분류, 레이블 지정 및 보호에 대한 AIP 배포 로드맵

참고 항목

이전 명칭 MIP(Microsoft Information Protection)인 Microsoft Purview Information Protection을 찾고 계신가요?

Azure Information Protection 추가 기능은 사용 중지되고 Microsoft 365 앱 및 서비스에 기본 제공되는 레이블 로 대체됩니다. 다른 Azure Information Protection 구성 요소의 지원 상태 대해 자세히 알아봅니다.

새 Microsoft Information Protection 클라이언트 (추가 기능 제외)는 현재 미리 보기로 제공되며 일반 공급으로 예약되어 있습니다.

데이터를 분류, 레이블 지정 및 보호하려는 경우 다음 단계를 조직에 대한 Azure Information Protection을 준비, 구현 및 관리하기 위한 권장 사항으로 사용합니다.

이 로드맵은 지원 구독을 사용하는 모든 고객에게 권장됩니다. 추가 기능에는 중요한 정보 검색과 분류를 위한 문서 및 이메일 레이블 지정이 모두 포함됩니다.

레이블은 보호를 적용하여 사용자를 위해 이 단계를 간소화할 수도 있습니다.

팁

또는 다음 문서 중 하나를 찾을 수 있습니다.

• 데이터 보호 전용 AIP 로드맵
• Azure Information Protection을 사용하는 일반적인 시나리오에 대한 방법 가이드
• Azure Information Protection 릴리스 로드맵

배포 프로세스

다음 단계를 수행합니다.

1. 구독 확인 및 사용자 라이선스 할당
2. Azure Information Protection을 사용하도록 테넌트 준비
3. 분류 및 레이블 지정 구성 및 배포
4. 데이터 보호 준비
5. 데이터 보호를 위한 레이블 및 설정, 애플리케이션 및 서비스 구성
6. 데이터 보호 솔루션 사용 및 모니터링
7. 관리 필요에 따라 테넌트 계정에 대한 보호 서비스 등록

팁

Azure Information Protection에서 보호 기능을 이미 사용하고 있나요? 이러한 단계의 대부분을 건너뛰고 3단계와 5.1단계에 중점을 둘 수 있습니다.

구독 확인 및 사용자 라이선스 할당

조직에 기대하는 기능이 포함된 구독이 있는지 확인합니다. 자세한 내용은 보안 및 규정 준수 페이지에 대한 Microsoft 365 라이선스 지침을 참조하세요.

그런 다음, 문서 및 전자 메일을 분류, 레이블 지정 및 보호할 조직의 각 사용자에게 이 구독의 라이선스를 할당합니다.

Important

개인용 무료 RMS 구독에서 사용자 라이선스를 수동으로 할당하지 않고, 조직의 Azure Rights Management 서비스를 관리하는 데 이 라이선스를 사용하지 마세요.

이러한 라이선스는 Microsoft 365 관리 센터 Rights Management 임시로 표시되며Azure AD PowerShell cmdlet Get-MsolAccountSku를 실행할 때 RIGHTSMANAGEMENT_ADHOC.

자세한 내용은 개인용 RMS 및 Azure Information Protection을 참조하세요.

참고 항목

Azure AD 및 MSOnline PowerShell 모듈은 2024년 3월 30일부터 더 이상 사용되지 않습니다. 자세히 알아보려면 사용 중단 업데이트를 참조하세요. 이 날짜 이후에는 이러한 모듈에 대한 지원이 Microsoft Graph PowerShell SDK 및 보안 수정 사항에 대한 마이그레이션 지원으로 제한됩니다. 사용되지 않는 모듈은 2025년 3월 30일까지 계속 작동합니다.

Microsoft Entra ID(마이그레이션의 Azure AD)와 상호 작용하려면 Microsoft Graph PowerShell으로 마이그레이션하는 것이 좋습니다. 일반적인 마이그레이션 관련 질문은 마이그레이션 FAQ를 참조하세요. 참고: MSOnline 버전 1.0.x는 2024년 6월 30일 이후 중단될 수 있습니다.

Azure Information Protection을 사용하도록 테넌트 준비

Azure Information Protection 사용을 시작하기 전에 AIP가 사용자를 인증하고 권한을 부여하는 데 사용할 수 있는 Microsoft 365 또는 Microsoft Entra ID에 사용자 계정 및 그룹이 있는지 확인합니다.

필요한 경우 이러한 계정 및 그룹을 만들거나 온-프레미스 디렉터리의 계정 및 그룹을 동기화합니다.

자세한 내용은 Azure Information Protection에 대한 사용자 및 그룹 준비를 참조하세요.

분류 및 레이블 지정 구성 및 배포

다음 단계를 수행합니다.

1. 파일 검색(선택 사항이지만 권장됨)

   Azure Information Protection 클라이언트를 배포한 다음 스캐너를 설치하고 실행하여 로컬 데이터 저장소에 있는 중요한 정보를 검색합니다.

   스캐너가 찾은 정보는 분류 분류에 도움이 될 수 있으며, 필요한 레이블과 보호해야 하는 파일에 대한 중요한 정보를 제공합니다.

   스캐너 검색 모드에는 레이블 구성 또는 분류가 필요하지 않으므로 배포 초기 단계에서 적합합니다. 권장 또는 자동 레이블 지정을 구성할 때까지 다음 배포 단계에서 이 스캐너 구성을 사용할 수도 있습니다.

2. 기본 AIP 정책 사용자 지정

   분류 전략이 아직 없는 경우 데이터에 필요한 레이블을 결정하는 기준으로 기본 정책을 사용합니다. 필요에 따라 요구 사항에 맞게 이러한 레이블을 사용자 지정합니다.

   예를 들어 다음 세부 정보로 레이블을 다시 구성할 수 있습니다.

   • 레이블이 분류 결정을 지원하는지 확인합니다.
   • 사용자의 수동 레이블 지정에 대한 정책을 구성합니다.
   • 각 시나리오에서 적용해야 하는 레이블을 설명하는 데 도움이 되는 사용자 지침을 작성합니다.
   • 자동으로 보호를 적용하는 레이블을 사용하여 기본 정책을 만든 경우 설정을 테스트하는 동안 보호 설정을 일시적으로 제거하거나 레이블을 사용하지 않도록 설정할 수 있습니다.

   통합 레이블 지정 클라이언트에 대한 민감도 레이블 및 레이블 지정 정책은 Microsoft Purview 규정 준수 포털 구성됩니다. 자세한 내용은 민감도 레이블에 대해 알아보기를 참조하세요.

3. 사용자에 대한 클라이언트 배포

   정책이 구성되면 사용자에 대한 Azure Information Protection 클라이언트를 배포합니다. 레이블을 선택해야 하는 경우 사용자 교육 및 특정 지침을 제공합니다.

   자세한 내용은 통합 레이블 지정 클라이언트 관리자 가이드를 참조하세요.

4. 고급 구성 소개

   사용자가 문서 및 이메일의 레이블에 더 익숙해질 때까지 기다립니다. 준비가 되면 다음과 같은 고급 구성을 소개합니다.

   • 기본 레이블 적용
   • 분류 수준이 낮은 레이블을 선택하거나 레이블을 제거하는 경우 사용자에게 근거를 묻는 메시지 표시
   • 모든 문서 및 이메일에는 레이블이 있는지 확인
   • 머리글, 바닥글 또는 워터마크 사용자 지정
   • 권장 및 자동 레이블 지정

   자세한 내용은 관리자 가이드: 사용자 지정 구성을 참조하세요.

   팁

   자동 레이블 지정을 위해 레이블을 구성한 경우 검색 모드로 정책에 맞춰 로컬 데이터 저장소에서 Azure Information Protection 스캐너를 다시 실행합니다.

   검색 모드에서 스캐너를 실행하면 파일에 적용할 레이블을 알려주며, 이를 통해 레이블 구성을 미세 조정하고 파일을 대량으로 분류하고 보호할 수 있습니다.

데이터 보호 준비

사용자가 문서 및 이메일에 레이블을 지정하는 데 익숙해지면 가장 중요한 데이터에 대한 데이터 보호를 소개합니다.

다음 단계를 수행하여 데이터 보호를 준비합니다.

1. 테넌트 키를 관리하는 방법을 결정합니다.

   Microsoft에서 테넌트 키를 관리할지(기본값) 직접 테넌트 키를 생성하고 관리할지 결정합니다(사용자 고유 키 가져오기 또는 BYOK라고 함).

   추가 온-프레미스 보호에 대한 자세한 내용 및 옵션은 Azure Information Protection 테넌트 키 계획 및 구현을 참조하세요.

2. AIP용 PowerShell을 설치합니다.

   인터넷에 연결된 한 대 이상의 컴퓨터에 AIPService용 Windows PowerShell 모듈을 설치합니다. 지금 또는 나중에 이 단계를 수행할 수 있습니다.

   자세한 내용은 AIPService PowerShell 모듈 설치를 참조하세요.

3. AD RMS만: 키, 템플릿 및 URL을 클라우드로 마이그레이션합니다.

   현재 AD RMS를 사용하는 경우 마이그레이션을 수행하여 키, 템플릿 및 URL을 클라우드로 이동합니다.

   자세한 내용은 AD RMS에서 Information Protection으로 마이그레이션을 참조하세요.

4. 보호를 활성화합니다.

   문서 및 전자 메일 보호를 시작할 수 있도록 보호 서비스가 활성화되어 있는지 확인합니다. 여러 단계로 배포하는 경우 보호를 적용하는 사용자의 기능을 제한하도록 사용자 온보딩 컨트롤을 구성합니다.

   자세한 내용은 Azure Information Protection에서 보호 서비스 활성화를 참조하세요.

5. 사용 현황 로깅을 고려(선택 사항)합니다.

   조직이 보호 서비스를 사용하는 방법을 모니터링할 수 있도록 사용 현황 로깅을 고려합니다. 지금 또는 나중에 이 단계를 수행할 수 있습니다.

   자세한 내용은 Azure Information Protection에서 보호 사용 로깅 및 분석을 참조하세요.

데이터 보호를 위한 레이블 및 설정, 애플리케이션 및 서비스 구성

다음 단계를 수행합니다.

1. 보호를 적용하도록 레이블 업데이트

   자세한 내용은 민감도 레이블에서 암호화를 사용하여 콘텐츠에 대한 액세스 제한을 참조 하세요.

   Important

   Exchange가 IRM(정보 권한 관리)에 대해 구성되지 않은 경우에도 사용자가 Outlook에서 Rights Management 보호를 적용하는 레이블을 적용할 수 있습니다.

   그러나 새로운 기능으로 Microsoft 365 메시지 암호화 또는 IRM에 대해 Exchange를 구성할 때까지 조직은 Exchange에서 Azure Rights Management 보호를 사용하는 모든 기능은 사용할 수 없습니다. 이 추가 구성은 다음 목록에 포함되어 있습니다(Exchange Online의 경우 2개, Exchange 온-프레미스의 경우 5개).

2. Office 앱lications 및 서비스 구성

   Microsoft SharePoint 또는 Exchange Online의 IRM(정보 권한 관리) 기능에 대한 Office 애플리케이션 및 서비스를 구성합니다.

   자세한 내용은 Azure Rights Management에 대한 애플리케이션 구성을 참조하세요.

3. 데이터 복구를 위한 슈퍼 사용자 기능 구성

   DLP(데이터 누출 방지) 솔루션, CEG(콘텐츠 암호화 게이트웨이) 및 맬웨어 방지 제품과 같이 Azure Information Protection에서 보호할 파일을 검사해야 하는 기존 IT 서비스가 있는 경우 서비스 계정을 Azure Rights Management의 슈퍼 사용자로 구성합니다.

   자세한 내용은 Azure Information Protection 및 검색 서비스 또는 데이터 복구를 위한 슈퍼 사용자 구성 을 참조하세요.

4. 기존 파일을 대량으로 분류 및 보호

   온-프레미스 데이터 저장소의 경우 이제 적용 모드에서 Azure Information Protection 스캐너를 실행하여 파일에 자동으로 레이블을 지정합니다.

   PC의 파일의 경우 PowerShell cmdlet을 사용하여 파일을 분류하고 보호합니다. 자세한 내용은 Azure Information Protection 통합 레이블 지정 클라이언트와 함께 PowerShell 사용을 참조하세요.

   클라우드 기반 데이터 저장소의 경우 Microsoft Defender for Cloud Apps를 사용합니다.

   팁

   기존 파일을 대량으로 분류하고 보호하는 것은 클라우드용 Defender 앱에 대한 기본 사용 사례 중 하나가 아니지만 문서화된 해결 방법은 파일을 분류하고 보호하는 데 도움이 될 수 있습니다.

5. SharePoint Server에서 IRM으로 보호되는 라이브러리용 커넥터 및 Exchange 온-프레미스용 IRM 보호 전자 메일 배포

   SharePoint 및 Exchange 온-프레미스가 있고 IRM(정보 권한 관리) 기능을 사용하려는 경우 Rights Management 커넥터를 설치하고 구성합니다.

   자세한 내용은 Microsoft Rights Management 커넥터 배포를 참조하세요.

데이터 보호 솔루션 사용 및 모니터링

이제 조직에서 구성한 레이블을 사용하는 방법을 모니터링하고 중요한 정보를 보호하고 있는지 확인할 준비가 되었습니다.

자세한 내용은 다음 페이지를 참조하세요.

• Azure Information Protection에 대한 중앙 보고 - 현재 미리 보기로 제공
• Azure Information Protection에서 보호 사용 로깅 및 분석

관리 필요에 따라 테넌트 계정에 대한 보호 서비스 등록

보호 서비스를 사용하기 시작하면 PowerShell이 관리 변경 내용을 스크립트하거나 자동화하는 데 유용할 수 있습니다. 일부 고급 구성에도 PowerShell이 필요할 수 있습니다.

자세한 내용은 PowerShell을 사용하여 Azure Information Protection에서 보호 관리를 참조하세요.

다음 단계

Azure Information Protection을 배포할 때 질문과 대답, 알려진 문제 및 정보 및 지원 페이지에서 추가 리소스를 확인하는 것이 유용할 수 있습니다.