Azure Information Protection 요구 사항

  • 아티클

참고 항목

이전 명칭 MIP(Microsoft Information Protection)인 Microsoft Purview Information Protection을 찾고 계신가요?

Azure Information Protection 추가 기능은 사용 중지되고 Microsoft 365 앱 및 서비스에 기본 제공되는 레이블 로 대체됩니다. 다른 Azure Information Protection 구성 요소의 지원 상태 대해 자세히 알아봅니다.

Microsoft Purview Information Protection 클라이언트 (추가 기능 제외)는 현재 미리 보기로 제공되며 일반 공급으로 예약되어 있습니다.

Azure Information Protection을 배포하기 전에 시스템에서 다음 필수 조건을 충족하는지 확인합니다.

방화벽 및 네트워크 인프라

특정 연결을 허용하도록 구성된 방화벽 또는 유사한 개입 네트워크 디바이스가 있는 경우 네트워크 연결 요구 사항은 이 Office 문서(Microsoft 365 Common 및 Office Online)에 나열되어 있습니다.

Azure Information Protection에는 다음과 같은 추가 요구 사항이 있습니다.

  • Microsoft Purview Informaiton Protection 클라이언트. 레이블 및 레이블 정책을 다운로드하려면 HTTPS를 통해 다음 URL을 허용합니다. *.protection.outlook.com

  • 웹 프록시. 인증이 필요한 웹 프록시를 사용하는 경우 사용자의 Active Directory 로그인 자격 증명과 함께 통합된 Windows 인증 사용하도록 프록시를 구성해야 합니다.

    프록시를 사용하여 토큰을 획득할 때 Proxy.pac 파일을 지원하려면 다음 새 레지스트리 키를 추가합니다.

    • 경로: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
    • : UseDefaultCredentialsInProxy
    • 형식: DWORD
    • : 1

  • TLS 클라이언트-서비스 연결. 예를 들어 패킷 수준 검사를 수행하기 위해 TLS 클라이언트-서비스 간 연결을 aadrm.com URL로 종료하지 마세요. 그러면 RMS 클라이언트가 Microsoft 관리 CA가 Azure Rights Management 서비스와의 통신 보호를 지원하기 위해 사용하는 인증서 고정이 끊어집니다.

    클라이언트 연결이 Azure Rights Management 서비스에 도달하기 전에 종료되는지 여부를 확인하려면 다음 PowerShell 명령을 사용합니다.

    $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

    결과는 발급 CA가 Microsoft CA에서 온 것임을 보여 줘야 합니다. 예를 들면 다음과 CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US같습니다.

    Microsoft가 아닌 발급 CA 이름이 표시되는 경우 보안 클라이언트-서비스 연결이 종료되고 방화벽에서 재구성이 필요할 수 있습니다.

  • TLS 버전 1.2 이상 (통합 레이블 지정 클라이언트만 해당). 통합 레이블 지정 클라이언트에는 암호화된 보안 프로토콜을 사용하고 Microsoft 보안 지침에 맞게 1.2 이상의 TLS 버전이 필요합니다.

  • Microsoft 365 ECS(고급 구성 서비스). AIP는 Microsoft 365 ECS(고급 구성 서비스)인 config.edge.skype.com URL에 액세스할 수 있어야 합니다.

    ECS는 AIP를 다시 배포할 필요 없이 AIP 설치를 다시 구성할 수 있는 기능을 Microsoft에 제공합니다. 배포의 영향은 수집되는 진단 데이터에서 모니터링되는 동안 기능 또는 업데이트의 점진적 출시를 제어하는 데 사용됩니다.

    ECS는 기능 또는 업데이트와 관련된 보안 또는 성능 문제를 완화하는 데도 사용됩니다. ECS는 진단 데이터와 관련된 구성 변경도 지원하여 적절한 이벤트가 수집되도록 합니다.

    config.edge.skype.com URL을 제한하면 Microsoft의 오류 완화 기능에 영향을 줄 수 있으며 미리 보기 기능을 테스트하는 기능에 영향을 줄 수 있습니다.

    자세한 내용은 Office용 Essential 서비스 - Office 배포를 참조 하세요.

  • 로깅 URL 네트워크 연결을 감사합니다. AIP 감사 로그를 지원하려면 AIP가 다음 URL에 액세스할 수 있어야 합니다.

    • https://*.events.data.microsoft.com
    • https://*.aria.microsoft.com(Android 장치 데이터만)

    자세한 내용은 AIP 보고를 위한 필수 구성 요소를 참조하세요.

Azure RMS와 AD RMS의 공존

동일한 조직에서 AD RMS 및 Azure RMS를 함께 사용하여 동일한 조직의 동일한 사용자가 콘텐츠를 보호하는 것은 Azure Information Protection을 사용한 HYOK(사용자 고유의 키 보유) 보호용 AD RMS에서만 지원됩니다.

이 시나리오는 마이그레이션 중에 지원되지 않습니다. 지원되는 마이그레이션 경로는 다음과 같습니다.

Azure Information Protection을 배포한 다음 이 클라우드 서비스를 더 이상 사용하지 않기로 결정한 경우 Azure Information Protection의 서비스 해제 및 비활성화를 참조하세요.

두 서비스가 동일한 조직에서 활성화되어 있는 다른 비이민 시나리오의 경우 두 서비스 중 하나만 지정된 사용자가 콘텐츠를 보호할 수 있도록 두 서비스를 모두 구성해야 합니다. 다음과 같이 이러한 시나리오를 구성합니다.

  • AD RMS에서 Azure RMS로 마이그레이션에 대한 리디렉션 사용

  • 두 서비스가 동시에 다른 사용자에 대해 활성화되어야 하는 경우 서비스 쪽 구성을 사용하여 독점을 적용합니다. 클라우드 서비스의 Azure RMS 온보딩 컨트롤과 게시 URL의 ACL을 사용하여 AD RMS에 대한 읽기 전용 모드를 설정합니다.

서비스 태그

Azure 엔드포인트 및 NSG를 사용하는 경우 다음 서비스 태그에 대한 모든 포트에 대한 액세스를 허용해야 합니다.

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend

또한 이 경우 Azure Information Protection 서비스는 다음 IP 주소 및 포트에 따라 달라집니다.

  • 13.107.9.198
  • 13.107.6.198
  • 2620:1ec:4::198
  • 2620:1ec:a92::198
  • 13.107.6.181
  • 13.107.9.181
  • 포트 443( HTTPS 트래픽용)

이러한 특정 IP 주소 및 이 포트를 통해 아웃바운드 액세스를 허용하는 규칙을 만들어야 합니다.

Azure Rights Management 데이터 보호를 위해 지원되는 온-프레미스 서버

다음 온-프레미스 서버는 Microsoft Rights Management 커넥터를 사용하는 경우 Azure Information Protection에서 지원됩니다.

이 커넥터는 통신 인터페이스 역할을 하며, Azure Information Protection에서 Office 문서 및 전자 메일을 보호하는 데 사용되는 온-프레미스 서버와 Azure Rights Management 서비스 간에 릴레이합니다.

이 커넥터를 사용하려면 Active Directory 포리스트와 Microsoft Entra ID 간에 디렉터리 동기화를 구성해야 합니다.

지원되는 서버는 다음과 같습니다.

서버 유형 지원되는 버전
Exchange Server - Exchange Server 2019
- Exchange Server 2016
- Exchange Server 2013
Office SharePoint Server - Office SharePoint Server 2019
- Office SharePoint Server 2016
- Office SharePoint Server 2013
Windows Server를 실행하고 FCI(파일 분류 인프라)를 사용하는 파일 서버 - Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012

자세한 내용은 Microsoft Rights Management 커넥터 배포를 참조하세요.

Azure Rights Management에 지원되는 운영 체제

다음 운영 체제는 AIP에 대한 데이터 보호를 제공하는 Azure Rights Management 서비스를 지원합니다.

OS 지원되는 버전
Windows 컴퓨터 - Windows 10(x86, x64)
- Windows 11(x86, x64)
macOS macOS 10.8의 최소 버전(Mountain Lion)
Android 휴대폰 및 태블릿 Android 6.0의 최소 버전
i전화 및 iPad iOS 11.0의 최소 버전
Windows 휴대폰 및 태블릿 Windows 10 Mobile

다음 단계

모든 AIP 요구 사항을 검토하고 시스템이 규정을 준수하는지 확인한 후에는 Azure Information Protection대한 사용자 및 그룹 준비를 계속합니다.