Microsoft 365 그룹, Teams 및 SharePoint의 액세스 제어
사용자가 그룹, 팀 및 SharePoint의 리소스에 액세스하는 방법을 제어할 수 있는 많은 컨트롤이 있습니다. 이러한 옵션을 검토하고 비즈니스 요구 사항, 데이터의 민감도 및 사용자가 공동 작업해야 하는 사용자의 scope 매핑하는 방법을 고려합니다.
다음 표에서는 Microsoft 365에서 사용할 수 있는 액세스 제어에 대한 빠른 참조를 제공합니다. 자세한 내용은 다음 섹션에 나와 있습니다.
구성원
부서와 같은 일부 기준에 따라 그룹 또는 팀의 멤버 자격을 동적으로 관리할 수 있습니다. 이 경우 구성원과 소유자는 팀에 사용자를 초대할 수 없습니다. 동적 그룹은 Microsoft Entra ID에서 정의하는 메타데이터를 사용하여 그룹의 구성원을 제어합니다. 사용 중인 메타데이터가 완전하고 최신 상태인지 확인합니다. 잘못된 메타데이터로 인해 사용자가 그룹에서 제외되거나 잘못된 사용자가 추가될 수 있습니다.
SharePoint 사이트는 그룹 또는 팀 멤버 자격 외에 소유자, 구성원 및 방문자를 추가할 수 있는 기능을 제공합니다. 요구 사항에 따라 사이트에 사용자를 초대할 수 있는 사용자를 제한할 수 있습니다. 또한 지정된 사이트의 정보 민감도에 따라 파일 및 폴더를 공유할 수 있는 사용자를 제한할 수 있습니다. 이러한 제한 사항은 팀, 그룹 또는 사이트 소유자가 구성합니다.
조건부 액세스
Microsoft 365를 사용하면 organization 내부 및 외부 사용자 모두에 대해 다단계 인증을 요구할 수 있습니다. 사용자에게 두 번째 인증 요소를 묻는 메시지가 표시되는 상황에 대한 많은 옵션이 있습니다. organization 대한 다단계 인증을 배포하는 것이 좋습니다.
일부 그룹 및 팀에 중요한 정보가 있는 경우 그룹 또는 팀의 민감도 레이블에 따라 디바이스 관리 정책을 적용할 수 있습니다. 관리되지 않는 디바이스에서 액세스를 완전히 차단하거나 제한된 웹 전용 액세스를 허용할 수 있습니다.
SharePoint에서 지정된 네트워크 위치에서 사이트에 대한 액세스를 제한할 수 있습니다.
추가 리소스:
게스트 액세스
전자 메일 주소의 도메인에 따라 게스트를 제한할 수 있습니다. SharePoint는 organization 전체 및 사이트별 도메인 제한 설정을 제공합니다. 그룹 및 Teams는 Microsoft Entra ID의 도메인 허용 목록 또는 차단 목록을 사용합니다. 원치 않는 공유를 방지하고 일관된 사용자 환경을 보장하려면 두 설정을 모두 구성해야 합니다.
Microsoft 365를 사용하면 누구나 링크를 공유하여 파일 및 폴더를 익명으로 공유할 수 있습니다. 모든 링크를 전달할 수 있으며 링크가 있는 모든 사용자는 공유 항목에 액세스할 수 있습니다. 데이터의 민감도에 따라 모든 사용자 링크를 완전히 해제하거나, 링크 권한을 읽기 전용으로 제한하거나, 만료 시간을 설정하는 등 모든 사용자의 링크 사용 방식을 제어하는 것이 좋습니다.
파일 또는 폴더를 공유할 때 사용자에게는 선택할 수 있는 몇 가지 링크 유형이 있습니다. 실수로 부적절한 공유의 위험을 줄이기 위해 사용자가 공유할 때 표시되는 기본 링크 유형을 변경할 수 있습니다. 예를 들어 익명 액세스를 허용하는 모든 사용자 링크에서 기본값을 organization 링크의 사람 변경하면 중요한 정보가 원치 않는 외부 공유의 위험을 줄일 수 있습니다.
- Change the default link type for a site(사이트의 기본 링크 유형 변경)
organization 게스트와 공유해야 하는 중요한 데이터가 있지만 부적절한 공유가 우려되는 경우 파일 및 폴더의 외부 공유를 지정된 보안 그룹의 구성원으로 제한할 수 있습니다. 이러한 방식으로 특정 사용자 그룹에 대한 외부 공유를 제한하거나 사용자가 보안 그룹에 추가하기 전에 적절한 외부 공유에 대한 교육을 받을 것을 요구할 수 있습니다.
그룹 및 Teams에는 게스트 액세스를 허용하거나 거부하는 organization 수준 설정이 있습니다. Microsoft PowerShell을 사용하여 특정 팀 또는 그룹에 대한 게스트 액세스를 제한할 수 있지만 민감도 레이블을 사용하여 이 작업을 수행하는 것이 좋습니다. 민감도 레이블을 사용하면 적용된 레이블에 따라 게스트 액세스를 자동으로 허용하거나 거부할 수 있습니다.
그룹 및 팀에 게스트를 자주 초대하는 환경에서는 정기적으로 예약된 게스트 액세스 검토를 설정하는 것이 좋습니다. 소유자는 그룹 및 팀의 게스트를 검토하고 액세스를 승인하거나 거부하라는 메시지를 표시할 수 있습니다.
Microsoft 365는 다양한 정보 공유 방법을 제공합니다. 중요한 정보가 있고 공유 방법을 제한하려는 경우 공유를 제한하는 옵션을 검토합니다.
추가 리소스:
사용자 관리
organization 그룹과 팀이 발전함에 따라 정기적으로 팀 및 그룹 멤버 자격을 검토하는 것이 좋습니다. 이는 멤버 자격이 변경된 팀 및 그룹, 중요한 정보가 포함된 팀 또는 게스트를 포함하는 그룹에 특히 유용할 수 있습니다. 다음 팀과 그룹에 대한 액세스 검토를 설정하는 것이 좋습니다.
많은 조직에서 심층 공동 작업하는 다른 조직 또는 주요 공급업체와 비즈니스 파트너십을 맺고 있습니다. 사용자 관리 및 리소스에 대한 액세스는 이러한 시나리오에서 관리하기가 어려울 수 있습니다. 일부 사용자 관리 작업을 자동화하고 그 중 일부를 파트너 organization 전환하는 것이 좋습니다.
Teams의 비공개 채널은 팀 구성원의 하위 집합 간에 범위가 지정된 대화 및 파일 공유를 허용합니다. 특정 비즈니스 요구 사항에 따라 이 기능을 허용하거나 차단할 수 있습니다.
공유 채널을 사용하면 팀 외부 또는 organization 외부에 있는 사용자를 초대할 수 있습니다. 특정 비즈니스 요구 사항 및 외부 공유 정책에 따라 이 기능을 허용하거나 차단할 수 있습니다.
OneDrive는 사용자가 작업 중인 콘텐츠를 쉽게 저장하고 공유할 수 있는 방법을 제공합니다. 비즈니스 요구 사항에 따라 이 콘텐츠에 대한 액세스를 회사 내의 정규직 직원 또는 기타 그룹으로 제한할 수 있습니다. 이 경우 보안 그룹의 구성원으로 OneDrive 콘텐츠에 대한 액세스를 제한할 수 있습니다.
좀 더 중요한 팀 또는 사이트의 경우 팀 또는 사이트 콘텐츠에 대한 액세스를 팀 구성원 또는 보안 그룹의 구성원으로 제한할 수 있습니다.
추가 리소스:
정보 분류
민감도 레이블을 사용하여 게스트 액세스, 그룹 및 팀 개인 정보 보호 및 그룹 및 팀의 관리되지 않는 디바이스에 의한 액세스를 제어할 수 있습니다. 사용자가 레이블을 적용하면 이러한 설정은 레이블 설정에 지정된 대로 자동으로 구성됩니다.
중요한 정보 유형 검색 또는 학습 가능한 분류자와 패턴 일치를 포함하여 지정한 기준에 따라 파일 및 이메일에 민감도 레이블을 자동으로 적용하도록 Microsoft 365를 구성할 수 있습니다.
민감도 레이블을 사용하여 파일을 암호화하여 권한이 있는 사용자만 암호를 해독하고 읽을 수 있도록 할 수 있습니다.
추가 리소스:
사용자 분할
정보 장벽을 사용하면 데이터와 사용자를 분할하여 그룹 간의 원치 않는 통신과 협업을 제한하고 organization 이해 상충을 방지할 수 있습니다. 정보 장벽을 사용하면 organization 사용자 그룹 간의 파일 공동 작업, 채팅, 통화 또는 모임 초대를 허용하거나 방지하는 정책을 만들 수 있습니다.
데이터 보존
Microsoft 365 Multi-Geo를 사용하면 데이터 상주 요구 사항을 충족하기 위해 선택한 지리적 위치에 미사용 데이터를 프로비전하고 저장할 수 있습니다. 다중 지역 환경에서 Microsoft 365 테넌트는 중앙 위치(Microsoft 365 구독이 원래 프로비전된 위치) 및 데이터를 저장할 수 있는 하나 이상의 위성 위치로 구성됩니다.