Azure Information Protection에서 보호 서비스 활성화
이 문서에서는 관리자가 AIP(Azure Information Protection)에 대한 Azure Rights Management 보호 서비스를 활성화하는 방법을 설명합니다. 조직에 대한 보호 서비스를 활성화하면 관리자와 사용자가 이 정보 보호 솔루션을 지원하는 애플리케이션 및 서비스를 사용하여 중요한 데이터를 보호할 수 있습니다. 또한 관리 조직은 보호된 문서 및 전자 메일을 관리하고 모니터링할 수 있습니다.
이 문서의 이 구성 정보는 조직의 모든 사용자에게 적용되는 서비스를 담당하는 관리자를 위한 것입니다. 특정 애플리케이션에 대해 Rights Management 기능을 사용하는 사용자 도움말 및 정보를 찾고 있거나 권한으로 보호되는 파일 또는 전자 메일을 여는 방법을 찾고 있는 경우 애플리케이션과 함께 제공되는 도움말과 지침을 사용하세요.
Azure Rights Management에 대한 자동 활성화
서비스 계획에 Azure Rights Management가 포함된 경우 서비스를 활성화할 필요가 없습니다.
Azure Rights Management 또는 Azure Information Protection이 포함된 구독을 2018년 2월 말 또는 그 이후에 획득한 경우: 서비스가 자동으로 활성화됩니다. 사용자 또는 조직의 다른 전역 관리자가 Azure Rights Management를 비활성화하지 않는 한 서비스를 활성화할 필요가 없습니다.
Azure Rights Management 또는 Azure Information Protection이 포함된 구독을 2018년 2월 중 또는 그 전에 획득한 경우: 테넌트가 Exchange Online을 사용하는 경우 Microsoft가 이러한 구독에 대해 Azure Rights Management 서비스를 활성화합니다. 이러한 구독의 경우 AutomaticServiceUpdateEnabled를 false로 설정하지 않는 한 Get-IRMConfiguration을 실행할 때 서비스가 활성화됩니다.
나열된 시나리오 중 어느 것도 해당되지 않는 경우 보호 서비스를 수동으로 활성화해야 합니다.
보호 서비스의 상태를 활성화하거나 확인하는 방법
Important
조직에 대한 AD RMS(Active Directory Rights Management Services)가 배포된 경우 보호 서비스를 활성화하지 마세요. 추가 정보
보호 서비스를 활성화하려면 조직에 Azure Information Protection의 Azure Rights Management 서비스를 포함하는 서비스 계획이 있어야 합니다. 자세한 내용은 보안 및 규정 준수에 대한 Microsoft 365 라이선스 지침을 참조하세요.
보호 서비스가 활성화되면 조직의 모든 사용자가 문서 및 이메일에 정보 보호를 적용할 수 있으며, 모든 사용자는 이 서비스로 보호된 문서 및 이메일을 열 수(사용할 수) 있습니다. 그러나 원하는 경우 단계적 배포에 온보딩 컨트롤을 사용하여 정보 보호를 적용할 수 있는 사용자를 제한할 수 있습니다. 자세한 내용은 이 문서의 단계별 배포 섹션에 대한 온보딩 컨트롤 구성을 참조하세요.
PowerShell을 통해 보호 활성화
PowerShell을 사용하여 Azure RMS(Rights Management Protection Service)를 활성화해야 합니다. 더 이상 Azure Portal에서 이 서비스를 활성화하거나 비활성화할 수 없습니다.
AIPService 모듈을 설치하여 보호 서비스를 구성하고 관리합니다. 지침은 AIPService PowerShell 모듈 설치를 참조하세요.
PowerShell 세션에서 Connect-AipService를 실행하고 메시지가 표시되면 Azure Information Protection 테넌트에 대한 전역 관리자 계정 세부 정보를 제공합니다.
Get-AipService를 실행하여 보호 서비스가 활성화되었는지 확인합니다. 사용 상태 활성화를 확인합니다. 사용 안 함은 서비스가 비활성화되었음을 나타냅니다.
서비스를 활성화하려면 Enable-AipService를 실행합니다.
단계별 배포에 대한 온보딩 컨트롤 구성
일부 사용자만 Azure Information Protection을 사용하여 즉시 문서와 이메일을 보호할 수 있게 하려는 경우에는 Set-AipServiceOnboardingControlPolicy PowerShell 명령을 사용하여 사용자 온보딩 컨트롤을 구성할 수 있습니다. Azure Rights Management 서비스를 활성화하기 전이나 후에 이 명령을 실행할 수 있습니다.
예를 들어 처음에는 "IT 부서" 그룹의 관리자(fbb99ded-32a0-45f1-b038-38b519009503의 개체 ID)만 테스트 목적으로 콘텐츠를 보호할 수 있도록 하려면 다음 명령을 사용합니다.
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"
이 구성 옵션의 경우 그룹을 지정해야 합니다. 개별 사용자를 지정할 수 없습니다. 그룹의 개체 ID를 가져오려면 Microsoft Graph PowerShell을 사용할 수 있습니다(예: 모듈 버전 1.0의 경우 Get-MgGroup 명령을 사용). 또는 Azure Portal에서 그룹의 개체 ID 값을 복사할 수 있습니다.
또는 Azure Information Protection을 사용하도록 올바르게 라이선스가 부여된 사용자만 콘텐츠를 보호할 수 있도록 하려는 경우 다음을 수행합니다.
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True
그룹 또는 라이선스 옵션을 사용하든 온보딩 컨트롤을 더 이상 사용할 필요가 없는 경우 다음을 실행합니다.
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
이 cmdlet 및 추가 예제에 대한 자세한 내용은 Set-AipServiceOnboardingControlPolicy 도움말을 참조하세요.
이러한 온보딩 컨트롤을 사용하는 경우 조직의 모든 사용자는 항상 사용자의 하위 집합에 의해 보호된 보호된 콘텐츠를 사용할 수 있지만 클라이언트 애플리케이션에서 정보 보호를 직접 적용할 수는 없습니다. Exchange와 같은 서버 쪽 애플리케이션은 같은 결과를 달성하기 위해 자체 사용자별 컨트롤을 구현할 수 있습니다. 예를 들어 사용자가 웹용 Outlook 전자 메일을 보호하지 못하도록 하려면 Set-OwaMailboxPolicy를 사용하여 IRMEnabled 매개 변수를 $false 설정합니다.
다음 단계
이제 조직에 대해 보호 서비스가 활성화되었으므로 앱과 서비스는 암호화를 적용하여 데이터를 보호할 수 있습니다. 암호화를 적용하는 가장 쉬운 방법 중 하나는 Microsoft Purview Information Protection의 민감도 레이블을 사용하는 것입니다.