Azure Information Protection에서 보호 서비스 활성화

이 문서에서는 관리자가 AIP(Azure Information Protection)에 대한 Azure Rights Management 보호 서비스를 활성화하는 방법을 설명합니다. 조직에 대한 보호 서비스를 활성화하면 관리자와 사용자가 이 정보 보호 솔루션을 지원하는 애플리케이션 및 서비스를 사용하여 중요한 데이터를 보호할 수 있습니다. 또한 관리자는 조직에서 소유한 보호된 문서 및 이메일을 관리하고 모니터링할 수 있습니다.

이 문서의 이 구성 정보는 조직의 모든 사용자에게 적용되는 서비스를 담당하는 관리자를 위한 것입니다. 특정 애플리케이션용 Rights Management 기능을 사용하기 위한 사용자 도움말 및 정보 또는 권한으로 보호된 파일 또는 메일을 여는 방법에 대한 정보를 원하는 경우 애플리케이션을 함께 제공되는 지침 및 도움말을 사용하세요.

서비스에 대한 기술 지원 및 기타 질문은 지원 옵션 및 커뮤니티 리소스 정보를 참조하세요.

Azure Rights Management에 대한 자동 활성화

서비스 계획에 Azure Rights Management가 포함된 경우 서비스를 활성화할 필요가 없습니다.

  • Azure Rights Management 또는 Azure Information Protection이 포함된 구독을 2018년 2월 말 또는 그 이후에 획득한 경우: 서비스가 자동으로 활성화됩니다. 사용자 또는 조직의 다른 전역 관리자가 Azure Rights Management를 비활성하지 않으면 서비스를 활성화할 필요가 없습니다.

  • Azure Rights Management 또는 Azure Information Protection이 포함된 구독을 2018년 2월 중 또는 그 전에 획득한 경우: 테넌트가 Exchange Online을 사용하는 경우 Microsoft가 이러한 구독에 대해 Azure Rights Management 서비스를 활성화합니다. 이러한 구독의 경우 AutomaticServiceUpdateEnabledfalse로 설정하지 않는 한 Get-IRMConfiguration을 실행할 때 서비스가 활성화됩니다.

나열된 시나리오 중 어느 것도 해당되지 않는 경우 보호 서비스를 수동으로 활성화해야 합니다.

보호 서비스의 상태를 활성화하거나 확인하는 방법

중요

조직에 대한 AD RMS(Active Directory Rights Management Services)가 배포된 경우 보호 서비스를 활성화하지 마세요. 자세한 정보

보호 서비스를 활성화하려면 조직에 Azure Information Protection Azure Rights Management 서비스를 포함하는 서비스 계획이 있어야 합니다. 자세한 내용은 보안 & 준수에 대한 Microsoft 365 라이선스 지침을 참조하세요.

보호 서비스가 활성화되면 조직의 모든 사용자가 문서 및 이메일에 정보 보호를 적용할 수 있으며, 모든 사용자는 이 서비스로 보호된 문서 및 이메일을 열 수(사용할 수) 있습니다. 하지만 원하는 경우 단계적 배포용 등록 컨트롤을 사용하여 정보 보호를 적용할 수 있는 사용자를 제한할 수 있습니다. 자세한 내용은 이 문서에서 단계별 배포용 온보딩 컨트롤 구성 섹션을 참조하세요.

PowerShell을 통해 보호 활성화

PowerShell을 사용하여 Azure RMS(Rights Management 보호 서비스)를 활성화해야 합니다. 더 이상 Azure Portal 이 서비스를 활성화하거나 비활성화할 수 없습니다.

  1. AIPService 모듈을 설치하여 보호 서비스를 구성하고 관리합니다. 지침은 AIPService PowerShell 모듈 설치를 참조하세요.

  2. PowerShell 세션에서 Connect-AipService를 실행하고 메시지가 표시되면 Azure Information Protection 테넌트에 대한 전역 관리자 계정 세부 정보를 제공합니다.

  3. Get-AipService를 실행하여 보호 서비스가 활성화되었는지 확인합니다. Enabled 상태는 활성화를 확인합니다. 비활성화는 서비스가 비활성화되었음을 나타냅니다.

  4. 서비스를 활성화하려면 Enable-AipService를 실행합니다.

단계적 배포용 등록 컨트롤 구성

일부 사용자만 Azure Information Protection을 사용하여 즉시 문서와 이메일을 보호할 수 있게 하려는 경우에는 Set-AipServiceOnboardingControlPolicy PowerShell 명령을 사용하여 사용자 온보딩 컨트롤을 구성할 수 있습니다. Azure Rights Management 서비스를 활성화하기 전이나 후에 이 명령을 실행할 수 있습니다.

예를 들어 초기에 개체 ID가 fbb99ded-32a0-45f1-b038-38b519009503인 "IT 부서" 그룹의 관리자만 테스트 목적으로 콘텐츠를 보호할 수 있도록 하려면 다음 명령을 사용합니다.

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

이 구성 옵션에 대해서는 그룹을 지정해야 하며 개별 사용자를 지정할 수는 없습니다. 그룹의 개체 ID를 얻으려면 Azure AD PowerShell을 사용할 수 있습니다. 예를 들어 버전 1.0의 모듈인 경우 Get-MsolGroup 명령을 사용합니다. Azure Portal에서 그룹의 개체 ID를 복사할 수도 있습니다.

또는 Azure Information Protection을 사용할 수 있는 라이선스가 부여된 사용자만 콘텐츠를 보호할 수 있게 하려면 다음 명령을 사용합니다.

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

온보딩 컨트롤을 더 이상 사용할 필요가 없으면 그룹을 사용하든 라이선싱 옵션을 사용하든 다음을 실행합니다.

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

이 cmdlet 및 추가 예제에 대한 자세한 내용은 Set-AipServiceOnboardingControlPolicy 도움말을 참조하세요.

이러한 등록 컨트롤을 사용할 경우 조직의 모든 사용자는 항상 하위 사용자가 보호하는 보호된 콘텐츠를 사용할 수 있지만 클라이언트 애플리케이션에서 자체적으로 정보 보호를 적용할 수는 없습니다. Exchange와 같은 서버 쪽 애플리케이션은 같은 결과를 달성하기 위해 자체 사용자별 컨트롤을 구현할 수 있습니다. 예를 들어, 사용자가 웹용 Outlook에서 메일을 보호하지 못하도록 하려면 Set-OwaMailboxPolicy를 사용하여 IRMEnabled 매개 변수를 $false로 설정합니다.

다음 단계

이제 조직에 대해 보호 서비스가 활성화되었으므로 앱 및 서비스는 암호화를 적용하여 데이터를 보호할 수 있습니다. 암호화를 적용하는 가장 쉬운 방법 중 하나는 Microsoft Purview Information Protection 민감도 레이블을 사용하는 것입니다.