IT 관리자 - SharePoint 및 OneDrive 비관리형 디바이스 액세스 제어
Microsoft 365의 SharePoint 관리자로서 관리되지 않는 디바이스(하이브리드 AD에 가입되거나 Intune 규정을 준수하지 않는 디바이스)에서 SharePoint 및 OneDrive 콘텐츠에 대한 액세스를 차단하거나 제한할 수 있습니다. 다음을 대상으로 한 액세스를 차단하거나 제한할 수 있습니다.
조직의 모든 사용자 또는 일부 사용자 또는 보안 그룹
조직의 모든 사이트 또는 일부 사이트
액세스 차단은 보안을 제공하는 데 도움이 되지만 유용성과 생산성이 저하됩니다. 액세스가 차단되면 사용자에게 다음 오류가 표시됩니다.
액세스를 제한하면 사용자가 관리되지 않는 장치에서 데이터가 우발적으로 손실되는 위험을 해결하는 동시에 생산성을 유지할 수 있습니다. 액세스를 제한하면 관리되는 디바이스의 사용자는 지원되는 브라우저에 나열된 브라우저 및 운영 체제 조합 중 하나를 사용하지 않는 한 모든 권한을 갖습니다. 관리되지 않는 디바이스의 사용자는 파일을 다운로드, 인쇄 또는 동기화할 수 없는 브라우저 전용 액세스 권한을 갖습니다. 또한 Microsoft Office 데스크톱 앱을 비롯한 앱을 통해 콘텐츠에 액세스할 수 없습니다. 액세스를 제한할 때 브라우저에서 파일 편집을 허용하거나 차단하도록 선택할 수 있습니다. 웹 액세스가 제한되면 사이트 맨 위에 다음 메시지가 표시됩니다.
참고
- 관리되지 않는 디바이스에 대한 액세스를 차단하거나 제한하는 것은 Microsoft Entra 조건부 액세스 정책에 의존합니다. Microsoft Entra ID 라이선스에 대해 알아보기 Microsoft Entra ID 조건부 액세스에 대한 개요는 Microsoft Entra ID 조건부 액세스를 참조하세요.
- 권장 SharePoint 액세스 정책에 대한 자세한 내용은 SharePoint 사이트 및 파일 보안을 위한 정책 권장 사항을 참조하세요.
- 관리되지 않는 디바이스에 대한 액세스를 제한하는 경우 관리 디바이스의 사용자는 지원되는 OS 및 브라우저 조합 중 하나를 사용해야 합니다. 그렇지 않으면 액세스 권한도 제한됩니다.
- Microsoft Entra ID 다중 지역 기능을 제공하지 않으므로 관리되지 않는 디바이스를 차단하거나 제한하면 Microsoft 365 테넌트 내의 모든 지리적 영역에 영향을 줍니다.
Microsoft 365 장치 액세스 제어
이 문서의 절차는 관리되지 않는 디바이스의 SharePoint 액세스에만 영향을 줍니다. SharePoint를 넘어 관리되지 않는 디바이스에 대한 제어를 확장하려는 경우 대신 organization 모든 앱 및 서비스에 대한 Microsoft Entra 조건부 액세스 정책을 만들 수 있습니다. 이 정책을 Microsoft 365 서비스에 맞게 구성하려면 클라우드 앱 또는 작업 아래에서 Office 365 클라우드 앱을 선택하세요.
모든 Microsoft 365 서비스에 영향을 주는 정책을 사용하면 보안이 강화되고 사용자 환경이 향상될 수 있습니다. 예를 들어 SharePoint에서만 관리되지 않는 장치에 대한 액세스를 차단하면 사용자가 관리되지 않는 장치가 있는 팀의 채팅에 액세스할 수 있지만 파일 탭에 액세스하려고 하면 액세스 권한이 손실됩니다. Office 365 클라우드 앱을 사용하면 서비스 종속성에 대한 문제를 방지할 수 있습니다.
액세스 차단
새 SharePoint 관리 센터의 액세스 제어로 이동하여 organization 대한 관리자 권한이 있는 계정으로 로그인합니다.
참고
21Vianet(중국)에서 Office 365 운영하는 경우 Microsoft 365 관리 센터 로그인한 다음 SharePoint 관리 센터로 이동하여 액세스 제어 페이지를 엽니다.
관리되지 않는 장치를 선택합니다.
액세스 차단을 선택한 다음 저장을 선택합니다.
중요
이 옵션을 선택하면 이 페이지에서 만든 이전 조건부 액세스 정책을 사용하지 않도록 설정하고 모든 사용자에게 적용되는 새 조건부 액세스 정책을 만듭니다. 이전 정책에 대해 수행한 모든 사용자 지정은 이월되지 않습니다.
참고
정책이 적용되는 데 최대 24시간이 걸릴 수 있습니다. 관리되지 않는 디바이스에서 이미 로그인한 사용자에게는 적용되지 않습니다.
중요
관리되지 않는 디바이스에서 액세스를 차단하거나 제한하는 경우 최신 인증을 사용하지 않는 앱의 액세스도 차단하는 것이 좋습니다. Office 2013 이전의 일부 타사 앱 및 Office 버전은 최신 인증을 사용하지 않으며 디바이스 기반 제한을 적용할 수 없습니다. 즉, 사용자가 Azure에서 구성하는 조건부 액세스 정책을 우회할 수 있습니다. 새 SharePoint 관리 센터의 액세스 제어에서최신 인증을 사용하지 않는 앱을 선택하고 액세스 차단을 선택한 다음 저장을 선택합니다.
액세스 제한
새 SharePoint 관리 센터의 액세스 제어로 이동하여 organization 대한 관리자 권한이 있는 계정으로 로그인합니다.
참고
21Vianet(중국)에서 Office 365 운영하는 경우 Microsoft 365 관리 센터 로그인한 다음, SharePoint 관리 센터로 이동하여 확장할 정책을 선택한 다음, Access Control 선택합니다.
관리되지 않는 장치를 선택합니다.
제한된 웹 전용 액세스 허용을 선택한 다음 저장을 선택합니다. (이 옵션을 선택하면 이 페이지에서 만든 이전 조건부 액세스 정책을 사용하지 않도록 설정하고 모든 사용자에게 적용되는 새 조건부 액세스 정책을 만듭니다. 이전 정책에 대한 사용자 지정은 이월되지 않습니다.)
전체 액세스 허용으로 다시 되돌리기 경우 변경 내용이 적용되는 데 최대 24시간이 걸릴 수 있습니다.
중요
관리되지 않는 디바이스에서 액세스를 차단하거나 제한하는 경우 최신 인증을 사용하지 않는 앱의 액세스도 차단하는 것이 좋습니다. Office 2013 이전의 일부 타사 앱 및 Office 버전은 최신 인증을 사용하지 않으며 디바이스 기반 제한을 적용할 수 없습니다. 즉, 사용자가 Azure에서 구성하는 조건부 액세스 정책을 우회할 수 있습니다. 새 SharePoint 관리 센터의 액세스 제어에서최신 인증을 사용하지 않는 앱을 선택하고 액세스 차단을 선택한 다음 저장을 선택합니다.
참고
관리되지 않는 디바이스에서 사이트 액세스를 제한하고 편집하는 경우 이미지 웹 파트는 사이트 자산 라이브러리 또는 웹 파트에 직접 업로드하는 이미지를 표시하지 않습니다. 이 문제를 해결하려면 이 SPList API 를 사용하여 사이트 자산 라이브러리에서 블록 다운로드 정책을 제외할 수 있습니다. 이렇게 하면 웹 파트가 사이트 자산 라이브러리에서 이미지를 다운로드할 수 있습니다.
SharePoint의 관리되지 않는 디바이스에 대한 Access Control 제한된 웹 전용 액세스 허용으로 설정된 경우 SharePoint 파일을 다운로드할 수 없지만 미리 볼 수 있습니다. Office 파일의 미리 보기는 SharePoint에서 작동하지만 미리 보기는 Microsoft Viva Engage 작동하지 않습니다.
PowerShell을 사용하여 액세스 제한
최신 SharePoint Online 관리 셸 다운로드
참고
이전 버전의 SharePoint Online 관리 셸을 설치한 경우 프로그램 추가 또는 제거로 이동하여 "SharePoint Online 관리 셸"을 제거합니다.
Microsoft 365에서 SharePoint 관리자 이상으로 SharePoint 에 연결합니다. 자세한 방법은 SharePoint Online 관리 셸 시작을 참조하세요.
다음 명령을 실행합니다.
Set-SPOTenant -ConditionalAccessPolicy AllowLimitedAccess
참고
기본적으로 이 정책을 사용하면 사용자가 웹 브라우저에서 파일을 보고 편집할 수 있습니다. 이를 변경하려면 고급 구성을 참조하세요.
특정 SharePoint 사이트 또는 OneDrive에 대한 액세스 차단 또는 제한
특정 사이트에 대한 액세스를 차단하거나 제한하려면 다음 단계를 수행합니다. organization 전체 정책을 구성한 경우 지정한 사이트 수준 설정은 organization 수준 설정만큼 제한적이어야 합니다.
앱 적용 제한 사용의 단계에 따라 Microsoft Entra 관리 센터 정책을 수동으로 만듭니다.
PowerShell 또는 민감도 레이블을 사용하여 사이트 수준 설정을 지정합니다.
PowerShell을 사용하려면 다음 단계를 계속 진행합니다.
민감도 레이블을 사용하려면 다음 지침을 참조하고 관리되지 않는 디바이스에서 액세스에 대한 레이블 설정을 지정합니다. 민감도 레이블을 사용하여 Microsoft Teams, Microsoft 365 그룹 및 SharePoint 사이트의 콘텐츠를 보호합니다.
PowerShell을 사용하려면 최신 SharePoint Online 관리 셸을 다운로드합니다.
참고
이전 버전의 SharePoint Online 관리 셸을 설치한 경우 프로그램 추가/제거로 이동하여 "SharePoint Online 관리 셸"을 제거합니다.
Microsoft 365에서 SharePoint 관리자 이상으로 SharePoint 에 연결합니다. 자세한 방법은 SharePoint Online 관리 셸 시작을 참조하세요.
다음 명령 중 하나를 실행합니다.
단일 사이트에 대한 액세스를 차단하려면 다음을 수행합니다.
Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy BlockAccess
단일 사이트에 대한 액세스를 제한하려면 다음을 수행합니다.
Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess
여러 사이트를 한 번에 업데이트하려면 다음 명령을 예로 사용합니다.
Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like '-my.sharepoint.com/personal/'" | Set-SPOSite -ConditionalAccessPolicy AllowLimitedAccess
이 예제에서는 모든 사용자에 대한 OneDrive를 가져오고 액세스를 제한하기 위해 Set-SPOSite 배열로 전달합니다.
참고
기본적으로 웹 액세스를 포함하는 설정을 사용하면 사용자가 웹 브라우저에서 파일을 보고 편집할 수 있습니다. 이를 변경하려면 고급 구성을 참조하세요.
고급 구성
organization 전체 설정과 사이트 수준 설정 모두에 대해 다음 매개 변수를 함께 사용할 -ConditionalAccessPolicy AllowLimitedAccess
수 있습니다.
-AllowEditing $false
사용자가 브라우저에서 Office 파일을 편집하지 못하도록 합니다.
-ReadOnlyForUnmanagedDevices $true
영향을 받은 사용자에 대해 전체 사이트를 읽기 전용으로 만듭니다.
-LimitedAccessFileType OfficeOnlineFilesOnly
사용자가 브라우저에서 Office 파일만 미리 볼 수 있습니다. 이 옵션은 보안을 강화하지만 사용자 생산성에 장애가 될 수 있습니다.
-LimitedAccessFileType WebPreviewableFiles
(기본값) 사용자가 브라우저에서 Office 파일을 미리 볼 수 있습니다. 이 옵션은 사용자 생산성을 최적화하지만 Office 파일이 아닌 파일에 대한 보안은 더 낮습니다.
경고: 이 옵션은 최종 사용자의 컴퓨터에 다운로드하여 브라우저에서 렌더링해야 할 수 있으므로 PDF 및 이미지 파일 형식에 문제가 발생하는 것으로 알려져 있습니다. 이 컨트롤의 사용을 신중하게 계획합니다. 그렇지 않으면 사용자에게 예기치 않은 "액세스 거부" 오류가 발생할 수 있습니다.
-LimitedAccessFileType OtherFiles
사용자가 미리 볼 수 없는 파일(예: .zip 및 .exe)을 다운로드할 수 있습니다. 이 옵션은 보다 낮은 보안을 제공합니다. 이 모드를 사용하도록 설정한 경우 .zip 또는 .exe 같은 파일을 다운로드하려면 파일의 URL을 복사하여 브라우저(예: https://contoso.sharepoint.com/:u:/r/sites/test/Shared%20Documents/test1.zip)에 붙여넣기만 하면 됩니다.
매개 변수가 AllowDownlownloadingNonWebViewableFiles
중단되었습니다. 대신 LimitedAccessFileType을 사용하세요.
조건부 액세스 정책을 사용하여 관리되지 않는 디바이스의 액세스를 차단하거나 제한하는 경우 organization 외부의 사람 영향을 받습니다. 사용자가 특정 사용자(전자 메일 주소로 전송된 확인 코드를 입력해야 함)와 항목을 공유한 경우 다음 명령을 실행하여 이 정책에서 제외할 수 있습니다.
Set-SPOTenant -ApplyAppEnforcedRestrictionsToAdHocRecipients $false
참고
"모든 사용자" 링크(로그인이 필요하지 않은 공유 가능한 링크)는 이러한 정책의 영향을 받지 않습니다. 파일 또는 폴더에 대한 "모든 사용자" 링크가 있는 사람 항목을 다운로드할 수 있습니다. 조건부 액세스 정책을 사용하도록 설정하는 모든 사이트의 경우 "모든 사용자" 링크를 사용하지 않도록 설정해야 합니다.
앱 영향
액세스를 차단하고 다운로드를 차단하면 일부 Office 앱을 비롯한 일부 앱의 사용자 환경에 영향을 줄 수 있습니다. 일부 사용자에 대한 정책을 켜고 organization 사용되는 앱으로 환경을 테스트하는 것이 좋습니다. Office에서 정책이 설정되면 Power Apps 및 Power Automate의 동작을 검사 합니다.
참고
바이러스 백신 앱 및 검색 크롤러와 같이 서비스에서 "앱 전용" 모드로 실행되는 앱은 정책에서 제외됩니다.
클래식 SharePoint 사이트 템플릿을 사용하는 경우 사이트 이미지가 올바르게 렌더링되지 않을 수 있습니다. 이 정책은 원래 이미지 파일이 브라우저에 다운로드되지 않도록 하기 때문입니다.
새 테넌트에서 ACS 앱 전용 액세스 토큰을 사용하는 앱은 기본적으로 사용하지 않도록 설정됩니다. 최신이고 더 안전한 Microsoft Entra ID 앱 전용 모델을 사용하는 것이 좋습니다. 그러나 를 실행 set-spotenant -DisableCustomAppAuthentication $false
하여 동작을 변경할 수 있습니다(최신 SharePoint 관리자 PowerShell 필요).