세 가지 파일 공유 보안 계층으로 Teams 구성
이 문서의 일부 기능에는 Microsoft Syntex - SharePoint 고급 관리가 필요합니다.
이 시리즈의 문서에서는 공동 작업 용이성과 보안의 균형을 맞추는 파일 보호를 위해 Microsoft Teams 및 관련 SharePoint 사이트에서 팀을 구성하기 위한 권장 사항을 제공합니다.
이 문서는 가장 공개적인 공유 정책을 사용하여 공개 팀을 시작하는 네 가지 다양한 구성을 정의합니다. 각각의 추가 구성은 보호 기능의 의미 있는 강화를 나타내고, 팀 내에 저장된 파일에 대한 액세스 및 공동 작업 기능은 관련 팀원의 집합으로 축소됩니다.
이 문서의 구성은 데이터, ID 및 장치의 3계층 보호에 대한 Microsoft 권장 사항과 일치합니다.
초기 보호
중요 보호
매우 중요한 보호
규정 준수 요구 사항을 충족하는 Teams 모임 환경을 만드는 방법에 대한 자세한 내용은 세 가지 보호 계층으로 Teams 모임 구성을 참조하세요.
세 계층에 대한 간략한 정보
다음 표에서는 각 계층의 구성을 요약해서 보여줍니다. 이러한 구성을 시작하기 위한 권장 사항으로 사용하고, 조직의 요구 사항에 맞게 구성을 조정합니다. 모든 계층이 필요한 것은 아닙니다.
기준(공개) | 기준(비공개) | 중요 | 매우 중요 | |
---|---|---|---|---|
비공개 또는 공개 팀 | Public | 개인 | 개인 | 개인 |
액세스 가능한 사용자 | B2B 게스트를 포함하여 조직의 모든 사용자. | 팀의 구성원만. 다른 사용자는 연결된 사이트에 대한 액세스를 요청할 수 있습니다. | 팀의 구성원만. | 팀의 구성원만. |
비공개 채널 | 소유자와 구성원은 비공개 채널을 만들 수 있습니다. | 소유자와 구성원은 비공개 채널을 만들 수 있습니다. | 소유자만 비공개 채널을 만들 수 있습니다. | 소유자만 비공개 채널을 만들 수 있습니다. |
사이트 수준 게스트 액세스 | 신규 및 기존 게스트(기본값). | 신규 및 기존 게스트(기본값). | 신규 및 기존 게스트 또는 팀 요구에 따라 조직의 사용자만. | 신규 및 기존 게스트 또는 팀 요구에 따라 조직의 사용자만. |
사이트 수준 조건부 액세스 | 데스크톱 앱, 모바일 앱 그리고 웹에서의 모든 액세스(기본값). | 데스크톱 앱, 모바일 앱 그리고 웹에서의 모든 액세스(기본값). | 제한된 웹 전용 액세스 허용. | 사용자 지정 조건부 액세스 정책 |
기본 공유 링크 유형 | 조직 내부 사용자만 | 조직 내부 사용자만 | 특정 사용자 | 기존 액세스를 지닌 사용자 |
민감도 레이블 | 없음 | 없음 | 팀을 분류하고 게스트 공유 및 관리되지 않는 장치 액세스를 제어하는 데 사용되는 민감도 레이블입니다. | 팀을 분류하고, 게스트 공유를 제어하고, 조건부 액세스 정책을 지정하는 데 사용되는 민감도 레이블입니다. 기본 파일 레이블은 파일을 암호화하는 데 사용됩니다. |
사이트 공유 설정 | 사이트 소유자 및 구성원, 편집 권한이 있는 사용자는 파일 및 폴더를 공유할 수 있지만 사이트는 오직 사이트 소유자만 공유할 수 있습니다. | 사이트 소유자 및 구성원, 편집 권한이 있는 사용자는 파일 및 폴더를 공유할 수 있지만 사이트는 오직 사이트 소유자만 공유할 수 있습니다. | 사이트 소유자 및 구성원, 편집 권한이 있는 사용자는 파일 및 폴더를 공유할 수 있지만 사이트는 오직 사이트 소유자만 공유할 수 있습니다. | 해당 없음(사이트 수준 제한된 액세스 제어 정책에 의해 제어됨) |
사이트 수준 제한된 액세스 제어 정책 | 없음 | 없음 | 없음 | 팀 구성원만 |
초기 보호에는 공개 팀과 비공개 팀이 포함됩니다. 공개 팀은 조직의 모든 사용자가 검색하고 액세스할 수 있습니다. 개인 팀은 팀의 구성원만 검색하고 액세스할 수 있습니다. 이러한 두 가지 구성에서는 모두 권한 관리를 지원하기 위해 연결된 SharePoint 사이트의 공유를 팀 소유자로 제한합니다.
중요한 보호 및 매우 중요한 보호에 대한 Teams는 공유 및 연결된 사이트에 대한 액세스 요청이 제한되는 비공개 팀이며, 민감도 레이블을 사용하여 게스트 공유, 장치 액세스 및 콘텐츠 암호화에 대한 정책을 설정합니다.
민감도 레이블
중요한 계층 및 매우 중요한 계층에서는 민감도 레이블을 사용하여 팀과 파일을 보호합니다. 이러한 계층을 구현하려면 민감도 레이블을 사용하도록 설정하여 Microsoft Teams, Microsoft 365 그룹 및 SharePoint 사이트의 콘텐츠를 보호해야 합니다.
기준 계층에는 민감도 레이블이 필요하지 않지만 "일반" 레이블을 만든 다음 모든 팀에 레이블을 지정하도록 요구하는 것이 좋습니다. 이렇게 하면 사용자가 팀을 만들 때 민감도를 의식적으로 선택할 수 있습니다. 중요하거나 매우 중요한 계층을 배포하려는 경우 기준 팀과 민감하지 않은 파일에 사용할 수 있는 "일반" 레이블을 만드는 것이 좋습니다. 매우 중요한 계층의 경우 문서 라이브러리에 대한 기본 민감도 레이블을 지정하여 Office 파일 및 기타 호환되는 파일이 업로드될 때 해당 레이블이 자동으로 적용되도록 합니다.
민감도 레이블을 처음 사용하는 경우 민감도 레이블 시작하기를 읽고 시작하는 것이 좋습니다.
조직에서 민감도 레이블이 이미 배포된 경우 중요한 및 매우 중요한 계층에서 사용되는 레이블이 전반적인 레이블 전략에 어떻게 적용되는지 고려합니다.
SharePoint 사이트 공유
각 팀에는 문서가 저장되는 연결된 SharePoint 사이트가 있습니다. (이것은 팀 채널의 파일 탭입니다.) SharePoint 사이트에는 고유한 사용 권한 관리가 유지되지만 팀 권한에 연결됩니다. 팀 소유자는 사이트 소유자로 포함되고 팀 구성원은 연결된 사이트에서 사이트 구성원으로 포함됩니다.
결과로 제공되는 권한을 사용하여 다음을 수행할 수 있습니다.
- 팀 소유자가 사이트를 관리하고 사이트 콘텐츠를 전체적으로 제어할 수 있습니다.
- 팀 구성원이 사이트에서 파일을 만들고 편집할 수 있습니다.
기본적으로 팀 소유자와 구성원은 팀 외부의 사용자를 실제로 팀에 추가하지 않고도 이들과 사이트를 공유할 수 있습니다. 사용자 관리를 복잡하게 만들고 팀 소유자가 인식하지 않고 팀 파일에 액세스할 수 있는 팀 구성원이 아닌 사용자로 이어질 수 있으므로 이에 대해 권장합니다. 이를 방지하려면 기준 보호 수준에서 시작하여 소유자만 사이트를 직접 공유할 수 있도록 하는 것이 좋습니다.
팀에는 읽기 전용 사용 권한 옵션이 없지만 SharePoint 사이트는 이 옵션을 사용합니다. 팀 파일을 볼 수 있지만 편집할 수 없는 관련자 또는 파트너 그룹이 있는 경우 보기 권한이 있는 SharePoint 사이트에 직접 추가하는 것이 좋습니다.
매우 중요한 계층의 경우 사이트에 대한 액세스를 팀 구성원으로만 제한합니다. 또한 이 제한으로 인해 팀 외부 사용자와 파일을 공유할 수 없습니다.
파일 및 폴더 공유
기본적으로 팀 소유자와 팀 구성원 모두 팀 외부의 사용자와 파일 및 폴더를 공유할 수 있습니다. 게스트 공유를 허용하는 경우 조직 외부의 사용자가 포함될 수 있습니다. 세 계층 모두 실수로 과도하게 공유하는 것을 방지할 수 있도록 기본 공유 링크 유형을 업데이트합니다. 위에서 설명한 것처럼 매우 중요한 계층에서 파일 액세스는 팀 구성원으로만 제한됩니다.
조직 외부의 사용자들과 공유
조직 외부의 사용자들과 Teams 콘텐츠를 공유해야 하는 경우 두 가지 옵션이 있습니다.
- 게스트 공유 - 게스트 공유는 사용자가 파일, 폴더, 사이트, 그룹 및 팀을 조직 외부의 사람들과 공유할 수 있도록 하는 Microsoft Entra B2B 협업을 사용합니다. 이 사람들은 디렉터리의 게스트 계정을 사용하여 공유 리소스에 액세스합니다.
- 공유 채널 - 공유 채널은 사용자가 조직의 리소스를 다른 Microsoft Entra 조직의 사용자와 공유할 수 있도록 하는 Microsoft Entra B2B 직접 연결을 사용합니다. 이 사람들은 자신의 회사 또는 학교 계정을 사용하여 Teams의 공유 채널에 액세스합니다. 조직에 게스트 계정이 생성되지 않았습니다.
상황에 따라 게스트 공유와 공유 채널 모두 유용합니다. 각각에 대한 자세한 내용과 주어진 시나리오에 사용할 것을 결정하는 방법은 외부 공동 작업 계획을 참조하세요.
게스트 공유를 사용하려는 경우 최상의 공유 및 관리 환경을 위해 Microsoft Entra B2B와 SharePoint 및 OneDrive 통합 을 구성하는 것이 좋습니다.
민감도 레이블을 사용하여 중요하고 매우 중요한 계층에서 필요한 경우 Teams 게스트 공유를 방지할 수 있습니다. 공유 채널은 기본적으로 켜져 있지만 공동 작업하려는 각 조직에 대해 조직 간 관계를 설정해야 합니다. 자세한 내용은 채널에서 외부 참가자와 공동 작업을 참조하세요.
매우 중요한 계층에서는 기본 라이브러리 민감도 레이블을 구성하여 적용되는 파일을 암호화합니다. 게스트에게 이러한 파일에 대한 액세스 권한이 필요한 경우 레이블을 만들 때 해당 게스트에게 권한을 부여해야 합니다. 공유 채널의 외부 참가자는 민감도 레이블에 대한 권한을 부여받을 수 없으며 민감도 레이블로 암호화된 콘텐츠에 액세스할 수 없습니다.
조직 외부의 사용자와 공동 작업을 수행해야 하는 경우 기준 계층 및 중요한 계층 또는 매우 중요한 계층에 대해 게스트 공유를 유지하는 것이 좋습니다. Microsoft 365의 게스트 공유 기능은 파일을 전자 메일 메시지의 첨부 파일로 보내는 것보다 훨씬 안전하고 관리 가능한 공유 환경을 제공합니다. 또한 사용자가 관리되지 않는 소비자 제품을 사용하여 합법적인 외부 공동 작업자와 공유하는 섀도 IT의 위험을 줄입니다.
Microsoft Entra ID를 사용하는 다른 조직과 정기적으로 공동 작업하는 경우 공유 채널이 좋은 옵션일 수 있습니다. 공유 채널은 다른 조직의 Teams 클라이언트에 원활하게 표시되며 외부 참가자가 게스트 계정을 사용하여 별도로 로그인하지 않고도 조직의 일반 사용자 계정을 사용할 수 있습니다.
조직에 안전하고 생산적인 게스트 공유 환경을 만들려면 다음 참조를 확인하세요.
조건부 액세스 정책
Microsoft Entra 조건부 액세스는 위치, 위험, 디바이스 규정 준수 및 기타 요인에 따른 제한 사항을 포함하여 사용자가 Microsoft 365에 액세스하는 방법을 결정하는 다양한 옵션을 제공합니다. 조건부 액세스란 무엇인가요?를 읽는 것을 권장합니다. 또한 조직에 적합한 추가 정책을 고려하세요.
민감하고 매우 중요한 계층의 경우 민감도 레이블을 사용하여 SharePoint 콘텐츠에 대한 액세스를 제한합니다.
중요한 계층의 경우 관리되지 않는 디바이스에 대한 웹 전용 액세스를 제한합니다. (게스트에는 조직에서 관리하는 디바이스가 없는 경우가 많습니다. 계층에서 게스트를 허용하는 경우 팀 및 사이트에 액세스하는 데 사용하는 디바이스 종류를 고려하고 그에 따라 관리되지 않는 디바이스 정책을 설정합니다.)
매우 중요한 계층의 경우 민감도 레이블과 함께 Microsoft Entra 인증 컨텍스트 를 사용하여 사용자가 SharePoint 사이트 연결 팀에 액세스할 때 사용자 지정 조건부 액세스 정책을 트리거합니다.
Teams 관련 서비스 간 조건부 액세스
민감도 레이블의 조건부 액세스 설정은 SharePoint 액세스에만 영향을 줍니다. SharePoint를 넘어 조건부 액세스를 확장하려는 경우 일반적인 조건부 액세스 정책: 규격 디바이스 필요, Microsoft Entra 하이브리드 조인 디바이스 또는 모든 사용자에 대한 다단계 인증 을 대신 수행할 수 있습니다. 이 정책을 Microsoft 365 서비스에 맞게 구성하려면 클라우드 앱 또는 작업 아래에서 Office 365 클라우드 앱을 선택하세요.
모든 Microsoft 365 서비스에 영향을 주는 정책을 사용하면 보안이 강화되고 사용자 환경이 향상될 수 있습니다. 예를 들어 SharePoint에서만 관리되지 않는 장치에 대한 액세스를 차단하면 사용자가 관리되지 않는 장치가 있는 팀의 채팅에 액세스할 수 있지만 파일 탭에 액세스하려고 하면 액세스 권한이 손실됩니다. Office 365 클라우드 앱을 사용하면 서비스 종속성에 대한 문제를 방지할 수 있습니다.
다음 단계
기준 수준의 보호 구성으로 시작합니다. 필요한 경우 중요한 보호 및 매우 중요한 보호 도 추가할 수 있습니다.