데이터 손실 방지(DLP) 정책 생성
조직의 데이터는 성공에 중요합니다. 해당 데이터는 의사 결정을 위해 쉽게 사용할 수 있어야 하지만 동시에 액세스할 수 없는 대상과 공유되지 않도록 보호되어야 합니다. 비즈니스 데이터를 보호하기 위해 Power Automate는 어떤 커넥터가 액세스하고 공유할 수 있는지 정의하는 정책을 생성하고 시행하는 기능을 제공합니다. 데이터를 공유하는 방법을 정의하는 정책은 DLP(데이터 손실 방지) 정책으로 참조됩니다.
관리자는 DLP 정책을 제어합니다. DLP 정책이 흐름 실행을 차단하는 경우 관리자에게 문의하십시오.
Power Platform 데이터 유출 방지(DLP) 정책으로 데이터를 보호하는 방법에 대해 자세히 알아보세요.
데스크톱 흐름에 대한 데이터 손실 방지
Power Automate를 사용하면 데스크톱 흐름 모듈 및 개별 모듈 작업을 비즈니스, 비비즈니스 또는 차단됨으로 분류하는 DLP 정책을 만들고 시행할 수 있습니다. 이 분류는 제작자가 다른 범주의 모듈과 작업을 데스크톱 흐름으로 결합하거나 클라우드 흐름과 사용하는 데스크톱 흐름 간에 결합하는 것을 방지합니다.
중요
- DLP 정책 시행은 관리형 환경에서만 사용할 수 있습니다. 2025년 1월부터 관리형 환경에 위치한 바탕 화면 흐름만 DLP 정책에 따라 평가됩니다.
- 데스크톱 흐름용 DLP는 Power Automate for desktop 버전 2.14.173.21294 이상에서 사용할 수 있습니다. 이전 버전을 사용하는 경우 제거하고 최신 버전으로 업데이트하세요.
데스크톱 흐름 작업 그룹 보기
기본적으로 데스크톱 흐름 작업 그룹은 DLP 정책을 만들 때 표시되지 않습니다. 테넌트 설정에서 DLP 정책의 데스크톱 흐름 작업 표시 설정을 켜야 합니다.
공개 프리뷰를 선택한 경우 DLP의 데스크톱 흐름 작업 설정은 이미 활성화되어 있으며 변경할 수 없습니다.
Power Platform 관리 센터에 로그인합니다.
왼쪽 패널에서 설정을 선택하세요.
테넌트 설정 페이지에서 DLP의 데스크톱 흐름 작업을 선택합니다.
DLP 정책에서 데스크톱 흐름 작업 표시를 켠 다음 저장을 선택합니다.
이제 데이터 정책을 생성할 때 데스크톱 흐름 작업 그룹을 분류할 수 있습니다.
데스크톱 흐름 제한이 포함된 DLP 정책 만들기
관리자가 정책을 편집하거나 생성하면 데스크톱 흐름 작업 그룹이 기본 그룹에 추가되고 정책이 저장되면 적용됩니다. 기본 그룹이 차단됨으로 설정되고 데스크톱 흐름이 대상 환경에서 실행 중인 경우 정책이 일시 중단됩니다.
클라우드 흐름 커넥터 및 작업을 관리하는 것과 동일한 방식으로 데스크톱 흐름에 대한 DLP 정책을 관리할 수 있습니다. 데스크톱 흐름 모듈은 데스크톱용 Power Automate 사용자 인터페이스에 표시된 것과 비슷한 작업 그룹입니다. 모듈은 클라우드 흐름에서 사용되는 커넥터와 유사합니다. 데스크톱 흐름 모듈과 클라우드 흐름 커넥터를 모두 관리하는 DLP 정책을 정의할 수 있습니다. 변수와 같은 일부 기본 모듈은 거의 모든 데스크톱 흐름에서 사용해야 하기 때문에 DLP 정책 범위 내에서 관리할 수 없습니다. DLP 정책의 기본 사항과 정책 생성 방법에 대해 자세히 알아보기.
테넌트가 Power Platform의 사용자 환경을 선택하면 관리자는 생성하거나 업데이트하는 DLP 정책의 기본 데이터 그룹에서 새 데스크톱 흐름 모듈을 자동으로 볼 수 있습니다.
경고
데스크톱 흐름 모듈이 DLP 정책에 추가되면 테넌트의 데스크톱 흐름이 이를 기준으로 평가되고 준수하지 않는 경우 일시 중단됩니다. 관리자가 새 모듈을 인지하지 못한 채 DLP 정책을 생성하거나 업데이트하는 경우 데스크톱 흐름이 예기치 않게 일시 중단될 수 있습니다.
DLP 외부의 데스크톱 흐름 관리
이전 섹션에서 설명한 대로 모든 컴퓨터의 데스크톱 흐름 사용에 대한 세부적인 제어는 관리 환경에만 적용됩니다. 데스크탑 흐름을 관리하는 다른 옵션이 있습니다.
데스크톱 흐름 오케스트레이션 관리 기능: 데스크톱 흐름 커넥터는 모든 환경의 다른 커넥터와 마찬가지로 정책에서 관리할 수 있습니다.
데스크톱용 Power Automate의 사용량 관리 기능: GPO를 통해 데스크톱용 Power Automate 흐름을 제어할 수 있습니다. 이 거버넌스를 사용하면 일련의 환경 또는 지역으로 제한하고, 계정 유형 사용을 제한하고, 수동 업데이트를 제한하는 등의 작업에 대한 데스크톱 흐름을 켜거나 끌 수 있습니다.
Power Automate의 거버넌스에 대해 자세히 알아보기.
DLP의 데스크톱 흐름 모듈
DLP에서는 다음 데스크톱 흐름 모듈을 사용할 수 있습니다.
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.ActiveDirectory ActiveDirectory
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.AWS AWS
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Azure Azure
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.WebAutomation 브라우저 자동화
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cmd CMD session
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Clipboard Clipboard
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Compression Compression
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Cryptography Cryptography
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.CyberArk CyberArk
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Database Database
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Email Email
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Excel Excel
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Exchange Exchange
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.FTP FTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.File File
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Folder Folder
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.GoogleCognitive Google 인지
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Web HTTP
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.IBMCognitive IBM cognitive
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Display Message boxes
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MicrosoftCognitive Microsoft 인지
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.MouseAndKeyboard 마우스 및 키보드
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.OCR OCR
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Outlook Outlook
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Pdf PDF
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Runflow Run flow
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Scripting Scripting
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.System System
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.TerminalEmulation 터미널 에뮬레이션
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.UIAutomation UI automation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Services Windows Services
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.Workstation Workstation
- providers/Microsoft.ProcessSimple/operationGroups/DesktopFlow.XML XML
데스크톱 흐름 모듈에 대한 PowerShell 지원
DLP 정책에서 데스크톱 흐름 작업 표시 설정을 켜지 않으려는 경우 다음 PowerShell 스크립트를 사용하여 모든 데스크톱 흐름 모듈을 DLP 정책의 차단됨 그룹에 추가할 수 있습니다. 이미 설정을 켠 경우 이 스크립트를 사용할 필요가 없습니다.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Convert the list of Power Automate for desktop flow modules to a format that can be added to the policy
$desktopFlowModulesToAddToPolicy = @()
foreach ($modules in $desktopFlowModules) {
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$modules.id
name=$modules.Properties.displayName
type=$modules.type
}
}
# Step #4: Add all desktop flow modules to the 'blocked' category of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -classification Blocked -Verbose
다음 PowerShell 스크립트는 두 개의 특정 데스크톱 흐름 모듈을 DLP 정책의 기본 데이터 그룹에 추가합니다.
# Step #1: Retrieve a DLP policy named 'My DLP Policy'
$dlpPolicies = Get-DlpPolicy
$dlpPolicy = $dlpPolicies.value | where {$_.displayName -eq 'My DLP Policy'}
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Create a list with the 'Active Directory' and 'Workstation' modules
$desktopFlowModulesToAddToPolicy = @()
$activeDirectoryModule = $desktopFlowModules | where {$_.properties.displayName -eq "Active Directory"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$activeDirectoryModule.id
name=$activeDirectoryModule.Properties.displayName
type=$activeDirectoryModule.type
}
$clipboardModule = $desktopFlowModules | where {$_.properties.displayName -eq "Workstation"}
$desktopFlowModulesToAddToPolicy += [pscustomobject]@{
id=$clipboardModule.id
name=$clipboardModule.Properties.displayName
type=$clipboardModule.type
}
# Step #4: Add both modules to the default data group of 'My DLP Policy'
Add-ConnectorsToPolicy -Connectors $desktopFlowModulesToAddToPolicy -PolicyName $dlpPolicy.name -Classification $dlpPolicy.defaultConnectorsClassification -Verbose
데스크톱 흐름을 옵트아웃하는 PowerShell 스크립트
데스크톱 흐름용 DLP 기능을 사용하지 않으려면 다음 PowerShell 스크립트를 사용하여 옵트아웃할 수 있습니다.
# Step #1: Retrieve the DLP policy named 'My DLP Policy'
$policies = Get-DlpPolicy
$dlpPolicy = $policies.value | Where-Object { $_.displayName -eq "My DLP Policy" }
# Step #2: Get all Power Automate for desktop flow modules
$desktopFlowModules = Get-DesktopFlowModules
# Step #3: Remove Desktop Flow modules from all 3 connector groups of the policy
foreach ($connectorGroup in $dlpPolicy.connectorGroups) {
$connectorGroup.connectors = $connectorGroup.connectors | Where-Object { $desktopFlowModules.id -notcontains $_.id }
}
# Step #4: Save the updated policy
Set-DlpPolicy -PolicyName $dlpPolicy.name -UpdatedPolicy $dlpPolicy
정책이 활성화된 후
사용자가 최신 데스크톱용 Power Automate를 갖고 있지 않으면 DLP 정책 시행이 제한됩니다. DLP 정책을 위반하는 데스크톱 흐름을 실행, 디버그 또는 저장하려고 할 때 디자인 타임 오류 메시지가 표시되지 않습니다. 백그라운드 작업은 환경의 데스크톱 흐름을 주기적으로 검사하고 DLP 정책을 위반하는 모든 흐름을 자동으로 일시 중단합니다. 데스크톱 흐름이 데이터 손실 방지 정책을 위반하는 경우 사용자는 클라우드 흐름에서 데스크톱 흐름을 실행할 수 없습니다.
최신 데스크톱용 Power Automate을 보유한 제작자는 DLP 정책을 위반하는 데스크톱 흐름을 디버깅, 실행 또는 저장할 수 없습니다. 또한 클라우드 흐름 단계에서 DLP 정책을 위반하는 데스크톱 흐름을 선택할 수 없습니다.
DLP 적용 및 일시 중단
- 흐름을 만들거나 편집할 때 Power Automate은 현재 DLP 정책 집합에 대해 흐름을 평가합니다.
- 흐름의 99%에 해당하는 하위 흐름 없이 흐름을 적용하는 것은 동기식이며 실시간으로 발생합니다.
- 하위 흐름이 있는 흐름의 적용은 비동기식입니다. 하위 흐름도 평가해야 하고 24시간 이내에 발생하기 때문입니다.
- DLP 정책을 만들거나 변경할 때 백그라운드 작업은 환경의 모든 활성 흐름을 검색하고 평가한 다음 정책을 위반하는 흐름을 일시 중단합니다. 적용은 비동기식이며 24시간 이내에 발생합니다. 이전 DLP 정책을 평가하는 동안 DLP 정책 변경이 발생하면 최신 정책이 적용되는지 확인하기 위해 평가가 다시 시작됩니다.
- 매주 백그라운드 작업은 DLP 정책 검사가 누락되지 않았는지 확인하기 위해 DLP 정책에 대해 환경의 모든 활성 흐름에 대한 일관성 검사를 수행합니다.
DLP 재활성화
DLP 시행 백그라운드 작업이 더 이상 DLP 정책을 위반하지 않는 데스크톱 흐름을 발견하면 백그라운드 작업이 자동으로 일시 중단을 제거합니다. 그러나 DLP 시행 백그라운드 작업은 클라우드 흐름 일시 중지를 자동으로 해제하지 않습니다.
DLP 적용 변경 프로세스
새로운 DLP 기능이나 버그 수정이 출시되거나 시행 공백이 메워지기 때문에 DLP 시행은 주기적으로 변경되어야 합니다. 변경 사항이 기존 흐름에 영향을 미칠 수 있는 경우 다음과 같은 단계적 DLP 적용 변경 관리 프로세스를 적용하세요.
조사 중: DLP 시행 변경의 필요성을 확인하고 변경 사항의 세부 사항을 조사합니다.
학습: 변경을 구현하고 변경 효과의 범위에 대한 데이터를 수집합니다. DLP 시행 변경 사항을 문서화하여 변경 범위를 설명합니다. 데이터에 따르면 고객이 큰 영향을 받을 것으로 나타나면 해당 고객에게 변경 사항이 있음을 알리는 통신문이 전송될 수 있습니다. 변경 사항이 기존 흐름에 광범위한 영향을 미치는 경우 학습 단계의 이후 단계에서 백그라운드 DLP 적용 작업이 기존 흐름에서 위반을 발견하면 Power Automate는 흐름 담당자에게 흐름이 일시 중단될 것임을 알려 응답할 시간을 더 많이 가질 수 있도록 합니다.
알림만: 기존 흐름의 담당자가 예정된 DLP 적용 변경 사항에 대한 알림을 받을 수 있도록 DLP 위반에 대해서만 이메일 알림을 켭니다. 백그라운드 DLP 적용 작업이 기존 흐름에서 위반을 발견하면 흐름 소유자에게 흐름이 일시 중단될 것임을 알립니다. 이 메커니즘은 매주 실행됩니다.
디자인 타임 적용: DLP 위반의 디자인 타임 적용을 켜서 기존 흐름의 소유자가 예정된 DLP 적용 변경에 대한 알림을 받지만 변경된 모든 흐름은 디자인 타임에 완전한 DLP 정책 평가를 받습니다. 소프트 시행이라고도 합니다.
디자인 타임: 흐름이 업데이트되고 저장되면 업데이트된 DLP 시행을 사용하고 필요한 경우 흐름을 일시 중단하여 제작자가 즉시 시행을 알 수 있도록 합니다.
백그라운드 프로세스: 백그라운드 DLP 시행 작업이 흐름에서 위반을 발견하면 흐름이 일시 중단될 것임을 흐름 담당자에게 알립니다. 이 메커니즘에는 DLP 정책 및 일관성 검사에 대한 생성 또는 변경이 포함됩니다.
전체 적용: DLP 위반의 전체 적용을 켜서 DLP 정책이 모든 기존 및 새 흐름에 완전히 적용되도록 합니다. DLP 적용 백그라운드 작업 평가 중에 흐름이 저장되면 DLP 정책이 완전히 적용됩니다. 하드 시행이라고도 합니다.
DLP 적용 변경 목록
다음 표에는 DLP 시행 변경 사항과 변경 사항이 적용된 날짜가 나와 있습니다.
| Date | 설명 | 변경 이유 | 단계 | 디자인 타임 시행 가용성* | 전체 시행 가용성* |
|---|---|---|---|---|---|
| 2022년 5월 | 위임된 권한 부여 백그라운드 작업 집행 | DLP 정책은 흐름이 저장되는 동안 위임된 인증을 사용하는 흐름에 적용되지만 백그라운드 작업 평가 중에는 적용되지 않습니다. | 전체 | 2022년 6월 2일 | 2022년 7월 21일 |
| 2022년 5월 | apiConnection 트리거 시행 요청 | 일부 트리거에 대해 DLP 정책이 올바르게 시행되지 않았습니다. 영향을 받는 트리거에는 type=Request 및 kind=apiConnection이 있습니다. 영향을 받는 트리거 중 다수는 인스턴트 또는 수동으로 트리거되는 흐름에 사용되는 인스턴트 트리거입니다. 영향을 받는 트리거는 다음과 같습니다. - Power BI: Power BI 버튼 클릭 - Teams: 작성 상자에서 (V2) - 비즈니스용 OneDrive: 선택한 파일의 경우 - Dataverse: 흐름 단계가 비즈니스 프로세스 흐름에서 실행되는 경우 - Dataverse (레거시): 레코드를 선택한 경우 - Excel Online (Business): 선택한 행의 경우 - SharePoint: 선택한 항목의 경우 - Microsoft Copilot Studio: Copilot Studio가 흐름(V2)을 호출하는 경우 |
전체 | 2022년 6월 2일 | 2022년 8월 25일 |
| 2022년 7월 | 하위 흐름에 DLP 정책 시행 | 하위 흐름을 포함하도록 DLP 정책 시행을 활성화합니다. 흐름 트리에서 위반이 발견되면 상위 흐름이 일시 중단됩니다. 하위 흐름을 편집하고 저장하여 위반 사항을 제거한 후 상위 흐름을 다시 저장하거나 다시 활성화하여 DLP 정책 평가를 다시 실행할 수 있습니다. HTTP 커넥터가 차단될 때 더 이상 하위 흐름을 차단하지 않는 변경 사항은 하위 흐름에 대한 DLP 정책의 전체 시행과 함께 롤아웃됩니다. 전체 시행이 가능해지면 시행에 하위 데스크톱 흐름이 포함됩니다. | 전체 | 2023년 2월 14일 | 2023년 3월 |
| 2023년 1월 | 하위 데스크톱 흐름에 DLP 정책 시행 | 하위 데스크톱 흐름을 포함하도록 DLP 정책 시행을 활성화합니다. 흐름 트리에서 위반이 발견되면 데스크톱 상위 흐름이 일시 중단됩니다. 위반 사항을 제거하기 위해 하위 데스크톱 흐름을 편집하고 저장하면 상위 데스크톱 흐름이 자동으로 재활성화됩니다. | 전체 | - | 2023년 8월 |
*사용 가능 일정은 변경될 수 있으며 롤아웃에 따라 다릅니다.
DLP 위반에 대한 흐름 일시 중단
일시 중단된 흐름은 Power Automate Maker Portal 및 Power Platform 관리 센터에서 일시 중단된 것으로 표시됩니다. 흐름이 API, PowerShell 또는 Power Automate 관리 커넥터 목록이 "as Admin" 작업 실행을 통해 반환되면 흐름은 State=Suspended, FlowSuspensionReason=CompanyDlpViolation 및 흐름이 일시 중단된 시기를 나타내는 FlowSuspensionTime 값을 갖습니다.