j M365 보안 정책 체크리스트
🛡️
M365 보안 정책 체크리스트
Microsoft 365 Business Premium · 보안 정책 구성 가이드
전체 진행률
0%
0 / 0 항목 완료
🏢
1. 테넌트 전역 정책
조직설정 · SharePoint 관리센터 · Teams 관리센터 · 조건부 액세스 · 메일
0%
조직설정
사용자가 기능 업데이트를 다운로드 받을 빈도 및 설치할 수 있는 Microsoft 365 앱을 선택합니다.
조직 외부의 사용자들을 Microsoft Teams의 팀과 채널에 추가합니다.
조직 내에서 만들어진 SharePoint 사이트를 공유할 수 있는 방법을 선택합니다.
비활성 상태로 일정 시간이 지나면 사용자가 Microsoft 365 웹앱에서 자동으로 로그아웃됩니다.
조직 외부 사용자에 대한 엑세스를 제어합니다.
SharePoint 관리센터
콘텐츠 공유 가능 대상
사이트 또는 OneDrive에서 게스트는 수일 후 자동으로 만료됩니다.
SharePoint 및 OneDrive 조직 수준 공유 제어 (편집허용여부, 암호, 만료일)
OneDrive 및 SharePoint 동기화 설정 관리
OneDrive 삭제된 사용자에 대한 기본 OneDrive 보존 설정
신규 OneDrive 및 SharePoint 문서 라이브러리 파일 버전 수 제한
Teams 관리센터
외부 파일 저장소에 파일 저장 (Google 드라이브, DropBox 등)
팀즈 연동앱 설치
외부 공유 채널 가입
공유 채널에 외부 사용자 초대
조건부 액세스
MFA (다중인증)
특정 IP만 허용
메일
메일 송수신 용량 설정 (기본값 35MB, 최대 150MB) MB
🔐
2. 조건부 액세스 정책
Entra ID Conditional Access · 7개 필수 정책
0%
사전 준비
Entra ID 그룹 생성: [M365] All Users (전체 임직원) 권장
Entra ID 그룹 생성: [M365] All Exception Users (정책 제외 대상) 권장
Named Location 등록: 사내 허용 공인 IP 대역 설정 권장
필수 정책 7개
# 정책 명칭 적용 대상 조건 결과
1 [ALL] FTE-Windows,MacOS-All(Exclude Office IP)-All-Deny 전 임직원 Windows/MacOS + 비신뢰 IP 차단
2 [ALL] FTE-Mobile-All-Web-Deny 전 임직원 Android/iOS + 브라우저 차단
3 [ALL] FTE-Etc-All-All-Deny 전 임직원 Windows Phone / Linux 차단
4 [ALL] FTE-All-All-ActiveSync/Etc-Deny 전 임직원 Exchange ActiveSync / 기타 클라이언트 차단
5 [ALL] FTE-Mobile-All-App-Allow (require MAM) 전 임직원 Android/iOS + 앱 MAM 필요
6 [ALL] Guest-Mobile-All-Block 모든 게스트 Android/iOS/Windows Phone 차단
7 [ALL] FTE-All-All-All-All (require MFA) 전 임직원 모든 디바이스 MFA 필수
정책 1 적용: 비신뢰 IP에서 Windows/MacOS 접근 차단 권장
정책 2 적용: 모바일 웹 브라우저 전체 차단 권장
정책 3 적용: Windows Phone / Linux 접근 차단 권장
정책 4 적용: Exchange ActiveSync 및 레거시 클라이언트 차단 권장
정책 5 적용: 모바일 앱 접근 시 MAM(앱 보호 정책) 요구 조건 연결 확인 권장
정책 6 적용: 게스트 사용자 모바일 전체 차단 권장
정책 7 적용: 전 임직원 MFA 필수 인증 (내부/외부 모두) 권장
접근 시나리오 검증 (테스트)
디바이스 / 클라이언트 인가 PC (사내) 인가 PC (사외) 모바일 앱 모바일 웹
Windows Teams 허용 허용 MAM 필요 차단
Outlook 허용 허용 MAM 필요 차단
MacOS Teams 차단 차단 N/A N/A
Outlook 차단 차단 N/A N/A
Android/iOS Teams N/A N/A MAM 필요 차단
Outlook N/A N/A MAM 필요 차단
인가된 PC (사내/사외) Windows — Teams/Outlook 접속 허용 확인 테스트
MacOS — Teams/Outlook 앱·브라우저 접속 차단 확인 테스트
Android/iOS 앱(Teams, Outlook) — MAM 적용 후 접속 허용 확인 테스트
Android/iOS 브라우저 — 접속 차단 확인 테스트
게스트 모바일 → 사용 불가 확인 (Intune 라이선스 없음) 테스트
모든 정책 보고서 전용 모드로 먼저 테스트 후 활성화 권장
📱
3. 앱 보호 정책 (MAM)
Intune App Protection · Android / iOS
0%
Android — [M365] Android App Protection Policy
대상 앱: 핵심 Microsoft Apps (모든 디바이스 유형) 권장
백업 방지 → 차단 권장
다른 앱에 조직 데이터 보내기 → 정책 관리된 앱 권장
조직 데이터 복사본 저장 → 차단 (OneDrive for Business, SharePoint만 허용) 권장
다른 앱에서 데이터 받기 → 모든 앱 권장
열기 허용 서비스: OneDrive for Business, SharePoint, 카메라, 사진 라이브러리 권장
잘라내기/복사/붙여넣기 제한 → 붙여넣기에 정책 관리된 앱 권장
화면 캡처 및 Google Assistant → 사용 허용 설정
조직 데이터 암호화 → 필요 (등록 디바이스 포함) 권장
조직 데이터 인쇄 → 차단 권장
최소 PIN 길이: 6자리 / 지문 허용 / 비활성 재정의 시간: 600분 권장
액세스 요구 사항 재확인 간격: 30분 권장
조건부 시작 — 오프라인 유예: 720분 → 액세스 차단 / 90일 → 데이터 초기화 권장
조건부 시작 — 탈옥/루팅 디바이스: 액세스 차단 권장
할당: 포함 [M365] All Users / 제외 [M365] All Exception Users 권장
iOS/iPadOS — [M365] iOS/iPadOS App Protection Policy
대상 앱: 핵심 Microsoft Apps (모든 디바이스 유형) 권장
iTunes/iCloud 백업 → 차단 권장
다른 앱에 조직 데이터 보내기 → 정책 관리된 앱 권장
조직 데이터 복사본 저장 → 차단 (OneDrive for Business, SharePoint만 허용) 권장
타사 키보드 → 차단 (iOS 전용) 권장
잘라내기/복사/붙여넣기 제한 → 붙여넣기에 정책 관리된 앱 권장
조직 데이터 암호화 → 필요 권장
조직 데이터 인쇄 → 차단 권장
최소 PIN 길이: 6자리 / Touch ID 허용 (iOS 8 이상) 권장
할당: 포함 [M365] All Users / 제외 [M365] All Exception Users 권장
핵심 Microsoft Apps 적용 앱 확인
Microsoft Edge (Android / iOS) 앱 보호 정책 포함 확인 확인
Microsoft Office / Excel / PowerPoint (Android / iOS) 포함 확인 확인
Microsoft Outlook (Android / iOS) — 앱 구성 정책 별도 연결 확인 확인
Microsoft OneDrive / OneNote / Lists / Planner (Android / iOS) 포함 확인 확인
Microsoft Launcher / Lens (Android) 포함 확인 확인
🏷️
4. MIP 레이블 (Microsoft Information Protection)
External · Internal · Confidential 레이블 구성
0%
🔵 External
용도외부 발송 시 암호화 해제
암호화미설정
권한전체 (읽기/편집/인쇄/전달 등)
대상[M365] All Users
마킹없음
🟢 Internal
용도조직 내부 전용 문서
암호화설정
권한전체 (임직원)
대상[M365] All Users
외부발송External 레이블로 변경 후 전달
🔴 Confidential
용도기밀 문서 (작성자 외 뷰어 전용)
암호화설정 (적용 후 변경 불가)
권한읽기 전용 (편집/인쇄/전달 불가)
대상[M365] All Users
마킹없음
External 레이블
레이블 생성: 암호화 미설정 (외부 발송 시 복호화 가능) 권장
사용 권한: VIEW, DOCEDIT, EDIT, PRINT, EXTRACT, REPLY, REPLYALL, FORWARD, EXPORT, OWNER 전체 부여 권장
할당 그룹: [M365] All Users 권장
Internal 레이블
레이블 이름 최종 확정 (협의 필요) 협의 필요
암호화 설정 — 조직 내부 전용, 외부 발송 불가 권장
사용 권한: 임직원 전체 권한 부여 (VIEW, DOCEDIT, EDIT, PRINT, EXTRACT 등) 권장
외부 발송 시 External 레이블로 교체 후 전달 — 사용자 안내 공지 권장
Confidential 레이블
암호화 설정 — 적용 후 작성자 외 레이블 권한 변경 불가 권장
사용 권한: 읽기(VIEW) 및 매크로(DBJMODEL)만 허용, 편집/인쇄/전달/내보내기 거부 권장
할당 그룹: [M365] All Users 권장
레이블 정책 발행
전 임직원 대상 레이블 정책 발행 완료 권장
레이블 사용 가이드 공지 (Internal ↔ Confidential 구분 기준 포함) 권장
External 레이블로 외부 파일 공유 시나리오 테스트 테스트
5. 최종 검증 및 운영 관리
활성화 전 최종 점검 · 예외 관리 · 변경 관리
0%
활성화 전 검증
조건부 액세스 정책 — 보고서 전용 모드로 충분히 검증 후 활성화 권장
MFA 등록 완료 사용자 비율 확인 — 100% 목표 권장
앱 보호 정책 적용 후 모바일 기기에서 데이터 유출 시나리오 테스트 테스트
MAM 미적용 상태에서 모바일 접근 차단 동작 확인 테스트
예외 관리
예외 그룹([M365] All Exception Users) 구성원 최소화 권장
예외 그룹 추가/변경 시 승인 내역 문서화 (팀장/그룹장/부서장 승인) 권장
게스트 계정 — 외부 Teams 액세스 허용 도메인 목록 최신화 권장
변경 관리 및 운영
정책 변경 시 변경 관리 절차 준수 (승인: 팀장/그룹장/부서장) 권장
Named Location(허용 IP) 변경 시 즉시 반영 및 검증 절차 수립 권장
정기적인 Entra ID 로그인 로그 검토 (비정상 접근 탐지) 권장
Intune 디바이스 컴플라이언스 현황 정기 모니터링 권장
Microsoft 365 보안 점수(Secure Score) 기준선 설정 및 추적 권장