Azure Information Protection에 대한 사용자 및 그룹 준비

적용 대상:* Azure Information Protection, Office 365*

관련: AIP 통합 레이블 지정 클라이언트 및 클래식 클라이언트

참고

통합되고 간소화된 고객 경험을 제공하기 위해 Azure Portal의 Azure Information Protection 클래식 클라이언트레이블 관리2021년 3월 31일 부터 지원되지 않을 예정입니다. 클래식 클라이언트는 계속해서 기존에 구성된 대로 작동하지만 추가 지원은 제공되지 않으며, 클래식 클라이언트에는 유지 관리 버전이 더 이상 릴리스되지 않습니다.

통합 레이블 지정으로 마이그레이션하고 통합 레이블 지정 클라이언트로 업그레이드하는 것이 권장됩니다. 최근 사용 중단 알림 블로그에서 자세한 내용을 알아보세요.

조직의 Azure Information Protection을 배포하기 전에, 조직의 테넌트에 대한 Azure AD의 사용자 및 그룹 계정이 있는지 확인합니다.

다음을 포함하여 사용자 및 그룹에 대한 계정을 만드는 여러 가지 방법이 있습니다.

  • Microsoft 365 관리 센터에서 사용자를 만들고 Exchange Online 관리 센터에서 그룹을 만듭니다.

  • Azure Portal에서 사용자 및 그룹을 만듭니다.

  • Azure AD PowerShell 및 Exchange Online cmdlet을 사용하여 사용자 및 그룹을 만듭니다.

  • 온-프레미스 Active Directory에 사용자 및 그룹을 만들고 Azure AD와 동기화합니다.

  • 다른 디렉터리에 사용자 및 그룹을 만들고 Azure AD와 동기화합니다.

한 가지 예외를 포함하고 이 목록에 있는 처음 세 방법을 사용하여 사용자 및 그룹을 만들면 Azure AD에 자동으로 생성되며, Azure Information Protection에서 이러한 계정을 직접 사용할 수 있습니다. 하지만 많은 엔터프라이즈 네트워크에서 온-프레미스 디렉터리를 사용하여 사용자 및 그룹을 만들고 관리합니다. Azure Information Protection은 이러한 계정을 직접 사용할 수 없으므로 계정을 Azure AD와 동기화해야 합니다.

이전 단락에서 참조하는 예외는 Exchange Online에 대해 만들 수 있는 동적 배포 목록입니다. 정적 배포 목록과는 달리 이러한 그룹은 Azure AD에 복제되지 않고 Azure Information Protection에서 사용할 수 없습니다.

Azure Information Protection에서 사용자 및 그룹을 사용하는 방식

Azure Information protection에서 사용자 및 그룹을 사용하는 세 가지 시나리오가 있습니다.

사용자에게 레이블 할당 - 문서 및 이메일에 레이블을 적용할 수 있도록 Azure Information Protection 정책을 구성하는 경우. 오직 관리자만이 다음과 같은 사용자 및 그룹을 선택할 수 있습니다.

  • 기본 Azure Information Protection 정책이 테넌트의 Azure AD에 있는 모든 사용자에게 자동으로 할당됩니다. 그러나 범위 지정 정책을 사용하면 지정된 사용자 또는 그룹에 레이블을 추가로 할당할 수 있습니다.

사용 권한 및 액세스 제어 할당 - 문서와 이메일을 보호하기 위해 Azure Rights Management 서비스를 사용하는 경우. 관리자와 사용자는 다음과 같은 사용자 및 그룹을 선택할 수 있습니다.

  • 사용 권한은 사용자가 문서 또는 이메일을 열 수 있는지 여부와 사용 방법을 결정합니다. 예를 들어 읽기만 가능하도록 또는 읽고 인쇄할 수 있도록 또는 읽고 편집할 수 있도록 지정할 수 있습니다.

  • 액세스 제어에는 만료 날짜 및 인터넷 연결에 대 한 액세스가 필요한 지 여부가 포함 됩니다.

Azure Rights Management 서비스 구성 - 특정 시나리오를 지원하려는 경우. 따라서 오직 관리자만이 이러한 그룹을 선택합니다. 다음 구성을 예로 들 수 있습니다.

  • eDiscovery 또는 데이터 복구에 필요한 경우 지정된 서비스 또는 사람이 암호화된 콘텐츠를 열 수 있도록 슈퍼 사용자를 구성합니다.

  • Azure Rights Management 서비스의 위임된 관리를 구성합니다.

  • 단계별 배포를 지원하기 위한 온보딩 컨트롤을 구성합니다.

사용자 계정에 대한 Azure Information Protection 요구 사항

레이블 할당:

  • Azure AD의 모든 사용자 계정은 사용자에게 추가 레이블을 할당하는 범위 지정 정책을 구성하는 데 사용할 수 있습니다.

사용 권한 및 액세스 제어를 할당하고 Azure Rights Management 서비스 구성:

  • 사용자 인증에는 Azure AD의 두 가지 특성 proxyAddressesuserPrincipalName 이 사용됩니다.

  • Azure AD proxyAddresses 특성은 계정의 모든 이메일 주소를 저장하며 다른 방법으로 채울 수 있습니다. 예를 들어 Exchange Online 사서함이 있는 Microsoft 365 사용자에 게는이 특성에 저장 된 전자 메일 주소가 자동으로 포함 됩니다. Microsoft 365 사용자에 대 한 대체 전자 메일 주소를 할당 하는 경우이 특성에도 저장 됩니다. 온-프레미스 계정에서 동기화되는 이메일 주소로 채워질 수도 있습니다.

    도메인이 테넌트에 추가된 경우("확인된 도메인") Azure Information Protection은 이 Azure AD proxyAddresses 특성의 아무 값이나 사용할 수 있습니다. 도메인 확인에 대한 자세한 내용은 다음 항목을 참조하세요.

  • Azure AD userPrincipalName 특성은 테넌트의 계정이 Azure AD proxyAddresses 특성에서 값을 갖지 않는 경우에만 사용됩니다. 예를 들어 Azure Portal에서 사용자를 만들거나 사서함이 없는 Microsoft 365에 대 한 사용자를 만듭니다.

외부 사용자에게 사용 권한 및 액세스 제어 할당

Azure Information Protection은 Azure AD proxyAddresses 및 Azure AD userPrincipalName 특성을 테넌트의 사용자에게 사용할 때와 동일한 방식으로 사용하여 다른 테넌트의 사용자를 인증합니다.

기타 권한 부여 방법:

  • Azure AD에 없는 메일 주소의 경우, Azure Information Protection은 Microsoft 계정으로 인증될 때 이러한 메일 주소에 권한을 부여할 수 있습니다. 그러나 인증에 Microsoft 계정을 사용할 경우 일부 애플리케이션이 보호된 콘텐츠를 열 수 없습니다. 추가 정보

  • 새 기능이 추가된 Office 365 메시지 암호화를 사용하여 Azure AD에 계정이 없는 사용자에게 이메일이 발송되면 해당 사용자는 먼저 소셜 ID 공급자와 함께 페더레이션을 사용하여 또는 일회용 암호를 사용하여 인증됩니다. 그리고 보호된 이메일에 지정된 이메일 주소를 사용하여 사용자에게 권한을 부여합니다.

그룹 계정에 대한 Azure Information Protection 요구 사항

레이블 할당:

  • 그룹 구성원에게 추가 레이블을 할당하는 범위 지정 정책을 구성하려면 Azure AD의 그룹 중에서 사용자의 테넌트에 대한 확인된 도메인이 포함된 이메일 주소가 있는 그룹 유형을 사용하면 됩니다. 이메일 주소가 있는 그룹을 메일 사용이 가능한 그룹이라고도 합니다.

    예를 들어 메일 사용이 가능한 보안 그룹, 고정 메일 그룹 및 Microsoft 365 그룹을 사용할 수 있습니다. 보안 그룹(동적 또는 정적)은 이메일 주소가 없기 때문에 사용할 수 없습니다. 이 그룹이 Azure AD로 복제되지 않기 때문에 Exchange Online에서 동적 배포 목록을 사용할 수 없습니다.

사용 권한 및 액세스 제어 할당:

  • Azure AD의 그룹 중에서 사용자의 테넌트에 대한 확인된 도메인이 포함된 이메일 주소가 있는 그룹 유형을 사용할 수 있습니다. 이메일 주소가 있는 그룹을 메일 사용이 가능한 그룹이라고도 합니다.

Azure Rights Management 서비스 구성:

  • Azure AD의 그룹 중에서 테넌트에서 확인된 도메인의 이메일 주소가 있는 그룹 유형을 사용할 수 있지만, 한 가지 예외가 있습니다. 그룹을 사용하도록 온보딩 컨트롤을 구성하는 경우 그 그룹은 테넌트의 Azure AD에 있는 보안 그룹이어야 합니다.

  • 테넌트에 있는 확인된 도메인에서 Azure AD의 아무 그룹이나(이메일 주소 유무에 관계없이) Azure Rights Management 서비스의 위임된 관리에 사용할 수 있습니다.

외부 그룹에 사용 권한 및 액세스 제어 할당

Azure Information Protection은 Azure AD proxyAddresses 특성을 테넌트의 그룹에 사용할 때와 동일한 방식으로 사용하여 다른 테넌트의 그룹을 인증합니다.

Active Directory 온-프레미스의 계정을 Azure Information Protection에 사용

온-프레미스에서 관리되는 계정을 Azure Information Protection에 사용하려면 계정을 Azure AD에 동기화해야 합니다. Azure AD Connect를 사용하면 간편하게 배포할 수 있습니다. 하지만 같은 결과를 얻을 수 있다면 다른 디렉터리 동기화 방법을 사용해도 됩니다.

계정을 동기화할 때 모든 특성을 동기화할 필요는 없습니다. 동기화해야 하는 특성 목록은 Azure Active Directory 설명서의 Azure RMS 단원을 참조하세요.

Azure Rights Management의 특성 목록에서 사용자의 경우 동기화에 mail, proxyAddressesuserPrincipalName 온-프레미스 AD 특성이 필요합니다. mailproxyAddresses 의 값은 Azure AD proxyAddresses 특성에 동기화됩니다. 자세한 내용은 Azure AD에서 proxyAddresses 특성이 채워지는 방식을 참조하세요.

Azure Information Protection에 대한 사용자 및 그룹의 준비 상태 확인

Azure AD PowerShell을 사용하여 사용자 및 그룹을 Azure Information Protection에 사용할 수 있는지 확인할 수 있습니다. PowerShell을 사용하여 사용자 및 그룹 인증에 사용할 수 있는 값을 확인할 수도 있습니다.

예를 들어 Azure Active Directory에 대한 V1 PowerShell 모듈을 사용하면 MSOnline이 PowerShell 세션에서 서비스에 연결하고 전역 관리자 자격 증명을 제공합니다.

Connect-MsolService

참고: 이 명령이 작동하지 않으면 Install-Module MSOnline 명령을 실행하여 MSOnline 모듈을 설치할 수 있습니다.

다음으로, 값이 잘리지 않도록 PowerShell 세션을 구성합니다.

$Formatenumerationlimit =-1

사용자 계정을 Azure Information Protection에 사용할 수 있는지 확인

사용자 계정을 확인하려면 다음 명령을 실행합니다.

Get-Msoluser | select DisplayName, UserPrincipalName, ProxyAddresses

우선 Azure Information Protection에 사용할 사용자가 표시되는지 확인합니다.

그 후 ProxyAddresses 열이 채워져 있는지 확인합니다. 채워져 있으면 이 열의 이메일 값을 사용하여 사용자에게 Azure Information Protection에 대한 권한을 부여 할 수 있습니다.

ProxyAddresses 열이 채워져 있지 않으면 UserPrincipalName 의 값을 사용하여 사용자에게 Azure Rights Management 서비스에 대한 권한이 부여됩니다.

예를 들면 다음과 같습니다.

표시 이름 UserPrincipalName ProxyAddresses
Jagannath Reddy jagannathreddy@contoso.com {}
Ankur Roy ankurroy@contoso.com {SMTP:ankur.roy@contoso.com, smtp: ankur.roy@onmicrosoft.contoso.com}

이 예제에서:

  • Jagannath Reddy의에 대 한 사용자 계정은에 의해 권한이 부여 됩니다 jagannathreddy@contoso.com .

  • Ankur Roy에 대 한 사용자 계정은 및를 사용 하 여 권한을 부여할 수 있습니다 ankur.roy@contoso.com ankur.roy@onmicrosoft.contoso.com ankurroy@contoso.com .

대부분의 경우 UserPrincipalName의 값이 ProxyAddresses 필드의 값 중 하나와 일치합니다. 이 구성을 권장하지만, 이메일 주소와 일치하도록 UPN을 변경할 수 없는 경우 다음 단계를 수행해야 합니다.

  1. UPN 값의 도메인 이름이 Azure AD 테넌트에 대해 확인된 도메인인 경우 Azure AD에서 UPN 값을 또 다른 이메일 주소로 추가해야만 UPN 값을 사용하여 Azure Information Protection에 대해 사용자 계정을 인증할 수 있습니다.

    UPN 값의 도메인 이름이 테넌트에 대해 확인되지 않은 도메인인 경우 Azure Information Protection에 사용할 수 없습니다. 그러나 그룹 이메일 주소에서 확인된 도메인 이름을 사용하는 경우에는 계속해서 사용자를 그룹 구성원으로 인증할 수 있습니다.

  2. UPN을 라우팅할 수 없는 경우 (예: ankurroy@contoso.local ) 사용자의 대체 로그인 ID를 구성 하 고이 대체 로그인을 사용 하 여 Office에 로그인 하는 방법을 안내 합니다. Office에 대한 레지스트리 키도 설정해야 합니다.

    자세한 내용은 대체 로그인 ID 구성Office 응용 프로그램에서 SharePoint, OneDrive 및 Lync Online에 대 한 자격 증명을 주기적으로 확인하는 방법을 참조 하세요.

Export-csv cmdlet을 사용하여 결과를 스프레드시트로 내보내면 관리가 용이합니다. 예를 들어 가져올 데이터를 검색하고 대량으로 편집할 수 있습니다.

예: Get-MsolGroup | select DisplayName, ProxyAddresses | Export-Csv -Path UserAccounts.csv

참고

사용자에 대 한 UPN을 변경 하는 경우 최소 24 시간 동안 또는 UPN 변경이 시스템에 올바르게 반영 될 때까지 비즈니스 연속성 손실이 발생 합니다.

그룹 계정을 Azure Information Protection에 사용할 수 있는지 확인

그룹 계정을 확인하려면 다음 명령을 사용합니다.

Get-MsolGroup | select DisplayName, ProxyAddresses

Azure Information Protection에 사용할 그룹이 표시되는지 확인합니다. 표시되는 그룹의 경우 ProxyAddresses 열의 이메일 주소를 사용하여 그룹 구성원에게 Azure Rights Management 서비스에 대한 권한을 부여할 수 있습니다.

그런 다음, Azure Information Protection에 사용할 사용자(또는 다른 그룹)가 그룹에 포함되어 있는지 확인합니다. 이 작업은 PowerShell을 사용해도 되고(예: Get-msolgroupmember), 관리 포털을 사용해도 됩니다.

보안 그룹을 사용하는 두 가지 Azure Rights Management 서비스 구성 시나리오의 경우 다음 PowerShell 명령을 사용하여 이러한 그룹을 식별하는 데 사용 가능한 개체 ID 및 표시 이름을 찾을 수 있습니다. 또한 Azure Portal을 사용하여 이러한 그룹을 찾은 후 개체 ID 및 표시 이름의 값을 복사할 수 있습니다.

Get-MsolGroup | where {$_.GroupType -eq "Security"}

이메일 주소 변경 시 Azure Information Protection에 대해 고려할 사항

사용자 또는 그룹의 이메일 주소를 변경하는 경우 기존 이메일 주소를 사용자 또는 그룹에 보조 이메일 주소(프록시 주소, 별칭 또는 대체 이메일 주소라고도 함)로 추가하는 것이 좋습니다. 이렇게 하면 기존 이메일 주소가 Azure AD proxyAddresses 특성에 추가됩니다. 계정을 이렇게 관리하면 기존 이메일 주소가 사용될 때 저장된 사용 권한 또는 기타 구성에 대한 비즈니스 연속성이 보장됩니다.

이렇게 할 수 없는 경우 새 이메일 주소를 사용하는 사용자 또는 그룹은 이전에 기존 이메일 주소로 보호된 문서와 이메일에 대한 액세스가 거부될 수 있습니다. 이 경우 새 이메일 주소를 저장하도록 보호 구성을 반복해야 합니다. 예를 들어 템플릿 또는 레이블에서 사용자 또는 그룹에 사용 권한이 부여된 경우 해당 템플릿 또는 레이블을 편집하고 기존 이메일 주소에 부여한 것과 동일한 사용 권한으로 새 이메일 주소를 지정합니다.

그룹이 이메일 주소를 변경하는 일은 매우 드물게 있으며 개별 사용자가 아닌 그룹에 사용 권한을 할당하면 사용자의 이메일 주소가 변경되어도 아무 문제 없습니다. 이 시나리오에서는 사용 권한이 개별 사용자 이메일 주소가 아닌 그룹 이메일 주소에 할당됩니다. 관리자가 문서와 이메일을 보호하는 사용 권한을 구성할 때 가장 많이 사용되는(그리고 권장되는) 방법입니다. 그러나 사용자가 늘 하던 식으로 개별 사용자에 대한 사용자 지정 권한을 할당할 수도 있습니다. 액세스 권한 부여에 사용자 계정이 사용되었는지 아니면 그룹이 사용되었는지 항상 알 수는 없으므로 기존 이메일 주소를 보조 이메일 주소로 추가하는 것이 가장 안전한 방법입니다.

Azure Information Protection으로 그룹 멤버 자격 캐싱

성능상의 이유로 Azure Information Protection에서는 그룹 멤버 자격을 캐싱합니다. 즉, Azure Information Protection에서 이러한 그룹을 사용하는 경우 Azure AD에 있는 그룹 멤버 자격의 변경 내용이 적용될 때까지 최대 3시간이 걸릴 수 있으며 이 시간은 달라질 수 있습니다.

그룹을 사용하여 사용 권한을 부여하거나 Azure Rights Management 서비스를 구성할 때 또는 범위 지정 정책을 구성할 때 수행하는 변경 작업이나 테스트에서 이러한 지연 시간을 고려해야 합니다.

다음 단계

사용자와 그룹을 Azure Information Protection에 사용할 수 있는 것을 확인하고 문서 및 이메일 보호를 시작할 준비가 되면, Azure Rights Management 서비스를 활성화해야 하는지 여부를 학인합니다. 조직의 문서 및 이메일을 보호하려면 먼저 이 서비스를 활성화해야 합니다.

  • 2018년 2월부터: 이달 또는 그 이후에 Azure Rights Management 또는 Azure Information Protection이 포함된 구독을 얻은 경우 서비스가 자동으로 활성화됩니다.

  • 2018년 2월 이전에 구독을 얻은 경우에는, 직접 서비스를 활성화해야 합니다.

활성화 상태 확인을 포함 하는 자세한 내용은 Azure Information Protection에서 보호 서비스 활성화를 참조 하세요.