Azure Information Protection Premium Government 서비스 설명
참고
통합되고 간소화된 고객 환경을 제공하기 위해 Azure Portal의 Azure Information Protection 클래식 클라이언트 및 레이블 관리는 2021년 9월 31일부터 GCC, GCC-H 및 DoD 고객에게 더 이상 사용되지 않습니다.
클래식 클라이언트는 공식적으로 사용 중지되며, 2022년 3월 31일에 작동 중지됩니다.
모든 현재 Azure Information Protection 클래식 클라이언트 고객은 Microsoft Purview Information Protection 통합 레이블 지정 플랫폼으로 마이그레이션하고 통합 레이블 지정 클라이언트로 업그레이드해야 합니다. 마이그레이션 블로그에서 자세한 내용을 확인하세요.
서비스 설명을 사용하는 방법
Azure Information Protection 통합 레이블 지정은 GCC, GCC High 및 DoD 고객에게 제공됩니다.
Azure Information Protection Premium Government 서비스 설명은 GCC High 및 DoD 환경에서 제공되는 제품에 대한 개요 역할을 하도록 설계되었으며 Azure Information Protection Premium 상용 제품에 비해 기능 변형을 다룹니다.
Azure Information Protection Premium Government 및 타사 서비스
일부 Azure Information Protection Premium 서비스는 타사 애플리케이션 및 서비스와 원활하게 작동하는 기능을 제공합니다.
이러한 타사 애플리케이션 및 서비스에는 Azure Information Protection Premium 인프라 외부에 있으므로 규정 준수 및 데이터 보호 약정의 적용을 받지 않는 타사 시스템에서 조직의 고객 콘텐츠를 저장, 전송 및 처리하는 작업이 포함될 수 있습니다.
조직에 대한 이러한 서비스의 적절한 사용을 평가할 때 제3자가 제공하는 개인 정보 보호 및 규정 준수 진술을 검토해야 합니다.
Azure Information Protection 프리미엄 상업용 제품과의 패리티
Azure Information Protection Premium GCC High/DoD와 상업용 제품 간의 알려진 기존 격차에 대한 자세한 내용은 Azure Information Protection 미국 정부 고객을 위한 클라우드 기능 가용성을 참조하세요.
GCC High 및 DoD 고객용 Azure Information Protection 구성
다음 구성 세부 정보는 통합 레이블 지정 솔루션을 포함하여 GCC High 및 DoD 고객을 위한 모든 Azure Information Protection 솔루션과 관련이 있습니다.
- 테넌트에 대해 Rights Management 사용
- 암호화에 대한 DNS 구성(Windows)
- 암호화에 대한 DNS 구성(Mac, iOS, Android)
- 레이블 마이그레이션
- AIP 앱 구성
중요
2020년 7월 업데이트를 기준으로 Azure Information Protection 통합 레이블 지정 솔루션의 모든 새로운 GCC High 고객은 일반 메뉴와 스캐너 메뉴 기능만 사용할 수 있습니다.
테넌트에 대해 Rights Management 사용
암호화가 제대로 작동하려면 테넌트에 대해 Rights Management 서비스를 사용하도록 설정해야 합니다.
- Rights Management 서비스가 사용하도록 설정되어 있는지 확인
- 관리자 권한으로 PowerShell 시작
- AADRM 모듈이 설치되지 않은 경우
Install-Module aadrm실행 Connect-aadrmservice -environmentname azureusgovernment사용을 통해 서비스 연결- 를 실행하고
(Get-AadrmConfiguration).FunctionalState상태가 인지 확인합니다.Enabled
- 기능 상태가
Disabled인 경우Enable-Aadrm실행
암호화에 대한 DNS 구성(Windows)
암호화가 올바르게 작동하려면 Office 클라이언트 애플리케이션이 GCC, 서비스의 GCC High/DoD 인스턴스 및 부트스트랩에 연결해야 합니다. 클라이언트 애플리케이션을 올바른 서비스 인스턴스로 리디렉션하려면 테넌트 관리자가 Azure RMS URL에 대한 정보를 사용하여 DNS SRV 레코드를 구성해야 합니다. DNS SRV 레코드가 없으면 클라이언트 애플리케이션은 기본적으로 퍼블릭 클라우드 인스턴스에 연결을 시도하고 실패합니다.
또한 사용자가 onmicrosoft 사용자 이름(예joe@contoso.onmicrosoft.us: )이 아니라 테넌트 소유 도메인(예: joe@contoso.us)을 기반으로 사용자 이름으로 로그인한다고 가정합니다. 사용자 이름으로부터 도메인 이름은 올바른 서비스 인스턴스에 대한 DNS 리디렉션에 사용됩니다.
- Rights Management 서비스 ID 획득
- 관리자 권한으로 PowerShell 시작
- AADRM 모듈이 설치되지 않은 경우 를 실행합니다.
Install-Module aadrm Connect-aadrmservice -environmentname azureusgovernment사용을 통해 서비스 연결(Get-aadrmconfiguration).RightsManagementServiceId실행을 통해 Rights Management 서비스 ID 획득
- DNS 공급자에 로그인하고 도메인의 DNS 설정으로 이동하여 새 SRV 레코드를 추가합니다.
- Service =
_rmsredir - Protocol =
_http - Name =
_tcp - 대상 =
[GUID].rms.aadrm.us(여기서 GUID는 Rights Management Service ID) - Port =
80 - Priority, Weight, Seconds, TTL = 기본값
- Service =
- Azure Portal에 있는 테넌트와 사용자 지정 도메인을 연결합니다. 사용자 지정 도메인을 연결하면 DNS에 항목이 추가되며 값을 추가한 후 확인하는 데 몇 분 정도 걸릴 수 있습니다.
- 해당 전역 관리자 자격 증명을 사용하여 Office 관리 센터에 로그인하고 사용자 만들기를 위한 도메인(예: contoso.us)을 추가합니다. 확인 프로세스에서 일부 DNS 변경이 필요할 수 있습니다. 확인이 완료되면 사용자가 생성될 수 있습니다.
암호화에 대한 DNS 구성(Mac, iOS, Android)
- DNS 공급자에 로그인하고 도메인의 DNS 설정으로 이동하여 새 SRV 레코드를 추가합니다.
- Service =
_rmsdisco - Protocol =
_http - Name =
_tcp - Target =
api.aadrm.us - Port =
80 - Priority, Weight, Seconds, TTL = 기본값
- Service =
레이블 마이그레이션
GCC High 및 DoD 고객은 PowerShell을 사용하여 모든 기존 레이블을 마이그레이션해야 합니다. GCC High 및 DoD 고객에게는 기존 AIP 마이그레이션 방법을 적용할 수 없습니다 .
New-Label cmdlet을 사용하여 기존 민감도 레이블을 마이그레이션합니다. 마이그레이션을 시작하기 전에 보안 & 준수 센터를 사용하여 cmdlet을 연결하고 실행하기 위한 지침을 따라야 합니다.
기존 민감도 레이블에 암호화가 있는 마이그레이션 예제:
New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"
AIP 앱 구성
Azure Information Protection 클라이언트로 작업할 때 Windows의 AIP 앱을 올바른 소버린 클라우드로 가리키도록 다음 레지스트리 키 중 하나를 구성해야 합니다. 설정에 올바른 값을 사용해야 합니다.
통합 레이블 지정 클라이언트에 대한 AIP 앱 구성
관련: AIP 통합 레이블 지정 클라이언트만
| 레지스트리 노드 | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
|---|---|
| 이름 | CloudEnvType |
| 값 | 0 = 상업용(기본값) 1 = GCC 2 = GCC High 3 = DoD |
| 유형 | REG_DWORD |
참고
- 이 레지스트리 키가 비어 있거나, 잘못되었거나, 누락된 경우 동작은 기본값(0 = 상용)으로 되돌아갑니다.
- 키가 비어 있거나 올바르지 않으면 인쇄 오류도 로그에 추가됩니다.
- 제거한 후 레지스트리 키를 삭제하지 않도록 합니다.
클래식 클라이언트에 대한 AIP 앱 구성
관련 대상: AIP 클래식 클라이언트만
| 레지스트리 노드 | HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP |
|---|---|
| 이름 | WebServiceUrl |
| 값 | https://api.informationprotection.azure.us |
| Type | REG_SZ (String) |
방화벽 및 네트워크 인프라
특정 연결을 허용하도록 구성된 방화벽 또는 이와 유사한 중간 네트워크 디바이스가 있는 경우 다음 설정을 사용하여 Azure Information Protection 원활한 통신을 보장합니다.
TLS 클라이언트-서비스 연결: rms.aadrm.us URL(예: 패킷 수준 검사를 수행하기 위해)에 대한 TLS 클라이언트-서비스 연결을 종료하지 마세요.
다음 PowerShell 명령을 사용하여 클라이언트 연결이 Azure Rights Management 서비스에 도달하기 전에 종료되는지 여부를 확인할 수 있습니다.
$request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.Issuer결과에 발급 CA가 Microsoft CA에서 나온 것으로 표시되어야 합니다(예:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US). Microsoft가 아닌 발급 CA 이름이 표시되는 경우 보안 클라이언트-서비스 연결이 종료되고 방화벽에서 다시 구성해야 할 수 있습니다.레이블 및 레이블 정책 다운로드(AIP 클래식 클라이언트만 해당): Azure Information Protection 클래식 클라이언트가 레이블 및 레이블 정책을 다운로드할 수 있도록 하려면 HTTPS를 통해 URL api.informationprotection.azure.us 허용합니다.
자세한 내용은 다음을 참조하세요.
서비스 태그
다음 서비스 태그에 대한 모든 포트에 대한 액세스를 허용해야 합니다.
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend