Azure Information Protection에 대한 개인 데이터 관리

:Azure Information Protection에 적용됩니다.

관련성: AIP 통합 레이블링 클라이언트 및 클래식 클라이언트

참고 사항

통합되고 간소화된 고객 환경을 제공하기 위해 Azure Portal의 Azure Information Protection 클래식 클라이언트 및 레이블 관리는 2021년 3월 31일현재 사용되지 않습니다. 클래식 클라이언트에 대한 추가 지원은 제공되지 않고 유지 관리 버전은 더 이상 릴리스되지 않습니다.

클래식 클라이언트는 공식적으로 사용 중지되어 2022년 3월 31일 작동이 중지됩니다.

현재 모든 Azure Information Protection 클래식 클라이언트 고객은 통합 레이블 Microsoft Information Protection 플랫폼으로 마이그레이션하고 통합 레이블링 클라이언트로 업그레이드해야 합니다. 마이그레이션 블로그 에서자세히 알아보기

Azure Information Protection을 구성하고 사용하는 경우 전자 메일 주소 및 IP 주소가 Azure Information Protection 서비스에서 저장되고 사용됩니다. 이 개인 데이터는 다음 항목에서 찾을 수 있습니다.

  • 보호 서비스에 대한 슈퍼 사용자 및 위임된 관리자

  • 보호 서비스에 대한 관리 로그

  • 보호 서비스에 대한 사용 로그

  • Azure Information Protection 클라이언트 및 RMS 클라이언트에 대한 사용 로그

AIP 클래식 클라이언트만:

  • Azure Information Protection 정책

  • 보호 서비스에 대한 템플릿

  • 문서 추적 로그

참고 사항

이 문서에서는 디바이스 또는 서비스에서 개인 데이터를 삭제하는 방법에 대한 단계를 제공하며 GDPR에 따라 의무를 지원하는 데 사용할 수 있습니다. GDPR에 대한 일반적인 정보를 찾고 있는 경우 서비스 신뢰 포털의 GDPR 섹션을 참조하세요.

Azure Information Protection에서 사용하는 개인 데이터 보기

  • 통합 레이블 클라이언트:

    통합 레이블링 클라이언트의 경우 민감도 레이블 및 레이블 정책은 Microsoft 365 규정 준수 센터. 자세한 내용은 Microsoft 365 참조하세요.

  • 클래식 클라이언트:

    클래식 클라이언트의 경우 Azure Portal을 사용하여 범위가 지정된 정책 및 레이블 구성 내의 보호 설정에 대한 전자 메일 주소를 지정합니다. 자세한 내용은 범위가 지정된 정책을 사용하여 특정 사용자에 대한 Azure 정보 보호 정책을 구성하는 방법 및 Rights Management 보호에 대한 레이블을 구성하는 방법을 참조하세요.

    Azure Rights Management 서비스에서 보호를 적용하도록 구성된 레이블의 경우 AIPService모듈의 PowerShell cmdlet을 사용하여 보호 템플릿에서도 전자 메일 주소를 찾을 수 있습니다. 또한 이 PowerShell 모듈을 사용하면 관리자가 전자 메일 주소로 사용자를 슈퍼 사용자 또는 Azure Rights Management 서비스에 대한 관리자로 지정할 수도 있습니다.

참고 사항

Azure Information Protection을 사용하여 문서 및 전자 메일을 분류하고 보호하는 경우 전자 메일 주소 및 사용자의 IP 주소가 로그 파일에 저장될 수 있습니다.

보호 서비스에 대한 슈퍼 사용자 및 위임된 관리자

Get-AipServiceSuperUser cmdlet 및 get-aipservicerolebasedadministrator cmdlet을 실행하여 Azure Information Protection에서 보호 서비스(Azure Rights Management)에 대한 슈퍼 사용자 역할 또는 전역 관리자 역할이 할당된 사용자를 볼 수 있습니다. 이러한 역할 중 하나를 할당한 사용자의 경우 해당 전자 메일 주소가 표시됩니다.

보호 서비스에 대한 관리 로그

Get-AipServiceAdminLog cmdlet을 실행하여 Azure Information Protection에서 보호 서비스(Azure Rights Management)에 대한 관리자 작업 로그를 얻습니다. 이 로그에는 전자 메일 주소 및 IP 주소의 형태로 개인 데이터가 포함됩니다. 로그는 일반 텍스트에 있으며 다운로드한 후 특정 관리자의 세부 정보를 오프라인으로 검색할 수 있습니다.

예를 들어:

PS C:\Users> Get-AipServiceAdminLog -Path '.\Desktop\admin.log' -FromTime 4/1/2018 -ToTime 4/30/2018 -Verbose
The Rights Management administration log was successfully generated and can be found at .\Desktop\admin.log.

보호 서비스에 대한 사용 로그

Get-AipServiceUserLog cmdlet을 실행하여 Azure Information Protection에서 보호 서비스를 사용하는 최종 사용자 작업 로그를 검색합니다. 로그는 전자 메일 주소 및 IP 주소의 형태로 개인 데이터를 포함할 수 있습니다. 로그는 일반 텍스트에 있으며 다운로드한 후 특정 관리자의 세부 정보를 오프라인으로 검색할 수 있습니다.

예를 들어:

PS C:\Users> Get-AipServiceUserLog -Path '.\Desktop\' -FromDate 4/1/2018 -ToDate 4/30/2018 -NumberOfThreads 10
Acquiring access to your user log…
Downloading the log for 2018-04-01.
Downloading the log for 2018-04-03.
Downloading the log for 2018-04-06.
Downloading the log for 2018-04-09.
Downloading the log for 2018-04-10.
Downloaded the log for 2018-04-01. The log is available at .\Desktop\rmslog-2018-04-01.log.
Downloaded the log for 2018-04-03. The log is available at .\Desktop\rmslog-2018-04-03.log.
Downloaded the log for 2018-04-06. The log is available at .\Desktop\rmslog-2018-04-06.log.
Downloaded the log for 2018-04-09. The log is available at .\Desktop\rmslog-2018-04-09.log.
Downloaded the log for 2018-04-10. The log is available at .\Desktop\rmslog-2018-04-10.log.
Downloading the log for 2018-04-12.
Downloading the log for 2018-04-13.
Downloading the log for 2018-04-14.
Downloading the log for 2018-04-16.
Downloading the log for 2018-04-18.
Downloaded the log for 2018-04-12. The log is available at .\Desktop\rmslog-2018-04-12.log.
Downloaded the log for 2018-04-13. The log is available at .\Desktop\rmslog-2018-04-13.log.
Downloaded the log for 2018-04-14. The log is available at .\Desktop\rmslog-2018-04-14.log.
Downloaded the log for 2018-04-16. The log is available at .\Desktop\rmslog-2018-04-16.log.
Downloaded the log for 2018-04-18. The log is available at .\Desktop\rmslog-2018-04-18.log.
Downloading the log for 2018-04-24.
Downloaded the log for 2018-04-24. The log is available at .\Desktop\rmslog-2018-04-24.log.

Azure Information Protection 클라이언트 및 RMS 클라이언트에 대한 사용 로그

문서 및 전자 메일에 레이블 및 보호가 적용될 때 전자 메일 주소 및 IP 주소를 다음 위치에 있는 사용자의 컴퓨터의 로그 파일에 저장할 수 있습니다.

  • Azure Information Protection 통합 레이블링 및 클래식 클라이언트: %localappdata%\Microsoft\MSIP\Logs

  • RMS 클라이언트의 경우 % localappdata%\Microsoft\MSIPC\msip\Logs

또한 Azure Information Protection 클라이언트는 이 개인 데이터를 로컬 이벤트 로그 애플리케이션 및 서비스 로그 Windows 로그 Azure Information Protection에 기록합니다.

Azure Information Protection 클라이언트가 스캐너를 실행하면 개인 데이터가 스캐너를 실행하는 서버 컴퓨터의 %localappdata%\Microsoft\MSIP\스캐너\Reports에 Windows 저장됩니다.

다음 구성을 사용하여 Azure Information Protection 클라이언트 및 스캐너에 대한 로깅 정보를 해제할 수 있습니다.

  • Azure Information Protection 클라이언트의 경우: LogLevel을 해제로 구성하는 고급 클라이언트 설정 만들기

  • Azure Information Protection 스캐너의 경우: Set-AIPScannerConfiguration cmdlet을 사용하여 ReportLevel 매개 변수를 끄기로 설정합니다.

참고 사항

개인 데이터를 보거나 삭제하는 데 관심이 있는 경우 Microsoft 규정 준수 관리자 및 규정 준수 사이트의 GDPR 섹션에서 Microsoft의 지침을 Microsoft 365 Enterprise 참조하세요. GDPR에 대한 일반적인 정보를 찾고 있는 경우 서비스 신뢰 포털의 GDPR 섹션을 참조하세요.

보호 템플릿

관련성: AIP 클래식 클라이언트만 해당

Get-AipServiceTemplate cmdlet을 실행하여 보호 템플릿 목록을 얻습니다. 템플릿 ID를 사용하여 특정 템플릿의 세부 정보를 얻을 수 있습니다. 개체가 RightsDefinitions 있는 경우 개인 데이터를 표시됩니다.

예제:

PS C:\Users> Get-AipServiceTemplate -TemplateId fcdbbc36-1f48-48ca-887f-265ee1268f51 | select *


TemplateId              : fcdbbc36-1f48-48ca-887f-265ee1268f51
Names                   : {1033 -> Confidential}
Descriptions            : {1033 -> This data includes sensitive business information. Exposing this data to
                          unauthorized users may cause damage to the business. Examples for Confidential information
                          are employee information, individual customer projects or contracts and sales account data.}
Status                  : Archived
RightsDefinitions       : {admin@aip500.onmicrosoft.com -> VIEW, VIEWRIGHTSDATA, EDIT, DOCEDIT, PRINT, EXTRACT,
                          REPLY, REPLYALL, FORWARD, EXPORT, EDITRIGHTSDATA, OBJMODEL, OWNER,
                          AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@aip500.onmicrosoft.com -> VIEW,
                          VIEWRIGHTSDATA, EDIT, DOCEDIT, PRINT, EXTRACT, REPLY, REPLYALL, FORWARD, EXPORT,
                          EDITRIGHTSDATA, OBJMODEL, OWNER, admin2@aip500.onmicrosoft.com -> VIEW, VIEWRIGHTSDATA, EDIT,
                          DOCEDIT, PRINT, EXTRACT, REPLY, REPLYALL, FORWARD, EXPORT, EDITRIGHTSDATA, OBJMODEL, OWNER}
ContentExpirationDate   : 1/1/0001 12:00:00 AM
ContentValidityDuration : 0
ContentExpirationOption : Never
LicenseValidityDuration : 7
ReadOnly                : False
LastModifiedTimeStamp   : 1/26/2018 6:17:00 PM
ScopedIdentities        : {}
EnableInLegacyApps      : False
LabelId                 :

문서 추적 로그

관련성: AIP 클래식 클라이언트만 해당

Get-AipServiceDocumentLog cmdlet을 실행하여 특정 사용자에 대한 문서 추적 사이트에서 정보를 검색합니다. 문서 로그와 관련된 추적 정보를 얻하려면 Get-AipServiceTrackingLog cmdlet을 사용하세요.

예를 들어:

PS C:\Users> Get-AipServiceDocumentLog -UserEmail "admin@aip500.onmicrosoft.com"


ContentId             : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer                : admin@aip500.onmicrosoft.com
Owner                 : admin@aip500.onmicrosoft.com
ContentName           :
CreatedTime           : 3/6/2018 10:24:00 PM
Recipients            : {
                        PrimaryEmail: johndoe@contoso.com
                        DisplayName: JOHNDOE@CONTOSO.COM
                        UserType: External,
                        PrimaryEmail: alice@contoso0110.onmicrosoft.com
                        DisplayName: ALICE@CONTOSO0110.ONMICROSOFT.COM
                        UserType: External
                        }
TemplateId            :
PolicyExpires         :
EULDuration           :
SendRegistrationEmail : True
NotificationInfo      : Enabled: False
                        DeniedOnly: False
                        Culture:
                        TimeZoneId:
                        TimeZoneOffset: 0
                        TimeZoneDaylightName:
                        TimeZoneStandardName:

RevocationInfo        : Revoked: False
                        RevokedTime:
                        RevokedBy:


PS C:\Users> Get-AipServiceTrackingLog -UserEmail "admin@aip500.onmicrosoft.com"

ContentId            : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer               : admin@aip500.onmicrosoft.com
RequestTime          : 3/6/2018 10:45:57 PM
RequesterType        : External
RequesterEmail       : johndoe@contoso.com
RequesterDisplayName : johndoe@contoso.com
RequesterLocation    : IP: 167.220.1.54
                       Country: US
                       City: redmond
                       Position: 47.6812453974602,-122.120736471666

Rights               : {VIEW,OBJMODEL}
Successful           : False
IsHiddenInfo         : False

ObjectID로 검색할 수 없습니다. 그러나 매개 변수에 의해 제한되지는 않습니다. 제공한 전자 메일 주소는 테넌트의 일부일 -UserEmail 필요가 없습니다. 제공된 전자 메일 주소가 문서 추적 로그의 아무 곳에나 저장되어 있는 경우 문서 추적 항목은 cmdlet 출력에 반환됩니다.

개인 정보에 대한 액세스 보안 및 제어

Azure Portal에서 보고 지정하는 개인 데이터는 다음 관리자 역할 중 하나를 할당한 사용자만 액세스할 수 Azure Active Directory.

  • Azure Information Protection 관리자

  • 규정 준수 관리자

  • 규정 준수 데이터 관리자

  • 보안 관리자

  • 보안 읽기

  • 전역 관리자

  • 전역 읽기

AIPService 모듈(또는 이전 모듈, AADRM)을 사용하여 보고 지정하는 개인 데이터는 Azure Information Protection관리자,규정 준수 관리자, 규정 준수 데이터 관리자 또는 보호 서비스에 대한 전역 관리자 Azure Active Directory 사용자만 액세스할 수 있습니다.

개인 데이터 업데이트

통합 레이블 클라이언트:

통합 레이블링 클라이언트의 경우 민감도 레이블 및 레이블 정책은 Microsoft 365 규정 준수 센터. 자세한 내용은 Microsoft 365 참조하세요.

클래식 클라이언트:

클래식 클라이언트의 경우 Azure Information Protection 정책에서 범위가 지정한 정책 및 보호 설정에 대한 전자 메일 주소를 업데이트할 수 있습니다. 자세한 내용은 범위가 지정된 정책을 사용하여 특정 사용자에 대한 Azure 정보 보호 정책을 구성하는 방법 및 Rights Management 보호에 대한 레이블을 구성하는 방법을 참조하세요.

보호 설정의 경우 AIPService모듈의 PowerShell cmdlet을 사용하여 동일한 정보를 업데이트할 수 있습니다.

슈퍼 사용자 및 위임된 관리자에 대한 전자 메일 주소를 업데이트할 수 없습니다. 대신 지정된 사용자 계정을 제거하고 업데이트된 전자 메일 주소로 사용자 계정을 추가합니다.

보호 서비스에 대한 슈퍼 사용자 및 위임된 관리자

슈퍼 사용자에 대한 전자 메일 주소를 업데이트해야 하는 경우:

  1. Remove-AipServiceSuperUser를 사용하여 사용자 및 이전 전자 메일 주소를 제거합니다.

  2. Add-AipServiceSuperUser를 사용하여 사용자 및 새 전자 메일 주소를 추가합니다.

위임된 관리자에 대한 전자 메일 주소를 업데이트해야 하는 경우:

  1. Remove-AipServiceRoleBasedAdministrator를 사용하여 사용자 및 이전 전자 메일 주소를 제거합니다.

  2. Add-AipServiceRoleBasedAdministrator를 사용하여 사용자 및 새 전자 메일 주소를 추가합니다.

보호 템플릿

관련성: 클래식 클라이언트만 해당

Set-AipServiceTemplateProperty cmdlet을 실행하여 보호 템플릿을 업데이트합니다. 개인 데이터가 속성 내에 있기 때문에 RightsDefinitionsRightsDefinitions cmdlet을 사용하여 업데이트된 정보로 권리 정의 개체를 만들고 cmdlet을 사용하여 권한 정의 개체를 사용해야 Set-AipServiceTemplateProperty 합니다.

개인 데이터 삭제

  • 통합 레이블 클라이언트:

    통합 레이블링 클라이언트의 경우 민감도 레이블 및 레이블 정책은 Microsoft 365 규정 준수 센터. 자세한 내용은 Microsoft 365 참조하세요.

  • 클래식 클라이언트:

    클래식 클라이언트의 경우 Azure Information Protection 정책에서 범위가 지정한 정책 및 보호 설정에 대한 전자 메일 주소를 삭제할 수 있습니다. 자세한 내용은 범위가 지정된 정책을 사용하여 특정 사용자에 대한 Azure 정보 보호 정책을 구성하는 방법 및 Rights Management 보호에 대한 레이블을 구성하는 방법을 참조하세요.

보호 설정의 경우 AIPService모듈에서 PowerShell cmdlet을 사용하여 동일한 정보를 삭제할 수 있습니다.

슈퍼 사용자 및 위임된 관리자에 대한 전자 메일 주소를 삭제하려면 Remove-AipServiceSuperUser cmdlet 및 Remove-AipServiceRoleBasedAdministrator를사용하여 이러한 사용자를 제거합니다.

보호 서비스에 대한 문서 추적 로그, 관리 로그 또는 사용 로그에서 개인 데이터를 삭제하려면 다음 섹션을 사용하여 Microsoft 지원에서 요청을 제기합니다.

컴퓨터에 저장된 클라이언트 로그 파일 및 스캐너 로그에서 개인 데이터를 삭제하려면 표준 Windows 도구를 사용하여 파일 내의 파일 또는 개인 데이터를 삭제합니다.

Microsoft 지원으로 개인 데이터를 삭제하려면

다음 세 단계를 사용하여 Microsoft가 보호 서비스에 대한 문서 추적 로그, 관리 로그 또는 사용량 로그에서 개인 데이터를 삭제할 것을 요청합니다.

1단계:삭제 요청 시작Microsoft 지원에 문의하여 테넌트에서 데이터 삭제 요청과 함께 Azure Information Protection 지원 사례를 하세요. Azure Information Protection 테넌트의 관리자인 것을 증명하고 이 프로세스가 확인까지 며칠이 걸렸다는 것을 이해해야 합니다. 요청을 제출하는 동안 삭제해야 하는 데이터에 따라 추가 정보를 제공해야 합니다.

  • 관리 로그를 삭제하려면 종료 날짜를 제공해야 합니다. 해당 종료 날짜까지 모든 관리 로그가 삭제됩니다.
  • 사용 로그를 삭제하려면 종료 날짜를 제공합니다. 해당 종료 날짜까지 모든 사용량 로그가 삭제됩니다.
  • 문서 추적 로그를 삭제하려면 종료 날짜 및 UserEmail 을 제공합니다. 해당 종료 날짜까지 UserEmail과 관련된 모든 문서 추적 정보는 삭제됩니다. UserEmail에 대한 정규식(Perl 형식)이 지원됩니다.

이 데이터를 삭제하는 것은 영구적인 작업입니다. 삭제 요청을 처리한 후에 데이터를 복구할 수 있는 수단은 없습니다. 관리자는 삭제 요청을 제출하기 전에 필요한 데이터를 내보내는 것이 좋습니다.

2단계: 확인 대기 Microsoft는 하나 이상의 로그를 삭제하는 요청이 합법적인지 여부를 확인할 것입니다. 이 프로세스는 최대 5일이 걸릴 수 있습니다.

3단계: 지우기 확인 Microsoft CSS(고객 지원 서비스)는 데이터가 삭제된 확인 전자 메일을 보내드립니다.

개인 데이터 내보내기

AIPService 또는 AADRM PowerShell cmdlet을 사용하는 경우 개인 데이터를 PowerShell 개체로 검색 및 내보내기할 수 있습니다. PowerShell 개체를 JSON으로 변환하고 ConvertTo-Json cmdlet을 사용하여 저장할 수 있습니다.

Azure Information Protection은 개인 데이터를 기반으로 프로파일링 또는 마케팅에 대한 Microsoft의 개인 정보 약관을 준수합니다.

감사 및 보고

관리자 권한이 할당된 사용자만 AIPService 또는 ADDRM 모듈을 사용하여 개인 데이터를 검색하고 내보낼 수 있습니다. 이러한 작업은 다운로드할 수 있는 관리 로그에 기록됩니다.

삭제 작업의 경우 지원 요청은 Microsoft에서 수행한 작업에 대한 감사 및 보고 트레일 역할을 합니다. 삭제한 후 삭제된 데이터는 검색 및 내보내기에서 사용할 수 없습니다. 관리자는 AIPService 모듈에서 cmdlet을 사용하여 이를 확인할 수 있습니다.