엔터프라이즈용 Microsoft 365는 심층 방어, 서비스 내 고객 제어, 보안 강화 및 운영 모범 사례를 통해 서비스 수준 보안과 같은 모든 보안 모범 사례 및 절차를 따릅니다. 자세한 내용은 Microsoft 보안 센터 및 Microsoft 규정 준수를 참조하세요.
신뢰할 수 있는 설계
Microsoft 365는 Microsoft SDL(보안 개발 수명 주기)에 설명된 Microsoft Trustworthy Computing Security Development Lifecycle(SDL)을 준수하여 설계 및 개발되었습니다. 보다 안전한 통합 통신, 협업 및 생산성 시스템을 만드는 첫 번째 단계는 위협 모델을 설계하고 각 기능을 설계한 대로 테스트하는 것이었습니다. 보안과 관련하여 향상된 여러 기능이 코딩 프로세스 및 사례에 기본 제공되었습니다. 빌드 시간 도구는 최종 제품에 코드를 체크 인하기 전에 버퍼 오버런 및 기타 잠재적 보안 위협을 검색합니다. 알 수 없는 모든 보안 위협에 대해 설계하는 것은 불가능합니다. 시스템에서 완전한 보안을 보장할 수는 없습니다. 그러나 제품 개발은 처음부터 보안 디자인 원칙을 수용했기 때문에 Microsoft 365는 업계 표준 보안 기술을 아키텍처의 기본 부분으로 통합합니다.
Microsoft 365용 보안 프레임워크
Microsoft 365는 제로 트러스트 같은 보안 아이디어와 최소 권한 액세스 원칙을 지지합니다. 이 섹션에서는 Microsoft 365용 보안 프레임워크를 구성하는 기본 요소에 대한 개요를 제공합니다.
핵심 요소는 다음과 같습니다.
- 사용자 계정에 대해 신뢰할 수 있는 단일 백 엔드 리포지토리를 제공하는 Microsoft Entra ID. 사용자 프로필 정보는 Microsoft Graph의 작업을 통해 Microsoft Entra ID 저장됩니다.
- 네트워크 트래픽을 추적하는 경우 여러 토큰이 발급될 수 있습니다.
- TLS(전송 계층 보안)는 이동 중인 채널을 암호화합니다. 인증은 인증서를 기반으로 하는 MTLS(상호 TLS) 또는 Microsoft Entra ID 기반 서비스 간 인증을 사용하여 이루어집니다.
- 지점 간 오디오, 비디오 및 애플리케이션 공유 스트림은 SRTP(보안 Real-Time 전송 프로토콜)를 사용하여 암호화되고 무결성을 검사합니다.
- 추적에 OAuth 트래픽, 특히 Teams의 탭 간에 전환하는 동안 토큰 교환 및 협상 권한과 관련된 OAuth 트래픽이 표시됩니다(예: 게시물에서 파일로 이동). 탭에 대한 OAuth 흐름의 예는 이 문서를 참조하세요.
- Microsoft 365는 가능한 한 사용자 인증에 업계 표준 프로토콜을 사용합니다.
Microsoft Entra ID
Microsoft Entra ID Microsoft 365 및 Office 365 대한 디렉터리 서비스로 작동합니다. 모든 사용자 및 애플리케이션 디렉터리 정보 및 정책 할당을 저장합니다.
Microsoft 365의 암호화
Microsoft 365 내에는 organization 콘텐츠를 보호하기 위한 여러 계층의 암호화가 있습니다. Microsoft 365의 암호화에 대한 개요는 Microsoft 365의 암호화를 참조하세요.
사용자 및 클라이언트 인증
신뢰할 수 있는 사용자는 Microsoft 365 또는 Office 365 Microsoft Entra ID 자격 증명을 인증한 사용자입니다.
인증은 신뢰할 수 있는 서버 또는 서비스에 사용자 자격 증명을 프로비전하는 것입니다. Microsoft 365는 사용자의 상태 위치에 따라 다음과 같은 인증 프로토콜을 사용합니다.
- MA(최신 인증) 는 클라이언트와 서버 통신을 위한 OAUTH 2.0의 Microsoft 구현입니다. 다단계 인증 및 조건부 액세스와 같은 보안 기능을 사용할 수 있습니다. MA를 사용하려면 온라인 테넌트와 클라이언트를 모두 MA에 사용하도록 설정해야 합니다. PC 및 모바일의 Microsoft 365 클라이언트와 웹 클라이언트는 모두 MA를 지원합니다.
참고
Microsoft Entra 인증 및 권한 부여 방법에 대한 자세한 내용을 보려면 이 문서의 소개 및 'Microsoft Entra ID 인증 기본 사항' 섹션이 도움이 됩니다.
Microsoft 365 인증은 Microsoft Entra ID 및 OAuth를 통해 수행됩니다. 인증 프로세스는 다음으로 간소화할 수 있습니다.
- 사용자 로그인 > 토큰 발급 > 다음 요청은 발급된 토큰을 사용합니다.
클라이언트에서 클라우드 서비스로의 요청은 OAuth를 사용하여 Microsoft Entra ID 인증 및 권한을 부여합니다. 페더레이션된 파트너가 발급한 유효한 자격 증명을 가진 사용자는 신뢰할 수 있으며 네이티브 사용자와 동일한 프로세스를 통과합니다. 그러나 관리자가 추가 제한을 시행할 수 있습니다.
미디어 인증의 경우 ICE 및 TURN 프로토콜은 IETF TURN RFC에 설명된 다이제스트 챌린지도 사용합니다.
엔드포인트 보안
Microsoft는 사용자 지향 Microsoft 365 앱 및 서비스를 일관된 단일 도메인 **cloud.microsoft**으로 통합하고 있습니다.
Microsoft 클라우드 서비스의 성장으로 인해 해당 클라우드 서비스가 차지하는 도메인 공간이 확장되어 수백 개의 도메인이 생성되었습니다. 이 조각화는 최종 사용자 탐색, 관리 단순성 및 앱 간 환경 개발을 위한 과제입니다.
최상위 도메인은 *.microsoft* Microsoft 전용입니다. 새 도메인에는 .com 또는 .net과 같은 기존 접미사가 없습니다. 이것은 정상적인 현상입니다.
cloud.microsoft 은 Microsoft가 .microsoft 레지스트리 운영자이자 유일한 등록자인 최상위 도메인에 상주합니다. 이 도메인은 해당 도메인 내에서 앱과 상호 작용할 때 스푸핑에 대한 추가 보안, 개인 정보 보호 및 보호를 허용합니다. 로 끝나는 cloud.microsoft 모든 웹 사이트 또는 앱이 공식 Microsoft 제품 또는 서비스임을 신뢰할 수 있습니다.
자세한 내용은 Microsoft 365 앱용 통합 cloud.microsoft 도메인을 참조하세요.
관련 문서
보안 팀이 집에서 작업할 수 있도록 지원하는 상위 12가지 작업
VPN 분할 터널링을 사용하여 원격 사용자에 대한 Microsoft 365 또는 Office 365 연결 최적화