다음을 통해 공유

특정 Microsoft 365 워크로드에 권장되는 정책

Microsoft 365 조직에서 제로 트러스트에 대한 일반적인 보안 정책을 구성한 후에는 제로 트러스트의 세 가지 지침 원칙에 따라 특정 앱 및 워크로드에 대한 추가 정책 및 설정을 구성해야 합니다.

  • 명시적으로 확인
  • 최소 권한 사용
  • 침해 발생을 가정하다

특정 앱 및 워크로드에 대한 추가 정책 및 설정은 이 문서에 설명되어 있습니다.

팁 (조언)

가능하면 프로덕션 사용자에게 배포하기 전에 비프로덕션 환경에서 정책을 테스트합니다. 테스트는 사용자에게 발생할 수 있는 모든 효과를 식별하고 전달하는 데 중요합니다.

제로 트러스트에 대한 Microsoft Copilot 권장 사항

자세한 내용은 제로 트러스트 보안을 사용하여 Microsoft Copilots를 비롯한 AI 도우미 준비를 참조하세요.

제로 트러스트에 대한 Exchange Online 권장 사항

이 섹션에서는 Exchange Online의 제로 트러스트에 권장되는 설정에 대해 설명합니다.

외부 받는 사람에게 자동 전자 메일 전달이 비활성화되었는지 확인

기본적으로 EOP(Exchange Online Protection)의 아웃바운드 스팸 정책은 받은 편지함 규칙 또는 사서함 전달(SMTP 전달이라고도 함)에 의해 수행된 외부 받는 사람에게 자동 전자 메일 전달을 차단합니다. 자세한 내용은 Microsoft 365에서 자동 외부 전자 메일 전달 제어를 참조하세요.

모든 아웃바운드 스팸 정책에서 자동 전달 규칙 설정의 값이 자동 - 시스템 제어 (기본값) 또는 끄기 - 전달이 비활성화되었는지 확인합니다. 두 값 모두 영향을 받는 사용자의 외부 받는 사람에게 자동 전자 메일 전달을 차단합니다. 기본 정책은 모든 사용자에게 적용되며 관리자는 특정 사용자 그룹에 적용되는 사용자 지정 정책을 만들 수 있습니다. 자세한 내용은 EOP에서 아웃바운드 스팸 정책 구성을 참조하세요.

Exchange ActiveSync 클라이언트 차단

Exchange ActiveSync 는 데스크톱 및 모바일 디바이스에서 전자 메일 및 일정 데이터를 동기화하는 클라이언트 프로토콜입니다. 다음 절차에 설명된 대로 안전하지 않은 ActiveSync 클라이언트를 통해 회사 전자 메일에 대한 액세스를 차단합니다.

  • 모바일 디바이스: 다음 유형의 모바일 디바이스에서 전자 메일 액세스를 차단하려면 승인된 앱 또는 앱 보호 정책 요구에서 설명하는 조건부 액세스 정책을 만듭니다.

    • 기본 인증을 사용하는 ActiveSync 클라이언트.
    • 최신 인증을 지원하지만 Intune 앱 보호 정책은 지원하지 않는 ActiveSync 클라이언트입니다.
    • Intune 앱 보호 정책을 지원하지만 앱 보호 정책에 정의되지 않은 디바이스입니다. 자세한 내용은 앱 보호 정책 필요를 참조하세요.

    팁 (조언)

    iOS/iPadOS 및 Android 디바이스에서 회사 전자 메일에 액세스하려면 iOS 및 Android용 Microsoft Outlook을 앱으로 사용하는 것이 좋습니다.

  • PC 및 기타 디바이스: 기본 인증을 사용하는 모든 ActiveSync 클라이언트를 차단하려면 모든 디바이스에서 Exchange ActiveSync 차단에 설명된 조건부 액세스 정책을 만듭니다.

웹용 Outlook 및 새 Windows용 Outlook에서 전자 메일 첨부 파일에 대한 액세스 제한

관리되지 않는 디바이스의 사용자가 웹용 Outlook(이전의 Outlook Web App 또는 OWA)과 새 Windows용 Outlook에서 전자 메일 첨부 파일과 상호 작용하는 방법을 제한할 수 있습니다.

  • 사용자가 전자 메일 첨부 파일을 다운로드하지 못하도록 합니다. 디바이스에 파일을 누수하고 저장하지 않고도 Office Online을 사용하여 이러한 파일을 보고 편집할 수 있습니다.
  • 사용자가 첨부 파일을 못하도록 차단합니다.

웹 사서함 정책에서 Outlook을 사용하여 이러한 제한을 적용합니다. Exchange Online 사서함이 있는 Microsoft 365 조직에는 OwaMailboxPolicy-Default라는 이름의 기본 제공 웹 사서함 정책이 있습니다. 기본적으로 이 정책은 모든 사용자에게 적용됩니다. 관리자는 특정 사용자 그룹에 적용되는 사용자 지정 정책 만들 수도 있습니다.

관리되지 않는 디바이스에서 전자 메일 첨부 파일에 대한 액세스를 제한하는 단계는 다음과 같습니다.

  1. Exchange Online PowerShell에 연결합니다.

  2. 웹 사서함 정책에서 사용 가능한 Outlook을 보려면 다음 명령을 실행합니다.

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. 다음 구문을 사용하여 웹용 Outlook의 전자 메일 첨부 파일에 대한 액세스를 제한하고 관리되지 않는 디바이스의 새 Windows용 Outlook을 제한합니다.

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy <ReadOnly | ReadOnlyPlusAttachmentsBlocked>

    이 예제에서는 기본 정책에서 첨부 파일을 볼 수 있지만 다운로드할 수는 없습니다 .

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

    이 예제에서는 기본 정책에서 첨부 파일 보기를 차단합니다 .

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  4. 조건부 액세스 | Microsoft Entra 관리 센터의 https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview개요 페이지에서 다음 설정을 사용하여 새 조건부 액세스 정책을 만듭니다.

    • 할당 섹션:
      • 사용자: 포함제외 탭에 포함 및 제외할 적절한 사용자 및 그룹을 선택합니다.
      • 대상 리소스: 이 정책이 적용되는 항목을 선택>리소스(이전의 클라우드 앱)>포함 탭 >리소스 선택>선택> 찾기 및 선택 office 365 Exchange Online선택합니다.
    • 액세스 제어 섹션: 세션> 앱 적용 제한 사용 을 선택하십시오.
    • 정책 사용 섹션: 켜기를 선택합니다.

메시지 암호화 설정

Azure Information Protection의 보호 기능을 사용하는 Microsoft Purview 메시지 암호화를 사용하면 조직에서 보호된 전자 메일을 모든 디바이스의 모든 사용자와 쉽게 공유할 수 있습니다. 사용자는 Microsoft 365, Outlook.com, Gmail 및 기타 전자 메일 서비스를 사용하는 다른 조직에서 보호된 메시지를 보내고 받을 수 있습니다.

자세한 내용은 메시지 암호화 설정을 참조하십시오.

제로 트러스트에 대한 SharePoint 권장 사항

이 섹션에서는 SharePoint의 제로 트러스트에 권장되는 설정에 대해 설명합니다.

관리되지 않는 디바이스의 액세스를 제한하도록 SharePoint 액세스 제어 구성

팁 (조언)

이 섹션의 설정에는 Microsoft Entra ID P1 또는 P2가 필요합니다. 자세한 내용은 Microsoft Entra 플랜 및 가격을 참조하세요.

SharePoint에서 관리되지 않는 디바이스에 대한 액세스 제어를 구성하면 액세스 수준을 적용하는 해당 조건부 액세스 정책이 Microsoft Entra ID에 자동으로 만들어집니다. 이 조직 전체 설정은 모든 사용자에게 적용되지만 SharePoint 액세스 제어에 특별히 포함된 사이트에 대한 액세스에만 영향을 줍니다.

특히 다음 단계에 설명된 대로 제로 트러스트에 엔터프라이즈 또는 특수 보안을 사용하는 사이트를 SharePoint 액세스 제어에 포함해야 합니다.

  1. SharePoint 액세스 제어에서 관리되지 않는 디바이스에 대한 제한된 웹 전용 액세스 허용 또는 액세스 차단 을 구성합니다. 이 설정은 모든 사용자에게 적용되지만 사이트가 SharePoint 액세스 제어(다음 단계)에 포함되지 않는 한 이미 사이트 권한이 있는 사이트에 대한 액세스에는 영향을 주지 않습니다.

    팁 (조언)

    사이트 수준 액세스는 조직 액세스 제어 설정보다 더 허용될 수 없습니다. 예를 들어 조직 전체 액세스 제어에서 관리되지 않는 디바이스에 대해 제한된 웹 전용 액세스를 선택하면 특정 웹사이트에서 AllowLimitedAccess 또는 BlockAccess를 사용할 수 있습니다. 조직 전체 액세스 제어에서 관리되지 않는 디바이스에 대해 액세스 차단을 선택하면, 특정 사이트에서 AllowLimitedAccess을 사용할 수 없으며, BlockAccess만 사용할 수 있습니다.

  2. SharePoint Online PowerShell에 연결하고 Set-SPOSite cmdlet에서 ConditionalAccessPolicy 매개 변수를 사용하여 관리되지 않는 디바이스에 대한 SharePoint 액세스 제어에 사이트를 포함합니다.

    • 엔터프라이즈 사이트: 이 값을 AllowLimitedAccess 사용하여 관리되지 않는 디바이스의 사용자가 파일을 다운로드, 인쇄 또는 동기화하지 못하도록 합니다.
    • 특수 보안 사이트: 이 값을 BlockAccess 사용하여 관리되지 않는 디바이스의 액세스를 차단합니다.

    지침은 특정 SharePoint 사이트 또는 OneDrive에 대한 액세스 차단 또는 제한을 참조하세요.

일반적으로 사이트 소유자는 사이트에 액세스해야 하는 비즈니스 필요성에 따라 SharePoint 사이트 권한을 관리합니다. 조직 수준 및 사이트 수준에서 관리되지 않는 디바이스에 대한 SharePoint 액세스 제어를 구성하면 제로 트러스트 보호 수준에 따라 이러한 사이트에 대한 일관된 보호가 보장됩니다.

Contoso 조직의 다음 예제 사이트를 고려합니다. 관리되지 않는 디바이스에 대한 SharePoint 액세스 제어는 조직에 대한 제한된 웹 전용 액세스 허용 수준에서 구성됩니다.

  • 엔터프라이즈 보호로 구성된 분석 팀 사이트: 사이트는 SharePoint 액세스 제어에서 관리되지 않는 디바이스에 대해 구성 AllowLimitedAccess 됩니다. 사이트 권한이 있는 사용자는 관리되지 않는 디바이스에서 사이트에 대한 브라우저 전용 액세스를 얻습니다. 관리되는 디바이스에서 다른 앱을 사용하여 사이트에 액세스할 수 있습니다.
  • 영업 비밀 사이트는 특수한 보안 보호로 구성됩니다. 사이트는 SharePoint 액세스 제어에서 관리되지 않는 디바이스에 대해 구성 Block 됩니다. 사이트 권한이 있는 사용자는 관리되지 않는 디바이스에서 사이트에 액세스하지 못하도록 차단됩니다. 관리되는 디바이스에서만 사이트에 액세스할 수 있습니다.

제로 트러스트에 대한 Microsoft Teams 권장 사항

이 섹션에서는 Microsoft Teams의 제로 트러스트에 권장되는 설정에 대해 설명합니다.

Teams 종속 서비스 아키텍처

Microsoft Teams의 다이어그램 및 IT 설계자를 위한 Microsoft 365의 관련 생산성 서비스는 Microsoft Teams에서 사용하는 서비스를 보여 줍니다.

Teams에 대한 게스트 및 외부 액세스

Microsoft Teams는 조직 외부 사용자에 대해 다음과 같은 액세스 유형을 정의합니다.

  • 게스트 액세스: 팀의 구성원으로 추가할 수 있는 각 사용자에 대해 Microsoft Entra B2B 계정을 사용합니다. 게스트 액세스를 통해 Teams 리소스에 액세스하고 그룹 대화, 채팅 및 모임에서 내부 사용자와 상호 작용할 수 있습니다.

    게스트 액세스 및 구현 방법에 대한 자세한 내용은 Microsoft Teams의 게스트 액세스를 참조하세요.

  • 외부 액세스: Microsoft Entra B2B 계정이 없는 조직 외부 사용자입니다. 외부 액세스에는 초대 및 통화, 채팅 및 모임 참여가 포함될 수 있지만 팀 구성원 자격 또는 팀 리소스에 대한 액세스는 포함되지 않습니다. 외부 액세스는 외부 도메인의 Teams 사용자가 조직의 사용자와 Teams에서 모임을 찾고, 통화하고, 채팅하고, 설정할 수 있는 방법입니다.

    Teams 관리자는 사용자 지정 정책을 사용하여 조직, 사용자 그룹 또는 개별 사용자에 대한 외부 액세스를 구성할 수 있습니다. 자세한 내용은 IT 관리자 - Microsoft ID를 사용하여 외부 모임 관리 및 사용자 및 조직과의 채팅을 참조하세요.

외부 액세스 사용자는 게스트 액세스 사용자보다 액세스 및 기능이 적습니다. 예를 들어 외부 액세스 사용자는 Teams를 사용하여 내부 사용자와 채팅할 수 있지만 팀 채널, 파일 또는 기타 리소스에 액세스할 수는 없습니다.

조건부 액세스 정책은 해당 Microsoft Entra B2B 계정이 있기 때문에 Teams의 게스트 액세스 사용자에게만 적용됩니다. 외부 액세스는 Microsoft Entra B2B 계정을 사용하지 않으므로 조건부 액세스 정책을 사용할 수 없습니다.

Microsoft Entra B2B 계정으로의 액세스를 허용하는 권장 정책은 게스트 및 외부 B2B 계정 액세스를 허용하는 정책을 참조하세요.

제로 트러스트에 대한 SaaS 앱 권장 사항

Microsoft Defender for Cloud Apps는 다운로드, 업로드, 복사/붙여넣기 및 인쇄 차단과 같은 SaaS(Software as a Service) 앱을 사용하여 세부적인 작업을 실시간으로 모니터링하고 제어할 수 있도록 Microsoft Entra 조건부 액세스 정책을 기반으로 합니다. 이 기능은 관리되지 않는 디바이스 또는 게스트에서 회사 리소스에 액세스하는 경우와 같이 내재된 위험을 수반하는 세션에 보안을 추가합니다.

자세한 내용은 제로 트러스트용 SaaS 앱과 Microsoft 365 통합을 참조하세요.