Azure Information Protection 클래식 클라이언트에 대한 질문과 대답

레이블을 통합 레이블 지정으로 마이그레이션할 적당한 시점은 언제인가요?

통합 레이블 지정을 지원하는 다른 클라이언트 및 서비스에서 민감도 레이블로 사용할 수 있도록 Azure Information Protection 레이블을 통합 레이블 지정 플랫폼으로 마이그레이션하는 것이 좋습니다.

자세한 내용 및 지침은 Azure Information Protection 레이블을 통합 민감도 레이블로 마이그레이션하는 방법을 참조하세요.

민감도 레이블 및 통합 레이블 지정 플랫폼으로 이동한 후 파일을 다시 암호화해야 하나요?

아니요. Azure Portal에서 관리되는 레이블 및 AIP 클래식 클라이언트에서 마이그레이션하고 민감도 레이블 및 통합 레이블 지정 플랫폼으로 이동한 후에는 파일을 암호화하지 않아도 됩니다.

마이그레이션한 후 Microsoft 365 규정 준수 센터에서 레이블 및 레이블 지정 정책을 관리합니다.

자세한 내용은 Microsoft 365 설명서의 민감도 레이블에 대해 알아보기 및 통합 레이블 지정 마이그레이션 이해를 참조하세요.

Microsoft 365 레이블과 Azure Information Protection 레이블 간의 차이점은 무엇인가요?

원래 Microsoft 365 보존 레이블만 있었기 때문에 해당 콘텐츠가 Microsoft 365 서비스에 저장되었을 때 감사 및 보존을 위해 문서와 이메일을 분류할 수 있었습니다.

반면, Azure Portal AIP 클래식 클라이언트를 사용하여 구성된 Azure Information Protection 레이블을 사용하면 온-프레미스 또는 클라우드에 저장되었는지 여부에 관계없이 문서 및 전자 메일에 일관된 분류 및 보호 정책을 적용할 수 있었습니다.

Microsoft 365 보존 레이블 외에도 민감도 레이블을 지원합니다. 민감도 레이블은 Microsoft 365 규정 준수 센터에서 만들고 구성할 수 있습니다.

Azure Portal 구성된 레거시 AIP 레이블이 있는 경우 민감도 레이블 및 통합 레이블 지정 클라이언트로 마이그레이션하는 것이 좋습니다. 자세한 내용은 자습서: AIP(Azure Information Protection) 클래식 클라이언트에서 통합 레이블 지정 클라이언트로 마이그레이션을 참조하세요.

자세한 내용은 중요한 데이터를 보호하기 위해 사용 가능한 정보 보호 기능 발표를 참조하세요.

Azure Information Protection 클라이언트는 분류 및 레이블이 포함된 구독에만 사용할 수 있나요?

아니요. 클래식 AIP 클라이언트는 데이터 보호를 위해 Azure Rights Management 서비스만 포함된 구독에도 사용할 수도 있습니다.

클래식 클라이언트가 Azure Information Protection 정책 없이 설치되면 보호 전용 모드에서 클라이언트가 자동으로 작동하므로 사용자가 Rights Management 템플릿 및 사용자 지정 권한을 적용할 수 있습니다.

나중에 분류 및 레이블 지정이 포함된 구독을 구입하면 Azure Information Protection 정책을 다운로드할 때 클라이언트가 자동으로 표준 모드로 전환됩니다.

Rights Management 소유자 설정

기본적으로 Windows Server FCI와 Azure Information Protection 스캐너 모두 Rights Management 소유자는 파일을 보호하는 계정으로 설정됩니다.

다음과 같이 기본 설정을 재정의합니다.

• Windows Server FCI: 모든 파일에 대해 Rights Management 소유자를 단일 계정으로 설정하거나 각 파일에 대해 Rights Management 소유자를 동적으로 설정합니다.

  Rights Management 소유자를 동적으로 설정하려면 -OwnerMail [Source File Owner Email] 매개 변수 및 값을 사용합니다. 이 구성은 파일의 Owner 속성에 있는 사용자 계정 이름을 사용하여 Active Directory에서 해당 사용자의 이메일 주소를 검색합니다.

• Azure Information Protection 스캐너: 새로 보호된 파일의 경우 스캐너 프로필에서 -기본 소유자 설정을 지정하여 지정된 데이터 저장소의 모든 파일에 대해 Rights Management 소유자를 단일 계정으로 설정합니다.

  각 파일에 대해 Rights Management 소유자를 동적으로 설정할 수 없으며 이전에 보호된 파일에 대해서는 Rights Management 소유자가 변경되지 않습니다.

  참고

  스캐너가 SharePoint 사이트 및 라이브러리의 파일을 보호하는 경우 SharePoint 편집기 값을 사용하여 각 파일의 Rights Management 소유자가 동적으로 설정됩니다.

파일에 분류가 여러 개 있을 수 있나요?

사용자는 각 문서 또는 메일에 대해 한 번에 레이블 하나만 선택할 수 있으며, 그 결과 분류가 하나만 생깁니다. 그러나 사용자가 하위 레이블을 선택하면 실제로 두 레이블(기본 레이블 및 보조 레이블)이 동시에 적용됩니다. 하위 레이블을 사용함으로써 추가 수준의 제어에 대해 파일에 부모\자식 관계를 나타내는 두 분류가 있을 수 있습니다.

예를 들어, 기밀 레이블은 법률과 금융 같은 하위 레이블을 포함할 수 있습니다. 서로 다른 분류 시각적 표시와 서로 다른 Rights Management 템플릿을 이러한 하위 레이블에 적용할 수 있습니다. 사용자는 기밀 레이블 자체만 선택할 수 없으며 법률 같은 하위 레이블 중 하나를 선택해야 합니다. 결과적으로 표시되는 레이블은 기밀 \ 법률입니다. 해당 파일의 메타데이터에는 기밀에 대한 사용자 지정 텍스트 속성 하나, 법률에 대한 사용자 지정 텍스트 속성 하나, 두 값을 모두 포함하는 다른 사용자 지정 텍스트 속성(기밀 법률)이 포함됩니다.

하위 레이블을 사용할 때에는 기본 레이블에 시각적 표시, 보호 및 상태를 구성하지 마세요. 하위 수준을 사용할 때에는 하위 레이블에만 이러한 설정을 구성합니다. 기본 레이블과 하위 레이블에 이러한 설정을 구성하는 경우 하위 레이블의 설정이 우선합니다.

다른 사용자가 레이블을 제거하거나 변경하지 않도록 방지하려면 어떻게 할까요?

사용자가 보안 레이블을 낮추거나 레이블을 제거하거나 보호를 제거한 이유를 언급해야 하는 정책 설정이 있지만 이 설정이 이러한 작업을 방해하지는 않습니다. 사용자가 레이블을 제거하거나 변경하지 않도록 하려면 콘텐츠를 미리 보호해야 하며 보호 권한에서 사용자에게 내보내기 또는 모든 권한 사용 권한을 부여하지 않습니다.

DLP 솔루션 및 다른 애플리케이션을 Azure Information Protection과 통합하려면 어떻게 하나요?

Azure Information Protection에서는 일반 텍스트 레이블을 포함하는 영구 메타데이터를 분류에 사용하므로 DLP 솔루션 및 다른 애플리케이션에서 이 정보를 읽을 수 있습니다.

이 메타데이터에 대한 자세한 내용은 이메일 및 문서에 저장된 레이블 정보를 참조하세요.

이 메타데이터를 Exchange Online 메일 흐름 규칙과 함께 사용하는 예제는 Azure Information Protection 레이블에 대한 Exchange Online 메일 흐름 규칙 구성을 참조하세요.

분류를 자동으로 포함하는 문서 템플릿을 만들 수 있나요?

예. 레이블 이름을 포함하는 헤더 또는 바닥글을 적용하도록 레이블을 구성할 수 있습니다. 하지만 요구 사항을 충족하지 않는 경우 Azure Information Protection 클래식 클라이언트에 대해서만 원하는 서식이 있는 문서 템플릿을 만들고 분류를 필드 코드로 추가할 수 있습니다.

예를 들어, 문서의 헤더에 분류를 표시하는 표를 포함할 수 있습니다. 또는 문서의 분류를 참조하는 소개에 특정 단어를 사용할 수 있습니다.

문서에 이러한 필드 코드를 추가하려면:

1. 문서에 레이블을 지정하고 저장합니다. 이렇게 하면 필드 코드에 사용할 수 있는 새로운 메타데이터 필드가 생성됩니다.

2. 문서에서 레이블의 분류를 추가할 위치에 커서를 두고 삽입 탭에서 텍스트>빠른 문서 요소>필드를 선택합니다.

3. 필드 대화 상자의 범주 드롭다운에서 문서 정보를 선택합니다. 그런 다음, 필드 이름 드롭다운에서 DocProperty를 선택합니다.

4. 속성 드롭다운에서 Sensitivity를 선택하고 확인을 선택합니다.

현재 레이블의 분류가 문서에 표시되고, 문서를 열거나 템플릿을 사용할 때마다 이 값이 자동으로 업데이트됩니다. 따라서 레이블이 변경되면 이 필드 코드에 대해 표시되는 분류가 문서에서 자동으로 업데이트됩니다.

Azure Information Protection을 사용한 이메일 분류가 Exchange 메시지 분류와 어떻게 다른가요?

Exchange 메시지 분류는 이메일을 분류할 수 있는 이전 기능이며 분류가 적용되는 Azure Information Protection 레이블 또는 민감도 레이블과는 별개로 구현됩니다.

그러나 이러한 이전 기능을 레이블과 통합할 수 있으므로 사용자가 웹용 Outlook과 일부 모바일 메일 애플리케이션을 사용하여 이메일을 분류할 때 레이블 분류 및 해당 레이블 표시가 자동으로 추가됩니다.

웹용 Outlook 및 이러한 모바일 메일 애플리케이션에서 레이블을 사용할 때도 이와 동일한 방법을 사용할 수 있습니다.

이 조합은 Microsoft 365 규정 준수 센터의 민감도 레이블을 게시할 때 기본 제공 레이블 지정을 지원하므로 Exchange Online에서 웹용 Outlook을 사용하는 경우에는 이 작업을 수행할 필요가 없습니다.

웹용 Outlook 기본 제공 레이블 지정을 사용할 수 없는 경우 이 해결 방법: 레거시 Exchange 메시지 분류와 통합에 대한 구성 단계를 참조하세요.

Mac 컴퓨터에서 문서를 보호하고 추적하도록 어떻게 구성하나요?

먼저 https://admin.microsoft.com의 소프트웨어 설치 링크를 사용하여 Mac용 Office를 설치해야 합니다. 전체 지침은 PC 또는 Mac에 Microsoft 365 또는 Office 2019 다운로드 및 설치 또는 다시 설치를 참조하세요.

Outlook을 열고 Microsoft 365 회사 또는 학교 계정을 사용하여 프로필을 만듭니다. 그런 다음, 새 메시지를 만들고 다음을 수행하여 Azure Rights Management 서비스를 사용하여 문서와 이메일을 보호할 수 있도록 Office를 구성합니다.

1. 새 메시지의 옵션 탭에서 권한을 클릭한 다음, 자격 증명 확인을 클릭합니다.

2. 메시지가 표시되면 Microsoft 365 회사 또는 학교 계정 세부 정보를 다시 입력하고 로그인을 선택합니다.

   이제 Azure Rights Management 템플릿이 다운로드되고 자격 증명 확인이 제한 없음, 전달 금지 및 테넌트용으로 게시된 Azure Rights Management 템플릿이 포함된 옵션으로 바뀝니다. 이제 새 메시지를 취소할 수 있습니다.

이메일 메시지나 문서를 보호하려면: 옵션 탭에서 권한을 클릭하고 이메일이나 문서를 보호할 옵션이나 템플릿을 선택합니다.

문서를 보호한 후에 추적하려면: Azure Information Protection 클래식 클라이언트가 설치된 Windows 컴퓨터에서 Office 애플리케이션이나 파일 탐색기를 사용하여 문서 추적 사이트에 문서를 등록합니다. 지침은 문서 추적 및 해지를 참조하세요. Mac 컴퓨터의 경우 이제 웹 브라우저를 사용하여 문서 추적 사이트 (https://track.azurerms.com)로 이동하여 문서를 추적하고 해지할 수 있습니다.

문서 추적 사이트에서 해지를 테스트할 때 문서에 최대 30일까지 계속 액세스할 수 있다는 메시지가 표시됩니다. 이 기간을 구성할 수 있나요?

예. 이 메시지에는 해당 파일에 대한 사용 라이선스가 반영됩니다.

파일을 해지하면 사용자가 Azure Rights Management 서비스에 인증하는 경우에만 해당 동작이 적용될 수 있습니다. 따라서 파일의 사용 라이선스 유효 기간이 30일이고 사용자가 해당 파일을 이미 열었으면, 사용자는 사용 라이선스 기간 동안 문서에 대한 액세스 권한을 계속 갖습니다. 사용 라이선스가 만료되면 문서가 해지되기 때문에 사용자의 액세스가 거부되는 시점에서 다시 인증해야 합니다.

문서를 보호한 사용자인 Rights Management 발급자는 해지에서 제외되고 해당 문서에 항상 액세스할 수 있습니다.

테넌트에 대한 사용 라이선스 유효 기간의 기본값은 30일이며 이 설정은 레이블이나 템플릿의 보다 제한적인 설정으로 재정의할 수 있습니다. 사용 라이선스에 대한 자세한 내용 및 구성 방법은 Rights Management 사용 라이선스 문서를 참조하세요.

BYOK와 HYOK의 차이점과 사용 시기

Azure Information Protection 컨텍스트의 BYOK(Bring your own key)는 Azure Rights Management 보호를 위해 온-프레미스에 자체 키를 만드는 경우에 적합합니다. 그런 다음, 키를 계속 소유하고 관리하는 Azure Key Vault의 HSM(하드웨어 보안 모듈)에 해당 키를 전송합니다. 이렇게 하지 않으면, Azure Rights Management 보호는 Azure에서 자동으로 생성되고 관리되는 키를 사용합니다. 이러한 기본 구성을 "고객 관리"(BYOK 옵션)가 아닌 "Microsoft 관리"라고 합니다.

BYOK에 대한 자세한 내용 및 조직에 이 키 토폴로지를 선택해야 할지 여부는 Azure Information Protection 테넌트 키 계획 및 구현을 참조하세요.

Azure Information Protection 컨텍스트의 HYOK(Hold Your Own Key)는 클라우드에 저장된 키로 보호할 수 없는 문서 또는 이메일 하위 집합이 있는 일부 조직에 적합합니다. 이러한 조직의 경우 BYOK를 사용하여 키를 만들고 관리하는 경우에도 이러한 제한이 적용됩니다. 제한은 종종 규정 또는 규정 준수 사유가 될 수 있으며, HYOK 구성은 조직 외부에서 공유해서는 안되며 내부 네트워크에서만 사용되고 모바일 디바이스에서 액세스해서는 안 되는 "일급 비밀" 정보에만 적용되어야 합니다.

이런 예외(일반적으로 보호해야 하는 콘텐츠의 10% 미만) 사항에 대해, 조직은 Active Directory Rights Management Services라는 온-프레미스 솔루션을 사용하여 온-프레미스에 유지되는 키를 만들 수 있습니다. 이 솔루션을 사용하면, 컴퓨터는 클라우드에서 Azure Information Protection 정책을 가져오지만 식별된 콘텐츠는 온-프레미스 키를 사용하여 보호할 수 있습니다.

HYOK에 대한 자세한 내용을 참고하거나 제한 사항과 지침 및 이에 대한 적용 시기를 파악하려면 AD RMS 보호에 대한 HYOK(Hold Your Own Key) 요구 사항 및 제한 사항을 참조하세요.

제 질문이 여기에 없는 경우 어떻게 해야 하나요?

먼저, 분류 및 레이블 지정과 관련이 있거나 데이터 보호와 관련이 있는 아래 나열된 질문과 대답을 검토하세요. Azure RMS(Azure Rights Management Service)는 Azure Information Protection에 데이터 보호 기술을 제공합니다. Azure RMS는 분류 및 레이블 지정 또는 단독으로 사용될 수 있습니다.

• Azure Information Protection에 대한 질문과 대답

• 분류 및 레이블 지정에 대한 FAQ

• 데이터 보호에 대한 FAQ

질문에 대한 답변이 없는 경우 Azure Information Protection에 대한 정보 및 지원에 나열된 링크 및 리소스를 참조하세요.

최종 사용자를 위한 FAQ도 있습니다.

• iOS 및 Android용 Azure Information Protection 앱 FAQ

• Mac 컴퓨터용 RMS 공유 앱에 대한 FAQ