분류, 레이블 지정 및 보호에 대한 AIP 배포 로드맵

참고

이전 명칭 MIP(Microsoft Information Protection)인 Microsoft Purview Information Protection을 찾고 계신가요?

이제 Office용 Azure Information Protection 추가 기능이 유지 관리 모드에 있으며 Office 365 앱 및 서비스에 기본 제공되는 레이블을 사용하는 것이 좋습니다. 다른 Azure Information Protection 구성 요소의 지원 상태에 대해 자세히 알아봅니다.

데이터를 분류, 레이블 지정 및 보호하려는 경우 다음 단계를 조직에 대한 Azure Information Protection을 준비, 구현 및 관리하기 위한 권장 사항으로 사용합니다.

이 로드맵은 지원 구독을 사용하는 모든 고객에게 권장됩니다. 추가 기능에는 중요한 정보 검색과 분류를 위한 문서 및 이메일 레이블 지정이 모두 포함됩니다.

레이블은 보호를 적용하여 사용자를 위해 이 단계를 간소화할 수도 있습니다.

배포 프로세스

다음 단계를 수행합니다.

  1. 구독을 확인하고 사용자 라이선스 할당
  2. Azure Information Protection을 사용하도록 테넌트 준비
  3. 분류 및 레이블 지정 구성 및 배포
  4. 데이터 보호를 위한 준비
  5. 데이터 보호를 위한 레이블 및 설정, 애플리케이션 및 서비스 구성
  6. 데이터 보호 솔루션 사용 및 모니터링
  7. 필요에 따라 테넌트 계정의 보호 서비스 관리

이미 Azure Information Protection에서 보호 기능을 사용하고 있습니까? 이러한 단계의 대부분을 건너뛰고 3단계5.1단계에 중점을 둘 수 있습니다.

구독을 확인하고 사용자 라이선스 할당

조직에 기대하는 기능이 포함된 구독이 있는지 확인합니다. 자세한 내용은 보안 규정 준수를 위한 Microsoft 365 라이선스& 지침 페이지를 참조하세요.

그런 다음, 문서와 메일을 분류하고, 레이블 지정하고, 보호할 조직의 각 사용자에게 이 구독의 라이선스를 할당합니다.

중요

개인용 무료 RMS 구독에서 사용자 라이선스를 수동으로 할당하지 않고, 조직의 Azure Rights Management 서비스를 관리하는 데 이 라이선스를 사용하지 마세요.

이러한 라이선스는 Microsoft 365 관리 센터에 Rights Management Adhoc으로 표시되고, Azure AD PowerShell cmdlet Get-MsolAccountSku를 실행할 경우 RIGHTSMANAGEMENT_ADHOC으로 표시됩니다.

자세한 내용은 개인용 RMS 및 Azure Information Protection을 참조하세요.

Azure Information Protection을 사용하도록 테넌트 준비

Azure Information Protection을 사용하기 전에 Microsoft 365 또는 Azure Active Directory에 AIP가 사용자를 인증하고 권한을 부여하는 데 사용할 수 있는 사용자 계정 및 그룹이 있는지 확인합니다.

필요한 경우 이러한 계정 및 그룹을 만들거나 온-프레미스 디렉터리의 계정 및 그룹을 동기화합니다.

자세한 내용은 Azure Information Protection을 위한 사용자 및 그룹 준비를 참조하세요.

분류 및 레이블 지정 구성 및 배포

다음 단계를 수행합니다.

  1. 파일 검색(선택 사항이지만 권장됨)

    Azure Information Protection 클라이언트를 배포한 다음 스캐너설치하고 실행하여 로컬 데이터 저장소에 있는 중요한 정보를 검색합니다.

    이 스캐너가 찾는 정보는 데이터 분류에 도움이 되고, 필요한 레이블과 보호가 필요한 파일에 대한 귀중한 정보를 제공합니다.

    스캐너 검색 모드에는 레이블 구성 또는 분류가 필요하지 않으므로 배포 초기 단계에서 적합합니다. 권장 또는 자동 레이블 지정을 구성할 때까지 다음 배포 단계에서 이 스캐너 구성을 사용할 수도 있습니다.

  2. 기본 AIP 정책 사용자 지정

    분류 전략이 아직 없는 경우 데이터에 필요한 레이블을 결정하는 기준으로 기본 정책을 사용합니다. 필요에 따라 요구 사항에 맞게 이러한 레이블을 사용자 지정합니다.

    예를 들어 다음 세부 정보로 레이블을 다시 구성할 수 있습니다.

    • 레이블이 분류 결정을 지원하는지 확인합니다.
    • 사용자의 수동 레이블 지정에 대한 정책을 구성합니다.
    • 각 시나리오에서 적용해야 하는 레이블을 설명하는 데 도움이 되는 사용자 지침을 작성합니다.
    • 자동으로 보호를 적용하는 레이블을 사용하여 기본 정책을 만든 경우 설정을 테스트하는 동안 보호 설정을 일시적으로 제거하거나 레이블을 사용하지 않도록 설정할 수 있습니다.

    통합 레이블 지정 클라이언트에 대한 민감도 레이블 및 레이블 지정 정책은 Microsoft Purview 규정 준수 포털 구성됩니다. 자세한 내용은 민감도 레이블에 대해 알아보기를 참조하세요.

  3. 사용자에 대한 클라이언트 배포

    정책이 구성되면 사용자에 대한 Azure Information Protection 클라이언트를 배포합니다. 레이블을 선택해야 하는 경우 사용자 교육 및 특정 지침을 제공합니다.

    자세한 내용은 통합 레이블 지정 클라이언트 관리자 가이드를 참조하세요.

  4. 고급 구성 소개

    사용자가 문서 및 이메일의 레이블에 더 익숙해질 때까지 기다립니다. 준비가 되면 다음과 같은 고급 구성을 소개합니다.

    • 기본 레이블 적용
    • 분류 수준이 낮은 레이블을 선택하거나 레이블을 제거하는 경우 사용자에게 근거를 묻는 메시지 표시
    • 모든 문서 및 이메일에는 레이블이 있는지 확인
    • 머리글, 바닥글 또는 워터마크 사용자 지정
    • 권장 및 자동 레이블 지정

    자세한 내용은 관리자 가이드: 사용자 지정 구성을 참조하세요.

    자동 레이블 지정을 위해 레이블을 구성한 경우 검색 모드로 정책에 맞춰 로컬 데이터 저장소에서 Azure Information Protection 스캐너를 다시 실행합니다.

    검색 모드에서 스캐너를 실행하면 파일에 적용할 레이블을 알려주며, 이를 통해 레이블 구성을 미세 조정하고 파일을 대량으로 분류하고 보호할 수 있습니다.

데이터 보호를 위한 준비

사용자가 문서 및 이메일에 레이블을 지정하는 데 익숙해지면 가장 중요한 데이터에 대한 데이터 보호를 소개합니다.

다음 단계를 수행하여 데이터 보호를 준비합니다.

  1. 테넌트 키를 관리하는 방법을 결정합니다.

    테넌트 키를 Microsoft에서 관리하도록 할지(기본값) 아니면 직접 생성하고 관리할지(BYOK, Bring Your Own Key라고도 함)를 결정합니다.

    추가 온-프레미스 보호에 대한 자세한 내용 및 옵션은 Azure Information Protection 테넌트 키 계획 및 구현을 참조하세요.

  2. AIP용 PowerShell을 설치합니다.

    인터넷에 연결된 한 대 이상의 컴퓨터에 AIPService용 Windows PowerShell 모듈을 설치합니다. 이 단계는 지금 수행해도 되고 나중에 수행해도 됩니다.

    자세한 내용은 AIPService PowerShell 모듈 설치를 참조하세요.

  3. AD RMS만: 키, 템플릿 및 URL을 클라우드로 마이그레이션합니다.

    현재 AD RMS를 사용하는 경우 마이그레이션을 수행하여 키, 템플릿 및 URL을 클라우드로 이동합니다.

    자세한 내용은 AD RMS에서 Azure Information Protection으로 마이그레이션을 참조하세요.

  4. 보호를 활성화합니다.

    문서 및 이메일 보호를 시작할 수 있도록 보호 서비스가 활성화되어 있는지 확인합니다. 여러 단계로 배포하는 경우 보호를 적용하는 사용자의 기능을 제한하도록 사용자 온보딩 컨트롤을 구성합니다.

    자세한 내용은 Azure Information Protection에서 보호 서비스 활성화를 참조하세요.

  5. 사용 현황 로깅을 고려(선택 사항)합니다.

    조직이 보호 서비스를 사용하는 방법을 모니터링할 수 있도록 사용 현황 로깅을 고려합니다. 이 단계는 지금 수행해도 되고 나중에 수행해도 됩니다.

    자세한 내용은 Azure Information Protection에서 보호 사용 현황 로깅 및 분석을 참조하세요.

데이터 보호를 위한 레이블 및 설정, 애플리케이션 및 서비스 구성

다음 단계를 수행합니다.

  1. 보호를 적용하도록 레이블 업데이트

    자세한 내용은 민감도 레이블에서 암호화를 사용하여 콘텐츠에 대한 액세스 제한을 참조하세요.

    중요

    Exchange가 IRM(정보 권한 관리)에 대해 구성되지 않은 경우에도 사용자가 Outlook에서 Rights Management 보호를 적용하는 레이블을 적용할 수 있습니다.

    그러나 새로운 기능으로 Microsoft 365 메시지 암호화 또는 IRM에 대해 Exchange를 구성할 때까지 조직은 Exchange에서 Azure Rights Management 보호를 사용하는 모든 기능은 사용할 수 없습니다. 이 추가 구성은 다음 목록에 포함되어 있습니다(Exchange Online의 경우 2단계, Exchange 온-프레미스의 경우 5단계).

  2. Office 애플리케이션 및 서비스 구성

    Microsoft SharePoint 또는 Exchange Online의 IRM(정보 권한 관리) 기능에 대한 Office 애플리케이션 및 서비스를 구성합니다.

    자세한 내용은 Azure Rights Management에 대한 애플리케이션 구성을 참조하세요.

  3. 데이터 복구를 위한 슈퍼 사용자 기능 구성

    Azure Information Protection이 보호하는 파일을 검사해야 하는 기존 IT 서비스(DLP(데이터 손실 방지) 솔루션, CEG(콘텐츠 암호화 게이트웨이) 및 맬웨어 방지 제품)가 있는 경우 Azure Rights Management에 대한 슈퍼 사용자가 되도록 서비스 계정을 구성합니다.

    자세한 내용은 Azure Information Protection 및 검색 서비스 또는 데이터 복구를 위한 슈퍼 사용자 구성 을 참조하세요.

  4. 대량으로 기존 파일 분류 및 보호

    온-프레미스 데이터 저장소의 경우 파일에 자동으로 레이블이 지정되도록 적용 모드에서 Azure Information Protection 스캐너를 실행합니다.

    PC의 파일의 경우 PowerShell cmdlet을 사용하여 파일을 분류하고 보호합니다. 자세한 내용은 Azure Information Protection 통합 레이블 지정 클라이언트와 함께 PowerShell 사용을 참조하세요.

    클라우드 기반 데이터 저장소의 경우 Microsoft Defender for Cloud Apps를 사용합니다.

    기존 파일을 대량으로 분류하고 보호하는 것은 Defender for Cloud Apps의 주요 사용 사례 중 하나가 아니지만 문서화된 해결 방법은 파일을 분류하고 보호하는 데 도움이 될 수 있습니다.

  5. SharePoint Server의 IRM 보호 라이브러리에 대한 커넥터 및 Exchange 온-프레미스의 IRM 보호 메일 배포

    SharePoint 및 Exchange 온-프레미스가 있으며 해당 IRM(정보 권한 관리) 기능을 사용하려는 경우 Rights Management 커넥터를 설치 및 구성합니다.

    자세한 내용은 Microsoft Rights Management 커넥터 배포를 참조하세요.

데이터 보호 솔루션 사용 및 모니터링

이제 조직에서 구성한 레이블을 사용하는 방법을 모니터링하고 중요한 정보를 보호하고 있는지 확인할 준비가 되었습니다.

자세한 내용은 다음 페이지를 참조하세요.

필요에 따라 테넌트 계정의 보호 서비스 관리

보호 서비스 사용을 시작하면 PowerShell을 통해 관리 변경 작업을 스크립트로 작성하거나 자동화할 수 있습니다. 일부 고급 구성에는 PowerShell이 필요할 수도 있습니다.

자세한 내용은 PowerShell을 사용하여 Azure Information Protection에서 보호 관리를 참조하세요.

다음 단계

Azure Information Protection을 배포할 때 질문과 대답, 알려진 문제정보 및 지원 페이지에서 추가 리소스를 확인하는 것이 유용할 수 있습니다.