Azure Information Protection을 사용하여 보안 문서 협업 구성

  • 아티클

Azure Information Protection을 사용하면 권한 부여된 사용자의 협업에 대한 효율성 저하 없이 문서를 보호할 수 있습니다. 한 사용자가 만든 다음 보고 편집하도록 다른 사용자와 공유하는 대부분의 문서는 Word, Excel 및 PowerPoint의 Office 문서입니다. 이러한 문서는 기본 보호를 지원하며, 이는 권한 부여 및 암호화의 보호 기능 외에도 더 세부적인 제어를 위해 제한된 권한을 지원한다는 것을 의미합니다.

이러한 권한을 사용 권한이라고 하며 보기, 편집, 인쇄와 같은 권한을 포함합니다. 문서가 보호될 때 개별 사용 권한을 정의하거나, 권한 수준이라는 사용 권한 그룹을 정의할 수 있습니다. 권한 수준을 통해 일반적으로 함께 사용되는 사용 권한(예: 검토자 및 공동 작성자)을 더 쉽게 선택할 수 있습니다. 사용 권한 및 권한 수준에 대한 자세한 내용은 Azure Information Protection에 대한 사용 권한 구성을 참조하세요.

이러한 권한을 구성할 때 사용자의 역할을 지정할 수 있습니다.

  • Azure Active Directory를 사용하는 자체 조직 또는 다른 조직의 사용자: Azure AD 사용자 계정, Azure AD 그룹 또는 해당 조직의 모든 사용자를 지정할 수 있습니다.

  • Azure Active Directory 계정이 없는 사용자: Microsoft 계정에 사용할 메일 주소를 지정합니다. 이 계정은 이미 있을 수도 있고 사용자가 보호된 문서를 열 때 만들 수도 있습니다.

    Microsoft 계정으로 문서를 열려면 사용자가 Microsoft 365 앱(클릭하여 실행)을 사용해야 합니다. 다른 Office 버전은 Microsoft 계정으로 Office 보호 문서를 여는 기능을 아직 지원하지 않습니다.

  • 인증된 사용자의 경우: 이 옵션은 사용자를 인증할 수 있는 경우 보호된 문서에 액세스하는 사용자를 제어하지 않아도 되는 경우에 적합합니다. 이 인증은 Azure AD, Microsoft 계정 사용 또는 콘텐츠가 Office 365 메시지 암호화의 새 기능으로 보호되는 경우 페더레이션 소셜 공급자나 일회용 암호를 통해 수행될 수 있습니다.

관리자는 권한과 권한 부여된 사용자를 적용하도록 Azure Information Protection 레이블을 구성할 수 있습니다. 이 구성을 사용하면 세부 정보를 지정할 필요 없이 레이블을 적용하면 되므로 사용자와 다른 관리자가 올바른 보호 설정을 매우 쉽게 적용할 수 있습니다. 다음 섹션에서는 내부 및 외부 사용자와의 보안 협업을 지원하는 문서를 보호하기 위한 예제를 제공합니다.

내부 및 외부 협업을 지원하기 위해 보호를 적용하는 레이블의 예제 구성

이 예제에서는 조직의 사용자가 Microsoft 365 또는 Azure AD가 있는 다른 조직의 모든 사용자, Microsoft 365 또는 Azure AD가 있는 다른 조직의 그룹, Azure AD에 계정은 없고 대신 Gmail 이메일 주소를 사용하는 사용자와 문서에 대해 협업하기 위해 보호를 적용하도록 기존 레이블을 구성하는 과정을 안내합니다.

이 시나리오에서는 특정 사용자에 대한 액세스 권한을 제한하므로 인증된 사용자에 대한 설정은 포함되지 않습니다. 이 설정으로 레이블을 구성하는 방법에 대한 예는 예제 5: 콘텐츠를 암호화하지만 액세스할 수 있는 사용자는 제한하지 않는 레이블을 참조하세요.

  1. 전역 정책 또는 범위 지정 정책에서 기존에 있는 레이블을 선택합니다. 보호 창에서 Azure(클라우드 키)가 선택되었는지 확인합니다.

  2. 권한 설정이 선택되어 있는지 확인하고, 권한 추가를 선택합니다.

  3. 권한 추가 창에서:

    • 내부 그룹: 디렉터리 찾아보기를 선택하여 메일을 사용해야 하는 그룹을 선택합니다.

    • 첫 번째 외부 조직의 모든 사용자: 세부 정보 입력을 선택하고 조직의 테넌트에 도메인 이름을 입력합니다. 예를 들면 fabrikam.com입니다.

    • 두 번째 외부 조직의 그룹: 계속 세부 정보 입력 탭에서 조직의 테넌트에 그룹의 메일 주소를 입력합니다. 예들 들어 sales@contoso.com입니다.

    • Azure AD 계정이 없는 사용자: 계속 세부 정보 입력 탭에서 사용자의 메일 주소를 입력합니다. 예들 들어 bengi.turan@gmail.com입니다.

  4. 이러한 모든 사용자에게 동일한 권한을 부여하려면: 사전 설정에서 사용 권한 선택에서 공동 소유자, 공동 작성자, 검토자 또는 사용자 지정을 선택하여 권한을 부여하려는 권한을 선택합니다.

    예를 들어, 구성된 권한은 다음과 같이 표시됩니다.

    Configuring permissions for secure collaboration

  5. 사용 권한 추가 창에서 확인을 클릭합니다.

  6. 보호 창에서 확인을 클릭합니다.

  7. 레이블 창에서 저장을 선택합니다.

보안 협업을 지원하는 레이블 적용

이제 이 레이블이 구성되었으므로 다양한 방법으로 다음을 포함하는 문서에 적용할 수 있습니다.

다양한 레이블 적용 방법 추가 정보
해당 문서가 Office 애플리케이션에서 만들어진 경우 사용자가 레이블을 수동으로 선택합니다. 사용자는 Office 리본의 보호 단추 또는 Azure Information Protection 막대에서 레이블을 선택합니다.
새 문서가 저장될 때 레이블을 선택하라는 메시지가 표시됩니다. All documents and emails must have a label(모든 문서와 메일에 레이블이 있어야 함)이라는 Azure Information Protection 정책 설정을 구성했습니다.
사용자는 메일로 문서를 공유하고 Outlook에서 레이블을 수동으로 선택합니다. 사용자는 Office 리본의 보호 단추 또는 Azure Information Protection 막대에서 레이블을 선택하고, 첨부된 문서는 동일한 설정으로 자동으로 보호됩니다.
관리자는 PowerShell을 사용하여 문서에 레이블을 적용합니다. Set-AIPFile​Label cmdlet을 사용하여 폴더의 특정 문서 또는 모든 문서에 레이블을 적용합니다.
이제 Azure Information Protection 스캐너 또는 PowerShell을 사용하여 적용할 수 있는 자동 분류를 적용하도록 레이블을 추가로 구성했습니다. Azure Information Protection에 대한 자동 및 권장 분류 조건을 구성하는 방법을 참조하세요.

이 연습을 완료하려면 Office 애플리케이션에서 문서를 만들 때 레이블을 수동으로 적용합니다.

  1. 클라이언트 컴퓨터에서 Office 애플리케이션이 이미 열려 있는 경우 먼저 닫았다가 다시 열어 새로 구성된 레이블을 포함하는 최신 정책 변경 내용을 가져옵니다.

  2. 레이블을 문서에 적용하고 저장합니다.

보호된 문서를 메일에 첨부하여 공유하고 문서를 편집하도록 권한을 부여한 사용자에게 보냅니다.

보호된 문서 열기 및 수정

권한을 부여한 사용자가 편집할 문서를 열면 문서가 열리고 해당 권한이 제한됨을 알리는 정보 배너가 표시됩니다. 예를 들면 다음과 같습니다.

Azure Information Protection permissions example information banner

권한 보기 단추를 선택하면 사용자가 보유한 권한이 표시됩니다. 다음 예제에서 사용자는 문서를 보고 편집할 수 있습니다.

Azure Information Protection permissions example dialog box

참고: Azure Information Protection을 사용하는 외부 사용자가 문서를 열면 레이블의 시각적 표시가 남아 있더라도 Office 애플리케이션에서 문서에 대한 분류 레이블을 표시하지 않습니다. 대신 외부 사용자가 해당 조직의 분류 체계에 맞춰 자신의 레이블을 적용할 수 있습니다. 그런 다음, 이러한 외부 사용자가 편집된 문서를 사용자에게 다시 보내면 사용자가 문서를 다시 열 때 Office에서 원래 분류 레이블을 표시합니다.

보호된 문서가 열리기 전에 다음 인증 흐름 중 하나가 발생합니다.

  • Azure AD 계정이 있는 사용자의 경우 Azure AD 자격 증명을 사용하여 Azure AD에서 인증을 받고 문서가 열립니다.

  • Azure AD 계정이 없는 사용자의 경우 문서를 열 권한이 있는 계정으로 Office에 로그인하지 않으면 계정 페이지가 표시됩니다.

    계정 페이지에서 계정 추가를 선택합니다.

    Adding an Microsoft account to open protected document

    로그인 페이지에서 하나 생성!을 선택하고 메시지에 따라 권한 부여에 사용한 이메일 주소로 새 Microsoft 계정을 만듭니다.

    Creating a Microsoft account to open protected document

    새 Microsoft 계정이 생성되면 로컬 계정이 이 새로운 Microsoft 계정으로 전환되고 사용자가 문서를 열 수 있습니다.

보호된 문서를 열기 위해 지원되는 시나리오

다음 표에서는 보호된 문서를 보고 편집할 수 있도록 지원하는 여러 인증 방법을 요약합니다.

또한 다음 시나리오에서는 문서 보기를 지원합니다.

  • Windows용은 물론 iOS 및 Android용 Azure Information Protection 뷰어는 Microsoft 계정을 사용하여 파일을 열 수 있습니다.

  • 소셜 공급자와 일회용 암호가 Exchange Online 인증 및 Office 365 메시지 암호화의 새로운 기능에 사용되는 경우, 브라우저에서 보호된 첨부 파일을 열 수 있습니다.

문서 보기 및 편집을 위한 플랫폼:
Word, Excel, PowerPoint		 인증 방법:
Azure AD		 인증 방법:
Microsoft 계정
Windows [1] 예(Microsoft 365 앱 및 Microsoft Office 2019)
iOS [1] 예(버전 2.42 이상)
Android [1] 예(버전 16.0.13029 이상)
MacOS [1] 예(Microsoft 365 앱, 버전 16.42 이상)
각주 1

사용자 계정, 메일 사용 그룹, 모든 구성원을 지원합니다. 사용자 계정 및 메일 사용 그룹에는 게스트 계정이 포함될 수 있습니다. 모든 구성원에서 게스트 계정은 제외됩니다.

다음 단계

일반적인 시나리오에 대한 보호를 적용하려면 레이블에 대한 기타 예제 구성을 참조하세요. 이 문서에는 보호 설정에 대한 자세한 내용이 포함되어 있습니다.

레이블에 대해 구성할 수 있는 다른 옵션 및 설정에 대한 자세한 내용은 Azure Information Protection 정책 구성을 참조하세요.

또한 이 문서에 구성된 레이블은 동일한 이름으로 보호 템플릿을 만듭니다. Azure Information Protection의 보호 템플릿과 통합되는 애플리케이션 및 서비스가 있는 경우, 이 템플릿을 적용할 수 있습니다. 예를 들면 DLP 솔루션 및 메일 흐름 규칙입니다. 웹용 Outlook은 Azure Information Protection 전역 정책의 보호 템플릿을 자동으로 표시합니다.