SharePoint 사이트 및 파일 보안을 위한 정책 권장 사항
이 문서에서는 SharePoint 및 OneDrive를 보호하기 위해 권장되는 제로 트러스트 ID 및 디바이스 액세스 정책을 구현하는 방법을 설명합니다. 이 지침은 일반적인 ID 및 디바이스 액세스 정책을 기반으로 합니다.
이러한 권장 사항은 요구 사항의 세분성에 따라 적용할 수 있는 SharePoint 파일에 대한 보안 및 보호의 세 가지 계층(시작 지점, 엔터프라이즈 및 특수 보안)을 기반으로 합니다. 이러한 보안 계층 및 권장 클라이언트 운영 체제에 대한 자세한 내용은 개요에서 이러한 권장 사항에서 참조할 수 있습니다.
이 지침을 구현하는 것 외에도 엔터프라이즈 및 특수 보안 콘텐츠에 대한 적절한 사용 권한 설정을 포함하여 적절한 양의 보호를 사용하여 SharePoint 사이트를 구성해야 합니다.
SharePoint 및 OneDrive를 포함하도록 일반 정책 업데이트
SharePoint 및 OneDrive에서 파일을 보호하기 위해 다음 다이어그램에서는 일반적인 ID 및 장치 액세스 정책에서 업데이트할 정책을 보여 줍니다.
공통 정책을 만들 때 SharePoint를 포함했다면 새 정책만 만들어야 합니다. 조건부 액세스 정책의 경우 SharePoint에는 OneDrive가 포함됩니다.
새 정책은 지정한 SharePoint 사이트에 특정 액세스 요구 사항을 적용하여 엔터프라이즈 및 특수 보안 콘텐츠에 대한 디바이스 보호를 구현합니다.
다음 표에서는 SharePoint에 대해 검토하고 업데이트하거나 새로 만들어야 하는 정책을 나열합니다. 공통 정책은 공통 ID 및 디바이스 액세스 정책 문서의 관련 구성 지침에 연결됩니다.
보호 수준 | 정책 | 자세한 정보 |
---|---|---|
출발점 | 로그인 위험이 중간 또는 높은 경우 MFA 필요 | 클라우드 앱 할당에 SharePoint를 포함합니다. |
최신 인증을 지원하지 않는 클라이언트 차단 | 클라우드 앱 할당에 SharePoint를 포함합니다. | |
APP 데이터 보호 정책 적용 | 모든 권장 앱이 앱 목록에 포함되어 있는지 확인합니다. 각 플랫폼(iOS, Android, Windows)에 대한 정책을 업데이트해야 합니다. | |
SharePoint에서 앱 적용 제한 사용 | 이 새 정책을 추가합니다. 그러면 SharePoint에 지정된 설정을 사용하도록 Microsoft Entra ID가 표시됩니다. 이 정책은 모든 사용자에게 적용되지만 SharePoint 액세스 정책에 포함된 사이트에 대한 액세스에만 영향을 줍니다. | |
엔터프라이즈 | 로그인 위험이 낮거나 중간 또는 높은 경우 MFA 필요 | 클라우드 앱 할당에 SharePoint를 포함합니다. |
규격 PC 및 모바일 디바이스 필요 | 클라우드 앱 목록에 SharePoint를 포함합니다. | |
SharePoint 액세스 제어 정책: 관리되지 않는 디바이스에서 특정 SharePoint 사이트에 대한 브라우저 전용 액세스를 허용합니다. | 이렇게 하면 파일을 편집하고 다운로드할 수 없습니다. PowerShell을 사용하여 사이트를 지정합니다. | |
특수 보안 | 항상 MFA 필요 | 클라우드 앱 할당에 SharePoint를 포함합니다. |
SharePoint 액세스 제어 정책: 관리되지 않는 디바이스에서 특정 SharePoint 사이트에 대한 액세스를 차단합니다. | PowerShell을 사용하여 사이트를 지정합니다. |
SharePoint에서 앱 적용 제한 사용
SharePoint에서 액세스 제어를 구현하는 경우 조건부 액세스 정책은 Microsoft Entra ID로 만들어 Microsoft Entra ID에 SharePoint에서 구성하는 정책을 적용하도록 지시합니다. 기본적으로 이 정책은 모든 사용자에게 적용되지만 SharePoint에서 액세스 제어를 만들 때 PowerShell을 사용하여 지정한 사이트에 대한 액세스에만 영향을 줍니다. 특정 사용자, 그룹 또는 사이트에 대한 정책의 범위를 지정할 수도 있습니다.
이 정책을 구성하려면 관리되지 않는 장치의 제어 액세스에서 "특정 SharePoint 사이트 모음 또는 OneDrive 계정에 대한 액세스 차단 또는 제한" 을 참조하세요.
SharePoint 액세스 제어 정책
Microsoft는 디바이스 액세스 제어를 사용하여 엔터프라이즈 및 특수 보안 콘텐츠를 사용하여 SharePoint 사이트의 콘텐츠를 보호하는 것이 좋습니다. 보호 수준을 지정하는 정책 및 보호를 적용할 사이트를 만들어 이 작업을 수행합니다.
- 엔터프라이즈 사이트: 브라우저 전용 액세스를 허용합니다. 이렇게 하면 사용자가 파일을 편집하고 다운로드할 수 없습니다.
- 특수 보안 사이트: 관리되지 않는 디바이스에서 액세스를 차단합니다.
관리되지 않는 디바이스의 액세스 제어에서 "특정 SharePoint 사이트 모음 또는 OneDrive 계정에 대한 액세스 차단 또는 제한"을 참조하세요.
이러한 정책이 함께 작동하는 방법
SharePoint 사이트 사용 권한은 일반적으로 사이트에 대한 액세스에 대한 비즈니스 요구 사항을 기반으로 한다는 것을 이해하는 것이 중요합니다. 이러한 권한은 사이트 소유자가 관리하며 매우 동적일 수 있습니다. SharePoint 디바이스 액세스 정책을 사용하면 사용자가 시작 지점, 엔터프라이즈 또는 특수 보안 보호와 연결된 Microsoft Entra 그룹에 할당되었는지 여부에 관계없이 이러한 사이트를 보호합니다.
다음 그림에서는 SharePoint 디바이스 액세스 정책이 사용자의 사이트에 대한 액세스를 보호하는 방법의 예를 제공합니다.
James에는 시작 지점 조건부 액세스 정책이 할당되어 있지만 엔터프라이즈 또는 특수 보안 보호를 사용하여 SharePoint 사이트에 대한 액세스 권한을 부여할 수 있습니다.
- James가 PC를 사용하여 엔터프라이즈 또는 특수 보안 보호의 구성원인 사이트에 액세스하는 경우 액세스 권한이 부여됩니다.
- James가 시작 지점 사용자에게 허용되는 관리되지 않는 휴대폰을 사용하는 구성원인 엔터프라이즈 보호 사이트에 액세스하는 경우 이 사이트에 대해 구성된 디바이스 액세스 정책으로 인해 엔터프라이즈 사이트에 대한 브라우저 전용 액세스를 받게 됩니다.
- James가 관리되지 않는 휴대폰을 사용하는 멤버인 특수 보안 사이트에 액세스하는 경우 이 사이트에 대해 구성된 액세스 정책으로 인해 차단됩니다. 관리되는 PC를 사용하여 이 사이트에만 액세스할 수 있습니다.
다음 단계
다음을 위해 조건부 액세스 정책을 구성합니다.