AIP(Azure Information Protection) 통합 레이블 지정 스캐너 구성 및 설치

참고

Azure Information Protection 통합 레이블 지정 스캐너의 이름이 스캐너로 Microsoft Purview Information Protection. 동시에 구성(현재 미리 보기 상태)이 Microsoft Purview 규정 준수 포털 이동합니다. 현재 Azure Portal 및 규정 준수 포털 모두에서 스캐너를 구성할 수 있습니다. 이 문서의 지침은 두 관리 포털을 모두 참조하세요.

이 문서에서는 Azure Information Protection 통합 레이블 지정, 온-프레미스 스캐너를 구성하고 설치하는 방법을 설명합니다.

대부분의 고객은 관리 포털에서 이러한 절차를 수행하지만 PowerShell에서만 작업해야 할 수 있습니다.

예를 들어 Azure 중국 21Vianet 스캐너 서버와 같이 관리 포털에 액세스하지 않고 환경에서 작업하는 경우 PowerShell을 사용하여 스캐너 구성의 지침을 따릅니다.

개요

시작하기 전에 시스템이 필수 구성 요소를 준수하는지 확인합니다.

Azure Portal을 사용하려면 다음 단계를 사용합니다.

  1. 스캐너 설정 구성

  2. 스캐너 설치

  3. 스캐너에 대한 Azure AD 토큰 가져오기

  4. 분류 및 보호를 적용하도록 스캐너 구성

그런 다음 시스템에 필요한 대로 아래 구성 절차를 수행합니다.

절차 Description
보호할 파일 형식 변경 기본 파일 형식과 다른 파일 형식을 검사, 분류 또는 보호할 수 있습니다. 자세한 내용은 AIP 검사 프로세스를 참조하세요.
스캐너 업그레이드 스캐너를 업그레이드하여 최신 기능 및 개선 사항을 사용합니다.
데이터 리포지토리 설정을 대량으로 편집 가져오기 및 내보내기 옵션을 사용하여 여러 데이터 리포지토리에 대해 대량으로 변경합니다.
대체 구성으로 스캐너 사용 조건을 사용하여 레이블을 구성하지 않고 스캐너 사용
성능 최적화 스캐너 성능을 최적화하기 위한 지침

관리 포털에서 스캐너 페이지에 액세스할 수 없는 경우 PowerShell에서만 스캐너 설정을 구성합니다. 자세한 내용은 PowerShell을 사용하여 스캐너 구성지원되는 PowerShell cmdlet을 참조하세요.

스캐너 설정 구성

스캐너를 설치하거나 이전의 일반 가용성 버전에서 업그레이드하기 전에 스캐너 설정을 구성하거나 확인합니다.

Microsoft Purview 규정 준수 포털 스캐너를 구성하려면 다음을 수행합니다.

  1. 다음 역할 중 하나를 사용하여 Microsoft Purview 규정 준수 포털 로그인합니다.

    • 규정 준수 관리자
    • 규정 준수 데이터 관리자
    • 보안 관리자
    • 전역 관리자

    그런 다음 설정 창으로 이동합니다.

    설정 창에서 정보 보호 스캐너를 선택합니다.

    Microsoft Purview 규정 준수 포털 내의 정보 보호 스캐너 스크린샷

  2. 스캐너 클러스터를 생성합니다. 해당 클러스터는 검사기를 정의하며 설치, 업그레이드 및 기타 프로세스 중에 검사기 인스턴스를 식별하는 데 사용됩니다.

  3. 콘텐츠 검색 작업을 만들어 검색할 리포지토리를 정의합니다.

Azure Portal에서 스캐너를 구성하려면:

  1. 다음과 같은 역할 중 하나가 할당된 관리자로 Azure Portal에 로그인합니다.

    • 규정 준수 관리자
    • 규정 준수 데이터 관리자
    • 보안 관리자
    • 전역 관리자

    그런 다음, Azure Information Protection 창으로 이동합니다.

    예를 들어 리소스, 서비스 및 문서 검색 상자에서 Information을 입력하고 Azure Information Protection을 선택합니다.

  2. 스캐너 클러스터를 생성합니다. 해당 클러스터는 검사기를 정의하며 설치, 업그레이드 및 기타 프로세스 중에 검사기 인스턴스를 식별하는 데 사용됩니다.

  3. 콘텐츠 검색 작업을 만들어 검색할 리포지토리를 정의합니다.

스캐너 클러스터 생성

Microsoft Purview 규정 준수 포털 스캐너 클러스터를 만들려면 다음을 수행합니다.

  1. 정보 보호 스캐너 페이지의 탭에서 클러스터를 선택합니다.

  2. 클러스터 탭에서 추가 아이콘 추가 선택합니다.

  3. 새 클러스터 창에서 스캐너의 의미 있는 이름과 선택적 설명을 입력합니다.

    클러스터 이름은 스캐너의 구성 및 리포지토리를 식별하는 데 사용됩니다. 예를 들어 유럽을 입력하여 검사하려는 데이터 리포지토리의 지리적 위치를 식별할 수 있습니다.

    나중에 이 이름을 사용하여 스캐너를 설치하거나 업그레이드할 위치를 식별합니다.

  4. 저장을 선택하여 변경 내용을 저장합니다.

Azure Portal 스캐너 클러스터를 만들려면 다음을 수행합니다.

  1. 왼쪽의 스캐너 메뉴에서 클러스터클러스터 아이콘 선택합니다.

  2. Azure Information Protection - 클러스터 창에서 추가 아이콘 선택합니다.

  3. 새 클러스터 추가 창에 스캐너의 의미 있는 이름 및 설명(선택 사항)을 입력합니다.

    클러스터 이름은 스캐너의 구성 및 리포지토리를 식별하는 데 사용됩니다. 예를 들어 유럽을 입력하여 검사하려는 데이터 리포지토리의 지리적 위치를 식별할 수 있습니다.

    나중에 이 이름을 사용하여 스캐너를 설치하거나 업그레이드할 위치를 식별합니다.

  4. 저장 저장 아이콘을 선택하여 변경 내용을 저장합니다.

콘텐츠 검색 작업 만들기

콘텐츠를 심층 분석하여 특정 리포지토리에서 중요한 콘텐츠를 검색합니다.

Microsoft Purview 규정 준수 포털 콘텐츠 스캔 작업을 만들려면 다음을 수행합니다.

  1. 정보 보호 스캐너 페이지의 탭에서 콘텐츠 스캔 작업을 선택합니다.

  2. 콘텐츠 검색 작업 창에서 추가 추가 아이콘을 선택합니다.

  3. 이 초기 구성의 경우 다음 설정을 구성한 다음 저장을 선택합니다.

    설정 Description
    콘텐츠 검색 작업 설정 - 일정: 기본값 수동을 그대로 유지
    - 검색할 정보 유형: 정책만으로 변경
    DLP 정책 데이터 손실 방지 정책을 사용하는 경우 DLP 규칙 사용을기로 설정합니다. 자세한 내용은 DLP 정책 사용을 참조하세요.
    민감도 정책 - 민감도 레이블 지정 정책 적용: 끄기 선택
    - 콘텐츠에 따라 파일에 레이블 지정: 기본값 켜기를 그대로 유지
    - 기본 레이블: 기본값 정책 기본값을 그대로 유지
    - 파일에 레이블 다시 지정: 기본값 끄기를 그대로 유지
    파일 설정 구성 - "수정한 날짜", "마지막으로 수정한 날짜" 및 "수정한 사람": 기본값 켜기를 그대로 유지
    - 검색할 파일 형식: 기본 파일 형식 제외를 그대로 유지
    - 기본 소유자: 기본값 스캐너 계정을 그대로 유지
    - 리포지토리 소유자 설정: DLP 정책을 사용하는 경우에만 이 옵션을 사용합니다.
  4. 저장된 콘텐츠 검색 작업을 열고 리포지토리 탭을 선택하여 검사할 데이터 저장소를 지정합니다.

    SharePoint 온-프레미스 문서 라이브러리 및 폴더에 대한 UNC 경로 및 SharePoint 서버 URL을 지정합니다.

    참고

    SharePoint의 경우 SharePoint Server 2019, SharePoint Server 2016 및 SharePoint Server 2013이 지원됩니다. 이 버전의 SharePoint에 관한 추가 지원을 받는 경우 SharePoint Server 2010도 지원됩니다.

    리포지토리 탭에 있는 동안 첫 번째 데이터 저장소를 추가하려면 다음을 수행합니다.

    1. 리포지토리 창에서 추가를 선택합니다.

    2. 리포지토리 창에서 데이터 리포지토리의 경로를 지정한 다음 저장을 선택합니다.

      • 네트워크 공유에 \\Server\Folder를 사용합니다.
      • SharePoint 라이브러리에 http://sharepoint.contoso.com/Shared%20Documents/Folder를 사용합니다.
      • 로컬 경로: C:\Folder
      • UNC 경로: \\Server\Folder

    참고

    와일드카드는 지원되지 않으며 WebDav 위치도 지원되지 않습니다.

    공유 문서에 대해 SharePoint 경로를 추가하는 경우 다음을 수행합니다.

    • 공유 문서의 모든 문서와 모든 폴더를 검사하려는 경우 경로에 Shared Documents를 지정합니다. 예: http://sp2013/SharedDocuments
    • 공유 문서의 하위 폴더에 있는 모든 문서와 모든 폴더를 검사하려는 경우 경로에 Documents를 지정합니다. 예: http://sp2013/Documents/SalesReports
    • 또는 Sharepoint의 FQDN만 지정합니다. 예: http://sp2013(특정 URL에서 SharePoint 사이트와 하위 사이트를 모두 검색하고 이 URL에서 하위 제목 검색) 이를 사용하도록 하려면 스캐너 사이트 수집기 감사자 권한을 부여합니다.

    이 창의 나머지 설정에 대해 이 초기 구성에 대해 변경하지 말고 콘텐츠 스캔 작업 기본값으로 유지합니다. 기본 설정은 데이터 리포지토리가 콘텐츠 검색 작업의 설정을 상속한다는 것을 의미합니다.

    SharePoint 경로를 추가할 때 다음 구문을 사용합니다.

    경로 Syntax
    루트 경로 http://<SharePoint server name>

    스캐너 사용자에게 허용된 사이트 모음을 포함하여 모든 사이트를 검색합니다.
    루트 콘텐츠를 자동으로 검색하려면 추가 권한이 필요합니다.
    특정 SharePoint 하위 사이트 또는 모음 다음 중 하나
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    사이트 모음 콘텐츠를 자동으로 검색하려면 추가 권한이 필요합니다.
    특정 SharePoint 라이브러리 다음 중 하나
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    특정 SharePoint 폴더 http://<SharePoint server name>/.../<folder name>
  5. 이전 단계를 반복하여 필요한 만큼 리포지토리를 추가합니다.

Azure Portal에서 콘텐츠 검색 작업을 만들려면 다음을 수행합니다.

  1. 왼쪽의 스캐너 메뉴에서 콘텐츠 검색 작업을 선택합니다.

  2. Azure Information Protection - 콘텐츠 검색 작업 창에서 추가 추가 아이콘을 선택합니다.

  3. 이 초기 구성의 경우 다음 설정을 구성한 다음 저장 을 선택하지만 창을 닫지 마세요.

    설정 Description
    콘텐츠 검색 작업 설정 - 일정: 기본값 수동을 그대로 유지
    - 검색할 정보 유형: 정책만으로 변경
    - 리포지토리 구성: 콘텐츠 검색 작업을 먼저 저장해야 하므로 현재 구성하지 마세요.
    DLP 정책 데이터 손실 방지 정책을 사용하는 경우 DLP 규칙 사용을기로 설정합니다. 자세한 내용은 DLP 정책 사용을 참조하세요.
    민감도 정책 - 적용: 끄기 선택
    - 콘텐츠에 따라 파일에 레이블 지정: 기본값 켜기를 그대로 유지
    - 기본 레이블: 기본값 정책 기본값을 그대로 유지
    - 파일에 레이블 다시 지정: 기본값 끄기를 그대로 유지
    파일 설정 구성 - "수정한 날짜", "마지막으로 수정한 날짜" 및 "수정한 사람": 기본값 켜기를 그대로 유지
    - 검색할 파일 형식: 기본 파일 형식 제외를 그대로 유지
    - 기본 소유자: 기본값 스캐너 계정을 그대로 유지
    - 리포지토리 소유자 설정: DLP 정책을 사용하는 경우에만 이 옵션을 사용합니다.
  4. 콘텐츠 검색 작업이 생성되고 저장되었으므로 이제 리포지토리 구성 옵션으로 이동하여 검색할 데이터 저장소를 지정할 수 있습니다.

    SharePoint 온-프레미스 문서 라이브러리 및 폴더에 대한 UNC 경로 및 SharePoint 서버 URL을 지정합니다.

    참고

    SharePoint의 경우 SharePoint Server 2019, SharePoint Server 2016 및 SharePoint Server 2013이 지원됩니다.

    첫 번째 데이터 저장소를 추가하려면 새 콘텐츠 검색 작업 추가 창에서 리포지토리 구성을 선택하여 리포지토리 창을 엽니다.

    Azure Information Protection 스캐너에 대한 데이터 리포지토리를 구성합니다.

    1. 리포지토리 창에서 추가를 선택합니다.

      Azure Information Protection 스캐너에 대한 데이터 리포지토리를 추가합니다.

    2. 리포지토리 창에서 데이터 리포지토리의 경로를 지정한 다음 저장을 선택합니다.

      • 네트워크 공유에 \\Server\Folder를 사용합니다.
      • SharePoint 라이브러리에 http://sharepoint.contoso.com/Shared%20Documents/Folder를 사용합니다.
      • 로컬 경로: C:\Folder
      • UNC 경로: \\Server\Folder

    참고

    와일드카드는 지원되지 않으며 WebDav 위치도 지원되지 않습니다.

    공유 문서에 대해 SharePoint 경로를 추가하는 경우 다음을 수행합니다.

    • 공유 문서의 모든 문서와 모든 폴더를 검사하려는 경우 경로에 Shared Documents를 지정합니다. 예: http://sp2013/SharedDocuments
    • 공유 문서의 하위 폴더에 있는 모든 문서와 모든 폴더를 검사하려는 경우 경로에 Documents를 지정합니다. 예: http://sp2013/Documents/SalesReports
    • 또는 Sharepoint의 FQDN만 지정합니다. 예: http://sp2013(특정 URL에서 SharePoint 사이트와 하위 사이트를 모두 검색하고 이 URL에서 하위 제목 검색) 이를 사용하도록 하려면 스캐너 사이트 수집기 감사자 권한을 부여합니다.

    이 페이지의 나머지 설정에 대해서는 이 초기 설정에서 변경하지 않고 콘텐츠 검색 작업 기본값으로 유지합니다. 기본 설정은 데이터 리포지토리가 콘텐츠 검색 작업의 설정을 상속한다는 것을 의미합니다.

    SharePoint 경로를 추가할 때 다음 구문을 사용합니다.

    경로 Syntax
    루트 경로 http://<SharePoint server name>

    스캐너 사용자에게 허용된 사이트 모음을 포함하여 모든 사이트를 검색합니다.
    루트 콘텐츠를 자동으로 검색하려면 추가 권한이 필요합니다.
    특정 SharePoint 하위 사이트 또는 모음 다음 중 하나
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    사이트 모음 콘텐츠를 자동으로 검색하려면 추가 권한이 필요합니다.
    특정 SharePoint 라이브러리 다음 중 하나
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    특정 SharePoint 폴더 http://<SharePoint server name>/.../<folder name>
  5. 이전 단계를 반복하여 필요한 만큼 리포지토리를 추가합니다.

    완료되면 리포지토리콘텐츠 검색 작업 창을 모두 닫습니다.

Azure Information Protection - 콘텐츠 검색 작업 창으로 돌아가면 수동이 표시되는 일정 열과 함께 콘텐츠 검색 이름이 표시되고 적용 열은 비어 있습니다.

이제 만든 콘텐츠 검색 작업을 사용하여 스캐너를 설치할 수 있습니다. 스캐너 설치를 계속합니다.

스캐너 설치

Azure Information Protection 스캐너를 구성한 후 아래 단계를 수행하여 스캐너를 설치합니다. 이 절차는 PowerShell에서 완벽하게 수행됩니다.

  1. 스캐너를 실행하는 Windows Server 컴퓨터에 로그인합니다. 로컬 관리자 권한이 있고 SQL Server 마스터 데이터베이스에 쓸 수 있는 권한이 있는 계정을 사용합니다.

    중요

    스캐너를 설치하려면 머신에 AIP 통합 레이블 지정 클라이언트가 설치되어 있어야 합니다.

    자세한 내용은 Azure Information Protection 스캐너 설치 및 배포를 위한 사전 요구 사항을 참조하세요.

  2. 관리자 권한으로 실행 옵션을 사용하여 Windows PowerShell 세션을 엽니다.

  3. Azure Information Protection 스캐너에 대한 데이터베이스를 만들 SQL Server 인스턴스와 이전 섹션에서 지정한 스캐너 클러스터 이름을 지정하여 Install-AIPScanner cmdlet을 실행합니다.

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    예를 들어 유럽의 스캐너 클러스터 이름을 사용하는 경우 다음과 같습니다.

    • 기본 인스턴스의 경우: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • 명명된 인스턴스의 경우: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • SQL Server Express의 경우: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    메시지가 표시되면 스캐너 서비스 계정에 대한 Active Directory 자격 증명을 제공합니다.

    다음 구문을 사용합니다. \<domain\user name>. 예: contoso\scanneraccount

  4. 관리 도구>서비스를 사용하여 현재 서비스가 설치되어 있는지 확인합니다.

    설치된 서비스의 이름은 Azure Information Protection Scanner이며, 만든 스캐너 서비스 계정을 사용하여 실행하도록 구성됩니다.

스캐너를 설치했으므로 스캐너가 무인으로 실행되도록 인증할 스캐너 서비스 계정에 대한 Azure AD 토큰을 가져와야 합니다.

스캐너에 대한 Azure AD 토큰 가져오기

Azure AD 토큰을 사용하면 스캐너가 Azure Information Protection 서비스에 인증할 수 있으므로 스캐너가 비대화형으로 실행될 수 있습니다.

자세한 내용은 Azure Information Protection에 대해 비대화형으로 파일에 레이블을 지정하는 방법을 참조하세요.

Azure AD 토큰을 가져오려면:

  1. Azure Portal을 열어서 Azure AD 애플리케이션을 만들고 인증에 대한 액세스 토큰을 지정합니다.

  2. Windows Server 컴퓨터에서 스캐너 서비스 계정에 설치에 대한 로컬 로그온 권한이 부여된 경우 이 계정을 사용하여 로그인하고 PowerShell 세션을 시작합니다.

    Set-AIPAuthentication을 실행하고 이전 단계에서 복사한 값을 지정합니다.

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    예를 들면 다음과 같습니다.

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    스캐너 서비스 계정에 설치에 대한 로컬 로그온 권한을 부여할 수 없는 경우 Azure Information Protection에 대해 비대화형으로 파일에 레이블을 지정하는 방법에 설명된 대로 Set-AIPAuthentication과 함께 OnBehalfOf 매개 변수를 사용합니다.

이제 스캐너에는 Azure AD 인증을 위한 토큰이 있습니다. Azure AD의 웹 앱/API 클라이언트 암호 구성에 따라 이 토큰이 1년 또는 2년 동안 유효하거나 전혀 유효하지 않습니다. 토큰이 만료되면 이 절차를 반복해야 합니다.

스캐너를 구성하는 데 Azure Portal을 사용하는지 아니면 PowerShell만 사용하는지에 따라 다음 단계 중 하나를 계속 사용합니다.

이제 검색 모드에서 첫 번째 검색을 실행할 준비가 되었습니다. 자세한 내용은 검색 주기 실행 및 스캐너에 대한 보고서 보기를 참조하세요.

초기 검색 검사를 실행한 후 분류 및 보호를 적용하도록 스캐너 구성을 계속 진행합니다.

스캐너를 구성하여 분류 및 보호 적용

기본 설정은 스캐너를 한 번, 보고 전용 모드로 실행하도록 구성합니다. 이러한 설정을 변경하려면 콘텐츠 검색 작업을 편집합니다.

PowerShell에서만 작업하는 경우 분류 및 보호를 적용하도록 스캐너 구성 - PowerShell만을 참조하세요.

Microsoft Purview 규정 준수 포털 분류 및 보호를 적용하도록 스캐너를 구성하려면 다음을 수행합니다.

  1. Microsoft Purview 규정 준수 포털 콘텐츠 검색 작업 탭에서 특정 콘텐츠 검색 작업을 선택하여 편집합니다.

  2. 콘텐츠 검색 작업을 선택하고 다음을 변경한 다음 저장을 선택합니다.

    • 콘텐츠 검색 작업 섹션에서: 일정항상으로 변경
    • 민감도 레이블 지정 정책 적용 섹션에서 라디오 단추를 기로 변경합니다.
  3. 콘텐츠 검색 작업의 노드가 온라인 상태인지 확인한 다음 지금 검사를 선택하여 콘텐츠 검색 작업을 다시 시작합니다. 이제 검색 단추는 선택한 콘텐츠 검색 작업의 노드가 온라인 상태일 때만 나타납니다.

이제 스캐너가 지속적으로 실행되도록 예약됩니다. 스캐너가 구성된 모든 파일에서 작동하면 자동으로 새로운 주기를 시작하므로 새 파일과 변경된 파일이 모두 검색됩니다.

Azure Portal 분류 및 보호를 적용하도록 스캐너를 구성하려면 다음을 수행합니다.

  1. Azure Portal의 Azure Information Protection - 콘텐츠 검색 작업 창에서 클러스터 및 콘텐츠 검색 작업을 선택하여 편집합니다.

  2. 콘텐츠 검색 작업 창에서 다음을 변경한 다음 저장을 선택합니다.

    • 콘텐츠 검색 작업 섹션에서: 일정항상으로 변경
    • 민감도 정책 섹션에서: 적용켜기로 변경

    이 창에서 파일 특성이 변경되었는지 여부 및 스캐너에서 파일의 레이블을 다시 지정할 수 있는지 여부 등 다른 설정을 변경할 수 있습니다. 정보 팝업 도움말을 사용하여 각 구성 설정에 대한 자세한 정보를 확인합니다.

  3. 현재 시간을 기록해 두고 Azure Information Protection - 콘텐츠 검색 작업 창에서 스캐너를 다시 시작합니다.

    Azure Information Protection 스캐너에 대한 검사를 시작합니다.

이제 스캐너가 지속적으로 실행되도록 예약됩니다. 스캐너가 구성된 모든 파일에서 작동하면 자동으로 새로운 주기를 시작하므로 새 파일과 변경된 파일이 모두 검색됩니다.

DLP 정책 사용

데이터 손실 방지 정책을 사용하면 스캐너가 DLP 규칙을 파일 공유 및 SharePoint Server에 저장된 파일과 일치시켜 잠재적인 데이터 누출을 감지할 수 있습니다.

  • 콘텐츠 검색 작업에서 DLP 규칙을 사용하도록 설정하여 DLP 정책과 일치하는 파일의 노출을 줄일 수 있습니다. DLP 규칙을 사용하도록 설정된 경우 스캐너는 데이터 소유자에 대한 파일 액세스만 줄이거나 모든 사용자, 인증된 사용자 또는 도메인 사용자와 같은 네트워크 전체 그룹에 대한 노출을 줄일 수 있습니다.

  • Microsoft Purview 규정 준수 포털 DLP 정책을 테스트하고 있는지 또는 규칙을 적용할지 여부와 해당 규칙에 따라 파일 사용 권한을 변경할지 여부를 결정합니다. 자세한 내용은 DLP 정책 켜기를 참조하세요.

DLP 정책은 Microsoft Purview 규정 준수 포털 구성됩니다. DLP 라이선스에 대한 자세한 내용은 데이터 손실 방지 온-프레미스 스캐너 시작을 참조하세요.

DLP 정책을 테스트하는 경우에도 파일을 검색하면 파일 사용 권한 보고서가 생성됩니다. 이러한 보고서를 쿼리하여 특정 파일 노출을 조사하거나 검색된 파일에 대한 특정 사용자의 노출을 탐색합니다.

PowerShell만 사용하려면 스캐너에서 DLP 정책 사용 - PowerShell만을 참조하세요.

Microsoft Purview 규정 준수 포털 스캐너와 함께 DLP 정책을 사용하려면 다음을 수행합니다.

  1. Microsoft Purview 규정 준수 포털 콘텐츠 검색 작업 탭으로 이동하여 특정 콘텐츠 검색 작업을 선택합니다. 자세한 내용은 콘텐츠 검색 작업 만들기를 참조하세요.

  2. DLP 정책 규칙 사용에서 라디오 단추를 기로 설정합니다.

    중요

    실제로 DLP 정책을 Microsoft 365에 구성하지 않은 경우 DLP 규칙 사용켜기로 설정하지 마세요.

    DLP 정책 없이 이 기능을 켜면 스캐너에서 오류가 발생합니다.

  3. (선택 사항) 리포지토리 소유자 설정을기로 설정하고 특정 사용자를 리포지토리 소유자로 정의합니다.

    이 옵션을 사용하면 스캐너가 DLP 정책과 일치하는 이 리포지토리에 있는 모든 파일이 정의된 리포지토리 소유자에게 노출되는 것을 줄일 수 있습니다.

Azure Portal 스캐너와 함께 DLP 정책을 사용하려면 다음을 수행합니다.

  1. Azure Portal에서 콘텐츠 검색 작업으로 이동합니다. 자세한 내용은 콘텐츠 검색 작업 만들기를 참조하세요.

  2. DLP 정책에서 DLP 규칙 사용켜기로 설정합니다.

    중요

    실제로 DLP 정책을 Microsoft 365에 구성하지 않은 경우 DLP 규칙 사용켜기로 설정하지 마세요.

    DLP 정책 없이 이 기능을 켜면 스캐너에서 오류가 발생합니다.

  3. (선택 사항) 파일 설정 구성에서 리포지토리 소유자 설정켜기로 설정하고 특정 사용자를 리포지토리 소유자로 정의합니다.

    이 옵션을 사용하면 스캐너가 DLP 정책과 일치하는 이 리포지토리에 있는 모든 파일이 정의된 리포지토리 소유자에게 노출되는 것을 줄일 수 있습니다.

DLP 정책 및 프라이빗 작업 만들기

프라이빗 작업으로 DLP 정책을 사용하고 스캐너를 사용하여 파일에 자동으로 레이블을 지정하려는 경우 통합 레이블 지정 클라이언트의 UseCopyAndPreserveNTFSOwner 고급 설정도 정의하는 것이 좋습니다.

이 설정은 원래 소유자가 파일에 대한 액세스를 유지하도록 합니다.

자세한 내용은 Microsoft 365 설명서의 콘텐츠 검색 작업 만들기콘텐츠에 자동으로 민감도 레이블 적용을 참조하세요.

보호할 파일 형식 변경

기본적으로 AIP 스캐너는 Office 파일 형식 및 PDF 파일만 보호합니다.

PowerShell 명령을 사용하여 클라이언트와 마찬가지로 모든 파일 형식을 보호하거나 추가적인 특정 파일 형식을 보호하도록 스캐너를 구성하는 등 필요에 따라 이 동작을 변경합니다.

스캐너의 레이블을 다운로드하는 사용자 계정에 적용되는 레이블 정책의 경우 PFileSupportedExtensions라는 PowerShell 고급 설정을 지정합니다.

인터넷에 액세스할 수 있는 스캐너의 경우 이 사용자 계정은 Set-AIPAuthentication 명령을 사용하여 DelegatedUser 매개 변수에 대해 지정하는 계정입니다.

예 1: 스캐너가 레이블 정책의 이름이 "스캐너"인 모든 파일 형식을 보호하는 PowerShell 명령:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

예 2: 스캐너가 레이블 정책의 이름이 "스캐너"인 Office 파일 및 PDF 파일 외에 .xml 파일 및 .tiff 파일을 보호하는 PowerShell 명령:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

자세한 내용은 보호할 파일 형식 변경을 참조하세요.

스캐너 업그레이드

이전에 스캐너를 설치했으며 업그레이드하려는 경우 Azure Information Protection 스캐너 업그레이드에 설명된 지침을 사용합니다.

그런 다음 스캐너 설치 단계를 건너뛰고 평소처럼 스캐너를 구성하고 사용합니다.

데이터 리포지토리 설정을 대량으로 편집

내보내기가져오기 단추를 사용하여 여러 리포지토리에서 스캐너를 변경합니다.

이렇게 하면 Azure Portal 또는 Microsoft Purview 규정 준수 포털 수동으로 동일한 변경을 여러 번 수행할 필요가 없습니다.

예를 들어 여러 SharePoint 데이터 리포지토리에 새 파일 형식이 있는 경우 해당 리포지토리에 대한 설정을 대량으로 업데이트할 수 있습니다.

Microsoft Purview 규정 준수 포털 리포지토리에서 대량으로 변경하려면 다음을 수행합니다.

  1. Microsoft Purview 규정 준수 포털 특정 콘텐츠 검색 작업을 선택하고 창 내의 리포지토리 탭으로 이동합니다. 내보내기 옵션을 선택합니다.

  2. 내보낸 파일을 수동으로 편집하여 변경합니다.

  3. 동일한 페이지에서 가져오기 옵션을 사용하여 리포지토리에서 업데이트를 다시 가져옵니다.

Azure Portal 리포지토리에서 대량으로 변경하려면 다음을 수행합니다.

  1. Azure Portal의 리포지토리 창에서 내보내기 옵션을 선택합니다. 예를 들어 다음과 같습니다.

    Azure Information Protection 스캐너에 대한 데이터 리포지토리 설정을 내보냅니다.

  2. 내보낸 파일을 수동으로 편집하여 변경합니다.

  3. 동일한 페이지에서 가져오기 옵션을 사용하여 리포지토리에서 업데이트를 다시 가져옵니다.

대체 구성으로 스캐너 사용

Azure Information Protection 스캐너는 일반적으로 필요에 따라 콘텐츠를 분류하고 보호하기 위해 레이블에 대해 지정된 조건을 찾습니다.

다음 시나리오에서 Azure Information Protection 스캐너는 조건을 구성하지 않고도 콘텐츠를 스캔하고 레이블을 관리할 수 있습니다.

데이터 리포지토리의 모든 파일에 기본 레이블 적용

이 구성에서는 리포지토리에서 레이블이 지정되지 않은 모든 파일에 리포지토리 또는 콘텐츠 검색 작업을 위해 지정된 기본 레이블로 레이블이 지정됩니다. 파일에 검사 없이 레이블이 지정됩니다.

다음 설정을 구성합니다.

설정 Description
콘텐츠에 따라 파일에 레이블 지정 끄기로 설정
기본 레이블 사용자 지정으로 설정한 다음 사용할 레이블 선택
기본 레이블 적용 레이블 다시 지정 파일 및 기본 레이블 적용을 켜서 이미 레이블이 지정된 경우에도 모든 파일에기본 레이블 을 적용하려면 선택합니다.

데이터 리포지토리의 모든 파일에서 기존 레이블 제거

이 구성에서는 보호가 레이블에 적용된 경우 보호를 포함하여 기존의 모든 레이블이 제거됩니다. 레이블과 독립적으로 적용된 보호는 유지됩니다.

다음 설정을 구성합니다.

설정 Description
콘텐츠에 따라 파일에 레이블 지정 끄기로 설정
기본 레이블 없음으로 설정
파일에 레이블 다시 지정 기본 레이블 적용기로 설정된 상태에서 기로 설정

모든 사용자 지정 조건 및 알려진 중요한 정보 유형 식별

이 구성을 사용하면 스캐너 검색 속도는 느리지만, 본인도 몰랐던 중요한 정보를 찾을 수 있습니다.

검색할 정보 유형모두로 설정합니다.

레이블 지정에 대한 조건 및 정보 유형을 식별하기 위해 스캐너는 레이블 지정 관리 센터에 정의된 대로 선택할 수 있는 기본 제공 중요한 정보 유형 목록과 지정된 사용자 지정 중요한 정보 유형을 사용합니다.

스캐너 성능 최적화

참고

스캐너 성능이 아닌 스캐너 컴퓨터의 응답성을 향상시키려면 고급 클라이언트 설정을 사용하여 스캐너에서 사용하는 스레드 수를 제한합니다.

다음 옵션과 지침을 사용하면 스캐너 성능을 최적화하는 데 도움이 됩니다.

옵션 Description
스캐너 컴퓨터와 스캔 대상 데이터 저장소 간에 안정적인 고속 네트워크 연결 확보 예를 들어 동일한 LAN 또는 가급적이면 검색된 데이터 저장소와 동일한 네트워크 세그먼트에 스캐너 컴퓨터를 배치합니다.

스캐너는 파일을 검사하기 위해 파일의 콘텐츠를 스캐너 서비스를 실행하는 컴퓨터로 전송하기 때문에 네트워크 연결 품질이 스캐너 성능에 영향을 줍니다.

데이터를 이동하는 데 필요한 네트워크 홉 수를 줄이거나 제거하면 네트워크의 부하도 줄어듭니다.
스캐너 컴퓨터에 사용 가능한 프로세서 리소스가 있는지 확인 파일 콘텐츠를 검사하고 파일을 암호화 및 암호 해독하는 작업은 프로세서를 많이 사용하는 작업입니다.

지정된 데이터 저장소에 대한 일반적인 검색 주기를 모니터링하여 프로세서 리소스 부족이 스캐너 성능을 저하시키는지 확인합니다.
스캐너의 여러 인스턴스 설치 Azure Information Protection 스캐너는 스캐너에 대한 사용자 지정 클러스터 이름을 지정할 때 동일한 SQL 서버 인스턴스에서 여러 개의 구성 데이터베이스를 지원합니다.

: 여러 스캐너가 동일한 클러스터를 공유할 수도 있으므로 검색 시간이 더 빨라질 수 있습니다. 동일한 데이터베이스 인스턴스가 있는 여러 머신에 스캐너를 설치하고 스캐너를 동시에 실행하려는 경우 동일한 클러스터 이름을 사용하여 모든 스캐너를 설치해야 합니다.
대체 구성 사용량 확인 스캐너는 파일 내용을 검사하지 않으므로 대체 구성 을 사용하여 모든 파일에 기본 레이블을 적용할 때 스캐너가 더 빠르게 실행됩니다.

대체 구성을 사용하여 모든 사용자 지정 조건 및 알려진 중요한 정보 유형을 식별하면 스캐너가 더 느리게 실행됩니다.

성능에 영향을 주는 추가 요인

스캐너 성능에 영향을 주는 추가 요인은 다음과 같습니다.

요인 설명
로드/응답 시간 검색할 파일이 포함된 데이터 저장소의 현재 로드 및 응답 시간도 스캐너 성능에 영향을 줍니다.
스캐너 모드(검색/적용) 검색 모드는 일반적으로 적용 모드보다 검색 속도가 빠릅니다.

검색 모드에는 단일 파일 읽기 작업이 필요하지만 적용 모드에는 읽기 및 쓰기 작업이 필요합니다.
정책 변경 내용 레이블 정책에서 자동 레이블 지정을 변경한 경우 스캐너 성능에 영향을 줄 수 있습니다.

스캐너가 모든 파일을 검사해야 하는 첫 번째 검색 주기는 기본적으로 새 파일과 변경된 파일만 검사하는 후속 검색 주기보다 오래 걸립니다.

조건 또는 자동 레이블 지정 설정을 변경하면 모든 파일이 다시 검색됩니다. 자세한 내용은 파일 다시 검색을 참조하세요.
Regex 생성 사용자 지정 조건에 대한 regex 식이 생성되는 방식은 스캐너 성능에 영향을 줍니다.

과도한 메모리 소비 및 시간 제한(파일당 15분)의 위험을 방지하려면 regex 식을 검토하여 효율적인 패턴 일치를 확인합니다.

예를 들어 다음과 같습니다.
- 탐욕적 수량자 방지
- 비 캡처링 그룹 사용((expression) 대신 (?:expression))
로그 수준 로그 수준 옵션에는 스캐너 보고서에 대한 디버그, 정보, 오류끄기가 포함되어 있습니다.

- 끄기를 사용하면 최상의 성능이 유지됩니다.
- 디버그를 사용하면 스캐너 속도가 상당히 느려지므로 문제 해결에만 사용해야 합니다.

자세한 내용은 Set-AIPScannerConfiguration cmdlet의 ReportLevel 매개 변수를 참조하세요.
검색 중인 파일 - Excel 파일을 제외한 Office 파일은 PDF 파일보다 더 빠르게 검색됩니다.

- 보호되지 않은 파일은 보호된 파일보다 빠르게 검색됩니다.

- 큰 파일은 작은 파일보다 분명히 검색하는 데 더 오랜 시간이 걸립니다.

PowerShell을 사용하여 스캐너 구성

이 섹션에서는 Azure Portal에서 스캐너 페이지에 액세스할 수 없고 PowerShell만 사용해야 하는 경우 AIP 온-프레미스 스캐너를 구성하고 설치하는 데 필요한 단계를 설명합니다.

중요

  • 일부 단계에서는 Azure Portal에서 스캐너 페이지에 액세스할 수 있는지 여부와 동일한지 여부에 따라 Powershell이 필요합니다. 이러한 단계에 대해서는 표시된 대로 이 문서의 이전 지침을 참조하세요.

  • Azure China 21Vianet용 스캐너로 작업하는 경우 여기에 자세히 설명된 지침 외에도 추가 단계가 필요합니다. 자세한 내용은 21Vianet에서 운영하는 Office 365에 대한 Azure Information Protection 지원을 참조하세요.

자세한 내용은 지원되는 Azure PowerShell cmdlets을 참조하세요.

스캐너를 구성 및 설치하려면:

  1. PowerShell을 닫은 상태에서 시작합니다. 이전에 AIP 클라이언트 및 스캐너를 설치한 경우 AIPScanner 서비스가 중지되었는지 확인합니다.

  2. 관리자 권한으로 실행 옵션을 사용하여 Windows PowerShell 세션을 엽니다.

  3. Install-AIPScanner 명령을 실행하여 클러스터 이름을 정의하는 클러스터 매개 변수를 사용하여 SQL 서버 인스턴스에 스캐너를 설치합니다.

    이 단계는 Azure Portal 스캐너 페이지에 액세스할 수 있는지 여부와 동일합니다. 자세한 내용은 이 문서의 이전 지침인 스캐너 설치를 참조하세요.

  4. 스캐너와 함께 사용할 Azure 토큰을 가져와서 다시 인증합니다.

    이 단계는 Azure Portal 스캐너 페이지에 액세스할 수 있는지 여부와 동일합니다. 자세한 내용은 이 문서의 이전 지침인 스캐너에 대한 Azure AD 토큰 가져오기를 참조하세요.

  5. Set-AIPScannerConfiguration cmdlet을 실행하여 스캐너가 오프라인 모드에서 작동하도록 설정합니다. 다음을 실행합니다.

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  6. Set-AIPScannerContentScanJob cmdlet을 실행하여 기본 콘텐츠 검색 작업을 만듭니다.

    Set-AIPScannerContentScanJob cmdlet에서 유일한 필수 매개 변수는 Enforce입니다. 그러나 현재 콘텐츠 검색 작업에 대한 다른 설정을 정의할 수 있습니다. 예를 들어 다음과 같습니다.

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    위의 구문은 구성을 계속하는 동안 다음 설정을 구성합니다.

    • 스캐너 실행 일정을 수동으로 유지
    • 민감도 레이블 지정 정책에 따라 검색할 정보 유형 설정
    • 민감도 레이블 지정 정책을 적용하지 않음
    • 민감도 레이블 지정 정책에 대해 정의된 기본 레이블을 사용하여 콘텐츠에 따라 파일에 자동으로 레이블 지정
    • 파일에 레이블을 다시 지정할 수 없음
    • 수정된 날짜, 마지막으로 수정한 날짜수정한 사람 값을 포함하여 검색하고 자동 레이블을 지정하는 동안 파일 세부 정보를 유지합니다.
    • 실행 시 .msg 및 .tmp 파일을 제외하도록 스캐너 설정
    • 스캐너를 실행할 때 사용할 계정으로 기본 소유자 설정
  7. Add-AIPScannerRepository cmdlet을 사용하여 콘텐츠 검색 작업에서 검색하려는 리포지토리를 정의합니다. 예를 들어 다음을 실행합니다.

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    추가하는 리포지토리의 유형에 따라 다음 구문 중 하나를 사용합니다.

    • 네트워크 공유에 \\Server\Folder를 사용합니다.
    • SharePoint 라이브러리에 http://sharepoint.contoso.com/Shared%20Documents/Folder를 사용합니다.
    • 로컬 경로: C:\Folder
    • UNC 경로: \\Server\Folder

    참고

    와일드카드는 지원되지 않으며 WebDav 위치도 지원되지 않습니다.

    나중에 리포지토리를 수정하려면 Set-AIPScannerRepository cmdlet을 대신 사용합니다.

    공유 문서에 대해 SharePoint 경로를 추가하는 경우 다음을 수행합니다.

    • 공유 문서의 모든 문서와 모든 폴더를 검사하려는 경우 경로에 Shared Documents를 지정합니다. 예: http://sp2013/SharedDocuments
    • 공유 문서의 하위 폴더에 있는 모든 문서와 모든 폴더를 검사하려는 경우 경로에 Documents를 지정합니다. 예: http://sp2013/Documents/SalesReports
    • 또는 Sharepoint의 FQDN만 지정합니다. 예: http://sp2013(특정 URL에서 SharePoint 사이트와 하위 사이트를 모두 검색하고 이 URL에서 하위 제목 검색) 이를 사용하도록 하려면 스캐너 사이트 수집기 감사자 권한을 부여합니다.

    SharePoint 경로를 추가할 때 다음 구문을 사용합니다.

    경로 Syntax
    루트 경로 http://<SharePoint server name>

    스캐너 사용자에게 허용된 사이트 모음을 포함하여 모든 사이트를 검색합니다.
    루트 콘텐츠를 자동으로 검색하려면 추가 권한이 필요합니다.
    특정 SharePoint 하위 사이트 또는 모음 다음 중 하나
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    사이트 모음 콘텐츠를 자동으로 검색하려면 추가 권한이 필요합니다.
    특정 SharePoint 라이브러리 다음 중 하나
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    특정 SharePoint 폴더 http://<SharePoint server name>/.../<folder name>

필요에 따라 다음 단계를 계속 수행합니다.

PowerShell을 사용하여 분류 및 보호를 적용하도록 스캐너 구성

  1. Set-AIPScannerContentScanJob cmdlet을 실행하여 일정을 항상으로 설정하고 민감도 정책을 적용하도록 콘텐츠 검색 작업을 업데이트합니다.

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On
    

    이 창에서 파일 특성이 변경되었는지 여부 및 스캐너에서 파일의 레이블을 다시 지정할 수 있는지 여부 등 다른 설정을 변경할 수 있습니다. 사용 가능한 설정에 대한 자세한 내용은 전체 PowerShell 설명서를 참조하세요.

  2. Start-AIPScan cmdlet을 실행하여 콘텐츠 검색 작업을 실행합니다.

    Start-AIPScan
    

이제 스캐너가 지속적으로 실행되도록 예약됩니다. 스캐너가 구성된 모든 파일에서 작동하면 자동으로 새로운 주기를 시작하므로 새 파일과 변경된 파일이 모두 검색됩니다.

PowerShell을 사용하여 스캐너로 DLP 정책 구성

  1. -EnableDLP 매개 변수를 On으로 설정하고 특정 리포지토리 소유자를 정의한 상태에서 Set-AIPScannerContentScanJob cmdlet을 다시 실행합니다.

    예를 들어 다음과 같습니다.

    Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
    

지원되는 PowerShell cmdlet

이 섹션에서는 Azure Information Protection 스캐너에 대해 지원되는 PowerShell cmdlet과 PowerShell만 사용하여 스캐너를 구성하고 설치하는 지침을 나열합니다.

스캐너에 대해 지원되는 cmdlet은 다음과 같습니다.

다음 단계

스캐너를 설치하고 구성한 후 파일 검색을 시작합니다.

Azure Information Protection 스캐너를 배포하여 자동으로 파일 분류 및 보호도 참고하세요.

자세한 정보: