Azure Information Protection에 대한 사용 권한 구성
이 문서에서는 레이블 또는 템플릿을 사용자나 관리자가 선택하거나 구성된 서비스에서 선택할 때 자동으로 적용되도록 구성할 수 있는 사용 권한에 대해 설명합니다.
암호화에 대한 민감도 레이블 또는 보호 템플릿을 구성할 때 사용 권한이 선택됩니다. 예를 들어 사용 권한의 논리적 그룹을 구성하는 역할을 선택하거나 개별 권한을 별도로 구성할 수 있습니다. 또는 사용자가 사용 권한 자체를 선택하고 적용할 수 있습니다.
완성도를 높이기 위해 이 문서에는 2018년 1월 8일에 사용이 중지된 Azure 클래식 포털의 값이 포함되어 있습니다.
중요
이 문서를 참조하여 애플리케이션에서 사용 권한을 해석하도록 디자인하는 방법을 알아보세요.
애플리케이션은 사용 권한을 구현하는 방법에 따라 달라질 수 있으므로 프로덕션에 배포하기 전에 애플리케이션 설명서를 참조하고 직접 테스트를 수행하여 애플리케이션 동작을 확인하는 것이 좋습니다.
사용 권한 및 설명
다음 표에서는 Rights Management에서 지원하는 사용 권한 및 이를 사용하고 해석하는 방법을 나열하고 설명합니다. 일반 이름으로 나열되며, 이는 일반적으로 코드에서 사용되는 단일 단어 값(정책의 인코딩 값)에 대한 친숙한 버전으로 사용 권한이 표시되거나 참조되는 방식입니다.
이 표에서:
API 상수 또는 값은 사용 권한을 확인하거나 정책에 추가하는 애플리케이션을 작성할 때 사용되는 MSIPC API 호출에 대한 SDK 이름입니다.
레이블 지정 관리 센터는 민감도 레이블을 구성하는 Microsoft Purview 규정 준수 포털.
| 사용 권한 | 설명 | 구현 |
|---|---|---|
| 일반 이름: 콘텐츠 편집, 편집 정책의 인코딩: DOCEDIT |
사용자가 웹용 Office 포함하는 애플리케이션 내에서 콘텐츠를 수정, 다시 정렬, 서식 지정 또는 정렬할 수 있습니다. 편집한 복사본을 저장할 수 있는 권한은 부여되지 않습니다. Word에서 Office 365 ProPlus 최소 버전 1807이 없는 경우 이 권한으로 변경 내용 추적을 켜거나 끄거나 또는 모든 변경 내용 추적 기능을 검토자로 사용할 수 없습니다. 대신, 모든 변경 내용 추적 옵션을 사용하려면 모든 권한이 필요합니다. |
Office 사용자 지정 권한: 변경 및 모든 권한 옵션의 일부입니다. Azure 클래식 포털의 이름: 콘텐츠 편집 Microsoft Purview 규정 준수 포털 및 Azure Portal 이름: 콘텐츠 편집, 편집(DOCEDIT) AD RMS 템플릿의 이름: 편집 API 상수 또는 값: 해당 없음 |
| 일반 이름: 저장 정책의 인코딩: EDIT |
사용자가 현재 위치에 문서를 저장할 수 있게 합니다. 웹용 Office 사용자가 콘텐츠를 편집할 수도 있습니다. Office 애플리케이션에서 이 권한을 사용하면 선택한 파일 형식이 Rights Management 보호를 기본적으로 지원하는 경우 사용자가 새 위치에 새 이름으로 파일을 저장할 수 있습니다. 파일 형식 제한은 원본 보호를 파일에서 제거할 수 없도록 합니다. |
Office 사용자 지정 권한: 변경 및 모든 권한 옵션의 일부입니다. Azure 클래식 포털의 이름: 파일 저장 Microsoft Purview 규정 준수 포털 이름 및 Azure Portal: 저장(편집) AD RMS 템플릿의 이름: 저장 API 상수 또는 값: IPC_GENERIC_WRITE L"EDIT" |
| 일반 이름: 주석 정책의 인코딩: COMMENT |
콘텐츠에 주석 또는 메모를 추가하는 옵션을 사용하도록 설정합니다. 이 권한은 SDK에서 사용할 수 있으며, Windows PowerShell용 AzureInformationProtection 및 RMS 보호 모듈의 임시 정책으로 사용할 수 있고, 일부 소프트웨어 공급업체 애플리케이션에서 구현되었습니다. 그러나 널리 사용되지 않으며, Office 애플리케이션에서 지원하지 않습니다. |
Office 사용자 지정 권한: 구현되지 않음 Azure 클래식 포털의 이름: 구현되지 않음 Microsoft Purview 규정 준수 포털 이름 및 Azure Portal: 구현되지 않았습니다. AD RMS 템플릿의 이름: 구현되지 않음 API 상수 또는 값: IPC_GENERIC_COMMENT L"COMMENT |
| 일반 이름: 다른 이름으로 저장, 내보내기 정책의 인코딩: EXPORT |
콘텐츠를 다른 파일 이름으로 저장하는 옵션(다른 이름으로 저장)을 사용하도록 설정합니다. Azure Information Protection 클라이언트의 경우에는 파일을 보호하지 않고 저장할 수 있으며, 새로운 설정과 사용 권한으로 다시 보호될 수도 있습니다. 이러한 허용되는 동작은 권한이 있는 사용자가 보호된 문서 또는 이메일에서 Azure Information Protection 레이블을 변경하거나 제거할 수 있음을 의미합니다. 이 권한이 부여된 사용자는 응용 프로그램에서 OneNote로 보내기 등의 다른 내보내기 옵션도 수행할 수 있습니다. |
Office 사용자 지정 권한: 모든 권한 옵션의 일부로 제공됩니다. Azure 클래식 포털의 이름: 콘텐츠 내보내기(다른 이름으로 저장) Microsoft Purview 규정 준수 포털 및 Azure Portal 이름: 다른 이름으로 저장, 내보내기(EXPORT) AD RMS 템플릿의 이름: 내보내기(다른 이름으로 저장) API 상수 또는 값: IPC_GENERIC_EXPORT L"EXPORT" |
| 일반 이름: 전달 정책의 인코딩: FORWARD |
전자 메일 메시지를 전달하고 받는 사람 및 참조 줄에 받는 사람을 추가하는 옵션을 사용할 수 있게 합니다. 이 권한은 문서에 적용되지 않고, 이메일 메시지에만 적용됩니다. 전달자는 전달 작업의 일부로 다른 사용자에게 권한을 부여할 수 없습니다. 이 권한을 부여할 때 보호된 메일 메시지가 첨부 파일로 전달되지 않도록 콘텐츠 편집, 편집 권한(일반 이름)도 부여하고 추가로 저장 권한(일반 이름)도 부여합니다. Outlook 클라이언트나 Outlook 웹앱을 사용하는 다른 조직에 이메일을 보낼 때에도 이러한 권한을 지정합니다. 또는 온보딩 컨트롤을 구현했으므로 Rights Management 보호를 사용하지 않는 조직의 사용자에게 적합합니다. |
Office 사용자 지정 권한: 전달 금지 표준 정책을 사용하는 경우 거부됩니다. Azure 클래식 포털의 이름: 전달 Microsoft Purview 규정 준수 포털 및 Azure Portal 이름: 전달(FORWARD) AD RMS 템플릿의 이름: 전달 API 상수 또는 값: IPC_EMAIL_FORWARD L"FORWARD" |
| 일반 이름: 모든 권한 정책의 인코딩: OWNER |
문서에 대한 모든 권한을 부여하고, 사용 가능한 모든 작업을 수행할 수 있습니다. 보호를 제거하고 문서를 다시 보호하는 기능이 포함됩니다. 이 사용 권한은 Rights Management 소유자와 다릅니다. |
Office 사용자 지정 권한: 모든 권한 사용자 지정 옵션입니다. Azure 클래식 포털의 이름: 모든 권한 Microsoft Purview 규정 준수 포털 및 Azure Portal 이름: 모든 권한(OWNER) AD RMS 템플릿의 이름: 모든 권한 API 상수 또는 값: IPC_GENERIC_ALL L"OWNER" |
| 일반 이름: 인쇄 정책의 인코딩: PRINT |
콘텐츠를 인쇄하는 옵션을 사용하도록 설정합니다. | Office 사용자 지정 권한: 사용자 지정 권한의 콘텐츠 인쇄 옵션입니다. 받는 사람별 설정이 아닙니다. Azure 클래식 포털의 이름: 인쇄 Microsoft Purview 규정 준수 포털 및 Azure Portal 이름: 인쇄(PRINT) AD RMS 템플릿의 이름: 인쇄 API 상수 또는 값: IPC_GENERIC_PRINT L"PRINT" |
| 일반 이름: 회신 정책의 인코딩: REPLY |
받는 사람 또는 참조 줄을 변경할 수 없고 이메일 클라이언트에서 회신 옵션을 사용하도록 설정합니다. 이 권한을 부여할 때 보호된 메일 메시지가 첨부 파일로 전달되지 않도록 콘텐츠 편집, 편집 권한(일반 이름)도 부여하고 추가로 저장 권한(일반 이름)도 부여합니다. Outlook 클라이언트나 Outlook 웹앱을 사용하는 다른 조직에 이메일을 보낼 때에도 이러한 권한을 지정합니다. 또는 온보딩 컨트롤을 구현했으므로 Rights Management 보호를 사용하지 않는 조직의 사용자에게 적합합니다. |
Office 사용자 지정 권한: 해당 없음 Azure 클래식 포털의 이름: 회신 Azure 클래식 포털의 이름: 회신(REPLY) AD RMS 템플릿의 이름: 회신 API 상수 또는 값: IPC_EMAIL_REPLY |
| 일반 이름: 전체 회신 정책의 인코딩: REPLYALL |
메일 클라이언트에서 전체 회신 옵션을 사용할 수 있게 하지만 사용자가 받는 사람 또는 참조 줄에 받는 사람을 추가할 수 없습니다. 이 권한을 부여할 때 보호된 메일 메시지가 첨부 파일로 전달되지 않도록 콘텐츠 편집, 편집 권한(일반 이름)도 부여하고 추가로 저장 권한(일반 이름)도 부여합니다. Outlook 클라이언트나 Outlook 웹앱을 사용하는 다른 조직에 이메일을 보낼 때에도 이러한 권한을 지정합니다. 또는 온보딩 컨트롤을 구현했으므로 Rights Management 보호를 사용하지 않는 조직의 사용자에게 적합합니다. |
Office 사용자 지정 권한: 해당 없음 Azure 클래식 포털의 이름: 전체 회신 Microsoft Purview 규정 준수 포털 이름 및 Azure Portal: 모두 회신(모두 회신) AD RMS 템플릿의 이름: 전체 회신 API 상수 또는 값: IPC_EMAIL_REPLYALL L"REPLYALL" |
| 일반 이름: 보기, 열기, 읽기 정책의 인코딩: VIEW |
사용자가 문서를 열고 콘텐츠를 볼 수 있습니다. Excel에서는 이 권한으로는 데이터를 정렬할 수 없습니다. 콘텐츠 편집, 편집 권한이 필요합니다. Excel에서 데이터를 필터링하려면 콘텐츠 편집, 편집 및 복사 권한이 필요합니다. |
Office 사용자 지정 권한: 읽기 사용자 지정 정책, 보기 옵션입니다. Azure 클래식 포털의 이름: 보기 Microsoft Purview 규정 준수 포털 및 Azure Portal 이름: 보기, 열기, 읽기(보기) AD RMS 템플릿의 이름: 읽기 API 상수 또는 값: IPC_GENERIC_READ L"VIEW" |
| 일반 이름: 복사 정책의 인코딩: EXTRACT |
문서의 데이터(화면 캡처 포함)를 같거나 다른 문서에 복사하는 옵션을 사용하도록 설정합니다. 일부 애플리케이션에서는 전체 문서를 보호되지 않은 형식으로 저장할 수도 있습니다. 비즈니스용 Skype 및 이와 유사한 화면 공유 애플리케이션에서 발표자는 이 권한이 있어야만 보호된 문서를 프레젠테이션할 수 있습니다. 발표자에게 이 권한이 없으면 참석자는 문서를 볼 수 없고 이 문서가 까맣게 표시됩니다. |
Office 사용자 지정 권한: 읽기 권한이 있는 사용자에게 콘텐츠 복사 허용 사용자 지정 정책 옵션입니다. Azure 클래식 포털의 이름: 콘텐츠 복사 및 추출 Microsoft Purview 규정 준수 포털 이름 및 Azure Portal: 복사(EXTRACT) AD RMS 템플릿의 이름: 추출 API 상수 또는 값: IPC_GENERIC_EXTRACT L"EXTRACT" |
| 일반 이름: 권한 보기 정책의 인코딩: VIEWRIGHTSDATA |
사용자가 문서에 적용된 정책을 볼 수 있습니다. Office 앱 또는 Azure Information Protection 클라이언트에서 지원하지 않습니다. |
Office 사용자 지정 권한: 구현되지 않음 Azure 클래식 포털의 이름: 할당된 권한 보기 Microsoft Purview 규정 준수 포털 및 Azure Portal 이름: 권한 보기(VIEWRIGHTSDATA). AD RMS 템플릿의 이름: 권한 보기 API 상수 또는 값: IPC_READ_RIGHTS L"VIEWRIGHTSDATA" |
| 일반 이름: 권한 변경 정책의 인코딩: EDITRIGHTSDATA |
사용자가 문서에 적용된 정책을 변경할 수 있습니다. 보호 제거 포함이 포함됩니다. Office 앱 또는 Azure Information Protection 클라이언트에서 지원하지 않습니다. |
Office 사용자 지정 권한: 구현되지 않음 Azure 클래식 포털의 이름: 권한 변경 Microsoft Purview 규정 준수 포털 및 Azure Portal 이름: 권한 편집(EDITRIGHTSDATA). AD RMS 템플릿의 이름: 권한 편집 API 상수 또는 값: PC_WRITE_RIGHTS L"EDITRIGHTSDATA" |
| 일반 이름: 매크로 허용 정책의 인코딩: OBJMODEL |
매크로를 실행하거나 문서의 콘텐츠를 다른 프로그래밍 방식 또는 원격으로 액세스하는 옵션을 사용하도록 설정합니다. | Office 사용자 지정 권한: 프로그래밍 방식 액세스 허용 사용자 지정 정책 옵션입니다. 받는 사람별 설정이 아닙니다. Azure 클래식 포털의 이름: 매크로 허용 Microsoft Purview 규정 준수 포털 및 Azure Portal 이름: 매크로 허용(OBJMODEL) AD RMS 템플릿의 이름: 매크로 허용 API 상수 또는 값: 구현되지 않음 |
권한 수준에 포함된 권한
일부 애플리케이션은 사용 권한을 권한 수준으로 그룹화하여 일반적으로 함께 사용되는 사용 권한을 더 쉽게 선택할 수 있도록 합니다. 이러한 권한 수준은 사용자의 복잡성 수준을 추상화하는 데 도움이 되므로 역할 기반 옵션을 선택할 수 있습니다. 예를 들어 검토자 및 공동 작성자가 있습니다. 이러한 옵션은 종종 사용자에게 권한 요약을 표시하지만 앞의 표에서 나열된 모든 권한을 포함하지 않을 수도 있습니다.
이러한 사용 권한 수준의 목록과 해당 사용 권한의 전체 목록은 다음 표를 참조하세요. 사용 권한은 일반 이름으로 나열됩니다.
| 권한 수준 | 애플리케이션 | 포함된 사용 권한 |
|---|---|---|
| 뷰어 | Azure 클래식 포털 Azure portal Windows용 Azure Information Protection 클라이언트 |
보기, 열기, 읽기; 권한 보기; 회신 [1]; 전체 회신 [1]; 매크로 허용 [2] 참고: 이메일의 경우 이메일 회신을 첨부 파일이 아닌 이메일 메시지로 받도록 하려면 이 권한 수준 대신 검토자를 사용합니다. 또한 검토자는 Outlook 클라이언트 또는 Outlook 웹앱을 사용하는 다른 조직으로 이메일을 보내는 경우에도 필요합니다. 또는 온보딩 컨트롤을 구현했으므로 Azure Rights Management 서비스를 사용하지 않는 조직의 사용자에게 적합합니다. |
| 검토자 | Azure 클래식 포털 Azure portal Windows용 Azure Information Protection 클라이언트 |
보기, 열기, 읽기; 저장; 콘텐츠 편집, 편집; 권한 보기; 회신: 전체 회신 [3]; 전달 [3]; 매크로 허용 [2] |
| 공동 작성자 | Azure 클래식 포털 Azure portal Windows용 Azure Information Protection 클라이언트 |
보기, 열기, 읽기; 저장; 콘텐츠 편집, 편집; 복사; 권한 보기; 매크로 허용; 다른 이름으로 저장, 내보내기 [4]; 회신 [3]; 전체 회신 [3]; 전달 [3] |
| 공동 소유자 | Azure 클래식 포털 Azure portal Windows용 Azure Information Protection 클라이언트 |
보기, 열기, 읽기; 저장; 콘텐츠 편집, 편집; 복사; 권한 보기; 권한 변경; 매크로 허용; 다른 이름으로 저장, 내보내기; 회신 [3]; 전체 회신 [3]; 전달 [3]; 모든 권한 |
각주 1
Microsoft Purview 규정 준수 포털 또는 Azure Portal 포함되지 않습니다.
각주 2
Windows용 Azure Information Protection 클라이언트의 경우 이 권한은 Office 앱의 Information Protection 표시줄에 필요합니다.
각주 3
Windows용 Azure Information Protection 클라이언트에 적용할 수 없습니다.
각주 4
Windows용 Microsoft Purview 규정 준수 포털, Azure Portal 또는 Azure Information Protection 클라이언트에는 포함되지 않습니다.
이메일에 대한 전달 금지 옵션
Exchange 클라이언트 및 서비스(예: Outlook 클라이언트, 웹용 Outlook, Exchange 메일 흐름 규칙 및 Exchange에 대한 DLP 작업)에는 메일에 대한 추가 정보 권한 보호 옵션인 전달 금지가 있습니다.
이 옵션은 사용자(및 Exchange 관리자)에게 기본 Rights Management 템플릿인 것처럼 표시되지만 전달 금지는 템플릿이 아닙니다. 이것이 바로 템플릿을 보고 관리할 때 Azure Portal에서 이 옵션을 볼 수 없는 이유입니다. 대신, 전달 금지 옵션은 사용자가 이메일 수신자에게 동적으로 적용되는 사용 권한 집합입니다.
전달 금지 옵션이 이메일에 적용되면, 이메일이 암호화되고 받는 사람을 인증해야 합니다. 그러면 받는 사람이 전달하거나 인쇄하거나 복사할 수 없습니다. 예를 들어, Outlook 클라이언트에서 전달 단추를 사용할 수 없고, 다른 이름으로 저장 및 인쇄 메뉴 옵션을 사용할 수 없으며, 받는 사람, 참조 또는 숨은 참조 상자에서 수신자를 추가하거나 변경할 수 없습니다.
보호되지 않은 이메일에 연결된 Office 문서는 동일한 제한 사항을 자동으로 상속합니다. 이러한 문서에 적용되는 사용 권한은 콘텐츠 편집, 편집; 저장; 보기, 열기, 읽기; 및 매크로 허용입니다. 첨부 파일에 대해 다른 사용 권한을 원하거나 첨부 파일이 상속된 보호를 지원하는 Office 문서가 아닌 경우 이메일에 첨부하기 전에 파일을 보호합니다. 그런 다음, 파일에 필요한 특정 사용 권한을 할당할 수 있습니다.
전달 금지와 전달 사용 권한을 부여하지 않음의 차이점
전달 금지 옵션을 적용하는 경우와 이메일에 전달 사용 권한을 부여하지 않은 템플릿을 적용할 경우 간에는 중요한 차이가 있습니다. 전달 금지 옵션은 사용자가 원래 메일에서 선택한 수신자를 기준으로 권한 있는 사용자의 동적 목록을 사용하는 반면, 템플릿의 권한에는 관리자가 이전에 지정한 권한 있는 사용자의 정적 목록이 포함됩니다. 차이점은 무엇인가요? 예를 들어 보겠습니다.
사용자는 마케팅 부서의 특정 사람에게 다른 사람과 공유할 수 없는 일부 정보를 이메일로 보내려고 합니다. 마케팅 부서의 권한(보기, 회신 및 저장)을 제한하는 템플릿으로 이메일을 보호해야 할까요? 아니면 전달 금지 옵션을 선택해야 할까요? 어떤 방법이든 받는 사람은 이메일을 전달할 수 없습니다.
템플릿을 적용한 경우 받는 사람은 마케팅 부서의 다른 사람들과 정보를 공유할 수 있습니다. 예를 들어 받는 사람은 탐색기를 사용하여 이메일을 공유 위치 또는 USB 드라이브에 끌어서 놓을 수 있습니다. 그러면 이 위치에 액세스할 수 있는 마케팅 부서(및 이메일 소유자)의 모든 사람이 이메일의 정보를 볼 수 있습니다.
전달 금지 옵션을 적용한 경우 받는 사람은 이메일을 다른 위치로 이동함으로써 마케팅 부서의 다른 사람과 정보를 공유할 수 없습니다. 이 시나리오에서는 원래의 받는 사람(및 이메일 소유자)만 이메일의 정보를 볼 수 있습니다.
참고
보낸 사람이 선택한 받는 사람에게만 이메일의 정보를 표시해야 하는 경우에는 전달 금지를 사용합니다. 보낸 사람이 선택한 받는 사람과는 별도로, 관리자가 미리 지정한 사람의 그룹에 대한 권한을 제한하려면 이메일에 대한 템플릿을 사용합니다.
이메일에 대한 암호화 전용 옵션
Exchange Online에서 Office 365 메시지 암호화에 새 기능을 사용하는 경우 추가 제한 없이 데이터를 암호화하는 데 새 암호화 이메일 옵션을 사용할 수 있습니다.
이 옵션은 Exchange Online을 사용하는 테넌트에서 사용할 수 있으며 다음과 같이 선택할 수 있습니다.
- 웹용 Outlook에서암호화 옵션을 구성하거나 사용자가 권한을 할당할 수 있도록 허용 및 암호화 전용 옵션에 대해 민감도 레이블 구성
- 메일 흐름 규칙에 대해 다른 권한 보호 옵션으로 선택
- Office 365 DLP 작업으로 선택
- 데스크톱 및 모바일 디바이스용 Outlook 앱에서 다음을 수행합니다.
- Outlook의 민감도 레이블 기능에 대한 표에 나열된 최소 버전에서 기본 제공 레이블을 사용하는 경우 Windows, macOS, iOS 및 Android에서 사용자가 권한을 할당할 수 있도록 허용 및 암호화 전용 옵션에 대해 구성된 민감도 레이블을 사용합니다.
- Azure Rights Management를 지원하는 Microsoft 365 앱이 있는 경우 업데이트 채널에서 지원하는 Microsoft 365 앱 버전 표에 나열된 버전에 대해 Windows 및 macOS에서 암호화 옵션을 사용합니다.
암호화 전용 옵션에 대한 자세한 내용은 Office 팀이 처음 발표한 블로그 게시물, Office 365 메시지 암호화로 배포만 암호화를 참조하세요.
이 옵션을 선택하면 이메일이 암호화되고 받는 사람을 인증해야 합니다. 그런 다음, 받는 사람은 다른 이름으로 저장, 내보내기 및 모든 권한을 제외한 모든 사용 권한을 가집니다. 이 사용 권한 조합은 받는 사람에게 보호를 제거할 수 없다는 것을 제외하고 제한이 없다는 것을 의미합니다. 예를 들어 받는 사람은 이메일에서 복사, 인쇄 및 전달할 수 있습니다.
마찬가지로, 기본적으로 메일에 연결된 보호되지 않은 Office 문서는 동일한 사용 권한을 상속합니다. 이러한 문서는 자동으로 보호되며, 다운로드되면 Office 애플리케이션에서 받는 사람이 저장, 편집, 복사 및 인쇄할 수 있습니다. 받는 사람이 문서를 저장할 때 새 이름과 다른 형식으로 문서를 저장할 수 있습니다. 그러나 보호를 지원하는 파일 형식만 사용할 수 있으므로 원래 보호 기능 없이 문서를 저장할 수 없습니다. 첨부 파일에 대해 다른 사용 권한을 원하거나 첨부 파일이 상속된 보호를 지원하는 Office 문서가 아닌 경우 이메일에 첨부하기 전에 파일을 보호합니다. 그런 다음, 파일에 필요한 특정 사용 권한을 할당할 수 있습니다.
또는 Exchange Online PowerShell로 Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true를 지정하여 이 보호 상속 문서를 변경할 수 있습니다. 사용자가 인증된 후 문서에 대한 원래 보호를 유지할 필요가 없는 경우 이 구성을 사용합니다. 받는 사람이 이메일 메시지를 열면 문서가 보호되지 않습니다.
첨부된 문서에서 원래 보호를 유지해야 하는 경우 Secure document collaboration by using Azure Information Protection(Azure Information Protection을 사용하여 문서 협업 보호)을 참조하세요.
참고
DecryptAttachmentFromPortal에 대한 참조를 확인하는 경우 이 매개 변수는 현재 Set-IRMConfiguration에서 사용되지 않습니다. 이전에 이 매개 변수를 설정한 경우가 아니면 사용할 수 없습니다.
Exchange Online을 사용하여 자동으로 PDF 문서 암호화
Exchange Online에서 Office 365 메시지 암호화에 대한 새 기능을 사용하면 보호되지 않는 PDF 문서가 암호화된 이메일에 첨부될 때 해당 문서를 자동으로 암호화할 수 있습니다. 이 문서는 이메일 메시지와 동일한 권한을 상속합니다. 이 구성을 사용하도록 설정하려면 Set-IRMConfiguration과 함께 EnablePdfEncryption $True를 설정합니다.
PDF 암호화에 대한 ISO 표준을 지원하는 판독기를 아직 설치하지 않은 수신자는 Microsoft Purview Information Protection 지원하는 PDF 판독기 중 하나를 설치할 수 있습니다. 또는 받는 사람이 OME 포털에서 보호된 PDF 문서를 읽을 수 있습니다.
Rights Management 발급자 및 Rights Management 소유자
Azure Rights Management 서비스를 사용하여 문서 또는 이메일을 보호하면 해당 콘텐츠를 보호하는 계정이 자동으로 해당 콘텐츠에 대한 Rights Management 발급자가 됩니다. 이 계정은 사용 현황 로그에 issuer 필드로 기록됩니다.
Rights Management 발급자는 항상 문서 또는 이메일에 대한 [모든 권한] 사용 권한뿐만 아니라 다음 권한도 추가로 부여받습니다.
보호 설정에 만료 날짜가 포함되면 Rights Management 발급자는 해당 날짜 이후에도 문서 또는 이메일을 열고 편집할 수 있습니다.
Rights Management 발급자는 항상 문서 또는 이메일을 오프라인으로 액세스할 수 있습니다.
Rights Management 발급자는 철회된 문서도 열 수 있습니다.
기본적으로 이 계정은 해당 콘텐츠에 대한 Rights Management 소유자이기도 합니다. 이 경우 문서 또는 이메일을 만든 사용자가 보호를 시작합니다. 그러나 관리자 또는 서비스가 사용자를 대신하여 콘텐츠를 보호할 수 있는 몇 가지 시나리오가 있습니다. 예를 들어 다음과 같습니다.
관리자가 파일 공유의 파일을 대량 보호: Azure AD의 관리자 계정이 사용자의 문서를 보호합니다.
Rights Management 커넥터를 통해 Windows Server 폴더의 Office 문서를 보호: Azure AD에서 RMS 커넥터에 대해 만든 서비스 사용자 계정이 사용자의 문서를 보호합니다.
이러한 시나리오에서 Rights Management 발급자는 Azure Information Protection SDK 또는 PowerShell을 사용하여 Rights Management 소유자를 다른 계정에 할당할 수 있습니다. 예를 들어 Azure Information Protection 클라이언트에서 Protect-RMSFile PowerShell cmdlet을 사용하는 경우, OwnerEmail 매개 변수를 지정하여 Rights Management 소유자를 다른 계정에 할당할 수 있습니다.
Rights Management 발급자가 사용자를 대신하여 보호할 때 Rights Management 소유자를 할당하면, 원래의 문서 또는 이메일 소유자는 보호를 직접 시작한 것처럼 보호된 콘텐츠에 대해 동일한 수준의 제어 권한을 갖습니다.
예를 들어 문서를 만든 사용자는 [인쇄] 사용 권한이 포함되지 않은 템플릿으로 보호되고 있더라도 인쇄할 수 있습니다. 동일한 사용자는 해당 템플릿에 구성되었을 수도 있는 오프라인 액세스 설정 또는 만료 날짜에 관계없이 항상 자신의 문서에 액세스할 수 있습니다. 또한 Rights Management 소유자에게는 [모든 권한] 사용 권한이 있으므로 이 사용자는 문서를 다시 보호하여 추가 사용자 액세스 권한을 부여할 수 있고(이 시점에서 사용자는 Rights Management 발급자인 동시에 Rights Management 소유자임), 보호를 제거할 수도 있습니다. 그러나 Rights Management 발급자만 문서를 추적하고 철회할 수 있습니다.
문서 또는 메일의 Rights Management 소유자는 사용 현황 로그에서 owner-email 필드로 기록됩니다.
참고
Rights Management 소유자는 Windows 파일 시스템 소유자와 다릅니다. SDK 또는 PowerShell을 사용하지 않는 경우에도 종종 동일하지만 다를 수 있습니다.
Rights Management 사용 라이선스
사용자가 Azure Rights Management로 보호되는 문서 또는 이메일을 열면 해당 콘텐츠에 대한 Rights Management 사용 라이선스가 사용자에게 부여됩니다. 이 사용 라이선스는 문서 또는 이메일 메시지에 대한 사용자의 사용 권한 및 콘텐츠를 암호화하는 데 사용된 암호화 키가 포함된 인증서입니다. 또한 사용 라이선스에는 만료 날짜(설정되어 있는 경우) 및 해당 사용 라이선스의 유효 기간도 포함되어 있습니다.
사용자는 사용자 환경이 초기화된 후 31일마다 갱신될 때 부여되는 인증서인 RAC(권한 계정 인증서) 외에 콘텐츠를 열기 위한 유효한 사용 라이선스가 있어야 합니다.
사용 라이선스의 기간에는 콘텐츠에 대해 사용자를 다시 인증하거나 다시 권한을 부여하지 않습니다. 이렇게 하면 사용자가 인터넷에 연결하지 않고도 보호된 문서 또는 이메일을 계속 열 수 있습니다. 사용 라이선스 유효 기간이 만료되면 다음에 사용자가 보호된 문서 또는 이메일에 액세스할 때 사용자를 다시 인증하고 다시 권한을 부여해야 합니다.
보호 설정을 정의하는 레이블이나 템플릿을 사용하여 문서 및 이메일 메시지를 보호하는 경우, 콘텐츠를 다시 보호하지 않고도 레이블이나 템플릿에서 이러한 설정을 변경할 수 있습니다. 사용자가 이미 콘텐츠에 액세스한 경우 해당 사용 라이선스가 만료되어야 변경 내용이 적용됩니다. 그러나 사용자가 사용자 지정 권한(임시 권한 정책이라고도 함)을 적용하고 문서 또는 이메일을 보호한 후에 이러한 권한을 변경해야 하는 경우, 해당 콘텐츠는 새 권한으로 다시 보호해야 합니다. 이메일 메시지에 대한 사용자 지정 권한은 [전달 금지] 옵션으로 구현됩니다.
테넌트에 대한 기본 사용 라이선스 유효 기간은 30일이며, 이 값은 Set-AipServiceMaxUseLicenseValidityTime PowerShell cmdlet을 사용하여 구성할 수 있습니다. 지금 사용 권한을 할당하도록 구성된 민감도 레이블 또는 템플릿을 사용하여 보호가 적용되는 경우에 대해 보다 제한적인 설정을 구성할 수 있습니다.
민감도 레이블을 구성하는 경우 사용 라이선스 유효 기간에는 오프라인 액세스 허용 설정의 값이 적용됩니다.
민감도 레이블에 대해 이 설정을 구성하는 방법에 대한 자세한 내용과 지침은 민감도 레이블에 대한 권한을 지금 구성하는 방법에 대한 지침의 권장 사항 표를 참조하세요.
PowerShell을 사용하여 템플릿을 구성하는 경우 사용 라이선스 유효 기간에는 Set-AipServiceTemplateProperty 및 Add-AipServiceTemplate cmdlet의 LicenseValidityDuration 매개 변수 값이 적용됩니다.
PowerShell을 사용하여 이 설정을 구성하는 방법에 대한 자세한 내용과 지침은 각 cmdlet에 대한 도움말을 참조하세요.