Azure Information Protection 요구 사항

참고

이전에 MIP(Microsoft Information Protection)Microsoft Purview Information Protection 찾고 있나요?

이제 Azure Information Protection 통합 레이블 지정 클라이언트가 유지 관리 모드에 있습니다. Office 365 앱 및 서비스에 기본 제공되는 레이블을 사용하는 것이 좋습니다. 더 알아보세요

Azure Information Protection을 배포하기 전에 시스템이 다음과 같은 사전 요구 사항을 충족하는지 확인합니다.

Azure Information Protection을 배포하려면 AIP 기능을 사용하려는 머신에 AIP 클라이언트가 설치되어 있어야 합니다. 자세한 내용은 사용자용 Azure Information Protection 통합 레이블 지정 클라이언트 설치Azure Information Protection의 클라이언트 쪽을 참조하세요.

Azure Information Protection 구독

Azure Information Protection 스캐너 또는 클라이언트를 사용해 분류, 레이블 지정 및 보호하려면 Azure Information Protection 플랜이 필요합니다. 자세한 내용은 다음을 참조하세요.

거기서 질문에 대답하지 않았으면 Microsoft 계정 관리자 또는 Microsoft 지원에 문의하세요.

Azure Active Directory

Azure Information Protection에 대해 인증 및 권한 부여를 지원하려면 조직에 Azure AD(Active Directory)가 있어야 합니다. 온-프레미스 디렉터리(AD DS)의 사용자 계정을 사용하려면 디렉터리 통합도 구성해야 합니다.

  • Azure Information Protection에 대해 SSO(Single Sign-On) 가 지원되므로 사용자에게 자격 증명을 입력하라는 메시지가 반복해서 표시되지 않습니다. 페더레이션에 다른 공급업체 솔루션을 사용하는 경우에는 해당 공급업체에 Azure AD용으로 구성하는 방법을 확인하세요. WS-Trust는 이러한 솔루션에서 Single Sign-On을 지원하기 위해 공통으로 필요합니다.

  • MFA(다단계 인증) 는 필요한 클라이언트 소프트웨어가 있고 MFA 지원 인프라를 올바르게 구성한 경우 Azure Information Protection에서 지원됩니다.

조건부 액세스는 Azure Information Protection으로 보호되는 문서에 대한 미리 보기에서 지원됩니다. 자세한 내용은 다음을 참조하십시오. Azure Information Protection이 조건부 액세스에 사용 가능한 클라우드 앱으로 나열되어 있습니다. 작동 방법은 무엇인가요?

인증서 기반 또는 다단계 인증을 사용하는 경우, 또는 UPN 값이 사용자 이메일 주소와 일치하지 않는 경우와 같은 특정 시나리오에는 추가 필수 구성 요소가 있습니다.

자세한 내용은 다음을 참조하세요.

클라이언트 디바이스

사용자 컴퓨터 또는 모바일 디바이스가 Azure Information Protection을 지원하는 운영 체제에서 실행되어야 합니다.

클라이언트 디바이스에 지원되는 운영 체제

Windows용 Azure Information Protection 클라이언트는 다음 운영 체제에서 지원됩니다.

  • Windows 11

  • Windows 10(x86, x64). Windows 10 RS4 이상 빌드에서는 필기가 지원되지 않습니다.

  • Windows 8.1(x86, x64)

  • Windows 8(x86, x64)

  • Windows Server 2019

  • Windows Server 2016

  • Windows Server 2012 R2Windows Server 2012

이전 버전 Windows에서의 지원에 대한 자세한 내용은 Microsoft 계정 또는 지원 담당자에게 문의하세요.

참고

Azure Information Protection 클라이언트에서 Azure Rights Management 서비스를 통해 데이터를 보호하는 경우 Azure Rights Management 서비스를 지원하는 동일한 디바이스에서 이 데이터를 사용할 수 있습니다.

ARM64

ARM64는 현재 지원되지 않습니다.

가상 머신

가상 머신을 사용하는 경우 가상 데스크톱 솔루션의 소프트웨어 공급업체에 Azure Information Protection 통합 레이블 지정 또는 Azure Information Protection 클라이언트를 실행하는 데 필요한 추가 구성이 있는지 확인합니다.

예를 들어 Citrix 솔루션의 경우 Office, Azure Information Protection 통합 레이블 지정 클라이언트 또는 Azure Information Protection 클라이언트에 대해 Citrix API(애플리케이션 프로그래밍 인터페이스) 후크를 사용하지 않도록 설정해야 할 수 있습니다.

이러한 애플리케이션은 각각 다음 파일을 사용합니다. winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe

서버 지원

위에 나열된 각 서버 버전에서 원격 데스크톱 서비스에 대해 Azure Information Protection 클라이언트가 지원됩니다.

원격 데스크톱 서비스와 함께 Azure Information Protection 클라이언트를 사용할 때 사용자 프로필을 삭제하는 경우 %Appdata%\Microsoft\Protect 폴더는 삭제하지 마세요.

또한 Server Core와 Nano Server는 지원되지 않습니다.

클라이언트별 추가 요구 사항

각 Azure Information Protection 클라이언트마다 추가 요구 사항이 있습니다. 자세한 내용은 다음을 참조하세요.

애플리케이션

Azure Information Protection 클라이언트는 다음 Office 버전의 Microsoft Word, Excel, PowerPointOutlook을 사용하여 문서 및 메일을 레이블 지정하고 보호할 수 있습니다.

  • Azure Rights Management(Office 365용 Azure Information Protection이라고도 함)에 대한 라이선스가 사용자에게 할당된 경우, 업데이트 채널을 통해 Microsoft 365 앱의 지원되는 버전 표에 나열된 버전의 비즈니스용 Microsoft 365 앱 또는 Microsoft 365 Business Premium의 Office 앱

  • 엔터프라이즈용 Microsoft 365 앱

  • Office Professional Plus 2021

  • Office Professional Plus 2019

  • Office Professional Plus 2016

  • Office Professional Plus 2013 서비스 팩 1

다른 버전의 Office는 권한 관리 서비스를 사용하여 문서와 메일을 보호할 수 없습니다. 이러한 버전에서는 Azure Information Protection이 분류에만 지원되며 보호를 적용한 레이블은 사용자에게 표시되지 않습니다.

레이블은 통합 레이블 지정 클라이언트의 민감도 단추에서 액세스할 수 있는 Office 문서 맨 위에 표시되는 막대에 표시됩니다.

자세한 내용은 Azure Rights Management 데이터 보호를 지원하는 애플리케이션을 참조하세요.

지원되지 않는 Office 기능

  • Windows용 Azure Information Protection 클라이언트는 동일한 컴퓨터에서 여러 버전의 Office를 지원하지 않고 Office 사용자 계정 간 전환을 지원하지 않습니다.

  • Office 메일 병합 기능은 어떤 Azure Information Protection 기능에서도 지원되지 않습니다.

방화벽 및 네트워크 인프라

특정 연결을 허용하도록 구성된 방화벽 또는 유사한 개입 네트워크 디바이스가 있는 경우 네트워크 연결 요구 사항은 이 Office 문서(Microsoft 365 Common 및 Office Online)에 나열되어 있습니다.

Azure Information Protection에는 다음과 같은 추가 요구 사항이 있습니다.

  • 통합 레이블 지정 클라이언트. 레이블 및 레이블 정책을 다운로드하려면 HTTPS를 통해 다음 URL을 허용합니다. * .protection.outlook.com

  • 웹 프록시. 인증이 필요한 웹 프록시를 사용하는 경우 사용자의 Active Directory 로그인 자격 증명으로 Windows 통합 인증을 사용하도록 프록시를 구성해야 합니다.

    프록시를 사용하여 토큰을 얻을 때 Proxy.pac 파일을 지원하려면 다음 새 레지스트리 키를 추가합니다.

    • 경로: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • : UseDefaultCredentialsInProxy
    • 형식: DWORD
    • : 1
  • TLS 클라이언트-서비스 연결. aadrm.com URL로의 TLS 클라이언트-서비스 연결은 종료하지 마세요(예를 들어 패킷 수준 조사를 수행하려는 경우). 그러면 RMS 클라이언트가 Microsoft 관리 CA가 Azure Rights Management 서비스와의 통신 보호를 지원하기 위해 사용하는 인증서 고정이 끊어집니다.

    클라이언트 연결이 Azure Rights Management 서비스에 도달하기 전에 종료되었는지 확인하려면 다음 PowerShell 명령을 사용합니다.

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
    $request.GetResponse()
    $request.ServicePoint.Certificate.Issuer
    

    결과에 발급 CA가 Microsoft CA에서 나온 것으로 표시되어야 합니다(예: CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US).

    Microsoft에서 나오지 않은 발급 CA 이름이 표시되는 경우 보안 클라이언트-서비스 연결이 종료되어 방화벽에서 재구성이 필요할 수 있습니다.

  • TLS 버전 1.2 이상(통합 레이블 지정 클라이언트만 해당). 통합 레이블 지정 클라이언트는 암호화 보안 프로토콜을 사용하고 Microsoft 보안 지침에 부합하려면 TLS 버전 1.2 이상이 필요합니다.

  • Microsoft 365 ECS(강화된 구성 서비스) . AIP가 Microsoft 365 ECS(강화된 구성 서비스)인 config.edge.skype.com URL에 액세스할 수 있어야 합니다.

    ECS는 사용자가 AIP를 다시 배포할 필요 없이 Microsoft가 AIP 설치를 다시 구성할 수 있도록 합니다. 수집되는 진단 데이터에서 롤아웃의 영향을 모니터링하면서 기능이나 업데이트의 점진적 롤아웃을 제어하는 데 사용됩니다.

    또한 ECS는 기능이나 업데이트를 통해 보안 또는 성능 문제를 완화하는 데 사용됩니다. ECS는 진단 데이터와 관련된 구성 변경 내용도 지원하여 적절한 이벤트가 수집되도록 합니다.

    config.edge.skype.com URL을 제한하면 Microsoft가 오류를 완화하고 사용자가 미리 보기 기능을 테스트하는 데 영향을 미칠 수 있습니다.

    자세한 내용은 Office 필수 서비스 - Office 배포를 참조하세요.

  • 감사 로깅 URL 네트워크 연결입니다. AIP는 AIP 감사 로그를 지원하기 위해 다음 URL에 액세스할 수 있어야 합니다.

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com(Android 디바이스 데이터만 해당)

    자세한 내용은 AIP 보고 필수 구성 요소를 참조하세요.

Azure RMS와 AD RMS 함께 사용

동일한 조직에서 AD RMS와 Azure RMS를 함께 사용하여 동일한 조직의 동일한 사용자에 의한 콘텐츠를 보호하는 것은 Azure Information Protection을 사용한 HYOK(Hold Your Own Key) 보호용 AD RMS에서 지원됩니다.

이 시나리오는 마이그레이션 중에 지원되지 않습니다. 지원되는 마이그레이션 경로는 다음과 같습니다.

Azure Information Protection을 배포한 후 이 클라우드 서비스를 더 이상 사용하지 않겠다고 결정한 경우 Azure Information Protection 서비스 해제 및 비활성화를 참조하세요.

동일한 조직에서 두 서비스가 모두 활성화되는 다른 비 마이그레이션 시나리오에서는 지정된 사용자가 둘 중 하나만 사용하여 콘텐츠를 보호할 수 있도록 두 서비스를 모두 구성해야 합니다. 이러한 시나리오를 다음과 같이 구성합니다.

  • AD RMS에서 Azure RMS로 마이그레이션에 리디렉션을 사용합니다.

  • 여러 사용자가 두 서비스를 동시에 활성화해야 하는 경우에는 서비스 쪽 구성을 사용하여 배타성을 적용합니다. 클라우드 서비스에서 Azure RMS 온보딩 컨트롤을 사용하고 게시 URL에 ACL을 사용하여 AD RMS에 대한 읽기 전용 모드를 설정합니다.

서비스 태그

Azure 엔드포인트 및 NSG를 사용하고 있는 경우 다음 서비스 태그가 모든 포트에 액세스할 수 있도록 허용해야 합니다.

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

또한 이 경우 Azure Information Protection 서비스는 다음 IP 주소 및 포트에 종속됩니다.

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • 포트 443(HTTPS 트래픽)

이 포트를 통해 이러한 특정 IP 주소에 대한 아웃바운드 액세스를 허용하는 규칙을 만들어야 합니다.

Azure Rights Management 데이터 보호에 지원되는 온-프레미스 서버

Microsoft Rights Management 커넥터를 사용할 때 Azure Information Protection에서 지원되는 온-프레미스 서버는 다음과 같습니다.

이 커넥터는 통신 인터페이스로서 작동하여 Azure Information Protection가 Office 문서 및 메일을 보호하는 데 사용하는 Azure Rights Management 서비스와 온-프레미스 서버 간을 중계합니다.

이 커넥터를 사용하려면 Active Directory 포리스트와 Azure Active Directory 간의 디렉터리 동기화를 구성해야 합니다.

지원되는 서버는 다음과 같습니다.

서버 유형 지원되는 버전
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
Office SharePoint Server - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
Windows Server를 실행하고 FCI(파일 분류 인프라)를 사용하는 파일 서버 - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

자세한 내용은 Microsoft Rights Management 커넥터 배포를 참조하세요.

Azure Rights Management에 지원되는 운영 체제

다음 운영 체제에서는 AIP를 위한 데이터 보호를 제공하는 Azure Rights Management 서비스를 지원합니다.

OS 지원되는 버전
Windows 컴퓨터 - Windows 8 (x86, x64)
- Windows 8.1 (x86, x64)
- Windows 10 (x86, x64)
macOS 최소 버전의 macOS 10.8(Mountain Lion)
Android 휴대폰 및 태블릿 Android 6.0 이상
iPhone 및 iPad iOS 11.0 이상
Windows Phone 및 태블릿 Windows 10 Mobile

자세한 내용은 Azure Rights Management 데이터 보호를 지원하는 애플리케이션을 참조하세요.

다음 단계

모든 AIP 요구 사항을 검토하고 시스템이 준수하는지 확인한 후에는 계속해서 Azure Information Protection을 위한 사용자 및 그룹 준비를 진행합니다.