Azure Information Protection 및 검색 서비스 또는 데이터 복구를 위한 슈퍼 사용자 구성

  • 아티클

Azure Information Protection에서 Azure Rights Management 서비스의 슈퍼 사용자 기능을 사용하면 권한 있는 사용자와 서비스가 항상 Azure Rights Management가 조직을 위해 보호하는 데이터를 읽고 검사할 수 있습니다. 필요한 경우 보호를 제거하거나 변경할 수 있습니다.

슈퍼 사용자는 항상 조직의 Azure Information Protection 테넌트에 의해 보호된 문서 및 전자 메일에 대한 권한 관리 모든 권한 사용 권한을 갖습니다. 이 기능을 "데이터에 대한 추론"이라고도 하며 조직의 데이터를 제어하는 기본 중요한 요소입니다. 예를 들어 다음과 같은 시나리오에 이 기능을 사용할 수 있습니다.

  • 직원이 조직을 떠나 보호한 파일을 읽어야 합니다.

  • IT 관리자는 파일에 대해 구성된 현재 보호 정책을 제거하고 새 보호 정책을 적용해야 합니다.

  • 검색 작업을 위해 Exchange Server에서 사서함을 인덱싱해야 합니다.

  • DLP(데이터 손실 방지) 솔루션, CEG(콘텐츠 암호화 게이트웨이) 및 이미 보호된 파일을 검사해야 하는 맬웨어 방지 제품을 위한 기존 IT 서비스가 있습니다.

  • 감사, 법적 또는 기타 규정 준수 이유로 파일을 대량 암호 해독해야 합니다.

슈퍼 사용자 기능에 대한 구성

슈퍼 사용자 기능은 기본적으로 사용되지 않으며 어떤 사용자도 이 역할에 할당되지 않습니다. Exchange에 대해 Rights Management 커넥터를 구성하면 자동으로 슈퍼 사용자 기능을 사용하도록 설정되며, Microsoft 365에서 Exchange Online, Microsoft Sharepoint Server 또는 SharePoint를 실행하는 표준 서비스에는 필요하지 않습니다.

슈퍼 사용자 기능을 수동으로 설정해야 하는 경우 PowerShell cmdlet Enable-AipServiceSuperUserFeature를 사용한 후 Add-AipServiceSuperUser cmdlet 또는 Set-AipServiceSuperUserGroup cmdlet을 사용하여 필요에 따라 사용자(또는 서비스 계정)를 할당하고, 필요에 따라 이 그룹에 사용자(또는 다른 그룹)를 추가합니다.

슈퍼 사용자에 그룹을 사용하면 좀 더 쉽게 관리할 수 있지만, 성능상의 이유로 Azure Rights Management가 그룹 멤버 자격을 캐싱한다는 사실을 기억해야 합니다. 슈퍼 사용자로, 콘텐츠를 즉시 암호 해독할 수 있는 새 사용자를 할당해야 하는 경우 Set-AipServiceSuperUserGroup를 사용하여 구성한 기존 그룹에 사용자를 추가하지 않고 Add-AipServiceSuperUser를 사용하여 사용자를 추가해야 합니다.

참고 항목

  • Add-AipServiceSuperUser cmdlet을 사용하여 사용자를 추가할 때는 기본 메일 주소 또는 사용자 계정 이름도 그룹에 추가해야 합니다. 이메일 별칭은 평가되지 않습니다.

  • 아직 Azure Rights Management용 Windows PowerShell 모듈을 설치하지 않은 경우 AIPService PowerShell 모듈 설치를 참조하세요.

슈퍼 사용자 기능을 사용하도록 설정하거나 사용자를 슈퍼 사용자로 추가하는 경우는 중요하지 않습니다. 예를 들어 목요일에 기능을 사용하도록 설정한 다음 금요일에 사용자를 추가하는 경우 해당 사용자는 주 초에 보호된 콘텐츠를 즉시 열 수 있습니다.

슈퍼 사용자 기능에 대한 보안 모범 사례

  • Office 365 또는 Azure Information Protection 테넌트의 전역 관리자로 할당된 관리자 또는 GlobalAdministrator 역할이 할당된 관리자를 Add-AipServiceRoleBasedAdministrator cmdlet을 사용하여 제한하고 모니터링합니다. 이러한 사용자는 슈퍼 사용자 기능을 사용하도록 설정하고 사용자(및 자신)를 슈퍼 사용자로 할당하고 조직에서 보호하는 모든 파일의 암호를 해독할 수 있습니다.

  • 개별적으로 슈퍼 사용자로 할당된 사용자 및 서비스 계정을 보려면 Get-AipServiceSuperUser cmdlet을 사용합니다.

  • 슈퍼 사용자 그룹이 구성되어 있는지 확인하려면 Get-AipServiceSuperUserGroup cmdlet 및 표준 사용자 관리 도구를 사용하여 어떤 사용자가 이 그룹의 구성원인지 확인합니다.

  • 모든 관리 작업이 그렇듯이, 슈퍼 기능을 사용하거나 사용하지 않도록 설정하고 슈퍼 사용자를 추가 또는 제거하는 작업이 기록되며 Get-AipServiceAdminLog 명령을 사용하여 감사할 수 있습니다. 예제는 슈퍼 사용자 기능에 대한 예제 감사를 참조하세요.

  • 슈퍼 사용자가 파일의 암호를 해독하면 이 작업이 기록되고 사용 현황 로깅을 통해 감사할 수 있습니다.

    참고 항목

    로그에는 파일 암호를 해독한 사용자를 포함하여 암호 해독에 대한 세부 정보가 포함되어 있지만 사용자가 슈퍼 사용자인 경우는 기록하지 않습니다. 위에 나열된 cmdlet과 함께 로그를 사용하여 로그에서 식별할 수 있는 슈퍼 사용자 목록을 먼저 수집합니다.

  • 일상적인 서비스에는 슈퍼 사용자 기능이 필요 없는 경우 필요할 때만 설정하고 Disable-AipServiceSuperUserFeature cmdlet을 사용하여 다시 해제하면 됩니다.

슈퍼 사용자 기능에 대한 감사 예제

다음 로그 추출물은 Get-AipServiceAdminLog cmdlet을 사용할 때의 몇 가지 예제 항목을 보여줍니다.

이 예제에서 Contoso Ltd의 관리자는 슈퍼 사용자 기능이 비활성화되었는지 확인하고, Richard Simone을 슈퍼 사용자로 추가하고, Richard가 Azure Rights Management 서비스에 대해 구성된 유일한 슈퍼 사용자임을 검사, 이제 Richard가 회사를 떠난 직원으로 보호된 일부 파일을 해독할 수 있도록 슈퍼 사용자 기능을 사용하도록 설정합니다.

2015-08-01T18:58:20 admin@contoso.com GetSuperUserFeatureState Passed Disabled

2015-08-01T18:59:44 admin@contoso.com AddSuperUser -id rsimone@contoso.com Passed True

2015-08-01T19:00:51 admin@contoso.com GetSuperUser Passed rsimone@contoso.com

2015-08-01T19:01:45 admin@contoso.com SetSuperUserFeatureState -state Enabled Passed True

슈퍼 사용자를 위한 스크립팅 옵션

Azure Rights Management의 슈퍼 사용자를 할당받은 사용자는 여러 위치에서 여러 파일에서 보호를 제거해야 하는 경우가 많습니다. 이 작업을 수동으로 수행할 수는 있지만, Set-AIPFileLabel cmdlet을 사용하여 스크립팅하는 것이 좀 더 효율적(그리고 종종 더 안정적)입니다.

분류 및 보호를 사용하는 경우 Set-AIPFileLabel을 사용하여 보호를 적용하지 않는 새 레이블을 적용하거나 보호를 적용한 레이블을 제거할 수도 있습니다.

이러한 cmdlet에 대한 자세한 내용은 Azure Information Protection 클라이언트 관리자 가이드의 Azure Information Protection 클라이언트에서 PowerShell 사용을 참조하세요.

참고 항목

AzureInformationProtection 모듈은 Azure Information Protection에 대한 Azure Rights Management 서비스를 관리하는 AIPService PowerShell 모듈과 다르며 이 모듈을 구현합니다.

PST 파일에 대한 보호 제거

PST 파일에 대한 보호를 제거하려면 Microsoft Purview에서 eDiscovery를 사용하여 전자 메일에서 보호된 전자 메일 및 보호된 첨부 파일을 검색하고 추출하는 것이 좋습니다.

슈퍼 사용자 기능은 Exchange Online과 자동으로 통합되므로 Microsoft Purview 규정 준수 포털 eDiscovery에서 내보내기 전에 암호화된 항목을 검색하거나 내보낼 때 암호화된 전자 메일의 암호를 해독할 수 있습니다.

Microsoft Purview eDiscovery를 사용할 수 없는 경우 데이터에 대해 비슷한 이유로 Azure Rights Management 서비스와 통합되는 다른 eDiscovery 솔루션이 있을 수 있습니다.

또는 eDiscovery 솔루션이 보호된 콘텐츠를 자동으로 읽고 암호를 해독할 수 없는 경우에도 Set-AIPFileLabel cmdlet과 함께 다단계 프로세스에서 이 솔루션을 사용할 수 있습니다.

  1. 문제의 전자 메일을 Exchange Online 또는 Exchange Server 또는 사용자가 전자 메일을 저장한 워크스테이션에서 PST 파일로 내보냅니다.

  2. PST 파일을 eDiscovery 도구로 가져옵니다. 이 도구는 보호된 콘텐츠를 읽을 수 없으므로 이러한 항목이 오류를 생성할 것으로 예상됩니다.

  3. 도구에서 열 수 없는 모든 항목에서 이번에는 보호된 항목만 포함하는 새 PST 파일을 생성합니다. 이 두 번째 PST 파일은 원래 PST 파일보다 훨씬 작을 수 있습니다.

  4. 이 두 번째 PST 파일에서 Set-AIPFileLabel을 실행하여 훨씬 작은 파일의 콘텐츠 암호를 해독합니다. 출력에서 현재 암호 해독된 PST 파일을 검색 도구로 가져옵니다.

사서함 및 PST 파일에서 eDiscovery를 수행하기 위한 자세한 정보 및 지침은 다음 블로그 게시물인 Azure Information Protection 및 eDiscovery 프로세스를 참조하세요.