이 시나리오에서는 Microsoft Purview DLP를 사용하여 중요한 정보의 의도하지 않은 공유를 승인되지 않은 클라우드 애플리케이션 및 서비스로 제한하는 방법을 보여 줍니다. 조직에서는 중요한 서비스 도메인을 정의하고 지원되는 브라우저를 통해 제어를 적용하여 중요한 데이터 업로드 또는 액세스하는 방법을 모니터링하고 안내할 수 있습니다.
참고
지원되는 웹 브라우저는 다음과 같습니다.
- Microsoft Edge(Win/macOS)
- Chrome(Win/macOS)- Chrome Windows 전용 Microsoft Purview 확장
- Firefox(Win/macOS)- Firefox Windows 전용 Microsoft Purview 확장
- Safari(macOS만 해당)
디바이스 위치에 대한 정책을 구성하면 지원되지 않는 브라우저에서 중요한 콘텐츠에 액세스할 수 없으며 사용자는 Microsoft Edge로 리디렉션됩니다. 여기서 DLP 컨트롤은 정책 조건에 따라 작업을 차단하거나 제한할 수 있습니다. 이 브라우저 인식 적용은 일관되고 안내적인 사용자 환경을 유지하면서 데이터 반출 위험을 줄이는 데 도움이 됩니다.
이 방법을 구현하려면 제한된 대상(도메인, 서비스 또는 IP)을 정의하고, 지원되지 않는 브라우저를 지정하고, 중요한 콘텐츠를 검색하고 , 클라우드 서비스에 업로드 및 허용되지 않는 브라우저에서 액세스와 같은 컨트롤을 적용하는 DLP 규칙을 구성합니다.
이 구성을 사용하면 조직에서 사용자 동작을 감사하고, 정책을 구체화하고, 필요에 따라 더 엄격한 제어를 점진적으로 적용하는 동시에 합법적인 비즈니스 활동에 대한 중단을 최소화할 수 있습니다.
필수 구성 요소 및 가정
이 문서에서는 데이터 손실 방지 정책 디자인에서 배운 프로세스를 사용하여 DLP(Microsoft Purview 데이터 손실 방지) 정책을 만드는 방법을 보여 줍니다. 테스트 환경에서 이러한 시나리오를 통해 정책 만들기 UI를 숙지합니다.
중요
이 문서에서는 가상 값이 있는 가상 시나리오를 제공합니다. 그것은 단지 설명 목적으로만. 고유한 중요한 정보 유형, 민감도 레이블, 메일 그룹 및 사용자를 대체합니다.
정책을 배포하는 방법은 중요한 정책 디자인입니다. 이 문서에서 는 비용이 많이 드는 비즈니스 중단을 방지하면서 정책이 의도를 달성하도록 배포 옵션을 사용하는 방법을 보여 줍니다.
이 시나리오에서는 기밀 민감도 레이블을 사용하므로 민감도 레이블을 만들고 게시해야 합니다. 자세한 내용은 다음을 참조하세요.
이 절차에서는 가상의 배포 그룹 인사 및 Contoso.com 보안 팀에 대한 메일 그룹을 사용합니다.
이 절차에서는 경고를 사용합니다. 데이터 손실 방지 경고 시작
정책 의도 문 및 매핑
Contoso는 사용자가 엔드포인트 디바이스에서 승인되지 않은 클라우드 애플리케이션 및 서비스에 중요한 정보를 의도치 않게 공유하는 것을 방지하려고 합니다. 동시에 사용자가 불필요한 제한 없이 비 중요한 데이터 계속 액세스하고 작업할 수 있도록 합니다. 이를 위해 제한된 클라우드 서비스 도메인 집합을 정의하고 사용자 활동에서 중요한 정보가 검색될 때 제어를 적용합니다. 사용자가 이러한 승인되지 않은 서비스에 중요한 콘텐츠를 업로드하거나 지원되지 않는 브라우저를 통해 이러한 콘텐츠에 액세스하려고 하면 활동을 감사하고 지원되는 규격 워크플로(예: Microsoft Edge 사용)로 사용자를 안내합니다. 이 방법을 사용하면 필요한 경우 더 엄격한 적용으로 이동하기 전에 먼저 사용자 동작을 감사하고, 위험 패턴을 이해하고, 정책을 구체화하여 제어를 점진적으로 적용할 수 있습니다.
| 문 | 답변된 구성 질문 및 구성 매핑 |
|---|---|
| "사용자가 승인되지 않은 클라우드 앱 및 서비스에 중요한 정보를 공유하는 것을 방지하려고 합니다." | - 관리 scope: 전체 디렉터리 - 모니터링할 위치: 디바이스만 - 정책 scope: 모든 사용자/디바이스(또는 테스트를 위한 대상 사용자) |
| "중요한 데이터 공유에 허용되지 않는 것으로 간주되는 클라우드 서비스를 정의하려고 합니다..." | - 엔드포인트 설정: 중요한 서비스 도메인 그룹 만들기 - URL/IP/IP 범위를 사용하여 정의된 도메인(와일드카드 지원 포함) - 정책 규칙에서 다시 사용 그룹화 |
| "중요한 콘텐츠가 이러한 서비스에 공유되는 것을 감지하려고 합니다..." | - 조건: 콘텐츠에 선택한 중요한 정보 유형이 포함되어 있습니다. - 검색 논리: 기본 제공 또는 사용자 지정 중요한 정보 유형 |
| "중요한 콘텐츠를 업로드하거나 지원되지 않는 브라우저를 통해 액세스하려는 시도를 모니터링하려고 합니다." | - 작업: 제한된 클라우드 서비스 도메인에 업로드 또는 허용되지 않는 브라우저에서 액세스 - 엔드포인트 DLP와 통합된 브라우저 컨트롤 |
| "처음에는 비즈니스 프로세스를 차단하지 않고 사용자 동작을 관찰하려고 합니다..." | - 작업 모드: 서비스 도메인 및 브라우저 활동에 대해서만 감사 - 이 단계에서는 차단 또는 재정의가 적용되지 않습니다. |
| "지원되는 정책 인식 브라우저로 사용자를 리디렉션하려고 합니다..." | - 엔드포인트 동작: 허용되지 않는 브라우저는 중요한 콘텐츠에 액세스할 수 없습니다. - 사용자 환경: DLP 컨트롤이 적용되는 Microsoft Edge로 리디렉션 |
| "시간이 지남에 따라 보호를 확장할 수 있는 유연성을 유지하려고 합니다." | - 디자인 기능: 필요에 따라 더 많은 도메인 그룹, 앱 및 정책 추가 - 정책 확장성: 재정의로 차단하거나 차단하기 위한 향후 전환을 지원합니다. |
| "앱에서 다른 파일 활동을 모니터링하고 선택적으로 제어하려고 합니다..." | - 추가 작업: 필요에 따라 모든 앱에 대한 파일 활동 구성 - 세분화된 모니터링 또는 엔드포인트 동작 제한 |
| "이 정책이 평가를 위해 즉시 활성화되기를 바랍니다..." | - 정책 모드: 즉시 켜기 - 배포: 감사 모드에서 즉시 적용 |
정책을 만드는 단계
Microsoft Purview 포털>데이터 손실 방지>설정(왼쪽 위 모서리의 기어 아이콘) >데이터 손실 방지>엔드포인트 DLP 설정>브라우저 및 도메인 제한에 로그인하여 중요한 데이터>감각적인 서비스 도메인 그룹에 로그인합니다.
중요한 서비스 도메인 그룹 만들기를 선택합니다.
그룹 이름을 지정합니다.
그룹의 중요한 서비스 도메인 을 입력합니다. 여러 웹사이트를 그룹에 추가하고 와일드카드를 사용하여 하위 도메인을 덮을 수 있습니다. 예를 들어
www.contoso.com최상위 웹 사이트 또는 *.contoso.com corp.contoso.com, hr.contoso.com, fin.contoso.com.원하는 검색 유형을 선택합니다. URL, IP 주소, IP 주소 범위 중에서 선택할 수 있습니다.
저장을 선택합니다.
왼쪽 탐색 창에서 데이터 손실 방지>정책을 선택합니다.
연결된 원본에 저장된 데이터입니다.
디바이스 위치에만 적용되는 정책을 만들고 scope. 정책을 만드는 방법에 대한 자세한 내용은 데이터 손실 방지 정책 만들기 및 배포를 참조하세요. 관리 단위를 전체 디렉터리에scope 합니다.
정책 설정 정의 페이지에서 고급 DLP 규칙 만들기 또는 사용자 지정을 선택하고 다음을 선택합니다.
다음과 같이 규칙을 만듭니다.
- 조건에서+ 조건 추가를 선택하고 드롭다운 메뉴에서 콘텐츠 포함을 선택합니다.
- 그룹에 이름을 지정합니다.
- 추가를 선택한 다음 중요한 정보 유형을 선택합니다.
- 플라이아웃 창에서 중요한 정보 유형을 선택한 다음 , 추가를 선택합니다.
- 디바이스에서 작업 감사 또는 제한 작업을 추가합니다.
- 서비스 도메인 및 브라우저 활동에서 제한된 클라우드 서비스 도메인에 업로드 또는 허용되지 않는 브라우저에서 액세스를 선택하고 작업을 감사 전용으로 설정합니다.
- + 중요한 서비스 도메인에 대해 다른 제한 사항 선택을 선택한 다음 그룹 추가를 선택합니다.
- 중요한 서비스 도메인 그룹 선택 플라이아웃에서 원하는 중요한 서비스 도메인 그룹을 선택하고 추가를 선택한 다음 저장을 선택합니다.
- 모든 앱에 대한 파일 작업에서 모니터링하거나 제한하려는 사용자 활동과 해당 활동에 대한 응답으로 DLP가 수행할 작업을 선택합니다.
- 규칙 만들기를 완료하고 저장 을 선택한 다음 , 다음을 선택합니다.
- 확인 페이지에서 완료를 선택합니다.
- 정책 모드 페이지에서 바로 켜기를 선택합니다. 다음을 선택한 다음 제출을 선택합니다.