있는 기능을 비교합니다.
| 기능 | 직원 임차인 | 외부 임차인 |
|---|---|---|
| 감사 로그 | 애플리케이션, 그룹 및 사용자 수정을 포함하여 Microsoft Entra ID에 기록된 모든 이벤트에 대한 자세한 보고서입니다. | 노동력과 동일합니다. |
| 로그인 로그 | 로그인 로그는 애플리케이션 및 리소스에 대한 액세스를 포함하여 Microsoft Entra 테넌트 내의 모든 로그인 활동을 추적합니다. | 노동력과 동일합니다. |
| 등록 로그 (미리 보기) | 사용할 수 없음 | Microsoft Entra 외부 ID는 성공적인 등록 및 실패한 시도를 포함하여 모든 셀프 서비스 등록 이벤트를 기록합니다. |
| 프로비저닝 로그 | 프로비저닝 로그는 사용자 계정 만들기, 업데이트 및 삭제와 같은 테넌트 내에서 프로비저닝 이벤트에 대한 자세한 레코드를 제공합니다. | 사용할 수 없음 |
| 보존 정책 활동 로그 | Microsoft Entra 데이터 보존 정책은 다양한 유형의 로그(예: 감사, 로그인 및 프로비저닝 로그)가 저장되는 기간을 결정합니다. | 7일 |
| 활동 로그 내보내기 | Microsoft Entra ID의 진단 설정을 사용하여 로그를 Azure Monitor와 통합하거나, 로그를 이벤트 허브로 스트리밍하거나, SIEM(보안 정보 및 이벤트 관리) 도구와 통합할 수 있습니다. | 외부 테넌트에 대한 Azure Monitor(미리 보기) |
| 애플리케이션 사용자 활동 보고서 | 사용할 수 없음 | 애플리케이션 사용자 활동은 사용자가 테넌트에서 등록된 애플리케이션과 상호 작용하는 방법에 대한 분석을 제공합니다. 활성 사용자, 새 사용자, 로그인 및 MFA(다단계 인증) 성공률과 같은 메트릭을 추적합니다. |
Microsoft Graph API
외부 테넌트에서 지원되는 모든 기능은 Microsoft Graph API를 통한 자동화에도 지원됩니다. 외부 테넌트에서 미리 보기로 제공되는 일부 기능은 일반적으로 Microsoft Graph를 통해 사용할 수 있습니다. 자세한 내용은 Microsoft Graph를 사용하여 Microsoft Entra ID 및 네트워크 액세스 관리를 참조하세요.