더욱 안전한 게스트 공유 환경 만들기
이 문서에서는 Microsoft 365에서 보다 안전한 게스트 공유 환경을 만들기 위한 다양한 옵션을 안내합니다. 다음은 사용할 수 있는 옵션에 대한 아이디어를 제공하는 예제입니다. 조직의 보안 및 규정 준수 요구 사항을 충족하기 위해 다음과 같이 다양한 조합의 절차를 사용할 수 있습니다.
이 문서에는 다음 내용이 포함됩니다.
- 게스트에 대한 다단계 인증 설정
- 게스트에 대한 사용 약관 설정
- 게스트가 계속해서 팀 및 사이트에 대해 권한이 필요한지 주기적으로 확인하기 위한 분기별 게스트 액세스 검토 설정
- 관리되지 않은 장치에 대해서는 게스트가 웹에만 액세스하도록 제한
- 게스트가 매일 인증할 수 있도록 세션 시간 제한 정책 구성
- 매우 중요한 프로젝트에 대한 중요한 정보 유형 만들기입니다.
- 중요한 정보 유형을 포함하는 문서에 대한 민감도 레이블을 자동으로 할당합니다.
- 민감도 레이블이 있는 파일에서 게스트 액세스를 자동으로 제거합니다.
이 문서에서 설명하는 옵션 중 일부는 게스트에게 Microsoft Entra ID의 계정이 있어야 합니다. 파일 및 폴더를 공유할 때 게스트가 디렉터리에 포함되도록 하려면 Microsoft Entra B2B Preview와 SharePoint 및 OneDrive 통합을 사용합니다.
이 문서에서는 게스트 공유 설정을 사용하도록 설정하는 것에 대해 설명하지 않습니다. 다른 시나리오의 게스트 공유 활성화에 대해 자세히 알아보려면 조직 외부 사용자와 공동 작업을 참조하세요.
게스트에 대한 다단계 인증 설정
다단계 인증은 계정이 손상될 가능성을 크게 줄입니다. 게스트는 거버넌스 정책 또는 모범 사례를 준수하지 않는 개인 전자 메일 계정을 사용할 수 있으므로 게스트에 대해 다단계 인증을 요구하는 것이 특히 중요합니다. 게스트의 사용자 이름 및 비밀번호가 도난될 경우 2단계 인증을 요구하면 알 수 없는 당사자가 내 사이트 및 파일에 액세스할 가능성이 대폭 줄어듭니다.
이 예제에서는 Microsoft Entra ID의 조건부 액세스 정책을 사용하여 게스트에 대한 다단계 인증을 설정합니다.
게스트에 대한 다단계 인증을 설정하려면
- Microsoft Entra 관리 센터를 엽니다.
- 보호를 확장한 다음 조건부 액세스를 선택합니다.
- 조건부 액세스 | 개요 페이지에서 새 정책 만들기를 선택합니다.
- 이름 필드에 이름을 입력합니다.
- 사용자 링크를 선택합니다.
- 사용자 및 그룹 선택을 선택한 다음 게스트 또는 외부 사용자 검사 상자를 선택합니다.
- 드롭다운에서 B2B 협업 게스트 사용자 및 B2B 협업 멤버 사용자를 선택합니다.
- 대상 리소스 링크를 선택합니다.
- 포함 탭에서 모든 클라우드 앱을 선택합니다.
- 권한 부여 링크를 선택합니다.
- 권한 부여 블레이드에서 다단계 인증 필요 검사 상자를 선택한 다음 선택을 클릭합니다.
- 정책 사용에서 On을 선택한 다음, 만들기를 선택합니다.
이제 게스트는 공유 콘텐츠, 사이트 또는 팀에 액세스하기 전에 다단계 인증에 등록해야 합니다.
추가 정보
게스트에 대한 사용 약관 설정
경우에 따라 게스트는 organization 비밀 유지 계약 또는 기타 법적 계약에 서명하지 않았을 수 있습니다. 게스트에게 공유된 파일에 액세스하기 전에 사용 약관이 동의하도록 요구할 수 있습니다. 처음 공유 파일 또는 사이트에 액세스하려고 시도할 때 사용 약관이 표시될 수 있습니다.
사용 약관을 만들려면 먼저 Word 또는 다른 작성 프로그램에서 문서를 만든 후에 .pdf 파일로 저장해야 합니다. 그런 다음 이 파일을 Microsoft Entra ID에 업로드할 수 있습니다.
Microsoft Entra 사용 약관을 만들려면
보호를 확장한 다음 조건부 액세스를 선택합니다.
사용 약관을 선택합니다.
새 용어를 선택합니다.
이름을 입력합니다.
사용 약관 문서의 경우 작성한 pdf 파일을 찾아 선택합니다.
사용 약관 문서의 언어를 선택합니다.
표시 이름을 입력합니다.
사용자가 사용 약관을 확장해야 함을 켜기로 설정합니다.
조건부 액세스의 조건부 액세스 정책 템플릿으로 적용 목록에서 나중에 조건부 액세스 정책 만들기를 선택합니다.
만들기를 선택합니다.
사용 약관을 만들었으면 다음 단계는 게스트에게 사용 약관을 표시하는 조건부 액세스 정책을 만드는 것입니다.
조건부 액세스 정책을 만들려면
- Microsoft Entra 관리 센터의 보호에서 조건부 액세스를 선택합니다.
- 조건부 액세스 | 개요 페이지에서 새 정책 만들기를 선택합니다.
- 이름 상자에 이름을 입력합니다.
- 사용자 링크를 선택합니다.
- 사용자 및 그룹 선택을 선택한 다음 게스트 또는 외부 사용자 검사 상자를 선택합니다.
- 드롭다운에서 B2B 협업 게스트 사용자 및 B2B 협업 멤버 사용자를 선택합니다.
- 대상 리소스 링크를 선택합니다.
- 포함 탭에서 앱 선택을 선택한 다음 선택 링크를 클릭합니다.
- 선택 블레이드에서 Office 365 선택한 다음 선택을 클릭합니다.
- 권한 부여 링크를 선택합니다.
- 허용 블레이드에서 만든 사용 약관에 대한 검사 상자를 선택한 다음 선택을 클릭합니다.
- 정책 사용에서 On을 선택한 다음, 만들기를 선택합니다.
이제 게스트가 organization 콘텐츠 또는 팀 또는 사이트에 처음 액세스하려고 하면 사용 약관에 동의해야 합니다.
추가 정보
Microsoft SharePoint eSignature 개요
게스트 액세스 검토 설정
Microsoft Entra ID의 액세스 검토를 사용하면 다양한 팀 및 그룹에 대한 사용자 액세스에 대한 정기적인 검토를 자동화할 수 있습니다. 특히 게스트에 대한 액세스 검토를 요구하여 게스트가 필요한 것보다 오랫동안 organization 중요한 정보에 대한 액세스를 유지하지 않도록 할 수 있습니다.
게스트 액세스 검토를 설정하는 방법
ID 거버넌스를 확장하고 액세스 검토를 선택합니다.
새 액세스 검토를 선택합니다.
Teams + 그룹 옵션을 선택합니다.
게스트 사용자가 있는 모든 Microsoft 365 그룹 옵션을 선택합니다. 제외하려는 그룹은 제외할 그룹 선택을 클릭합니다.
게스트 사용자 전용 옵션을 선택한 다음, 다음: 검토를 선택합니다.
검토자 선택에서 그룹 소유자를 선택합니다.
Fallback 검토자 선택을 클릭하고 Fallback 컴토자를 선택한 다음, 선택을 클릭합니다.
검토가 주석에 대해 열려도록 기간(일) 을 선택합니다.
검토 되풀이 구체화에서 분기별을 선택합니다.
시작 날짜 및 기간을 선택합니다.
끝으로, 안 됨을 선택한 다음, 다음: 설정을 선택합니다.
설정 탭에서 비즈니스 규칙과 규정 준수 설정을 검토합니다.
다음: 검토 + 만들기를 선택합니다.
검토자 이름을 입력하고 설정을 검토합니다.
만들기를 선택합니다.
추가 정보
Microsoft Entra ID로 그룹 및 애플리케이션에 대한 액세스 검토 만들기
관리되지 않는 디바이스를 사용하는 게스트에 대한 웹 전용 액세스 설정
게스트가 organization 관리되지 않는 디바이스 또는 트러스트 관계가 있는 다른 organization 사용하는 경우 웹 브라우저만 사용하여 팀, 사이트 및 파일에 액세스하도록 요구할 수 있습니다. 이렇게 하면 중요한 파일을 다운로드하여 관리되지 않는 장치에 보관할 가능성이 줄어듭니다. 공유 장치를 사용하는 환경과 공유할 때도 유용합니다.
Microsoft 365 그룹 및 Teams의 경우 Microsoft Entra 조건부 액세스 정책을 사용하여 수행됩니다. SharePoint의 경우, 이는 SharePoint 관리 센터에서 구성됩니다. (사용자는 또한 민감도 레이블을 사용하여 게스트를 웹 전용 액세스로 제한할 수도 있습니다.)
그룹 및 Teams에 대해 게스트를 웹 전용 액세스로 제한하려면 다음을 수행합니다.
보호를 확장한 다음 조건부 액세스를 선택합니다.
조건부 액세스 | 개요 페이지에서 새 정책 만들기를 선택합니다.
이름 상자에 이름을 입력합니다.
사용자 링크를 선택합니다.
사용자 및 그룹 선택을 선택한 다음 게스트 또는 외부 사용자 검사 상자를 선택합니다.
드롭다운에서 B2B 협업 게스트 사용자 및 B2B 협업 멤버 사용자를 선택합니다.
대상 리소스 링크를 선택합니다.
포함 탭에서 앱 선택을 선택한 다음 선택 링크를 클릭합니다.
선택 블레이드에서 Office 365 선택한 다음 선택을 클릭합니다.
조건 링크를 선택합니다.
조건 블레이드에서 클라이언트 앱 링크를 선택합니다.
클라이언트 앱 블레이드에서 구성에 대해 예를 선택한 다음 모바일 앱 및 데스크톱 클라이언트, Exchange ActiveSync 클라이언트 및 기타 클라이언트 설정을 선택합니다. 브라우저 확인란을 선택 취소합니다.
완료를 선택합니다.
권한 부여 링크를 선택합니다.
허용 블레이드에서 디바이스를 규격으로 표시하도록 요구 및 하이브리드 조인 디바이스에 Microsoft Entra 필요를 선택합니다.
다중 컨트롤의 경우 아래에서 선택한 컨트롤 중 하나 필요를 선택한 후 선택을 클릭합니다.
정책 사용에서 On을 선택한 다음, 만들기를 선택합니다.
추가 정보
SharePoint 및 OneDrive 비관리형 디바이스 액세스 제어
게스트에 대한 세션 시간 제한 구성
게스트가 정기적으로 인증하도록 요구하면 게스트의 장치가 보안이 유지되지 않을 경우 조직의 콘텐츠에 알 수 없는 사용자가 액세스할 가능성이 줄어들 수 있습니다. Microsoft Entra ID의 게스트에 대한 세션 시간 제한 조건부 액세스 정책을 구성할 수 있습니다.
게스트 세션 시간 제한 정책을 구성하려면
- Microsoft Entra 관리 센터를 엽니다.
- 보호를 확장한 다음 조건부 액세스를 선택합니다.
- 조건부 액세스 | 개요 페이지에서 새 정책 만들기를 선택합니다.
- 이름 필드에 이름을 입력합니다.
- 사용자 링크를 선택합니다.
- 사용자 및 그룹 선택을 선택한 다음 게스트 또는 외부 사용자 검사 상자를 선택합니다.
- 드롭다운에서 B2B 협업 게스트 사용자 및 B2B 협업 멤버 사용자를 선택합니다.
- 대상 리소스 링크를 선택합니다.
- 포함 탭에서 앱 선택을 선택한 다음 선택 링크를 클릭합니다.
- 선택 블레이드에서 Office 365 선택한 다음 선택을 클릭합니다.
- 세션 링크를 선택합니다.
- 세션 블레이드에서 로그인 빈도를 선택합니다.
- 해당 기간 동안 1 일과 요 일 을 선택한 다음 선택을 클릭합니다.
- 정책 사용에서 On을 선택한 다음, 만들기를 선택합니다.
매우 중요한 프로젝트에 대한 중요한 정보 유형 만들기
중요한 정보 유형은 규정 준수 요구 사항을 적용하기 위해 정책 워크플로에 사용할 수 있는 미리 정의된 문자열입니다. Microsoft 규정 준수 포털은 운전면허증 번호, 신용카드 번호, 은행 계좌 번호 등을 포함한 100개 넘는 중요한 정보 유형을 제공합니다.
조직에 특정화된 콘텐츠를 관리하기 위해 사용자 지정 중요한 정보 유형을 만들 수도 있습니다. 이 예제에서는 매우 중요한 프로젝트에 대한 사용자 지정 중요한 정보 형식을 만듭니다. 그런 다음 이 중요한 정보 유형을 사용하여 민감도 레이블을 자동으로 적용할 수 있습니다.
사용자 지정 중요한 정보 유형을 만들려면
- Microsoft Purview 규정 준수 포털 왼쪽 탐색 영역에서 데이터 분류를 확장한 다음 분류자를 선택합니다.
- 중요한 정보 유형 탭을 선택합니다.
- 중요한 정보 유형 만들기를 선택합니다.
- 이름 및 설명에 Project Saturn을 입력하고 다음을 선택합니다.
- 패턴 만들기를 선택합니다.
- 새 패턴 패널에서 기본 요소 추가를 선택한 다음 키워드 목록을 선택합니다.
- Project Saturn와 같은 ID를 입력합니다.
- 대/소문자를 구분하지 않는 상자에 프로젝트 토성, 토성,완료를 차례로 선택합니다.
- 만들기를 선택한 다음, 다음을 선택합니다.
- 신뢰 수준을 선택한 다음, 다음을 선택합니다.
- 만들기를 선택합니다.
- 완료를 선택합니다.
자세한 내용은 중요한 정보 유형에 대해 알아보기를 참조하세요.
중요한 정보 유형을 기반으로 민감도 레이블을 할당할 자동 레이블 지정 정책 만들기
organization 민감도 레이블을 사용하는 경우 정의된 중요한 정보 유형이 포함된 파일에 레이블을 자동으로 적용할 수 있습니다.
자동 레이블 지정 정책을 만들려면 다음을 수행하세요.
- Microsoft Purview 관리 센터를 엽니다.
- 왼쪽 탐색 영역에서 정보 보호를 확장하고 자동 레이블 지정을 선택합니다.
- 자동 레이블 지정 정책 만들기를 선택합니다.
- 이 레이블을 적용할 정보 선택 페이지에서 사용자 지정을 선택한 다음, 사용자 지정 정책을 선택합니다.
- 다음을 선택합니다.
- 정책의 이름과 설명을 입력하고 다음을 선택합니다.
- 관리 단위 할당 페이지에서 다음을 선택합니다.
- 레이블을 적용할 위치 선택 페이지에서 SharePoint 사이트를 선택하고 필요에 따라 편집 을 선택하여 사이트를 선택합니다.
- 다음을 선택합니다.
- 일반 또는 고급 규칙 설정 페이지에서 공통 규칙을 선택하고 다음을 선택합니다.
- 모든 위치의 콘텐츠에 대한 규칙 정의 페이지에서 새 규칙을 선택합니다.
- 새 규칙 페이지에서 규칙 이름을 지정하고 조건 추가를 선택한 다음 콘텐츠 포함을 선택합니다.
- 추가를 선택하고, 중요한 정보 유형을 선택하고, 사용할 중요한 정보 유형을 선택하고, 추가를 선택한 다음, 저장을 선택합니다.
- 다음을 선택합니다.
- 레이블 선택을 선택하고 사용할 레이블을 선택한 다음 추가를 선택합니다.
- 다음을 선택합니다.
- 정책을 시뮬레이션 모드로 두고 자동으로 켜지도록 하려면 선택합니다.
- 다음을 선택합니다.
- 정책 만들기를 선택한 다음 완료를 선택합니다.
정책이 준비되었으면 사용자가 "프로젝트 Saturn"을 문서에 입력하는 경우, 자동 레이블 지정 정책이 파일을 스캔할 때 지정된 레이블을 자동으로 적용합니다.
자동 레이블 지정에 대한 자세한 내용은 콘텐츠에 자동으로 민감도 레이블 적용을 참조하세요.
추가 정보
SharePoint 문서 라이브러리에 대한 기본 민감도 레이블 구성
매우 중요한 파일에 대한 게스트 액세스 권한을 제거할 DLP 정책 만들기
Microsoft Purview DLP(데이터 손실 방지)를 사용하면 중요한 콘텐츠의 원치 않는 게스트 공유를 방지할 수 있습니다. 데이터 손실 방지는 파일의 민감도 레이블에 따라 조치를 취하고 게스트 액세스를 제거할 수 있습니다.
DLP 규칙을 만들려면 다음을 수행합니다.
Microsoft Purview 관리 센터를 엽니다.
왼쪽 탐색 영역에서 데이터 손실 방지를 확장하고 정책을 선택합니다.
정책 만들기를 선택합니다.
사용자 지정을 선택한 다음 사용자 지정 정책을 선택합니다.
다음을 선택합니다.
정책의 이름을 입력하고 다음을 선택합니다.
관리 단위 할당 페이지에서 다음을 선택합니다.
정책을 적용할 위치 페이지에서 SharePoint 사이트 및 OneDrive 계정을 제외한 모든 설정을 끄고 다음을 선택합니다.
정책 설정 정의 페이지에서 다음을 선택합니다.
고급 DLP 규칙 사용자 지정 페이지에서 규칙 만들기를 선택하고 규칙의 이름을 입력합니다.
조건에서조건 추가를 선택하고 콘텐츠가 Microsoft 365에서 공유됨을 선택합니다.
드롭다운에서 organization 외부 사용자와 함께 선택합니다.
조건에서조건 추가를 선택하고 콘텐츠 포함을 선택합니다.
추가를 선택하고 민감도 레이블을 선택하고 사용하려는 레이블을 선택한 다음 추가를 선택합니다.
작업에서 작업 추가를 선택하고 액세스 제한 또는 Microsoft 365 위치의 콘텐츠 암호화를 선택합니다.
organization 외부 사용자만 차단 옵션을 선택합니다.
사용자 알림을 켜고 정책 팁 검사 Office 365 서비스에서 사용자에게 알림 상자를 선택합니다.
저장을 선택한 다음, 다음을 선택합니다.
테스트 옵션을 선택하고 다음을 선택합니다.
제출을 선택한 다음 완료를 선택합니다.
게스트가 전체적으로 사이트나 팀의 구성원인 경우에는 정책이 액세스를 제거하지 않음에 유의하도록 합니다. 게스트 구성원이 있는 사이트 또는 팀에 매우 중요한 문서를 포함하려는 경우 다음 옵션을 고려하세요.
- 비공개 채널을 사용하고 프라이빗 채널에서 organization 멤버만 허용합니다.
- 조직 사용자가 팀 자체에 있을 때만 공유 채널을 사용하여 조직 외부 사용자와 공동 작업합니다.
추가 옵션
Microsoft 365 및 Microsoft Entra ID에는 게스트 공유 환경을 보호하는 데 도움이 되는 몇 가지 추가 옵션이 있습니다.
- 사용자가 공유할 수 있는 사람을 제한하기 위해 허용 또는 거부된 공유 도메인 목록을 만들 수 있습니다. 자세한 내용은 도메인별 SharePoint 및 OneDrive 콘텐츠 공유 제한 및 특정 조직의 B2B 사용자에게 초대 허용 또는 차단을 참조하십시오.
- 사용자가 연결할 수 있는 다른 Microsoft Entra 테넌트는 제한할 수 있습니다. 자세한 내용은 테넌트 액세스 제한을 참조하세요.
- 파트너가 게스트 계정을 관리할 수 있는 관리형 환경을 만들 수 있습니다. 자세한 내용은 관리 대상 게스트와 B2B 엑스트라넷 작성을 참조하십시오.