다음을 통해 공유

다운로드한 문서에 대한 권한을 확장하도록 민감도 레이블을 사용하여 SharePoint 구성

  • 아티클

보안 & 규정 준수를 위한 Microsoft 365 라이선스 지침

참고

SharePoint 권한을 확장하는 다음 기능은 미리 보기에서 점진적으로 배포되며 변경될 수 있습니다.

민감도 레이블에 대해 SharePoint를 사용하도록 설정하면 라이브러리에서 다운로드할 때 기존 SharePoint 사이트 권한을 문서로 확장하도록 문서 라이브러리를 구성할 수 있습니다. 그런 다음 파일이 원래 SharePoint 경계를 떠난 경우에도 해당 라이브러리의 이전에 레이블이 지정되지 않은 파일은 사용자에 대한 현재 SharePoint 권한으로 계속 보호됩니다.

예를 들어 기밀 \ 신뢰할 수 있는 사람 레이블을 민감도 레이블로 선택하여 문서 라이브러리에 대한 권한을 확장합니다. 해당 라이브러리에서 사이트는 특정 사용자 그룹에 대한 읽기 권한만 허용하도록 구성됩니다. 해당 그룹의 사용자가 사이트에서 파일을 다운로드하고 해당 파일은 이제 기밀 \ 신뢰할 수 있는 사람 레이블이 지정됩니다. 파일이 SharePoint에 더 이상 없더라도 해당 사용자는 콘텐츠를 보거나 편집하거나 레이블을 제거할 수 없습니다. SharePoint에서 파일에 액세스할 수 있는 사용자만 다운로드한 파일에 액세스할 수 있습니다. SharePoint에서 파일에 액세스할 수 없는 사용자는 저장된 위치에 관계없이 다운로드한 파일을 열 수 없습니다.

또한 파일을 다운로드한 사용자도 다음과 같은 상황에서 파일을 열 수 없으므로 파일에 Just-In-Time 보호 계층이 있습니다.

  • 해당 사용자에 대한 권한이 파일에서 제거됩니다.
  • 파일이 사이트에서 삭제됩니다.
  • 사이트가 더 이상 활성화되지 않음
  • 파일이 다른 사이트로 이동됨

사용자에 대한 SharePoint 권한이 변경되면 해당 변경 내용이 다운로드한 파일에 반영됩니다.

이러한 레이블이 지정된 파일이 문서 라이브러리에 있는 경우 복사 및 이동 작업으로부터 보호됩니다.

  • 파일을 다른 사이트로 복사하거나 이동할 수 없습니다.
  • 사용자에게 목록을 만들거나 삭제할 수 있는 SharePoint 권한이 있는 경우에만 파일을 동일한 사이트 내의 다른 문서 라이브러리로 복사하거나 이동할 수 있습니다.

지정한 민감도 레이블은 레이블이 지정되지 않은 모든 파일 및 레이블이 지정되었지만 레이블 구성이 암호화를 적용하지 않는 파일에 적용됩니다. OneDrive와 동기화된 파일도 레이블이 지정됩니다.

레이블이 지정되었지만 암호화되지 않은 기존 파일의 경우 수동으로 적용된 레이블도 지정된 레이블로 대체됩니다. 가능한 결과에 대한 간략한 요약은 이 페이지에서 기존 레이블을 재정의할 것인가 를 참조하세요.

현재 Microsoft 365 Copilot 이 구성으로 레이블이 지정된 미개봉 파일에 액세스할 수 없습니다.

암호화되지 않은 파일의 레이블을 다시 지정할 수 있으므로 이 레이블 지정 구성은 레이블 지정 배포 초기에 다른 방법을 사용하여 SharePoint 사이트의 파일에 아직 레이블을 지정하지 않은 조직에 적합합니다.

기존 레이블이 재정의되나요?

결과 요약:

기존 레이블 라이브러리 레이블을 사용하여 재정의하여 권한 확장
모든 메서드(정책의 수동, 자동, 기본 레이블)를 사용하여 적용된 레이블 및 레이블 구성은 암호화를 적용하지 않으며 우선 순위는 적용되지 않습니다.
모든 메서드(정책의 수동, 자동, 기본 레이블)를 사용하여 적용된 레이블 및 레이블 구성은 암호화를 적용하며 우선 순위는 아니요

요구 사항

  • SharePoint 문서 라이브러리에 대한 민감도 레이블을 선택할 사용자에게 게시되는 민감도 레이블을 만들고 게시 했습니다. 레이블에는 다음 구성이 필요합니다.

    • 파일 및 기타 데이터 자산레이블 scope

    • 사용자가 레이블을 적용할 때 사용 권한을 할당하도록 허용의 암호화 설정을 사용하여 액세스 제어를 선택하고 Word, PowerPoint 및 Excel에서 사용자에게 사용 권한을 지정하라는 메시지를 표시합니다. 이 설정을 "사용자 정의 권한"이라고도 합니다.

      참고

      이 레이블 애플리케이션에서는 사용자에게 사용 권한을 묻는 메시지가 표시되지 않지만 파일을 다운로드, 복사 또는 사이트에서 이동할 때 해당 SharePoint 권한이 자동으로 적용됩니다.

  • SharePoint 및 OneDrive에서 Office 파일에 대한 민감도 레이블을 사용하도록 설정했습니다. 이 상태 검사 위해 SharePoint Online 관리 셸 실행 (Get-SPOTenant).EnableAIPIntegration 하여 값이 True로 설정되어 있는지 확인할 수 있습니다.

  • 테넌트가 민감도 레이블로 암호화된 파일에 대해 공동 작성을 사용하도록 설정되었습니다.

  • PDF에 대한 민감도 레이블을 지원하기 위해 SharePoint에서 PDF에 대한 지원을 추가했습니다. 이 상태 검사 위해 SharePoint Online 관리 셸 실행 (Get-SPOTenant).EnableSensitivityLabelforPDF 하여 값이 True로 설정되어 있는지 확인할 수 있습니다.

  • 파일을 다운로드하는 엔터프라이즈용 Microsoft 365 앱 Windows 앱에는 현재 채널, 월간 엔터프라이즈 채널 또는 Semi-Annual Enterprise 채널의 최소 버전 2402가 필요합니다.

  • 라이브러리에 대해 IRM(SharePoint Information Rights Management)을 사용할 수 없습니다. 이 이전 기술은 SharePoint 문서 라이브러리에 민감도 레이블을 사용하는 경우와 호환되지 않습니다. IRM에 대해 라이브러리를 사용하는 경우 민감도 레이블을 선택할 수 없습니다.

  • SharePoint에서 민감도 레이블을 적용하고 변경하려면 사이트 관리자 권한이 필요합니다.

  • 파일에는 레이블을 지정할 콘텐츠가 포함되어야 합니다.

SharePoint의 민감도 레이블에서 지원하는 파일 형식 목록을 검토해야 하는 경우 지원되는 파일 형식을 참조하세요.

SharePoint 권한을 사용 권한에 매핑

다음 표를 사용하여 파일을 다운로드하거나 사이트 외부로 복사 및 이동할 때 사용자에 대한 SharePoint 권한이 권한 관리 사용 권한사용 권한 수준으로 확장되는 방법을 이해합니다.

SharePoint 권한 사용 권한 적용 권한 수준
소유자 적용된 콘텐츠, 모든 권한 및 민감도 레이블에 대한 모든 권한:

보기, 추출, DOCEDIT, 편집, 내보내기, 주석, 인쇄, 전달, 회신, 회신, VIEWRIGHTSDATA, EDITRIGHTSDATA, OBJMODEL *, OWNER *		 소유자
편집 콘텐츠를 완전히 제어하지만 적용된 민감도 레이블은 변경할 수 없습니다.

보기, 추출, DOCEDIT, 편집, 내보내기, 주석, 인쇄, 전달, 회신, 회신, VIEWRIGHTSDATA		 편집자
읽기 콘텐츠를 볼 수 있지만 적용된 콘텐츠 또는 민감도 레이블은 변경할 수 없습니다.

VIEW, VIEWRIGHTSDATA		 보기 권한자

* 현재 이러한 사용 권한은 적용되지 않으므로 사용자는 민감도 레이블을 변경할 수 있지만 제거할 수는 없습니다.

제한 사항

이 구성을 사용하는 경우 다음과 같은 제한 사항이 적용됩니다.

  • 사용자는 암호화를 적용하도록 구성되지 않은 민감도 레이블을 수동으로 적용할 수 없습니다.

  • 사용자는 다운로드한 파일을 오프라인으로 열 수 없습니다. 원본 사이트에 연결할 수 있어야 합니다.

  • 원래 SharePoint 사이트, 폴더 또는 파일이 삭제된 경우 사용자는 다운로드한 파일을 열 수 없습니다.

  • 이 구성으로 레이블이 지정된 파일은 다른 사이트로 이동하거나 복사할 수 없습니다.

  • 이 구성으로 레이블이 지정된 파일은 사용자가 목록을 만들거나 삭제할 수 있는 SharePoint 권한이 있는 경우에만 동일한 사이트 내의 다른 문서 라이브러리로 이동하거나 복사할 수 있습니다. 복사되거나 이동된 파일에 대해서는 레이블이 유지되지 않습니다.

  • 레이블이 암호화를 적용하도록 구성되지 않은 경우 이 구성은 이전에 수동으로 적용된 레이블을 재정의할 수 있습니다.

  • 이 구성으로 레이블이 지정된 파일은 현재 콘텐츠 탐색기에 레이블이 지정되어 있지 않습니다.

  • Microsoft 365 Copilot 사용자에게 SharePoint 읽기 권한이 있는 경우 레이블이 지정된 파일을 참조할 수 있지만 이러한 파일은 요약되지 않습니다. 파일은 요약할 수 없으므로 Copilot에서 새 콘텐츠를 생성하는 데 사용할 수도 없습니다.

참고

Azure Rights Management로 암호화된 모든 파일과 마찬가지로, 원래 위치에 더 이상 액세스할 수 없기 때문에 필요한 경우 슈퍼 사용자가 암호화된 문서를 열 수 있습니다.

다운로드한 문서로 권한을 확장하는 민감도 레이블에 대해 SharePoint 문서 라이브러리를 구성하는 방법

이 구성은 먼저 SharePoint Online 관리 셸 PowerShell을 사용하여 테넌트 기능을 사용하도록 설정해야 합니다. 그런 다음 문서 라이브러리 설정에 새 확인란을 사용할 수 있게 됩니다.

PowerShell 명령을 실행하여 지원을 사용하여 SharePoint 권한 확장

SharePoint Online 관리 셸 버전 16.0.25430.12000 이상을 실행하고 있는지 확인합니다.

새 기능을 사용하도록 설정하려면 ExtendPermissionsToUnprotectedFiles 매개 변수와 함께 Set-SPOTenant cmdlet을 사용합니다.

  1. Microsoft 365에서 SharePoint 관리자 권한이 있는 회사 또는 학교 계정을 사용하여 SharePoint에 연결합니다. 자세한 방법은 SharePoint Online 관리 셸 시작을 참조하세요.

    참고

    Microsoft 365 Multi-Geo를 사용하는 경우 Connect-SPOService와 함께 -Url 매개 변수를 사용하고 지리적 위치 중 하나에 대한 SharePoint Online 관리 센터 사이트 URL을 지정합니다.

  2. 다음 명령을 실행하고 Y 키를 눌러 확인합니다.

    Set-SPOTenant -ExtendPermissionsToUnprotectedFiles $true

    기능이 사용하도록 설정되지 않았음을 알리는 오류가 표시되는 경우 롤아웃이 아직 테넌트에 도달하지 않았기 때문일 수 있습니다.

  3. Microsoft 365 Multi-Geo의 경우: 나머지 지리적 위치 각각에 대해 1단계와 2단계를 반복합니다.

SharePoint의 모든 테넌트 수준 구성 변경 내용과 마찬가지로 변경 내용이 적용되는 데 약 15분이 걸립니다.

권한을 확장하도록 기본 레이블을 사용하여 SharePoint 문서 라이브러리 구성

이 구성을 사용하려는 각 SharePoint 문서 라이브러리에 대해 SharePoint 문서 라이브러리에 민감도 레이블 추가의 지침을 따르고 다운로드, 복사 또는 이동시 보호 확장 확인란을 선택합니다.

SharePoint 라이브러리 기본 민감도 레이블에 대한 사용 권한 확장 확인란

이전 PowerShell 명령이 완료될 때까지 이 확인란이 표시되지 않습니다.

사용자 정의 권한으로 암호화를 적용하는 민감도 레이블을 선택한 후 구성을 저장합니다.

참고

이 기능은 암호화 없이 민감도 레이블을 지원하는 SharePoint 문서 라이브러리의 기본 민감도 레이블지금 권한 할당 옵션("관리자 정의 권한"이라고도 함)으로 구성된 민감도 레이블을 선택하는 옵션과 함께 사용할 수 없습니다.

선택한 민감도 레이블은 레이블이 지정되지 않은 모든 파일과 레이블이 지정되었지만 레이블 구성이 암호화를 적용하지 않는 파일에 적용됩니다. 문서 라이브러리의 민감도 열에는 기존 파일, 새 파일 및 편집된 파일에 대해 선택한 레이블이 표시됩니다. 사용자는 편집을 위해 파일을 열 때 선택한 레이블이 표시되지만 레이블의 결과로 권한이 변경되지 않습니다.

라이브러리가 민감도 레이블로 구성된 후 라이브러리가 OneDrive 동기화 클라이언트를 통해 동기화되는 경우 모든 기존 파일이 다시 동기화됩니다. 다시 동기화 프로세스는 시간이 오래 걸릴 수 있으며 완료될 때까지 확장된 보호가 적용되지 않습니다.

중요

민감도 레이블에 대해 구성한 SharePoint 문서 라이브러리에서 사용자는 Office 앱에서 적용된 민감도 레이블을 제거할 수 없으며 대체 레이블이 암호화를 적용하는 경우에만 변경할 수 있습니다.

SharePoint 권한을 확장하는 민감도 레이블의 애플리케이션 모니터링

이 구성은 문서 라이브러리에 대한 기본 민감도 레이블의 기능을 확장하므로 동일한 방식으로 해당 구성을 모니터링합니다. 민감도 레이블 GUID는 사용자 정의 권한에 대한 암호화 구성을 식별합니다. 파일을 다운로드, 복사 또는 이동할 때 별도의 레이블 지정 감사 이벤트가 없습니다.

이 기능을 끄는 방법

특정 SharePoint 문서 라이브러리가 민감도 레이블을 사용하여 더 이상 권한을 확장하지 않도록 하려면 다운로드, 복사 또는 이동에 대한 보호 확장 확인란을 SharePoint 문서 라이브러리 설정으로 선택 취소합니다. 그런 다음 다음을 수행합니다.

  • 이전에 이 구성으로 레이블이 지정된 문서 라이브러리의 파일은 암호화를 적용하지 않은 원래 레이블로 되돌리기 확인란을 선택하기 전에 원래 상태 경우 레이블이 지정되지 않습니다.

  • OneDrive와 동기화된 파일은 다시 동기화되고 이전 레이블 상태 마찬가지로 되돌리기. 다시 동기화 프로세스는 시간이 걸릴 수 있으며 완료될 때까지 확장된 보호가 유지됩니다.

  • 이제 다운로드된 레이블이 지정된 파일은 레이블을 유지합니다.

이전에 사용하도록 설정하고 구성한 경우 테넌트 수준에서 이 기능을 해제하려면 먼저 선택한 모든 문서 라이브러리에서 다운로드, 복사 또는 이동 시 보호 확장 확인란의 선택을 취소합니다. 그런 다음 ExtendPermissionsToUnprotectedFiles 매개 변수와 동일한 Set-SPOTenant cmdlet을 사용하지만 값을 false로 설정합니다. 그런 다음 다음을 수행합니다.

  • 다운로드, 복사 또는 이동에 대한 보호 확장 확인란은 더 이상 SharePoint 문서 라이브러리 설정으로 표시되지 않습니다.

먼저 문서 라이브러리에 대한 확인란의 선택을 취소하지 않고 테넌트 수준에서 기능을 해제하는 경우 구성은 그대로 유지되지만 해제하려면 확인란이 없습니다.

이 시나리오에서 구성을 해제하려면 PowerShell 명령을 실행하여 SharePoint 권한을 확장하여 확인란을 다시 표시할 수 있도록 지원하여 선택을 취소할 수 있습니다. 테넌트 수준에서 지원을 다시 활성화하지 않으려면 Microsoft 지원 문의하여 PowerShell 명령을 통해 특정 문서 라이브러리에 대한 구성을 제거합니다.

다음 단계

이 구성은 SharePoint에 저장된 파일에 대해 대규모로 즉각적인 보호를 제공하지만 더 높은 수준의 보호가 필요할 수 있는 파일 콘텐츠를 고려하지 않습니다. 콘텐츠 검사를 사용하여 암호화를 사용하여 민감도 레이블을 적용하는 자동 레이블 지정 으로 이 레이블 지정 방법을 보완하는 것이 좋습니다.

Microsoft Syntex 고급 관리 개요