기본적으로 Microsoft Purview를 사용하여 보호 및 초과 공유로부터 보호 - 1단계

아티클
10/16/2024

이 가이드는 다음 네 단계로 나뉩니다.

기본적으로 Microsoft Purview를 사용하여 보호 및 초과 공유로부터 보호 - 청사진

1단계: 기본 - 권장 레이블 시작

민감도 레이블은 최종 사용자에게 의미 있고 직관적인 조직 태그입니다. Microsoft 솔루션과 Adobe Acrobat Reader와 같은 비 Microsoft 솔루션 간에 통합되고 일관됩니다.

레이블에 대한 보호 정책은 데이터 자산에 따라 달라집니다. 예시:

지원되는 파일 형식에 대한 암호화 및 동적 워터마킹
SharePoint 사이트 및 Teams에 대한 조건부 액세스 제어 및 개인 정보
Azure SQL 데이터베이스, Azure Storage 및 AWS(Amazon Web Services) S3에 대한 권한 제어

레이블을 적용하기 위한 전략은 종종 수동 레이블 지정, SIT(중요한 정보 유형)를 사용한 클라이언트 쪽 자동 레이블 지정, SIT 및 컨텍스트 조건의 서비스 쪽 자동 레이블 지정(미사용)으로 시작하는 경우가 많습니다. 또한 SharePoint는 라이브러리당 상황에 맞는 기본 레이블을 제공하며, 이 가이드에서 자세히 설명합니다.

파일 및 사이트 수준에서 기본 레이블 및 보호로 시작

대부분의 고객에 대해 다음 정의부터 시작하는 것이 좋습니다. 이러한 권장 레이블은 기존 배포가 있는 경우 조정하고 나중에 더 많은 시나리오로 반복할 수 있습니다.

최상위 수준에서는 다음 레이블부터 시작하는 것이 좋습니다.

공개 - 퍼블릭 데이터는 공개적으로 릴리스된 소스 코드 및 발표된 재무와 같이 퍼블릭 사용을 위한 무제한 데이터입니다. 자유롭게 공유하세요.
일반 - 일별 작업 제품과 같이 공용 소비를 위한 것이 아닌 비즈니스 데이터입니다. 내부적으로 그리고 신뢰할 수 있는 파트너와 공유할 수 있는 데이터입니다.
기밀 - 조직의 목표를 달성하는 데 중요한 중요한 비즈니스 데이터입니다. 제한된 배포.
극비 - 가장 중요한 데이터입니다. 명명된 받는 사람과만 공유합니다.

참고

관리되는 디바이스에서 개인 콘텐츠를 수락하는 조직의 경우 비 기업 또는 개인 레이블을 가장 낮은 우선 순위와 보호 없이 정의하는 것이 좋습니다.

기밀 및 기밀의 경우 다음 하위 레이블을 추가합니다.

\모든 직원 - organization 내의 모든 사용자가 데이터에 액세스할 수 있습니다.
\특정 사람 - 지정된 사용자만 데이터에 액세스할 수 있습니다.
\내부 예외 - 모든 사용자가 내부적으로 데이터에 액세스할 수 있지만 외부에서 공유되지 않도록 방지할 수 있습니다. 암호화가 일상적인 작업에 영향을 미치는 경우 이 레이블을 사용합니다.

권장 구성이 있는 부모/자식 레이블의 전체 목록은 다음 표를 참조하세요.

레이블 이름	사용자를 위한 레이블 설명	설정
공용	공용 사용을 위해 준비 및 승인된 비즈니스 데이터입니다.	범위: 항목(파일, 전자 메일) 콘텐츠 표시: 아니요 자동 레이블 지정: 아니요 데이터 손실 방지: 없음
일반	공용 사용을 위한 것이 아닌 비즈니스 데이터입니다. 그러나 필요한 경우 외부 파트너와 공유할 수 있습니다.	이 레이블은 전자 메일의 기본 레이블로 선택됩니다. 외부 파트너를 허용하는 사이트에 대해서도 이 레이블이 선택됩니다. 범위: 항목(파일, Email, 모임, 사이트) 콘텐츠 표시: 아니요 자동 레이블 지정: 아니요 사이트 개인 정보: 프라이빗 또는 퍼블릭 데이터 손실 방지: 링크가 있는 사용자 차단
기밀 \ 모든 직원	모든 직원에게 모든 권한을 허용하며 보호를 필요로 하는 기밀 데이터입니다. 데이터 소유자는 콘텐츠를 추적하고 철회할 수 있습니다.	이 레이블은 문서 및 사이트의 기본 레이블로 선택됩니다. 범위: 항목(파일, Email, 모임, 사이트) 암호화: 조직의 모든 사용자 및 그룹: 공동 작성자 콘텐츠 표시: 바닥글: 기밀로 분류됨 자동 레이블 지정: 아니요 사이트 개인 정보: 프라이빗 또는 퍼블릭 데이터 손실 방지: 링크가 있는 사용자 차단, 외부 차단
기밀 \ 특정 사용자	조직 내부 및 외부의 신뢰할 수 있는 사용자와 공유할 수 있는 기밀 데이터입니다. 이러한 사용자는 필요에 따라 데이터를 다시 공유할 수도 있습니다.	범위: 항목(파일, Email, 모임, 사이트) 암호화: 사용자가 권한을 할당할 수 있도록 허용: - Outlook용 암호화 전용 - Word, PowerPoint 및 Excel에서 사용자에게 프롬프트 표시 콘텐츠 표시: 바닥글: 기밀로 분류됨 자동 레이블 지정: 아니요 사이트 개인 정보: 프라이빗 또는 퍼블릭 데이터 손실 방지: 링크가 있는 사용자 차단
기밀 \ 내부 예외	암호화할 필요가 없는 기밀 데이터입니다. 이 옵션은 주의하여 적절한 업무상 근거를 가지고 사용합니다.	이 레이블은 암호화할 필요가 없는 기밀 정보에 대해 선택됩니다. 이 정보는 이 정보를 사용하는 프로세스 또는 애플리케이션에서 암호화가 지원되지 않는 경우 내부 예외로 사용할 수 있습니다. 데이터 손실 방지 및 내부자 위험 관리를 활용하여 위험 및 사용자 편차를 관리합니다. 범위: 항목(파일, Email, 모임, 사이트) 콘텐츠 표시: 바닥글: 기밀로 분류됨 자동 레이블 지정:아니요 사이트 개인 정보: 프라이빗 또는 퍼블릭 데이터 손실 방지: 링크가 있는 사용자 차단, 외부 차단
극비 \ 모든 직원	모든 직원이 이 콘텐츠에 대한 사용 권한을 보고, 편집하고, 회신할 수 있는 기밀 데이터입니다. 데이터 소유자는 콘텐츠를 추적하고 철회할 수 있습니다.	이 레이블은 클라이언트 쪽 자동 레이블 지정 및 서비스 쪽 자동 레이블 지정에 대해 선택됩니다. 범위: 항목(파일, Email, 모임, 사이트) 암호화: 조직의 모든 사용자 및 그룹: 공동 작성자 콘텐츠 표시: 바닥글: 극비로 분류됨 자동 레이블 지정: 레이블을 자동으로 적용합니다. 매우 중요한 모든 자격 증명 중요한 정보 유형을 자동으로 적용하는 것이 좋습니다. 사이트 개인 정보: 프라이빗 또는 퍼블릭 데이터 손실 방지: 링크가 있는 사용자 차단, 외부 차단
극비 \ 특정 사용자	보호가 필요하고 지정한 사용자와 선택한 권한 수준으로만 볼 수 있는 극비 데이터입니다.	범위: 항목(파일, Email, 모임, 사이트) 암호화: 사용자가 권한을 할당할 수 있도록 허용: - Outlook용 전달하지 않음 - Word, PowerPoint 및 Excel에서 사용자에게 프롬프트 표시 콘텐츠 표시: 바닥글: 극비로 분류됨 자동 레이블 지정: 아니요 사이트 개인 정보: 프라이빗 또는 퍼블릭 데이터 손실 방지: 링크가 있는 사용자 차단, 외부 차단
극비 \ 내부 예외	암호화할 필요가 없는 기밀 데이터입니다. 이 옵션은 주의하여 적절한 업무상 근거를 가지고 사용합니다.	이 레이블은 암호화할 필요가 없는 기밀 정보에 대해 선택됩니다. 이 정보는 이 정보를 사용하는 프로세스 또는 애플리케이션에서 암호화가 지원되지 않는 경우 내부 예외로 사용할 수 있습니다. 데이터 손실 방지 및 내부자 위험 관리를 활용하여 위험 및 사용자 편차를 관리합니다. 범위: 항목(파일, Email, 모임, 사이트) 콘텐츠 표시: 바닥글: 기밀로 분류됨 자동 레이블 지정: 아니요 사이트 개인 정보: 프라이빗 또는 퍼블릭 데이터 손실 방지: 링크가 있는 사용자 차단, 외부 차단

기본적으로 보호

이 배포 모델의 권장 레이블은 기존 크롤링/연습/실행 방법 또는 데이터 보호를 위한 기본 레이블 및 정책에 비해 몇 가지 차이점이 있습니다.

파일의 기본 레이블을 Confidential\All Employees로 설정합니다. 기존 파일의 경우 상황별 조건 파일 확장 명에서 서비스 쪽 자동 레이블 지정을 활용하는 것은 모든 관련 SharePoint 사이트에 대한 모든 PPTX/DOCX/XLSX/PDF 파일에 대한 것입니다.
전자 메일의 기본 레이블을 일반 으로 설정합니다. 이렇게 하면 메일에 연결된 기밀 파일이 파일의 레이블을 상속한다는 점을 제외하고 정상적으로 작동할 수 있는 사용자와의 배포 마찰이 줄어듭니다.
기본 공유 및 DLP 제한에 대한 컨트롤
기밀 유지를 중심으로 하는 자동 레이블 지정 사용 사례
직관적으로 명명되고 설명이 없는 특정 사람 레이블
내부 예외 는 암호화로 인해 최종 사용자가 일상 업무에 방해가 되는 에지 사례를 해결합니다.

강조 표시 및 권장 사항

레이블의 이름은 직관적으로 지정해야 합니다.
- 기밀, 제한 또는 내부와 같은 용어를 함께 혼합하지 마십시오. 용어의 다양한 의미를 이해하는 것은 사용자에게 어려울 수 있습니다.
- 가능한 경우 레이블 목록을 5x5로 유지하는 것이 좋습니다. 즉, 부모 레이블은 최대 5개, 부모 아래에는 최대 5개의 자식 레이블이 있습니다.
해당하는 경우 파일 및 SharePoint 사이트 모두에 레이블이 사용됩니다.
매우 기밀 은 대부분 자동 레이블 지정 및 상황별 기본값으로 수행되며 더 많은 컨트롤과 제한을 제공합니다.
레이블을 사용하여 SharePoint 사이트 및 Teams 개인 정보를 기본적으로 프라이빗 으로 설정합니다.
- SharePoint/Teams에서 공용 개인 정보 설정을 광범위하게 사용하는 조직의 경우 프라이빗 으로 업데이트하고 대신 회사 공유 가능 링크를 사용하는 것이 좋습니다.
- 회사 공유 가능 링크가 있는 프라이빗 SharePoint 사이트는 동일한 공동 작업 유연성을 제공하지만 검색 및 Copilot에서 의도하지 않은 검색의 위험을 줄입니다.
- 더 많은 보호를 위해 기본 공유를 특정 사용자로 설정합니다.
사이트 소유자와 책임 체인을 만듭니다. 보고 및 Graph API 사용하여 사용 및 동작의 편차를 식별합니다.
레이블이 지정된 콘텐츠에서 DLP를 켜고 해당하는 경우 링크 및 외부가 있는 모든 사용자를 차단합니다. 이러한 조건 블록과 일치하는 기존 공유 콘텐츠, DLP 경고가 발생하며 최종 사용자에게 정책 팁이 표시됩니다.
전자 메일 레이블 상속을 켭니다. 자세한 내용은 전자 메일 첨부 파일에서 레이블 상속 구성을 참조하세요.

데이터 보안 필수 구성 요소 및 고급 분석 켜기

Microsoft Purview에는 많은 기능이 있습니다. 사용자에게 미치는 영향을 줄이기 위해 일부 기능은 기본적으로 활성화되지 않습니다. 다음 설정을 검토하는 것이 좋습니다.

Office Online에서 콘텐츠를 처리하는 기능 켜기: SharePoint 및 OneDrive에서 파일에 대한 민감도 레이블 사용
Microsoft Teams 및 SharePoint 사이트에 대한 레이블 지정 켜기: Microsoft Teams, Microsoft 365 그룹 및 SharePoint 사이트에서 민감도 레이블 사용
- 레이블이 일치하지 않는 전자 메일 레이블을 유지하는 것이 좋습니다. 이 기능은 사이트의 민감도 레이블보다 민감도가 높은 문서에 대한 전자 메일을 문서 소유자 및 사이트 소유자에게 보냅니다. '-BlockSendLabelMismatchEmail'이 $False
- '-LabelMismatchEmailHelpLink'와 함께 도움말 링크 포함
OneDrive 및 SharePoint에서 PDF 파일에 대한 지원 사용: SharePoint 및 OneDrive의 파일에 대한 민감도 레이블 사용
기본적으로 파일을 중요한 것으로 표시: DLP 규칙이 적용되는 동안 파일에 대한 게스트 액세스 방지 - Microsoft 365의 SharePoint
DLP 분석: 데이터 손실 방지 분석 시작
민감도 레이블이 있는 파일에 대한 공동 작성 켜기: 암호화된 문서에 대한 공동 작성 사용
내부 위험 관리 지표 켜기: 내부 위험 관리에서 정책 지표 구성
Purview 감사 켜기: 감사 솔루션 시작
Microsoft Entra B2B와의 통합 사용: Microsoft Entra B2B와 SharePoint 및 OneDrive 통합

특정 사용자에 대한 회사 공유 가능 링크 또는 링크

OneDrive 및 SharePoint 공유는 공유 가능한 링크를 통해 구성됩니다. 자세한 정보: Microsoft 365의 OneDrive 및 SharePoint에서 공유 가능한 링크가 작동하는 방식

개인 정보 설정이 공개로 설정된 SharePoint 사이트를 사용하는 조직의 경우 기본 공유 가능한 링크가 organization 사람 설정된 프라이빗으로 이동하는 것이 좋습니다. 오픈 협업은 사용자가 사용할 수 있지만 엔터프라이즈 검색 및 Copilot의 자동 콘텐츠 검색 가능성을 줄입니다.

팁

위험을 더 줄이려면 특정 사용자를 기본값으로 구성하는 것이 좋습니다.

Microsoft Purview 민감도 레이블을 사용하면 SharePoint 사이트 민감도 레이블에 따라 공유 가능한 링크를 구성할 수 있습니다. 예를 들어 이 설정은 일반 사이트와 기밀 사이트 간의 세분화된 구성을 크게 용이하게 합니다. 자세한 정보: 민감도 레이블을 사용하여 기본 공유 링크 유형 구성

예외 관리에 대한 사용자 학습

기본적으로 안전한 접근 방식을 사용하여 학습은 다음 사항에 중점을 둡니다.

organization 기본적으로 정보를 보호하는 것이 얼마나 중요한지 인식하도록 합니다.
SharePoint 사이트에서 레이블 지정의 중요성과 레이블이 파일 및 공유 보호에 미치는 영향
신뢰할 수 있는 외부 파트너와 함께 작업할 때 사용자가 레이블을 변경할 수 있는 방법입니다.
기간 업무 애플리케이션 또는 추가 기능이 암호화에서 제대로 작동하지 않을 때 사용자가 레이블을 변경할 수 있는 방법입니다.
OneDrive 또는 SharePoint에서 신뢰할 수 있는 외부 파트너와 공유할지 여부와 적절한 사이트 레이블을 선택하는 방법입니다.
레이블을 다운그레이드할 때 정당화가 필요합니다.

SharePoint 사이트 레이블 지정에서 파일 레이블을 파생하면 사용자가 레이블을 변경해야 하는 횟수가 줄어듭니다. 예시:

John은 OneDrive를 통해 외부에서 파일을 공유하고 있습니다. 그런 다음 콘텐츠를 검토하고 기밀이 아니라고 판단하고 레이블을 일반으로 변경합니다. 그런 다음 존은 외부에서 공유합니다.
Jane은 파트너와 함께 작업하고 여러 파일을 공유하고 있습니다. Jane은 SharePoint를 사용하고 사이트에 일반 레이블을 지정합니다. 사이트 내의 모든 파일을 공유할 수 있습니다. 그러나 기밀 파일이 사이트에 업로드되면 해당 파일이 보호되고 더 높은 민감도 파일에 대한 알림이 Jane에게 전송되고 파일을 이동하거나 레이블을 변경할 수 있습니다.
Jack은 비즈니스 운영에 중요한 추가 기능을 사용하여 파트너와 함께 Excel에서 작동합니다. 이 추가 기능이 암호화와 호환되지 않는 경우 Jack은 레이블을 Confidential\Internal 예외로 변경해야 합니다.

중요

레이블 우선 순위, 다운그레이드 및 근거와 기본값 간에 고려해야 할 중요한 장단점이 있습니다. 예를 들어 일반 이 Confidential\All 직원보다 우선 순위가 낮고 Office 클라이언트가 Confidential \All 직원으로 기본 설정되는 경우 일반 으로 설정된 SharePoint 기본 라이브러리 레이블이 적용되지 않습니다. 마찬가지로, 우선 순위가 높은 Confidential\Internal 예외 는 근거를 요구하지 않습니다. 레이블 우선 순위 및 근거 요구 사항을 검토하는 것이 중요합니다.

레이블이 지정된 콘텐츠에 대해 DLP 켜기

DLP(Microsoft Purview 데이터 손실 방지)는 민감도 레이블과의 통합을 제공하여 제한된 구성으로 DLP 요구 사항을 신속하게 해결합니다.

예를 들어 권장 레이블 및 기본값이 Confidential\All 직원으로 설정된 경우 외부에 대한 공유를 차단하고 링크가 있는 모든 사용자를 차단하는 DLP 규칙을 포함하는 것이 좋습니다. 각 레이블에 대한 자세한 내용은 권장 레이블 테이블 및 DLP 제한 열을 참조하세요.

이 기능에 대해 자세히 알아보려면 다음을 수행합니다.

1단계 - 요약

이 단계가 끝나면 organization 다음을 수행합니다.

최종 사용자가 수동으로 사용할 수 있는 레이블입니다.
새/업데이트된 문서 및 전자 메일에 대한 기본 레이블 지정입니다.
공유 또는 암호화로 인해 비즈니스 파일에 문제가 발생하는 경우 예외를 관리하는 방법에 대한 사용자 통신 및 교육
기밀 파일의 공유를 방지하는 DLP입니다.

참고 항목

다음 단계: 2단계: 관리 – 민감도가 가장 높은 파일 주소 지정

다음을 통해 공유