Taylor 365
[AIP] Azure Information Protection Super User 구성 본문
AIP Super User는 레이블 템플릿 또는 레이블 정책에 대해 명시적인 권한 할당이 없거나 게시 대상자가 아니더라도 AIP가 적용된 조직 데이터에 액세스하고 필요한 경우 암호화를 제거하거나 변경할 수 있는 권한을 가진 사용자입니다.
https://learn.microsoft.com/en-us/azure/information-protection/configure-super-users
Configure super users for Azure Rights Management - AIP
Understand and implement the super user feature of the Azure Rights Management service from Azure Information Protection, so that authorized people and services can always read and inspect ("reason over") your organization's protected data.
learn.microsoft.com
AIP Super User 기능은 테넌트에서 기본적으로 활성화 되지 않으므로 PowerShell을 통해 관리자가 활성화를 진행해야 합니다.
1. AIP Super User 구성 활성화
Connect-AIPService
Enable-AipServiceSuperUserFeature
2. 사용자 또는 그룹에 대해 슈퍼 유저 권한 할당
Add-AipServiceSuperUser -EmailAddress "EvanNarvaez@Contoso.com"
또는
Set-AipServiceSuperUserGroup -GroupEmailAddress "SuperUserGroup@contoso.com"
* Tip
일반적으로 관리 측면에서 보면 그룹에 Super User 권한을 할당하는 것이 좋겠으나 해당 기능의 권한은 성능 상의 이유로 그룹 구성원 자격을 최대 3시간 간격으로 캐시합니다.따라서 콘텐츠를 즉시 복호화 해야 하는 경우 그룹 구성원 추가보다는 “사용자 권한” 할당을 통해 진행하는 것이 나은 방법입니다.
3. 슈퍼 유저 및 그룹 구성원 확인
Get-AipServiceSuperUser
Get-AipServiceSuperUserGroup
AIP Super User는 자신이 레이블 템플릿에 대한 권한이 없거나 레이블 정책 게시 대상자가 아님에도 테넌트에서 관리되는 모든 AIP 레이블에 대해 액세스가 가능합니다.
예를 들어 다음과 같이 "기밀" 레이블에 대한 권한이 없더라도 액세스 할 수 있습니다.
* haaduser@m365world.co.kr 사용자는 기밀 레이블 템플릿에 대한 권한 없음.
* haaduser@m365world.co.kr 사용자는 기밀 레이블 정책의 대상자가 아님.
* haaduser@m365world.co.kr 사용자는 자신이 권한이 없고 게시 대상자가 아님에도 "기밀" 레이블이 적용된 Office 파일 액세스 가능
* 액세스 뿐만 아니라 "민감도" 옵션에서 "기밀" 레이블이 나타나 레이블을 제거할 수도 있음.
* 레이블 제거 진행 (아래 나오는 팝업은 레이블 정책 중 "레이블을 제거하거나 해당 분류를 낮추려면 사유를 제공해야 합니다." 옵션이 활성화 된 경우 나타나며 해당 옵션을 활성화 하지 않은 경우 팝업 발생 없이 레이블이 제거됩니다.)
* 레이블 제거 시 "민감도" 옵션에서 "기밀" 레이블 사라짐.
* 레이블 표시 줄은 남아 있지만 실제로는 레이블이 제거된 상태이므로 Office 파일을 저장하고 다시 오픈하게 되면 정상적으로 레이블이 제거된 것을 볼 수 있습니다.
* 레이블 제거 됨.
또한 PowerShell을 통해 루트 드라이브에서도 일괄 제거를 진행할 수 있습니다. / AIP UL Client 설치 필수
내부에서 사용하는 타사 DRM이 있다면 솔루션에 따라 DRM을 선 제거하고 진행해야 하는 경우도 있으니 참고해주세요.
#관리자 권한으로 PowerShell 실행 후 아래 명령어 입력
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
#Exchange Online 모듈 설치 및 가져오기
Install-Module -Name ExchangeOnlineManagement
Import-Module -Name ExchangeOnlineManagement
#보안 및 준수 센터 PowerShell 연결
Connect-IPPSSession
#AIP 파일에 대해 레이블 제거 진행 (예시이며, JustificationMessage 정책이 없다면 제외해도 됩니다.)
Set-AIPFileLabel -Path “D:\" -RemoveLabel -JustificationMessage 'The previous label no longer applies’
'Microsoft 365' 카테고리의 다른 글
| [Hybrid Azure AD] Hybrid Azure AD Join PC "보류 중" 상태 해결 방법 (0) | 2023.09.07 |
|---|---|
| [Microsoft365] OneDrive 자동 액세스 위임 구성 (0) | 2023.09.07 |
| [AADC] AADC 자동 업그레이드 활성화/비활성화 방법 (0) | 2023.09.07 |
| [Hybrid Azure AD] Hybrid Azure AD Join 구성 (0) | 2023.09.07 |
| [Exchange Online] 민감도 레이블이 적용되지 않은 파일 첨부 시 발송 차단 규칙 만들기 (0) | 2023.09.07 |
