다음을 통해 공유

Microsoft Purview 고객 키를 사용하는 서비스 암호화 개요

Microsoft 365는 BitLocker 및 DKM(분산 키 관리자)을 통해 기준 볼륨 수준 암호화를 제공합니다. Windows 365 Enterprise 및 Business Cloud PC 디스크는 Azure Storage 서버 쪽 암호화(SSE)를 사용하여 암호화됩니다.

더 많은 제어를 제공하기 위해 Microsoft 365는 고객 키를 통해 콘텐츠에 대한 추가 암호화 계층도 제공합니다. 이 콘텐츠에는 Microsoft Exchange, SharePoint, OneDrive, Teams 및 Windows 365 클라우드 PC의 데이터가 포함됩니다.

BitLocker는 Windows 365 클라우드 PC에 대한 암호화 옵션으로 지원되지 않습니다. 자세한 내용은 Intune Windows 10 가상 머신 사용을 참조하세요.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 평가판 허브에서 지금 시작합니다. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

중요

사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다. Microsoft Purview 역할 및 권한에 대해 자세히 알아봅니다.

서비스 암호화, BitLocker, SSE 및 고객 키가 함께 작동하는 방식

Microsoft 365 데이터는 항상 BitLocker 및 DKM(분산 키 관리자)을 사용하여 미사용 시 암호화됩니다. 자세한 내용은 Exchange에서 전자 메일 비밀을 보호하는 방법을 참조하세요.

고객 키는 데이터에 대한 무단 액세스에 대한 추가 보호를 추가합니다. Microsoft 데이터 센터의 BitLocker 디스크 암호화 및 서버 쪽 암호화(SSE)를 보완합니다. 서비스 암호화는 Microsoft 직원이 데이터에 액세스하지 못하도록 차단하도록 설계되지 않았습니다. 대신 고객 키는 루트 암호화 키를 제어할 수 있도록 하여 규정 준수 또는 규정 요구 사항을 충족하는 데 도움이 됩니다.

암호화 키를 사용하여 eDiscovery, 맬웨어 방지, 스팸 방지 및 검색 인덱싱과 같은 부가 가치 서비스를 제공하도록 Microsoft 365에 명시적으로 권한을 부여합니다.

서비스 암호화를 기반으로 구축된 고객 키를 사용하면 암호화 키를 제공하고 제어할 수 있습니다. Microsoft 365는 OST(온라인 서비스 약관)에 설명된 대로 이러한 키를 사용하여 미사용 데이터를 암호화합니다. 암호화 키를 제어하기 때문에 고객 키는 규정 준수 요구 사항을 충족하는 데 도움이 됩니다.

고객 키는 클라우드 공급자와의 키 제어 준비를 요구하는 규정 준수 표준을 충족하는 기능을 향상시킵니다. 애플리케이션 수준에서 미사용 Microsoft 365 데이터에 대한 루트 암호화 키를 제공하고 관리합니다. 이 설정을 사용하면 organization 암호화 키를 직접 제어할 수 있습니다.

하이브리드 배포를 사용하는 고객 키

고객 키는 클라우드의 미사용 데이터만 암호화합니다. 온-프레미스 사서함 또는 파일을 보호하지 않습니다. 온-프레미스 데이터를 보호하려면 BitLocker와 같은 별도의 메서드를 사용합니다.

데이터 암호화 정책에 대해 알아보기

DEP(데이터 암호화 정책)는 암호화 계층 구조를 정의합니다. 서비스는 이 계층 구조를 사용하여 관리하는 키와 Microsoft에서 보호하는 가용성 키를 모두 사용하여 데이터를 암호화합니다. PowerShell cmdlet을 사용하여 DEP를 만든 다음 애플리케이션 데이터를 암호화하도록 할당합니다.

고객 키는 세 가지 유형의 DEP를 지원합니다. 각 형식은 서로 다른 cmdlet을 사용하고 다른 종류의 데이터를 보호합니다.

여러 Microsoft 365 워크로드에 대한 DEP

이러한 DEP는 테넌트 내 모든 사용자에 대해 여러 Microsoft 365 워크로드에서 데이터를 암호화합니다. 워크로드에는 다음이 포함됩니다.

  • 클라우드 PC를 Windows 365. 자세한 내용은 Windows 365 클라우드 PC용 Microsoft Purview 고객 키를 참조하세요.
  • Teams 채팅 메시지(1:1 채팅, 그룹 채팅, 모임 채팅 및 채널 대화)
  • Teams 미디어 메시지(이미지, 코드 조각, 비디오 메시지, 오디오 메시지, 위키 이미지)
  • Teams 스토리지에 저장된 Teams 통화 및 모임 녹음/녹화
  • Teams 채팅 알림
  • Cortana의 Teams 채팅 제안
  • Teams 상태 메시지
  • Microsoft 365 Copilot 상호 작용
  • Exchange에 대한 사용자 및 신호 정보
  • 사서함 DEP가 암호화하지 않는 Exchange 사서함
  • Microsoft Purview Information Protection:
    • 데이터 파일 스키마, 규칙 패키지 및 중요한 데이터를 해시하는 데 사용되는 솔트 등 EDM(정확한 데이터 일치) 데이터
      • EDM 및 Teams의 경우 DEP는 테넌트에서 할당할 때부터 새 데이터를 암호화합니다.
      • Exchange의 경우 고객 키는 모든 기존 데이터와 새 데이터를 암호화합니다.
    • 민감도 레이블 구성

다중 워크로드 DEP는 다음 유형의 데이터를 암호화하지 않습니다. 이 데이터는 Microsoft 365의 다른 암호화 방법을 사용하여 보호됩니다.

  • SharePoint 및 OneDrive 데이터
  • SharePoint 또는 OneDrive에 저장된 Teams 파일 및 일부 Teams 통화 및 모임 녹음/녹화(SharePoint DEP로 암호화됨)
  • Teams 라이브 이벤트 데이터
  • 고객 키에서 지원되지 않는 워크로드(예: Viva Engage 및 Planner

테넌트당 여러 DEP를 만들 수 있지만 한 번에 하나씩만 할당할 수 있습니다. 완료 시간은 테넌트 크기에 따라 달라지지만 할당 후에 암호화가 자동으로 시작됩니다.

Exchange 사서함에 대한 DEP

사서함 DEP를 사용하면 개별 Exchange Online 사서함을 보다 자세히 제어할 수 있습니다. 이를 사용하여 UserMailbox, MailUser, Group, PublicFolder 및 공유 사서함의 데이터를 암호화할 수 있습니다.

테넌트당 최대 50개 활성 사서함 DEP를 가질 수 있습니다. 여러 사서함에 하나의 DEP를 할당할 수 있지만 사서함당 DEP는 하나만 할당할 수 있습니다.

기본적으로 Exchange 사서함은 Microsoft 관리형 키를 사용하여 암호화됩니다. 고객 키 DEP를 할당하는 경우:

  • 다중 워크로드 DEP를 사용하여 사서함을 이미 암호화한 경우 서비스는 다음에 사용자 또는 시스템이 데이터에 액세스할 때 사서함 DEP로 다시 래프합니다.
  • 사서함이 Microsoft 관리형 키로 암호화된 경우 서비스는 액세스 시 사서함 DEP로 다시 래프합니다.
  • 사서함이 아직 암호화되지 않은 경우 서비스는 사서함을 이동으로 표시합니다. 이동 후 암호화가 발생합니다. 사서함 이동은 Microsoft 365 전체 우선 순위 규칙을 따릅니다. 자세한 내용은 Microsoft 365 서비스에서 요청 이동을 참조하세요. 사서함이 시간에 암호화되지 않은 경우 Microsoft에 문의하세요.

나중에 DEP를 새로 고치거나 Office 365 고객 키 관리에 설명된 대로 다른 DEP를 할당할 수 있습니다.

각 사서함은 고객 키를 사용하려면 라이선스 요구 사항을 충족해야 합니다. 자세한 내용은 고객 키를 설정하기 전에 를 참조하세요.

테넌트가 사용자 사서함에 대한 라이선스 요구 사항을 충족하는 한 공유, 공용 폴더 및 그룹 사서함에 DEP를 할당할 수 있습니다. 사용자별이 아닌 사서함에는 별도의 라이선스가 필요하지 않습니다.

서비스를 종료할 때 Microsoft에 특정 DEP 제거를 요청할 수도 있습니다. 키 제거 및 해지에 대한 자세한 내용은 키 해지 및 데이터 제거 경로 프로세스 시작을 참조하세요.

키에 대한 액세스 권한을 취소하면 Microsoft에서 가용성 키를 삭제합니다. 이 삭제는 데이터의 암호화 삭제를 초래하여 규정 준수 및 데이터 관리 요구 사항을 충족하는 데 도움이 됩니다.

SharePoint 및 OneDrive용 DEP

이 DEP는 SharePoint에 저장된 Teams 파일을 포함하여 SharePoint 및 OneDrive에 저장된 콘텐츠를 암호화합니다.

  • 다중 지역 기능을 사용하는 경우 지역당 하나의 DEP를 만들 수 있습니다.
  • 그렇지 않은 경우 테넌트당 하나의 DEP만 만들 수 있습니다.

설정 지침은 고객 키 설정을 참조하세요.

고객 키에서 사용하는 암호화 암호화

고객 키는 다음 다이어그램과 같이 다양한 암호화 암호화를 사용하여 키를 보호합니다.

여러 Microsoft 365 워크로드에서 데이터를 암호화하는 DEP에 사용되는 키 계층 구조는 개별 Exchange 사서함에 사용되는 것과 유사합니다. 해당 Microsoft 365 워크로드 키는 사서함 키를 대체합니다.

Exchange용 키를 암호화하는 데 사용되는 암호화 암호화

Exchange 고객 키에 대한 암호화 암호화.

SharePoint 및 OneDrive에 대한 키를 암호화하는 데 사용되는 암호화 암호화

SharePoint 고객 키에 대한 암호화 암호입니다.