Azure Information Protection의 데이터 보호에 대한 질문과 대답

:Azure Information Protection,Office 365

관련 :AIP 통합 레이블링 클라이언트 및 클래식 클라이언트. 자세한 내용은 클래식 클라이언트에만 대한 FAQ도 참조하세요.

참고 사항

통합되고 간소화된 고객 환경을 제공하기 위해 Azure Portal의 Azure Information Protection 클래식 클라이언트 및 레이블 관리는 2021년 3월 31일현재 사용되지 않습니다. 클래식 클라이언트에 대한 추가 지원은 제공되지 않고 유지 관리 버전은 더 이상 릴리스되지 않습니다.

클래식 클라이언트는 공식적으로 사용 중지되어 2022년 3월 31일 작동이 중지됩니다.

현재 모든 Azure Information Protection 클래식 클라이언트 고객은 통합 레이블 Microsoft Information Protection 플랫폼으로 마이그레이션하고 통합 레이블링 클라이언트로 업그레이드해야 합니다. 마이그레이션 블로그 에서자세히 알아보기

Azure Information Protection의 데이터 보호 서비스인 Azure Rights Management에 대한 질문이 있나요? 여기에 답변이 표시 됐는지 를 참조하세요.

Azure Rights Management에서 파일을 보호하려면 클라우드에 있을까요?

아니요, 일반적인 오해입니다. Azure Rights Management 서비스(및 Microsoft)는 정보 보호 프로세스의 일부로 데이터를 보거나 저장하지 않습니다. 보호하는 정보는 Azure에 명시적으로 저장하거나 Azure에 저장하는 다른 클라우드 서비스를 사용하지 않는 한 Azure에 보내거나 저장되지 않습니다.

자세한 내용은 Azure RMS 작동 방식 을 참조하세요. Azure Rights Management 서비스에 의해 생성 및 저장되는 비밀 콜라 수식이 Azure Rights Management 서비스에 의해 보호되지만, 여전히 프레미스에 남아 있는 방법을 이해하기 위한 후드 아래에서.

다른 Microsoft 클라우드 서비스의 Azure Rights Management 암호화 및 암호화의 차이점은 무엇입니까?

Microsoft는 다양한 시나리오와 종종 보완적인 시나리오에 대해 데이터를 보호할 수 있는 여러 암호화 기술을 제공합니다. 예를 들어 Microsoft 365 저장된 데이터에 대한 암호화를 Microsoft 365 Azure Information Protection의 Azure Rights Management 서비스는 데이터를 독립적으로 암호화하여 위치 또는 전송 방식에 관계없이 보호됩니다.

이러한 암호화 기술은 보완적이기 때문에 이를 사용하려면 독립적으로 암호화를 사용하도록 설정하고 구성해야 합니다. 이렇게 할 때 암호화에 대한 자체 키를 가져오는 옵션이 있을 수 있습니다. 시나리오는 "BYOK"라고도 합니다. 이러한 기술 중 하나에 BYOK를 사용하도록 설정하는 것은 다른 기술에 영향을 주지 않습니다. 예를 들어 Azure Information Protection에 BYOK를 사용할 수 있으며 다른 암호화 기술에는 BYOK를 사용하지 않을 수 있으며, 그 반대의 경우도 마찬가지입니다. 각 서비스에 대한 암호화 옵션을 구성하는 방법에 따라 이러한 다른 기술에서 사용되는 키는 동일하거나 다를 수 있습니다.

이제 BYOK를 사용자와 함께 사용할 수 Exchange Online?

예. 이제 Azure Information Protection 위에 Exchange Online 새 메시지 암호화 Microsoft 365 지침에 따라 BYOK와 함께 BYOK를 사용할 수 있습니다. 이러한 지침은 Azure Information Protection에 BYOK를 Exchange Online 및 새 기능을 지원하는 새 기능을 Office 365 메시지 암호화.

이 변경에 대한 자세한 내용은 새 기능을 Office 365 메시지 암호화 블로그 공지를 참조하세요.

Azure RMS와 통합되는 타사 솔루션에 대한 정보는 어디에서 찾을 수 있나요?

많은 소프트웨어 공급업체에 이미 솔루션이 제공되거나 Azure Rights Management와 통합되는 솔루션을 구현하고 있으며 목록은 급속히 증가하고 있습니다. RMS에서 각인된 애플리케이션 목록을 확인하고 Twitter에서 Microsoft Mobility@MSFTMobility 업데이트하는 것이 유용할 수 있습니다. Azure Information Protection 사이트 에 특정 통합 질문을 Yammer 있습니다.

RMS 커넥터에 대한 관리 팩 또는 유사한 모니터링 메커니즘이 있나요?

Rights Management 커넥터는 이벤트 로그에 정보, 경고 및 오류 메시지를 기록하고 있습니다. 이러한 이벤트에 대한 모니터링을 포함하는 관리 팩은 없습니다. 그러나 수정 작업을 수행하기 위한 자세한 정보가 포함된 이벤트 및 설명 목록은 Microsoft Rights Management 커넥터 모니터링 에 설명되어 있습니다.

Azure Portal에서 새 사용자 지정 템플릿을 만들면 어떻게 하나요?

사용자 지정 템플릿은 템플릿으로 계속 관리하거나 레이블로 변환할 수 있는 Azure Portal로 이동했습니다. 새 템플릿을 만들하려면 새 레이블을 만들고 Azure RMS에 대한 데이터 보호 설정을 구성합니다. 이 문서에서는 권한 관리 템플릿과 통합되는 서비스 및 애플리케이션에서 액세스할 수 있는 새 템플릿을 만듭니다.

Azure Portal의 템플릿에 대한 자세한 내용은 Azure Information Protection에 대한 템플릿 구성 및 관리를 참조하세요.

문서를 보호하고 사용 권한을 변경하거나 사용자를 추가하려는 경우 문서를 다시 보호해야 하나요?

문서가 레이블 또는 템플릿을 사용하여 보호된 경우 문서를 다시 보호할 필요가 없습니다. 사용 권한을 변경하거나 새 그룹(또는 사용자)을 추가하여 레이블 또는 템플릿을 수정한 다음 다음 변경 내용을 저장합니다.

  • 사용자가 변경하기 전에 문서에 액세스하지 않은 경우 사용자가 문서를 열자마자 변경 내용이 적용됩니다.

  • 사용자가 문서에 이미 액세스한 경우 사용 라이선스가 만료될 때 이러한 변경 내용이 적용됩니다. 사용 라이선스가 만료될 때까지 기다릴 수 없는 경우만 문서를 다시 처리합니다. 다시 보호하면 문서의 새 버전이 만들어지며 따라서 사용자에 대한 새 사용 라이선스가 생성됩니다.

또는 필요한 사용 권한에 대한 그룹을 이미 구성한 경우 그룹 멤버 자격을 사용자 포함 또는 제외로 변경할 수 있으며 레이블 또는 템플릿을 변경할 필요가 없습니다. 그룹 멤버 자격이 Azure Rights Management 서비스에 의해 캐시되기 때문에 변경 내용이 적용되기 전에 작은 지연이 있을 수 있습니다.

사용자 지정 권한을 사용하여 문서가 보호된 경우 기존 문서에 대한 권한을 변경할 수 없습니다. 문서를 다시 보호하고 이 새 버전의 문서에 필요한 모든 사용자 및 사용 권한을 지정해야 합니다. 보호된 문서를 다시 보호하려면 전체 제어 사용 권리가 있어야 합니다.

팁: 문서가 템플릿에 의해 보호되어 있는지 또는 사용자 지정 권한을 사용하여 보호되어 있는지 확인하려면 Get-AIPFileStatus PowerShell cmdlet을 사용 합니다. Get-RMSTemplate를 실행할 때 표시되지 않는 고유한 템플릿 ID가 있는 사용자 지정 권한에 대한 제한된 액세스에 대한 템플릿 설명이 항상 표시됩니다.

Azure RMS에서 지원되는 Exchange 사용자 및 Exchange Online 사용자와 Exchange Server 하이브리드 배포가 있나요?

물론, 좋은 점은 사용자가 두 배포에서 보호된 전자 메일 및 첨부 파일을 원활하게 보호하고 사용할 Exchange 있습니다. 이 구성의 경우 Azure RMS를 활성화하고 IRM을Exchange Online RMS 커넥터를 배포하고 Exchange Server.

프로덕션 환경에 대해 이 보호를 사용하는 경우 회사가 솔루션에 잠기거나 Azure RMS로 보호된 콘텐츠에 대한 액세스 권한을 잃을 위험이 있나요?

아니요, Azure Rights Management 서비스를 더 이상 사용하지 못하게 결정한 경우에도 항상 데이터를 제어하고 계속 액세스할 수 있습니다. 자세한 내용은 Azure Rights Management의 해제 및 비활성화를 참조하세요.

Azure RMS를 사용하여 콘텐츠를 보호할 수 있는 사용자를 제어할 수 있나요?

예, Azure Rights Management 서비스에는 이 시나리오에 대한 사용자 온보드 컨트롤이 있습니다. 자세한 내용은 Azure Information Protection에서 보호 서비스 활성화 문서의 단계적 배포에 대한 온보링 컨트롤 구성 섹션을 참조하세요.

사용자가 특정 조직과 보호된 문서를 공유하지 못하도록 할 수 있나요?

데이터 보호를 위해 Azure Rights Management 서비스를 사용하는 가장 큰 이점 중 하나는 Azure AD가 인증을 처리하기 때문에 각 파트너 조직에 대해 명시적 트러스트를 구성할 필요 없이 비즈니스 간 공동 작업을 지원하기 위한 것입니다.

사용자가 특정 조직과 문서를 안전하게 공유하지 못하도록 하는 관리 옵션은 없습니다. 예를 들어 신뢰할 수 없는 조직 또는 경쟁 비즈니스가 있는 조직을 차단하려는 경우를 예로 들 수 있습니다. Azure Rights Management 서비스가 이러한 조직의 사용자에게 보호된 문서를 보내지 못하게 하는 것은 사용자가 보호되지 않은 문서를 공유하기 때문에 의미가 없습니다. 이 시나리오에서는 이 시나리오에서 가장 마지막 일입니다. 예를 들어 Azure Rights Management 서비스에서 문서(또는 전자 메일)를 보호할 때 할 수 있는 회사 기밀 문서를 공유하는 사용자를 식별할 수 없습니다.

회사 외부의 다른 사용자와 보호된 문서를 공유하면 해당 사용자가 인증되는 방법

기본적으로 Azure Rights Management 서비스는 사용자 인증을 위해 Azure Active Directory 및 연결된 전자 메일 주소를 사용하여 관리자에게 비즈니스-비즈니스 공동 작업을 원활하게 합니다. 다른 조직에서 Azure 서비스를 사용하는 경우 사용자는 이러한 계정이 Azure Active Directory 프레미스에서 만들어 관리한 다음 Azure에 동기화된 경우에도 이미 계정이 있습니다. 조직에 Microsoft 365 경우 이 서비스는 사용자 계정에 대한 Azure Active Directory 사용도 합니다. 사용자의 조직에 Azure에 관리 계정이 없는 경우 사용자는 개인용 RMS에등록할 수 있으며, 이 사용자는 사용자 계정으로 조직의 관리되지 않는 Azure 테넌트 및 디렉터리를 만들 수 있으므로 이 사용자(및 후속 사용자)는 Azure Rights Management 서비스에 대해 인증할 수 있습니다.

이러한 계정에 대한 인증 방법은 다른 조직의 관리자가 해당 계정을 구성한 방법에 따라 달라질 Azure Active Directory 있습니다. 예를 들어 Active Directory Domain Services에서 만든 다음 동기화된 이러한 계정, 페더전 또는 암호에 대해 만든 암호를 Azure Active Directory.

기타 인증 방법:

  • Azure AD에 계정이 없는 Office 문서 첨부 파일로 전자 메일을 보호하는 경우 인증 방법이 변경됩니다. Azure Rights Management 서비스는 Gmail과 같은 일부 인기 있는 소셜 ID 공급자와 페더러드됩니다. 사용자의 전자 메일 공급자가 지원되는 경우 사용자는 해당 서비스에 로그인할 수 있으며 해당 전자 메일 공급자는 이를 인증할 책임이 있습니다. 사용자의 전자 메일 공급자가 지원되지 않는 경우 또는 기본 설정으로 사용자가 인증하고 웹 브라우저에서 보호된 문서가 있는 전자 메일을 표시하는 일회성 암호를 신청할 수 있습니다.

  • Azure Information Protection은 지원되는 애플리케이션에 대해 Microsoft 계정을 사용할 수 있습니다. 현재 Microsoft 계정이 인증에 사용되는 경우 보호된 콘텐츠를 모든 애플리케이션에서 열 수 있는 것은 없습니다. 자세한 정보

사용자 지정 템플릿에 외부 사용자(회사 외부의 사용자)를 추가할 수 있나요?

예. Azure Portal에서 구성할 수 있는 보호 설정을 사용하면 조직 외부의 사용자 및 그룹 및 다른 조직의 모든 사용자에게 권한을 추가할 수 있습니다. Azure Information Protection을 사용하여 문서 공동 작업의 단계별 예제인 보안 문서 공동 작업을 참조하는 데 유용할 수 있습니다.

Azure Information Protection 레이블이 있는 경우 Azure Portal에서 이러한 보호 설정을 구성하기 전에 먼저 사용자 지정 템플릿을 레이블로 변환해야 합니다. 자세한 내용은 Azure Information Protection에 대한 템플릿 구성 및 관리를 참조하세요.

또는 PowerShell을 사용하여 사용자 지정 템플릿(및 레이블)에 외부 사용자를 추가할 수 있습니다. 이 구성에서는 템플릿을 업데이트하는 데 사용하는 권한 정의 개체를 사용해야 합니다.

  1. New-AipServiceRightsDefinition cmdlet을 사용하여 변수를 만들어 권한 정의 개체에서 외부 전자 메일 주소 및 해당 권한을 지정합니다.

  2. Set-AipServiceTemplateProperty cmdlet을 사용하여 RightsDefinition 매개 변수에 이 변수를 공급합니다.

    기존 템플릿에 사용자를 추가하는 경우 새 사용자 외에도 템플릿의 기존 사용자에 대한 권한 정의 개체를 정의해야 합니다. 이 시나리오에서는 유용한 예제 3: cmdlet의 예제 섹션에서 사용자 지정 템플릿에 새 사용자 및 권한 추가를 찾을 수 있습니다.

Azure RMS에서 사용할 수 있는 그룹 유형은 무엇입니까?

대부분의 시나리오에서는 전자 메일 주소가 있는 Azure AD의 모든 그룹 유형을 사용할 수 있습니다. 이 엄지 손가락 규칙은 사용 권한을 할당할 때 항상 적용되지만 Azure Rights Management 서비스를 관리하기 위한 몇 가지 예외가 있습니다. 자세한 내용은 그룹 계정에 대한 Azure Information Protection 요구 사항을 참조하세요.

Gmail 또는 Hotmail 계정에 보호된 전자 메일을 보내면 어떻게 하나요?

사용자 및 Exchange Online Azure Rights Management 서비스를 사용하는 경우 사용자에게 보호된 메시지로 전자 메일을 보내기만 합니다. 예를 들어 웹의 명령줄에 있는 명령줄에서 새 보호 단추를 선택할 수 Outlook 전달 안 하세요 Outlook 메뉴 옵션을 사용할 수 있습니다. 또는 자동으로 전달 금지를 적용하는 Azure 정보 보호 레이블을 선택하고 전자 메일을 분류할 수 있습니다.

받는 사람은 Gmail, Yahoo 또는 Microsoft 계정에 로그인하는 옵션을 보고 보호된 전자 메일을 읽을 수 있습니다. 또는 브라우저에서 전자 메일을 읽을 수 있는 일회성 암호 옵션을 선택할 수 있습니다.

이 시나리오를 Exchange Online Azure Rights Management 서비스 및 새 기능에 대해 Office 365 메시지 암호화. 이 구성에 대한 자세한 내용은 iRM Exchange Online 를 참조하세요.

모든 디바이스에서 모든 전자 메일 계정 지원이 포함된 새 기능에 대한 자세한 내용은 다음 블로그 게시물을 참조하세요.에서 사용할 수 있는 새 기능 Office 365 메시지 암호화.

Azure RMS에서 지원되는 디바이스 및 파일 형식은 무엇입니까?

Azure Rights Management 서비스를 지원하는 디바이스 목록은 Azure Rights Management 데이터 보호를 지원하는 클라이언트 디바이스를 참조하세요. 지원되는 모든 디바이스가 현재 모든 권한 관리 기능을 지원할 수 있는 것은 아니기 때문에 RMS 인라이트 애플리케이션에 대한 테이블도 확인해야 합니다.

Azure Rights Management 서비스는 모든 파일 형식을 지원할 수 있습니다. 텍스트, 이미지, Microsoft Office(Word, Excel, PowerPoint) 파일, .pdf 파일 및 기타 애플리케이션 파일 형식의 경우 Azure Rights Management는 암호화 및 권한 적용(사용 권한)을 모두 포함하는 네이티브 보호를 제공합니다. 다른 모든 애플리케이션 및 파일 형식의 경우 일반 보호는 사용자가 파일을 열 수 있는 권한이 있는지 확인하기 위해 파일 캡슐화 및 인증을 제공합니다.

Azure Rights Management에서 기본적으로 지원되는 파일 이름 확장 목록은 Azure Information Protection 클라이언트에서 지원하는 파일 형식을 참조하세요. 나열되지 않은 파일 이름 확장은 이러한 파일에 자동으로 일반 보호를 적용하는 Azure Information Protection 클라이언트를 사용하여 지원됩니다.

RMS로 보호된 문서를 열 때 Office 임시 파일이 RMS로 보호되는가?

아니요. 이 시나리오에서 연결된 임시 파일에는 원본 문서의 데이터가 포함되지 않고 파일이 열려 있는 동안 사용자가 입력하는 정보만 포함되어 있습니다. 원래 파일과 달리 임시 파일은 분명히 공유를 위해 설계되지 않고, BitLocker 및 EFS와 같은 로컬 보안 제어에 의해 보호되는 디바이스에 남아 있습니다.

내가 찾고 있는 기능은 보호된 라이브러리에서 작동하지 SharePoint 기능 계획에 대한 지원인가요?

현재 Microsoft SharePoint 권한 관리 템플릿, 문서 추적 및 기타 기능을 지원하지 않는 IRM 보호 라이브러리를 사용하여 RMS로 보호된 문서를 지원하고 있습니다. 자세한 내용은 애플리케이션 및 서비스 SharePoint Microsoft 365 SharePoint 서버 Office 섹션을 참조하세요.

아직 지원되지 않는 특정 기능에 관심이 있는 경우 모바일 및 보안 블로그의 공지 사항을 Enterprise 유의하세요.

사용자가 회사 내부 및 외부 SharePoint 안전하게 파일을 공유할 수 있도록 One Drive를 구성하려면 어떻게 해야 하나요?

기본적으로 관리자의 Microsoft 365 구성하지 않습니다. 사용자는 이 작업을 구성하지 않습니다.

사이트 SharePoint 사용자가 소유한 SharePoint IRM을 사용하도록 설정하고 구성하는 OneDrive 자체 라이브러리에 대해 IRM을 사용하도록 OneDrive 있습니다. 그러나 PowerShell을 사용하여 해당 사용자에 대해 이 작업을 할 수 있습니다. 지침은 IRM 구성 SharePoint Microsoft 365 OneDrive 참조하세요.

성공적인 배포를 위한 팁이나 요령이 있나요?

많은 배포를 관리하고 고객, 파트너, 컨설턴트 및 지원 엔지니어의 말을 경청한 후 경험에서 전달할 수 있는 가장 큰 팁 중 하나는 간단한 정책 디자인 및 배포입니다.

Azure Information Protection은 모든 사용자와 안전하게 공유를 지원하기 때문에 데이터 보호 도달을 통해 야심차게 공유할 수 있습니다. 그러나 권한 사용 제한을 구성할 때 보수적입니다. 대부분의 조직에서 가장 큰 비즈니스 영향은 조직의 사용자에 대한 액세스를 제한하여 데이터 유출을 방지하는 것입니다. 물론 사용자가 인쇄, 편집 등을 방지하는 데 필요한 경우보다 훨씬 세분화할 수 있습니다. 그러나 보다 세밀한 제한을 고급 보안이 정말로 필요한 문서의 예외로 유지하며, 첫 날에는 이러한 제한적인 사용 권한을 구현하지 않지만 좀 더 단계적 접근 방식을 계획합니다.

이제 조직을 떠났던 직원이 보호한 파일에 다시 액세스하려면 어떻게 해야 하나요?

테넌트가 보호하는 모든 문서 및 전자 메일에 대해 권한 있는 사용자에게 전체 제어 사용 권한을 부여하는 슈퍼 사용자 기능을 사용합니다. 슈퍼 사용자는 항상 이 보호된 콘텐츠를 읽을 수 있으며, 필요한 경우 보호를 제거하거나 다른 사용자에 대해 보호를 다시 보호할 수 있습니다. 이 같은 기능을 사용하면 권한이 부여된 서비스에서 필요한 경우 파일을 인덱싱하고 검사할 수 있습니다.

콘텐츠가 SharePoint OneDrive 경우 관리자는 Unlock-SensitivityLabelEncryptedFile cmdlet을 실행하여 민감도 레이블과 암호화를 모두 제거할 수 있습니다. 자세한 내용은 Microsoft 365 참조하세요.

권한 관리에서 화면 캡처를 방지할 수 있나요?

복사 사용 권한을 부여하지 않습니다. 권한 관리는 Windows 플랫폼에서 일반적으로 사용되는 많은 화면 캡처 도구(Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile 및 Windows 11 방지할 수 Windows 11. 그러나 iOS, Mac 및 Android 디바이스는 화면 캡처를 방지하는 앱을 허용하지 않습니다. 또한 모든 디바이스의 브라우저는 화면 캡처를 방지할 수 없습니다. 브라우저 사용에는 웹용 Outlook 및 웹용 Office.

참고 사항

이제 현재 채널로 롤아웃(미리 보기): 이제 Mac용 Office, Word, Excel 및 PowerPoint(Outlook)에서 화면 캡처를 방지할 수 있는 권한 관리 사용 권한을 지원합니다.

화면 캡처를 방지하면 기밀 또는 중요한 정보의 실수 또는 과실 공개를 방지하는 데 도움이 될 수 있습니다. 그러나 사용자가 화면에 표시되는 데이터를 공유할 수 있는 여러 가지 방법이 있으며 스크린샷을 찍는 것은 하나의 방법일 뿐입니다. 예를 들어 표시된 정보를 공유하는 사용자 의도는 카메라 휴대폰을 사용하여 사진을 찍거나, 데이터를 다시 입력하거나, 누군가에게 구두로 릴레이할 수 있습니다.

이러한 예제에서는 모든 플랫폼과 모든 소프트웨어가 화면 캡처를 차단하기 위해 Rights Management API를 지원한다고 하여도 기술만으로는 사용자가 안 하는 데이터를 공유하지 못하게 할 수 있습니다. 권한 관리는 권한 부여 및 사용 정책을 사용하여 중요한 데이터를 보호하는 데 도움이 될 수 있지만 이 엔터프라이즈 권한 관리 솔루션은 다른 컨트롤과 함께 사용해야 합니다. 예를 들어 물리적 보안을 구현하고 조직의 데이터에 대한 액세스 권한을 부여한 사용자를 신중하게 모니터링하고 사용자 교육에 투자하여 사용자가 공유하지 말아야 할 데이터를 이해합니다.

전달 안 하여 전자 메일을 보호하는 사용자와 전달 오른쪽이 포함되어 있지 않은 템플릿의 차이점은 무엇입니까?

이름과 모양에도 불구하고 전달하지 않는 것은 전달 오른쪽 또는 템플릿과는 반대입니다. 실제로 전자 메일 전달을 제한하는 것 외에도 사서함 외부에서 전자 메일을 복사, 인쇄 및 저장하는 것을 제한하는 권한 집합입니다. 권한은 선택한 받는 사람을 통해 사용자에게 동적으로 적용되고 관리자가 정적으로 할당하지 않습니다. 자세한 내용은 Azure Information Protection에 대한 사용 권한 구성에서 전자 메일에 대한 전달 안 하세요 옵션을 참조하세요.