데이터 손실 방지 정책 만들기 및 배포
Microsoft Purview 데이터 손실 방지(DLP) 정책에는 많은 구성 옵션이 있습니다. 각 옵션은 정책의 동작을 변경합니다. 이 문서에서는 구성 옵션에 매핑하는 정책에 대한 몇 가지 일반적인 의도 시나리오를 제공합니다. 그런 다음 이러한 옵션을 구성하는 방법을 안내합니다. 이러한 시나리오에 익숙해지면 DLP 정책 만들기 UX를 사용하여 고유한 정책을 만드는 데 필요한 기본 기술을 갖게 됩니다.
정책을 배포하는 방법은 중요한 정책 디자인입니다. 정책 배포를 제어하는 여러 옵션이 있습니다. 이 문서에서는 비용이 많이 드는 비즈니스 중단을 방지하면서 정책이 의도를 달성하도록 이러한 옵션을 사용하는 방법을 보여 줍니다.
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
시작하기 전에
Microsoft Purview DLP를 접하는 경우 DLP를 구현할 때 알아야 할 핵심 문서 목록은 다음과 같습니다.
- 관리 단위
- Microsoft Purview 데이터 손실 방지 대해 알아보기 - 이 문서에서는 데이터 손실 방지 분야 및 Microsoft의 DLP 구현을 소개합니다.
- DLP(데이터 손실 방지) 계획 - 이 문서를 통해 다음을 수행합니다.
- 데이터 손실 방지 정책 참조 - 이 문서에서는 DLP 정책의 모든 구성 요소와 각 구성 요소가 정책 동작에 미치는 영향을 소개합니다.
- DLP 정책 디자인 - 이 문서에서는 정책 의도 문을 만들고 특정 정책 구성에 매핑하는 방법을 안내합니다.
- 데이터 손실 방지 정책 만들기 및 배포 - 지금 읽고 있는 이 문서에서는 구성 옵션에 매핑하는 몇 가지 일반적인 정책 의도 시나리오를 제공합니다. 그런 다음 이러한 옵션을 구성하는 방법을 안내하고 정책 배포에 대한 지침을 제공합니다.
- 데이터 손실 방지 경고 조사에 대해 알아보기 - 이 문서에서는 최종 수정 및 정책 튜닝을 통해 생성되는 경고의 수명 주기를 소개합니다. 또한 경고를 조사하는 데 사용하는 도구도 소개합니다.
SKU/구독 라이선싱
DLP 정책 사용을 시작하기 전에 Microsoft 365 구독 및 추가 기능을 확인합니다.
라이선스에 대한 자세한 내용은 엔터프라이즈용 Microsoft 365, Office 365, Enterprise Mobility + Security 및 Windows 11 구독을 참조하세요.
권한
정책을 만들고 배포하는 데 사용하는 계정은 이러한 역할 그룹 중 하나의 구성원이어야 합니다.
- 준수 관리자
- 규정 준수 데이터 관리자
- 정보 보호
- Information Protection 관리자
- 보안 관리자
중요
시작하기 전에 관리 단위를 읽어 무제한 관리자와 관리 단위 제한 관리자 간의 차이점을 이해해야 합니다.
세분화된 역할 및 역할 그룹
액세스 제어를 미세 조정하는 데 사용할 수 있는 역할 및 역할 그룹이 있습니다.
적용 가능한 역할 목록은 다음과 같습니다. 자세한 내용은 Microsoft Purview 규정 준수 포털 권한을 참조하세요.
- DLP 규정 준수 관리
- Information Protection 관리자
- Information Protection 분석가
- Information Protection 조사자
- Information Protection 읽기 권한자
적용 가능한 역할 그룹의 목록은 다음과 같습니다. 자세한 내용은 Microsoft Purview 규정 준수 포털 권한을 참조하세요.
- 정보 보호
- Information Protection 관리자
- Information Protection 분석가
- Information Protection 조사자
- Information Protection 읽기 권한자
정책 만들기 시나리오
이전 문서 DLP 정책 디자인 에서는 정책 의도 문을 만든 다음 해당 의도 문을 정책 구성 옵션에 매핑하는 방법론을 소개했습니다. 이 섹션에서는 이러한 예제와 몇 가지 더 자세히 살펴보고 실제 정책 만들기 프로세스를 안내합니다. 테스트 환경에서 이러한 시나리오를 통해 정책 만들기 UI를 숙지해야 합니다.
정책 만들기 흐름에는 구성 옵션이 너무 많기 때문에 모든 구성 또는 대부분의 구성을 처리할 수 없습니다. 따라서 이 문서에서는 가장 일반적인 몇 가지 DLP 정책 시나리오를 다룹니다. 이를 통해 다양한 구성에 대한 경험을 얻을 수 있습니다.
시나리오 1 신용 카드 번호로 전자 메일 차단
중요
가상 값이 있는 가상 시나리오입니다. 그것은 단지 설명 목적으로만. 고유한 중요한 정보 유형, 민감도 레이블, 메일 그룹 및 사용자를 대체해야 합니다.
시나리오 1 필수 구성 요소 및 가정
이 시나리오에서는 기밀 민감도 레이블을 사용하므로 민감도 레이블을 만들고 게시해야 합니다. 자세한 내용은 다음을 참조하세요.
이 절차에서는 Contoso.com 가상의 메일 그룹 재무 팀과 가상의 SMTP 수신자를 adele.vance@fabrikam.com사용합니다.
이 절차에서는 경고를 사용합니다. 데이터 손실 방지 경고 시작
시나리오 1 정책 의도 문 및 매핑
신용 카드 번호를 포함하거나 재무 팀의 누군가로부터 로 전자 메일을 보내는 경우를 제외하고 '매우 기밀' 민감도 레이블이 적용된 모든 수신자에게 전자 메일을 차단해야 합니다adele.vance@fabrikam.com. 메일이 차단될 때마다 규정 준수 관리자에게 알리고 항목을 보낸 사용자에게 알리고 아무도 블록을 재정의할 수 없습니다. 로그에서 이 고위험 이벤트의 모든 발생을 추적하고 모든 이벤트의 세부 정보를 캡처하여 조사에 사용할 수 있도록 합니다.
문 | 답변된 구성 질문 및 구성 매핑 |
---|---|
"모든 받는 사람에게 전자 메일을 차단해야 합니다..." | - 모니터링 위치: Exchange - 관리 scope: 전체 디렉터리 - 작업: Microsoft 365 위치>의 콘텐츠 액세스 제한또는 암호화 사용자가 전자 메일을 받거나 공유 SharePoint, OneDrive 및 Teams 파일에> 액세스하지 못하도록차단 모든 사용자 차단 |
"... 신용 카드 번호를 포함하거나 '기밀' 민감도 레이블을 적용한 경우..." | - 모니터링 대상: 사용자 지정 템플릿 사용 - 일치 조건: 편집하여 기밀 민감도 레이블 추가 |
"... 이 경우 제외..." | - 조건 그룹 구성: 부울 AND를 사용하여 첫 번째 조건에 조인된 중첩된 부울 NOT 조건 그룹 만들기 |
"... 메일이 재무 팀의 누군가로부터 전송됩니다..." | - 일치 조건: 보낸 사람의 구성원입니다. |
"... 그리고..." | - 일치 조건: NOT 그룹에 두 번째 조건 추가 |
"... 에 adele.vance@fabrikam.com..." | - 일치 조건: 받는 사람이 입니다. |
"... 알림..." | - 사용자 알림: 사용 - 정책 팁: 사용 |
"... 이메일이 차단될 때마다 규정 준수 관리자가 항목을 보낸 사용자에게 알립니다..." | - 정책 팁: 사용 - 사용자에게 알림: 선택됨 - 콘텐츠를 보내거나 공유하거나 수정한 사람: 선택됨 - 이러한 추가 사용자에게 전자 메일 보내기: 규정 준수 관리자의 이메일 주소 추가 |
"... 그리고 아무도 블록을 재정의 할 수 없습니다 ... | - M365 서비스에서 재정의 허용: 선택되지 않음 |
"... 로그에서 이 고위험 이벤트의 모든 발생을 추적하고 모든 이벤트의 세부 정보를 캡처하여 조사에 사용할 수 있도록 하고자 합니다." | - 관리자 경고 및 보고서에서 이 심각도 수준 사용: 높음 - 규칙 일치가 발생할 때 관리자에게 경고 보내기: 선택됨 - 활동이 규칙과 일치할 때마다 경고 보내기: |
시나리오 1에 대한 정책을 만드는 단계
중요
이 정책 만들기 절차의 목적을 위해 기본 포함/제외 값을 수락하고 정책을 해제한 상태로 둡니다. 정책을 배포할 때 변경됩니다.
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft Purview 포털에 로그인
데이터 손실 방지 솔루션을 열고 정책>+ 정책 만들기로 이동합니다.
범주 목록에서 사용자 지정을 선택합니다.
규정 목록에서 사용자 지정을 선택합니다.
다음을 선택합니다.
정책에 이름 및 설명을 지정합니다. 여기에서 정책 의도 문을 사용할 수 있습니다.
중요
정책 이름을 바꿀 수 없습니다.
다음을 선택합니다.
관리 단위를 할당합니다. 모든 사용자에게 정책을 적용하려면 기본 설정을 적용합니다.
다음을 선택합니다.
정책을 적용할 위치를 선택합니다. Exchange 전자 메일 위치만 선택합니다. 다른 모든 위치의 선택을 취소합니다.
다음을 선택합니다.
정책 설정 정의 페이지에서 고급 DLP 규칙 만들기 또는 사용자 지정 옵션을 이미 선택해야 합니다.
다음을 선택합니다.
규칙 만들기를 선택합니다. 규칙 이름을 지정하고 설명을 제공합니다.
조건에서콘텐츠 포함조건> 추가를 선택합니다.
(선택 사항) 그룹 이름을 입력합니다.
(선택 사항) 그룹 연산자 선택
중요한 정보 유형>추가>신용 카드 번호를 선택합니다.
추가를 선택합니다.
콘텐츠 포함 섹션 내에서민감도 레이블>추가>를 매우 기밀로 선택한 다음 추가를 선택합니다.
다음으로 콘텐츠 포함 섹션 아래에서 그룹 추가를 선택합니다.
부울 연산자를 AND로 설정한 다음 토글을 NOT으로 설정합니다.
조건 추가를 선택합니다.
보낸 사람의 구성원임을 선택합니다.
메일 그룹 추가 또는 제거를 선택합니다.
재무 팀을 선택한 다음, 추가를 선택합니다.
수신자조건> 추가를 선택합니다.
전자 메일 필드에 를 입력 adele.vance@fabrikam.com 하고 추가 를 선택합니다.
작업에서 작업> 추가 액세스제한 또는 Microsoft 365 위치의 콘텐츠 암호화를 선택합니다.
사용자가 전자 메일을 받거나 공유 SharePoint, OneDrive 및 Teams 파일에 액세스하지 못하도록 차단을 선택한 다음, 모든 사용자 차단을 선택합니다.
사용자 알림 토글을 켜기로 설정합니다.
Email 알림을> 선택하여콘텐츠를 전송, 공유 또는 마지막으로 수정한 사람에게 알립니다.
알림에 일치하는 전자 메일 메시지를 첨부할지 여부를 선택합니다.
정책 팁을 추가할지 여부를 선택합니다.
사용자 ovverides에서 Microsoft 365 앱 및 서비스에서 재정의 허용이 선택되지 않았는지 확인합니다.
인시던트 보고서에서관리자 경고 및 보고서에서 이 심각도 수준 사용을높음으로 설정합니다.
작업이 규칙 토글과 일치할 때마다 경고 보내기를 켜기로 설정합니다.
저장을 선택합니다.
다음을 선택한 다음 시뮬레이션 모드에서 정책 실행을 선택합니다.
다음을 선택한 다음 제출을 선택합니다.
완료를 선택합니다.
시나리오 2 외부 사용자와 Microsoft 365의 SharePoint 및 OneDrive를 통한 중요한 항목 공유 차단
Microsoft 365의 SharePoint 및 OneDrive의 경우 SharePoint 및 OneDrive를 통해 외부 사용자와 중요한 항목의 공유를 차단하는 정책을 만듭니다.
시나리오 2 필수 구성 요소 및 가정
이 시나리오에서는 기밀 민감도 레이블을 사용하므로 민감도 레이블을 만들고 게시해야 합니다. 자세한 내용은 다음을 참조하세요.
이 절차에서는 가상의 배포 그룹 인사 및 Contoso.com 보안 팀에 대한 메일 그룹을 사용합니다.
이 절차에서는 경고를 사용합니다. 데이터 손실 방지 경고 시작
시나리오 2 정책 의도 문 및 매핑
사회 보장 번호, 신용 카드 데이터를 포함하거나 "기밀" 민감도 레이블이 있는 모든 외부 수신자에게 SharePoint 및 OneDrive 항목의 모든 공유를 차단해야 합니다. 인적 자원 팀의 누구에게도 적용되지 않기를 바랍니다. 또한 경고 요구 사항을 충족해야 합니다. 파일이 공유된 다음 차단될 때마다 보안 팀에 전자 메일을 알리려고 합니다. 또한 가능하면 메일 및 인터페이스 내에서 사용자에게 경고를 보내도록 합니다. 마지막으로 정책에 대한 예외를 원하지 않으며 시스템 내에서 이 활동을 볼 수 있어야 합니다.
문 | 답변된 구성 질문 및 구성 매핑 |
---|---|
"모든 외부 받는 사람에게 SharePoint 및 OneDrive 항목의 모든 공유를 차단해야 합니다..." | - 관리 scope: 전체 디렉터리 - 모니터링 위치: SharePoint 사이트, OneDrive 계정 - 일치 조건: 내조직 외부에서 공유된 첫 번째 조건>- 작업: Microsoft 365 위치>의 콘텐츠 액세스 제한또는 공유 SharePoint 액세스 차단 사용자가 전자 메일을 받거나 공유 SharePoint에 액세스하지 못하도록 차단, OneDrive>차단 외부 사용자만 차단 organization |
"... 사회 보장 번호, 신용 카드 데이터를 포함하거나 "기밀" 민감도 레이블이 있는..." | - 모니터링할 내용: 사용자 지정 템플릿 사용 - 일치 항목에 대한 조건: 부울 AND - 일치 조건을 사용하여 첫 번째 조건에 조인되는 두 번째 조건 만들기: 두 번째 조건, 첫 번째 조건 그룹 >콘텐츠에는 중요한 정보 유형이 포함된 중요한 정보 유형>SSN(미국 사회 보장 번호), 신용 카드 번호 - 조건 그룹 구성 부울 OR 로 첫 번째 조건에 연결된 두 번째 조건 그룹을 만듭니다.- 일치 조건: 두 번째 조건 그룹, 두 번째 조건 >콘텐츠에는 이러한 민감도 레이블 기밀이 포함됩니다>. |
“... 인적 자원 팀의 누구에게도 적용되지 않기를 바랍니다..." | - 적용할 위치: 인사팀 OneDrive 계정 제외 |
"... 파일을 공유한 다음 차단할 때마다 보안 팀에 전자 메일을 알리고 싶습니다..." | - 인시던트 보고서: 규칙 일치가 발생할 때 관리자에게 경고 보내기 - 이러한 사용자에게 전자 메일 경고 보내기(선택 사항): 보안 팀 추가 - 활동이 규칙과 일치할 때마다 경고 보내기: 선택됨 - 정책 일치가 발생할 때 전자 메일 인시던트 보고서를 사용하여 알림 사용: 해당 사용자에게 알림 보내기: 원하는 대로 개별 관리자 추가 - 보고서에 다음 정보를 포함할 수도 있습니다. 모든 옵션 선택 |
"... 또한 가능하면 메일 및 인터페이스 내에서 사용자에게 경고를 보내도록 합니다..." | - 사용자 알림: 켜 기- 정책 팁을 사용하여 Office 365 사용자에게 알림: 선택됨 |
“... 마지막으로 정책에 대한 예외를 원하지 않으며 시스템 내에서 이 활동을 볼 수 있어야 합니다..." | -사용자 재정의: 선택되지 않음 |
조건이 구성되면 요약은 다음과 같습니다.
시나리오 2에 대한 정책을 만드는 단계
중요
이 정책 만들기 절차의 목적을 위해 정책을 해제한 상태로 둡니다. 정책을 배포할 때 변경합니다.
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft Purview 포털에 로그인
데이터 손실 방지>정책>+ 정책 만들기를 선택합니다.
범주 목록과 규정 목록에서 사용자 지정을 선택합니다.
다음을 선택합니다.
정책에 이름 및 설명을 지정합니다. 여기에서 정책 의도 문을 사용할 수 있습니다.
중요
정책의 이름을 바꿀 수 없습니다.
- 다음을 선택합니다.
- 관리 단위 할당 페이지에서 기본 전체 디렉터리를 적용합니다.
- 다음을 선택합니다.
- 정책을 적용할 위치를 선택합니다.
- SharePoint 사이트 및 OneDrive 계정 위치가 선택되어 있는지 확인합니다.
- 다른 모든 위치의 선택을 취소합니다.
- OneDrive 계정 옆의 작업 열에서 편집을 선택합니다.
- 모든 사용자 및 그룹을 선택한 다음, 사용자 및 그룹 제외를 선택합니다.
- +제외를 선택한 다음 그룹 제외를 선택합니다.
- 인적 자원을 선택합니다.
- 완료를 선택한 다음, 다음을 선택합니다.
- 정책 설정 정의 페이지에서 고급 DLP 규칙 만들기 또는 사용자 지정 옵션을 이미 선택해야 합니다. 다음을 선택합니다.
- 고급 DLP 규칙 사용자 지정 페이지에서 + 규칙 만들기를 선택합니다.
- 규칙에 이름 및 설명을 지정합니다.
-
조건 추가를 선택하고 다음 값을 사용합니다.
- 콘텐츠가 Microsoft 365에서 공유됨을 선택합니다.
- 내 organization 외부 사용자와 함께 선택합니다.
-
조건 추가를 선택하여 두 번째 조건을 만들고 이러한 값을 사용합니다.
- 콘텐츠 포함을 선택합니다.
- 민감도 레이블추가>를 선택한 다음 기밀을 > 선택합니다.
- 추가를 선택합니다.
-
작업에서 다음 값을 사용하여 작업을 추가합니다.
- Microsoft 365 위치에서 액세스를 제한하거나 콘텐츠를 암호화합니다.
- organization 외부 사용자만 차단합니다.
- 사용자 알림 토글을 켜기로 설정합니다.
- 정책 팁을 사용하여 Office 365 서비스에서 사용자에게 알리기를 선택한 다음, 콘텐츠를 전송, 공유 또는 마지막으로 수정한 사용자에게 알림을 선택합니다.
- 사용자 재정의에서 M365 서비스에서 재정의 허용이 선택되지 않았는지 확인합니다.
-
인시던트 보고서 아래:
- 관리자 경고 및 보고서에서 이 심각도 수준 사용을낮음으로 설정합니다.
- 규칙 일치가 켜기로 발생할 때 관리자에게 경고 보내기에 대한 토글을 설정합니다.
- 이러한 사용자에게 전자 메일 경고 보내기(선택 사항)에서 + 사용자 추가 또는 제거를 선택한 다음, 보안 팀의 이메일 주소를 추가합니다.
- 저장을 선택한 다음, 다음을 선택합니다.
- 정책 모드 페이지에서 시뮬레이션 모드에서 정책 실행을 선택하고 시뮬레이션 모드에있는 동안 정책 팁 표시를 선택합니다.
- 다음을 선택한 다음 제출을 선택합니다.
- 완료를 선택합니다.
시나리오 3 검사에 실패한 지원되는 파일에 컨트롤 적용
참고
시나리오 3 검사 실패가 미리 보기 상태인 지원되는 파일에 컨트롤을 적용합니다.
모니터링되는 파일 목록에 있지만 엔드포인트 DLP에서 검사하지 못한 파일에 대한 사용자 활동에 대한 재정의 컨트롤을 사용하여 감사, 차단 또는 차단을 적용하려는 경우 이 시나리오를 사용합니다.
시나리오 3 필수 구성 요소 및 가정
이 시나리오에서는 이미 디바이스를 온보딩하고 활동 탐색기에 보고해야 합니다. 아직 장치를 온보딩하지 않은 경우 끝점 데이터 손실 방지(미리 보기)를 참조하세요.
중요
이 기능은 다음 작업 유형만 지원합니다.
- 제한된 클라우드 서비스 도메인에 업로드
- 이동식 USB 디바이스에 복사
- 네트워크 공유에 복사
- 인쇄
시나리오 3 정책 의도 문 및 매핑
엔드포인트 DLP에서 지원하는 파일에 대한 검사가 실패하는 경우가 있습니다. 이러한 파일에 중요한 정보가 있을 수 있지만 알 수는 없습니다. 온보딩된 디바이스에서 파일에 대한 검색이 실패하는 경우 사용자가 해당 파일을 USB 디바이스 또는 네트워크 공유에 복사하지 못하도록 방지하려고 합니다.
문 | 답변된 구성 질문 및 구성 매핑 |
---|---|
"온보딩된 디바이스에서 파일에 대한 검색이 실패하면..." | - 관리 scope: 전체 디렉터리 - 모니터링 위치: 디바이스 범위: Allusers, 그룹, 디바이스, 디바이스 그룹 - 조건: 문서를 검사할 수 없습니다. |
"... 사용자가 해당 파일을 USB 디바이스 또는 네트워크 공유에 복사하지 못하도록 방지하려고 합니다." | - 작업: 디바이스 에서 작업 감사 또는 제한 선택- 변경된 클라우드 서비스 도메인에 업로드 또는 허용되지 않는 브라우저 에서 액세스 지우기- 특정 활동에 제한 적용을 선택하고 이동식 USB 디바이스에 복사를 선택하고 재정 의로 차단을 선택합니다. 네트워크 공유에 복사 및 재정의 로 차단 지우기 클립보드에 복사, 인쇄, 허용되지 않는 Bluetooth 앱을 사용하여 복사 또는 이동, RDP를 사용하여 복사 또는 이동 |
조건이 구성되면 요약은 다음과 같습니다.
시나리오 3 정책 작업 구성
중요
이 정책 만들기 절차의 목적을 위해 정책을 해제한 상태로 둡니다. 정책을 배포할 때 변경합니다.
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
- Microsoft Purview 포털에 로그인합니다.
- 데이터 손실 방지>정책을 엽니다.
- 정책 만들기를 선택하고 범주에서 사용자 지정을 선택한 다음, 규정에서 사용자 지정 정책 템플릿을 선택합니다.
- 새 정책의 이름을 지정하고 설명을 제공합니다.
- 관리 단위에서 전체 디렉터리를 선택합니다.
- 위치 범위를 디바이스로만 지정 합니다 .
- 다음 위치에 규칙을 만듭니다.
-
조건:
- 문서를 검사할 수 없음을 선택합니다.
-
작업에서:
- 디바이스에서 감사 또는 제한 작업을 선택합니다.
- 변경된 클라우드 서비스 도메인에 업로드 또는 허용되지 않는 브라우저에서 액세스 지우기
- 특정 활동에 제한 적용을 선택합니다.
- 이동식 USB 디바이스에 복사를 선택하고 재정의를 사용하여 차단을 선택합니다.
- 네트워크 공유에 복사를 선택하고 재정의를 사용하여 차단을 선택합니다.
- 클립보드에 복사 지우기, 허용되지 않는 Bluetooth 앱을 사용하여 인쇄, 복사 또는 이동, RDP를 사용하여 복사 또는 이동
-
조건:
- 저장합니다.
- 정책 즉시 켜기를 선택합니다. 다음을 선택합니다.
- 설정을 검토하고 제출을 선택합니다.
시나리오 4 지원되지 않는 모든 파일에 컨트롤 적용
참고
시나리오 4 지원되지 않는 모든 파일에 컨트롤 적용은 미리 보기 상태입니다.
파일 확장자를 통해 모든 파일 확장자를 열거할 필요 없이 모니터링되는 파일 목록에 없는 파일에 대한 사용자 활동에 대한 재정의 컨트롤을 사용하여 감사, 차단 또는 차단을 적용하려는 경우 이 시나리오를 사용합니다. 이 구성을 사용하여 .mp3, .wav, .dat 같은 파일에 컨트롤을 배치하는 일괄 정책을 만듭니다.
주의
모든 파일에 컨트롤을 적용하는 기능은 강력한 기능이며 적절한 주의 없이 구현되는 경우 의도하지 않은 결과가 발생할 수 있습니다. 프로덕션 환경에 배포하기 전에 비프로덕션 환경에서 이 정책을 테스트해야 합니다. 이 예제에서는 정책의 scope 특정 파일 확장자를 제외하는 방법도 보여 줍니다.
중요
이 기능은 다음 작업 유형만 지원합니다.
- 제한된 클라우드 서비스 도메인에 업로드
- 이동식 USB 디바이스에 복사
- 네트워크 공유에 복사
- 인쇄
시나리오 4 정책 의도 문 및 매핑
엔드포인트 DLP가 검색하지 않는 파일 유형은 추적할 수 있는 것보다 많습니다. 이러한 파일에 중요한 정보가 있는지 알 수 없으므로 사용자가 해당 파일을 USB 디바이스 또는 네트워크 공유에 복사하기 전에 검사점이 있어야 합니다. Microsoft는 사용자에게 잘 알려져 있고 데이터 유출의 위협이 되지 않는 abc 파일 형식에 대한 사용자 워크플로를 중단하지 않습니다.
문 | 답변된 구성 질문 및 구성 매핑 |
---|---|
"엔드포인트 DLP가 검사하지 않는 파일 유형이 많습니다,..." | - 관리 scope: 전체 디렉터리 - 모니터링할 위치: 디바이스 - 범위: Allusers, 그룹, 디바이스, 디바이스 그룹 |
"... 우리는 우리에게 잘 알려져 있고 데이터 유출의 위협이되지 않는 abc 파일 형식에 대한 사용자 워크플로를 방해하고 싶지 않습니다." | - 엔드포인트 설정: 지원되지 않는 파일 확장명 제외 목록을 만들고 파일 확장명 abc 를 목록에 추가합니다. |
"... 우리가 추적 할 수있는 것보다 더 많은. 이러한 파일에 중요한 정보가 있는지 알 수 없으므로 해당 파일을 USB 디바이스 또는 네트워크 공유에 복사하기 전에 검사점이 있어야 합니다..." |
- 일치 조건: 문서를 검사 할 수 없음 작업: 디바이스 에서 감사 또는 제한 작업 선택- 변경된 클라우드 서비스 도메인에 업로드 또는 허용되지 않는 브라우저 에서 액세스 지우기- 특정 활동에 제한 사항 적용을 선택합니다. 이동식 USB 디바이스에 복사, 재정 의로 차단을 차례로 선택합니다. 네트워크 공유에 복사 및 재정 의로 차단- 클립보드에 복사 지우기, 허용되지 않는 Bluetooth 앱을 사용하여 인쇄, 복사 또는 이동 및 RDP 를 사용하여 복사 또는 이동- 선택 파일을 검사할 수 없습니다. - 지원되지 않는 파일 확장명만 제한 적용을 선택합니다. |
중요
이 기능과 파일 확장자의 차이점은 다음과 같습니다.
- 엔드포인트 DLP는 파일 확장명 조건 의 콘텐츠를 검색합니다. 예를 들어 이벤트 또는 경고에서 중요한 정보 유형 값을 볼 수 있습니다. 반면에 이 기능은 파일 콘텐츠를 검사하지 않습니다.
- 파일 확장명은 콘텐츠 검사를 트리거하는 조건으로 CPU 및 메모리와 같은 더 높은 컴퓨터 리소스를 사용할 수 있으며 일부 파일 형식에 대한 애플리케이션 성능 문제를 일으킬 수 있습니다.
지원되지 않는 파일 확장자 제외에 파일 형식 추가
정책에서 파일 확장자를 제외하려면 이 설정을 사용합니다.
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
- Microsoft Purview 포털에 로그인합니다.
- 설정>데이터 손실 방지>엔드포인트 DLP 설정>지원되지 않는 파일 확장명 제외를 엽니다.
- 파일 확장명 추가를 선택합니다.
- 확장을 제공합니다.
- 저장을 선택합니다.
- 항목을 닫습니다.
시나리오 4 정책 작업 구성
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
- Microsoft Purview 포털에 로그인합니다.
- 데이터 손실 방지>정책을 엽니다.
- 정책 만들기를 선택하고 범주에서 사용자 지정을 선택한 다음, 규정에서 사용자 지정 정책 템플릿을 선택합니다.
- 새 정책의 이름을 지정하고 설명을 제공합니다.
- 관리 단위에서 전체 디렉터리를 선택합니다.
- 위치 범위를 디바이스로만 지정 합니다 .
- 다음 위치에 규칙을 만듭니다.
-
조건:
- 문서를 검사할 수 없음을 선택합니다.
-
작업에서:
- 디바이스에서 감사 또는 제한 작업을 선택합니다.
- 변경된 클라우드 서비스 도메인에 업로드를 선택 취소하거나 허용되지 않는 브라우저에서 액세스합니다.
- 특정 활동에 제한 적용을 선택합니다.
- 이동식 USB 디바이스에 복사를 선택하고 재정의를 사용하여 차단을 선택합니다.
- 네트워크 공유에 복사를 선택하고 재정의를 사용하여 차단을 선택합니다.
- 클립보드에 복사 지우기, 허용되지 않는 Bluetooth 앱을 사용하여 인쇄, 복사 또는 이동, RDP를 사용하여 복사 또는 이동
- 지원되지 않는 파일 확장명만 제한 적용을 선택합니다.
-
조건:
- 저장합니다.
- 정책 즉시 켜기를 선택합니다. 다음을 선택합니다.
- 설정을 검토하고 제출을 선택합니다.
중요
이 시나리오에서는 문서를 다른 조건과 함께 검사할 수 없습니다 .
중요
이 시나리오에서는 이 문서를 다른 조건과 함께 검사할 수 없습니다 .
시나리오 5 지원되지 않는 일부 파일에 컨트롤 적용
참고
시나리오 5 지원되지 않는 일부 파일에 컨트롤 적용은 미리 보기 상태입니다.
이 구성을 사용하여 모니터링되는 파일 목록에 없는 모든 파일에서 정의한 파일 형식 목록에 Audit, Block with override 또는 Block 컨트롤을 적용합니다. 예를 들어 EDLP에서 모니터링되지 않는 .mp3 파일과 같은 비디오 파일에만 컨트롤을 적용할 수 있습니다.
중요
이 기능은 다음 작업 유형만 지원합니다.
- 제한된 클라우드 서비스 도메인에 업로드
- 이동식 USB 디바이스에 복사
- 네트워크 공유에 복사
- 인쇄
이 구성은 파일 확장명 그룹의 조합을 사용하며 문서를 검사할 수 없습니다 . 파일 확장명은 조건입니다를 사용하지 않습니다. 즉 , 파일 확장명 그룹에 포함된 파일의 콘텐츠는 Endpoint DLP에서 검사되지 않으며 정책 일치로 생성된 이벤트 또는 경고에서 중요한 정보 형식 에 대한 값이 표시되지 않습니다.
시나리오 5 정책 의도 문 및 매핑
Wingtip Toys에는 컨트롤을 적용하려는 디바이스의 파일 형식 목록이 있습니다. 엔드포인트 DLP에 대해 모니터링되는 파일 목록에 없는 것으로 알고 있습니다. 사용자가 해당 파일을 USB 디바이스 또는 네트워크 공유에 복사하지 못하도록 방지하려고 합니다. 그들이 시도할 때, 우리는 그들이 금지 된 행동을 시도하고 있음을 알리고, 교육하고 싶습니다.
문 | 답변된 구성 질문 및 구성 매핑 |
---|---|
"컨트롤을 적용하려는 디바이스의 파일 형식 목록이 있습니다...." | - 관리 scope: 전체 디렉터리 - 모니터링할 위치: 디바이스 범위: Allusers, 그룹, 디바이스, 디바이스 그룹 |
"엔드포인트 DLP에 대해 모니터링되는 파일 목록에 없는 것으로 알고 있습니다." | - 엔드포인트 설정: 파일 확장자 그룹 만들기 |
"... 사용자가 해당 파일을 USB 디바이스 또는 네트워크 공유에 복사하지 못하도록 해야 합니다." | - 일치 조건: 문서를 검사 할 수 없음 - 작업: 디바이스 에서 감사 또는 제한 작업 선택- 변경된 클라우드 서비스 도메인에 업로드 또는 허용되지 않는 브라우저 에서 액세스 지우기- 특정 활동에 제한 적용을 선택합니다. 이동식 USB 디바이스에 복사, >네트워크 공유> 에 복사 차단 - - 클립보드에 복사 지우기, 인쇄, 허용되지 않는 Bluetooth 앱을 사용하여 복사 또는 이동 및 RDP 를 사용하여 복사 또는 이동- 파일 선택을 검색 할 수 없습니다. 지원되지 않는 파일 확장명만 제한 적용을 선택합니다. |
"그들이 시도할 때, 우리는 그들이 금지된 행동을 시도하고 있다는 것을 그들에게 알리고, 교육하고 싶습니다." | - 알림을 사용하여 사용자에게 알리고 중요한 정보의 적절한 사용에 대해 교육하는 데 도움이 됩니다. 온 -엔드포인트 디바이스 > 활동이 제한될 때 사용자에게 정책 팁 알림 표시...: 선택한 알림 사용자 지정: 선택한> 몰래 제목: Wingtip Toys에서 파일>알림 콘텐츠를 복사하지 않음: FYI, Wingtip Toy 정책은 해당 유형의 파일을 USB 디바이스 또는 네트워크 공유에 복사할 수 없습니다. |
파일 확장자 그룹 만들기
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
- Microsoft Purview 포털에 로그인합니다.
- 설정>데이터 손실 방지>엔드포인트 DLP 설정>파일 확장명 그룹을 엽니다.
-
파일 확장명 그룹 만들기를 선택하고 그룹 이름을 입력합니다. 이 시나리오에서는 를 사용합니다
Non-classified file extensions
. - 확장을 제공합니다.
- 저장을 선택합니다.
- 항목을 닫습니다.
정책 작업 구성
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
- Microsoft Purview 포털에 로그인합니다.
- 데이터 손실 방지>정책을 엽니다.
- 정책 만들기를 선택하고 범주에서 사용자 지정을 선택한 다음, 규정에서 사용자 지정 정책 템플릿을 선택합니다.
- 새 정책의 이름을 지정하고 설명을 제공합니다.
- 관리 단위에서 전체 디렉터리를 선택합니다.
- 위치 범위를 디바이스로만 지정 합니다 .
- 다음 위치에 규칙을 만듭니다.
-
조건에서.
- 문서를 검사할 수 없습니다.
-
작업에서:
- 선택: 디바이스에서 활동을 감사하거나 제한합니다.
- 지우기: 제한된 클라우드 서비스 도메인에 업로드하거나 허용되지 않는 브라우저에서 액세스합니다.
- 선택: 특정 활동에 제한을 적용합니다.
- 지우기: 클립보드에 복사합니다.
- 선택: 이동식 USB 디바이스> 블록에 복사합니다.
- 선택: 네트워크 공유> 블록에 복사합니다.
- 지우기: 인쇄합니다.
- 지우기: 허용되지 않는 Bluetooth 앱을 사용하여 복사하거나 이동합니다.
- 지우기: RDP를 사용하여 복사하거나 이동합니다.
- 지우기: 제한된 앱에 의한 액세스.
- 선택: 지원되지 않는 파일 확장명만에 제한을 적용합니다.
- 선택: 파일 확장명 그룹 추가 및 를 선택합니다
Non-classified file extensions
.
-
조건에서.
-
사용자 알림을켜기로 설정합니다.
- 엔드포인트 디바이스에서 활동이 제한되면 사용자에게 정책 팁 알림 표시...를 선택합니다.
-
알림 사용자 지정을 선택합니다.
-
알림 제목에 를 입력
Wingtip toys don't copy files
합니다. -
알림 콘텐츠에 를 입력
FYI, Wingtip Toy policy doesn't let you copy that type of file to USB device or a network share
합니다.
-
알림 제목에 를 입력
- 저장합니다.
- 정책을 즉시 켜기를 선택합니다. 다음을 선택합니다.
- 설정을 검토하고 제출을 선택합니다.
중요
이 시나리오에서는 이 문서를 다른 조건과 함께 검사할 수 없습니다 .
시나리오 6 지원되는 일부 파일에 대한 검사를 사용하지 않도록 설정하고 컨트롤을 적용합니다.
참고
시나리오 6 지원되는 일부 파일에 대한 검사를 사용하지 않도록 설정하고 미리 보기에서 컨트롤을 적용합니다.
모니터링 되는 파일 목록에서 일부 파일 형식의 검사를 사용하지 않도록 설정하여 로컬 리소스 소비를 절약하려면 이 구성을 사용합니다. 재정의 컨트롤을 사용하여 감사, 차단 또는 차단을 해당 파일 형식에 적용할 수 있습니다.
중요
이 기능은 다음 작업 유형만 지원합니다.
- 제한된 클라우드 서비스 도메인에 업로드
- 이동식 USB 디바이스에 복사
- 네트워크 공유에 복사
- 인쇄
시나리오 6 정책 의도 문 및 매핑
Bellows College는 모든 사용자 Windows 디바이스에서 리소스를 절약해야 하며 DLP를 통해 파일 검사를 줄이는 것이 큰 도움이 될 것입니다. 콘텐츠가 자동으로 생성되기 때문에 해당 내용을 알고 있는 파일 형식 목록이 있습니다. 이러한 파일 형식은 지원되는 파일 형식 목록에 있습니다. 이러한 자동 생성된 파일을 검색할 필요는 없지만 사용자가 USB 디바이스 또는 네트워크 공유에 복사하지 못하도록 방지하려고 합니다. 그들이 시도할 때, 우리는 그들이 금지 된 행동을 시도하고 있음을 알리고, 교육하고 싶습니다.
문 | 답변된 구성 질문 및 구성 매핑 |
---|---|
"Bellows College는 모든 사용자 Windows 디바이스에서 리소스를 절약해야 하며 DLP를 통해 파일 스캔을 줄이는 것이 큰 도움이 될 것입니다..." | - 관리 scope: 전체 디렉터리 - 모니터링할 위치: 디바이스 범위: Allusers, 그룹, 디바이스, 디바이스 그룹 |
"... 콘텐츠가 자동으로 생성되기 때문에 해당 내용을 알고 있는 파일 형식 목록이 있습니다. 이러한 파일 형식은 지원되는 파일 형식 목록에 있습니다. 이러한 자동 생성된 파일을 검색할 필요가 없습니다..." | - 엔드포인트 설정: 파일 확장자 그룹 만들기 - 분류 사용 안 함 |
... 하지만 사용자가 USB 디바이스 또는 네트워크 공유에 복사하지 못하도록 방지하려고 합니다. | - 일치 조건: 문서를 검색 할 수 없음 작업: 디바이스 에서 감사 또는 제한 작업 선택- 제한된 클라우드 서비스 도메인에 업로드 또는 허용되지 않는 브라우저 에서 액세스 지우기- 특정 활동에 제한 적용을 선택합니다. 이동식 USB 디바이스에 복사 선택, >네트워크 공유>에 복사 차단 - - 클립보드에 복사 지우기, 인쇄, 허용되지 않는 Bluetooth 앱을 사용하여 복사 또는 이동 및 RDP 를 사용하여 복사 또는 이동- 선택 파일을 검사할 수 없습니다. |
"... 그들이 시도할 때, 우리는 그들이 금지된 행동을 시도하고 있다는 것을 알리고, 교육하고 싶습니다..." | - 알림을 사용하여 사용자에게 알리고 중요한 정보의 적절한 사용에 대해 교육하는 데 도움이 됩니다. 온 -엔드포인트 디바이스 > 활동이 제한 될 때 사용자에게 정책 팁 알림 표시...: 선택한 알림 사용자 지정: 선택한>알림 제목: Bellows College IT에서 알림 >콘텐츠를 복사하지 않음: FYI, Bellows College 데이터 손실 방지 정책에서는 해당 유형의 파일을 USB 디바이스 또는 네트워크 공유에 복사할 수 없습니다. |
파일 확장자 그룹 만들기
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
- Microsoft Purview 포털에 로그인합니다.
- 설정>데이터 손실 방지>엔드포인트 DLP 설정>파일 확장명 그룹을 엽니다.
-
파일 확장명 그룹 만들기를 선택하고 그룹 이름을 입력합니다. 이 시나리오에서는 를 사용합니다
Student Class Registration file extensions
. - 확장을 제공합니다.
- 저장을 선택합니다.
- 항목을 닫습니다.
분류 사용 안 함
엔드포인트 DLP 분류에서 특정 파일 확장자를 제외하려면 이 설정을 사용합니다.
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
- Microsoft Purview 포털에 로그인합니다.
- 설정>데이터 손실 방지>엔드포인트 DLP 설정을> 열고분류를 사용하지 않도록 설정합니다.
- 파일 확장명 추가 또는 편집을 선택합니다.
- 확장을 제공합니다.
- 저장을 선택합니다.
- 항목을 닫습니다.
정책 작업 구성
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
- Microsoft Purview 포털에 로그인합니다.
- 데이터 손실 방지>정책을 엽니다.
- 정책 만들기를 선택하고 범주에서 사용자 지정을 선택한 다음, 규정에서 사용자 지정 정책 템플릿을 선택합니다.
- 새 정책의 이름을 지정하고 설명을 제공합니다.
- 관리 단위에서 전체 디렉터리를 선택합니다.
- 위치 범위를 디바이스로만 지정 합니다 .
- 다음 위치에 규칙을 만듭니다.
-
조건:
- 문서를 검사할 수 없습니다.
-
작업에서:
- 선택: 디바이스에서 활동을 감사하거나 제한합니다.
- 선택: 특정 활동에 제한을 적용합니다.
- 지우기: 클립보드에 복사합니다.
- 선택: 이동식 USB 디바이스> 블록에 복사합니다.
- 선택: 네트워크 공유> 블록에 복사합니다.
- 지우기: 인쇄합니다.
- 지우기: 허용되지 않는 Bluetooth 앱을 사용하여 복사하거나 이동합니다.
- 지우기: RDP를 사용하여 복사하거나 이동합니다.
- 지우기: 제한된 앱에 의한 액세스.
- 선택: 지원되지 않는 파일 확장명만에 제한을 적용합니다.
- 선택: 파일 확장명 그룹 추가 및 를 선택합니다
Student Class Registration file extensions
.
- 저장합니다.
-
조건:
- 즉시 켜기를 선택합니다. 다음을 선택합니다.
- 설정을 검토하고 제출을 선택합니다.
중요
이 경우 다른 조건과 함께 이 문서를 검사할 수 없습니다 .
배포
성공적인 정책 배포는 사용자 작업에 대한 제어를 적용하기 위해 정책을 사용자 환경으로 가져오는 것만이 아닙니다. 우연하고 급한 배포는 비즈니스 프로세스에 부정적인 영향을 미치고 사용자를 괴롭히게 할 수 있습니다. 이러한 결과는 organization DLP 기술을 느리게 받아들이고 더 안전한 행동을 촉진합니다. 궁극적으로 중요한 항목을 장기적으로 덜 안전하게 만듭니다.
배포를 시작하기 전에 정책 배포를 읽었는지 확인합니다. 정책 배포 프로세스 및 일반 지침에 대한 광범위한 개요를 제공합니다.
이 섹션에서는 프로덕션 환경에서 정책을 관리하는 데 함께 사용하는 세 가지 유형의 컨트롤에 대해 자세히 설명합니다. 정책을 만드는 동안뿐만 아니라 언제든지 변경할 수 있습니다.
배포 관리의 세 축
정책 배포 프로세스, scope, 정책 상태 및 작업을 제어하는 데 사용할 수 있는 세 가지 축이 있습니다. 영향도가 가장 낮은/시뮬레이션 모드 부터 전체 적용까지 정책을 배포하는 데 항상 증분 접근 방식을 취해야 합니다.
권장되는 배포 제어 구성
정책 상태가 인 경우 | 정책 scope 수 있습니다. | 정책 작업의 영향 |
---|---|---|
시뮬레이션 모드에서 정책 실행 | 위치의 정책 scope 좁거나 광범위할 수 있습니다. | - 구성된 작업의 사용자 영향 없음 - 경고를 보고 활동을 추적할 수 관리 작업을 구성할 수 있습니다. |
정책 팁을 사용하여 시뮬레이션 모드에서 정책 실행 | 정책의 범위를 파일럿 그룹을 대상으로 지정한 다음, 정책을 튜닝할 때 scope 확장해야 합니다. | - 모든 작업을 구성할 수 있습니다. 구성된 작업의 사용자 영향 없음 - 사용자는 정책 팁 및 경고를 받을 수 있습니다. 관리 경고를 보고 활동을 추적할 수 있습니다. |
켜기 | 모든 대상 위치 인스턴스 | - 구성된 모든 작업은 사용자 활동에 적용됩니다. 관리 경고를 보고 활동을 추적할 수 있습니다. |
끄기 | 해당 없음 | 해당 없음 |
상태
상태는 정책을 롤아웃하는 데 사용하는 기본 컨트롤입니다. 정책 만들기를 마쳤으면 정책의 상태를 유지로 설정합니다. 정책 구성을 작업하는 동안 및 최종 검토를 받고 로그오프할 때까지 이 상태로 유지해야 합니다. 상태는 다음으로 설정할 수 있습니다.
- 시뮬레이션 모드에서 정책 실행: 정책 작업이 적용되지 않고 이벤트가 감사됩니다. 이 상태에서는 DLP 시뮬레이션 모드 개요 및 DLP 활동 탐색기 콘솔에서 정책의 영향을 모니터링할 수 있습니다.
- 시뮬레이션 모드에서 정책을 실행하고 시뮬레이션 모드에서 정책 팁을 표시합니다. 작업이 적용되지 않지만 사용자는 정책 팁과 알림 이메일을 받아 인식을 높이고 교육합니다.
- 바로 켜기: 전체 적용 모드입니다.
- 차단: 정책이 비활성 상태입니다. 배포 전에 정책을 개발하고 검토하는 동안 이 상태를 사용합니다.
언제든지 정책의 상태를 변경할 수 있습니다.
작업
작업은 중요한 항목에 대한 사용자 활동에 대한 응답으로 정책이 수행하는 작업입니다. 언제든지 변경할 수 있으므로 영향도가 가장 낮은 허용 (디바이스의 경우) 및 감사만 (다른 모든 위치에 대해)으로 시작하고, 감사 데이터를 수집 및 검토하고, 더 제한적인 작업으로 이동하기 전에 정책을 조정하는 데 사용할 수 있습니다.
허용: 사용자 활동이 발생할 수 있으므로 비즈니스 프로세스에 영향을 주지 않습니다. 감사 데이터가 표시되고 사용자 알림이나 경고가 없습니다.
참고
허용 작업은 디바이스 위치로 범위가 지정된 정책에만 사용할 수 있습니다.
감사 전용: 사용자 활동이 발생할 수 있으므로 비즈니스 프로세스에 영향을 주지 않습니다. 감사 데이터를 얻고 알림 및 경고를 추가하여 인식을 높이고 사용자가 수행하는 작업이 위험한 동작임을 알 수 있도록 학습할 수 있습니다. organization 나중에 더 제한적인 작업을 적용하려는 경우 사용자에게도 알릴 수 있습니다.
재정의를 사용하여 차단: 사용자 작업은 기본적으로 차단됩니다. 이벤트를 감사하고 경고 및 알림을 발생할 수 있습니다. 이는 비즈니스 프로세스에 영향을 주지만 사용자에게 블록을 재정의하고 재정의 이유를 제공하는 옵션이 제공됩니다. 사용자로부터 직접 피드백을 받기 때문에 이 작업은 가양성 일치 항목을 식별하는 데 도움이 될 수 있으며, 정책을 추가로 조정하는 데 사용할 수 있습니다.
참고
Microsoft 365의 Exchange Online 및 SharePoint의 경우 사용자 알림 섹션에서 재정의가 구성됩니다.
차단: 사용자 활동은 무엇이든 간에 차단됩니다. 이벤트를 감사하고 경고 및 알림을 발생할 수 있습니다.
정책 scope
모든 정책은 Exchange, Microsoft 365의 SharePoint, Teams 및 디바이스와 같은 하나 이상의 위치로 범위가 지정됩니다. 기본적으로 위치를 선택하면 해당 위치의 모든 인스턴스가 scope 속하며 제외되지 않습니다. 위치에 대한 포함/제외 옵션을 구성하여 정책이 적용되는 위치의 인스턴스(예: 사이트, 그룹, 계정, 메일 그룹, 사서함 및 디바이스)를 추가로 구체화할 수 있습니다. 포함/제외 범위 지정 옵션에 대한 자세한 내용은 위치를 참조하세요.
일반적으로 작업이 수행되지 않으므로 정책이 시뮬레이션 모드 상태에서 정책 실행에 있는 동안 범위 지정을 유연하게 수행할 수 있습니다. 정책을 디자인한 scope 시작하거나 광범위하게 이동하여 정책이 다른 위치의 중요한 항목에 어떤 영향을 미치는지 확인할 수 있습니다.
그런 다음 상태를 시뮬레이션 모드에서 정책 실행으로 변경하고 정책 팁을 표시할 때 피드백을 제공하고 온보딩 시 다른 사용자를 위한 리소스가 될 수 있는 얼리 어답터일 수 있는 파일럿 그룹으로 scope 좁혀야 합니다.
정책을 즉시 켜기로 이동하면 정책을 디자인할 때 의도한 위치의 모든 인스턴스를 포함하도록 scope 확장합니다.
정책 배포 단계
- 정책을 만들고 상태를 유지로 설정한 후 관련자와 최종 검토를 수행합니다.
- 상태를 시뮬레이션 모드에서 정책 실행으로 변경합니다. 이 시점에서 위치 scope 광범위할 수 있으므로 여러 위치에서 정책 동작에 대한 데이터를 수집하거나 단일 위치로 시작할 수 있습니다.
- 비즈니스 의도를 더 잘 충족할 수 있도록 동작 데이터를 기반으로 정책을 조정합니다.
- 상태를 시뮬레이션 모드에서 정책 실행으로 변경하고 정책 팁을 표시합니다. 필요한 경우 파일럿 그룹을 지원하도록 위치의 scope 구체화하고 포함/제외를 사용하여 정책이 먼저 해당 파일럿 그룹에 롤아웃되도록 합니다.
- 필요한 경우 사용자 피드백 및 경고 및 이벤트 데이터를 수집하여 정책과 계획을 더 조정합니다. 사용자가 제기하는 모든 문제를 해결해야 합니다. 사용자는 대부분 문제가 발생하고 디자인 단계에서 생각하지 않은 항목에 대해 의문을 제기할 수 있습니다. 이 시점에서 슈퍼 사용자 그룹을 개발합니다. 정책의 scope 증가하고 더 많은 사용자가 온보딩될 때 다른 사용자를 학습시키는 데 도움이 되는 리소스가 될 수 있습니다. 배포의 다음 단계로 이동하기 전에 정책이 제어 목표를 달성했는지 확인합니다.
- 상태를 즉시 켜기로 변경합니다. 정책이 완전히 배포되었습니다. DLP 경고 및 DLP 활동 탐색기를 모니터링합니다. 경고를 해결합니다.