Azure Information Protection에 대한 사용 권한 구성

:Azure Information Protection,Office 365

관련성: AIP 통합 레이블링 클라이언트 및 클래식 클라이언트

참고 사항

통합되고 간소화된 고객 환경을 제공하기 위해 Azure Portal의 Azure Information Protection 클래식 클라이언트 및 레이블 관리는 2021년 3월 31일현재 사용되지 않습니다. 클래식 클라이언트에 대한 추가 지원은 제공되지 않고 유지 관리 버전은 더 이상 릴리스되지 않습니다.

클래식 클라이언트는 공식적으로 사용 중지되어 2022년 3월 31일 작동이 중지됩니다.

현재 모든 Azure Information Protection 클래식 클라이언트 고객은 통합 레이블 Microsoft Information Protection 플랫폼으로 마이그레이션하고 통합 레이블링 클라이언트로 업그레이드해야 합니다. 마이그레이션 블로그 에서자세히 알아보기

완료를 위해 이 문서에는 2018년 1월 08일 사용 중지된 Azure 클래식 포털의 값이 포함되어 있습니다.

이 문서에서는 사용자, 관리자 또는 구성된 서비스에서 레이블 또는 템플릿을 선택할 때 자동으로 적용하도록 구성할 수 있는 사용 권한을 설명합니다.

암호화에 대한 민감도 레이블 또는 보호 템플릿을 구성할 때 사용 권한이 선택됩니다. 예를 들어 사용 권한의 논리적 그룹을 구성하는 역할을 선택하거나 개별 권한을 별도로 구성할 수 있습니다. 또는 사용자가 직접 사용 권한을 선택하고 적용할 수 있습니다.

중요

이 문서를 사용하여 애플리케이션에서 사용 권한을 해석하도록 디자인된 방법을 이해합니다.

애플리케이션은 사용 권한을 구현하는 방식에 따라 다를 수 있으며, 프로덕션에 배포하기 전에 애플리케이션 동작을 검사하기 위해 애플리케이션 설명서와 함께 컨설팅하고 자체 테스트를 수행하는 것이 좋습니다.

사용 권한 및 설명

다음 표에서는 Rights Management에서 지원하는 사용 권한 및 사용 및 해석 방법을 나열하고 설명합니다. 일반적으로 코드에 사용되는 단일 단어 값의 더 친숙한 버전(정책 값의 인코딩)으로 표시되거나 참조되는 사용량을 볼 수 있는 일반적인 이름으로 나열됩니다.

이 표에서:

  • API 상수 또는 값은 MSIPC API 호출의 SDK 이름으로, 사용량을 확인할 수 있는 애플리케이션을 작성하거나 정책에 사용권을 추가할 때 사용됩니다.

  • 레이블 관리 센터는 민감도 레이블을 Microsoft 365 규정 준수 센터 관리 센터입니다.

    클래식 클라이언트가 있는 경우 Azure Portal에서 레이블 및 레이블 정책을 구성합니다.

사용 권리 설명 구현
일반적인 이름: 콘텐츠 편집, 편집

정책에서 인코딩: DOCEDIT
사용자가 애플리케이션 내에서 콘텐츠를 수정, 다시 정렬, 서식 지정 또는 정렬할 수 있습니다. 편집된 복사본을 저장할 수 있는 권한을 부여하지 않습니다.

Word에서 최소 Office 365 ProPlus 버전이 없는 한 이 권리는 변경 내용 추적을 켜거나 해제하거나 모든 추적 변경 기능을 검토자로 사용하기에 충분하지 않습니다. 대신 모든 추적 변경 옵션을 사용하려면 다음 오른쪽: 전체 제어가 필요합니다.
Office 사용자 지정 권한: 변경 및 전체 제어 옵션의 일부로 제공됩니다.

Azure 클래식 포털의 이름: 콘텐츠 편집

웹 사이트 및 Microsoft 365 규정 준수 센터 이름: 콘텐츠 편집, 편집(DOCEDIT)

AD RMS 템플릿의 이름: 편집

API 상수 또는 값: 적용할 수 없습니다.
일반적인 이름: 저장

정책에서 인코딩: 편집
사용자가 문서를 현재 위치에 저장할 수 있습니다.

또한 Office 응용 프로그램에서 이 권한을 사용하면 사용자가 문서를 수정하고 선택한 파일 형식이 기본적으로 Rights Management 보호를 지원하는 경우 새 위치 및 새 이름으로 저장할 수 있습니다. 파일 형식 제한을 사용하면 파일에서 원래 보호를 제거할 수 없습니다.
Office 사용자 지정 권한: 변경 및 전체 제어 옵션의 일부로 제공됩니다.

Azure 클래식 포털의 이름: 파일 저장

웹 사이트 및 azure portal의 Microsoft 365 규정 준수 센터: 저장(편집)

AD RMS 템플릿의 이름: 저장

API 상수 또는 값: IPC_GENERIC_WRITE L"EDIT"
일반 이름: 주석

정책에서 인코딩: COMMENT
콘텐츠에 주석 또는 주석을 추가할 수 있는 옵션을 사용할 수 있습니다.

이 권리는 SDK에서 사용할 수 있으며, AzureInformationProtection 및 RMS Protection 모듈에서 Windows PowerShell 일부 소프트웨어 공급업체 애플리케이션에서 구현되었습니다. 그러나 널리 사용되지는 아니며 애플리케이션에서 지원되지 Office 않습니다.
Office 사용자 지정 권한: 구현되지 않습니다.

Azure 클래식 포털의 이름: 구현되지 않습니다.

웹 사이트 및 azure portal의 Microsoft 365 규정 준수 센터: 구현되지 않습니다.

AD RMS 템플릿의 이름: 구현되지 않습니다.

API 상수 또는 값: IPC_GENERIC_COMMENT L"COMMENT
일반적인 이름: 이름으로 저장, 내보내기

정책에서 인코딩: EXPORT
다른 파일 이름(이름으로 저장)에 콘텐츠를 저장할 수 있습니다.

Azure Information Protection 클라이언트의 경우 파일을 보호하지 않고 저장하고 새 설정 및 사용 권한으로 다시 보호할 수 있습니다. 이러한 허용된 작업은 이 권리가 있는 사용자가 보호된 문서 또는 전자 메일에서 Azure Information Protection 레이블을 변경하거나 제거할 수 있습니다.

또한 이 오른쪽을 사용하면 사용자가 애플리케이션에서 다른 내보내기 옵션을 수행할 수 있습니다(예: 로 보내기OneNote.
Office 사용자 지정 권한: 전체 제어 옵션의 일부로 제공됩니다.

Azure 클래식 포털의 이름: 콘텐츠 내보내기(이름으로 저장)

저장소 및 Microsoft 365 규정 준수 센터 이름: 다른 이름으로 저장, 내보내기(EXPORT)

AD RMS 템플릿의 이름: 내보내기(이름으로 저장)

API 상수 또는 값: IPC_GENERIC_EXPORT L"EXPORT"
일반적인 이름: 전달

정책에서 인코딩: FORWARD
전자 메일 메시지를 전달하고 받는 사람을 받는 사람 및 Cc 줄에 추가할 수 있는 옵션을 사용할 수 있습니다. 이 권리는 문서에 적용되지 않습니다. 전자 메일 메시지만 제공합니다.

전달자에 전달 작업의 일부로 다른 사용자에게 권한을 부여할 수 없습니다.

이 권한을 부여하면 콘텐츠 편집, 편집 권한(일반 이름)을 부여하고 보호된 전자 메일 메시지가 첨부 파일로 배달되지 않도록 저장 권한(일반 이름)을 추가로 부여합니다. 또한 클라이언트 또는 웹앱을 사용하는 다른 조직에 Outlook 경우 이러한 Outlook 지정합니다. 또는 온보더링 컨트롤을 구현하여 Rights Management 보호를 사용하지 못하게 하는 조직의 사용자에 대해
Office 사용자 지정 권한: 전달 금지 표준 정책을 사용할 때 거부됩니다.

Azure 클래식 포털의 이름: 전달

웹 사이트 및 Microsoft 365 규정 준수 센터 이름: 전달(FORWARD)

AD RMS 템플릿의 이름: 전달

API 상수 또는 값: IPC_EMAIL_FORWARD L"FORWARD"
일반 이름: 전체 제어

정책에서 인코딩: OWNER
문서에 대한 모든 권한을 부여하고 사용 가능한 모든 작업을 수행할 수 있습니다.

보호를 제거하고 문서를 다시 보호하는 기능을 포함합니다.

이 사용 권한은 Rights Management 소유자와 동일하지 않습니다.
Office 사용자 지정 권한: 전체 제어 사용자 지정 옵션으로 제공됩니다.

Azure 클래식 포털의 이름: 전체 제어

웹 사이트 및 azure portal의 Microsoft 365 규정 준수 센터: 전체 제어(소유자)

AD RMS 템플릿의 이름: 전체 제어

API 상수 또는 값: IPC_GENERIC_ALL L"OWNER"
일반적인 이름: 인쇄

정책의 인코딩: PRINT
옵션을 사용하여 콘텐츠를 인쇄할 수 있습니다. Office 사용자 지정 권한: 사용자 지정 권한에서 콘텐츠 인쇄 옵션으로 지정합니다. 받는 사람당 설정이 아 없습니다.

Azure 클래식 포털의 이름: 인쇄

인쇄 및 Microsoft 365 규정 준수 센터 이름: 인쇄(PRINT)

AD RMS 템플릿의 이름: 인쇄

API 상수 또는 값: IPC_GENERIC_PRINT L"PRINT"
일반적인 이름: 회신

정책의 인코딩: REPLY
To 또는 Cc 줄에서 변경을 허용하지 않고 전자 메일 클라이언트에서 회신 옵션을 활성화합니다.

이 권한을 부여하면 콘텐츠 편집, 편집 권한(일반 이름)을 부여하고 보호된 전자 메일 메시지가 첨부 파일로 배달되지 않도록 저장 권한(일반 이름)을 추가로 부여합니다. 또한 클라이언트 또는 웹앱을 사용하는 다른 조직에 Outlook 경우 이러한 Outlook 지정합니다. 또는 온보더링 컨트롤을 구현하여 Rights Management 보호를 사용하지 못하게 하는 조직의 사용자에 대해
Office 사용자 지정 권한: 적용되지 않습니다.

Azure 클래식 포털의 이름: 회신

Azure 클래식 포털의 이름: 회신(회신)

AD RMS 템플릿의 이름: 회신

API 상수 또는 값: IPC_EMAIL_REPLY
일반 이름: 모두 회신

정책에서 인코딩: REPLYALL
전자 메일 클라이언트에서 모두 회신 옵션을 사용할 수 있지만 받는 사람을 받는 사람 또는 Cc 줄에 추가할 수 없습니다.

이 권한을 부여하면 콘텐츠 편집, 편집 권한(일반 이름)을 부여하고 보호된 전자 메일 메시지가 첨부 파일로 배달되지 않도록 저장 권한(일반 이름)을 추가로 부여합니다. 또한 클라이언트 또는 웹앱을 사용하는 다른 조직에 Outlook 경우 이러한 Outlook 지정합니다. 또는 온보더링 컨트롤을 구현하여 Rights Management 보호를 사용하지 못하게 하는 조직의 사용자에 대해
Office 사용자 지정 권한: 적용되지 않습니다.

Azure 클래식 포털의 이름: 모두 회신

모든 응답 Microsoft 365 규정 준수 센터 Azure Portal의 이름: 모두 회신(모두 회신)

AD RMS 템플릿의 이름: 모두 회신

API 상수 또는 값: IPC_EMAIL_REPLYALL L"REPLYALL"
일반적인 이름: 보기, 열기, 읽기

정책에서 인코딩: VIEW
사용자가 문서를 열고 콘텐츠를 볼 수 있도록 허용합니다.

Excel 이 권리는 데이터를 정렬하기에 충분하지 않습니다. 여기에는 콘텐츠 편집, 편집이 필요합니다. 에서 데이터를 필터링하려면 Excel 편집, 편집 및 복사의 두 가지 권리가 필요합니다.
Office 사용자 지정 권한: 사용자 지정 정책 읽기로 보기 옵션입니다.

Azure 클래식 포털의 이름: 보기

보기, 열기Microsoft 365 규정 준수 센터 읽기(보기) 및 Azure Portal의 이름

AD RMS 템플릿의 이름: 읽기

API 상수 또는 값: IPC_GENERIC_READ L"VIEW"
일반 이름: 복사

정책에서 인코딩: 추출
옵션으로 문서의 데이터(화면 캡처 포함)를 동일한 문서 또는 다른 문서로 복사할 수 있습니다.

일부 애플리케이션에서는 전체 문서를 보호되지 않은 형태로 저장할 수도 있습니다.

비즈니스용 Skype 유사한 화면 공유 애플리케이션에서 발표자는 보호된 문서를 성공적으로 제출할 수 있는 이 권리가 있어야 합니다. 발표자에 이 권리가 없는 경우 참석자는 문서를 볼 수 없습니다.
Office 사용자 지정 권한: 읽기 액세스 권한이 있는 사용자가 콘텐츠 사용자 지정 정책 옵션을 복사하도록 허용합니다.

Azure 클래식 포털의 이름: 콘텐츠 복사 및 추출

검색 및 Microsoft 365 규정 준수 센터 이름: 복사(추출)

AD RMS 템플릿의 이름: 추출

API 상수 또는 값: IPC_GENERIC_EXTRACT L"EXTRACT"
일반적인 이름: 권한 보기

정책 인코딩: VIEWRIGHTSDATA
사용자가 문서에 적용되는 정책을 볼 수 있습니다.

앱 또는 Azure Office 클라이언트에서 지원되지 않습니다.
Office 사용자 지정 권한: 구현되지 않습니다.

Azure 클래식 포털의 이름: 할당된 권한 보기

웹 사이트 및 Microsoft 365 규정 준수 센터: 보기 권한(VIEWRIGHTSDATA) 의 이름입니다.

AD RMS 템플릿의 이름: 권한 보기

API 상수 또는 값: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"
일반적인 이름: 권한 변경

정책에서 인코딩: EDITRIGHTSDATA
사용자가 문서에 적용되는 정책을 변경할 수 있습니다. 보호 제거를 포함합니다.

앱 또는 Azure Office 클라이언트에서 지원되지 않습니다.
Office 사용자 지정 권한: 구현되지 않습니다.

Azure 클래식 포털의 이름: 권한 변경

의 이름 및 Microsoft 365 규정 준수 센터: 편집 권한(EDITRIGHTSDATA) 입니다.

AD RMS 템플릿의 이름: 권한 편집

API 상수 또는 값: PC_WRITE_RIGHTS L"EDITRIGHTSDATA"
일반적인 이름: 매크로 허용

정책의 인코딩: OBJMODEL
매크로를 실행하거나 문서의 콘텐츠에 대한 다른 프로그래밍 또는 원격 액세스를 수행할 수 있습니다. Office 사용자 지정 권한: Programmatic Access 사용자 지정 정책 옵션으로 지정합니다. 받는 사람당 설정이 아 없습니다.

Azure 클래식 포털의 이름: 매크로 허용

웹 사이트 및 Microsoft 365 규정 준수 센터: 매크로 허용(OBJMODEL)

AD RMS 템플릿의 이름: 매크로 허용

API 상수 또는 값: 구현되지 않습니다.

권한 수준에 포함된 권한

일부 애플리케이션은 사용 권한을 사용 권한 수준으로 그룹화하여 일반적으로 함께 사용되는 사용 권한을 더 쉽게 선택할 수 있습니다. 이러한 권한 수준은 사용자의 복잡성 수준을 추상화하는 데 도움이 있으므로 역할 기반 옵션을 선택할 수 있습니다. 예를 들어 검토자공동 작성자입니다. 이러한 옵션은 사용자에게 권한에 대한 요약을 보여 주지만 이전 표에 나열된 모든 권리를 포함하지 않을 수 있습니다.

이러한 사용 권한 수준 목록 및 사용 권한에 포함된 전체 목록은 다음 표를 사용합니다. 사용 권한은 일반적인 이름으로 나열됩니다.

사용 권한 수준 애플리케이션 사용 권한 포함
뷰어 Azure 클래식 포털

Azure Portal

Azure Information Protection 클라이언트의 Windows
보기, 열기, 읽기; 권한 보기; 회신 [1]; 모두 회신 [1]; 매크로 허용 [2]

참고: 전자 메일의 경우 이 권한 수준이 아닌 검토자 를 사용하여 전자 메일 회신이 첨부 파일이 아닌 전자 메일 메시지로 수신되도록 합니다. 또한 웹앱을 사용하는 다른 조직에 전자 메일을 보낼 Outlook Outlook 필요합니다. 또는 온보드 컨트롤을 구현하여 Azure Rights Management 서비스를 사용할 수 없는 조직의 사용자에 대해
검토자 Azure 클래식 포털

Azure Portal

Azure Information Protection 클라이언트의 Windows
보기, 열기, 읽기; 저장; 콘텐츠 편집, 편집; 권한 보기; 회신: 모두 회신 [3]; 전달 [3]; 매크로 허용 [2]
공동 작성자 Azure 클래식 포털

Azure Portal

Azure Information Protection 클라이언트의 Windows
보기, 열기, 읽기; 저장; 콘텐츠 편집, 편집; 복사; 권한 보기; 매크로 허용; 로 저장, 내보내기 [4]; 인쇄; 회신 [3]; 모두 회신 [3]; 전달 [3]
공동 소유자 Azure 클래식 포털

Azure Portal

Azure Information Protection 클라이언트의 Windows
보기, 열기, 읽기; 저장; 콘텐츠 편집, 편집; 복사; 권한 보기; 권한 변경; 매크로 허용; 다른 저장, 내보내기; 인쇄; 회신 [3]; 모두 회신 [3]; 전달 [3]; 전체 제어
각주 1

웹 사이트 또는 Microsoft 365 규정 준수 센터 포함되지 않습니다.

각주 2

Azure Information Protection 클라이언트의 경우 Windows 앱의 정보 보호 표시줄에 Office 필요합니다.

각주 3

Azure Information Protection 클라이언트에 해당하지 Windows.

각주 4

Azure Portal, azure portal 또는 azure Information Protection 클라이언트에 Microsoft 365 규정 준수 센터 포함되지 Windows.

전자 메일에 대한 전달 안 하세요 옵션

Exchange 클라이언트 및 서비스(예: Outlook 클라이언트, 웹용 Outlook Exchange 메일 흐름 규칙 및 DLP 작업)에는 전자 메일에 대한 추가 정보 권한 보호 옵션이 Exchange 있습니다.

이 옵션은 사용자가 선택할 수 있는 기본 권한 관리 템플릿인 Exchange 관리자에게 나타나지만 전달 안 하세요.는 템플릿이 아닙니다. 이렇게 하여 보호 템플릿을 보고 관리할 때 Azure Portal에서 볼 수 없는 이유를 설명합니다. 대신 전달 안 하세요 옵션은 사용자가 전자 메일 받는 사람에게 동적으로 적용되는 사용 권한 집합입니다.

전자 메일에 전달 안 하세요 옵션이 적용된 경우 전자 메일이 암호화되고 받는 사람이 인증되어야 합니다. 그런 다음 받는 사람이 이를 전달하거나 인쇄하거나 복사할 수 없습니다. 예를 들어 Outlook 클라이언트에서 전달 단추를 사용할 수 없는 경우 다른 사용자로 저장 및 인쇄 메뉴 옵션을 사용할 수 없습니다. 받는 사람, Cc또는 Bcc 상자에서 받는 사람을 추가하거나 변경할 수 없습니다.

보호되지 Office 전자 메일에 연결된 문서는 동일한 제한을 자동으로 상속합니다. 이러한 문서에 적용되는 사용 권한은 콘텐츠 편집, 편집입니다.저장;보기, 열기, 읽기;매크로 허용. 첨부 파일에 대해 다른 사용 권한을 원하거나 첨부 파일이 상속된 보호를 Office 문서가 아닌 경우 전자 메일에 첨부하기 전에 파일을 보호합니다. 그런 다음 파일에 필요한 특정 사용 권한을 할당할 수 있습니다.

전달하지 말고 전달 사용 권한을 부여하지 않는 것의 차이점

전달 금지 옵션을 적용하고 전자 메일에 전달 사용 권한을 부여하지 않는 템플릿을 적용하는 것은 중요한 차이점이 있습니다. 전달 금지 옵션은 원래 전자 메일의 사용자가 선택한 받는 사람을 기반으로 하는 권한 있는 사용자의 동적 목록을 사용합니다. 반면 템플릿의 권한에는 관리자가 이전에 지정한 권한 있는 사용자의 정적 목록이 있습니다. 차이점은 뭔가요? 예를 들어 보겠습니다.

사용자는 다른 사용자와 공유하지 말아야 하는 마케팅 부서의 특정 사용자에게 일부 정보를 전자 메일로 보내고자 합니다. 마케팅 부서에 대한 권한(보기, 회신 및 저장)을 제한하는 템플릿으로 전자 메일을 보호해야 하나요? 아니면 전달 안 하나요 옵션을 선택해야 하나요? 두 가지 선택 모두 받는 사람이 전자 메일을 전달할 수 없습니다.

  • 템플릿을 적용한 경우 받는 사람은 여전히 마케팅 부서의 다른 사용자와 정보를 공유할 수 있습니다. 예를 들어 받는 사람은 탐색기를 사용하여 전자 메일을 공유 위치 또는 USB 드라이브로 끌어 놓을 수 있습니다. 이제 이 위치에 액세스할 수 있는 마케팅 부서(및 전자 메일 소유자)의 모든 사람이 전자 메일에서 정보를 볼 수 있습니다.

  • 전달 금지 옵션을 적용한 경우 받는 사람은 전자 메일을 다른 위치로 이동하여 마케팅 부서의 다른 사용자와 정보를 공유할 수 없습니다. 이 시나리오에서는 원래 받는 사람(및 전자 메일 소유자)만 전자 메일에서 정보를 볼 수 있습니다.

참고 사항

보낸 사람이 선택한 받는 사람만 전자 메일에 정보를 표시해야 하는 경우 전달 안 하세요. 전자 메일용 템플릿을 사용하여 관리자가 보낸 사람의 선택한 받는 사람과는 독립적으로 미리 지정하는 사용자 그룹에 대한 권한을 제한합니다.

전자 메일에 대한 암호화 전용 옵션

Exchange Online 새 기능을 사용하는 경우 Office 365 메시지 암호화 추가 제한 없이 데이터를 암호화하는 새 전자 메일 암호화 옵션을 사용할 수 있습니다.

이 옵션은 테넌트에서 Exchange Online 사용할 수 있으며 다음과 같이 선택할 수 있습니다.

  • 사용자가 웹용 Outlook 암호화 전용 옵션을 할당하도록 구성된 암호화 옵션 또는 민감도 레이블이 있는 경우
  • 메일 흐름 규칙에 대한 다른 권한 보호 옵션으로
  • DLP Office 365 작업으로
  • 데스크톱 및 Outlook 앱의 다음을 실행합니다.
    • 사용자가 권한 및 암호화 전용 옵션을 할당하도록 구성된 민감도 레이블을 사용하여 Windows, macOS, iOS 및 Android의 민감도 레이블 기능을 위해 표에 나열된 최소 버전으로 기본 제공 레이블을 사용할 Outlook.
    • Azure rightsManagement를지원하는 Windows 앱이 있는 경우 업데이트 채널에 지원되는 Microsoft 365 앱 버전에 대해 Microsoft 365 암호화 옵션을 사용합니다.

암호화 전용 옵션에 대한 자세한 내용은 팀에서 처음 Office 블로그 게시물을 참조하세요. 암호화는Office 365 메시지 암호화.

이 옵션을 선택하면 전자 메일이 암호화되고 받는 사람이 인증되어야 합니다. 그런 다음 받는 사람은 저장, 내보내기 및 전체 제어를 제외한 모든 사용 권한을 습니다. 이 사용 권한의 조합은 받는 사람이 보호를 제거할 수 없다는 것을 제외하고는 제한이 없음을 의미합니다. 예를 들어 받는 사람이 전자 메일에서 복사하여 인쇄한 다음 전달할 수 있습니다.

마찬가지로 기본적으로 전자 메일에 Office 보호되지 않은 문서는 동일한 권한을 상속합니다. 이러한 문서는 자동으로 보호되며 다운로드할 때 받는 사람이 애플리케이션에서 저장, 편집, 복사 및 Office 수 있습니다. 문서를 받는 사람이 저장하면 새 이름과 다른 형식으로 저장할 수 있습니다. 그러나 원래 보호 없이 문서를 저장할 수 있도록 보호를 지원하는 파일 형식만 사용할 수 있습니다. 첨부 파일에 대해 다른 사용 권한을 원하거나 첨부 파일이 상속된 보호를 Office 문서가 아닌 경우 전자 메일에 첨부하기 전에 파일을 보호합니다. 그런 다음 파일에 필요한 특정 사용 권한을 할당할 수 있습니다.

또는 PowerShell 을 사용하여 지정하여 문서의 이 보호 상속을 Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $trueSet-IRMConfiguration -DecryptAttachmentForEncryptOnly $true 사용자가 인증된 후 문서에 대한 원래 보호를 유지할 필요가 없는 경우 이 구성을 사용 합니다. 받는 사람이 전자 메일 메시지를 열면 문서가 보호되지 않습니다.

원본 보호를 유지하려면 첨부된 문서가 필요한 경우 Azure Information Protection 을 사용하여 문서 공동 작업 보호를 참조하세요.

참고 사항

DecryptAttachmentFromPortal에대한 참조가 표시되어 있는 경우 이제 Set-IRMConfiguration에대해 이 매개 변수가 사용되지 않습니다. 이전에 이 매개 변수를 설정한 경우를 사용할 수 없습니다.

PDF 문서를 자동으로 Exchange Online

Exchange Online 새 기능을 사용하는 Office 365 메시지 암호화 암호화된 전자 메일에 연결된 경우 보호되지 않은 PDF 문서를 자동으로 암호화할 수 있습니다. 문서는 전자 메일 메시지에 대한 권한과 동일한 권한을 상속합니다. 이 구성을 사용하도록 설정하려면 Set-IRMConfiguration을 사용하여 EnablePdfEncryption $True 설정합니다.

PDF 암호화에 대한 ISO 표준을 지원하는 읽기 프로그램을 아직 설치하지 않은 받는 사람은 을 지원하는 PDF 판독기 중 하나를 설치할 수 Microsoft Information Protection. 또는 받는 사람은 OME 포털에서 보호된 PDF 문서를 읽을 수 있습니다.

권한 관리 발급자 및 권한 관리 소유자

Azure Rights Management 서비스를 사용하여 문서 또는 전자 메일이 보호되는 경우 해당 콘텐츠를 보호하는 계정은 해당 콘텐츠에 대한 권한 관리 발급자입니다. 이 계정은 사용 로그의 발급자 필드로 기록됩니다.

권한 관리 발급자에는 항상 문서 또는 전자 메일에 대한 전체 제어 사용 권한이 부여됩니다.

  • 보호 설정에 만료 날짜가 포함된 경우 권한 관리 발급자는 해당 날짜 이후에도 문서 또는 전자 메일을 열고 편집할 수 있습니다.

  • Rights Management 발급자도 항상 문서 또는 전자 메일에 오프라인으로 액세스할 수 있습니다.

  • 권한 관리 발급자도 해지된 후에도 문서를 열 수 있습니다.

기본적으로 이 계정은 해당 콘텐츠의 권한 관리 소유자입니다. 이는 문서 또는 전자 메일을 만든 사용자가 보호를 시작하는 경우의 경우입니다. 그러나 관리자 또는 서비스가 사용자를 대신하여 콘텐츠를 보호할 수 있는 몇 가지 시나리오가 있습니다. 예를 들어:

  • 관리자는 파일 공유의 파일을 대량으로 보호합니다. Azure AD의 관리자 계정은 사용자에 대한 문서를 보호합니다.

  • Rights Management 커넥터는 Office 서버 폴더의 Windows 보호합니다. RMS 커넥터에 대해 만든 Azure AD의 서비스 주체 계정은 사용자에 대한 문서를 보호합니다.

이러한 시나리오에서 권한 관리 발급자에서는 Azure Information Protection SDK 또는 PowerShell을 사용하여 권한 관리 소유자를 다른 계정에 할당할 수 있습니다. 예를 들어 Azure Information Protection 클라이언트에서 Protect-RMSFile PowerShell cmdlet을 사용하는 경우 OwnerEmail 매개 변수를 지정하여 Rights Management 소유자를 다른 계정에 할당할 수 있습니다.

권한 관리 발급자에서 사용자를 대신하여 보호하는 경우 권한 관리 소유자를 할당하면 원래 문서 또는 전자 메일 소유자가 보호를 시작한 것 같은 수준의 보호된 콘텐츠에 대한 제어 수준이 보장됩니다.

예를 들어 문서를 만든 사용자는 인쇄 사용 오른쪽을 포함하지 않는 템플릿으로 보호되어도 문서를 인쇄할 수 있습니다. 동일한 사용자는 해당 템플릿에서 구성될 수 있는 오프라인 액세스 설정 또는 만료 날짜에 관계없이 항상 해당 문서에 액세스할 수 있습니다. 또한 권한 관리 소유자가 전체 제어 사용 권한을 가지기 때문에 이 사용자는 문서를 다시 보호하여 추가 사용자에게 액세스 권한을 부여할 수도 있습니다(이때 사용자는 권한 관리 발급자뿐만 아니라 권한 관리 소유자가 됩니다). 이 사용자는 보호를 제거할 수도 있습니다. 그러나 Rights Management 발급자만 문서를 추적하고 해지할 수 있습니다.

문서 또는 전자 메일의 권한 관리 소유자는 사용 로그의 소유자-전자 메일 필드로 기록됩니다.

참고 사항

Rights Management 소유자는 파일 시스템 Windows 독립적입니다. SDK 또는 PowerShell을 사용하지 않는 경우에도 동일하지만 다를 수 있습니다.

Rights Management 사용 라이선스

사용자가 Azure Rights Management에서 보호한 문서 또는 전자 메일을 열면 해당 콘텐츠에 대한 권한 관리 사용 라이선스가 사용자에게 부여됩니다. 이 사용 라이선스는 문서 또는 전자 메일 메시지에 대한 사용자의 사용 권한과 콘텐츠를 암호화하는 데 사용된 암호화 키를 포함하는 인증서입니다. 사용 라이선스에는 이 설정이 설정된 경우 만료 날짜와 사용 라이선스가 유효한 기간도 포함되어 있습니다.

사용자는 사용자 환경을 초기화한 다음 31일마다 갱신할 때 부여되는 인증서인 RAC(권한 계정 인증서)와 함께 콘텐츠를 열 수 있는 유효한 사용 라이선스가 있어야 합니다.

사용 라이선스 기간 동안 사용자는 콘텐츠에 대해 다시 인증되거나 권한이 부여되지 않습니다. 이렇게 하면 사용자가 인터넷 연결 없이 보호된 문서 또는 전자 메일을 계속 열 수 있습니다. 사용권 유효 기간이 만료되면 다음에 사용자가 보호된 문서 또는 전자 메일에 액세스할 때 사용자를 다시 인증하고 다시 인증해야 합니다.

문서 및 전자 메일 메시지는 보호 설정을 정의하는 레이블 또는 템플릿을 사용하여 보호되는 경우 콘텐츠를 다시 보호하지 않고도 레이블 또는 템플릿에서 이러한 설정을 변경할 수 있습니다. 사용자가 콘텐츠에 이미 액세스한 경우 사용 라이선스가 만료된 후에 변경 내용이 적용됩니다. 그러나 사용자가 사용자 지정 사용 권한(ad-hoc 권한 정책)을 적용하고 문서 또는 전자 메일이 보호된 후에 이러한 사용 권한을 변경해야 하는 경우 해당 콘텐츠는 새 사용 권한으로 다시 보호되어야 합니다. 전자 메일 메시지에 대한 사용자 지정 사용 권한은 전달 금지 옵션을 사용하여 구현됩니다.

테넌트의 기본 사용 라이선스 유효 기간은 30일입니다. PowerShell cmdlet, Set-AipServiceMaxUseLicenseValidityTime을 사용하여 이 값을 구성할 수 있습니다. 민감도 레이블 또는 템플릿을 사용하여 보호가 적용될 때 더 제한적인 설정을 구성할 수 있습니다.

  • 민감도 레이블을 구성하는 경우 사용 라이선스 유효 기간은 오프라인 액세스 허용 설정에서 해당 값을 하게 됩니다.

    이 설정을 구성하는 자세한 내용은 Rights Management 보호에 대한 레이블을 구성하는 방법 지침의 보호 설정 테이블에 대한 정보를 참조하세요.

  • PowerShell을 사용하여 템플릿을 구성하는 경우 사용 라이선스 유효 기간은 Set-AipServiceTemplatePropertyAdd-AipServiceTemplate cmdlet의 LicenseValidityDuration 매개 변수에서 해당 값을 사용합니다.

    PowerShell을 사용하여 이 설정을 구성하는 방법에 대한 자세한 내용은 각 cmdlet에 대한 도움말을 참조하세요.

기본 템플릿에 포함된 권한

관련성: AIP 클래식 클라이언트만 해당

다음 표에는 기본 템플릿을 만들 때 포함된 사용 권한을 나열합니다. 사용 권한은 일반적인 이름으로 나열됩니다.

이러한 기본 템플릿은 구독을 구매할 때 만들어지며, Azure Portal 및 PowerShell을사용하여 이름 및 사용 권한을 변경할 수 있습니다.

템플릿의 표시 이름 사용 권한 2017년 10월 6일~현재 날짜 2017년 10월 6일 이전의 사용 권한
조직 이름 - 기밀 보기만

또는

기밀이 높은 \ 모든 직원
보기, 열기, 읽기; 복사; 권한 보기; 매크로 허용; 인쇄; 앞으로; 회신; 모두 회신; 저장; 콘텐츠 편집, 편집 보기, 열기, 읽기
조직 이름 - 기밀

또는

기밀 \ 모든 직원
보기, 열기, 읽기; 다른 저장, 내보내기; 복사; 권한 보기; 권한 변경; 매크로 허용; 인쇄; 앞으로; 회신; 모두 회신; 저장; 콘텐츠 편집, 편집; 전체 제어 보기, 열기, 읽기; 다른 저장, 내보내기; 콘텐츠 편집, 편집; 권한 보기; 매크로 허용; 앞으로; 회신; 모두 회신

또한 참조