영어로 읽기

다음을 통해 공유


데이터 손실 방지 정책 참조

Microsoft Purview 데이터 손실 방지(DLP) 정책에는 구성할 구성 요소가 많이 있습니다. 효과적인 정책을 만들려면 각 구성 요소의 목적과 구성이 정책의 동작을 변경하는 방법을 이해해야 합니다. 이 문서에서는 DLP 정책에 대한 자세한 분석을 제공합니다.

Microsoft Security Copilot 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 Microsoft Security Copilot 대해 자세히 알아보세요.

시작하기 전에

Microsoft Purview DLP를 접하는 경우 DLP를 구현할 때 필요한 핵심 문서 목록은 다음과 같습니다.

  1. 관리 단위
  2. Microsoft Purview 데이터 손실 방지 대해 알아보기 - 이 문서에서는 데이터 손실 방지 분야 및 Microsoft의 DLP 구현을 소개합니다.
  3. DLP(데이터 손실 방지) 계획 - 이 문서를 통해 다음을 수행합니다.
    1. 관련자 식별
    2. 보호할 중요한 정보의 범주 설명
    3. 목표 및 전략 설정
  4. 데이터 손실 방지 정책 참조 - 현재 읽고 있는 이 문서에서는 DLP 정책의 모든 구성 요소와 각 구성 요소가 정책 동작에 미치는 영향을 소개합니다.
  5. DLP 정책 디자인 - 이 문서에서는 정책 의도 문을 만들고 특정 정책 구성에 매핑하는 방법을 안내합니다.
  6. 데이터 손실 방지 정책 만들기 및 배포 - 이 문서에서는 구성 옵션에 매핑하는 몇 가지 일반적인 정책 의도 시나리오를 제공합니다. 또한 이러한 옵션을 구성하는 방법을 안내합니다.
  7. 데이터 손실 방지 경고 조사에 대해 알아보기 - 이 문서에서는 최종 수정 및 정책 튜닝을 통해 생성되는 경고의 수명 주기를 소개합니다. 또한 경고를 조사하는 데 사용하는 도구도 소개합니다.

또한 플랫폼의 다음 제약 조건을 알고 있어야 합니다.

  • 테넌트에서 MIP + MIG 정책의 최대 수: 10,000
  • DLP 정책의 최대 크기(100KB)
  • DLP 규칙의 최대 수:
    • 정책에서: 정책의 크기로 제한됨
    • 테넌트에서: 600
  • 개별 DLP 규칙의 최대 크기: 100KB(102,400자)
  • GIR 증거 제한: 100, 각 SIT 증거와 함께, 발생의 비율
  • 스캔을 위해 파일에서 추출할 수 있는 최대 텍스트 크기: 2MB
  • 예측된 모든 일치 항목에 대한 정규식 크기 제한: 20KB
  • 정책 이름 길이 제한: 64자
  • 정책 규칙 길이 제한: 64자
  • 주석 길이 제한: 1,024자
  • 설명 길이 제한: 1,024자

정책 템플릿

DLP 정책 템플릿은 다음 네 가지 범주로 정렬됩니다.

  • 금융 정보의 유형을 검색하고 보호할 수 있는 정책입니다.
  • 의료 및 건강 정보의 유형을 감지하고 보호할 수 있는 정책입니다.
  • 개인 정보 유형을 검색하고 보호할 수 있는 정책입니다.
  • 다른 사용자가 organization 요구 사항을 충족하지 않는 경우 고유한 정책을 빌드하는 데 사용할 수 있는 사용자 지정 정책 템플릿입니다.

다음 표에서는 모든 정책 템플릿과 해당 템플릿이 다루는 SIT(중요한 정보 유형)를 나열합니다.

범주 서식 파일 앉다
금융 호주 재무 데이터 - SWIFT 코드
- 오스트레일리아 세금 파일 번호
- 오스트레일리아 은행 계좌 번호
- 신용 카드 번호
금융 캐나다 금융 데이터 - 신용 카드 번호
- 캐나다 은행 계좌 번호
금융 프랑스 금융 데이터 - 신용 카드 번호
- EU 직불 카드 번호
금융 독일 재무 데이터 - 신용 카드 번호
- EU 직불 카드 번호
금융 이스라엘 재무 데이터 - 이스라엘 은행 계좌 번호
- SWIFT 코드
- 신용 카드 번호
금융 일본 재무 데이터 - 일본 은행 계좌 번호
- 신용 카드 번호
금융 PCI DSS(PCI Data Security Standard) - 신용 카드 번호
금융 사우디아라비아 사이버 범죄 방지법 - SWIFT 코드
- IBAN(국제 은행 계좌 번호)
금융 사우디 아라비아 재무 데이터 - 신용 카드 번호
- SWIFT 코드
- IBAN(국제 은행 계좌 번호)
금융 영국 금융 데이터 - 신용 카드 번호
- EU 직불 카드 번호
- SWIFT 코드
금융 미국 금융 데이터 - 신용 카드 번호
- 미국 은행 계좌 번호
- ABA 라우팅 번호
금융 미국 FTC(Federal Trade Commission) 소비자 규약 - 신용 카드 번호
- 미국 은행 계좌 번호
- ABA 라우팅 번호
금융 미국 GLBA(Gramm-Leach-Bliley Act) 개선 - 신용 카드 번호
- 미국 은행 계좌 번호
- 미국 ITIN(개인 납세자 식별 번호)
- 미국 사회 보장 번호(SSN)
- 미국/영국 여권 번호
-미국 운전 면허증 번호
- 모든 전체 이름
- 미국 물리적 주소
금융 미국 GLBA(Gramm-Leach-Bliley Act) - 신용 카드 번호
- 미국 은행 계좌 번호
- 미국 ITIN(개인 납세자 식별 번호)
- 미국 사회 보장 번호(SSN)
의료 및 건강 오스트레일리아 건강 기록 법 (HRIP 법) 향상 - 오스트레일리아 세금 파일 번호
- 오스트레일리아 의료 계정 번호
- 모든 전체 이름
- 모든 의료 사용 약관
- 오스트레일리아 실제 주소
의료 및 건강 호주 HRIP Act(Health Records Act) - 오스트레일리아 세금 파일 번호
- 오스트레일리아 의료 계정 번호
의료 및 건강 캐나다 HIA(Health Information Act) - 캐나다 여권 번호
- 캐나다 사회 보험 번호
- 캐나다 보건 서비스 번호
- 캐나다 개인 건강 식별 번호
의료 및 건강 캐나다 PHIA(개인 건강 정보법) 매니토바 - 캐나다 사회 보험 번호
- 캐나다 보건 서비스 번호
- 캐나다 개인 건강 식별 번호
의료 및 건강 캐나다 개인 건강법(PHIPA) 온타리오 - 캐나다 여권 번호
- 캐나다 사회 보험 번호
- 캐나다 보건 서비스 번호
- 캐나다 개인 건강 식별 번호
의료 및 건강 영국 의료 보고 접근 규제법 - 영국 국립 보건 서비스 번호
- 영국 국가 보험 번호(NINO)
의료 및 건강 미국 건강 보험법(HIPAA) 강화
- 국제 질병 분류(ICD-9-CM)
- 국제 질병 분류(ICD-10-CM)
- 모든 전체 이름
- 모든 의료 사용 약관
- 미국 물리적 주소
의료 및 건강 미국 HIPAA(Health Insurance Act) - 국제 질병 분류(ICD-9-CM)
- 국제 질병 분류(ICD-10-CM)
개인 정보 보호 오스트레일리아 개인 정보 보호법 강화 - 오스트레일리아 운전 면허증 번호
- 오스트레일리아 여권 번호
- 모든 전체 이름
- 모든 의료 사용 약관
- 오스트레일리아 실제 주소
개인 정보 보호 호주 개인 정보 보호법 - 오스트레일리아 운전면허증 번호
- 오스트레일리아 여권 번호
개인 정보 보호 호주 PII(개인 식별 정보) 데이터 - 오스트레일리아 세금 파일 번호
- 오스트레일리아 운전 면허증 번호
개인 정보 보호 캐나다 PII(개인 식별 정보) 데이터 - 캐나다 운전 면허증 번호
- 캐나다 은행 계좌 번호
- 캐나다 여권 번호
- 캐나다 사회 보험 번호
- 캐나다 보건 서비스 번호
- 캐나다 개인 건강 식별 번호
개인 정보 보호 캐나다 PIPA(Personal Information Protection Act) - 캐나다 여권 번호
- 캐나다 사회 보험 번호
- 캐나다 보건 서비스 번호
- 캐나다 개인 건강 식별 번호
개인 정보 보호 캐나다 PIPEDA(Personal Information Protection Act) - 캐나다 운전 면허증 번호
- 캐나다 은행 계좌 번호
- 캐나다 여권 번호
- 캐나다 사회 보험 번호
- 캐나다 보건 서비스 번호
- 캐나다 개인 건강 식별 번호
개인 정보 보호 프랑스 데이터 보호법 - CNI(프랑스 국민 ID 카드)
- 프랑스 사회 보장 번호(INSEE)
개인 정보 보호 프랑스 PII(개인 식별 정보) 데이터 - 프랑스 사회 보장 번호(INSEE)
- 프랑스 운전 면허증 번호
- 프랑스 여권 번호
- CNI(프랑스 국민 ID 카드)
개인 정보 보호 GDPR(일반 데이터 보호 규정) 향상 - 오스트리아 물리적 주소
- 벨기에 물리적 주소
- 불가리아 실제 주소
- 크로아티아 물리적 주소
- 키프로스 물리적 주소
- 체코 공화국 물리적 주소
- 덴마크 물리적 주소
- 에스토니아 실제 주소
- 핀란드 실제 주소
- 프랑스 실제 주소
- 독일 물리적 주소
- 그리스 물리적 주소
- 헝가리 실제 주소
- 아일랜드 실제 주소
- 이탈리아 실제 주소
- 라트비아 물리적 주소
- 리투아니아 실제 주소
- 룩셈부르크 실제 주소
- 몰타 실제 주소
- 네덜란드 실제 주소
- 폴란드 실제 주소
- 포르투갈어 실제 주소
- 루마니아 실제 주소
- 슬로바키아 실제 주소
- 슬로베니아 실제 주소
- 스페인 실제 주소
- 스웨덴 물리적 주소
- 오스트리아 사회 보장 번호
- 프랑스 사회 보장 번호(INSEE)
- 그리스 사회 보장 번호(AMKA)
- 헝가리 사회 보장 번호(TAJ)
- 스페인 사회 보장 번호(SSN)
- 오스트리아 신분증
- 키프로스 신분증
- 독일 ID 카드 번호
- 몰타 신분증 번호
- 프랑스 국가 ID 카드(CNI)
- 그리스 국가 ID 카드
- 핀란드 국가 ID
- 폴란드 국가 ID(PESEL)
- 스웨덴 국가 ID
- 크로아티아 OIB(개인 식별) 번호
- 체코 개인 ID 번호
- 덴마크 개인 식별 번호
- 에스토니아 개인 식별 코드
- 헝가리 개인 식별 번호
- 룩셈부르크 국가 식별 번호 자연인
- 룩셈부르크 국가 식별 번호(비자연인)
- 이탈리아 회계 코드
- 라트비아 개인 코드
- 리투아니아 개인 코드
- 루마니아 개인 숫자 코드(CNP)
- 네덜란드 시민 서비스(BSN) 번호
- 아일랜드 PPS(개인 공공 서비스) 번호
- 불가리아 균일 한 시민 번호
- 벨기에 국가 번호
- 스페인 DNI
- 슬로베니아 고유 마스터 시민 번호
- 슬로바키아 개인 번호
- 포르투갈 시민 카드 번호
- 몰타 세금 ID 번호
- 오스트리아 세금 식별 번호
- 키프로스 세금 식별 번호
-프랑스 세금 식별 번호(numéro SPI.)
- 독일 세금 식별 번호
- 그리스 세금 식별 번호
- 헝가리 세금 식별 번호
- 네덜란드 세금 식별 번호
- 폴란드 세금 식별 번호
- 포르투갈 세금 식별 번호
- 슬로베니아 세금 식별 번호
- 스페인 세금 식별 번호
- 스웨덴 세금 식별 번호
- 오스트리아 운전면허증
- 벨기에 운전 면허증 번호
- 불가리아 운전 면허증 번호
- 크로아티아 운전 면허증 번호
- 키프로스 운전 면허증 번호
- 체코 운전 면허증 번호
- 덴마크 운전 면허증 번호
- 에스토니아 운전 면허증 번호
- 핀란드 운전 면허증 번호
- 프랑스 운전 면허증 번호
- 독일어 운전 면허증 번호
- 그리스 운전 면허증 번호
- 헝가리 운전 면허증 번호
- 아일랜드 운전 면허증 번호
- 이탈리아 운전 면허증 번호
- 라트비아 운전 면허증 번호
- 리투아니아 운전 면허증 번호
- 룩셈부르크 운전 면허증 번호
- 몰타 운전 면허증 번호
- 네덜란드 운전 면허증 번호
- 폴란드 운전 면허증 번호
- 포르투갈 운전 면허증 번호
- 루마니아 운전 면허증 번호
- 슬로바키아 운전 면허증 번호
- 슬로베니아 운전 면허증 번호
- 스페인 운전 면허증 번호
- 스웨덴 운전 면허증 번호
- 오스트리아 여권 번호
- 벨기에 여권 번호
- 불가리아 여권 번호
- 크로아티아 여권 번호
- 키프로스 여권 번호
- 체코 여권 번호
- 덴마크 여권 번호
- 에스토니아 여권 번호
- 핀란드 여권 번호
- 프랑스 여권 번호
- 독일 여권 번호
- 그리스 여권 번호
- 헝가리 여권 번호
- 아일랜드 여권 번호
- 이탈리아 여권 번호
- 라트비아 여권 번호
- 리투아니아 여권 번호
- 룩셈부르크 여권 번호
- 몰타 여권 번호
- 네덜란드 여권 번호
- 폴란드 여권
- 포르투갈 여권 번호
- 루마니아 여권 번호
- 슬로바키아 여권 번호
- 슬로베니아 여권 번호
- 스페인 여권 번호
- 스웨덴 여권 번호
- EU 직불 카드 번호
- 모든 전체 이름
개인 정보 보호 일반 데이터 보호 규정(GDPR) - EU 직불 카드 번호
- EU 운전 면허증 번호
- EU 국가 식별 번호
- EU 여권 번호
- EU 사회 보장 번호 또는 동등한 식별
- EU 세금 식별 번호
개인 정보 보호 독일 PII(개인 식별 정보) 데이터 - 독일 운전 면허증 번호
- 독일 여권 번호
개인 정보 보호 이스라엘 PII(개인 식별 정보) 데이터 - 이스라엘 국가 식별 번호
개인 정보 보호 이스라엘 개인 정보 보호 - 이스라엘 국가 식별 번호
- 이스라엘 은행 계좌 번호
개인 정보 보호 일본 PII(개인 식별 정보) 데이터 향상 - 일본 사회보험 번호(SIN)
- 일본 내 번호 - 개인
- 일본 여권 번호
- 일본 운전 면허증 번호
- 모든 전체 이름
- 일본 물리적 주소
개인 정보 보호 일본 PII(개인 식별 정보) 데이터 - 일본 거주자 등록 번호
- 일본 사회보험 번호(SIN)
개인 정보 보호 일본 개인 정보 보호 강화 - 일본 사회보험 번호(SIN)
- 일본 내 번호 - 개인
- 일본 여권 번호
- 일본 운전 면허증 번호
- 모든 전체 이름
- 일본 물리적 주소
개인 정보 보호 일본 개인 정보 보호 - 일본 거주자 등록 번호
- 일본 사회보험 번호(SIN)
개인 정보 보호 사우디아라비아 PII(개인 식별 가능) 데이터 - 사우디아라비아 국가 ID
개인 정보 보호 영국 데이터 보호법 - 영국 국가 보험 번호(NINO)
- 미국/영국 여권 번호
- SWIFT 코드
개인 정보 보호 영국 개인 정보 보호 및 전자 통신 규정 - SWIFT 코드
개인 정보 보호 영국 PII(개인 식별 정보) 데이터 - 영국 국가 보험 번호(NINO)
- 미국/영국 여권 번호
개인 정보 보호 영국 PIOCP(Personal Information Online Code of Practice) - 영국 국가 보험 번호(NINO)
- 영국 국립 보건 서비스 번호
- SWIFT 코드
개인 정보 보호 미국 애국법 강화 - 신용 카드 번호
- 미국 은행 계좌 번호
- 미국 ITIN(개인 납세자 식별 번호)
- 미국 사회 보장 번호(SSN)
- 모든 전체 이름
- 미국 물리적 주소
개인 정보 보호 미국 애국법 - 신용 카드 번호
- 미국 은행 계좌 번호
- 미국 ITIN(개인 납세자 식별 번호)
- 미국 사회 보장 번호(SSN)
개인 정보 보호 미국 PII(개인 식별 정보) 데이터 향상 - 미국 ITIN(개인 납세자 식별 번호)
- 미국 사회 보장 번호(SSN)
- 미국/영국 여권 번호
- 모든 전체 이름
- 미국 물리적 주소
개인 정보 보호 미국 PII(개인 식별 정보) 데이터 - 미국 ITIN(개인 납세자 식별 번호)
- 미국 사회 보장 번호(SSN)
- 미국/영국 여권 번호
개인 정보 보호 미국 주 위반 알림 법 강화 - 신용 카드 번호
- 미국 은행 계좌 번호
-미국 운전 면허증 번호
- 미국 사회 보장 번호(SSN)
- 모든 전체 이름
- 미국/영국 여권 번호
- 모든 의료 사용 약관
개인 정보 보호 미국 개인 정보 침해 고지법 - 신용 카드 번호
- 미국 은행 계좌 번호
-미국 운전 면허증 번호
- 미국 사회 보장 번호(SSN)
개인 정보 보호 미국 사회 보장 번호 기밀 유지법 - 미국 사회 보장 번호(SSN)

정책 범위 지정

관리 단위를 참조하여 무제한 관리자와 관리 단위 제한된 관리자 간의 차이점을 이해해야 합니다.

DLP 정책은 두 가지 수준으로 범위가 지정됩니다. 첫 번째 수준은 organization(선택한 위치에 따라 다름) 또는 관리 단위 제한 정책이라는 organization 하위 그룹에 무제한 관리자 scope 정책을 적용합니다.

  • 사용자
  • 그룹
  • 메일 그룹
  • 계정
  • 사이트
  • 클라우드 앱 인스턴스
  • 온-프레미스 리포지토리
  • 패브릭 및 Power BI 작업 영역

이 수준에서 관리 단위 제한 관리자는 할당된 관리 단위에서만 선택할 수 있습니다.

DLP 정책 범위 지정의 두 번째 수준은 DLP가 지원하는 위치 입니다. 이 수준에서 무제한 및 관리 단위 제한 관리자는 정책 범위의 첫 번째 수준에 포함되었으며 해당 위치에 사용할 수 있는 사용자, 메일 그룹, 그룹 및 계정만 볼 수 있습니다.

무제한 정책

무제한 정책은 다음 역할 그룹의 사용자가 만들고 관리합니다.

  • 준수 관리자
  • 규정 준수 데이터 관리자
  • 정보 보호
  • Information Protection 관리자
  • 보안 관리자

자세한 내용은 사용 권한 문서를 참조하세요.

무제한 관리자는 모든 정책을 관리하고 정책 일치에서 경고 dashboardDLP 활동 Explorer 들어오는 모든 경고 및 이벤트를 볼 수 있습니다.

관리 단위 제한 정책

관리 단위는 Microsoft Entra ID 하위 집합이며 사용자, 그룹, 메일 그룹 및 계정의 컬렉션을 관리하기 위해 만들어집니다. 이러한 컬렉션은 일반적으로 비즈니스 그룹 라인 또는 지정학적 영역을 따라 만들어집니다. 관리 단위에는 역할 그룹의 관리 단위와 연결된 위임된 관리자가 있습니다. 이를 관리 단위 제한된 관리자라고 합니다.

DLP는 정책을 관리 단위와 연결할 수 있습니다. Microsoft Purview 규정 준수 포털 구현 세부 정보는 관리 단위를 참조하세요. 관리 단위 관리자는 관리 단위에 대한 DLP 정책을 만들고 관리하려면 무제한 DLP 정책의 관리자와 동일한 역할 또는 역할 그룹 중 하나에 할당되어야 합니다.

DLP 관리 역할 그룹 깡통
무제한 관리자 - 전체 organization DLP 정책 만들기 및 scope
모든 DLP 정책 편집 - DLP 정책을
만들고 관리 단위
로 scope 모든 DLP 정책의 모든 경고 및 이벤트 보기
관리 단위 제한된 관리자
- DLP를 관리할 수 있는 역할 그룹/역할 의 구성원이어야 합니다.
- 할당된
관리 단위에만 DLP 정책을 만들고 scope - 관리 단위에 연결된 DLP 정책 편집 - 해당 관리 단위
로 범위가 지정된 DLP 정책에서만 경고 및 이벤트 보기

위치

DLP 정책은 여러 위치에서 중요한 정보를 포함하는 항목을 찾아 보호할 수 있습니다.

참고

엔드포인트 DLP는 문서의 다른 테넌트에서 레이블을 검색할 수 없습니다.

위치 관리 단위 지원 포함/제외 scope 데이터 상태 추가 필수 구성 요소
Exchange Online - 메일 그룹
- 보안 그룹
- 비 메일 사용 보안 그룹
- 동적 배포 목록
- Microsoft 365 그룹(그룹 구성원만, 엔터티로 그룹 아님)
동작 중인 데이터 아니오
SharePoint Online 아니오 사이트 미사
용 데이터 사용 중
아니오
OneDrive - 메일 그룹
- 보안 그룹
- 비 메일 사용 보안 그룹
- Microsoft 365 그룹(그룹 구성원만, 엔터티로 그룹 아님)
미사
용 데이터 사용 중
아니오
Teams 채팅 및 채널 메시지 - 메일 그룹
- 보안 그룹
- 메일 사용 보안 그룹
- Microsoft 365 그룹(그룹 구성원만, 엔터티로 그룹 아님)
data-in-motion
데이터 사용
DLP 보호 범위를 참조하세요.
인스턴스 아니오 클라우드 앱 instance 미사용 데이터 - 비 Microsoft 클라우드 앱에 대한 데이터 손실 방지 정책 사용
디바이스 - 메일 그룹
- 보안 그룹
- 비 메일 사용 보안 그룹
- Microsoft 365 그룹(그룹 구성원만, 엔터티로 그룹 아님)
데이터 사용
중 데이터 이동
- 엔드포인트 데이터 손실 방지
- 에 대해 알아보기엔드포인트 데이터 손실 방지
- 시작Information Protection 디바이스 프록시 및 인터넷 연결 설정 구성
온-프레미스 리포지토리(파일 공유 및 SharePoint) 아니오 저장소 미사용 데이터 - 온-프레미스 리포지
- 토리의 데이터 손실 방지에 대해 알아보기온-프레미스 리포지토리 데이터 손실 방지 시작
패브릭 및 Power BI 아니오 작업 영역 사용 중인 데이터 아니오
타사 앱 없음 아니요 아니요 아니요
Microsoft 365 Copilot(미리 보기) 아니오 계정 또는 메일 그룹 미사
용 데이터 사용 중
- 사용자 지정 정책 템플릿에서만 사용할 수 있습니다.
-

Exchange 위치 범위 지정

Exchange에 특정 메일 그룹을 포함하도록 선택하는 경우 DLP 정책은 해당 그룹의 구성원이 보낸 전자 메일로만 범위가 지정됩니다. 마찬가지로 메일 그룹을 제외하면 해당 메일 그룹의 구성원이 보낸 모든 전자 메일이 정책 평가에서 제외됩니다.

보낸 사람은 받는 사람은 결과 동작
scope 해당 없음 정책이 적용됨
범위를 벗어남 scope 정책이 적용되지 않음
Exchange 위치 scope 계산

Exchange 위치 scope 계산하는 방법의 예는 다음과 같습니다.

조직에 4명의 사용자와 Exchange 위치 포함 및 제외 범위를 정의하는 데 사용할 두 개의 메일 그룹이 있다고 가정해 보겠습니다. 그룹 멤버 자격은 다음과 같이 설정됩니다.

메일 그룹 구성원
Group1 User1, User2
Group2 User2, User3
그룹 없음 User4
포함 설정 제외 설정 정책이 에 적용됩니다. 정책이 에 적용되지 않음 동작에 대한 설명
전체 없음 Exchange 조직의 모든 보낸 사람(User1, User2, User3, User4) 해당 없음 둘 다 정의되지 않으면 모든 보낸 사람이 포함됩니다.
Group1 없음 Group1의 멤버 보낸 사람(User1, User2) Group1의 멤버가 아닌 모든 보낸 사람(User3, User4) 한 설정이 정의되고 다른 설정이 정의되지 않은 경우 정의된 설정이 사용됩니다.
전체 Group2 Group2의 구성원이 아닌 Exchange 조직의 모든 보낸 사람(User1, User4) Group2의 구성원인 모든 보낸 사람(User2, User3) 한 설정이 정의되고 다른 설정이 정의되지 않은 경우 정의된 설정이 사용됩니다.
Group1 Group2 User1 User2, User3, User4 제외 재정의는 다음을 포함합니다.

메일 그룹의 구성원, 동적 메일 그룹, 보안 그룹에 대한 정책의 범위를 선택할 수 있습니다. DLP 정책에는 50개 이하의 이러한 포함 및 제외가 포함될 수 있습니다.

OneDrive 위치 범위 지정

OneDrive 위치에 대한 정책 범위를 지정할 때 organization 모든 사용자 및 그룹에 DLP 정책을 적용하는 것 외에도 정책의 scope 특정 사용자 및 그룹으로 제한할 수 있습니다. DLP는 최대 100명의 개별 사용자에 대한 범위 지정 정책을 지원합니다.

instance 경우 100명 이상의 사용자를 포함하려면 먼저 해당 사용자를 메일 그룹 또는 보안 그룹에 적절하게 배치해야 합니다. 그런 다음 최대 50개의 그룹에 정책을 scope 수 있습니다.

경우에 따라 하나 또는 두 개의 그룹에 정책을 적용하고 해당 그룹 중 하나에 속하지 않는 2~3명의 개별 사용자를 적용할 수 있습니다. 여기서 모범 사례는 두세 명의 개인을 자신의 그룹에 배치하는 것입니다. 이것이 정책의 범위를 모든 의도된 사용자로 지정하는 유일한 방법입니다.

그 이유는 사용자만 나열하면 DLP가 정책 scope 지정된 모든 사용자를 추가하기 때문입니다. 마찬가지로 그룹만 추가하면 DLP는 모든 그룹의 모든 멤버를 정책 scope 추가합니다.

다음과 같은 그룹과 사용자가 있다고 가정해 봅시다.

메일 그룹 구성원
Group1 User1, User2
Group2 User2, User3

정책의 scope 사용자 또는 그룹으로만 제한하는 경우 DLP는 다음 표와 같이 사용자에게 정책을 적용합니다.

지정된 scope DLP 범위 평가 동작 scope 사용자
(사용자만 해당)
User1
User2
DLP는 지정된 사용자의 공용 구조체를 사용합니다. User1, User2
(그룹만 해당)
Group1
Group2
DLP는 지정된 그룹의 합집합을 사용합니다. User1, User2, User3

그러나 범위 지정 구성에서 사용자와 그룹이 혼합되면 상황이 복잡해집니다. 그 이유는 다음과 같습니다. DLP는 나열된 그룹 및 사용자의 교집합 까지만 정책 범위를 지정합니다.

DLP는 scope 포함할 사용자 및 그룹을 결정할 때 다음 작업 순서를 사용합니다.

  1. 그룹 멤버 자격의 합집합 평가
  2. 사용자 통합 평가
  3. 그룹 멤버와 사용자의 교차점, 즉 결과가 겹치는 위치 평가

그런 다음, 정책의 scope 그룹 구성원과 사용자의 교차점에 적용합니다.

동일한 그룹 집합으로 작업하는 예제를 확장하고 그룹에 없는 User4를 추가해 보겠습니다.

메일 그룹 구성원
Group1 User1, User2
Group2 User2, User3
그룹 없음 사용자 4

다음 표에서는 사용자와 그룹이 모두 범위 지정 지침에 포함된 경우 정책 범위 지정이 작동하는 방식을 설명합니다.

지정된 scope DLP 범위 평가 동작 scope 사용자
Group1
Group2
User3
User4
첫 번째 평가: 그룹의 합집합:
(Group1 + Group2) = User1, User2, User3

두 번째 평가: 사용자 통합:
(User3 + User4) = User3, User4

세 번째 평가: 그룹과 사용자의 교집합(겹침):

(Group1 + Group2) = User1, User2, User3

(User3 + User4) = User3, User4
User3
(User3은 첫 번째 및 두 번째 평가의 결과에 표시되는 유일한 사용자입니다.)
Group1
Group2
User1
User3
User4
첫 번째 평가: 그룹의 합집합:
(Group1 + Group2) = User1, User2, User3

두 번째 평가: 사용자 통합:
(User1 + User3 + User4) = User1, User3, User4

세 번째 평가: 그룹과 사용자의 교집합(겹침):

(Group1 + Group2) = User1, User3

(User1 + User3, User4) = User1, User3, User4
User1, User3
(첫 번째 및 두 번째 평가의 결과에 표시되는 유일한 사용자입니다.)

콘텐츠를 정의할 수 있는 방법에 대한 위치 지원

DLP 정책은 중요한 항목을 SIT(중요한 정보 유형) 또는 민감도 레이블 또는 보존 레이블과 일치시켜 감지합니다. 각 위치는 중요한 콘텐츠를 정의하는 다양한 방법을 지원합니다. 정책의 위치를 결합할 때 콘텐츠를 정의할 수 있는 방법은 단일 위치로 제한될 때 정의할 수 있는 방법에서 변경될 수 있습니다.

중요

정책에 대해 여러 위치를 선택하면 콘텐츠 정의 범주의 "아니요" 값이 "예" 값보다 우선합니다. 예를 들어 SharePoint 사이트만 선택하는 경우 정책은 민감도 레이블 또는 보존 레이블을 통해 하나 이상의 SIT로 중요한 항목 검색을 지원합니다. 그러나 SharePoint 사이트 Teams 채팅 및 채널 메시지 위치를 선택하면 정책은 SIT를 통해서만 중요한 항목 검색을 지원합니다.

위치 SIT에서 콘텐츠를 정의할 수 있습니다. 콘텐츠는 민감도 레이블을 정의할 수 있습니다. 보존 레이블로 콘텐츠를 정의할 수 있습니다.
온라인으로 전자 메일 교환 아니요
Microsoft 365 사이트의 SharePoint
회사 또는 학교 계정용 OneDrive
Teams 채팅 및 채널 메시지 아니요 아니요
디바이스 아니요
인스턴스
온-프레미스 리포지토리 아니요
패브릭 및 Power BI 아니요
Microsoft 365 Copilot(미리 보기) 아니오 아니요

DLP는 학습 가능한 분류자를 중요한 문서를 검색하는 조건으로 사용할 수 있도록 지원합니다. 콘텐츠는 Exchange, SharePoint 사이트, OneDrive 계정, Teams 채팅 및 채널 및 디바이스에서 학습 가능한 분류자를 통해 정의할 수 있습니다. 자세한 내용은 학습 가능한 분류자를 참조하세요.

참고

DLP는 전자 메일 및 첨부 파일에서 민감도 레이블 검색을 지원합니다. 자세한 내용은 DLP 정책에서 민감도 레이블을 조건으로 사용을 참조하세요.

규칙

규칙은 DLP 정책의 비즈니스 논리입니다. 다음으로 구성됩니다.

  • 일치할 때 정책 작업을 트리거하는 조건
  • 정책을 트리거하는 작업을 수행할 때 사용자에게 알리고 organization 중요한 정보를 처리하는 방법을 교육하는 데 도움이 되는 사용자 알림
  • 관리자가 구성할 때 사용자 재정의 를 통해 사용자가 차단 작업을 선택적으로 재정의할 수 있습니다.
  • 규칙 일치가 발생할 때 관리자 및 기타 주요 관련자에게 알리는 인시던트 보고서
  • 규칙 평가의 우선 순위를 정의하고 추가 규칙 및 정책 처리를 중지할 수 있는 추가 옵션입니다.

정책에는 하나 이상의 규칙이 포함됩니다. 규칙은 각 정책에서 가장 우선순위가 높은 규칙부터 순차적으로 실행됩니다.

규칙이 평가되고 적용되는 우선 순위

호스트된 서비스 위치

Exchange, SharePoint 및 OneDrive와 같은 호스트된 서비스 위치의 경우 각 규칙에는 생성된 순서대로 우선 순위가 할당됩니다. 즉, 먼저 만든 규칙의 우선 순위가 첫 번째이고, 두 번째 규칙의 우선 순위는 두 번째입니다.

우선 순위 순서의 규칙

콘텐츠를 규칙에 대해 평가할 때 규칙은 우선 순위대로 처리됩니다. 콘텐츠가 여러 규칙과 일치하는 경우 가장 제한적인 작업이 있는 평가된 첫 번째 규칙이 적용됩니다. 예를 들어 콘텐츠가 다음 규칙과 모두 일치하는 경우 가장 높은 우선 순위, 가장 제한적인 규칙이므로 규칙 3 이 적용됩니다.

  • 규칙 1: 사용자에게 알리기만 함
  • 규칙 2: 사용자에게 알리고, 액세스를 제한하고, 사용자 재정의를 허용함
  • 규칙 3: 사용자에게 알리고, 액세스를 제한하며, 사용자 재정의를 허용하지 않음
  • 규칙 4: 액세스 제한

규칙 1, 2 및 4는 평가되지만 적용되지는 않습니다. 이 예제에서는 가장 제한적인 규칙만 적용되더라도 모든 규칙에 대한 일치 항목이 감사 로그에 기록되고 DLP 보고서에 표시됩니다.

규칙을 사용하여 특정 보호 요구 사항을 충족한 다음, DLP 정책을 사용하여 특정 규정을 준수하는 데 필요한 모든 규칙과 같은 일반적인 보호 요구 사항을 그룹화할 수 있습니다.

예를 들어 HIPAA(Health Insurance Portability and Accountability Act)가 적용되는 정보의 현재 상태를 확인하는 데 도움이 되는 DLP 정책이 있을 수 있습니다. 이 DLP 정책은 organization 외부 사용자와 공유되는 중요한 정보가 포함된 문서를 찾은 다음 문서에 대한 액세스를 차단하고 알림(작업)을 전송하여 모든 SharePoint 사이트 및 모든 OneDrive 사이트("where")에서 HIPAA 데이터("what")를 보호하는 데 도움이 될 수 있습니다. 해당 요구 사항은 개별 규칙으로 저장되며 관리 및 보고를 간소화하기 위해 DLP 정책으로 그룹화 됩니다.

위치 및 규칙을 포함한 DLP 정책을 보여주는 다이어그램

엔드포인트의 경우

항목이 여러 DLP 규칙과 일치하는 경우 DLP는 복잡한 알고리즘을 사용하여 적용할 작업을 결정합니다. 엔드포인트 DLP는 가장 제한적인 작업의 집계 또는 합계를 적용합니다. DLP는 계산할 때 이러한 요소를 사용합니다.

정책 우선 순위 순서 항목이 여러 정책과 일치하고 해당 정책에 동일한 작업이 있는 경우 우선 순위가 가장 높은 정책의 작업이 적용됩니다.

규칙 우선 순위 순서 항목이 정책의 여러 규칙과 일치하고 해당 규칙에 동일한 작업이 있는 경우 우선 순위가 가장 높은 규칙의 작업이 적용됩니다.

정책 모드 항목이 여러 정책과 일치하고 해당 정책에 동일한 작업이 있는 경우 상태 켜기 (적용 모드)에 있는 모든 정책의 작업이 정책 팁을 사용하여 시뮬레이션 모드에서 정책 실행 및 시뮬레이션 모드 상태에서 정책 실행 의 정책에 우선적으로 적용됩니다.

행동 항목이 여러 정책과 일치하고 해당 정책이 작업에서 다른 경우 가장 제한적인 작업의 집계 또는 합계가 적용됩니다.

권한 부여 그룹 구성 항목이 여러 정책과 일치하고 해당 정책이 서로 다른 경우 가장 제한적인 작업의 집계 또는 합계가 적용됩니다.

재정의 옵션 항목이 여러 정책과 일치하고 이러한 정책이 재정의 옵션에서 다른 경우 작업은 다음 순서로 적용됩니다.

재정>의 없음재정의 허용

런타임 동작을 보여 주는 시나리오는 다음과 같습니다. 처음 세 가지 시나리오의 경우 다음과 같이 세 가지 DLP 정책이 구성됩니다.

정책 이름 일치시킬 조건 작업 정책 우선 순위
ABC (미국) 콘텐츠에 크레딧 카드 번호가 포함되어 있습니다. 인쇄 차단, 다른 모든 사용자 송신 작업 감사 0
MNO 콘텐츠에 크레딧 카드 번호가 포함되어 있습니다. USB로 복사 차단, 다른 모든 사용자 송신 활동 감사 1
XYZ 콘텐츠에 미국 사회 보장 번호가 포함되어 있습니다. 클립보드에 복사 차단, 다른 모든 사용자 송신 활동 감사 2
항목에 크레딧 카드 번호가 포함되어 있습니다.

모니터링되는 디바이스의 항목에는 신용 카드 번호가 포함되어 있으므로 정책 ABC 및 정책 MNO와 일치합니다. ABC와 MNO는 모두 켜기 모드에 있습니다.

정책 클라우드 송신 작업 클립보드 작업에 복사 USB 작업으로 복사 네트워크 공유 작업에 복사 허용되지 않는 앱 작업 인쇄 작업 Bluetooth 작업을 통해 복사 원격 데스크톱 작업으로 복사
ABC (미국) 감사 감사 감사 감사 감사 차단 감사 감사
MNO 감사 감사 차단 감사 감사 감사 감사 감사
런타임에 적용된 작업 감사 감사 차단 감사 감사 차단 감사 감사
항목에는 신용 카드 번호 및 미국 사회 보장 번호가 포함되어 있습니다.

모니터링되는 디바이스의 항목에는 신용 카드 번호 및 미국 사회 보장 번호가 포함되어 있으므로 이 항목은 정책 ABC, 정책 MNO 및 정책 XYZ와 일치합니다. 세 가지 정책 모두 켜기 모드에 있습니다.

정책 클라우드 송신 작업 클립보드 작업에 복사 USB 작업으로 복사 네트워크 공유 작업에 복사 허용되지 않는 앱 작업 인쇄 작업 Bluetooth 작업을 통해 복사 원격 데스크톱 작업으로 복사
ABC (미국) 감사 감사 감사 감사 감사 차단 감사 감사
MNO 감사 감사 차단 감사 감사 감사 감사 감사
XYZ 감사 차단 감사 감사 감사 차단 감사 감사
런타임에 적용된 작업 감사 차단 차단 감사 감사 차단 감사 감사
항목에는 신용 카드 번호, 다른 정책 상태가 포함됩니다.

모니터링되는 디바이스의 항목에는 신용 카드 번호가 포함되어 있으므로 정책 ABC 및 정책 MNO와 일치합니다. 정책 ABC가 켜 기 모드이고 정책 MNO시뮬레이션 모드 상태에서 정책 실행에 있습니다 .

정책 클라우드 송신 작업 클립보드 작업에 복사 USB 작업으로 복사 네트워크 공유 작업에 복사 허용되지 않는 앱 작업 인쇄 작업 Bluetooth 작업을 통해 복사 원격 데스크톱 작업으로 복사
ABC (미국) 감사 감사 감사 감사 감사 차단 감사 감사
MNO 감사 감사 차단 감사 감사 감사 감사 감사
런타임에 적용된 작업 감사 감사 감사 감사 감사 차단 감사 감사
항목에는 신용 카드 번호, 다른 재정의 구성이 포함됩니다.

모니터링되는 디바이스의 항목에는 신용 카드 번호가 포함되어 있으므로 정책 ABC 및 정책 MNO와 일치합니다. 정책 ABC가 켜 상태이고 정책 MNO 가 켜 상태입니다. 다른 재정의 작업이 구성되어 있습니다.

정책 클라우드 송신 작업 클립보드 작업에 복사 USB 작업으로 복사 네트워크 공유 작업에 복사 허용되지 않는 앱 작업 인쇄 작업 Bluetooth 작업을 통해 복사 원격 데스크톱 작업으로 복사
ABC (미국) 감사 감사 재정의와 함께 차단 감사 감사 차단 감사 감사
MNO 감사 감사 재정의하지 않고 차단 감사 감사 감사 감사 감사
런타임에 적용된 작업 감사 감사 재정의하지 않고 차단 감사 감사 차단 감사 감사
항목에는 신용 카드 번호, 다른 권한 부여 그룹 구성이 포함됩니다.

모니터링되는 디바이스의 항목에는 신용 카드 번호가 포함되어 있으므로 정책 ABC 및 정책 MNO와 일치합니다. 정책 ABC가 켜 상태이고 정책 MNO 가 켜 상태입니다. 서로 다른 권한 부여 그룹 작업이 구성되어 있습니다.

정책 클라우드 송신 작업 클립보드 작업에 복사 USB 작업으로 복사 네트워크 공유 작업에 복사 허용되지 않는 앱 작업 인쇄 작업 Bluetooth 작업을 통해 복사 원격 데스크톱 작업으로 복사
ABC (미국) 감사 감사 인증 그룹 A - 차단 감사 감사 인증 그룹 A - 차단 감사 감사
MNO 감사 감사 인증 그룹 A - 재정의로 차단 감사 감사 인증 그룹 B - 블록 감사 감사
런타임에 적용된 작업 감사 감사 인증 그룹 A - 차단 감사 감사 인증 그룹 A - 블록, 인증 그룹 B - 블록 감사 감사

조건

조건은 규칙을 찾으려는 항목과 해당 항목이 사용되는 컨텍스트를 정의하는 위치입니다. 규칙에서 다음과 같이 표시 되고 이와 같이 사용되는 항목을 찾으면 일치하며 정책의 나머지 작업을 수행해야 합니다. 조건을 사용하여 위험 수준마다 다른 작업을 할당할 수 있습니다. 예를 들어 내부적으로 공유하는 중요한 콘텐츠는 조직 외부의 사용자와 공유되는 중요한 콘텐츠 보다 위험성이 더 낮고 더 적은 작업이 필요할 수 있습니다.

참고

호스트 organization Active Directory 또는 Microsoft Entra 테넌트의 게스트 계정이 아닌 사용자는 organization 내부 사용자로 간주됩니다.

콘텐츠 포함

모든 위치는 콘텐츠 포함 조건을 지원합니다. 각 콘텐츠 형식의 여러 인스턴스를 선택하고 이러한 항목( 논리적 OR) 또는 이러한 모든 (논리 AND) 연산자를 사용하여 조건을 더욱 구체화할 수 있습니다.

규칙은 선택한 민감도 레이블보존 레이블 의 존재만 찾습니다.

SID에는 필요한 경우 변경할 수 있는 미리 정의된 신뢰 수준이 있습니다. 자세한 내용은 신뢰도 수준에 대한 자세한 내용을 참조하세요.

중요

SIT에는 최대 고유 instance 개수 매개 변수를 정의하는 두 가지 방법이 있습니다. 자세한 내용은 SIT에 대해 지원되는 인스턴스 수 값을 참조하세요.

Microsoft Purview의 적응형 보호

적응형 보호는 Microsoft Purview 내부 위험 관리 위험 프로필을 DLP 정책에 통합하여 DLP가 동적으로 식별된 위험한 동작으로부터 보호할 수 있도록 합니다. 내부 위험 관리에 구성된 경우 적응형 보호에 대한 내부 위험 수준이 Exchange Online, 디바이스 및 Teams 위치에 대한 조건으로 표시됩니다. 자세한 내용은 데이터 손실 방지의 적응형 보호에 대해 알아보 기를 참조하세요.

Adaptive Protection에서 지원하는 조건
  • 적응형 보호에 대한 내부 위험 수준은...

다음 값을 사용하여 다음을 수행합니다.

  • 상승된 위험 수준
  • 보통 위험 수준
  • 사소한 위험 수준

조건 컨텍스트

사용 가능한 컨텍스트 옵션은 선택한 위치에 따라 변경됩니다. 여러 위치를 선택하는 경우 위치의 공통 조건만 사용할 수 있습니다.

Exchange에서 지원하는 조건
  • 콘텐츠 포함
  • 적응형 보호에 대한 내부 위험 수준은
  • 콘텐츠에 레이블이 지정되지 않음
  • Microsoft 365에서 콘텐츠 공유
  • 콘텐츠가 에서 수신됨
  • 보낸 사람 IP 주소는
  • 머리글에 단어 또는 구가 포함되어 있습니다.
  • 보낸 사람 AD 특성에 단어 또는 구가 포함되어 있습니다.
  • 콘텐츠 문자 집합에 단어가 포함되어 있습니다.
  • 헤더가 패턴과 일치
  • 보낸 사람 AD 특성이 패턴과 일치합니다.
  • 받는 사람 AD 특성에 단어 또는 구가 포함되어 있습니다.
  • 받는 사람 AD 특성이 패턴과 일치합니다.
  • 받는 사람이 의 구성원입니다.
  • 문서 속성은
  • 전자 메일 첨부 파일의 콘텐츠를 검사할 수 없음
  • 문서 또는 첨부 파일이 암호로 보호됨
  • 발신자가 정책 팁을 재정의했습니다.
  • 보낸 사람의 구성원입니다.
  • 전자 메일 첨부 파일 내용의 검사가 완료되지 않음
  • 받는 사람 주소에 단어가 포함되어 있음
  • 파일 확장명은 입니다.
  • 받는 사람 도메인은
  • 받는 사람은
  • 보낸 사람은
  • 보낸 사람 도메인은
  • 받는 사람 주소가 패턴과 일치
  • 문서 이름에 단어 또는 구가 포함되어 있습니다.
  • 문서 이름이 패턴과 일치
  • 제목에 단어 또는 구가 포함되어 있습니다.
  • 제목이 패턴과 일치
  • 제목 또는 본문에 단어 또는 구가 포함되어 있습니다.
  • 제목 또는 본문이 패턴과 일치
  • 보낸 사람 주소에 단어가 포함되어 있습니다.
  • 보낸 사람 주소가 패턴과 일치
  • 문서 크기가 같거나 보다 큽니다.
  • 문서 콘텐츠에 단어 또는 구가 포함되어 있습니다.
  • 문서 콘텐츠가 패턴과 일치
  • 메시지 크기가 같거나 보다 큽니다.
  • 메시지 유형은 입니다.
  • 메시지 중요도는 다음과 같습니다.

PowerShell 값을 포함하여 Exchange에서 지원하는 조건에 대한 자세한 내용은 데이터 손실 방지 Exchange 조건 및 작업 참조를 참조하세요.

SharePoint에서 지원하는 조건
  • 콘텐츠 포함
  • Microsoft 365에서 콘텐츠 공유
  • 문서 속성은
  • 문서를 검사할 수 없음
  • 문서 또는 첨부 파일이 암호로 보호됨
  • 문서가 검사를 완료하지 못했습니다.
  • 파일 확장명은 입니다.
  • 문서 이름에 단어 또는 구가 포함되어 있습니다.
  • 문서 크기가 같거나 보다 큽니다.
  • 에 의해 만들어진 문서
조건 OneDrive 계정 지원
  • 콘텐츠 포함
  • Microsoft 365에서 콘텐츠 공유
  • 문서 속성은
  • 문서를 검사할 수 없음
  • 문서 또는 첨부 파일이 암호로 보호됨
  • 문서가 검사를 완료하지 못했습니다.
  • 파일 확장명은 입니다.
  • 문서 이름에 단어 또는 구가 포함되어 있습니다.
  • 문서 크기가 같거나 보다 큽니다.
  • 에 의해 만들어진 문서
  • 문서가 공유됨
조건 Teams 채팅 및 채널 메시지 지원
  • 콘텐츠 포함
  • 적응형 보호에 대한 내부 위험 수준은
  • Microsoft 365에서 콘텐츠 공유
  • 받는 사람 도메인이 -Recipient is
  • 보낸 사람은
  • 보낸 사람 도메인은
엔드포인트에 지원되는 조건
  • 콘텐츠에는 다음이 포함됩니다. 검색할 콘텐츠를 지정합니다. 지원되는 파일 형식에 대한 자세한 내용은 콘텐츠를 검색한 파일을 참조하세요.

  • 콘텐츠에 레이블이 지정되지 않았습니다. 민감도 레이블이 적용되지 않은 콘텐츠를 검색합니다. 지원되는 파일 형식만 검색되도록 하려면 파일 확장명 또는 파일 형식 이 조건인 상태에서 이 조건을 사용해야 합니다. (PDF 및 Office 파일은 완전히 지원됨).

  • 문서를 검사할 수 없습니다. 다음 이유 중 하나로 검사할 수 없는 파일에 적용됩니다.

    • 파일에는 하나 이상의 일시적인 텍스트 추출 오류가 포함되어 있습니다.
    • 파일이 암호로 보호됨
    • 파일 크기가 지원되는 제한을 초과합니다(최대 파일 크기: 압축되지 않은 파일의 경우 64MB, 압축된 파일의 경우 256MB)
  • 문서 이름에는 단어 또는 구가 포함됩니다. 지정한 단어 또는 구(예: file, , credit cardpatent등)가 포함된 파일 이름을 가진 문서를 검색합니다.

  • 문서 이름은 패턴과 일치합니다. 파일 이름이 특정 패턴과 일치하는 문서를 검색합니다. 패턴을 정의하려면 와일드카드를 사용합니다. 정규식 패턴에 대한 자세한 내용은 여기의 정규식 설명서를 참조 하세요.

  • 문서 또는 첨부 파일은 암호로 보호됩니다. 열려 있는 보호된 파일만 검색합니다. 다음 파일은 완전히 지원됩니다.

    • 보관 파일(ZIP, .7z, RAR)
    • Office 파일
    • PDF
    • Symantec PGP 암호화된 파일
  • 문서 크기가 다음보다 크거나 큽니다. 파일 크기가 지정된 값보다 크거나 같은 문서를 검색합니다.

    중요

    10KB보다 큰 항목을 검색하려면 이 조건을 설정하는 것이 좋습니다.

  • 파일 형식은 다음과 같습니다. 다음 파일 형식을 검색합니다.

    파일 형식 모니터링되는 파일 확장자
    Word 처리 Word, PDF doc, .docx, .docm, .dot, dotx, .dotm, .docb, .pdf
    스프레드시트 Excel, CSV, TSV .xls, .xlsx, .xlt, .xlm, .xlsm, xltx, xltm, xlsb, .xlw, .csv, .tsv
    프레젠테이션 PowerPoint .ppt, .pptx, .pos, .pps, .pptm, .potx, .potm, .ppam, .ppsx
    전자 메일 Outlook .메시지

    중요

    파일 확장명 및파일 형식 옵션은 동일한 규칙의 조건으로 사용할 수 없습니다. 동일한 정책의 조건으로 사용하려는 경우 별도의 규칙에 있어야 합니다.

파일 형식이 조건임을 사용하려면 다음 버전의 Windows 중 하나가 있어야 합니다.

  • Windows 엔드포인트(X64):

  • Windows 엔드포인트(ARM64):

  • 파일 확장명은 다음과 같습니다.파일 형식 이 조건과 동일한 확장명인 파일에서 중요한 정보를 검색하는 것 외에도 파일 확장명은 조건 을 사용하여 모니터링해야 하는 파일 확장명에서 중요한 정보를 검색할 수 있습니다. 이렇게 하려면 정책의 규칙에 쉼표로 구분된 필요한 파일 확장자를 추가합니다. 파일 확장명은 파일 형식이 조건임을 지원하는 Windows 버전에 대해서만 지원됩니다.

    경고

    정책 규칙에 다음 파일 확장명을 포함하면 CPU 부하가 크게 증가할 수 있습니다. .dll, .exe, .mui, .ost, .pf, .pst.

  • 검사가 완료되지 않았습니다. 파일 검색이 시작되었지만 전체 파일을 검사하기 전에 중지된 경우에 적용됩니다. 불완전한 검사의 주된 이유는 파일 내에서 추출된 텍스트가 허용되는 최대 크기를 초과하기 때문입니다. (추출된 텍스트의 최대 크기: 압축되지 않은 파일: 4MB; 압축된 파일: N=1000/ 추출 시간 = 5분)

  • 문서 속성은 다음과 같습니다 . 지정된 값과 일치하는 사용자 지정 속성이 있는 문서를 검색합니다. 예: Department = 'Marketing', Project = 'Secret'. 사용자 지정 속성에 여러 값을 지정하려면 큰따옴표를 사용합니다. 예를 들어 "Department: Marketing, Sales"입니다.

  • 사용자가 Microsoft Edge에서 중요한 웹 사이트에 액세스 했습니다. 자세한 내용은 시나리오 6 중요한 서비스 도메인에서 사용자 활동 모니터링 또는 제한(미리 보기)을 참조하세요.

  • Adaptive Protection의 내부 위험 수준은 다음과 같습니다 . 내부 위험 수준을 검색합니다.

모니터링 및 작업을 수행할 수 있는 엔드포인트 활동도 참조하세요.

5가지 조건에 대한 운영 체제 요구 사항
  • 문서를 검사할 수 없음
  • 문서 이름에 단어 또는 구가 포함되어 있습니다.
  • 문서 이름이 패턴과 일치
  • 문서 크기가 같거나 보다 큽니다.
  • 검사가 완료되지 않았습니다.

이러한 조건을 사용하려면 엔드포인트 디바이스가 다음 운영 체제 중 하나를 실행해야 합니다.

조건 '문서 속성이 입니다'에 대한 운영 체제 요구 사항

중요

PDF 파일과 함께 DLP(Microsoft Purview 데이터 손실 방지) 기능을 사용하기 위한 Adobe 요구 사항에 대한 자세한 내용은 Adobe: Acrobat의 Microsoft Purview Information Protection 지원 문서를 참조하세요.

조건 인스턴스가 지원하는 조건
  • 콘텐츠 포함
  • Microsoft 365에서 콘텐츠 공유
조건 온-프레미스 리포지토리 지원
  • 콘텐츠 포함
  • 파일 확장명은 입니다.
  • 문서 속성은
조건 패브릭 및 Power BI 지원
  • 콘텐츠 포함
조건 Microsoft 365 Copilot(미리 보기)가 지원합니다.
  • 콘텐츠 포함(민감도 레이블)

조건 그룹

경우에 따라 단일 SIT로 정의된 미국 사회 보장 번호를 포함하는 모든 콘텐츠와 같은 한 가지만 식별하는 규칙이 필요합니다. 그러나 식별하려는 항목 유형이 더 복잡하고 정의하기 어려운 많은 시나리오에서는 조건 정의에 더 많은 유연성이 필요합니다.

예를 들어 미국 HIPAA(Health Insurance Portability and Accountability Act)를 적용받는 콘텐츠를 식별하려면 다음과 같은 정보를 찾아야 합니다:

  • 미국 사회보장번호 또는 DEA(마약단속국) 번호와 같은 특정 유형의 중요한 정보를 포함하는 콘텐츠

    그리고

  • 환자의 병력에 관한 커뮤니케이션 또는 환자에게 제공된 의료 서비스에 대한 설명과 같이 식별하기 더 어려운 콘텐츠 해당 콘텐츠를 식별하려면 국제질병분류(ICD-9-CM 또는 ICD-10-CM)처럼 방대한 키워드 목록에서 일치하는 키워드가 필요합니다.

조건을 그룹화하고 그룹 간에 논리 연산자(AND, OR)를 사용하여 이러한 유형의 데이터를 식별할 수 있습니다.

미국 건강 보험법(HIPAA)의 경우 조건은 다음과 같이 그룹화됩니다.

HIPAA 정책 조건

첫 번째 그룹에는 개인을 식별하는 SID가 포함되고 두 번째 그룹에는 의료 진단을 식별하는 SID가 포함됩니다.

조건을 부울 연산자(AND, OR, NOT)로 그룹화하고 조인할 수 있으므로 포함할 항목을 명시한 다음 NOT에 의해 첫 번째 그룹에 조인된 다른 그룹의 제외를 정의하여 규칙을 정의할 수 있습니다. Purview DLP가 부울 및 중첩 그룹을 구현하는 방법에 대한 자세한 내용은 복합 규칙 디자인을 참조하세요.

조건에 대한 DLP 플랫폼 제한 사항

술어 워크로드 제한 유형 평가 비용
콘텐츠 포함 EXO/SPO/ODB 규칙당 125개의 SID 높음
Microsoft 365에서 콘텐츠 공유 EXO/SPO/ODB - 높음
보낸 사람 IP 주소는 EXO 개별 범위 길이 <= 128; Count <= 600 낮음
발신자가 정책 팁을 재정의했습니다. EXO - 낮음
보낸 사람은 EXO 개별 전자 메일 길이 <= 256; Count <= 600 보통
보낸 사람의 구성원입니다. EXO Count <= 600 높음
보낸 사람 도메인은 EXO 도메인 이름 길이 <= 67; Count <= 600 낮음
보낸 사람 주소에 단어가 포함되어 있습니다. EXO 개별 단어 길이 <= 128; Count <= 600 낮음
보낸 사람 주소가 패턴과 일치 EXO Regex length <= 128 char; Count <= 600 낮음
보낸 사람 AD 특성에 단어가 포함되어 있습니다. EXO 개별 단어 길이 <= 128; Count <= 600 보통
보낸 사람 AD 특성이 패턴과 일치합니다. EXO Regex length <= 128 char; Count <= 600 보통
전자 메일 첨부 파일의 내용을 검사할 수 없음 EXO 지원되는 파일 형식 낮음
전자 메일 첨부 파일 콘텐츠의 불완전한 검사 EXO 크기 > 1MB 낮음
첨부 파일이 암호로 보호됨 EXO 파일 형식: Office 파일, .PDF, .ZIP 및 7z 낮음
첨부 파일 확장명은 EXO/SPO/ODB 개수 <= 규칙당 600 높음
받는 사람이 다음의 구성원임 EXO Count <= 600 높음
받는 사람 도메인은 EXO 도메인 이름 길이 <= 67; Count <= 5000 낮음
받는 사람은 EXO 개별 전자 메일 길이 <= 256; Count <= 600 낮음
받는 사람 주소에 단어가 포함되어 있음 EXO 개별 단어 길이 <= 128; Count <= 600 낮음
받는 사람 주소가 패턴과 일치 EXO Count <= 300 낮음
문서 이름에 단어 또는 구가 포함되어 있습니다. EXO 개별 단어 길이 <= 128; Count <=600 낮음
문서 이름이 패턴과 일치 EXO Regex length <= 128 char; Count <= 300 낮음
문서 속성은 EXO/SPO/ODB - 낮음
문서 크기가 같거나 보다 큽니다. EXO - 낮음
제목에 단어 또는 구가 포함되어 있습니다. EXO 개별 단어 길이 <= 128; Count <= 600 낮음
머리글에 단어 또는 구가 포함되어 있습니다. EXO 개별 단어 길이 <= 128; Count <= 600 낮음
제목 또는 본문에 단어 또는 구가 포함되어 있습니다. EXO 개별 단어 길이 <= 128; Count <= 600 낮음
콘텐츠 문자 집합에 단어가 포함되어 있습니다. EXO Count <= 600 낮음
헤더가 패턴과 일치 EXO Regex length <= 128 char; Count <= 300 낮음
제목이 패턴과 일치 EXO Regex length <= 128 char; Count <= 300 낮음
제목 또는 본문이 패턴과 일치 EXO Regex length <= 128 char; Count <= 300 낮음
메시지 유형은 입니다. EXO - 낮음
메시지 크기 초과 EXO - 낮음
중요도 EXO - 낮음
보낸 사람 AD 특성에 단어가 포함되어 있습니다. EXO 각 특성 키 값 쌍: Regex 길이 <= 128 char; Count <= 600 보통
보낸 사람 AD 특성이 패턴과 일치합니다. EXO 각 특성 키 값 쌍: Regex 길이 <= 128 char; Count <= 300 보통
문서에 단어가 포함되어 있습니다. EXO 개별 단어 길이 <= 128; Count <= 600 보통
문서가 패턴과 일치 EXO Regex length <= 128 char; Count <= 300 보통

작업

조건 필터를 통해 만드는 모든 항목에는 규칙에 정의된 모든 작업이 적용됩니다. 작업을 지원하는 데 필요한 옵션을 구성해야 합니다. 예를 들어 액세스 제한 작업을 사용하여 Exchange를 선택 하거나 Microsoft 365 위치 작업에서 콘텐츠를 암호화 하는 경우 다음 옵션 중에서 선택해야 합니다.

  • 사용자가 공유 SharePoint, OneDrive 및 Teams 콘텐츠에 액세스하지 못하도록 차단
    • 모든 사람을 차단합니다. 콘텐츠 소유자, 마지막 한정자 및 사이트 관리자만 계속 액세스할 수 있습니다.
    • organization 외부에서 사용자만 차단합니다. organization 내의 사용자는 계속 액세스할 수 있습니다.
  • 전자 메일 메시지 암호화(Exchange의 콘텐츠에만 적용)

규칙에서 사용할 수 있는 작업은 선택한 위치에 따라 달라집니다. 각 개별 위치에 사용할 수 있는 작업은 아래에 나열되어 있습니다.

중요

SharePoint 및 OneDrive 위치의 경우 모든 외부 사용자에 대한 중요한 정보(문서 공유 여부에 관계없이)를 검색한 직후에 문서가 사전에 차단됩니다. 내부 사용자는 계속해서 문서에 액세스할 수 있습니다.

지원되는 작업: Exchange

DLP 정책 규칙이 Exchange에 적용되면 중단되거나 중단되지않거나 둘 다 적용되지 않을 수 있습니다. Exchange에서 지원하는 대부분의 규칙은 중단되지 않습니다. 비중단 작업은 이 문서의 앞부분에 있는 호스트된 서비스 위치에 설명된 대로 후속 규칙 및 정책을 처리하기 직전에 평가 및 적용됩니다.

그러나 DLP 정책 규칙에 의해 중지 작업이 트리거되면 Purview는 후속 규칙 처리를 중지합니다. instance 경우 Microsoft 365 위치의 콘텐츠에 대한 액세스 제한 또는 암호화 작업이 트리거되면 추가 규칙이나 정책이 처리되지 않습니다.

작업이 중단되거나 중단되지 않는 경우 Purview는 작업 결과가 발생할 때까지 기다린 후 계속합니다. 따라서 보내는 전자 메일이 보낸 사람의 관리자 작업에 대한 승인을 위해 메시지 전달 을 트리거하면 Purview는 전자 메일을 보낼 수 있는지 여부에 대한 관리자의 결정을 받기 위해 기다립니다. 관리자가 승인하면 작업이 중지되지 않는 작업으로 동작하고 후속 규칙이 처리됩니다. 반면 관리자가 전자 메일 보내기를 거부하는 경우 보낸 사람의 관리자에게 승인을 위해 메시지를 전달 하면 중지 작업으로 동작하며 전자 메일 보내기가 차단됩니다. 후속 규칙 또는 경찰은 처리되지 않습니다.

다음 표에는 Exchange에서 지원하는 작업이 나열되어 있으며 중단 중인지 아니면 중단되지 않는지를 나타냅니다.

작업 중지/비중단
Microsoft 365 위치에서 액세스 제한 또는 콘텐츠 암호화 중단
헤더 설정 비중단
헤더 제거 비중단
특정 사용자에게 메시지 리디렉션 비중단
보낸 사람의 관리자에게 승인 메시지를 전달합니다. 어느 쪽도 아니고
승인을 위해 특정 승인자에게 메시지 전달 어느 쪽도 아니고
받는 사람 상자에 받는 사람 추가 비중단
참조 상자에 받는 사람 추가 비중단
숨은 참조 상자에 받는 사람 추가 비중단
보낸 사람의 관리자를 받는 사람으로 추가 비중단
메시지 암호화 및 권한 보호 제거 비중단
Email 제목 앞에 추가 비중단
HTML 고지 사항 추가 비중단
Email 주체 수정 비중단
호스트된 격리에 메시지 전달 중단
암호화된 메시지에 브랜딩 적용 비중단

암호화된 메시지에 브랜딩 적용 작업의 경우 이미 Microsoft Purview 메시지 암호화 구현된 경우 템플릿이 드롭다운 목록에 자동으로 표시됩니다. Microsoft Purview 메시지 암호화 구현하려는 경우 메시지 암호화 배경 및 브랜딩 템플릿을 만들고 구성하는 방법에 대한 Microsoft Purview 메시지 암호화 암호화된 메시지에 organization 브랜드 추가를 참조하세요.

PowerShell 값을 포함하여 Exchange에서 지원하는 작업에 대한 자세한 내용은 데이터 손실 방지 Exchange 조건 및 작업 참조를 참조하세요.

지원되는 작업: SharePoint

  • Microsoft 365 위치에서 액세스 제한 또는 콘텐츠 암호화

지원되는 작업: OneDrive

  • Microsoft 365 위치에서 액세스 제한 또는 콘텐츠 암호화

지원되는 작업: Teams 채팅 및 채널 메시지

  • Microsoft 365 위치에서 액세스 제한 또는 콘텐츠 암호화

지원되는 작업: 디바이스

온보딩된 Windows 디바이스에 대해 DLP에 허용, 감사 전용, 재정의로 차단 또는 차단 (작업)을 지시할 수 있습니다.

DLP에 감사 전용, 재정의로 차단 또는 온보딩된 macOS 디바이스에 대한 이러한 사용자 활동 차단 (작업)을 알릴 수 있습니다.

Microsoft 365 위치에서 액세스 제한 또는 콘텐츠 암호화

이를 사용하여 사용자가 전자 메일을 받거나 공유 SharePoint, OneDrive, Teams 파일 및 Power BI 항목에 액세스하지 못하도록 차단할 수 있습니다. 이 작업은 모든 사람을 차단하거나 organization 외부에 있는 사용자만 차단할 수 있습니다.

사용자가 Windows 디바이스의 Microsoft Edge 브라우저에서 중요한 사이트에 액세스할 때 활동 감사 또는 제한

사용자가 다음을 시도하는 시기를 제어하려면 이 작업을 사용합니다.

활동 설명/옵션
사이트 인쇄 사용자가 온보딩된 디바이스에서 보호된 사이트를 인쇄하려고 하는 경우를 감지합니다.
사이트에서 데이터 복사 사용자가 온보딩된 디바이스에서 보호된 사이트에서 데이터를 복사하려고 하는 경우를 감지합니다.
사이트를 로컬 파일로 저장(다른 이름으로 저장) 사용자가 온보딩된 디바이스에서 보호된 사이트를 로컬 파일로 저장하려고 하는 경우를 감지합니다.
디바이스에서 활동 감사 또는 제한

이를 사용하여 서비스 도메인 및 브라우저 활동, 모든 앱에 대한 파일 활동, 제한된 앱 활동으로 사용자 활동을 제한할 수 있습니다. 디바이스에서 감사 또는 제한 활동을 사용하려면 DLP 설정 및 사용하려는 정책에서 옵션을 구성해야 합니다. 자세한 내용은 제한된 앱 및 앱 그룹을 참조하세요.

디바이스에서 작업 감사 또는 제한 작업이 포함된 DLP 규칙은 재정의가 구성된 차단을 가질 수 있습니다. 이 규칙이 파일에 적용되면 파일에 대해 제한된 작업을 수행하려는 모든 시도가 차단됩니다. 제한을 재정의하는 옵션과 함께 알림이 표시됩니다. 사용자가 재정의하도록 선택하면 1분 동안 작업이 허용되며, 이 기간 동안 사용자는 제한 없이 작업을 다시 시도할 수 있습니다. 이 동작의 예외는 중요한 파일을 끌어 Edge로 떨어뜨린 경우이며, 규칙이 재정의되면 즉시 파일을 첨부합니다.

서비스 도메인 및 브라우저 활동

클라우드 서비스 도메인 허용/차단허용되지 않는 브라우저 목록(중요한 데이터에 대한 브라우저 및 도메인 제한 참조)을 구성하고 사용자가 보호된 파일을 클라우드 서비스 도메인에 업로드하거나 허용되지 않는 브라우저에서 액세스하려고 하면 , Block with override또는 Block 활동에 대한 정책 작업을 Audit only구성할 수 있습니다.

활동 설명/옵션
제한된 클라우드 서비스 도메인에 업로드하거나 허용되지 않는 앱에서 액세스 보호된 파일이 차단되거나 클라우드 서비스 도메인에 업로드될 수 있는 시기를 검색합니다. 중요한 데이터에 대한 브라우저 및 도메인 제한시나리오 6 중요한 서비스 도메인에서 사용자 활동을 모니터링하거나 제한)을 참조하세요.
지원되는 브라우저에 붙여넣기 사용자가 Microsoft Edge, Google Chrome(Microsoft Purview 확장 포함) 또는 Mozilla Firefox(Microsoft Purview 확장 포함)를 사용하여 텍스트 필드 또는 웹 양식에 중요한 정보를 붙여넣을 때를 검색합니다. 평가는 원본 파일의 분류와 독립적입니다. 자세한 내용은 모니터링 및 작업을 수행할 수 있는 엔드포인트 활동을 참조하세요.
모든 앱에 대한 파일 활동

모든 앱에 대한 파일 작업 옵션을 사용하면 파일 활동을 제한하지 않음 또는 특정 활동에 제한 적용을 선택합니다. 특정 활동에 제한 적용을 선택하면 사용자가 DLP 보호 항목에 액세스했을 때 여기에서 선택한 작업이 적용됩니다.

활동 설명/옵션
클립보드에 복사 보호된 파일이 온보딩된 디바이스의 클립보드에 복사되는 시기를 감지합니다. 자세한 내용은 모니터링 및 작업을 수행할 수 있는 엔드포인트 활동 및클립보드 동작에 복사를 참조하세요.
이동식 디바이스에 복사 보호된 파일이 온보딩된 디바이스에서 이동식 USB 디바이스로 복사되거나 이동되는 시기를 감지합니다. 자세한 내용은 이동식 USB 디바이스 그룹을 참조하세요.
네트워크 공유에 복사 보호된 파일이 온보딩된 디바이스에서 네트워크 공유로 복사되거나 이동되는 시기를 감지합니다. 자세한 내용은 네트워크 공유 적용 범위 및 제외를 참조하세요.
인쇄 보호된 파일이 온보딩된 디바이스에서 인쇄되는 시기를 감지합니다. 자세한 내용은 프린터 그룹을 참조하세요.
허용되지 않는 Bluetooth 앱을 사용하여 복사 또는 이동 허용되지 않는 Bluetooth 앱을 사용하여 보호된 파일이 온보딩된 Windows 디바이스에서 복사되거나 이동되는 경우를 감지합니다. 자세한 내용은 허용되지 않는 Bluetooth 앱을 참조하세요. macOS에서는 지원되지 않습니다.
RDP를 사용하여 복사 또는 이동 사용자가 RDP를 사용하여 온보딩된 Windows 디바이스에서 다른 위치로 보호된 파일을 복사하거나 이동할 때 검색합니다. macOS에서는 지원되지 않습니다.
제한된 앱 활동

이전에 허용되지 않는 앱이라고 불리던 제한된 앱 활동 은 제한을 적용하려는 앱입니다. 엔드포인트 DLP 설정의 목록에서 이러한 앱을 정의합니다. 사용자가 목록에 있는 앱을 사용하여 DLP로 보호된 파일에 액세스하려고 하면 , Block with override또는 Block 활동을 수행할 수 있습니다Audit only. 제한된 앱 활동에 정의된 DLP 작업은 앱이 제한된 앱 그룹의 구성원인 경우 재정의됩니다. 그런 다음 제한된 앱 그룹에 정의된 작업이 적용됩니다.

활동 설명/옵션
제한된 앱으로 액세스 허용되지 않는 앱이 온보딩된 Windows 디바이스에서 보호된 파일에 액세스하려고 하는 경우를 감지합니다. 자세한 내용은 제한된 앱 및 앱 그룹을 참조하세요.
제한된 앱 그룹의 앱에 대한 파일 활동(미리 보기)

엔드포인트 DLP 설정에서 제한된 앱 그룹을 정의하고 제한된 앱 그룹을 정책에 추가합니다. 정책에 제한된 앱 그룹을 추가하는 경우 다음 옵션 중 하나를 선택해야 합니다.

  • 파일 활동을 제한하지 마세요
  • 모든 활동에 제한 적용
  • 특정 활동에 제한 적용

제한 적용 옵션 중 하나를 선택하고 사용자가 제한된 앱 그룹에 있는 앱을 사용하여 DLP로 보호된 파일에 액세스하려고 하면 , Block with override또는 Block 활동을 통해 액세스할 수 있습니다Audit only. 여기서 정의하는 DLP 작업은 앱의 모든 앱에 대해 제한된 앱 활동파일 활동에 정의된 작업을 재정의합니다.

자세한 내용은 제한된 앱 및 앱 그룹을 참조하세요.

참고

디바이스 위치는 많은 하위 작업(조건) 및 작업을 제공합니다. 자세한 내용은 모니터링하고 작업을 수행할 수 있는 엔드포인트 활동을 참조하세요.

중요

클립보드로 복사 조건은 사용자가 보호된 파일에서 클립보드로 정보를 복사하는 시기를 감지합니다. 클립보드에 복사를 사용하여 사용자가 보호된 파일에서 정보를 복사할 때 차단, 재정의로 차단 또는 감사를 수행할 수 있습니다.

지원되는 브라우저에 붙여넣기 조건은 사용자가 Microsoft Edge, Microsoft Purview 확장이 있는 Google Chrome 또는 Microsoft Purview 확장이 있는 Mozilla Firefox를 사용하여 중요한 텍스트를 텍스트 필드 또는 웹 양식에 붙여 넣으려고 할 때 해당 정보가 어디에서 왔는지에 관계없이 검색됩니다. 사용자가 텍스트 필드 또는 웹 양식에 중요한 정보를 붙여넣을 때 지원되는 브라우저 에 붙여넣기를 사용하여 차단, 재정의로 차단 또는 감사를 수행할 수 있습니다.

인스턴스 작업

  • Microsoft 365 위치에서 액세스 제한 또는 콘텐츠 암호화
  • 타사 앱 제한

온-프레미스 리포지토리 작업

  • 온-프레미스 파일에 대한 액세스를 제한하거나 제거합니다.
    • 온-프레미스 리포지토리에 저장된 파일에 대한 사용자 액세스 차단
    • 파일에 대한 사용 권한 설정(부모 폴더에서 상속된 권한)
    • 파일이 저장된 위치에서 격리 폴더로 파일 이동

자세한 내용은 DLP 온-프레미스 리포지토리 작업을 참조하세요.

패브릭 및 Power BI 작업

  • 전자 메일 및 정책 팁을 통해 사용자에게 알림
  • 관리자에게 경고 보내기
  • 액세스 제한

    참고

    액세스 제한 작업은 의미 체계 모델에만 적용됩니다.

Microsoft 365 Copilot(미리 보기) 작업

  • 코필로트 위치에서 콘텐츠 제외

위치를 결합할 때 사용할 수 있는 작업

정책을 적용할 Exchange 및 기타 단일 위치를 선택하는 경우

  • Microsoft 365 위치의 콘텐츠 액세스를 제한하거나 암호화하며, Exchange가 아닌 위치 작업에 대한 모든 작업을 사용할 수 있습니다.

정책을 적용할 두 개 이상의 비 Exchange 위치를 선택하는 경우

  • Microsoft 365 위치에서 콘텐츠 액세스를 제한하거나 암호화하면 Exchange가 아닌 위치 작업에 대한 모든 작업을 사용할 수 있습니다.

예를 들어 Exchange 및 디바이스 위치를 선택하면 다음 작업을 사용할 수 있습니다.

  • Microsoft 365 위치에서 액세스 제한 또는 콘텐츠 암호화
  • Windows 디바이스에서 활동 감사 또는 제한

디바이스 및 인스턴스를 선택하면 다음 작업을 사용할 수 있습니다.

  • Microsoft 365 위치에서 액세스 제한 또는 콘텐츠 암호화
  • Windows 디바이스에서 활동 감사 또는 제한
  • 타사 앱 제한

작업이 적용되는지 여부는 정책 모드를 구성하는 방법에 따라 달라집니다. 시뮬레이션 모드에서 정책 실행 옵션을 선택하여 정책 팁을 표시하거나 표시하지 않고 시뮬레이션 모드에서 정책을 실행 하도록 선택할 수 있습니다. 정책을 만든 지 1시간 후 바로 켜기 옵션을 선택하여 실행하도록 선택하거나, 정책 저장 옵션을 선택하여 나중에 다시 사용하도록 선택할 수 있습니다.

작업에 대한 DLP 플랫폼 제한 사항

작업 이름 워크로드 제한
Microsoft 365에서 액세스 제한 또는 콘텐츠 암호화 EXO/SPO/ODB
헤더 설정 EXO
헤더 제거 EXO
특정 사용자에게 메시지 리디렉션 EXO 모든 DLP 규칙에서 총 100개 DL/SG일 수 없습니다.
보낸 사람의 관리자에게 승인 메시지를 전달합니다. EXO AD에서 관리자를 정의해야 합니다.
승인을 위해 특정 승인자에게 메시지 전달 EXO 그룹 지원되지 않습니다.
받는 사람 상자에 받는 사람 추가 EXO 받는 사람 수 <= 10; DL/SG일 수 없습니다.
참조 상자에 받는 사람 추가 EXO 받는 사람 수 <= 10; DL/SG일 수 없습니다.
숨은 참조 상자에 받는 사람 추가 EXO 받는 사람 수 <= 10; DL/SG일 수 없습니다.
보낸 사람의 관리자를 받는 사람으로 추가 EXO 관리자 특성은 AD에서 정의해야 합니다.
HTML 고지 사항 적용 EXO
제목 앞에 추가 EXO
메시지 암호화 적용 EXO
메시지 암호화 제거 EXO
(미리 보기) 코필로트 위치에서 콘텐츠 제외 Microsoft 365 Copilot(미리 보기) SharePoint 및 비즈니스용 OneDrive 콘텐츠만 Microsoft 365 Copilot 처리에서 제외할 수 있습니다.

사용자 알림 및 정책 팁

사용자가 규칙의 조건을 충족하는 컨텍스트에서 중요한 항목에 대한 작업을 시도하는 경우(예: PII(개인 식별 정보)를 포함하고 게스트와 공유되는 OneDrive 사이트의 Excel 통합 문서와 같은 콘텐츠) 사용자 알림 이메일 및 컨텍스트 내 정책 팁 팝업을 통해 사용자에게 알릴 수 있습니다. 이러한 알림은 인식을 높이고 organization DLP 정책에 대해 사람들을 교육하는 데 도움이 되므로 유용합니다.

메시지 표시줄에서는 Excel 2016 정책 팁

중요

  • 알림 전자 메일은 보호되지 않고 전송됩니다.
  • Email 알림은 Microsoft 365 서비스에 대해서만 지원됩니다.

선택한 위치별 알림 지원 Email

선택한 위치 지원되는 Email 알림
디바이스 - 지원되지 않음
Exchange + 디바이스 - Exchange
지원 - 디바이스에 지원되지 않음
Exchange -지원
SharePoint + 디바이스 - SharePoint
에 대해 지원됨 - 디바이스에 대해 지원되지 않음
SharePoint -지원
Exchange + SharePoint - Exchange
지원 - SharePoint 지원
디바이스 + SharePoint + Exchange - 디바이스
에 대해 지원되지 않음 - Exchange에서 지원되는 SharePoint
지원
Teams - 지원되지 않음
OneDrive - 회사 또는 학교
용 OneDrive에 대해 지원됨 - 디바이스에서 지원되지 않음
패브릭 및 Power-BI - 지원되지 않음
인스턴스 - 지원되지 않음
온-프레미스 리포지토리 - 지원되지 않음
Exchange + SharePoint + OneDrive - Exchange
지원 - SharePoint
지원 - OneDrive 지원
M365 코필로트(미리 보기) - 지원되지 않음

또한 사용자에게 정책을 재정의할 수 있는 옵션을 제공하여 유효한 비즈니스 요구 사항이 있거나 정책이 가양성을 검색하는 경우 차단되지 않도록 할 수 있습니다.

사용자 알림 및 정책 팁 구성 옵션은 선택한 모니터링 위치에 따라 달라집니다. 선택한 경우:

  • Exchange
  • SharePoint
  • OneDrive
  • Teams 채팅 및 채널
  • 인스턴스

다양한 Microsoft 앱에 대한 사용자 알림을 사용하거나 사용하지 않도록 설정할 수 있습니다. 데이터 손실 방지 정책 팁 참조를 참조하세요.

정책 팁을 사용하여 알림을 사용하거나 사용하지 않도록 설정할 수도 있습니다.

  • 콘텐츠를 전송, 공유 또는 마지막으로 수정한 사용자에게 메일 알림 OR
  • 특정 사용자에게 알림

또한 전자 메일 텍스트, 제목 및 정책 팁 텍스트를 사용자 지정할 수 있습니다.

Exchange, SharePoint, OneDrive, Teams 채팅 및 채널 및 인스턴스에 사용할 수 있는 사용자 알림 및 정책 팁 구성 옵션

최종 사용자 알림 전자 메일 사용자 지정에 대한 자세한 내용은 사용자 지정 메일 알림.

디바이스만 선택한 경우 Exchange, SharePoint, OneDrive, Teams 채팅 및 채널 및 인스턴스에 사용할 수 있는 모든 동일한 옵션과 Windows 10/11 디바이스에 표시되는 알림 제목 및 콘텐츠를 사용자 지정하는 옵션이 제공됩니다.

디바이스에 사용할 수 있는 사용자 알림 및 정책 팁 구성 옵션

다음 매개 변수를 사용하여 텍스트의 제목과 본문을 사용자 지정할 수 있습니다.

일반 이름 매개 변수 예제
파일 이름 %%FileName%% Contoso 문서 1
프로세스 이름 %%ProcessName%% Word
정책 이름 %%PolicyName%% Contoso 극비
조치 %%AppliedActions%% 클립보드에서 다른 앱으로 문서 콘텐츠 붙여넣기

사용자 지정 메시지 문자 제한 팝업

사용자 알림에는 다음과 같은 문자 제한이 적용됩니다.

변수 문자 제한
DLP_MAX-SIZE-TITLE 120
DLP_MAX-SIZE-CONTENT 250
DLP_MAX-SIZE-JUSTIFICATION 250

%%AppliedActions%%는 이러한 값을 메시지 본문으로 대체합니다.

작업 일반 이름 %%AppliedActions%% 매개 변수로 대체된 값
제거할 수 있는 스토리지에 복사 이동식 스토리지에 쓰기
네트워크 공유에 복사 네트워크 공유에 쓰기
인쇄하다 인쇄
클립보드에서 붙여넣기 클립보드에서 붙여넣기
bluetooth를 통해 복사 Bluetooth를 통해 전송
허용되지 않는 앱으로 열기 이 앱으로 열기
RDP(원격 데스크톱)에 복사 원격 데스크톱으로 전송
허용되지 않는 웹 사이트에 업로드 이 사이트에 업로드
허용되지 않는 브라우저를 통해 항목에 액세스 이 브라우저를 사용하여 열기

이 사용자 지정된 텍스트 사용

%%AppliedActions%% 파일 이름 %%FileName%% via %%ProcessName%%은(는) organization 허용되지 않습니다. 정책 %%PolicyName%%%을(를) 무시하려면 '허용'을 선택합니다.

는 사용자 지정된 알림에서 이 텍스트를 생성합니다.

클립보드 파일 이름에서 붙여넣기: WINWORD.EXE 통한 Contoso 문서 1은 organization 허용되지 않습니다. Contoso 극비 정책을 무시하려면 '허용' 단추를 선택합니다.

Set-DlpComplianceRule -NotifyPolicyTipCustomTextTranslations cmdlet을 사용하여 사용자 지정 정책 팁을 지역화할 수 있습니다.

참고

온-프레미스 위치에는 사용자 알림 및 정책 팁을 사용할 수 없습니다.

가장 높은 우선 순위와 가장 제한적인 규칙의 정책 팁만 표시됩니다. 예를 들어 알림을 콘텐츠 액세스를 차단하는 규칙의 정책 팁은 단순히 알림을 보내는 규칙의 정책 팁보다 우선적으로 표시됩니다. 따라서 정책 팁이 단계별로 표시되지는 않습니다.

알림 및 팁 텍스트를 사용자 지정하는 방법을 포함하여 사용자 알림 및 정책 팁 구성 및 사용에 대한 자세한 내용은 메일 알림 보내기 및 DLP 정책에 대한 정책 팁 표시를 참조하세요.

정책 팁 참조

다양한 앱에 대한 정책 팁 및 알림 지원에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

Microsoft 365 및 OneDrive의 SharePoint에서 차단 및 알림

다음 표에서는 Microsoft 365 및 OneDrive의 SharePoint로 범위가 지정된 정책에 대한 DLP 차단 및 알림 동작을 보여 있습니다. 이는 전체 목록이 아니며 이 문서에 대한 scope 없는 추가 설정이 있습니다.

참고

이 표에 설명된 알림 동작을 사용하려면 다음 설정을 사용하도록 설정해야 할 수 있습니다.

사용자 알림:

  • 설정
  • 정책 팁을 사용하여 Office 365 서비스의 사용자에게 알림
  • 콘텐츠를 전송, 공유 또는 마지막으로 수정한 사용자에게 알립니다.

인시던트 보고서:

  • 규칙 일치가 발생할 때 관리자에게 경고 보내기
  • 작업이 규칙과 일치할 때마다 경고 보내기가 선택됨
  • 이메일 인시던트 보고서를 사용하여 정책 일치 발생 시 알림
조건 액세스 제한 설정 차단 및 알림 동작
- 콘텐츠가 Microsoft 365에서 공유됨**- 내 organization 외부 사용자와 공유됩니다. 구성되지 않음 사용자 알림, 경고 및 인시던트 보고서는 파일이 외부 사용자와 공유되고 외부 사용자가 파일에 액세스하는 경우에만 전송됩니다.
- 콘텐츠는 Microsoft 365**에서 공유됩니다. 내 organization 내 내부 사용자와만 공유됩니다. 구성되지 않음 파일을 업로드할 때 사용자 알림, 경고 및 인시던트 보고서가 전송됩니다.
- 콘텐츠는 Microsoft 365**에서 공유됩니다. 내 organization 내 내부 사용자와만 공유됩니다. - Microsoft 365 위치에서 액세스 제한 또는 콘텐츠 암호화
- 사용자가 전자 메일을 받거나 공유 SharePoint, OneDrive 및 Teams 파일에 액세스하지 못하도록 차단
- 모든 사용자 차단
- 중요한 파일에 대한 액세스는 업로드되는 즉시 차단됩니다.
- 파일을 업로드할 때 사용자 알림, 경고 및 인시던트 보고서가 전송됩니다.
- 콘텐츠가 Microsoft 365에서 공유됨 - 내 organization 외부 사용자와 공유됨 - Microsoft 365 위치에서 액세스 제한 또는 콘텐츠 암호화
- 사용자가 전자 메일을 받거나 공유 SharePoint, OneDrive 및 Teams 파일에 액세스하지 못하도록 차단
- organization 외부 사용자만 차단
- 중요한 파일에 대한 액세스는 문서가 모든 외부 사용자에 대해 공유되는지 여부에 관계없이 업로드되는 즉시 차단됩니다.
- 중요한 정보가 organization 외부의 사용자가 공유 및 액세스한 후 파일에 추가되면 경고 및 인시던트 보고서가 전송됩니다.
- 문서에 중요한 정보가 업로드되기 전에 포함된 경우 외부 공유가 사전에 차단됩니다. 이 시나리오의 외부 공유는 파일이 업로드될 때 차단되므로 경고 또는 인시던트 보고서가 전송되지 않습니다. 경고 및 인시던트 보고서를 표시하지 않는 것은 차단된 각 파일에 대해 사용자에게 경고가 넘쳐나지 않도록 하기 위해 설계되었습니다.
- 자동 관리 차단은 감사 로그 및 활동 Explorer 이벤트로 표시됩니다.
- 콘텐츠가 Microsoft 365에서 공유됨 - 내 organization 외부 사용자와 공유됨 - Microsoft 365 위치에서 액세스 제한 또는 콘텐츠 암호화
- 사용자가 전자 메일을 받거나 공유 SharePoint, OneDrive 및 Teams 파일에 액세스하지 못하도록 차단
- 모든 사용자 차단
- organization 외부의 첫 번째 사용자가 문서에 액세스하면 이벤트가 발생하면 문서가 차단됩니다.
- 잠시 동안 파일에 대한 링크가 있는 외부 사용자가 문서에 액세스할 수 있을 것으로 예상됩니다.
- 파일이 외부 사용자와 공유되고 외부 사용자가 해당 파일에 액세스할 때 사용자 알림, 경고 및 인시던트 보고서가 전송됩니다.
- Microsoft 365에서 콘텐츠 공유 - Microsoft 365 위치에서 액세스 제한 또는 콘텐츠 암호화
- "링크가 있는 모든 사용자" 옵션을 통해 콘텐츠에 대한 액세스 권한이 부여된 사용자만 차단
파일을 업로드할 때 사용자 알림, 경고 및 인시던트 보고서가 전송됩니다.

자세한 URL 알아보기

사용자는 활동이 차단되는 이유를 알아볼 수 있습니다. 정책에 대해 자세히 설명하는 사이트 또는 페이지를 구성할 수 있습니다. 최종 사용자에게 규정 준수 URL 제공을 선택하여 organization 정책에 대해 자세히 알아보고(Exchange에서만 사용 가능) 사용자가 Outlook Win32에서 정책 팁 알림을 받으면 자세히 알아보기 링크는 사용자가 제공한 사이트 URL을 가리킵니다. 이 URL은 Set-PolicyConfig -ComplainceURL로 구성된 전역 규정 준수 URL보다 우선 순위가 있습니다.

중요

자세한 내용은 처음부터 가리키는 사이트 또는 페이지를 구성해야 합니다. Microsoft Purview는 이 기능을 기본으로 제공하지 않습니다.

사용자 재정의

사용자 재정의의 의도는 사용자가 작업을 계속할 수 있도록 Exchange, SharePoint, OneDrive 또는 Teams의 중요한 항목에 대한 작업을 차단하는 타당성, DLP 정책을 통해 우회할 수 있는 방법을 제공하는 것입니다. 사용자 재정의는 정책 팁을 사용하여 Office 365 서비스의 사용자에게 알릴 수 있는 경우에만 사용하도록 설정되므로 사용자 재정의는 알림 및 정책 팁과 함께 제공됩니다.

DLP 정책에 대한 사용자 재정의 옵션

참고

온-프레미스 리포지토리 위치에는 사용자 재정의를 사용할 수 없습니다.

일반적으로 사용자 재정의는 organization 정책을 처음 배포할 때 유용합니다. 재정의 근거에서 얻을 수 있는 피드백과 가양성 식별은 정책을 조정하는 데 도움이 됩니다.

  • 가장 제한적인 규칙의 정책 팁이 사용자의 규칙 재정의를 허용할 경우 이 규칙을 재정의하면 해당 콘텐츠가 일치하는 다른 모든 규칙이 함께 재정의됩니다.

비즈니스 근거 X-헤더

사용자가 전자 메일에서 재정의 동작을 사용하여 블록을 재정의하면 재정의 옵션과 해당 사용자가 제공하는 텍스트가 감사 로그 및 이메일 X 헤더에 저장됩니다. 비즈니스 근거 재정의를 보려면 감사 로그에서 세부 정보에 대한 ExceptionInfo 값을 검색합니다. 다음은 감사 로그 값의 예입니다.

{
    "FalsePositive"; false,
    "Justification"; My manager approved sharing of this content",
    "Reason"; "Override",
    "Rules": [
         "<message guid>"
    ]
}

비즈니스 근거 값을 사용하는 자동화된 프로세스가 있는 경우 프로세스는 전자 메일 X 헤더 데이터에서 프로그래밍 방식으로 해당 정보에 액세스할 수 있습니다.

참고

값은 msip_justification 다음 순서로 저장됩니다.

False Positive; Recipient Entitled; Manager Approved; I Acknowledge; JustificationText_[free text].

값은 세미콜론으로 구분됩니다. 허용되는 최대 자유 텍스트는 500자입니다.

문제 보고서

규칙이 일치하면 규정 준수 담당자(또는 선택한 모든 사용자)에게 이벤트의 세부 정보가 포함된 경고 이메일을 보낼 수 있으며 Microsoft Purview 데이터 손실 방지 경고 dashboard Microsoft 365 Defender 포털에서 볼 수 있습니다. 경고에는 일치하는 항목, 규칙과 일치하는 실제 콘텐츠 및 콘텐츠를 마지막으로 수정한 사람의 이름에 대한 정보가 포함됩니다.

미리 보기 관리자 경고 메일에는 다음과 같은 세부 정보가 포함됩니다.

  • 경고 심각도
  • 경고가 발생한 시간
  • 활동입니다.
  • 검색된 중요한 데이터입니다.
  • 활동이 경고를 트리거한 사용자의 별칭입니다.
  • 일치하는 정책입니다.
  • 경고 ID
  • 디바이스 위치가 정책의 scope 있는 경우 시도한 엔드포인트 작업입니다.
  • 사용 중인 앱입니다.
  • 엔드포인트 디바이스에서 일치하는 항목이 발생한 경우 디바이스 이름입니다.

DLP는 인시던트 정보를 내부자 위험 관리와 같은 다른 Microsoft Purview Information Protection 서비스에 제공합니다. 내부 위험 관리에 인시던트 정보를 얻으려면 인시던트 보고서 심각도 수준을 높음으로 설정해야 합니다.

시간이 지남에 따라 규칙이 일치하거나 집계할 때마다 경고를 더 적은 수의 보고서로 보냅니다.

경고 유형

활동이 규칙과 일치할 때마다 경고를 보낼 수 있으며, 이는 시끄럽거나 설정된 기간 동안의 일치 항목 수 또는 항목 볼륨에 따라 집계될 수 있습니다. DLP 정책에서 구성할 수 있는 두 가지 유형의 경고가 있습니다.

단일 이벤트 경고는 일반적으로 10개 이상의 고객 크레딧 카드 번호가 organization 외부에서 전송되는 단일 전자 메일과 같이 낮은 볼륨에서 발생하는 매우 중요한 이벤트를 모니터링하는 정책에서 사용됩니다.

집계 이벤트 경고 는 일반적으로 일정 기간 동안 더 많은 볼륨에서 발생하는 이벤트를 모니터링하는 정책에서 사용됩니다. 예를 들어 고객 크레딧 카드 번호가 하나씩 있는 10개의 개별 이메일이 48시간 동안 조직 외부로 전송될 때 집계 경고가 트리거될 수 있습니다.

기타 경고 옵션

이메일 인시던트 보고서 사용을 선택하여 정책 일치가 발생할 때 알림을 보내면 다음을 포함하도록 선택할 수 있습니다.

  • 콘텐츠를 마지막으로 수정한 사람의 이름입니다.
  • 규칙과 일치하는 중요한 콘텐츠 형식입니다.
  • 규칙의 심각도 수준입니다.
  • 주변 텍스트를 포함하여 규칙과 일치하는 콘텐츠입니다.
  • 규칙과 일치하는 콘텐츠가 포함된 항목입니다.

경고에 대한 자세한 내용은 다음을 참조하세요.

디바이스의 파일 활동에 대한 증거 수집

디바이스에서 파일 활동에 대한 증거 수집 설정을 사용하도록 설정하고 Azure Storage 계정을 추가한 경우 엔드포인트에서 선택한 모든 파일 활동과 항목을 복사하려는 Azure Storage 계정에 대한 증명 정보로 원본 파일 수집을 선택할 수 있습니다. 항목을 복사하려는 작업도 선택해야 합니다. 예를 들어 인쇄 를 선택하지만 네트워크 공유에 복사를 선택하지 않으면 모니터링되는 디바이스에서 인쇄된 항목만 Azure Storage 계정에 복사됩니다.

추가 옵션

정책에 여러 규칙이 있는 경우 추가 옵션을 사용하여 편집 중인 규칙과 일치하는 경우 추가 규칙 처리를 제어하고 규칙 평가 우선 순위를 설정할 수 있습니다. Exchange 및 Teams 위치에서만 지원됩니다.

참고 항목