다음을 통해 공유

암호화된 콘텐츠에 대한 Microsoft Entra 구성

Azure Rights Management Service의 암호화를 사용하여 전자 메일 및 문서와 같은 중요한 항목을 Microsoft Purview Information Protection 보호하는 경우 이 암호화된 콘텐츠에 대한 권한 있는 액세스를 방지할 수 있는 몇 가지 Microsoft Entra 구성이 있습니다.

마찬가지로 사용자가 다른 organization 암호화된 전자 메일을 받거나 Azure RMS라고도 하는 Azure Rights Management 서비스를 사용하여 문서를 암호화하는 다른 조직과 공동 작업하는 경우 사용자는 Microsoft Entra ID가 구성된 방식 때문에 해당 전자 메일이나 문서를 열지 못할 수 있습니다.

예시:

  • 사용자는 다른 organization 보낸 암호화된 전자 메일을 열 수 없습니다. 또는 사용자가 다른 organization 받는 사람이 보낸 암호화된 전자 메일을 열 수 없다고 보고합니다.

  • organization 공동 프로젝트의 다른 organization 공동 작업하며 프로젝트 문서는 암호화하여 보호되고 Microsoft Entra ID의 그룹을 사용하여 액세스 권한을 부여합니다. 사용자는 다른 organization 사용자가 암호화한 문서를 열 수 없습니다.

  • 사용자는 사무실에 있을 때 암호화된 문서를 성공적으로 열 수 있지만 원격으로 이 문서에 액세스하려고 하면 MFA(다단계 인증)를 묻는 메시지가 표시될 수 없습니다.

암호화 서비스에 대한 액세스가 실수로 차단되지 않도록 하려면 다음 섹션을 사용하여 organization Microsoft Entra ID를 구성하거나 다른 organization Microsoft Entra 관리자에게 정보를 전달합니다. 이 서비스에 액세스하지 않으면 사용자를 인증할 수 없으며 암호화된 콘텐츠를 열 수 있는 권한이 없습니다.

테넌트 간 액세스 설정 및 암호화된 콘텐츠

중요

다른 organization 테넌트 간 액세스 설정은 사용자가 사용자가 암호화한 콘텐츠를 열 수 없거나 사용자가 다른 organization 암호화된 콘텐츠를 열 수 없는 경우를 담당할 수 있습니다.

사용자에게 표시되는 메시지는 액세스를 차단한 organization 나타냅니다. 다른 organization 이 섹션으로 Microsoft Entra 관리자에게 지시해야 할 수 있습니다.

기본적으로 사용자가 Azure Rights Management 서비스의 암호화를 사용하여 콘텐츠를 보호할 때 테넌트 간 인증이 작동하도록 구성할 수 있는 것은 없습니다. 그러나 organization Microsoft Entra 외부 ID 테넌트 간 액세스 설정을 사용하여 액세스를 제한할 수 있습니다. 반대로 다른 organization organization 사용자와의 액세스를 제한하도록 이러한 설정을 구성할 수도 있습니다. 이러한 설정은 암호화된 전자 메일 및 암호화된 문서를 포함하는 암호화된 항목을 여는 데 영향을 줍니다.

예를 들어 다른 organization 사용자가 organization 암호화된 콘텐츠를 열 수 없도록 설정이 구성되어 있을 수 있습니다. 이 시나리오에서는 Microsoft Entra 관리자가 테넌트 간 설정을 다시 구성할 때까지 해당 콘텐츠를 열려고 하는 외부 사용자에게 테넌트 관리자에 대한 참조를 사용하여 organization 액세스가 차단되었음을 알리는 메시지가 표시됩니다.

로컬 Microsoft Entra ID가 액세스를 차단하는 경우 Fabrikam, Inc organization 로그인한 사용자에 대한 예제 메시지:

로컬 Microsoft Entra 테넌트가 암호화된 콘텐츠에 대한 액세스를 차단하는 경우의 예제 메시지입니다.

액세스를 차단하는 Microsoft Entra 구성일 때 사용자에게 비슷한 메시지가 표시됩니다.

로그인한 사용자의 관점에서 액세스를 차단하는 또 다른 Microsoft Entra organization 경우 Access에 대한 메시지 변경 내용은 organization 의해 차단되고 메시지 본문에 다른 organization 도메인 이름이 표시됩니다. 예시:

다른 Microsoft Entra 테넌트가 암호화된 콘텐츠에 대한 액세스를 차단하는 경우의 예제 메시지입니다.

테넌트 간 액세스 설정이 애플리케이션의 액세스를 제한할 때마다 다음 앱 ID가 있는 권한 관리 서비스에 대한 액세스를 허용하도록 구성해야 합니다.

00000012-0000-0000-c000-000000000000

이 액세스가 허용되지 않으면 사용자를 인증하고 암호화된 콘텐츠를 열 수 있는 권한을 부여할 수 없습니다. 이 구성은 기본 설정으로 설정하고 조직 설정으로 설정할 수 있습니다.

  • 다른 organization 암호화된 콘텐츠의 공유를 허용하려면 Microsoft Rights Management Service에 대한 액세스를 허용하는 인바운드 설정을 만듭니다(ID: 000000012-0000-0000-c000-0000000000).

  • 사용자가 다른 조직에서 수신하는 암호화된 콘텐츠에 대한 액세스를 허용하려면 Microsoft Rights Management Service에 대한 액세스를 허용하는 아웃바운드 설정을 만듭니다(ID: 000000012-0000-0000-c000-0000000000).

암호화 서비스에 대해 이러한 설정을 구성하면 애플리케이션에 Microsoft Rights Management Services가 표시됩니다.

이러한 테넌트 간 액세스 설정을 구성하는 지침은 B2B 협업을 위한 테넌트 간 액세스 설정 구성을 참조하세요.

사용자를 위해 MFA(다단계 인증)가 필요한 Microsoft Entra 조건부 액세스 정책을 구성한 경우 암호화된 콘텐츠에 대한 조건부 액세스를 구성하는 방법에 대한 다음 섹션을 참조하세요.

조건부 액세스 정책 및 암호화된 문서

organization Microsoft Rights Management Services를 포함하는 Microsoft Entra 조건부 액세스 정책을 구현한 경우 정책은 organization 암호화된 문서를 열어야 하는 외부 사용자로 확장됩니다.

  • 자체 테넌트에 Microsoft Entra 계정이 있는 외부 사용자의 경우 외부 ID 테넌트 간 액세스 설정을 사용하여 하나, 다 또는 모든 외부 Microsoft Entra 조직에서 MFA 클레임에 대한 신뢰 설정을 구성하는 것이 좋습니다.

  • 이전 항목에서 다루지 않은 외부 사용자(예: Microsoft Entra 계정이 없거나 트러스트 설정에 대한 테넌트 간 액세스 설정을 구성하지 않은 사용자)의 경우 이러한 외부 사용자에게는 테넌트에서 게스트 계정이 있어야 합니다.

이러한 구성 중 하나가 없으면 외부 사용자는 암호화된 콘텐츠를 열고 오류 메시지를 볼 수 없습니다. 메시지 텍스트는 다른 Microsoft Entra 사용자 계정으로 로그아웃하고 다시 로그인하는 이 시나리오에 대한 잘못된 지침과 함께 테넌트에서 해당 계정을 외부 사용자로 추가해야 한다는 것을 알릴 수 있습니다.

organization 암호화된 콘텐츠를 열어야 하는 외부 사용자에 대해 이러한 구성 요구 사항을 충족할 수 없는 경우 조건부 액세스 정책에서 Microsoft Rights Management Services를 제거하거나 정책에서 외부 사용자를 제외해야 합니다.

자세한 내용은 질문과 대답을 참조 하세요. Microsoft Rights Management Services가 조건부 액세스를 위해 사용 가능한 클라우드 앱으로 나열됨을 참조하세요. 어떻게 작동하나요?

외부 사용자가 암호화된 문서를 열 수 있는 게스트 계정

외부 사용자가 organization 암호화된 문서를 열려면 Microsoft Entra 테넌트에서 게스트 계정이 필요할 수 있습니다. 게스트 계정을 만드는 옵션:

  • 이러한 게스트 계정을 직접 만듭니다. 이러한 사용자가 이미 사용하는 전자 메일 주소를 지정할 수 있습니다. 예를 들어, Gmail 주소가 해당됩니다.

    이 옵션의 이점은 암호화 설정에서 전자 메일 주소를 지정하여 특정 사용자에 대한 액세스 및 권한을 제한할 수 있다는 것입니다. 단점은 계정 생성 및 레이블 구성과의 조정을 위한 관리 오버헤드입니다.

  • 사용자가 링크를 공유할 때 게스트 계정이 자동으로 생성되도록 Microsoft Entra B2B와 SharePoint 및 OneDrive 통합을 사용합니다.

    이 옵션의 이점은 계정이 자동으로 생성되고 레이블 구성이 간단하기 때문에 관리 오버헤드가 최소화된다는 것입니다. 이 시나리오에서는 암호화 옵션 인증된 사용자 추가를 선택해야 합니다. 사용자가 전자 메일 주소를 미리 알 수 없기 때문입니다. 단점은 이 설정으로 특정 사용자에 대한 액세스 및 사용 권한을 제한할 수 없다는 것입니다.

외부 사용자는 Windows 및 Microsoft 365 앱(이전 Office 365 앱) 또는 Office 2019 독립 실행형 버전을 사용할 때 Microsoft 계정을 사용하여 암호화된 문서를 열 수도 있습니다. 다른 플랫폼에서도 최근에 지원되는 Microsoft 계정은 MacOS(Microsoft 365 Apps, 버전 16.42+), Android(버전 16.0.13029+) 및 iOS(버전 2.42+)에서 암호화된 문서를 열 수 있도록 지원합니다.

예를 들어 조직의 사용자는 조직 외부의 사용자와 암호화된 문서를 공유하고 암호화 설정은 외부 사용자의 Gmail 전자 메일 주소를 지정합니다. 이 외부 사용자는 자신의 Gmail 전자 메일 주소를 사용하는 자신의 Microsoft 계정을 만들 수 있습니다. 그런 다음 이 계정으로 로그인한 후 지정된 사용 제한에 따라 문서를 열고 편집할 수 있습니다. 이 시나리오의 자세한 내용은 보호된 문서 열기 및 편집을 참조하세요.

참고

Microsoft 계정의 이메일 주소는 암호화 설정에 대한 액세스를 제한하기 위해 지정된 이메일 주소와 일치해야 합니다.

Microsoft 계정이 있는 사용자가 암호화된 문서를 열 때 동일한 이름의 게스트 계정이 아직 존재하지 않는 경우 테넌트에 대한 게스트 계정을 자동으로 생성합니다. 게스트 계정이 있는 경우 지원되는 데스크톱 및 모바일 Office 앱에서 암호화된 문서를 여는 것 외에도 웹용 Office 사용하여 SharePoint 및 OneDrive에서 문서를 여는 데 사용할 수 있습니다.

그러나 복제 대기 시간으로 인해 이 시나리오에서는 자동 게스트 계정이 즉시 만들어지지 않습니다. 암호화 설정의 일부로 개인 전자 메일 주소를 지정하는 경우 해당 게스트 계정을 Microsoft Entra ID로 만드는 것이 좋습니다. 그런 다음, 이러한 사용자에게 이 계정을 사용하여 organization 암호화된 문서를 열어야 한다는 사실을 알릴 수 있습니다.

외부 사용자가 지원되는 Office 클라이언트 앱을 사용할지 확신할 수 없으므로 게스트 계정을 만든 후(특정 사용자에 대해) SharePoint 및 OneDrive 통합을 사용하는 경우 또는 Microsoft Entra 인증된 모든 사용자에 대해 SharePoint 및 OneDrive 통합을 사용하는 경우 외부 사용자와의 보안 협업을 지원하는 보다 신뢰할 수 있는 방법입니다.

클라우드 간 액세스 설정 및 암호화된 콘텐츠

테넌트 간 액세스 설정을 사용하면 암호화된 문서에 대한 클라우드 간 액세스를 사용할 수 있습니다. 따라서 다른 클라우드 환경에서 organization 속한 사용자는 organization 암호화된 Word, Excel 및 PowerPoint 파일을 열 수 있습니다. 예를 들어 이러한 사용자는 Microsoft Azure Government 또는 Microsoft Azure 중국(21Vianet에서 운영)에 있을 수 있습니다.

지원되는 시나리오

공개 미리 보기 중에 지원되는 시나리오는 다음과 같습니다.

  • Microsoft Azure 상업용 클라우드의 조직은 Microsoft에 문의하지 않고도 Microsoft Azure Government 클라우드 또는 Microsoft Azure 중국(21Vianet에서 운영) 클라우드의 조직에 대한 액세스를 허용할 수 있습니다.
  • Microsoft Azure 중국(21Vianet에서 운영) 클라우드의 조직은 Microsoft에 문의하지 않고 Microsoft Azure 상업용 클라우드의 조직에 대한 액세스를 허용할 수 있습니다.
  • 암호화된 Word, Excel 및 PowerPoint 파일은 다른 클라우드 환경의 사용자와 공유하고 Windows, MacOS 및 모바일 디바이스에서 볼 수 있습니다. 이 시나리오는 SharePoint 또는 OneDrive 공유 링크를 통해 공유되는 파일에는 적용되지 않고 직접 전자 메일 첨부 파일, USB 드라이브, 파일 공유 또는 SharePoint에서 공유 및 다운로드하는 등의 메서드에 적용됩니다.
  • 암호화된 PDF 및 일반적으로 암호화된 파일(.pfile 확장명)은 다른 클라우드 환경의 사용자와 공유하고 Windows의 Microsoft Purview Information Protection 뷰어를 사용하여 볼 수 있습니다.
  • 사용자는 organization 게스트일 수 있지만 필요하지는 않습니다.
  • 관리자 정의 권한을 사용할 때 암호화를 적용하는 민감도 레이블에 대해 외부 사용자 및 도메인을 구성하거나 레이블이 사용자 정의 권한에 대해 구성될 때 사용자가 지정할 수 있습니다.

지원되지 않는 시나리오

  • 모든 Outlook 클라이언트를 포함하여 Email 지원되지 않습니다.
  • Microsoft Edge 또는 Adobe Acrobat과 같은 PDF 뷰어는 현재 지원되지 않습니다.

요구 사항

  • Microsoft 365 앱 버전 2402 이상 또는 Microsoft Office 2024
  • 클라이언트 3.1.310.0 이상을 Microsoft Purview Information Protection.
  • 양쪽의 관리자는 다음을 수행해야 합니다.
    • 클라우드 간 액세스를 사용하도록 테넌트 간 액세스 설정 구성
    • 파트너 organization 허용된 organization 추가
  • 암호화된 파일을 여는 사용자에게는 이메일 주소가 할당되어 있어야 합니다.

테넌트 간 액세스 설정: 클라우드 간 공동 작업 사용

여러 클라우드 환경에서 협업을 사용하도록 설정하려면 일회성 단계가 필요합니다.

  1. Microsoft Entra 관리 센터에서 외부 ID>테넌트 간 액세스 설정으로 이동합니다.
  2. Microsoft 클라우드 설정을 선택합니다.
  3. 협업에 사용하도록 설정해야 하는 클라우드 환경을 선택합니다.
    • 상업용 클라우드의 조직에는 Microsoft Azure GovernmentMicrosoft Azure 중국(21Vianet에서 운영)이 모두 표시됩니다.
    • 소버린 클라우드의 조직에는 Microsoft Azure 상업용 클라우드만 표시됩니다.
  4. 파트너 organization 호스트되는 클라우드 환경을 선택하고 저장을 선택합니다.

참고

두 조직 모두 이 단계를 완료하고 파트너 클라우드를 선택해야 합니다.

테넌트 간 액세스 설정: 조직 설정 구성

조직 설정을 구성하려면 다음을 수행합니다.

  1. Microsoft Entra 관리 센터에서 외부 ID>테넌트 간 액세스 설정으로 이동합니다.
  2. 조직 설정을 선택합니다.
  3. 조직 추가를 선택합니다.
  4. 파트너 organization 대한 Microsoft Entra 테넌트 ID를 입력합니다.
  5. 추가를 선택합니다.

테넌트 ID는 Microsoft Entra 관리 센터의 개요 섹션에 표시되며 파트너 organization 제공해야 합니다.

테넌트 간 액세스 설정: 외부 MFA 클레임 신뢰

외부 사용자를 게스트로 초대하지 않는 경우 외부 MFA 클레임을 신뢰하도록 인바운드 신뢰 설정을 구성해야 합니다. 사용자가 게스트로 초대되고 외부 MFA 클레임을 신뢰하는 경우 organization MFA 등록에서 외부 사용자를 제외하는 것이 좋습니다.

구성 세부 정보는 B2B 협업에 대한 테넌트 간 액세스 설정 관리를 검토하세요.

테넌트 간 액세스 설정: 인바운드 및 아웃바운드 액세스 설정

이전 단계는 두 조직이 파트너 organization 보호된 콘텐츠를 사용할 수 있도록 하기에 충분합니다. 클라우드 간 공동 작업에서 다른 서비스를 제외한 문서 암호 해독만 허용하도록 제한하거나 관계를 단방향으로 만들려면 테넌트 간 액세스 설정 및 암호화된 콘텐츠를 검토합니다.

도메인 기반 공유에 대한 변경 내용

암호화 시나리오가 동일한 클라우드 환경으로 제한되면 레이블 암호화 설정에 대한 단일 도메인을 지정하면 사용자의 전자 메일 도메인에 관계없이 지정된 도메인을 소유한 organization 모든 사용자를 인증하고 권한을 부여합니다. 이 도메인 기반 액세스에 대한 자세한 내용은 민감도 레이블을 사용하여 암호화를 적용하여 콘텐츠에 대한 액세스 제한의 참고 사항을 참조하세요.

그러나 클라우드 간 기능은 Entra 액세스 토큰에 포함된 데이터를 사용합니다. 이 기능은 및 verified_secondary_email의 두 가지 선택적 클레임verified_primary_email을 사용합니다.

권한 부여 중에 이러한 클레임은 레이블에 정의된 권한에 대해 추출되고 평가됩니다. 권한 관리 서비스가 도메인 기반 액세스를 평가하면 액세스 토큰에 제공된 이메일 접미사만 평가할 수 있습니다. 이렇게 하면 관리자 정의 권한 또는 사용자 정의 권한에 사용자의 전자 메일 접미사에 정확히 매핑되는 도메인 이름이 포함되어야 하는 시나리오가 발생합니다.

클라우드 간 일반적인 문제

외부 사용자가 암호화된 파일을 열려고 할 때 "organization 액세스가 차단됨"이 표시됩니다.

테넌트 간 액세스 설정이 한쪽 또는 양쪽에서 올바르게 구성되지 않습니다. 이 페이지에서 테넌트 간 액세스 설정 및 암호화된 콘텐츠 섹션과 클라우드 간 특정 예제를 검토합니다.

AADSTS90072: "ID 공급자 'microsoftonline.com'의 사용자 계정 {user@contoso.com}이(가) 없습니다..."가 표시됩니다.

이 오류는 외부 MFA 클레임을 신뢰할 수 없음을 나타냅니다. 구성 세부 정보는 B2B 협업에 대한 테넌트 간 액세스 설정 관리를 참조하세요.

다음 단계

수행해야 할 수 있는 추가 구성은 테넌트 액세스 제한을 참조하세요. Azure Rights Management 서비스에 대한 네트워크 인프라 구성과 관련된 내용은 방화벽 및 네트워크 인프라를 참조하세요.

민감도 레이블을 사용하여 문서 및 전자 메일을 암호화하는 경우 외부 사용자 지원 및 레이블이 지정된 콘텐츠에 관심이 있어 테넌트 간에 적용되는 레이블 설정을 파악할 수 있습니다. 레이블 암호화 설정에 대한 구성 지침은 민감도 레이블을 사용하여 암호화를 적용하여 콘텐츠에 대한 액세스 제한을 참조하세요.

암호화 서비스에 액세스하는 방법과 시기를 알아보고 싶나요? 서비스 작동 방식 연습: 첫 번째 사용, 콘텐츠 암호화, 콘텐츠 사용을 참조하세요.

  • Last updated on