Azure Information Protection 요구 사항

참고 항목

이전 명칭 MIP(Microsoft Information Protection)인 Microsoft Purview Information Protection을 찾고 계신가요?

Azure Information Protection 추가 기능은 사용 중지되고 Microsoft 365 앱 및 서비스에 기본 제공되는 레이블 로 대체됩니다. 다른 Azure Information Protection 구성 요소의 지원 상태 대해 자세히 알아봅니다.

새 Microsoft Information Protection 클라이언트 (추가 기능 제외)는 현재 미리 보기로 제공되며 일반 공급으로 예약되어 있습니다.

Azure Information Protection을 배포하기 전에 시스템에서 다음 필수 조건을 충족하는지 확인합니다.

• Azure Information Protection 구독
• Microsoft Entra ID
• 클라이언트 디바이스
• 애플리케이션
• 방화벽 및 네트워크 인프라

Azure Information Protection을 배포하려면 AIP 기능을 사용하려는 모든 컴퓨터에 AIP 클라이언트가 설치되어 있어야 합니다. 자세한 내용은 사용자 및 Azure Information Protection의 클라이언트 쪽에 대한 Azure Information Protection 통합 레이블 지정 클라이언트 설치를 참조하세요.

Azure Information Protection 구독

Azure Information Protection 스캐너 또는 클라이언트를 사용하여 분류, 레이블 지정 및 보호를 위한 Azure Information Protection 계획이 있어야 합니다. 자세한 내용은 다음을 참조하세요.

• 보안 및 규정 준수를 위한 Microsoft 365 라이선스 지침
• 최신 작업 계획 비교 (PDF 다운로드)

질문에 대한 답변이 없는 경우 Microsoft 계정 관리자 또는 Microsoft 지원 문의하세요.

Microsoft Entra ID

Azure Information Protection에 대한 인증 및 권한 부여를 지원하려면 Microsoft Entra ID가 있어야 합니다. 온-프레미스 디렉터리(AD DS)의 사용자 계정을 사용하려면 디렉터리 통합도 구성해야 합니다.

• SSO(Single Sign-On) 는 사용자에게 자격 증명에 대한 메시지가 반복적으로 표시되지 않도록 Azure Information Protection에 대해 지원됩니다. 페더레이션에 다른 공급업체 솔루션을 사용하는 경우 Microsoft Entra ID에 대해 구성하는 방법에 대해 해당 공급업체와 검사. WS-Trust는 이러한 솔루션이 Single Sign-On을 지원하기 위한 일반적인 요구 사항입니다.

• MFA(다단계 인증) 는 필요한 클라이언트 소프트웨어가 있고 MFA 지원 인프라를 올바르게 구성한 경우 Azure Information Protection에서 지원됩니다.

조건부 액세스는 Azure Information Protection으로 보호되는 문서에 대해 미리 보기에서 지원됩니다. 자세한 내용은 다음을 참조하세요. Azure Information Protection이 조건부 액세스를 위해 사용 가능한 클라우드 앱으로 나열됩니다. 어떻게 작동하나요?

인증서 기반 또는 다단계 인증을 사용하는 경우 또는 UPN 값이 사용자 전자 메일 주소와 일치하지 않는 경우와 같은 특정 시나리오에는 추가 필수 구성 요소가 필요합니다.

자세한 내용은 다음을 참조하세요.

• Azure Information Protection에 대한 추가 Microsoft Entra 요구 사항입니다.
• Microsoft Entra Directory란?
• 온-프레미스 Active Directory do기본를 Microsoft Entra ID와 통합합니다.

클라이언트 디바이스

사용자 컴퓨터 또는 모바일 디바이스는 Azure Information Protection을 지원하는 운영 체제에서 실행되어야 합니다.

• 클라이언트 디바이스에 지원되는 운영 체제
• ARM64
• 가상 머신
• 서버 지원
• 클라이언트당 추가 요구 사항

클라이언트 디바이스에 지원되는 운영 체제

Windows용 Azure Information Protection 클라이언트가 지원되는 운영 체제는 다음과 같습니다.

• Windows 11

• Windows 10 (x86, x64). 필기는 Windows 10 RS4 빌드 이상에서 지원되지 않습니다.

• Windows Server 2019

• Windows Server 2016

• Windows Server 2012 R2 및 Windows Server 2012

이전 버전의 Windows 지원에 대한 자세한 내용은 Microsoft 계정 또는 지원 담당자에게 문의하세요.

참고 항목

Azure Information Protection 클라이언트가 Azure Rights Management 서비스를 사용하여 데이터를 보호하는 경우 Azure Rights Management 서비스를 지원하는 동일한 디바이스에서 데이터를 사용할 수 있습니다.

ARM64

ARM64는 현재 지원되지 않습니다 .

가상 머신

가상 머신을 사용하는 경우 가상 데스크톱 솔루션의 소프트웨어 공급업체가 Azure Information Protection 통합 레이블 지정 또는 Azure Information Protection 클라이언트를 실행하는 데 필요한 추가 구성으로 사용할지 여부를 검사.

예를 들어 Citrix 솔루션의 경우 Office, Azure Information Protection 통합 레이블 지정 클라이언트 또는 Azure Information Protection 클라이언트에 대해 Citrix API(애플리케이션 프로그래밍 인터페이스) 후크를 사용하지 않도록 설정해야 할 수 있습니다.

이러한 애플리케이션은 각각 winword.exe, excel.exe, outlook.exe, powerpnt.exe, msip.app.exe, msip.viewer.exe 파일을 사용합니다.

서버 지원

위에 나열된 각 서버 버전에 대해 Azure Information Protection 클라이언트는 원격 데스크톱 서비스에 대해 지원됩니다.

원격 데스크톱 서비스에서 Azure Information Protection 클라이언트를 사용할 때 사용자 프로필을 삭제하는 경우 %Appdata%\Microsoft\Protect 폴더를 삭제하지 마세요.

또한 Server Core 및 Nano 서버는 지원되지 않습니다.

클라이언트당 추가 요구 사항

각 Azure Information Protection 클라이언트에는 추가 요구 사항이 있습니다. 자세한 내용은 다음을 참조하세요.

• Azure Information Protection 통합 레이블 지정 클라이언트 요구 사항

• Azure Information Protection 클라이언트 요구 사항

애플리케이션

Azure Information Protection 클라이언트는 다음 Office 버전에서 Microsoft Word, Excel, PowerPoint 및 Outlook을 사용하여 문서 및 전자 메일에 레이블을 지정하고 보호할 수 있습니다.

• Office 앱 사용자가 Azure Rights Management(Office 365용 Azure Information Protection이라고도 함)에 대한 라이선스가 할당된 경우 비즈니스용 Microsoft 365 앱 또는 Microsoft 365 Business Premium의 업데이트 채널별 Microsoft 365 앱 지원되는 버전 테이블에 나열된 버전에 대해

• 엔터프라이즈용 Microsoft 365 앱

• Office Professional Plus 2021

• Office Professional Plus 2019

• Office Professional Plus 2016 - Office 2016이 기본stream 지원을 벗어나면 최상의 노력을 바탕으로 AIP 지원이 수행되며 버전 2016에서 발견된 문제에 대한 수정이 수행되지 않습니다. Microsoft Office 2016 참조

다른 버전의 Office에서는 Rights Management 서비스를 사용하여 문서와 전자 메일을 보호할 수 없습니다. 이러한 버전의 경우 Azure Information Protection은 분류에만 지원되며 보호를 적용하는 레이블은 사용자에게 표시되지 않습니다.

레이블은 통합 레이블 지정 클라이언트의 민감도 단추에서 액세스할 수 있는 Office 문서 맨 위에 표시된 막대에 표시됩니다.

• 버전 1.4 이하인 PDF 파일은 AIP 클라이언트가 파일에 레이블을 지정하면 자동으로 버전 1.5로 업그레이드됩니다.

자세한 내용은 Azure Rights Management 데이터 보호를 지원하는 애플리케이션을 참조하세요.

Office 기능 및 기능이 지원되지 않음

• Windows용 Azure Information Protection 클라이언트는 동일한 컴퓨터에서 여러 버전의 Office를 지원하거나 Office에서 사용자 계정을 전환하지 않습니다.

• Office 메일 병합 기능은 Azure Information Protection 기능에서 지원되지 않습니다.

방화벽 및 네트워크 인프라

특정 연결을 허용하도록 구성된 방화벽 또는 유사한 개입 네트워크 디바이스가 있는 경우 네트워크 연결 요구 사항은 이 Office 문서(Microsoft 365 Common 및 Office Online)에 나열되어 있습니다.

Azure Information Protection에는 다음과 같은 추가 요구 사항이 있습니다.

• 통합 레이블 지정 클라이언트입니다. 레이블 및 레이블 정책을 다운로드하려면 HTTPS를 통해 다음 URL을 허용합니다. *.protection.outlook.com

• 웹 프록시. 인증이 필요한 웹 프록시를 사용하는 경우 사용자의 Active Directory 로그인 자격 증명과 함께 통합된 Windows 인증 사용하도록 프록시를 구성해야 합니다.

  프록시를 사용하여 토큰을 획득할 때 Proxy.pac 파일을 지원하려면 다음 새 레지스트리 키를 추가합니다.

  • 경로: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\
  • 키: UseDefaultCredentialsInProxy
  • 형식: DWORD
  • 값: 1

• TLS 클라이언트-서비스 연결. 예를 들어 패킷 수준 검사를 수행하기 위해 TLS 클라이언트-서비스 간 연결을 aadrm.com URL로 종료하지 마세요. 그러면 RMS 클라이언트가 Microsoft 관리 CA가 Azure Rights Management 서비스와의 통신 보호를 지원하기 위해 사용하는 인증서 고정이 끊어집니다.

  클라이언트 연결이 Azure Rights Management 서비스에 도달하기 전에 종료되는지 여부를 확인하려면 다음 PowerShell 명령을 사용합니다.

  $request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc")
  $request.GetResponse()
  $request.ServicePoint.Certificate.Issuer
  

  결과는 발급 CA가 Microsoft CA에서 온 것임을 보여 줘야 합니다. 예를 들면 다음과 CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US같습니다.

  Microsoft가 아닌 발급 CA 이름이 표시되는 경우 보안 클라이언트-서비스 연결이 종료되고 방화벽에서 재구성이 필요할 수 있습니다.

• TLS 버전 1.2 이상 (통합 레이블 지정 클라이언트만 해당). 통합 레이블 지정 클라이언트에는 암호화된 보안 프로토콜을 사용하고 Microsoft 보안 지침에 맞게 1.2 이상의 TLS 버전이 필요합니다.

• Microsoft 365 ECS(고급 구성 서비스). AIP는 Microsoft 365 ECS(고급 구성 서비스)인 config.edge.skype.com URL에 액세스할 수 있어야 합니다.

  ECS는 AIP를 다시 배포할 필요 없이 AIP 설치를 다시 구성할 수 있는 기능을 Microsoft에 제공합니다. 배포의 영향은 수집되는 진단 데이터에서 모니터링되는 동안 기능 또는 업데이트의 점진적 출시를 제어하는 데 사용됩니다.

  ECS는 기능 또는 업데이트와 관련된 보안 또는 성능 문제를 완화하는 데도 사용됩니다. ECS는 진단 데이터와 관련된 구성 변경도 지원하여 적절한 이벤트가 수집되도록 합니다.

  config.edge.skype.com URL을 제한하면 Microsoft의 오류 완화 기능에 영향을 줄 수 있으며 미리 보기 기능을 테스트하는 기능에 영향을 줄 수 있습니다.

  자세한 내용은 Office용 Essential 서비스 - Office 배포를 참조 하세요.

• 로깅 URL 네트워크 연결을 감사합니다. AIP 감사 로그를 지원하려면 AIP가 다음 URL에 액세스할 수 있어야 합니다.

  • https://*.events.data.microsoft.com
  • https://*.aria.microsoft.com(Android 장치 데이터만)

  자세한 내용은 AIP 보고를 위한 필수 구성 요소를 참조하세요.

Azure RMS와 AD RMS의 공존

동일한 조직에서 AD RMS 및 Azure RMS를 함께 사용하여 동일한 조직의 동일한 사용자가 콘텐츠를 보호하는 것은 Azure Information Protection을 사용한 HYOK(사용자 고유의 키 보유) 보호용 AD RMS에서만 지원됩니다.

이 시나리오는 마이그레이션 중에 지원되지 않습니다. 지원되는 마이그레이션 경로는 다음과 같습니다.

• AD RMS에서 Azure Information Protection으로

• Azure Information Protection에서 AD RMS로

팁

Azure Information Protection을 배포한 다음 이 클라우드 서비스를 더 이상 사용하지 않기로 결정한 경우 Azure Information Protection의 서비스 해제 및 비활성화를 참조하세요.

두 서비스가 동일한 조직에서 활성화되어 있는 다른 비이민 시나리오의 경우 두 서비스 중 하나만 지정된 사용자가 콘텐츠를 보호할 수 있도록 두 서비스를 모두 구성해야 합니다. 다음과 같이 이러한 시나리오를 구성합니다.

• AD RMS에서 Azure RMS로 마이그레이션에 대한 리디렉션 사용

• 두 서비스가 동시에 다른 사용자에 대해 활성화되어야 하는 경우 서비스 쪽 구성을 사용하여 독점을 적용합니다. 클라우드 서비스의 Azure RMS 온보딩 컨트롤과 게시 URL의 ACL을 사용하여 AD RMS에 대한 읽기 전용 모드를 설정합니다.

서비스 태그

Azure 엔드포인트 및 NSG를 사용하는 경우 다음 서비스 태그에 대한 모든 포트에 대한 액세스를 허용해야 합니다.

• AzureInformationProtection
• AzureActiveDirectory
• AzureFrontDoor.Frontend

또한 이 경우 Azure Information Protection 서비스는 다음 IP 주소 및 포트에 따라 달라집니다.

• 13.107.9.198
• 13.107.6.198
• 2620:1ec:4::198
• 2620:1ec:a92::198
• 13.107.6.181
• 13.107.9.181
• 포트 443( HTTPS 트래픽용)

이러한 특정 IP 주소 및 이 포트를 통해 아웃바운드 액세스를 허용하는 규칙을 만들어야 합니다.

Azure Rights Management 데이터 보호를 위해 지원되는 온-프레미스 서버

다음 온-프레미스 서버는 Microsoft Rights Management 커넥터를 사용하는 경우 Azure Information Protection에서 지원됩니다.

이 커넥터는 통신 인터페이스 역할을 하며, Azure Information Protection에서 Office 문서 및 전자 메일을 보호하는 데 사용되는 온-프레미스 서버와 Azure Rights Management 서비스 간에 릴레이합니다.

이 커넥터를 사용하려면 Active Directory 포리스트와 Microsoft Entra ID 간에 디렉터리 동기화를 구성해야 합니다.

지원되는 서버는 다음과 같습니다.

서버 유형	지원되는 버전
Exchange Server	- Exchange Server 2019 - Exchange Server 2016 - Exchange Server 2013
Office SharePoint Server	- Office SharePoint Server 2019 - Office SharePoint Server 2016 - Office SharePoint Server 2013
Windows Server를 실행하고 FCI(파일 분류 인프라)를 사용하는 파일 서버	- Windows Server 2016 - Windows Server 2012 R2 - Windows Server 2012

자세한 내용은 Microsoft Rights Management 커넥터 배포를 참조하세요.

Azure Rights Management에 지원되는 운영 체제

다음 운영 체제는 AIP에 대한 데이터 보호를 제공하는 Azure Rights Management 서비스를 지원합니다.

OS	지원되는 버전
Windows 컴퓨터	- Windows 10(x86, x64) - Windows 11(x86, x64)
macOS	macOS 10.8의 최소 버전(Mountain Lion)
Android 휴대폰 및 태블릿	Android 6.0의 최소 버전
i전화 및 iPad	iOS 11.0의 최소 버전
Windows 휴대폰 및 태블릿	Windows 10 Mobile

자세한 내용은 Azure Rights Management 데이터 보호를 지원하는 애플리케이션을 참조하세요.

다음 단계

모든 AIP 요구 사항을 검토하고 시스템이 규정을 준수하는지 확인한 후에는 Azure Information Protection에 대한 사용자 및 그룹 준비를 계속합니다.