이 시나리오에서는 Microsoft Purview DLP의 네트워크 기반 조건을 사용하여 사용자가 중요한 데이터 액세스하는 위치에 따라 다양한 보호를 적용하는 방법을 보여 줍니다. VPN 연결을 정의하고 네트워크 예외를 구성함으로써 정책은 네트워크 컨텍스트에 따라 클립보드 작업 감사 또는 차단과 같은 작업을 조정하여 사용자 활동을 균일하게 제한하지 않고 하이브리드 작업 환경을 보다 정확하게 제어할 수 있도록 합니다.
이 시나리오는 전체 디렉터리 정책을 만드는 무제한 관리자를 위한 것입니다.
필수 구성 요소 및 가정
이 시나리오에서는 이미 디바이스를 온보딩하고 활동 탐색기에 보고해야 합니다. 아직 장치를 온보딩하지 않은 경우 끝점 데이터 손실 방지(미리 보기)를 참조하세요.
이 시나리오에서는 하이브리드 작업자가 organization 리소스에 액세스하는 데 사용하는 VPN 목록을 정의합니다.
이 문서에서는 데이터 손실 방지 정책 디자인에서 배운 프로세스를 사용하여 DLP(Microsoft Purview 데이터 손실 방지) 정책을 만드는 방법을 보여 줍니다. 테스트 환경에서 이러한 시나리오를 통해 정책 만들기 UI를 숙지합니다.
중요
이 문서에서는 가상 값이 있는 가상 시나리오를 제공합니다. 그것은 단지 설명 목적으로만. 고유한 중요한 정보 유형, 민감도 레이블, 메일 그룹 및 사용자를 대체합니다.
정책을 배포하는 방법은 중요한 정책 디자인입니다. 이 문서에서 는 비용이 많이 드는 비즈니스 중단을 방지하면서 정책이 의도를 달성하도록 배포 옵션을 사용하는 방법을 보여 줍니다.
이 시나리오에서는 기밀 민감도 레이블을 사용하므로 민감도 레이블을 만들고 게시해야 합니다. 자세한 내용은 다음을 참조하세요.
이 절차에서는 가상의 배포 그룹 인사 및 Contoso.com 보안 팀에 대한 메일 그룹을 사용합니다.
이 절차에서는 경고를 사용합니다. 데이터 손실 방지 경고 시작
정책 의도 문 및 매핑
Contoso는 사용자가 운영하는 네트워크 컨텍스트에 따라 중요한 법적 콘텐츠가 처리되는 방식을 제어하려고 합니다. 특히 하이브리드 작업자가 사용하는 신뢰할 수 있는 회사 네트워크 또는 VPN 연결을 통해 사용자가 연결되어 있는지 여부에 따라 다양한 수준의 제한을 적용하려고 합니다.
이를 위해 알려진 VPN 연결을 정의하고 DLP 정책 내 의 네트워크 예외 규칙에 사용합니다. 이렇게 하면 사용자가 특정 VPN을 통해 연결된 경우 다른 컨텍스트에서 덜 제한적인(감사 전용) 동작을 유지하면서 재정의를 사용하여 클립보드 작업 차단과 같은 더 엄격한 제어를 적용할 수 있습니다. 이 방법을 사용하면 사용자가 중요한 데이터 액세스하는 방법과 위치에 맞게 상황에 맞는 데이터 보호를 사용할 수 있습니다.
| 문 | 답변된 구성 질문 및 구성 매핑 |
|---|---|
| "연결된 네트워크 사용자에 따라 다른 데이터 보호 컨트롤을 적용하려고 합니다..." | - 관리 scope: 전체 디렉터리 - 모니터링할 위치: 디바이스만 - 정책 scope: 모든 사용자/디바이스 또는 대상 사용자 |
| "하이브리드 작업자가 사용하는 VPN 연결을 식별하려고 합니다..." | - 엔드포인트 설정: 서버 주소 또는 네트워크 주소를 사용하여 VPN 설정 구성 - PowerShell 명령을 통해 수집된 데이터(Get-VpnConnection, Get-NetConnectionProfile) |
| "엔드포인트에서 처리되는 중요한 법적 콘텐츠를 검색하려고 합니다..." | - 조건: 콘텐츠 포함 = 학습 가능한 분류자, 법률 업무 |
| "중요한 콘텐츠와 관련된 특정 사용자 활동을 제어하려고 합니다..." | - 작업: 디바이스에서 활동 감사 또는 제한 - 활동 유형: 모든 앱의 파일 활동 - 특정 활동: 클립보드에 복사 (인쇄 또는 USB 복사본과 같은 다른 작업으로 확장 가능) |
| "정상 조건에서 덜 제한적인 모니터링을 원합니다..." | - 기본 작업 작업: 클립보드에 복사에 대해서만 감사 |
| "사용자가 정의된 VPN 네트워크를 통해 연결할 때 더 엄격한 제어를 원합니다..." | - 네트워크 예외: VPN을 선택하고 재정의를 사용하여 차단으로 작업 설정 - 우선 순위: 네트워크 예외 구성에서 VPN을 최우선 순위로 설정해야 합니다. |
| "책임을 유지하면서 사용자 생산성을 지원하려고 합니다." | - 재정의 기능: 사용자는 VPN 조건에서 차단될 때 근거를 진행할 수 있습니다. |
| "네트워크 기반 규칙의 올바른 우선 순위를 보장하려고 합니다..." | - 구성 동작: 올바르게 정렬된 경우 VPN 규칙이 회사 네트워크 설정보다 우선합니다. - 주의: '모든 활동에 적용'은 다른 활동별 구성을 덮어쓸 수 있습니다. |
| "전체 적용 전에 정책 동작을 안전하게 테스트하려고 합니다." | - 정책 모드: 시뮬레이션 모드에서 실행 - 사용자 환경: 시뮬레이션 모드에서 정책 팁 표시 |
| "모니터링 및 테스트를 통해 정책 동작의 유효성을 검사하려고 합니다..." | - 모니터링: 활동 탐색기를 사용하여 정책 일치 검토 - 테스트: 다른 네트워크 조건에서 클립보드 복사 작업 수행(VPN 및 비 VPN) |
정책을 만드는 단계
네트워크 예외 만들기 및 사용
네트워크 예외를 사용하면 사용자가 파일에 액세스하는 네트워크에 따라 허용, 감사 전용, 재정의로 차단 및 파일 활동에 대한 작업 차단을 구성할 수 있습니다. 정의한 VPN 설정 목록에서 선택하고 회사 네트워크 옵션을 사용할 수 있습니다. 작업은 이러한 사용자 활동에 개별적으로 또는 집단적으로 적용할 수 있습니다.
- 클립보드에 복사
- USB 이동식 디바이스에 복사
- 네트워크 공유에 복사
- 인쇄
- 허용되지 않는 Bluetooth 앱을 사용하여 복사 또는 이동
- RDP를 사용하여 복사 또는 이동
서버 주소 또는 네트워크 주소 가져오기
DLP 모니터링 Windows 디바이스에서 관리자 권한으로 Windows PowerShell 창을 엽니다.
다음 cmdlet을 실행합니다.
Get-VpnConnection이 cmdlet을 실행하면 여러 필드와 값이 반환됩니다.
ServerAddress 필드를 찾아 해당 값을 기록합니다. VPN 목록에서 VPN 항목을 만들 때 사용합니다.
이름 필드를 찾아 해당 값을 기록합니다. VPN 목록에서 VPN 항목을 만들 때 이름 필드는 네트워크 주소 필드에 매핑됩니다.
디바이스가 회사 네트워크를 통해 연결되어 있는지 확인
DLP 모니터링 Windows 디바이스에서 관리자 권한으로 Windows PowerShell 창을 엽니다.
다음 cmdlet을 실행합니다.
Get-NetConnectionProfileNetworkCategory 필드가 DomainAuthenticated이면 디바이스가 회사 네트워크에 연결됩니다. 다른 경우 디바이스의 연결은 회사 네트워크를 통해서가 아닙니다.
VPN 추가
Microsoft Purview 포털에 로그인합니다.
설정>데이터 손실 방지>엔드포인트 설정VPN 설정을> 엽니다.
VPN 주소 추가 또는 편집을 선택합니다.
Get-VpnConnection 실행에서 서버 주소 또는 네트워크 주소를 제공합니다.
저장을 선택합니다.
항목을 닫습니다.
정책 작업 구성
Microsoft Purview 포털에 로그인합니다.
데이터 손실 방지>정책을 엽니다.
정책 만들기를 선택합니다.
연결된 원본에 저장된 데이터입니다.
범주에서 사용자 지정을 선택한 다음 규정에서 사용자 지정 정책 템플릿을 선택합니다.
새 정책의 이름을 지정하고 설명을 제공합니다.
관리 단위에서 전체 디렉터리를 선택합니다.
위치 범위를 디바이스로만 지정 합니다 .
다음 위치에 규칙을 만듭니다.
- 콘텐츠 포함 = 학습 가능한 분류자, 법률 업무
- 작업 = 디바이스에서 활동 감사 또는 제한
- 그런 다음 모든 앱에서 파일 활동을 선택합니다.
- 특정 활동에 제한 적용을 선택합니다.
- 네트워크 예외를 구성하려는 작업을 선택합니다.
클립보드에 복사 및 감사 전용 작업 선택
클립보드 제한에 대한 다른 복사본 선택을 선택합니다.
VPN을 선택하고 재정의를 사용하여 차단으로 작업을 설정합니다.
중요
VPN을 통해 연결된 사용자의 활동을 제어하려면 VPN을 선택하고 VPN을 네트워크 예외 구성에서 최우선 순위로 설정해야 합니다. 그렇지 않으면 회사 네트워크 옵션을 선택하면 회사 네트워크 항목에 대해 정의된 작업이 적용됩니다.
주의
모든 활동에 적용 옵션은 여기에 정의된 네트워크 예외를 복사하여 인쇄 및 네트워크 공유에 복사와 같이 구성된 다른 모든 특정 활동에 적용합니다. 이렇게 하면 마지막으로 저장된 구성이 우선하는 다른 활동에 대한 네트워크 예외가 덮어씁니다.
저장합니다.
기본 시뮬레이션 모드에서 정책 실행 값을 적용하고 시뮬레이션 모드에 있는 동안 정책 팁 표시를 선택합니다. 다음을 선택합니다.
설정을 검토하고 제출 을 선택한 다음 완료를 선택합니다.
새 DLP 정책이 정책 목록에 나타납니다.