다음을 통해 공유


암호화된 콘텐츠에 대한 Microsoft Entra 구성

Azure Rights Management Service의 암호화를 사용하여 전자 메일 및 문서와 같은 중요한 항목을 Microsoft Purview Information Protection 보호하는 경우 이 암호화된 콘텐츠에 대한 권한 있는 액세스를 방지할 수 있는 몇 가지 Microsoft Entra 구성이 있습니다.

마찬가지로 사용자가 다른 organization 암호화된 전자 메일을 받거나 Azure Rights Management 서비스를 사용하여 문서를 암호화하는 다른 조직과 공동 작업하는 경우 Microsoft Entra ID 구성된 방식 때문에 사용자가 해당 전자 메일이나 문서를 열지 못할 수 있습니다.

예를 들면

  • 사용자는 다른 organization 보낸 암호화된 전자 메일을 열 수 없습니다. 또는 사용자가 다른 organization 받는 사람이 보낸 암호화된 전자 메일을 열 수 없다고 보고합니다.

  • organization 공동 프로젝트의 다른 organization 공동 작업하며 프로젝트 문서는 암호화하여 보호되고 Microsoft Entra ID 그룹을 사용하여 액세스 권한을 부여합니다. 사용자는 다른 organization 사용자가 암호화한 문서를 열 수 없습니다.

  • 사용자는 사무실에 있을 때 암호화된 문서를 성공적으로 열 수 있지만 원격으로 이 문서에 액세스하려고 하면 MFA(다단계 인증)를 묻는 메시지가 표시될 수 없습니다.

암호화 서비스에 대한 액세스가 실수로 차단되지 않도록 하려면 다음 섹션을 사용하여 organization Microsoft Entra ID 구성하거나 다른 organization Microsoft Entra 관리자에게 정보를 전달합니다. 이 서비스에 액세스하지 않으면 사용자를 인증하고 암호화된 콘텐츠를 열 수 있는 권한을 부여받을 수 없습니다.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

테넌트 간 액세스 설정 및 암호화된 콘텐츠

중요

다른 organization 테넌트 간 액세스 설정은 사용자가 사용자가 암호화한 콘텐츠를 열 수 없거나 사용자가 다른 organization 암호화된 콘텐츠를 열 수 없는 경우를 담당할 수 있습니다.

사용자에게 표시되는 메시지는 액세스를 차단한 organization 나타냅니다. 다른 organization 이 섹션으로 Microsoft Entra 관리자에게 지시해야 할 수 있습니다.

기본적으로 사용자가 Azure Rights Management 서비스의 암호화를 사용하여 콘텐츠를 보호할 때 테넌트 간 인증이 작동하도록 구성할 수 있는 것은 없습니다. 그러나 organization Microsoft Entra 외부 ID 테넌트 간 액세스 설정을 사용하여 액세스를 제한할 수 있습니다. 반대로 다른 organization organization 사용자와의 액세스를 제한하도록 이러한 설정을 구성할 수도 있습니다. 이러한 설정은 암호화된 전자 메일 및 암호화된 문서를 포함하는 암호화된 항목을 여는 데 영향을 줍니다.

예를 들어 다른 organization 사용자가 organization 암호화된 콘텐츠를 열 수 없도록 설정이 구성되어 있을 수 있습니다. 이 시나리오에서는 Microsoft Entra 관리자가 테넌트 간 설정을 다시 구성할 때까지 해당 콘텐츠를 열려고 하는 외부 사용자에게 테넌트 관리자에 대한 참조와 함께 organization 액세스가 차단됨을 알리는 메시지가 표시됩니다.

로컬 Microsoft Entra ID 액세스를 차단하는 경우 Fabrikam, Inc organization 로그인한 사용자에 대한 예제 메시지:

로컬 Microsoft Entra 테넌트가 암호화된 콘텐츠에 대한 액세스를 차단하는 경우의 예제 메시지입니다.

액세스를 차단하는 Microsoft Entra 구성일 때 사용자에게 비슷한 메시지가 표시됩니다.

로그인한 사용자의 관점에서 액세스를 차단하는 또 다른 Microsoft Entra organization 경우 Access에 대한 메시지 변경 내용은 organization 의해 차단되고 메시지 본문에 다른 organization 도메인 이름이 표시됩니다. 예를 들면

다른 Microsoft Entra 테넌트가 암호화된 콘텐츠에 대한 액세스를 차단하는 경우의 예제 메시지입니다.

테넌트 간 액세스 설정이 애플리케이션의 액세스를 제한할 때마다 다음 앱 ID가 있는 권한 관리 서비스에 대한 액세스를 허용하도록 구성해야 합니다.

00000012-0000-0000-c000-000000000000

이 액세스가 허용되지 않으면 사용자를 인증하고 암호화된 콘텐츠를 열 수 있는 권한을 부여할 수 없습니다. 이 구성은 기본 설정으로 설정하고 조직 설정으로 설정할 수 있습니다.

  • 다른 organization 암호화된 콘텐츠 공유를 허용하려면 Microsoft Azure Information Protection 대한 액세스를 허용하는 인바운드 설정을 만듭니다(ID: 000000012-0000-0000-c000-0000000000).

  • 사용자가 다른 조직에서 수신하는 암호화된 콘텐츠에 대한 액세스를 허용하려면 Microsoft Azure Information Protection 대한 액세스를 허용하는 아웃바운드 설정을 만듭니다(ID: 000000012-0000-0000-c000-0000000000).

암호화 서비스에 대해 이러한 설정을 구성하면 애플리케이션에 Microsoft Rights Management Services가 표시됩니다.

이러한 테넌트 간 액세스 설정을 구성하는 지침은 B2B 협업을 위한 테넌트 간 액세스 설정 구성을 참조하세요.

사용자를 위해 MFA(다단계 인증)가 필요한 Microsoft Entra 조건부 액세스 정책을 구성한 경우 암호화된 콘텐츠에 대한 조건부 액세스를 구성하는 방법 섹션을 참조하세요.

조건부 액세스 정책 및 암호화된 문서

organization Microsoft Rights Management Services를 포함하는 Microsoft Entra 조건부 액세스 정책을 구현한 경우 정책은 organization 암호화된 문서를 열어야 하는 외부 사용자로 확장됩니다.

  • 자체 테넌트에 Microsoft Entra 계정이 있는 외부 사용자의 경우 외부 ID 테넌트 간 액세스 설정을 사용하여 하나, 다 또는 모든 외부 Microsoft Entra 조직에서 MFA 클레임에 대한 신뢰 설정을 구성하는 것이 좋습니다.

  • 이전 항목에서 다루지 않은 외부 사용자(예: Microsoft Entra 계정이 없거나 트러스트 설정에 대한 테넌트 간 액세스 설정을 구성하지 않은 사용자)의 경우 이러한 외부 사용자에게는 테넌트에서 게스트 계정이 있어야 합니다.

이러한 구성 중 하나가 없으면 외부 사용자는 암호화된 콘텐츠를 열 수 없으며 오류 메시지가 표시됩니다. 메시지 텍스트는 다른 Microsoft Entra 사용자 계정으로 로그아웃하고 다시 로그인하는 이 시나리오에 대한 잘못된 지침과 함께 테넌트에서 해당 계정을 외부 사용자로 추가해야 한다는 것을 알릴 수 있습니다.

organization 암호화된 콘텐츠를 열어야 하는 외부 사용자에 대한 이러한 구성 요구 사항을 충족할 수 없는 경우 조건부 액세스 정책에서 Microsoft Azure Information Protection 제거하거나 정책에서 외부 사용자를 제외해야 합니다.

자세한 내용은 자주 묻는 질문을 참조하세요. Azure Information Protection 조건부 액세스를 위한 사용 가능한 클라우드 앱으로 나열되어 있습니다. 어떻게 작동하나요?

외부 사용자가 암호화된 문서를 열 수 있는 게스트 계정

외부 사용자가 organization 암호화된 문서를 열려면 Microsoft Entra 테넌트에서 게스트 계정이 필요할 수 있습니다. 게스트 계정을 만드는 옵션:

  • 이러한 게스트 계정을 직접 Create. 이러한 사용자가 이미 사용하는 전자 메일 주소를 지정할 수 있습니다. 예를 들어, Gmail 주소가 해당됩니다.

    이 옵션의 이점은 암호화 설정에서 전자 메일 주소를 지정하여 특정 사용자에 대한 액세스 및 권한을 제한할 수 있다는 것입니다. 단점은 계정 생성 및 레이블 구성과의 조정을 위한 관리 오버헤드입니다.

  • 사용자가 링크를 공유할 때 게스트 계정이 자동으로 생성되도록 Microsoft Entra B2B와 SharePoint 및 OneDrive 통합을 사용합니다.

    이 옵션의 이점은 계정이 자동으로 생성되고 레이블 구성이 간단하기 때문에 관리 오버헤드가 최소화된다는 것입니다. 이 시나리오에서는 암호화 옵션 인증된 사용자 추가를 선택해야 합니다. 사용자가 전자 메일 주소를 미리 알 수 없기 때문입니다. 단점은 이 설정으로 특정 사용자에 대한 액세스 및 사용 권한을 제한할 수 없다는 것입니다.

외부 사용자는 Windows 및 Microsoft 365 앱(이전 Office 365 앱) 또는 Office 2019 독립 실행형 버전을 사용할 때 Microsoft 계정을 사용하여 암호화된 문서를 열 수도 있습니다. 다른 플랫폼에서도 최근에 지원되는 Microsoft 계정은 MacOS(Microsoft 365 Apps, 버전 16.42+), Android(버전 16.0.13029+) 및 iOS(버전 2.42+)에서 암호화된 문서를 열 수 있도록 지원합니다.

예를 들어 조직의 사용자는 조직 외부의 사용자와 암호화된 문서를 공유하고 암호화 설정은 외부 사용자의 Gmail 전자 메일 주소를 지정합니다. 이 외부 사용자는 자신의 Gmail 전자 메일 주소를 사용하는 자신의 Microsoft 계정을 만들 수 있습니다. 그런 다음 이 계정으로 로그인한 후 지정된 사용 제한에 따라 문서를 열고 편집할 수 있습니다. 이 시나리오의 자세한 내용은 보호된 문서 열기 및 편집을 참조하세요.

참고

Microsoft 계정의 전자 메일 주소는 암호화 설정에 대한 액세스를 제한하도록 지정된 전자 메일 주소와 일치해야 합니다.

Microsoft 계정이 있는 사용자가 암호화된 문서를 열 때 동일한 이름의 게스트 계정이 아직 존재하지 않는 경우 테넌트에 대한 게스트 계정을 자동으로 생성합니다. 게스트 계정이 있는 경우 지원되는 데스크톱 및 모바일 Office 앱에서 암호화된 문서를 여는 것 외에도 웹용 Office 사용하여 SharePoint 및 OneDrive에서 문서를 여는 데 사용할 수 있습니다.

그러나 복제 지연 시간 때문에 이 시나리오에서는 자동 게스트 계정이 즉시 생성되지 않습니다. 암호화 설정의 일부로 개인 전자 메일 주소를 지정하는 경우 Microsoft Entra ID 해당 게스트 계정을 만드는 것이 좋습니다. 그런 다음 이 계정을 사용하여 조직에서 암호화된 문서를 열어야 한다는 사실을 사용자에게 알리세요.

외부 사용자가 지원되는 Office 클라이언트 앱을 사용할지 확신할 수 없으므로 게스트 계정을 만든 후(특정 사용자에 대해) SharePoint 및 OneDrive 통합을 사용하는 경우 또는 Microsoft Entra 인증된 모든 사용자에 대해 SharePoint 및 OneDrive 통합을 사용하는 경우 외부 사용자와의 보안 협업을 지원하는 보다 신뢰할 수 있는 방법입니다.

다음 단계

수행해야 할 수 있는 추가 구성은 테넌트 액세스 제한을 참조하세요. Azure Rights Management 서비스에 대한 네트워크 인프라 구성과 관련된 내용은 방화벽 및 네트워크 인프라를 참조하세요.

민감도 레이블을 사용하여 문서 및 전자 메일을 암호화하는 경우 외부 사용자 지원 및 레이블이 지정된 콘텐츠에 관심이 있어 테넌트 간에 적용되는 레이블 설정을 파악할 수 있습니다. 레이블 암호화 설정에 대한 구성 지침은 민감도 레이블을 사용하여 암호화를 적용하여 콘텐츠에 대한 액세스 제한을 참조하세요.

암호화 서비스에 액세스하는 방법과 시기를 알아보고 싶나요? Azure RMS의 작동 방식 연습: 첫 번째 사용, 콘텐츠 보호, 콘텐츠 사용을 참조하세요.