Microsoft Cloud Service/Security&EMS

Information barriers - (1) 필수 구성 요소

o959 2024. 4. 11. 13:58
반응형

Information barriers - (1) 필수 구성 요소

 

 

Information Barriers 란

 

 

Information Barrier는 Microsoft Teams, SharePoint 및 OneDrive에서 그룹과 사용자 간의 양방향 통신 및 공동 작업을 제한할 수 있는 규정 준수 솔루션이에요

 

 

다른 특정 사용자와 통신/파일 공유 혹은 사용자 검색, 채팅/전화를 제한 할 수 있어요

 

 

Information Barrier는 양방향 통신 및 협업 제한 만 지원합니다 . 예를 들어 Marketing이 Day Traders와 통신하고 공동 작업할 수 있지만 Day Traders가 Marketing과 통신하고 공동 작업할 수 없는 시나리오는 지원되지 않습니다 .

 

 

 

Microsoft Teams에서의 Information Barrier

 

Information Barrier를 사용하여 Microsoft Teams의 아래 기능을 제한 할 수 있어요

  • 사용자 검색
  • 팀에 구성원 추가
  • 다른 사용자와 채팅 세션 시작
  • 그룹 채팅 시작
  • 다른 사람을 모임에 초대
  • 화면 공유
  • 전화 걸기
  • 다른 사용자와 파일 공유
  • 링크 공유를 통해 파일에 액세스

 

 

Sharepoint Online 및 Onedrive에서의 Information Barrier

 

Information Barrier를 사용하여 SharePoint Online 및 Onedrive의 아래 기능을 제한 할 수 있어요

  • 사이트에 구성원 추가
  • 사용자가 사이트 또는 콘텐츠에 액세스
  • 다른 사용자와 사이트 또는 콘텐츠 공유
  • 사이트 검색

 

 

Information Barrier 정책을 관리하기 위한 필요 권한

 

  • Microsoft 365 global administrator
  • Office 365 global administrator
  • Compliance administrator
  • IB Compliance Management

 

 

Information Berrier 라이선스 요구사항
  • Microsoft 365 E5
  • Microsoft 365 E5 Compliance
  • Microsoft 365 F5 Compliance
  • Microsoft 365 F5 Security + Compliance
  • Office 365 E5

 

 

 

Information Barrier 구성 시 필요한 개념

 

 

사용자 계정 특성
Microsoft Entra ID에 정의 된 특성(Attribute)이 필요해요

 

 


세그먼트
세그먼트란 Information Barrier를 구성 시 필요한 사용자 집합(그룹) 이에요

 

레거시 모드 : 최대 세그먼트의 수는 250개이며, 사용자는 하나의 세그먼트에만 할당 가능
레거시 모드가 아닌 경우 : 최대 세그먼트의 수는 5000개이며, 사용자는 최대 10개의 세그먼트에 할당 가능

 

 

 

Information Barrier 정책
차단 : 하나의 세그먼트가 다른 세그먼트와 통신 할 수 없어요
허용 : 하나의 세그먼트가 특정한 다른 세그먼트와만 통신 할 수 있어요

 

레거시 모드 : Information Barrier 그룹이 아닌 사용자는 허용 정책을 가진
Information Barrier 세그먼트 및 정책에 포함된 사용자에게 표시되지 않음

Single/MultiSegment : Information Barrier 그룹이 아닌 사용자는
Information Barrier 세그먼트 및 정책에 포함된 사용자에게 표시

 

 

 

필수 구성 요소 충족 확인

 

 

1) 디렉터리 데이터 (사용자 특성/Attribute)

제 테스트 환경은 Active Directory에서 계정을 동기화 하고 있기 때문에 Active Directory에서

사용자 특성을 수정하여 동기화 하려고 해요

 

전 아래 처럼 Department 속성을 이용하려고 해요

 

Get-ADUser -Filter 'Department -ne "$Null"'  -Properties * | Select UserPrincipalName, Department

UserPrincipalName  Department
-----------------  ----------
dev01@o959.net     개발2팀      
manager01@o959.net 관리1팀      
manager02@o959.net 관리1팀      
manager03@o959.net 관리2팀      
manager04@o959.net 관리2팀      
infra01@o959.net   인프라1팀     
infra02@o959.net   인프라1팀     
infra03@o959.net   인프라2팀     
infra04@o959.net   인프라2팀     
vip01@o959.net     임원        
vip02@o959.net     임원

 

인프라1팀/2팀  관리1팀/2팀 임원 총 5개의 그룹이에요

 

동기화 이후 Microsoft 365 주소록에 업데이트 간 많은 시간이 소요 될 수 있습니다

 

 

 

 

2) 범위가 지정된 디렉터리 검색

Microsoft Teams 관리센터에서 아래 설정을 활성화 해주세요

 

 

 

3) Information Barrier 모드 확인

레거시 모드에서 Multisegment로 변경했어요

레거시 모드로 사용하실 분들은 변경하지 않으셔도 돼요

## 현재 설정 된 모드 확인
Connect-ExchangeOnline
Get-PolicyConfig | Fl InformationBarrierMode

## InformationBarrierMode : Legacy
## Legacy Mode 인 상태



## Lagacy Mode에서 Multisegment 모드로 변경
Connect-IPPSSession

Set-PolicyConfig -InformationBarrierMode 'MultiSegment'
Get-PolicyConfig | Fl InformationBarrierMode


## InformationBarrierMode : MultiSegment
## MultiSegment로 변경 완료

 

 

 

레거시 모드를 사용하는 경우 Exchange Online에 ABP (주소록 분리)를 사용한다면
해당 ABP를 기반으로 작동하므로 ABP를 모두 삭제해야 합니다

 

 

 

 

 

다음 포스팅에 이어서 Information Barrier 정책 생성을 진행하려고 해요

 

 

반응형