공개 M365 그룹

Microsoft 365 그룹은 특히 Microsoft Teams를 포함해 다양한 Office 365 애플리케이션을 뒷받침하며, Teams에서는 각 Team이 연결된 M365 그룹과 같습니다. 이러한 그룹을 만든 다음 비공개 또는 공개 개인정보 보호 설정을 사용하여 구성할 수 있으며, 구체적인 절차는 다음과 같습니다.

그룹을 만들 때 비공개 그룹 또는 공개 그룹​으로 설정할지 결정해야 합니다. 공개 그룹의 콘텐츠는 조직 내 누구나 볼 수 있고, 조직 내 누구나 해당 그룹에 조인할 수 있습니다. 비공개 그룹의 콘텐츠는 그 그룹의 멤버에게만 표시되어야 하고 비공개 그룹에 조인하려는 사용자는 그룹 소유자의 승인을 받아야 합니다.

공개 그룹은 편리하지만 위험도 뒤따릅니다. 조직의 테넌트에 속한 모든 사용자(게스트 사용자 포함)가 자유롭게 그룹에 조인하여 그룹에 포함된 데이터에 액세스할 수 있기 때문입니다. 예:

• Teams: 대화 및 공유된 파일(실제로는 SharePoint 사이트에 저장됨)
• OneDrive: 공유된 라이브러리
• Exchange Online: Outlook 그룹 사서함
• OneNote: 공유된 메모
• Microsoft Planner 및 Microsoft To Do 작업
• Azure 클라우드 리소스(M365 그룹에 Azure 역할이 할당될 수 있기 때문)
• 등.

악성 사용자나 호기심 많은 사용자는 해킹 도구 없이도 공개 그룹을 손쉽게 검색할 수 있습니다. 예를 들어 Teams의 "팀과 채널 만들기 및 조인" 기능, Outlook, "내 앱 그룹 액세스 패널" 등을 사용하면 됩니다.

Microsoft 365에서 최종 사용자는 일반적으로 보안 그룹처럼 IT 관리자에게 생성을 일임하기보다 Teams(가장 일반적), Outlook, SharePoint와 같은 애플리케이션에서 직접 그룹을 만들어 그룹을 공개 또는 비공개로 설정할지를 선택합니다. 따라서 최종 사용자는 공개 개인정보 보호 옵션을 선택하면 조직의 Entra 테넌트 내 누구나, 그룹 소유자의 승인 없이도 그룹에 조인할 수 있도록 허용하기 때문에 그룹 콘텐츠 전체에 액세스할 권한을 부여하는 것이 된다는 사실을 온전히 이해하지 못한 채 해당 옵션을 선택할 때가 많습니다.

Microsoft 365 그룹("통합 그룹"이라고도 하며 이전에는 "Office 365 그룹"으로 지칭)은 Entra ID에 저장되는 그룹 유형 중 하나입니다. 이 위험 노출 지표는 동일한 공개/비공개 개인정보 보호 옵션을 갖지 않는 더 일반적으로 알려진 Microsoft Entra 보안 그룹보다는 이러한 Microsoft 365 그룹에 특별히 중점을 둡니다.

한계: 이 위험 노출 지표(IoE)로는 공개 M365 그룹이 적법한지 자동으로 판단할 수 없습니다.

참고: 비공개 그룹은 우발적으로 중요한 정보를 노출할 수도 있습니다. 기본적으로 이름, 설명 및 멤버 목록이 조직 테넌트 내에 속한 모든 사용자에게 표시되기 때문입니다. 이 메타데이터만으로 기밀 세부 정보를 충분히 추론할 수도 있습니다(예: 그룹 이름에 포함된 잠재적 획득 대상). Microsoft에서는 이 위험을 완화하기 위해 비공개 그룹을 디렉터리 목록에서 숨기고 멤버 목록을 가리는 옵션을 제공했습니다. 하지만 이런 설정은 기본적으로 사용 중지되어 있습니다. 즉 조직에서 선제적으로 사용으로 설정해야 비공개 그룹 메타데이터가 기밀로 유지됩니다.

이 IoE는 공개 설정을 사용하여 구성된 모든 Microsoft 365 그룹에 대해 보고합니다. IoE가 그룹의 공개 상태가 적법한지를 자동으로 결정할 수 없기 때문에, 사용자가 각각의 발견 사항을 검토하여 다음 중 한 가지 조치를 취해야 합니다.

• 그룹에 비공개 정보가 포함된 경우, 개인정보 보호 설정을 비공개로 변경하여 승인된 사용자만 그룹 멤버로 포함하도록 합니다. 이 구성을 사용하면 누군가가 그룹에 조인할 것을 요청할 때마다 그룹 사용자에게 액세스 요청이 발송됩니다.
• 그룹을 의도적으로 공개로 설정한 경우(예: 공개 정보만 포함하므로), 해당 그룹을 IoE의 제외 옵션에 추가하여 공개 설정이 적절하다는 사실을 확인합니다.

Microsoft 365 그룹에는 그룹의 설정과 멤버 자격을 관리하는 지정된 소유자가 있습니다. 한 그룹의 개인정보 보호 설정이 적절한지 확인하려면 이메일 또는 Teams 채팅을 통해 해당 그룹 소유자에게 문의하면 됩니다.

다음과 같은 다양한 방법을 사용하여 Microsoft 365 그룹의 개인정보 보호 설정을 공개 또는 비공개로 변경할 수 있습니다.

• Microsoft 365 관리자 센터: "팀 및 그룹" -> "활성 팀 및 그룹" 메뉴에서 해당 그룹을 클릭하고 "설정" 탭에서 "개인정보 보호" 설정을 변경합니다.
• Teams 관리자 센터:"팀" -> "팀 관리" 메뉴에서 해당 그룹을 클릭하고 "설정" 탭에서 "개인정보 보호" 설정을 편집합니다.
• Microsoft Graph PowerShell: Update-MgGroup -Visibility Public|Private|HiddenMembership cmdlet을 사용합니다.
• Microsoft Graph API: Update group API를 사용하고 visibility 속성을 설정합니다.
• Exchange PowerShell: Set-UnifiedGroup -AccessType Public|Private cmdlet을 사용합니다.
• Outlook 클래식 또는 웹: 문서에 설명된 절차를 따릅니다.

기본적으로 Outlook과 Azure 포털에서 만든 M365 그룹에는 개인정보 보호 설정이 포함되어 있고 변경할 수 있습니다.

조직의 보안 및 개인정보 보호 정책을 준수하지 않을 수 있는 공개 그룹을 새로 만들지 않도록 하려면 다음과 같은 몇 가지 옵션이 있습니다.

• 민감도 레이블을 사용합니다(라이선싱 요구 사항에 따라 다름). 민감도 레이블을 허용됨 또는 허용 안 됨 개인정보 보호 설정에 연결합니다. 예를 들어 민감도 레이블이 "기밀"로 표시된 Teams 팀을 비공개 개인정보 보호 설정으로만 제한합니다.
• Microsoft 365 그룹을 만들 수 있는 사용자를 관리합니다(라이선싱 요구 사항에 따라 다름). 적절한 개인정보 보호 수준을 선택할 수 있는, 지식을 갖춘 관리자만 그룹을 만들 수 있도록 제한합니다. 그룹을 만들 때 사용할 사용자 지정 양식을 구현하면 적절한 개인정보 보호 설정을 보장할 수 있습니다. 주의: 사용자는 보통 Teams를 직접 만들 수 있기를 원하기 때문에 이 접근 방식으로 최종 사용자 자율성이 줄어들 수 있습니다.
• 최종 사용자에게 각자의 책임 및 각각의 개인정보 보호 옵션의 영향에 대해 알려줍니다. 사용자에게 Microsoft 365 그룹 설명 관련 Microsoft 설명서를 참조하십시오. 최종 사용자가 자신의 책임을 인지하게 하고, 그룹 개인정보 보호 설정과 관련해 정보에 기반한 결정을 내리도록 권한을 부여합니다.
• 스크립트 또는 이 IoE를 사용해 공개 Microsoft 365 그룹을 정기적으로 열거합니다. 그룹 소유자에게 이메일 또는 Teams 메시지를 보내 공개 그룹과 관련된 위험에 관해 다시 알립니다. 소유자가 본인의 의도를 확인하거나 그룹의 개인정보 보호 설정을 변경할 수 있게 허용합니다.

이름: 공개 M365 그룹

코드명: PUBLIC-M365-GROUP

심각도: Medium

유형: Microsoft Entra ID Indicator of Exposure