리소스에 대한 외부 액세스를 위한 보안 계획 수립
외부 액세스 보안 계획을 만들기 전에 보안 계획에 대한 컨텍스트와 정보를 추가적으로 제공하는 다음 두 문서를 검토합니다.
시작하기 전에
이 문서는 10개의 문서 중 3번째 문서입니다. 문서를 순서대로 검토하는 것이 좋습니다. 전체 시리즈를 보려면 다음 단계 섹션으로 이동합니다.
보안 계획 설명서
보안 계획에 대해 다음 정보를 문서화합니다.
- 액세스를 위해 그룹화된 애플리케이션 및 리소스
- 외부 사용자를 위한 로그인 조건
- 디바이스 상태, 로그인 위치, 클라이언트 애플리케이션 요구 사항, 사용자 위험 등.
- 검토 및 액세스 제거 시기를 결정하는 정책
- 유사한 환경을 위해 그룹화된 사용자 모집단
보안 계획을 구현하려면 Microsoft ID 및 액세스 관리 정책 또는 다른 IdP(ID 공급자)를 사용할 수 있습니다.
자세히 알아보기: ID 및 액세스 관리 개요
액세스에 그룹 사용
리소스 그룹화 전략에 대한 문서로 연결되는 다음 링크를 참조하세요.
- Microsoft Teams는 파일, 대화 스레드 및 기타 리소스 그룹화
- Teams에 대한 외부 액세스 전략 수립
- Microsoft Entra ID를 사용하여 Microsoft Teams, SharePoint 및 비즈니스용 OneDrive에 대한 외부 액세스 보호 참조
- 권한 관리 액세스 패키지를 사용하여 애플리케이션, 그룹, 팀, SharePoint 사이트 등의 패키지 관리를 만들고 위임
- 조건부 액세스 정책을 동일한 액세스 요구 사항으로 최대 250개의 애플리케이션에 적용
- 외부 사용자 애플리케이션 그룹에 대한 액세스 정의
그룹화된 애플리케이션을 문서화합니다. 고려해야 할 사항은 다음과 같습니다.
- 위험 프로필 - 악의적인 행위자가 애플리케이션에 액세스할 수 있는 경우 위험을 평가합니다.
- 애플리케이션을 높음, 중간 또는 낮은 위험으로 식별합니다. 높은 위험과 낮은 위험을 함께 그룹화하지 않는 것이 좋습니다.
- 외부 사용자와 공유할 수 없는 애플리케이션 문서화
- 규정 준수 프레임워크 - 앱에 대한 규정 준수 프레임워크 결정
- 액세스 식별 및 요구 사항 검토
- 역할 또는 부서용 애플리케이션 - 역할 또는 부서 액세스에 대해 그룹화된 애플리케이션 평가
- 협업 애플리케이션 - 외부 사용자가 액세스할 수 있는 협업 애플리케이션(예: Teams 또는 SharePoint) 식별
- 생산성 애플리케이션의 경우 외부 사용자에게 라이선스가 있거나 액세스 권한을 제공할 수 있습니다.
외부 사용자의 애플리케이션 및 리소스 그룹 액세스에 대한 다음 정보를 문서화합니다.
- 설명이 포함된 그룹 이름(예: High_Risk_External_Access_Finance)
- 그룹의 애플리케이션 및 리소스
- 애플리케이션 및 리소스 소유자와 연락처 정보
- IT 팀이 액세스를 제어하거나 제어가 비즈니스 소유자에게 위임됩니다.
- 액세스에 대한 필수 조건: 백그라운드 검사, 교육 등
- 리소스에 액세스하기 위한 규정 준수 요구 사항
- 과제(예: 일부 리소스에 대한 다단계 인증)
- 검토 주기, 검토자 및 결과가 문서화된 위치
팁
내부 액세스에 이 유형의 거버넌스 계획을 사용합니다.
외부 사용자를 위한 로그인 조건 문서화
액세스를 요청하는 외부 사용자에 대한 로그인 요구 사항을 결정합니다. 로그인하는 동안 리소스 위험 프로필 및 사용자의 위험 평가를 고려해서 요구 사항을 결정합니다. 조건부 액세스: 조건 및 결과를 사용하여 로그인 조건을 구성합니다. 예를 들어, 다단계 인증을 요구할 수 있습니다.
자세히 알아보기: 조건부 액세스란?
리소스 위험 프로필 로그인 조건
다단계 인증을 트리거하려면 다음 위험 기반 정책을 고려합니다.
- 낮음 - 일부 애플리케이션 집합에 대한 다단계 인증
- 중간 - 다른 위험이 있는 경우 다단계 인증
- 높음 - 외부 사용자는 항상 다단계 인증 사용
자세히 보기:
- 자습서: B2B 게스트 사용자에 다단계 인증 적용
- 외부 테넌트의 다단계 인증 신뢰
사용자 및 디바이스 로그인 조건
다음 표를 사용하여 위험을 해결하기 위한 정책을 평가합니다.
| 사용자 또는 로그인 위험 | 제안된 정책 |
|---|---|
| 장치 | 준수 디바이스 필요 |
| Mobile Apps | 승인된 앱 필요 |
| Microsoft Entra ID Protection 높은 사용자 위험 | 사용자가 암호를 변경해야 함 |
| 네트워크 위치 | 기밀 프로젝트에 액세스하려면 IP 주소 범위에서 로그인해야 합니다. |
디바이스 상태를 정책 입력으로 사용하려면 테넌트에 디바이스를 등록하거나 조인합니다. 홈 테넌트에서 디바이스 클레임을 신뢰하려면 테넌트 간 액세스 설정을 구성합니다. 인바운드 액세스 설정 수정을 참조하세요.
ID 보호 위험 정책을 사용할 수 있습니다. 그러나 사용자 홈 테넌트에서 문제를 완화합니다. 일반적인 조건부 액세스 정책: 로그인 위험 기반 다단계 인증을 참조하세요.
네트워크 위치의 경우 소유하는 모든 IP 주소 범위에 대한 액세스를 제한할 수 있습니다. 외부 파트너가 사용자의 위치에 있는 동안 애플리케이션에 액세스하는 경우 이 방법을 사용합니다. 조건부 액세스: 위치별 액세스 차단을 참조하세요.
액세스 검토 정책 문서화
리소스 액세스를 검토하고 외부 사용자에 대한 계정 액세스를 제거하는 시기를 지정하는 정책을 문서화합니다. 입력에는 다음이 포함될 수 있습니다.
- 규정 준수 프레임워크 요구 사항
- 내부 비즈니스 정책 및 프로세스
- 사용자 동작
일반적으로 조직은 정책을 사용자 지정합니다. 그러나 다음 매개 변수를 고려합니다.
- 권한 관리 액세스 검토:
- 권한 관리에서 액세스 패키지의 수명 주기 설정 변경
- 권한 관리에서 액세스 패키지에 대한 액세스 검토 만들기
- 권한 관리에 연결된 조직 추가: 파트너의 사용자 그룹화 및 검토 예약
- Microsoft 365 그룹
- 옵션:
- 외부 사용자가 액세스 패키지 또는 Microsoft 365 그룹을 사용하지 않는 경우 계정이 비활성 상태가 되거나 삭제되는 시기를 결정합니다.
- 90일 동안 로그인하지 않는 계정에 대한 로그인 제거
- 외부 사용자에 대한 액세스를 정기적으로 평가
액세스 제어 메서드
권한 관리와 같은 일부 기능은 Microsoft Entra ID P1 또는 P2 라이선스에서 사용할 수 있습니다. Microsoft 365 E5 및 Office 365 E5 라이선스는 Microsoft Entra ID P2 라이선스를 포함합니다. 다음 권한 관리 섹션에서 자세히 알아보세요.
참고 항목
라이선스는 한 명의 사용자용입니다. 따라서 사용자, 관리자 및 비즈니스 소유자에게는 위임된 액세스 제어 권한이 있을 수 있습니다. 이 시나리오는 Microsoft Entra ID P2 또는 Microsoft 365 E5에서 발생할 수 있으며 모든 사용자에게 라이선스를 사용하도록 설정할 필요는 없습니다. 처음 5만 명의 외부 사용자는 무료입니다. 다른 내부 사용자에 대해 P2 라이선스를 사용하도록 설정하지 않으면 권한 관리를 사용할 수 없습니다.
다른 Microsoft 365, Office 365 및 Microsoft Entra ID 조합은 외부 사용자를 관리하기 위한 기능을 사용할 수 있습니다. 보안 및 규정 준수에 대한 Microsoft 365 지침을 참조하세요.
Microsoft Entra ID P2 및 Microsoft 365 또는 Office 365 E5를 사용하여 액세스 거버넌스
Microsoft 365 E5에 포함된 Microsoft Entra ID P2는 추가적인 보안 및 거버넌스 기능을 갖추고 있습니다.
프로비전, 로그인, 액세스 검토 및 액세스 프로비전 해제
굵게 표시된 항목은 권장되는 작업입니다.
| 기능 | 외부 사용자 프로비전 | 로그인 요구 사항 적용 | 액세스 검토 | 액세스 프로비전 해제 |
|---|---|---|---|---|
| Microsoft Entra B2B 협업 | 메일, OTP(일회성 암호), 셀프 서비스를 통해 초대 | 해당 없음 | 정기적 파트너 검토 | 계정 제거 로그인 제한 |
| 자격 관리 | 할당 또는 셀프 서비스 액세스를 통해 사용자 추가 | 해당 없음 | 액세스 검토 | 액세스 패키지의 만료 또는 제거 |
| Office 365 그룹 | 해당 없음 | 해당 없음 | 그룹 멤버 자격 검토 | 그룹 만료 또는 삭제 그룹에서 제거 |
| Microsoft Entra 보안 그룹 | 해당 없음 | 조건부 액세스 정책: 필요에 따라 보안 그룹에 외부 사용자 추가 | 해당 없음 | 해당 없음 |
리소스 액세스
굵게 표시된 항목은 권장되는 작업입니다.
| 기능 | 앱 및 리소스 액세스 | SharePoint 및 OneDrive 액세스 | Teams 액세스 | 메일 및 문서 보안 |
|---|---|---|---|---|
| 자격 관리 | 할당 또는 셀프 서비스 액세스를 통해 사용자 추가 | 액세스 패키지 | 액세스 패키지 | 해당 없음 |
| Office 365 그룹 | 해당 없음 | 사이트 및 그룹 콘텐츠에 대한 액세스 | 팀 및 그룹 콘텐츠에 대한 액세스 | 해당 없음 |
| 민감도 레이블 | 해당 없음 | 수동 및 자동으로 액세스를 분류하고 제한 | 수동 및 자동으로 액세스를 분류하고 제한 | 수동 및 자동으로 액세스를 분류하고 제한 |
| Microsoft Entra 보안 그룹 | 액세스 패키지에 포함되지 않은 액세스에 대한 조건부 액세스 정책 | 해당 없음 | 해당 없음 | 해당 없음 |
권한 관리
권한 관리를 사용하여 그룹 및 팀, 애플리케이션 및 SharePoint 사이트에 대한 액세스를 프로비전 및 프로비전 해제합니다. 연결된 조직에서 부여한 액세스 권한, 셀프 서비스 요청 및 승인 워크플로를 정의합니다. 액세스가 올바르게 종료되도록 하려면 패키지에 대한 만료 정책 및 액세스 검토를 정의합니다.
자세히 알아보기: 권한 관리에서 새 액세스 패키지 만들기
Microsoft Entra ID P1, Microsoft 365, Office 365 E3로 액세스 관리
프로비전, 로그인, 액세스 검토 및 액세스 프로비전 해제
굵게 표시된 항목은 권장되는 작업입니다.
| 기능 | 외부 사용자 프로비전 | 로그인 요구 사항 적용 | 액세스 검토 | 액세스 프로비전 해제 |
|---|---|---|---|---|
| Microsoft Entra B2B 협업 | 메일, OTP, 셀프 서비스를 통한 초대 | 직접 B2B 페더레이션 | 정기적 파트너 검토 | 계정 제거 로그인 제한 |
| Microsoft 365 또는 Office 365 그룹 | 해당 없음 | 해당 없음 | 해당 없음 | 그룹 만료 또는 삭제 그룹에서 제거 |
| 보안 그룹 | 해당 없음 | 보안 그룹(조직, 팀, 프로젝트 등)에 외부 사용자 추가 | 해당 없음 | 해당 없음 |
| 조건부 액세스 정책 | 해당 없음 | 외부 사용자에 대한 로그인 조건부 액세스 정책 | 해당 없음 | 해당 없음 |
리소스 액세스
| 기능 | 앱 및 리소스 액세스 | SharePoint 및 OneDrive 액세스 | Teams 액세스 | 메일 및 문서 보안 |
|---|---|---|---|---|
| Microsoft 365 또는 Office 365 그룹 | 해당 없음 | 그룹 사이트 및 관련 콘텐츠에 대한 액세스 | Microsoft 365 그룹 팀 및 관련 콘텐츠에 대한 액세스 | 해당 없음 |
| 민감도 레이블 | 해당 없음 | 수동 분류 및 액세스 제한 | 수동 분류 및 액세스 제한 | 수동 분류 및 암호화 제한 |
| 조건부 액세스 정책 | 액세스 제어에 대한 조건부 액세스 정책 | 해당 없음 | 해당 없음 | 해당 없음 |
| 다른 방법 | 해당 없음 | 보안 그룹으로 SharePoint 사이트 액세스 제한 직접 공유 허용 안 함 |
팀의 외부 초대 제한 | 해당 없음 |
다음 단계
다음 문서 시리즈를 사용하여 리소스에 대한 외부 액세스 보호에 대해 알아봅니다. 나열된 순서를 따르는 것이 좋습니다.