Microsoft 365 그룹 및 Entra 보안 그룹을 사용하여 SharePoint 사이트 액세스 제한
이 문서의 일부 기능에는 Microsoft SharePoint Premium - SharePoint Advanced Management가 필요합니다.
사이트 액세스 제한 정책을 사용하여 특정 그룹의 사용자에게 SharePoint 사이트 및 콘텐츠에 대한 액세스를 제한할 수 있습니다. 지정된 그룹에 없는 사용자는 이전 권한 또는 공유 링크가 있더라도 사이트 또는 해당 콘텐츠에 액세스할 수 없습니다. 이 정책은 Microsoft 365 그룹 연결, Teams 연결 및 비그룹 연결 사이트에서 사용할 수 있습니다.
사이트 액세스 제한 정책은 사용자가 사이트를 열거나 파일에 액세스하려고 할 때 적용됩니다. 파일에 대한 직접 권한이 있는 사용자는 검색 결과에서 파일을 계속 볼 수 있습니다. 그러나 지정된 그룹에 속하지 않으면 파일에 액세스할 수 없습니다.
그룹 멤버 자격을 통해 사이트 액세스를 제한하면 콘텐츠 과잉 공유의 위험을 최소화할 수 있습니다. 데이터 공유에 대한 인사이트는 데이터 액세스 거버넌스 보고서를 참조하세요.
필수 구성 요소
사이트 액세스 제한 정책에는 Microsoft SharePoint Premium - SharePoint Advanced Management가 필요합니다.
organization 사이트 수준 액세스 제한 사용
개별 사이트에 대해 구성하려면 먼저 organization 사이트 수준 액세스 제한을 사용하도록 설정해야 합니다.
SharePoint 관리 센터에서 organization 사이트 수준 액세스 제한을 사용하도록 설정하려면 다음을 수행합니다.
정책을 확장하고 액세스 제어를 선택합니다.
사이트 수준 액세스 제한을 선택합니다.
액세스 제한 허용을 선택한 다음 저장을 선택합니다.
PowerShell을 사용하여 organization 사이트 수준 액세스 제한을 사용하도록 설정하려면 다음 명령을 실행합니다.
Set-SPOTenant -EnableRestrictedAccessControl $true
명령이 적용되는 데 최대 1시간이 걸릴 수 있습니다.
참고
Microsoft 365 Multi-Geo 사용자의 경우 원하는 각 지리적 위치에 대해 이 명령을 별도로 실행합니다.
그룹 연결 사이트(Microsoft 365 그룹 및 Teams)에 대한 액세스 제한
그룹 연결 사이트에 대한 사이트 액세스 제한 정책은 SharePoint 사이트 액세스를 사이트와 연결된 Microsoft 365 그룹 또는 팀의 구성원으로 제한합니다.
SharePoint 관리 센터에서 그룹 연결 사이트에 대한 사이트 액세스 제한을 관리하려면
- SharePoint 관리 센터에서 사이트를 확장하고 활성 사이트를 선택합니다.
- 관리할 사이트를 선택하면 사이트 세부 정보 패널이 나타납니다.
- 설정 탭의 제한된 사이트 액세스 섹션에서 편집을 선택합니다.
- 이 사이트에 대한 액세스 제한 상자를 선택하고 저장을 선택합니다.
PowerShell을 사용하여 그룹 연결 사이트에 대한 사이트 액세스 제한을 관리하려면 다음 명령을 사용합니다.
| 작업 | PowerShell 명령 |
|---|---|
| 그룹 연결 사이트에 대한 사이트 액세스 제한 사용 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| 그룹 연결 사이트에 대한 사이트 액세스 제한 보기 | Get-SPOSite -Identity <siteurl> -Select RestrictedAccessControl |
| 그룹 연결 사이트에 대한 사이트 액세스 제한 사용 안 함 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $false |
참고
사이트에 대해 정책을 사용하도록 설정하면 사이트 소유자는 사이트 액세스 제한 정책이 사이트에 미치는 영향에 대한 세부 정보를 볼 수 있습니다.
그룹 연결 사이트의 경우 정책 상태 및 구성된 제어 그룹 세부 정보가 사이트 정보 및 사용 권한 패널에 표시됩니다.
비그룹 연결 사이트에 대한 사이트 액세스 제한
사이트에 대한 액세스를 허용해야 하는 사용자를 포함하는 Entra 보안 그룹 또는 Microsoft 365 그룹을 지정하여 비그룹 연결 사이트에 대한 액세스를 제한할 수 있습니다. 최대 10개의 Entra 보안 그룹 또는 Microsoft 365 그룹을 구성할 수 있습니다. 정책이 적용되면 사이트 액세스 권한이 있는 지정된 그룹의 사용자에게 사이트 및 해당 콘텐츠에 대한 액세스 권한이 부여됩니다. 사용자 속성에 그룹 멤버 자격을 기반으로 하려는 경우 동적 보안 그룹을 사용할 수 있습니다.
비그룹 연결 사이트에 대한 사이트 액세스를 관리하려면 다음을 수행합니다.
SharePoint 관리 센터에서 사이트를 확장하고 활성 사이트를 선택합니다.
관리할 사이트를 선택하면 사이트 세부 정보 패널이 나타납니다.
설정 탭의 제한된 사이트 액세스 섹션에서 편집을 선택합니다.
지정한 그룹의 사용자만 SharePoint 사이트 액세스 제한 검사 상자를 선택합니다.
보안 그룹 또는 Microsoft 365 그룹을 추가하거나 제거하고 저장을 선택합니다.
사이트에 사이트 액세스 제한을 적용하려면 사이트 액세스 제한 정책에 하나 이상의 그룹을 추가해야 합니다.
PowerShell을 사용하여 그룹이 아닌 연결된 사이트에 대한 사이트 액세스 제한을 관리하려면 다음 명령을 사용합니다.
| 작업 | PowerShell 명령 |
|---|---|
| 사이트 액세스 제한 사용 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControl $true |
| 그룹 추가 | Set-SPOSite -Identity <siteurl> -AddRestrictedAccessControlGroups <comma separated group GUIDS> |
| 그룹 편집 | Set-SPOSite -Identity <siteurl> -RestrictedAccessControlGroups <comma separated group GUIDS> |
| 그룹 보기 | Get-SPOSite -Identity <siteurl> Select RestrictedAccessControl, RestrictedAccessControlGroups |
| 그룹 제거 | Set-SPOSite -Identity <siteurl> -RemoveRestrictedAccessControlGroups <comma separated group GUIDS> |
| 사이트 액세스 제한 다시 설정 | Set-SPOSite -Identity <siteurl> -ClearRestrictedAccessControl |
통신 사이트에 대한 정책을 사용하도록 설정한 후 사이트 정보 및 사용 권한 패널 외에도 사이트 액세스 패널의 사이트 소유자에 대해 정책 상태 및 구성된 모든 제어 그룹이 표시됩니다.
공유 및 비공개 채널 사이트
공유 및 비공개 채널 사이트는 표준 채널에서 사용하는 Microsoft 365 그룹 연결 사이트와는 별개입니다. 공유 및 비공개 채널 사이트는 Microsoft 365 그룹에 연결되지 않으므로 팀에 적용된 사이트 액세스 제한 정책은 영향을 주지 않습니다. 각 공유 또는 개인 채널 사이트에 대해 비그룹 연결 사이트로 별도로 사이트 액세스 제한을 사용하도록 설정해야 합니다.
공유 채널 사이트의 경우 리소스 테넌트의 내부 사용자만 사이트 액세스 제한을 받습니다. 외부 채널 참가자는 사이트 액세스 제한 정책에서 제외되며 사이트의 기존 사이트 권한에 따라 평가됩니다.
중요
보안 그룹 또는 Microsoft 365 그룹에 사용자를 추가해도 Teams의 채널에 대한 액세스 권한이 사용자에게 부여되지 않습니다. Teams와 SharePoint 모두에 액세스할 수 있도록 Teams 및 보안 그룹 또는 Microsoft 365 그룹에서 팀 채널의 동일한 사용자를 추가하거나 제거하는 것이 좋습니다.
제한된 사이트 액세스 정책을 사용하여 사이트 공유
제한된 액세스 제어 정책에 따라 허용되지 않는 사용자 및 그룹과 SharePoint 사이트 및 해당 콘텐츠의 공유를 차단할 수 있습니다.
공유 컨트롤 기능은 기본적으로 사용하지 않도록 설정됩니다. 사용하도록 설정하려면 SharePoint Online 관리 셸에서 관리자 권한으로 다음 PowerShell 명령을 실행합니다.
Set-SPOTenant -AllowSharingOutsideRestrictedAccessControlGroups $false
사용자와 공유
제한된 액세스 제어 그룹의 일부인 사용자와만 공유가 허용됩니다. 아래와 같이 제한된 액세스 제어 그룹 외부의 모든 사용자와 공유가 차단됩니다.
그룹과 공유
제한된 액세스 제어 그룹 목록의 일부인 Microsoft Entra 보안 또는 M365 그룹과 공유할 수 있습니다. 따라서 외부 사용자 또는 SharePoint 그룹을 제외한 모든 사용자를 비롯한 다른 모든 그룹과의 공유는 허용되지 않습니다.
참고
현재 제한된 액세스 제어 그룹의 일부인 중첩된 보안 그룹에는 사이트 및 해당 콘텐츠의 공유가 허용되지 않습니다. 이 지원은 다음 릴리스 반복에서 추가됩니다.
액세스 거부 오류 페이지에 대한 자세한 정보 링크 구성
제한된 사이트 액세스 제어 정책으로 인해 SharePoint 사이트에 대한 액세스가 거부된 사용자에게 알리도록 자세한 정보 링크를 구성합니다. 이 사용자 지정 가능한 오류 링크를 사용하여 사용자에게 자세한 정보와 지침을 제공할 수 있습니다.
참고
자세한 정보 링크는 제한된 액세스 제어 정책을 사용하도록 설정된 모든 사이트에 적용되는 테넌트 수준 설정입니다.
링크를 구성하려면 SharePoint PowerShell에서 다음 명령을 실행합니다.
Set-SPOTenant -RestrictedAccessControlForSitesErrorHelpLink “<Learn more URL>”
링크 값을 가져오려면 다음 명령을 실행합니다.
Get-SPOTenant | select RestrictedAccessControlForSitesErrorHelpLink
구성된 자세한 정보 링크는 사용자가 여기에서 organization 정책에 대한 자세한 정보 링크를 선택하면 시작됩니다.
제한된 사이트 액세스 정책 인사이트
IT 관리자는 다음 보고서를 보고 제한된 사이트 액세스 정책으로 보호되는 SharePoint 사이트에 대한 자세한 정보를 얻을 수 있습니다.
- 제한된 사이트 액세스 정책으로 보호되는 사이트(RACProtectedSites)
- 제한된 사이트 액세스로 인한 액세스 거부 세부 정보(ActionsBlockedByPolicy)
참고
각 보고서를 생성하는 데 몇 시간이 걸릴 수 있습니다.
제한된 사이트 액세스 정책 보고서로 보호되는 사이트
SharePoint PowerShell에서 다음 명령을 실행하여 보고서를 생성, 보기 및 다운로드할 수 있습니다.
| 작업 | PowerShell 명령 | 설명 |
|---|---|---|
| 보고서 생성 | Start-SPORestrictedAccessForSitesInsights -RACProtectedSites |
제한된 사이트 액세스 정책으로 보호되는 사이트 목록을 생성합니다. |
| 보고서 보기 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> |
보고서에는 정책으로 보호되는 페이지 보기가 가장 높은 상위 100개 사이트가 표시됩니다. |
| 보고서 다운로드 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -Action Download |
이 명령은 관리자 권한으로 실행되어야 합니다. 다운로드한 보고서는 명령이 실행된 경로에 있습니다. |
| 제한된 사이트 액세스 보고서로 보호되는 사이트의 백분율 | Get-SPORestrictedAccessForSitesInsights -RACProtectedSites -ReportId <Report GUID> -InsightsSummary |
이 보고서는 총 사이트 수 중 정책으로 보호되는 사이트의 백분율을 보여 주는 것입니다. |
제한된 사이트 액세스 정책으로 인한 액세스 거부
다음 명령을 실행하여 제한된 사이트 액세스 보고서로 인해 액세스 거부에 대한 보고서를 만들고, 가져오고, 볼 수 있습니다.
| 작업 | PowerShell 명령 | 설명 |
|---|---|---|
| 액세스 거부 보고서 만들기 | Start-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
액세스 거부 세부 정보를 가져오기 위한 새 보고서를 만듭니다. |
| 액세스 거부 보고서 상태 가져오기 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy |
생성된 보고서의 상태 가져옵니다. |
| 지난 28일 동안의 최신 액세스 거부 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content AllDenials |
지난 28일 동안 발생한 가장 최근의 100개 액세스 거부 목록을 가져옵니다. |
| 액세스가 거부된 상위 사용자 목록 보기 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopUsers |
액세스 거부가 가장 많은 상위 100명의 사용자 목록을 가져옵니다. |
| 액세스 거부가 가장 많은 상위 사이트 목록 보기 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content TopSites |
액세스 거부가 가장 많은 상위 100개 사이트 목록을 가져옵니다. |
| 다양한 유형의 사이트에서 액세스 거부 배포 | Get-SPORestrictedAccessForSitesInsights -ActionsBlockedByPolicy -ReportId <Report ID> -Content SiteDistribution |
다양한 유형의 사이트에 대한 액세스 거부 분포를 보여 줍니다. |
참고
최대 10,000개의 거부를 보려면 보고서를 다운로드해야 합니다. 관리자 권한으로 다운로드 명령을 실행하면 다운로드한 보고서가 명령이 실행된 경로에 있습니다.
감사
감사 이벤트는 Purview 규정 준수 포털에서 사이트 액세스 제한 활동을 모니터링하는 데 도움이 됩니다. 감사 이벤트는 다음 활동에 대해 기록됩니다.
- 사이트에 대한 사이트 액세스 제한 적용
- 사이트에 대한 사이트 액세스 제한 제거
- 사이트에 대한 사이트 액세스 제한 그룹 변경