[IB] Information Barrier - 정보 장벽 (1)

Microsoft Purview의 "Information Barrier"에 대해 알아보겠습니다. 직역해서 "정보 장벽"으로 불리기도 합니다.

​

정보 장벽은 조직의 디렉터리 데이터의 속성을 기반으로 하여 구분 단위인 세그먼트를 나눠 세그먼트 간 '차단' 및/또는 '허용' 정책으로 통신을 제어하는 기능입니다. Teams, SharePoint 및 OneDrive에서 사용자 또는 그룹 간의 양방향 통신 및 공동 작업을 제한할 수 있습니다.

​

위에서 말하는 디렉터리 데이터 속성이라 함은 간단히 말해 Company, Department, Mail, MemberOf 와 같은 AAD 및 Exchange 속성이고, 세그먼트는 위 속성으로 구분하여 나눠진 개체(계정 또는 그룹)들이 모인 하나의 집합체입니다. 이렇게 생성된 세그먼트를 활용하여 양방향 통신을 허용/차단하는 IB 정책을 적용합니다.

​

https://learn.microsoft.com/en-us/microsoft-365/compliance/information-barriers-solution-overview?view=o365-worldwide

Information barriers

 

​23년 1월 기준으로 IB 기능 활용에 필요한 라이선스입니다. IB 정책 적용 대상에 해당되는 모든 계정에 할당 되어야 합니다.

정보 장벽 기능을 컨트롤 할 관리자 계정에 요구되는 권한입니다.

​

다음은 Information Barrier 정책 구성 전 선행 준비 요소입니다.​

​

1. 사용자의 프로필 정보 속성 정상 반영 확인

• 사용자의 특성을 기반으로 정책을 설정할 수 있음

​

2. Microsoft Teams 디렉터리 검색 범위 사용 활성화

• 적용까지 최대 24시간 이상 소요될 수 있음
• https://docs.microsoft.com/ko-kr/microsoftteams/teams-scoped-directory-search

​

3. 필요한 라이선스 및 사용 권한이 있는지 확인

• IB는 Exchange 주소록 정책 기반이기에 최종 사용자 계정에 사서함 + IB 정책을 적용할 대상 서비스(SPO, Teams 등)가 포함된 라이선스 + IB를 활성화 할 수 있는 적격 라이선스 할당 필요 > 예) Office365/Microsoft365 E5 or M365 E3+Add-on 등
• IB 정책 관리 담당자의 계정에는 요구 권한이 충족되어야 함

​

4. Microsoft 규정 준수의 감사 로깅 활성화

• IB 정책 적용 상태를 조회하려면 감사 로깅이 켜져 있어야 함

​

5. 기존 사용하고 있는 별도로 Custom된 Exchange 주소록 정책이 없는지 확인

• IB 정책을 정의하고 적용하기 전에 조직의 모든 기존 Exchange Online 주소록 정책을 제거해야 함
• 기존 ABP 정책은 IB에서 만든 ABP와 호환되지 않음

​

6. 추후 IB 정책의 세부 관리를 위한 PowerShell 설치

• https://learn.microsoft.com/en-us/powershell/exchange/connect-to-scc-powershell?view=exchange-ps
• https://learn.microsoft.com/en-us/powershell/azure/active-directory/install-adv2?view=azureadps-2.0

​

7. 사용자에 대한 Microsoft Teams 관리자 동의

• Graph용 Azure AD PowerShell 설치
• https://learn.microsoft.com/en-us/powershell/azure/active-directory/install-adv2?view=azureadps-2.0
• 다음의 PowerShell 명령어 실행

Connect-AzureAD -Tenant "<yourtenantdomain.com>" //for example: Connect-AzureAD -Tenant "Contoso.onmicrosoft.com" $appId="bcf62038-e005-436d-b970-2a472f8c1982" $sp=Get-AzureADServicePrincipal -Filter "appid eq '$($appid)'" if ($sp -eq $null) { New-AzureADServicePrincipal -AppId $appId } Start-Process "https://login.microsoftonline.com/common/adminconsent?client_id=$appId"

PowerShell 실행 시 아래와 같은 동의 화면이 나타납니다. 여기서 [동의함]으로 진행합니다.

​

IB 정책의 개요와 요구되는 사항 및 선행 준비 요소를 알아보았습니다.