PSPF를 사용한 호주 정부 규정 준수를 위한 민감도 레이블 그룹 및 사이트 구성
이 문서에서는 Microsoft Purview 그룹 및 사이트 구성을 사용하여 SharePoint 사이트 및 Microsoft Teams에 민감도 레이블을 사용하도록 설정하는 방법에 대한 지침을 제공합니다. 그 목적은 호주 정부 조직이 PSPF(보호 보안 정책 프레임워크) 및 ISM(정보 보안 매뉴얼)에 설명된 요구 사항을 준수하면서 이러한 서비스에서 보안 기밀 정보를 보호하는 능력을 높일 수 있도록 돕는 것입니다.
레이블 scope 구성할 때 민감도 레이블에 대해 그룹 및 사이트 설정을 사용하도록 설정할 수 있습니다. 이러한 설정을 통해 SharePoint 사이트 Teams 및 Microsoft 365 그룹과 같은 위치에 민감도 레이블을 적용할 수 있습니다.
그룹 및 사이트 구성을 사용하면 레이블이 적용된 위치에 대해 다음 컨트롤을 일관되게 적용할 수 있습니다.
- 위치 시각적 표시
- 위치 개인 정보 설정
- 위치 게스트 멤버 자격 권한
- 위치 공유 옵션
- 위치 조건부 액세스 요구 사항(디바이스 관리 또는 전체 조건부 액세스 정책 기반)
- 높은 민감도 레이블이 지정된 항목이 낮은 민감도 위치로 이동될 때 트리거되는 위치 데이터 위치 경고
그룹 및 사이트 레이블 구성을 사용하도록 설정하면 새로 만든 SharePoint 사이트 또는 Teams에 대해 구성된 레이블 정책 옵션이 적용됩니다. 사용자가 이러한 항목에 대한 필수 레이블 지정이 필요한 레이블 정책의 scope 내에 있는 경우 사용자가 새 SharePoint 사이트 또는 Microsoft 365 그룹을 만들 때마다 민감도 레이블을 선택해야 합니다.
이러한 설정은 정책이 위치의 민감도에 비례하여 구성되므로 PSPF(보호 보안 정책 프레임워크) 정책 8 핵심 요구 사항 C와 일치합니다.
요구 사항 | 자세한 정보 |
---|---|
PSPF 정책 8 핵심 요구 사항 C(v2018.6) | 가치, 중요도 및 민감도에 비례하여 이러한 정보 보유에 대한 운영 제어를 구현합니다. |
또한 이러한 설정은 사용자가 파일 및 전자 메일을 SharePoint 사이트 및 Teams와 같은 위치로 식별하기 위한 요구 사항을 확장함에 따라 PSPF 정책 8 핵심 요구 사항 A 및 지원 요구 사항 1에 부합합니다.
요구 사항 | 자세한 정보 |
---|---|
핵심 요구 사항 A 및 지원 요구 사항 1: 정보 보유 식별(v2018.6) | 생성자는 생성되는 정보가 공식 정보인지(공식 레코드로 사용하기 위한 정보) 및 해당 정보가 보안 분류인지 여부를 결정해야 합니다. |
이러한 설정은 파일 및 전자 메일의 표시 요구 사항을 SharePoint 사이트, Teams 및 Microsoft 365 그룹으로 확장하므로 지원 요구 사항 4와도 일치합니다.
요구 사항 | 자세한 정보 |
---|---|
PSPF 정책 8 지원 요구 사항 4 - 정보 표시(v2018.6) | 발신자는 적용 가능한 보호 표시를 사용하여 전자 메일을 포함한 중요한 보안 기밀 정보를 명확하게 식별해야 합니다. |
참고
선택한 레이블을 위치 내에서 만든 항목에 자동으로 적용하려면 SharePoint에 대한 기본 레이블 지정 옵션을 사용합니다.
SharePoint 위치에 민감도 레이블을 적용하면 사이트 맨 위에 제공되는 시각적 표시가 사용자에게 위치 민감도를 표시합니다. 이 정보는 사이트에 있는 정보가 배포에 적합한지 확인하는 데 유용합니다.
SharePoint 사이트에 적용된 레이블은 사이트 소유자 또는 SharePoint 관리자가 수정합니다.
팁
SharePoint 문서 라이브러리의 보기를 수정하여 항목에 적용된 민감도 레이블을 표시할 수 있습니다. 이 기능은 위치의 항목을 식별하는 데 유용하며, 위치가 부족할 수 있습니다.
SharePoint 디렉터리의 파일 아이콘을 사용자 지정하여 공유 제한 사항이 적용되는 레이블이 지정된 항목 또는 정책 팁이 구성된 항목에 대한 아이콘 마커를 표시할 수 있습니다. 이러한 두 구성은 공식: 중요 및 보호된 보안 분류와 일치하여 문서 라이브러리에서 작업하는 사용자에게 다른 표시 접근 방식을 제공합니다. 예시:
공유 옵션 제한에 대한 자세한 내용은 보안 기밀 정보 공유 방지를 참조하세요.
SharePoint와 마찬가지로 레이블 지정 정책의 scope 내에 있는 사용자가 만든 새 Teams에는 해당 정책의 요구 사항이 적용되며 레이블을 선택해야 할 수 있습니다.
Teams에 적용된 레이블은 팀의 기본 Microsoft 365 그룹을 통해 팀 소유자, Teams 관리자 또는 Microsoft Entra ID 관리자에 의해 수정됩니다.
SharePoint와 마찬가지로 사용자가 항목 민감도를 명확하게 표시할 수 있도록 Teams 파일 보기를 수정할 수 있습니다.
그룹 및 사이트 구성은 Microsoft 365 그룹에 적용되는 정책 레이블을 적용합니다. Microsoft 365 그룹은 Teams 및 SharePoint 팀 사이트의 멤버 자격 서비스로 사용됩니다. 이 기능은 Microsoft 365 환경 내에서 다른 용도로 사용됩니다. 예를 들어 그룹 사서함 뒤에 있는 멤버 자격 서비스로 사용됩니다. 이는 사용자 자체 관리를 허용하고 사서함에 직접 배달되는 그룹 메시지를 구독하거나 구독 취소할 수 있는 기존 Exchange 배포 Lists 진행한 것입니다.
그룹 사서함에 레이블을 적용하면 존재해야 하거나 그룹 구성원과 공유해도 안전한 콘텐츠의 민감도를 명확하게 나타낼 수 있습니다. 다른 컨트롤은 더 높은 민감도의 콘텐츠 배포를 제한하도록 구성할 수도 있습니다.
그룹 및 사이트 구성은 모든 레이블에 적용되지 않을 수 있으며 조정이 필요합니다. 예를 들어 IMM(정보 관리 표식)은 위치보다 개별 항목과 더 관련이 있습니다. 위치에 적용된 레이블이 잠금 가능한 캐비닛 또는 금고에 적용되는 컨테이너 클래스와 유사하다는 비유입니다. 컨테이너에는 포함된 정보를 보호하기 위한 컨트롤 집합이 함께 제공되지만 각 레이블에 컨테이너가 반드시 필요한 것은 아닙니다. 레이블의 다양한 조합으로 표시된 항목(예: 공식 민감도 및 관련된 모든 IMM 및 기타 하위 레이블)은 동일한 수준의 보호가 적용된 동일한 컨테이너에 있을 수 있습니다. 컨테이너 내의 개별 항목에는 컨테이너의 레이블까지 적용되는 레이블의 변형이 있을 수 있습니다.
이러한 방식으로 그룹 및 사이트 구성을 처리할 때 그룹 및 사이트에 적용하려면 범주당 하나의 레이블만 필요할 수 있습니다. IMM이 적용되지 않은 레이블일 수 있습니다. 특정 레이블에 대해서만 그룹 및 사이트 설정을 사용하도록 설정하면 이러한 위치에 대한 애플리케이션에서 해당 레이블만 사용할 수 있습니다. 다음 표는 호주 정부 컨텍스트의 예입니다.
민감도 레이블 | 그룹 및 사이트 구성 | SharePoint 및 Teams에 애플리케이션 사용 가능 |
---|---|---|
비공식 | 설정 | 선택 |
관 | 설정 | 선택 |
공식 민감도 | 해제 | |
- 공식 민감도 | 설정 | 선택 |
- 공식 중요한 개인 정보 보호 | 해제 | |
- 공식 중요한 법적 권한 | 해제 | |
- 공식 민감한 입법 비밀 | 해제 | |
- 공식 민감한 국가 내각 | 해제 |
이 구성에서 공식 중요 로 레이블이 지정된 위치에 는 개인 정보 보호, 법적 권한 및 입법 비밀의 IMM과 관련된 정보를 포함하여 공식: 중요한 정보가 포함됩니다.
대체 구성이 필요하고 이를 확인하기 위해 적절한 비즈니스 분석을 완료해야 하는 상황이 있습니다. 예를 들어 PROTECTED Legal Privilege 위치에 다른 컨트롤을 적용해야 하는 정부 조직은 이 레이블에 대해 그룹 및 사이트 구성을 사용하도록 설정할 수 있습니다. 이러한 항목의 변경에 대한 레이블 변경 근거를 기록해야 할 수도 있습니다. 이러한 경우 보호된 법적 권한 레이블은 하위 레이블이 아닌 전체 레이블이어야 합니다. 또한 PROTECTED 법적 권한 에서 PROTECTED로의 변경 레이블을 민감도 낮추기로 식별할 수 있도록 다른 PROTECTED 범주 위에 배치해야 합니다. 다음 표는 호주 정부 컨텍스트에서 이에 대한 예입니다.
민감도 레이블 | 그룹 및 사이트 구성 | SharePoint 및 Teams에 애플리케이션 사용 가능 |
---|---|---|
보호 | 해제 | |
-보호 | 설정 | 선택 |
- 보호된 개인 정보 | 해제 | |
- 보호된 입법 비밀 | 해제 | |
- 보호된 캐비닛 | 해제 | |
보호된 법적 권한 | 설정 | 선택 |
레이블에 그룹 및 사이트 설정을 적용하려면 organization 옵션을 사용하도록 설정해야 합니다. 이 프로세스에는 보안 & 규정 준수 PowerShell 사용이 포함됩니다. 이 프로세스에 대한 자세한 내용은 그룹에 민감도 레이블 할당 - Microsoft Entra | Microsoft Learn.
PowerShell을 통해 그룹 및 사이트 설정을 성공적으로 사용하도록 설정하면 레이블 구성 내에서 이 구성을 선택하는 옵션을 사용할 수 있게 됩니다.
그룹 및 사이트 구성을 통해 사용할 수 있는 첫 번째 옵션은 개인 정보입니다. 이 설정을 사용하면 조직에서 모든 Microsoft 365 그룹(그룹 사서함 포함), Teams 및 SharePoint 사이트에 개인 정보 설정을 적용할 수 있습니다. 개인 정보는 퍼블릭, 프라이빗 또는 없음으로 설정할 수 있습니다.
개인 정보 설정은 알아야 할 원칙과 관련된 PSPF 정책 9 요구 사항 2와 관련이 있습니다.
요구 사항 | 자세한 정보 |
---|---|
PSPF 정책 9 요구 사항 2 - 중요한 기밀 정보 및 리소스에 대한 액세스 제한(v2018.6) | 무단 공개의 위험을 줄이려면 엔터티는 중요한 보안 기밀 정보 또는 리소스에 대한 액세스가 알아야 할 사용자에게만 제공되도록 해야 합니다. |
공용의 개인 정보 설정을 사용하면 organization 모든 사용자가 그룹에 가입하거나 그룹 콘텐츠에 액세스할 수 있습니다. 이 설정은 비공식 레이블에 적합할 수 있습니다.
레이블의 개인 정보를 없음 으로 설정하면 그룹 소유자가 적절한 개인 정보 설정을 유연하게 결정할 수 있습니다.
공식 콘텐츠의 경우 PSPF 정책 8은 알아야 할 원칙이 권장되지만 필수는 아니라고 명시하고 있습니다. 공식 레이블은 배포를 위한 수많은 항목에 적용될 가능성이 높습니다. 따라서 공식 그룹의 소유자에게 개인 정보를 결정할 수 있는 유연성을 제공합니다.
요구 사항 | 자세한 정보 |
---|---|
PSPF 정책 8 부록 A – 공식 정보에 대한 최소 보호 및 처리 요구 사항(v2018.6) | 공식 정보에는 알아야 할 원칙이 권장됩니다. |
공식: 중요한 정보 및 보호된 정보의 경우 알아야 할 원칙이 적용됩니다. 개인 정보 옵션을 프라이빗으로 설정해야 합니다. 이렇게 하면 알 필요가 없는 사용자가 포함된 정보에 액세스할 수 없도록 하고 그룹 소유자가 모든 멤버 자격 추가에 대해 책임을 지도록 합니다.
요구 사항 | 자세한 정보 |
---|---|
PSPF 정책 8 부속서 A – 공식: 중요한 정보에 대한 최소 보호 및 처리 요구 사항(v2018.6) | 알아야 할 원칙은 모든 공식: 중요한 정보에 적용됩니다. |
PSPF 정책 8 부록 A – PROTECTED 정보에 대한 최소 보호 및 처리 요구 사항(v2018.6) | 알아야 할 사항 원칙은 모든 PROTECTED 정보에 적용됩니다. |
민감도 레이블을 통해 게스트 액세스를 제어하는 데 사용할 수 있는 옵션은 간단한 구성이지만 원하는 접근 방식은 organization 구성 및 광범위한 외부 공동 작업 요구 사항에 따라 달라집니다. 이 때문에 높은 외부 공동 작업 제어에 대한 요구 사항이 있는 조직과 제어 요구 사항이 낮은 조직에 대한 특정 조언이 있습니다.
외부 공동 작업 제어가 높은 조직에는 엄격한 구성이 필요하며, 이 구성은 Microsoft 365 환경에 대한 외부 액세스를 엄격하게 제어합니다. 이러한 조직은 다음을 구성했습니다.
- 디렉터리 개체에 대한 게스트 액세스를 제한합니다.
- '게스트 초대자' 권한이 부여된 사용자를 제외하고 게스트를 초대하는 사용자의 기능을 제한하는 제한 사항입니다.
- 게스트 초대를 사전 승인된 도메인으로만 제한합니다.
- MFA(다단계 인증)를 사용해야 하고 게스트 액세스에 사용 약관에 동의해야 하는 조건부 액세스 정책입니다.
- 게스트 보안 허가 검사 '알아야 할 사항'의 확인을 포함하여 게스트 승인 워크플로
- 액세스 검토를 사용하여 게스트 계정을 감사하고 액세스가 더 이상 필요하지 않은 경우 환경에서 게스트를 제거하는 지속적인 게스트 관리 프로세스입니다.
조직은 또한 파트너십의 각 측면에 대한 관리 의무를 간략하게 설명하는 외부 조직과 계약을 맺을 것입니다.
다음 요구 사항은 높은 외부 공동 작업 제어와 관련이 있습니다.
요구 사항 | 자세한 정보 |
---|---|
PSPF 정책 8 핵심 요구 사항 C(v2018.6) | 가치, 중요도 및 민감도에 비례하여 이러한 정보 보유에 대한 운영 제어를 구현합니다. |
PSPF 정책 8 부록 A – PROTECTED 정보에 대한 최소 보호 및 처리 요구 사항(v2018.6) | PROTECTED 정보에 지속적으로 액세스하려면 기준 보안 허가(최소)가 필요합니다. |
PSPF 정책 9 요구 사항 1 - 정보 및 리소스를 공유하기 위한 공식화된 계약(v2018.6) | 보안 기밀 정보 또는 리소스를 정부 외부의 개인 또는 organization 공개하는 경우, 기관은 정보 사용 및 보호 방법을 제어하는 계약 또는 행위와 같은 계약이나 계약을 체결해야 합니다. |
PSPF 정책 9 요구 사항 3a - 지속적인 액세스 보안 기밀 정보 및 리소스(v2018.6) | 엔터티는 보안 기밀 정보 또는 리소스에 지속적으로 액세스해야 하는 사용자가 적절한 수준으로 보안이 지워지도록 해야 합니다. |
이전 컨트롤 목록을 구현한 조직은 PROTECTED를 비롯한 모든 레이블에 대해 게스트 액세스 및 외부 협업을 사용하도록 설정할 수 있습니다(적절한 수준에서 게스트 허가를 얻고 유지 관리하는 경우).
외부 공동 작업 컨트롤이 낮고 이전 컨트롤 목록을 구현하지 않은 조직은 다음 사항에 유의해야 합니다.
- 승인된 조직에만 게스트 초대를 제한하지 마세요.
- 게스트 보안 정리 검사 포함하는 게스트 승인 워크플로가 없습니다.
- 액세스 검토 사용을 포함하여 지속적인 게스트 관리를 위한 프로세스가 없습니다.
이러한 조직의 경우 적절한 보안 허가를 사용하도록 설정하지 않도록 하는 운영 제어 및 프로세스와 같이 PROTECTED 콘텐츠에 게스트 액세스를 사용하도록 설정하는 것은 적절하지 않습니다.
'외부 사용자 액세스' 설정은 레이블이 적용된 Microsoft 365 그룹(Teams 포함)에 게스트를 추가할 수 있는지 여부를 제어합니다.
외부 공동 작업 제어가 높은 조직은 모든 레이블에서 이 설정을 사용하도록 설정하여 전반적으로 게스트 협업을 허용할 수 있습니다.
컨트롤이 낮은 사용자들은 비공식 및 공식 사이트, Teams 및 그룹에 대해서만 이 옵션을 사용하도록 설정할 수 있습니다.
테넌트 내에서 게스트 협업을 사용하지 않는 조직은 이 설정을 해제하고 Entra 내에서 게스트 액세스 설정을 사용하지 않도록 설정해야 합니다.
중요
Entra에서 구성된 게스트 테넌트 설정은 항상 레이블 기반 구성보다 우선합니다.
게스트가 Entra의 환경에 대해 사용하도록 설정되지 않은 경우 레이블의 외부 사용자 액세스 설정은 관련이 없으며 무시됩니다.
예제 그룹 및 사이트 설정에 제공된 외부 액세스 설정은 PSPF 정책 8 핵심 요구 사항 C에 따라 위치의 민감도에 비례하는 운영 제어를 보여 줍니다.
레이블 그룹 및 사이트 설정을 사용하면 위치에 적용된 레이블에 따라 일관된 구성 공유 설정을 사용할 수 있습니다.
organization 기본값(허용되는 가장 낮은 설정)은 구성된 SharePoint 공유 설정에서 가져옵니다. 그런 다음 관리자는 사이트에서 개별적으로 또는 적용된 민감도 레이블에 따라 구성된 보다 제한적인 설정을 구성할 수 있습니다.
민감도 레이블을 기반으로 하는 구성의 이점은 중요한 위치가 organization 기본 최소값을 상속하는 대신 레이블 기반 구성을 통해 부적절한 공유로부터 보호된다는 것입니다.
레이블 기반 공유 컨트롤에 사용할 수 있는 옵션은 다음과 같습니다.
- 누구나 레이블이 지정된 위치에서 항목을 공유하고 인증 또는 권한 부여 없이 링크를 받는 사용자가 액세스할 수 있도록 허용합니다. 이 링크 형식에 대해 '알아야 할 사항'을 사용할 수 없습니다.
- 신규 및 기존 게스트는 링크에 액세스하기 전에 게스트가 인증해야 하며 액세스 시 게스트 계정을 만드는 데도 사용할 수 있습니다. 이 옵션은 높은 외부 공동 작업 제어를 원하는 조직에는 권장되지 않습니다.
- 기존 게스트는 레이블이 지정된 위치의 항목을 organization 디렉터리에 이미 있는 게스트 계정과 공유할 수 있습니다. 이 옵션은 인증 및 권한 부여를 제공하기 때문에 많은 상황에 적합합니다. 이 옵션은 높은 외부 공동 작업 제어를 원하는 조직에 권장됩니다.
- organization 사용자만 내부 사용자에 대한 공유를 제한합니다.
일반적인 배포는 낮은 민감도 위치에 대해 선택된 '신규 및 기존 게스트' 옵션으로 시작하여 PROTECTED 위치와 같은 높은 민감도를 위해 'organization 사용자만'으로 진행됩니다. 외부 공동 작업 제어가 높은 조직은 모든 레이블에서 '기존 게스트' 옵션을 사용합니다.
외부 액세스 설정 과 마찬가지로 예제 그룹 및 사이트 설정 에 제공되는 예제 구성은 위치의 민감도에 비례하는 운영 제어를 보여 주기 위해 설계되었습니다(PSPF 정책 8 핵심 요구 사항 C에 따라).
organization 레이블이 지정된 위치에서 공유를 추가로 제한하려는 경우 PowerShell을 통해 고급 기능을 사용하도록 설정하여 사이트 또는 팀 구성원이 사용할 수 있는 공유 옵션을 제어할 수 있습니다. 이 구성은 PSPF 정책 9 요구 사항 2에 맞게 PROTECTED 레이블에 적용할 수 있습니다.
요구 사항 | 자세한 정보 |
---|---|
PSPF 정책 9 요구 사항 2 - 중요한 기밀 정보 및 리소스에 대한 액세스 제한(v2018.6) | 무단 공개의 위험을 줄이려면 엔터티는 중요한 보안 기밀 정보 또는 리소스에 대한 액세스가 알아야 할 사용자에게만 제공되도록 해야 합니다. |
이 옵션을 사용하면 팀 소유자가 구성원을 대신하여 모든 공유 활동을 완료하거나 구성원 자격을 확장하여 사이트 또는 팀의 포함된 정보에 대한 액세스를 제공해야 하므로 PROTECTED 위치에 저장된 콘텐츠에 대한 사용자 액세스를 제어할 수 있습니다.
이러한 기능은 다음 PowerShell을 통해 구성할 수 있습니다.
Set-Label -Identity <Label_GUID> -AdvancedSettings @{MembersCanShare="MemberShareNone"}
MembersCanShare 옵션에 대한 자세한 내용은 Microsoft Teams, Microsoft 365 그룹 및 SharePoint 사이트에서 민감도 레이블 사용을 참조하세요.
Microsoft Entra ID 조건부 액세스 정책은 Entra 인증 및 액세스 제어를 사용하는 서비스에 대한 액세스를 제어하는 제어를 제공합니다. 조건부 액세스 정책은 특정 조건을 평가하여 SharePoint, Teams 또는 Microsoft 365와 같은 특정 서비스에 대한 액세스가 허용되는지 여부를 확인합니다. 조건부 액세스 정책의 기본 기능은 특정 그룹 또는 사이트 수준에 대한 액세스를 보다 세부적으로 제어할 수 없습니다.
민감도 레이블 조건부 액세스 구성을 사용하면 위치(사이트 또는 팀)에 적용된 레이블과 사용자 액세스 요구 사항 간의 맞춤을 허용합니다. 이는 대부분의 경우 로그인 또는 서비스에 대한 연결에서 검사되는 표준 조건부 액세스를 통해 달성할 수 있는 것보다 더 세분화된 수준의 제어를 제공합니다.
민감도 레이블별 조건부 액세스 요구 사항은 조건부 액세스 로그인 요구 사항 외에도 적용됩니다. 예를 들어 조건부 액세스 정책에 다음이 필요한 경우
- 사용자가 인증합니다.
- 사용자는 MFA(다단계 인증)를 통해 ID를 확인합니다.
- 사용자는 관리되는 디바이스에 있어야 합니다.
이러한 조건이 모두 true인 경우 관리되는 디바이스가 필요한 레이블 기반 정책은 로그인 시 트리거되는 조건부 액세스 정책에서 이 요구 사항을 충족하므로 거의 가치를 제공하지 않습니다.
그러나 사용자는 관리되지 않는 디바이스를 통해 일부 위치(예: 비공식 또는 공식)를 인증하고 액세스할 수 있습니다. 그런 다음 관리되는 디바이스를 요구하도록 구성된 더 높은 민감도 위치(예: 공식: 민감도)에 액세스하려고 하면 액세스가 차단됩니다. 이러한 기능은 매우 중요한 위치에 액세스하는 데 사용되는 디바이스의 위험에 대한 organization 열지 않고 개인 모바일 디바이스 또는 가정용 컴퓨터를 통해 액세스 수준을 사용하도록 설정하여 원격 작업을 허용하는 데 사용할 수 있습니다.
많은 그룹 및 사이트 구성 옵션과 마찬가지로 이러한 컨트롤은 위치의 민감도에 따라 액세스 제한을 적용할 수 있으므로 PSPF 정책 8 핵심 요구 사항 C에 연결할 수 있습니다.
요구 사항 | 자세한 정보 |
---|---|
PSPF 정책 8 핵심 요구 사항 C(v2018.6) | 가치, 중요도 및 민감도에 비례하여 이러한 정보 보유에 대한 운영 제어를 구현합니다. |
또한 이 컨트롤 집합은 정보에 대한 액세스를 제한하고 알아야 할 사항을 보장하는 데 도움이 되므로 PSPF 정책 9 요구 사항 2도 적용할 수 있습니다.
요구 사항 | 자세한 정보 |
---|---|
PSPF 정책 9 요구 사항 2 - 중요한 기밀 정보 및 리소스에 대한 액세스 제한(v2018.6) | 무단 공개의 위험을 줄이려면 엔터티는 중요한 보안 기밀 정보 또는 리소스에 대한 액세스가 알아야 할 사용자에게만 제공되도록 해야 합니다. |
그룹 및 사이트 설정을 통해 사용할 수 있는 두 가지 조건부 액세스 구성 범주는 다음과 같습니다.
- 관리되지 않는 디바이스 제한
- 인증 컨텍스트
관리되지 않는 디바이스는 Intune 디바이스 관리 플랫폼에 등록되지 않았거나 Microsoft Entra ID 조인되지 않은 디바이스입니다. 관리되지 않는 디바이스를 식별하면 환경에 연결된 디바이스가 알려지고, 사용자가 조직 계정으로 인증되었으며, 기본 디바이스 요구 사항 집합이 마련되어 있는지 확인하는 데 도움이 됩니다. 이러한 요구 사항을 충족하지 않는 디바이스는 해당 디바이스보다 위험 수준이 높은 것으로 간주될 수 있습니다.
Microsoft Entra ID 조인된 디바이스에 대한 자세한 내용은 Azure AD 조인 디바이스란?을 참조하세요.
민감도 레이블에서 관리되지 않는 디바이스 옵션을 구성하면 레이블이 지정된 SharePoint 사이트 또는 Teams를 관리되지 않는 디바이스를 대상으로 하고 '앱 적용 제한'을 적용하는 조건부 액세스 정책에 연결할 수 있습니다.
다음 세 가지 구성 옵션을 사용할 수 있습니다.
- 데스크톱 앱, 모바일 앱 및 웹에서 전체 액세스 허용: 이 옵션을 사용하면 관리되지 않는 디바이스가 아무 제한 없이 레이블이 지정된 위치에 액세스할 수 있습니다. 이렇게 하면 사용자가 이러한 위치에서 관리되지 않는 디바이스로 파일을 다운로드할 수 있으며, 이로 인해 다른 컨트롤이 없는 데이터 손실이 발생할 수 있습니다. 이로 인해 일부 조직에서는 낮은 민감도 위치에 대해서만 사용하도록 선택할 수 있습니다.
- 제한된 웹 전용 액세스 허용: 이 옵션을 사용하면 관리되지 않는 디바이스가 웹 브라우저를 통해서만 레이블이 지정된 위치에 액세스할 수 있습니다. 또한 이러한 웹 전용 세션은 파일을 다운로드하거나 인쇄하는 기능을 제거하여 공격자가 쉽게 액세스하거나 실수로 볼 수 있는 위치에 중요한 정보가 다운로드되고 저장되지 않도록 보호하여 알아야 할 사항을 보장할 수 있습니다.
- 액세스 차단: 이 옵션은 레이블이 적용된 위치에 대한 관리되지 않는 디바이스 액세스를 차단하는 데 사용할 수 있습니다.
조직에서 순전히 디바이스 관리 상태 기반으로 하는 것보다 레이블이 지정된 위치에 더 세분화된 컨트롤을 적용해야 하는 몇 가지 시나리오가 있습니다. 인증 컨텍스트 를 사용하면 레이블이 지정된 위치와 완전히 기능을 갖춘 조건부 액세스 정책을 정렬할 수 있습니다.
인증 컨텍스트는 기본적으로 조건부 액세스 정책을 민감도 레이블과 연결하는 데 사용되는 '개체'입니다. 레이블이 지정된 사이트에 액세스하려고 시도하면 연결된 조건부 액세스 정책이 트리거되고 요구 사항이 적용됩니다.
인증 컨텍스트의 이점은 다음과 같습니다.
- 위치의 민감도에 따라 전체 조건부 액세스 정책을 일관되게 적용할 수 있습니다.
- 전체 조건부 액세스 정책의 세분화된 제어를 통해 사용자 또는 그룹 기반 제외, 위치 또는 IP 기반 제한과 같은 더 많은 틈새 시나리오를 충족할 수 있습니다.
인증 컨텍스트 및 관련 조건부 액세스 정책은 레이블에 연결하려면 Microsoft Entra ID 내에 만들어야 합니다.
PSPF 정책 8 부록 A에는 정부 시설 외부의 정보 사용 및 저장을 위해 마련되어야 하는 제어 목록이 포함되어 있습니다.
이러한 부속서에는 관리되는(보안 상태) 및 비관리형(비보안 상태) 디바이스의 정의와 권한 있는 비정부 디바이스 사용에 관한 설명이 포함됩니다. 이러한 부속서의 세부 정보에 대한 자세한 내용은 PSPF(보호 보안 정책 프레임워크)를 참조하세요.
'다른 모든 모바일 디바이스' 범주에 속하는 비정부 디바이스의 사용과 관련하여:
요구 사항 | 자세한 정보 |
---|---|
PSPF 정책 8 부록 B - 정부에서 발급한 모바일 디바이스에 대한 최소 보호 및 처리 요구 사항(v2018.6) | 다른 모든 모바일 디바이스 – 엔터티가 소유, 발급 또는 승인하지 않은 디바이스입니다. 이러한 디바이스는 정부 공식: 중요 또는 더 높은 정보에 액세스, 처리, 저장 또는 통신할 수 있는 권한이 부여되어서는 안 됩니다. |
다음은 PSPF 정책 8 Core 요구 사항 C(민감도에 비례하는 컨트롤)에 따라 레이블 기반 조건부 액세스 정책을 구성하는 방법의 예입니다. 이 예제에서는 인증 컨텍스트를 통해 레이블이 지정된 위치에 적용할 수 있는 위치 기반 컨트롤 전에 서비스에 대한 인증/액세스 시 사용자에게 일반적인 조건부 액세스 정책이 적용되는 것을 보여 줍니다.
Label | 조건부 액세스 설정 |
---|---|
비공식 | 모든 권한을 허용합니다. |
관 | 모든 권한을 허용합니다. |
공식: 중요 | 관리되지 않는 모든 디바이스에 대한 액세스를 차단합니다. |
보호 | 다음을 수행할 인증 컨텍스트에 연결합니다. - 관리되는 디바이스가 필요합니다. - 권한 있는 사용자 그룹의 멤버 자격이 필요하고, - 신뢰할 수 있는 위치에서 액세스해야 합니다. |
그룹 및 사이트 구성을 통해 위치에 레이블을 적용하면 데이터를 잘못된 위치에 경고할 수 있습니다.
관리자가 위치에 레이블을 적용하는 경우 해당 위치가 적용된 레이블을 포함하여 항목의 스토리지에 적합하다는 것을 설정합니다. 위치가 'OFFICIAL: Sensitive'로 구성된 경우 'OFFICIAL: Sensitive' 및 동일한 그룹화 내에 있을 수 있는 하위 레이블을 포함하여 모든 레이블의 항목을 포함할 수 있습니다.
보호된 항목이 '공식: 중요한' 위치로 이동되는 경우 이는 데이터 유출이며 수정이 필요하며, 이는 위치 외부 경고가 중요한 위치입니다.
이러한 이벤트가 발생하는 경우:
- 이 작업은 차단되지 않습니다. 이는 재분류 또는 기타 필수 비즈니스 프로세스 때문일 수 있으므로 중요합니다.
- 호환되지 않는 민감도 레이블이 검색된 경고가 사용자에게 전송됩니다. 이 경고는 사용자에게 전송되며, 이 경고는 문제를 교육하고 항목, 항목 및 위치에 대한 링크를 제공하며 추가 지원을 위해 URL로 보낼 수 있습니다.
- SharePoint 사이트의 관리자에게 인시던트에 대해 알리는 경고가 전송됩니다. 필요한 경우 메일 흐름 규칙 또는 유사한 구성을 구현하여 이러한 경고를 보안 팀에 전송할 수 있습니다.
- '검색된 문서 민감도 불일치' 감사 로그 이벤트가 생성됩니다.
다음은 이러한 작업이 발생할 때 사용자에게 전송되는 경고의 예입니다.
팁
다음을 통해 이러한 알림에 제공된 HelpLink URL을 구성할 수 있습니다.
Set-SPOTenant –LabelMismatchEmailHelpLink “URL”
데이터가 잘못되었습니다. 경고는 다음과 같이 면밀히 모니터링해야 합니다.
- PROTECTED 또는 OFFICIAL: 중요한 항목이 더 허용적인 개인 정보 구성을 가질 수 있는 낮은 민감도 컨테이너로 이동되는 경우 알아야 할 원칙을 준수하기 어려울 수 있습니다.
- 조건부 액세스와 같은 컨트롤은 낮은 민감도 위치에서 더 완화될 수 있으며, 이로 인해 데이터가 유출되거나 관리되지 않는 디바이스로 이동될 수 있습니다.
정부 조직은 Microsoft Purview 계층화된 접근 방식을 사용하여 데이터의 데이터 반출 위험을 줄일 수 있습니다. 여기에는 다음이 포함됩니다.
- 데이터를 모니터링하기 위한 접근 방식의 경고입니다.
- 적용된 레이블 이외의 항목에 포함된 콘텐츠를 평가하는 DLP(데이터 손실 방지) 보호 계층을 포함합니다( 중요한 정보의 배포 제한에 설명된 대로).
- 내부자 위험 관리 및 적응형 보호와 같은 도구를 통해 심각한 정책 위반에 앞서 위험한 사용자 동작을 식별합니다.
기본적으로 민감도 불일치 경고는 감사 로그, 사이트 관리자 사서함에 표시되며 활동 탐색기에 표시됩니다. 정부 조직을 위한 Microsoft Purview 구현에는 민감도 불일치 경고를 처리하기 위한 전략 및 프로세스가 포함되어야 합니다. 이 전략에는 우선 순위가 낮은 불일치보다 더 중요한 경고가 우선 순위가 지정되도록 하는 우선 순위도 포함되어야 합니다.
예를 들어 비공식으로 레이블이 지정된 SharePoint 위치로 이동되는 공식 정보는 비공식으로 레이블이 지정된 SharePoint 위치로 이동되는 보호된 정보보다 결과가 적으며 우선 순위순으로 우선 순위를 지정해야 합니다.
다음 예제 우선 순위 매트릭스는 조직에서 데이터의 우선 순위를 지정해야 하는 이벤트 수정을 결정할 수 있는 방법을 보여 줍니다.
항목 레이블 | 비공식 위치 | 공식 위치 | 공식 중요한 위치 | 보호된 위치 |
---|---|---|---|---|
비공식 항목 | - | - | - | - |
공식 항목 | 우선 순위 낮추기 | - | - | - |
공식 중요 항목 | 중간 우선 순위 | 중간 우선 순위 | - | - |
보호된 항목 | 가장 높은 우선 순위 | 높은 우선 순위 | 높은 우선 순위 | - |
이러한 이벤트를 모니터링하고 실행하려면 감사 로그를 수집하기 위한 Microsoft Sentinel 같은 SIEM(보안 정보 및 이벤트 관리) 솔루션을 사용하고 위치의 민감도 및 항목의 민감도에 따라 이벤트를 필터링하는 것입니다. 그런 다음, 상황을 해결하기 위해 경고 또는 수정 활동을 트리거합니다.
SIEM 기능을 사용하지 않는 조직의 경우 메일 흐름 규칙을 통해 세부적인 경고를 제공할 수 있습니다. 이 규칙은 위반하는 사용자에게 전송된 경고 이메일의 본문을 확인하고 다른 곳에 있는 전자 메일에 조치를 지시합니다. 예시:
이러한 규칙은 파일 및 사이트 민감도 세부 정보에 대한 이메일 본문을 검사 다음 보안 팀에 알림과 같은 적절한 경고를 트리거하도록 구성할 수 있습니다.
Power Automate 는 다른 보고 또는 경고 옵션을 제공합니다. 예를 들어 잘못된 위치 경고 사서함으로 전송된 항목에 대해 작업하고, Microsoft Entra ID 잘못된 사용자 관리자 필드를 가져오고, 관리자에게 인시던트 보고서를 보내서 부하로 상황을 해결할 수 있도록 하는 흐름을 만들 수 있습니다.
팁
가장 좋은 방법은 다른 비즈니스 프로세스와 일치하는 경고/보고 전략을 개발하는 것입니다. SIEM으로 Microsoft Sentinel 사용하는 것이 가장 좋은 옵션입니다. 이 옵션은 Microsoft Purview와 함께 작동하도록 빌드되고 설계되었습니다.
다음은 적용된 민감도 레이블에 따라 위치에 세분화된 컨트롤을 적용하는 방법의 예를 제공하기 위한 것입니다. 이는 PSPF 정책 8 핵심 요구 사항 C와 일치하며 항목의 값, 중요도 및 민감도에 비례하는 운영 제어를 제공합니다.
민감도 레이블 | 그룹 & 사이트 | 개인 정보 설정 | 외부 액세스 | 외부 공유 | 조건부 액세스 |
---|---|---|---|---|---|
비공식 | 설정 | 끄기 또는 없음 (사용자가 결정) |
게스트 허용 | 기존 게스트 허용 | 관리되지 않는 디바이스에서 전체 액세스 끄기 또는 허용 |
관 | 설정 | 끄기 또는 없음 (사용자가 결정) |
게스트 허용 | 기존 게스트 허용 | 관리되지 않는 디바이스에서 전체 액세스 끄기 또는 허용 |
공식 민감도(범주) | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
공식 민감도 | 설정 | 개인 | 게스트 허용 | 기존 게스트 허용 | 관리되지 않는 디바이스에 대한 액세스 차단 |
공식 중요한 개인 정보 | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
공식 중요한 법적 권한 | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
공식 민감한 입법 비밀 | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
공식 민감한 국가 내각 | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
PROTECTED(범주) | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
보호 | 설정 | 개인 | 게스트 허용 안 함 | 조직 내부 사용자만 | 인증 컨텍스트: - MFA 필요, - 관리 디바이스; 그리고 - 신뢰할 수 있는 위치입니다. |
보호됨 - 개인 정보 보호 | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
PROTECTED - 법적 권한 | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
보호됨 - 입법 비밀 | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
보호된 캐비닛 | 설정 | 개인 | 게스트 허용 안 함 | 조직 내부 사용자만 | 인증 컨텍스트: - MFA 필요, - 관리 디바이스; 그리고 - 신뢰할 수 있는 위치입니다. |
보호된 국가 내각 | 설정 | 개인 | 게스트 허용 안 함 | 조직 내부 사용자만 | 인증 컨텍스트: - MFA 필요, - 관리 디바이스; 그리고 - 신뢰할 수 있는 위치입니다. |
기본 레이블 지정은 SharePoint 문서 라이브러리 내에서 만든 항목이 민감도 레이블을 자동으로 상속할 수 있도록 하는 기능입니다. 상속된 레이블은 새 항목 또는 레이블이 지정되지 않은 항목과 기본 레이블보다 순서가 낮은 기존 레이블이 있는 항목에 적용됩니다. 기본 레이블을 사용하여 사이트의 민감도와 사이트 내에 저장된 파일의 민감도를 일치시킬 수 있습니다.
정부 조직은 다음과 같은 자동 분류 사용을 금지하는 기본 레이블 지정 옵션과 요구 사항 간의 명백한 근접성을 염려할 수 있습니다.
요구 사항 | 자세한 정보 |
---|---|
PSPF 정책 8, 요구 사항 2a(핵심 요구 사항): 중요 및 보안 분류 정보 평가(v2018.6) | 적용할 보안 분류를 결정하려면 생성자는 다음을 수행해야 합니다. i. 정보의 기밀성이 손상될 경우 발생할 수 있는 정부, 국익, 조직 또는 개인에 대한 잠재적 피해를 고려하여 공식 정보의 가치, 중요성 또는 민감도를 평가합니다. 그리고 ii. 가장 낮은 적절한 수준에서 보안 분류를 설정합니다. |
오스트레일리아 정부 환경의 기본 레이블 지정은 시스템에서 항목을 생성하는 경우에 유용할 수 있습니다. 예를 들어 대량으로 항목을 만드는 비즈니스 프로세스의 일부로 사용되는 애플리케이션이 있는 경우(예: Power Automate 흐름) 항목이 생성되는 위치는 기본 레이블을 적용할 수 있습니다. 이렇게 하면 프로세스에서 생성된 모든 항목에 일관된 레이블이 적용됩니다.
새로 만든 항목과 기본 설정이 적용된 후 수정되거나 위치로 이동된 항목만 레이블을 상속합니다. 레이블은 해당 위치의 기존 미사용 파일에 적용할 수 없습니다.
레이블 암호화를 사용하는 조직의 경우 기본 레이블 지정으로 다음 사항에 유의해야 합니다.
- 암호화된 콘텐츠를 사용하도록 설정하지 않고( 레이블 암호화 제약 조건에서 설명한 대로) 사용자가 파일>저장 옵션을 선택할 때 문서 라이브러리에 대한 기본 민감도 레이블을 적용하는 데 약간의 지연이 있을 수 있습니다.
- 웹용 Office 365 대한 민감도 레이블과 마찬가지로 암호화를 적용하는 일부 레이블 구성은 SharePoint에서 지원되지 않습니다. 예시:
- 사용자가 권한을 할당하도록 허용 암호화 옵션에는 사용자 상호 작용이 필요하며 기본 레이블 지정에 적합하지 않습니다.
- 사용자 액세스 만료 및 이중 키 암호화와 관련된 옵션도 영향을 받을 수 있습니다.
기본 레이블 지정에 대한 자세한 내용은 SharePoint 문서 라이브러리에 대한 기본 민감도 레이블 구성을 참조하세요.