세 가지 보호 계층으로 Teams 구성Configure Teams with three tiers of protection

이 시리즈의 문서에서는 간편한 공동 작업으로 보안의 균형을 조정하는 파일 보호를 위한 Microsoft Teams에서의 팀들과 그들과 연결된 SharePoint 사이트를 구성하기 위한 권장 사항을 제공합니다.The articles in this series provide recommendations for configuring teams in Microsoft Teams and their associated SharePoint sites for file protection that balances security with ease of collaboration.

이 문서는 가장 공개적인 공유 정책을 사용하여 공개 팀을 시작하는 네 가지 다양한 구성을 정의합니다.This article defines four different configurations, starting with a public team with the most open sharing policies. 각각의 추가 구성은 보호 기능의 의미 있는 강화를 나타내고, 팀 내에 저장된 파일에 대한 액세스 및 공동 작업 기능은 관련 팀원의 집합으로 축소됩니다.Each additional configuration represents a meaningful step up in protection, while the ability to access and collaborate on files stored within teams is reduced to the relevant set of team members.

이 문서의 구성은 데이터, ID 및 장치의 3계층 보호에 대한 Microsoft 권장 사항과 일치합니다.The configurations in this article align with Microsoft's recommendations for three tiers of protection for data, identities, and devices:

  • 초기 보호Baseline protection

  • 중요한 보호sensitive protection

  • 매우 중요한 보호Highly sensitive protection

각 계층에 권장되는 계층과 기능에 대한 자세한 내용은 엔터프라이즈 설계자를 위한 Microsoft 클라우드를 참조하세요.For more information about these tiers and capabilities recommended for each tier, see Microsoft cloud for enterprise architects illustrations

세 계층에 대한 간략한 정보Three tiers at a glance

다음 표에서는 각 계층의 구성을 요약해서 보여줍니다.The following table summarizes the configurations for each tier. 이러한 구성을 시작하기 위한 권장 사항으로 사용하고, 조직의 요구 사항에 맞게 구성을 조정합니다.Use these configurations as starting point recommendations and adjust the configurations to meet the needs of your organization. 모든 계층이 필요한 것은 아닙니다.You may not need every tier.

- 기준(공개)Baseline (Public) 기준(비공개)Baseline (Private) 중요Sensitive 매우 중요Highly sensitive
비공개 또는 공개 팀Private or public team PublicPublic 개인Private 개인Private 개인Private
액세스 가능한 사용자Who has access? B2B 사용자를 포함한 조직의 모든 사용자Everybody in the organization, including B2B users. 팀의 구성원만.Only members of the team. 다른 사용자는 연결된 사이트에 대한 액세스를 요청할 수 있습니다.Others can request access to the associated site. 팀의 구성원만.Only members of the team. 팀의 구성원만.Only members of the team.
비공개 채널Private channels 소유자와 구성원은 비공개 채널을 만들 수 있습니다.Owners and members can create private channels 소유자와 구성원은 비공개 채널을 만들 수 있습니다.Owners and members can create private channels 소유자만 비공개 채널을 만들 수 있습니다.Only owners can create private channels 소유자만 비공개 채널을 만들 수 있습니다.Only owners can create private channels
사이트 수준 게스트 액세스Site-level guest access 신규 및 기존 게스트(기본값).New and existing guests (default). 신규 및 기존 게스트(기본값).New and existing guests (default). 신규 및 기존 게스트 또는 팀 요구에 따라 조직의 사용자만.New and existing guests or Only people in your organization depending on team needs. 신규 및 기존 게스트 또는 팀 요구에 따라 조직의 사용자만.New and existing guests or Only people in your organization depending on team needs.
사이트 공유 설정Site sharing settings 사이트 소유자 및 구성원, 편집 권한이 있는 사용자는 파일 및 폴더를 공유할 수 있지만 사이트는 오직 사이트 소유자만 공유할 수 있습니다.Site owners and members, and people with Edit permissions can share files and folders, but only site owners can share the site. 사이트 소유자 및 구성원, 편집 권한이 있는 사용자는 파일 및 폴더를 공유할 수 있지만 사이트는 오직 사이트 소유자만 공유할 수 있습니다.Site owners and members, and people with Edit permissions can share files and folders, but only site owners can share the site. 사이트 소유자 및 구성원, 편집 권한이 있는 사용자는 파일 및 폴더를 공유할 수 있지만 사이트는 오직 사이트 소유자만 공유할 수 있습니다.Site owners and members, and people with Edit permissions can share files and folders, but only site owners can share the site. 오직 사이트 소유자만 파일, 폴더, 사이트를 공유할 수 있습니다.Only site owners can share files, folders, and the site.
액세스 요청 해제.Access requests Off.
사이트 수준 관리되지 않는 장치 액세스Site-level unmanaged device access 데스크톱 앱, 모바일 앱 그리고 웹에서의 모든 액세스(기본값).Full access from desktop apps, mobile apps, and the web (default). 데스크톱 앱, 모바일 앱 그리고 웹에서의 모든 액세스(기본값).Full access from desktop apps, mobile apps, and the web (default). 제한된 웹 전용 액세스 허용.Allow limited, web-only access. 액세스 차단.Block access.
기본 공유 링크 유형Default sharing link type 조직 내부 사용자만Only people in your organization 조직 내부 사용자만Only people in your organization 특정 사용자Specific people 기존 액세스를 지닌 사용자People with existing access
민감도 레이블Sensitivity labels 없음None 없음None 팀을 분류하고 게스트 공유 및 관리되지 않는 장치 액세스를 제어하는 데 사용되는 민감도 레이블입니다.Sensitivity label used to classify the team and control guest sharing and unmanaged device access. 팀을 분류하고 게스트 공유 및 관리되지 않는 장치 액세스를 제어하는 데 사용되는 민감도 레이블입니다.Sensitivity label used to classify the team and control guest sharing and unmanaged device access. 레이블을 파일에 암호화하는 데도 사용할 수 있습니다.Label can also be used on files to encrypt files.

매우 중요한 옵션의 변형으로, 보안 격리를 포함한 Teams는 한 팀에 대해 고유한 민감도 레이블을 사용하여 추가 보안을 제공합니다.A variation of the Highly sensitive option, Teams with security isolation uses a unique sensitivity label for one team, which provides additional security. 이 레이블을 사용하여 파일을 암호화할 수 있으며, 해당 팀 구성원만 읽을 수 있게 됩니다.You can use this label to encrypt files, and only members of that team will be able to read them.

초기 보호에는 공개 팀과 비공개 팀이 포함됩니다.Baseline protection includes public and private teams. 공개 팀은 조직의 모든 사용자가 검색하고 액세스할 수 있습니다.Public teams can be discovered and accessed by anybody in the organization. 개인 팀은 팀의 구성원만 검색하고 액세스할 수 있습니다.Private teams can only be discovered and accessed by members of the team. 이러한 두 가지 구성에서는 모두 권한 관리를 지원하기 위해 연결된 SharePoint 사이트의 공유를 팀 소유자로 제한합니다.Both of these configurations restrict sharing of the associated SharePoint site to team owners to assist in permissions management.

중요한 보호 및 매우 중요한 보호에 대한 Teams는 공유 및 연결된 사이트에 대한 액세스 요청이 제한되는 비공개 팀이며, 민감도 레이블을 사용하여 게스트 공유, 장치 액세스 및 콘텐츠 암호화에 대한 정책을 설정합니다.Teams for sensitive and highly sensitive protection are private teams in which sharing and the requesting of access for the associated site is limited and sensitivity labels are used to set policies around guest sharing, device access, and content encryption.

민감도 레이블Sensitivity labels

중요한 계층 및 매우 중요한 계층에서는 민감도 레이블을 사용하여 팀과 파일을 보호합니다.The sensitive and highly sensitive tiers use sensitivity labels to help secure the team and its files. 이러한 계층을 구현하려면 Microsoft Teams, Office 365 그룹 및 SharePoint 사이트에서 민감도 레이블 사용하여 콘텐츠 보호하기를 활성화합니다.To implement these tiers, you must enable sensitivity labels to protect content in Microsoft Teams, Office 365 groups, and SharePoint sites.

기준 계층에는 민감도 레이블이 필요하지 않지만 "일반" 레이블을 만든 다음 모든 팀에 레이블을 지정하는 것이 좋습니다.While the baseline tier does not require sensitivity labels, consider creating a "general" label and then requiring that all teams be labeled. 이렇게 하면 팀을 만들 때 해당 사용자가 민감도를 쉽게 확인할 수 있습니다.This will help ensure that users make a conscious choice about sensitivity when they create a team. 중요한 또는 매우 중요한 계층을 배포하려는 경우 기준 팀과 중요하지 않은 파일에 사용할 수 있는 "일반" 레이블을 만드는 것이 좋습니다.If you plan to deploy the sensitive or highly sensitive tiers, we do recommend creating a "general" label that you can use for baseline teams and for files that are not sensitive.

민감도 레이블을 처음 사용하는 경우 민감도 레이블 시작하기를 읽고 시작하는 것이 좋습니다.If you're new to using sensitivity labels, we recommend reading Get started with sensitivity labels to get started.

조직에서 민감도 레이블이 이미 배포된 경우 중요한 및 매우 중요한 계층에서 사용되는 레이블이 전반적인 레이블 전략에 어떻게 적용되는지 고려합니다.If you have already rolled out sensitivity labels in your organization, consider how the labels used in the sensitive and highly sensitive tiers fit with your overall label strategy.

SharePoint 사이트 공유Sharing the SharePoint site

각 팀에는 문서가 저장되는 연결된 SharePoint 사이트가 있습니다.Each team has an associated SharePoint site where documents are stored. (이것은 팀 채널의 파일 탭입니다.) SharePoint 사이트에는 고유한 사용 권한 관리가 유지되지만 팀 권한에 연결됩니다.(This is the Files tab in a teams channel.) The SharePoint site retains its own permission management, but is linked to team permissions. 팀 소유자는 사이트 소유자로 포함되고 팀 구성원은 연결된 사이트에서 사이트 구성원으로 포함됩니다.Team owners are included as site owners and team members are included as site members in the associated site.

결과로 제공되는 권한을 사용하여 다음을 수행할 수 있습니다.The resulting permissions allow:

  • 팀 소유자가 사이트를 관리하고 사이트 콘텐츠를 전체적으로 제어할 수 있습니다.Team owners to administer the site and have full control over the site contents.
  • 팀 구성원이 사이트에서 파일을 만들고 편집할 수 있습니다.Team members to create and edit files on the site.

기본적으로 팀 소유자와 구성원은 팀 외부의 사용자를 실제로 팀에 추가하지 않고도 이들과 사이트를 공유할 수 있습니다.By default, team owners and members can share the site itself with people outside the team without actually adding them to the team. 그러나 이는 사용자 관리를 복잡하게 만들고 팀 구성원이 아닌 사용자가 팀 소유자의 허락없이 팀 파일에 액세스할 수 있는 상황이 발생할 수 있으므로 권장하지 않습니다.We recommend against this as it complicates user management and can lead to people who are not team members having access to team files without team owners realizing it. 이를 방지하려면 기준 보호 수준에서 시작하여 소유자만 사이트를 직접 공유할 수 있도록 하는 것이 좋습니다.To help prevent this, starting in the baseline level of protection, we recommend that only owners be allowed to share the site directly.

팀에는 읽기 전용 권한 옵션이 없지만 SharePoint 사이트에는 읽기 전용 권한 옵션이 있습니다.While teams do not have a read-only permission option, the SharePoint site does. 팀 파일을 확인해야 하지만 편집할 필요는 없는 파트너 그룹의 이해관계자가 있는 경우 읽기 권한을 사용하여 SharePoint 사이트에 이들을 직접 추가하는 것이 좋습니다.If you have stakeholders of partner groups who need to be able to view team files but not edit them, consider adding them directly to the SharePoint site with Read permissions.

파일 및 폴더 공유Sharing files and folders

기본적으로 팀 소유자와 팀 구성원 모두 팀 외부의 사용자와 파일 및 폴더를 공유할 수 있습니다.By default, both owners and members of the team can share files and folders with people outside the team. 게스트 공유를 허용한 경우 조직 외부의 사용자가 포함될 수 있습니다.This may include people outside your organization, if you have allowed guest sharing. 세 계층 모두 실수로 과도하게 공유하는 것을 방지할 수 있도록 기본 공유 링크 유형을 업데이트합니다.In all three tiers, we update the default sharing link type to help avoid accidental oversharing. 매우 중요한 계층에서는 이러한 공유를 팀 소유자로만 제한합니다.In the highly sensitive tier, we restrict such sharing to team owners only.

게스트 공유Guest sharing

조직 외부의 사용자와 공동 작업을 해야 하는 경우 최상의 공유 및 관리 환경을 위해 Azure AD B2B와 SharePoint 및 OneDrive 통합을 구성하는 것이 좋습니다.If you need to collaborate with people outside your organization, we recommend configuring SharePoint and OneDrive integration with Azure AD B2B for the best sharing and administration experience.

팀 게스트 공유 기능은 기본적으로 해제되어 있지만 Office 365 그룹(팀 구성원이 저장된 위치)과 SharePoint는 설정되어 있습니다.Teams guest sharing is off by default, though sharing for Office 365 groups (where team membership is stored) and SharePoint is on. 기준 계층에서 팀 공유를 사용하도록 설정하고, 필요한 경우 민감도 레이블을 사용하여 중요한 계층 및 매우 중요한 계층에서 팀 공유를 해제할 수 있습니다.We turn Teams sharing on in the baseline tier, and you can turn it off if needed in the sensitive and highly sensitive tiers by using a sensitivity label.

민감도 레이블은 팀의 게스트 공유에만 영향을 줍니다.The sensitivity label only affects guest sharing for the team. 연결된 SharePoint 사이트의 게스트 공유 설정은 개별적으로 제어되며 중요한 계층 및 매우 중요한 계층 모두에 대해 두 가지 설정을 조정합니다.Guest sharing settings for the associated SharePoint site are controlled separately, and we have you align the two settings for both the sensitive and highly sensitive tiers.

매우 중요한 계층에서는 적용되는 파일을 암호화하도록 민감도 레이블을 구성합니다.In the highly sensitive tier, we configure the sensitivity label to encrypt files to which it is applied. 게스트에게 이러한 파일에 대한 액세스 권한이 필요한 경우 레이블을 만들 때 해당 게스트에게 권한을 부여해야 합니다.If you need guests to have access to these files, you must give them permissions when you create the label.

조직 외부의 사용자와 공동 작업을 수행해야 하는 경우 기준 계층 및 중요한 계층 또는 매우 중요한 계층에 대해 게스트 공유를 유지하는 것이 좋습니다.We highly recommend that you leave guest sharing on for the baseline tier and for the sensitive or highly sensitive tiers if you need to collaborate with people outside your organization. Microsoft 365의 게스트 공유 기능은 파일을 전자 메일 메시지의 첨부 파일로 보내는 것보다 훨씬 안전하고 관리 가능한 공유 환경을 제공합니다.The guest sharing features in Microsoft 365 provide a much more secure and governable sharing experience than sending files as attachments in email messages. 또한 사용자가 관리되지 않는 소비자 제품을 사용하여 합법적인 외부 공동 작업자와 공유하는 섀도 IT의 위험을 줄입니다.It also reduces the risk of shadow IT where users use ungoverned consumer products to share with legitimate external collaborators.

조직에 안전하고 생산적인 게스트 공유 환경을 만들려면 다음 참조를 확인하세요.See the following references to create a secure and productive guest sharing environment for your organization:

관리되지 않는 장치에서 액세스Access from unmanaged devices

중요한 계층 및 매우 중요한 계층의 경우 민감도 레이블이 포함된 SharePoint 콘텐츠에 대한 액세스를 제한합니다.For the sensitive and highly sensitive tiers, we restrict access to SharePoint content with sensitivity labels. Azure AD 조건부 액세스는 위치, 위험, 장치 호환성 및 기타 요인에 따른 제한을 비롯하여 사용자가 Microsoft 365에 액세스하는 방법을 결정하는 데 사용할 수 있는 다양한 옵션을 제공합니다.Azure AD conditional access offers many options for determining how people access Microsoft 365, including limitations based on location, risk, device compliance, and other factors. 조건부 액세스란 무엇인가요?를 읽는 것을 권장합니다. 또한 조직에 적합한 추가 정책을 고려하세요.We recommend you read What is Conditional Access? and consider which additional policies might be appropriate for your organization.

게스트에는 조직에서 관리하는 장치가 없는 경우가 많습니다.Note that guests often don't have devices that are managed by your organization. 계층에서 게스트를 허용하는 경우 게스트가 팀 및 사이트에 액세스하는 데 사용할 디바이스 유형을 고려하고 그에 따라 관리되지 않는 디바이스 정책을 설정합니다.If you allow guests in any of the tiers, consider what kinds of devices they'll be using to access teams and sites and set your unmanaged device policies accordingly.

다음 단계Next step

기준 수준의 보호 구성으로 시작합니다.Start by configuring the baseline level of protection. 필요한 경우 기준 보호 외에 중요한 보호매우 중요한 보호를 추가할 수 있습니다.If needed you can add sensitive protection and highly sensitive protection on top of the baseline.

기타 참고 항목See also

Microsoft Teams의 보안 및 규정 준수Security and compliance in Microsoft Teams

보안 및 준수 센터의 경고 정책Alert policies in the security and compliance center