반응형

현재까지 기술자료를 보았을 때에는 일반 Guest B2B 차이점은 MS 계정 필요 여부 이외에는 찾지 못했습니다.

 

이번 포스팅은 B2B Guest User 속성에 대해서 확인해 보도록 하겠습니다.

Properties of a B2B guest user - Azure Active Directory - Microsoft Entra | Microsoft Docs

 

B2B collaboration is a capability of Azure AD External Identities that lets you collaborate with users and partners outside of your organization. With B2B collaboration, an external user is invited to sign in to your Azure AD organization using their own credentials. This B2B collaboration user can then access the apps and resources you want to share with them. A user object is created for the B2B collaboration user in the same directory as your employees. B2B collaboration user objects have limited privileges in your directory by default, and they can be managed like employees, added to groups, and so on. This article discusses the properties of this user object and ways to manage it.


B2B 공동 작업은 조직 외부의 사용자 및 파트너와 공동 작업할 수 있는 Azure AD 외부 ID의 기능입니다. B2B 공동 작업을 사용하면 외부 사용자가 자체 자격 증명을 사용하여 Azure AD 조직에 로그인하도록 초대됩니다. 그러면 이 B2B 공동 작업 사용자는 공유하려는 앱과 리소스에 액세스할 수 있습니다. B2B 공동 작업 사용자에 대한 사용자 개체가 직원과 동일한 디렉터리에 만들어집니다. B2B 공동 작업 사용자 개체는 기본적으로 디렉터리에서 제한된 권한을 가지며 직원처럼 관리하거나 그룹에 추가하는 등의 작업을 수행할 수 있습니다. 이 문서에서는 이 사용자 개체의 속성과 이를 관리하는 방법에 대해 설명합니다.

 

기술 자료에서는 User Type 대해서 아래와 같이 4가지로 구분하였습니다.

 

External guest

Most users who are commonly considered external users or guests fall into this category. This B2B collaboration user has an account in an external Azure AD organization or an external identity provider (such as a social identity), and they have guest-level permissions in the resource organization. The user object created in the resource Azure AD directory has a UserType of Guest.


일반적으로 외부 사용자 또는 게스트로 간주되는 대부분의 사용자가 이 범주에 속합니다. 이 B2B 협업 사용자는 외부 Azure AD 조직 또는 외부 ID 공급자(예: 소셜 ID)에 계정이 있고 리소스 조직에서 게스트 수준 권한이 있습니다. 리소스 Azure AD 디렉터리에서 만든 사용자 개체에는 게스트의 UserType이 있습니다.

-> 대부분의 조직의 B2B Guest 대부분 범주에 들어갑니다.

 

External member

This B2B collaboration user has an account in an external Azure AD organization or an external identity provider (such as a social identity) and member-level access to resources in your organization. This scenario is common in organizations consisting of multiple tenants, where users are considered part of the larger organization and need member-level access to resources in the organization’s other tenants. The user object created in the resource Azure AD directory has a UserType of Member.


이 B2B 공동 작업 사용자는 외부 Azure AD 조직 또는 외부 ID 공급자(예: 소셜 ID)에 계정이 있고 조직의 리소스에 대한 구성원 수준 액세스 권한이 있습니다. 이 시나리오는 사용자가 더 큰 조직의 일부로 간주되고 조직의 다른 테넌트에 있는 리소스에 대한 구성원 수준 액세스가 필요한 여러 테넌트로 구성된 조직에서 일반적입니다. 리소스 Azure AD 디렉터리에서 만든 사용자 개체의 UserType은 Member입니다.

-> 일반적인 시나리오로 보기 어렵습니다. 그리고 개인적인 생각으로는 부분이 가장 헷갈리실 것으로 생각됩니다.

Member 변경될 경우에는 라이선스를 할당해야 하는 시나리오가 발생합니다.

 

예를 들면 Teams 아래와 같이 External Guest로는 접근이 문제가 되지 않습니다.

 

 

아래와 같이 Powershell에서 변경할 있습니다.

 

아래와 같이 변경된 것을 확인할 있습니다.

 

그리고 Teams 다시 접근하면 액세스 권한이 없다고 메시지가 나타납니다.

 

이건 어떻게 생각하면 당연한 이치입니다. 라이선스 구매를 안했는데 외부 사용자가 Member 되어 있을 경우 라이선스 없이도 서비스를 이용한다면, 과금 시스템에 근본적인 문제가 발생합니다.

 

그렇다면, External Member 언제 의미 있느냐라는 질문이 생길 있습니다. 초대된 사용자도 다른 테넌트의 구성원이며, 라이선스가 할당된 사용자여야만 활용할 있습니다.

 

adatum.kr contoso.kr 마찬가지로 M365 사용하는 조직이며, 아래의 사용자를 라이선스가 할당되어 있습니다.

 

아래의 명령어로 사용자 유형을 Member 변경하였습니다.

 

테넌트 전환도 가능하였습니다.

 

그런데, 이렇게 변경하였을 때의 장점은 찾지 못했습니다. 아직까지는 Guest Member 변경하는 것은 실익은 없다고 판단됩니다.

 

Internal guest

Before Azure AD B2B collaboration was available, it was common to collaborate with distributors, suppliers, vendors, and others by setting up internal credentials for them and designating them as guests by setting the user object UserType to Guest. If you have internal guest users like these, you can invite them to use B2B collaboration instead so they can use their own credentials, allowing their external identity provider to manage authentication and their account lifecycle.


Azure AD B2B 협업을 사용할 수 있기 전에는 배포자, 공급업체, 공급업체 및 기타 사용자에 대한 내부 자격 증명을 설정하고 사용자 개체 UserType을 게스트로 설정하여 이들을 게스트로 지정하여 협업하는 것이 일반적이었습니다. 이와 같은 내부 게스트 사용자가 있는 경우 대신 B2B 협업을 사용하도록 초대하여 자신의 자격 증명을 사용하여 외부 ID 공급자가 인증 및 계정 수명 주기를 관리할 수 있도록 할 수 있습니다.

-> 먼저 언급드린 External Member 달리 Internal Guest 많이 활용될 있습니다.

많은 조직에서 Hybrid 형태로 M365 사용하고 있으며, 모든 직원에게 라이선스를 부여하는 현실적으로 어렵습니다.

예를 들면 임시직, 협력사 직원의 라이선스까지 구매하는 경우는 많지 않습니다. 이러한 경우에는 특정 속성 값을 기준으로 게스트로 설정하면, Teams 등을 이용하여 협업하는데 매우 편리할 것으로 보입니다.

 

아래와 같은 경우가 대표적인 Internal Guest 입니다.

 

구성하는 방법은 이전에 다룬적이 있으므로 참고하시기 바랍니다.

Azure AD Connect. User Type 을 Guest로 동기화 :: 페푸리의 Office Server 이야기 (limcm.kr)

 

Internal member

These users are generally considered employees of your organization. The user authenticates internally via Azure AD, and the user object created in the resource Azure AD directory has a UserType of Member.


이러한 사용자는 일반적으로 조직의 직원으로 간주됩니다. 사용자는 Azure AD를 통해 내부적으로 인증되며 리소스 Azure AD 디렉터리에서 만든 사용자 개체에는 멤버의 UserType이 있습니다.

-> 일반적인 테넌트의 조직 구성원입니다. 크게 다룰 필요는 없을 것으로 보입니다.

 

[Key properties of the Azure AD B2B collaboration user]

User Principal Name

The user principal name for a B2B collaboration user object contains an #EXT# identifier.


B2B 공동 작업 사용자 개체의 사용자 계정 이름에는 #EXT# 식별자가 포함되어 있습니다.

-> B2B 계정은 #EXT# 식별자로 사용됩니다. , 여기서 주의사항은 해당 식별 값은 사용자단에서는 확인될 일은 거의 없습니다.

 

User type

This property indicates the relationship of the user to the host tenancy. This property can have two values:


  • Member: This value indicates an employee of the host organization and a user in the organization's payroll. For example, this user expects to have access to internal-only sites. This user isn't considered an external collaborator.
  • Guest: This value indicates a user who isn't considered internal to the company, such as an external collaborator, partner, or customer. Such a user isn't expected to receive a CEO's internal memo or receive company benefits, for example.
  • 구성원: 이 값은 호스트 조직의 직원 및 조직의 급여 롤에 있는 사용자를 나타냅니다. 예를 들어 이 사용자는 내부 전용 사이트에 액세스할 수 있어야 합니다. 이 사용자는 외부 공동 작업자로 간주되지 않습니다.
  • 게스트: 이 값은 외부 공동 작업자, 파트너 또는 고객과 같이 회사 내부로 간주되지 않는 사용자를 나타냅니다. 이러한 사용자는 CEO의 내부 메모를 받거나 회사 혜택을받을 것으로 예상되지 않습니다.

-> 위에서 자세히 설명했으므로 Skip 하겠습니다.

 

Issuer

This property indicates the user’s primary identity provider. A user can have several identity providers, which can be viewed by selecting issuer in the user’s profile or by querying the onPremisesSyncEnabled property via the Microsoft Graph API.

이 속성은 사용자의 기본 ID 공급자를 나타냅니다. onPremisesSyncEnabled 사용자는 사용자 프로필에서 발급자를 선택하거나 Microsoft Graph API를 통해 속성을 쿼리하여 볼 수 있는 여러 ID 공급자를 가질 수 있습니다 .

 

일반적으로는 아래 표시한 3가지 유형중 하나입니다.

 

<예시>

 

Directory synced

The Directory synced property indicates whether the user is being synced with on-premises Active Directory and is authenticated on-premises. This property is Yes if the account is homed in the organization’s on-premises Active Directory and synced with Azure AD, or No if the account is a cloud-only Azure AD account. In Microsoft Graph, the Directory synced property corresponds to onPremisesSyncEnabled.


디렉터리 동기화 속성은 사용자가 온-프레미스 Active Directory와 동기화되고 온-프레미스에서 인증되는지 여부를 나타냅니다. 이 속성은 계정이 조직의 온-프레미스 Active Directory에 있고 Azure AD와 동기화된 경우 예 이고, 계정이 클라우드 전용 Azure AD 계정인 경우 아니요 입니다. Microsoft Graph에서 디렉터리 동기화 속성은 onPremisesSyncEnabled에 해당합니다

 

 

[Can Azure AD B2B users be added as members instead of guests?]

Typically, an Azure AD B2B user and guest user are synonymous. Therefore, an Azure AD B2B collaboration user is added as a user with UserType set to Guest by default. However, in some cases, the partner organization is a member of a larger organization to which the host organization also belongs. If so, the host organization might want to treat users in the partner organization as members instead of guests. Use the Azure AD B2B Invitation Manager APIs to add or invite a user from the partner organization to the host organization as a member.


일반적으로 Azure AD B2B 사용자와 게스트 사용자는 동의어입니다. 따라서 Azure AD B2B 협업 사용자는 기본적으로 UserType 이 게스트 로 설정된 사용자로 추가됩니다 . 그러나 경우에 따라 파트너 조직이 호스트 조직도 속한 더 큰 조직의 구성원입니다. 그렇다면 호스트 조직은 파트너 조직의 사용자를 게스트가 아닌 구성원으로 취급할 수 있습니다. Azure AD B2B 초대 관리자 API를 사용하여 파트너 조직의 사용자를 호스트 조직에 구성원으로 추가하거나 초대합니다.
  • 위에서 언급한 External Member 초대에 대해서 설명되어 있습니다.

 

[Convert UserType]

It's possible to convert UserType from Member to Guest and vice-versa by editing the user's profile in the Azure portal or by using PowerShell. However, the UserType property represents the user's relationship to the organization. Therefore, you should change this property only if the relationship of the user to the organization changes. If the relationship of the user changes, should the user principal name (UPN) change? Should the user continue to have access to the same resources? Should a mailbox be assigned?


Azure Portal에서 사용자 프로필을 편집하거나 PowerShell을 사용하여 UserType을 Member에서 Guest로 또는 그 반대로 변환할 수 있습니다. 그러나 UserType 속성은 조직에 대한 사용자의 관계를 나타냅니다. 따라서 사용자와 조직의 관계가 변경된 경우에만 이 속성을 변경해야 합니다. 사용자 관계가 변경되면 UPN(사용자 계정 이름)도 변경해야 합니까? 사용자가 동일한 리소스에 계속 액세스해야 합니까? 사서함을 할당해야 합니까?
  • 부분 역시 External Member에서 다루었던 내용입니다.

 

[Remove guest user limitations]

Azure Active Directory -> External Identities -> 외부 협업 설정 으로 이동하여 게스트 설정에 대해서 변경할 있습니다. 부분은 Cross-tenant 설정과 연계하여 설명드려야 것으로 보입니다.

 

 

[Can I make guest users visible in the Exchange Global Address List?]

Yes. By default, guest objects aren't visible in your organization's global address list, but you can use Azure Active Directory PowerShell to make them visible. For details, see "Add guests to the global address list" in the Microsoft 365 per-group guest access article.


예. 기본적으로 게스트 개체는 조직의 전체 주소 목록에 표시되지 않지만 Azure Active Directory PowerShell을 사용하여 표시할 수 있습니다. 자세한 내용은 Microsoft 365 그룹별 게스트 액세스 문서 에서 "전체 주소 목록에 게스트 추가"를 참조하세요 .

아래와 같이 Set-AzureADUser 명령어로 활성화 있습니다.

Prevent guests from being added to a specific group | Microsoft Docs

 

지금까지 확인한 B2B Collaboration 기존 게스트 사용자의 개념에서 크게 달라진 것은 없습니다.

게스트 사용자를 어떻게 관리할까 라는 것으로 출발해서 B2B Collaboration 개념으로 바운더리를 나눈 것으로 보입니다.

반응형

+ Recent posts