DLP(Microsoft Purview 데이터 손실 방지) 정책에는 많은 구성 옵션이 포함됩니다. 각 옵션은 정책의 동작을 변경합니다. 이 시리즈의 문서에서는 가장 일반적인 DLP 정책 시나리오 중 일부를 다룹니다. DLP 정책 만들기 프로세스에 대한 실습 환경을 제공하도록 이러한 옵션을 구성하는 과정을 안내합니다. 이러한 시나리오에 익숙해지면 DLP 정책 만들기 UX를 사용하여 고유한 정책을 만드는 데 필요한 기본 기술을 습득합니다.
정책을 배포하는 방법은 중요한 정책 디자인입니다. 정책 배포를 제어하는 여러 옵션이 있습니다. 이 문서에서는 비용이 많이 드는 비즈니스 중단을 방지하면서 정책이 의도를 달성하도록 이러한 옵션을 사용하는 방법을 보여 줍니다.
미리 보기 DLP 정책 및 규칙의 표시 이름을 변경할 수 있습니다. 정책 또는 규칙의 이름을 바꾸면 기존 레코드는 활동 탐색기 evetns, 경고 및 감사 레코드에서 이전 이름을 유지합니다. 새 레코드는 활동 탐색기 이벤트, 경고 및 감사 레코드의 새 이름을 반영합니다. 이러한 이름은 항목이 시스템에서 중단될 때까지 유지됩니다.
DLP를 지향합니다.
Microsoft Purview DLP를 접하는 경우 DLP를 구현할 때 알아야 할 핵심 문서 목록은 다음과 같습니다.
- 관리 단위
- Microsoft Purview 데이터 손실 방지 대해 알아보기 - 데이터 손실 방지 분야 및 Microsoft의 DLP 구현을 소개합니다.
- DLP(데이터 손실 방지) 계획 - 이 문서를 통해 다음을 수행합니다.
- 데이터 손실 방지 정책 참조 - DLP 정책의 모든 구성 요소와 각 구성 요소가 정책 동작에 미치는 영향을 소개합니다.
- DLP 정책 디자인 - 정책 의도 문을 만들고 특정 정책 구성에 매핑하는 방법을 안내합니다.
- 데이터 손실 방지 정책 만들기 및 배포 - 일반적인 정책 의도 시나리오를 살펴보고 구성 옵션에 연결하는 방법을 확인합니다. 그런 다음 단계별 가이드에 따라 이러한 옵션을 설정하고 정책을 원활하게 배포하기 위한 유용한 팁을 얻을 수 있습니다.
- 데이터 손실 방지 경고 조사 - 만들기부터 최종 수정 및 정책 튜닝까지 경고 진행 방법을 알아봅니다. 또한 그 과정에서 경고를 조사하는 데 도움이 되는 도구도 검색합니다.
SKU/구독 라이선싱
라이선스에 대한 자세한 내용은
권한
정책을 만들고 배포하는 데 사용하는 계정은 다음 역할 그룹 중 하나의 구성원이어야 합니다.
- 준수 관리자
- 규정 준수 데이터 관리자
- 정보 보호
- Information Protection 관리자
- 보안 관리자
중요
시작하기 전에 관리 단위를 읽어 무제한 관리자와 관리 단위 제한 관리자 간의 차이점을 이해해야 합니다.
세분화된 역할 및 역할 그룹
이러한 역할 및 역할 그룹을 사용하여 액세스 제어를 미세 조정할 수 있습니다.
적용 가능한 역할 목록은 다음과 같습니다. 자세한 내용은 Microsoft Purview 포털의 권한을 참조하세요.
- DLP 규정 준수 관리
- Information Protection 관리자
- Information Protection 분석가
- Information Protection 조사자
- Information Protection 읽기 권한자
적용 가능한 역할 그룹의 목록은 다음과 같습니다. 자세한 내용은 Microsoft Purview 포털의 권한을 참조하세요.
- 정보 보호
- Information Protection 관리자
- Information Protection 분석가
- Information Protection 조사자
- Information Protection 읽기 권한자
정책 만들기 시나리오
이전 문서인 DLP 정책 디자인에서는 정책 의도 문을 만든 다음 해당 의도 문을 정책 구성 옵션에 매핑하는 방법론을 소개합니다.
- 전자 메일을 통해 신용 카드 번호를 공유하지 못하도록 방지
- SharePoint 및 OneDrive를 통해 중요한 항목을 외부 사용자와 공유하지 않도록 방지
- 엔드포인트 데이터 손실 방지가 검사에 실패한 파일 보호 지원
- 엔드포인트 데이터 손실 방지가 검사하지 않는 파일 보호 지원
- 지원되지 않는 정의된 파일 집합의 공유로부터 보호
- 지원되는 일부 파일에 대해 Microsoft Purview 데이터 손실 방지 검사를 사용하지 않도록 설정하고 컨트롤을 적용합니다.
- 관리되는 디바이스에서 관리되지 않는 AI 앱으로 비즈니스용 Microsoft Edge 통한 공유 방지
- 신용 카드 번호와 Power BI 보고서를 공유하는 것을 방지하는 데 도움이 됩니다.
- 사용자가 Edge for Business에서 Cloud Apps와 중요한 정보를 공유하지 못하도록 방지
배포
성공적인 정책 배포는 사용자 작업에 대한 제어를 적용하기 위해 정책을 사용자 환경으로 가져오는 것만이 아닙니다. 우연하고 급한 배포는 비즈니스 프로세스에 부정적인 영향을 미치고 사용자를 괴롭히게 할 수 있습니다. 이러한 결과는 organization DLP 기술을 느리게 받아들이고 더 안전한 행동을 촉진합니다. 궁극적으로 이러한 결과는 장기적으로 중요한 항목을 덜 안전하게 만듭니다.
배포를 시작하기 전에 정책 배포를 읽어보세요. 정책 배포 프로세스 및 일반 지침에 대한 광범위한 개요를 제공합니다.
이 섹션에서는 프로덕션 환경에서 정책을 관리하는 데 함께 사용하는 세 가지 유형의 컨트롤에 대해 자세히 설명합니다. 정책을 만드는 동안뿐만 아니라 언제든지 이러한 컨트롤을 변경할 수 있습니다.
배포 관리의 세 축
세 축을 사용하여 정책 배포 프로세스를 제어합니다( scope, 상태 및 작업). 항상 전체 적용을 통해 가장 영향력이 적은 시뮬레이션 모드 에서 시작하여 정책을 배포하는 증분 접근 방식을 취합니다.
권장되는 배포 제어 구성
| 정책 상태가 인 경우 | 정책 scope 수 있습니다. | 정책 작업의 영향 |
|---|---|---|
| 시뮬레이션 모드에서 정책 실행 | 위치의 정책 scope 좁거나 광범위할 수 있습니다. | - 구성된 작업의 사용자 영향 없음 - 경고를 보고 활동을 추적할 수 관리 작업을 구성할 수 있습니다. |
| 정책 팁을 사용하여 시뮬레이션 모드에서 정책 실행 | 정책의 범위를 파일럿 그룹을 대상으로 지정한 다음, 정책을 튜닝할 때 scope 확장해야 합니다. | - 모든 작업을 구성할 수 있습니다. 구성된 작업의 사용자 영향 없음 - 사용자는 정책 팁 및 경고를 받을 수 있습니다. 관리 경고를 보고 활동을 추적할 수 있습니다. |
| 켜기 | 모든 대상 위치 인스턴스 | - 구성된 모든 작업은 사용자 활동에 적용됩니다. 관리 경고를 보고 활동을 추적할 수 있습니다. |
| 끄기 | 해당 없음 | 해당 없음 |
상태
상태는 정책을 롤아웃하는 데 사용하는 기본 컨트롤입니다. 정책 만들기를 마치면 정책 상태를 유지로 설정합니다. 정책 구성을 작업하는 동안 및 최종 검토를 받고 로그오프할 때까지 이 상태로 둡니다. 상태를 다음으로 설정합니다.
- 시뮬레이션 모드에서 정책 실행: 정책 작업이 적용되지 않고 이벤트가 감사됩니다. 이 상태에서는 DLP 시뮬레이션 모드 개요 및 DLP 활동 탐색기 콘솔에서 정책의 영향을 모니터링할 수 있습니다.
- 시뮬레이션 모드에서 정책을 실행하고 시뮬레이션 모드에서 정책 팁을 표시합니다. 작업이 적용되지 않지만 사용자는 정책 팁과 알림 이메일을 받아 인식을 높이고 교육합니다.
- 바로 켜기: 전체 적용 모드입니다.
- 차단: 정책이 비활성 상태입니다. 배포 전에 정책을 개발하고 검토하는 동안 이 상태를 사용합니다.
언제든지 정책의 상태를 변경할 수 있습니다.
작업
작업은 중요한 항목에 대한 사용자 활동에 대한 응답으로 정책이 수행하는 작업입니다. 언제든지 이러한 작업을 변경할 수 있으므로 가장 영향력이 적은 허용 (디바이스의 경우) 및 감사 전용 (다른 모든 위치에 대해)으로 시작하고 감사 데이터를 수집 및 검토한 다음, 더 제한적인 작업으로 이동하기 전에 정책을 조정하는 데 사용할 수 있습니다.
허용: 사용자 활동이 발생할 수 있으므로 비즈니스 프로세스에 영향을 주지 않습니다. 감사 데이터가 표시되고 사용자 알림이나 경고가 없습니다.
참고
허용 작업은 디바이스 위치로 범위가 지정된 정책에만 사용할 수 있습니다.
감사 전용: 사용자 활동이 발생할 수 있으므로 비즈니스 프로세스에 영향을 주지 않습니다. 감사 데이터를 얻고 알림 및 경고를 추가하여 인식을 높이고 사용자가 수행하는 작업이 위험한 동작임을 알 수 있도록 학습할 수 있습니다. organization 나중에 더 제한적인 작업을 적용하려는 경우 사용자에게도 알릴 수 있습니다.
재정의를 사용하여 차단: 사용자 작업은 기본적으로 차단됩니다. 이벤트를 감사하고 경고 및 알림을 발생할 수 있습니다. 이 작업은 비즈니스 프로세스에 영향을 주지만 사용자에게 블록을 재정의하고 재정의 이유를 제공하는 옵션이 제공됩니다. 사용자로부터 직접 피드백을 받기 때문에 이 작업은 가양성 일치 항목을 식별하는 데 도움이 될 수 있으며, 정책을 추가로 조정하는 데 사용할 수 있습니다.
참고
Microsoft 365의 Exchange Online 및 SharePoint의 경우 사용자 알림 섹션에서 재정의를 구성합니다.
차단: 사용자 활동은 무엇이든 간에 차단됩니다. 이벤트를 감사하고 경고 및 알림을 발생할 수 있습니다.
정책 scope
모든 정책은 Exchange, Microsoft 365의 SharePoint, Teams 및 디바이스와 같은 하나 이상의 위치로 범위가 지정됩니다. 기본적으로 위치를 선택하면 해당 위치의 모든 인스턴스가 scope 속하며 제외되지 않습니다. 위치에 대한 포함/제외 옵션을 구성하여 정책이 적용되는 위치의 인스턴스(예: 사이트, 그룹, 계정, 메일 그룹, 사서함 및 디바이스)를 추가로 구체화할 수 있습니다. 포함/제외 범위 지정 옵션에 대한 자세한 내용은 위치를 참조하세요.
일반적으로 작업이 수행되지 않으므로 정책이 시뮬레이션 모드 상태에서 정책 실행에 있는 동안 범위 지정을 유연하게 수행할 수 있습니다. 정책을 디자인한 scope 시작하거나 광범위하게 이동하여 정책이 다른 위치의 중요한 항목에 어떤 영향을 미치는지 확인할 수 있습니다.
상태를 시뮬레이션 모드에서 정책 실행으로 변경하고 정책 팁을 표시하는 경우 피드백을 제공하고 온보딩 시 다른 사용자를 위한 리소스가 될 수 있는 얼리 어답터일 수 있는 파일럿 그룹으로 scope 좁힐 수 있습니다.
정책을 즉시 켜기로 이동하면 정책을 디자인할 때 의도한 위치의 모든 인스턴스를 포함하도록 scope 확장합니다.
정책 배포 단계
- 정책을 만들고 상태를 유지로 설정한 후 관련자와 최종 검토를 수행합니다.
- 상태를 시뮬레이션 모드에서 정책 실행으로 변경합니다. 이 시점에서 위치 scope 광범위할 수 있으므로 여러 위치에서 정책 동작에 대한 데이터를 수집하거나 단일 위치로 시작할 수 있습니다.
- 비즈니스 의도를 더 잘 충족할 수 있도록 동작 데이터를 기반으로 정책을 조정합니다.
- 상태를 시뮬레이션 모드에서 정책 실행으로 변경하고 정책 팁을 표시합니다. 필요한 경우 파일럿 그룹을 지원하도록 위치의 scope 구체화하고 포함/제외를 사용하여 정책이 먼저 해당 파일럿 그룹에 롤아웃되도록 합니다.
- 사용자 피드백 및 경고 및 이벤트 데이터를 수집합니다. 필요한 경우 정책 및 계획을 조정합니다. 사용자가 제기하는 모든 문제를 해결해야 합니다. 사용자는 대부분 문제가 발생하고 디자인 단계에서 생각하지 않은 항목에 대해 의문을 제기할 수 있습니다. 이 시점에서 슈퍼 사용자 그룹을 개발합니다. 정책의 scope 증가하고 더 많은 사용자가 온보딩될 때 다른 사용자를 학습시키는 데 도움이 되는 리소스가 될 수 있습니다. 배포의 다음 단계로 이동하기 전에 정책이 제어 목표를 달성했는지 확인합니다.
- 상태를 즉시 켜기로 변경합니다. 정책이 완전히 배포되었습니다. DLP 경고 및 DLP 활동 탐색기를 모니터링합니다. 경고를 해결합니다.