Azure Information Protection의 데이터 보호에 대한 질문과 대답
Azure Information Protection의 데이터 보호 서비스인 Azure Rights Management에 대해 궁금한 점이 있으신가요? 여기에 답변되었는지 확인합니다.
Azure Rights Management에서 파일을 보호하려면 클라우드에 있어야 합니까?
아니요. 그것은 일반적인 오해입니다. Azure Rights Management 서비스(및 Microsoft)는 정보 보호 프로세스의 일부로 데이터를 보거나 저장하지 않습니다. 사용자가 보호하는 정보는 사용자가 Azure에 정보를 명시적으로 저장하거나 Azure에 정보를 저장하는 또 다른 클라우드 서비스를 사용하지 않는 한 절대 Azure에 전송되거나 보관되지 않습니다.
Azure RMS가 어떻게 작동하나요?를 참조하여, 온-프레미스에서 생성하고 저장한 비법이 Azure Rights Management 서비스를 통해 보호되면서도 온-프레미스에 유지될 수 있는 방법이 무엇인지 알아보시기 바랍니다.
Azure Rights Management 암호화와 다른 Microsoft 클라우드 서비스 암호화의 차이는 무엇인가요?
Microsoft는 다양한 상호 보완적인 시나리오를 위해 데이터를 보호할 수 있는 여러 암호화 기술을 제공합니다. 예를 들어 Microsoft 365는 Microsoft 365에 저장된 데이터에 대해 유휴 시 암호화를 제공하는 반면에 Azure Information Protection의 Azure Rights Management 서비스는 데이터의 위치나 전송 방식에 상관없이 데이터가 보호될 수 있도록 데이터를 독립적으로 암호화합니다.
이러한 암호화 기술은 상호 보완적이며 이러한 기술을 사용하려면 독립적인 사용 설정과 구성이 필요합니다. 이런 과정에서 암호화에 자신의 키를 사용할 수 있는 옵션(다른 이름: "BYOK")이 있기도 합니다. 이러한 기술 중 하나에 BYOK를 사용하도록 설정해도 다른 기술에는 영향을 주지 않습니다. 예를 들어 Azure Information Protection에 BYOK를 사용하고 다른 암호화 기술에 BYOK를 사용할 수 없으며 그 반대의 경우도 마찬가지입니다. 서로 다른 기술에 사용되는 키는 각 서비스의 암호화 옵션을 구성하는 방식에 따라 같거나 다를 수 있습니다.
이제 Exchange Online으로 BYOK를 사용할 수 있나요?
네, 이제 Azure Information Protection을 기반으로 구축된 새로운 Microsoft 365 메시지 암호화 기능 설정의 지침에 따라 Exchange Online에서 BYOK를 사용할 수 있습니다. 이러한 지침은 Azure Information Protection용 BYOK와 새 Office 365 메시지 암호화 사용을 지원하는 Exchange Online의 새로운 기능을 지원합니다.
이 변경에 대한 자세한 내용은 블로그 공지 사항: 새 기능을 사용한 Office 365 메시지 암호화를 참조하세요.
RMS 커넥터에 대한 관리 팩 또는 유사한 모니터링 메커니즘이 있나요?
Rights Management 커넥터가 정보, 경고 및 오류 메시지를 이벤트 로그에 기록하지만 이러한 이벤트에 대한 모니터링이 포함된 관리 팩은 없습니다. 하지만 올바른 조치를 취하는 데 도움이 되는 자세한 정보가 포함된 이벤트 목록과 그에 대한 설명이 Microsoft Rights Management 커넥터 모니터링에 문서화되어 있습니다.
Azure Portal에서 새 사용자 지정 템플릿을 만들 어떻게 할까요? 있나요?
사용자 지정 템플릿은 계속해서 템플릿으로 관리하거나 레이블로 변환할 수 있는 Azure Portal로 이동되었습니다. 새 템플릿을 만들려면 새 레이블을 만들고 Azure RMS에 대한 데이터 보호 설정을 구성합니다. 여기서는 Rights Management 템플릿과 통합되는 서비스 및 애플리케이션에서 액세스할 수 있는 새 템플릿을 만듭니다.
Azure Portal의 템플릿에 대한 자세한 내용은 Azure Information Protection에 대한 템플릿 구성 및 관리를 참조하세요.
문서를 보호한 후 사용 권한을 변경하거나 사용자를 추가하려면 문서를 다시 보호해야 하나요?
레이블 또는 서식 파일을 사용하여 문서를 보호한 경우 문서를 다시 보호할 필요가 없습니다. 사용 권한을 변경하거나 새 그룹(또는 사용자)을 추가하여 레이블 또는 템플릿을 수정한 다음 다음 변경 내용을 저장합니다.
사용자가 변경하기 전에 문서에 액세스하지 않은 경우 사용자가 문서를 여는 즉시 변경 내용이 적용됩니다.
사용자가 이미 문서에 액세스한 경우, 사용 라이선스가 만료되면 변경 내용이 적용됩니다. 사용 라이선스가 만료될 때까지 기다릴 수 없는 경우에만 문서를 다시 보호합니다. 다시 보호하면 문서의 새 버전이 생성되므로 사용자에 대한 새 사용 라이선스가 만들어집니다.
또는 필요한 권한에 대한 그룹을 이미 구성한 경우 사용자를 포함하거나 제외하도록 그룹 멤버 자격을 변경할 수 있으며 레이블 또는 템플릿을 변경할 필요가 없습니다. Azure Rights Management 서비스에서 그룹 멤버 자격을 캐시하므로 변경 내용이 적용되기까지 약간의 지연이 있을 수 있습니다.
사용자 지정 사용 권한을 사용하여 문서를 보호한 경우 기존 문서에 대한 사용 권한을 변경할 수 없습니다. 문서를 다시 보호하고 모든 사용자와 이 새 버전의 문서에 필요한 모든 사용 권한을 지정해야 합니다. 보호된 문서를 다시 보호하려면 모든 권한 사용 권한이 있어야 합니다.
팁: 문서가 템플릿으로 보호되었는지 또는 사용자 지정 권한을 사용하여 보호되었는지 확인하려면 Get-AIPFileStatus PowerShell cmdlet을 사용합니다. 사용자 지정 권한의 제한된 액세스에 대한 템플릿 설명이 Get-RMSTemplate을 실행하면 표시되지 않는 고유 템플릿 ID와 함께 항상 표시됩니다.
Exchange Online에 일부 사용자가 있고 Exchange Server에 다른 사용자가 있는 Exchange 혼합 배포가 있습니다. 이런 경우가 Azure RMS에서 지원되나요?
물론 좋은 점은 사용자가 두 Exchange 배포에서 보호된 전자 메일 및 첨부 파일을 원활하게 보호하고 사용할 수 있다는 것입니다. 이 구성 의 경우 Azure RMS 를 활성화하고 Exchange Online에 IRM을 사용하도록 설정한 다음 Exchange Server용 RMS 커넥터 를 배포하고 구성합니다.
프로덕션 환경에 이 보호를 사용하는 경우 회사가 솔루션에 잠기거나 Azure RMS로 보호한 콘텐츠에 대한 액세스 권한을 잃을 위험이 있나요?
아니요, 더 이상 Azure Rights Management 서비스를 사용하지 않으려는 경우에도 항상 데이터를 제어하고 계속 액세스할 수 있습니다. 자세한 내용은 Azure Rights Management 서비스 해제 및 비활성화를 참조 하세요.
Azure RMS를 사용하여 콘텐츠를 보호할 수 있는 사용자를 제어할 수 있나요?
예, Azure Rights Management 서비스에는 이 시나리오에 대한 사용자 온보딩 컨트롤이 있습니다. 자세한 내용은 Azure Information Protection에서 보호 서비스 활성화 문서의 단계별 배포를 위한 온보딩 제어 구성 섹션을 참조하세요.
사용자가 보호된 문서를 특정 조직과 공유하지 못하도록 할 수 있나요?
데이터 보호를 위해 Azure Rights Management 서비스를 사용할 경우의 가장 큰 이점 중 하나는 Microsoft Entra ID가 인증을 처리하므로 각 파트너 조직에 대해 명시적 트러스트를 구성할 필요 없이 비즈니스-비즈니스 협업을 지원한다는 것입니다.
사용자가 특정 조직과 문서를 안전하게 공유하지 못하도록 하는 관리 옵션은 없습니다. 예를 들어 신뢰하지 않는 조직이나 경쟁사의 조직을 차단하려고 합니다. Azure Rights Management 서비스가 보호된 문서를 이러한 조직의 사용자에게 보내지 못하도록 하는 것은 의미가 없습니다. 그러면 사용자가 보호되지 않은 문서를 공유할 수 있기 때문입니다. 이것은 이 시나리오에서 가장 원하지 않는 상황입니다. 예를 들어, 회사 기밀 문서를 누가 다른 조직의 어떤 사용자와 공유하는지 파악할 수 없지만 Azure Rights Management 서비스로 보호되는 문서(또는 이메일)에서는 이것이 가능합니다.
회사 외부의 다른 사용자와 보호된 문서를 공유할 때 해당 사용자는 어떻게 인증되나요?
기본적으로 Azure Rights Management 서비스는 사용자 인증에 Microsoft Entra 계정 및 연결된 전자 메일 주소를 사용하므로 관리자가 비즈니스-비즈니스 협업을 원활하게 수행할 수 있습니다. 다른 조직에서 Azure 서비스를 사용하는 경우 이러한 계정이 온-프레미스에서 만들어지고 관리된 다음 Azure에 동기화되더라도 사용자는 이미 Microsoft Entra ID의 계정을 가지고 있습니다. 조직에 Microsoft 365가 있는 경우 이 서비스는 사용자 계정에 대해 Microsoft Entra ID도 사용합니다. 사용자의 조직에 Azure에서 관리되는 계정이 없는 경우 사용자가 개인용 RMS에 등록하면, 사용자 계정이 있는 조직에 관리되지 않는 Azure 테넌트와 디렉터리가 만들어진 다음, 사용자(및 후속 사용자)가 Azure Rights Management 서비스에 인증될 수 있습니다.
이러한 계정에 대한 인증 방법은 다른 조직의 관리자가 Microsoft Entra 계정을 구성한 방법에 따라 달라질 수 있습니다. 예를 들어 Active Directory 도메인 Services에서 만든 다음 Microsoft Entra ID로 동기화된 이러한 계정, 페더레이션 또는 암호에 대해 만들어진 암호를 사용할 수 있습니다.
기타 인증 방법:
Microsoft Entra ID에 계정이 없는 사용자에게 Office 문서 첨부 파일을 사용하여 전자 메일을 보호하는 경우 인증 방법이 변경됩니다. Azure Rights Management 서비스는 Gmail과 같은 일부 인기 있는 소셜 ID 공급자와 페더레이션됩니다. 사용자의 이메일 공급자가 지원되는 경우 사용자는 해당 서비스에 로그인할 수 있고 해당 이메일 공급자가 인증을 담당합니다. 사용자의 전자 메일 공급자가 지원되지 않거나 기본 설정으로 사용자가 인증하고 웹 브라우저에서 보호된 문서와 함께 전자 메일을 표시하는 일회성 암호를 신청할 수 있습니다.
Azure Information Protection은 지원되는 애플리케이션에 Microsoft 계정을 사용할 수 있습니다. 현재 Microsoft 계정이 인증에 사용되는 경우 모든 애플리케이션이 보호된 콘텐츠를 열 수 있는 것은 아닙니다. 추가 정보
외부 사용자(회사 외부 사람)를 사용자 지정 템플릿에 추가할 수 있나요?
예. Azure Portal에서 구성할 수 있는 보호 설정을 사용하면 조직 외부의 사용자 및 그룹 및 다른 조직의 모든 사용자에게 권한을 추가할 수 있습니다. Azure Information Protection을 사용하여 단계별 예제인 보안 문서 공동 작업을 참조하는 것이 유용할 수 있습니다.
Azure Information Protection 레이블이 있는 경우 먼저 사용자 지정 템플릿을 레이블로 변환해야 Azure Portal에서 이러한 보호 설정을 구성할 수 있습니다. 자세한 내용은 Azure Information Protection에 대한 템플릿 구성 및 관리를 참조하세요.
또는 PowerShell을 사용하여 사용자 지정 템플릿(및 레이블)에 외부 사용자를 추가할 수 있습니다. 이 구성을 사용하려면 템플릿을 업데이트하는 데 사용하는 권한 정의 개체를 사용해야 합니다.
New-AipServiceRightsDefinition cmdlet을 사용하여 변수를 만들어서 권한 정의 개체에 외부 이메일 주소와 권한을 지정합니다.
Set-AipServiceTemplateProperty cmdlet을 사용하여 이 변수를 RightsDefinition 매개 변수에 제공합니다.
기존 템플릿에 사용자를 추가하는 경우 새 사용자 외에도 템플릿의 기존 사용자에 대한 권한 정의 개체를 정의해야 합니다. 이 시나리오의 경우 cmdlet 예제 섹션의 예제 3: 사용자 지정 템플릿에 새 사용자 및 권한 추가가 유용할 수 있습니다.
Azure RMS에서 사용할 수 있는 그룹 유형은 무엇인가요?
대부분의 시나리오에서는 전자 메일 주소가 있는 Microsoft Entra ID의 모든 그룹 유형을 사용할 수 있습니다. 이 규칙이 일반적으로 사용 권한을 할당할 때는 항상 적용되지만 Azure Rights Management 서비스 관리에는 몇 가지 예외가 있습니다. 자세한 내용은 그룹 계정에 대한 Azure Information Protection 요구 사항을 참조 하세요.
보호된 이메일을 Gmail 또는 Hotmail 계정에 어떻게 보내나요?
Exchange Online 및 Azure Rights Management 서비스를 사용하는 경우 사용자에게 보호된 메시지로 전자 메일을 보냅니다. 예를 들어 웹용 Outlook의 명령 모음에서 새 보호 단추를 선택하고 Outlook 전달 안 함 단추 또는 메뉴 옵션을 사용할 수 있습니다. 또는 자동으로 전달 안 함 레이블을 적용하고 전자 메일을 분류하는 Azure Information Protection 레이블을 선택할 수 있습니다.
받는 사람은 Gmail, Yahoo 또는 Microsoft 계정에 로그인하는 옵션을 보고 보호된 전자 메일을 읽을 수 있습니다. 또는 일회성 암호가 브라우저에서 전자 메일을 읽는 옵션을 선택할 수 있습니다.
이런 시나리오를 지원하려면 Exchange Online에서 Azure Rights Management 서비스 및 Office 365 메시지 암호화의 새 기능을 사용하도록 설정해야 합니다. 이 구성에 대한 자세한 내용은 Exchange Online: IRM 구성을 참조하세요.
모든 장치에서 모든 전자 메일 계정을 지원하는 것을 포함하는 새로운 기능에 대한 자세한 내용은 다음 블로그 게시물: Office 365 메시지 암호화에서 사용할 수 있는 새로운 기능 발표를 참조하세요.
Azure RMS에서 지원되는 디바이스 및 파일 형식은 무엇인가요?
Azure Rights Management 서비스는 모든 파일 형식을 지원할 수 있습니다. 텍스트, 이미지, Microsoft Office(Word, Excel, PowerPoint) 파일, .pdf 파일 및 기타 애플리케이션 파일 형식의 경우 Azure Rights Management는 암호화 및 권한 적용(권한)을 모두 포함하는 네이티브 보호를 제공합니다. 다른 모든 애플리케이션 및 파일 형식의 경우 제네릭 보호는 파일 캡슐화 및 인증을 제공하여 사용자가 파일을 열 수 있는 권한이 있는지 확인합니다.
Azure Rights Management에서 기본적으로 지원되는 파일 이름 확장명 목록은 Azure Information Protection 클라이언트로 보호되는 파일 형식을 참조하세요. 나열되지 않은 파일 이름 확장명은 이러한 파일에 제네릭 보호를 자동으로 적용하는 Azure Information Protection 클라이언트를 사용하여 지원됩니다.
RMS 보호 Office 문서를 열면 연결된 임시 파일도 RMS 보호가 적용되나요?
아니요. 이 시나리오에서 연결된 임시 파일에는 원본 문서의 데이터가 포함되지 않고 그 대신 파일이 열려있는 동안 사용자가 입력한 내용만 포함됩니다. 원래 파일과 달리 임시 파일은 분명히 공유하도록 설계되지 않았으며 BitLocker 및 EFS와 같은 로컬 보안 제어로 보호되는 디바이스에 유지됩니다.
내가 원하는 기능이 SharePoint 보호 라이브러리에서 작동하지 않는 것 같습니다. 기능에 대한 지원이 계획되어 있나요?
현재 Microsoft SharePoint는 Rights Management 템플릿, 문서 보호 및 일부 기타 기능을 지원하지 않는 IRM 보호 라이브러리를 사용하여 RMS 보호 문서를 지원합니다. 자세한 내용은 Office 애플리케이션 및 서비스 문서의 Microsoft 365의 및 SharePoint 및 SharePoint Server 섹션을 참조하세요.
아직 지원되지 않는 특정 기능에 관심이 있는 경우 Enterprise Mobility and Security 블로그의 공지 사항을 주시해야 합니다.
사용자가 회사 내부와 외부의 사용자들과 파일을 안전하게 공유하도록 하려면 SharePoint에서 One Drive를 어떻게 구성하나요?
기본적으로 Microsoft 365 관리자는 구성할 필요가 없으며 사용자가 구성해야 합니다.
SharePoint 사이트 관리자가 자신이 소유하는 SharePoint 라이브러리에 대해 IRM을 사용하도록 설정하고 구성하듯이, OneDrive는 사용자가 자신의 OneDrive 라이브러리에 대해 IRM을 사용하도록 설정하고 구성하도록 설계되었습니다. 그러나 PowerShell을 사용하여 이 작업을 수행할 수 있습니다. 지침은 Microsoft 365 및 OneDrive의 SharePoint: IRM 구성을 참조하세요.
성공적인 배포를 위한 팁이나 요령이 있나요?
많은 배포를 감독하고 고객, 파트너, 컨설턴트 및 지원 엔지니어의 의견을 경청한 후 경험 에서 전달할 수 있는 가장 큰 팁 중 하나는 간단한 정책 디자인 및 배포입니다.
Azure Information Protection은 누구와든 안전한 공유를 지원하기 때문에 데이터 보호 범위를 충분히 믿을 수 있습니다. 그러나 권한 사용 제한을 구성할 때는 보수적이어야 합니다. 많은 조직에서 가장 큰 비즈니스 영향은 조직의 사람들에 대한 액세스를 제한하여 데이터 유출을 방지하는 데서 비롯됩니다. 물론, 사용자의 인쇄나 편집 등을 방지해야 하는 경우 훨씬 더 세분화할 수도 있습니다. 그러나 더 세분화된 제한은 정말로 높은 수준의 보안이 필요한 문서에 대한 예외로 유지하고, 처음부터 이러한 더 제한적인 사용 권한을 구현하지는 말고 보다 단계적인 방법을 계획하세요.
이제 조직을 떠난 직원이 보호한 파일에 대한 액세스 권한을 다시 되찾으려면 어떻게 해야 할까요?
슈퍼 사용자 기능을 사용합니다. 이 기능은 권한 있는 사용자에게 테넌트가 보호한 모든 문서와 이메일에 대한 모든 권한 사용 권한을 부여합니다. 슈퍼 사용자는 항상 이 보호된 콘텐츠를 읽을 수 있으며, 필요한 경우 보호를 제거하거나 다른 사용자에 대해 다시 보호할 수 있습니다. 이 동일한 기능을 사용하면 권한 있는 서비스가 필요에 따라 파일을 인덱싱하고 검사할 수 있습니다.
콘텐츠가 SharePoint 또는 OneDrive에 저장된 경우 관리자는 Unlock-SensitivityLabelEncryptedFile cmdlet을 실행하여 민감도 레이블과 암호화를 모두 제거할 수 있습니다. 자세한 내용은 Microsoft 365 설명서를 참조하세요.
권한 관리에서 화면 캡처를 방지할 수 있나요?
권한 관리는 복사 사용 권한을 부여하지 않음으로써 Windows 플랫폼(Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile 및 Windows 11)에서 일반적으로 사용되는 많은 화면 캡처 도구에서 화면 캡처를 방지할 수 있습니다. 그러나 iOS, Mac 및 Android 디바이스는 어떤 앱도 화면 캡처를 방지할 수 없습니다. 또한 모든 디바이스의 브라우저는 화면 캡처를 방지할 수 없습니다. 브라우저 사용에 웹용 Outlook 및 웹용 Office가 포함됩니다.
참고 항목
현재 채널(미리 보기)로 배포: 이제 Mac용 Office, Word, Excel 및 PowerPoint(Outlook 제외)에서 화면 캡처를 방지하기 위한 Rights Management 사용 권한을 지원합니다.
화면 캡처를 방지하면 기밀 또는 중요한 정보의 우발적이거나 부주의한 공개를 방지하는 데 도움이 될 수 있습니다. 그러나 화면에 표시되는 데이터를 사용자가 공유할 수 있는 방법은 많으며 화면 캡처는 그 중 한 가지 방법일 뿐입니다. 예를 들어 표시된 정보를 공유하려는 사용자의 의도는 카메라 폰을 사용하여 사진을 찍거나, 데이터를 다시 입력하거나, 단순히 누군가에게 구두로 릴레이할 수 있습니다.
이러한 예제에서 알 수 있듯이 모든 플랫폼과 모든 소프트웨어가 화면 캡처를 차단하기 위해 Rights Management API를 지원하더라도 기술만으로는 사용자가 해서는 안 되는 데이터를 공유하는 것을 항상 막을 수는 없습니다. 권한 관리는 권한 부여 및 사용 정책을 사용하여 중요한 데이터를 보호하는 데 도움이 될 수 있지만 이 엔터프라이즈 권한 관리 솔루션은 다른 컨트롤과 함께 사용해야 합니다. 예를 들어, 물리적 보안을 구현하고, 조직의 데이터에 액세스 권한이 부여된 사람들을 주의 깊게 확인 및 모니터링하고, 공유하지 말아야 하는 데이터를 이해하도록 사용자 교육에 투자합니다.
전달 안 함으로 전자 메일을 보호하는 사용자와 전달 권한을 포함하지 않는 템플릿의 차이점은 무엇인가요?
이름과 모양에도 불구하고 전달 금지는 전달 권한이나 템플릿의 반대가 아닙니다. 실제로 이메일 전달 제한 외에 사서함 외부의 이메일 복사, 인쇄 및 저장 제한이 포함된 일련의 권한입니다. 이러한 권한은 선택된 받는 사람을 통해 사용자에게 동적으로 적용되며 관리자에 의해 고정적으로 할당되지 않습니다. 자세한 내용은 Azure Information Protection에 대한 사용 권한 구성의 이메일에 대한 전달 금지 옵션 섹션을 참조하세요.
Windows Server FCI와 Azure Information Protection 스캐너의 차이점
Windows Server 파일 분류 인프라는 지금까지 문서를 분류한 다음 Rights Management 커넥터(Office 문서만 해당) 또는 PowerShell 스크립트(모든 파일 형식)를 사용하여 문서를 보호하는 옵션이었습니다.
이제 Azure Information Protection 스캐너를 사용하는 것이 좋습니다. 스캐너는 Azure Information Protection 클라이언트 및 Azure Information Protection 정책을 사용하여 문서(모든 파일 형식)에 레이블을 지정하여 이러한 문서를 분류하고 필요에 따라 보호합니다.
이러한 두 솔루션 간의 주요 차이점은 다음과 같습니다.
Windows Server FCI | Azure Information Protection 스캐너 | |
---|---|---|
지원되는 데이터 저장소 | Windows Server의 로컬 폴더 | - Windows 파일 공유 및 네트워크 연결 스토리지 - SharePoint Server 2016 및 SharePoint Server 2013. SharePoint Server 2010은 이 버전의 SharePoint에 대한 추가 지원이 있는 고객에게도 지원됩니다. |
작동 모드 | 실시간 | 데이터 저장소를 한 번 또는 반복적으로 체계적으로 크롤링 |
지원되는 파일 형식 | - 모든 파일 형식은 기본적으로 보호됩니다. - 레지스트리를 편집하여 특정 파일 형식을 보호에서 제외할 수 있습니다. |
파일 형식 지원: - Office 파일 형식 및 PDF 문서는 기본적으로 보호됩니다. - 레지스트리를 편집하여 보호를 위해 추가 파일 형식을 포함할 수 있습니다. |