AzureAD BtoB에서 게스트 사용자를 초대하는 것이 유용합니다. Office365라면, SharePoint나 Teams에 초대하면, 여러가지 추종한다. 추구하기 때문에, 점점 초대하는 유저가 늘어나기 때문에, 정기적으로 재고 필요, 라고 하는 것으로 전회의 Office365 게스트 사용자(외부 사용자) 목록 가져오기 를 정리해 보았다.

정기적인 재고로, 30일 로그인이 없다=사용하고 있지 않다고 간주해 삭제한다, 라고 하는 운용을 알기 쉽다. 그래프 보고 로그인하지 않으면 즉시 삭제, 좋다.

하지만, 어제도 SharePoint 사이트 사용하고 있던 게스트 유저가, 로그인할 수 없게 되었습니다만~? 라는 문의가 있어 원인과 대응을 정리해 보았다.

AzureAD 및 SharePoint 파일 로그 보기

그 게스트 사용자는 이미 삭제되었습니다. 일단 복원하고, 로그인 로그 보니 역시 최근 30일간에 로그인 로그는 없었다.



그러나 해당 사이트에서 최종 업데이트가 게스트 사용자의 파일의 마지막 업데이트 날짜는 어제 날짜. 왜?

왜 로그인 기록이 없습니다! ?

말해줘! Azure의 사람! 라는 것으로 문의해 보았다.

브라우저에서 "로그인 상태를 유지하시겠습니까?"에서 체크를 넣고 있으면 이런 상태가 일어나는 것 같다.

이 화면.


로그인 시 체크를 넣어두면 180일 이내에 다시 SharePoint 사이트를 열면 로그인 없이 사이트를 열 수 있으며 180일 동안 다시 연장되는 것 같다.

이것의 영속적으로 맞는 것 같다.

인용 소스 : Azure AD에서 발급한 토큰 수명

로그인 조작하지 않았어요. 그럼 AzureAD 로그인 로그에 나오지 않아.

테넌트 내 사용자라도, 게스트 사용자라도, 사용자로부터 조작하는 분에는 조작은 적은 편이 좋지요. 로그인 상태 유지하고 싶다고 생각하는 것도 어쩔 수 없지요.

그럼 대책은?

그렇다고는 해도, 이대로는 로그인 로그에 나오지 않기 때문에, 정말로 사용하고 있지 않은 유저인지 구별이 붙지 않는다.
그러나, 조건부 액세스로 영속적 세션을 금지할 수 있다고 한다.
※20190810 시점에서는 프리뷰

조건부 액세스의 이름으로

모든 게스트

모든 클라우드 앱

영구 브라우저 세션을 확인하고 '지속하지 않음'


이제 OK!

사용자를 할당하면 내부 사용자라도 로그인 상태의 유지는 나오지 않게 되었다.
이것으로 안심하고 AzureAD의 게스트 사용자의 로그인 이력으로 판별할 수 있다.

덤 : 라이센스가 있습니까?

테넌트의 사용자에 대한 조건부 액세스는 Azure AD P1이 필요하지만 M365 Business에서도 괜찮습니다.
따라서 게스트 사용자에게 조건부 액세스를 적용할 수 있는 수는 테넌트의 Azure AD P1 라이센스 수의 5배까지

이번에는 게스트에게는 라이센스 할당하고 있지 않지만, 제대로 적용되고 있었습니다.

요약

영구적인 로그인을 금지하면 로그인 후 최대 24시간이 된다. 이제 게스트 사용자의 SharePoint에 액세스할 때 Azure AD 로그인 로그에 나타납니다.

SharePoint 또는 Teams에서 게스트 사용자를 초대하는 경우 이 설정을 사용하는 것이 좋습니다.

하나 신경이 쓰인 것이 내부 사용자. AzureADP1 할당하지 않은 사용자에게도 적용할 수 있었던 것 같습니다. 이쪽은 냄새 조사해 본다.