Azure Information Protection에 대한 HYOK(Hold Your Own Key) 세부 정보
HYOK(Hold Your Own Key) 구성을 사용하면 클래식 클라이언트를 사용하는 AIP 고객이 키를 완전히 제어하면서 매우 중요한 콘텐츠를 보호할 수 있습니다. HYOK는 매우 중요한 콘텐츠에 대해 온-프레미스에 저장되는 추가 고객 보유 키를 다른 콘텐츠에 사용된 기본 클라우드 기반 보호와 함께 사용합니다.
HYOK 보호는 온-프레미스 애플리케이션 및 서비스에 대한 데이터에만 액세스할 수 있으므로 HYOK를 사용하는 고객은 클라우드 문서용 클라우드 기반 키도 갖게 됩니다.
다음과 같은 문서에 HYOK를 사용합니다.
- 소수의 사람들에게만 제한됨
- 조직 외부에서 공유되지 않음
- 내부 네트워크에서만 사용됨
이러한 문서는 일반적으로 조직에서 "일급 비밀"로, 가장 높은 분류를 갖습니다.
클래식 클라이언트가 있는 경우에만 HYOK 보호를 사용하여 콘텐츠를 암호화할 수 있습니다. 그러나 HYOK로 보호되는 콘텐츠가 있는 경우 클래식 및 통합 레이블 지정 클라이언트 모두에서 볼 수 있습니다.
기본 클라우드 기반 테넌트 루트 키에 대한 자세한 내용은 Azure Information Protection 테넌트 키 계획 및 구현을 참조하세요.
클라우드 기반 보호와 HYOK
일반적으로 Azure Information Protection을 사용하여 중요한 문서 및 이메일을 보호하는 데 Microsoft에서 생성하거나 고객이 BYOK 구성을 사용하여 생성한 클라우드 기반 키를 사용합니다.
클라우드 기반 키는 고객에게 다음과 같은 이점을 제공하는 Azure Key Vault에서 관리됩니다.
서버 인프라 요구 사항 없음. 클라우드 솔루션은 온-프레미스 솔루션보다 배포 및 유지 관리가 더 빠르고 비용 효율적입니다.
클라우드 기반 인증을 사용하면 다른 조직의 파트너 및 사용자와 더 쉽게 공유할 수 있습니다.
검색, 웹 뷰어, 피벗된 보기, 맬웨어 방지, eDiscovery 및 Delve와 같은 다른 Azure 및 Microsoft 365 서비스와 긴밀한 통합.
공유한 중요한 문서에 대한 문서 추적, 해지 및 이메일 알림.
그러나 일부 조직에는 클라우드에서 격리된 키를 사용하여 특정 콘텐츠를 암호화해야 하는 규정 요구 사항이 있을 수 있습니다. 이러한 격리는 온-프레미스 애플리케이션과 온-프레미스 서비스에서만 암호화된 콘텐츠를 읽을 수 있음을 의미합니다.
HYOK 구성을 사용하면 고객 테넌트에는 클라우드에 저장할 수 있는 콘텐츠에서 사용할 클라우드 기반 키와 온-프레미스만 보호해야 하는 콘텐츠용 온-프레미스 키가 모두 있습니다.
HYOK 지침 및 모범 사례
HYOK를 구성할 때 다음 권장 사항을 고려하세요.
중요
Azure Information Protection에 대한 HYOK 구성은 완전한 AD RMS 및 Azure Information Protection 배포를 대체하거나 AD RMS를 Azure Information Protection으로 마이그레이션하는 대신 사용하기 위한 것이 아닙니다.
HYOK는 레이블을 적용해야 지원할 수 있으며, AD RMS와 동일한 기능을 제공하지 않고 일부 AD RMS 배포 구성만 지원합니다.
HYOK에 적합한 콘텐츠
HYOK 보호는 온-프레미스 애플리케이션 및 서비스에서만 콘텐츠에 액세스할 수 있으므로 클라우드 기반 보호의 이점을 제공하지 않으며, 종종 "데이터가 불투명"해집니다. HYOK 보호를 사용하는 조직의 경우에도 일반적으로 적은 수의 문서에만 적합합니다.
다음 조건과 일치하는 콘텐츠에만 HYOK를 사용하는 것이 좋습니다.
- 액세스가 몇 사람으로 제한된 조직의 최상위 분류에 해당하는 콘텐츠("극비")
- 조직 외부에서 공유되지 않는 콘텐츠
- 내부 네트워크에서만 사용되는 콘텐츠
HYOK 구성 레이블을 볼 수 있는 사용자 정의
HYOK 보호를 적용해야 하는 사용자만 HYOK 구성 레이블을 볼 수 있도록 하려면 범위가 지정된 정책을 사용하여 해당 사용자에 대한 정책을 구성합니다.
HYOK 및 이메일 지원
Microsoft 365 서비스 및 기타 온라인 서비스에서 HYOK로 보호된 콘텐츠의 암호를 해독할 수 없습니다.
이메일의 경우 맬웨어 스캐너, 암호화 전용 보호, DLP(데이터 손실 방지) 솔루션, 메일 라우팅 규칙, 저널링, eDiscovery, 보관 솔루션 및 Exchange ActiveSync와 같은 기능 손실이 발생합니다.
사용자가 일부 디바이스에서 HYOK로 보호된 이메일이 열리지 않는 이유를 몰라서 지원 센터에 전화를 걸 수 있습니다. 이메일을 사용하여 HYOK 보호를 구성할 때 이러한 심각한 제한 사항을 고려하세요.
ADRMS에서 마이그레이션
HYOK에서 클래식 클라이언트를 사용하고 AD RMS에서 마이그레이션한 경우 리디렉션이 있으며, 사용하는 AD RMS 클러스터에는 마이그레이션한 클러스터의 라이선스 URL이 서로 달라야 합니다.
자세한 내용은 Azure Information Protection 설명서의 AD RMS에서 마이그레이션을 참조하세요.
지원되는 HYOK 애플리케이션
Azure Information Protection 레이블을 사용하여 특정 문서 및 이메일에 HYOK를 적용합니다. HYOK는 Office 버전 2013 이상에서 지원됩니다.
HYOK는 레이블에 대한 관리자 구성 옵션이며, 콘텐츠에서 클라우드 기반 키 또는 HYOK로 사용 여부에 관계없이 워크플로가 동일하게 유지됩니다.
다음 표에는 HYOK 구성 레이블을 사용한 콘텐츠 보호 및 사용을 지원하는 시나리오가 나와 있습니다.
- HYOK에 대한 Windows 애플리케이션 지원
- HYOK에 대한 macOS 애플리케이션 지원
- HYOK에 대한 iOS 애플리케이션 지원
- HYOK에 대한 Android 애플리케이션 지원
참고
Office Web 및 유니버설 애플리케이션은 HYOK에서 지원되지 않습니다.
HYOK에 대한 Windows 애플리케이션 지원
| 애플리케이션 | 보호 | Consumption |
|---|---|---|
| Microsoft 365 앱, Office 2019, Office 2016 및 Office 2013 Word, Excel, PowerPoint, Outlook이 설치된 Azure Information Protection 클라이언트 |
 |
|
| 파일 탐색기를 사용하는 Azure Information Protection 클라이언트 | |
|
| Azure Information Protection 뷰어 | 해당 없음 | |
| PowerShell 레이블 지정 cmdlet를 사용하는 Azure Information Protection 클라이언트 | |
|
| Azure Information Protection 스캐너 | |
|
HYOK에 대한 macOS 애플리케이션 지원
| 애플리케이션 | 보호 | Consumption |
|---|---|---|
| Mac용 Office: Word, Excel, PowerPoint, Outlook |
 |
|
HYOK에 대한 iOS 애플리케이션 지원
| 애플리케이션 | 보호 | Consumption |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint |
|
|
| Office Mobile: Outlook만 해당 |
|
|
| Azure Information Protection 뷰어 | 해당 없음 | |
HYOK에 대한 Android 애플리케이션 지원
| 애플리케이션 | 보호 | Consumption |
|---|---|---|
| Office Mobile: Word, Excel, PowerPoint |
|
|
| Office Mobile: Outlook만 해당 |
|
|
| Azure Information Protection 뷰어 | 해당 없음 | |
HYOK 구현
위에 나열된 요구 사항을 모두 준수하는 AD RMS(Active Directory Rights Management Services)가 있으면 Azure Information Protection은 HYOK를 지원합니다.
사용 권한 정책 및 이러한 정책을 보호하는 조직의 프라이빗 키는 온-프레미스에서 관리되고 보관되지만, 레이블 지정 및 분류에 대한 Azure Information Protection 정책은 Azure에서 관리되고 저장되는 상태로 유지됩니다.
HYOK 보호를 구현하려면:
구현할 준비가 되면 Rights Management 보호에 대해 레이블을 구성하는 방법을 계속 진행합니다.
HYOK를 지원하는 AD RMS에 대한 요구 사항
AD RMS 배포를 진행하려면 Azure Information Protection 레이블에 HYOK 보호를 제공하기 위해 다음 요구 사항을 충족해야 합니다.
| 요구 사항 | Description |
|---|---|
| AD RMS 구성 | HYOK를 지원하도록 AD RMS 시스템을 특정한 방식으로 구성해야 합니다. 자세한 내용은 아래를 참조하세요. |
| 디렉터리 동기화 | 온-프레미스 Active Directory와 Azure Active Directory 간에 디렉터리 동기화를 구성해야 합니다. Single Sign-On에 대해 HYOK 보호 레이블을 사용할 사용자는 구성해야 합니다. |
| 명시적으로 정의된 트러스트에 대한 구성 | HYOK로 보호된 콘텐츠를 조직 외부의 다른 사람들과 공유하는 경우 다른 조직과의 직접 지점 간 관계에 명시적으로 정의된 트러스트에 대해 AD RMS를 구성해야 합니다. AD FS(Active Directory Federation Services)를 사용하여 만든 TUD(신뢰할 수 있는 사용자 도메인) 또는 페더레이션된 트러스트를 사용하여 이 작업을 수행합니다. |
| Microsoft Office 지원 버전 | HYOK로 보호된 콘텐츠를 보호하거나 사용하는 사용자는 다음을 보유해야 합니다. - IRM(정보 권한 관리)을 지원하는 Office 버전 - Windows 7 서비스 팩 1 이상에서 실행되는 Microsoft Office Professional Plus 버전 2013 이상(서비스 팩 1 포함). - Office 2016 Microsoft 설치 관리자(.msi) 기반 버전의 경우 2018년 3월 6일에 릴리스된 Microsoft Office 2016에 대한 업데이트 4018295가 있어야 합니다. 참고: Office 2010 및 Office 2007은 지원되지 않습니다. 자세한 내용은 AIP와 레거시 Windows 및 Office 버전을 참조하세요. |
중요
HYOK 보호에서 제공하는 높은 보증을 충족하려면 다음을 권장합니다.
AD RMS 서버를 DMZ 외부에서 찾고 관리되는 디바이스에서만 사용하도록 합니다.
HSM(하드웨어 보안 모듈)로 AD RMS 클러스터를 구성합니다. 이렇게 하면 AD RMS 배포가 위반되거나 손상되는 경우 SLC(Server Licensor Certificate) 프라이빗 키가 노출되거나 도난당하지 않습니다.
팁
배포 정보 및 AD RMS에 대한 지침은 Windows Server 라이브러리에서 Active Directory Rights Management Services를 참조하세요.
AD RMS 구성 요구 사항
HYOK를 지원하려면 AD RMS 시스템에 다음 구성이 있는지 확인합니다.
| 요구 사항 | Description |
|---|---|
| Windows 버전 | 최소한 다음 Windows 버전 중 하나가 있어야 합니다. 프로덕션 환경: Windows Server 2012 R2 Testing/평가 환경: Windows Server 2008 R2(서비스 팩 1 포함) |
| 토폴로지 | HYOK에는 다음 토폴로지 중 하나가 필요합니다. - 단일 AD RMS 클러스터가 있는 단일 포리스트 - 각각 AD RMS 클러스터가 있는 여러 포리스트 여러 포리스트에 대한 라이선스 포리스트가 여러 개 있는 경우 각 AD RMS 클러스터는 동일한 AD RMS 클러스터를 가리키는 라이선스 URL을 공유합니다. 이 AD RMS 클러스터에서는 다른 모든 AD RMS 클러스터에서 TUD(신뢰할 수 있는 사용자 도메인) 인증서를 가져옵니다. 이 토폴로지에 대한 자세한 내용은 신뢰할 수 있는 사용자 도메인을 참조하세요. 여러 포리스트에 대한 전역 정책 레이블 별도의 포리스트에 여러 AD RMS 클러스터가 있는 경우 HYOK(AD RMS) 보호에 적용되는 전역 정책에서 레이블을 삭제하고 각 클러스터에 대해 범위가 지정된 정책을 구성합니다. 각 클러스터의 사용자를 범위가 지정된 정책에 할당하여 둘 이상의 범위가 지정된 정책에 사용자가 할당되는 그룹을 사용하지 않는지 확인합니다. 그 결과 각 사용자에게 하나의 AD RMS 클러스터에 대한 레이블만 있게 됩니다. |
| 암호화 모드 | AD RMS는 암호화 모드 2로 구성해야 합니다. AD RMS 클러스터 속성, 일반 탭을 확인하여 모드를 확인합니다. |
| 구성 URL 구성 | 인증 URL에 대해 각 AD RMS 서버를 구성해야 합니다. 자세한 내용은 아래를 참조하세요. |
| 서비스 연결 지점 | Azure Information Protection과 함께 AD RMS 보호를 사용하는 경우 SCP(서비스 연결 지점)를 사용하지 않습니다. AD RMS 배포에 SCP가 등록된 경우 제거하여 Azure Rights Management 보호에 대한 서비스 검색이 성공적으로 수행되었는지 확인합니다. HYOK에 대한 새로운 AD RMS 클러스터를 설치하는 경우 첫 번째 노드를 구성할 때 SCP를 등록하지 마세요. 노드를 추가할 때마다 AD RMS 역할을 추가하고 기존 클러스터를 연결하기 전에 서버에 인증 URL이 구성되어 있는지 확인합니다. |
| SSL/TLS | 프로덕션 환경에서 AD RMS 서버는 연결된 클라이언트가 신뢰하는 유효한 x.509 인증서와 함께 SSL/TLS를 사용하도록 구성되어야 합니다. 테스트 또는 평가 목적으로는 필요하지 않습니다. |
| 권한 템플릿 | AD RMS에 대해 구성된 권한 템플릿이 있어야 합니다. |
| Exchange IRM | Exchange IRM에 대해 AD RMS를 구성할 수 없습니다. |
| 모바일 디바이스/Mac 컴퓨터 | Active Directory Rights Management Services 모바일 디바이스 확장이 설치 및 구성되어 있어야 합니다. |
AD RMS 서버를 구성하여 인증 URL 찾기
클러스터의 각 AD RMS 서버에서 다음 레지스트리 항목을 작성합니다.
Computer\HKEY_LOCAL_MACHINE\Software\Microsoft\DRMS\GICURL = "<string>"`<문자열 값>에 대해 다음 문자열 중 하나를 지정합니다.
환경 문자열 값 프로덕션
(SSL/TLS를 사용하는 AD RMS 클러스터)https://<cluster_name>/_wmcs/certification/certification.asmx테스트/평가
(SSL/TLS 없음)http://<cluster_name>/_wmcs/certification/certification.asmxIIS를 다시 시작합니다.
Azure Information Protection 레이블을 사용하여 AD RMS 보호를 지정하는 데 필요한 정보 찾기
HYOK 보호 레이블을 구성하려면 AD RMS 클러스터의 라이선스 URL을 지정해야 합니다.
또한 사용자에게 부여하려는 권한으로 구성한 템플릿을 지정하거나 사용자가 권한 및 사용자를 정의할 수 있도록 해야 합니다.
Active Directory Rights Management Services 콘솔에서 템플릿 GUID 및 라이선스 URL 값을 찾으려면 다음을 수행하세요.
템플릿 GUID 찾기
클러스터를 확장하고 권한 정책 템플릿을 클릭합니다.
분산 권한 정책 템플릿 정보에서 사용하려는 템플릿의 GUID를 복사합니다.
예: 82bf3474-6efe-4fa1-8827-d1bd93339119
라이선스 URL 찾기
클러스터 이름을 클릭합니다.
클러스터 세부 정보에서 /_wmcs/licensing 문자열을 제외하고 라이선스입니다.
예: https://rmscluster.contoso.com
참고
엑스트라넷 및 인트라넷 라이선스 값이 다른 경우 보호된 콘텐츠를 파트너와 공유하는 경우에만 엑스트라넷 값을 지정합니다. 보호된 콘텐츠를 공유하는 파트너는 명시적 지점 간 트러스트를 사용하여 정의해야 합니다.
보호된 콘텐츠를 공유하지 않는 경우 인트라넷 값을 사용하고 Azure Information Protection에서 AD RMS 보호를 사용하는 모든 클라이언트 컴퓨터가 인트라넷 연결을 통해 연결되는지 확인합니다. 예를 들어 원격 컴퓨터는 VPN 연결을 사용해야 합니다.
다음 단계
HYOK를 지원하도록 시스템 구성을 완료했으면 HYOK 보호에 대한 레이블 구성을 계속 진행합니다. 자세한 내용은 Rights Management 보호를 적용하도록 레이블을 구성하는 방법을 참조하세요.