Azure Information Protection Premium Government 서비스 설명

  • 아티클

참고 항목

통합되고 간소화된 고객 환경을 제공하기 위해 Azure PortalAzure Information Protection 클래식 클라이언트레이블 관리는 2021년 9월 31일부터 GCC, GCC-H 및 DoD 고객에게 더 이상 사용되지 않습니다.

클래식 클라이언트는 공식적으로 사용 중지되며, 2022년 3월 31일에 작동 중지됩니다.

모든 현재 Azure Information Protection 클래식 클라이언트 고객은 Microsoft Purview Information Protection 통합 레이블 지정 플랫폼으로 마이그레이션하고 통합 레이블 지정 클라이언트업그레이드해야 합니다. 마이그레이션 블로그에서 자세한 내용을 알아보세요.

이 서비스 설명을 사용하는 방법

Azure Information Protection 통합 레이블 지정은 GCC, GCC High 및 DoD 고객에게 제공됩니다.

Azure Information Protection Premium Government 서비스 설명은 GCC High 및 DoD 환경에서 제공되는 제품에 대한 개요로 사용되도록 설계되었으며, Azure Information Protection Premium 상용 제품에 비해 기능 변형을 다룹니다.

Azure Information Protection Premium Government 및 타사 서비스

일부 Azure Information Protection Premium 서비스는 타사 애플리케이션 및 서비스와 원활하게 작동하는 기능을 제공합니다.

이러한 타사 애플리케이션 및 서비스에는 Azure Information Protection Premium 인프라 외부에 있으므로 규정 준수 및 데이터 보호 약정의 적용을 받지 않는 타사 시스템에서 조직의 고객 콘텐츠를 저장, 전송 및 처리하는 작업이 포함될 수 있습니다.

조직에 대해 이러한 서비스의 적절한 사용을 평가할 때 타사에서 제공하는 개인 정보 및 규정 준수 문을 검토해야 합니다.

Azure Information Protection 프리미엄 상용 제품과의 패리티

Azure Information Protection Premium GCC High/DoD와 상업용 제품 간의 알려진 기존 격차에 대한 자세한 내용은 Azure Information Protection에 대한 미국 정부 고객의 클라우드 기능 가용성을 참조하세요.

GCC High 및 DoD 고객을 위한 Azure Information Protection 구성

다음 구성 세부 정보는 통합 레이블 지정 솔루션을 포함하여 GCC High 및 DoD 고객을 위한 모든 Azure Information Protection 솔루션과 관련이 있습니다.

Important

2020년 7월 업데이트를 기준으로 Azure Information Protection 통합 레이블 지정 솔루션의 모든 새로운 GCC High 고객은 일반 메뉴와 스캐너 메뉴 기능만 사용할 수 있습니다.

테넌트에 대한 권한 관리 사용

암호화가 올바르게 작동하려면 테넌트에 대해 Rights Management Service를 사용하도록 설정해야 합니다.

  • Rights Management 서비스를 사용할 수 있는지 확인
    • PowerShell을 관리istrator로 시작
    • AADRM 모듈이 설치되지 않은 경우 실행 Install-Module aadrm
    • 를 사용하여 서비스에 커넥트Connect-aadrmservice -environmentname azureusgovernment
    • 상태가 검사 경우 실행 (Get-AadrmConfiguration).FunctionalState 및 검사Enabled
  • 기능 상태가 Disabled면 다음을 실행합니다. Enable-Aadrm

암호화를 위한 DNS 구성(Windows)

암호화가 올바르게 작동하려면 Office 클라이언트 애플리케이션이 GCC, 서비스의 GCC High/DoD 인스턴스 및 해당 위치에서 부트스트랩에 연결해야 합니다. 클라이언트 애플리케이션을 올바른 서비스 인스턴스로 리디렉션하려면 테넌트 관리자가 Azure RMS URL에 대한 정보를 사용하여 DNS SRV 레코드를 구성해야 합니다. DNS SRV 레코드가 없으면 클라이언트 애플리케이션은 기본적으로 퍼블릭 클라우드 인스턴스에 연결을 시도하고 실패합니다.

또한 사용자가 onmicrosoft 사용자 이름(예joe@contoso.onmicrosoft.us: )이 아니라 테넌트 소유 do기본(예: joe@contoso.us)를 기반으로 사용자 이름으로 로그인한다고 가정합니다. 사용자 이름의 do기본 이름은 올바른 서비스 인스턴스로 DNS 리디렉션에 사용됩니다.

  • Rights Management Service ID 가져오기
    • PowerShell을 관리istrator로 시작
    • AADRM 모듈이 설치되지 않은 경우 Install-Module aadrm
    • 를 사용하여 서비스에 커넥트Connect-aadrmservice -environmentname azureusgovernment
    • 실행 (Get-aadrmconfiguration).RightsManagementServiceId 하여 Rights Management Service ID 가져오기
  • DNS 공급자에 로그인하고 do기본 DNS 설정으로 이동하여 새 SRV 레코드를 추가합니다.
    • 서비스 = _rmsredir
    • 프로토콜 = _http
    • Name = _tcp
    • 대상 = [GUID].rms.aadrm.us (여기서 GUID는 Rights Management Service ID)
    • 포트 = 80
    • Priority, Weight, Seconds, TTL = 기본값
  • 사용자 지정 do기본 Azure Portal의 테넌트에 연결합니다. 사용자 지정 do기본 연결하면 DNS에 항목이 추가되며 값을 추가한 후 확인하는 데 몇 분 정도 걸릴 수 있습니다.
  • 해당 전역 관리자 자격 증명을 사용하여 Office 관리 센터에 로그인하고 사용자 만들기를 위해 할 일기본(예: contoso.us)을 추가합니다. 확인 프로세스에서 더 많은 DNS 변경이 필요할 수 있습니다. 확인이 완료되면 사용자를 만들 수 있습니다.

암호화를 위한 DNS 구성(Mac, iOS, Android)

  • DNS 공급자에 로그인하고 do기본 DNS 설정으로 이동하여 새 SRV 레코드를 추가합니다.
    • 서비스 = _rmsdisco
    • 프로토콜 = _http
    • Name = _tcp
    • 대상 = api.aadrm.us
    • 포트 = 80
    • Priority, Weight, Seconds, TTL = 기본값

레이블 마이그레이션

GCC High 및 DoD 고객은 PowerShell을 사용하여 모든 기존 레이블을 마이그레이션해야 합니다. GCC High 및 DoD 고객에게는 기존 AIP 마이그레이션 방법을 적용할 수 없습니다 .

New-Label cmdlet을 사용하여 기존 민감도 레이블을 마이그레이션합니다. 마이그레이션을 시작하기 전에 보안 및 규정 준수 센터를 사용하여 cmdlet을 연결하고 실행하기 위한 지침을 따라야 합니다.

기존 민감도 레이블에 암호화가 있는 마이그레이션 예제:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

AIP 앱 구성

Azure Information Protection 클라이언트를 사용하는 경우 Windows의 AIP 앱을 올바른 소버린 클라우드로 가리키도록 다음 레지스트리 키 중 하나를 구성해야 합니다. 설치에 올바른 값을 사용해야 합니다.

통합 레이블 지정 클라이언트에 대한 AIP 앱 구성

관련 항목: AIP 통합 레이블 지정 클라이언트만

레지스트리 노드 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
이름 CloudEnvType
0 = 상용(기본값)
1 = GCC
2 = GCC High
3 = DoD
Type REG_DWORD

참고 항목

  • 이 레지스트리 키가 비어 있거나, 잘못되었거나, 누락된 경우 동작은 기본값(0 = 상용)으로 되돌리기.
  • 키가 비어 있거나 올바르지 않으면 인쇄 오류도 로그에 추가됩니다.
  • 제거한 후 레지스트리 키를 삭제하지 않도록 합니다.

클래식 클라이언트에 대한 AIP 앱 구성

관련: AIP 클래식 클라이언트만

레지스트리 노드 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
이름 WebServiceUrl
https://api.informationprotection.azure.us
Type REG_SZ (String)

방화벽 및 네트워크 인프라

특정 연결을 허용하도록 구성된 방화벽 또는 유사한 중간 네트워크 디바이스가 있는 경우 다음 설정을 사용하여 Azure Information Protection에 대한 원활한 통신을 보장합니다.

  • TLS 클라이언트-서비스 연결: rms.aadrm.us URL에 대한 TLS 클라이언트-서비스 연결을 종료하지 마세요(예: 패킷 수준 검사를 수행).

    다음 PowerShell 명령을 사용하여 클라이언트 연결이 Azure Rights Management 서비스에 도달하기 전에 종료되는지 여부를 확인할 수 있습니다.

    $request = [System.Net.HttpWebRequest]::Create("https://admin.aadrm.us/admin/admin.svc")
$request.GetResponse()
$request.ServicePoint.Certificate.Issuer

    결과는 발급 CA가 Microsoft CA에서 온 것임을 보여 줘야 합니다. 예를 들면 다음과 CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US같습니다. Microsoft가 아닌 발급 CA 이름이 표시되는 경우 보안 클라이언트-서비스 연결이 종료되고 방화벽에서 다시 구성해야 할 수 있습니다.

  • 레이블 및 레이블 정책 다운로드(AIP 클래식 클라이언트만 해당): Azure Information Protection 클래식 클라이언트가 레이블 및 레이블 정책을 다운로드할 수 있도록 하려면 HTTPS를 통해 URL api.informationprotection.azure.us 허용합니다.

자세한 내용은 다음을 참조하세요.

서비스 태그

다음 서비스 태그에 대한 모든 포트에 대한 액세스를 허용해야 합니다.

  • AzureInformationProtection
  • AzureActiveDirectory
  • AzureFrontDoor.Frontend