Microsoft Purview를 통한 Information Protection 솔루션 배포

Microsoft 365 보안 및 규정 준수 라이선스

정보 보호 전략은 비즈니스 요구 사항에 따라 결정됩니다. 많은 조직이 규정, 법률 및 비즈니스 관행을 준수해야 합니다. 또한 조직은 특정 프로젝트에 대한 데이터와 같은 독점 정보를 보호해야 합니다.

Microsoft Purview Information Protection(이전의 Microsoft Information Protection)는 클라우드, 앱 및 디바이스에서 중요한 데이터를 보호하는 데 사용할 수 있는 프레임워크, 프로세스 및 기능을 제공합니다.

실행 중인 Microsoft Purview Information Protection 예제를 보려면 최종 사용자 환경에서 관리자 구성에 이르기까지 다음 비디오를 watch.

팁

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

Microsoft Purview Information Protection 프레임워크

Microsoft Purview Information Protection을 사용하여 중요한 정보가 어디에 있든, 어디에 있든 검색, 분류, 보호 및 관리할 수 있습니다.

데이터 거버넌스에 대한 내용은 Microsoft Purview를 사용해 데이터 거버넌스 솔루션 배포하기를 참조하세요.

라이선싱

Microsoft Purview Information Protection 기능은 Microsoft Purview에 포함되어 있습니다. 라이선스 요구 사항은 구성 옵션에 따라 기능 내에서도 다를 수 있습니다. 라이선스 요구 사항 및 옵션을 확인하려면 보안 및 규정 준수를 위한 Microsoft 365 지침을 참조하세요.

사용자 데이터 파악

중요한 데이터가 있는 위치를 아는 것은 많은 조직에서 종종 가장 큰 과제입니다. Microsoft Purview Information Protection 데이터 분류는 조직에서 생성하여 계속 증가하는 데이터 양을 검색하고 정확하게 분류하는 데 도움이 됩니다. 그래픽 표현을 통해 이 데이터에 대한 인사이트를 얻을 수 있으므로 데이터를 보호하고 통제하기 위한 정책을 설정하고 모니터링할 수 있습니다.

단계	설명	추가 정보
1	보호하려는 중요한 정보의 범주를 설명하세요. 어떤 유형의 정보가 조직에 가장 가치 있고 어떤 유형이 그렇지 않은지 이미 알고 있습니다. 이해 관계자와 협력하여 출발점이 되는 이러한 범주를 설명하세요.	중요한 정보 유형에 대해 알아보기 학습 가능한 분류자에 대한 자세한 정보
2	중요한 데이터를 발견하고 분류합니다. 항목의 중요한 데이터는 기본 DLP 정책, 사용자에 의한 수동 레이블 지정, 중요한 정보 유형 또는 기계 학습을 사용한 자동화된 패턴 인식을 포함하는 다양한 방법을 사용하여 찾을 수 있습니다.	데이터 분류에 대한 자세한 정보 비디오: Microsoft Purview 규정 준수 포털 데이터 분류
3	중요한 항목을 봅니다. 중요한 항목과 사용자가 이러한 항목에 대해 수행하는 작업에 대한 심층 분석을 위해 콘텐츠 탐색기 및 활동 탐색기를 사용합니다.	콘텐츠 탐색기로 시작 활동 탐색기 시작하기

사용자 데이터 보호

중요한 데이터가 있는 위치를 아는 정보를 사용하여 보다 효율적으로 데이터를 보호할 수 있습니다. 그러나 수동, 기본 및 자동 레이블 지정을 조합하여 데이터를 즉시 보호할 수 있으므로 기다릴 필요가 없습니다. 그런 다음 이전 섹션의 콘텐츠 탐색기 및 활동 탐색기를 사용하여 레이블이 지정된 항목과 레이블을 사용하는 방법을 확인합니다.

단계	설명	추가 정보
1	조직의 데이터를 보호할 민감도 레이블 및 정책을 정의합니다. 이러한 레이블은 콘텐츠의 민감도를 식별하는 것 외에도 콘텐츠 표시(머리글, 바닥글, 워터마크), 암호화 및 기타 액세스 제어와 같은 보호 작업을 적용할 수 있습니다. 민감도 레이블 예: 개인 공개c 일반 - 모든 사용자(무제한) - 모든 직원(무제한) 기밀 - 모든 사용자(무제한) - 모든 직원 - 신뢰할 수 있는 사람 극비 - 모든 직원 - 특정 사람 민감도 레이블 정책 예: 1. 테넌트에서 모든 사용자에게 모든 레이블 게시 2. 항목에 대한 일반 \ 모든 직원(무제한)의 기본 레이블 3. 사용자는 레이블을 제거하거나 분류를 낮출 근거 를 제공해야 합니다.	민감도 레이블 시작하기 민감도 레이블과 해당 정책 생성 및 구성 민감도 레이블을 사용하여 암호화를 적용하여 콘텐츠에 대한 액세스 제한
2	Microsoft 365 앱 및 서비스의 데이터에 레이블을 지정하고 보호합니다. 민감도 레이블은 Microsoft 365 Word, Excel, PowerPoint, Outlook, Teams 모임 및 SharePoint 및 OneDrive 사이트 및 Microsoft 365 그룹을 포함하는 컨테이너에도 지원됩니다. 수동 레이블 지정, 자동 레이블 지정, 기본 레이블 및 필수 레이블 지정과 같은 레이블 지정 방법을 조합하여 사용합니다. 클라이언트 쪽 자동 레이블 지정에 대한 예제 구성: 1. 1-9 크레딧 카드 번호인 경우 기밀 \ 모든 사람(무제한) 추천 2. 10개 이상의 크레딧 카드 번호인 경우 기밀 \ 모든 직원 추천 -- 일반적인 최종 사용자 환경과 사용자가 단추를 선택하여 중요한 콘텐츠를 표시합니다(Word만 해당). 서비스 쪽 자동 레이블 지정에 대한 예제 구성: 모든 위치(Exchange, SharePoint, OneDrive)에 적용 1. 1-9 크레딧 카드 번호인 경우 기밀 \ 모든 사람(무제한)을 적용합니다. 2. 10개 이상의 크레딧 카드 번호인 경우 기밀 적용 \ 모든 직원 3. 1-9 미국 개인 데이터 및 전체 이름인 경우 기밀 \ 모든 사람(무제한) 을 적용합니다. 4. 10개 이상의 미국 개인 데이터 및 전체 이름인 경우 기밀 \ 모든 직원 적용	Office 앱의 민감도 레이블 관리 SharePoint 및 OneDrive에서 파일에 대한 민감도 레이블 사용 민감도 레이블로 암호화된 파일에 공동 작성 사용 SharePoint 문서 라이브러리에 대한 기본 민감도 레이블 구성 민감도 레이블을 콘텐츠에 자동으로 적용 Microsoft Teams, Microsoft 365 그룹 및 SharePoint 사이트에서 민감도 레이블 사용하기 민감도 레이블을 사용하여 일정 항목, Teams 모임 및 채팅 보호 민감도 레이블을 사용하여 SharePoint 및 OneDrive의 사이트 및 문서에 대한 기본 공유 링크 설정 Microsoft Syntex 모델에 민감도 레이블 적용 Power BI의 민감도 레이블
3	민감도 레이블과 함께 Microsoft Defender for Cloud Apps 사용하여 클라우드(Box, GSuite, SharePoint 및 OneDrive)의 데이터 저장소에 있는 중요한 항목을 검색, 레이블 지정 및 보호합니다. 파일 정책의 예제 구성: Box 계정에 저장된 파일에서 신용 카드 번호를 찾은 다음 민감도 레이블을 적용하여 기밀 정보를 식별하고 암호화합니다.	클라우드에 저장된 데이터를 검색하고, 분류하고, 레이블을 지정하고, 보호
4	민감도 레이블을 사용하여 정보 보호 스캐너 를 배포하여 온-프레미스 데이터 저장소에 있는 중요한 항목을 검색, 레이블 지정 및 보호합니다.	정보 보호 스캐너 구성 및 설치
5	Microsoft Pruview 데이터 맵을 사용하여 민감도 레이블을 Azure로 확장하여 Azure Blob Storage, Azure 파일, Azure Data Lake Storage Gen1 및 Azure Data Lake Storage Gen12에 대한 항목을 검색하고 레이블을 지정합니다.	Microsoft Purview 데이터 맵의 레이블 지정

민감도 레이블을 기간 업무 앱 또는 타사 SaaS 앱으로 확장하려는 개발자는 Microsoft Information Protection(MIP) SDK 설정 및 구성을 참조하세요.

추가 보호 기능

Microsoft Purview에는 데이터를 보호하는 데 도움이 되는 추가 기능이 포함되어 있습니다. 모든 고객에게 이러한 기능이 필요한 것은 아니며 일부는 최신 릴리스로 대체될 수 있습니다.

보호 기능의 전체 목록은 Microsoft Purview를 사용하여 데이터 보호 페이지를 참조하세요.

데이터 손실 방지

Microsoft Purview DLP(데이터 손실 방지) 정책을 배포하여 앱 및 서비스 전반에서 중요한 데이터의 부적절한 공유, 전송 또는 사용을 통제하고 방지합니다. 이러한 정책은 사용자가 중요한 데이터를 사용할 때 올바른 결정을 내리고 올바른 조치를 취하는 데 도움이 됩니다.

단계	설명	추가 정보
1	DLP에 대해 알아보세요. 조직은 재무 데이터, 독점 데이터, 신용 카드 번호, 건강 기록 및 사회 보장 번호와 같은 중요한 정보를 제어합니다. 이러한 중요한 데이터를 보호하고 위험을 줄이려면 사용자가 해당 데이터를 소유해서는 안 되는 사람과 부적절하게 공유하는 것을 방지할 방법이 필요합니다. 이러한 관행을 데이터 손실 방지(DLP)라고 합니다.	데이터 손실 방지에 대해 알아보기
2	DLP 구현을 계획합니다. 모든 조직의 비즈니스 요구, 목표, 리소스 및 상황이 고유하기 때문에 모든 조직은 데이터 손실 방지(DLP)를 다르게 계획하고 구현합니다. 그러나 모든 성공적인 DLP 구현에 공통적인 요소가 있습니다.	데이터 손실 방지 계획
3	DLP 정책을 설계하고 생성합니다. DLP(데이터 손실 방지) 정책을 만드는 것은 빠르고 쉽지만 많은 조정을 수행해야 하는 경우 의도한 결과를 생성하는 정책을 얻는 데 시간이 많이 걸릴 수 있습니다. 정책을 구현하기 전에 정책을 디자인하는 데 시간이 걸리면 시행착오만으로 조정하는 것보다 더 빠르고 의도하지 않은 문제가 더 적은 원하는 결과를 얻을 수 있습니다. DLP 정책의 예제 구성: 신용 카드 번호를 포함하거나 전자 메일에 기밀 정보를 ID로 지정하는 특정 민감도 레이블이 있는 경우 전자 메일이 전송되지 않도록 합니다.	DLP 정책 디자인 DLP 정책 참조 데이터 손실 방지 정책 만들기 및 배포
4	DLP 정책을 조정합니다. DLP 정책을 배포한 후 의도한 목적을 얼마나 잘 충족하는지 확인할 수 있습니다. 이 정보를 사용하여 더 나은 성능을 위해 정책 설정을 조정하세요.	데이터 손실 방지 정책 만들기 및 배포

배포 전략

크레딧 카드 번호 예제는 종종 초기 테스트 및 최종 사용자 교육에 유용합니다. organization 일반적으로 신용 카드 번호를 보호할 필요가 없더라도 보호가 필요한 중요한 항목이라는 개념은 사용자가 쉽게 이해할 수 있습니다. 많은 웹 사이트는 테스트 목적으로만 적합한 신용 카드 번호를 제공합니다. 신용 카드 번호 생성기를 제공하는 사이트를 검색하여 숫자를 문서 및 전자 메일에 붙여넣을 수도 있습니다.

자동 레이블 지정 및 DLP 정책을 프로덕션으로 이동할 준비가 되면 organization 사용하는 데이터 형식에 적합한 분류자 및 구성으로 변경합니다. 예를 들어 지적 재산권 및 특정 유형의 문서에 대해 학습 가능한 분류자를 사용하거나 고객 또는 직원과 관련된 개인 정보 데이터에 대해 정확한 EDM(데이터 일치) 중요한 정보 유형을 사용해야 할 수 있습니다.

또는 보안 공격의 대상이 되는 IT 관련 정보를 검색하고 보호하는 것부터 시작할 수 있습니다. 그런 다음 전자 메일 및 Teams 채팅에 대한 DLP 정책과 암호 공유를 확인하고 방지하여 이를 보완합니다.

• 학습 가능한 분류자 IT 및 IT 인프라 및 네트워크 보안 문서 사용
• 기본 제공 중요한 정보 유형 일반 암호를 사용하고 사용자가 사용하는 다양한 언어에 대해 "password is"에 대한 사용자 지정 중요한 정보 유형을 만듭니다.

정보 보호 솔루션을 배포하는 것은 선형 배포가 아니라 반복적이며 순환하는 경우가 많습니다. 데이터를 더 많이 알수록 더 정확하게 레이블을 지정하고 데이터 유출을 방지할 수 있습니다. 적용된 레이블 및 정책의 결과는 데이터 분류 dashboard 및 도구로 전달되므로 더 중요한 데이터를 보호할 수 있습니다. 또는 해당 중요한 데이터를 이미 보호하고 있는 경우 추가 보호 조치가 필요한지 여부를 고려합니다.

민감도 레이블을 정의한 즉시 데이터에 수동으로 레이블을 지정할 수 있습니다. DLP에 사용하는 것과 동일한 분류자를 사용하여 더 많은 데이터를 자동으로 찾아 레이블을 지정할 수 있습니다. 민감도 레이블을 분류자로 사용할 수도 있습니다(예: 매우 기밀로 레이블이 지정된 공유 항목 차단).

대부분의 고객은 이미 데이터를 보호하기 위한 몇 가지 솔루션을 마련하고 있습니다. 배포 전략은 이미 있는 것을 기반으로 구축하거나 가장 비즈니스 가치를 제공하거나 고위험 영역을 해결하는 격차에 집중하는 것입니다.

고유한 배포 전략을 계획하는 데 도움이 되도록 민감도 레이블 시작 및 데이터 손실 방지 계획을 참조하세요.

단계적 배포 고려

점진적으로 제한적인 컨트롤을 구현하는 단계적 배포를 사용하여 정보 보호를 배포하는 것이 좋습니다. 이 접근 방식은 기술에 대해 잘 알고 자신감을 얻으면서 사용자를 위한 새로운 보호 조치를 점진적으로 도입합니다. 예를 들면

• 기본 레이블 및 암호화 없음에서 중요한 데이터를 찾을 때 암호화를 적용하는 레이블을 추천한 다음 중요한 데이터가 발견되면 자동으로 레이블을 적용합니다.
• 초과 공유 작업 감사에서 사용자를 교육하기 위한 경고로 보다 제한적인 차단으로 진행한 다음 모든 공유를 차단하는 DLP 정책.

이러한 단계적 배포에 대한 세부 정보는 민감도 레이블 및 DLP 정책이 독립적으로 사용된 경우보다 더 큰 데이터 보호를 제공하기 위해 서로 더 통합되는 다음 계획과 유사할 수 있습니다.

1단계

민감도 레이블 구성:

• 일반\모든 직원: 전자 메일의 기본 레이블입니다. 암호화가 없습니다. 전자 메일에 적용된 경우 사용자가 과도하게 공유하지 못하도록 차단합니다.
• Confidential\All Employees: 문서의 기본 레이블입니다. 암호화가 없습니다. 전자 메일에 적용된 경우 사용자가 과도하게 공유하지 못하도록 차단합니다.
• 매우 기밀성\모든 직원: 암호화가 없습니다. 전자 메일에 적용된 경우 사용자가 과도하게 공유하지 못하도록 차단합니다.

DLP 정책 A:

• 신용 카드 인스턴스가 1-2개인 경우 항목이 개인 또는 기밀\모든 사람(무제한)으로 레이블이 지정된 경우를 제외하고 외부 공유를 차단합니다. 분석에 로깅 및 보고를 사용합니다.

DLP 정책 B:

• 신용 카드의 3-9 인스턴스가 발견되면 외부 공유, 클라우드 송신을 차단하고 항목이 Confidential\Anyone(무제한)로 레이블이 지정된 경우를 제외하고 이동식 드라이브에 복사합니다. 분석에 로깅 및 보고를 사용합니다.

DLP 정책 C:

• 10개 이상의 신용 카드 인스턴스가 발견되면 외부 공유, 클라우드 송신을 차단하고 예외 없이 이동식 드라이브에 복사합니다. 분석에 로깅 및 보고를 사용합니다.

2단계

민감도 레이블 구성:

• 일반\모든 직원: 전자 메일의 기본 레이블입니다. 암호화가 없습니다. 전자 메일에 적용된 경우 사용자가 과도하게 공유하지 못하도록 차단합니다.
• Confidential\All Employees: 문서의 기본 레이블입니다. 모든 직원에게 모든 권한을 가진 암호화. 전자 메일에 적용된 경우 사용자가 과도하게 공유하지 못하도록 차단합니다.
• Confidential\Trusted 사람: 사용자가 Outlook에 대한 Encrypt-Only 사용하여 권한을 할당하고 Word, PowerPoint 및 Excel에서 사용자에게 메시지를 표시하는 암호화입니다. 전자 메일에 적용된 경우 DLP 도구 설명을 표시하여 권한이 없는 사용자가 전자 메일을 읽을 수 없음을 사용자에게 경고합니다.
• 매우 기밀성\모든 직원: 모든 직원에게 모든 권한을 가진 암호화. 전자 메일에 적용된 경우 사용자가 과도하게 공유하지 못하도록 차단합니다. 신뢰도가 높은 신용 카드 인스턴스 3-9개 또는 신뢰도가 낮은 신용 카드 인스턴스 10개 이상이 발견되면 레이블을 권장합니다.

DLP 정책 A:

• 신용 카드 인스턴스가 1-2개인 경우 항목이 개인 또는 기밀\모든 사람(무제한)으로 레이블이 지정된 경우를 제외하고 외부 공유를 차단합니다. 짧은 기간 동안 반복 작업에 대한 경고를 보냅니다.

DLP 정책 B:

• 신용 카드의 3-9 인스턴스가 발견되면 외부 공유, 클라우드 송신을 차단하고 항목이 Confidential\Anyone(무제한)로 레이블이 지정된 경우를 제외하고 이동식 드라이브에 복사합니다. 시간이 지남에 따라 반복 작업에 대한 경고를 보냅니다.

DLP 정책 C:

• 10개 이상의 신용 카드 인스턴스가 발견되면 외부 공유, 클라우드 송신을 차단하고 예외 없이 이동식 드라이브에 복사합니다. 각 개별 작업에 대해 보고합니다.

3단계

민감도 레이블 구성:

• 일반\모든 직원: 전자 메일의 기본 레이블입니다. 암호화가 없습니다. 전자 메일에 적용된 경우 사용자가 과도하게 공유하지 못하도록 차단합니다.
• Confidential\All Employees: 부모 레이블의 기본 하위 레이블인 Confidential입니다. 모든 직원에게 내보내기 및 모든 권한을 제외한 모든 사용 권한으로 암호화합니다. 관리자에 대한 모든 권한 사용 권한을 사용하여 암호화합니다. 신용 카드의 1-9 인스턴스가 낮은 신뢰도로 발견되면 레이블을 권장합니다.
• Confidential\Trusted 사람: 사용자가 Outlook에 대한 Encrypt-Only 사용하여 권한을 할당하고 Word, PowerPoint 및 Excel에서 사용자에게 메시지를 표시하는 암호화입니다. 전자 메일에 적용된 경우 DLP 도구 설명을 표시하여 권한이 없는 사용자가 전자 메일을 읽을 수 없음을 사용자에게 경고합니다.
• 매우 기밀성\모든 직원: 모든 직원에게 내보내기 및 모든 권한을 제외한 모든 사용 권한으로 암호화합니다. 관리자에 대한 모든 권한 사용 권한을 사용하여 암호화합니다. 신용 카드의 1-9 인스턴스가 낮은 신뢰도로 발견되면 레이블을 권장합니다. 전자 메일에 적용된 경우 사용자가 과도하게 공유하지 못하도록 차단합니다. 신뢰도가 높은 신용 카드 인스턴스 3-9개 또는 신뢰도가 낮은 신용 카드 인스턴스 10개 이상이 발견되면 레이블을 자동으로 적용합니다.
• 매우 기밀성\특정 사람: 사용자가 Outlook용 전달 금지로 권한을 할당하고 Word, PowerPoint 및 Excel에서 사용자에게 메시지를 표시하는 암호화입니다. 모든 DLP 차단 규칙에 대한 예외입니다.

DLP 정책 A:

• 신용 카드 인스턴스가 1-2개인 경우 항목이 개인, 기밀\신뢰할 수 있는 사람 또는 매우 기밀\특정 사람 레이블이 지정된 경우를 제외하고 외부 공유를 차단합니다. 짧은 기간 동안 반복 작업에 대한 경고를 보냅니다.

DLP 정책 B:

• 신용 카드의 3-9 인스턴스가 발견되면 외부 공유, 클라우드 송신을 차단하고 항목이 Confidential\Anyone(무제한) 또는 매우 기밀\특정 사람 레이블이 지정된 경우를 제외하고 이동식 드라이브에 복사합니다. 시간이 지남에 따라 반복 작업에 대한 경고를 보냅니다.

DLP 정책 C:

• 10개 이상의 신용 카드 인스턴스가 발견되면 외부 공유, 클라우드 송신을 차단하고 예외 없이 이동식 드라이브에 복사합니다. 각 개별 작업에 대해 보고합니다.

DLP 정책 D:

• General\All Employees, Confidential\All Employees 또는 Highly Confidential\All Employees의 민감도 레이블이 정책 팁과 외부 공유를 차단하는 경우 예외는 없습니다.

이 예제 단계별 배포에 대한 구성 세부 정보:

• 상위 레이블의 기본 하위 레이블
• 데이터 손실 방지 Exchange 조건 및 작업 참조
• 민감도 유형의 신뢰 수준 및 기타 요소
• DLP 정책에서 민감도 레이블을 조건으로 사용
• 사용자가 권한을 할당할 수 있는 암호화
• 특정 사용 권한에 대한 암호화
• 데이터 손실 방지 정책에 대한 경고 구성 및 보기

교육 리소스

대화형 가이드: Microsoft Purview Information Protection

컨설턴트 및 관리자를 위한 학습 모듈:

• Microsoft Purview의 정보 보호 및 데이터 수명 주기 관리 소개
• 보호 및 거버넌스를 위한 데이터 분류
• Microsoft Purview의 정보 보호
• Microsoft Purview의 데이터 손실 방지

구성한 민감도 레이블을 적용하고 사용하도록 사용자를 교육하려면 민감도 레이블에 대한 최종 사용자 설명서를 참조하세요.

Teams에 대한 데이터 손실 방지 정책을 배포하는 경우 다음 최종 사용자 지침이 이 기술을 소개하는 데 유용할 수 있습니다. 여기에는 사용자에게 표시될 수 있는 몇 가지 잠재적인 메시지인 DLP(데이터 손실 방지) 및 통신 규정 준수 정책에 대한 Teams 메시지가 포함됩니다.