초과 공유 팝업 시작
적절한 DLP(Microsoft Purview 데이터 손실 방지) 정책을 구성하는 경우 DLP는 레이블이 지정되거나 중요한 정보에 대해 전송되기 전에 전자 메일 메시지를 검사 DLP 정책에 정의된 작업을 적용합니다. 이 기능을 사용하려면 Microsoft 365 E5 구독과 이를 지원하는 Outlook 버전이 필요합니다. 필요한 최소 버전의 Outlook을 식별하려면 Outlook의 기능 테이블을 사용하고 DLP 정책 팁 행으로 초과 공유 방지 를 확인합니다.
중요
다음은 가상 값이 있는 가상 시나리오입니다. 그것은 단지 설명 목적으로만. 이 기능을 구현할 때 고유한 중요한 정보 유형, 민감도 레이블, 메일 그룹 및 사용자를 대체해야 합니다.
팁
Microsoft Security Copilot 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 Microsoft Security Copilot 대해 자세히 알아보세요.
DLP 정책 사용을 시작하기 전에 Microsoft 365 구독 및 추가 기능을 확인합니다.
라이선스에 대한 자세한 내용은 엔터프라이즈용 Microsoft 365, Office 365, Enterprise Mobility + Security 및 Windows 11 구독을 참조하세요.
정책을 만들고 배포하는 데 사용하는 계정은 다음 역할 그룹 중 하나의 구성원이어야 합니다.
- 준수 관리자
- 규정 준수 데이터 관리자
- 정보 보호
- Information Protection 관리자
- 보안 관리자
중요
시작하기 전에 관리 단위 를 읽어 무제한 관리자 와 관리 단위 제한된 관리자 간의 차이점을 이해해야 합니다.
액세스 제어를 미세 조정하는 데 사용할 수 있는 여러 역할 및 역할 그룹이 있습니다.
적용 가능한 역할 목록은 다음과 같습니다. 자세한 내용은 Microsoft Purview 규정 준수 포털 권한을 참조하세요.
- DLP 규정 준수 관리
- Information Protection 관리자
- Information Protection 분석가
- Information Protection 조사자
- Information Protection 읽기 권한자
적용 가능한 역할 그룹의 목록은 다음과 같습니다. 자세한 내용은 Microsoft Purview 규정 준수 포털 사용 권한을 참조하세요.
- 정보 보호
- Information Protection 관리자
- Information Protection 분석가
- Information Protection 조사자
- Information Protection 읽기 권한자
Microsoft 365용 Outlook 메시지를 보내기 전에 초과 공유 팝업이 팝업을 표시합니다. 이러한 팝업을 사용하도록 설정하려면 먼저 정책을 Exchange 위치로 scope 다음, 해당 정책에 대한 DLP 규칙을 만들 때 정책 팁에서 보내기 전에 사용자에 대한 정책 팁 표시 대화 상자를 선택합니다.
이 예제 시나리오에서는 기밀 민감도 레이블을 사용하므로 민감도 레이블을 만들고 게시해야 합니다. 자세한 내용은 다음을 참조하세요.
이 절차에서는 contoso.com 사용합니다. 가상 회사 도메인입니다.
이 예제의 정책 의도 문은 다음과 같습니다.
수신자 도메인이 contoso.com 않는 한 '매우 기밀' 민감도 레이블이 적용된 모든 받는 사람에게 전자 메일을 차단해야 합니다. 사용자에게 전자 메일을 보낼 때 팝업 대화 상자를 알리려고 합니다. 블록을 재정의할 수 있는 사용자는 없습니다.
문 | 답변된 구성 질문 및 구성 매핑 |
---|---|
"모든 받는 사람에게 전자 메일을 차단해야 합니다..." |
-
모니터링할 위치: Exchange - 관리 scope: 전체 디렉터리 - 작업: Microsoft 365 위치 > 의 콘텐츠 액세스 제한 또는 암호화 사용자가 전자 메일을 받거나 공유 SharePoint, OneDrive 및 Teams 파일에 > 액세스하지 못하도록 차단 모든 사용자 차단 |
"... '매우 기밀' 민감도 레이블이 적용된 경우..." |
-
모니터링 대상: 일치 항목에 대한 사용자 지정 템플릿 - 조건 사용: 편집하여 기밀 민감도 레이블 추가 |
"... 없으면..." | 조건 그룹 구성 - 부울 AND를 사용하여 첫 번째 조건에 조인된 중첩된 부울 NOT 조건 그룹 만들기 |
"... 받는 사람 도메인이 contoso.com." | 일치 조건: 받는 사람 도메인은 입니다. |
"... 알림..." | 사용자 알림: 사용 |
"... 사용자가 보낼 때 팝업 대화 상자가 있는 사용자..." |
정책 팁: - 보내기 전에 최종 사용자에 대한 대화 상자로 정책 팁 표시를 선택했습니다. |
"... 블록을 재정의할 수 있는 사용자는 없습니다... | M365 서비스에서 재정의 허용: 선택되지 않음 |
기본 텍스트로 오버셰어링 팝업을 구성하려면 DLP 규칙에 다음 조건이 포함되어야 합니다.
- 콘텐츠 포함>민감도 레이블>민감도 레이블 선택
및 다음 받는 사람 기반 조건 중 하나 이상
- 받는 사람은
- 받는 사람이 다음의 구성원임
- 받는 사람 도메인은
이러한 조건이 충족되면 정책 팁은 사용자가 Outlook에서 메일을 작성하는 동안 신뢰할 수 없는 받는 사람을 보내기 전에 표시합니다.
필요에 따라 초과 공유 팝업에 대해 "보내기 대기"를 구현하려는 모든 디바이스 에서 dlpwaitonsendtimeout Regkey(dword의 값) 를 설정할 수 있습니다. 이 레지스트리 키(RegKey)는 사용자가 보내기를 선택할 때 전자 메일을 저장할 최대 시간을 정의합니다. 이렇게 하면 시스템에서 레이블이 지정되거나 중요한 콘텐츠에 대한 DLP 정책 평가를 완료할 수 있습니다. 다음에서 이 RegKey를 찾을 수 있습니다.
*Software\Policies\Microsoft\office\16.0\Outlook\options\Mail*
그룹 정책(중요한 콘텐츠를 평가하기 위한 대기 시간 지정), 스크립트 또는 레지스트리 키를 구성하기 위한 기타 메커니즘을 통해 이 RegKey를 설정할 수 있습니다.
그룹 정책 사용하는 경우 엔터프라이즈용 Microsoft 365 앱 그룹 정책 관리 템플릿 파일의 최신 버전을 다운로드했는지 확인한 다음 사용자 구성 >> 관리 템플릿 >> Microsoft Office 2016 >> 보안 설정에서 이 설정으로 이동합니다. Microsoft 365용 클라우드 정책 서비스를 사용하는 경우 이름으로 설정을 검색하여 구성합니다.
이 값이 설정되고 DLP 정책이 구성되면 전자 메일 메시지가 전송되기 전에 중요한 정보를 확인합니다. 메시지에 정책에 정의된 조건과 일치하는 항목이 포함된 경우 사용자가 보내기를 클릭하기 전에 정책 팁 알림이 나타납니다.
이 RegKey 를 사용하면 Outlook 클라이언트 에 대한 보내기 대기 동작을 지정할 수 있습니다.
각 설정의 의미는 다음과 같습니다.
구성되지 않음 또는 사용 안 함: 기본값입니다. dlpwaitonsendtimeout이 구성되지 않은 경우 사용자가 메시지를 보내기 전에 메시지가 확인되지 않습니다. 보내기를 클릭하면 전자 메일 메시지가 즉시 전송됩니다. DLP 데이터 분류 서비스는 메시지를 평가하고 DLP 정책에 정의된 작업을 적용합니다.
사용: 보내기 를 클릭할 때와 메시지가 실제로 전송되기 전에 전자 메일 메시지가 선택됩니다. DLP 정책 평가가 완료되기를 기다리는 시간에 대한 시간 제한을 설정할 수 있습니다(T 값, 초). 지정된 시간에 정책 평가가 완료되지 않으면 아무 경우 보내기 단추가 나타나면 사용자가 사전 보내기 검사 우회할 수 있습니다. T 값 범위는 0~9999초입니다.
중요
T 값이 9999보다 크면 10000으로 대체되고 아무 경우 보내기 단추가 표시되지 않습니다. 정책 평가가 완료될 때까지 메시지를 유지하고 사용자에게 재정 의 옵션을 제공하지 않습니다. 평가 완료 기간은 인터넷 속도, 콘텐츠 길이 및 정의된 정책 수와 같은 요인에 따라 달라질 수 있습니다. 일부 사용자는 사서함에 배포된 정책에 따라 다른 사용자보다 정책 평가 메시지가 더 자주 발생할 수 있습니다.
GPO 구성 및 사용에 대한 자세한 내용은 Microsoft Entra Domain Services 관리되는 도메인에서 그룹 정책 관리를 참조하세요.
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft Purview 포털>데이터 손실 방지>정책에 로그인
+ 정책 만들기를 선택합니다.
범주 목록에서 사용자 지정을 선택합니다.
규정 목록에서 사용자 지정을 선택합니다.
정책에 이름을 지정하세요.
중요
정책의 이름을 바꿀 수 없습니다.
설명을 입력합니다. 여기에서 정책 의도 문을 사용할 수 있습니다.
다음을 선택합니다.
관리 단위에서 전체 디렉터리를 선택합니다.
Exchange 전자 메일 위치만 선택합니다.
다음을 선택합니다.
정책 설정 정의 페이지에서 고급 DLP 규칙 만들기 또는 사용자 지정을 선택합니다.
고급 DLP 규칙 만들기 또는 사용자 지정 옵션이 이미 선택되어 있어야 합니다.
다음을 선택합니다.
규칙 만들기를 선택합니다. 규칙 이름을 지정하고 설명을 제공합니다.
콘텐츠에>민감도 레이블> 추가가 포함된 조건>추가>를 선택합니다. 추가를 선택합니다.
그룹> 추가및>조건 추가안 함을> 선택합니다.
받는 사람 도메인이>contoso.com 선택합니다. 추가를 선택합니다.
팁
받는 사람 도메인이 아닌 받는 사람이 또는 받는 사람이 과공유 팝업을 트리거하는 것을 사용할 수도 있습니다.
작업 >추가 액세스제한을 선택하거나 Microsoft 365 위치에서 콘텐츠를 암호화합니다.
사용자가 전자 메일을 받거나 공유 SharePoint, OneDrive 및 Teams 파일 및 Power BI 항목에 액세스하지 못하도록 차단을 선택합니다.
모든 사용자 차단을 선택합니다.
사용자 알림 토글을 켜기로 설정합니다.
정책 팁>보내기 전에 최종 사용자에 대한 대화 상자로 정책 팁 표시를 선택합니다(Exchange 워크로드에만 사용 가능).
이미 선택한 경우M365 서비스에서 재정의 허용 옵션을 선택 취소합니다.
저장을 선택합니다.
상태 토글을 켜기로 변경한 다음, 다음을 선택합니다.
정책 모드 페이지에서 테스트 모드에서 정책 실행을 선택하고 시뮬레이션 모드에 있는동안 정책 팁 표시 옵션의 상자를 검사.
다음을 선택한 다음 제출을 선택합니다.
완료를 선택합니다.
DLP 정책 및 규칙은 PowerShell에서도 구성할 수 있습니다. PowerShell을 사용하여 초과 공유 팝업을 구성하려면 먼저 DLP 정책(PowerShell 사용)을 만들고 각 경고, 정당화 또는 차단 팝업 유형에 대한 DLP 규칙을 추가합니다.
New-DlpCompliancePolicy를 사용하여 DLP 정책을 구성하고 scope. 그런 다음 New-DlpComplianceRule을 사용하여 각 초과 공유 규칙을 구성합니다.
초과 공유 팝업 시나리오에 대한 새 DLP 정책을 구성하려면 다음 코드 조각을 사용합니다.
PS C:\> New-DlpCompliancePolicy -Name <DLP Policy Name> -ExchangeLocation All
이 샘플 DLP 정책은 organization 모든 사용자로 범위가 지정됩니다. 및 을 사용하여 -ExchangeSenderMemberOf
DLP 정책의 범위를 지정합니다 -ExchangeSenderMemberOfException
.
매개 변수 | 구성 |
---|---|
-ContentContainsSensitiveInformation | 하나 이상의 민감도 레이블 조건을 구성합니다. 이 샘플에는 하나가 포함됩니다. 하나 이상의 레이블이 필수입니다. |
-ExceptIfRecipientDomainIs | 신뢰할 수 있는 도메인 목록입니다. |
-NotifyAllowOverride | "WithJustification"은 근거 라디오 단추를 사용하도록 설정하고 "WithoutJustification"은 이를 사용하지 않도록 설정합니다. |
-NotifyOverrideRequirements | "WithAcknowledgement"는 새 승인 옵션을 사용하도록 설정합니다. 이 단계는 선택 사항입니다. |
신뢰할 수 있는 도메인을 사용하여 경고 팝업을 생성하도록 새 DLP 규칙을 구성하려면 다음 PowerShell 코드를 실행합니다.
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator="Or";name="Default";labels=@(@{name=<Label GUID>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
신뢰할 수 있는 도메인을 사용하여 맞춤 팝업을 생성하도록 새 DLP 규칙을 구성하려면 다음 PowerShell 코드를 실행합니다.
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com") -NotifyAllowOverride "WithJustification"
신뢰할 수 있는 도메인을 사용하여 블록 팝업을 생성하도록 새 DLP 규칙을 구성하려면 다음 PowerShell 코드를 실행합니다.
PS C:\> New-DlpComplianceRule -Name <DLP Rule Name> -Policy <DLP Policy Name> -NotifyUser Owner -NotifyPolicyTipDisplayOption "Dialog" -BlockAccess $true -ContentContainsSensitiveInformation @(@{operator = "And"; groups = @(@{operator = "Or"; name = "Default"; labels = @(@{name=<Label GUID 1>;type="Sensitivity"},@{name=<Label GUID 2>;type="Sensitivity"})})}) -ExceptIfRecipientDomainIs @("contoso.com","microsoft.com")
이러한 절차를 사용하여 비즈니스 근거 X-헤더에 액세스합니다.