ISMS-P 2.5.1 사용자 계정관리 (1) with M365 - 사용자 self-service sign-up 제한

저는 참고로 ISMS-P 인증을 진행해본 적도 없을 뿐더러 인증 심사원도 아닙니다.

제 공부 용도로 기록하고 있어, 그냥 한 번 읽어 보시고 넘기는 정도면 좋겠습니다.

 

ISMS-P 인증기준 세부 점검 항목의 2.5.1 을 보면 아래 표와 같이 정리가 되어 있습니다.

 

 

Microsoft 365 에서 해당 세부 점검 항목들을 어떻게 구현할 수 있을지 한 번 살펴 보도록 하겠습니다.

 

첫 번째, 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한의 등록 변경 삭제에 관한 공식적인 절차를 수립, 이행하고 있는가?

 

우선 Microsoft 365 에서 접근할 수 있는 사용자 계정은 다음과 같겠습니다.

 

1. 사용자 - 조직 내의 사용자 입니다.

2. 게스트 - 조직 외부의 사용자로, 조직 내의 누군가가 초대를 통하여 Azure AD 에 생성하게 되는 계정을 말합니다.

 

그리고 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 접근권한의 경우는 다음과 같겠습니다.

 

1. 링크 공유

2. 팀즈 팀 초대 (for 협업)

 

이렇다고 하였을 때, 

 

공식적인 절차를 마련하기 앞서서 공식적인 절차를 거쳐서 생성을 무조건 하게끔 설정이 필요합니다.

예를 들면, 사용자의 Self-Service Sign-up 을 막는다거나, 게스트를 관리자만 추가할 수 있게 한다거나, 팀즈 팀을 관리자만 생성할 수 있게 한다거나, 하여 꼭 공식적인 절차를 거쳐서 관리자가 사용자, 게스트, 팀 등을 추가할 수 있게끔 설정하는 방법이 필요합니다.

 

그럼 사용자 생성은 어떻게 할 수 있는가 부터 살펴보겠습니다.

 

사용자 생성은 Admin 권한을 가진 User 가 사용자를 관리센터 혹은 PowerShell 작업을 통해 생성가능 하거나,

이메일 서버를 Exchange Online 이 아닌 다른 것을 쓴다고 하면, Self-Service Sign-up 을 통해 아래의 Service 들을 가입할 수 있습니다. https://learn.microsoft.com/en-us/microsoft-365/admin/misc/self-service-sign-up?view=o365-worldwide#available-self-service-programs 

Using self-service sign-up in your organization - Microsoft 365 admin

 

 

Self-Service Sign-Up 은 다음의 프로세스 및 명령어를 통해 막을 수 있습니다.

1. PowerShell 관리자 권한으로 열기

2. msolservice 관리자 권한으로 접근하기

connect-msolservice

3. AllowEmailVerifiedUsers 값 확인하기

Get-MsolCompanyInformation | ft allowE*

4. AllowEmailVerifiedUsers 값 false 로 변경하기

Set-MsolCompanySettings - AllowEmailVerifiedUsers $false

5. AllowEmailVerifiedUsers 값 변경 확인하기

Get-MsolCompanyInformation | ft allowE*

 

https://learn.microsoft.com/en-us/powershell/module/msonline/set-msolcompanysettings?view=azureadps-1.0#-allowemailverifiedusers 

 

관리자가 사용자를 생성하는 것은 열어 둬야 하기에 패스를 하였고

Self-Service Sign-up 은 이렇게 제한을 두었습니다.

 

다음 편에서는 Guest 생성 제한에 대해 다뤄 보고자 합니다.