민감도 레이블을 사용하여 암호화를 적용하여 콘텐츠 액세스 제한

  • 아티클

보안 및 규정 준수를 위한 Microsoft 365 라이선싱 지침.

민감도 레이블을 만들 때 레이블이 적용될 콘텐츠에 대한 액세스를 제한할 수 있습니다. 예를 들어, 민감도 레이블에 대한 암호화 설정을 사용하여 다음과 같이 콘텐츠를 보호할 수 있습니다.

  • 조직 내의 사용자만 기밀 문서나 전자 메일을 열 수 있습니다.
  • 마케팅 부서의 사용자만 프로모션 공지 사항 문서 또는 전자 메일을 편집하고 인쇄할 수 있으며 조직의 다른 모든 사용자는 이를 읽는 것만 가능합니다.
  • 사용자는 내부 재구성에 대한 소식이 포함된 전자 메일을 전달하거나 정보를 복사할 수 없습니다.
  • 비즈니스 파트너에게 전송되는 현재 가격 목록은 특정 날짜 이후에 열 수 없습니다.
  • 기밀 프로젝트를 시작하기 위해 모임 초대를 보낸 사람만 모임 초대를 열 수 있으며 다른 사람에게 전달할 수 없습니다.

문서, 전자 메일 또는 모임 초대가 암호화되면 콘텐츠에 대한 액세스가 제한되므로 다음을 수행합니다.

  • 레이블의 암호화 설정에 따라 권한이 있는 사용자만 암호를 해독할 수 있습니다.
  • 파일의 이름이 바뀌더라도 조직의 내부 또는 외부에 관계 없이 암호화된 상태로 유지됩니다.
  • 작동 중단 시(예: OneDrive 계정에서) 및 전송 중(예: 전자 메일이 인터넷을 트래버스할 때)에 모두 암호화됩니다.

마지막으로, 관리자가 암호화 적용을 위해 민감도 레이블을 구성할 때 다음 중 하나를 선택할 수 있습니다.

  • 어떤 사용자에게 해당 레이블이 있는 콘텐츠에 어떤 권한을 부여할 것인지 정확하게 결정하도록 지금 권한을 할당합니다.
  • 사용자가 콘텐츠에 레이블을 적용하는 경우 사용자가 권한을 할당하도록 허용할 수 있습니다. 이렇게 하면 조직의 사용자가 공동 작업과 작업 수행을 유연하게 할 수 있습니다.

암호화 설정은 Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털 민감도 레이블을 만들 때 사용할 수 있습니다.

참고

Outlook의 민감도 레이블은 Azure Rights Management 서비스의 암호화 및 권한 대신 S/MIME 보호를 적용할 수 있습니다. 자세한 내용은 Outlook에서 레이블을 구성하여 S/MIME 보호 적용을 참조하세요.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

암호화 작동 방식 이해

Outlook용 S/MIME를 사용하지 않는 한 문서, 전자 메일 및 모임 초대에 민감도 레이블에 의해 적용되는 암호화는 모두 Microsoft Purview Information Protection Azure RMS(Azure Rights Management 서비스)를 사용합니다. 이 보호 솔루션은 암호화, ID 및 권한 부여 정책을 사용합니다. 자세한 내용은 Windows Azure Active Directory Rights Management란?을 참조하세요.

이 암호화 솔루션을 사용하는 경우 수퍼 사용자 기능은 권한있는 사용자 및 서비스에서 조직에 대해 암호화된 데이터를 언제든지 읽고 검사 할 수 있도록 해줍니다. 필요한 경우 암호화를 제거하거나 변경할 수 있습니다. 자세한 내용은 Azure Information Protection 및 검색 서비스 또는 데이터 복구에 대한 수퍼 사용자 구성을 참조하세요.

중요

민감도 레이블을 사용하여 Teams 모임의 오디오 및 비디오 스트림에 암호화를 적용할 수도 있지만, 전자 메일, 모임 초대 및 문서에 사용되는 Azure Rights Management 서비스가 아닌 다른 암호화 방법을 사용합니다. Teams 모임에 사용되는 암호화에 대한 자세한 내용은 Teams 보안 가이드의 미디어 암호화 를 참조하세요.

중요한 필수 구성 요소

암호화를 사용하려면 먼저 몇 가지 구성 작업을 수행해야 합니다. 암호화 설정을 구성할 때 이러한 필수 구성 요소가 충족되는지 확인할 수 없습니다.

  • Azure Rights Management 활성화

    민감도 레이블이 권한 관리를 사용하여 암호화를 적용하려면 테넌트에서 Microsoft Purview Information Protection Azure Rights Management 서비스를 활성화해야 합니다. 새 테넌트에서는 이것이 기본 설정이지만 서비스를 수동으로 활성화해야 할 수도 있습니다. 자세한 내용은 Azure Information Protection에서 보호 서비스 활성화를 참조하세요.

  • 네트워크 요구 사항을 확인합니다.

    방화벽 등 네트워크 장치를 일부 변경해야 할 수 있습니다. 자세한 내용은 방화벽 및 네트워크 인프라를 참조하세요.

  • Microsoft Entra 구성 확인

    암호화된 콘텐츠에 대한 권한 있는 액세스를 방지할 수 있는 몇 가지 Microsoft Entra 구성이 있습니다. 예를 들어 테넌트 간 액세스 설정 및 조건부 액세스 정책입니다. 자세한 내용은 암호화된 콘텐츠에 대한 Microsoft Entra 구성을 참조하세요.

  • Azure Rights Management에 대한 Exchange 구성

    사용자가 Outlook에서 레이블을 적용하여 전자 메일을 암호화하기 전에 Azure Rights Management에 대해 Exchange를 구성할 필요가 없습니다. 그러나 Azure Rights Management에 대해 Exchange가 구성될 때까지는 권한 관리를 사용하는 암호화의 전체 기능을 얻을 수 없습니다.

    예를 들어 사용자는 휴대폰 또는 웹용 Outlook 암호화된 전자 메일 또는 암호화된 모임 초대를 볼 수 없으며, 암호화된 전자 메일을 검색용으로 인덱싱할 수 없으며, Rights Management 보호를 위해 Exchange Online DLP를 구성할 수 없습니다.

    Exchange에서 이러한 추가 시나리오를 지원할 수 있도록 하려면 다음을 수행하세요.

암호화 레이블을 구성하는 방법

  1. 일반 지침에 따라 민감도 레이블을 만들거나 편집하고 레이블의 scope 대해 항목 옵션이 선택되어 있는지 확인합니다.

    민감도 레이블 scope 옵션 암호화를 기반으로 액세스 제어를 위한 항목입니다.

  2. 그런 다음 선택한 항목 유형에 대한 보호 설정 선택 페이지에서 액세스 제어를 선택해야 합니다.

    항목에 대한 민감도 레이블 보호 옵션입니다.

  3. 액세스 제어 페이지에서 다음 옵션 중 하나를 선택합니다.

    • 항목에 이미 적용된 경우 액세스 제어 설정 제거: 이 옵션을 선택하면 레이블을 적용하면 민감도 레이블과 독립적으로 적용된 경우에도 기존 암호화가 제거됩니다.

      이 설정은 사용자가 기존 암호화를 제거할 수 있는 충분한 권한이 없을 때 적용할 수 없는 민감도 레이블이 발생할 수 있음을 이해하는 것이 중요합니다. 이 시나리오에 대한 자세한 내용은 레이블이 적용되는 경우 기존 암호화에 발생하는 영향 섹션을 참조하세요.

    • 액세스 제어 설정 구성: 권한 관리를 사용하여 암호화를 켜고 다음 설정을 표시합니다.

      암호화에 대한 민감도 레이블 옵션입니다.

      해당 설정에 대한 지침은 다음 암호화 설정 구성 섹션에 있습니다.

새로 암호화를 적용하거나 기존 암호화 설정을 변경하도록 레이블 편집

암호화를 적용하지 않는 민감도 레이블을 처음에 구성하고 나중에 암호화를 적용하기 위해 일부 기존 레이블을 편집하는 것이 일반적인 배포 전략입니다. 편집하는 레이블은 새로 레이블이 지정된 항목에 대해 해당 암호화를 적용합니다. 레이블을 제거하고 다시 적용하지 않는 한 이미 레이블이 지정된 항목은 암호화되지 않은 상태로 유지됩니다.

지금 권한 할당 옵션을 사용하여 암호화로 이미 레이블이 지정된 항목의 경우 사용자 또는 권한을 변경하면 사용자가 암호화 서비스를 사용하여 인증할 때 기존 항목에도 새 설정이 적용됩니다. 대부분의 경우 레이블을 제거하고 다시 적용할 필요가 없습니다. 그러나 사용자가 이미 암호화된 문서 또는 전자 메일을 연 경우 사용 라이선스가 만료될 때까지 새 설정을 받지 못하며 다시 인증해야 합니다. 이 시나리오에 대한 자세한 내용은 암호화 작동 방식에 대한 관련 질문과 대답 을 참조하세요.

사용자가 권한을 할당할 수 있도록 하는 암호화 옵션을 변경할 때마다 해당 변경 내용은 새로 레이블이 지정되거나 레이블이 지정된 항목에만 적용됩니다. 예시:

  • 사용자가 권한을 할당할 수 있도록 레이블을 지금 할당에서 변경하거나 그 반대로 변경합니다.
  • 레이블을 전달 금지에서 암호화 전용으로 변경하거나 다른 방법으로 변경합니다.

레이블이 적용되면 기존 암호화는 어떻게 되나요?

암호화되지 않은 콘텐츠에 민감도 레이블을 적용하는 경우 선택할 수 있는 암호화 옵션의 결과는 설명이 필요합니다. 예를 들어 액세스 제어를 선택하지 않은 경우 콘텐츠는 암호화되지 않은 상태로 유지됩니다.

그러나 콘텐츠가 이미 암호화되었을 수 있습니다. 예를 들어 다른 사용자가 다음을 적용했을 수 있습니다.

  • 레이블에 의해 메시지가 표시될 때 사용자 정의 권한, Microsoft Purview Information Protection 클라이언트의 사용자 지정 권한 및 Office 앱 내에서 제한된 액세스 문서 보호를 포함하는 고유한 권한입니다.
  • 레이블과 독립적으로 콘텐츠를 암호화하는 권한 관리 템플릿입니다. 이 범주에는 권한 보호를 사용하여 암호화를 적용하는 메일 흐름 규칙이 포함됩니다.
  • 관리자가 할당한 권한으로 암호화를 적용하는 레이블입니다.

다음 테이블에서는 민감도 레이블이 해당 콘텐츠에 적용되는 경우 기존 암호화가 어떻게 되는지에 대해 설명합니다.

암호화: 선택되지 않음 암호화: 구성됨 암호화: 제거
사용자가 지정하는 사용 권한 원래 암호화가 유지됨 * 새 레이블 암호화가 적용됨 원래 암호화가 제거됨
권한 관리 템플릿 원래 암호화가 유지됨 새 레이블 암호화가 적용됨 원래 암호화가 제거됨
관리자 정의 권한이 있는 레이블 원래 암호화가 제거됨 새 레이블 암호화가 적용됨 원래 암호화가 제거됨

* 다음 조건이 모두 적용되면 SharePoint 및 OneDrive의 파일에 대한 원래 암호화가 제거됩니다.

--
새 레이블 암호화가 적용되거나 원래 암호화가 제거된 경우 레이블을 적용한 사용자에게 이 작업을 지원하는 사용 권한 또는 역할이 있는 경우에만 발생합니다.

사용자에게 이러한 권한이나 역할이 없는 경우에는 레이블을 적용할 수 없으므로 원래 암호화가 유지됩니다. 사용자에게 다음 메시지가 표시됩니다. 민감도 레이블을 변경할 권한이 없습니다. 콘텐츠 소유자에게 문의하세요.

예를 들어 전자 메일 메시지에 전달 안 함을 적용한 사람은 전자 메일의 권한 관리 소유자이므로 스레드의 레이블을 다시 지정하여 암호화를 대체하거나 제거할 수 있습니다. 그러나 수퍼 사용자를 제외하고 이 전자 메일 수신자는 요구되는 사용 권한이 없기 때문에 레이블을 변경할 수 없습니다.

암호화된 전자 메일 메시지 및 모임 초대에 대한 첨부 파일 Email

전자 메일 메시지 또는 모임 초대가 어떤 방법으로든 암호화되는 경우 전자 메일 또는 초대에 첨부된 암호화되지 않은 Office 문서는 동일한 암호화 설정을 자동으로 상속합니다. 예를 들어 설정 또는 레이블 범위 지정을 사용하여 이 암호화 상속을 끌 수 없습니다.

전자 메일 메시지 또는 모임 초대의 민감도 레이블은 첨부 파일에 상속되지 않지만 동일한 테넌트에서 사용자가 문서를 열면 자동으로 적용할 수 있습니다. 자세한 내용은 문서에 대한 암호화 기반 레이블 일치를 참조하세요.

이미 암호화된 후 첨부 파일로 추가된 문서는 항상 원래 암호화를 유지합니다.

암호화 설정 구성

액세스 제어 페이지에서 액세스 제어 설정 구성을 선택하여 민감도 레이블을 만들거나 편집할 때 다음 옵션 중 하나를 선택합니다.

  • 레이블을 적용한 콘텐츠에 대해 어떤 사용자에게 어떤 권한을 부여할 것인지 정확하게 결정할 수 있도록 지금 권한을 할당합니다. 자세한 내용은 다음 섹션 지금 권한 할당을 참조하세요.
  • 사용자가 콘텐츠에 레이블을 적용하는 경우 사용자가 권한을 할당하도록 허용할 수 있습니다. 이 옵션을 사용하면 조직의 사용자가 공동 작업과 작업 수행을 유연하게 할 수 있습니다. 자세한 내용은이 페이지에서 권한을 할당할 수 있도록 허용 섹션을 참조하세요.

예를 들어, 가장 중요한 콘텐츠에 적용되는 극비라는 민감도 레이블을 사용하는 경우 해당 콘텐츠의 사용 권한 유형을 받을 사용자를 결정하는 것이 좋습니다.

또는 비즈니스 계약서라는 민감도 레이블을 사용하고, 사용자 조직의 워크플로에 따라 사용자가 불규칙적으로 다른 사용자와 이 콘텐츠에 대해 공동 작업해야 하는 경우, 사용자가 레이블을 지정할 때 권한을 받을 사용자를 결정할 수 있습니다. 이와 같은 유연성을 갖추어 사용자의 생산성은 향상되고 관리자가 특정 시나리오를 해결하기 위해 새 민감도 레이블을 업데이트하거나 만들어야 하는 요청은 줄일 수 있습니다.

지금 권한을 할당할지 사용자가 권한을 할당하도록 허용할지 선택:

관리자 정의 권한 또는 사용자 정의 권한을 선택하는 옵션입니다.

지금 권한 할당

다음 옵션을 사용하여 전자 메일, 모임 초대(활성화된 경우) 또는 이 레이블이 적용되는 문서에 액세스할 수 있는 사용자를 제어할 수 있습니다. 다음을 수행할 수 있습니다.

  • 레이블이 지정된 콘텐츠에 대한 액세스가 특정 날짜 또는 레이블이 적용된 후 특정 일 수 후에 만료되도록 허용합니다. 이 시간 후에는 사용자가 레이블이 지정된 항목을 열 수 없습니다. 날짜를 지정하면 현재 표준 시간대의 해당 날짜에 자정이 적용됩니다. 일부 전자 메일 클라이언트는 캐싱 메커니즘으로 인해 만료를 적용하지 않고 만료 날짜가 지난 전자 메일을 표시할 수 있습니다.

  • 오프라인 액세스를 허용절대 허용하지 않거나, 항상 또는 레이블이 적용된 후 특정 일수 동안. 이 설정을 사용하여 보안 요구 사항과 사용자가 인터넷에 연결되어 있지 않을 때 암호화된 콘텐츠를 열 수 있는 기능 간의 균형을 유지합니다. 오프라인 액세스를 절대 또는 일수로 제한하는 경우 해당 임계값에 도달하면 사용자를 다시 인증해야 하며 액세스가 기록됩니다. 이 프로세스의 작동 방식에 대한 자세한 내용은 Rights Management 사용 라이선스에 대한 다음 섹션을 참조하세요.

암호화된 콘텐츠에 대한 액세스 제어 설정:

관리자가 정의한 권한에 대한 설정.

만료 및 오프라인 액세스 설정에 대한 권장 사항:

설정 권장 설정
콘텐츠에 대한 사용자 액세스가 만료됨 콘텐츠에 특정 시간 제한이 있는 경우가 아니면 사용 안 함
오프라인 액세스 허용 콘텐츠의 민감도에 따라 다릅니다.

- 며칠 동안만 = 7 권한이 없는 사람과 공유할 경우 비즈니스에 피해를 줄 수 있는 민감한 비즈니스 데이터에 대해. 이 권장 사항은 유연성과 보안 간의 균형 잡힌 절충안을 제공합니다. 예를 들면 계약, 보안 보고서, 예측 요약 및 판매 계정 데이터가 있습니다.

- 사용 안 함 권한이 없는 사람과 공유할 때 비즈니스에 피해를 줄 수 있는 매우 중요한 비즈니스 데이터의 경우. 이 권장 사항은 유연성보다 보안을 우선시하며 문서에 대한 한 명 이상의 사용자 액세스 권한을 제거하면 해당 사용자가 문서를 열 수 없도록 합니다. 예를 들면 직원 및 고객 정보, 암호, 소스 코드, 미리 발표된 재무 보고서 등이 있습니다.

- 항상 사용자가 액세스가 제거되고 이전에 암호화된 콘텐츠를 연 후 최대 30일(또는 테넌트에 대해 구성된 사용 라이선스 유효 기간) 동안 암호화된 콘텐츠를 계속 열 수 있는지 여부가 중요하지 않은 덜 중요한 콘텐츠의 경우.

권한을 할당하도록 구성된 레이블만 이제 오프라인 액세스에 대해 다른 값을 지원합니다. 사용자가 권한을 할당할 수 있는 레이블은 테넌트의 Rights Management 사용 라이선스 유효 기간을 자동으로 사용합니다. 예를 들어 전달 금지, 암호화 전용 및 사용자에게 자신의 권한을 지정하라는 메시지를 표시하도록 구성된 레이블입니다. 이 설정의 기본값은 30일입니다.

오프라인 액세스에 대한 권한 관리 사용 라이선스

참고

오프라인 액세스를 허용하도록 암호화 설정을 구성할 수 있지만 일부 앱은 암호화된 콘텐츠에 대한 오프라인 액세스를 지원하지 않을 수 있습니다. 예를 들어 Power BI 데스크톱에서 레이블이 지정되고 암호화된 파일은 오프라인 상태인 경우 열리지 않습니다.

사용자가 Azure Rights Management 서비스의 암호화로 보호되는 항목을 열면 해당 콘텐츠에 대한 Azure Rights Management 사용 라이선스가 사용자에게 부여됩니다. 이 사용 라이선스는 문서 또는 전자 메일에 대한 사용자의 사용 권한 및 콘텐츠를 암호화하는 데 사용된 암호화 키를 포함하는 인증서입니다. 사용 라이센스는 만료 날짜(설정된 경우)와 사용 라이선스 유효 기간도 포함합니다.

만료 날짜가 설정되지 않은 경우 테넌트에서 기본 사용 라이선스 유효 기간은 30일입니다. 사용 라이선스 기간 동안 사용자는 콘텐츠에 대해 다시 인증되거나 다시 인증되지 않습니다. 이 프로세스를 통해 사용자는 인터넷 연결 없이 보호된 문서 또는 전자 메일을 계속 열 수 있습니다. 사용 라이선스 유효 기간이 만료되면 다음에 사용자가 보호된 문서 또는 전자 메일에 액세스할 때 사용자를 다시 인증하고 다시 인증해야 합니다.

재인증 외에도 정책 및 사용자 그룹 구성원 자격이 다시 평가됩니다. 즉, 사용자가 마지막으로 콘텐츠에 액세스했을 때부터 암호화 설정 또는 그룹 멤버 자격이 변경된 경우 동일한 항목에 대해 서로 다른 액세스 결과를 경험할 수 있습니다.

기본값 30일 설정을 변경하는 방법을 알아보려면 권한 관리 사용 라이선스를 참조하세요.

특정 사용자 또는 그룹에 사용 권한 할당

특정 사용자만 레이블이 지정된 콘텐츠와 상호 작용할 수 있도록 다음과 같이 사용 권한을 부여할 수 있습니다.

  1. 먼저 사용 권한을 할당할 사용자 또는 그룹을 레이블이 지정된 콘텐츠에 추가합니다.

  2. 그런 다음 레이블이 지정된 컨텐츠에 대해 해당 사용자에게 어떤 권한이 있는지 선택합니다.

사용 권한 할당:

사용자에게 권한을 할당하는 암호화 옵션입니다.

사용자 또는 그룹 추가

권한을 할당할 때 다음을 선택할 수 있습니다.

  • organization 모든 사용자(모든 테넌트 멤버). 이 설정은 게스트 계정을 제외합니다.

  • 인증된 모든 사용자. 이 설정을 선택하기 전에 이 설정의 요구 사항과 제한 사항을 이해해야 합니다.

  • Microsoft Entra ID 특정 사용자 또는 전자 메일 사용 보안 그룹, 메일 그룹 또는 Microsoft 365 그룹 Microsoft 365 그룹에는 정적 또는 동적 구성원이 있을 수 있습니다. 이 그룹 유형이 Microsoft Entra ID 동기화되지 않으므로 Exchange에서 동적 메일 그룹을 사용할 수 없습니다. 또한 이메일을 사용할 수 없는 보안 그룹을 사용할 수 없습니다.

    메일 연락처를 포함하는 그룹을 편리한 방법으로 지정하여 조직 외부의 여러 사용자에게 액세스 권한을 부여할 수 있지만, 현재 이 구성에는 알려진 문제가 있습니다. 자세한 내용은 그룹으로 구성된 메일 연락처에서 암호화된 콘텐츠에 간헐적 액세스를 참조하세요.

  • 모든 전자 메일 주소 또는 도메인. 이 옵션을 사용하여 해당 organization 도메인 이름을 입력하여 Microsoft Entra ID 사용하는 다른 organization 모든 사용자를 지정할 수 있습니다. 소셜 공급자의 도메인 이름(예: gmail.com, hotmail.com 또는 outlook.com)을 입력하여 소셜 공급자에 이 옵션을 사용할 수도 있습니다.

    참고

    Microsoft Entra ID 사용하는 organization 도메인을 지정하는 경우 해당 특정 도메인에 대한 액세스를 제한할 수 없습니다. 대신 Microsoft Entra ID 확인된 모든 도메인은 지정한 도메인 이름을 소유하는 테넌트용으로 자동으로 포함됩니다.

조직 혹은 브라우저 디렉토리에 모든 사용자 및 그룹을 선택하면 사용자 혹은 그룹에 전자 메일 주소가 있어야 합니다.

모범 사례로 사용자 대신 그룹을 사용합니다. 이 전략은 구성을 더 간단하게 유지합니다.

“인증된 사용자 추가”에 대한 요구 사항 및 제한 사항

이 설정은 레이블이 암호화하는 컨텐츠에 액세스할 수 있는 사람을 제한하지 않고 컨텐츠를 계속 암호화하고 컨텐츠 사용 방법(권한) 및 액세스 방법(만료 및 오프라인 액세스)을 제한하는 옵션을 제공합니다. 그러나 암호화된 콘텐츠를 여는 응용 프로그램은 사용되는 인증을 지원할 수 있어야 합니다. 이러한 이유로 Google과 같은 페더레이션 소셜 공급자 및 일회성 암호 인증은 전자 메일 및 모임 초대에만 작동하며 Exchange Online 사용하는 경우에만 작동합니다. Microsoft 계정은 Office 365 앱 및 Microsoft Purview Information Protection 뷰어와 함께 사용할 수 있습니다.

참고

SharePoint 및 OneDrive의 Office 파일에 민감도 레이블이 사용하도록 설정된 경우 이 설정을 SharePoint 및 OneDrive와 Microsoft Entra B2B와 통합하는 것이 좋습니다.

인증된 사용자 설정에 대한 일반적인 시나리오는 다음과 같습니다.

  • 누가 콘텐츠를 보는지는 신경 쓰지 않지만 콘텐츠가 사용되는 방식을 제한하고 싶습니다. 예를 들어 내용의 편집, 복사 또는 인쇄를 원하지 않습니다.
  • 컨텐츠에 액세스하는 사람을 제한할 필요는 없지만 누가 컨텐츠를 여는지 확인하고 싶을 수 있습니다.
  • 콘텐츠는 저장 및 전송시 암호화되어야 하지만 액세스 제어는 필요하지 않습니다.

사용 권한 선택

해당 사용자 또는 그룹에 허용할 사용 권한을 선택하면 다음 중 하나를 선택할 수 있습니다.

  • 미리 설정된 권한 그룹(예: 공동 작성 또는 검토자)이 있는 미리 정의된 권한 수준.
  • 하나 이상의 사용 권한을 선택하는 경우 권한 사용자 지정

적절한 사용 권한을 선택하는 데 도움이 되는 자세한 내용은 사용 권한 및 설명을 참조하세요.

권한 수준 또는 사용자 지정 권한을 선택하는 암호화 옵션입니다.

동일한 레이블이 다른 사용자에게 다른 권한을 부여할 수 있습니다. 예를 들어 단일 레이블은 다음 스크린샷과 같이 일부 사용자를 검토자로 할당하고 다른 사용자를 공동 작성자로 할당할 수 있습니다.

이렇게 하려면 사용자 또는 그룹을 추가하고 권한을 할당한 다음 해당 설정을 저장합니다. 그런 다음, 이러한 단계를 반복하여 사용자를 추가하고 권한을 할당하여 매번 설정을 저장합니다. 필요에 따라 이 구성을 반복하여 다른 사용자에 대한 다른 권한을 정의할 수 있습니다.

다른 사용 권한으로 암호화하도록 구성된 다른 사용자.

권한 관리 발급자(민감도 레이블을 적용한 사용자)는 항상 모든 권한을 갖습니다

기본적으로 민감도 레이블에 대한 암호화는 Microsoft Purview Information Protection Azure Rights Management 서비스를 사용합니다. 사용자가 암호화를 사용하여 문서 또는 전자 메일을 보호하기 위해 중요도 레이블을 적용하면 해당 사용자는 해당 내용에 대한 권한 관리 발급자가 됩니다.

권한 관리 발급자는 문서 또는 전자 메일에 대한 모든 권한을 항상 부여받으며, 또한 다음과 같은 권한을 갖습니다.

  • 암호화 설정에 만료 날짜가 포함된 경우 권한 관리 발급자는 해당 날짜 이후에도 여전히 문서 또는 전자 메일을 열고 편집할 수 있습니다.
  • 권한 관리 발급자는 문서 또는 전자 메일을 언제든지 오프라인으로 액세스할 수 있습니다.
  • 권한 관리 발급자는 문서가 취소된 후에도 문서를 열 수 있습니다.

자세한 내용은 권한 관리 발급자 및 권한 관리 소유자를 참조하세요.

이중 키 암호화

참고

기본 제공 레이블 지정의 경우 기능 테이블DKE(이중 키 암호화) 행을 사용하는 데 필요한 최소 버전을 식별합니다.

이중 키 암호화 서비스를 구성한 후에만 이중 키 암호화 레이블 옵션을 선택하고 이 레이블을 적용할 파일 및 전자 메일에 이 이중 키 암호화를 사용해야 합니다. 레이블을 구성하고 저장한 후에는 레이블을 편집할 수 없습니다.

자세한 내용, 전제 조건 및 구성 지침을 보려면 DKE(Double Key Encryption)를를 참조하세요.

사용자가 권한을 할당하도록 허용

중요

일부 레이블 지정 클라이언트는 사용자가 자신의 사용 권한을 할당할 수 있는 일부 옵션을 지원하지 않습니다. 자세한 내용은 이 섹션을 참조하세요.

다음 옵션을 사용하여 사용자가 민감도 레이블을 콘텐츠에 수동으로 추가할 때 사용자가 권한을 할당하도록 허용할 수 있습니다.

  • Outlook의 경우 사용자는 선택된 수신자에 대해 전달하지 않음 옵션 또는 암호화 전용에 해당하는 제한을 선택할 수 있습니다.

    전달하지 않음 옵션은 민감도 레이블을 지원하는 모든 전자 메일 클라이언트에서 지원됩니다. 그러나 민감도 레이블을 사용하여 Encrypt-Only 옵션을 적용하는 것은 최신 릴리스입니다. 이 기능을 지원하지 않는 전자 메일 클라이언트의 경우 레이블이 표시되지 않습니다.

    민감도 레이블로 암호화 전용 옵션 적용을 지원하기 위해 기본 제공 레이블 지정을 사용하는 Outlook 앱의 최소 버전을 확인하려면 Outlook 기능 표사용자가 권한을 할당하도록 허용: - 암호화 전용 행을 사용하세요.

  • Word, PowerPoint 및 Excel의 경우 사용자에게 특정 사용자, 그룹 또는 조직에 대한 고유 권한을 선택하라는 메시지가 표시됩니다.

    이 기능을 지원하지 않는 Office 앱의 경우 사용자에게 레이블이 표시되지 않거나 레이블이 일관성을 위해 표시되지만 사용자에게 설명 메시지와 함께 적용할 수는 없습니다.

    이 옵션을 지원하는 Office 앱을 검사 Word, Excel 및 PowerPoint의 기능 테이블과사용자가 권한을 할당하도록 허용의 행을 사용합니다.

참고

레이블 scope 전자 메일(전달 금지 및 암호화 전용)을 제외하거나 파일을 제외하는 경우(Word, PowerPoint 및 Excel의 사용자에게 메시지를 표시하기 위해) 이러한 구성을 사용할 수 없습니다. 자세한 내용은 레이블 범위를 파일 또는 전자 메일로만 지정을 참조하세요.

옵션이 지원되면 다음 표를 사용하여 사용자에게 민감도 레이블이 표시되는 시기를 식별하세요.

설정 Outlook에 표시되는 레이블 Word, Excel, PowerPoint에서 표시되는 레이블
Outlook에서 전달하지 않음 또는 암호화 전용 옵션으로 제한 사항을 적용합니다. 아니요
Word, PowerPoint 및 Excel에서 사용자에게 사용 권한을 지정하라는 메시지가 표시됩니다. 아니요

두 설정을 모두 선택하면 레이블은 Outlook과 Word, Excel 및 PowerPoint 모두에 표시됩니다.

사용자가 권한을 할당할 수 있도록 하는 민감도 레이블은 사용자에게 권장될 수 있지만 전달 금지 및 Encrypt-Only 옵션에만 자동으로 적용할 수 있습니다.

사용자 할당 권한 구성:

사용자 정의 권한에 대한 암호화 설정.

Outlook 제한 사항

Outlook에서, 사용자가 메시지에 권한을 할당하도록 허용하는 민감도 레이블을 적용하는 경우 전달하지 않음 또는 암호화 전용 옵션을 선택할 수 있습니다. 사용자에게 메시지 맨 위에 레이블 이름과 설명이 표시됩니다. 이는 콘텐츠가 보호되고 있음을 나타냅니다. Word, PowerPoint 및 Excel(다음 섹션 참조)과 달리, 사용자에게 특정 권한을 선택 하라는 메시지가 표시되지 않습니다. 이 구성의 경우 관리자는 권한을 제어하지만 액세스 권한이 있는 사람은 제어하지 않습니다.

Outlook의 메시지에 적용된 민감도 레이블입니다.

이러한 옵션 중 하나를 전자 메일에 적용하면, 전자 메일이 암호화되고 받는 사람을 인증해야 합니다. 그런 다음 받는 사람은 자동으로 제한된 사용 권한을 받습니다.

  • 전달하지 않음: 받는 사람이 전자 메일을 전달하거나, 인쇄하거나, 복사할 수 없습니다. 예를 들어, Outlook 클라이언트에서 전달 단추를 사용할 수 없고, 다른 이름으로 저장 및 인쇄 메뉴 옵션도 사용할 수 없으며, 받는 사람, 참조 또는 숨은 참조 상자에서 받는 사람을 추가하거나 변경할 수 없습니다.

    이 옵션이 작동하는 방식에 대한 자세한 내용은 전자 메일에 대한 전달하지 않음 옵션을 참조하세요.

  • 암호화 전용: 받는 사람은 다른 이름으로 저장, 내보내기 및 모든 권한을 제외한 모든 사용 권한을 갖습니다. 이 사용 권한 조합은 받는 사람에게는 보호를 제거할 수 없다는 것 외에는 제한이 없다는 뜻입니다. 예를 들어 받는 사람은 전자 메일에서 복사하여 인쇄한 다음 전달할 수 있습니다.

    이 옵션이 작동하는 방식에 대한 자세한 내용은 전자 메일에 대한 암호화 전용 옵션을 참조하세요.

전자 메일 또는 모임 초대에 첨부된 암호화되지 않은 Office 문서는 동일한 제한을 자동으로 상속합니다. 전달하지 않음의 경우 이 문서에 적용되는 사용 권한은 콘텐츠 편집, 편집, 저장, 보기, 열기, 읽기, 매크로 허용입니다. 사용자가 첨부 파일에 대해 다른 사용 권한을 원하거나 첨부 파일이 상속된 보호를 지원하는 Office 문서가 아닌 경우 사용자는 파일을 전자 메일 또는 모임 초대에 첨부하기 전에 암호화해야 합니다.

Word, PowerPoint 및 Excel 권한

Word, PowerPoint 및 Excel에서 사용자가 문서에 사용 권한을 할당할 수 있는 민감도 레이블을 적용하면 암호화에 대한 사용자 및 사용 권한을 지정하라는 메시지가 표시됩니다. 이 구성의 경우 관리자가 아닌 사용자는 문서에 액세스할 수 있는 사용자와 문서에 있는 권한을 모두 제어합니다.

조직 전체 사용자 지정 권한 지원

Windows에서 기본 제공 레이블 지정의 경우 사용자가 선택한 사용자 및 사용 권한을 지정하라는 메시지가 표시되면 도메인 이름을 추가로 지정할 수 있습니다. 도메인 이름을 입력하면 도메인을 소유하고 Microsoft Entra ID 있는 organization 모든 사용자에게 권한이 적용됩니다. 이 설정을 지원하는 최소 버전을 식별하려면 기능 테이블사용자가 권한을 할당하도록 허용: - 사용자에게 사용자 지정 권한(사용자, 그룹 및 조직)을 묻는 메시지를 표시합니다.

조직 전체의 사용자 지정 권한을 지원하도록 대화 상자가 업데이트되었습니다.

예를 들어 사용자는 @contoso.com (또는 contoso.com)를 입력하고 읽기 권한을 부여합니다. Contoso Corporation은 contoso.com 도메인을 소유하므로 해당 도메인의 모든 사용자와 organization Microsoft Entra ID 소유한 다른 모든 도메인에는 읽기 권한이 부여됩니다.

참고

이러한 값을 지정할 때 따옴표로 묶지 마세요.

사용자에게 지정된 도메인의 사용자로 액세스가 제한되지 않는다는 사실을 알리는 것이 중요합니다. 예를 들어 @sales.contoso.com 판매 하위 도메인의 사용자에 대한 액세스를 제한하지 않고 marketing.contoso.com 도메인의 사용자와 동일한 Microsoft Entra 테넌트의 연결되지 않은 네임스페이스가 있는 사용자에게도 액세스 권한을 부여합니다.

암호화 설정의 예제 구성

다음 각 예제에 대해 액세스 제어 설정 구성 옵션이 선택된 경우 액세스 제어 페이지에서 구성 을 수행합니다.

민감도 레이블 구성에서 제어 액세스 기반 암호화 옵션을 적용합니다.

예제 1: 적용되는 레이블 암호화된 전자 메일을 Gmail 계정으로 보내기 위해 전달하지 않습니다.

이 레이블은 Outlook 및 웹에서의 Outlook에서만 사용할 수 있으며 Exchange Online을 사용해야 합니다. 사용자가 Gmail 계정(또는 조직 외부의 다른 전자 메일 계정)을 사용하는 사용자에게 암호화된 전자 메일을 보내야 하는 경우 이 레이블을 선택하도록 지시합니다.

사용자는 받는 사람 상자에 Gmail 전자 메일 주소를 입력합니다. 그런 다음 레이블을 선택하면 전달 금지 옵션이 전자 메일에 자동으로 추가됩니다. 그 결과 받는 사람이 다른 이름으로 저장 옵션을 사용하여 전자 메일을 전달, 인쇄, 복사하거나 혹은 사서함 외부에 해당 전자 메일을 저장하는 것을 방지할 수 있습니다.

  1. 액세스 제어 페이지: 지금 사용 권한을 할당하거나 사용자가 결정할 수 있도록 하려면 사용자가 레이블을 적용할 때 사용 권한을 할당하도록 허용을 선택합니다.

  2. 확인란 선택: Outlook에서 전달 금지 옵션에 해당하는 제한 사항을 적용합니다.

  3. 선택된 경우 확인란의 선택을 취소합니다. Word, PowerPoint 및 Excel에서 사용자에게 사용 권한을 지정하라는 메시지를 표시합니다.

  4. 다음을 선택하고 구성을 완료합니다.

예제 2: 다른 조직의 모든 사용자에게 읽기 전용 권한을 제한하는 레이블

이 레이블은 매우 중요한 문서를 읽기 전용으로 공유하는 데 적합하며, 이러한 문서를 보려면 항상 인터넷 연결이 필요합니다.

이 레이블은 전자 메일에 적합하지 않습니다.

  1. *액세스 제어 페이지: 지금 사용 권한을 할당하거나 사용자가 결정하도록 하려면지금 권한 할당을 선택합니다.

  2. 오프라인 액세스를 허용절대 불허를 선택합니다.

  3. 사용 권한 할당을 선택합니다.

  4. 사용 권한 할당 창에서 특정 전자 메일 주소 또는 도메인 추가를 선택합니다.

  5. 텍스트 상자에 다른 조직의 도메인 이름을 입력 합니다(예:fabrikam.com). 그런 다음 추가를 선택합니다.

  6. 사용 권한 선택 선택

  7. 사용 권한 선택 창에서 드롭다운 상자를 선택하고 뷰어를 선택 한 다음 저장을 선택합니다.

  8. 사용 권한 할당 창으로 돌아가서 저장을 선택합니다.

  9. 액세스 제어 페이지에서 다음을 선택하고 구성을 완료합니다.

예제 3: 콘텐츠를 암호화하는 기존 레이블에 외부 사용자 추가

추가하는 새 사용자는 이 레이블로 이미 보호된 문서 및 전자 메일을 열 수 있습니다. 이러한 사용자에게 부여하는 사용 권한은 기존 사용자의 사용 권한과 다를 수 있습니다.

  1. 액세스 제어 페이지: 지금 사용 권한을 할당하거나 사용자가 결정할 수 있도록 하려면 지금 권한 할당이 선택되어 있는지 확인합니다.

  2. 사용 권한 할당을 선택합니다.

  3. 사용 권한 할당 창에서 특정 전자 메일 주소 또는 도메인 추가를 선택합니다.

  4. 텍스트 상자에 추가할 첫 번째 사용자(또는 그룹)의 전자 메일 주소를 입력한 다음 추가를 선택합니다.

  5. 사용 권한 선택 선택

  6. 사용 권한 선택 창에서 이 사용자(또는 그룹)에 대한 사용 권한을 선택하고 저장을 선택합니다.

  7. 사용 권한 할당 창으로 돌아가서 이 레이블에 추가하려는 각 사용자(또는 그룹)에 대해 3 ~ 6단계를 반복합니다. 그런 다음 저장을 클릭합니다.

  8. 액세스 제어 페이지에서 다음을 선택하고 구성을 완료합니다.

예제 4: 콘텐츠를 암호화하지만 액세스할 수 있는 사용자를 제한하지 않는 레이블

이 구성은 전자 메일이나 문서를 암호화하는 데 사용자, 그룹 또는 도메인을 지정할 필요가 없다는 장점이 있습니다. 콘텐츠는 계속 암호화되므로 사용 권한, 만료 날짜 및 오프라인 액세스를 계속 지정할 수 있습니다.

보호되는 문서 또는 전자 메일을 열 수 있는 사용자를 제한할 필요가 없는 경우에만 이 구성을 사용합니다. 이 설정에 대한 자세한 내용을 참조하세요.

  1. 액세스 제어 페이지: 지금 사용 권한을 할당하거나 사용자가 결정할 수 있도록 하려면 지금 권한 할당이 선택되어 있는지 확인합니다.

  2. 필요한 경우 콘텐츠에 대한 사용자 액세스 만료오프라인 액세스 허용에 대한 설정을 구성합니다.

  3. 사용 권한 할당을 선택합니다.

  4. 사용 권한 할당 창에서 인증된 사용자 추가를 선택합니다.

    사용자 및 그룹의 경우 인증된 사용자가 자동으로 추가되는 것을 확인할 수 있습니다. 이 값은 변경할 수 없고 삭제만 가능하며 삭제 시 인증된 사용자 추가 선택이 취소됩니다.

  5. 사용 권한 선택 선택

  6. 사용 권한 선택 창에서 드롭다운 상자를 선택하고 원하는 사용 권한을 선택한 다음 저장을 선택합니다.

  7. 사용 권한 할당 창으로 돌아가서 저장을 선택합니다.

  8. 액세스 제어 페이지에서 다음을 선택하고 구성을 완료합니다.

암호화된 콘텐츠의 고려 사항

가장 중요한 문서와 전자 메일을 암호화하면 권한있는 사용자만 이 데이터에 액세스할 수 있습니다. 그러나 다음과 같은 몇 가지 고려해야 할 사항이 있습니다.

  • 조직이 SharePoint 및 OneDrive에서 Office 파일에 대한 민감도 레이블을 활성화하지 않은 경우, 다음과 같이 작동합니다.

    • 암호화된 파일에는 검색, eDiscovery 및 Delve가 작동하지 않습니다.
    • DLP 정책은 이러한 암호화된 파일의 메타 데이터(보존 레이블 정보 포함)에 대해서는 작동하지만 파일의 내용(예: 파일 내의 신용 카드 번호)에는 적용되지 않습니다.
    • 사용자는 웹에서 Office를 사용하여 암호화된 파일을 열 수 없습니다. SharePoint 및 OneDrive에서 Office 파일에 대한 민감도 레이블을 사용하도록 설정하면 사용자는 웹에서 Office를 사용하여 암호화된 파일을 열 수 있습니다. 이 경우에는 온-프레미스 키("자체 키 보유" 또는 HYOK)를 사용하여 적용된 암호화, 이중 키 암호화와 민감도 레이블과 독립적으로 적용된 암호화를 포함하는 몇 가지 제한 사항이 있습니다.

  • 암호화된 문서를 조직 외부의 사용자와 공유하는 경우 게스트 계정을 만들고 조건부 액세스 정책을 수정해야 할 수 있습니다. 자세한 내용은 암호화된 문서를 외부 사용자와 공유하기를 참조하세요.

  • 권한 있는 사용자가 Office 앱에서 암호화된 문서를 열면 앱 맨 위에 있는 노란색 메시지 표시줄에 레이블 이름과 설명이 표시됩니다. 암호화 권한이 조직 외부의 사용자로 확장되면 문서를 열 때 이 메시지 표시줄에 표시되는 레이블 이름 및 설명을 주의 깊게 검토하세요.

  • 여러 사용자가 동시에 암호화된 파일을 편집하려면 모두 웹용 Office를 사용하거나 민감도 레이블로 암호화된 파일에 대해 공동 작성 사용을 허용해야 하며 모든 사용자에게 이 기능을 지원하는 Office 앱이 있어야 합니다. 그와 같은 상황이 아니고 파일이 이미 열려있는 경우:

    • Office 앱(Windows, Mac, Android 및 iOS)에서, 사용자에게는 파일을 체크아웃한 사용자의 이름과 함께 사용 중인 파일 메시지가 표시됩니다. 그런 다음 읽기 전용 사본을 보거나 파일 사본을 저장 및 편집하고, 파일을 사용할 수 있을 때 알림을 받을 수 있습니다.
    • 웹용 Office에서, 사용자에게는 다른 사람과 함께 문서를 편집할 수 없다는 오류 메시지가 표시됩니다. 그런 다음 읽기용 보기에서 열기를 선택할 수 있습니다.

  • 민감도 레이블로 암호화된 파일에 공동 작성을 사용하지 않는 경우 암호화된 파일에 Office 앱의 자동 저장 기능이 비활성화됩니다. 사용자에게는 자동 저장을 설정하기 전에 사용 권한의 제한을 해제해야 한다는 메시지가 표시됩니다.

  • Windows용 Office는 사용자가 인터넷에 연결되어 있지 않을 때 암호화를 적용하는 레이블을 지원합니다. 그러나 다른 플랫폼(macOS, iOS, Android)의 경우 사용자가 온라인 상태여야 Office 앱에 이러한 레이블을 적용할 수 있습니다. 파일 탐색기 및 PowerShell에서 이러한 레이블을 적용하려면 Microsoft Purview Information Protection 클라이언트도 온라인이어야 합니다. 암호화된 콘텐츠를 열기 위해 사용자가 온라인 상태일 필요는 없습니다. 오프라인 액세스에 관한 자세한 내용은 권한 관리에서 오프라인 액세스용 라이선스 사용을 참조하세요.

  • 암호화된 파일은 Office 앱(Windows, Mac, Android 및 iOS)에서 여는 데 시간이 더 걸릴 수 있습니다.

  • 문서가 SharePoint에서 체크아웃될 때 Office 앱을 사용하여 암호화를 적용하는 레이블이 추가된 다음 사용자가 체크아웃을 무시해도 문서는 레이블과 암호화된 상태로 유지됩니다.

  • 민감도 레이블로 암호화된 파일에 대해 공동 작성을 사용하도록 설정하지 않은 경우 암호화된 파일에 대한 다음 작업은 Office 앱(Windows, Mac, Android 및 iOS)에서 지원되지 않으며 사용자에게 문제가 있다는 오류 메시지가 표시됩니다. 그러나 SharePoint 기능을 대안으로 사용할 수 있습니다.

민감도 레이블로 암호화된 파일에 대한 최상의 공동 작업 환경을 위해서는 웹용 Office와 SharePoint 및 OneDrive의 Office 파일에 대해 민감도 레이블을 사용하는 것이 좋습니다.

다음 단계

레이블이 지정되고 암호화된 문서를 조직 외부의 사용자와 공유해야 하나요? 암호화된 문서 외부 사용자와 공유를 참조하세요.

민감도 레이블을 사용하여 Teams 모임의 비디오 및 오디오 스트림을 암호화하려면 민감도 레이블을 사용하여 일정 항목, Teams 모임 및 채팅 보호를 참조하세요.