Azure Rights Management 서비스를 사용하여 organization 대한 콘텐츠를 암호화하기 전에 Microsoft Entra ID의 사용자 및 그룹에 대한 계정으로 서비스가 작동하는 방식을 이해합니다.
다음과 같은 사용자 및 그룹에 대해 이러한 계정을 만드는 방법에는 여러 가지가 있습니다.
Microsoft 365 관리 센터 사용자와 Exchange Online 관리 센터의 그룹을 만듭니다.
Azure Portal 사용자 및 그룹을 만듭니다.
PowerShell cmdlet을 사용하여 사용자 및 그룹을 만듭니다.
온-프레미스 Active Directory 사용자 및 그룹을 만들고 Microsoft Entra ID에 동기화합니다.
다른 디렉터리에 사용자 및 그룹을 만들고 Microsoft Entra ID에 동기화합니다.
한 가지 예외를 제외하고 이 목록의 처음 세 가지 메서드를 사용하여 사용자 및 그룹을 만들면 Microsoft Entra ID로 자동으로 만들어지고 Azure Rights Management 서비스에서 이러한 계정을 직접 사용할 수 있습니다. 그러나 일부 엔터프라이즈 네트워크는 온-프레미스 디렉터리를 사용하여 사용자 및 그룹을 만들고 관리합니다. Azure Rights Management 서비스는 이러한 계정을 직접 사용할 수 없습니다. id를 Microsoft Entra 동기화해야 합니다.
이전 단락에서 언급된 예외는 Exchange Online 대해 만들 수 있는 동적 배포 목록입니다. 정적 배포 목록과 달리 이러한 그룹은 Microsoft Entra ID에 복제되지 않으므로 Azure Rights Management 서비스에서 사용할 수 없습니다.
Azure Rights Management 서비스에서 사용자 및 그룹을 사용하는 방법
Azure Rights Management 서비스에서 사용자 및 그룹을 사용하는 두 가지 시나리오가 있습니다.
Azure Rights Management 서비스를 사용하여 문서 및 전자 메일을 암호화하는 경우 암호화 설정의 경우 관리자와 사용자는 암호화된 콘텐츠를 열 수 있는 사용자 및 그룹을 선택할 수 있으며, 또한 다음을 수행할 수 있습니다.
콘텐츠를 사용하는 방법을 결정하는 사용 권한입니다. 예를 들어 읽거나, 읽고 인쇄하거나, 읽고 편집할 수 있는지 여부입니다.
액세스 제어에는 만료 날짜 및 액세스에 인터넷 연결이 필요한지 여부가 포함됩니다.
특정 시나리오를 지원하도록 Azure Rights Management 서비스를 구성하기 위해 관리자만 이러한 그룹을 선택합니다. 예를 들어 다음을 구성합니다.
eDiscovery 또는 데이터 복구에 필요한 경우 지정된 서비스 또는 사용자가 암호화된 콘텐츠를 열 수 있도록 슈퍼 사용자입니다.
Azure Rights Management 서비스의 위임된 관리.
단계적 배포를 지원하기 위한 온보딩 컨트롤입니다.
사용자 계정에 대한 Azure Rights Management 서비스 요구 사항
암호화 설정 및 Azure Rights Management 서비스 구성:
사용자에게 권한을 부여하기 위해 Microsoft Entra ID의 두 가지 특성인 proxyAddresses 및 userPrincipalName이 사용됩니다.
Microsoft Entra proxyAddresses 특성은 계정에 대한 모든 전자 메일 주소를 저장하고 다양한 방법으로 채울 수 있습니다. 예를 들어 Exchange Online 사서함이 있는 Microsoft 365의 사용자에게는 이 특성에 저장된 전자 메일 주소가 자동으로 있습니다. Microsoft 365 사용자에 대한 대체 전자 메일 주소를 할당하면 이 특성에도 저장됩니다. 온-프레미스 계정에서 동기화되는 이메일 주소로 채울 수도 있습니다.
Azure Rights Management 서비스는 도메인이 테넌트("확인된 도메인")에 추가된 경우 이 Microsoft Entra proxyAddresses 특성의 모든 값을 사용할 수 있습니다. 도메인 확인에 대한 자세한 내용은 다음을 수행합니다.
Microsoft Entra ID의 경우: Microsoft Entra ID에 사용자 지정 도메인 이름 추가
Microsoft 365의 경우: Microsoft 365에 도메인 추가
Microsoft Entra userPrincipalName 특성은 테넌트의 계정에 Microsoft Entra proxyAddresses 특성에 값이 없는 경우에만 사용됩니다. 예를 들어 Azure Portal 사용자를 만들거나 사서함이 없는 Microsoft 365용 사용자를 만듭니다.
외부 사용자에 대한 암호화 설정
테넌트 사용자에 대해 Microsoft Entra proxyAddresses 및 Microsoft Entra userPrincipalName을 사용하는 것 외에도 Azure Rights Management 서비스는 동일한 방식으로 이러한 특성을 사용하여 다른 테넌트에서 사용자에게 권한을 부여합니다.
기타 권한 부여 방법:
Microsoft Entra ID에 없는 전자 메일 주소의 경우 Azure Rights Management 서비스는 Microsoft 계정으로 인증될 때 이러한 주소에 권한을 부여할 수 있습니다. 그러나 Microsoft 계정을 인증에 사용할 때 모든 애플리케이션이 암호화된 콘텐츠를 열 수 있는 것은 아닙니다.
Microsoft Entra ID에 계정이 없는 사용자에게 Microsoft Purview 메시지 암호화 사용하여 전자 메일을 보내는 경우 사용자는 먼저 소셜 ID 공급자와의 페더레이션을 사용하거나 일회성 암호를 사용하여 인증됩니다. 그런 다음, 보호된 전자 메일에 지정된 전자 메일 주소를 사용하여 사용자에게 권한을 부여합니다.
그룹 계정에 대한 Azure Rights Management 서비스 요구 사항
사용 권한 및 액세스 제어를 할당하는 경우:
- 사용자의 테넌트의 확인된 도메인이 포함된 이메일 주소가 있는 모든 유형의 그룹을 Microsoft Entra ID에 사용할 수 있습니다. 메일 주소가 있는 그룹을 메일 사용 그룹이라고도 합니다.
Azure Rights Management 서비스를 구성하려면 다음을 수행합니다.
한 가지 예외를 제외하고 테넌트에서 확인된 도메인의 이메일 주소가 있는 모든 유형의 그룹을 Microsoft Entra ID에 사용할 수 있습니다. 이 예외는 테넌트용 Microsoft Entra ID의 보안 그룹이어야 하는 그룹을 사용하도록 온보딩 컨트롤을 구성하는 경우입니다.
Azure Rights Management 서비스의 위임된 관리를 위해 테넌트에서 확인된 도메인의 Microsoft Entra ID(이메일 주소 유무)의 모든 그룹을 사용할 수 있습니다.
외부 그룹에 대한 암호화 설정
테넌트에서 그룹에 대해 Microsoft Entra proxyAddresses를 사용하는 것 외에도 Azure Rights Management 서비스는 동일한 방식으로 이 특성을 사용하여 다른 테넌트에서 그룹에 권한을 부여합니다.
온-프레미스 Active Directory의 계정 사용
Azure Rights Management 서비스에서 사용하려는 온-프레미스에서 관리되는 계정이 있는 경우 이러한 계정을 Microsoft Entra ID와 동기화해야 합니다. 배포 편의를 위해 Microsoft Entra Connect를 사용하는 것이 좋습니다. 그러나 동일한 결과를 달성하는 디렉터리 동기화 메서드를 사용할 수 있습니다.
계정을 동기화할 때 모든 특성을 동기화할 필요는 없습니다. 동기화해야 하는 특성 목록은 Microsoft Entra 설명서의 Azure RMS 섹션을 참조하세요.
Azure Rights Management의 특성 목록에서 사용자의 경우 동기화에 메일, proxyAddresses 및 userPrincipalName 의 온-프레미스 AD 특성이 필요합니다. 메일 및 proxyAddresses 값은 Microsoft Entra proxyAddresses 특성과 동기화됩니다. 자세한 내용은 proxyAddresses 특성이 Microsoft Entra ID로 채워지는 방법을 참조하세요.
전자 메일 주소가 변경되는 경우 고려 사항
사용자 또는 그룹의 전자 메일 주소를 변경하는 경우 이전 전자 메일 주소를 사용자 또는 그룹에 두 번째 전자 메일 주소(프록시 주소, 별칭 또는 대체 전자 메일 주소라고도 함)로 추가하는 것이 좋습니다. 이렇게 하면 이전 전자 메일 주소가 Microsoft Entra proxyAddresses 특성에 추가됩니다. 이 계정 관리는 이전 전자 메일 주소가 사용 중일 때 저장된 사용 권한 또는 기타 구성에 대한 비즈니스 연속성을 보장합니다.
이 작업을 수행할 수 없는 경우 새 전자 메일 주소가 있는 사용자 또는 그룹은 이전에 이전 전자 메일 주소로 보호된 문서 및 전자 메일에 대한 액세스가 거부될 위험이 있습니다. 이 경우 보호 구성을 반복하여 새 전자 메일 주소를 저장해야 합니다. 예를 들어 사용자 또는 그룹에 템플릿 또는 레이블에 사용 권한이 부여된 경우 해당 템플릿 또는 레이블을 편집하고 이전 전자 메일 주소에 부여한 것과 동일한 사용 권한으로 새 전자 메일 주소를 지정합니다.
그룹에서 전자 메일 주소를 변경하는 경우는 드물며, 개별 사용자가 아닌 그룹에 사용 권한을 할당하는 경우 사용자의 전자 메일 주소가 변경되더라도 상관없습니다. 이 시나리오에서 사용 권한은 개별 사용자 이메일 주소가 아닌 그룹 전자 메일 주소에 할당됩니다. 이는 관리자가 문서 및 전자 메일을 보호하는 사용 권한을 구성할 가능성이 가장 높고 권장되는 방법입니다. 그러나 사용자는 일반적으로 개별 사용자에 대한 사용자 지정 권한을 할당할 수 있습니다. 사용자 계정 또는 그룹이 액세스 권한을 부여하는 데 사용되었는지 항상 알 수 없으므로 항상 이전 전자 메일 주소를 두 번째 전자 메일 주소로 추가하는 것이 가장 안전합니다.
그룹 멤버 자격 캐싱
성능상의 이유로 Azure Rights Management 서비스는 그룹 멤버 자격을 캐시합니다. 이 캐싱은 이러한 그룹이 Azure Rights Management 서비스에서 사용되고 이 기간이 변경될 경우 Microsoft Entra ID의 그룹 멤버 자격 변경이 적용되는 데 최대 3시간이 걸릴 수 있음을 의미합니다.
이 지연은 사용 권한을 부여하거나 Azure Rights Management 서비스를 구성하기 위해 그룹을 사용할 때 수행하는 변경 또는 테스트에 영향을 줍니다.
다음 단계
사용자 및 그룹을 Azure Rights Management 서비스와 함께 사용할 수 있음을 확인한 경우 Azure Rights Management 서비스를 활성화해야 하는지 여부를 검사.
2018년 2월부터: Azure Rights Management 또는 Microsoft Purview Information Protection 포함된 구독이 이 달 중 또는 그 이후에 가져온 경우 서비스가 자동으로 활성화됩니다.
2018년 2월 이전에 구독을 획득한 경우: 서비스를 직접 활성화해야 합니다.
활성화 상태 확인하는 것을 포함하는 자세한 내용은 Azure Rights Management 서비스 활성화를 참조하세요.