이 시나리오에서는 Microsoft Purview DLP의 권한 부여 그룹을 사용하여 제어된 예외를 허용하면서 중요한 데이터 작업에 기본 블록을 적용하는 방법을 보여 줍니다. 이 예제에서는 정의된 승인된 법률 부서 프린터 집합을 제외한 모든 디바이스에서 법적 콘텐츠로 분류된 문서 인쇄가 제한됩니다.
이 방법을 사용하면 디바이스 수준 인쇄 제한을 프린터 허용 목록과 결합하여 조직에서 합법적인 비즈니스 워크플로를 지원하면서 중요한 정보를 보호할 수 있습니다. 또한 이동식 스토리지 디바이스 또는 네트워크 공유와 같은 다른 시나리오에 권한 부여 그룹을 재사용하는 방법을 보여 줍니다.
이 시나리오는 전체 디렉터리 정책을 만드는 무제한 관리자를 위한 것입니다.
이 시나리오에서는 이미 장치가 온보딩되어 활동 탐색기에 보고되어 있어야 합니다. 아직 장치를 온보딩하지 않은 경우 끝점 데이터 손실 방지(미리 보기)를 참조하세요.
권한 부여 그룹은 대부분 허용 목록으로 사용됩니다. 전역 정책 작업과 다른 그룹에 정책 작업을 할당했습니다. 이 시나리오에서는 프린터 그룹을 정의한 다음 그룹의 프린터를 제외한 모든 인쇄 활동에 대한 차단 작업을 사용하여 정책을 구성하는 방법을 살펴봅니다. 이러한 절차는 제거 가능한 스토리지 디바이스 그룹 및 네트워크 공유 그룹에 대해 기본적으로 동일합니다.
이 시나리오에서는 법률 부서에서 인쇄 계약에 사용하는 프린터 그룹을 정의합니다. 다른 프린터에 대한 인쇄 계약이 차단됩니다.
필수 구성 요소 및 가정
이 문서에서는 데이터 손실 방지 정책 디자인에서 배운 프로세스를 사용하여 DLP(Microsoft Purview 데이터 손실 방지) 정책을 만드는 방법을 보여 줍니다. 테스트 환경에서 이러한 시나리오를 통해 정책 만들기 UI를 숙지합니다.
중요
이 문서에서는 가상 값이 있는 가상 시나리오를 제공합니다. 그것은 단지 설명 목적으로만. 고유한 중요한 정보 유형, 민감도 레이블, 메일 그룹 및 사용자를 대체합니다.
정책을 배포하는 방법은 중요한 정책 디자인입니다. 이 문서에서 는 비용이 많이 드는 비즈니스 중단을 방지하면서 정책이 의도를 달성하도록 배포 옵션을 사용하는 방법을 보여 줍니다.
이 시나리오에서는 기밀 민감도 레이블을 사용하므로 민감도 레이블을 만들고 게시해야 합니다. 자세한 내용은 다음을 참조하세요.
이 절차에서는 가상의 배포 그룹 인사 및 Contoso.com 보안 팀에 대한 메일 그룹을 사용합니다.
이 절차에서는 경고를 사용합니다. 데이터 손실 방지 경고 시작
정책 의도 문 및 매핑
Contoso는 사용자가 중요한 법적 콘텐츠를 무단 프린터에 인쇄하는 것을 방지하면서도 법률 부서에 승인된 비즈니스 워크플로를 허용하려고 합니다. 이 시나리오에서는 법률 업무 학습 가능 분류자와 일치하는 문서가 organization 광범위하게 인쇄되지 않도록 보호해야 하지만 Legal의 사용자는 해당 문서를 정의된 승인된 프린터 세트에 인쇄할 수 있어야 합니다.
이를 위해 본질적으로 합법적인 것으로 분류된 콘텐츠에 대해 디바이스에 인쇄 제한을 적용하는 정책을 만듭니다. 인쇄는 기본적으로 차단되지만 승인된 프린터의 권한 부여 그룹은 예외로 구성되고 허용됩니다. 이렇게 하면 제어된 허용 목록 모델을 통해 합법적인 비즈니스 요구 사항을 지원하면서 강력한 기본 보호 태세를 사용할 수 있습니다.
| 문 | 답변된 구성 질문 및 구성 매핑 |
|---|---|
| "중요한 법적 문서가 무단 프린터로 인쇄되지 않도록 보호하려고 합니다..." | - 관리 scope: 전체 디렉터리 - 모니터링할 위치: 디바이스만 - 정책 scope: 정책이 적용되는 모든 사용자/디바이스 |
| "법적 민감한 콘텐츠가 포함된 문서를 식별하려고 합니다..." | - 조건: 콘텐츠 포함 = 학습 가능한 분류자, 법률 업무 |
| "엔드포인트 디바이스에서 중요한 콘텐츠의 인쇄를 제한하려고 합니다." | - 작업: 디바이스에서 활동 감사 또는 제한 - 활동 유형: 모든 앱의 파일 활동 - 제한 모델: 특정 활동에 제한 적용 |
| "명시적으로 허용되지 않는 한 인쇄가 기본적으로 차단되기를 원합니다..." | - 활동 제한: Print = Block |
| "승인된 법률 부서 프린터가 기본 블록에서 제외되기를 원합니다..." | - 엔드포인트 설정: Legal Printers라는 프린터 그룹 만들기 - 그룹 구성원은 친숙한 프린터 이름, USB 제품/공급업체 ID, IP 범위, 인쇄 파일, 유니버설 인쇄, 회사 프린터 또는 로컬 인쇄로 정의할 수 있습니다. |
| "승인된 프린터에 대해 글로벌 정책 작업과 다른 정책 동작을 원합니다..." | - 권한 부여 그룹 동작: 다른 인쇄 제한 선택 - 프린터 그룹 제한: 법적 프린터 추가 - 그룹별 작업: 허용 |
| "불필요한 경고를 만들지 않고 감사 목적으로 승인된 인쇄 활동을 계속 표시하려고 합니다." | - 작업 허용 동작: 허용되는 인쇄 작업이 감사 로그에 기록됩니다. - 허용 목록 프린터 작업에 대한 경고 또는 사용자 알림이 생성되지 않음 |
| "정책을 적용하기 전에 안전하게 테스트하려고 합니다." | - 정책 모드: 시뮬레이션 모드에서 정책 실행 - 사용자 환경: 시뮬레이션 모드에서 정책 팁 표시 |
| "나중에 다른 권한 있는 대상에 대해 동일한 디자인 패턴을 사용하려고 합니다." | - 재사용 가능한 권한 부여 그룹 모델: 이동식 스토리지 디바이스 그룹 및 네트워크 공유 그룹에 동일한 접근 방식이 적용됩니다. |
정책을 만드는 단계
프린터 그룹 만들기 및 사용
Microsoft Purview 포털>데이터 손실 방지>설정(왼쪽 위 모서리의 기어) >데이터 손실 방지>엔드포인트 설정>프린터 그룹에 로그인합니다.
프린터 그룹 만들기를 선택하고 그룹 이름을 입력합니다. 이 시나리오에서는 를 사용합니다
Legal printers.프린터 추가를 선택하고 이름을 입력합니다. 다음을 통해 프린터를 정의할 수 있습니다.
- 친숙한 프린터 이름
- USB 제품 ID
- USB 공급업체 ID
- IP 범위
- 파일에 인쇄
- 프린터에 배포된 유니버설 인쇄
- 회사 프린터
- 로컬로 인쇄
닫기를 선택합니다.
정책 인쇄 작업 구성
Microsoft Purview 포털에 로그인합니다.
데이터 손실 방지>정책으로 이동합니다.
정책 만들기를 선택합니다.
연결된 원본에 저장된 데이터입니다.
범주에서 사용자 지정을 선택한 다음 규정에서 사용자 지정 정책 템플릿을 선택합니다.
새 정책에 이름 및 설명을 지정합니다.
관리 단위에서 기본 전체 디렉터리를 적용합니다.
위치의 범위를 디바이스 위치로만 지정 합니다 .
다음 값을 사용하여 규칙을 만듭니다.
- 조건 추가: 콘텐츠에 = 학습 가능한 분류자, 법률 업무가 포함되어 있습니다.
- 작업 = 디바이스에서 활동 감사 또는 제한
- 그런 다음 모든 앱에서 파일 활동을 선택합니다.
- 특정 활동에 제한 적용을 선택합니다.
- 인쇄 = 블록 선택
다른 인쇄 제한 선택 선택
프린터 그룹 제한에서그룹 추가를 선택하고 법적 프린터를 선택합니다.
작업 = 허용을 설정합니다.
팁
허용 작업은 감사 로그에 이벤트를 기록하고 감사하지만 경고 또는 알림을 생성하지는 않습니다.
저장을 선택한 다음, 다음을 선택합니다.
기본 시뮬레이션 모드에서 정책 실행 값을 적용하고, 시뮬레이션 모드에서 정책 팁 표시를 선택합니다. 다음을 선택합니다.
설정을 검토하고 제출을 선택합니다.
새 DLP 정책이 정책 목록에 나타납니다.