다음을 통해 공유

Configuration Manager Windows Information Protection 정책 만들기 및 배포

  • 아티클

참고

2022년 7월부터 Microsoft는 WIP(Windows Information Protection)를 더 이상 사용하지 않습니다. Microsoft는 지원되는 Windows 버전에서 WIP를 계속 지원합니다. 새 버전의 Windows에는 WIP에 대한 새로운 기능이 포함되지 않으며 이후 버전의 Windows에서는 지원되지 않습니다. 자세한 내용은 Windows Information Protection 일몰 발표를 참조하세요.

데이터 보호 요구 사항에 따라 Microsoft Purview Information ProtectionMicrosoft Purview 데이터 손실 방지 사용하는 것이 좋습니다. Purview는 구성 설정을 간소화하고 고급 기능 집합을 제공합니다.

적용 대상:

  • Windows 10
  • Windows 11

Microsoft Configuration Manager WIP(Windows Information Protection) 정책을 만들고 배포하는 데 도움이 됩니다. 보호된 앱, WIP 보호 모드 및 네트워크에서 엔터프라이즈 데이터를 찾는 방법을 선택할 수 있습니다.

WIP 정책 추가

organization 대한 Configuration Manager 설치하고 설정한 후에 WIP에 대한 구성 항목을 만들어야 합니다. 그러면 WIP 정책이 됩니다.

일반적인 문제를 방지하기 위해 새 구성 항목을 만들기 전에 WIP(Windows Information Protection)를 사용하는 동안의 제한 사항 문서를 검토합니다.

WIP에 대한 구성 항목을 만들려면

  1. Configuration Manager 콘솔을 열고 자산 및 규정 준수 노드를 선택하고 개요 노드를 확장하고 규정 준수 설정 노드를 확장한 다음 구성 항목 노드를 확장합니다.

    Configuration Manager 구성 항목 화면.

  2. 구성 항목 만들기 단추를 선택합니다.

    구성 항목 만들기 마법사가 시작됩니다.

    구성 항목 만들기 마법사, 구성 항목을 정의하고 구성 유형을 선택합니다.

  3. 일반 정보 화면에서, 이름(필수) 및 정책에 대한 설명(옵션)을 이름설명 상자에 입력합니다.

  4. 만들 구성 항목 유형 지정 영역에서 디바이스 관리에 Configuration Manager 사용할지 여부를 나타내는 옵션을 선택한 다음, 다음을 선택합니다.

    • Configuration Manager 클라이언트로 관리되는 장치 설정: Windows 10

      - 또는 -

    • Configuration Manager 클라이언트 없이 관리되는 장치 설정: Windows 8.1 및 Windows 10

  5. 지원되는 플랫폼 화면에서 Windows 10 상자를 선택한 다음, 다음을 선택합니다.

    구성 항목 만들기 마법사에서 정책에 대해 지원되는 플랫폼을 선택합니다.

  6. 디바이스 설정 화면에서 Windows Information Protection 선택한 다음, 다음을 선택합니다.

    구성 항목 만들기 마법사에서 Windows Information Protection 설정을 선택합니다.

조직에 대한 정책을 구성할 수 있는 Windows Information Protection 설정 구성 페이지가 나타납니다.

정책에 앱 규칙 추가

Configuration Manager 정책 만들기 프로세스 중에 Windows Information Protection 통해 엔터프라이즈 데이터에 대한 액세스 권한을 부여할 앱을 선택할 수 있습니다. 이 목록에 포함된 앱은 엔터프라이즈 대신에 데이터를 보호할 수 있으며, 엔터프라이즈 데이터가 보호되지 않은 앱으로 이동되거나 복사되지 않도록 제한됩니다.

앱 규칙을 추가하는 단계는 적용되는 규칙 템플릿의 유형을 기반으로 합니다. 스토어 앱(UWP(유니버설 Windows 플랫폼) 앱이라고도 함), 서명된 Windows 데스크톱 앱 또는 AppLocker 정책 파일을 추가할 수 있습니다.

중요

인식 앱은 엔터프라이즈 데이터가 보호되지 않은 네트워크 위치로 이동하는 것을 방지하고, 개인 데이터가 암호화되지 않게 합니다. 반면에 WIP를 인식하지 않는 앱은 회사 네트워크 경계를 고려하지 않을 수 있으며, 앱에서 만들거나 수정하는 모든 파일을 암호화합니다. 즉, 개인 데이터를 암호화할 수 있으며 이로 인해 해지 프로세스 중 데이터가 손실될 수 있습니다.

앱 규칙 목록에 추가하기 전에 소프트웨어 공급자로부터 앱이 Windows Information Protection 안전하다는 지원 명세서를 받으려면 주의해야 합니다. 이 설명이 표시되지 않으면 해지 후 필요한 파일에 액세스할 수 없는 앱으로 인해 앱 호환 문제가 발생할 수 있습니다.

정책에 스토어 앱 규칙 추가

이 예제에서는 스토어 앱인 Microsoft OneNote를 앱 규칙 목록에 추가합니다.

스토어 앱을 추가하려면

  1. 앱 규칙 영역에서 추가를 선택합니다.

    앱 규칙 추가 상자가 나타납니다.

    구성 항목 만들기 마법사, 유니버설 스토어 앱을 추가합니다.

  2. 제목 상자에 앱에 원하는 이름을 추가합니다. 이 예제에서는 Microsoft OneNote입니다.

  3. Windows Information Protection 모드 드롭다운 목록에서 허용을 선택합니다.

    WIP를 켜면 WIP 제한 적용을 통해 해당 앱의 회사 데이터를 보호할 수 있습니다. 앱을 제외하려면 WIP 제한에서 앱 제외 섹션의 단계를 따르면 됩니다.

  4. 규칙 템플릿 드롭다운 목록에서 Store 앱을 선택합니다.

    상자가 변경되어 스토어 앱 규칙 옵션을 표시합니다.

  5. 앱 이름과 게시자의 이름을 입력한 다음 확인을 선택합니다. 이 UWP 앱 예제의 경우 게시자CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US, 제품 이름Microsoft.Office.OneNote입니다.

게시자 또는 제품 이름을 모르는 경우 다음 단계에 따라 두 데스크톱 디바이스 모두에 대해 찾을 수 있습니다.

Store 앱을 설치하지 않고 게시자 및 제품 이름 값을 찾으려면

  1. Microsoft Store 웹 사이트로 이동하여 앱을 찾습니다. 예를 들어 Microsoft OneNote를 찾습니다.

    참고

    데스크톱 장치에 앱이 이미 설치되어 경우 AppLocker 로컬 보안 정책 MMC 스냅인을 사용하여 보호된 앱 목록에 앱을 추가하는 데 필요한 정보를 수집할 수 있습니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 이 문서의 AppLocker 정책 파일 추가 의 단계를 참조하세요.

  2. 앱 URL에서 ID 값을 복사합니다. 예를 들어 Microsoft OneNote의 ID URL은 이며 https://www.microsoft.com/store/apps/onenote/9wzdncrfhvjlID 값 9wzdncrfhvjl을 복사합니다.

  3. 브라우저에서 비즈니스용 Store 포털 웹 API를 실행하여 판매자 및 제품 이름 값을 포함하는 JSON(JavaScript Object Notation) 파일을 반환합니다. 예를 들어 를 실행 https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/9wzdncrfhvjl/applockerdata합니다. 여기서 9wzdncrfhvjl 는 ID 값으로 바뀝니다.

    API가 실행되고 앱 세부 정보가 있는 텍스트 편집기를 엽니다.

    {
    "packageIdentityName": "Microsoft.Office.OneNote",
    "publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"
}

  4. publisherCertificateName 값을 복사하여 게시자 이름 상자에 붙여 넣고 packageIdentityName 값을 Intune의 제품 이름 상자에 복사합니다.

    중요

    JSON 파일은 게시자 이름제품 이름 상자의 windowsPhoneLegacyId 값을 모두 반환할 수도 있습니다. 즉, XAP 패키지를 사용하는 앱이 있고 제품 이름을windowsPhoneLegacyId설정하고 게시자 이름을 "CN="로 설정하고 뒤에 windowsPhoneLegacyId를 설정해야 합니다.

    예:

    {
    "windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
}

정책에 데스크톱 앱 규칙 추가

이 예제에서는 데스크톱 앱인 인터넷 Explorer 앱 규칙 목록에 추가합니다.

정책에 데스크톱 앱을 추가하려면

  1. 앱 규칙 영역에서 추가를 선택합니다.

    앱 규칙 추가 상자가 나타납니다.

    구성 항목 만들기 마법사, 클래식 데스크톱 앱을 추가합니다.

  2. 제목 상자에 앱에 원하는 이름을 추가합니다. 이 예제에서는 인터넷 Explorer.

  3. Windows Information Protection 모드 드롭다운 목록에서 허용을 선택합니다.

    WIP를 켜면 WIP 제한 적용을 통해 해당 앱의 회사 데이터를 보호할 수 있습니다. 앱을 제외하려면 WIP 제한에서 앱 제외 섹션의 단계를 따르면 됩니다.

  4. 규칙 템플릿 드롭다운 목록에서 데스크톱 앱을 선택합니다.

    상자가 변경되어 데스크톱 앱 규칙 옵션을 표시합니다.

  5. 앱 규칙에 포함할 옵션을 선택한 다음(테이블 참조) 확인을 선택합니다.

    옵션 관리
    "*"로 남아 있는 모든 필드 게시자가 서명한 모든 파일 (권장하지 않음)
    게시자가 선택됨 명명된 게시자가 서명한 모든 파일 회사가 내부 LOB(기간 업무) 앱의 게시자이고 서명자인 경우 이 옵션이 유용할 수 있습니다.
    게시자제품 이름이 선택됨 명명된 게시자가 서명한 지정된 제품에 대한 모든 파일
    게시자, 제품 이름이진 이름이 선택됨 명명된 게시자가 서명한 지정된 제품에 대한 명명된 파일 또는 패키지의 모든 버전
    게시자, 제품 이름, 이진 이름파일 버전 이상이 선택됨 명명된 게시자가 서명한 지정된 제품에 대한 명명된 파일 또는 패키지의 지정된 버전이나 최신 릴리스 이 옵션은 이전에 인식되지 않은 인식 앱의 경우 권장됩니다.
    게시자, 제품 이름, 이진 이름파일 버전 및 아래 가 선택됨 명명된 게시자가 서명한 지정된 제품에 대한 명명된 파일 또는 패키지의 지정된 버전이나 이전 릴리스
    게시자, 제품 이름, 이진 이름파일 버전, 정확히 선택됨 명명된 게시자가 서명한 지정된 제품에 대한 명명된 파일 또는 패키지의 지정된 버전

게시자에 포함할 내용을 잘 모르는 경우 다음 PowerShell 명령을 실행할 수 있습니다.

Get-AppLockerFileInformation -Path "<path of the exe>"

여기서 "<path of the exe>"는 장치의 앱 위치로 이동합니다. 예를 들면 Get-AppLockerFileInformation -Path "C:\Program Files\Internet Explorer\iexplore.exe"입니다.

이 예제에서는 다음 정보를 얻었습니다.

Path                   Publisher
----                   ---------
%PROGRAMFILES%\INTERNET EXPLORER\IEXPLORE.EXE O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\INTERNET EXPLOR...

여기서 O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US 텍스트는 판매자 이름 상자에 입력할 판매자 이름입니다.

AppLocker 정책 파일 추가

이 예제에서는 AppLocker XML 파일을 앱 규칙 목록에 추가합니다. 동시에 여러 앱을 추가하려는 경우 이 옵션을 사용합니다. AppLocker에 대한 자세한 내용은 AppLocker 콘텐츠를 참조하세요.

AppLocker 도구를 사용하여 앱 규칙 및 xml 파일을 만들려면

  1. 로컬 보안 정책 스냅인(SecPol.msc)을 엽니다.

  2. 왼쪽 창에서 애플리케이션 제어 정책을 확장하고 AppLocker를 확장 한 다음 패키지된 앱 규칙을 선택합니다.

    패키지된 앱 규칙을 보여 주는 로컬 보안 스냅인입니다.

  3. 오른쪽 창에서 마우스 오른쪽 단추를 클릭한 다음 새 규칙 만들기를 선택합니다.

    패키지된 앱 규칙 만들기 마법사가 나타납니다.

  4. 시작하기 전에 페이지에서 다음을 선택합니다.

    패키지된 앱 규칙 마법사를 만들고 시작하기 전에 페이지를 표시합니다.

  5. 사용 권한 페이지에서 작업이허용으로 설정되어 있고 사용자 또는 그룹이모두로 설정되어 있는지 확인한 다음, 다음을 선택합니다.

    패키지된 앱 규칙 마법사를 만들고 작업을 허용으로 설정합니다.

  6. 게시자 페이지에서 설치된 패키지된 앱을 참조 영역으로 사용 영역에서 선택을 선택합니다.

    패키지된 앱 규칙 만들기 마법사에서 설치된 패키지된 앱 사용을 선택합니다.

  7. 애플리케이션 선택 상자에서 규칙에 대한 참조로 사용할 앱을 선택한 다음 확인을 선택합니다. 이 예제에서는 Microsoft 사진 사용하고 있습니다.

    패키지된 앱 규칙 만들기 마법사에서 애플리케이션을 선택하고 확인을 클릭합니다.

  8. 업데이트된 게시자 페이지에서 만들기를 선택합니다.

    패키지된 앱 규칙 만들기 마법사에서 게시자 페이지의 Microsoft 사진 표시합니다.

  9. 규칙이 올바른지 로컬 보안 정책 스냅인을 검토합니다.

    새 규칙을 보여 주는 로컬 보안 스냅인입니다.

  10. 왼쪽 창에서 AppLocker를 마우스 오른쪽 단추로 클릭한 다음 정책 내보내기를 선택합니다.

    정책 내보내기 상자가 열려 새 정책을 XML로 내보내고 저장할 수 있습니다.

    정책 내보내기 옵션을 보여 주는 로컬 보안 스냅인입니다.

  11. 정책 내보내기 상자에서 정책을 저장해야 하는 위치로 이동하고 정책 이름을 지정한 다음 저장을 선택합니다.

    정책이 저장되고 정책에서 하나의 규칙을 내보냈다는 메시지가 표시됩니다.

    XML 파일 예제
    다음은 Microsoft 사진에 대해 AppLocker에서 만든 XML 파일입니다.

     <AppLockerPolicy Version="1">
    <RuleCollection Type="Exe" EnforcementMode="NotConfigured" />
    <RuleCollection Type ="Msi" EnforcementMode="NotConfigured" />
    <RuleCollection Type ="Script" EnforcementMode="NotConfigured" />
    <RuleCollection Type ="Dll" EnforcementMode="NotConfigured" />
    <RuleCollection Type ="Appx" EnforcementMode="NotConfigured">
        <FilePublisherRule Id="5e0c752b-5921-4f72-8146-80ad5f582110" Name="Microsoft.Windows.Photos, version 16.526.0.0 and above, from Microsoft Corporation" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
            <Conditions>
                <FilePublisherCondition PublisherName="CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="Microsoft.Windows.Photos" BinaryName="*">
                    <BinaryVersionRange LowSection="16.526.0.0" HighSection="*" />
                </FilePublisherCondition>
            </Conditions>
        </FilePublisherRule>
    </RuleCollection>
</AppLockerPolicy>

  12. XML 파일을 만든 후에는 Configuration Manager 사용하여 가져와야 합니다.

Configuration Manager 사용하여 Applocker 정책 파일 앱 규칙을 가져오려면

  1. 앱 규칙 영역에서 추가를 선택합니다.

    앱 규칙 추가 상자가 나타납니다.

    구성 항목 만들기 마법사에서 AppLocker 정책을 추가합니다.

  2. 제목 상자에 앱에 원하는 이름을 추가합니다. 이 예제에서는 허용된 앱 목록입니다.

  3. Windows Information Protection 모드 드롭다운 목록에서 허용을 선택합니다.

    WIP를 켜면 WIP 제한 적용을 통해 해당 앱의 회사 데이터를 보호할 수 있습니다. 앱을 제외하려면 WIP 제한에서 앱 제외 섹션의 단계를 따르면 됩니다.

  4. 규칙 템플릿 드롭다운 목록에서 AppLocker 정책 파일을 선택합니다.

    상자가 변경되어 Applocker XML 정책 파일을 가져올 수 있습니다.

  5. 줄임표(...)를 선택하여 AppLocker XML 파일을 찾아 열기를 선택한 다음 확인을 선택하여 앱 규칙 추가 상자를 닫습니다.

    파일 가져오기가 완료되고 앱 규칙 목록에 앱이 추가됩니다.

WIP 제한에서 앱 제외

앱이 WIP(Windows Information Protection)와 호환되지 않지만 엔터프라이즈 데이터와 함께 사용해야 하는 호환성 문제가 발생하는 경우 WIP 제한에서 앱을 제외할 수 있습니다. 즉, 앱에 자동 암호화 또는 태그가 포함되지 않으며, 네트워크 제한 사항이 앱에 적용되지 않습니다. 제외된 앱의 경우 누수가 발생할 수 있음을 의미하기도 합니다.

스토어 앱, 데스크톱 앱 또는 AppLocker 정책 파일 앱 규칙을 제외하려면

  1. 앱 규칙 영역에서 추가를 선택합니다.

    앱 규칙 추가 상자가 나타납니다.

  2. 제목 상자에 앱에 원하는 이름을 추가합니다. 이 예제에서는 앱 제외 목록입니다.

  3. Windows Information Protection 모드 드롭다운 목록에서 제외를 선택합니다.

    앱을 제외하면 WIP 제한을 무시하고 회사 데이터에 액세스할 수 있습니다. 앱을 허용하려면 이 문서의 정책에 앱 규칙 추가를 참조하세요 .

  4. 추가하는 규칙 유형에 따라 앱 규칙 정보의 나머지 부분을 입력합니다.

  5. 확인을 선택합니다.

엔터프라이즈 데이터에 대한 WIP 보호 수준 관리

WIP로 보호할 앱을 추가한 후 관리 및 보호 모드를 적용해야 합니다.

보호된 앱 목록에 적절한 앱이 있음을 작은 그룹에서 확인할 때 자동 또는 재정의 모드로 시작하는 것이 좋습니다. 확인을 완료하고 나면 최종 적용 정책으로 재정의 또는 차단을 선택할 수 있습니다.

참고

감사 로그 파일 수집 방법에 대한 자세한 내용은 WIP(Windows Information Protection) 감사 이벤트 로그를 수집하는 방법을 참조하세요.

모드 설명
차단 WIP에서 부적절한 데이터 공유 사례를 찾아 직원이 작업을 완료할 수 없도록 중지합니다. 여기에는 엔터프라이즈 외부에서 다른 사용자와 장치 간 엔터프라이즈 데이터 공유 이외에 엔터프라이즈에서 보호되지 않는 앱 간 정보 공유가 포함될 수 있습니다.
재정의 WIP에서 부적절한 데이터 공유를 찾아 직원이 잠재적으로 안전하지 않은 것으로 간주되는 행위를 하는 경우 해당 직원에게 경고합니다. 그러나 이 관리 모드에서는 직원이 정책을 재정의하고 데이터를 공유하여 감사 로그에 작업을 로깅할 수 있습니다.
자동 WIP는 재정의 모드에서 직원 상호 작용에 대한 메시지가 표시될 수 있는 항목을 차단하지 않고 부적절한 데이터 공유를 기록하여 자동으로 실행됩니다. 네트워크 리소스 또는 WIP로 보호된 데이터에 부적절하게 액세스하려는 앱과 같이 허용되지 않는 작업은 계속 차단됩니다.
WIP가 꺼져 있으며 데이터를 보호하거나 감사할 수 없습니다.

WIP를 끄면 로컬에 연결된 드라이브에서 WIP 태그가 지정된 파일의 암호를 해독하는 작업이 시도됩니다. WIP 보호를 다시 켜도 이전 암호 해독 및 정책 정보가 자동으로 다시 적용되지는 않습니다. 자세한 내용은 Windows Information Protection 사용하지 않도록 설정하는 방법을 참조하세요.

구성 항목 만들기 마법사, WIP 보호 수준 선택

엔터프라이즈에서 관리되는 ID 도메인 정의

일반적으로 기본 인터넷 도메인(예: contoso.com)으로 표현되는 회사 ID는 WIP로 보호된 것으로 표시된 앱에서 회사 데이터를 식별하고 태그를 지정하는 데 도움이 됩니다. 예를 들어 contoso.com을 사용하는 메일은 회사로 식별되며 Windows Information Protection에 의해 제한됩니다.

엔터프라이즈가 소유한 여러 도메인을 문자로 | 구분하여 지정할 수 있습니다. 예를 들면 contoso.com|newcontoso.com입니다. 도메인이 여러 개인 경우 첫 번째 도메인이 회사 ID로, 다른 모든 도메인은 첫 번째 도메인에서 소유한 것으로 지정됩니다. 이 목록에 모든 메일 주소 도메인을 포함하는 것이 좋습니다.

회사 ID를 추가하려면

  • 회사 ID 필드에 회사 ID 이름을 입력합니다. 예를 들면 contoso.com 또는 contoso.com|newcontoso.com입니다.

    구성 항목 만들기 마법사, 엔터프라이즈 ID에 대한 기본 인터넷 도메인 추가

앱이 엔터프라이즈 데이터에 액세스할 수 있는 위치 선택

앱에 보호 모드를 추가한 후에는 앱이 네트워크에서 엔터프라이즈 데이터에 액세스할 수 있는 위치를 결정해야 합니다.

WIP에 포함된 기본 위치는 없습니다. 각 네트워크 위치를 추가해야 합니다. 이 영역은 엔터프라이즈 범위에서 IP 주소를 가져오고 SMB 공유를 비롯한 엔터프라이즈 도메인 중 하나에 바인딩된 모든 네트워크 엔드포인트 디바이스에 적용됩니다. 로컬 파일 시스템 위치에서는 암호화를 유지해야 합니다(예: 로컬 NTFS, FAT, ExFAT)

중요

모든 WIP 정책에는 엔터프라이즈 네트워크 위치를 정의하는 정책이 포함되어야 합니다.
WIP 구성에는 CIDR(클래스리스 Inter-Domain 라우팅) 표기법이 지원되지 않습니다.

보호된 앱이 네트워크에서 엔터프라이즈 데이터를 찾고 보낼 수 있는 위치를 정의하려면

  1. 추가를 클릭하여 앱에서 액세스할 수 있는 다른 네트워크 위치를 추가합니다.

    회사 네트워크 정의 추가 또는 편집 상자가 나타납니다.

  2. 이름 상자에 회사 네트워크 요소에 대한 이름을 입력한 다음 네트워크 요소 드롭다운 상자에서 네트워크 요소 형식을 선택합니다. 이 형식에는 다음 표에 있는 옵션 중 하나를 포함할 수 있습니다.

    회사 네트워크 정의 상자, 엔터프라이즈 네트워크 위치 추가를 추가하거나 편집합니다.

    • 엔터프라이즈 클라우드 리소스: 회사로 처리되고 WIP로 보호할 클라우드 리소스를 지정합니다.

      각 클라우드 리소스에 대해 필요에 따라 내부 프록시 서버 목록에서 프록시 서버를 지정하여 이 클라우드 리소스에 대한 트래픽을 라우팅할 수도 있습니다. 내부 프록시 서버를 통해 라우팅되는 모든 트래픽은 엔터프라이즈로 간주됩니다.

      여러 리소스가 있는 경우 구분 기호를 | 사용하여 구분해야 합니다. 프록시 서버를 사용하지 않는 경우 바로 앞에 |구분 기호도 포함 , 해야 합니다. 예: URL <,proxy>|URL <,proxy>.

      형식 예제:

      • 프록시를 사용하면 다음을 수행합니다.contoso.sharepoint.com,contoso.internalproxy1.com|contoso.visualstudio.com,contoso.internalproxy2.com

      • 프록시가 없는 경우: contoso.sharepoint.com|contoso.visualstudio.com

      중요

      앱이 IP 주소를 통해 클라우드 리소스에 직접 연결하는 경우와 같은 경우에 Windows는 엔터프라이즈 클라우드 리소스 또는 개인 사이트에 연결하려고 하는지 여부를 알 수 없습니다. 이 경우 Windows는 기본적으로 연결을 차단합니다. Windows에서 이러한 연결을 자동으로 차단하지 않도록 하려면 /AppCompat/ 문자열을 설정에 추가할 수 있습니다. 예: URL <,proxy>|URL <,proxy>|/AppCompat/.

    • 엔터프라이즈 네트워크 도메인 이름(필수): 사용자 환경에서 사용되는 DNS 접미사를 지정합니다. 이 목록에 표시되는 정규화된 도메인에 대한 모든 트래픽은 보호됩니다.

      이 설정은 IP 범위 설정과 함께 작동하여 개인 네트워크에서 네트워크 끝점이 엔터프라이즈인지, 개인인지 여부를 검색합니다.

      여러 리소스가 있는 경우 "," 구분 기호를 사용하여 구분해야 합니다.

      형식 예제: corp.contoso.com,region.contoso.com

    • 프록시 서버: 디바이스가 클라우드 리소스에 도달하기 위해 통과할 프록시 서버를 지정합니다. 이 서버 유형을 사용하면 연결하는 클라우드 리소스가 엔터프라이즈 리소스임을 나타냅니다.

      이 목록에는 내부 프록시 서버 목록에 나열된 서버가 포함되어서는 안 됩니다. 내부 프록시 서버는 WIP로 보호되는(엔터프라이즈) 트래픽에만 사용되어야 합니다.

      여러 리소스가 있는 경우 ";" 구분 기호를 사용하여 구분해야 합니다.

      형식 예제: proxy.contoso.com:80;proxy2.contoso.com:443

    • 내부 프록시 서버: 디바이스가 클라우드 리소스에 도달하기 위해 통과할 내부 프록시 서버를 지정합니다. 이 서버 유형을 사용하면 연결하는 클라우드 리소스가 엔터프라이즈 리소스임을 나타냅니다.

      이 목록에는 프록시 서버 목록에 나열된 서버가 포함되어서는 안 됩니다. 프록시 서버는 WIP로 보호되지 않는(비-엔터프라이즈) 트래픽에만 사용되어야 합니다.

      여러 리소스가 있는 경우 ";" 구분 기호를 사용하여 구분해야 합니다.

      형식 예제: contoso.internalproxy1.com;contoso.internalproxy2.com

    • Enterprise IPv4 범위(필수): 인트라넷 내에서 유효한 IPv4 값 범위에 대한 주소를 지정합니다. 엔터프라이즈 네트워크 도메인 이름과 함께 사용되는 이러한 주소가 회사 네트워크 경계를 정의합니다.

      여러 범위가 있는 경우 ";" 구분 기호를 사용하여 구분해야 합니다.

      형식 예제:

      • IPv4 주소 시작:3.4.0.1
      • IPv4 주소 종료:3.4.255.254
      • 사용자 지정 URI:3.4.0.1-3.4.255.254, 10.0.0.1-10.255.255.254

    • Enterprise IPv6 범위: 인트라넷 내에서 유효한 IPv6 값 범위에 대한 주소를 지정합니다. 엔터프라이즈 네트워크 도메인 이름과 함께 사용되는 이러한 주소가 회사 네트워크 경계를 정의합니다.

      여러 범위가 있는 경우 ";" 구분 기호를 사용하여 구분해야 합니다.

      형식 예제:

      • IPv6 주소 시작:2a01:110::
      • IPv6 주소 종료:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff
      • 사용자 지정 URI:2a01:110:7fff:ffff:ffff:ffff:ffff:ffff,fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

    • 중립 리소스: 회사의 인증 리디렉션 엔드포인트를 지정합니다. 이러한 위치는 리디렉션하기 전에 연결 컨텍스트에 따라 엔터프라이즈 또는 개인으로 간주됩니다.

      여러 리소스가 있는 경우 "," 구분 기호를 사용하여 구분해야 합니다.

      형식 예제: sts.contoso.com,sts.contoso2.com

  3. 필요한 만큼 위치를 추가한 다음 확인을 선택합니다.

    회사 네트워크 정의 추가 또는 편집 상자가 닫힙니다.

  4. Windows가 추가 네트워크 설정을 검색하게 할지, 그리고 파일 탐색기에서 회사 파일에 WIP 아이콘을 표시할지 결정합니다.

    구성 항목 만들기 마법사, 추가 네트워크 설정을 검색할지 여부 추가

    • 엔터프라이즈 프록시 서버 목록을 신뢰할 수 있음(자동 검색 안 함) Windows에서 네트워크 경계 정의에 지정한 프록시 서버를 네트워크에서 사용할 수 있는 프록시 서버의 전체 목록으로 처리하려면 이 상자를 선택합니다. 이 상자 선택을 해제하면 Windows에서는 인접 한 네트워크에서 추가 프록시 서버를 검색합니다. 구성되지 않음이 기본 옵션입니다.

    • 엔터프라이즈 IP 범위 목록을 신뢰할 수 있음(자동 검색 안 함) Windows에서 네트워크 경계 정의에 지정한 IP 범위를 네트워크에서 사용할 수 있는 IP 범위의 전체 목록으로 처리하려면 이 상자를 선택합니다. 이 상자 선택을 해제하면 Windows에서는 네트워크에 연결되고 도메인에 가입된 장치에서 추가 IP 범위를 검색합니다. 구성되지 않음이 기본 옵션입니다.

    • 파일 탐색기의 회사 파일에서 WIP를 인식하지 않는 허용된 앱에 Windows Information Protection 아이콘 오버레이를 표시합니다. Windows Information Protection 아이콘 오버레이가 다른 이름으로 저장 및 파일 탐색기 보기의 회사 파일에 표시되도록 하려면 이 상자를 선택합니다. 또한 허용된 비인식 앱의 경우 아이콘 오버레이가 앱 타일에 표시되고 관리됨 텍스트가 시작 메뉴의 앱 이름에 표시됩니다. 구성되지 않음이 기본 옵션입니다.

  5. 암호화된 데이터 복구를 허용하도록 필요한 DRA(데이터 복구 에이전트) 인증서 업로드 상자에서 찾아보기를 선택하여 정책에 대한 데이터 복구 인증서를 추가합니다.

    구성 항목 만들기 마법사, DRA(데이터 복구 에이전트) 인증서 추가

    WIP 정책을 만들고 직원에게 배포하면 Windows에서 직원의 로컬 디바이스 드라이브에서 회사 데이터를 암호화하기 시작합니다. 어떻게든 직원의 로컬 암호화 키가 손실되거나 해지되면 암호화된 데이터를 복구할 수 없게 될 수 있습니다. 이 문제가 발생하지 않도록 데이터의 암호를 해제할 수 있는 개인 키를 유지 관리하면서도 DRA 인증서를 통해 포함된 공개 키를 사용하여 로컬 데이터를 암호화할 수 있습니다.

    데이터 복구 인증서를 찾아 내보내는 방법에 대한 자세한 내용은 데이터 복구 및 EFS(파일 시스템 암호화)를 참조하세요. EFS DRA 인증서를 만들고 확인하는 방법에 대한 자세한 내용은 EFS(파일 시스템 암호화) DRA(데이터 복구 에이전트) 인증서 만들기 및 확인을 참조하세요.

보호된 앱이 네트워크의 엔터프라이즈 데이터에 액세스할 수 있는 위치를 결정한 후에는 선택적 WIP 설정을 추가할지 여부를 결정하라는 메시지가 표시됩니다.

구성 항목 만들기 마법사, 선택적 추가 설정을 선택합니다.

선택적 설정을 지정하려면

  1. 설정 옵션 설정 중 일부 또는 전부를 설정할지 선택합니다.

    • Windows Search에서 암호화된 회사 데이터 및 Store 앱을 검색할 수 있도록 허용. Windows Search에서 암호화된 회사 데이터와 Store 앱을 검색하고 인덱싱할지 여부를 결정합니다. 옵션은 다음과 같습니다.

      • 예. Windows Search에서 암호화된 회사 데이터와 Store 앱을 검색하고 인덱싱할 수 있도록 허용합니다.

      • 아니요 또는 구성되지 않음(권장). Windows Search에서 암호화된 회사 데이터와 Store 앱을 검색하고 인덱싱하지 못합니다.

    • 등록 취소 프로세스 중에 로컬 암호화 키를 취소합니다. Windows Information Protection 등록을 취소할 때 디바이스에서 사용자의 로컬 암호화 키를 취소할지 여부를 결정합니다. 암호화 키가 해지되면 사용자는 더 이상 암호화된 회사 데이터에 액세스할 수 없습니다. 옵션은 다음과 같습니다.

      • 예 또는 구성되지 않음(권장). 등록을 해제하는 동안 장치에서 로컬 암호화 키를 해지합니다.

      • 아니요. 등록을 해제하는 동안 장치에서 로컬 암호화 키를 해지하지 못합니다. 예를 들어 MDM(모바일 장치 관리) 솔루션 간에 마이그레이션하는 경우입니다.

    • Azure RMS를 허용합니다. USB 드라이브와 같은 이동식 미디어를 사용하여 파일을 안전하게 공유할 수 있습니다. RMS가 WIP에서 작동하는 방법에 대한 자세한 내용은 Intune 사용하여 WIP 정책 만들기를 참조하세요. 테넌트가 있는 템플릿을 확인하려면 AADRM PowerShell 모듈에서 Get-AadrmTemplate을 실행합니다. 템플릿을 지정하지 않으면 WIP는 테넌트의 모든 사용자가 액세스할 수 있는 기본 RMS 템플릿의 키를 사용합니다.

  2. 포함할 모든 설정을 선택한 후 요약을 선택합니다.

요약 화면에서 구성 선택 사항 검토

정책 구성을 완료한 후 요약 화면에서 정보를 모두 검토할 수 있습니다.

요약 화면을 표시하려면

  • 요약 단추를 선택하여 정책 선택을 검토한 다음 다음을 선택하여 정책을 완료하고 저장합니다.

    구성 항목 만들기 마법사, 모든 정책 선택 항목에 대한 요약 화면

    정책의 진행률을 보여 주는 진행률 표시줄이 나타납니다. 완료되면 닫기를 선택하여 구성 항목 페이지로 돌아갑니다.

WIP 정책 배포

WIP 정책을 만든 후에는 organization 디바이스에 배포해야 합니다. 배포 옵션에 대한 자세한 내용은 다음 문서를 참조하세요.