Microsoft Purview AI Hub 및 Microsoft Copilot에 대한 데이터 보안 및 규정 준수 보호에 대한 고려 사항

보안 & 규정 준수를 위한 Microsoft 365 라이선스 지침

Microsoft Purview AI Hub 및 기타 기능을 사용하여 Microsoft 365용 Copilot 대한 데이터 보안 및 규정 준수 보호를 관리하는 방법을 이해하는 경우 organization 적용될 수 있는 필수 구성 요소, 고려 사항 및 예외에 대해 다음 세부 정보를 사용합니다. Microsoft Copilot의 경우 Microsoft 365용 Microsoft Copilot 요구 사항과 함께 읽어야 합니다.

Copilot에 이러한 기능을 사용하는 라이선스 정보는 페이지 맨 위에 있는 라이선스 및 서비스 설명 링크를 참조하세요. Copilot에 대한 라이선스 정보는 Microsoft 365용 Microsoft Copilot 대한 서비스 설명을 참조하세요.

AI Hub 필수 구성 요소 및 고려 사항

대부분의 경우 AI 허브는 사용하기 쉽고 설명이 쉽고 필수 구성 요소와 미리 구성된 보고서 및 정책을 안내합니다. 이 섹션을 사용하여 해당 정보를 보완하고 필요할 수 있는 추가 세부 정보를 제공합니다.

AI 허브에 대한 필수 구성 요소

Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털 AI 허브를 사용하려면 다음 필수 구성 요소가 있어야 합니다.

• 올바른 권한이 있습니다.

• Microsoft 365용 Copilot 상호 작용을 모니터링하는 데 필요합니다.

  • 사용자에게 Microsoft 365용 Microsoft Copilot 대한 라이선스가 할당됩니다.

  • Microsoft Purview 감사는 organization 사용할 수 있습니다. 기본값이지만 감사 설정 또는 해제에 대한 지침을 검사 수 있습니다.

• 타사 생성 AI 사이트와의 상호 작용을 모니터링하는 데 필요합니다.

  • 디바이스는 다음을 위해 필요한 Microsoft Purview에 온보딩됩니다.

    • 타사 생성 AI 사이트와 공유되는 중요한 정보를 파악합니다. 예를 들어 사용자는 신용 카드 번호를 ChatGPT 붙여넣습니다.
    • 엔드포인트 DLP 정책을 적용하여 사용자가 타사 생성 AI 사이트와 중요한 정보를 공유하지 못하도록 경고하거나 차단합니다. 예를 들어 적응형 보호에서 높은 위험으로 식별된 사용자는 신용 카드 번호를 ChatGPT 붙여넣을 때 재정의하는 옵션으로 차단됩니다.

  • Microsoft Purview 브라우저 확장은 사용자에게 배포되며 타사 생성 AI 사이트에 대한 사이트 방문을 검색해야 합니다.

AI 허브 자체의 감사, 디바이스 온보딩 및 브라우저 확장에 대한 필수 구성 요소에 대한 자세한 내용은 분석>시작 섹션으로 이동합니다.

현재 지원되는 타사 AI 앱 목록은 데이터 보안 및 규정 준수 보호를 위해 Microsoft Purview에서 지원되는 AI 사이트를 참조하세요.

AI 허브에 대한 권한

AI 앱을 관리하는 보안 및 규정 준수 팀의 구성원은 Microsoft Purview 포털에 로그인하거나 Microsoft Purview 규정 준수 포털 로그인할 때 AI 허브에 대한 권한이 필요합니다.

AI 허브 활동	이러한 역할 그룹 중 하나의 멤버
모든 활동	- Microsoft Entra 준수 관리자 - 전역 관리자 Microsoft Entra
활동 탐색기에서 내부 위험 관리 이벤트 보기	- 내부 위험 관리 관리자 - 내부 위험 관리 분석가 - 내부 위험 관리 조사자

사용자에게 올바른 권한을 할당하는 데 도움이 되도록 사용 중인 포털에 따라 다음 지침을 사용합니다.

• Microsoft Purview 포털의 사용 권한
• Microsoft Purview 규정 준수 포털의 사용 권한
• 사용자에게 Microsoft Entra 역할 할당

AI 허브에서 원클릭 정책

기본 정책을 만든 후 포털의 해당 솔루션 영역에서 언제든지 보고 편집할 수 있습니다. 예를 들어 테스트 중 또는 비즈니스 요구 사항에 대해 특정 사용자에게 정책을 scope 합니다. 정책 페이지를 사용하여 포털에서 올바른 위치로 빠르게 이동합니다.

AI용 데이터 검색에 대한 기본 정책

• DLP 정책: Microsoft AI Hub - AI 도우미에서 중요한 프롬프트 검색

  이 정책은 Edge, Chrome 및 Firefox를 다른 AI 도우미에 붙여넣거나 업로드하는 중요한 콘텐츠를 검색합니다. 이 정책은 감사 모드에서만 조직의 모든 사용자 및 그룹을 다룹니다.

• 내부 위험 관리 정책: Microsoft AI 허브 - AI 도우미에서 검색

  이 정책은 사용자가 브라우저를 사용하여 다른 AI 도우미를 방문하는 시기를 감지하는 내부자 위험 관리 정책을 만듭니다.

생성 AI에 사용되는 중요한 데이터를 보호하는 데 도움이 되는 데이터 보안의 기본 정책

• DLP 정책 Microsoft AI 허브 - AI 도우미의 적응형 보호

  이 정책은 Adaptive Protection을 사용하여 Edge, Chrome 및 Firefox의 다른 AI 도우미에 중요한 정보를 붙여넣거나 업로드하려는 위험 수준이 높은 사용자에게 경고와 재정의를 제공합니다. 이 정책은 테스트 모드에서 조직의 모든 사용자 및 그룹을 다룹니다.

  적응형 보호는 아직 켜져 있지 않은 경우 모든 사용자 및 그룹에 대한 기본 위험 수준을 사용하여 보호 작업을 동적으로 적용합니다. 자세한 내용은 빠른 설정을 참조하세요.

• 정보 보호

  이 옵션은 기본 민감도 레이블 및 민감도 레이블 정책을 만듭니다.

  민감도 레이블 및 해당 정책을 이미 구성한 경우 이 구성은 건너뜁니다.

활동 탐색기 이벤트

다음 정보를 사용하여 AI 허브 활동 탐색기에서 볼 수 있는 이벤트를 이해할 수 있습니다. 생성 AI 사이트에 대한 참조에는 Microsoft Copilot 및 타사 AI 사이트가 포함될 수 있습니다.

이벤트	설명
AI 상호 작용	사용자가 생성 AI 사이트와 상호 작용했습니다.
분류 스탬프	사용자가 생성 AI 사이트와 상호 작용하는 동안 중요한 정보 유형이 발견되었습니다.
DLP 규칙 일치	사용자가 생성 AI 사이트와 상호 작용할 때 데이터 손실 방지 규칙이 일치했습니다.
AI 방문	사용자가 생성 AI 사이트와 상호 작용했습니다.
AI 상호 작용	사용자가 생성 AI 사이트로 검색했습니다.

미리 보기의 알려진 문제:

• 분류 스탬프 이벤트가 사용자 위험 수준을 표시하지 않음
• DLP 규칙 일치 및 AI 방문 이벤트가 워크로드를 표시하지 않음
• DLP 규칙은 분석 페이지에 표시되지만 활동 탐색기에는 표시되지 않는 브라우저에 붙여넣기 이벤트와 일치합니다.
• AI 방문 이벤트는 생성 AI 사이트로만 scope 않고 모든 사이트를 표시합니다.

Copilot에 대한 정보 보호 고려 사항

Microsoft 365용 Microsoft Copilot Exchange Online 사서함과 SharePoint 또는 OneDrive의 문서를 포함하여 Microsoft 365 테넌트 내에 저장된 데이터에 액세스할 수 있는 기능이 있습니다.

Copilot는 Microsoft 365 콘텐츠에 액세스하는 것 외에도 해당 파일이 저장되는 위치에 관계없이 Office 앱 세션의 컨텍스트에서 작업 중인 특정 파일의 콘텐츠를 사용할 수 있습니다. 예를 들어 로컬 스토리지, 네트워크 공유, 클라우드 스토리지 또는 USB 스틱이 있습니다. 앱 내에서 사용자가 파일을 열면 액세스가 사용 중인 데이터라고도 합니다.

Microsoft 365용 Copilot 배포하기 전에 데이터 보호 솔루션을 강화하는 데 도움이 되는 다음 세부 정보를 잘 알고 있어야 합니다.

• 사용자가 앱에서 열려 있는 암호화된 콘텐츠를 가지고 있고 콘텐츠가 사용자에게 VIEW 사용 권한을 부여하지만 EXTRACT는 부여하지 않으면 Copilot를 사용할 수 없습니다.

• Office 앱과 마찬가지로 Microsoft 365용 Copilot organization 민감도 레이블에 액세스할 수 있지만 다른 조직에서는 액세스할 수 없습니다. 조직 전체의 레이블 지정 지원에 대한 자세한 내용은 외부 사용자 및 레이블이 지정된 콘텐츠에 대한 지원을 참조하세요.

• SharePoint 및 OneDrive에서 사용자 정의 권한으로 레이블이 지정되고 암호화된 미사용 데이터 검색을 지원할 때까지 Copilot는 이러한 문서에 액세스할 수 없습니다. Copilot는 앱에서 열려 있을 때 사용자 정의 권한으로 암호화된 문서에 액세스할 수 있습니다(사용 중인 데이터).

• 그룹 및 사이트에 적용되는 민감도 레이블 ("컨테이너 레이블"이라고도 함)은 해당 컨테이너의 항목에서 상속되지 않습니다. 따라서 항목은 Copilot에 컨테이너 레이블을 표시하지 않으며 민감도 레이블 상속을 지원할 수 없습니다. 예를 들어 기밀로 레이블이 지정된 팀에서 요약된 Teams 채널 채팅 메시지는 Microsoft Copilot Graph 기반 채팅에서 민감도 컨텍스트에 대한 레이블을 표시하지 않습니다. 마찬가지로 SharePoint 사이트 페이지 및 목록의 콘텐츠는 컨테이너 레이블의 민감도 레이블을 표시하지 않습니다.

• 사용자가 텍스트를 복사하지 못하도록 제한하는 SHAREPoint IRM(정보 권한 관리) 라이브러리 설정을 사용하는 경우 파일을 만들거나 SharePoint에 업로드할 때가 아니라 다운로드할 때 사용 권한이 적용된다는 점에 유의하세요. Copilot가 휴지 상태일 때 이러한 파일을 요약하지 않으려면 EXTRACT 사용 권한 없이 암호화를 적용하는 민감도 레이블을 사용합니다.

• 다른 자동 레이블 지정 시나리오와 달리 새 콘텐츠를 만들 때 상속된 레이블 은 수동으로 적용된 우선 순위가 낮은 레이블을 대체합니다.

• 상속된 민감도 레이블을 적용할 수 없는 경우 텍스트는 대상 항목에 추가되지 않습니다. 예를 들면

  • 대상 항목이 읽기 전용입니다.
  • 대상 항목이 이미 암호화되어 있고 사용자에게 레이블을 변경할 수 있는 권한이 없습니다(EXPORT 또는 FULL CONTROL 사용 권한 필요).
  • 상속된 민감도 레이블이 사용자에게 게시되지 않음

• 사용자가 Copilot에게 레이블이 지정되고 암호화된 항목에서 새 콘텐츠를 만들도록 요청하는 경우 암호화가 사용자 정의 권한 에 대해 구성되거나 레이블과 독립적으로 암호화가 적용된 경우 레이블 상속이 지원되지 않습니다. 사용자는 이 데이터를 대상 항목으로 보낼 수 없습니다.

• DKE(이중 키 암호화)는 가장 엄격한 보호 요구 사항이 적용되는 가장 중요한 데이터를 위한 것이므로 Copilot는 이 데이터에 액세스할 수 없습니다. 따라서 DKE로 보호되는 항목은 Copilot에서 반환되지 않으며 DKE 항목이 열려 있는 경우(사용 중인 데이터) 앱에서 Copilot를 사용할 수 없습니다.

• Teams 모임 및 채팅을 보호하는 민감도 레이블은 현재 Copilot에서 인식되지 않습니다. 예를 들어 모임 채팅 또는 채널 채팅에서 반환된 데이터는 연결된 민감도 레이블을 표시하지 않으며 대상 항목에 대해 채팅 데이터 복사를 방지할 수 없으며 민감도 레이블을 상속할 수 없습니다. 이 제한은 민감도 레이블로 보호되는 모임 초대, 응답 및 일정 이벤트에는 적용되지 않습니다.

• Microsoft Copilot Graph 기반 채팅(이전의 Microsoft 365 Chat)의 경우:

  • 모임 초대에 민감도 레이블이 적용된 경우 레이블은 모임 초대 본문에 적용되지만 날짜 및 시간 또는 받는 사람과 같은 메타데이터에는 적용되지 않습니다. 따라서 메타데이터에 기반한 질문은 레이블 없이 데이터를 반환합니다. 예를 들어 "월요일에는 어떤 모임이 있나요?" 회의 기관(예: 안건)이 포함된 질문은 레이블이 지정된 데이터를 반환합니다.
  • 콘텐츠가 적용된 민감도 레이블과 독립적으로 암호화되고 해당 암호화가 사용자에게 EXTRACT 사용 권한(그러나 VIEW 사용 권한 포함)을 부여하지 않는 경우 Copilot에서 콘텐츠를 반환하여 원본 항목으로 보낼 수 있습니다. 문서에 "일반"이라는 레이블이 지정되고 해당 레이블이 암호화를 적용하지 않을 때 사용자가 정보 권한 관리의 Office 제한을 적용한 경우 이 구성이 발생할 수 있는 경우의 예입니다.
  • 반환된 콘텐츠에 민감도 레이블이 적용된 경우 이 기능은 현재 레이블이 지정된 데이터에 대해 지원되지 않으므로 Outlook에서 편집 옵션이 표시되지 않습니다.
  • 플러그 인 및 Microsoft Graph 커넥터를 포함하는 확장 기능을 사용하는 경우 외부 원본에서 이 데이터에 적용되는 민감도 레이블 및 암호화는 Copilot Graph 기반 채팅에서 인식되지 않습니다. 한 가지 예외는 Power BI 데이터이지만 데이터가 민감도 레이블 및 암호화를 지원할 가능성이 낮기 때문에 대부분의 경우 이 제한은 적용되지 않습니다. Microsoft 365 관리 센터 사용하여 사용자에 대한 플러그 인을 해제하고 Graph API 커넥터를 사용하는 연결의 연결을 끊으면 항상 외부 데이터 원본의 연결을 끊을 수 있습니다.

앱별 예외:

• PowerPoint의 Copilot: Copilot는 암호화된 파일에서 프레젠테이션을 만들 수 없습니다.

• Outlook의 Copilot: 전자 메일이 암호화되면 사용자는 해당 항목에 Copilot를 사용할 수 없습니다.

• Edge의 Copilot, Windows의 Copilot: Edge에서 DLP(데이터 손실 방지)를 사용하지 않는 한 Copilot는 해당 콘텐츠가 사용자에게 EXTRACT 사용 권한을 부여하지 않는 경우 Edge의 활성 브라우저 탭에서 암호화된 콘텐츠를 참조할 수 있습니다. 예를 들어 암호화된 콘텐츠는 웹용 Office 또는 웹용 Outlook.

민감도 레이블 상속을 위해 기존 레이블이 재정의되나요?

Copilot가 민감도 레이블 상속을 사용하여 보호를 자동으로 적용하는 경우의 결과 요약:

기존 레이블	민감도 레이블 상속을 사용하여 재정의
수동으로 적용되며 우선 순위가 낮습니다.	예
수동으로 적용, 높은 우선 순위	아니오
자동으로 적용됨, 낮은 우선 순위	예
자동으로 적용됨, 높은 우선 순위	아니오
정책의 기본 레이블, 낮은 우선 순위	예
정책의 기본 레이블, 높은 우선 순위	아니오
문서 라이브러리의 기본 민감도 레이블, 우선 순위가 낮습니다.	예
문서 라이브러리의 기본 민감도 레이블, 높은 우선 순위	아니오

Copilot는 EXTRACT 사용권으로 기존 보호를 적용합니다.

암호화된 콘텐츠에 대한 개별 사용 권한에 대해 잘 모를 수도 있지만 오랜 시간이 지났습니다. Windows Server Rights Management에서 Active Directory Rights Management, Azure Rights Management 서비스를 사용하여 Azure Information Protection 클라우드 버전까지.

"전달 금지" 전자 메일을 받은 적이 있는 경우 인증된 후 전자 메일을 전달하지 못하도록 사용 권한을 사용합니다. 일반적인 비즈니스 시나리오에 매핑되는 다른 번들 사용 권한과 마찬가지로 전달 금지 전자 메일은 수신자에게 콘텐츠로 수행할 수 있는 작업을 제어하는 사용 권한을 부여하며 FORWARD 사용 권한을 포함하지 않습니다. 전달하지 않는 것 외에도 이 전달 금지 전자 메일을 인쇄하거나 텍스트를 복사할 수 없습니다.

텍스트를 복사할 수 있는 권한을 부여하는 사용 권한은 EXTRACT이며, 더 사용자에게 친숙한 일반적인 이름인 Copy입니다. 이 사용 권한은 Microsoft 365용 Copilot 암호화된 콘텐츠에서 사용자에게 텍스트를 표시할 수 있는지 여부를 결정하는 것입니다.

참고

모든 권한(OWNER) 사용 권한에는 모든 사용 권한이 포함되므로 EXTRACT는 자동으로 모든 권한에 포함됩니다.

Microsoft Purview 규정 준수 포털 사용하여 암호화를 적용하도록 민감도 레이블을 구성하는 경우 첫 번째 선택은 지금 권한을 할당할지 아니면 사용자가 권한을 할당하도록 할지 여부입니다. 지금 할당하는 경우 Co-Author 또는 검토자와 같은 미리 설정된 사용 권한 그룹을 사용하여 미리 정의된 사용 권한 수준을 선택하여 권한을 구성합니다. 또는 사용 가능한 사용 권한을 개별적으로 선택할 수 있는 사용자 지정 권한을 선택할 수 있습니다.

Microsoft Purview 규정 준수 포털 EXTRACT 사용 권한은 콘텐츠 복사 및 추출(EXTRACT)으로 표시됩니다. 예를 들어 선택한 기본 권한 수준은 공동 작성자입니다. 여기서 콘텐츠 복사 및 추출(EXTRACT) 이 포함됩니다. 따라서 이 암호화 구성으로 보호되는 콘텐츠는 Microsoft 365용 Copilot 반환할 수 있습니다.

드롭다운 상자에서 사용자 지정 을 선택한 다음 목록에서 모든 권한(OWNER) 을 선택하면 이 구성에 EXTRACT 사용 권한도 부여됩니다.

참고

암호화를 적용하는 사람은 권한 관리 소유자이므로 항상 EXTRACT 사용 권한이 있습니다. 이 특수 역할에는 모든 사용 권한 및 기타 작업이 자동으로 포함됩니다. 즉, 사용자가 직접 암호화한 콘텐츠는 항상 Microsoft 365용 Copilot 반환될 수 있습니다. 구성된 사용 제한은 콘텐츠에 액세스할 권한이 있는 다른 사용자에게 적용됩니다.

또는 사용자가 권한을 할당할 수 있도록 암호화 구성을 선택하는 경우 Outlook의 경우 이 구성에는 전달 금지 및 암호화 전용에 대한 미리 정의된 권한이 포함됩니다. 전달 금지와 달리 Encrypt-Only 옵션에는 EXTRACT 사용 권한이 포함됩니다.

Word, Excel 및 PowerPoint에 대한 사용자 지정 권한을 선택하면 사용자는 민감도 레이블을 적용할 때 Office 앱에서 자신의 권한을 선택합니다. 두 가지 선택 항목에서 읽기 에는 콘텐츠를 복사할 수 있는 권한이 포함되지 않지만 변경 은 수행된다는 알림이 표시됩니다. 복사할 이러한 참조는 EXTRACT 사용 권한을 참조합니다. 사용자가 추가 옵션을 선택하는 경우 읽기 권한이 있는 사용자가 콘텐츠를 복사할 수 있도록 허용을 선택하여 EXTRACT 사용 권한을 읽기에 추가할 수 있습니다.

팁

볼 수 있는 권한이 있는 문서에 EXTRACT 사용 권한이 포함되어 있는지 검사 경우 Windows Office 앱에서 열고 상태 표시줄을 사용자 지정하여 사용 권한을 표시합니다. 민감도 레이블 이름 옆에 있는 아이콘을 선택하여 내 권한을 표시합니다. EXTRACT 사용 권한에 매핑되는 Copy 값을 보고 예 또는 아니요가 표시되는지 확인합니다.

전자 메일의 경우 Windows용 Outlook에서 메시지 맨 위에 사용 권한이 표시되지 않으면 레이블 이름이 있는 정보 배너를 선택한 다음 사용 권한 보기를 선택합니다.

Copilot는 사용자에게 EXTRACT 사용 권한을 적용되지만 콘텐츠에 적용되었습니다. 대부분의 경우 콘텐츠에 레이블이 지정되면 사용자에게 부여된 사용 권한이 민감도 레이블 구성의 사용 권한과 일치합니다. 그러나 콘텐츠의 사용 권한이 적용된 레이블 구성과 다를 수 있는 몇 가지 상황이 있습니다.

• 민감도 레이블은 사용 권한이 이미 적용된 후에 적용됩니다.
• 민감도 레이블이 적용된 후 사용 권한이 적용됩니다.

암호화를 위해 민감도 레이블을 구성하는 방법에 대한 자세한 내용은 민감도 레이블을 사용하여 암호화를 적용하여 콘텐츠에 대한 액세스 제한을 참조하세요.

사용 권한에 대한 기술 세부 정보는 Azure Information Protection 대한 사용 권한 구성을 참조하세요.

Copilot에 대한 규정 준수 관리 고려 사항

Microsoft 365용 Copilot 상호 작용에 대한 규정 준수 관리는 Word, Excel, PowerPoint, Outlook, Teams, 루프, Whiteboard, OneNote 및 Microsoft Copilot Graph 기반 채팅(이전의 Microsoft 365 Chat)의 Copilot에서 확장됩니다.

참고

Copilot Graph 기반 채팅에 대한 규정 준수 관리에는 사용자가 로그인하고 웹이 아닌작업 옵션을 선택할 때 공용 웹에 대한 프롬프트 및 응답이 포함됩니다.

규정 준수 도구는 앱 이름으로 원본 Copilot 상호 작용을 식별합니다. 예를 들어 Word Copilot, Teams의 Copilot 및 Microsoft 365 Chat(Microsoft Copilot Graph 기반 채팅의 경우).

Microsoft 365용 Copilot 배포하기 전에 준수 관리 솔루션을 지원하기 위해 다음 세부 정보를 잘 알고 있는지 확인합니다.

• Copilot 상호 작용에 대한 보존 정책은 현재 보존 정책의 결과로 메시지가 삭제되는 경우 사용자에게 알리지 않습니다.

• 감사는 검색의 Copilot 활동을 캡처하지만 실제 사용자 프롬프트 또는 응답은 캡처하지 않습니다. 이 정보는 eDiscovery를 사용합니다.

• copilot 감사에 대한 관리 관련 변경 내용은 아직 지원되지 않습니다.

• 디바이스 식별 정보는 현재 감사 세부 정보에 포함되지 않습니다.

앱별 예외:

• Teams의 Copilot:
  • 대화 내용이 꺼져 있으면 감사, eDiscovery 및 보존 기능이 지원되지 않습니다.
  • 성적 증명서를 참조하는 경우 이 작업은 감사를 위해 캡처되지 않습니다.
  • Teams의 그래프 기반 채팅의 경우 Copilot는 현재 사용자에게 반환되는 참조된 파일인 클라우드 첨부 파일로 유지할 수 없습니다. 사용자가 참조하는 파일은 클라우드 첨부 파일로 유지되도록 지원됩니다.