이 문서에서는 Microsoft Purview 그룹 및 사이트 구성을 사용하여 SharePoint 사이트 및 Microsoft Teams에 민감도 레이블을 사용하도록 설정하는 방법에 대한 지침을 제공합니다. 그 목적은 호주 정부 조직이 PSPF(보호 보안 정책 프레임워크) 및 ISM(정보 보안 매뉴얼)에 설명된 요구 사항을 준수하면서 이러한 서비스에서 보안 기밀 정보를 보호하는 능력을 높일 수 있도록 돕는 것입니다.
레이블 scope 구성할 때 민감도 레이블에 대해 그룹 및 사이트 설정을 사용하도록 설정할 수 있습니다. 이러한 설정을 통해 SharePoint 사이트 Teams 및 Microsoft 365 그룹과 같은 위치에 민감도 레이블을 적용할 수 있습니다.
그룹 및 사이트 구성을 사용하면 레이블이 적용된 위치에 대해 다음 컨트롤을 일관되게 적용할 수 있습니다.
- 위치 시각적 표시
- 위치 개인 정보 설정
- 위치 게스트 멤버 자격 권한
- 위치 공유 옵션
- 위치 조건부 액세스 요구 사항(디바이스 관리 또는 전체 조건부 액세스 정책 기반)
- 높은 민감도 레이블이 지정된 항목이 낮은 민감도 위치로 이동될 때 트리거되는 위치 데이터 위치 경고
그룹 및 사이트 레이블 구성을 사용하도록 설정하면 새로 만든 SharePoint 사이트 또는 Teams에 대해 구성된 레이블 정책 옵션이 적용됩니다. 사용자가 이러한 항목에 대한 필수 레이블 지정이 필요한 레이블 정책의 scope 내에 있는 경우 사용자가 새 SharePoint 사이트 또는 Microsoft 365 그룹을 만들 때마다 민감도 레이블을 선택해야 합니다.
이러한 설정은 정책이 위치의 민감도에 비례하여 구성되므로 PSPF(보호 보안 정책 프레임워크) 정책 8 핵심 요구 사항 C와 일치합니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| PSPF 2024 - 08. 분류 시스템 - 요구 사항 71 | 엔터티는 해당 가치, 중요도 및 민감도에 비례하는 이러한 정보 보유에 대한 운영 제어를 구현합니다. |
또한 이러한 설정은 사용자가 파일 및 전자 메일을 SharePoint 사이트 및 Teams와 같은 위치로 식별하기 위한 요구 사항을 확장하는 PSPF 2024 요구 사항 59에 부합합니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| PSPF 2024 - 08. 분류 시스템 - 요구 사항 59 | 공식 정보의 가치, 중요성 또는 민감도(공식 기록으로 사용하기 위한 것)는 정보의 기밀성이 손상될 경우 발생할 수 있는 정부, 국익, 조직 또는 개인에 대한 잠재적 피해를 고려하여 작성자가 평가합니다. |
이러한 설정은 파일 및 전자 메일의 표시 요구 사항을 SharePoint 사이트, Teams 및 Microsoft 365 그룹으로 확장하므로 지원 요구 사항 4와도 일치합니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| PSPF 2024 - 08. 분류 시스템 - 요구 사항 61 | 보안 분류 정보는 운영상의 이유로 비실용적이지 않은 한 텍스트 기반 표시를 사용하여 해당 보안 분류 및 관련 보안 주의 사항으로 명확하게 표시됩니다. |
참고
선택한 레이블을 위치 내에서 만든 항목에 자동으로 적용하려면 SharePoint에 대한 기본 레이블 지정 옵션을 사용합니다.
SharePoint 위치 및 항목 민감도
SharePoint 위치에 민감도 레이블을 적용하면 사이트 맨 위에 제공되는 시각적 표시가 사용자에게 위치 민감도를 표시합니다. 이 정보는 사이트에 있는 정보가 배포에 적합한지 확인하는 데 유용합니다.
SharePoint 사이트에 적용된 레이블은 사이트 소유자 또는 SharePoint 관리자가 수정할 수 있습니다.
팁
SharePoint 문서 라이브러리의 보기를 수정하여 항목에 적용된 민감도 레이블을 표시할 수 있습니다. 이 기능은 위치가 잘못된 위치에서 항목을 식별하는 데 유용합니다.
SharePoint 디렉터리의 파일 아이콘을 사용자 지정하여 공유 제한 사항이 적용되는 레이블이 지정된 항목 또는 정책 팁이 구성된 항목에 대한 아이콘 마커를 표시할 수 있습니다. 이러한 두 구성은 공식: 중요 및 보호된 보안 분류와 일치하여 문서 라이브러리에서 작업하는 사용자에게 다른 표시 접근 방식을 제공합니다. 예시:
공유 옵션 제한에 대한 자세한 내용은 보안 기밀 정보 공유 방지를 참조하세요.
Teams 위치 및 항목 민감도
SharePoint와 마찬가지로 레이블 지정 정책의 scope 내에 있는 사용자가 만든 새 Teams에는 해당 정책의 요구 사항이 적용되며 레이블을 선택해야 할 수 있습니다.
Teams에 적용된 레이블은 팀의 기본 Microsoft 365 그룹을 통해 팀 소유자, Teams 관리자 또는 Microsoft Entra ID 관리자에 의해 수정됩니다.
SharePoint와 마찬가지로 사용자가 항목 민감도를 명확하게 표시할 수 있도록 Teams 파일 보기를 수정할 수 있습니다.
Microsoft 365 그룹 민감도
그룹 및 사이트 구성은 Microsoft 365 그룹에 적용된 정책 레이블을 적용합니다. Microsoft 365 그룹은 Teams 및 SharePoint 팀 사이트의 멤버 자격 서비스로 사용됩니다. 이 기능은 Microsoft 365 환경 내에서 다른 용도로 사용됩니다. 예를 들어 그룹 사서함 뒤에 있는 멤버 자격 서비스로 사용됩니다. 이는 사용자 자체 관리를 허용하고 사서함에 직접 배달되는 그룹 메시지를 구독하거나 구독 취소할 수 있는 기존 Exchange 배포 Lists 진행한 것입니다.
그룹 사서함에 레이블을 적용하면 존재해야 하거나 그룹 구성원과 공유해도 안전한 콘텐츠의 민감도를 명확하게 나타낼 수 있습니다. 다른 컨트롤은 더 높은 민감도의 콘텐츠 배포를 제한하도록 구성할 수도 있습니다.
그룹 및 사이트 구성이 필요한 레이블
그룹 및 사이트 구성은 모든 레이블에 적용되지 않을 수 있으며 조정이 필요합니다. 예를 들어 IMM(정보 관리 표식)은 위치보다 개별 항목과 더 관련이 있습니다. 위치에 적용된 레이블이 잠금 가능한 캐비닛 또는 금고에 적용되는 컨테이너 클래스와 유사하다는 비유입니다. 컨테이너에는 포함된 정보를 보호하기 위한 컨트롤 집합이 함께 제공되지만 각 레이블에 대한 컨테이너가 반드시 필요하지는 않을 수도 있습니다. 레이블의 다양한 조합으로 표시된 항목(예: 공식 민감도 및 관련된 모든 IMM 및 기타 하위 레이블)은 동일한 수준의 보호가 적용된 동일한 컨테이너에 있을 수 있습니다. 컨테이너 내의 개별 항목에는 컨테이너의 레이블까지 적용되는 레이블의 변형이 있을 수 있습니다.
이러한 방식으로 그룹 및 사이트 구성을 처리할 때 그룹 및 사이트에 적용하려면 범주당 하나의 레이블만 필요할 수 있습니다. IMM이 적용되지 않은 레이블일 수 있습니다. 특정 레이블에 대해서만 그룹 및 사이트 설정을 사용하도록 설정하면 이러한 위치에 대한 애플리케이션에서 해당 레이블만 사용할 수 있습니다. 다음 표는 호주 정부 컨텍스트의 예입니다.
| 민감도 레이블 | 그룹 및 사이트 구성 | SharePoint 및 Teams에 애플리케이션 사용 가능 |
|---|---|---|
| 비공식 | 설정 | 선택 |
| 관 | 설정 | 선택 |
| 공식 민감도 | 해제 | |
| - 공식 민감도 | 설정 | 선택 |
| - 공식 중요한 개인 정보 보호 | 해제 | |
| - 공식 중요한 법적 권한 | 해제 | |
| - 공식 민감한 입법 비밀 | 해제 | |
| - 공식 민감한 국가 내각 | 해제 |
이 구성에서 공식 중요 로 레이블이 지정된 위치에 는 개인 정보 보호, 법적 권한 및 입법 비밀의 IMM과 관련된 정보를 포함하여 공식: 중요한 정보가 포함됩니다.
대체 구성이 필요하고 이를 확인하기 위해 적절한 비즈니스 분석을 완료해야 하는 상황이 있습니다. 예를 들어 PROTECTED Legal Privilege 위치에 다른 컨트롤을 적용해야 하는 정부 조직에서는 이 레이블에 대해 그룹 및 사이트 구성을 사용하도록 설정할 수 있습니다. 이러한 항목의 변경에 대한 레이블 변경 근거를 기록해야 할 수도 있습니다. 이러한 경우 보호된 법적 권한 레이블은 하위 레이블이 아닌 전체 레이블이어야 합니다. 또한 PROTECTED 법적 권한 에서 PROTECTED로의 변경 레이블을 민감도 낮추기로 식별할 수 있도록 다른 PROTECTED 범주 위에 배치해야 합니다. 다음 표는 호주 정부 컨텍스트에서 이에 대한 예입니다.
| 민감도 레이블 | 그룹 및 사이트 구성 | SharePoint 및 Teams에 애플리케이션 사용 가능 |
|---|---|---|
| 보호 | 해제 | |
| -보호 | 설정 | 선택 |
| - 보호된 개인 정보 | 해제 | |
| - 보호된 입법 비밀 | 해제 | |
| - 보호된 캐비닛 | 해제 | |
| 보호된 법적 권한 | 설정 | 선택 |
그룹 및 사이트 통합 사용
레이블에 그룹 및 사이트 설정을 적용하려면 organization 옵션을 사용하도록 설정해야 합니다. 이 프로세스에는 보안 & 규정 준수 PowerShell 사용이 포함됩니다. 이 프로세스에 대한 자세한 내용은 그룹에 민감도 레이블 할당 - Microsoft Entra | Microsoft Learn.
PowerShell을 통해 그룹 및 사이트 설정을 성공적으로 사용하도록 설정하면 레이블 구성 내에서 이 구성을 선택하는 옵션을 사용할 수 있게 됩니다.
레이블 개인 정보 설정
그룹 및 사이트 구성을 통해 사용할 수 있는 첫 번째 옵션은 개인 정보입니다. 이 설정을 사용하면 조직에서 모든 Microsoft 365 그룹(그룹 사서함 포함), Teams 및 SharePoint 사이트에 개인 정보 설정을 적용할 수 있습니다. 개인 정보는 퍼블릭, 프라이빗 또는 없음으로 설정할 수 있습니다.
개인 정보 설정은 알아야 할 원칙과 관련된 PSPF 2024 요구 사항 75와 관련이 있습니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| PSPF 2024 - 12. 정보 공유 - 요구 사항 75 | 보안 기밀 정보 또는 리소스에 대한 액세스는 적절한 보안 허가(필요한 경우)와 알아야 할 사항을 가진 엔터티 외부 사용자에게만 제공되며 최소 보호 및 처리 요구 사항에 따라 전송됩니다. |
공용의 개인 정보 설정을 사용하면 organization 모든 사용자가 그룹에 가입하거나 그룹 콘텐츠에 액세스할 수 있습니다. 이 설정은 비공식 레이블에 적합할 수 있습니다.
레이블의 개인 정보를 없음 으로 설정하면 그룹 소유자가 적절한 개인 정보 설정을 유연하게 결정할 수 있습니다.
공식 콘텐츠의 경우 PSPF는 알아야 할 원칙이 권장되지만 필수는 아니라고 명시하고 있습니다. 공식 레이블은 배포를 위한 수많은 항목에 적용될 가능성이 높습니다. 따라서 공식 그룹의 소유자에게 개인 정보를 결정할 수 있는 유연성을 제공합니다.
공식: 중요 및 보호됨을 비롯한 보안 기밀 정보의 경우 알아야 할 원칙이 적용됩니다. 개인 정보 옵션을 프라이빗으로 설정해야 합니다. 이렇게 하면 알 필요가 없는 사용자가 포함된 정보에 액세스할 수 없도록 하고 그룹 소유자가 모든 멤버 자격 추가에 대해 책임을 지도록 합니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| PSPF 2024 - 12. 정보 공유 – 요구 사항 75 | 보안 기밀 정보 또는 리소스에 대한 액세스는 적절한 보안 허가(필요한 경우)와 알아야 할 사항을 가진 엔터티 외부 사용자에게만 제공되며 최소 보호 및 처리 요구 사항에 따라 전송됩니다. |
게스트 액세스 구성
민감도 레이블을 통해 게스트 액세스를 제어하는 데 사용할 수 있는 옵션은 간단한 구성이지만 원하는 접근 방식은 organization 구성 및 광범위한 외부 공동 작업 요구 사항에 따라 달라집니다. 이 때문에 높은 외부 공동 작업 제어에 대한 요구 사항이 있는 조직과 제어 요구 사항이 낮은 조직에 대한 특정 지침이 있습니다.
높은 외부 공동 작업 제어
외부 공동 작업 제어가 높은 조직에는 엄격한 구성이 필요하며, 이 구성은 Microsoft 365 환경에 대한 외부 액세스를 엄격하게 제어합니다. 이러한 조직은 다음을 구성했습니다.
- 디렉터리 개체에 대한 게스트 액세스를 제한합니다.
- '게스트 초대자' 권한이 부여된 사용자를 제외하고 게스트를 초대하는 사용자의 기능을 제한하는 제한 사항입니다.
- 게스트 초대를 사전 승인된 도메인으로만 제한합니다.
- MFA(다단계 인증)를 사용해야 하고 게스트 액세스에 사용 약관에 동의해야 하는 조건부 액세스 정책입니다.
- 게스트 보안 허가 검사 '알아야 할 사항'의 확인을 포함하여 게스트 승인 워크플로
- 액세스 검토를 사용하여 게스트 계정을 감사하고 액세스가 더 이상 필요하지 않은 경우 환경에서 게스트를 제거하는 지속적인 게스트 관리 프로세스입니다.
조직은 또한 파트너십의 각 측면에 대한 관리 의무를 간략하게 설명하는 외부 조직과 계약을 맺을 것입니다.
다음 요구 사항은 높은 외부 공동 작업 제어와 관련이 있습니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| PSPF 2024 - 08. 분류 시스템 - 요구 사항 71 | 엔터티는 해당 가치, 중요도 및 민감도에 비례하는 이러한 정보 보유에 대한 운영 제어를 구현합니다. |
| PSPF 2024 - 12. 정보 공유 - 요구 사항 77 | 보안 기밀 정보 또는 리소스가 공개되거나 정부 외부의 개인 또는 organization 공개되거나 공유되기 전에 계약 또는 행위와 같은 계약 또는 계약이 체결됩니다. |
| PSPF 2024 - 17. 리소스에 대한 액세스 - 요구 사항 132 | 보안 기밀 정보 또는 리소스에 지속적으로 액세스해야 하는 직원은 적절한 수준으로 보안이 지워집니다. |
이전 컨트롤 목록을 구현한 조직은 PROTECTED를 포함하여 모든 레이블에 대해 게스트 및 외부 협업을 사용하도록 결정할 가능성이 더 높습니다.
낮은 외부 공동 작업 제어
외부 공동 작업 제어가 낮은 조직에는 훨씬 더 개방적인 구성이 있습니다. 이러한 조직은 외부 사용자가 자신의 환경에 들어갈 수 있도록 허용할 가능성이 훨씬 더 높습니다. 게스트 계정을 승인된 도메인으로만 제한하는 것과 같은 컨트롤이 없으면 공식화된 정보 공유 계약이 없는 조직의 사용자가 게스트로 초대될 수 있으므로 PSPF 요구 사항 77과 같은 요구 사항을 충족하기가 더 어렵습니다.
이러한 조직의 경우 적절한 보안 허가를 사용하도록 설정하지 않도록 하는 운영 제어 및 프로세스와 같이 PROTECTED 콘텐츠에 게스트 액세스를 사용하도록 설정하는 것은 적절하지 않습니다.
외부 사용자 액세스 설정 레이블 지정
외부 사용자 액세스 설정은 레이블이 적용된 Microsoft 365 그룹(Teams 포함)에 게스트를 추가할 수 있는지 여부를 제어합니다.
외부 공동 작업 제어가 높은 조직은 모든 레이블에서 이 설정을 사용하도록 설정하여 전반적으로 게스트 협업을 허용할 수 있습니다. 예를 들어 PROTECTED 레이블에 대한 이 옵션을 포함하면 게스트를 PROTECTED 그룹에 추가할 수 있습니다.
컨트롤이 낮은 사용자들은 비공식 및 공식 사이트, Teams 및 그룹에만 이 옵션을 사용하도록 설정할 수 있습니다.
테넌트 내에서 게스트 협업을 사용하지 않는 조직은 이 설정을 해제하고 Microsoft Entra 내에서 게스트 액세스 설정을 사용하지 않도록 설정해야 합니다.
중요
Microsoft Entra 구성된 게스트 테넌트 설정은 항상 레이블 기반 구성보다 우선합니다. Microsoft Entra 게스트 액세스를 사용하지 않도록 설정하면 레이블 설정에 관계없이 게스트를 그룹에 추가할 수 없습니다. 그러나 Microsoft Entra 게스트 액세스를 사용하도록 설정한 경우 외부 사용자 액세스 설정에 레이블을 지정하여 게스트를 그룹에 추가할 수 있는지 여부를 제어합니다.
예제 그룹 및 사이트 설정에 제공된 외부 액세스 설정은 위치의 민감도에 비례하는 운영 제어를 보여 줍니다(PSPF 2024 요구 사항 71에 따라).
레이블 공유 구성
레이블 그룹 및 사이트 설정을 사용하면 위치에 적용된 레이블에 따라 일관된 구성 공유 설정을 사용할 수 있습니다.
organization 기본값(허용되는 가장 낮은 설정)은 구성된 SharePoint 공유 설정에서 가져옵니다. 그런 다음 관리자는 사이트에서 개별적으로 또는 적용된 민감도 레이블에 따라 구성된 보다 제한적인 설정을 구성할 수 있습니다.
민감도 레이블을 기반으로 하는 구성의 이점은 중요한 위치가 organization 기본값과 최소값을 상속하는 대신 레이블 기반 구성을 통해 부적절한 공유로부터 보호된다는 것입니다.
레이블 기반 공유 컨트롤에 사용할 수 있는 옵션은 다음과 같습니다.
- 누구나 레이블이 지정된 위치에서 항목을 공유하고 인증 또는 권한 부여 없이 링크를 받는 사용자가 액세스할 수 있도록 허용합니다. 이 링크 형식에 대해 '알아야 할 사항'을 사용할 수 없습니다.
- 신규 및 기존 게스트는 링크에 액세스하기 전에 게스트가 인증해야 하며 액세스 시 게스트 계정을 만드는 데도 사용할 수 있습니다. 이 옵션은 높은 외부 공동 작업 제어를 원하는 조직에는 권장되지 않습니다.
- 기존 게스트는 레이블이 지정된 위치의 항목을 organization 디렉터리에 이미 있는 게스트 계정과 공유할 수 있습니다. 이 옵션은 인증 및 권한 부여를 제공하기 때문에 많은 상황에 적합합니다. 이 옵션은 높은 외부 공동 작업 제어를 원하는 조직에 권장됩니다.
- organization 사용자만 내부 사용자에 대한 공유를 제한합니다.
일반적인 배포는 낮은 민감도 위치에 대해 선택된 '신규 및 기존 게스트' 옵션으로 시작하여 PROTECTED 위치와 같은 높은 민감도를 위해 'organization 사용자만'으로 진행됩니다. 외부 공동 작업 제어가 높은 조직은 모든 레이블에서 '기존 게스트' 옵션을 사용합니다.
외부 액세스 설정 과 마찬가지로 예제 그룹 및 사이트 설정 에 제공된 예제 구성은 PSPF 2024 요구 사항 71에 맞춰 위치의 민감도에 비례하는 운영 제어를 보여 주도록 설계되었습니다.
organization 레이블이 지정된 위치에서 공유를 추가로 제한하려는 경우 PowerShell을 통해 고급 기능을 사용하도록 설정하여 팀 소유자의 공유를 허용하지만 팀 구성원에 대해 제한할 수 있습니다. 이 구성은 PROTECTED 레이블에 적용할 수 있으며, 해당 위치에 포함된 정보의 배포를 담당하는 이러한 Teams의 소유자를 유지할 수 있습니다. 이를 통해 소유자는 공유 링크의 수신자가 알아야 할 사항을 보장하여 PSPF 2024 요구 사항 132와 일치하도록 할 수 있습니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| PSPF 2024 - 17. 리소스에 대한 액세스 - 요구 사항 132 | 보안 기밀 정보 또는 리소스에 대한 액세스 권한은 해당 정보를 알아야 하는 엔터티 담당자에게만 제공됩니다. |
이 옵션은 다음 PowerShell 명령을 통해 구성할 수 있습니다.
Set-Label -Identity <Label_GUID> -AdvancedSettings @{MembersCanShare="MemberShareNone"}
MembersCanShare 옵션에 대한 자세한 내용은 Microsoft Teams, Microsoft 365 그룹 및 SharePoint 사이트에서 민감도 레이블 사용을 참조하세요.
조건부 액세스
Microsoft Entra ID의 조건부 액세스 정책은 Microsoft Entra 인증 및 액세스 제어를 사용하는 서비스에 대한 액세스를 제어하는 컨트롤을 제공합니다. 조건부 액세스 정책은 특정 조건을 평가하여 SharePoint, Teams 또는 Microsoft 365와 같은 특정 서비스에 대한 액세스가 허용되는지 여부를 확인합니다. 조건부 액세스 정책의 기본 기능은 특정 그룹 또는 사이트 수준에 대한 액세스를 세부적으로 제어할 수 없습니다.
민감도 레이블 조건부 액세스 구성을 사용하면 위치(사이트 또는 팀)에 적용된 레이블과 사용자 액세스 요구 사항 간의 맞춤을 허용합니다. 이러한 옵션은 표준 조건부 액세스 정책을 통해 달성할 수 있는 것보다 더 세분화된 수준의 제어를 제공합니다.
민감도 레이블별 조건부 액세스 요구 사항은 조건부 액세스 로그인 요구 사항 외에도 적용됩니다. 예를 들어 조건부 액세스 정책에 다음이 필요한 경우
- 사용자가 인증합니다.
- 사용자는 MFA(다단계 인증)를 통해 ID를 확인합니다.
- 사용자는 관리되는 디바이스에 있어야 합니다.
이러한 조건이 모두 true인 경우 관리되는 디바이스가 필요한 레이블 기반 정책은 로그인 시 트리거되는 조건부 액세스 정책에서 이 요구 사항을 충족하므로 거의 가치를 제공하지 않습니다.
그러나 사용자는 관리되지 않는 디바이스를 통해 일부 위치(예: 비공식 또는 공식)를 인증하고 액세스할 수 있습니다. 그런 다음 관리되는 디바이스를 요구하도록 구성된 더 높은 민감도 위치(예: 공식: 민감도)에 액세스하려고 하면 액세스가 차단됩니다. 이러한 기능은 매우 중요한 위치에 액세스하는 데 사용되는 디바이스의 위험에 대한 organization 열지 않고 개인 모바일 디바이스 또는 가정용 컴퓨터를 통해 액세스 수준을 사용하도록 설정하여 원격 작업을 허용하는 데 사용할 수 있습니다.
많은 그룹 및 사이트 구성 옵션과 마찬가지로 이러한 컨트롤은 위치의 민감도에 따라 액세스 제한을 적용할 수 있으므로 PSPF 2024 요구 사항 77에 연결할 수 있습니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| PSPF 2024 - 08. 분류 시스템 - 요구 사항 71 | 엔터티는 해당 가치, 중요도 및 민감도에 비례하는 이러한 정보 보유에 대한 운영 제어를 구현합니다. |
또한 이 컨트롤 집합은 정보에 대한 액세스를 제한하고 알아야 할 사항을 보장하는 데 도움이 되므로 PSPF 정책 9 요구 사항 2도 적용할 수 있습니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| PSPF 2024 - 17. 리소스에 대한 액세스 - 요구 사항 132 | 보안 기밀 정보 또는 리소스에 대한 액세스 권한은 해당 정보를 알아야 하는 엔터티 담당자에게만 제공됩니다. |
그룹 및 사이트 설정을 통해 사용할 수 있는 두 가지 조건부 액세스 구성 범주는 다음과 같습니다.
- 관리되지 않는 디바이스 제한
- 인증 컨텍스트
관리되지 않는 디바이스 제한
관리되지 않는 디바이스는 Intune 디바이스 관리 플랫폼에 등록되지 않았거나 Microsoft Entra ID에 가입되지 않은 디바이스입니다. 관리되지 않는 디바이스를 식별하면 환경에 연결된 디바이스가 알려지고, 사용자가 조직 계정으로 인증되었으며, 기본 디바이스 요구 사항 집합이 마련되어 있는지 확인하는 데 도움이 됩니다. 이러한 요구 사항을 충족하지 않는 디바이스는 해당 디바이스보다 위험 수준이 높은 것으로 간주될 수 있습니다.
Microsoft Entra ID 조인 디바이스에 대한 자세한 내용은 Microsoft Entra 조인 디바이스란?을 참조하세요.
민감도 레이블에서 관리되지 않는 디바이스 옵션을 구성하면 레이블이 지정된 SharePoint 사이트 또는 Teams를 관리되지 않는 디바이스를 대상으로 하고 '앱 적용 제한'을 적용하는 조건부 액세스 정책에 연결할 수 있습니다.
다음 세 가지 구성 옵션을 사용할 수 있습니다.
- 데스크톱 앱, 모바일 앱 및 웹에서 전체 액세스 허용: 이 옵션을 사용하면 관리되지 않는 디바이스가 아무 제한 없이 레이블이 지정된 위치에 액세스할 수 있습니다. 이렇게 하면 사용자가 이러한 위치에서 관리되지 않는 디바이스로 파일을 다운로드할 수 있으므로 다른 컨트롤 없이 데이터가 손실될 수 있습니다. 이로 인해 일부 조직에서는 낮은 민감도 위치에 대해서만 사용하도록 선택할 수 있습니다.
- 제한된 웹 전용 액세스 허용: 이 옵션을 사용하면 관리되지 않는 디바이스가 웹 브라우저를 통해서만 레이블이 지정된 위치에 액세스할 수 있습니다. 또한 이러한 웹 전용 세션은 파일을 다운로드하거나 인쇄하는 기능을 제거하여 공격자가 쉽게 액세스하거나 실수로 볼 수 있는 위치에 중요한 정보가 다운로드되고 저장되지 않도록 보호하여 알아야 할 사항을 보장할 수 있습니다.
- 액세스 차단: 이 옵션은 레이블이 적용된 위치에 대한 관리되지 않는 디바이스 액세스를 차단하는 데 사용할 수 있습니다.
인증 컨텍스트
조직에서 순전히 디바이스 관리 상태 기반으로 하는 것보다 레이블이 지정된 위치에 더 세분화된 컨트롤을 적용해야 하는 몇 가지 시나리오가 있습니다. 인증 컨텍스트 를 사용하면 레이블이 지정된 위치와 완전히 기능을 갖춘 조건부 액세스 정책을 정렬할 수 있습니다.
인증 컨텍스트는 기본적으로 조건부 액세스 정책을 민감도 레이블과 연결하는 데 사용되는 개체 입니다. 레이블이 지정된 사이트에 액세스하려고 시도하면 연결된 조건부 액세스 정책이 트리거되고 요구 사항이 적용됩니다.
인증 컨텍스트의 이점은 다음과 같습니다.
- 위치의 민감도에 따라 전체 조건부 액세스 정책을 일관되게 적용할 수 있습니다.
- 전체 조건부 액세스 정책의 세분화된 제어를 통해 사용자 또는 그룹 기반 제외, 위치 또는 IP 기반 제한과 같은 더 많은 틈새 시나리오를 충족할 수 있습니다.
인증 컨텍스트 및 관련 조건부 액세스 정책은 레이블에 연결하려면 Microsoft Entra ID 내에서 만들어야 합니다.
최소 처리 보호와 일치
PSPF 2024 섹션 9.3, 최소 처리 요구 사항에는 정부 시설 외부의 정보 사용 및 저장을 위해 마련되어야 하는 제어 목록이 포함되어 있습니다. 이 섹션에는 권한 있는 비정부 디바이스에 대한 정의가 포함되어 있습니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| PSPF 2024 - 비정부 디바이스에 대한 섹션 9.3.3 보호 및 처리 요구 사항 | 다른 모든 모바일 디바이스 – 엔터티가 소유, 발급 또는 승인하지 않은 디바이스입니다. 이러한 디바이스는 정부 공식: 중요한 정보 또는 위의 정보에 액세스, 처리, 저장 또는 통신할 수 있는 권한이 없어야 하며, 영역 4-5 또는 비밀 또는 일급 비밀 정보 또는 디바이스가 있는 곳에 들어가서는 안 됩니다. |
자세한 내용은 PSPF(보호 보안 정책 프레임워크)를 참조하세요.
다음은 공식: 중요한 위치에 대한 액세스를 방지하기 위해 레이블 기반 조건부 액세스 정책을 구성하는 방법의 예입니다. 다음 예제에서는 또한 보호된 위치에 대한 보호를 확장하여 레이블이 적용된 위치에 대한 액세스 권한을 부여하기 위해 관리되는(정부 발급 또는 관리되는 비정부 디바이스), 그룹 멤버 자격 및 승인된 물리적 위치를 요구합니다.
| Label | 조건부 액세스 설정 |
|---|---|
| 비공식 | 모든 권한을 허용합니다. |
| 관 | 모든 권한을 허용합니다. |
| 공식: 중요 | 관리되지 않는 모든 디바이스에 대한 액세스를 차단합니다. |
| 보호 | 다음을 수행할 인증 컨텍스트에 연결합니다. - 관리되는 디바이스가 필요합니다. - 권한 있는 사용자 그룹의 멤버 자격이 필요하고, - 신뢰할 수 있는 위치에서 액세스해야 합니다. |
데이터 중단 경고
그룹 및 사이트 구성을 통해 위치에 레이블을 적용하면 데이터를 잘못된 위치에 경고할 수 있습니다.
관리자가 위치에 레이블을 적용하는 경우 해당 위치가 적용된 레이블을 포함하여 항목의 스토리지에 적합하다는 것을 설정합니다. 위치가 OFFICIAL: Sensitive 로 구성된 경우 OFFICIAL: Sensitive 및 동일한 그룹화 내에 있을 수 있는 하위 레이블을 포함하여 모든 레이블의 항목을 포함할 수 있습니다.
PROTECTED 항목이 공식: 중요한 위치로 이동되는 경우 이는 데이터 유출이며 수정이 필요하며, 이는 외부 경고가 중요한 위치입니다.
이러한 이벤트가 발생하는 경우:
- 재분류 또는 기타 필요한 비즈니스 프로세스로 인해 작업이 차단되지 않습니다.
- 호환되지 않는 민감도 레이블이 검색된 경고가 사용자에게 전송됩니다. 이 경고는 사용자에게 전송되며, 이 경고는 문제를 교육하고 항목, 항목 및 위치에 대한 링크를 제공하며 추가 지원을 위해 URL로 보낼 수 있습니다.
- SharePoint 사이트의 관리자에게 인시던트에 대해 알리는 경고가 전송됩니다. 필요한 경우 메일 흐름 규칙 또는 유사한 구성을 구현하여 이러한 경고를 보안 팀에 전송할 수 있습니다.
- 검색된 문서 민감도 불일치 감사 로그 이벤트가 생성됩니다.
다음은 이러한 작업이 발생할 때 사용자에게 전송되는 경고의 예입니다.
팁
다음을 통해 이러한 알림에 제공된 HelpLink URL을 구성할 수 있습니다.
Set-SPOTenant –LabelMismatchEmailHelpLink “URL”
데이터가 잘못되었습니다. 경고는 다음과 같이 면밀히 모니터링해야 합니다.
- PROTECTED 또는 OFFICIAL: 중요한 항목이 더 허용적인 개인 정보 구성이 있을 수 있는 낮은 민감도 컨테이너로 이동되는 경우 알아야 할 원칙을 준수하기 어려울 수 있습니다.
- 조건부 액세스와 같은 컨트롤은 낮은 민감도 위치에서 더 완화될 수 있으며, 이로 인해 데이터가 유출되거나 관리되지 않는 디바이스로 이동될 수 있습니다.
정부 조직은 Microsoft Purview 계층화된 접근 방식을 사용하여 데이터의 데이터 반출 위험을 줄일 수 있습니다. 여기에는 다음이 포함됩니다.
- 데이터를 모니터링하기 위한 접근 방식의 경고입니다.
- 적용된 레이블 이외의 항목에 포함된 콘텐츠를 평가하는 DLP(데이터 손실 방지) 보호 계층을 포함합니다( 중요한 정보의 배포 제한에 설명된 대로).
- 내부자 위험 관리 및 적응형 보호와 같은 도구를 통해 심각한 정책 위반에 앞서 위험한 사용자 동작을 식별합니다.
데이터 모니터링 중단 경고
기본적으로 민감도 불일치 경고는 감사 로그, 사이트 관리자 사서함에 표시되며 활동 탐색기에 표시됩니다. 정부 조직을 위한 Microsoft Purview 구현에는 민감도 불일치 경고를 처리하기 위한 전략 및 프로세스가 포함되어야 합니다. 이 전략에는 우선 순위가 낮은 불일치보다 더 중요한 경고가 우선 순위가 지정되도록 하는 우선 순위도 포함되어야 합니다.
예를 들어 비공식으로 레이블이 지정된 SharePoint 위치로 이동되는 공식 정보는 비공식으로 레이블이 지정된 SharePoint 위치로 이동되는 보호된 정보보다 결과가 적으며 우선 순위순으로 우선 순위를 지정해야 합니다.
다음 예제 우선 순위 매트릭스는 조직에서 데이터의 우선 순위를 지정해야 하는 이벤트 수정을 결정할 수 있는 방법을 보여 줍니다.
| 항목 레이블 | 비공식 위치 | 공식 위치 | 공식 중요한 위치 | 보호된 위치 |
|---|---|---|---|---|
| 비공식 항목 | - | - | - | - |
| 공식 항목 | 우선 순위 낮추기 | - | - | - |
| 공식 중요 항목 | 중간 우선 순위 | 중간 우선 순위 | - | - |
| 보호된 항목 | 가장 높은 우선 순위 | 높은 우선 순위 | 높은 우선 순위 | - |
이러한 이벤트를 모니터링하고 실행하려면 Microsoft Sentinel 과 같은 SIEM(보안 정보 및 이벤트 관리) 솔루션을 사용하여 감사 로그를 수집하고 위치의 민감도 및 항목의 민감도에 따라 이벤트를 필터링합니다. 그런 다음, 상황을 해결하기 위해 경고 또는 수정 활동을 트리거합니다.
SIEM 기능을 사용하지 않는 조직의 경우 메일 흐름 규칙을 통해 세부적인 경고를 제공할 수 있습니다. 이 규칙은 위반하는 사용자에게 전송된 경고 이메일의 본문을 확인하고 다른 곳에 있는 전자 메일에 조치를 지시합니다. 예시:
이러한 규칙은 파일 및 사이트 민감도 세부 정보에 대한 이메일 본문을 검사 다음 보안 팀에 알림과 같은 적절한 경고를 트리거하도록 구성할 수 있습니다.
Power Automate 는 다른 보고 또는 경고 옵션을 제공합니다. 예를 들어 잘못된 위치 경고 사서함으로 전송된 항목에 대해 작업하고, Microsoft Entra ID에서 잘못된 사용자 관리자 필드를 가져오고, 관리자에게 인시던트 보고서를 보내서 부하로 상황을 해결할 수 있도록 하는 흐름을 만들 수 있습니다.
팁
가장 좋은 방법은 다른 비즈니스 프로세스와 일치하는 경고/보고 전략을 개발하는 것입니다. Microsoft Sentinel을 SIEM으로 사용하는 것이 가장 좋은 옵션이며, Microsoft Purview와 함께 작동하도록 빌드되고 설계되었습니다.
그룹 및 사이트 구성 예제
다음은 적용된 민감도 레이블에 따라 위치에 세분화된 컨트롤을 적용하는 방법의 예를 제공하기 위한 것입니다. 이는 항목의 값, 중요도 및 민감도에 비례하는 운영 제어를 제공하므로 PSPF 2024 요구 사항 71과 일치합니다.
| 민감도 레이블 | 그룹 & 사이트 | 개인 정보 설정 | 외부 액세스 | 외부 공유 | 조건부 액세스 |
|---|---|---|---|---|---|
| 비공식 | 설정 | 끄기 또는 없음 (사용자가 결정) |
게스트 허용 | 기존 게스트 허용 | 관리되지 않는 디바이스에서 전체 액세스 끄기 또는 허용 |
| 관 | 설정 | 끄기 또는 없음 (사용자가 결정) |
게스트 허용 | 기존 게스트 허용 | 관리되지 않는 디바이스에서 전체 액세스 끄기 또는 허용 |
| 공식 민감도(범주) | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
| 공식 민감도 | 설정 | 개인 | 게스트 허용 | 기존 게스트 허용 | 관리되지 않는 디바이스에 대한 액세스 차단 |
| 공식 중요한 개인 정보 | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
| 공식 중요한 법적 권한 | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
| 공식 민감한 입법 비밀 | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
| 공식 민감한 국가 내각 | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
| PROTECTED(범주) | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
| 보호 | 설정 | 개인 | 게스트 허용 안 함 | 조직 내부 사용자만 | 인증 컨텍스트: - MFA 필요, - 관리 디바이스; 그리고 - 신뢰할 수 있는 위치입니다. |
| 보호됨 - 개인 정보 보호 | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
| PROTECTED - 법적 권한 | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
| 보호됨 - 입법 비밀 | 해제 | 해당 없음 | 해당 없음 | 해당 없음 | 해당 없음 |
| 보호된 캐비닛 | 설정 | 개인 | 게스트 허용 안 함 | 조직 내부 사용자만 | 인증 컨텍스트: - MFA 필요, - 관리 디바이스; 그리고 - 신뢰할 수 있는 위치입니다. |
| 보호된 국가 내각 | 설정 | 개인 | 게스트 허용 안 함 | 조직 내부 사용자만 | 인증 컨텍스트: - MFA 필요, - 관리 디바이스; 그리고 - 신뢰할 수 있는 위치입니다. |
SharePoint의 기본 레이블 지정
기본 레이블 지정은 SharePoint 문서 라이브러리 내에서 만든 항목이 민감도 레이블을 자동으로 상속할 수 있도록 하는 기능입니다. 상속된 레이블은 새 항목 또는 레이블이 지정되지 않은 항목과 기본 레이블보다 순서가 낮은 기존 레이블이 있는 항목에 적용됩니다. 기본 레이블을 사용하여 사이트의 민감도와 사이트 내에 저장된 파일의 민감도를 일치시킬 수 있습니다.
예를 들어 정부 조직은 기본 레이블 지정 옵션과 자동 분류 사용을 금지하는 요구 사항 간의 명백한 근접성을 염려할 수 있습니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| PSPF 2024 - 09. 분류 & 주의 사항 - 요구 사항 60 | 보안 분류는 가장 낮은 적절한 수준으로 설정됩니다. |
| ISM-0271(2025년 3월) | 보호 표시 도구는 전자 메일에 보호 표시를 자동으로 삽입하지 않습니다. |
오스트레일리아 정부 환경의 기본 레이블 지정은 시스템에서 항목을 생성하는 경우에 유용할 수 있습니다. 예를 들어 대량으로 항목을 만드는 비즈니스 프로세스의 일부로 사용되는 애플리케이션이 있는 경우(예: Power Automate 흐름) 항목이 생성되는 위치는 기본 레이블을 적용할 수 있습니다. 이렇게 하면 프로세스에서 생성된 모든 항목에 일관된 레이블이 적용됩니다.
새로 만든 항목만, 기본 설정이 적용된 후 수정되거나 위치로 이동된 항목은 레이블을 상속합니다. 이 솔루션을 통해 위치에 있는 기존 파일에 레이블을 적용할 수 없습니다.
레이블 암호화를 사용하는 조직의 경우 웹용 Office 365 대한 민감도 레이블과 마찬가지로 암호화를 적용하는 일부 레이블 구성은 SharePoint에서 지원되지 않습니다. 예를 들어 사용자가 권한을 할당하도록 허용 암호화 옵션을 사용하려면 사용자 상호 작용이 필요하며 기본 레이블 지정에는 적합하지 않습니다. 사용자 액세스 만료 및 이중 키 암호화와 관련된 옵션도 영향을 받을 수 있습니다.
기본 레이블 지정에 대한 자세한 내용은 SharePoint 문서 라이브러리에 대한 기본 민감도 레이블 구성을 참조하세요.