관리자 가이드: Azure Information Protection 통합 레이블 지정 클라이언트에 대한 사용자 지정 구성

참고

이전 명칭 MIP(Microsoft Information Protection)인 Microsoft Purview Information Protection을 찾고 계신가요?

Azure Information Protection 통합 레이블 지정 클라이언트가 현재 유지 관리 모드에 있습니다. Office 365 앱 및 서비스에 기본 제공되는 레이블을 사용하는 것이 좋습니다. 자세한 정보

AIP 통합 레이블 지정 클라이언트를 관리할 때 특정 시나리오나 사용자에게 필요한 고급 구성에는 다음 정보를 사용합니다.

참고

이러한 설정을 사용하려면 레지스트리를 편집하거나 고급 설정을 지정해야 합니다. 고급 설정은 Security & Compliance Center PowerShell을 사용합니다.

PowerShell을 통해 클라이언트에 대한 고급 설정 구성

Microsoft Purview 규정 준수 포털 PowerShell을 사용하여 레이블 정책 및 레이블을 사용자 지정하기 위한 고급 설정을 구성합니다.

두 경우 모두 보안 & 준수 센터 PowerShell에 연결한 후 해시 테이블에 키/값 쌍이 있는 정책 또는 레이블의 ID(이름 또는 GUID)를 사용하여 AdvancedSettings 매개 변수를 지정합니다.

고급 설정을 제거하려면 동일한 AdvancedSettings 매개 변수 구문을 사용하며, Null 문자열 값을 지정합니다.

중요

문자열 값에 공백을 사용하지 마세요. 이러한 문자열 값의 흰색 문자열은 레이블이 적용되지 않도록 합니다.

자세한 내용은 다음을 참조하세요.

레이블 정책 고급 설정 구문

레이블 정책 고급 설정의 예제는 Office 앱에 Information Protection 표시줄을 표시하는 설정입니다.

단일 문자열 값의 경우 다음 구문을 사용합니다.

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key="value1,value2"}

동일한 키에 대한 여러 문자열 값의 경우 다음 구문을 사용합니다.

Set-LabelPolicy -Identity <PolicyName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

레이블 고급 설정 구문

레이블 고급 설정의 예제로 레이블 색상을 지정하는 설정이 있습니다.

단일 문자열 값의 경우 다음 구문을 사용합니다.

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key="value1,value2"}

동일한 키에 대한 여러 문자열 값의 경우 다음 구문을 사용합니다.

Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{Key=ConvertTo-Json("value1", "value2")}

현재 고급 설정 확인

현재 고급 설정이 적용되는지 확인하려면 다음 명령을 실행합니다.

레이블 정책 고급 설정을 확인하려면 다음 구문을 사용합니다.

Global이라는 레이블 정책의 경우:

(Get-LabelPolicy -Identity Global).settings

레이블 고급 설정을 확인하려면 다음 구문을 사용합니다.

Public이라는 레이블의 경우:

(Get-Label -Identity Public).settings

고급 설정의 설정을 위한 예제

예제 1: 단일 문자열 값에 대해 레이블 정책 고급 설정을 지정함

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

예제 2: 단일 문자열 값에 대해 레이블 고급 설정을 지정함

Set-Label -Identity Internal -AdvancedSettings @{smimesign="true"}

예제 3: 여러 문자열 값에 대해 레이블 고급 설정을 지정함

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

예제 4: Null 문자열 값을 지정하여 레이블 정책 고급 설정을 제거함

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions=""}

레이블 정책 또는 레이블 ID 지정

Microsoft Purview 규정 준수 포털 정책 이름이 하나뿐이므로 PowerShell ID 매개 변수의 레이블 정책 이름을 찾는 것은 간단합니다.

그러나 레이블의 경우 Microsoft Purview 규정 준수 포털 이름표시 이름 값을 모두 표시합니다. 경우에 따라 이러한 값은 동일하거나 다를 수도 있습니다. 레이블에 대한 고급 설정을 구성하려면 이름 값을 사용합니다.

예를 들어 다음 그림에서 레이블을 식별하려면 PowerShell 명령에서 다음 구문을 사용합니다. -Identity "All Company":

'표시 이름' 대신 '이름'을 사용하여 민감도 레이블 식별

레이블 GUID를 지정하려는 경우 이 값은 Microsoft Purview 규정 준수 포털 표시되지 않습니다. 다음과 같이 Get-Label 명령을 사용하여 이 값을 찾습니다.

Get-Label | Format-Table -Property DisplayName, Name, Guid

이름 및 표시 이름 레이블 지정에 대한 자세한 내용은 다음을 참조하세요.

  • 이름은 레이블의 원래 이름이며 모든 레이블에서 고유합니다.

    이 값은 나중에 레이블 이름을 변경하더라도 동일하게 유지됩니다. Azure Information Protection에서 마이그레이션된 민감도 레이블의 경우 Azure Portal에서 원래 레이블 ID가 표시될 수 있습니다.

  • 표시 이름은 현재 레이블에 대해 사용자에게 표시되는 이름이며 모든 레이블에서 고유할 필요는 없습니다.

    예를 들어 Confidential 레이블 아래의 하위 레이블에 대해 All Employees라는 표시 이름을 갖고, Highly Confidential 레이블 아래에 있는 하위 레이블에 대해 All Employees라는 다른 표시 이름을 가질 수 있습니다. 이러한 하위 레이블은 모두 동일한 이름을 표시하지만 동일한 레이블이 아니며 설정이 다릅니다.

우선 순위 - 충돌하는 설정을 해결하는 방법

Microsoft Purview 규정 준수 포털 사용하여 다음 레이블 정책 설정을 구성할 수 있습니다.

  • 문서 및 이메일에 기본적으로 이 레이블 적용

  • 사용자가 레이블을 제거하거나 분류 레이블을 낮추려면 근거를 제공해야 함

  • 사용자가 이메일 또는 문서에 레이블을 적용해야 함

  • 사용자에게 사용자 지정 도움말 페이지에 대한 링크 제공

사용자에 대해 둘 이상의 레이블 정책이 구성된 경우 각각 정책 설정이 서로 다를 수 있습니다. 마지막 정책 설정은 Microsoft Purview 규정 준수 포털 정책 순서에 따라 적용됩니다. 자세한 내용은 레이블 정책 우선 순위(순서 문제)을 참조하세요.

레이블 정책 고급 설정은 마지막 정책 설정을 사용하여 동일한 논리로 적용됩니다.

고급 설정 참조

다음 섹션에서는 레이블 정책 및 레이블에 사용할 수 있는 고급 설정을 설명합니다.

기능별 고급 설정 참조

다음 섹션에는 이 페이지에 설명된 고급 설정이 제품 및 기능 통합별로 나와 있습니다.

기능 고급 설정
Outlook 및 이메일 설정 - Outlook에서 레이블을 구성하여 S/MIME 보호 적용
- Outlook 팝업 메시지 사용자 지정
- Outlook에서 권장 분류 사용
- 필수 레이블 지정에서 Outlook 메시지 제외
- 첨부 파일이 있는 이메일의 경우 해당 첨부 파일의 최상위 분류와 일치하는 레이블 적용
- 이메일 받는 사람을 검색할 때 Outlook 메일 그룹 확장
- 경고, 정당화 또는 전송되는 이메일을 차단하는 팝업 메시지를 Outlook에서 구현
- S/MIME 이메일로 Outlook 성능 이슈 방지
- Outlook에 대해 다른 기본 레이블 설정
PowerPoint 설정 - 머리글/바닥글이 아닌 지정된 텍스트를 포함하는 PowerPoint에서 도형 제거 방지
- PowerPoint 사용자 지정 레이아웃 내에서 외부 콘텐츠 표시를 명시적으로 제거
- 도형 안의 텍스트로 도형을 제거하는 대신 머리글과 바닥글에서 특정 도형 이름의 모든 도형 제거
파일 탐색기 설정 - 파일 탐색기에서 사용자에게 항상 사용자 지정 권한 표시
- 파일 탐색기에서 사용자 지정 권한 끄기
- Windows 파일 탐색기에서 분류 및 보호 메뉴 옵션 숨기기
성능 향상 설정 - CPU 사용량 제한
- 스캐너에서 사용하는 스레드 수 제한
- S/MIME 이메일로 Outlook 성능 이슈 방지
다른 레이블 지정 솔루션과의 통합을 위한 설정 - Secure Islands 및 기타 레이블 지정 솔루션에서 레이블 마이그레이션
- 다른 레이블 지정 솔루션에서 머리글 및 바닥글 제거
AIP Analytics 설정 - 감사 데이터가 AIP 및 Microsoft 365 분석으로 전송되지 않도록 방지
- Azure Information Protection 분석에 일치하는 정보 유형 보내기
일반 설정 - 사용자를 위한 "이슈 보고" 추가
- 레이블이 적용될 때 사용자 지정 속성 적용
- 로컬 로깅 수준 변경
- 보호할 파일 형식 변경
- Office 파일에서 자동 레이블 지정 시간 제한 구성
- SharePoint 시간 제한 구성
- 수정된 레이블에 대한 근거 프롬프트 텍스트 사용자 지정
- Office 앱에서 Information Protection 막대 표시
- 압축된 파일에서 보호 제거 사용
- 레이블 지정 중 NTFS 소유자 유지(공개 미리 보기)
- 필수 레이블 지정을 사용하는 경우 문서에 대해 "나중에" 제거
- 파일 특성에 따라 검사 중 파일 건너뛰기 또는 무시
- 레이블의 색상 지정
- 상위 레이블의 기본 하위 레이블 지정
- <EXT>.PFILE을 P<EXT>로 변경 지원
- 연결이 끊긴 컴퓨터 지원
- 백그라운드에서 계속 실행하려면 분류 켜기
- 문서 추적 기능 끄기
- Office 앱에서 최종 사용자에 대한 취소 옵션 끄기
- 분류 세계화 기능 켜기

레이블 정책 고급 설정 참조

New-LabelPolicySet-LabelPolicy와 함께 AdvancedSettings 매개 변수를 사용하여 다음 설정을 정의합니다.

설정 시나리오 및 지침
AdditionalPPrefixExtensions 이 고급 속성을 사용하여 <EXT>.PFILE을 P<EXT>로 변경 지원
AttachmentAction 첨부 파일이 있는 이메일 메시지의 경우 해당 첨부 파일의 최상위 분류와 일치하는 레이블을 적용합니다.
AttachmentActionTip 첨부 파일이 있는 이메일 메시지의 경우 해당 첨부 파일의 최상위 분류와 일치하는 레이블을 적용합니다.
DisableMandatoryInOutlook 필수 레이블 지정에서 Outlook 메시지 제외
EnableAudit 감사 데이터가 AIP 및 Microsoft 365 분석으로 전송되지 않도록 방지
EnableContainerSupport PST, rar, 7zip 및 MSG 파일에서 보호 제거 사용
EnableCustomPermissions 파일 탐색기에서 사용자 지정 권한 끄기
EnableCustomPermissionsForCustomProtectedFiles 사용자 지정 권한으로 보호되는 파일의 경우 파일 탐색기에서 사용자에게 항상 사용자 지정 권한 표시
EnableGlobalization 분류 세계화 기능 켜기
EnableLabelByMailHeader Secure Islands 및 기타 레이블 지정 솔루션에서 레이블 마이그레이션
EnableLabelBySharePointProperties Secure Islands 및 기타 레이블 지정 솔루션에서 레이블 마이그레이션
EnableOutlookDistributionListExpansion 이메일 받는 사람을 검색할 때 Outlook 메일 그룹 확장
EnableRevokeGuiSupport Office 앱에서 최종 사용자에 대한 취소 옵션 끄기
EnableTrackAndRevoke 문서 추적 기능 끄기
HideBarByDefault Office 앱에 Information Protection 표시줄 표시
JustificationTextForUserText 수정된 레이블에 대한 근거 프롬프트 텍스트 사용자 지정
LogMatchedContent Azure Information Protection 분석에 일치하는 정보 유형 보내기
OfficeContentExtractionTimeout Office 파일에서 자동 레이블 지정 시간 제한 구성
OutlookBlockTrustedDomains Outlook에서 보내는 이메일을 경고, 양쪽 맞춤 또는 차단하는 팝업 메시지 구현
OutlookBlockUntrustedCollaborationLabel Outlook에서 보내는 이메일을 경고, 양쪽 맞춤 또는 차단하는 팝업 메시지 구현
OutlookCollaborationRule Outlook 팝업 메시지 사용자 지정
OutlookDefaultLabel Outlook에 대한 다른 기본 레이블 설정
OutlookGetEmailAddressesTimeOutMSProperty 메일 그룹의 받는 사람에 대한 차단 메시지를 구현할 때 Outlook의 메일 그룹 확장을 위한 시간 제한 수정 )
OutlookJustifyTrustedDomains Outlook에서 보내는 이메일을 경고, 양쪽 맞춤 또는 차단하는 팝업 메시지 구현
OutlookJustifyUntrustedCollaborationLabel Outlook에서 보내는 이메일을 경고, 양쪽 맞춤 또는 차단하는 팝업 메시지 구현
OutlookRecommendationEnabled Outlook에서 권장 분류 사용
OutlookOverrideUnlabeledCollaborationExtensions Outlook에서 보내는 이메일을 경고, 양쪽 맞춤 또는 차단하는 팝업 메시지 구현
OutlookSkipSmimeOnReadingPaneEnabled S/MIME 이메일로 Outlook 성능 이슈 방지
OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Outlook에서 보내는 이메일을 경고, 양쪽 맞춤 또는 차단하는 팝업 메시지 구현
OutlookWarnTrustedDomains Outlook에서 보내는 이메일을 경고, 양쪽 맞춤 또는 차단하는 팝업 메시지 구현
OutlookWarnUntrustedCollaborationLabel Outlook에서 보내는 이메일을 경고, 양쪽 맞춤 또는 차단하는 팝업 메시지 구현
PFileSupportedExtensions 보호할 파일 형식 변경
PostponeMandatoryBeforeSave 필수 레이블을 사용하는 경우 문서에 대한 “나중에” 제거
PowerPointRemoveAllShapesByShapeName 도형 안의 텍스트로 도형을 제거하는 대신 머리글과 바닥글에서 특정 도형 이름의 모든 도형 제거
PowerPointShapeNameToRemove 머리글/바닥글이 아닌 지정된 텍스트를 포함하는 PowerPoint에서 도형 제거 방지
RemoveExternalContentMarkingInApp 다른 레이블 지정 솔루션에서 헤더 및 바닥글 제거
RemoveExternalMarkingFromCustomLayouts PowerPoint 사용자 지정 레이아웃 내에서 외부 콘텐츠 표시를 명시적으로 제거
ReportAnIssueLink 사용자에 대한 “문제 보고” 추가
RunPolicyInBackground 백그라운드에서 계속해서 실행되도록 분류 켜기
ScannerMaxCPU CPU 사용량 제한
ScannerMinCPU CPU 사용량 제한
ScannerConcurrencyLevel 스캐너에서 사용하는 스레드의 수 제한
ScannerFSAttributesToSkip 파일 특성에 따라 검사 중 파일 건너뛰기 또는 무시
SharepointWebRequestTimeout SharePoint 시간 제한 구성
SharepointFileWebRequestTimeout SharePoint 시간 제한 구성
UseCopyAndPreserveNTFSOwner 레이블 지정 중 NTFS 소유자 유지

레이블 고급 설정 참조

New-LabelSet-Label과 함께 AdvancedSettings 매개 변수를 사용합니다.

설정 시나리오 및 지침
color 레이블의 색 지정
customPropertiesByLabel 레이블이 적용될 때 사용자 지정 속성 적용
DefaultSubLabelId 부모 레이블에 대한 기본 하위 레이블 지정
labelByCustomProperties Secure Islands 및 기타 레이블 지정 솔루션에서 레이블 마이그레이션
SMimeEncrypt Outlook에서 S/MIME 보호를 적용하도록 레이블 구성
SMimeSign Outlook에서 S/MIME 보호를 적용하도록 레이블 구성

Windows 파일 탐색기에서 [분류 및 보호] 메뉴 옵션 숨기기

Windows 파일 탐색기에서 분류 및 보호 메뉴 옵션을 숨기려면 다음 DWORD 값 이름(값 데이터 포함)을 만듭니다.

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable

자세한 내용은 파일 탐색기를 사용하여 파일 분류를 참조하세요.

Office 앱에 Information Protection 표시줄 표시

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

기본적으로 사용자는 민감도 단추에서 막대 표시 옵션을 선택하여 Office 앱에 Information Protection 막대를 표시해야 합니다. HideBarByDefault 키를 사용하고 값을 False로 설정하면 사용자에게 이 막대가 자동으로 표시되어 사용자가 막대나 단추를 통해 레이블을 선택할 수 있습니다.

선택한 레이블 정책에 다음 문자열을 지정합니다.

  • 키: HideBarByDefault

  • 값: False

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{HideBarByDefault="False"}

필수 레이블 지정에서 Outlook 메시지 제외

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

기본적으로 모든 문서와 이메일에 레이블이 있어야 함의 레이블 정책 설정을 사용하면 저장된 모든 문서와 보낸 이메일에 레이블이 적용됩니다. 다음 고급 설정을 구성할 때 정책 설정은 Office 문서에만 적용되며 Outlook 메시지에는 적용되지 않습니다.

선택한 레이블 정책에 다음 문자열을 지정합니다.

  • 키: DisableMandatoryInOutlook

  • 값: True

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{DisableMandatoryInOutlook="True"}

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

권장 분류에 대한 레이블을 구성하면 Word, Excel 및 PowerPoint에서 권장 레이블을 적용할지 또는 해제할지 묻는 메시지가 표시됩니다. 이 설정은 이 레이블 권장 사항을 확장하여 Outlook에도 표시합니다.

선택한 레이블 정책에 다음 문자열을 지정합니다.

  • 키: OutlookRecommendationEnabled

  • 값: True

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookRecommendationEnabled="True"}

압축된 파일에서 보호 제거 사용

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

이 설정을 구성하면 PowerShell cmdlet Set-AIPFileLabel이 사용하도록 설정되어 PST, rar 및 7zip 파일에서 보호 기능을 제거할 수 있습니다.

  • 키: EnableContainerSupport

  • 값: True

정책이 사용하도록 설정된 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableContainerSupport="True"}

Outlook에 대한 다른 기본 레이블 설정

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

이 설정을 구성하면 Outlook은 기본적으로 문서 및 이메일에 이 레이블 적용 옵션에 대한 정책 설정으로 구성된 기본 레이블을 적용하지 않습니다. 대신 Outlook에서 다른 기본 레이블을 적용할 수 있거나 레이블을 적용하지 않습니다.

선택한 레이블 정책에 다음 문자열을 지정합니다.

  • 키: OutlookDefaultLabel

  • 값: <레이블 GUID> 또는 없음

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookDefaultLabel="None"}

보호할 파일 형식 변경

이러한 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

기본적으로 Azure Information Protection 통합 레이블 지정 클라이언트는 모든 파일 형식을 보호하고, 클라이언트의 스캐너는 Office 파일 형식과 PDF 파일만 보호합니다.

다음 중 하나를 지정하여 선택한 레이블 정책에 대한 이 기본 동작을 변경할 수 있습니다.

PFileSupportedExtension

  • 키: PFileSupportedExtensions

  • 값: <문자열 값>

다음 표를 사용하여 지정할 문자열 값을 식별합니다.

문자열 값 Client 스캐너
* 기본값: 모든 파일 형식에 보호 적용 모든 파일 형식에 보호 적용
ConvertTo-Json(".jpg", ".png") Office 파일 형식 및 PDF 파일 외에도 지정된 파일 이름 확장명에 보호 적용 Office 파일 형식 및 PDF 파일 외에도 지정된 파일 이름 확장명에 보호 적용

예제 1: 스캐너가 모든 파일 형식을 보호하는 PowerShell 명령으로, 여기서 레이블 정책의 이름은 "Scanner"입니다.

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

예제 2: 스캐너가 Office 파일 및 PDF 파일 외에도 .txt 파일 및 .csv 파일을 보호하는 PowerShell 명령으로, 여기서 레이블 정책의 이름은 "Scanner"입니다.

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".txt", ".csv")}

이 설정을 사용하면 보호되는 파일 형식을 변경할 수 있지만 기본 보호 수준을 네이티브에서 제네릭으로 변경할 수는 없습니다. 예를 들어 통합 레이블 지정 클라이언트를 실행하는 사용자의 경우 모든 파일 형식 대신 Office 파일과 PDF 파일만 보호되도록 기본 설정을 변경할 수 있습니다. 그러나 이러한 파일 형식은 일반적으로 .pfile 파일 이름 확장명으로 보호되도록 변경할 수 없습니다.

AdditionalPPrefixExtensions

통합 레이블 지정 클라이언트는 고급 속성인 AdditionalPPrefixExtensions를 사용하여 <EXT>.PFILE을 P<EXT>로 변경하는 작업을 지원합니다. 이 고급 속성은 파일 탐색기, PowerShell 및 스캐너에서 지원됩니다. 모든 앱은 비슷한 동작을 수행합니다.

  • 키: AdditionalPPrefixExtensions

  • 값: <문자열 값>

다음 표를 사용하여 지정할 문자열 값을 식별합니다.

문자열 값 클라이언트 및 스캐너
* 모든 PFile 확장명이 P<EXT>가 됨
<Null 값> 기본값은 기본 보호 값처럼 동작합니다.
ConvertTo-Json(".dwg", ".zip") 이전 목록 외에도 ".dwg" 및 ".zip"은 P<EXT>가 됩니다.

이 설정을 사용하면 P<EXT> 확장명이 항상 ".txt", ".xml", ".bmp", ".jt", ".jpg", ".jpeg", ".jpe", ".jif", ".jfif", ".jfi", ".png", ".tif", ".tiff", ".gif"가 됩니다. 제외 항목 중 주목할 만한 점은 "ptxt"가 "txt.pfile"이 되지 않는다는 것입니다.

AdditionalPPrefixExtensions는 고급 속성인 PFileSupportedExtension으로 PFile 보호가 사용하도록 설정된 경우에만 작동합니다.

예제 1: 기본 동작처럼 작동하는 PowerShell 명령으로, 여기서 보호 ".dwg"는 ".dwg.pfile"이 됩니다.

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =""}

예제 2: 파일이 보호될 때 모든 PFile 확장명을 제네릭 보호(dwg.pfile)에서 네이티브 보호(.pdwg)로 변경하는 PowerShell 명령

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions ="*"}

예제 3: 이 파일을 보호하도록 이 서비스를 사용할 때 ".dwg"를 ".pdwg"로 변경하는 PowerShell 명령입니다.

Set-LabelPolicy -AdvancedSettings @{ AdditionalPPrefixExtensions =ConvertTo-Json(".dwg")}

필수 레이블을 사용하는 경우 문서에 대한 “나중에” 제거

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

모든 문서와 이메일에 레이블이 있어야 함의 레이블 정책 설정을 사용하는 경우 사용자가 Office 문서를 처음 저장할 때와 Outlook에서 이메일을 보낼 때 레이블을 선택하라는 메시지가 표시됩니다.

문서의 경우 사용자는 나중에를 선택하여 일시적으로 레이블 선택 프롬프트를 무시하고 문서로 돌아갈 수 있습니다. 그러나 레이블을 지정해야 저장된 문서를 닫을 수 있습니다.

PostponeMandatoryBeforeSave 설정을 구성하면 나중에 옵션이 제거되므로 문서를 처음 저장할 때 사용자가 레이블을 선택해야 합니다.

PostponeMandatoryBeforeSave 설정도 공유 문서가 이메일로 전송되기 전에 레이블이 지정되도록 합니다.

기본적으로 정책에서 모든 문서와 이메일에 레이블이 있어야 함을 사용하도록 설정한 경우에도 사용자는 Outlook 내에서 이메일에 첨부된 레이블 파일로만 승격됩니다.

선택한 레이블 정책에 다음 문자열을 지정합니다.

  • 키: PostponeMandatoryBeforeSave

  • 값: False

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PostponeMandatoryBeforeSave="False"}

다른 레이블 지정 솔루션에서 헤더 및 바닥글 제거

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

다른 레이블 지정 솔루션에서 분류를 제거하는 두 가지 방법이 있습니다.

설정 Description
WordShapeNameToRemove 도형 이름이 WordShapeNameToRemove 고급 속성에 정의된 이름과 일치하는 Word 문서에서 도형을 제거합니다.

자세한 내용은 WordShapeNameToRemove 고급 속성 사용을 참조하세요.
RemoveExternalContentMarkingInApp

ExternalContentMarkingToRemove
Word, Excel 및 PowerPoint 문서에서 텍스트 기반 머리글 또는 바닥글을 제거하거나 바꿀 수 있습니다.

자세한 내용은 다음을 참조하세요.
- RemoveExternalContentMarkingInApp 고급 속성 사용
- ExternalContentMarkingToRemove 구성 방법

WordShapeNameToRemove 고급 속성 사용

WordShapeNameToRemove 고급 속성은 버전 2.6.101.0 이상에서 지원됨

이 설정을 사용하면 다른 레이블 지정 솔루션에서 시각적 표시를 적용한 경우 Word 문서에서 도형 기반 레이블을 제거하거나 바꿀 수 있습니다. 예를 들어 도형에는 새 레이블 이름과 고유한 도형을 사용하기 위해 민감도 레이블로 마이그레이션한 이전 레이블의 이름이 포함되어 있습니다.

이 고급 속성을 사용하려면 Word 문서에서 도형 이름을 찾은 후 도형의 WordShapeNameToRemove 고급 속성 목록에서 정의해야 합니다. 이 서비스는 이 고급 속성의 도형 목록에 정의된 이름으로 시작하는 도형을 Word에서 제거합니다.

제거할 모든 도형의 이름을 정의하여 무시할 텍스트가 포함된 도형을 제거하지 않아야 하며, 리소스 사용량이 많은 프로세스인 모든 도형의 텍스트를 확인하지 마세요.

참고

Microsoft Word에서는 도형 이름이나 해당 텍스트를 정의하여 도형을 제거할 수 있지만 둘 다 제거할 수는 없습니다. WordShapeNameToRemove 속성이 정의되면 ExternalContentMarkingToRemove 값으로 정의된 구성이 무시됩니다.

사용 중인 도형의 이름을 찾고 제외하려면 다음을 수행합니다.

  1. Word에서 선택 창: 탭 >편집 그룹 >선택 옵션 >선택 창을 표시합니다.

  2. 제거하도록 표시할 페이지에서 도형을 선택합니다. 표시한 도형의 이름이 이제 선택 창에 강조 표시됩니다.

도형 이름을 사용하여 WordShapeNameToRemove 키의 문자열 값을 지정합니다.

예제: 도형 이름이 dc입니다. 이 이름을 가진 도형을 제거하려면 dc 값을 지정합니다.

  • 키: WordShapeNameToRemove

  • 값: <Word 도형 이름>

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{WordShapeNameToRemove="dc"}

제거할 Word 도형이 두 개 이상 있는 경우 제거할 도형이 있는 만큼 값을 지정합니다.

RemoveExternalContentMarkingInApp 고급 속성 사용

이 설정을 사용하면 다른 레이블 지정 솔루션에서 시각적 표시를 적용한 경우 문서에서 텍스트 기반 머리글 또는 바닥글을 제거하거나 바꿀 수 있습니다. 예를 들어 이전 바닥글에는 새 레이블 이름과 고유한 바닥글을 사용하기 위해 민감도 레이블로 마이그레이션한 이전 레이블의 이름이 포함되어 있습니다.

통합 레이블 지정 클라이언트가 정책에서 이 구성을 가져오면 Office 앱에서 문서를 열고 민감도 레이블이 문서에 적용될 때 이전 머리글과 바닥글이 제거되거나 바뀝니다.

이 구성은 Outlook에 지원되지 않습니다. Word, Excel 및 PowerPoint에서 사용하는 경우 이러한 앱의 성능에 부정적인 영향을 줄 수 있습니다. 구성을 통해 애플리케이션별로 설정을 정의할 수 있습니다. 예를 들어, Word 문서의 헤더 및 바닥글에 있는 텍스트를 검색하지만 Excel 스프레드시트 또는 PowerPoint 프레젠테이션은 검색하지 않습니다.

패턴 일치는 사용자의 성능에 영향을 미치므로 Office 애플리케이션 유형(Word, EXcel, PowerPoint)을 검색해야 하는 항목으로 제한하는 것이 좋습니다. 선택한 레이블 정책에 다음 문자열을 지정합니다.

  • 키: RemoveExternalContentMarkingInApp

  • 값: <Office 애플리케이션 형식 WXP>

예제:

  • Word 문서만을 검색하려면 W를 지정합니다.

  • Word 문서 및 PowerPoint 프레젠테이션을 검색하려면 WP를 지정합니다.

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInApp="WX"}

그런 다음, 하나 이상의 고급 클라이언트 설정인 ExternalContentMarkingToRemove이 헤더 또는 바닥글의 내용 및 제거하거나 대체하는 방법을 지정해야 합니다.

ExternalContentMarkingToRemove를 구성하는 방법

ExternalContentMarkingToRemove 키에 대한 문자열 값을 지정할 때 정규 식을 사용하는 세 가지 옵션이 있습니다. 이러한 각 시나리오에 대해 다음 표의 예제 값 열에 표시된 구문을 사용합니다.

옵션 예제 설명 예제 값
머리글 또는 바닥글의 모든 항목을 제거하는 부분 일치 머리글 또는 바닥글에는 TEXT TO REMOVE 문자열이 포함되어 있으며 이러한 머리글 또는 바닥글을 완전히 제거할 수 있습니다. *TEXT*
머리글이나 바닥글에서 특정 단어만 제거하는 완전 일치 머리글 또는 바닥글에 TEXT TO REMOVE 문자열이 포함되어 있으며 TEXT라는 단어만 제거하고 머리글 또는 바닥글 문자열을 TO REMOVE로 남겨둘 수 있습니다. TEXT
머리글 또는 바닥글의 모든 항목을 제거하는 완전 일치 머리글 또는 바닥글에 TEXT TO REMOVE 문자열이 있습니다. 이 문자열이 정확하게 포함된 헤더 또는 바닥글을 제거하려고 합니다. ^TEXT TO REMOVE$

지정한 문자열에 대한 패턴 일치는 대/소문자를 구분합니다. 최대 문자열 길이는 255자이며 공백을 포함할 수 없습니다.

일부 문서에 보이지 않는 문자 또는 다른 종류의 공백이나 탭이 포함될 수 있으므로 구 또는 문장에 지정한 문자열은 검색되지 않을 수 있습니다. 가능하면 값에 대해 구별되는 단일 단어를 지정하고 프로덕션에 배포하기 전에 결과를 테스트해야 합니다.

동일한 레이블 정책에 다음 문자열을 지정합니다.

  • 키: ExternalContentMarkingToRemove

  • 값: <일치하는 문자열, 정규식으로 정의됨>

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove="*TEXT*"}

자세한 내용은 다음을 참조하세요.

여러 줄 헤더 또는 바닥글

헤더 또는 바닥글 텍스트가 단일 줄보다 크면 각 줄에 대한 키와 값을 만듭니다. 예를 들어 다음과 같이 두 줄로 된 바닥글이 있는 경우:

해당 파일이 기밀로 분류됨
수동으로 레이블이 적용됨

이 여러 줄 바닥글을 제거하려면 동일한 레이블 정책에 대해 다음 두 항목을 만듭니다.

  • 키: ExternalContentMarkingToRemove
  • 키 값 1: *Confidential*
  • 키 값 2: *레이블이 적용됨*

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ExternalContentMarkingToRemove=ConvertTo-Json("Confidential","Label applied")}

PowerPoint에 대한 최적화

PowerPoint의 머리글 및 바닥글은 도형으로 구현됩니다. msoTextBox, msoTextEffect, msoPlaceholdermsoAutoShape 도형 유형의 경우 다음 고급 설정은 최적화를 추가로 제공합니다.

또한 PowerPointRemoveAllShapesByShapeName은 도형 이름에 따라 도형 유형을 제거할 수 있습니다.

자세한 내용은 머리글 또는 바닥글로 사용 중인 도형의 이름 찾기를 참조하세요.

머리글/바닥글이 아닌 지정된 텍스트를 포함하는 PowerPoint에서 도형 제거 방지

지정한 텍스트가 포함되어 있지만 머리글이나 바닥글이 아닌 도형이 제거되는 것을 방지하려면 PowerPointShapeNameToRemove라는 추가 고급 클라이언트 설정을 사용합니다.

리소스를 많이 사용하는 프로세스인 모든 도형에 있는 텍스트를 확인하지 않으려면 이 설정을 사용하는 것이 좋습니다.

예를 들어 다음과 같습니다.

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}
외부 표시 제거를 사용자 지정 레이아웃으로 확장

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

기본적으로 외부 콘텐츠 표시를 제거하는 데 사용되는 논리는 PowerPoint에서 구성된 사용자 지정 레이아웃을 무시합니다. 이 논리를 사용자 지정 레이아웃으로 확장하려면 RemoveExternalMarkingFromCustomLayouts 고급 속성을 True로 설정합니다.

  • 키: RemoveExternalMarkingFromCustomLayouts

  • 값: True

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}
특정 도형 이름의 모든 도형 제거

PowerPoint 사용자 지정 레이아웃을 사용 중이며 머리글과 바닥글에서 특정 도형 이름의 모든 도형을 제거하려면 제거할 도형의 이름과 함께 PowerPointRemoveAllShapesByShapeName 고급 설정을 사용합니다.

PowerPointRemoveAllShapesByShapeName 설정을 사용하면 도형 내부의 텍스트가 무시되고, 도형 이름을 대신 사용하여 제거할 도형을 식별합니다.

예를 들면 다음과 같습니다.

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointRemoveAllShapesByShapeName="Arrow: Right"}

자세한 내용은 다음을 참조하세요.

  1. PowerPoint에서 선택 창: 양식 탭 >정렬 그룹 >선택 창을 표시합니다.

  2. 헤더 또는 바닥글을 포함하는 슬라이드에서 도형을 선택합니다. 이제 선택 영역 창에서 선택한 도형 이름을 강조 표시합니다.

도형 이름을 사용하여 PowerPointShapeNameToRemove 키에 대한 문자열 값을 지정합니다.

예제: 도형 이름이 fc입니다. 이 이름을 가진 도형을 제거하려면 fc 값을 지정합니다.

  • 키: PowerPointShapeNameToRemove

  • 값: <PowerPoint 도형 이름>

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{PowerPointShapeNameToRemove="fc"}

제거할 PowerPoint 도형이 두 개 이상 있는 경우 제거할 도형이 있는 만큼 값을 지정합니다.

기본적으로 헤더 및 바닥글에 대한 마스터 슬라이드만을 확인합니다. 리소스를 훨씬 더 많이 사용하는 모든 슬라이드로 이 검색을 확장하려면 RemoveExternalContentMarkingInAllSlides라는 추가 고급 클라이언트 설정을 사용합니다.

  • 키: RemoveExternalContentMarkingInAllSlides

  • 값: True

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalContentMarkingInAllSlides="True"}
PowerPoint의 사용자 지정 레이아웃에서 외부 콘텐츠 표시 제거

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

기본적으로 외부 콘텐츠 표시를 제거하는 데 사용되는 논리는 PowerPoint에서 구성된 사용자 지정 레이아웃을 무시합니다. 이 논리를 사용자 지정 레이아웃으로 확장하려면 RemoveExternalMarkingFromCustomLayouts 고급 속성을 True로 설정합니다.

  • 키: RemoveExternalMarkingFromCustomLayouts

  • 값: True

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{RemoveExternalMarkingFromCustomLayouts="True"}

파일 탐색기에서 사용자 지정 권한 끄기

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

기본적으로 사용자는 파일 탐색기에서 마우스 오른쪽 단추를 클릭하고 분류 및 보호를 선택하면 자용자 지정 권한으로 보호라는 옵션이 표시됩니다. 이 옵션을 사용하면 레이블 구성에 포함했을 수 있는 보호 설정을 무시할 수 있는 자체 보호 설정을 지정할 수 있습니다. 또한 보호를 제거하는 옵션도 확인할 수 있습니다. 이 설정을 구성하면 사용자에게 이러한 옵션이 표시되지 않습니다.

이 고급 설정을 구성하려면 선택한 레이블 정책에 대해 다음 문자열을 입력합니다.

  • 키: EnableCustomPermissions

  • 값: False

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissions="False"}

사용자 지정 권한으로 보호되는 파일의 경우 파일 탐색기에서 사용자에게 항상 사용자 지정 권한 표시

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

파일 탐색기에서 사용자 지정 권한 끄기에 대한 고급 클라이언트 설정을 구성하면 기본적으로 사용자는 보호되는 문서에 이미 설정된 사용자 지정 권한을 보거나 변경할 수 없습니다.

그러나 지정할 수 있는 또 다른 고급 클라이언트 설정이 있습니다. 이 시나리오에서 사용자는 파일 탐색기를 사용하고 파일을 마우스 오른쪽 단추로 클릭할 때 보호되는 문서에 대한 사용자 지정 권한을 보고 변경할 수 있습니다.

이 고급 설정을 구성하려면 선택한 레이블 정책에 대해 다음 문자열을 입력합니다.

  • 키: EnableCustomPermissionsForCustomProtectedFiles

  • 값: True

PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableCustomPermissionsForCustomProtectedFiles="True"}

첨부 파일이 있는 메일 메시지의 경우 해당 첨부 파일의 최상위 분류와 일치하는 레이블 적용

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

이 설정은 사용자가 레이블이 지정된 문서를 이메일에 첨부하고 이메일 메시지 자체에 레이블을 지정하지 않을 때 사용합니다. 이 시나리오에서는 첨부 파일에 적용된 분류 레이블을 기반으로 레이블이 자동으로 선택됩니다. 최상위 분류 레이블이 선택됩니다.

첨부 파일은 실제 파일이어야 하며 파일에 대한 링크일 수 없습니다(예: Microsoft SharePoint 또는 OneDrive의 파일에 대한 링크).

선택한 레이블을 전자 메일 메시지에 적용하라는 메시지가 표시되도록 이 설정을 권장으로 구성할 수 있습니다. 그런 다음 사용자는 레이블을 적용하지 않고 권장 사항을 수락하거나 해제할 수 있습니다. 또는 선택한 레이블이 자동으로 적용되는 자동으로 이 설정을 구성할 수 있지만 사용자는 전자 메일을 보내기 전에 레이블을 제거하거나 다른 레이블을 선택할 수 있습니다. 두 시나리오 모두 사용자 지정된 메시지를 지원합니다.

참고

사용자 정의 권한 설정으로 보호를 위해 최상위 분류 레이블이 있는 첨부 파일이 구성된 경우:

  • 레이블의 사용자 정의 권한에 Outlook(전달 금지)이 포함된 경우 해당 레이블이 선택되고 전달 금지 보호가 이메일에 적용됩니다.
  • 레이블의 사용자 정의 권한이 Word, Excel, PowerPoint 및 파일 탐색기에만 있는 경우 해당 레이블은 이메일 메시지에 적용되지 않으며 보호도 적용되지 않습니다.

이 고급 설정을 구성하려면 선택한 레이블 정책에 대해 다음 문자열을 입력합니다.

  • 키 1: AttachmentAction

  • 키 값 1: 권장 또는 자동

  • 키 2(선택 사항): AttachmentActionTip

  • 키 값 2: "<사용자 지정된 도구 설명>"

선택적 사용자 지정 도구 설명은 단일 언어만 지원합니다. 이 설정을 지정하지 않으면 사용자에게 다음 메시지가 표시됩니다.

  • 권장 메시지: 이 전자 메일<에 레이블 이름을> 지정하는 것이 좋습니다.
  • 자동 메시지: 이 전자 메일은 레이블 이름으로> 자동으로 레이블이 <지정되었습니다.

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{AttachmentAction="Automatic"}

사용자에 대한 “문제 보고” 추가

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

다음 고급 클라이언트 설정을 지정하는 경우 도움말 및 피드백 클라이언트 대화 상자에서 선택할 수 있는 문제 보고 옵션이 사용자에게 표시됩니다. 링크에 대한 HTTP 문자열을 지정합니다. 예를 들어 사용자가 문제를 보고하는 사용자 지정된 웹 페이지 또는 지원 센터로 이동하는 메일 주소입니다.

이 고급 설정을 구성하려면 선택한 레이블 정책에 대해 다음 문자열을 입력합니다.

  • 키: ReportAnIssueLink

  • 값: <HTTP 문자열>

웹 사이트에 대한 예제 값: https://support.contoso.com

이메일 주소에 대한 예제 값: mailto:helpdesk@contoso.com

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{ReportAnIssueLink="mailto:helpdesk@contoso.com"}

Outlook에서 보내는 이메일을 경고, 양쪽 맞춤 또는 차단하는 팝업 메시지 구현

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

다음과 같은 고급 클라이언트 설정을 만들고 구성할 때 사용자는 이메일을 보내기 전에 경고를 하거나, 이메일을 보내는 이유에 대한 근거를 제공하도록 요청하거나, 다음 시나리오 중 하나에 대한 이메일을 보내는 것을 방지하는 Outlook에서 팝업 메시지를 볼 수 있습니다.

  • 이메일에 대한 해당 이메일 또는 첨부 파일에는 특정 레이블이 있음:

    • 첨부 파일은 모든 파일 형식이 될 수 있습니다.
  • 이메일에 대한 해당 이메일 또는 첨부 파일에는 레이블이 없음:

    • 첨부 파일은 Office 문서 또는 PDF 문서일 수 있습니다.

이러한 조건이 충족되면 다음 작업 중 하나가 포함된 팝업 메시지가 표시됩니다.

형식 Description
경고 사용자 확인 및 전송 또는 취소할 수 있습니다.
정당화 사용자에게 근거를 묻는 메시지(미리 정의된 옵션 또는 자유 형식)가 표시되면 사용자는 이메일을 보내거나 취소할 수 있습니다.
근거 텍스트는 이메일 x-머리글에 기록되어 DLP(데이터 손실 방지) 서비스와 같은 다른 시스템에서 읽을 수 있습니다.
차단 사용자는 조건이 지속되는 동안 이메일을 보낼 수 없습니다.
메시지에는 사용자가 문제를 해결할 수 있도록 이메일을 차단하는 이유가 포함되어 있습니다.
예를 들어, 특정 수신자를 제거하거나 이메일에 레이블을 지정합니다.

특정 레이블에 대한 팝업 메시지의 경우 도메인 이름으로 받는 사람에 대한 예외를 구성할 수 있습니다.

이러한 설정을 구성하는 방법에 대한 연습 예제는 AIP UL 클라이언트에 대한 Outlook 팝업 메시지 사용자 지정 기술 커뮤니티 블로그를 참조하세요.

문서가 Outlook 외부에서 공유된 경우에도 팝업이 표시되도록 하려면(파일 > 공유 > 복사본 첨부)PostponeMandatoryBeforeSave 고급 설정도 구성합니다.

자세한 내용은 다음을 참조하세요.

특정 레이블에 대한 경고, 정당화 또는 팝업 메시지 차단 구현

선택한 정책에 대해 다음 키를 사용하여 다음 고급 설정 중 하나 이상을 만듭니다. 값에 대해 각각 쉼표로 구분된 GUID로 하나 이상의 레이블을 지정합니다.

쉼표로 구분된 문자열로 된 여러 레이블 GUID의 값 예제:

dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
메시지 유형 키/값
경고 키: OutlookWarnUntrustedCollaborationLabel

값: <레이블 GUID, 쉼표로 구분됨>
정당화 키: OutlookJustifyUntrustedCollaborationLabel

값: <레이블 GUID, 쉼표로 구분됨>
차단 키: OutlookBlockUntrustedCollaborationLabel

값: <레이블 GUID, 쉼표로 구분됨>

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookWarnUntrustedCollaborationLabel="8faca7b8-8d20-48a3-8ea2-0f96310a848e,b6d21387-5d34-4dc8-90ae-049453cec5cf,bb48a6cb-44a8-49c3-9102-2d2b017dcead,74591a94-1e0e-4b5d-b947-62b70fc0f53a,6c375a97-2b9b-4ccd-9c5b-e24e4fd67f73"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyUntrustedCollaborationLabel="dc284177-b2ac-4c96-8d78-e3e1e960318f,d8bb73c3-399d-41c2-a08a-6f0642766e31,750e87d4-0e91-4367-be44-c9c24c9103b4,32133e19-ccbd-4ff1-9254-3a6464bf89fd,74348570-5f32-4df9-8a6b-e6259b74085b,3e8d34df-e004-45b5-ae3d-efdc4731df24"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockUntrustedCollaborationLabel="0eb351a6-0c2d-4c1d-a5f6-caa80c9bdeec,40e82af6-5dad-45ea-9c6a-6fe6d4f1626b"}

추가 사용자 지정을 위해 특정 레이블에 대해 구성된 팝업 메시지의 도메인 이름을 제외할 수도 있습니다.

참고

이 섹션의 고급 설정(OutlookWarnUntrustedCollaborationLabel, OutlookJustifyUntrustedCollaborationLabel, OutlookBlockUntrustedCollaborationLabel)은 특정 레이블을 사용할 때를 위한 것입니다.

레이블이 지정되지 않은 콘텐츠에 대한 기본 팝업 메시지를 구현하려면 OutlookUnlabeledCollaborationAction 고급 설정을 사용합니다. 레이블이 지정되지 않은 콘텐츠에 대한 팝업 메시지를 사용자 지정하려면 .json 파일을 사용하여 고급 설정을 정의합니다.

자세한 내용은 Outlook 팝업 메시지 사용자 지정을 참조하세요.

Outlook 메일 그룹 내에 있는 받는 사람도 필요에 따라 블록 메시지가 표시되도록 하려면 EnableOutlookDistributionListExpansion 고급 설정을 추가해야 합니다.

특정 레이블에 대해 구성된 팝업 메시지의 도메인 이름 제외

이러한 팝업 메시지로 지정한 레이블의 경우 특정 도메인 이름을 제외하면 해당 도메인 이름이 이메일 주소에 포함된 받은 사람에게 메시지가 표시되지 않습니다. 이 경우 이메일은 중단 없이 전송됩니다. 여러 도메인을 지정하려면 쉼표로 구분된 단일 문자열로 추가합니다.

일반적인 구성은 조직의 외부 또는 조직의 권한이 부여된 파트너가 아닌 수신자에 대해서만 팝업 메시지를 표시하는 것입니다. 이 경우 조직 및 파트너가 사용하는 모든 이메일 도메인을 지정합니다.

동일한 레이블 정책에 대해 다음 고급 클라이언트 설정을 만들고 값에 대해 각각 쉼표로 구분된 하나 이상의 도메인을 지정합니다.

쉼표로 구분된 문자열로, 여러 도메인의 예제 값: contoso.com,fabrikam.com,litware.com

메시지 유형 키/값
경고 키: OutlookWarnTrustedDomains

값: <도메인 이름, 쉼표로 구분됨>
정당화 키: OutlookJustifyTrustedDomains

값: <도메인 이름, 쉼표로 구분됨>
차단 키: OutlookBlockTrustedDomains

값: <도메인 이름, 쉼표로 구분됨>

예를 들어 Confidential \ All Employees 레이블에 대한 OutlookBlockUntrustedCollaborationLabel 고급 클라이언트 설정을 지정했습니다.

이제 contoso.com을 사용하여 OutlookBlockTrustedDomains의 추가 고급 클라이언트 설정을 지정합니다. 따라서 Confidential \ All Employees 레이블이 지정된 경우 사용자가 이메일을 john@sales.contoso.com으로 전송할 수 있지만, 동일한 레이블이 있는 이메일을 Gmail 계정으로 전송하는 것은 차단됩니다.

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookBlockTrustedDomains="contoso.com"}

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookJustifyTrustedDomains="contoso.com,fabrikam.com,litware.com"}

참고

Outlook 메일 그룹 내에 있는 받는 사람도 필요에 따라 블록 메시지가 표시되도록 하려면 EnableOutlookDistributionListExpansion 고급 설정을 추가해야 합니다.

레이블이 없는 이메일 또는 첨부 파일에 대한 경고, 정당화 또는 팝업 메시지 차단 구현

동일한 레이블 정책에 대해 다음 값 중 하나를 사용하여 다음 고급 클라이언트 설정을 만듭니다.

메시지 유형 키/값
경고 키: OutlookUnlabeledCollaborationAction

값: 경고
정당화 키: OutlookUnlabeledCollaborationAction

값: 정당화
차단 키: OutlookUnlabeledCollaborationAction

값: 차단
이 메시지 끄기 키: OutlookUnlabeledCollaborationAction

값: 끄기

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationAction="Warn"}

추가 사용자 지정은 다음을 참조하세요.

레이블이 없는 이메일 첨부 파일에 대한 경고, 정당화 또는 팝업 메시지 차단을 위한 특정 파일 이름 확장명 정의

기본적으로 경고, 정당화 또는 팝업 메시지 차단은 모든 Office 문서 및 PDF 문서에 적용됩니다. 추가 고급 설정 및 쉼표로 구분된 파일 이름 확장명 목록을 사용하여 경고, 정당화 또는 차단 메시지를 표시할 파일 이름 확장명을 지정하여 이 목록을 구체화할 수 있습니다.

쉼표로 구분된 문자열로 정의할 여러 파일 이름 확장명의 값 예제: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM

이 예제에서 레이블이 지정되지 않은 PDF 문서는 팝업 메시지를 경고, 정당화 또는 차단하지 않습니다.

동일한 레이블 정책에 다음 문자열을 입력합니다.

  • 키: OutlookOverrideUnlabeledCollaborationExtensions

  • 값: <메시지를 표시하는 파일 이름 확장명, 쉼표로 구분됨>

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookOverrideUnlabeledCollaborationExtensions=".PPTX,.PPTM,.PPT,.PPTX,.PPTM"}

첨부 파일 없이 이메일 메시지에 대해 다른 작업을 지정

기본적으로 OutlookUnlabeledCollaborationAction에서 경고, 정당화 또는 팝업 메시지 차단을 지정하는 값은 레이블이 없는 이메일 또는 첨부 파일에 적용됩니다.

첨부 파일이 없는 이메일 메시지에 대해 다른 고급 설정을 지정하여 이 구성을 구체화할 수 있습니다.

다음 값 중 하나를 사용하여 다음과 같은 고급 클라이언트 설정을 만듭니다.

메시지 유형 키/값
경고 키: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

값: 경고
정당화 키: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

값: 정당화
차단 키: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

값: 차단
이 메시지 끄기 키: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

값: 끄기

이 클라이언트 설정을 지정하지 않은 경우, OutlookUnlabeledCollaborationAction에 대해 지정한 값은 첨부 파일이 없고 레이블이 지정되지 않은 이메일 메시지와 첨부 파일이 있고 레이블이 지정되지 않은 이 메일 메시지에 사용됩니다.

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior="Warn"}

이메일 받는 사람을 검색할 때 Outlook 메일 그룹 확장

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

다른 고급 설정에서 Outlook 메일 그룹의 받은 사람까지 지원을 확장하려면 EnableOutlookDistributionListExpansion 고급 설정을 True로 설정합니다.

  • 키: EnableOutlookDistributionListExpansion
  • 값: true

예를 들어 OutlookBlockTrustedDomains, OutlookBlockUntrustedCollaborationLabel 고급 설정을 구성한 후 EnableOutlookDistributionListExpansion 설정도 구성한 경우 Outlook은 필요에 따라 차단 메시지가 표시되도록 메일 그룹을 확장할 수 있습니다.

메일 그룹을 확장하기 위한 기본 시간 제한은 2000밀리초입니다.

이 시간 제한을 수정하려면 선택한 정책에 대해 다음과 같은 고급 설정을 만듭니다.

  • 키: OutlookGetEmailAddressesTimeOutMSProperty
  • 값: 정수, 밀리초 단위

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{
  EnableOutlookDistributionListExpansion="true"
  OutlookGetEmailAddressesTimeOutMSProperty="3000"
}

감사 데이터가 AIP 및 Microsoft 365 분석으로 전송되지 않도록 방지

기본적으로 Azure Information Protection 통합 레이블 지정 클라이언트는 중앙 보고를 지원하고 감사 데이터를 다음으로 보냅니다.

감사 데이터가 전송되지 않도록 이 동작을 변경하려면 다음을 수행합니다.

  1. 보안 & 규정 준수 센터 PowerShell을 사용하여 다음 정책 고급 설정을 추가합니다.

    • 키: EnableAudit

    • 값: False

    예를 들어 레이블 정책의 이름이 "Global"인 경우:

    Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableAudit="False"}
    

    참고

    기본적으로 이 고급 설정은 정책에 없으며 감사 로그가 전송됩니다.

  2. 모든 Azure Information Protection 클라이언트 컴퓨터에서 %localappdata%\Microsoft\MSIP\mip 폴더를 삭제합니다.

클라이언트가 감사 로그 데이터를 다시 보낼 수 있도록 하려면 고급 설정 값을 True로 변경합니다. 클라이언트 컴퓨터에서 %localappdata%\Microsoft\MSIP\mip 폴더를 수동으로 다시 만들 필요가 없습니다.

Azure Information Protection 분석에 일치하는 정보 유형 보내기

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

기본적으로 통합 레이블 지정 클라이언트는 중요한 정보 유형과 일치하는 콘텐츠를 Azure Information Protection 분석으로 보내지 않습니다. 보낼 수 있는 이 추가 정보에 대한 자세한 내용은 중앙 보고 문서에서 심층 분석을 위한 콘텐츠 일치 섹션을 참조하세요.

중요한 정보 유형을 보낼 때 일치하는 콘텐츠를 보내려면 레이블 정책에서 다음과 같은 고급 클라이언트 설정을 만듭니다.

  • 키: LogMatchedContent

  • 값: True

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{LogMatchedContent="True"}

CPU 사용량 제한

스캐너 버전 2.7.x.x부터는 다음 ScannerMaxCPUScannerMinCPU 고급 설정을 사용하여 CPU 사용량을 제한하는 것이 좋습니다.

중요

다음 스레드 제한 정책을 사용 중인 경우 ScannerMaxCPUScannerMinCPU 고급 설정이 무시됩니다. ScannerMaxCPUScannerMinCPU 고급 설정을 사용하여 CPU 사용량을 제한하려면 스레드 수를 제한하는 정책 사용을 취소합니다.

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

스캐너 컴퓨터에서 CPU 사용량을 제한하려면 다음의 두 가지 고급 설정을 만들어 관리할 수 있습니다.

  • ScannerMaxCPU:

    기본적으로 100으로 설정됩니다. 즉, 최대 CPU 사용량 제한은 없습니다. 이 경우 스캐너 프로세스는 사용 가능한 모든 CPU 시간을 사용하여 검사 속도를 최대화합니다.

    ScannerMaxCPU를 100 미만으로 설정하면 스캐너는 지난 30분 동안의 CPU 사용량을 모니터링합니다. 평균 CPU가 설정한 제한을 초과하면 새 파일에 할당된 스레드 수를 줄이기 시작합니다.

    CPU 사용량이 ScannerMaxCPU에 설정된 제한보다 높으면 스레드 수에 대한 제한이 지속됩니다.

  • ScannerMinCPU:

    ScannerMaxCPU가 100과 같지 않고 ScannerMaxCPU 값보다 높은 숫자로 설정할 수 없는 경우에만 선택됩니다. ScannerMinCPUScannerMaxCPU 값보다 15포인트 이상 낮게 설정하는 것이 좋습니다.

    기본적으로 50으로 설정됩니다. 즉, 지난 30분 동안의 CPU 사용량이 이 값보다 낮을 경우, CPU 사용량이 설정한 ScannerMaxCPU-15에 도달할 때까지 스캐너가 새 스레드를 추가하여 동시에 추가 파일을 검사합니다.

스캐너에서 사용하는 스레드의 수 제한

중요

다음 스레드 제한 정책을 사용 중인 경우 ScannerMaxCPUScannerMinCPU 고급 설정이 무시됩니다. ScannerMaxCPUScannerMinCPU 고급 설정을 사용하여 CPU 사용량을 제한하려면 스레드 수를 제한하는 정책 사용을 취소합니다.

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

스캐너는 기본적으로 스캐너 서비스를 실행하는 컴퓨터의 사용 가능한 모든 프로세서 리소스를 사용합니다. 이 서비스가 검사되는 동안 CPU 사용량을 제한해야 하는 경우 레이블 정책에서 다음과 같은 고급 설정을 만듭니다.

스캐너가 병렬로 실행할 수 있는 동시 실행 스레드의 수를 값으로 지정합니다. 스캐너는 검사하는 각 파일별로 별도의 스레드를 사용하므로, 이 제한 구성은 병렬로 검사할 수 있는 파일의 수도 정의합니다.

테스트를 위해 처음으로 값을 구성할 때는 값을 코어당 2개로 지정한 다음 결과를 모니터링하는 것이 좋습니다. 예를 들어, 코어가 4개인 컴퓨터에서 스캐너를 실행하는 경우, 값을 8로 설정한 다음 필요한 경우 스캐너 컴퓨터와 검사율에 필요한 결과 성능에 따라 값을 늘리거나 줄입니다.

  • 키: ScannerConcurrencyLevel

  • 값: <동시 스레드 수>

레이블 정책 이름이 "Scanner"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{ScannerConcurrencyLevel="8"}

Secure Islands 및 기타 레이블 지정 솔루션에서 레이블 마이그레이션

이 구성은 Security & Compliance Center PowerShell을 사용하여 구성해야 하는 레이블 고급 설정을 사용합니다.

이 구성은 파일 이름 확장명이 .ppdf인 보호된 PDF 파일과 호환되지 않습니다. 이러한 파일은 파일 탐색기 또는 PowerShell을 사용하여 클라이언트에서 열 수 없습니다.

Secure Islands에서 레이블이 지정된 Office 문서의 경우 정의하는 매핑을 사용하여 민감도 레이블로 이러한 문서의 레이블을 다시 지정할 수 있습니다. 또한 다른 솔루션의 레이블이 Office 문서에 있는 경우 이 방법으로 해당 레이블을 재사용할 수도 있습니다.

이 구성 옵션의 결과로 Azure Information Protection 통합 레이블 지정 클라이언트는 다음과 같이 새 민감도 레이블을 적용합니다.

  • Office 문서: 데스크톱 앱에서 문서를 열면 새 민감도 레이블이 설정된 대로 표시되며 문서 저장 시 적용됩니다.

  • PowerShell: Set-AIPFileLabelSet-AIPFileClassificiation이 새 민감도 레이블을 적용할 수 있습니다.

  • 파일 탐색기: Azure Information Protection 대화 상자에서 새 민감도 레이블이 표시되며, 설정되지는 않습니다.

이 구성을 사용하려면 이전 레이블에 매핑하려는 각 민감도 레이블에 대해 labelByCustomProperties라는 고급 설정을 지정해야 합니다. 그런 다음 각 항목의 값을 다음 구문을 사용하여 설정합니다.

[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]

원하는 마이그레이션 규칙 이름을 지정합니다. 이전 레이블 지정 솔루션에서 하나 이상의 레이블을 민감도 레이블에 매핑 하는 방법을 파악할 수 있는 설명이 포함된 이름을 사용합니다.

이 설정으로 인해 원래 레이블을 적용할 수 있는 문서 또는 문서의 시각적 표시에서 원래 레이블을 제거하지 않습니다. 기존 머리글과 바닥글을 제거하려면 다른 레이블 지정 솔루션에서 머리글 및 바닥글 제거를 참조하세요.

예제:

추가 사용자 지정은 다음을 참조하세요.

참고

회사 합병 후와 같이 레이블에서 테넌트 간에 마이그레이션하는 경우 자세한 내용은 합병 및 분할에 대한 블로그 게시물을 참조하는 것이 좋습니다.

예 1: 동일한 레이블 이름의 일대일 매핑

요구 사항: Secure Islands 레이블이 "Confidential"인 문서는 Azure Information Protection에서 "Confidential"로 레이블을 다시 지정해야 합니다.

이 예제에서:

  • Secure Islands 레이블은 Confidential이라는 이름이 지정되고, Classification이라는 사용자 지정 속성에 저장됩니다.

고급 설정:

  • 키: labelByCustomProperties

  • 값: Secure Islands 레이블은 Confidential,Classification,Confidential

레이블 이름이 "Confidential"인 PowerShell 명령 예제:

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Confidential,Classification,Confidential"}

예 2: 다른 레이블 이름의 일대일 매핑

요구 사항: Secure Islands에서 "Sensitive" 레이블이 지정된 문서는 Azure Information Protection에서 "Highly Confidential"로 레이블을 다시 지정해야 합니다.

이 예제에서:

  • Secure Islands 레이블은 Sensitive라는 이름이 지정되고, Classification이라는 사용자 지정 속성에 저장됩니다.

고급 설정:

  • 키: labelByCustomProperties

  • 값: Secure Islands 레이블이 Sensitive,Classification,Sensitive

레이블 정책 이름이 "Highly Confidential"인 PowerShell 명령 예제:

Set-Label -Identity "Highly Confidential" -AdvancedSettings @{labelByCustomProperties="Secure Islands label is Sensitive,Classification,Sensitive"}

예제 3: 레이블 이름의 다대일 매핑

요구 사항: "Internal"이라는 단어가 포함된 두 개의 Secure Islands 레이블이 있고, 이러한 Secure Islands 레이블 중 하나가 있는 문서에 Azure Information Protection 통합 레이블 지정 클라이언트에서 "General"로 레이블을 다시 지정하려고 합니다.

이 예제에서:

  • Secure Islands 레이블에는 내부라는 단어가 포함되며 분류라는 사용자 지정 속성에 저장됩니다.

고급 클라이언트 설정은 다음과 같습니다.

  • 키: labelByCustomProperties

  • 값: Secure Islands 레이블에 내부,분류,.*내부.*가 포함됨

레이블 이름이 "General"인 PowerShell 명령 예제:

Set-Label -Identity General -AdvancedSettings @{labelByCustomProperties="Secure Islands label contains Internal,Classification,.*Internal.*"}

예제 4: 동일한 레이블에 대한 여러 규칙

동일한 레이블에 여러 규칙이 필요한 경우 동일한 키에 대해 여러 문자열 값을 정의합니다.

이 예에서 "Confidential" 및 "Secret"이라는 Secure Islands 레이블은 Classification이라는 사용자 지정 속성에 저장되며 Azure Information Protection 통합 레이블 지정 클라이언트가 "Confidential"이라는 민감도 레이블을 적용하도록 합니다.

Set-Label -Identity Confidential -AdvancedSettings @{labelByCustomProperties=ConvertTo-Json("Migrate Confidential label,Classification,Confidential", "Migrate Secret label,Classification,Secret")}

이메일로 레이블 마이그레이션 규칙 확장

추가 레이블 정책 고급 설정을 지정하여 Office 문서 외에도 Outlook 이메일에 대해 labelByCustomProperties 고급 설정으로 정의한 구성을 사용할 수 있습니다.

그러나 이 설정은 Outlook 성능에 부정적인 영향을 미치는 것으로 알려져 있으므로 강력한 비즈니스 요구 사항이 있는 경우에만 이 추가 설정을 구성하고, 다른 레이블 지정 솔루션에서 마이그레이션을 완료한 경우에는 Null 문자열 값으로 설정해야 합니다.

이 고급 설정을 구성하려면 선택한 레이블 정책에 대해 다음 문자열을 입력합니다.

  • 키: EnableLabelByMailHeader

  • 값: True

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelByMailHeader="True"}

레이블 마이그레이션 규칙을 SharePoint 속성으로 확장

추가 레이블 정책 고급 설정을 지정하여 사용자에게 열로 노출할 수 있는 SharePoint 속성에 대해 labelByCustomProperties 고급 설정으로 정의한 구성을 사용할 수 있습니다.

이 설정은 Word, Excel 및 PowerPoint를 사용할 때 지원됩니다.

이 고급 설정을 구성하려면 선택한 레이블 정책에 대해 다음 문자열을 입력합니다.

  • 키: EnableLabelBySharePointProperties

  • 값: True

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableLabelBySharePointProperties="True"}

레이블이 적용될 때 사용자 지정 속성 적용

이 구성은 Security & Compliance Center PowerShell을 사용하여 구성해야 하는 레이블 고급 설정을 사용합니다.

민감도 레이블에 따라 적용되는 메타데이터 외에도 문서 또는 이메일 메시지에 하나 이상의 사용자 지정 속성을 적용하는 몇 가지 시나리오가 있을 수 있습니다.

예를 들어 다음과 같습니다.

  • Secure Islands와 같은 다른 레이블 지정 솔루션에서 마이그레이션하는 중입니다. 마이그레이션 중에 상호 운용성을 위해 민감도 레이블이 다른 레이블 지정 솔루션에서 사용되는 사용자 지정 속성도 적용하려고 합니다.

  • 콘텐츠 관리 시스템(예: SharePoint 또는 다른 공급업체의 문서 관리 솔루션)의 경우 레이블에 대해 다른 값과 레이블 GUID 대신 사용자에게 친숙한 이름으로 일관된 사용자 지정 속성 이름을 사용하려고 합니다.

사용자가 Azure Information Protection 통합 레이블 지정 클라이언트를 사용하여 레이블을 지정하는 Office 문서 및 Outlook 이메일의 경우 정의한 사용자 지정 속성을 하나 이상 추가할 수 있습니다. 또한 통합 레이블 지정 클라이언트에 대해 이 방법을 사용하여 통합 레이블 지정 클라이언트에서 레이블을 아직 지정하지 않은 콘텐츠에 대한 다른 솔루션의 레이블로 사용자 지정 속성을 표시할 수 있습니다.

이 구성 옵션의 결과로 Azure Information Protection 통합 레이블 지정 클라이언트는 추가 사용자 지정 속성을 다음과 같이 적용합니다.

환경 Description
Office 문서 데스크톱 앱에서 문서에 레이블이 지정되면 문서를 저장할 때 추가 사용자 지정 속성이 적용됩니다.
Outlook 이메일 Outlook에서 이메일 메시지에 레이블이 지정되면 이메일을 보낼 때 추가 속성이 x-머리글에 적용됩니다.
PowerShell Set-AIPFileLabelSet-AIPFileClassificiation은 문서에 레이블이 지정되고 저장될 때 추가 사용자 지정 속성을 적용합니다.

Get-AIPFileStatus는 민감도 레이블이 적용되지 않은 경우 매핑된 레이블로 사용자 지정 속성을 표시합니다.
파일 탐색기 사용자가 파일을 마우스 오른쪽 단추로 클릭하고 레이블을 적용하면 사용자 지정 속성이 적용됩니다.

이 구성을 사용하려면 추가 사용자 지정 속성에 적용할 각 민감도 레이블에 대해 customPropertiesByLabel이라는 고급 설정을 지정해야 합니다. 그런 다음 각 항목의 값을 다음 구문을 사용하여 설정합니다.

[custom property name],[custom property value]

중요

문자열에 공백을 사용하면 레이블이 적용되지 않습니다.

예를 들어 다음과 같습니다.

예제 1: 레이블에 대한 단일 사용자 지정 속성 추가

요구 사항: Azure Information Protection 통합 레이블 지정 클라이언트에서 "Confidential"로 레이블이 지정된 문서에는 "Secret" 값이 있는 "Classification"이라는 추가 사용자 지정 속성이 있어야 합니다.

이 예제에서:

  • 민감도 레이블 이름이 Confidential이며 Secret 값을 사용하여 Classification이라는 사용자 지정 속성을 만듭니다.

고급 설정:

  • 키: customPropertiesByLabel

  • 값: Classification,Secret

레이블 이름이 "Confidential"인 PowerShell 명령 예제:

    Set-Label -Identity Confidential -AdvancedSettings @{customPropertiesByLabel="Classification,Secret"}

예제 2: 레이블에 대한 여러 사용자 지정 속성 추가

동일한 레이블에 대해 둘 이상의 사용자 지정 속성을 추가하려면 동일한 키에 대해 여러 문자열 값을 정의해야 합니다.

레이블 이름이 "General"인 PowerShell 명령 예제이며, 값이 GeneralClassification이라는 사용자 지정 속성 하나와 값이 InternalSensitivity라는 두 번째 사용자 지정 속성을 추가하려고 합니다.

Set-Label -Identity General -AdvancedSettings @{customPropertiesByLabel=ConvertTo-Json("Classification,General", "Sensitivity,Internal")}

Outlook에서 S/MIME 보호를 적용하도록 레이블 구성

이 구성에서는 Security & Compliance Center PowerShell을 사용하여 구성해야 하는 레이블 고급 설정을 사용합니다.

작동 중인 S/MIME 배포가 있고 레이블이 Azure Information Protection의 Rights Management 보호가 아닌 이메일에 대해 이 보호 방법을 자동으로 적용하도록 하려는 경우에만 이 설정을 사용하세요. 그 결과로 적용되는 보호는 사용자가 Outlook에서 수동으로 S/MIME 옵션을 선택한 경우와 동일합니다.

구성 키/값
S/MIME 디지털 서명 S/MIME 디지털 서명에 대한 고급 설정을 구성하려면 선택한 레이블에 대해 다음 문자열을 입력합니다.

- 키: SMimeSign

- 값: True
S/MIME 암호화 S/MIME 암호화에 대한 고급 설정을 구성하려면 선택한 레이블에 대해 다음 문자열을 입력합니다.

- 키: SMimeEncrypt

- 값: True

사용자가 Outlook에서 레이블을 선택하면 구성된 S/MIME 설정이 적용됩니다. 레이블이 Microsoft Purview 규정 준수 포털 지정할 수 있는 기본 Rights Management 암호화에 대해서도 구성된 경우 S/MIME 설정은 Outlook에서만 Rights Management 보호를 대체합니다. 통합 레이블 지정 클라이언트가 지원하는 다른 앱의 경우 클라이언트는 규정 준수 포털에 지정된 암호화 설정을 계속 사용합니다.

레이블이 Outlook에서만 표시되도록 하려면 사용자가 권한을 할당하도록 허용에서 전달 금지 암호화 옵션을 구성합니다.

레이블 이름이 "Recipients Only"인 PowerShell 명령 예제:

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeSign="True"}

Set-Label -Identity "Recipients Only" -AdvancedSettings @{SMimeEncrypt="True"}

부모 레이블에 대한 기본 하위 레이블 지정

이 구성은 Security & Compliance Center PowerShell을 사용하여 구성해야 하는 레이블 고급 설정을 사용합니다.

레이블에 하위 레이블을 추가하면 사용자는 더 이상 문서나 이메일에 상위 레이블을 적용할 수 없습니다. 기본적으로 사용자는 상위 레이블을 선택하여 적용할 수 있는 하위 레이블을 확인한 후 해당 하위 레이블 중 하나를 선택합니다. 이 고급 설정을 구성하는 경우 사용자가 상위 레이블을 선택하면 하위 레이블이 자동으로 선택되어 적용됩니다.

  • 키: DefaultSubLabelId

  • 값: <하위 레이블 GUID>

상위 레이블 이름이 "Confidential"이고 "AllEmployees" 하위 레이블의 GUID가 8faca7b8-8d20-48a3-8ea2-0f96310a848e인 PowerShell 명령 예제:

Set-Label -Identity "Confidential" -AdvancedSettings @{DefaultSubLabelId="8faca7b8-8d20-48a3-8ea2-0f96310a848e"}

백그라운드에서 계속해서 실행되도록 분류 켜기

이 구성은 Security & Compliance Center PowerShell을 사용하여 구성해야 하는 레이블 고급 설정을 사용합니다.

이 설정을 구성하면 Azure Information Protection 통합 레이블 지정 클라이언트가 문서에 자동 및 권장 레이블을 적용하는 방식의 기본 동작이 변경됩니다.

Word, Excel 및 PowerPoint의 경우 자동 분류가 백그라운드에서 지속적으로 실행됩니다.

Outlook의 경우 변경되지 않습니다.

Azure Information Protection 통합 레이블 지정 클라이언트의 문서에서 지정한 조건 규칙을 주기적으로 확인할 때, 이 동작은 자동 저장이 켜져 있는 한 SharePoint 또는 OneDrive에 저장된 Office 문서에 대한 자동 및 권장 분류와 보호를 사용하도록 설정합니다. 조건 규칙이 이미 실행되었기 때문에 큰 파일도 더 빠르게 저장됩니다.

조건 규칙은 사용자 형식으로 실시간으로 실행되지 않습니다. 대신, 문서를 수정할 때 주기적으로 백그라운드 작업으로 실행됩니다.

이 고급 설정을 구성하려면 다음 문자열을 입력합니다.

  • 키: RunPolicyInBackground
  • 값: True

PowerShell 명령 예제:

Set-LabelPolicy -Identity PolicyName -AdvancedSettings @{RunPolicyInBackground = "true"}

참고

이 기능은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

레이블의 색 지정

이 구성에서는 Security & Compliance Center PowerShell을 사용하여 구성해야 하는 레이블 고급 설정을 사용합니다.

이 고급 설정을 사용하여 레이블의 색상을 설정합니다. 색상을 지정하려면 색상의 빨강, 녹색 및 파랑(RGB) 구성 요소에 대한 16진수 3색 코드를 입력합니다. 에를 들어 #40e0d0은 청록색에 대한 RGB 16진수 값입니다.

이러한 코드에 대한 참조가 필요한 경우 MSDN 웹 문서의 <색상> 페이지에서 유용한 테이블을 찾을 수 있습니다. 그림을 편집할 수 있는 여러 애플리케이션에서 이러한 코드를 찾을 수도 있습니다. 예를 들어 Microsoft 그림판을 사용하면 색상표에서 사용자 지정 색을 선택할 수 있으며 RGB 값이 자동으로 표시됩니다. 그런 다음 해당 색을 복사하면 됩니다.

레이블 색상에 대한 고급 설정을 구성하려면 선택한 레이블에 대해 다음 문자열을 입력합니다.

  • 키: 색상

  • 값: <RGB 16진수 값>

레이블 이름이 "Public"인 PowerShell 명령 예제:

Set-Label -Identity Public -AdvancedSettings @{color="#40e0d0"}

다른 사용자로 로그인

여러 사용자로 로그인하는 것은 프로덕션의 AIP에서 지원되지 않습니다. 이 절차에서는 테스트 목적으로만 다른 사용자로 로그인하는 방법을 설명합니다.

Microsoft Azure Information Protection 대화 상자를 사용하여 현재 로그인한 계정을 확인할 수 있습니다. Office 애플리케이션을 열고 탭에서 민감도 단추를 클릭한 다음, 도움말 및 피드백을 선택합니다. 계정 이름은 클라이언트 상태 섹션에 표시됩니다.

또한 표시되는 로그인 계정의 도메인 이름을 확인해야 합니다. 계정 이름은 올바르지만 잘못된 도메인으로 로그인하는 경우를 간과하기 쉽습니다. 잘못된 계정을 사용하는 경우에는 레이블을 다운로드하지 못하거나 필요한 레이블이나 동작이 표시되지 않는 것이 포함됩니다.

다른 사용자로 로그인:

  1. %localappdata%\Microsoft\MSIP로 이동하고 TokenCache 파일을 삭제합니다.

  2. 열려 있는 Office 애플리케이션을 다시 시작하고 다른 사용자 계정으로 로그인합니다. Azure Information Protection 서비스에 로그인하라는 메시지가 Office 애플리케이션에 표시되지 않으면 Microsoft Azure Information Protection 대화 상자로 돌아가서 업데이트된 클라이언트 상태 섹션에서 로그인을 선택합니다.

추가 필수 구성 요소:

시나리오 Description
여전히 이전 계정에 로그인되어 있음 이 단계를 완료한 후에도 Azure Information Protection 통합 레이블 지정 클라이언트가 여전히 이전 계정으로 로그인되어 있으면 Internet Explorer에서 모든 쿠키를 삭제한 후 1단계와 2단계를 반복합니다.
Single Sign-On 사용 Single Sign-On을 사용하는 경우, Windows에서 로그아웃하고 토큰 파일을 삭제한 후 다른 사용자 계정으로 로그인해야 합니다.

그러면 Azure Information Protection 통합 레이블 지정 클라이언트는 현재 로그인한 사용자 계정을 사용하여 자동으로 인증합니다.
다른 테넌트 이 솔루션은 동일한 테넌트의 다른 사용자로 로그인에 대해 지원됩니다. 이 솔루션은 다른 테넌트의 다른 사용자로 로그인에 대해 지원되지 않습니다.

여러 테넌트로 Azure Information Protection을 테스트하려면 여러 컴퓨터를 사용합니다.
설정 다시 설정 도움말 및 피드백설정 재설정 옵션을 사용하여 로그아웃하고 Microsoft Purview 규정 준수 포털 현재 다운로드한 레이블 및 정책 설정을 삭제할 수 있습니다.

연결이 끊어진 컴퓨터에 대한 지원

중요

연결이 끊긴 컴퓨터는 파일 탐색기, PowerShell, Office 앱 및 스캐너와 같은 레이블 지정 시나리오에서 지원됩니다.

기본적으로 Azure Information Protection 통합 레이블 지정 클라이언트는 자동으로 인터넷에 연결하여 Microsoft Purview 규정 준수 포털 레이블 및 레이블 정책 설정을 다운로드하려고 시도합니다.

일정 시간 동안 인터넷에 연결할 수 없는 컴퓨터가 있는 경우 통합 레이블 지정 클라이언트에 대한 정책을 수동으로 관리하는 파일을 내보내고 복사할 수 있습니다.

통합 레이블 지정 클라이언트에서 연결이 끊긴 컴퓨터 지원:

  1. 연결이 끊긴 컴퓨터에서 사용할 레이블 및 정책 설정을 다운로드하는 데 사용할 Azure AD에서 사용자 계정을 선택하거나 만듭니다.

  2. 이 계정에 대한 추가 레이블 정책 설정으로 Azure Information Protection 분석에 감사 데이터 보내기를 끕니다.

    연결이 끊긴 컴퓨터에 정기적인 인터넷 연결이 있는 경우 1단계의 사용자 이름이 포함된 로깅 정보를 Azure Information Protection 분석에 보내므로 이 단계를 권장합니다. 해당 사용자 계정은 연결이 끊긴 컴퓨터에서 사용 중인 로컬 계정과 다를 수 있습니다.

  3. 통합 레이블 지정 클라이언트가 설치되어 있고 1단계의 사용자 계정으로 로그인한 인터넷 연결이 있는 컴퓨터에서 레이블 및 정책 설정을 다운로드합니다.

  4. 이 컴퓨터에서 로그 파일을 내보냅니다.

    예를 들어 Export-AIPLogs cmdlet을 실행하거나 클라이언트의 도움말 및 피드백 대화 상자에서 로그 내보내기 옵션을 사용합니다.

    로그 파일은 단일 압축 파일로 내보냅니다.

  5. 압축 파일을 열고 MSIP 폴더에서 파일 이름 확장명이 .xml인 파일을 복사합니다.

  6. 이 파일을 연결이 끊긴 컴퓨터의 %localappdata%\Microsoft\MSIP 폴더에 붙여넣습니다.

  7. 선택한 사용자 계정이 일반적으로 인터넷에 연결되는 계정인 경우 EnableAudit 값을 True로 설정하여 감사 데이터 전송을 다시 사용하도록 설정합니다.

이 컴퓨터의 사용자가 도움말 및 피드백에서 설정 재설정 옵션을 선택하는 경우, 이 작업은 정책 파일을 삭제하고 파일을 수동으로 교체하거나 클라이언트가 인터넷에 연결하여 파일을 다운로드합니다.

연결이 해제된 컴퓨터에서 Azure Information Protection 스캐너를 실행 중인 경우, 수행해야 하는 추가 구성 단계가 있습니다. 자세한 내용은 스캐너 배포 지침에서 제한: 스캐너 서버는 인터넷에 연결할 수 없음을 참조하세요.

로컬 로깅 수준 변경

기본적으로 Azure Information Protection 통합 레이블 지정 클라이언트는 클라이언트 로그 파일을 %localappdata%\Microsoft\MSIP 폴더에 작성합니다. 이러한 파일은 Microsoft 지원의 문제 해결 용도입니다.

이러한 파일의 로깅 수준을 변경하려면 레지스트리에서 다음 값 이름을 찾아 값 데이터를 필요한 로깅 수준으로 설정합니다.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

로깅 수준을 다음 값 중 하나로 설정합니다.

  • 끄기: 로컬 로깅이 없습니다.

  • 오류: 오류만 해당합니다.

  • 경고: 오류 및 경고입니다.

  • 정보: 이벤트 ID를 포함하지 않는 최소 로깅(스캐너의 기본 설정)입니다.

  • 디버그: 전체 정보입니다.

  • 추적: 자세한 로깅(클라이언트에 대한 기본 설정)입니다.

이 레지스트리 설정은 중앙 보고를 위해 Azure Information Protection으로 전송되는 정보를 변경하지 않습니다.

파일 특성에 따라 검사 중 파일 건너뛰기 또는 무시

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

기본적으로 Azure Information Protection 통합 레이블 지정 스캐너는 모든 관련 파일을 검사합니다. 그러나 보관된 파일이나 이동된 파일과 같이 건너뛸 특정 파일을 정의할 수 있습니다.

ScannerFSAttributesToSkip 고급 설정을 사용하여 파일 속성을 기반으로 특정 파일을 건너뛸 수 있도록 스캐너를 사용하도록 설정합니다. 설정 값에서 파일 속성이 모두 True로 설정된 경우 건너뛸 수 있도록 하는 파일 속성을 나열합니다. 이 파일 특성 목록은 AND 논리를 사용합니다.

다음 샘플 PowerShell 명령은 "Global"이라는 레이블과 함께 이 고급 설정을 사용하는 방법을 보여 줍니다.

읽기 전용 및 보관된 파일 건너뛰기

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY, FILE_ATTRIBUTE_ARCHIVE"}

읽기 전용 또는 보관된 파일 건너뛰기

OR 논리를 사용하려면 동일한 속성을 여러 번 실행합니다. 예를 들면 다음과 같습니다.

Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_READONLY"}
Set-LabelPolicy -Identity Global -AdvancedSettings @{ ScannerFSAttributesToSkip =" FILE_ATTRIBUTE_ARCHIVE"}

스캐너에서 다음 특성이 있는 파일을 건너뛰도록 설정하는 것이 좋습니다.

  • FILE_ATTRIBUTE_SYSTEM
  • FILE_ATTRIBUTE_HIDDEN
  • FILE_ATTRIBUTE_DEVICE
  • FILE_ATTRIBUTE_OFFLINE
  • FILE_ATTRIBUTE_RECALL_ON_DATA_ACCESS
  • FILE_ATTRIBUTE_RECALL_ON_OPEN
  • FILE_ATTRIBUTE_TEMPORARY

ScannerFSAttributesToSkip 고급 설정에서 정의할 수 있는 모든 파일 속성 목록은 Win32 파일 속성 상수를 참조하세요.

레이블 지정 중 NTFS 소유자 유지(공개 미리 보기)

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

기본적으로 스캐너, PowerShell 및 파일 탐색기 확장 레이블 지정은 레이블 지정 전에 정의된 NTFS 소유자를 유지하지 않습니다.

NTFS 소유자 값이 유지되도록 하려면 선택한 레이블 정책에 대해 UseCopyAndPreserveNTFSOwner 고급 설정을 True로 설정합니다.

주의

스캐너와 검사한 리포지토리 사이에 대기 시간이 짧고 안정적인 네트워크 연결을 보장할 수 있는 경우에만 이 고급 설정을 정의하세요. 자동 레이블 지정 프로세스 중 네트워크 오류로 인해 파일이 손실될 수 있습니다.

레이블 정책 이름이 "Global"인 경우 샘플 PowerShell 명령:

Set-LabelPolicy -Identity Global -AdvancedSettings @{UseCopyAndPreserveNTFSOwner ="true"}

참고

이 기능은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

수정된 레이블에 대한 근거 프롬프트 텍스트 사용자 지정

최종 사용자가 문서 및 이메일의 분류 레이블을 변경할 때 Office 및 AIP 클라이언트 모두에 표시되는 근거 프롬프트를 사용자 지정합니다.

예를 들어 관리자가 이 필드에 고객 식별 정보를 추가하지 않도록 사용자에게 상기시키는 것이 좋습니다.

사용자 지정된 근거 프롬프트 텍스트

표시되는 기본 Other 텍스트를 수정하려면 Set-LabelPolicy cmdlet과 함께 JustificationTextForUserText 고급 속성을 사용합니다. 대신 사용할 텍스트로 값을 설정합니다.

레이블 정책 이름이 "Global"인 경우 샘플 PowerShell 명령:

Set-LabelPolicy -Identity Global -AdvancedSettings @{JustificationTextForUserText="Other (please explain) - Do not enter sensitive info"}

Outlook 팝업 메시지 사용자 지정

AIP 관리자는 다음과 같이 Outlook에서 최종 사용자에게 표시되는 팝업 메시지를 사용자 지정할 수 있습니다.

  • 차단된 이메일에 대한 메시지
  • 사용자에게 보내는 콘텐츠를 확인하라는 프롬프트를 표시하는 경고 메시지
  • 전송하는 콘텐츠를 정당화하도록 사용자에게 요청하는 정당화 메시지

중요

이 절차는 사용자가 OutlookUnlabeledCollaborationAction 고급 속성을 사용하여 이미 정의한 모든 설정을 다시 정의합니다.

프로덕션에서는 복잡하지 않게 OutlookUnlabeledCollaborationAction 고급 속성을 사용하여 규칙 정의 또는 아래 정의된 대로json 파일을 사용하여 복잡한 규칙 정의 중 하나만 선택하는 것이 좋으며 둘 다 정의할 수는 없습니다.

Outlook 팝업 메시지 사용자 지정:

  1. Outlook이 사용자에게 팝업 메시지를 표시하는 방법을 구성하는 규칙이 있는 .json 파일을 생성합니다. 자세한 내용은 규칙 값 .json 구문샘플 팝업 사용자 지정 .json 코드를 참조하세요.

  2. PowerShell을 사용하여 구성 중인 팝업 메시지를 제어하는 고급 설정을 정의합니다. 구성할 각 규칙에 대해 별도의 명령 집합을 실행합니다.

    각 PowerShell 명령 집합에는 구성 중인 정책의 이름과 규칙을 정의하는 키 및 값이 포함되어야 합니다.

    다음 구문을 사용합니다.

    $filedata = Get-Content "<Path to json file>"
    Set-LabelPolicy -Identity <Policy name> -AdvancedSettings @{<Key> ="$filedata"}
    

    위치:

    • <Path to json file>는 만든 json 파일의 경로입니다. 예: C:\Users\msanchez\Desktop\ \dlp\OutlookCollaborationRule_1.json

    • <Policy name>은 구성할 정책의 이름입니다.

    • <Key>는 규칙의 이름입니다. 다음 구문을 사용합니다. 여기서 <#>은 규칙의 일련 번호입니다.

      OutlookCollaborationRule_<#>

    자세한 내용은 Outlook 사용자 지정 규칙규칙 값 json 구문을 참조하세요.

추가 조직의 경우 PowerShell 명령에 사용되는 키와 동일한 문자열로 파일 이름을 지정합니다. 예를 들어 파일 이름을 OutlookCollaborationRule_1.json으로 지정한 다음, OutlookCollaborationRule_1을 키로 사용합니다.

문서가 Outlook 외부에서 공유된 경우에도 팝업이 표시되도록 하려면(파일 > 공유 > 복사본 첨부)PostponeMandatoryBeforeSave 고급 설정도 구성합니다.

Outlook 사용자 지정 규칙 순서 지정

AIP는 사용자가 입력한 키의 일련 번호를 사용하여 규칙이 처리되는 순서를 결정합니다. 각 규칙에 사용되는 키를 정의할 때 더 낮은 숫자로 더 제한적인 규칙을 정의하고 더 높은 숫자로 덜 제한적인 규칙을 정의합니다.

특정 규칙의 일치 항목이 발견되면 AIP는 규칙 처리를 중지하고 일치 규칙과 관련된 작업을 수행합니다. (첫 번째 일치 - > 종료 논리)

예제:

특정 경고 메시지가 포함된 모든 내부 이메일을 구성하고 일반적으로는 차단하지 않으려는 경우를 가정해 보겠습니다. 사용자는 내부 이메일이라 하더라도 비밀로 분류된 첨부 파일은 보내지 못하도록 차단하고 싶습니다.

이 시나리오에서는 더욱 일반적인 내부 경고 규칙 키보다 더 구체적인 규칙인 비밀 차단 규칙 키를 주문합니다.

  • 차단 메시지의 경우: OutlookCollaborationRule_1
  • 경고 메시지의 경우: OutlookCollaborationRule_2

규칙 값 .json 구문

다음과 같이 규칙의 json 구문을 정의합니다.

"type" : "And",
"nodes" : []

두 개 이상의 노드가 있어야 합니다. 첫 번째 노드는 규칙의 조건을 나타내고 마지막 노드는 규칙의 작업을 나타냅니다. 자세한 내용은 다음을 참조하세요.

규칙 조건 구문

규칙 조건 노드에는 노드 형식과 조건 자체가 포함되어야 합니다.

지원되는 노드 형식은 다음과 같습니다.

노드 형식 설명
And 모든 자식 노드에서 And 수행
Or 모든 자식 노드에서 Or 수행
Not 자체 자식에 대해 Not 수행
Except 자체 자식에 대해 Not을 반환하여 All로 동작하도록 함
SentTo, 도메인: listOfDomains 뒤에 다음 중 하나를 확인합니다.
- 부모가 Except인 경우 All 받는 사람이 도메인 중 하나에 있는지 확인합니다.
- 부모가 Except가 아닌 경우 Any 받는 사람이 도메인 중 하나에 있는지 확인합니다.
EMailLabel, 레이블 뒤에 다음 중 하나
- 레이블 ID
- Null, 레이블이 지정되지 않은 경우
AttachmentLabel, Label 및 지원되는 확장명 뒤에 다음 중 하나

True:
- 부모가 Except인 경우 지원되는 확장명이 있는 All 첨부 파일이 레이블 내에 있는지 확인
- 부모가 Except가 아닌 경우 지원되는 확장명이 있는 Any 첨부 파일이 레이블 내에 있는지 확인
- 레이블이 지정되지 않은 경우, 레이블 = Null

False: 다른 모든 경우

참고: 확장명 속성이 비어 있거나 누락된 경우 모든 지원되는 파일 형식(확장명)이 규칙에 포함됩니다.

규칙 작업 구문

규칙 작업은 다음 중 하나일 수 있습니다.

작업 Syntax 샘플 메시지
차단 Block (List<language, [title, body]>) 이메일 차단됨

비밀로 분류된 콘텐츠를 한 명 이상의 신뢰할 수 없는 받는 사람에게 보내려고 합니다.
rsinclair@contoso.com

조직의 정책이 이 작업을 허용하지 않습니다. 이 받는 사람을 제거하거나 콘텐츠를 바꿀지를 고려하세요.
경고 Warn (List<language,[title,body]>) 확인 필요

일반으로 분류된 콘텐츠를 한 명 이상의 신뢰할 수 없는 받는 사람에게 보내려고 합니다.
rsinclair@contoso.com

이 콘텐츠를 보내려면 조직의 정책에 확인을 제공해야 합니다.
정당화 Justify (numOfOptions, hasFreeTextOption, List<language, [Title, body, options1,options2….]> )

최대 3개의 옵션을 포함합니다.
근거 필요

일반으로 분류된 콘텐츠를 신뢰할 수 없는 받는 사람에게 보내려면 조직의 정책에 근거를 제공해야 합니다.

- 받는 사람이 이 콘텐츠를 공유하도록 승인되었음을 확인합니다.
- 내 관리자가 이 콘텐츠의 공유를 승인했습니다.
- 기타, 설명된 대로
작업 매개 변수

작업에 매개 변수가 제공되지 않으면 팝업에 기본 텍스트가 표시됩니다.

모든 텍스트는 다음과 같은 동적 매개 변수를 지원합니다.

매개 변수 Description
${MatchedRecipientsList} SentTo 조건에 대한 마지막 일치 항목
${MatchedLabelName} 메일/첨부 파일 레이블(정책의 현지화된 이름 포함)
${MatchedAttachmentName} AttachmentLabel 조건과 마지막으로 일치하는 첨부 파일의 이름

참고

모든 메시지에는 자세히 알아보기 옵션과 도움말피드백 대화 상자가 포함됩니다.

언어는 로캘 이름의 CultureName입니다(예: 영어 = en-us, 스페인어 = es-es).

부모 전용 언어 이름(예: en 만)도 지원됩니다.

샘플 팝업 사용자 지정 .json 코드

다음 .json 코드 집합은 다양한 규칙을 정의하는 방법을 보여 주며 이러한 규칙은 Outlook이 사용자에게 팝업 메시지를 표시하는 방법을 제어합니다.

예제 1: 내부 이메일 또는 첨부 파일 차단

다음 .json 코드는 내부로 분류된 이메일이나 첨부 파일이 외부 받는 사람으로 설정되는 것을 차단합니다.

이 예제에서 89a453df-5df4-4976-8191-259d0cf9560a내부 레이블의 ID이며, 내부 도메인에는 contoso.commicrosoft.com이 포함됩니다.

특정 확장명이 지정되지 않았으므로 지원되는 모든 파일 형식이 포함됩니다.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			  "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel", 			
					"LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a" 		
				},{ 					
                    "type" : "EmailLabel", 					
                    "LabelId" : "89a453df-5df4-4976-8191-259d0cf9560a" 				
                }
			]
		},		
        { 			
            "type" : "Block", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Email Blocked", 				  
                    "Body": "The email or at least one of the attachments is classified as <Bold>${MatchedLabelName}</Bold>. Documents classified as <Bold> ${MatchedLabelName}</Bold> cannot be sent to external recipients (${MatchedRecipientsList}).<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance with classification requirements as per Contoso's policies." 				
                }, 				
                "es-es": { 				  
                    "Title": "Correo electrónico bloqueado", 				  
                    "Body": "El correo electrónico o al menos uno de los archivos adjuntos se clasifica como <Bold> ${MatchedLabelName}</Bold>." 				
                } 			
            }, 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

예제 2: 분류되지 않은 Office 첨부 파일 차단

다음 .json 코드는 분류되지 않은 Office 첨부 파일이나 이메일이 외부 받는 사람에게 전송되는 것을 차단합니다.

다음 예제에서 레이블 지정이 필요한 첨부 파일 목록은 다음과 같습니다. .doc,.docm,.docx,.dot,.dotm,.dotx,.potm,.potx,.pps,.ppsm,.ppsx,.ppt,.pptm,.pptx,.vdw,.vsd,.vsdm,.vsdx,.vss,.vssm,.vst,.vstm,.vssx,.vstx,.xls,.xlsb,.xlt,.xlsm,.xlsx,.xltm,.xltx

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			        "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel",
					 "LabelId" : null,
					"Extensions": [
									".doc",
									".docm",
									".docx",
									".dot",
									".dotm",
									".dotx",
									".potm",
									".potx",
									".pps",
									".ppsm",
									".ppsx",
									".ppt",
									".pptm",
									".pptx",
									".vdw",
									".vsd",
									".vsdm",
									".vsdx",
									".vss",
									".vssm",
									".vst",
									".vstm",
									".vssx",
									".vstx",
									".xls",
									".xlsb",
									".xlt",
									".xlsm",
									".xlsx",
									".xltm",
									".xltx"
								 ]
					
				},{ 					
                    "type" : "EmailLabel",
					 "LabelId" : null
                }
			]
		},		
        { 			
            "type" : "Block", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Emailed Blocked", 				  
                    "Body": "Classification is necessary for attachments to be sent to external recipients.<br><br>List of attachments that are not classified:<br><br>${MatchedAttachmentName}<br><br><br>This message will not be sent.<br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br>For MS Office documents, classify and send again.<br><br>For PDF files, classify the document or classify the email (using the most restrictive classification level of any single attachment or the email content) and send again." 				
                }, 				
                "es-es": { 				  
                    "Title": "Correo electrónico bloqueado", 				  
                    "Body": "La clasificación es necesaria para que los archivos adjuntos se envíen a destinatarios externos." 				
                } 			
            }, 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

예제 3: 사용자에게 기밀 이메일 또는 첨부 파일 보내기를 수락하도록 요구

다음 예제에서는 Outlook에서 사용자에게 기밀 이메일 또는 첨부 파일을 외부 받는 사람에게 보내고 있음을 경고하는 메시지를 표시하고, 사용자는 동의함을 선택해야 합니다.

이러한 종류의 경고 메시지는 사용자가 동의함을 선택해야 하므로 엄밀하게 근거로 간주됩니다.

특정 확장명이 지정되지 않았으므로 지원되는 모든 파일 형식이 포함됩니다.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 					
			        "microsoft.com"
                ]   			
            } 		
        },
		{ 			
            "type" : "Or", 			
            "nodes" : [ 				
                { 			
					"type" : "AttachmentLabel", 			
					"LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613" 		
				},{ 					
                    "type" : "EmailLabel", 					
                    "LabelId" : "3acd2acc-2072-48b1-80c8-4da23e245613" 				
                }
			]
		},		
        { 			
            "type" : "Justify", 			
            "LocalizationData": { 				
                "en-us": { 				  
                    "Title": "Warning", 				  
                    "Body": "You are sending a document that is classified as <Bold>${MatchedLabelName}</Bold> to at least one external recipient. Please make sure that the content is correctly classified and that the recipients are entitled to receive this document.<br><br>List of attachments classified as <Bold>${MatchedLabelName}</Bold>:<br><br>${MatchedAttachmentName}<br><br><Bold>List of external email addresses:</Bold><br>${MatchedRecipientsList})<br><br>You are responsible for ensuring compliance to classification requirement as per Contoso's policies.<br><br><Bold>Acknowledgement</Bold><br>By clicking <Bold>I accept</Bold> below, you confirm that the recipient is entitled to receive the content and the communication complies with CS Policies and Standards",
					"Options": [ 						
                        "I accept"			    
                    ] 
                }, 				
                "es-es": { 				  
                    "Title": "Advertencia", 				  
                    "Body": "Está enviando un documento clasificado como <Bold>${MatchedLabelName}</Bold> a al menos un destinatario externo. Asegúrese de que el contenido esté correctamente clasificado y que los destinatarios tengan derecho a recibir este documento.",
                    "Options": [ 						
                        "Acepto"				    
                    ] 					
                } 			
            }, 			
            "HasFreeTextOption":"false", 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

예제 4: 레이블이 없는 메일 및 특정 레이블이 있는 첨부 파일에 대해 경고

다음 .json 코드는 레이블이 없는 내부 이메일을 특정 레이블이 있는 첨부 파일과 함께 보낼 때 Outlook에서 사용자에게 경고하도록 합니다.

이 예제에서 bcbef25a-c4db-446b-9496-1b558d9edd0e는 첨부 파일 레이블의 ID이며 규칙은 .docx, .xlsx 및 .pptx 파일에 적용됩니다.

기본적으로 레이블이 지정된 첨부 파일이 있는 이메일은 동일한 레이블을 자동으로 받지 않습니다.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "EmailLabel",
					 "LabelId" : null			
        },
        {
          "type": "AttachmentLabel",
          "LabelId": "bcbef25a-c4db-446b-9496-1b558d9edd0e",
          "Extensions": [
                ".docx",
                ".xlsx",
                ".pptx"
             ]
        },
	{  			
            "type" : "SentTo",  			
            "Domains" : [  				
                "contoso.com", 				
            ]   		
        }, 		
        { 			
            "type" : "Warn"	
        } 	
    ] 
}

예제 5: 미리 정의된 두 가지 옵션과 추가 자유 텍스트 옵션이 있는 근거를 묻는 메시지 표시

다음 .json 코드는 Outlook에서 사용자에게 자신의 작업에 대한 근거를 묻는 메시지를 표시합니다. 근거 텍스트에는 미리 정의된 두 가지 옵션과 세 번째 자유 텍스트 옵션이 포함됩니다.

특정 확장명이 지정되지 않았으므로 지원되는 모든 파일 형식이 포함됩니다.

{ 	
    "type" : "And", 	
    "nodes" : [ 		
        { 			
            "type" : "Except" , 			
            "node" :{ 				
                "type" : "SentTo",  				
                "Domains" : [  					
                    "contoso.com", 									
                ]   			
            } 		
        }, 		
        { 			
            "type" : "EmailLabel", 			
            "LabelId" : "34b8beec-40df-4219-9dd4-553e1c8904c1" 		
        }, 		
        { 			
            "type" : "Justify", 			
            "LocalizationData": { 				
                "en-us": { 					
                    "Title": "Justification Required", 					
                    "Body": "Your organization policy requires justification for you to send content classified as <Bold> ${MatchedLabelName}</Bold>,to untrusted recipients:<br>Recipients are: ${MatchedRecipientsList}", 					
                    "Options": [ 						
                        "I confirm the recipients are approved for sharing this content", 					
                        "My manager approved sharing of this content", 						
                        "Other, as explained" 				    
                    ] 				
                }, 				
                "es-es": { 				    
                    "Title": "Justificación necesaria", 				    
                    "Body": "La política de su organización requiere una justificación para que envíe contenido clasificado como <Bold> ${MatchedLabelName}</Bold> a destinatarios que no sean de confianza.", 				    
                    "Options": [ 						
                        "Confirmo que los destinatarios están aprobados para compartir este contenido.",
                        "Mi gerente aprobó compartir este contenido",
                        "Otro, como se explicó" 					
                    ] 				
                } 			
            }, 			
            "HasFreeTextOption":"true", 			
            "DefaultLanguage": "en-us" 		
        } 	
    ] 
}

SharePoint 시간 제한 구성

기본적으로 SharePoint 상호 작용에 대한 시간 제한은 2분이며 그 이후에는 시도하는 AIP 작업이 실패합니다.

버전 2.8.85.0부터 AIP 관리자는 시간 제한을 정의하는 hh:mm:ss 구문을 사용하는 다음 고급 속성을 통해 이 시간 제한을 제어할 수 있습니다.

  • SharepointWebRequestTimeout. SharePoint에 대한 모든 AIP 웹 요청의 시간 제한을 결정합니다. 기본값 = 2분

    예를 들어 정책 이름이 Global인 경우 다음과 같은 샘플 PowerShell 명령은 웹 요청 시간 제한을 5분으로 업데이트합니다.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointWebRequestTimeout="00:05:00"}
    
  • SharepointFileWebRequestTimeout. 특히 AIP 웹 요청을 통해 SharePoint 파일에 대한 시간 제한을 결정합니다. 기본값: 15분

    예를 들어 정책 이름이 Global인 경우 다음과 같은 샘플 PowerShell 명령은 파일 웹 요청 시간 제한을 10분으로 업데이트합니다.

    Set-LabelPolicy -Identity Global -AdvancedSettings @{SharepointFileWebRequestTimeout="00:10:00"}
    

SharePoint에서 스캐너 시간 제한 방지

SharePoint 버전 2013 이상에 긴 파일 경로가 있는 경우 SharePoint 서버의 httpRuntime.maxUrlLength 값이 기본 260자보다 큰지 확인합니다.

이 값은 ASP.NET 구성의 HttpRuntimeSection 클래스에 정의됩니다.

HttpRuntimeSection 클래스를 정의하려면 다음을 수행합니다.

  1. web.config 구성을 백업합니다.

  2. 필요에 따라 maxUrlLength 값을 업데이트합니다. 예를 들어 다음과 같습니다.

    <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />
    
  3. SharePoint 웹 서버를 다시 시작하고 올바르게 로드되는지 확인합니다.

    예를 들어 Windows Internet Information Server(IIS) Manager에서 사이트를 선택한 다음, 웹 사이트 관리에서 다시 시작을 선택합니다.

S/MIME 이메일로 Outlook 성능 이슈 방지

읽기 창에서 S/MIME 이메일을 열면 Outlook에서 성능 이슈가 발생할 수 있습니다. 이러한 이슈를 방지하려면 OutlookSkipSmimeOnReadingPaneEnabled 고급 속성을 사용하도록 설정합니다.

이 속성을 사용하면 AIP 표시줄과 이메일 분류가 읽기 창에 표시되지 않습니다.

예를 들어 정책 이름이 Global인 경우 다음과 같은 샘플 PowerShell 명령은 OutlookSkipSmimeOnReadingPaneEnabled 속성을 사용하도록 설정합니다.

Set-LabelPolicy -Identity Global -AdvancedSettings @{OutlookSkipSmimeOnReadingPaneEnabled="true"}

문서 추적 기능 끄기

기본적으로 테넌트에 대해 문서 추적 기능이 켜져 있습니다. 조직 또는 지역의 개인 정보 요구 사항과 같이 이 기능을 끄려면 EnableTrackAndRevoke 값을 False로 설정합니다.

기능이 꺼지면 조직에서 문서 추적 데이터를 더 이상 사용할 수 없으며 사용자는 Office 앱에서 취소 메뉴 옵션을 볼 수 없습니다.

선택한 레이블 정책에 다음 문자열을 지정합니다.

  • 키: EnableTrackAndRevoke

  • 값: False

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableTrackAndRevoke="False"}

이 값을 False로 설정하면 다음과 같이 추적 및 취소 설정이 꺼집니다.

  • AIP 통합 레이블 지정 클라이언트를 사용하여 보호되는 문서를 열면 더 이상 추적 및 취소할 문서가 등록되지 않습니다.
  • 최종 사용자는 Office 앱에서 더 이상 취소 메뉴 옵션을 볼 수 없습니다.

그러나 추적을 위해 이미 등록된 보호되는 문서는 계속 추적되며 관리자는 계속해서 PowerShell에서 액세스 권한을 취소할 수 있습니다. 기능 추적 및 취소 설정을 완전히 끄려면 Disable-AipServiceDocumentTrackingFeature cmdlet도 실행합니다.

이 구성은 보안 & 준수 센터 PowerShell을 사용하여 구성해야 하는 정책 고급 설정을 사용합니다.

추적 및 취소를 다시 설정하려면 EnableTrackAndRevokeTrue로 설정하고 Enable-AipServiceDocumentTrackingFeature cmdlet도 실행합니다.

Office 앱에서 최종 사용자에 대한 취소 옵션 끄기

최종 사용자가 Office 앱에서 보호되는 문서에 대한 액세스를 취소할 수 없도록 하려면 Office 앱에서 액세스 취소 옵션을 제거합니다.

참고

액세스 취소 옵션을 제거하면 보호되는 문서가 백그라운드에서 계속 추적되고 PowerShell을 통해 문서에 대한 액세스를 취소하는 관리자 기능이 유지됩니다.

선택한 레이블 정책에 다음 문자열을 지정합니다.

  • 키: EnableRevokeGuiSupport

  • 값: False

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableRevokeGuiSupport="False"}

Office 파일에서 자동 레이블 지정 시간 제한 구성

기본적으로 Office 파일에 대한 스캐너의 자동 레이블 지정 시간 제한은 3초입니다.

시트나 행이 많은 복잡한 Excel 파일의 경우 레이블을 자동으로 적용하는 데 3초는 부족할 수 있습니다. 선택한 레이블 정책에 대해 이 시간 제한을 늘리려면 다음 문자열을 지정합니다.

  • 키: OfficeContentExtractionTimeout

  • 값: 초, hh:mm:ss 형식

중요

이 시간 제한을 15초 이상으로 늘리지 않는 것이 좋습니다.

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{OfficeContentExtractionTimeout="00:00:15"}

업데이트된 시간 제한은 모든 Office 파일의 자동 레이블 지정에 적용됩니다.

분류 세계화 기능 켜기(공개 미리 보기)

동아시아 언어에 대한 정확도 향상 및 2바이트 문자 지원을 포함한 분류 세계화 기능입니다. 이러한 향상된 기능은 64비트 프로세스에 대해서만 제공되며 기본적으로 꺼져 있습니다.

정책에 대해 이러한 기능을 켜려면 다음 문자열을 지정합니다.

  • 키: EnableGlobalization

  • 값: True

레이블 정책 이름이 "Global"인 PowerShell 명령 예제:

Set-LabelPolicy -Identity Global -AdvancedSettings @{EnableGlobalization="True"}

지원을 다시 끄고 기본값으로 되돌리려면 EnableGlobalization 고급 설정을 빈 문자열로 설정합니다.

다음 단계

이제 Azure Information Protection 통합 레이블 지정 클라이언트를 사용자 지정했으므로 이 클라이언트를 지원하는 데 필요할 수 있는 추가 정보는 다음 리소스를 참조합니다.