제한되지 않은 게스트 계정

MEDIUM

설명

B2B 협업은 사용자가 조직과 협업할 게스트를 초대할 수 있는 Microsoft Entra ID 기능입니다. 이러한 게스트 사용자는("외부 ID"라고도 함) 기본적으로 Microsoft의 설명대로 액세스 권한을 얻습니다.

자신의 프로필을 관리하고 자신의 비밀번호를 변경하고 다른 사용자, 그룹 및 애플리케이션에 관한 특정 정보를 가져올 수 있습니다. 하지만 게스트 사용자는 모든 디렉터리 정보를 읽을 수는 없습니다. 예를 들어 게스트 사용자는 모든 사용자, 그룹 및 기타 디렉터리 개체의 목록을 열거할 수 없습니다. 게스트를 관리자 역할에 추가하여 읽기 및 쓰기 권한 전체를 허용하는 것은 가능합니다. 게스트는 다른 게스트를 초대할 수도 있습니다.

조직에서 게스트 사용자와 관련해 보안과 개인정보 보호를 중시하는 경우, "게스트 사용자 액세스를 자신의 디렉터리 개체의 속성 및 멤버 자격으로 제한(가장 제한적)" 옵션을 선택하여 기본 설정을 조정하면 그러한 측면을 강화할 수 있습니다.

기본적으로, 이 설정을 이용하면 게스트 액세스를 전적으로 자신의 사용자 프로필로만 제한하게 됩니다. 다시 말해 게스트 사용자가 주체 이름, 개체 ID 또는 표시 이름을 사용해 검색하더라도 다른 사용자에 대한 액세스 권한을 얻을 수 없습니다. 또한 이 구성을 사용하면 그룹 멤버 자격을 비롯한 그룹 정보에 대한 액세스도 제한합니다.

또한 Microsoft에서는 보안이 강화된 Microsoft Entra 구성에서 "게스트에게 디렉터리 개체에 제한된 액세스 권한을 제공"하는 것을 권장합니다.

솔루션

테넌트 내에서 게스트 사용자의 가시성을 제한하려면 Entra ID에서 게스트 사용자 액세스를 제한해야 합니다. 그러려면 "게스트 사용자 액세스를 속성 및 자신의 디렉터리 개체 멤버 자격으로만 제한(가장 제한적)" 옵션을 선택합니다.

이렇게 하면 외부 사용자와의 협업이 더 어려워질 수 있다는 점을 유의해야 합니다.