이 문서에서는 데이터 손실 방지 정책 설계 에서 배운 프로세스를 사용하여 관리되는 디바이스에서 AI 앱으로 중요한 정보를 공유하는 것을 방지하는 데 도움이 되는 Microsoft Purview DLP(데이터 손실 방지) 정책을 만드는 방법을 보여 줍니다. 테스트 환경에서 이 시나리오를 통해 정책 만들기 UI를 숙지합니다.
중요
이 문서에서는 가상 값이 있는 가상 시나리오를 제공합니다. 그것은 단지 설명 목적으로만. 고유한 중요한 정보 유형, 민감도 레이블, 메일 그룹 및 사용자를 대체합니다.
정책을 배포하는 방법은 정책 디자인만큼이나 중요합니다. 이 문서에서 는 비용이 많이 드는 비즈니스 중단을 방지하면서 정책이 의도를 달성하도록 배포 옵션을 사용하는 방법을 보여 줍니다.
이 시나리오를 사용하여 Edge를 사용하여 ServiceNow 및 Workday와 같은 비즈니스 관리형 앱에서 중요한 정보의 반출을 차단합니다. 세션 컨트롤이 적용된 Microsoft Entra 조건부 액세스에 앱을 온보딩해야 합니다. 보호된 앱에 대한 액세스는 Edge 회사 프로필 외부에서 차단되어야 합니다.
필수 구성 요소 및 가정
이 절차에서는 External라는 가상의 배포 그룹을 사용합니다. 브라우저에서 적용되는 DLP 보호에 대한 자세한 내용은 브라우저 데이터 보안 리소스를 참조하세요.
중요
이 절차를 시작하기 전에 비즈니스용 Edge의 Cloud Apps에 대한 데이터 손실 방지에 대해 알아봅니 다. 이 시나리오의 필수 구성 요소 및 가정에 대한 중요한 정보를 제공합니다.
브라우저에서 Microsoft Entra 관리되는 앱과의 데이터 공유를 보호하는 정책을 설정하는 단계는 다음과 같습니다.
- 조건부 액세스 앱 제어에 앱을 온보딩합니다.
- 사용자 지정 세션 컨트롤을 사용하도록 구성된 Microsoft Entra 조건부 액세스 정책을 만듭니다.
- 모든 디바이스 에서 비즈니스 앱에 Edge 회사 프로필 로그인을 적용하도록 구성된 브라우저 내 비즈니스용 Edge 보호를 사용하도록 설정합니다.
- 관리되는 앱과의 사용자 상호 작용을 대상으로 하는 Purview DLP 정책을 만듭니다.
중요
사용자와 앱은 모두 Edge의 사용자에게 적용할 정책에 대한 모든 필수 구성 요소 보호에 대해 scope 있어야 합니다.
정책 의도 문 및 매핑
사용자가 BYOD 및 개인 디바이스에서 비즈니스 앱의 리소스에 액세스할 수 있도록 허용하지만 해당 디바이스에 데이터를 다운로드하지 못하도록 차단해야 합니다. 계약자 및 공급업체 직원은 이러한 유형의 디바이스를 사용하여 작업 활동을 위해 공동 작업합니다. 고객 뱅킹 정보와 같은 중요한 정보가 포함된 파일을 다운로드하려고 하면 작업이 차단되어야 합니다. 또한 경고 요구 사항을 충족해야 합니다. 마지막으로 가능한 한 빨리 적용되기를 바랍니다.
| 문 | 답변된 구성 질문 및 구성 매핑 |
|---|---|
| 사용자가 BYOD 및 개인 디바이스에서 Workday와 같은 비즈니스 앱의 리소스에 액세스할 수 있도록 허용해야 하지만 디바이스에 데이터를 다운로드하지 못하도록 차단해야 합니다. | - 정책을 적용할 위치 선택: 브라우저의 데이터 활동 -관리 scope: 전체 디렉터리 - 정책을 적용할 위치: 관리되는 앱 > Workday |
| 계약자 및 공급업체 직원은 이러한 유형의 디바이스를 사용하여 작업 활동을 위해 공동 작업합니다.... | - 앱과 함께 scope"특정 사용자 및 그룹, 외부 사용자 및 그룹 포함> |
| 고객 뱅킹 정보와 같은 중요한 정보가 포함된 파일을 다운로드하려고 하면 작업이 차단되어야 합니다. | 모니터링 대상: - 사용자 지정 정책 템플릿 사용- 일치 조건: 콘텐츠에는 중요한 정보 유형>ABA 라우팅 번호, 오스트레일리아 은행 계좌 번호, 캐나다 은행 계좌 번호, 국제 은행 계좌 번호(IBAN), 이스라엘 은행 계좌 번호, 일본 은행 계좌 번호, 뉴질랜드 은행 계좌 번호, SWIFT 코드, 미국 은행 계좌 번호 - 작업이 포함됩니다.브라우저 및 네트워크 활동> 제한 **파일 다운로드 ** >차단. |
| 또한 경고 요구 사항을 충족해야 합니다. 보안 팀은 정책 일치 결과에 대해 조사하고 조치를 취할 수 있는 방법이 있어야 합니다. | - 인시던트 보고서: 규칙 일치가 기본적으로 설정되면 관리자에게 경고 보내기 |
| ... 마지막으로 가능한 한 빨리 적용하려고 합니다. | 정책 모드: **on ** |
필수 구성 요소를 설정하는 단계
- 조건부 액세스 앱 제어에 앱을 온보딩합니다. 자세한 내용은 조건부 액세스 앱 제어용 비 Microsoft IdP 카탈로그 앱 온보딩 및 조건부 액세스 앱 제어를 위한비 Microsoft IdP 사용자 지정 앱 온보딩을 참조하세요. 그룹에 정책을 적용하려면 연결된 앱에서 사용자 그룹도 가져와야 합니다.
- Microsoft Entra 관리 센터에 로그인합니다.
- 세션 컨트롤을 사용하여 클라우드 앱을 대상으로 하는 새 조건부 액세스 정책을 만듭니다. 사용자 지정 정책은 세션 컨트롤 드롭다운에서 선택해야 합니다.
- 의 Microsoft Defender 포털에서 https://security.microsoft.com시스템 > 설정 > 클라우드 앱 > 조건부 액세스 앱 제어 섹션 > 비즈니스용 Edge 보호로 이동합니다. 또는 비즈니스용 Edge 보호 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/cloudapps/settings?tabid=edgeIntegration.
- Edge 및 모든 디바이스에서만 액세스 허용을 선택하여 Edge에 대한 브라우저 내 보호 구성
정책을 만드는 단계
- Microsoft Purview 포털에 로그인합니다.
- 데이터 손실 방지>정책>+ 정책 만들기를 선택합니다.
- 브라우저 활동에서 데이터를 선택합니다.
- 범주 목록에서 사용자 지정을 선택한 다음, 규정 목록에서 사용자 지정 정책을 선택합니다.
- 다음을 선택합니다.
- 정책 이름을 입력하고 설명을 제공합니다. 여기에서 정책 의도 문을 사용할 수 있습니다.
- 다음을 선택합니다.
- 관리 단위 할당 페이지에서 기본 전체 디렉터리를 적용합니다.
- 다음을 선택합니다.
- 관리되는 클라우드 앱 선택
- 특정 사용자 및 그룹을 선택합니다.
- + 포함을 선택한 다음 그룹 포함을 선택합니다.
- 외부를 선택합니다.
- 완료를 선택한 다음, 다음을 선택합니다.
- + 관리되는 앱 포함을 선택합니다.
- Workday 선택
- 완료 선택
- 정책 설정 정의 페이지에서 고급 DLP 규칙 만들기 또는 사용자 지정 옵션을 이미 선택해야 합니다.
- 다음을 선택합니다.
- 고급 DLP 규칙 사용자 지정 페이지에서 + 규칙 만들기를 선택합니다.
- 규칙 이름을 지정하고 설명을 제공합니다.
-
조건 추가를 선택하고 다음 값을 사용합니다.
- 콘텐츠 포함을 선택합니다.
- 중요한 정보 유형추가>중요한 정보 유형>>ABA 라우팅 번호, 오스트레일리아 은행 계좌 번호, 캐나다 은행 계좌 번호, 국제 은행 계좌 번호(IBAN), 이스라엘 은행 계좌 번호, 일본 은행 계좌 번호, 뉴질랜드 은행 계좌 번호, SWIFT 코드, 미국 은행 계좌 번호를 선택합니다.
- 추가를 선택합니다.
-
작업에서 다음 값을 사용하여 작업을 추가합니다.
- 브라우저 및 네트워크 활동 제한
- 파일 다운로드>차단
- 인시던트 보고서에서 다음을 선택합니다. 규칙 일치가 발생할 때 관리자에게 경고 보내기 토글은 기본적으로 켜기로 설정됩니다.
- 저장을 선택한 다음, 다음을 선택합니다.
- 정책 모드 페이지에서 켜기를 선택합니다.
- 다음을 선택한 다음 제출을 선택합니다.
- 완료를 선택합니다.
중요
DLP 정책은 모든 요구 사항이 충족될 때까지 Edge에 적용되지 않습니다.