organization 데이터를 보호한다는 것은 암호화된 콘텐츠가 organization 내부 및 외부에서 권한 있는 사용자와 안전하게 흐를 수 있도록 하는 것을 의미합니다. 잘못 구성된 설정은 보호된 콘텐츠에 대한 합법적인 공동 작업을 자동으로 차단하여 사용자가 외부 파트너의 암호화된 파일이나 이메일을 열 수 없게 할 수 있습니다.
제로 트러스트 보안 권장 사항
암호화된 콘텐츠 공유를 허용하도록 테넌트 간 액세스 설정 구성
사용자가 암호화된 파일 또는 전자 메일을 organization 외부 사용자와 보내거나 공유하거나 파트너로부터 암호화된 콘텐츠를 받을 때 Microsoft Entra ID ID를 확인해야 합니다. 암호화 설정을 적용하기 위해 송신 및 수신의 양쪽에 대해 이 확인을 수행합니다. 테넌트 간 액세스 설정이 Azure Rights Management 서비스에 대한 액세스를 차단하는 경우 해당 사용자에게 "organization 의해 액세스가 차단됨" 오류가 표시됩니다. 이 시나리오에서는 보호된 콘텐츠를 열 수 없습니다.
인바운드 트래픽(공유하는 콘텐츠를 여는 외부 사용자) 및 아웃바운드 트래픽(사용자가 파트너의 콘텐츠를 여는 사용자)에 대해 테넌트 간 액세스 설정을 구성하여 Microsoft Rights Management Services 앱을 허용합니다. 이 구성이 없으면 올바른 권한이 할당된 경우에도 암호화된 콘텐츠 공유가 중단됩니다.
수정 작업
Azure Rights Management 서비스가 활성화됨
Azure Rights Management 서비스는 Microsoft Purview Information Protection 위한 기본 암호화 및 액세스 제어 기술을 제공합니다. 암호화를 적용하고, Microsoft Purview 메시지 암호화 사용하여 전자 메일을 보호하고, 암호화를 적용하는 SharePoint IRM 및 메일 흐름 규칙과 같은 이전 보호 기술과 함께 사용되는 민감도 레이블과 함께 사용됩니다. 다른 정보 보호 기능을 구성하기 전에 테넌트에서 이 서비스를 활성화해야 합니다.
수정 작업
내부 권한 관리 라이선스가 사용하도록 설정됨
내부 RMS 라이선스를 사용하면 organization 사용자와 서비스가 내부 배포 및 공유를 위해 보호된 콘텐츠에 라이선스를 부여할 수 있습니다. Azure RMS가 활성화되면 자동으로 활성화됩니다. 사용하지 않도록 설정하면 사용자는 암호화된 전자 메일 및 파일에 대해 내부적으로 공동 작업할 수 없으며 법적 보존, eDiscovery 및 데이터 복구 작업은 암호화된 콘텐츠에 액세스할 수 없습니다.
수정 작업
슈퍼 사용자 멤버 자격은 Microsoft Purview Information Protection 대해 구성됩니다.
Azure Rights Management 서비스의 슈퍼 사용자 기능은 지정된 계정에 할당된 원래 권한에 관계없이 이 서비스를 사용하여 organization 암호화한 콘텐츠의 암호를 해독할 수 있는 기능을 부여합니다. 슈퍼 사용자는 eDiscovery, 데이터 복구, 규정 준수 조사 및 콘텐츠 마이그레이션에 필요할 수 있습니다. 슈퍼 사용자 기능을 사용하면 권한 있는 사용자와 서비스가 Azure Rights Management 서비스에서 organization 대해 암호화하는 데이터를 항상 읽고 검사할 수 있습니다.
그룹을 사용하여 슈퍼 사용자 계정을 지정하는 경우 해당 그룹의 멤버 자격을 신중하게 제어하고 규정 준수 도구 또는 eDiscovery 플랫폼에서 사용하는 서비스 계정으로 제한해야 합니다. 기능을 항상 사용하도록 설정해야 하는 기능 또는 비즈니스 요구 사항이 없는 한, 기본적으로 기능을 사용하지 않도록 유지하고 필요한 경우에만 사용하도록 설정하는 것이 좋습니다. 그룹을 사용하여 슈퍼 사용자 계정을 지정하는 경우 필요한 경우 Just-In-Time 액세스를 사용하도록 설정하고 영구 권한을 최소화하여 PIM(Microsoft Entra Privileged Identity Management)을 사용하여 위험을 줄입니다.
수정 작업
주문형 검사는 중요한 정보 검색을 위해 구성됩니다.
자동 레이블 지정 정책은 새 콘텐츠와 수정된 콘텐츠만 분류합니다. 기존 파일 및 전자 메일은 분류되지 않은 상태로 유지되며 레이블 검색에 의존하는 DLP 정책에는 보이지 않습니다. 주문형 검사를 사용하면 지정된 위치에서 중요한 정보 유형 검색을 수동으로 트리거하여 기록 콘텐츠를 검색하고 소급하여 분류하여 미래 예측 범위가 아닌 정보 보호 태세를 완전히 볼 수 있습니다.
수정 작업
중요한 정보 검색을 위해 OCR을 사용할 수 있습니다.
OCR(광학 문자 인식)은 Exchange, SharePoint, OneDrive, Teams 및 엔드포인트 디바이스에서 중요한 정보 유형 및 학습 가능한 분류자 검색을 이미지로 확장합니다. OCR이 없으면 DLP 정책 및 자동 레이블 지정 정책은 이미지 기반 콘텐츠, 스캔한 문서, 스크린샷 및 청구서를 스캔할 수 없으므로 이미지의 중요한 데이터는 보호되지 않습니다. OCR에는 Microsoft Syntex 대한 Azure 종량제 청구가 필요하며 테넌트 수준에서 구성됩니다.
수정 작업
사용자 지정 중요한 정보 유형이 구성됨
SID(사용자 지정 중요한 정보 유형)는 Microsoft Purview의 기본 제공 검색을 확장하여 organization 특정 데이터 패턴, 독점 식별자, 내부 분류 체계, 특수 산업 코드 또는 기본 제공 SIT와 일치하지 않는 기타 형식을 다룹니다. 사용자 지정 SID가 없으면 자동 레이블 지정 정책 및 DLP(데이터 손실 방지) 규칙은 제네릭 패턴에만 의존하며 organization 고유한 중요한 데이터를 놓칠 수 있습니다.
수정 작업
정확한 데이터 일치는 중요한 정보 검색을 위해 구성됩니다.
EDM(정확한 데이터 일치)은 업로드된 참조 데이터베이스와 정확한 값을 일치시켜 organization 특정 데이터를 검색하는 고급 중요한 정보 유형입니다. 일반적인 형식을 검색하는 패턴 기반 SID(중요한 정보 유형)와 달리 EDM은 고객 목록, 직원 ID 또는 organization 고유한 독점 코드와 같은 항목을 식별합니다. EDM이 없으면 자동 레이블 지정 정책 및 DLP 규칙은 이 독점 데이터를 검색할 수 없으므로 노출 위험이 있습니다.
수정 작업
명명된 엔터티 중요한 정보 유형은 자동 레이블 지정 및 데이터 손실 방지 정책에 사용됩니다.
명명된 SIT(엔터티 중요한 정보 유형)는 사람들의 이름, 물리적 주소 및 의료 용어와 같은 일반적인 중요한 엔터티를 검색하는 미리 빌드된 Microsoft 분류자입니다. 패턴 일치를 넘어 컨텍스트 인식 분류로 데이터 보호를 확장하며 사용자 지정 개발 없이 자동 레이블 지정 정책 및 DLP 규칙에 사용할 수 있습니다.
수정 작업
학습 가능한 분류자는 데이터 손실 방지 및 자동 레이블 지정 정책에 사용됩니다.
학습 가능한 분류자는 고정 패턴이 아닌 의미와 컨텍스트로 콘텐츠를 인식하는 기계 학습 기반 분류자입니다. 미리 정의된 형식과 일치하는 중요한 정보 유형과 달리 학습 가능한 분류자는 전략 계획, 재무 보고서 또는 HR 문서와 같은 구조화되지 않은 콘텐츠를 식별할 수 있습니다. 자동 레이블 지정 정책 및 DLP(데이터 손실 방지) 규칙에서 학습 가능한 분류자를 사용하면 패턴 기반 규칙이 안정적으로 캡처할 수 없는 중요한 비즈니스 콘텐츠로 보호를 확장합니다.
수정 작업
Purview 감사 로깅이 사용하도록 설정됨
Purview는 중요한 데이터에 액세스한 사람, 정책 위반이 발생한 시기 및 Microsoft 365에서 수행된 관리 작업 로그를 감사합니다. 감사 로그를 사용할 수 있는 경우 보안 팀은 인시던트 조사, eDiscovery 수행, 내부자 위협 탐지 및 감사자 및 규제 기관에 대한 제어를 시연할 수 있습니다.
감사 로깅을 사용하도록 설정하지 않으면 위협 행위자가 검색되지 않은 상태로 작동할 수 있으며 증거가 부족하여 인시던트 대응이 불가능해집니다. 감사 로깅을 사용하도록 설정하지 못하는 조직은 중요한 작업에 대한 활동 로깅을 의무화하는 규정 요구 사항을 준수하지 않을 위험이 있습니다.
수정 작업
민감도 레이블이 구성됨
민감도 레이블은 Microsoft Purview Information Protection 기반입니다. 이를 통해 조직은 Microsoft 365, 온-프레미스 위치 및 비 Microsoft 애플리케이션에서 중요한 데이터를 분류하고 보호할 수 있습니다.
민감도 레이블이 없으면 조직은 데이터를 보호하는 표준화된 방법이 부족하여 무단 액세스 및 공유에 취약합니다. 잘 디자인된 레이블 분류에는 일반적으로 3~7개의 최상위 레이블이 포함되어 있습니다. 너무 많은 레이블이 사용자를 압도하고 효율성을 줄입니다.
수정 작업
전역적으로 게시된 민감도 레이블이 권장 최대값을 초과하지 않음
너무 많은 레이블을 전역적으로 게시하면 사용자에게 혼란과 의사 결정 마비가 발생하여 채택이 줄어들고 오분류가 증가합니다. 사용자가 25개 이상의 레이블에 직면하는 경우 적절한 분류를 식별하는 데 어려움을 겪어 잘못된 레이블로 이어지거나 기능을 완전히 피합니다.
Microsoft는 전역 정책에서 25개 이하의 레이블을 권장하며, 각각 최대 5개의 하위 레이블이 있는 5개의 기본 레이블로 구성되는 것이 좋습니다. 범위가 지정된 정책을 사용하여 특정 사용자, 그룹 또는 부서에만 특수 레이블을 게시하여 일반적인 시나리오에 초점을 맞춘 전역 레이블 집합을 유지합니다.
수정 작업
암호화가 있는 민감도 레이블이 구성됨
암호화가 없으면 민감도 레이블은 다른 보호 메커니즘에 의해 보완되지 않는 한 무단 액세스를 방지하지 않고 항목의 민감도 수준을 나타냅니다. Azure Rights Management 서비스에서 암호화를 적용하도록 구성된 민감도 레이블은 액세스 제어 및 사용 권한을 적용합니다. 이 보호는 콘텐츠가 저장되거나 공유되는 위치에 관계없이 유지됩니다. 예를 들어 사용자는 여전히 "기밀"이라는 레이블이 지정된 문서를 공유할 수 있지만 해당 레이블이 암호화를 적용하는 경우 권한이 없는 사용자는 문서를 열 수 없습니다.
암호화가 없는 레이블을 사용하는 조직은 민감도 수준을 파악할 수 있지만 레이블 자체에는 기술적 적용이 부족합니다. 암호화를 적용하는 레이블은 권한 있는 사용자만 콘텐츠의 암호를 해독하고 해당 사용자에 대해 지정된 제한 사항과 함께 사용할 수 있도록 합니다. 예를 들어 읽기 전용이거나 복사를 방지합니다. 이 보호는 파일이 유출되거나 부적절하게 공유되는 경우에도 데이터 반출을 방지하는 데 도움이 됩니다. 민감도 수준을 식별하는 것 이상의 보호가 필요한 고가치 데이터에 암호화를 적용하도록 하나 이상의 민감도 레이블을 구성해야 합니다.
수정 작업
이중 키 암호화 레이블이 구성됨
DKE(이중 키 암호화)는 콘텐츠를 해독하기 위해 두 개의 키(Microsoft에서 관리하는 키와 고객이 관리하는 키)를 요구하여 매우 중요한 데이터에 대한 추가 보호 계층을 제공합니다. 이 "사용자 고유의 키 보유" 접근 방식을 통해 Microsoft는 법적 강박에도 불구하고 콘텐츠의 암호를 해독할 수 없도록 하며, 데이터 주권에 대한 엄격한 규제 요구 사항을 충족합니다.
그러나 DKE는 전용 주요 서비스 인프라, 기능 호환성 감소, 지원 부담 증가 등 상당한 운영 복잡성을 도입합니다. 조직은 각 DKE 레이블에 대해 문서화된 비즈니스 근거를 사용하여 진정으로 중요하거나 규제가 심한 데이터를 위해 예약된 1-3개의 레이블을 유지해야 합니다. 일반 비즈니스 콘텐츠에 표준 암호화를 사용합니다. 과도한 DKE 레이블(4개 이상)은 관리 오버헤드, 사용자 혼란을 야기하고 협업을 줄입니다. 주요 서비스를 사용할 수 없으면 중요 비즈니스용 문서에 액세스할 수 없으므로 DKE를 광범위하게 배포해서는 안 됩니다.
수정 작업
암호화된 문서에 대해 공동 작성이 사용하도록 설정됨
암호화를 적용하는 민감도 레이블로 보호되는 문서에 대해 공동 작성을 사용할 수 없는 경우 Office 데스크톱 앱을 사용할 때 한 번에 한 사람만 파일을 편집할 수 있습니다. 따라서 팀 속도가 느려질 수 있으므로 협업이 어렵고 프로젝트 완료가 지연될 수 있습니다. 이러한 제한은 개인 정보 보호를 위한 암호화가 필요하지만 효율적으로 협력해야 하는 중요한 프로젝트에서 작업하는 그룹에 특히 어렵습니다.
민감도 레이블로 암호화된 파일에 대한 공동 작성을 켜면 여러 권한 있는 사용자가 Office 데스크톱 앱에서 동시에 파일을 편집할 수 있습니다. 모든 사용자가 웹용 Office 사용하여 이러한 파일을 편집하도록 할 수 없는 한, 이 변경으로 인해 체크 아웃 요구 속도가 느려지고 팀이 보안을 희생하지 않고 효율적으로 공동 작업할 수 있습니다. 공동 작성 설정은 다른 레이블 지정 기능에 대한 요구 사항일 수도 있습니다.
수정 작업
컨테이너 레이블은 Teams, 그룹 및 사이트에 대해 구성됩니다.
컨테이너 레이블은 개별 항목을 넘어 Microsoft Teams, Microsoft 365 그룹 및 SharePoint 사이트와 같은 전체 공동 작업 영역으로 민감도 레이블을 확장합니다. 이러한 레이블은 외부 공유, 게스트 액세스, 디바이스 제한 및 개인 정보 보호와 같은 작업 영역 수준 설정을 제어합니다.
컨테이너 레이블이 없으면 사용자는 기밀 정보를 처리하는 경우에도 외부 게스트 액세스 권한이 있는 Teams를 만들 수 있습니다. 이 작업은 올바르게 레이블이 지정된 문서가 부적절하게 보호된 작업 영역에 존재하는 데이터 반출 위험을 만듭니다. 컨테이너 레이블은 작업 영역 보안이 저장된 콘텐츠의 민감도와 일치하는지 확인하는 데 도움이 될 수 있습니다. 예를 들어 "매우 기밀"로 레이블이 지정된 문서가 외부 공유를 허용하는 Teams 사이트에 상주하지 않도록 방지할 수 있습니다.
수정 작업
SharePoint에서 민감도 레이블이 사용하도록 설정됨
SharePoint에서 민감도 레이블 통합(기본값)을 사용하지 않도록 설정하면 SharePoint 및 OneDrive의 파일에 레이블을 지정하거나 기존 레이블을 표시할 수 없으며 암호화를 적용하는 민감도 레이블의 추가 보호를 활용할 수 없습니다. 이러한 보호 격차로 인해 중요한 파일은 분류되지 않고 무단 액세스 및 외부 공유에 취약합니다.
SharePoint에서 민감도 레이블을 사용하도록 설정하면 사용자가 웹용 Office 및 SharePoint를 사용하여 레이블을 적용할 수 있습니다. 또한 이러한 위치에 대한 기본 레이블 지정과 파일을 자동으로 분류할 수 있는 자동 레이블 지정 정책의 요구 사항이기도 합니다. 이러한 파일에 대한 민감도 레이블은 Microsoft 365 Copilot 대한 보안을 강화하고 데이터 손실 방지 정책 및 기타 Microsoft Purview 솔루션과 함께 사용할 수도 있습니다.
수정 작업
SHAREPoint에서 PDF 레이블 지정이 사용하도록 설정됨
SharePoint에서 PDF 레이블 지정을 사용하지 않도록 설정(기본값)하면 PDF 파일에 레이블을 지정하거나 기존 레이블을 표시할 수 없으므로 보호 간격이 생깁니다. Office 파일과 달리 PDF는 표시되는 분류 표식 없이 외부로 순환할 수 있으므로 받는 사람이 처리 요구 사항을 확인하거나 DLP(데이터 손실 방지) 정책에서 중요한 콘텐츠를 검색하는 것이 불가능합니다.
SharePoint 및 OneDrive에 PDF 레이블 지정을 사용하도록 설정하면 민감도 레이블 지원이 PDF로 확장되어 사용자가 웹용 Office 및 SharePoint를 사용하여 레이블을 적용할 수 있으며, PDF 콘텐츠를 자동으로 분류하는 자동 레이블 지정 정책과 같은 다른 레이블 지정 방법을 지원합니다.
수정 작업
민감도 레이블 정책이 사용자에게 게시됨
사용자가 파일, 전자 메일 및 모임과 같은 항목에 레이블 정책을 적용하려면 먼저 레이블 정책을 사용하여 레이블을 게시해야 합니다. 레이블 정책은 어떤 사용자가 어떤 레이블을 받는지 정의하고, 기본 레이블 지정 동작 및 기타 레이블 지정 요구 사항을 설정합니다. 게시된 정책이 없으면 민감도 레이블은 사용자가 사용할 수 없는 상태로 유지됩니다.
수정 작업
기본 민감도 레이블은 레이블 정책에서 구성됩니다.
기본 레이블을 설정하면 민감도 레이블을 지원하는 모든 신규 및 편집된 항목과 Teams와 같은 새 컨테이너에 대한 기본 수준의 보호 설정이 보장됩니다. 사용자는 필요한 경우 레이블을 수동으로 재정의할 수 있으며 자동 레이블 지정과 같은 다른 레이블 지정 메서드는 기본 레이블을 더 높은 민감도 수준의 레이블로 바꿀 수 있습니다. 기본 민감도 레이블을 설정하면 레이블 도달 범위가 확장되고 사용자의 의사 결정 피로가 줄어들어 콘텐츠에 최소 수준의 보호가 보장됩니다.
레이블이 지정되지 않은 콘텐츠는 DLP(데이터 손실 방지) 정책 및 레이블 검색을 사용하는 기타 보호 솔루션을 우회할 수 있습니다. 적절한 경우 레이블이 지정되지 않은 문서 및 Loop 구성 요소 및 페이지, 전자 메일 및 모임 초대, 새 컨테이너 및 Power BI 콘텐츠에 대한 기본 레이블에 대해 다른 기본 민감도 레이블을 설정합니다.
수정 작업
민감도 레이블 정책에서 필수 레이블 지정이 사용하도록 설정됨
정책 설정 사용자가 레이블을 적용하도록 요구하면 사용자가 파일을 저장하고 전자 메일 또는 모임 초대를 보내고, 새 그룹 또는 사이트를 만들고, Power BI 콘텐츠를 사용하기 전에 민감도 레이블을 적용해야 합니다. 또한 이 설정을 사용하면 사용자가 민감도 레이블을 완전히 제거할 수 없습니다. 레이블이 지정되지 않은 항목은 보안 및 규정 준수 위험을 만듭니다. 예를 들어 위협 행위자가 레이블 검색을 기반으로 트리거하는 보호 솔루션으로 방지할 수 있는 중요한 데이터를 유출할 수 있습니다.
수정 작업
사용자는 민감도 레이블을 다운그레이드하기 위한 근거를 제공해야 합니다.
사용자가 레이블을 변경할 근거를 제공할 필요가 없는 경우 레이블을 민감도가 낮은 레이블로 자동으로 바꿀 수 있습니다. 예를 들어 추가 보호 설정을 적용하는 "기밀" 레이블을 "일반"으로 바꿉니다. 이 작업은 보안 및 규정 준수 위험을 만듭니다. 정당화 이유가 필요하면 이러한 위험이 사용자에게 더 명확해지고, 사용자에게는 눈에 띄는 감사 내역으로 이유를 제공하도록 강요합니다.
손상된 계정 또는 퇴사하는 직원은 레이블을 다운그레이드하여 데이터 반출을 가능하게 할 수 있습니다. 근거를 요구하는 것은 사용자 워크플로에 미치는 영향이 낮아 책임감을 높이는 간단한 제어입니다.
수정 작업
Email 레이블 정책은 첨부 파일에서 민감도를 상속합니다.
사용자가 전자 메일에 중요한 문서를 첨부할 때 전자 메일은 일관된 보호를 유지하기 위해 첨부 파일에서 가장 높은 민감도 레이블을 상속해야 합니다. 이 설정을 사용하도록 설정하지 않으면 사용자는 중요한 첨부 파일이 포함된 레이블이 지정되지 않은 전자 메일을 보내 전자 메일의 민감도와 실제 콘텐츠가 일치하지 않을 수 있습니다.
Email 레이블 상속은 첨부 파일의 우선 순위가 가장 높은 레이블을 전자 메일 메시지에 자동으로 적용하여 보호 수준이 일치하고 우발적인 데이터 노출을 방지합니다.
수정 작업
기본 민감도 레이블은 SharePoint 문서 라이브러리에 대해 구성됩니다.
문서 라이브러리에 대한 기본 레이블을 사용하여 SharePoint를 구성할 때 해당 라이브러리에 업로드된 새 파일 또는 라이브러리에서 편집된 기존 파일에는 민감도 레이블이 없거나 민감도 레이블이 있지만 우선 순위가 낮은 경우 해당 레이블이 적용됩니다. 이 위치 기반 레이블 지정은 콘텐츠 검사 없이 기준 수준의 보호 및 자동 레이블 지정을 제공합니다. 파일에 레이블이 지정되지 않은 경우 중요한 파일은 보호를 무시하고 취약한 상태를 유지할 수 있습니다.
이 구성은 동일한 수준의 민감도를 가진 파일을 포함하는 문서 라이브러리에 가장 적합합니다. 콘텐츠 검사를 사용하는 자동 레이블 지정 정책 및 필요한 경우 우선 순위가 더 높은 민감도 레이블이 있는 수동 레이블 지정으로 보완할 수 있습니다.
수정 작업
자동 레이블 지정 정책은 모든 워크로드에 대해 구성됩니다.
자동 레이블 지정은 콘텐츠 검사에 따라 항목에 자동으로 레이블을 지정하여 레이블 지정 범위를 크게 확장합니다. 수동 레이블 지정만 사용하는 경우 사용자는 중요한 데이터로 계산되는 항목을 항상 인식하지 못하거나 일상적인 작업 중에 정보에 레이블을 지정하는 것을 잊어버릴 수 있습니다. 기본 레이블은 보호 기준을 제공하지만 더 높은 수준의 보호가 필요한 콘텐츠를 고려하지 않습니다. 이로 인해 분류의 격차가 발생하므로 중요한 콘텐츠가 적절한 레이블이나 보호 없이 Microsoft 365 애플리케이션을 통과할 수 있습니다.
사용자가 Office 앱에서 파일을 열 때 트리거되는 레이블에 대한 자동 레이블 지정 설정과 사용자 상호 작용이 필요하지 않은 자동 레이블 지정 정책을 구성할 수 있습니다. 중요한 콘텐츠를 검색하기 위해 하나 이상의 자동 레이블 지정 정책을 설정하면 사용자가 수행하는 작업에 관계없이 이 콘텐츠에 자동으로 레이블이 지정됩니다. 따라서 이 레이블이 지정된 콘텐츠를 다른 Microsoft Purview 솔루션과 함께 사용하여 DLP(데이터 손실 방지) 규칙 및 액세스 제한과 같은 보안을 강화할 수 있습니다.
수정 작업
자동 레이블 지정 정책이 적용 모드에 있습니다.
자동 레이블 지정 정책이 시뮬레이션 모드에 남아 있는 경우 해당 데이터에 레이블을 지정하지 못하도록 보호하는 것을 깨닫지 못하는 것입니다. 따라서 사용자와 서비스는 식별된 중요한 데이터를 보호하기 위해 추가 보호 조치를 취할 수 없습니다. 예를 들어 사용자는 Office 앱에서 파일이 기밀이라는 레이블이 지정되어 있음을 볼 수 없습니다. 데이터 손실 방지 규칙은 민감도 레이블을 사용하여 외부 사용자 및 기타 위험한 작업과의 공유를 방지할 수 있습니다. 레이블이 지정된 데이터는 Microsoft 365 Copilot 사용할 때 추가 보호 계층도 제공합니다.
중요한 정보의 레이블이 자동으로 지정되도록 하려면 하나 이상의 자동 레이블 지정 정책을 켭니다. 시뮬레이션 테스트 후 자동 레이블 지정 정책을 켜면 보호 조치가 적용되고 위험 감소가 시작됩니다.
수정 작업
SharePoint 및 OneDrive에 대해 자동 레이블 지정 정책이 사용하도록 설정됨
SharePoint 및 OneDrive에 대한 자동 레이블 지정이 설정되지 않은 경우 민감도 레이블 없이 업로드된 파일은 레이블을 사용하는 DLP(데이터 손실 보호) 정책에 표시되지 않을 수 있습니다. 따라서 이러한 파일은 안전 장치 수가 적어 환경을 통해 이동할 수 있으므로 부적절한 공유 또는 액세스의 위험이 발생할 수 있습니다.
예를 들어 SharePoint 및 OneDrive에 대해 적용 모드에서 하나 이상의 자동 레이블 지정 정책을 사용하도록 설정하면 사용자가 파일을 만들거나 편집할 때 중요한 파일을 분류하는 데 도움이 됩니다. 자동 레이블 지정 분류는 DLP 정책과 같은 다운스트림 보호를 지원하므로 파일의 민감도에 따라 응답하고 데이터 노출 위험을 줄일 수 있습니다.
수정 작업
Microsoft Purview 메시지 암호화 간소화된 클라이언트 액세스로 구성됩니다.
SimplifiedClientAccessEnabled 설정은 보호 단추가 웹용 Outlook 표시되는지 여부를 제어합니다. 이 단추를 사용하면 사용자가 전자 메일에 암호화를 빠르게 추가할 수 있습니다. 설정이 켜져 있지 않으면 사용자는 보호 단추를 사용할 수 없으며 메시지를 암호화하는 다른 방법을 찾아야 합니다.
이 설정을 사용하도록 설정하려면 AzureRMSLicensingEnabled도 활성화되어야 합니다. Azure Rights Management 암호화 서비스는 보호 단추가 작동하는 데 필요한 암호화 기술을 제공합니다.
수정 작업
사용자 지정 브랜딩 템플릿은 Microsoft Purview 메시지 암호화 대해 구성됩니다.
organization 사용자 지정 브랜딩 템플릿을 사용하지 않는 경우 암호화된 메시지를 받는 회사 외부의 사용자가 일반 Microsoft 브랜드 포털을 볼 수 있습니다. 포털은 organization ID를 반영하지 않으므로 수신자는 메시지가 어디에서 왔는지에 대해 덜 확신할 수 있습니다.
사용자 지정 브랜딩 템플릿을 사용하면 조직에서 로고, 색, 고지 사항 및 연락처 세부 정보를 포털에 추가할 수 있습니다. 이러한 요소는 포털이 받는 사람에게 친숙해 보이고 암호화된 메시지를 보고 상호 작용할 때 신뢰를 지원할 수 있도록 도와줍니다.
수정 작업
Email 보존 정책이 구성됨
보존 정책이 없으면 전자 메일은 사용자 사서함에 무기한 유지되므로 규정 위반(GDPR, HIPAA, SOX), eDiscovery 비용 증가 및 통제되지 않는 스토리지 비용에 대한 책임이 발생합니다.
보존 정책은 규정 준수 요구 사항에 따라 메시지를 삭제하거나 보존하고, 법적 위험을 줄이며, 규정 기록 보관 의무가 충족되도록 하여 전자 메일 수명 주기를 자동으로 관리합니다.
수정 작업
메일 흐름 규칙은 중요한 메시지에 권한 보호를 적용합니다.
메일 흐름 규칙이 없으면 조직은 사용자가 민감도 레이블을 수동으로 적용하거나 메시지를 암호화하는 데 의존합니다. 이 방법은 불일치 및 오류로 이어질 수 있으며, 이로 인해 적절한 보호 없이 중요한 전자 메일이 전송되고 무단 액세스 및 데이터 반출의 위험이 증가할 수 있습니다.
메일 흐름 규칙은 다음과 같은 특정 조건을 충족하는 메일에 대한 암호화 및 설정 권한을 자동으로 추가하는 데 도움이 됩니다.
- 회사 외부 사용자에게 보낸 메일
- 중요한 정보가 포함된 메일
- 부서 기반 요구 사항을 따라야 하는 메일
이렇게 하면 사용자가 메시지를 수동으로 보호하지 않고도 중요한 메시지가 보호됩니다.
수정 작업
데이터 손실 방지 정책 사용
DLP(데이터 손실 방지) 정책이 없으면 직원은 이메일, 파일 업로드 또는 Microsoft Teams 통신을 통해 중요한 정보를 자유롭게 공유하여 데이터 위반 및 규정 위반의 위험을 높일 수 있습니다.
DLP 정책은 Microsoft 365 워크로드에서 중요한 정보의 공개를 자동으로 모니터링, 검색 및 방지하여 무단 데이터 반출에 대한 자동화된 보호를 제공합니다.
수정 작업
엔드포인트 데이터 손실 방지 정책이 구성됨
엔드포인트 DLP(데이터 손실 방지) 정책이 없으면 조직은 클라우드 기반 활동만 모니터링할 수 있으며, 이는 사용자가 디바이스에서 액세스하거나 다음으로 전송할 때 중요한 데이터가 노출되도록 합니다.
- USB 드라이브
- 프린터
- 외부 애플리케이션
- 이동식 미디어
엔드포인트 DLP는 클라우드 워크로드에서 사용자 디바이스로 보호를 확장합니다. 엔드포인트용 Microsoft Defender 통합하여 다음을 수행합니다.
- 데이터 처리 활동 모니터링
- 무단 데이터 반출을 실시간으로 방지
수정 작업
적응형 보호는 데이터 손실 방지 정책에서 사용하도록 설정됩니다.
적응형 보호는 DLP(데이터 손실 방지) 정책이 모든 사람에게 동일한 규칙을 적용하는 대신 각 사용자의 위험 프로필에 맞게 조정되도록 합니다. 적응형 보호가 없으면 조직은 비정상적인 데이터 액세스 또는 위험한 활동과 같은 행동 지표에 대응할 수 없기 때문에 내부자 위협을 방지할 기회를 놓치게 됩니다.
적응형 보호는 참가자 위험 관리를 DLP와 통합함으로써 기계 학습을 사용하여 사용자를 높음, 보통 또는 낮은 위험으로 식별합니다. 이를 통해 Adaptive Protection은 더 높은 위험에 처한 사용자에게 더 엄격한 DLP 컨트롤을 자동으로 적용하는 동시에 중요한 데이터를 보호하고 운영 효율성을 지원하는 접근 방식인 다른 사용자에게 더 많은 유연성을 허용합니다.
수정 작업
비즈니스용 Edge를 통해 AI 앱에 대해 브라우저 데이터 손실 방지가 사용하도록 설정됨
AI 앱에 대한 브라우저 DLP 정책은 브라우저를 통해 organization 나가는 중요한 데이터의 위험을 줄이는 데 도움이 될 수 있습니다. 이러한 정책이 없는 경우 통신 규정 준수 및 클라우드 기반 DLP 컨트롤은 사용자가 비즈니스용 Edge를 통해 AI 서비스와 상호 작용하는 방식에 대한 가시성이 제한될 수 있습니다. 브라우저 DLP는 브라우저 수준에서 보호를 추가하고 조직이 AI 서비스에 대한 액세스가 허용되는 경우에도 데이터 보호 제어를 적용하는 데 도움이 될 수 있습니다.
예를 들어 사용자는 비즈니스용 Edge를 통해 파일을 업로드하거나 비관리형 또는 소비자 AI 서비스에 기밀 정보를 붙여넣을 수 있습니다. 그러나 브라우저 DLP는 사용 시점에서 이러한 작업을 차단하거나 제한하여 제어되지 않은 데이터 노출 가능성을 줄일 수 있습니다. 이 접근 방식은 승인되거나 관리되는 플랫폼 외부에 있는 AI 서비스로 데이터 보호 사례를 확장하는 데 도움이 됩니다.
수정 작업
내부자 위험 관리 정책은 위험한 AI 사용에 대해 사용하도록 설정됩니다.
조직에서 적응형 보호와 함께 참가자 위험 관리를 사용할 때까지 내부자 위협, 데이터를 유출하기 위한 합법적인 액세스 오용과 같은 위험한 동작 또는 사용자가 중요한 데이터를 대규모 언어 모델 또는 권한 없는 클라우드 AI 서비스에 노출하는 안전하지 않은 AI 시나리오를 검색하지 못할 수 있습니다.
내부 위험 관리는 DLP(데이터 손실 방지)와 협력하여 사용자 행동 신호를 콘텐츠 기반 규칙과 결합하여 팀이 위험을 조기에 감지하고 중요한 데이터가 노출되거나 손상되기 전에 대응할 수 있도록 지원합니다.
수정 작업
통신 규정 준수 모니터링은 Microsoft Copilot 대해 구성됩니다.
조직에서 Copilot 상호 작용을 캡처하도록 통신 규정 준수 정책을 구성할 때까지 사용자가 중요한 데이터를 AI 서비스에 노출하는 시기를 볼 수 없습니다. 그들은 또한 사람들이 기밀 정보로 Copilot를 사용하는 방법을 알 수 없거나 가능한 정책 위반을 발견 할 수 없습니다. 따라서 사용자는 무의식적으로 고객 레코드, 재무 데이터, 소스 코드 또는 영업 비밀을 AI 서비스와 공유할 수 있습니다.
Copilot 상호 작용에 초점을 맞춘 통신 규정 준수 정책은 개인 정보 보호 제어를 존중하면서 조직에서 AI 사용을 명확하게 감독할 수 있도록 합니다. 이러한 정책은 사용자가 AI 기능에서 중요한 데이터를 사용하는 방법을 보여주고 팀이 데이터 거버넌스 및 규정 준수 요구 사항을 따르도록 합니다.
수정 작업
엔터프라이즈 AI 도구에 대해 통신 규정 준수 모니터링이 구성됨
컬렉션 정책은 엔터프라이즈 AI 앱 작업의 모니터링을 지원하는 데이터 수집 계층을 제공합니다. 이러한 정책이 적용되면 통신 규정 준수는 AI 앱 상호 작용에서 신호를 수집하고 조직이 AI 지원 워크플로에서 데이터 보호 위험이 존재할 수 있는 위치를 이해하는 데 도움이 될 수 있습니다. 이러한 가시성을 통해 팀은 AI 사용이 Microsoft Copilot 이상으로 확장됨에 따라 데이터 보호 컨트롤을 보다 일관되게 적용할 수 있습니다.
실제로 사용자는 기밀 정보를 처리하도록 승인되지 않은 사용자 지정 AI 애플리케이션, Power Automate 흐름, AI Builder 자동화 또는 비 Microsoft AI 서비스와 실수로 중요한 데이터를 공유할 수 있습니다. 그러나 엔터프라이즈 AI 앱 상호 작용을 다루는 통신 규정 준수 정책은 이러한 서비스에 대한 잠재적인 데이터 노출을 표시하고 데이터 보호 사례를 사용자 지정 및 타사 AI 솔루션으로 확장하는 데 도움이 될 수 있습니다.
수정 작업