그룹의 사용자에 대한 사용자의 OneDrive 콘텐츠에 대한 액세스 제한
이 문서의 일부 기능에는 Microsoft SharePoint Premium - SharePoint Advanced Management가 필요합니다.
사이트 액세스 제한 정책을 사용하여 보안 그룹 또는 Microsoft 365 그룹의 사용자에게 개별 사용자의 OneDrive 콘텐츠에 대한 액세스를 제한할 수 있습니다. 지정된 그룹에 없는 사용자는 이전 사용 권한 또는 공유 링크가 있더라도 콘텐츠에 액세스할 수 없습니다.
이 정책은 Microsoft Entra 보안 그룹 또는 해당 OneDrive의 파일에 액세스할 수 있어야 하는 사용자를 포함하는 Microsoft 365 그룹을 사용하여 적용됩니다.
정책이 적용되면 지정된 그룹의 사용자에게 파일에 대한 직접 권한이 부여되지 않습니다. OneDrive 소유자는 평소처럼 콘텐츠를 공유해야 합니다. 사이트 액세스 제한 정책은 보안 그룹 또는 Microsoft 365 그룹에 없는 모든 사용자가 OneDrive 콘텐츠가 공유되더라도 액세스하지 못하도록 합니다.
액세스 제한 정책은 사용자가 파일에 액세스하려고 할 때 적용됩니다. 사용자는 파일에 대한 직접 권한이 있는 경우에도 검색 결과에서 파일을 볼 수 있지만 지정된 그룹에 속하지 않으면 파일에 액세스할 수 없습니다.
보안 그룹의 사용자로 OneDrive 서비스 자체에 대한 액세스를 제한할 수도 있습니다. 자세한 내용은 보안 그룹으로 OneDrive 액세스 제한을 참조하세요.
요구 사항
사이트 액세스 제한 정책에는 Microsoft SharePoint Premium - SharePoint Advanced Management가 필요합니다.
organization 사이트 액세스 제한 사용
사용자의 OneDrive에 대해 구성하려면 먼저 organization 사이트 액세스 제한을 사용하도록 설정해야 합니다.
SharePoint 관리 센터에서 organization 사이트 액세스 제한을 사용하도록 설정하려면 다음을 수행합니다.
정책을 확장하고 액세스 제어를 선택합니다.
사이트 액세스 제한을 선택합니다.
액세스 제한 허용을 선택한 다음 저장을 선택합니다.
PowerShell을 사용하여 organization 사이트 액세스 제한을 사용하도록 설정하려면 다음 명령을 실행합니다.
Set-SPOTenant -EnableRestrictedAccessControl $true
명령이 적용되는 데 최대 1시간이 걸릴 수 있습니다.
참고
Microsoft 365 Multi-Geo 사용자의 경우 원하는 각 지리적 위치에 대해 이 명령을 별도로 실행합니다.
사용자의 OneDrive 콘텐츠에 대한 액세스 제한
각 OneDrive는 최대 10개의 Microsoft Entra 보안 또는 Microsoft 365 그룹을 할당할 수 있습니다. 그룹이 추가되면 그룹의 사용자만 OneDrive에서 공유된 콘텐츠에 액세스할 수 있습니다. 사용자 속성에 그룹 멤버 자격을 기반으로 하려는 경우 동적 보안 그룹을 사용할 수 있습니다.
중요
OneDrive의 소유자는 사용자가 지정한 보안 또는 Microsoft 365 그룹 중 하나에 포함되어야 합니다. 그렇지 않으면 OneDrive 및 해당 콘텐츠에 대한 액세스 권한이 손실됩니다.
OneDrive에 대한 액세스 제한을 관리하려면 다음 명령을 사용합니다.
| 작업 | PowerShell 명령 |
|---|---|
| 지정된 OneDrive에 대한 액세스 제한을 사용하도록 설정합니다. (보안 또는 Microsoft 365 그룹을 추가하기 전에 이 명령을 실행합니다.) | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| 보안 추가/Microsoft 365 그룹 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| 보안 편집/Microsoft 365 그룹 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| 보안/Microsoft 365 그룹 보기 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| 보안 제거/Microsoft 365 그룹 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| 사이트 액세스 제한 다시 설정 | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
제한된 사이트 액세스 정책을 사용하여 사이트 공유
제한된 액세스 제어 정책에 따라 허용되지 않는 사용자 및 그룹과 OneDrive 사이트 공유를 차단할 수 있습니다.
공유 컨트롤 기능은 기본적으로 사용하지 않도록 설정됩니다. 사용하도록 설정하려면 관리자 권한으로 SharePoint Online 관리 셸 다음 PowerShell 명령을 실행합니다.
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
사용자와 공유
제한된 액세스 제어 그룹의 일부인 사용자와만 공유가 허용됩니다. 아래와 같이 제한된 액세스 제어 그룹 외부의 모든 사용자와 공유가 차단됩니다.
그룹과 공유
제한된 액세스 제어 그룹 목록의 일부인 Microsoft Entra 보안 또는 Microsoft 365 그룹과 공유할 수 있습니다. 따라서 외부 사용자 또는 SharePoint 그룹을 제외한 모든 사용자를 비롯한 다른 모든 그룹과의 공유는 허용되지 않습니다.
참고
현재 제한된 액세스 제어 그룹의 일부인 중첩된 보안 그룹에는 사이트와 해당 콘텐츠의 공유가 허용되지 않습니다. 이 지원은 다음 릴리스 반복에서 추가됩니다.
액세스 거부 오류 페이지에 대한 자세한 정보 링크 구성
제한된 사이트 액세스 제어 정책으로 인해 OneDrive 사이트에 대한 액세스가 거부된 사용자에게 알리도록 자세한 정보 링크를 구성합니다. 이 사용자 지정 가능한 오류 링크를 사용하여 사용자에게 자세한 정보와 지침을 제공할 수 있습니다.
참고
자세한 정보 링크는 제한된 액세스 제어 정책을 사용하도록 설정된 모든 OneDrive 사이트에 적용되는 테넌트 수준 설정입니다.
링크를 구성하려면 SharePoint PowerShell에서 다음 명령을 실행합니다.
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
링크 값을 가져오려면 다음 명령을 실행합니다.
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
구성된 자세한 정보 링크는 사용자가 여기에서 organization 정책에 대한 자세한 정보 링크를 선택하면 시작됩니다.
제한된 사이트 액세스 정책 인사이트
IT 관리자는 다음 보고서를 보고 제한된 사이트 액세스 정책으로 보호되는 OneDrive 사이트에 대한 자세한 정보를 얻을 수 있습니다.
- 제한된 사이트 액세스 정책으로 보호되는 사이트(RACProtectedSites)
- 제한된 사이트 액세스로 인한 액세스 거부 세부 정보(ActionsBlockedByPolicy)
참고
각 보고서를 생성하는 데 몇 시간이 걸릴 수 있습니다.
제한된 사이트 액세스 정책 보고서로 보호되는 사이트
SharePoint PowerShell에서 다음 명령을 실행하여 보고서를 생성, 보기 및 다운로드할 수 있습니다.
| 작업 | PowerShell 명령 | 설명 |
|---|---|---|
| 보고서 생성 | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
제한된 사이트 액세스 정책으로 보호되는 사이트 목록을 생성합니다. |
| 보고서 보기 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
보고서에는 정책으로 보호되는 페이지 보기가 가장 높은 상위 100개 사이트가 표시됩니다. |
| 보고서 다운로드 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
이 명령은 관리자 권한으로 실행되어야 합니다. 다운로드한 보고서는 명령이 실행된 경로에 있습니다. |
| 제한된 사이트 액세스 보고서로 보호되는 사이트의 백분율 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
이 보고서는 총 사이트 수 중 정책으로 보호되는 사이트의 백분율을 보여 주는 것입니다. |
제한된 사이트 액세스 정책으로 인한 액세스 거부
다음 명령을 실행하여 제한된 사이트 액세스 보고서로 인해 액세스 거부에 대한 보고서를 만들고, 가져오고, 볼 수 있습니다.
| 작업 | PowerShell 명령 | 설명 |
|---|---|---|
| 액세스 거부 보고서 만들기 | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
액세스 거부 세부 정보를 가져오기 위한 새 보고서를 만듭니다. |
| 액세스 거부 보고서 상태 가져오기 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
생성된 보고서의 상태 가져옵니다. |
| 지난 28일 동안의 최신 액세스 거부 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
지난 28일 동안 발생한 가장 최근의 100개 액세스 거부 목록을 가져옵니다. |
| 액세스가 거부된 상위 사용자 목록 보기 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
액세스 거부가 가장 많은 상위 100명의 사용자 목록을 가져옵니다. |
| 액세스 거부가 가장 많은 상위 사이트 목록 보기 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
액세스 거부가 가장 많은 상위 100개 사이트 목록을 가져옵니다. |
| 다양한 유형의 사이트에서 액세스 거부 배포 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
다양한 유형의 사이트에 대한 액세스 거부 분포를 보여 줍니다. |
참고
최대 10,000개의 거부를 보려면 보고서를 다운로드해야 합니다. 관리자 권한으로 다운로드 명령을 실행하고 다운로드한 보고서는 명령이 실행된 경로에 있습니다.
감사
감사 이벤트는 사이트 액세스 제한 활동을 모니터링하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 사용할 수 있습니다. 감사 이벤트는 다음 활동에 대해 기록됩니다.
- 사이트에 대한 사이트 액세스 제한 적용
- 사이트에 대한 사이트 액세스 제한 제거
- 사이트에 대한 사이트 액세스 제한 그룹 변경