다음을 통해 공유


Azure Information Protection에 대한 사용 권한 구성

이 문서에서는 레이블 또는 템플릿을 사용자나 관리자가 선택하거나 구성된 서비스에서 선택할 때 자동으로 적용되도록 구성할 수 있는 사용 권한에 대해 설명합니다.

암호화에 대한 민감도 레이블 또는 보호 템플릿을 구성할 때 사용 권한이 선택됩니다. 예를 들어 사용 권한의 논리적 그룹을 구성하는 역할을 선택하거나 개별 권한을 별도로 구성할 수 있습니다. 또는 사용자가 사용 권한 자체를 선택하고 적용할 수 있습니다.

완전성을 위해 이 문서에는 2018년 1월 8일에 사용 중지된 Azure 클래식 포털의 값이 포함되어 있습니다.

Important

이 문서를 참조하여 애플리케이션에서 사용 권한을 해석하도록 디자인하는 방법을 알아보세요.

애플리케이션은 사용 권한을 구현하는 방법에 따라 달라질 수 있으므로 프로덕션에 배포하기 전에 애플리케이션 설명서를 참조하고 직접 테스트를 수행하여 애플리케이션 동작을 확인하는 것이 좋습니다.

사용 권한 및 설명

다음 표에서는 Rights Management에서 지원하는 사용 권한 및 이를 사용하고 해석하는 방법을 나열하고 설명합니다. 일반적으로 코드에 사용되는 단일 단어 값의 더 친숙한 버전(정책 값의 인코딩)으로 표시되거나 참조되는 사용량을 볼 수 있는 일반적인 이름으로 나열됩니다.

이 표에서:

  • API 상수 또는 값은 MSIPC 또는 Microsoft Purview Information Protection SDK API 호출의 SDK 이름으로, 사용 권한을 확인하거나 정책에 사용 권한을 추가하는 애플리케이션을 작성할 때 사용됩니다.

  • 레이블 지정 관리 센터는 민감도 레이블을 구성하는 Microsoft Purview 규정 준수 포털.

사용 권한 설명 구현
일반 이름: 콘텐츠 편집, 편집

정책의 인코딩: DOCEDIT
사용자가 웹용 Office 포함하는 애플리케이션 내의 콘텐츠를 수정, 다시 정렬, 서식 지정 또는 정렬할 수 있습니다. 편집한 복사본을 저장할 수 있는 권한은 부여되지 않습니다.

Word에서 Office 365 ProPlus 최소 버전 1807이 없는 경우 이 권한으로 변경 내용 추적을 켜거나 끄거나 또는 모든 변경 내용 추적 기능을 검토자로 사용할 수 없습니다. 대신, 모든 트랙 변경 옵션을 사용하려면 다음 권한이 필요합니다. 모든 권한.
Office 사용자 지정 권한: 변경모든 권한 옵션의 일부입니다.

Azure 클래식 포털의 이름: 콘텐츠 편집

Microsoft Purview 규정 준수 포털 및 Azure Portal의 이름: 콘텐츠 편집, 편집(DOCEDIT)

AD RMS 템플릿의 이름: 편집

API 상수 또는 값:
MSIPC: 해당 없음.
MIP SDK:DOCEDIT
일반 이름: 저장

정책의 인코딩: EDIT
사용자가 문서를 현재 위치에 저장할 수 있습니다. 웹용 Office 사용자가 콘텐츠를 편집할 수도 있습니다.

Office 애플리케이션에서 이 권한을 사용하면 선택한 파일 형식이 Rights Management 보호를 기본적으로 지원하는 경우 사용자가 새 위치에 새 이름으로 파일을 저장할 수 있습니다. 파일 형식 제한은 원래 보호를 파일에서 제거할 수 없도록 합니다.
Office 사용자 지정 권한: 변경모든 권한 옵션의 일부입니다.

Azure 클래식 포털의 이름: 파일 저장

Microsoft Purview 규정 준수 포털 및 Azure Portal의 이름: 저장(EDIT)

AD RMS 템플릿의 이름: 저장

API 상수 또는 값:
MSIPC:IPC_GENERIC_WRITE L"EDIT"
MIP SDK:EDIT
일반 이름: 주석

정책의 인코딩: COMMENT
콘텐츠에 주석 또는 메모를 추가하는 옵션을 사용하도록 설정합니다.

이 권한은 SDK에서 사용할 수 있으며, Windows PowerShell용 AzureInformationProtection 및 RMS Protection 모듈에서 임시 정책으로 사용할 수 있으며 일부 소프트웨어 공급업체 애플리케이션에서 구현되었습니다. 그러나 널리 사용되지 않으며, Office 애플리케이션에서 지원하지 않습니다.
Office 사용자 지정 권한: 구현되지 않았습니다.

Azure 클래식 포털의 이름: 구현되지 않았습니다.

Microsoft Purview 규정 준수 포털 및 Azure Portal의 이름: 구현되지 않았습니다.

AD RMS 템플릿의 이름: 구현되지 않음

API 상수 또는 값:
MSIPC:IPC_GENERIC_COMMENT L"COMMENT
MIP SDK:COMMENT
일반 이름: 다른 이름으로 저장, 내보내기

정책의 인코딩: EXPORT
다른 파일 이름(다른 이름으로 저장)에 콘텐츠를 저장하는 옵션을 사용하도록 설정합니다.

Azure Information Protection 클라이언트의 경우 보호 없이 파일을 저장하고 새 설정 및 사용 권한으로 다시 보호될 수 있습니다. 이러한 허용된 작업은 이 권한이 있는 사용자가 보호된 문서 또는 전자 메일에서 Azure Information Protection 레이블을 변경하거나 제거할 수 있음을 의미합니다.

또한 이 권한을 통해 사용자는 OneNote로 보내기와 같은 애플리케이션에서 다른 내보내기 옵션을 수행할 수 있습니다.
Office 사용자 지정 권한: 모든 권한 옵션의 일부입니다.

Azure 클래식 포털의 이름: 콘텐츠 내보내기(다른 이름으로 저장)

Microsoft Purview 규정 준수 포털 및 Azure Portal의 이름: 다른 이름으로 저장, 내보내기(EXPORT)

AD RMS 템플릿의 이름: 내보내기(다른 이름으로 저장)

API 상수 또는 값:
MSIPC:IPC_GENERIC_EXPORT L"EXPORT"
MIP SDK:EXPORT
일반 이름: 앞으로

정책의 인코딩: FORWARD
이메일 메시지를 전달하고 받는 사람참조 줄에 받는 사람을 추가하는 옵션을 사용하도록 설정합니다. 이 권한은 문서에 적용되지 않고, 이메일 메시지에만 적용됩니다.

전달자는 전달 작업의 일부로 다른 사용자에게 권한을 부여할 수 없습니다.

이 권한을 부여하면 콘텐츠 편집, 편집 권한(일반 이름)도 부여하고 보호된 전자 메일 메시지가 첨부 파일로 배달되지 않도록 저장 권한(일반 이름)도 부여합니다. 또한 Outlook 클라이언트 또는 Outlook 웹앱을 사용하는 다른 조직으로 전자 메일을 보낼 때 이러한 권한을 지정합니다. 또는 온보딩 컨트롤을 구현했으므로 Rights Management 보호를 사용하지 않는 조직의 사용자에게 적합합니다.
Office 사용자 지정 권한: 전달 안 함 표준 정책을 사용할 때 거부되었습니다.

Azure 클래식 포털의 이름: 전달

Microsoft Purview 규정 준수 포털 및 Azure Portal의 이름: 전달(FORWARD)

AD RMS 템플릿의 이름: 전달

API 상수 또는 값:
MSIPC:IPC_EMAIL_FORWARD L"FORWARD"
MIP SDK:FORWARD
일반 이름: 모든 권한

정책의 인코딩: OWNER
문서에 대한 모든 권한을 부여하고 사용 가능한 모든 작업을 수행할 수 있습니다.

보호를 제거하고 문서를 다시 보호하는 기능을 포함합니다.

이 사용 권한은 Rights Management 소유자동일하지 않습니다.
Office 사용자 지정 권한: 모든 권한 사용자 지정 옵션입니다.

Azure 클래식 포털의 이름: 모든 권한

Microsoft Purview 규정 준수 포털 및 Azure Portal의 이름: 모든 권한(OWNER)

AD RMS 템플릿의 이름: 모든 권한

API 상수 또는 값:
MSIPC:IPC_GENERIC_ALL L"OWNER"
MIP SDK:OWNER
일반 이름: 인쇄

정책의 인코딩: PRINT
콘텐츠를 인쇄하는 옵션을 사용하도록 설정합니다. Office 사용자 지정 권한: 사용자 지정 권한의 콘텐츠 인쇄 옵션입니다. 받는 사람별 설정이 아닙니다.

Azure 클래식 포털의 이름: 인쇄

Microsoft Purview 규정 준수 포털 및 Azure Portal의 이름: 인쇄(PRINT)

AD RMS 템플릿의 이름: 인쇄

API 상수 또는 값:
MSIPC:IPC_GENERIC_PRINT L"PRINT"
MIP SDK: PRINT
일반 이름: 회신

정책의 인코딩: REPLY
받는 사람 또는 참조 줄의 변경 내용을 허용하지 않고 전자 메일 클라이언트에서 회신 옵션을 사용하도록 설정합니다.

이 권한을 부여하면 콘텐츠 편집, 편집 권한(일반 이름)도 부여하고 보호된 전자 메일 메시지가 첨부 파일로 배달되지 않도록 저장 권한(일반 이름)도 부여합니다. 또한 Outlook 클라이언트 또는 Outlook 웹앱을 사용하는 다른 조직으로 전자 메일을 보낼 때 이러한 권한을 지정합니다. 또는 온보딩 컨트롤을 구현했으므로 Rights Management 보호를 사용하지 않는 조직의 사용자에게 적합합니다.
Office 사용자 지정 권한: 해당 없음

Azure 클래식 포털의 이름: 회신

Azure 클래식 포털의 이름: 회신(회신)

AD RMS 템플릿의 이름: 회신

API 상수 또는 값:
MSIPC:IPC_EMAIL_REPLY
MIP SDK:REPLY
일반 이름: 모두 회신

정책의 인코딩: REPLYALL
전자 메일 클라이언트에서 전체 회신 옵션을 사용하도록 설정하지만 받는 사람 또는 참조 줄에 받는 사람을 추가할 수는 없습니다.

이 권한을 부여하면 콘텐츠 편집, 편집 권한(일반 이름)도 부여하고 보호된 전자 메일 메시지가 첨부 파일로 배달되지 않도록 저장 권한(일반 이름)도 부여합니다. 또한 Outlook 클라이언트 또는 Outlook 웹앱을 사용하는 다른 조직으로 전자 메일을 보낼 때 이러한 권한을 지정합니다. 또는 온보딩 컨트롤을 구현했으므로 Rights Management 보호를 사용하지 않는 조직의 사용자에게 적합합니다.
Office 사용자 지정 권한: 해당 없음

Azure 클래식 포털의 이름: 전체 회신

Microsoft Purview 규정 준수 포털 및 Azure Portal의 이름: 모두 회신(REPLY ALL)

AD RMS 템플릿의 이름: 전체 회신

API 상수 또는 값:
MSIPC:IPC_EMAIL_REPLYALL L"REPLYALL"
MIP SDK:REPLYALL
일반 이름: 보기, 열기, 읽기

정책의 인코딩: VIEW
사용자가 문서를 열고 콘텐츠를 볼 수 있습니다.

Excel에서 이 권한은 데이터를 정렬하기에 충분하지 않으므로 콘텐츠 편집, 편집 권한이 필요합니다. Excel에서 데이터를 필터링하려면 콘텐츠 편집, 편집복사라는 두 가지 권한이 필요합니다.
Office 사용자 지정 권한: 읽기 사용자 지정 정책인 보기 옵션입니다.

Azure 클래식 포털의 이름: 보기

Microsoft Purview 규정 준수 포털 및 Azure Portal의 이름: 보기, 열기, 읽기(VIEW)

AD RMS 템플릿의 이름: 읽기

API 상수 또는 값:
MSIPC:IPC_GENERIC_READ L"VIEW"
MIP SDK:VIEW
일반 이름: 복사

정책의 인코딩: EXTRACT
문서에서 동일한 문서나 다른 문서로 데이터를 복사하는 옵션(화면 캡처 포함)을 사용할 수 있습니다.

일부 응용 프로그램에서는 전체 문서를 보호되지 않은 형식으로 저장할 수도 있습니다.

비즈니스용 Skype 및 유사한 화면 공유 애플리케이션에서 발표자는 보호된 문서를 성공적으로 표시할 수 있는 이 권한이 있어야 합니다. 발표자에게 이 권한이 없으면 참석자는 문서를 볼 수 없으며 해당 문서가 검은색으로 표시됩니다.
Office 사용자 지정 권한: 읽기 권한이 있는 사용자에게 콘텐츠 복사 허용 사용자 지정 정책 옵션입니다.

Azure 클래식 포털의 이름: 콘텐츠 복사 및 추출

Microsoft Purview 규정 준수 포털 및 Azure Portal의 이름: 복사(EXTRACT)

AD RMS 템플릿의 이름: 추출

API 상수 또는 값:
MSIPC:IPC_GENERIC_EXTRACT L"EXTRACT"
MIP SDK:EXTRACT
일반 이름: 권한 보기

정책의 인코딩: VIEWRIGHTSDATA
사용자가 문서에 적용되는 정책을 볼 수 있습니다.

Office 앱 또는 Azure Information Protection 클라이언트에서 지원하지 않습니다.
Office 사용자 지정 권한: 구현되지 않았습니다.

Azure 클래식 포털의 이름: 할당된 권한 보기

Microsoft Purview 규정 준수 포털 및 Azure Portal의 이름: 권한 보기(VIEWRIGHTSDATA).

AD RMS 템플릿의 이름: 권한 보기

API 상수 또는 값:
MSIPC:IPC_READ_RIGHTS L"VIEWRIGHTSDATA"
MIP SDK:VIEWRIGHTSDATA
일반 이름: 권한 변경

정책의 인코딩: EDITRIGHTSDATA
사용자가 문서에 적용되는 정책을 변경할 수 있습니다. 보호 제거 포함이 포함됩니다.

Office 앱 또는 Azure Information Protection 클라이언트에서 지원하지 않습니다.
Office 사용자 지정 권한: 구현되지 않았습니다.

Azure 클래식 포털의 이름: 권한 변경

Microsoft Purview 규정 준수 포털 및 Azure Portal의 이름: 권한 편집(EDITRIGHTSDATA).

AD RMS 템플릿의 이름: 권한 편집

API 상수 또는 값:
MSIPC:PC_WRITE_RIGHTS L"EDITRIGHTSDATA"
MIP SDK:EDITRIGHTSDATA
일반 이름: 매크로 허용

정책의 인코딩: OBJMODEL
매크로를 실행하거나 문서의 콘텐츠에 대한 다른 프로그래밍 방식 또는 원격 액세스를 수행하는 옵션을 사용하도록 설정합니다. Office 사용자 지정 권한: 프로그래밍 방식 액세스 허용 사용자 지정 정책 옵션입니다. 받는 사람별 설정이 아닙니다.

Azure 클래식 포털의 이름: 매크로 허용

Microsoft Purview 규정 준수 포털 및 Azure Portal의 이름: 매크로 허용(OBJMODEL)

AD RMS 템플릿의 이름: 매크로 허용

API 상수 또는 값: MSIPC: 구현되지 않았습니다. MIP SDK:OBJMODEL

권한 수준에 포함된 권한

일부 애플리케이션은 사용 권한을 사용 권한 수준으로 그룹화하여 일반적으로 함께 사용되는 사용 권한을 더 쉽게 선택할 수 있도록 합니다. 이러한 권한 수준은 역할 기반 옵션을 선택할 수 있도록 사용자의 복잡성 수준을 추상화하는 데 도움이 됩니다. 예를 들어 뷰어제한 편집기. 이러한 옵션은 종종 사용자에게 권한 요약을 표시하지만 이전 표에 나열된 모든 권한을 포함하지 않을 수 있습니다.

다음 표를 사용하여 이러한 사용 권한 수준 목록과 해당 권한에 포함된 사용 권한의 전체 목록을 확인합니다. 사용 권한은 일반 이름으로 나열됩니다.

사용 권한 수준 애플리케이션 포함된 사용 권한
뷰어 Azure 클래식 포털

Azure Portal

Windows용 Azure Information Protection 클라이언트
보기, 열기, 읽기; 권한 보기; 회신 [1]; 모두 회신 [1]; 매크로 허용 [2],[3]

참고: 이메일의 경우 이메일 회신을 첨부 파일이 아닌 이메일 메시지로 받도록 하려면 이 권한 수준 대신 검토자를 사용합니다. 또한 검토자는 Outlook 클라이언트 또는 Outlook 웹앱을 사용하는 다른 조직으로 이메일을 보내는 경우에도 필요합니다. 또는 온보딩 컨트롤을 구현했기 때문에 Azure Rights Management 서비스를 사용하지 않는 조직의 사용자의 경우
제한된 Editor

(이전에 검토자[4])
Azure 클래식 포털

Azure Portal

Windows용 Azure Information Protection 클라이언트
보기, 열기, 읽기; 저장; 콘텐츠 편집, 편집; 권한 보기; 회신: 모두 회신 [5]; 전달 [5]; 매크로 허용 [2],[3]
편집기

(이전에 공동 작성자[4])
Azure 클래식 포털

Azure Portal

Windows용 Azure Information Protection 클라이언트
보기, 열기, 읽기; 저장; 콘텐츠 편집, 편집; 복사; 권한 보기; 매크로 허용 [3]; 다른 이름으로 저장, 내보내기 [6]; 인쇄; 답장 [5]; 전체 답장 [5]; 전달 [5]
소유자

(이전에는 공동 소유자[4])
Azure 클래식 포털

Azure Portal

Windows용 Azure Information Protection 클라이언트
보기, 열기, 읽기; 저장; 콘텐츠 편집, 편집; 복사; 권한 보기; 권한 변경; 매크로 허용; 다른 이름으로 저장, 내보내기; 인쇄; 회신 [5]; 모두 답장 [5]; 전달 [5]; 모든 권한
각주 1

Microsoft Purview 규정 준수 포털 또는 Azure Portal에 포함되지 않습니다.

각주 2

Windows용 Azure Information Protection 클라이언트의 경우 이 권한은 Office 앱의 Information Protection 표시줄에 필요합니다.

각주 3

Windows용 Word, Excel 및 PowerPoint(버전 2408 이상)의 사용자 지정 사용 권한 대화 상자에 포함되지 않습니다.

각주 4

Microsoft Purview 규정 준수 포털 및 Windows용 Word, Excel 및 PowerPoint(버전 2408 이상)의 사용자 지정 권한 대화 상자에서 사용 권한 수준 이름을 업데이트했습니다. 검토자은 이제 제한된 편집기라고 불립니다. 공동 작성자은 이제 편집기라고 불리고, 공동 소유자은 이제 소유자라고 불립니다. 다른 애플리케이션은 원래 사용 권한 수준 명명을 계속 사용합니다.

각주 5

Windows용 Azure Information Protection 클라이언트에는 적용되지 않습니다.

각주 6

Microsoft Purview 규정 준수 포털, Azure Portal 또는 Windows용 Azure Information Protection 클라이언트에는 포함되지 않습니다.

이메일에 대한 전달 금지 옵션

Exchange 클라이언트 및 서비스(예: Outlook 클라이언트, 웹용 Outlook, Exchange 메일 흐름 규칙 및 Exchange용 DLP 작업)에는 전자 메일에 대한 추가 정보 권한 보호 옵션인 전달 안 함 옵션이 있습니다.

이 옵션은 사용자가 선택할 수 있는 기본 권한 관리 템플릿인 것처럼 사용자(및 Exchange 관리자)에게 표시되지만 전달 안 함 템플릿은 아닙니다. 보호 템플릿을 보고 관리할 때 Azure Portal에서 볼 수 없는 이유를 설명합니다. 대신 전달 함 옵션은 사용자가 전자 메일 받는 사람에게 동적으로 적용되는 사용 권한 집합입니다.

전달 안 함 옵션이 전자 메일에 적용되면 전자 메일이 암호화되고 받는 사람이 인증되어야 합니다. 그런 다음 받는 사람은 전달하거나 인쇄하거나 복사할 수 없습니다. 예를 들어 Outlook 클라이언트에서 전달 단추를 사용할 수 없고 다른 이름으로 저장인쇄 메뉴 옵션을 사용할 수 없으며 받는 사람, 참조 또는 숨은 참조 상자에서 받는 사람을 추가하거나 변경할 수 없습니다.

전자 메일에 첨부된 보호되지 않는 Office 문서는 동일한 제한을 자동으로 상속합니다. 이러한 문서에 적용되는 사용 권한은 콘텐츠 편집, 편집입니다.저장; 매크로 보기, 열기, 읽기허용 첨부 파일에 대해 다른 사용 권한을 원하거나 첨부 파일이 상속된 보호를 지원하는 Office 문서가 아닌 경우 파일을 전자 메일에 첨부하기 전에 보호합니다. 그런 다음 파일에 필요한 특정 사용 권한을 할당할 수 있습니다.

전달 안 함과 전달 사용권 부여 안 함의 차이점

전달 안 함 옵션 적용과 전자 메일에 전달 사용 권한을 부여하지 않는 서식 파일 적용 사이에는 중요한 차이점이 있습니다. 전달 안 함 옵션은 사용자가 선택한 원본 전자 메일 받는 사람을 기반으로 하는 권한 있는 사용자의 동적 목록을 사용하는 반면 템플릿의 권한에는 관리자가 이전에 지정한 권한이 있는 사용자의 정적 목록이 있습니다. 차이점은 무엇일까요? 예를 들어 보겠습니다.

사용자는 마케팅 부서의 특정 사용자에게 다른 사람과 공유해서는 안 되는 일부 정보를 전자 메일로 보내려고 합니다. 마케팅 부서에 대한 권한(보기, 회신 및 저장)을 제한하는 템플릿으로 이메일을 보호해야 하나요? 아니면 전달 안 함 옵션을 선택해야 할까요? 두 옵션 모두 받는 사람이 전자 메일을 전달할 수 없게 됩니다.

  • 그녀가 템플릿을 적용한 경우에도 받는 사람은 마케팅 부서의 다른 사용자와 정보를 공유할 수 있습니다. 예를 들어 받는 사람은 탐색기를 사용하여 이메일을 공유 위치 또는 USB 드라이브에 끌어서 놓을 수 있습니다. 이제 이 위치에 액세스할 수 있는 마케팅 부서(및 전자 메일 소유자)의 모든 사용자가 전자 메일의 정보를 볼 수 있습니다.

  • 전달하지 않음 옵션을 적용한 경우 받는 사람은 전자 메일을 다른 위치로 이동하여 마케팅 부서의 다른 사용자와 정보를 공유할 수 없습니다. 이 시나리오에서는 원래의 받는 사람(및 이메일 소유자)만 이메일의 정보를 볼 수 있습니다.

참고 항목

보낸 사람이 선택한 받는 사람만 전자 메일에 정보를 표시해야 하는 경우 전달 안 함을 사용합니다. 전자 메일에 템플릿을 사용하여 관리자가 보낸 사람이 선택한 받는 사람과 독립적으로 사전에 지정한 사용자 그룹에 대한 권한을 제한합니다.

이메일에 대한 암호화 전용 옵션

Exchange Online에서 Office 365 메시지 암호화에 새 기능을 사용하는 경우 추가 제한 없이 데이터를 암호화하는 데 새 암호화 이메일 옵션을 사용할 수 있습니다.

이 옵션은 Exchange Online을 사용하는 테넌트에서 사용할 수 있으며 다음과 같이 선택할 수 있습니다.

  • 웹용 Outlook에서암호화 옵션을 구성하거나 사용자가 권한을 할당할 수 있도록 허용암호화 전용 옵션에 대해 민감도 레이블 구성
  • 메일 흐름 규칙에 대해 다른 권한 보호 옵션으로 선택
  • Office 365 DLP 작업으로 선택
  • 데스크톱 및 모바일 디바이스용 Outlook 앱 에서:
    • Outlook의 민감도 레이블 기능에 대한 표에 나열된 최소 버전에서 기본 제공 레이블을 사용하는 경우 Windows, macOS, iOS 및 Android에서 사용자가 권한을 할당할 수 있도록 허용암호화 전용 옵션에 대해 구성된 민감도 레이블을 사용합니다.
    • Windows 및 macOS의 암호화 옵션을 사용하여 업데이트 채널별 Microsoft 365 앱 지원되는 버전 표에 나열된 버전에 대해

암호화 전용 옵션에 대한 자세한 내용은 Office 팀이 처음 발표한 블로그 게시물, Office 365 메시지 암호화로 배포만 암호화를 참조하세요.

이 옵션을 선택하면 전자 메일이 암호화되고 받는 사람이 인증되어야 합니다. 그런 다음 받는 사람은 다른 이름으로 저장, 내보내기 및 모든 권한을 제외한 모든 사용 권한을 갖습니다. 이 사용 권한 조합은 받는 사람이 보호를 제거할 수 없다는 점을 제외하고는 제한이 없음을 의미합니다. 예를 들어 받는 사람은 전자 메일에서 복사하여 인쇄하고 전달할 수 있습니다.

마찬가지로, 기본적으로 전자 메일에 첨부된 보호되지 않는 Office 문서는 동일한 권한을 상속합니다. 이러한 문서는 자동으로 보호되며 다운로드되면 받는 사람이 Office 앱 저장, 편집, 복사 및 인쇄할 수 있습니다. 받는 사람이 문서를 저장하면 새 이름과 다른 형식으로 저장할 수 있습니다. 그러나 원래 보호 없이 문서를 저장할 수 없도록 보호를 지원하는 파일 형식만 사용할 수 있습니다. 첨부 파일에 대해 다른 사용 권한을 원하거나 첨부 파일이 상속된 보호를 지원하는 Office 문서가 아닌 경우 파일을 전자 메일에 첨부하기 전에 보호합니다. 그런 다음 파일에 필요한 특정 사용 권한을 할당할 수 있습니다.

또는 Exchange Online PowerShell을 사용하여 지정하여 문서의 보호 상속을 Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true변경할 수 있습니다. 사용자가 인증된 후 문서에 대한 원래 보호를 유지할 필요가 없는 경우 이 구성을 사용합니다. 받는 사람이 전자 메일 메시지를 열면 문서가 보호되지 않습니다.

원래 보호를 유지하기 위해 첨부된 문서가 필요한 경우 Azure Information Protection을 사용하여 보안 문서 공동 작업을 참조하세요.

참고 항목

DecryptAttachmentFromPortal에 대한 참조가 표시되면 이제 Set-IRMConfiguration에서 이 매개 변수가 사용되지 않습니다. 이전에 이 매개 변수를 설정하지 않은 경우 사용할 수 없습니다.

Exchange Online을 사용하여 자동으로 PDF 문서 암호화

Exchange Online에서 Office 365 메시지 암호화에 대한 새 기능을 사용하면 보호되지 않는 PDF 문서가 암호화된 이메일에 첨부될 때 해당 문서를 자동으로 암호화할 수 있습니다. 이 문서는 이메일 메시지와 동일한 권한을 상속합니다. 이 구성을 사용하도록 설정하려면 Set-IRMConfiguration과 함께 EnablePdfEncryption $True를 설정합니다.

PDF 암호화에 대한 ISO 표준을 지원하는 판독기가 아직 설치되어 있지 않은 받는 사람은 Microsoft Purview Information Protection을 지원하는 PDF 판독기 중 하나를 설치할 수 있습니다. 또는 받는 사람이 OME 포털에서 보호된 PDF 문서를 읽을 수 있습니다.

Rights Management 발급자 및 권한 관리 소유자

Azure Rights Management 서비스를 사용하여 문서 또는 이메일을 보호하면 해당 콘텐츠를 보호하는 계정이 자동으로 해당 콘텐츠에 대한 Rights Management 발급자가 됩니다. 이 계정은 사용 로그에서 발급자 필드 로 기록됩니다.

권한 관리 발급자에게는 문서 또는 전자 메일에 대한 모든 권한 사용 권한이 항상 부여되며, 또한 다음과 같습니다.

  • 보호 설정에 만료 날짜가 포함된 경우 Rights Management 발급자에서 해당 날짜 이후에도 문서 또는 전자 메일을 열고 편집할 수 있습니다.

  • Rights Management 발급자에서 항상 오프라인으로 문서 또는 전자 메일에 액세스할 수 있습니다.

  • 권한 관리 발급자에서 해지된 후에도 문서를 열 수 있습니다.

기본적으로 이 계정은 해당 콘텐츠의 권한 관리 소유자 이기도 합니다. 이 경우 문서 또는 전자 메일을 만든 사용자가 보호를 시작합니다. 그러나 관리자 또는 서비스가 사용자를 대신하여 콘텐츠를 보호할 수 있는 몇 가지 시나리오가 있습니다. 예시:

  • 관리자는 파일 공유의 파일을 대량으로 보호합니다. Microsoft Entra ID의 관리자 계정은 사용자에 대한 문서를 보호합니다.

  • Rights Management 커넥터는 Windows Server 폴더의 Office 문서를 보호합니다. RMS 커넥터에 대해 만들어진 Microsoft Entra ID의 서비스 주체 계정은 사용자의 문서를 보호합니다.

이러한 시나리오에서 Rights Management 발급자는 Azure Information Protection SDK 또는 PowerShell을 사용하여 Rights Management 소유자를 다른 계정에 할당할 수 있습니다. 예를 들어 Azure Information Protection 클라이언트에서 Protect-RMSFile PowerShell cmdlet을 사용하는 경우 OwnerEmail 매개 변수를 지정하여 Rights Management 소유자를 다른 계정에 할당할 수 있습니다.

Rights Management 발급자가 사용자를 대신하여 보호하는 경우 Rights Management 소유자를 할당하면 원래 문서 또는 전자 메일 소유자가 보호된 콘텐츠에 대해 보호를 시작한 것과 동일한 수준의 제어를 갖도록 합니다.

예를 들어 문서를 만든 사용자는 인쇄 사용 권한이 없는 서식 파일로 보호되더라도 인쇄할 수 있습니다. 동일한 사용자는 해당 템플릿에서 구성되었을 수 있는 오프라인 액세스 설정 또는 만료 날짜에 관계없이 항상 문서에 액세스할 수 있습니다. 또한 권한 관리 소유자에게 모든 권한 사용 권한이 있으므로 이 사용자는 문서를 다시 보호하여 추가 사용자에게 액세스 권한을 부여할 수도 있습니다(이때 사용자는 Rights Management 발급자 및 권한 관리 소유자가 됨). 이 사용자는 보호를 제거할 수도 있습니다. 그러나 Rights Management 발급자만 문서를 추적하고 해지할 수 있습니다.

문서 또는 전자 메일의 권한 관리 소유자는 사용 현황 로그에 소유자-전자 메일 필드 로 기록됩니다.

참고 항목

Rights Management 소유자는 Windows 파일 시스템 소유자와 다릅니다. SDK 또는 PowerShell을 사용하지 않더라도 종종 동일하지만 다를 수 있습니다.

Rights Management 사용 라이선스

사용자가 Azure Rights Management로 보호되는 문서 또는 전자 메일을 열면 해당 콘텐츠에 대한 Rights Management 사용 라이선스가 사용자에게 부여됩니다. 이 사용 라이선스는 문서 또는 이메일 메시지에 대한 사용자의 사용 권한 및 콘텐츠를 암호화하는 데 사용된 암호화 키가 포함된 인증서입니다. 사용 라이선스에는 만료 날짜(설정된 경우)와 사용 라이선스가 유효한 기간도 포함됩니다.

사용자에게는 사용자 환경이 초기화되고 31일마다 갱신될 때 부여되는 인증서인 RAC(권한 계정 인증서) 외에 콘텐츠를 여는 데 유효한 사용 라이선스가 있어야 합니다.

사용 라이선스 기간 동안 사용자는 콘텐츠에 대해 재인증 또는 재인증되지 않습니다. 이렇게 하면 사용자가 인터넷에 연결하지 않고도 보호된 문서 또는 이메일을 계속 열 수 있습니다. 사용 라이선스 유효 기간이 만료되면 다음에 사용자가 보호된 문서 또는 전자 메일에 액세스할 때 사용자를 다시 인증하고 다시 인증해야 합니다.

보호 설정을 정의하는 레이블 또는 템플릿을 사용하여 문서 및 전자 메일 메시지를 보호하는 경우 콘텐츠를 다시 보호하지 않고도 레이블 또는 템플릿에서 이러한 설정을 변경할 수 있습니다. 사용자가 이미 콘텐츠에 액세스한 경우 해당 사용 라이선스가 만료되어야 변경 내용이 적용됩니다. 그러나 사용자가 사용자 지정 권한(임시 권한 정책이라고도 함)을 적용하고 문서 또는 전자 메일이 보호된 후 이러한 권한을 변경해야 하는 경우 해당 콘텐츠는 새 사용 권한으로 다시 보호되어야 합니다. 전자 메일 메시지에 대한 사용자 지정 권한은 전달 안 함 옵션을 사용하여 구현됩니다.

테넌트에 대한 기본 사용 라이선스 유효 기간은 30일이며, 이 값은 Set-AipServiceMaxUseLicenseValidityTime PowerShell cmdlet을 사용하여 구성할 수 있습니다. 지금 사용 권한을 할당하도록 구성된 민감도 레이블 또는 템플릿을 사용하여 보호가 적용되는 경우에 대해 보다 제한적인 설정을 구성할 수 있습니다.

  • 민감도 레이블을 구성하는 경우 사용 라이선스 유효 기간에는 오프라인 액세스 허용 설정의 값이 적용됩니다.

    민감도 레이블에 대해 이 설정을 구성하는 방법에 대한 자세한 내용과 지침은 민감도 레이블에 대한 권한을 지금 구성하는 방법에 대한 지침의 권장 사항 표를 참조하세요.

  • PowerShell을 사용하여 템플릿을 구성하는 경우 사용 라이선스 유효 기간에는 Set-AipServiceTemplatePropertyAdd-AipServiceTemplate cmdlet의 LicenseValidityDuration 매개 변수 값이 적용됩니다.

    PowerShell을 사용하여 이 설정을 구성하는 방법에 대한 자세한 내용과 지침은 각 cmdlet에 대한 도움말을 참조하세요.

참고 항목