Microsoft Purview Information Protection Azure Rights Management 서비스를 사용하여 항목을 암호화하기 전에 모든 요구 사항을 충족하는지 확인합니다.
방화벽 및 네트워크 인프라
특정 연결을 허용하도록 구성된 방화벽 또는 이와 유사한 중간 네트워크 디바이스가 있는 경우 네트워크 연결 요구 사항은 Microsoft 365 문서 Microsoft 365 Common 및 Office Online에 나열됩니다.
Azure Rights Management 서비스에는 다음과 같은 추가 요구 사항이 있습니다.
Microsoft Purview Information Protection 클라이언트를 사용하는 경우: 민감도 레이블 및 레이블 정책을 다운로드하려면 HTTPS를 통해 다음 URL을 허용합니다. *.protection.outlook.com
웹 프록시를 사용하는 경우: 웹 프록시에 인증이 필요한 경우 사용자의 Active Directory 로그인 자격 증명과 통합된 Windows 인증 사용하도록 프록시를 구성해야 합니다.
프록시를 사용하여 토큰을 획득할 때 Proxy.pac 파일을 지원하려면 다음 새 레지스트리 키를 추가합니다.
-
경로:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\ -
Key:
UseDefaultCredentialsInProxy -
형식:
DWORD -
값:
1
-
경로:
TLS 클라이언트-서비스 연결. 패킷 수준 검사를 수행하는 등의 TLS 클라이언트-서비스 연결을 aadrm.com URL로 종료하지 마세요. 이렇게 하면 Azure Rights Management 서비스에 대한 클라이언트가 Microsoft 관리 CA(인증 기관)와 함께 사용하여 Azure Rights Management 서비스와의 통신을 보호하는 데 사용하는 인증서 고정이 중단됩니다.
클라이언트 연결이 Azure Rights Management 서비스에 도달하기 전에 종료되는지 여부를 확인하려면 다음 PowerShell 명령을 사용합니다.
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.Issuer결과는 발급 CA가 Microsoft CA에서 온 것임을 보여 줘야 합니다(예:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US).Microsoft가 아닌 발급 CA 이름이 표시되는 경우 보안 클라이언트-서비스 연결이 종료되고 방화벽에서 재구성이 필요할 수 있습니다.
Microsoft 365 ECS(고급 구성 서비스). Azure Rights Management 서비스는 Microsoft 365 ECS(고급 구성 서비스)인 config.edge.skype.com URL에 액세스할 수 있어야 합니다.
ECS는 필요한 경우 Microsoft에 Azure Rights Management 서비스를 다시 구성할 수 있는 기능을 제공합니다. 예를 들어 ECS는 기능 또는 업데이트의 점진적 출시를 제어하는 데 사용되며 롤아웃의 영향은 수집되는 진단 데이터에서 모니터링됩니다.
ECS는 기능 또는 업데이트와 관련된 보안 또는 성능 문제를 완화하는 데도 사용됩니다. ECS는 진단 데이터와 관련된 구성 변경도 지원하여 적절한 이벤트가 수집되고 있는지 확인합니다.
config.edge.skype.com URL을 제한하면 Microsoft의 오류 완화 기능에 영향을 줄 수 있으며 미리 보기 기능을 테스트하는 기능에 영향을 줄 수 있습니다.
자세한 내용은 Office의 필수 서비스를 참조하세요.
로깅 URL 네트워크 연결을 감사합니다. Azure Rights Management 서비스는 감사 로그를 지원하기 위해 다음 URL에 액세스할 수 있어야 합니다.
https://*.events.data.microsoft.com-
https://*.aria.microsoft.com(Android 디바이스 데이터만 해당)
AD RMS(Active Directory Rights Management Services)와 공존
AD RMS 루트 암호화 키에 HYOK(사용자 고유의 키 보유) 구성을 사용하지 않는 한 동일한 organization 동일한 사용자가 콘텐츠를 암호화하기 위해 동일한 organization AD RMS(Active Directory Rights Management Services) 및 Azure Rights Management 서비스를 함께 사용하는 것은 AD RMS에서 지원되지 않습니다.
이 시나리오는 Azure Rights Management Service로 마이그레이션하는 데 지원되지 않습니다. 지원되는 마이그레이션 경로는 다음과 같습니다.
두 서비스가 동일한 organization 활성 상태인 다른 비이민 시나리오의 경우 지정된 사용자 중 하나만 콘텐츠를 암호화할 수 있도록 두 서비스를 모두 구성해야 합니다. 다음과 같이 이러한 시나리오를 구성합니다.
두 서비스가 동시에 다른 사용자에 대해 활성화되어야 하는 경우 서비스 쪽 구성을 사용하여 독점성을 적용합니다. Azure Rights Management 서비스의 온보딩 컨트롤 과 게시 URL의 ACL을 사용하여 AD RMS에 대한 읽기 전용 모드를 설정합니다.
Azure 네트워크 보안 그룹 및 서비스 태그
Azure 엔드포인트 및 NSG(Azure 네트워크 보안 그룹)를 사용하는 경우 다음 서비스 태그에 대한 모든 포트에 대한 액세스를 허용해야 합니다.
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
또한 이 경우 Azure Rights Management 서비스는 다음 IP 주소 및 포트에 따라 달라집니다.
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- HTTPS 트래픽의 경우 포트 443
이러한 특정 IP 주소 및 이 포트를 통해 아웃바운드 액세스를 허용하는 규칙을 만들어야 합니다.
Azure Rights Management 서비스에 대해 지원되는 온-프레미스 서버
다음 온-프레미스 서버는 Microsoft Rights Management 커넥터를 사용할 때 Azure Rights Management 서비스에서 지원됩니다.
- Exchange Server
- SharePoint Server
- Windows Server 실행하고 FCI(파일 분류 인프라)를 사용하는 파일 서버
지원되는 버전, 기타 요구 사항 및 커넥터에 대한 구성 단계는 Microsoft Rights Management 커넥터 배포를 참조하세요.
지원되는 운영 체제
다음 운영 체제는 기본적으로 Azure Rights Management 서비스를 지원합니다. 그러나 Microsoft 365 Enterprise 앱 또는 Microsoft Purview Information Protection 클라이언트와 같이 Azure Rights Management 서비스를 사용하는 앱을 설치하는 경우 지원되는 운영 체제에 대한 해당 앱의 요구 사항을 검사.
| OS | 지원되는 버전 |
|---|---|
| Windows 컴퓨터 | - Windows 10(x86, x64) - Windows 11(x86, x64) |
| macOS | macOS 10.8의 최소 버전(Mountain Lion) |
| Android 휴대폰 및 태블릿 | Android 6.0의 최소 버전 |
| iPhone 및 iPad | iOS 11.0의 최소 버전 |
| Windows 휴대폰 및 태블릿 | Windows 10 Mobile |
Microsoft Entra 요구 사항
Microsoft Entra 디렉터리가 Azure Rights Management 서비스를 사용하기 위한 요구 사항입니다. Microsoft Entra 디렉터리의 계정을 사용하여 Microsoft Purview 포털에 로그인합니다.
Microsoft Purview Information Protection 포함하는 구독이 있는 경우 필요한 경우 Microsoft Entra 디렉터리가 자동으로 만들어집니다.
다음 섹션에서는 특정 시나리오에 대한 추가 Microsoft Entra 요구 사항을 나열합니다.
CBA(인증서 기반 인증) 지원
iOS 및 Android 앱이 Azure Rights Management 서비스를 지원하는 경우 인증서 기반 인증을 지원합니다.
자세한 내용은 페더레이션을 사용하여 Microsoft Entra ID 인증서 기반 인증 시작을 참조하세요.
다단계 인증(MFA)
Azure Rights Management 서비스에서 MFA(다단계 인증)를 사용하려면 다음 중 하나 이상이 설치되어 있어야 합니다.
Microsoft Entra ID 또는 Microsoft 365를 사용하는 Microsoft 관리 테넌트. 사용자에게 MFA를 적용하도록 Azure MFA를 구성합니다.
자세한 내용은 다음 항목을 참조하세요.
페더레이션 서버가 온-프레미스에서 작동하는 페더레이션 테넌트. Microsoft Entra ID 또는 Microsoft 365에 대한 페더레이션 서버를 구성합니다. 예를 들어 AD FS(Active Directory Federation Services)를 사용하는 경우 AD FS에 대한 추가 인증 방법 구성을 참조하세요.
Rights Management 커넥터 및 MFA
Rights Management 커넥터 및 Microsoft Purview Information Protection 스캐너는 MFA를 지원하지 않습니다.
커넥터 또는 스캐너를 배포하는 경우 다음 계정에 MFA가 필요하지 않습니다.
- 커넥터를 설치하고 구성하는 계정입니다.
- 커넥터가 만드는 Microsoft Entra ID Aadrm_S-1-7-0의 서비스 주체 계정입니다.
- 스캐너를 실행하는 서비스 계정입니다.
사용자 UPN 값이 전자 메일 주소와 일치하지 않음
사용자의 UPN 값이 전자 메일 주소와 일치하지 않는 구성은 권장 구성이 아니며 Azure Rights Management 서비스에 대한 Single Sign-On을 지원하지 않습니다.
UPN 값을 변경할 수 없는 경우 관련 사용자에 대한 대체 ID를 구성하고 이 대체 ID를 사용하여 Office 앱에 로그인하는 방법을 지시합니다.
자세한 내용은 대체 로그인 ID 구성을 참조하세요.
팁
UPN 값의 도메인 이름이 테넌트에서 확인된 도메인인 경우 사용자의 UPN 값을 다른 이메일 주소로 Microsoft Entra ID proxyAddresses 특성에 추가합니다. 이렇게 하면 사용 권한이 부여될 때 UPN 값이 지정된 경우 사용자에게 Azure Rights Management 서비스에 대한 권한을 부여할 수 있습니다.
자세한 내용은 사용자 계정 및 그룹이 Azure Rights Management 서비스를 사용하는 방법을 참조하세요.
다른 인증 공급자를 사용하여 온-프레미스 인증
비 Microsoft 인증 공급자를 사용하여 온-프레미스를 인증하는 모바일 디바이스 또는 Mac 컴퓨터를 사용하는 경우 OAuth 2.0 프로토콜을 지원해야 합니다.
Entra ID 대한 고급 구성
Azure Rights Management 서비스에 대한 액세스를 방지하거나 허용할 수 있는 Entra의 종속 구성은 암호화된 콘텐츠에 대한 Microsoft Entra 구성을 참조하세요.