Microsoft 365 보안 도구로 Microsoft 365용 Copilot 데이터 보호

많은 조직에서는 사용자가 내부 또는 개인 정보를 과도하게 공유하는 것을 우려하고 있습니다. 이러한 문제를 해결하기 위해 Microsoft는 Microsoft 365 및 Azure 에코시스템 내에서 강력한 보안 도구를 제공합니다. 이러한 도구는 조직이 권한을 강화하고 "충분한 액세스"를 구현하는 데 도움이 됩니다. 관리자가 이러한 도구에서 정의하는 정책 및 설정은 데이터의 과도한 공유를 방지하기 위해 Microsoft 365 및 Azure뿐만 아니라 Microsoft 365 Copilot에서도 사용됩니다. 관리자는 권한, 민감도 레이블 지정 및 데이터 액세스와 관련된 조직의 보안 사례를 확인하여 독점 및 중요한 비즈니스 데이터의 잠재적인 과도한 공유를 방지해야 합니다.

Microsoft는 이 상황을 해결하기 위해 "적절한 액세스" 방법을 권장합니다. 이 방법에서 각 사용자는 작업에 필요한 특정 정보만 액세스할 수 있습니다. 이 방법은 사용자가 볼 수 없는 문서, 사이트 또는 데이터에 액세스할 수 없도록 권한을 엄격하게 제어해야 합니다.

과도한 공유를 방지하기 위해 조직에서는 다음 모범 사례를 구현하는 것이 좋습니다.

• 사이트, 문서, 전자 메일 및 기타 콘텐츠에 대한 액세스 검토를 수행합니다. 과도하게 노출된 자산을 식별합니다. 데이터 소유자가 SharePoint 사이트, 문서 라이브러리, 전자 메일 사서함 및 기타 데이터 자산을 인벤토리에 추가합니다. 사용자 권한이 필요 이상으로 광범위한 영역을 식별합니다. 예를 들어 "HR 혜택" SharePoint 사이트는 HR 팀 대신 모든 직원에게 표시됩니다.
• 권한이 부여된 사용자만 액세스할 수 있도록 과도하게 공개된 자산에 대한 권한을 강화합니다. 이전 항목의 예제를 사용하여 "HR 혜택" 사이트 액세스 권한을 HR 부서 구성원으로만 제한합니다. 마찬가지로 기밀 제품 로드맵 문서를 관련 제품 관리자로만 제한합니다. 노출을 제한하려면 전자 메일 및 문서에 대한 외부 공유 및 액세스 만료를 구성합니다.
• 액세스를 제한해도 사용자가 작업을 수행하는 데 방해가 되지 않는지 확인합니다. 제한된 자산의 사용자를 대상으로 설문 조사 및 인터뷰를 실시하여 본인의 직무에 필요한 모든 정보에 여전히 액세스할 수 있는지 확인합니다. 예를 들어 회사에서 HR 데이터를 제한하더라도 영업 팀이 고객 연락처 정보 및 프로젝트 사양에 계속 액세스할 수 있는지 확인합니다.
• 검색 기능을 테스트하여 사용자가 자신의 역할과 관련된 정보에만 액세스할 수 있도록 합니다. 다른 내부 역할로서 문서, 사이트, 전자 메일의 샘플링을 검색합니다. 재무 직원이 HR 데이터에 액세스할 수 없는지 확인합니다. 부서 전체 팀이 공유 프로젝트 리소스에 대한 액세스 권한을 유지하는지 확인합니다. 권한 조정은 반복적인 프로세스입니다.
• Microsoft SharePoint 고급 관리 도구를 구현합니다. 이전 교육에서 설명한 대로 sam(SharePoint 고급 관리)에는 다음을 포함하여 조직이 과잉 공유를 방지하는 데 도움이 되는 몇 가지 도구가 포함되어 있습니다.
  • 데이터 액세스 거버넌스 보고서. 이러한 보고서는 잠재적으로 과도하게 공유되거나 중요한 콘텐츠가 포함된 사이트를 식별합니다. 또한 이러한 보고서는 organization 내에서 권한이 초과된 상위 사이트에 대한 인사이트를 제공합니다. 관리자가 데이터 액세스 거버넌스 보고서를 사용하여 이러한 사이트를 식별하는 경우 관리자는 인증되지 않은 사용자가 중요한 데이터에 액세스하지 않도록 수정 조치를 취할 수 있습니다. 이러한 사전 예방적 접근 방식을 통해 조직은 보안 데이터 환경을 유지하고 우발적인 데이터 누출을 방지할 수 있습니다.
  • SharePoint 및 OneDrive에 대한 제한된 액세스 제어. SharePoint 사이트 정책에 대해 제한된 액세스 제어를 사용하도록 설정하여 사이트 수준에서 사이트 및 콘텐츠가 검색되지 않도록 방지할 수 있습니다. 사이트 액세스 제한은 지정된 보안 그룹 또는 Microsoft 365 그룹의 사용자만 콘텐츠에 액세스할 수 있도록 허용합니다. OneDrive 정책에 대한 제한된 액세스 제어를 사용하는 보안 그룹의 사용자만 사용자의 OneDrive 공유 콘텐츠에 대한 액세스를 제한할 수 있습니다. 정책을 사용하도록 설정하면 지정된 보안 그룹에 없는 사람은 이전에 공유한 경우에도 해당 OneDrive의 콘텐츠에 액세스할 수 없습니다.
  • 사이트 액세스 검토. 이 도구를 사용하면 관리자가 특정 SharePoint 사이트에 액세스할 수 있는 사용자를 정기적으로 검토하고 관리할 수 있습니다. 이 기능을 사용하면 IT 관리자가 공유 콘텐츠의 컨텍스트와 필요성을 이해하는 데 가장 적합한 사이트 소유자에게 데이터 액세스 거버넌스 보고서의 검토 프로세스를 위임할 수 있습니다. 이 도구는 데이터 액세스 거버넌스 보고서에서 식별된 초과 공유 문제를 해결하는 데 유용합니다. 사이트에 잠재적인 초과 공유 플래그가 지정되면 관리자는 사이트 액세스 검토를 시작하여 사이트 소유자에게 액세스 권한을 확인하고 관리하라는 메시지를 표시할 수 있습니다.
  • 제한된 콘텐츠 검색. 이 기능은 권한이 없는 사용자가 중요한 콘텐츠를 검색할 수 없으므로 사용자 권한에 따라 가시성을 제한하여 데이터 보안을 강화합니다. 이 기능은 사용자 권한에 따라 특정 콘텐츠의 표시 유형을 제한하여 적절한 액세스 수준을 가진 사용자만 중요한 정보를 찾고 볼 수 있도록 합니다. 제한된 콘텐츠 검색은 기밀 데이터를 보고 상호 작용할 수 있는 사용자를 제어하는 데 도움이 되므로 데이터 보안 및 규정 준수를 유지하는 데 중요합니다. 이 도구는 콘텐츠 검색 가능성을 제한하므로 조직에서 데이터를 보다 안전하게 관리하고 우발적인 초과 공유를 방지할 수 있습니다.

데이터 보안을 위한 Microsoft 도구

Microsoft 365, Microsoft 365 Copilot 및 연결된 서비스는 모두 관리자가 정의한 정책 및 설정을 사용하여 권한을 강화하고 "충분한 액세스"를 구현합니다. 데이터의 과도한 공유를 방지하기 위해 플러그인과 Microsoft Graph 커넥터를 통해 이를 수행합니다. 다음 목록에서는 관리자가 이러한 정책 및 설정을 정의하는 데 사용할 수 있는 몇 가지 도구를 간략히 요약해서 설명합니다.

• Microsoft Purview Information Protection. 민감도에 따라 문서 및 전자 메일을 분류하고 필요에 따라 암호화합니다. 권한 있는 사용자로만 액세스를 제한하는 정책을 만들 수 있습니다. 예를 들어, 다음을 수행할 수 있습니다.

  • 직원 급여를 포함하는 문서 또는 전자 메일을 "기밀(높음)"로 분류하고 HR 팀으로만 액세스만 제한합니다.
  • 고객 데이터를 "기밀"로 분류하고 해당 고객에 할당된 영업 담당자만 액세스할 수 있도록 허용합니다.
  • 재무 보고서를 "내부 전용"으로 분류하고 외부 공유를 방지하기 위해 자동으로 암호화합니다.
  • 경영진 커뮤니케이션을 "내부 담당자 전용"으로 분류하고 리더십 팀의 구성원으로 액세스를 제한합니다.

• Microsoft Purview 민감도 레이블. "기밀" 또는 "내부 전용"과 같은 민감도 태그를 사용하여 SharePoint 사이트, 문서 및 전자 메일을 분류하고 레이블을 지정합니다. 특정 민감도 태그를 사용하여 자산에 대한 액세스를 제한하는 정책을 만들 수 있습니다. 예를 들어, 다음을 수행할 수 있습니다.

  • 직원 성과 검토에 "HR 기밀" 민감도 태그를 지정하고 HR 관리자로만 액세스를 제한합니다.
  • 고객 데이터에 "고객 기밀" 태그를 지정하고 해당 태그가 있는 항목의 다운로드, 인쇄 또는 공유를 차단하는 정책을 구성합니다.
  • 고객 데이터에 "기밀" 레이블을 지정하고 이 레이블이 적용된 파일을 자동으로 암호화하도록 구성합니다.
  • 회계 스프레드시트에 "재무 기밀" 레이블을 지정하고 재무 팀 구성원으로만 액세스를 제한합니다.

• Microsoft Entra 조건부 액세스 정책. 사용자 위치, 디바이스 또는 네트워크와 같은 조건에 따라 SharePoint를 포함한 Microsoft 365 정보 및 서비스에 대한 액세스 권한을 부여하거나 제한합니다. 이러한 정책은 시스템이 위험을 감지하거나 사용자 자격 증명이 손상될 때 액세스를 제한하는 데 유용합니다. 예를 들어, 다음을 수행할 수 있습니다.

  • 원격으로 연결할 때 재무 데이터가 포함된 SharePoint 사이트에 액세스하려면 다단계 인증이 필요합니다.
  • 사용자가 회사 네트워크의 관리형 디바이스를 통해 연결하지 않는 한, 내부 프레젠테이션이 포함된 사이트의 외부 공유를 차단합니다.
  • 관리형 디바이스가 독점 소스 코드를 포함하는 사이트에 액세스하도록 요구합니다.
  • 공개 발표 날짜 전에 보도 자료가 포함된 사이트에 대한 액세스를 차단합니다.
  • 시스템에서 종종 자격 증명 도난의 지표가 되는 불가능한 이동을 감지하는 경우, 액세스를 차단하거나 다른 방식의 단계별 인증을 요구합니다.

• Microsoft Entra PIM(Privileged Identity Management). Just-In-Time 관리자 액세스를 제공하고, 최소 권한 원칙을 적용하고, 필요한 경우에만 사용자에게 필요한 권한을 부여하여 영구 고정 권한을 제한합니다. 예를 들어, 다음을 수행할 수 있습니다.

  • 승인된 업무 시간에만 SharePoint 관리자 또는 전역 관리자와 같은 권한 있는 역할을 부여하여 고정 액세스 권한을 최소화합니다.
  • 데이터 또는 앱에 대한 권한 있는 액세스를 활성화하기 위해 다단계 인증 및 타당성을 요구합니다.
  • 청구 관리자와 같은 권한 있는 액세스를 주당 최대 5시간으로 제한합니다.
  • Microsoft 365 전역 관리자 역할 액세스를 활성화하기 위해 승인을 요구합니다.

• sam(SharePoint 고급 관리) 사이트 액세스 검토 이 SAM 도구는 사용자에게 필요하지 않거나 더 이상 필요하지 않은 권한을 취소하기 위해 사이트 소유자, 구성원 및 액세스 요청에 대한 액세스 검토를 요구하고 자동화합니다. 이 도구는 이 단원의 앞부분에서 조직이 데이터 과잉 공유를 방지할 수 있도록 지원하는 수단으로 검토되었습니다. 또한 조직에서 권한 있는 사용자만 중요한 정보에 액세스할 수 있도록 하여 데이터 침해의 위험을 줄일 수 있습니다. 사이트 액세스 검토를 통해 사용자는 자신의 역할에 필요한 액세스 권한만 유지할 수 있습니다. 예를 들어, 다음을 수행할 수 있습니다.

  • 검토 및 승인되지 않을 경우, 90일 후에 HR 또는 재무 시스템에 대한 권한을 자동으로 해지합니다.
  • 액세스에 대한 지속적인 요구가 유효한지 검사하려면 외부 사용자 계정의 분기별 비즈니스 타당성이 필요합니다.
  • 사용자 액세스에 대한 분기별 검토를 요구하고 퇴사한 직원의 액세스 권한을 제거합니다.
  • 공동 작업 사이트에 대한 외부 사용자 액세스에 대해 정책 시간 제한을 적용합니다.

• Microsoft Graph 커넥터 및 플러그 인. Microsoft Graph 커넥터 또는 플러그 인을 사용하여 연결된 외부 데이터에 대한 액세스를 제한합니다. 예를 들어, 다음을 수행할 수 있습니다.

  • 사용자 및 그룹이 연결된 데이터 공급자에 액세스하는 데 필요한 액세스 범위를 정의합니다.
  • 연결된 서비스 및 Microsoft 365 Copilot 플러그 인과 함께 사용되는 데이터에 대해 사용자 계정 기반 서비스 인증이 필요합니다.
  • Graph 커넥터를 통해 인덱싱된 외부 콘텐츠로 확장 검색 기능을 액세스 권한이 있는 사용자로만 제한합니다.

이러한 도구의 조합을 사용하여 액세스를 강화하고 최소 권한을 구현하면 조직에서 중요한 데이터의 노출을 제한하고 과도한 공유를 방지하여 중요한 정보를 안전하게 유지할 수 있습니다. 이러한 도구는 "충분한 액세스"를 사용하도록 설정하는 강력한 메커니즘입니다. 각 직원이 과도한 권한 없이 작업을 완료할 수 있는 충분한 액세스 권한을 가지도록 함으로써 Microsoft 365 Copilot이 유용한 권장 사항에 필요한 적절한 데이터에만 집중하도록 할 수 있습니다.

추가 읽기 자료. 데이터 및 사용자 디바이스 보안에 대한 자세한 내용은 다음 교육 제품을 참조하세요.

• Microsoft Defender XDR에서 보안 메트릭 살펴보기.
• Microsoft Defender for Endpoint를 사용하여 엔드포인트 보호 구현.
• Microsoft 365에서 규정 준수 관리.

지식 점검

다음 질문에 가장 적합한 답을 고르세요.