EDP(엔터프라이즈 데이터 보호) 개요

  • 아티클

[일부 정보는 상업용으로 출시되기 전에 상당 부분 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에 제공된 정보에 대해 명시적 또는 묵시적 보증을 하지 않습니다.]

엔터프라이즈에서 직원 소유 디바이스가 증가하면서 메일, 소셜 미디어, 공용 클라우드 등 엔터프라이즈의 제어 범위를 벗어나는 앱 및 서비스를 통해 실수로 데이터가 공개되는 위험도 증가하고 있습니다.

대부분의 기존 솔루션에서는 직원에게 개인과 회사 컨테이너 및 앱 간을 전환하도록 하여 사용자 환경의 최적화 수준을 저하시키는 방식으로 이 문제를 해결하려고 합니다. 기능 코드 이름 EDP(엔터프라이즈 데이터 보호)에서는 더 나은 사용자 환경을 제공하는 동시에 환경이나 앱을 변경할 필요 없이 회사와 개인용 장치 전체에서 엔터프라이즈 앱과 데이터를 더 잘 구분하고 공개 위험으로부터 보호하는 데 도움을 줍니다. 또한 EDP를 RMS(권한 관리 서비스)와 함께 사용하면 엔터프라이즈 데이터를 로컬에서 보호하여 데이터가 로밍되거나 공유되는 경우에도 보호를 유지할 수 있습니다.

EDP의 이점

EDP에는 다음과 같은 이점이 있습니다.

  • 직원의 일반적인 작업 방법에 대한 영향은 최소화하면서 엔터프라이즈 데이터 누출로부터 추가 보호 제공.

  • 직원이 환경이나 앱을 전환할 필요 없이 개인 및 회사 데이터를 명확하게 구분.

  • 앱을 업데이트할 필요 없이 기존 LOB(기간 업무) 앱에 대한 추가 데이터 보호 제공.

  • 장치에서 개인 데이터만 유지하고 회사 데이터를 지우는 기능 제공.

  • 문제 및 수정 조치를 추적하는 데 감사 보고서 사용.

  • 기존 관리 시스템(Microsoft Intune, System Center Configuration Manager(버전 1511 이상) 또는 현재 MDM(모바일 디바이스 관리) 시스템)과의 통합으로 회사에 적합한 EDP 구성, 배포 및 관리.

  • Outlook을 통해 암호화된 콘텐츠를 공유하거나 암호화된 파일을 USB 키로 이동하는 경우와 같이 로밍하거나 공유하는 동안에도 RMS 통합을 통해 데이터에 대한 추가 보호 제공.

  • MDM 솔루션을 사용하는 Windows 10 장치에서 Office 유니버설 앱을 관리하여 회사 데이터를 보호하는 기능 제공. Android 및 iOS 장치용 Office 모바일 앱을 관리하려면 여기에서 기술 리소스를 참조하세요.

필수 조건

엔터프라이즈에서 EDP를 실행하려면 다음 소프트웨어가 필요합니다.

운영 체제 관리 솔루션
Windows 10

  • Intune

    -또는-

  • Configuration Manager(버전 1511 이상)

    -또는-

  • 현재 전사적 MDM 솔루션

 

엔터프라이즈 시나리오

EDP는 현재 다음과 같은 엔터프라이즈 시나리오를 해결합니다.

  • 직원 소유 및 회사 소유 장치에서 엔터프라이즈 데이터를 암호화할 수 있습니다.

  • 직원 소유 컴퓨터를 포함하여 관리 컴퓨터에서 개인 데이터에 영향을 주지 않고 원격으로 엔터프라이즈 데이터를 지울 수 있습니다.

  • 직원이 명확하게 인식할 수 있는 엔터프라이즈 데이터에 액세스할 수 있는 특정 앱(“권한 있는 앱")을 선택할 수 있습니다. 권한 없는 앱이 엔터프라이즈 데이터에 액세스하는 것을 차단할 수도 있습니다.

  • 엔터프라이즈 정책이 적용되는 동안에는 직원이 개인 앱과 엔터프라이즈 앱을 전환할 때 작업을 중단할 필요가 없습니다. 환경을 전환하거나 여러 번 로그인할 필요가 없습니다.

EDP 작동 방식

EDP를 사용하면 엔터프라이즈의 일상적인 문제를 해결할 수 있습니다. 다음과 같은 경우에도 도움이 됩니다.

  • 엄격한 데이터 보호 정책으로 인해 원치 않는 직원 환경을 처리합니다.

  • 엔터프라이즈 데이터의 개인 정보를 유지 관리합니다.

  • 정책을 인식하지 않는 앱, 특히 모바일 장치에서 이러한 앱을 관리합니다.

  • 직원 소유 디바이스를 잠글 수 없어 엔터프라이즈 데이터가 실수로 릴리스될 수 있는 문제를 처리합니다.

보호 모드

EDP는 네 가지 보호 모드 중 하나로 설정할 수 있습니다.

  • 차단. EDP에서 부적절한 데이터 공유를 찾아 직원이 작업을 완료할 수 없도록 중지합니다.

  • 재정의. EDP에서 부적절한 데이터 공유를 찾아 직원이 부적절한 작업을 수행할 수 있는지 여부를 확인할 수 있도록 합니다. 그러나 이 보호 모드를 통해 직원은 정책을 재정의하고 데이터를 공유하면서 작업 감사 로그에 작업을 로그할 수 있습니다.

  • 감사. EDP는 자동으로 실행되며 어떤 항목도 차단하지 않고 부적절한 데이터 공유를 로그합니다.

  • 끄기. EDP가 활성 상태가 아니며 데이터를 보호하지 않습니다.

우수한 직원 환경

EDP에서는 직원이 회사 데이터를 보호하기 위해 앱을 전환할 필요가 없는 우수한 사용자 환경을 제공합니다. 예를 들어 직원은 Microsoft Outlook에서 메일을 확인하면서 개인 메시지를 받을 수 있습니다. Outlook을 종료하는 대신 작업 메시지와 개인 메시지가 화면에 나란히 표시됩니다.

EDP 보호 변경

문서가 엔터프라이즈로 잘못 표시된 경우 직원은 엔터프라이즈 데이터 보호 문서를 개인으로 다시 변경할 수 있습니다. 그러나 이렇게 하려면 직원이 작업을 수행해야 하며 검토를 위해 감사되고 로깅됩니다.

엔터프라이즈 데이터 보안

엔터프라이즈 관리자는 회사 데이터의 보안 및 기밀을 유지 관리해야 합니다. EDP를 사용하면 직원 소유 컴퓨터에서 직원이 적극적으로 사용하지 않는 경우에도 회사 데이터를 보호할 수 있습니다. 이런 경우 직원이 관리되는 장치에서 처음으로 콘텐츠를 만들 때 작업 문서인지를 묻습니다. 작업 문서일 경우 엔터프라이즈 데이터로 로컬에서 보호됩니다.

장치에서 엔터프라이즈 데이터 원격으로 지우기

또한 EDP에서는 직원이 관리하고 사용하는 모든 장치에서 개인 데이터만 유지하고 회사 데이터를 원격으로 지우는 기능을 제공합니다. 이 기능은 직원이 퇴사하거나 컴퓨터를 도난당하는 경우에 유용합니다.

이런 경우 문서는 로컬에 저장되고 엔터프라이즈 ID로 암호화됩니다. 장치를 지워야 하는지를 확인하면 모바일 장치 관리 시스템을 통해 원격 지우기 명령을 보내므로 장치가 네트워크에 연결되면 암호화 키가 해지되고 엔터프라이즈 데이터가 제거됩니다. 이 작업은 명령의 대상으로 지정된 장치에만 영향을 줍니다. 다른 모든 장치는 계속 정상적으로 작동합니다.

엔터프라이즈 데이터 복사 또는 다운로드

SharePoint나 네트워크 파일 공유와 같은 위치 또는 Office365.com과 같은 엔터프라이즈 웹 위치에서 콘텐츠를 다운로드하면 해당 콘텐츠는 엔터프라이즈 데이터로 자동으로 결정되고 암호화되지만 로컬에 저장됩니다. USB 드라이브 같은 위치에 엔터프라이즈 데이터를 복사하는 경우에도 마찬가지입니다. 콘텐츠가 이미 엔터프라이즈 데이터로 로컬에 표시되므로 새 장치에서도 암호화가 유지됩니다.

권한 있는 앱 및 제한 사항

EDP를 사용하여 "권한 있는 앱"으로 지정된 앱 또는 엔터프라이즈 데이터에 액세스하여 사용할 수 있는 앱 집합을 제어할 수 있습니다. 앱을 권한 있는 앱 목록에 추가하면 해당 앱에서 엔터프라이즈 데이터를 사용할 수 있습니다. 이 목록에 없는 모든 앱은 개인용으로 처리되며 EDP 보호 모드에 따라 회사 데이터에 액세스하는 것이 차단될 수 있습니다.

참고로 기존 LOB(기간 업무) 앱은 권한 있는 앱으로 포함되도록 변경할 필요가 없으며, 목록에 포함하기만 하면 됩니다.

권한 있는 앱 사용

권한 있는 앱은 엔터프라이즈 데이터에 액세스하도록 허용되며 다른 권한 없는 앱 또는 개인 앱과 다르게 반응합니다. 예를 들어 EDP 보호 모드를 차단하도록 설정하면 권한 있는 앱을 통해 사용자가 개인 앱이 아닌 다른 권한 있는 앱 간에 정보를 복사하여 붙여넣을 수 있습니다. 권한 있는 앱에서 직업 설명을 구인 웹 사이트, 엔터프라이즈 보호 위치에 복사하려고 하는 인사 담당자가 실수로 개인 앱에 대신 붙여넣는 경우를 가정해 보세요. 붙여넣기 작업이 실패하고 정책 제한으로 인해 붙여넣을 수 없다는 알림이 팝업으로 표시됩니다. 그러면 인사 담당자가 구인 웹 사이트에 올바르게 붙여넣고 문제없이 작동하게 됩니다.

데이터 액세스 수준 결정

EDP에서는 직원의 데이터 공유 작업을 차단하거나, 재정의를 허용하거나, 감사하도록 결정할 수 있습니다. 작업을 차단하면 바로 중지되는 반면 재정의를 허용하면 문제가 있음을 직원에게 알리지만 직원이 정보를 계속 공유할 수 있으며 감사를 통해서만 작업을 중지하지 않고 로깅하여 부적절한 공유 패턴을 확인하고 수정 조치를 취할 수 있습니다.

영구적 데이터 암호화

EDP에서는 로밍하는 경우에도 엔터프라이즈 데이터 보호를 유지할 수 있습니다. Office 및 OneNote와 같은 앱에서는 EDP를 사용하여 위치 및 서비스와 관계없이 데이터 암호화를 유지할 수 있습니다. 예를 들어 직원이 EDP 암호화 Outlook에서 콘텐츠를 열어 편집한 다음 편집된 버전을 다른 이름으로 저장하여 암호화를 제거하려고 하면 작동하지 않습니다. Outlook에서 자동으로 새 문서에 EDP를 적용하여 데이터 암호화를 그대로 유지합니다.

공공장소에 실수로 데이터 노출 방지

EDP를 사용하면 공용 클라우드와 같은 공공장소에서 실수로 엔터프라이즈 데이터가 공유되지 않도록 보호할 수 있습니다. 예를 들어 직원이 문서 폴더에 콘텐츠를 저장하여 OneDrive(권한 있는 목록의 앱)와 자동으로 동기화되면 문서가 로컬에서 암호화되고 사용자의 개인 클라우드로 동기화되지 않습니다. 마찬가지로 Dropbox™와 같은 다른 동기화 앱이 권한 있는 목록에 없는 경우에도 암호화된 파일을 사용자의 개인 클라우드로 동기화할 수 없습니다.

다른 장치에 실수로 데이터 노출 방지

EDP를 사용하면 장치 간에 전송하거나 이동하는 동안 엔터프라이즈 데이터가 다른 장치에 노출되지 않도록 보호할 수 있습니다. 예를 들어 직원이 개인 데이터도 포함하는 회사 데이터를 USB 키에 저장하면 개인 정보가 열려 있는 경우에도 회사 데이터는 암호화된 상태로 유지됩니다. 또한 직원이 암호화된 콘텐츠를 회사에서 관리하는 다른 장치에 다시 복사하는 경우에도 암호화가 계속됩니다.

중요  EDP는 장치 암호화 정책과 함께 SD 카드에서 파일별 암호화도 지원합니다. 암호화된 데이터에 액세스하려면 EDP 정책 설정 중 RMS를 설정해야 합니다.

 

EDP 끄기

모든 엔터프라이즈 데이터 보호 및 제한을 끄면 데이터 손실 없이 EDP 이전 위치로 되돌릴 수 있습니다. 그러나 EDP를 끄지 않는 것이 좋습니다. EDP를 끄면 언제든지 다시 켤 수 있지만 EDP에 암호 해독 및 정책 정보가 유지되지 않습니다.