Office 파일 암호화 배포(시연 단계)

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Contoso 재무 부서는 여러 문서를 저장 하는 파일 서버에 있습니다. 이러한 문서는 일반 문서일 수도 있고 HBI(높은 비즈니스 영향) 문서일 수도 있습니다. 예를 들어 기밀 정보가 포함된 문서는 Contoso에서 HBI 문서로 간주됩니다. Contoso에서는 모든 문서에 최소한의 보호가 적용되는지, HBI 문서가 적합한 사람으로 제한되어 있는지 확인하고 싶어 합니다. 이를 위해 Contoso는 FCI 파일 분류 인프라 () 및 Windows Server 2012에서 사용할 수 있는 AD RMS를 사용 하 여 탐색 합니다. Contoso는 FCI를 사용하여 파일 서버에 있는 모든 문서를 콘텐츠에 따라 분류한 다음 AD RMS를 사용하여 적절한 권한 정책을 적용할 예정입니다.

이 시나리오에서는 다음 단계를 수행 합니다.

Task	설명
리소스 속성 사용	영향 및 개인 식별이 가능한 정보 리소스 속성을 사용합니다.
분류 규칙 만들기	이 시나리오에서는 HBI 분류 규칙 및 PII 분류 규칙을 만듭니다.
파일 관리 작업을 사용하여 AD RMS로 문서 자동 보호	자동으로 AD RMS를 사용하여 높은 PII(개인 식별이 가능한 정보)가 포함된 문서를 보호하는 파일 관리 작업을 만듭니다. FinanceAdmin 그룹의 구성원만 높은 PII가 포함된 문서에 액세스할 수 있습니다.
결과 보기	문서 분류를 검토하고 문서의 콘텐츠를 변경할 때 문서 분류가 어떻게 변경되는지 확인합니다. 또한 문서가 AD RMS로 보호되는 방식을 확인합니다.
AD RMS 보호 확인	문서가 AD RMS로 보호되는지 확인합니다.

1단계: 리소스 속성 사용

리소스 속성을 사용하려면

1. Hyper-V 관리자에서 ID_AD_DC1 서버에 연결합니다. pass@word1암호를 사용하여 Contoso\Administrator로 서버에 로그인합니다.

2. Active Directory 관리 센터를 열고 트리 보기를 클릭합니다.

3. 동적 액세스 제어를 확장하고 리소스 속성을 선택합니다.

4. 표시 이름 열에서 아래의 영향 속성으로 스크롤합니다. 영향을 마우스 오른쪽 단추로 클릭한 다음 사용을 클릭합니다.

5. 표시 이름 열에서 아래의 개인 식별이 가능한 정보 속성으로 스크롤합니다. 개인 식별이 가능한 정보를 마우스 오른쪽 단추로 클릭한 다음 사용을 클릭합니다.

6. 리소스 속성을 전역 리소스 목록에 게시하려면 왼쪽 창에서 리소스 속성 목록을 클릭한 다음 전역 리소스 속성 목록을 두 번 클릭합니다.

7. 추가를 클릭하고 아래로 스크롤한 다음 영향 을 클릭하여 목록에 추가합니다. 개인 식별이 가능한 정보에 대해서도 동일한 단계를 수행합니다. 확인 을 두 번 클릭하여 작업을 마칩니다.

Windows PowerShell에 해당하는 명령

다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.

Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"

2단계: 분류 규칙 만들기

이 단계에서는 높은 영향 분류 규칙을 만드는 방법을 설명합니다. 이 규칙은 문서의 콘텐츠를 검색 하 고 "Contoso Confidential" 문자열이 발견 되는 경우이 문서를 높은 비즈니스 영향이 있는 것으로 분류 합니다. 이전에 할당된 낮은 비즈니스 영향 분류는 이 규칙으로 재정의됩니다.

또한 높은 PII 규칙도 만듭니다. 이 규칙은 문서의 콘텐츠를 검색하여 주민 등록 번호가 발견되면 이 문서를 높은 PII가 있는 것으로 분류합니다.

높은 영향 분류 규칙을 만들려면

1. Hyper-V 관리자에서 ID_AD_FILE1에 연결합니다. pass@word1암호를 사용하여 Contoso\Administrator로 서버에 로그인합니다.

2. Active Directory에서 전역 리소스 속성을 새로 고쳐야 합니다. Windows PowerShell을 엽니다. Update-FSRMClassificationPropertyDefinition을 입력한 다음 Enter 키를 누릅니다. Windows PowerShell을 닫습니다.

3. 파일 서버 리소스 관리자를 엽니다. 파일 서버 리소스 관리자를 열려면 시작을 클릭하고 파일 서버 리소스 관리자를 입력한 다음 파일 서버 리소스 관리자를 클릭합니다.

4. 파일 서버 리소스 관리자의 왼쪽 창에서 분류 관리를 확장하고 분류 규칙을 선택합니다.

5. 작업 창에서 분류 일정 구성을 클릭합니다. 자동 분류 탭에서 고정된 일정 사용과 요일을 차례로 선택한 다음 새 파일에 대해 분류 계속 허용 확인란을 선택합니다. 확인을 클릭합니다.

6. 작업 창에서 분류 규칙 만들기를 클릭합니다. 이렇게 하면 분류 규칙 만들기 대화 상자가 열립니다.

7. 규칙 이름 상자에 High Business Impact를 입력합니다.

8. 에 설명 상자에 입력 합니다 문서 "Contoso Confidential" 문자열의 유무에 따라 높은 비즈니스 영향을 인지 여부를 결정

9. 범위 탭에서 폴더 관리 속성 설정을 클릭하고 폴더 사용량을 선택한 다음 추가를 클릭합니다. 그런 다음 찾아보기를 클릭하고 D:\Finance Documents 경로로 이동하여 확인을 클릭한 다음 그룹 파일 이라는 속성 값을 선택하고 닫기를 클릭합니다. 관리 속성이 설정되면 규칙 범위 탭에서 그룹 파일을 선택합니다.

10. 분류 탭을 클릭합니다. 파일에 속성을 할당하는 방법 선택 아래의 드롭다운 목록에서 콘텐츠 분류자를 선택합니다.

11. 파일에 할당할 속성 선택아래의 드롭다운 목록에서 영향 을 선택합니다.

12. 값 지정아래의 드롭다운 목록에서 높음 을 선택합니다.

13. 매개 변수 아래에서 구성을 클릭합니다. 분류 매개 변수 대화 상자의 식 형식 목록에서 문자열을 선택합니다. 식 상자에 Contoso Confidential을 입력하고 확인을 클릭합니다.

14. 평가 유형 탭을 클릭합니다. 기존 속성 값 다시 계산을 클릭하고 기존 값 덮어쓰기를 클릭한 다음 확인을 클릭하여 마칩니다.

Windows PowerShell에 해당하는 명령

다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.

Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite

높은 PII 분류 규칙을 만들려면

1. Hyper-V 관리자에서 ID_AD_FILE1에 연결합니다. pass@word1암호를 사용하여 Contoso\Administrator로 서버에 로그인합니다.

2. 바탕 화면에서 Regular Expressions라는 폴더를 열고 RegEx-SSN이라는 문서를 엽니다. 다음 정규식 문자열을 강조 표시하고 복사합니다. ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?) (?! 00)\d\d\3(?! 0000)\d{4}$. 이 문자열은 이 단계의 뒷부분에서 사용되므로 클립보드에 그대로 두어야 합니다.

3. 파일 서버 리소스 관리자를 엽니다. 파일 서버 리소스 관리자를 열려면 시작을 클릭하고 파일 서버 리소스 관리자를 입력한 다음 파일 서버 리소스 관리자를 클릭합니다.

4. 파일 서버 리소스 관리자의 왼쪽 창에서 분류 관리를 확장하고 분류 규칙을 선택합니다.

5. 작업 창에서 분류 일정 구성을 클릭합니다. 자동 분류 탭에서 고정된 일정 사용과 요일을 차례로 선택한 다음 새 파일에 대해 분류 계속 허용 확인란을 선택합니다. 확인을 클릭합니다.

6. 규칙 이름 상자에 High PII를 입력합니다. 설명 상자에 Determines if the document has a high PII based on the presence of a Social Security Number을 입력합니다.

7. 범위 탭을 클릭하고 그룹 파일 확인란을 선택합니다.

8. 분류 탭을 클릭합니다. 파일에 속성을 할당하는 방법 선택 아래의 드롭다운 목록에서 콘텐츠 분류자를 선택합니다.

9. 파일에 할당할 속성 선택아래의 드롭다운 목록에서 개인 식별이 가능한 정보 를 선택합니다.

10. 값 지정아래의 드롭다운 목록에서 높음 을 선택합니다.

11. 매개 변수 아래에서 구성을 클릭합니다. 에 분류 매개 변수창에는 식 형식을 목록에서 정규식합니다. 식 상자에 클립보드의 텍스트를 붙여넣습니다. ^(?! 000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?) (?! 00)\d\d\3(?! 0000)\d{4}$를 클릭한 다음 확인을 클릭합니다.

    참고 항목

    이 식은 유효하지 않은 주민 등록 번호를 허용합니다. 따라서 데모에서 가상의 주민 등록 번호를 사용할 수 있습니다.

12. 평가 유형 탭을 클릭합니다. 기존 속성 값을 다시 평가하고 기존 값을 덮어쓰고 확인을 클릭하여 마칩니다.

Windows PowerShell에 해당하는 명령

다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.

New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite

다음 두 개의 분류 규칙을 만들었습니다.

• High Business Impact

• 높은 PII

3단계: 파일 관리 작업을 사용하여 AD RMS로 자동으로 문서 보호

내용을 기반으로 하는 문서를 자동으로 분류 하는 규칙을 만들었으므로 이제 다음 단계는 AD RMS를 사용 하 여 자동으로 분류에 따라 특정 문서를 보호 하는 파일 관리 작업을 만드는 것입니다. 이 단계에서는 높은 PII가 포함된 문서를 자동으로 보호하는 파일 관리 작업을 만듭니다. FinanceAdmin 그룹의 구성원만 높은 PII가 포함된 문서에 액세스할 수 있습니다.

AD RMS로 문서를 보호하려면

1. Hyper-V 관리자에서 ID_AD_FILE1에 연결합니다. pass@word1암호를 사용하여 Contoso\Administrator로 서버에 로그인합니다.

2. 파일 서버 리소스 관리자를 엽니다. 파일 서버 리소스 관리자를 열려면 시작을 클릭하고 파일 서버 리소스 관리자를 입력한 다음 파일 서버 리소스 관리자를 클릭합니다.

3. 왼쪽 창에서 파일 관리 작업을 선택합니다. 작업 창에서 파일 관리 작업 만들기를 선택합니다.

4. 작업 이름: 필드에 High PII를 입력합니다. 설명 필드에 Automatic RMS protection for high PII documents를 입력합니다.

5. 범위 탭을 클릭하고 그룹 파일 확인란을 선택합니다.

6. 작업 탭을 클릭합니다. 형식에서 RMS 암호화를 선택합니다. 찾아보기 를 클릭하여 템플릿을 선택한 다음 Contoso Finance Admin Only 를 선택합니다.

7. 조건 탭을 클릭한 다음 추가를 클릭합니다. 속성아래에서 개인 식별이 가능한 정보를 선택합니다. 연산자아래에서 같음을 선택합니다. 값아래에서 높음을 선택합니다. 확인을 클릭합니다.

8. 일정 탭을 클릭합니다. 일정 섹션에서 매주를 클릭한 다음 일요일을 선택합니다. 매주 한 번 작업을 실행하면 서비스 중단 또는 기타 중단 이벤트로 인해 누락되었을 수 있는 문서를 발견할 수 있습니다.

9. 연속 작업 섹션에서 새 파일에서 계속 실행을 선택하고 확인을 클릭합니다. 이제 High PII라는 파일 관리 작업이 만들어졌습니다.

Windows PowerShell에 해당하는 명령

다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.

$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)

4단계: 결과 보기

작업에서 새 자동 분류 및 AD RMS 보호 규칙을 확인 하는 차례입니다. 이 단계에서는 문서 분류를 검토하고 문서의 콘텐츠를 변경할 때 문서 분류가 어떻게 변경되는지 확인합니다.

결과를 보려면

1. Hyper-V 관리자에서 ID_AD_FILE1에 연결합니다. pass@word1암호를 사용하여 Contoso\Administrator로 서버에 로그인합니다.

2. Windows 탐색기에서 D:\Finance Documents로 이동합니다.

3. Finance Memo 문서를 마우스 오른쪽 단추로 클릭하고 속성을 클릭한 다음 분류 탭을 클릭하여 현재 영향 속성에 값이 없는지 확인합니다. 취소를 클릭합니다.

4. Request for Approval to Hire문서를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.

5. 분류 탭을 클릭하고 현재 개인 식별이 가능한 정보 속성에 값이 없는지 확인합니다. 취소를 클릭합니다.

6. CLIENT1로 전환합니다. 로그인된 사용자를 로그오프했다가 pass@word1암호를 사용하여 Contoso\MReid로 로그인합니다.

7. 바탕 화면에서 Finance Documents 공유 폴더를 엽니다.

8. Finance Memo 문서를 엽니다. 문서 아래쪽에 Confidential이 표시되어 있습니다. 이 문자열을 Contoso Confidential로 수정합니다. 문서를 저장하고 닫습니다.

9. Request for Approval to Hire 문서를 엽니다. Social Security#: 섹션에 777-77-7777을 입력합니다. 문서를 저장하고 닫습니다.

   참고 항목

   분류가 완료될 때까지 30초 정도 기다려야 할 수 있습니다.

10. ID_AD_FILE1로 다시 전환합니다. Windows 탐색기에서 D:\Finance Documents로 이동합니다.

11. Finance Memo 문서를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다. 분류 탭을 클릭합니다. Impact 속성이 [높음]으로 설정되었습니다. 취소를 클릭합니다.

12. Request for Approval to Hire 문서를 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.

13. . 분류 탭을 클릭합니다. 개인 식별 정보 속성이 [높음]으로 설정되었습니다. 취소를 클릭합니다.

5단계: AD RMS로 보호 확인

문서가 보호되는지 확인하려면

1. ID_AD_CLIENT1로 다시 전환합니다.

2. Request for approval to Hire 문서를 엽니다.

3. 확인 을 클릭하여 문서에서 AD RMS 서버에 연결하도록 허용합니다.

4. 문서에 주민 등록 번호가 포함되어 있으므로 이제 문서가 AD RMS로 보호된 것을 알 수 있습니다.