엔드포인트 데이터 손실 방지 설정 구성
엔드포인트 DLP(데이터 손실 방지) 동작의 여러 측면은 중앙에서 구성된 설정으로 제어됩니다. 설정은 장치의 모든 DLP 정책에 적용됩니다.
다음을 제어하려면 다음 설정을 구성해야 합니다.
- 클라우드 송신 제한
- 애플리케이션별 사용자 활동에 대한 다양한 유형의 제한 조치.
- Windows 및 macOS 장치에 대한 파일 경로 제외.
- 브라우저 및 도메인 제한.
- 재정의 정책에 대한 비즈니스 정당성이 정책 팁에 나타나는 방식.
- Office, PDF 및 CSV 파일에 대한 활동이 자동으로 감사되는 경우.
DLP 설정
시작하기 전에 DLP 설정을 지정해야 합니다.
끝점 DLP Windows 10/11 및 macOS 설정
| 설정 | Windows 10 1809년 Windows 11 | macOS Catalina 10.15 이상 | 메모 |
|---|---|---|---|
| 파일 경로 제외 | 지원 | 지원 | macOS에는 기본적으로 켜져 있는 권장 제외 목록이 포함되어 있습니다. |
| 제한된 앱 | 지원 | 지원 | |
| 제한된 앱 그룹 | 지원 | 지원되지 않음 | |
| 허용되지 않는 Bluetooth 앱 | 지원 | 지원되지 않음 | |
| 중요한 항목에 대한 브라우저 및 도메인 제한 | 지원 | 지원 | |
| 엔드포인트 DLP에 대한 추가 설정 | 지원 | 지원 | macOS 장치에는 기본 비즈니스 근거만 지원됩니다. |
| 장치에 대한 파일 활동 항상 감사 | 지원 | 지원됨 | |
| 사용할 수 없는 앱에서 파일 자동 검역 | 지원됨 | 지원되지 않음 | |
| 고급 분류 | 지원됨 | 지원되지 않음 | |
| 정책 팁의 비즈니스 타당성 | 지원됨 | 지원됨 |
고급 분류 검색 및 보호
고급 분류 검색 및 보호를 통해 고급 Microsoft Purview 클라우드 기반 데이터 분류 서비스가 항목을 검색하고 분류하고 결과를 로컬 시스템으로 반환할 수 있습니다. 즉, 정확한 데이터 일치 분류 및 DLP 정책의 명명된 엔터티와 같은 분류 기술을 활용할 수 있습니다.
고급 분류가 켜져 있으면 스캔 및 분류를 위해 콘텐츠가 로컬 장치에서 클라우드 서비스로 전송됩니다. 대역폭 사용이 우려되는 경우 롤링 24시간 동안 사용할 수 있는 양에 대한 제한을 설정할 수 있습니다. 제한은 엔드포인트 DLP 설정에서 구성되며 장치별로 적용됩니다. 대역폭 사용 제한을 설정하고 이를 초과하면 DLP가 사용자 콘텐츠를 클라우드로 보내는 것을 중지합니다. 이 시점에서 데이터 분류는 장치에서 로컬로 계속되지만 정확한 데이터 일치, 명명된 엔터티 및 학습 가능한 분류자를 사용한 분류는 사용할 수 없습니다. 누적 대역폭 사용률이 롤링 24시간 제한 아래로 떨어지면 클라우드 서비스와의 통신이 다시 시작됩니다.
대역폭 사용이 문제가 되지 않는 경우 제한 없음 을 선택하여 대역폭 사용을 무제한으로 허용합니다.
이러한 Windows 버전은 고급 분류 검사 및 보호를 지원합니다.
- Windows 10 버전 20H1/20H2/21H1(KB 5006738)
- Windows 10 버전 19H1/19H2(KB 5007189)
- RS5 Windows 10(KB 5006744)
참고
고급 분류는 Office(Word, Excel, PowerPoint) 및 PDF 파일 형식에서 지원됩니다.
참고
DLP 정책 평가는 사용자 콘텐츠가 전송되지 않는 경우에도 항상 클라우드에서 발생합니다.
파일 경로 제외
Microsoft Purview 규정 준수 포털 > 데이터 손실 방지 > Endpoint DLP 설정 > 파일 경로 제외 를 엽니다.
지나치게 잡음이 많거나 관심 있는 파일을 포함하지 않으므로 장치에서 DLP 모니터링, DLP 경고, DLP 정책 적용에서 특정 경로를 제외하고자 할 수 있습니다. 해당 위치에서 파일을 감사하지 않으며 해당 위치에서 만들어지거나 수정된 모든 파일에 DLP 정책 적용이 적용되지 않습니다. DLP 설정에서 경로 제외를 구성할 수 있습니다.
Windows 10 장치
이 논리를 사용하여 Windows 10 장치에 대한 제외 경로를 구성할 수 있습니다.
\(으)로 끝나는 유효한 파일 경로(즉, 폴더 바로 아래의 파일만 의미).
예:C:\Temp\\*(으)로 끝나는 유효한 파일 경로(즉, 해당 폴더 바로 아래의 파일 외 하위 폴더아래의 파일만 의미).
예:C:\Temp\*\또는\*(으)로 끝나는 유효한 파일 경로(즉, 폴더와 모든 하위 폴더 바로 아래의 모든 파일을 의미)
예:C:\Temp각 면의
\사이에 와일드카드가 있는 경로.
예:C:\Users\*\Desktop\정확한 하위 폴더 수를 제공하기 위해 각 면의
\사이에 와일드카드와(number)이(가) 있는 경로.
예:C:\Users\*(1)\Downloads\시스템 환경 변수를 사용하는 경로입니다.
예:%SystemDrive%\Test\*위의 모든 것을 혼합한 것입니다.
예:%SystemDrive%\Users\*\Documents\*(2)\Sub\
macOS 장치
Windows 10 장치와 유사하게 macOS 장치에 대한 고유한 제외를 추가할 수 있습니다.
파일 경로 정의는 대소문자를 구분하지 않으므로
User은(는)user과(와) 동일합니다.와일드카드 값이 지원됩니다. 따라서 경로 정의는 경로 중간 또는 경로 끝에
*을(를) 포함할 수 있습니다. 예:/Users/*/Library/Application Support/Microsoft/Teams/*
권장 파일 경로 제외(미리 보기)
성능상의 이유로 Endpoint DLP에는 macOS 장치에 대한 권장 파일 경로 제외 목록이 포함되어 있습니다. 이러한 제외는 기본적으로 켜져 있습니다. 원하는 경우 Mac용 권장 파일 경로 제외 포함 토글을 토글하여 비활성화할 수 있습니다. 목록에는 다음이 포함됩니다.
- /Applications/*
- /System/*
- /usr/*
- /Library/*
- /private/*
- /opt/*
- /Users//Library/Application Support/Microsoft/Teams/
제한된 앱 및 앱 그룹
제한된 앱
제한된 앱(이전의 허용되지 않는 앱)은 사용자가 만드는 애플리케이션 목록입니다. 사용자가 목록에 있는 앱을 사용하여 장치의 DLP 보호 파일에 액세스 할 때 DLP가 수행할 작업을 구성합니다. Windows 10 및 macOS 장치에 사용할 수 있습니다.
정책에서 제한된 앱에 의한 액세스 를 선택하고 사용자가 제한된 앱 목록에 있는 앱을 사용하여 보호된 파일에 액세스하는 경우 활동은 구성한 방법에 따라 audited, blocked 또는 blocked with override이(가) 됩니다. 즉, 동일한 앱이 제한된 앱 그룹 의 구성원이 아닌 경우 제한된 앱 그룹 의 활동에 대해 구성된 작업이 제한된 앱 목록에 대한 액세스 활동에 대해 구성된 작업보다 우선 적용됩니다. 모든 활동을 감사하며 활동 탐색기에서 검토할 수 있습니다.
중요
실행 파일 이름(예: 브라우저.exe)은 포함해야 하지만 실행 파일 경로는 포함하지 않아야 합니다.
중요
제한된 앱 목록에 있는 앱에 대해 정의된 작업(audit, block with override 또는 block)은 사용자가 보호된 항목에 액세스 하려고 할 때만 적용됩니다.
제한된 앱 그룹의 앱에 대한 파일 활동
제한된 앱 그룹은 DLP 설정에서 만든 다음 정책의 규칙에 추가하는 앱 모음입니다. 제한된 앱 그룹을 정책에 추가하면 이 표에 정의된 작업을 수행할 수 있습니다.
| 제한된 앱 그룹 옵션 | 할 수 있는 것 |
|---|---|
| 파일 활동을 제한하지 마세요 | 사용자가 앱 그룹의 앱을 사용하여 DLP 보호 항목에 액세스할 수 있도록 허용하고 사용자가 클립보드에 복사, USB 이동식 드라이브에 복사, 네트워크 드라이브에 복사 및 앱에서 인쇄 를 시도할 때 조치를 취하지 않도록 DLP에 지시합니다. |
| 모든 활동에 제한 적용 | 사용자가 이 앱 그룹에 있는 앱을 사용하여 DLP 보호 항목에 액세스하려고 할 때 DLP에 Audit only, Block with override 또는 Block에 알립니다. |
| 특정 활동에 제한 적용 | 이 설정을 통해 사용자는 앱 그룹에 있는 앱을 사용하여 DLP 보호 항목에 액세스할 수 있으며 사용자가 클립보드에 복사, USB 이동식 드라이브에 복사, 네트워크 드라이브에 복사 및 인쇄 를 시도할 때 DLP가 수행할 기본 작업(Audit only, Block 또는 Block with override)을 선택할 수 있습니다. |
중요
제한된 앱 그룹의 설정은 동일한 규칙에 있는 제한된 앱 목록에 설정된 제한 사항보다 우선합니다. 따라서 앱이 제한된 앱 목록에 있고 제한된 앱 그룹의 구성원인 경우 제한된 앱 그룹의 설정이 적용됩니다.
DLP가 활동에 제한 사항을 적용하는 방법
제한된 앱 그룹의 앱에 대한 파일 활동, 모든 앱에 대한 파일 활동 및 제한된 앱 활동 목록 간의 상호작용은 동일한 규칙으로 범위가 지정됩니다.
제한된 앱 그룹 재정의
제한된 앱 그룹의 파일 활동 에 정의된 구성은 동일한 규칙 안의 제한된 앱 활동 목록 및 모든 앱의 파일 활동 에 있는 구성을 재정의합니다.
모든 앱에 대한 제한된 앱 활동 및 파일 활동
제한된 앱 활동 에 대해 정의된 작업이 Audit only 또는 Block with override인 경우 동일한 규칙 안의 제한된 앱 활동 및 모든 앱의 파일 활동 구성이 함께 작동합니다. 제한된 앱 활동 에 대해 정의된 작업은 사용자가 목록에 있는 앱을 사용하여 파일에 액세스할 때만 적용되기 때문입니다. 사용자에게 액세스 권한이 있으면 모든 앱의 파일 활동 에서 활동에 대해 정의된 작업이 적용됩니다.
다음은 예입니다.
Notepad.exe가 제한된 앱 에 추가되고 모든 앱의 파일 활동 이 특정 활동에 제한 적용 으로 구성되고 둘 다 다음과 같이 구성된 경우:
| 정책에서 설정 | 앱 이름 | 사용자 활동 | 수행할 DLP 작업 |
|---|---|---|---|
| 제한된 앱 활동 | 메모장 | DLP로 보호된 항목에 액세스 | 감사만 |
| 모든 앱에 대한 파일 활동 | 모든 앱 | 클립보드에 복사 | 감사만 |
| 모든 앱에 대한 파일 활동 | 모든 앱 | USB 제거 가능 디바이스에 복사 | 차단 |
| 모든 앱에 대한 파일 활동 | 모든 앱 | 네트워크 공유에 복사 | 감사만 |
| 모든 앱에 대한 파일 활동 | 모든 앱 | 인쇄 | 차단 |
| 모든 앱에 대한 파일 활동 | 모든 앱 | 허용되지 않는 Bluetooth 앱을 사용하여 복사 또는 이동 | 차단됨 |
| 모든 앱에 대한 파일 활동 | 모든 앱 | 원격 데스크톱 서비스 | 재정의와 함께 차단 |
사용자 A는 메모장을 사용하여 DLP로 보호된 파일을 엽니다. DLP는 액세스를 허용하고 활동을 감사합니다. 메모장에 있는 동안 사용자 A는 보호된 항목에서 클립보드로 복사를 시도합니다. 이 작업은 작동하고 DLP가 활동을 감사합니다. 그런 다음 사용자 A가 메모장에서 보호된 항목을 인쇄하려고 하고 활동이 차단됩니다.
참고
제한된 앱 활동 에서 수행할 DLP 작업이 block으로 설정되면 모든 액세스가 차단되고 사용자는 파일에서 어떤 활동도 수행할 수 없습니다.
모든 앱에 대한 파일 활동만
앱이 제한된 앱 그룹의 앱에 대한 파일 활동 에 없거나 제한된 앱 활동 목록에 없거나, Audit only 또는 '재정의로 차단' 작업이 있는 제한된 앱 활동 목록에 있는 경우, 모든 앱에 대한 파일 활동 에 정의된 모든 제한은 동일한 규칙에 적용됩니다.
macOS 장치
Windows 장치와 마찬가지로 이제 macOS 앱이 제한된 앱 활동 목록에서 중요한 데이터에 액세스하는 것을 방지할 수 있습니다.
참고
플랫폼 간 앱은 실행 중인 OS에 따라 고유한 경로로 입력해야 합니다.
Mac 앱의 전체 경로를 찾으려면:
macOS 장치에서 활동 모니터 를 엽니다. 제한하려는 프로세스를 찾아 두 번 클릭합니다.
파일 및 포트 열기 탭을 선택합니다.
macOS 앱의 경우 앱 이름을 포함하여 전체 경로 이름이 필요합니다.
클라우드 동기화 앱에서 중요한 데이터 보호
onedrive.exe 와 같은 클라우드 동기화 앱이 중요한 항목을 클라우드에 동기화하지 못하도록 하려면 클라우드 동기화 앱을 허용되지 않는 앱 목록에 추가하세요. 허용되지 않은 클라우드 동기화 앱이 차단 DLP 정책으로 보호되는 항목에 액세스하려고 하면 DLP가 반복적인 알림을 생성할 수 있습니다. 허용되지 않는 앱 에서 자동 격리 옵션을 사용하도록 설정하면 이러한 반복 알림을 방지할 수 있습니다.
자동 격리(미리 보기)
참고
자동 격리는 Windows 10만 지원됩니다.
활성화하면 허용되지 않은 앱이 DLP로 보호되는 중요한 항목에 액세스하려고 할 때 자동 격리가 시작됩니다. 자동 격리는 중요한 항목을 관리자가 구성한 폴더로 이동하고 원본 위치에 자리 표시자 .txt 파일을 남길 수 있습니다. 항목이 이동된 위치 및 기타 관련 정보를 사용자에게 알리도록 자리 표시자 파일의 텍스트를 구성할 수 있습니다.
자동 격리를 사용하여 사용자와 관리자 사이에 무한 DLP 알림 체인이 생기는 걸 방지할 수 있습니다. 시나리오 4: 자동 격리를 사용하여 클라우드 동기화 앱에서 DLP 알림 반복 방지(미리 보기)를 참조하세요.
허용되지 않는 Bluetooth 앱
특정 Bluetooth 앱을 통해 정책에 의해 보호되는 파일을 전송하지 못하게 합니다.
중요한 데이터에 대한 브라우저 및 도메인 제한
정책과 일치하는 중요한 파일을 무제한 클라우드 서비스 도메인에 공유하지 못하도록 제한합니다.
허용되지 않는 브라우저
Windows 장치의 경우 브라우저를 추가하면 실행 파일 이름으로 식별되어 클라우드 서비스로 업로드 제한이 차단 또는 차단되는 DLP 정책의 조건과 일치하는 파일에 액세스하지 못하게 차단됩니다. 이러한 브라우저가 파일에 액세스하지 차단된 경우 최종 사용자에게 파일을 열지 묻는 알림이 Microsoft Edge.
macOS 장치의 경우 전체 파일 경로를 추가해야 합니다. Mac 앱의 전체 경로를 찾으려면:
macOS 장치에서 활동 모니터 를 엽니다. 제한하려는 프로세스를 찾아 두 번 클릭합니다.
파일 및 포트 열기 탭을 선택합니다.
macOS 앱의 경우 앱 이름을 포함하여 전체 경로 이름이 필요합니다.
서비스 도메인
참고
서비스 도메인 설정은 Microsoft Purview 확장 프로그램이 설치된 Microsoft Edge 또는 Google Chrome을 사용하여 업로드한 파일에만 적용됩니다.
정책으로 보호되는 중요한 파일을 Microsoft Edge의 특정 서비스 도메인에 업로드할 수 있는지 여부를 제어할 수 있습니다.
목록 모드가 차단 으로 설정되어 있으면 사용자는 해당 도메인에 중요한 항목을 업로드할 수 없습니다. 항목이 DLP 정책과 일치하여 업로드 작업이 차단되면 DLP가 경고를 생성하거나 중요한 항목의 업로드를 차단합니다.
목록 모드가 허용 으로 설정되어 있으면 사용자는 해당 도메인에 오직 중요한 항목만을 업로드할 수 있으며 다른 모든 도메인에 대한 업로드 액세스는 허용되지 않습니다.
중요
서비스 제한 모드를 "허용"으로 설정한 경우 제한이 적용되기 전에 하나 이상의 서비스 도메인을 구성해야 합니다.
종료 지점의 . 없이 서비스 도메인의 FQDN 형식을 사용하세요.
예를 들면 다음과 같습니다.
| 입력 | URL 일치 동작 |
|---|---|
| CONTOSO.COM | 지정 도메인 이름 및 아무 하위 사이트와 일치: ://contoso.com://contoso.com/ ://contoso.com/anysubsite1 ://contoso.com/anysubsite1/anysubsite2(등) 하위 도메인 또는 지정하지 않은 도메인과 일치하지 않음: ://anysubdomain.contoso.com ://anysubdomain.contoso.com.AU |
| *.CONTOSO.COM | 지정 도메인 이름, 아무 하위 도메인, 아무 사이트와 일치: ://contoso.com ://contoso.com/anysubsite ://contoso.com/anysubsite1/anysubsite2 ://anysubdomain.contoso.com/ ://anysubdomain.contoso.com/anysubsite/ ://anysubdomain1.anysubdomain2.contoso.com/anysubsite/ ://anysubdomain1.anysubdomain2.contoso.com/anysubsite1/anysubsite2(등) 지정하지 않은 도메인과 일치하지 않음 |
www.contoso.com |
지정 도메인 이름과 일치:
지정하지 않은 도메인 또는 하위 도메인과 일치하지 않음: *://anysubdomain.contoso.com/, 이 경우 FQDN 도메인 이름 자체를 입력해야 합니다. |
중요한 서비스 도메인(미리 보기)
중요한 서비스 도메인에 웹사이트를 등록하면 사용자가 다음을 시도할 때 감사, 재정의로 차단 또는 차단할 수 있습니다.
- 웹사이트에서 인쇄
- 웹사이트에서 데이터 복사
- 웹 사이트를 로컬 파일로 저장
각 웹 사이트는 웹 사이트 그룹에 나열되어야 하며 사용자는 Microsoft Edge를 통해 웹 사이트에 액세스해야 합니다. 중요한 서비스 도메인(미리 보기)은 장치에 대한 DLP 정책과 함께 사용됩니다. 자세한 내용은 시나리오 6 중요한 서비스 도메인에서 사용자 활동 모니터링 또는 제한(미리 보기)을 참조하세요.
끝점 DLP에 대한 추가 설정
정책 팁의 비즈니스 타당성
DLP 정책 팁 알림에서 사용자가 비즈니스 타당성 옵션과 상호 작용하는 방법을 제어할 수 있습니다. 이 옵션은 사용자가 DLP 정책에서 재정의로 차단 설정으로 보호되는 활동을 수행하는 경우 나타납니다. 전역 설정입니다. 다음 옵션 중 하나를 선택할 수 있습니다.
- 기준 옵션 및 사용자 지정 텍스트 상자 표시: 기본적으로 사용자는 기본 제공 근거를 선택하거나 자신의 텍스트를 입력할 수 있습니다.
- 기본 옵션 표시: 사용자는 기본 제공 근거만 선택할 수 있습니다.
- 사용자 지정 텍스트 상자 표시: 사용자는 자신의 근거만 입력할 수 있습니다. 텍스트 상자만 최종 사용자 정책 팁 알림에 표시됩니다.
드롭다운 메뉴에서 옵션 사용자 지정 중
옵션 드롭다운 메뉴 사용자 지정 을 선택하여 사용자가 정책 알림 팁과 상호 작용할 때 표시되는 최대 5개의 사용자 지정된 옵션을 만들 수 있습니다.
| 옵션 | 기본 텍스트 |
|---|---|
| 옵션 1 | 이 작업은 설정된 비즈니스 워크플로의 일부입니다. 또는 사용자 지정된 텍스트를 입력할 수 있습니다. |
| 옵션 2 | 관리자가 이 작업을 승인했거나 사용자 지정된 텍스트를 입력할 수 있습니다. |
| 옵션 3 | 긴급 액세스가 필요합니다. 관리자에게 따로 알려드리거나 사용자 지정된 텍스트를 입력할 수 있습니다. |
| 가양성 옵션 표시 | 이 파일의 정보는 중요하지 않습니다 또는 사용자 지정된 텍스트를 입력할 수 있습니다. |
| 옵션 5 | 기타 또는 사용자 지정된 텍스트를 입력할 수 있습니다. |
장치에 대한 파일 활동 항상 감사
기본적으로 장치가 온보딩되면 Office, PDF 및 CSV 파일에 대한 활동이 자동으로 감사되고 활동 탐색기에서 검토할 수 있게 됩니다. 온보딩된 장치가 활성 정책에 포함된 경우에만 이 활동을 감사하려면 이 기능을 끄세요.
온보딩된 장치에 대한 파일 활동은 활성 정책에 포함된지의 여부에 상관없이 항상 감사됩니다.