정보 장벽 정책 관리
IB(정보 장벽) 정책을 정의한 후에는 문제 해결의 일환으로 또는 정기적인 유지 관리로 해당 정책 또는 사용자 세그먼트를 변경해야 할 수 있습니다.
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 평가판 허브에서 지금 시작합니다. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
무슨 작업을 하고 싶으십니까?
작업 | 설명 |
---|---|
사용자 계정 특성 편집 | 세그먼트를 정의하는 데 사용할 수 있는 Microsoft Entra ID 특성을 입력합니다. 사용자가 있어야 하는 세그먼트에 포함되지 않은 경우 사용자 계정 특성을 편집하거나, 사용자가 있는 세그먼트를 변경하거나, 다른 특성을 사용하여 세그먼트를 정의합니다. |
세그먼트 편집 | 세그먼트의 정의 방법을 변경하려는 경우 세그먼트를 편집합니다. 예를 들어 원래 Department 를 사용하여 세그먼트를 정의했으며 이제 MemberOf와 같은 다른 특성을 사용하려고 할 수 있습니다. |
정책 편집 | 정책 작동 방식을 변경하려는 경우 정보 장벽 정책을 편집합니다. 예를 들어 두 세그먼트 간의 통신을 차단하는 대신 특정 세그먼트 간에만 통신이 수행되도록 허용할 수 있습니다. |
비활성 상태 정책 설정 | 정책을 변경하거나 정책을 적용하지 않으려는 경우 비활성 상태 정책을 설정합니다. |
정책 제거 | 특정 정책이 더 이상 필요하지 않은 경우 정보 장벽 정책을 제거합니다. |
세그먼트 제거 | 특정 세그먼트가 더 이상 필요하지 않은 경우 정보 장벽 세그먼트를 제거합니다. |
정책 및 세그먼트 제거 | 정보 장벽 정책 및 세그먼트를 동시에 제거합니다. |
정책 애플리케이션 중지 | 정보 장벽 정책 적용 프로세스를 중지하려는 경우 이 작업을 수행합니다. 정책 애플리케이션을 중지하는 것은 즉각적이지 않으며 사용자에게 이미 적용된 정책을 실행 취소하지 않습니다. |
사용자 검색 기능 사용 또는 사용 안 함 | 사용자가 사람 선택기에서 표시되는 경우 사용하거나 사용하지 않도록 설정합니다. |
정보 장벽을 위한 정책 정의 | 이러한 정책이 아직 없는 경우 정보 장벽 정책을 정의하고 특정 사용자 그룹 간의 통신을 제한하거나 제한해야 합니다. |
정보 장벽 문제 해결 | 정보 장벽에 예기치 않은 문제가 발생하는 경우 이 문서를 참조하세요. |
중요
이 문서에 설명된 작업을 수행하려면 다음 중 하나와 같은 적절한 역할을 할당받아야 합니다.
- 전역 관리자 Microsoft 365 Enterprise
- 전역 관리자
- 준수 관리자
- IB 규정 준수 관리(새 역할입니다!)
정보 장벽에 대한 필수 구성 요소에 대한 자세한 내용은 필수 구성 요소(정보 장벽 정책)를 참조하세요.
보안 & 규정 준수 PowerShell에 연결해야 합니다.
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 전역 관리자 역할을 가진 사용자 수를 최소화하면 organization 대한 보안을 개선하는 데 도움이 됩니다. Microsoft Purview 역할 및 권한에 대해 자세히 알아봅니다.
사용자 계정 특성 편집
이 절차를 사용하여 사용자를 분할하는 데 사용되는 특성을 편집합니다. 예를 들어 Department 특성을 사용하고 있고 하나 이상의 사용자 계정에 현재 Department에 대해 나열된 값이 없는 경우 부서 정보를 포함하도록 해당 사용자 계정을 편집해야 합니다. 사용자 계정 특성은 정보 장벽 정책을 할당할 수 있도록 세그먼트를 정의하는 데 사용됩니다.
특성 값 및 할당된 세그먼트와 같은 특정 사용자 계정에 대한 세부 정보를 보려면 Id 매개 변수와 함께 Get-InformationBarrierRecipientStatus cmdlet을 사용합니다.
다중값 속성 구문 표에서 선택하는 구문은 cmdlet에 대한 매개 변수 값으로 지정됩니다. 예를 들어 다음 명령을 통해 다중값 속성에 여러 값을 추가할 수 있습니다. 예 Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
이름, 별칭, 고유 이름, 정식 도메인 이름, 이메일 주소 또는 GUID와 같이 각 사용자를 고유하게 식별하는 값을 사용할 수 있습니다.
(단일 사용자Get-InformationBarrierRecipientStatus -Identity <value>
에 대해 이 cmdlet을 사용할 수도 있습니다. )Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
이 예제에서는 Office 365 두 개의 사용자 계정( Megan의 경우 meganb, alexw for Alexw)을 참조합니다.사용자 계정 프로필에 대해 편집할 특성을 결정합니다. 자세한 내용은 정보 장벽 정책에 대한 특성을 참조하세요.
이전 단계에서 선택한 특성의 값을 포함하도록 하나 이상의 사용자 계정을 편집합니다. 이 작업을 수행하려면 다음 절차 중 하나를 사용합니다.
단일 계정을 편집하려면 Microsoft Entra ID 사용하여 사용자의 프로필 정보 추가 또는 업데이트를 참조하세요.
여러 계정을 편집하거나 PowerShell을 사용하여 단일 계정을 편집하려면 Office 365 PowerShell을 사용하여 사용자 계정 속성 구성을 참조하세요.
세그먼트 편집
이 절차에서는 사용자 세그먼트의 정의를 편집합니다. 예를 들어 세그먼트의 이름 또는 세그먼트에 포함된 사용자를 결정하는 데 사용되는 필터를 변경할 수 있습니다.
모든 기존 세그먼트를 보려면 Get-OrganizationSegment cmdlet을 사용합니다.
통사론:
Get-OrganizationSegment
세그먼트 유형, UserGroupFilter 값, 만든 사람 또는 마지막으로 수정한 사용자, GUID 등과 같은 각 세그먼트 및 세부 정보 목록이 표시됩니다.
팁
나중에 참조할 세그먼트 목록을 인쇄하거나 저장합니다. 예를 들어 세그먼트를 편집하려면 해당 이름을 알고 있거나 값을 식별해야 합니다(Identity 매개 변수와 함께 사용됨).
세그먼트를 편집하려면 Identity 매개 변수 및 관련 세부 정보와 함께 Set-OrganizationSegment cmdlet을 사용합니다.
다중값 속성 구문 표에서 선택하는 구문은 cmdlet에 대한 매개 변수 값으로 지정됩니다. 예를 들어 다음 명령을 통해 다중값 속성에 여러 값을 추가할 수 있습니다. 예 Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'"
Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
이 예제에서는 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd를 사용하여 세그먼트의 부서 이름을 HRDept로 업데이트했습니다.
정책 편집
현재 정보 장벽 정책 목록을 보려면 Get-InformationBarrierPolicy cmdlet을 사용합니다.
통사론:
Get-InformationBarrierPolicy
결과 목록에서 변경하려는 정책을 식별합니다. 정책의 GUID 및 이름을 확인합니다.
Identity 매개 변수와 함께 Set-InformationBarrierPolicy cmdlet을 사용하고 변경하려는 변경 내용을 지정합니다.
예: 리서치 세그먼트가 영업 및 마케팅 세그먼트와 통신하지 못하도록 차단하는 정책이 정의되었다고 가정합니다. 정책은 다음 cmdlet을 사용하여 정의되었습니다.
New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"
리서치 세그먼트의 사용자가 HR 세그먼트의 사용자와만 통신할 수 있도록 변경하려고 합니다. 이를 변경하려면 다음 cmdlet을 사용합니다.
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"
이 예제에서는 SegmentsBlocked를SegmentsAllowed 로 변경하고 HR 세그먼트를 지정했습니다.
정책 편집을 마쳤으면 변경 내용을 적용해야 합니다. ( 정보 장벽 정책 적용을 참조하세요.)
비활성 상태 정책 설정
현재 정보 장벽 정책 목록을 보려면 Get-InformationBarrierPolicy cmdlet을 사용합니다.
통사론:
Get-InformationBarrierPolicy
결과 목록에서 변경(또는 제거)하려는 정책을 식별합니다. 정책의 GUID 및 이름을 확인합니다.
정책의 상태 비활성으로 설정하려면 Identity 매개 변수와 함께 Set-InformationBarrierPolicy cmdlet을 사용하고 State 매개 변수를 비활성으로 설정합니다.
다중값 속성 구문 표에서 선택하는 구문은 cmdlet에 대한 매개 변수 값으로 지정됩니다. 예를 들어 다음 명령을 통해 다중값 속성에 여러 값을 추가할 수 있습니다. 예 Set-InformationBarrierPolicy -Identity GUID -State Inactive
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
이 예제에서는 GUID 43c37853-ea10-4b90-a23d-ab8c9377247이 있는 정보 장벽 정책이 비활성 상태 설정됩니다.변경 내용을 적용하려면 Start-InformationBarrierPoliciesApplication cmdlet을 사용합니다.
통사론:
Start-InformationBarrierPoliciesApplication
변경 내용은 organization 사용자별로 적용됩니다. organization 큰 경우 이 프로세스를 완료하는 데 24시간 이상이 걸릴 수 있습니다. 일반적인 지침으로 5,000개의 사용자 계정을 처리하는 데 약 1시간이 걸립니다.
이 시점에서 하나 이상의 정보 장벽 정책이 비활성 상태 설정됩니다. 여기에서 다음 작업을 수행할 수 있습니다.
정책 제거
현재 정보 장벽 정책 목록을 보려면 Get-InformationBarrierPolicy cmdlet을 사용합니다.
통사론:
Get-InformationBarrierPolicy
결과 목록에서 제거하려는 정책을 식별합니다. 정책의 GUID 및 이름을 확인합니다.
정책이 비활성 상태 설정되어 있는지 확인합니다. 정책의 상태 비활성으로 설정하려면 identity 매개 변수와 함께 Set-InformationBarrierPolicy cmdlet을 사용하고 상태 매개 변수를 비활성으로 설정합니다.
다중값 속성 구문 표에서 선택하는 구문은 cmdlet에 대한 매개 변수 값으로 지정됩니다. 예를 들어 다음 명령을 통해 다중값 속성에 여러 값을 추가할 수 있습니다. 예 Set-InformationBarrierPolicy -Identity GUID -State Inactive
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
이 예제에서는 GUID 43c37853-ea10-4b90-a23d-ab8c9377247이 있는 정보 장벽 정책을 비활성 상태 설정합니다.정책에 변경 내용을 적용하려면 Start-InformationBarrierPoliciesApplication cmdlet을 사용합니다.
통사론:
Start-InformationBarrierPoliciesApplication
변경 내용은 organization 사용자별로 적용됩니다. organization 큰 경우 이 프로세스를 완료하는 데 24시간 이상이 걸릴 수 있습니다. 일반적인 지침으로 5,000개의 사용자 계정을 처리하는 데 약 1시간이 걸립니다.
Identity 매개 변수와 함께 Remove-InformationBarrierPolicy cmdlet을 사용합니다.
다중값 속성 구문 표에서 선택하는 구문은 cmdlet에 대한 매개 변수 값으로 지정됩니다. 예를 들어 다음 명령을 통해 다중값 속성에 여러 값을 추가할 수 있습니다. 예 Remove-InformationBarrierPolicy -Identity GUID
Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
이 예제에서는 GUID 43c37853-ea10-4b90-a23d-ab8c93772471이 있는 정책을 제거합니다.메시지가 표시되면 변경 사항을 확인합니다.
세그먼트 제거
모든 기존 세그먼트를 보려면 Get-OrganizationSegment cmdlet을 사용합니다.
통사론:
Get-OrganizationSegment
세그먼트 유형, UserGroupFilter 값, 만든 사람 또는 마지막으로 수정한 사용자, GUID 등과 같은 각 세그먼트 및 세부 정보 목록이 표시됩니다.
팁
나중에 참조할 세그먼트 목록을 인쇄하거나 저장합니다. 예를 들어 세그먼트를 편집하려면 해당 이름을 알고 있거나 값을 식별해야 합니다(Identity 매개 변수와 함께 사용됨).
제거할 세그먼트를 식별하고 세그먼트와 연결된 IB 정책이 제거되었는지 확인합니다. 자세한 내용은 정책 제거 절차를 참조하세요.
제거될 세그먼트를 편집하여 해당 세그먼트에 대한 사용자의 관계를 제거합니다. 이 작업은 세그먼트 정의를 업데이트하고 세그먼트에서 모든 사용자를 제거합니다. UserGroupFilter 매개 변수를 사용하여 제거 전에 세그먼트에서 사용자를 연결 해제합니다.
세그먼트를 편집하려면 Identity 매개 변수 및 관련 세부 정보와 함께 Set-OrganizationSegment cmdlet을 사용합니다.
다중값 속성 구문 표에서 선택하는 구문은 cmdlet에 대한 매개 변수 값으로 지정됩니다. 예를 들어 다음 명령을 통해 다중값 속성에 여러 값을 추가할 수 있습니다. 예 Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'"
Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
이 예제에서는 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd가 있는 세그먼트의 경우 부서 이름을 FakeDept 로 정의하여 세그먼트에서 사용자를 제거했습니다. 이 예제에서는 Department 특성을 사용하지만 다른 특성을 적절하게 사용할 수 있습니다. 이 예제에서는 FakeDept 를 사용합니다. 이는 존재하지 않으며 사용자를 포함하지 않는 것이 확실하기 때문입니다.변경 내용을 적용하려면 Start-InformationBarrierPoliciesApplication cmdlet을 사용합니다.
통사론:
Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink
참고
CleanupGroupSegmentLink 특성은 사용자 연결이 없는 세그먼트와의 그룹 연결을 제거합니다.
변경 내용은 organization 사용자별로 적용됩니다. organization 큰 경우 이 프로세스를 완료하는 데 24시간 이상이 걸릴 수 있습니다. 일반적인 지침으로 5,000개의 사용자 계정을 처리하는 데 약 1시간이 걸립니다.
세그먼트를 제거하려면 Identity 매개 변수 및 관련 세부 정보와 함께 Remove-OrganizationSegment cmdlet을 사용합니다.
다중값 속성 구문 표에서 선택하는 구문은 cmdlet에 대한 매개 변수 값으로 지정됩니다. 예를 들어 다음 명령을 통해 다중값 속성에 여러 값을 추가할 수 있습니다. 예 Remove-OrganizationSegment -Identity GUID
Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
이 예제에서는 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd가 있는 세그먼트가 제거되었습니다.
정책 및 세그먼트 제거
현재 정보 장벽 정책 목록을 보려면 Get-InformationBarrierPolicy cmdlet을 사용합니다.
통사론:
Get-InformationBarrierPolicy
결과 목록에서 제거하려는 정책을 식별합니다. 정책의 GUID 및 이름을 확인합니다.
모든 기존 세그먼트를 보려면 Get-OrganizationSegment cmdlet을 사용합니다.
통사론:
Get-OrganizationSegment
세그먼트 유형, UserGroupFilter 매개 변수 값, 만든 사람 또는 마지막으로 수정한 사람, GUID 등과 같은 각 세그먼트 및 세부 정보 목록이 표시됩니다.
팁
나중에 참조할 세그먼트 목록을 인쇄하거나 저장합니다. 예를 들어 세그먼트를 편집하려면 해당 이름을 알고 있거나 값을 식별해야 합니다(Identity 매개 변수와 함께 사용됨).
제거할 정책의 상태 비활성으로 설정하려면 Identity 매개 변수와 함께 Set-InformationBarrierPolicy cmdlet을 사용하고 State 매개 변수를 비활성으로 설정합니다.
다중값 속성 구문 표에서 선택하는 구문은 cmdlet에 대한 매개 변수 값으로 지정됩니다. 예를 들어 다음 명령을 통해 다중값 속성에 여러 값을 추가할 수 있습니다. 예 Set-InformationBarrierPolicy -Identity GUID -State Inactive
Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
이 예제에서는 GUID 43c37853-ea10-4b90-a23d-ab8c93772471이 있는 정보 장벽 정책을 비활성 상태 설정합니다.제거될 세그먼트를 편집하여 해당 세그먼트에 대한 사용자의 관계를 제거합니다. 이 작업은 세그먼트 정의를 업데이트하고 세그먼트에서 모든 사용자를 제거합니다. UserGroupFilter 매개 변수를 사용하여 제거 전에 세그먼트에서 사용자를 연결 해제합니다.
세그먼트를 편집하려면 Identity 매개 변수 및 관련 세부 정보와 함께 Set-OrganizationSegment cmdlet을 사용합니다.
다중값 속성 구문 표에서 선택하는 구문은 cmdlet에 대한 매개 변수 값으로 지정됩니다. 예를 들어 다음 명령을 통해 다중값 속성에 여러 값을 추가할 수 있습니다. 예 Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'"
Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
이 예제에서는 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd가 있는 세그먼트의 경우 부서 이름을 FakeDept 로 업데이트하여 세그먼트에서 사용자를 제거했습니다. 이 예제에서는 Department 특성을 사용하지만 다른 특성을 적절하게 사용할 수 있습니다. 이 예제에서는 FakeDept 를 사용합니다. 이는 존재하지 않으며 사용자가 포함되지 않는 것이 확실하기 때문입니다.변경 내용을 적용하려면 Start-InformationBarrierPoliciesApplication cmdlet을 사용합니다.
통사론:
Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink
참고
CleanupGroupSegmentLink 특성은 사용자 연결이 없는 세그먼트와의 그룹 연결을 제거합니다.
변경 내용은 organization 사용자별로 적용됩니다. organization 큰 경우 이 프로세스를 완료하는 데 24시간 이상이 걸릴 수 있습니다. 일반적인 지침으로 5,000개의 사용자 계정을 처리하는 데 약 1시간이 걸립니다.
Identity 매개 변수와 함께 Remove-InformationBarrierPolicy cmdlet을 사용합니다.
다중값 속성 구문 표에서 선택하는 구문은 cmdlet에 대한 매개 변수 값으로 지정됩니다. 예를 들어 다음 명령을 통해 다중값 속성에 여러 값을 추가할 수 있습니다. 예 Remove-InformationBarrierPolicy -Identity GUID
Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
이 예제에서는 GUID 43c37853-ea10-4b90-a23d-ab8c93772471 이 있는 정책이 제거됩니다.메시지가 표시되면 변경 사항을 확인합니다.
세그먼트를 제거하려면 Identity 매개 변수 및 관련 세부 정보와 함께 Remove-OrganizationSegment cmdlet을 사용합니다.
다중값 속성 구문 표에서 선택하는 구문은 cmdlet에 대한 매개 변수 값으로 지정됩니다. 예를 들어 다음 명령을 통해 다중값 속성에 여러 값을 추가할 수 있습니다. 예 Remove-OrganizationSegment -Identity GUID
Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
이 예제에서는 GUID c96e0837-c232-4a8a-841e-ef45787d8fcd가 있는 세그먼트가 제거되었습니다.
정책 애플리케이션 중지
정보 장벽 정책 적용을 시작한 후 해당 정책이 적용되지 않도록 하려면 다음 절차를 사용합니다. 프로세스를 시작하는 데 약 30-35분이 걸립니다.
최신 정보 장벽 정책 애플리케이션의 상태 보려면 Get-InformationBarrierPoliciesApplicationStatus cmdlet을 사용합니다.
통사론:
Get-InformationBarrierPoliciesApplicationStatus
애플리케이션의 GUID를 확인합니다.
Identity 매개 변수와 함께 Stop-InformationBarrierPoliciesApplication cmdlet을 사용합니다.
다중값 속성 구문 표에서 선택하는 구문은 cmdlet에 대한 매개 변수 값으로 지정됩니다. 예를 들어 다음 명령을 통해 다중값 속성에 여러 값을 추가할 수 있습니다. 예 Stop-InformationBarrierPoliciesApplication -Identity GUID
Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1
이 예제에서는 정보 장벽 정책이 적용되지 않도록 차단합니다.
사용자 검색 기능 사용 또는 사용 안 함
중요
검색 제한을 사용하거나 사용하지 않도록 설정하기 위한 지원은 organization 레거시 모드가 아닌 경우에만 사용할 수 있습니다.
레거시 모드의 조직은 검색 제한을 사용하거나 사용하지 않도록 설정할 수 없습니다. 검색 제한을 사용하거나 사용하지 않도록 설정하려면 organization 정보 장벽 모드를 변경하기 위한 추가 작업이 필요합니다. 자세한 내용은 정보 장벽에서 다중 세그먼트 지원 사용)을 참조하세요.
레거시 모드의 조직은 나중에 최신 버전의 정보 장벽으로 업그레이드할 수 있습니다. 자세한 내용은 정보 장벽 로드맵을 참조하세요.
PowerShell을 사용하여 사용자 선택기 검색 제한을 사용하도록 설정하려면 다음 단계를 완료합니다.
- Set-PolicyConfig cmdlet을 사용하여 사용자 선택기 제한을 사용하도록 설정합니다.
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Enabled'
PowerShell을 사용하여 사용자 선택기 검색 제한을 사용하지 않도록 설정하려면 다음 단계를 완료합니다.
- Set-PolicyConfig cmdlet을 사용하여 사용자 선택기 제한을 사용하지 않도록 설정합니다.
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'