엔드포인트 데이터 손실 방지 사용
끝점 DLP 기능과 해당 기능이 DLP 정책에 나오는 방법에 대한 자세한 내용은 다음 몇 가지 시나리오를 참조하세요.
중요
이러한 끝점 DLP 시나리오는 DLP 정책을 만들고 조정하는 공식 절차가 아닙니다. 일반적으로 DLP 정책을 사용해야 하는 경우 다음 항목을 참조하세요.
팁
Microsoft Security Copilot 시작하여 AI의 힘을 사용하여 더 스마트하고 빠르게 작업하는 새로운 방법을 알아봅니다. Microsoft Purview의 Microsoft Security Copilot 대해 자세히 알아보세요.
시작하기 전에
SKU/구독 라이선싱
DLP 정책 사용을 시작하기 전에 Microsoft 365 구독 및 추가 기능을 확인합니다.
라이선스에 대한 자세한 내용은 엔터프라이즈용 Microsoft 365, Office 365, Enterprise Mobility + Security 및 Windows 11 구독을 참조하세요.
이 시나리오에서는 이미 장치가 온보딩되어 활동 탐색기에 보고되어 있어야 합니다. 아직 장치를 온보딩하지 않은 경우 끝점 데이터 손실 방지(미리 보기)를 참조하세요.
중요
시작하기 전에 무제한 관리자와 관리 단위 제한된 관리자 관리 단위 간의 차이점을 이해해야 합니다.
시나리오 1: 템플릿으로 정책 만들기, 감사 전용
이 시나리오는 무제한 관리자 만들기 및 전체 디렉터리 정책을 위한 것입니다.
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft Purview 포털에 로그인합니다. > 데이터 손실 방지>정책.
+ 정책 만들기를 선택합니다.
이 시나리오의 경우 범주에서 개인 정보를 선택합니다.
규정에서미국 PII(개인 식별 정보) 데이터 향상을 선택한 다음, 다음을 선택합니다.
새 정책에 이름 및 설명을 지정하고 다음을 선택합니다.
관리 단위에서 기본 전체 디렉터리를 적용합니다. 다음을 선택합니다.
디바이스 위치를 선택하고 다른 모든 위치의 선택을 취소한 다음, 다음을 선택합니다.
정책 설정 정의 페이지에서 다음을 선택합니다.
보호할 정보 페이지에서다음을 선택합니다.
보호 작업 페이지에서 다음을 다시 선택합니다.
액세스 및 재정의 설정 사용자 지정 페이지에서 디바이스에서 작업 감사 또는 제한을 선택한 다음, 다음을 선택합니다.
정책 모드 페이지에서 기본 시뮬레이션 모드에서 정책 실행을 수락하고 시뮬레이션 모드에있는 동안 정책 팁 표시를 선택합니다.
다음을 선택합니다.
Choose Submit.
새 정책이 만들어지면 완료를 선택합니다.
이제 정책을 테스트할 차례입니다.
데이터 손실 방지 홈페이지에서 활동 탐색기를 엽니다.
미국 PII(개인 식별 정보) 데이터 조건을 트리거하는 콘텐츠가 포함된 엔드포인트 DLP 디바이스에서 테스트 항목을 공유해 보세요. 이 경우 정책이 트리거되어야 합니다.
활동 탐색기로 돌아가서 이 이벤트에 대한 활동 목록을 검사.
시나리오 2: 기존 정책 수정, 알림 설정
이 시나리오는 전체 디렉터리 범위 정책을 수정하는 무제한 관리자를 위한 것입니다.
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft Purview 포털>데이터 손실 방지>정책에 로그인합니다.
시나리오 1에서 만든 미국 PII(개인 식별 정보) 데이터 향상 정책을 선택합니다.
정책 편집을 선택합니다.
고급 DLP 규칙 사용자 지정 페이지로 이동하여 낮은 볼륨의 콘텐츠 검색 시나리오 미국 PII 데이터 향상을 편집합니다.
인시던트 보고서 섹션까지 아래로 스크롤하고 규칙 일치가 켜기로 발생할 때 관리자에게 경고 보내기를 토글합니다. Email 경고는 관리자 및 받는 사람 목록에 추가하는 다른 사람에게 자동으로 전송됩니다.
이 시나리오의 목적을 위해 활동이 규칙에 일치할 때마다 알림 보내기를 선택합니다.
저장을 선택합니다.
마법사의 나머지 부분 전체에서 다음 을 선택한 다음 정책 변경 내용을 제출 하여 이전 설정을 모두 유지합니다.
미국 PII(개인 식별 정보) 데이터 조건을 트리거하는 콘텐츠가 포함된 테스트 항목을 공유해 보세요. 이 경우 정책이 트리거되어야 합니다.
이벤트에 대한 활동 탐색기를 확인합니다.
시나리오 3: 기존 정책 수정, 재정의 허용으로 작업 차단
이 시나리오는 전체 디렉터리 정책을 수정하는 무제한 관리자를 위한 것입니다.
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft Purview 포털>데이터 손실 방지>정책에 로그인합니다.
시나리오 1에서 만든 미국 PII(개인 식별 정보) 데이터 정책을 선택합니다.
정책 편집을 선택합니다.
고급 DLP 규칙 사용자 지정 페이지로 이동하여 낮은 볼륨의 콘텐츠 검색 시나리오 미국 PII 데이터 향상을 편집합니다.
Windows 디바이스에서 작업>감사 또는 제한 작업 섹션까지 아래로 스크롤하고 서비스 도메인 및 브라우저 활동 아래의 두 옵션을 모두 재정의를 사용하여 차단으로 설정합니다.
저장을 선택합니다.
많은 양의 콘텐츠가 검색된 시나리오 미국 PII 데이터 향상에 대해 4-6단계를 반복합니다.
마법사의 나머지 부분을 통해 다음 을 선택하여 이전 설정을 모두 유지한 다음 정책 변경 내용을 제출 합니다.
미국 PII(개인 식별 정보) 데이터 조건을 트리거하는 콘텐츠가 포함된 테스트 항목을 organization 외부의 사용자와 공유하려고 시도합니다. 이 경우 정책이 트리거되어야 합니다.
클라이언트 디바이스에 다음과 같은 팝업이 표시됩니다.
이벤트에 대한 활동 탐색기를 확인합니다.
시나리오 4: 자동 격리를 사용하여 클라우드 동기화 앱에서 DLP 알림을 반복하지 마세요.
이 시나리오는 전체 디렉터리 정책을 만드는 무제한 관리자를 위한 것입니다.
시나리오 4를 시작하기 전에
이 시나리오에서는 극비 민감도 레이블이 있는 파일을 OneDrive에 동기화하는 것이 차단됩니다. 이것은 여러 구성 요소와 절차가 있는 복잡한 시나리오입니다. 당신은 필요해요:
- 대상으로 지정할 Microsoft Entra 사용자 계정 및 이미 로컬 OneDrive 폴더를 OneDrive 클라우드 스토리지와 동기화하고 있는 온보딩된 Windows 10/11 컴퓨터.
- 구성 및 게시된 민감도 레이블은 민감도 레이블 시작 및 민감도 레이블 및 정책 만들기 및 구성을 참조합니다.
세 가지 절차가 있습니다.
- 엔드포인트 DLP 자동 크기 조정 설정을 구성합니다.
- 극비 민감도 레이블이 있는 중요한 항목을 차단하는 정책을 만듭니다.
- 정책이 대상으로 하는 Windows 10/11 디바이스에 Word 문서를 만들고, 레이블을 적용하고, 동기화 중인 사용자 계정 로컬 OneDrive 폴더에 복사합니다.
엔드포인트 DLP 허용되지 않는 앱 및 자동 크기 조정 설정 구성
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft Purview 포털>데이터 손실 방지>설정(왼쪽 위 모서리의 기어) >데이터 손실 방지>엔드포인트 설정에 로그인합니다.
제한된 앱 및 앱 그룹을 확장합니다.
제한된 앱 그룹에서제한된 앱 그룹 추가를 선택합니다. 그룹 이름으로 클라우드 동기화 앱을 입력합니다.
자동 격리 상자를 선택합니다.
앱 이름에 OneDrive를 입력합니다. 실행 파일 이름에 onedrive.exe입력한 다음, + 단추를 선택합니다. 이렇게 하면 onedrive.exe 기밀 레이블이 있는 항목에 액세스할 수 없습니다.
저장을 선택합니다.
자동 격리 설정에서 자동 격리 설정 편집을 선택합니다.
허용되지 않는 앱에 대한 자동 격리를 사용하도록 설정합니다.
원래 중요한 파일을 이동할 로컬 시스템의 폴더 경로를 입력합니다. 예를 들면 다음과 같습니다.
%homedrive%%homepath%\Microsoft DLP\Quarantine
사용자 이름 에 대해 Isaiah Langer 는 이동된 항목을 라는 폴더에 배치합니다.
C:\Users\IsaiahLanger\Microsoft DLP\Quarantine\OneDrive 폴더에 배치하고
날짜 및 타임스탬프를 원래 파일 이름에 추가합니다.
참고
DLP 자동 격리는 허용되지 않는 각 앱의 파일에 대한 하위 폴더를 만듭니다. 따라서 허용되지 않는 앱 목록에 메모장과 OneDrive가 모두 있는 경우 \OneDrive에 대한 하위 폴더와 \Notepad에 대한 다른 하위 폴더가 생성됩니다.
다음 텍스트가 포함된 .txt 파일로 파일 바꾸기를 선택하고 자리 표시자 파일에 원하는 텍스트를 입력합니다. 예를 들어 auto quar 1.docx파일의 경우 다음을 입력할 수 있습니다.
%%FileName%%에는 organization DLP(데이터 손실 방지) 정책 %%PolicyName%%으로 보호하는 중요한 정보가 포함되어 있습니다. 격리 폴더로 이동되었습니다. %%QuarantinePath%%
다음 메시지를 포함하는 텍스트 파일을 남깁니다.
auto quar 1.docx organization DLP(데이터 손실 방지) 정책으로 보호하는 중요한 정보를 포함합니다. C:\Users\IsaiahLanger\Microsoft DLP\Quarantine\OneDrive\auto quar 1.docx 격리 폴더로 이동되었습니다.
저장을 선택합니다.
민감도 레이블이 "매우 기밀"인 파일의 OneDrive 동기화를 차단하도록 정책 구성
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft Purview 포털>데이터 손실 방지>정책에 로그인합니다.
정책 만들기를 선택합니다.
이 시나리오에서는 사용자 지정, 사용자 지정 정책을 차례로 선택합니다. 다음을 선택합니다.
이름 및 설명 필드를 채우고 다음을 선택합니다.
관리 단위에서 전체 디렉터리를 선택합니다.
장치를 제외한 모든 위치에서 상태 필드를 해제로 전환합니다. 이를 테스트하려는 특정 최종 사용자 계정이 있는 경우 범위에서 해당 계정을 선택해야 합니다. 다음을 선택합니다.
기본 고급 DLP 규칙 만들기 또는 사용자 지정 선택 항목을 수락하고 다음을 선택합니다.
이 값으로 다음과 같이 규칙을 만듭니다.
- 이름>시나리오 4 자동 격리.
- 조건에서조건 추가를 선택한 다음 콘텐츠 포함을 선택합니다.
- 그룹 이름(예: 기밀 민감도 레이블)을 입력한 다음 추가를 선택합니다.
- 민감도 레이블을 선택한 다음 기밀성을 선택하고 추가를 선택합니다.
- 작업에서 작업 추가를 선택합니다.
- 제한된 앱 그룹의 앱에 대한 디바이스 > 파일 활동에서 감사 또는 제한작업을 선택합니다.
- 제한된 앱 그룹 추가를 선택한 다음, 이전에 만든 클라우드 동기화 앱 그룹을 선택합니다.
- 모든 활동 >블록에 제한 적용을선택합니다. 이 시나리오의 목적을 위해 다른 모든 활동을 지우세요.
- 사용자 알림에서 사용자 알림을켜기로 전환하고 엔드포인트 디바이스에서 활동이 활성화되지 않은 경우 사용자에게 정책 팁 알림 표시를 선택합니다.
저장 및 다음을 선택합니다.
즉시 켜기를 선택합니다. 다음을 선택합니다.
설정을 검토하고 제출을 선택합니다.
참고
새 정책이 복제되고 대상 Windows 10 컴퓨터에 적용되는 데 최소 1시간이 걸립니다.
새 DLP 정책이 정책 목록에 나타납니다.
Windows 10/11 디바이스에서 자동 격리 테스트
민감도 레이블이 매우 기밀인 파일의 OneDrive 동기화를 차단하도록 정책 구성에서 지정한 사용자 계정으로 Windows 10/11 컴퓨터에 로그인합니다. 5단계.
콘텐츠가 OneDrive에 동기화되지 않는 폴더를 만듭니다. 예를 들면 다음과 같습니다.
C:\auto-quarantine 원본 폴더
Microsoft Word 열고 자동 격리 원본 폴더에 파일을 만듭니다. 극비 민감도 레이블을 적용합니다. Office 파일 및 전자 메일에 민감도 레이블 적용을 참조합니다.
만든 파일을 OneDrive 동기화 폴더에 복사합니다. 작업이 허용되지 않으며 파일이 격리된다는 사용자 알림 메시지가 표시됩니다. 예를 들어 사용자 이름 Isaiah Langer 및 autoquarantine doc 1.docx 문서의 경우 다음 메시지가 표시됩니다.
메시지는 다음과 같습니다.
이 앱으로 자동 격리 문서 1.docx 열 수 없습니다. 파일은 C:\Users\IsaiahLanger\Microsoft DLP\OneDrive로 격리됩니다.
해제를 선택합니다.
자리 표시자 텍스트 파일을 엽니다. 이 이름은 자동 격리 문서 1.docx_date_time.txt.
격리 폴더를 열고 원본 파일이 있는지 확인합니다.
모니터링되는 끝점에서 데이터에 대한 활동 탐색기를 확인합니다. 디바이스에 대한 위치 필터를 설정하고 정책을 추가한 다음 정책 이름으로 필터링하여 이 정책의 효과를 확인합니다. 활동 탐색기 사용에 대한 자세한 내용은 활동 탐색기 시작을 참조하세요.
이벤트에 대한 활동 탐색기를 확인합니다.
시나리오 5: 허용되지 않는 클라우드 앱 및 서비스에 대한 의도하지 않은 공유 제한
이 시나리오는 전체 디렉터리 정책을 만드는 무제한 관리자를 위한 것입니다.
엔드포인트 DLP 및 지원되는 웹 브라우저를 사용하면 중요한 항목의 의도하지 않은 공유를 허용되지 않는 클라우드 앱 및 서비스로 제한할 수 있습니다. Microsoft Edge는 항목이 엔드포인트 DLP 정책에 의해 제한되는 시기를 이해하고 액세스 제한을 적용합니다.
참고
지원되는 웹 브라우저는 다음과 같습니다.
- Microsoft Edge
- Chrome(Chrome용 Microsoft Purview 확장이 설치됨)
- Firefox(Firefox용 Microsoft Purview 확장이 설치됨)
올바르게 구성된 DLP 정책에서 디바이스를 위치로 선택하고 지원되는 웹 브라우저를 사용하는 경우 이러한 설정에서 정의한 허용되지 않는 브라우저는 DLP 정책 컨트롤과 일치하는 중요한 항목에 액세스하지 못하게 됩니다. 대신 사용자는 DLP 정책의 조건이 충족될 때 작업을 차단하거나 제한할 수 있는 DLP 부과 제한을 이해하여 Microsoft Edge를 사용하도록 리디렉션됩니다.
이 제한을 사용하려면 다음 세 가지 중요한 부분을 구성해야 합니다.
중요한 항목이 공유되지 않도록 하려는 위치(서비스, 도메인, IP 주소)를 지정합니다.
DLP 정책이 일치하는 경우 특정 중요한 항목에 액세스할 수 없는 브라우저를 추가합니다.
클라우드 서비스 업로드와 허용되지 않은 브라우저에서 액세스 설정을 사용하여 업로드가 해당 위치로 제한되어야 하는 중요한 항목의 종류를 정의하는 DLP 정책 구성
새 서비스, 앱 및 정책을 계속 추가하여 비즈니스 요구 사항을 충족하고 중요한 데이터를 보호하는 데 필요한 제한을 확장하고 강화할 수 있습니다.
이 구성은 데이터를 안전하게 유지하면서 사용자가 민감하지 않은 항목에 액세스하고 공유하는 것을 방지하거나 제한하는 불필요한 제한을 방지하는 데 도움이 됩니다.
중요한 서비스 도메인을 통해 이러한 사용자가 중요한 항목을 클라우드 앱 및 서비스에 감사, 차단 또는 차단할 수도 있습니다.
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft Purview 포털>데이터 손실 방지>설정(왼쪽 위 모서리의 기어 아이콘) >데이터 손실 방지>엔드포인트 DLP 설정>브라우저 및 중요한 데이터>중요한 서비스 도메인 그룹에 대한 도메인 제한에 로그인합니다.
중요한 서비스 도메인 그룹 만들기를 선택합니다.
그룹 이름을 지정합니다.
그룹의 중요한 서비스 도메인 을 입력합니다. 여러 웹사이트를 그룹에 추가하고 와일드카드를 사용하여 하위 도메인을 덮을 수 있습니다. 예를 들어
www.contoso.com
최상위 웹 사이트 또는 *.contoso.com corp.contoso.com, hr.contoso.com, fin.contoso.com.원하는 검색 유형을 선택합니다. URL, IP 주소, IP 주소 범위 중에서 선택할 수 있습니다.
저장을 선택합니다.
왼쪽 탐색 창에서 데이터 손실 방지>정책을 선택합니다.
디바이스 위치에만 적용되는 정책을 만들고 scope. 정책을 만드는 방법에 대한 자세한 내용은 데이터 손실 방지 정책 만들기 및 배포를 참조하세요. 관리 단위를 전체 디렉터리에scope 합니다.
정책 설정 정의 페이지에서 고급 DLP 규칙 만들기 또는 사용자 지정을 선택하고 다음을 선택합니다.
다음과 같이 규칙을 만듭니다.
- 조건에서+ 조건 추가를 선택하고 드롭다운 메뉴에서 콘텐츠 포함을 선택합니다.
- 그룹에 이름을 지정합니다.
- 추가를 선택한 다음 중요한 정보 유형을 선택합니다.
- 플라이아웃 창에서 중요한 정보 유형을 선택한 다음 , 추가를 선택합니다.
- 디바이스에서 작업 감사 또는 제한 작업을 추가합니다.
- 서비스 도메인 및 브라우저 활동에서 제한된 클라우드 서비스 도메인에 업로드 또는 허용되지 않는 브라우저에서 액세스를 선택하고 작업을 감사 전용으로 설정합니다.
- + 중요한 서비스 도메인에 대해 다른 제한 사항 선택을 선택한 다음 그룹 추가를 선택합니다.
- 중요한 서비스 도메인 그룹 선택 플라이아웃에서 원하는 중요한 서비스 도메인 그룹을 선택하고 추가를 선택한 다음 저장을 선택합니다.
- 모든 앱에 대한 파일 작업에서 모니터링하거나 제한하려는 사용자 활동과 해당 활동에 대한 응답으로 DLP가 수행할 작업을 선택합니다.
- 규칙 만들기를 완료하고 저장 을 선택한 다음 , 다음을 선택합니다.
- 확인 페이지에서 완료를 선택합니다.
- 정책 모드 페이지에서 바로 켜기를 선택합니다. 다음을 선택한 다음 제출을 선택합니다.
시나리오 6: 중요한 서비스 도메인에서 사용자 활동 모니터링 또는 제한
이 시나리오는 전체 디렉터리 정책을 만드는 무제한 관리자를 위한 것입니다.
웹 사이트에서 다음 사용자 활동을 감사하거나 차단하려는 경우 이 시나리오를 사용합니다.
- 웹사이트에서 인쇄
- 웹사이트에서 데이터 복사
- 웹 사이트를 로컬 파일로 저장
참고
지원되는 웹 브라우저는 다음과 같습니다.
- Microsoft Edge
- Chrome(Chrome용 Microsoft Purview 확장이 설치됨)
- Firefox(Firefox용 Microsoft Purview 확장이 설치됨)
중요한 서비스 도메인 구성
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft Purview 포털>데이터 손실 방지>설정(왼쪽 위 모서리의 기어 아이콘) >데이터 손실 방지>엔드포인트 설정>브라우저 및 중요한 데이터>서비스 도메인에 대한 도메인 제한에 로그인합니다.
서비스 도메인을차단으로 설정합니다.
중요한 파일을 특정 도메인에 업로드할 수 있는지 여부를 제어하려면 클라우드 서비스 도메인 추가를 선택합니다.
감사하거나 차단할 도메인을 입력하고 단추를 선택합니다 + . 추가 도메인에 대해 반복합니다. 저장을 선택합니다.
중요한 서비스 도메인 그룹에서중요한 서비스 도메인 그룹 만들기를 선택합니다.
그룹에 이름을 지정하고 원하는 일치 유형 ( URL, IP 주소, IP 주소 범위에서 선택할 수 있음)을 선택하고 감사 또는 차단할 URL, IP 주소 또는 IP 주소 범위를 입력합니다. URL을 일치시키는 경우 그룹에 여러 웹 사이트를 추가하고 와일드카드를 사용하여 하위 도메인을 처리할 수 있습니다. 예를 들어
www.contoso.com
최상위 웹 사이트 또는 corp.contoso.com *.contoso.com hr.contoso.com fin.contoso.com.저장을 선택합니다.
왼쪽 탐색 창에서 데이터 손실 방지>정책을 선택합니다.
디바이스 위치에만 적용되는 정책을 만들고 scope. 정책을 만드는 방법에 대한 자세한 내용은 데이터 손실 방지 정책 만들기 및 배포 를 참조하세요. 관리 단위를 전체 디렉터리에scope 합니다.
사용자가 Edge에서 중요한 사이트에 액세스한 조건과 사용자가 Windows 디바이스의 Microsoft Edge 브라우저에서 중요한 사이트에 액세스할 때 작업 감사 또는 제한 작업을 사용하는 규칙을 만듭니다.
작업에서 중요한 사이트 제한에서 중요한 사이트그룹 추가 또는 제거를 선택합니다.
원하는 중요한 사이트 그룹을 만들고/또는 선택합니다. 여기에서 선택한 그룹 아래의 모든 웹 사이트는 Chrome 또는 Firefox에서 열면 Microsoft Edge로 리디렉션됩니다(Microsoft Purview 확장이 설치된 경우).
추가를 선택합니다.
모니터링하거나 제한하려는 사용자 활동과 해당 활동에 대한 응답으로 Microsoft Purview에서 수행할 작업을 선택합니다.
규칙 및 정책 구성을 완료하고 제출 을 선택한 다음 완료를 선택합니다.
시나리오 7: 중요한 콘텐츠를 브라우저에 붙여넣기 제한
이 시나리오는 사용자가 Microsoft Edge, Google Chrome(Microsoft Purview 확장 포함) 및 Mozilla Firefox(Microsoft Purview 확장 포함)를 비롯한 브라우저의 브라우저 웹 양식 또는 필드에 중요한 콘텐츠를 붙여넣지 못하도록 제한하는 것입니다.
중요
디바이스의 파일 활동에 대한 증거 수집을 구성했고 디바이스의 맬웨어 방지 클라이언트 버전이 4.18.23110보다 오래된 경우 이 시나리오를 구현할 때 중요한 콘텐츠를 브라우저에 붙여넣기 제한에서 경고 세부 정보에서 원본 파일을 보려고 할 때 임의의 문자가 표시됩니다. 실제 원본 파일 텍스트를 보려면 파일을 다운로드해야 합니다.
DLP 정책 만들기
데이터를 브라우저에 붙여넣지 못하도록 차단하는 경우 다양한 수준의 적용을 설정할 수 있습니다. 이렇게 하려면 다른 URL 그룹을 만듭니다. instance 경우 사용자에게 모든 웹 사이트에 미국 SSN(사회 보장 번호)을 게시하지 않도록 경고하고 그룹 A의 웹 사이트에 대한 감사 작업을 트리거하는 정책을 만들 수 있습니다. 그룹 B의 모든 웹 사이트에 대해 경고 없이 붙여넣기 작업을 완전히 차단하는 다른 정책을 만들 수 있습니다.
URL 그룹 만들기
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft Purview 포털>데이터 손실 방지>설정(왼쪽 위 모서리의 기어 아이콘) >데이터 손실 방지>엔드포인트 설정에 로그인하고 브라우저 및 도메인 제한에서 중요한 데이터에 대한 아래로 스크롤합니다. 섹션을 확장합니다.
중요한 서비스 도메인 그룹으로 아래로 스크롤합니다.
중요한 서비스 도메인 그룹 만들기를 선택합니다.
- 그룹 이름을 입력합니다.
- 중요한 서비스 도메인 필드에 모니터링할 첫 번째 웹 사이트의 URL을 입력한 다음 사이트 추가를 선택합니다.
- 이 그룹에서 모니터링하려는 나머지 웹 사이트에 대한 URL을 계속 추가합니다.
- 그룹에 모든 URL 추가가 완료되면 저장을 선택합니다.
필요한 만큼 개별 URL 그룹을 만듭니다.
브라우저에 콘텐츠 붙여넣기 제한
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft Purview 포털>데이터 손실 방지>정책에 로그인합니다.
디바이스로 범위가 지정된 DLP 정책을 만듭니 다. DLP 정책을 만드는 방법에 대한 자세한 내용은 데이터 손실 방지 정책 만들기 및 배포를 참조하세요.
DLP 정책 만들기 흐름의 정책 설정 정의 페이지에서고급 DLP 규칙 만들기 또는 사용자 지정 을 선택한 다음 , 다음을 선택합니다.
고급 DLP 규칙 사용자 지정 페이지에서 규칙 만들기를 선택합니다.
규칙의 이름과 설명을 입력합니다.
조건을 확장하고 조건 추가를 선택한 다음 중요한 정보 유형을 선택합니다.
콘텐츠 포함에서 아래로 스크롤하여 이전에 선택하거나 만든 새 중요한 정보 유형을 선택합니다.
작업 섹션까지 아래로 스크롤하고 작업 추가를 선택합니다.
디바이스에서 감사 또는 제한 활동 선택
작업 섹션의 서비스 도메인 및 브라우저 활동에서 지원되는 브라우저에 붙여넣기를 선택합니다.
제한을 감사, 재정의로 차단 또는 차단으로 설정한 다음 추가를 선택합니다.
저장을 선택합니다.
다음을 선택합니다.
정책을 테스트할지, 즉시 켜거나, 끌지 여부를 선택한 다음, 다음을 선택합니다.
Choose Submit.
중요
사용자가 웹 페이지에 텍스트를 붙여넣으려고 할 때와 시스템에서 분류를 완료하고 응답하는 시점 사이에 짧은 시간 지연이 있을 수 있습니다. 이 분류 대기 시간이 발생하는 경우 Edge에 정책 평가 및 검사 완료 알림이 표시되거나 Chrome 및 Firefox의 정책 평가 알림이 모두 표시 될 수 있습니다. 알림 수를 최소화하기 위한 몇 가지 팁은 다음과 같습니다.
- 대상 웹 사이트에 대한 정책이 해당 사용자의 브라우저에 붙여넣기를 재정의하여 차단 또는 차단 으로 구성된 경우 알림이 트리거됩니다. 전체 작업을 감사 로 설정하도록 구성한 다음 예외를 차단으로 사용하여 대상 웹 사이트를 나열할 수 있습니다. 또는 전체 작업을 차단 으로 설정한 다음 예외를 감사로 사용하여 보안 웹 사이트를 나열할 수 있습니다.
- 최신 맬웨어 방지 클라이언트 버전을 사용합니다.
- 최신 Edge 브라우저 버전, 특히 Edge 120을 사용합니다.
- 이러한 Windows KB 설치
시나리오 8: 권한 부여 그룹
이 시나리오는 전체 디렉터리 정책을 만드는 무제한 관리자를 위한 것입니다.
이 시나리오에서는 이미 장치가 온보딩되어 활동 탐색기에 보고되어 있어야 합니다. 아직 장치를 온보딩하지 않은 경우 끝점 데이터 손실 방지(미리 보기)를 참조하세요.
권한 부여 그룹은 대부분 허용 목록으로 사용됩니다. 전역 정책 작업과 다른 그룹에 정책 작업을 할당했습니다. 이 시나리오에서는 프린터 그룹을 정의한 다음 그룹의 프린터를 제외한 모든 인쇄 활동에 대한 차단 작업을 사용하여 정책을 구성하는 방법을 살펴봅니다. 이러한 절차는 제거 가능한 스토리지 디바이스 그룹 및 네트워크 공유 그룹에 대해 기본적으로 동일합니다.
이 시나리오에서는 법률 부서에서 인쇄 계약에 사용하는 프린터 그룹을 정의합니다. 다른 프린터에 대한 인쇄 계약이 차단됩니다.
프린터 그룹 만들기 및 사용
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft Purview 포털>데이터 손실 방지>설정(왼쪽 위 모서리의 기어) >데이터 손실 방지>엔드포인트 설정>프린터 그룹에 로그인합니다.
프린터 그룹 만들기를 선택하고 그룹 이름을 입력합니다. 이 시나리오에서는 를 사용합니다
Legal printers
.프린터 추가를 선택하고 이름을 입력합니다. 다음을 통해 프린터를 정의할 수 있습니다.
- 친숙한 프린터 이름
- USB 제품 ID
- USB 공급업체 ID
- IP 범위
- 파일에 인쇄
- 프린터에 배포된 유니버설 인쇄
- 회사 프린터
- 로컬로 인쇄
닫기를 선택합니다.
정책 인쇄 작업 구성
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft Purview 포털에 로그인합니다.
데이터 손실 방지>정책으로 이동합니다.
정책 만들기를 선택하고 범주에서 사용자 지정을 선택한 다음, 규정에서 사용자 지정 정책 템플릿을 선택합니다.
새 정책에 이름 및 설명을 지정합니다.
관리 단위에서 기본 전체 디렉터리를 적용합니다.
위치의 범위를 디바이스 위치로만 지정 합니다 .
다음 값을 사용하여 규칙을 만듭니다.
- 조건 추가: 콘텐츠에 = 학습 가능한 분류자, 법률 업무가 포함되어 있습니다.
- 작업 = 디바이스에서 활동 감사 또는 제한
- 그런 다음 모든 앱에서 파일 활동을 선택합니다.
- 특정 활동에 제한 적용을 선택합니다.
- 인쇄 = 블록 선택
다른 인쇄 제한 선택 선택
프린터 그룹 제한에서그룹 추가를 선택하고 법적 프린터를 선택합니다.
작업 = 허용을 설정합니다.
팁
허용 작업은 감사 로그에 이벤트를 기록하고 감사하지만 경고 또는 알림을 생성하지는 않습니다.
저장을 선택한 다음, 다음을 선택합니다.
기본 시뮬레이션 모드에서 정책 실행 값을 적용하고, 시뮬레이션 모드에서 정책 팁 표시를 선택합니다. 다음을 선택합니다.
설정을 검토하고 제출을 선택합니다.
새 DLP 정책이 정책 목록에 나타납니다.
시나리오 9: 네트워크 예외
이 시나리오는 전체 디렉터리 정책을 만드는 무제한 관리자를 위한 것입니다.
이 시나리오에서는 이미 디바이스를 온보딩하고 활동 탐색기에 보고해야 합니다. 아직 장치를 온보딩하지 않은 경우 끝점 데이터 손실 방지(미리 보기)를 참조하세요.
이 시나리오에서는 하이브리드 작업자가 organization 리소스에 액세스하는 데 사용하는 VPN 목록을 정의합니다.
네트워크 예외 만들기 및 사용
네트워크 예외를 사용하면 사용자가 파일에 액세스하는 네트워크에 따라 허용, 감사 전용, 재정의로 차단 및 파일 활동에 대한 작업 차단을 구성할 수 있습니다. 정의한 VPN 설정 목록에서 선택하고 회사 네트워크 옵션을 사용할 수 있습니다. 작업은 이러한 사용자 활동에 개별적으로 또는 집단적으로 적용할 수 있습니다.
- 클립보드에 복사
- USB 이동식 디바이스에 복사
- 네트워크 공유에 복사
- 인쇄
- 허용되지 않는 Bluetooth 앱을 사용하여 복사 또는 이동
- RDP를 사용하여 복사 또는 이동
서버 주소 또는 네트워크 주소 가져오기
DLP 모니터링 Windows 디바이스에서 관리자 권한으로 Windows PowerShell 창을 엽니다.
다음 cmdlet을 실행합니다.
Get-VpnConnection
이 cmdlet을 실행하면 여러 필드와 값이 반환됩니다.
ServerAddress 필드를 찾아 해당 값을 기록합니다. VPN 목록에서 VPN 항목을 만들 때 사용합니다.
이름 필드를 찾아 해당 값을 기록합니다. VPN 목록에서 VPN 항목을 만들 때 이름 필드는 네트워크 주소 필드에 매핑됩니다.
디바이스가 회사 네트워크를 통해 연결되어 있는지 확인
DLP 모니터링 Windows 디바이스에서 관리자 권한으로 Windows PowerShell 창을 엽니다.
다음 cmdlet을 실행합니다.
Get-NetConnectionProfile
NetworkCategory 필드가 DomainAuthenticated이면 디바이스가 회사 네트워크에 연결됩니다. 다른 경우 디바이스의 연결은 회사 네트워크를 통해서가 아닙니다.
VPN 추가
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft Purview 포털에 로그인합니다.
설정>데이터 손실 방지>엔드포인트 설정VPN 설정을> 엽니다.
VPN 주소 추가 또는 편집을 선택합니다.
Get-VpnConnection 실행에서 서버 주소 또는 네트워크 주소를 제공합니다.
저장을 선택합니다.
항목을 닫습니다.
정책 작업 구성
사용 중인 포털에 해당하는 탭을 선택합니다. Microsoft Purview 포털에 대해 자세히 알아보려면 Microsoft Purview 포털을 참조하세요. 규정 준수 포털에 대한 자세한 내용은 Microsoft Purview 규정 준수 포털을 참조하세요.
Microsoft Purview 포털에 로그인합니다.
데이터 손실 방지>정책을 엽니다.
정책 만들기를 선택하고 범주에서 사용자 지정을 선택한 다음, 규정에서 사용자 지정 정책 템플릿을 선택합니다.
새 정책의 이름을 지정하고 설명을 제공합니다.
관리 단위에서 전체 디렉터리를 선택합니다.
위치 범위를 디바이스로만 지정 합니다 .
다음 위치에 규칙을 만듭니다.
- 콘텐츠 포함 = 학습 가능한 분류자, 법률 업무
- 작업 = 디바이스에서 활동 감사 또는 제한
- 그런 다음 모든 앱에서 파일 활동을 선택합니다.
- 특정 활동에 제한 적용을 선택합니다.
- 네트워크 예외를 구성하려는 작업을 선택합니다.
클립보드에 복사 및 감사 전용 작업 선택
클립보드 제한에 대한 다른 복사본 선택을 선택합니다.
VPN을 선택하고 재정의를 사용하여 차단으로 작업을 설정합니다.
중요
VPN을 통해 연결된 사용자의 활동을 제어하려면 VPN을 선택하고 VPN을 네트워크 예외 구성에서 최우선 순위로 설정해야 합니다. 그렇지 않으면 회사 네트워크 옵션을 선택하면 회사 네트워크 항목에 대해 정의된 작업이 적용됩니다.
주의
모든 활동에 적용 옵션은 여기에 정의된 네트워크 예외를 복사하여 인쇄 및 네트워크 공유에 복사와 같이 구성된 다른 모든 특정 활동에 적용합니다. 이렇게 하면 마지막으로 저장된 구성이 우선하는 다른 활동에 대한 네트워크 예외가 덮어씁니다.
저장합니다.
기본 시뮬레이션 모드에서 정책 실행 값을 적용하고 시뮬레이션 모드에 있는 동안 정책 팁 표시를 선택합니다. 다음을 선택합니다.
설정을 검토하고 제출 을 선택한 다음 완료를 선택합니다.
새 DLP 정책이 정책 목록에 나타납니다.