Azure Information Protection에 대 한 사용자 고유의 키 (HYOK) 세부 정보 보유

적용 대상:* Azure Information Protection*

*관련: Windows 용 기존 클라이언트를 Azure Information Protection합니다. 통합 레이블 지정 클라이언트에 대해서는 이중 키 암호화를 참조 하세요.

참고

통합되고 간소화된 고객 경험을 제공하기 위해 Azure Portal의 Azure Information Protection 클래식 클라이언트레이블 관리2021년 3월 31일 부터 지원되지 않을 예정입니다. 클래식 클라이언트는 계속해서 기존에 구성된 대로 작동하지만 추가 지원은 제공되지 않으며, 클래식 클라이언트에는 유지 관리 버전이 더 이상 릴리스되지 않습니다.

통합 레이블 지정으로 마이그레이션하고 통합 레이블 지정 클라이언트로 업그레이드하는 것이 권장됩니다. 최근 사용 중단 알림 블로그에서 자세한 내용을 알아보세요.

사용자 고유의 키 (HYOK) 구성을 보유 하면 기존 클라이언트를 사용 하는 AIP 고객이 중요 한 콘텐츠를 보호 하는 동시에 해당 키에 대 한 모든 권한을 유지 관리할 수 있습니다. HYOK는 매우 중요 한 콘텐츠를 위해 온-프레미스에 저장 된 추가 고객이 보유 한 키를 다른 콘텐츠에 사용 되는 기본 클라우드 기반 보호와 함께 사용 합니다.

기본 클라우드 기반 테 넌 트 루트 키에 대 한 자세한 내용은 Azure Information Protection 테 넌 트 키 계획 및 구현을 참조 하세요.

클라우드 기반 보호와 HYOK 비교

일반적으로 Azure Information Protection를 사용 하 여 중요 한 문서와 전자 메일을 보호 하는 것은 BYOK 구성을 사용 하여 Microsoft 또는 고객이 생성 한 클라우드 기반 키를 사용 합니다.

클라우드 기반 키는 사용자에 게 다음과 같은 이점을 제공 하는 Azure Key Vault에서 관리 됩니다.

  • 서버 인프라 요구 사항이 없습니다. 클라우드 솔루션은 온-프레미스 솔루션 보다 빠르고 비용 효율적으로 배포 하 고 유지 관리할 수 있습니다.

  • 클라우드 기반 인증 을 사용 하면 파트너 및 다른 조직의 사용자와 쉽게 공유할 수 있습니다.

  • 검색, 웹 뷰어, 피벗 뷰, 맬웨어 방지, eDiscovery, Delve 등의 다른 Azure 및 Microsoft 365 서비스와 긴밀 하 게 통합 됩니다.

  • 공유한 중요 한 문서에 대 한 문서 추적, 해지메일 알림 입니다.

그러나 일부 조직에서는 클라우드에서 격리 된 키를 사용 하 여 특정 콘텐츠가 암호화 되어야 하는 규정 요구 사항이 있을 수 있습니다. 이 격리는 암호화 된 콘텐츠를 온-프레미스 응용 프로그램 및 온-프레미스 서비스에 의해서만 읽을 수 있음을 의미 합니다.

HYOK 구성을 사용 하는 경우 고객 테 넌 트는 클라우드에 저장할 수 있는 콘텐츠와 온-프레미스로 보호 해야 하는 콘텐츠에 대 한 온-프레미스 키를 사용 하는 클라우드 기반 키 를 모두 포함 합니다.

HYOK 지침 및 모범 사례

HYOK를 구성 하는 경우 다음 권장 사항을 고려 합니다.

중요

Azure Information Protection에 대 한 HYOK 구성은 완전히 AD RMS 및 Azure Information Protection 배포에 대 한 대체 방법이 아니거나 AD RMS를 Azure Information Protection으로 마이그레이션하는 대신 사용할 수 있습니다.

HYOK는 레이블을 적용 하는 경우에만 지원 되 고 AD RMS 기능 패리티를 제공 하지 않으며 모든 AD RMS 배포 구성을 지원 하지 않습니다.

HYOK에 적합 한 콘텐츠

HYOK protection은 클라우드 기반 보호의 이점을 제공 하지 않으며, 콘텐츠는 온-프레미스 응용 프로그램 및 서비스 에서만 액세스할 수 있으므로 "데이터 불투명도" 비용이 많이 듭니다. HYOK 보호를 사용 하는 조직의 경우에도 일반적으로 적은 수의 문서에만 적합 합니다.

다음 조건과 일치 하는 콘텐츠에 대해서만 HYOK를 사용 하는 것이 좋습니다.

  • 조직에서 가장 높은 분류가 포함 된 콘텐츠 ("상위 암호") (액세스 권한이 소수의 사용자로만 제한 됨)
  • 조직 외부에서 공유 되지 않는 콘텐츠
  • 내부 네트워크 에서만 사용 되는 콘텐츠입니다.

HYOK 구성 된 레이블을 볼 수 있는 사용자 정의

HYOK 보호를 적용 해야 하는 사용자만 HYOK 구성 레이블을 확인 하 고 범위 지정 정책을사용 하 여 해당 사용자에 대 한 정책을 구성 합니다.

HYOK 및 전자 메일 지원

Microsoft 365 services 및 기타 온라인 서비스는 HYOK으로 보호 된 콘텐츠를 해독할 수 없습니다.

전자 메일의 경우 이러한 기능 손실에는 맬웨어 스캐너, 암호화 전용 보호, DLP (데이터 손실 방지) 솔루션, 메일 라우팅 규칙, 저널링, eDiscovery, 보관 솔루션 및 Exchange ActiveSync가 포함 됩니다.

사용자는 일부 장치가 HYOK 보호 된 전자 메일을 열 수 없는 이유를 이해 하지 못할 수 있습니다 .이를 통해 지원 센터에 대 한 추가 호출이 발생할 수 있습니다. 전자 메일을 사용 하 여 HYOK 보호를 구성할 때 이러한 심각한 제한 사항을 알고 있어야 합니다.

HYOK에 대해 지원 되는 응용 프로그램

Azure Information Protection 레이블을 사용 하 여 특정 문서 및 전자 메일에 HYOK을 적용 합니다. HYOK는 Office 버전 2013 이상에서 지원 됩니다.

HYOK는 레이블에 대 한 관리자 구성 옵션이 며, 콘텐츠가 클라우드 기반 키 또는 HYOK으로 사용 되는지에 관계 없이 워크플로는 동일 하 게 유지 됩니다.

다음 표에는 HYOK 구성 레이블을 사용 하 여 콘텐츠를 보호 하 고 사용 하는 데 지원 되는 시나리오가 나와 있습니다.

참고

Office Web 및 유니버설 응용 프로그램은 HYOK에 대해 지원 되지 않습니다.

HYOK에 대 한 Windows 응용 프로그램 지원

애플리케이션 보호 Consumption
클라이언트 Azure Information Protection Microsoft 365 앱, Office 2019, Office 2016 및 Office 2013:
Word, Excel, PowerPoint, Outlook
예 예
파일 탐색기를 사용하는 Azure Information Protection 클라이언트 예 예
Azure Information Protection 뷰어 해당 없음 예
PowerShell 레이블 지정 cmdlet를 사용하는 Azure Information Protection 클라이언트 예 예
Azure Information Protection 스캐너 예 예

HYOK에 대 한 macOS 응용 프로그램 지원

애플리케이션 보호 Consumption
Mac 용 Office:
Word, Excel, PowerPoint, Outlook
아니요 예

HYOK에 대 한 iOS 응용 프로그램 지원

애플리케이션 보호 Consumption
Office 모바일:
Word, Excel, PowerPoint
아니요 예
Office 모바일:
Outlook만
아니요 아니요
Azure Information Protection 뷰어 해당 없음 예

HYOK에 대 한 Android 응용 프로그램 지원

애플리케이션 보호 Consumption
Office 모바일:
Word, Excel, PowerPoint
아니요 예
Office 모바일:
Outlook만
아니요 아니요
Azure Information Protection 뷰어 해당 없음 예

HYOK 구현

Azure Information Protection는 아래 나열 된 모든 요구 사항을준수 하는 Active Directory Rights Management Services (AD RMS)가 있는 경우 HYOK을 지원 합니다.

사용 권한 정책 및 이러한 정책을 보호 하는 조직의 개인 키는 온-프레미스에서 관리 및 유지 되 고, 레이블 지정 및 분류에 대 한 Azure Information Protection 정책은 Azure에서 계속 관리 되 고 저장 됩니다.

HYOK 보호를 구현 하려면:

  1. 시스템이 AD RMS 요구 사항을 준수 하는지 확인 합니다.
  2. 보호할 정보 찾기

준비가 되 면 Rights Management 보호를 위한 레이블을 구성 하는 방법을계속 진행 하세요.

HYOK를 지원하는 AD RMS에 대한 요구 사항

Azure Information Protection 레이블에 대 한 HYOK 보호를 제공 하려면 AD RMS 배포가 다음 요구 사항을 충족 해야 합니다.

요구 사항 Description
AD RMS 구성 HYOK을 지원 하려면 AD RMS 시스템을 특정 방식으로 구성 해야 합니다. 자세한 내용은 아래를 참조 하세요.
디렉터리 동기화 온-프레미스 Active Directory와 Azure Active Directory 간에 디렉터리 동기화를 구성 해야 합니다.

HYOK 보호 레이블을 사용 하는 사용자는 single sign-on을 사용 하도록 구성 해야 합니다.
명시적으로 정의 된 트러스트에 대 한 구성 HYOK 보호 된 콘텐츠를 조직 외부의 다른 사용자와 공유 하는 경우에는 다른 조직과의 직접 지점 간 관계에서 명시적으로 정의 된 트러스트에 대해 AD RMS를 구성 해야 합니다.

이 작업은 AD FS (신뢰할 수 있는 사용자 도메인) 또는 Active Directory Federation Services를 사용 하 여 만든 페더레이션된 트러스트를 사용 하 여 수행 합니다.
지원 되 Microsoft Office 버전 HYOK로 보호 되는 콘텐츠를 보호 하거나 사용 하는 사용자에 게는 다음이 있어야 합니다.

-IRM (정보 Rights Management)을 지 원하는 Office 버전
-Windows 7 서비스 팩 1 이상에서 실행 되는 Microsoft Office Professional Plus 버전 2013 이상, 서비스 팩 1 이상
-Office 2016 Microsoft 설치 관리자 (.msi) 기반 버전의 경우 2018 3 월 6 일에 릴리스된 Microsoft Office 2016 용 업데이트 4018295이 있어야 합니다.

참고: office 2010 및 office 2007은 지원 되지 않습니다. 자세한 내용은 AIP와 레거시 Windows 및 Office 버전을 참조하세요.

중요

HYOK 보호가 제공 하는 높은 보증을 달성 하려면 다음을 수행 하는 것이 좋습니다.

  • DMZ 외부에서 AD RMS 서버를 찾고 관리 되는 장치 에서만 사용 되도록 합니다.

  • HSM (하드웨어 보안 모듈)을 사용 하 여 AD RMS 클러스터를 구성 합니다. 이를 통해 AD RMS 배포를 위반 하거나 손상 시킬 경우 SLC (서버 사용 허가자 인증서) 개인 키를 노출 하거나 도난당 할 수 없습니다.

배포 정보 및 AD RMS에 대한 지침은 Windows Server 라이브러리에서 Active Directory Rights Management Services를 참조하세요.

AD RMS 구성 요구 사항

HYOK을 지원 하려면 AD RMS 시스템에 다음 구성이 있는지 확인 합니다.

요구 사항 Description
Windows 버전 최소한 다음 Windows 버전 중 하나입니다.

프로덕션 환경: Windows Server 2012 R2
테스트/평가 환경: Windows Server 2008 R2 서비스 팩 1
토폴로지 HYOK에는 다음 토폴로지 중 하나가 필요 합니다.
-단일 포리스트, 단일 AD RMS 클러스터 포함
-각각에 AD RMS 클러스터가 있는 여러 포리스트

여러 포리스트에 대 한 라이선스
포리스트가 여러 개인 경우 각 AD RMS 클러스터는 동일한 AD RMS 클러스터를 가리키는 라이선스 URL을 공유 합니다.
이 AD RMS 클러스터에서 다른 모든 AD RMS 클러스터의 모든 TUD (신뢰할 수 있는 사용자 도메인) 인증서를 가져옵니다.
이 토폴로지에 대한 자세한 내용은 트러스트된 사용자 도메인을 참조하세요.

여러 포리스트에 대 한 전역 정책 레이블
별도 포리스트에 여러 AD RMS 클러스터가 있는 경우 HYOK(AD RMS) 보호를 적용하는 글로벌 정책에서 모든 레이블을 삭제하고 각 클러스터에 대한 범위 지정 정책을 구성합니다.
각 클러스터에 대 한 사용자를 범위 지정 정책에 할당 합니다. 그러면 사용자가 둘 이상의 범위 지정 정책에 할당 되는 그룹을 사용 하지 않도록 합니다.
결과는 각 사용자에 하나의 AD RMS 클러스터에 대한 레이블이 있어야 합니다.
암호화 모드 AD RMS는 암호화 모드 2로 구성 해야 합니다.
AD RMS 클러스터 속성, 일반 탭을 선택 하 여 모드를 확인 합니다.
인증 URL 구성 각 AD RMS 서버는 인증 URL에 대해 구성 되어야 합니다.
자세한 내용은 아래를 참조 하세요.
서비스 연결 지점의 Azure Information Protection에서 AD RMS 보호를 사용 하는 경우 SCP (서비스 연결 지점)가 사용 되지 않습니다.

AD RMS 배포에 대 한 SCP를 등록 한 경우 이를 제거 하 여 Azure Rights Management 보호에 대 한 서비스 검색이 성공 하도록 합니다.

HYOK에 대 한 새 AD RMS 클러스터를 설치 하는 경우 첫 번째 노드를 구성할 때 SCP를 등록 하지 마십시오. 노드를 추가할 때마다 AD RMS 역할을 추가하고 기존 클러스터를 연결하기 전에 서버에 인증 URL이 구성되어 있는지 확인합니다.
SSL/TLS 프로덕션 환경에서는 연결 하는 클라이언트에서 신뢰할 수 있는 유효한 x.509 인증서를 사용 하 여 SSL/TLS를 사용 하도록 AD RMS 서버를 구성 해야 합니다.

이는 테스트 또는 평가 목적으로는 필요 하지 않습니다.
권한 템플릿 AD RMS에 대 한 권한 템플릿이 구성 되어 있어야 합니다.
Exchange IRM AD RMS Exchange IRM에 대해 구성할 수 없습니다.
모바일 장치/a m p 컴퓨터 Active Directory Rights Management Services 모바일 장치 확장 을 설치 하 고 구성 해야 합니다.

AD RMS 서버를 구성하여 인증 URL 찾기

  1. 클러스터의 각 AD RMS 서버에서 다음 레지스트리 항목을 작성합니다.

    Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`
    

    의 경우 <string value> 다음 문자열 중 하나를 지정 합니다.

    환경 문자열 값
    프로덕션
    (SSL/TLS를 사용 하는 클러스터 AD RMS)
    https://<cluster_name>/_wmcs/certification/certification.asmx
    테스트/평가
    (SSL/TLS 없음)
    http://<cluster_name>/_wmcs/certification/certification.asmx
  2. IIS를 다시 시작합니다.

Azure Information Protection 레이블을 사용하여 AD RMS 보호를 지정하는 데 필요한 정보 찾기

HYOK 보호 레이블을 구성 하려면 AD RMS 클러스터의 라이선스 URL을 지정 해야 합니다.

또한 사용자에 게 부여할 사용 권한으로 구성 된 템플릿을 지정 하거나 사용자가 사용 권한 및 사용자를 정의할 수 있도록 해야 합니다.

Active Directory Rights Management Services 콘솔에서 템플릿 GUID 및 라이선스 URL 값을 찾으려면 다음을 수행 합니다.

템플릿 GUID 찾기

  1. 클러스터를 확장하고 권한 정책 템플릿 을 클릭합니다.

  2. 분산 권한 정책 템플릿 정보에서 사용 하려는 템플릿의 GUID를 복사 합니다.

예: 82bf3474-6efe-4fa1-8827-d1bd93339119

라이선스 URL 찾기

  1. 클러스터 이름을 클릭합니다.

  2. 클러스터 세부 정보 에서 /_wmcs/licensing 문자열을 제외하고 라이선스 입니다.

예를 들어: https://rmscluster.contoso.com

참고

다른 엑스트라넷 및 인트라넷 라이선스 값이 있는 경우 파트너와 보호 된 콘텐츠를 공유할 경우에만 엑스트라넷 값을 지정 합니다. 보호 된 콘텐츠를 공유 하는 파트너는 명시적 지점 간 트러스트를 사용 하 여 정의 되어야 합니다.

보호 된 콘텐츠를 공유 하지 않는 경우 인트라넷 값을 사용 하 여 AD RMS 보호를 사용 하는 모든 클라이언트 컴퓨터가 인트라넷 연결을 통해 Azure Information Protection 연결 하는지 확인 합니다. 예를 들어 원격 컴퓨터는 VPN 연결을 사용 해야 합니다.

다음 단계

HYOK을 지원 하도록 시스템을 구성 했으면 HYOK 보호를 위한 레이블 구성을 계속 진행 합니다. 자세한 내용은 Rights Management 보호를 적용하도록 레이블을 구성하는 방법을 참조하세요.