다음을 통해 공유


끝점 데이터 손실 방지에 대한 자세한 정보

Microsoft Purview DLP(데이터 손실 방지)를 사용하여 민감하다고 판단한 항목에 대해 수행되는 작업을 모니터링하고 이러한 항목의 의도하지 않은 공유를 방지할 수 있습니다.

엔드포인트 DLP(엔드포인트 데이터 손실 방지)는 DLP의 활동 모니터링 및 보호 기능을 Windows 10/11 및 macOS(릴리스된 최신 3개 주 버전) 디바이스에 물리적으로 저장된 중요한 항목으로 확장합니다. 디바이스가 Microsoft Purview 솔루션에 온보딩되면 사용자가 중요한 항목으로 수행하는 일에 대한 정보가 활동 탐색기에 표시됩니다. 그런 다음 DLP 정책을 통해 해당 항목에 보호 작업을 적용할 수 있습니다.

이동식 저장소에 대한 디바이스 제어를 찾고 있는 경우 엔드포인트용 Microsoft Defender 디바이스 제어 이동식 저장소 액세스 제어를 참조하세요.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

모니터링 및 조치 가능한 끝점 활동

엔드포인트 DLP를 사용하면 사용자가 Windows 10, Windows 11 또는 macOS 장치에 물리적으로 저장된 중요한 항목에 수행하는 다음 유형의 활동을 감사하고 관리할 수 있습니다.

활동 설명 Windows 10(21H2, 22H2), Windows 11(21H2, 22H2), Windows Server 2019, 엔드포인트용 서버 2022(21H2 이상) (X64) 엔드포인트용 Windows 11(21H2, 22H2) (ARM64) macOS 최신 릴리스 버전 3개 감사할/
제한 가능
제한된 클라우드 서비스 도메인에 업로드하거나 허용되지 않는 브라우저에서 액세스 사용자가 항목을 제한된 서비스 도메인에 업로드하거나 브라우저를 통해 항목에 액세스하려는 경우 이를 감지합니다. 허용되지 않는 브라우저를 사용하는 경우 업로드 작업이 차단되고 사용자가 Microsoft Edge를 사용하도록 리디렉션됩니다. 그런 다음 Microsoft Edge는 DLP 정책 구성에 따라 업로드 또는 액세스를 허용하거나 차단합니다. 데이터 손실 방지 설정의 허용/허용되지 않는 도메인 목록에 따라 보호된 파일을 업로드하거나 클라우드 서비스에 업로드할 수 없는 경우 차단, 경고 또는 감사를 수행할 수 있습니다. 구성된 작업이 경고 또는 차단으로 설정되면 다른 브라우저( 데이터 손실 방지 설정 아래의 허용되지 않는 브라우저 목록에 정의됨)가 파일에 액세스하지 못하도록 차단됩니다. 않음 않음 않음 감사 가능하고 제한 가능
지원되는 브라우저에 붙여넣기 사용자가 제한된 서비스 도메인에 콘텐츠를 붙여넣으려고 하는 경우를 감지합니다. 평가는 붙여넣을 콘텐츠에 대해 수행됩니다. 이 평가는 콘텐츠의 원본 항목이 분류되는 방식과는 무관합니다. 않음 지원 지원되지 않음 감사 가능하고 제한 가능
클립보드에 복사 사용자가 보호된 파일에서 콘텐츠를 복사하려고 하면 엔드포인트 디바이스의 클립보드에 보호된 파일의 복사를 차단, 재정의로 차단 또는 감사할 수 있습니다. 규칙이 재정의 복사를 사용하여 차단 또는 차단으로 구성된 경우 대상이 동일한 Microsoft 365 Office 앱 내에 있는 경우를 제외하고 원본 콘텐츠가 중요한 경우 차단됩니다. 이 작업은 Windows 365에서 Azure Virtual Desktop을 사용할 때 리디렉션된 클립보드에도 적용됩니다. 않음 않음 않음 감사 가능하고 제한 가능
USB 이동식 디바이스에 복사 이 활동이 감지되면 엔드포인트 디바이스에서 USB 이동식 미디어로 보호된 파일의 복사 또는 이동을 차단, 경고 또는 감사할 수 있습니다. 않음 않음 않음 감사 가능하고 제한 가능
네트워크 공유에 복사 이 활동이 감지되면 Windows 365를 사용하여 Azure Virtual Desktop에서 네트워크 공유로 표시되는 리디렉션된 USB 디바이스를 포함하여 엔드포인트 디바이스에서 네트워크 공유로 보호된 파일의 복사 또는 이동을 차단, 경고 또는 감사할 수 있습니다. 지원 않음 않음 감사 가능하고 제한 가능
인쇄 이 활동이 감지되면 엔드포인트 디바이스에서 보호된 파일의 인쇄를 차단, 경고 또는 감사할 수 있습니다. 이 작업은 Windows 365와 함께 Azure Virtual Desktop을 사용할 때 리디렉션된 프린터에도 적용됩니다. 않음 않음 않음 감사 가능하고 제한 가능
허용되지 않는 Bluetooth 앱을 사용하여 복사 또는 이동 사용자가 허용되지 않는 Bluetooth 앱에 항목을 복사하려고 시도하는 경우를 감지합니다(데이터 손실 방지 설정엔드포인트 설정>의 허용되지 않는 Bluetooth 앱 목록에 정의됨). 않음 지원 않음 감사 가능하고 제한 가능
RDP를 사용하여 복사 또는 이동 사용자가 원격 데스크톱 세션에 항목을 복사하려고 하는 경우를 감지합니다. 지원 지원 지원되지 않음 감사 가능하고 제한 가능
항목 만들기 항목 만들기를 검색합니다. 지원 지원 않음 감사할
항목 이름 바꾸기 항목의 이름 바꾸기를 검색합니다. 지원 지원 지원 감사할
제한된 앱으로 액세스 제한된 앱 목록에 있는 애플리케이션( 제한된 앱 및 앱 그룹에 정의됨)이 엔드포인트 디바이스에서 보호된 파일에 액세스하려고 시도하는 경우를 검색합니다. 않음 지원 지원

클립보드에 복사 동작

사용자가 정책과 일치하는 파일의 콘텐츠에 대한 클립보드로 복사 작업을 시도할 때 재정의를 사용하여 차단 또는 차단으로 규칙을 구성할 때 최종 사용자는 다음 구성으로 이 동작을 볼 수 있습니다.

  • Word 파일 123에는 클립보드 블록 규칙에 대한 복사본과 일치하는 중요한 정보가 포함되어 있습니다.

  • Excel 파일 123에는 클립보드 블록 규칙에 대한 복사와 일치하는 중요한 정보가 포함되어 있습니다.

  • PowerPoint 파일 123에는 클립보드 블록 규칙에 대한 복사와 일치하는 중요한 정보가 포함되어 있습니다.

  • Word 파일 789에는 중요한 정보가 포함되어 있지 않습니다.

  • Excel 파일 789에는 중요한 정보가 포함되어 있지 않습니다.

  • PowerPoint 파일 789에는 중요한 정보가 포함되어 있지 않습니다.

  • 메모장(또는 Microsoft Office 기반이 아닌 앱 또는 프로세스) 파일 XYZ에는 클립보드 블록 규칙에 대한 복사와 일치하는 중요한 정보가 포함되어 있습니다.

  • 메모장(또는 Microsoft Office 기반이 아닌 앱 또는 프로세스) 파일 ABC에는 중요한 정보가 포함되어 있지 않습니다.

원본 대상 동작
Word 파일 123/Excel 파일 123/PowerPoint 파일 123 Word 파일 123/Excel 파일 123/PowerPoint 파일 123 복사하여 붙여넣을 수 있습니다. 즉, 파일 내 복사 및 붙여넣기를 사용할 수 있습니다.
Word 파일 123/Excel 파일 123/PowerPoint 파일 123 Word 파일 789/Excel 파일 789/PowerPoint 파일 789 복사 및 붙여넣기는 차단됩니다. 즉, 파일 간 복사 및 붙여넣기는 차단됩니다.
Word 파일 789/Excel 파일 789/PowerPoint 파일 789 Word 파일 123/Excel 파일 123/PowerPoint 파일 123 복사 및 붙여넣기 허용
Word 파일 123/Excel 파일 123/PowerPoint 파일 123 메모장 파일 ABC 복사 및 붙여넣기 차단됨
메모장 파일 XYZ 어떤 복사가 차단됨
메모장 파일 ABC 어떤 복사 및 붙여넣기 허용

엔드포인트 DLP 정책 모범 사례

신용 카드 번호가 포함된 모든 항목이 재무 부서 사용자의 엔드포인트를 벗어나지 못하도록 차단하려는 경우를 가정해 보겠습니다. 권장 사항:

  • 정책을 만들고 엔드포인트 및 해당 사용자 그룹으로 범위를 지정합니다.
  • 보호하려는 정보의 유형을 검색하는 규칙을 정책에서 만듭니다. 이 경우 콘텐츠 포함을중요한 정보 유형*으로 설정하고 신용 카드를 선택합니다.
  • 각 활동에 대한 작업을 차단으로 설정합니다.

DLP 정책 설계에 대한 자세한 내용은 데이터 손실 방지 정책 디자인을 참조하세요.

참고

Microsoft Purview에서는 중요한 항목에 대한 DLP 정책 평가가 중앙에서 수행되므로 개별 디바이스에 정책 및 정책 업데이트를 배포하는 데 시간이 지연되지 않습니다. Microsoft 365 규정 준수 센터에서 정책이 업데이트되면 일반적으로 이러한 업데이트가 서비스 전체에서 동기화되는 데 약 1시간이 걸립니다. 정책 업데이트가 동기화되면 다음에 액세스하거나 수정할 때 대상 디바이스의 항목이 자동으로 재평가됩니다. (미리 보기) 권한 있는 그룹 변경의 경우 정책을 동기화하는 데 24시간이 필요합니다.

모니터링된 파일

정책을 통해 모니터링되는 파일

엔드포인트 DLP는 Windows 10, 11 및 macOS의 최신 세 가지 주요 릴리스에서 정책을 통해 이러한 파일 형식을 모니터링합니다.

Windows 10, 11 macOS
.doc .docx, .docm, .dotx, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, pos, .pps, .pptm, .potx, .potm, .ppsx, .ppam, .ppsx .pbix, .pdf, .csv, .tsv, .zip, .zipx, .rar, .7z, .tar, .war, .gz, .dlp, .txt, .c, .class, .cpp, .cs, .h, .java, .html, .htm, .rtf, .json, .config .doc, .docx, .docm, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt .pptx, .pos, .pps, .potx, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .txt, .c, .cpp, .cs, .h, .java, .html, .htm, .rtf, .json, .config

참고

OCR을 사용하는 경우 Windows 10, 11 및 macOS 디바이스의 정책 설정을 통해 이러한 파일 형식을 모니터링할 수 있습니다.

.jpg, .png, .tif, .tiff, .bmp, .jpeg

정책 일치에 관계없이 감사된 파일

정책이 일치하지 않더라도 Windows 10, 11 및 macOS의 최신 세 가지 주요 릴리스에서 이러한 파일 형식에 대해 활동을 감사할 수 있습니다.

Windows 10, 11 macOS
.doc, .docx, .docm, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xltx, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .zip, .zipx, .rar, .7z, .tar, .war, .gz, .dlp .doc, .docx, .docm, .dot, .dotx, .dotm, .docb, .xls, .xlsx, .xlt, .xlm, .xlsm, .xltm, .xlsb, .xlw, .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx, .pbix, .pdf, .csv, .tsv, .tsv

참고

OCR을 사용하는 한 Windows 10, 11 및 macOS 디바이스에서 정책 일치에 관계없이 이러한 파일 형식을 감사할 수 있습니다.

.jpg, .png, .tif, .tiff, .bmp, .jpeg

중요

PDF 파일과 함께 Microsoft Purview DLP(데이터 손실 방지) 기능을 사용하기 위한 Adobe 요구 사항에 대한 자세한 내용은 Adobe: Acrobat의 Microsoft Purview Information Protection 지원 문서를 참조하세요.

정책 일치 항목의 데이터만 모니터링하려는 경우 데이터 손실 방지 설정>엔드포인트 설정에서 디바이스에 대한 Always Audit 파일 작업을 해제할 수 있습니다.

디바이스에 대한 항상 감사 파일 작업 설정이 켜져 있으면 디바이스가 정책의 대상이 아니더라도 Word, PowerPoint, Excel, PDF 및 .csv 파일의 활동은 항상 감사됩니다.

지원되는 모든 파일 형식에 대해 활동을 감사하려면 사용자 지정 DLP 정책을 만듭니다.

엔드포인트 DLP는 MIME 형식을 기반으로 활동을 모니터링하므로 이러한 파일 형식에 대해 파일 확장명 변경된 경우에도 활동이 캡처됩니다.

확장이 다른 파일 확장으로 변경된 후:

  • .doc
  • .docx
  • .xls
  • .xlsx
  • .ppt
  • .pptx
  • .pdf

확장이 지원되는 파일 확장으로만 변경된 경우:

  • .txt
  • .메시지
  • .rtf
  • .c
  • .cpp
  • .h
  • .cs
  • .자바
  • .tsv

콘텐츠를 검색한 파일 형식

DLP 정책에서 하나 이상의 파일 형식을 조건으로 사용할 수 있습니다.

파일 형식 모니터링되는 파일 확장자
워드 프로세싱 Word, PDF .doc, .docx, .docm, .dot, dotx, .dotm, .docb, .pdf
스프레드시트 Excel, CSV, TSV .xls, .xlsx, .xlt, .xlm, .xlsm, xltx, xltm, xlsb, .xlw, .csv, .tsv
프레젠테이션 PowerPoint .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx
보관 파일 보관 및 압축 도구 .zip, .zipx, .rar, .7z, .tar, .gz
전자 메일 Outlook .메시지

끝점 DLP의 다양한 기능

끝점 DLP를 살펴보기 전에 알아야 할 몇 가지 추가 개념이 있습니다.

장치 관리 사용 설정

장치 관리는 장치에서 원격 분석 수집을 사용하도록 설정하고 원격 분석 수집을 끝점 DLP 및 참가자 위험 관리와 같은 Microsoft Purview 솔루션으로 가져오는 기능입니다. DLP 정책에서 위치로 사용하려는 모든 디바이스를 온보딩해야 합니다.

디바이스 관리를 사용하도록 설정합니다.

온보딩 및 오프보딩은 디바이스 관리 센터에서 다운로드한 스크립트를 통해 처리됩니다. 디바이스 관리 센터에는 다음 배포 방법 각각에 대한 사용자 지정 스크립트가 있습니다.

  • 로컬 스크립트(최대 10대의 컴퓨터)
  • 그룹 정책
  • System Center Configuration Manager(버전 1610 이상)
  • 모바일 장치 관리/Microsoft Intune
  • 비 영구적인 컴퓨터에 대한 VDI 온보딩 스크립트

디바이스 온보딩 페이지.

Microsoft 365 끝점 DLP 시작하기의 절차를 사용하여 장치를 등록하세요.

또한 Defender에 디바이스를 온보딩하면 DLP에 온보딩됩니다. 따라서 엔드포인트용 Microsoft Defender를 통해 디바이스를 온보딩한 경우 해당 디바이스가 디바이스 목록에 자동으로 표시됩니다. 엔드포인트 DLP를 사용하려면 디바이스 모니터링 켜기만 있으면 됩니다.

관리되는 디바이스 목록입니다.

끝점 DLP 데이터 확인하기

DLP 경고 관리 대시보드로 이동하여 엔드포인트 디바이스에 적용되는 DLP 정책과 관련된 경고를 보고 Microsoft Defender XDR을 사용하여 데이터 손실 인시던트 조사를 수행할 수 있습니다.

경고 정보입니다.

동일한 대시보드에서 풍부한 메타데이터를 사용하여 연결된 이벤트의 세부 정보를 볼 수도 있습니다.

이벤트 정보입니다.

장치가 등록되면 장치를 위치로 포함하는 모든 DLP 정책을 구성하고 배포하기 전에 감사 활동에 대한 정보가 활동 탐색기로 전달됩니다.

활동 탐색기의 엔드포인트 dlp 이벤트입니다.

끝점 DLP는 감사 활동에 대한 광범위한 정보를 수집합니다.

예를 들어 파일이 이동식 USB 미디어에 복사되는 경우 활동 세부 정보에 다음 특성이 표시됩니다.

  • 활동 유형
  • 클라이언트 IP
  • 대상 파일 경로
  • 타임스탬프 발생
  • 파일 이름
  • 사용자
  • 파일 확장명
  • 파일 크기
  • 중요한 정보 유형(해당하는 경우)
  • SHA1 값
  • SHA256 값
  • 이전 파일 이름
  • 위치
  • 상위
  • 파일 경로
  • 원본 위치 유형
  • 플랫폼
  • 장치 이름
  • 대상 위치 유형
  • 복사를 수행한 응용 프로그램
  • 엔드포인트용 Microsoft Defender 장치 ID(해당하는 경우)
  • 이동식 미디어 장치 제조업체
  • 이동식 미디어 장치 모델
  • 이동식 미디어 장치 일련 번호

usb 활동 특성에 복사합니다.

엔드포인트 DLP 및 오프라인 디바이스

Windows 엔드포인트 디바이스가 오프라인 상태이면 기존 파일에 기존 정책이 계속 적용됩니다. 또한 Just-In-Time 보호를 사용하도록 설정하고 "차단" 모드에서 오프라인 디바이스에 새 파일을 만들 때 디바이스가 데이터 분류 서비스에 연결하고 평가가 완료될 때까지 파일이 공유되지 않습니다. 서버에 새 정책을 만들거나 기존 정책을 수정하는 경우 인터넷에 다시 연결되면 해당 변경 내용이 디바이스에서 업데이트됩니다.

다음 사용 사례를 고려합니다.

  1. 디바이스에 푸시된 정책은 디바이스가 오프라인 상태가 된 후에도 이미 중요한 것으로 분류된 파일에 계속 적용됩니다.
  2. 디바이스가 오프라인인 동안 규정 준수 포털에서 업데이트되는 정책은 해당 디바이스에 푸시되지 않습니다. 마찬가지로 이러한 정책은 디바이스가 다시 온라인 상태가 될 때까지 해당 디바이스에 적용되지 않습니다. 그러나 오프라인 디바이스에 있는 오래된 정책은 여전히 적용됩니다. Just-In-Time 보호

알림을 표시하도록 구성된 경우 디바이스가 온라인 상태인지 여부에 관계없이 DLP 정책이 트리거될 때 항상 표시됩니다.

참고

이미 오프라인 디바이스로 푸시된 정책은 적용되지만 디바이스가 다시 온라인 상태가 될 때까지 적용 이벤트는 활동 탐색기에 표시되지 않습니다.

DLP 정책은 정기적으로 엔드포인트 디바이스와 동기화됩니다. 디바이스가 오프라인인 경우 정책을 동기화할 수 없습니다. 이 경우 디바이스 목록은 디바이스가 서버의 정책과 동기화되지 않은 것을 반영합니다.

중요

이 기능은 macOS 엔드포인트 디바이스에서 지원되지 않습니다.

Just-In-Time 보호

Just-In-Time 보호는 정책 평가가 성공적으로 완료될 때까지 다음 모니터링되는 파일의 모든 송신 활동을 차단합니다.

  • 평가되지 않은 항목입니다.
  • 평가가 부실한 항목입니다. 이러한 항목은 정책의 현재 업데이트된 클라우드 버전에서 다시 평가되지 않은 이전에 평가된 항목입니다.

Just-In-Time 보호를 배포하려면 먼저 맬웨어 방지 클라이언트 버전 4.18.23080 이상을 배포해야 합니다.

참고

오래된 버전의 맬웨어 방지 클라이언트가 있는 컴퓨터의 경우 다음 KB 중 하나를 설치하여 Just-In-Time 보호를 사용하지 않도록 설정하는 것이 좋습니다.

Microsoft Purview 규정 준수 포털에서 Just-In-Time 보호를 사용하도록 설정하려면 왼쪽 탐색 창에서 설정을 선택하고 Just-In-Time 보호를 선택하고 원하는 설정을 구성합니다.

모니터링할 위치 선택

  • 디바이스를 선택합니다.
  • 편집을 선택합니다.
  • 플라이아웃 창에서 Just-In-Time 보호를 적용할 계정 및 메일 그룹의 범위를 선택합니다. (정책 평가가 처리되는 동안 엔드포인트 DLP는 계정이 선택한 범위에 있는 각 사용자에 대한 모든 송신 활동을 차단합니다. 엔드포인트 DLP는 제외 설정을 통해 특별히 제외되었거나 범위에 없는 모든 사용자 계정에 대한 송신 활동을 감사합니다.

참고

범위에서 선택한 모든 사용자에 대해 엔드포인트 DLP는 정책 평가가 완료될 때까지 기다리는 동안 모든 송신 활동을 차단합니다. 범위에 없거나 제외 설정 아래에 있는 사용자의 경우 엔드포인트 DLP는 송신 활동을 감사합니다.

  • 오류 발생 시 대체 작업: 이 구성은 정책 평가가 완료되지 않을 때 DLP가 적용해야 하는 적용 모드를 지정합니다. 어떤 값을 선택하든 관련 원격 분석은 활동 탐색기에 표시됩니다.

사용자 생산성을 극대화하기 위한 팁:

  • 정책 평가 중에 사용자 활동을 불필요하게 차단하는 것을 방지하기 위해 Just-In-Time 보호를 사용하도록 설정하기 전에 엔드포인트 DLP 정책을 구성하고 디바이스에 배포합니다.
  • 송신 활동에 대한 설정을 신중하게 구성해야 합니다. Just-In-Time 보호는 해당 활동에 재정의 정책을 사용하여 하나 이상의 차단 또는 차단 이 있는 경우에만 송신 활동을 차단합니다. 즉, 특별히 차단되지 않은 송신 활동은 해당 정책의 범위에 포함된 사용자에 대해서만 감사됩니다.
  • Just-In-Time 보호는 해당 활동에 재정의 정책이 있는 하나 이상의 차단 또는 차단 이 있는 경우에만 송신 활동을 차단하므로, 즉, 범위에서도 enduser에 DLP 정책이 없거나 감사 DLP 정책만 없는 경우 Just-In-Time 보호는 송신 활동만 감사합니다.

자세한 내용은 Just-In-Time 보호 시작을 참조하세요.

다음 단계

이제 끝점 DLP에 대해 살펴보았으므로 다음 단계는 다음과 같습니다.

  1. Microsoft Purview 개요에 Windows 10 또는 Windows 11 장치 온보딩
  2. macOS 장치를 Microsoft Purview에 온보딩 개요
  3. 엔드포인트 데이터 손실 방지 설정 구성
  4. 엔드포인트 데이터 손실 방지 사용

참고 항목