Azure Information Protection 통합 레이블 지정 스캐너 설치 및 배포를 위한 요구 사항

Azure Information Protection 온-프레미스 스캐너를 설치하기 전에 시스템이 기본 Azure Information Protection 요구 사항을 준수해야 합니다.

또한 다음 요구 사항은 스캐너에 따라 다릅니다.

조직 정책에 의해 금지되었기 때문에 스캐너에 나열된 모든 요구 사항을 충족할 수 없는 경우 대체 구성 섹션을 참조하세요.

프로덕션 환경에서 스캐너를 배포하거나 여러 스캐너의 성능을 테스트하는 경우 SQL Server에 대한 저장소 요구 사항 및 용량 계획을 참조하세요.

스캐너 설치 및 배포를 시작할 준비가 되면 Azure Information Protection 스캐너를 배포하여 자동으로 파일 분류 및 보호를 계속 진행하세요.

Windows Server 요구 사항

스캐너를 실행하려면 다음과 같은 시스템 사양을 갖춘 Windows Server 컴퓨터가 있어야 합니다.

규격 세부 정보
프로세서 4코어 프로세서
RAM 8GB
디스크 공간 임시 파일을 위한 10GB의 여유 공간(평균)

스캐너는 검색하는 각 파일에 대한 임시 파일을 만들기 위해(코어당 4개의 파일) 충분한 디스크 공간이 필요합니다.

권장되는 10GB의 디스크 용량은 크기가 각각 625MB인 16개의 파일을 검색하는 4코어 프로세서를 허용합니다.
운영 체제 64비트 버전:

- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2

참고: 비프로덕션 환경에서 테스트 또는 평가 목적으로 Azure Information Protection 클라이언트에서 지원하는 Windows 운영 체제를 사용할 수 있습니다.
네트워크 연결 스캐너 컴퓨터는 검색할 데이터 저장소에 빠르고 안정적인 네트워크로 연결된 물리적 또는 가상 컴퓨터일 수 있습니다.

조직 정책 때문에 인터넷에 연결할 수 없는 경우 대체 구성으로 스캐너 배포를 참조하세요.

그렇지 않은 경우 컴퓨터가 HTTPS(포트 443)를 통해 다음 URL을 허용하는 인터넷에 연결되어 있는지 확인합니다.

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com
- *.protection.outlook.com
NFS 공유 NFS 공유에 대한 검사를 지원하려면 스캐너 시스템에 NFS용 서비스를 배포해야 합니다.

컴퓨터에서 Windows 기능(Windows 기능 켜기 또는 끄기) 설정 대화 상자로 이동하여 NFS용 서비스>관리 도구NFS용 클라이언트 항목을 선택합니다.
Microsoft Office iFilter 스캐너가 Windows 서버 컴퓨터에 설치된 경우 .zip 파일에서 중요한 정보 유형을 검사하려면 Microsoft Office iFilter도 설치해야 합니다.

자세한 내용은 Microsoft 다운로드 사이트를 참조하세요.

서비스 계정 요구 사항

Windows Server 컴퓨터에서 스캐너 서비스를 실행하고, Azure AD에 인증하고, Azure Information Protection 정책을 다운로드하려면 서비스 계정이 있어야 합니다.

서비스 계정은 Active Directory 계정이어야 하며, Azure AD와 동기화해야 합니다.

조직 정책 때문에 이 계정을 동기화할 수 없는 경우 대체 구성으로 스캐너 배포를 참조하세요.

이 서비스 계정에는 다음과 같은 요구 사항이 있습니다.

요구 사항 세부 정보
로컬 로그온 사용자 권한 할당 스캐너를 설치하고 구성하는 데 필요하지만 검색을 실행할 필요는 없습니다.

스캐너에서 파일을 검색, 분류 및 보호할 수 있음을 확인했으면 서비스 계정에서 이 권한을 제거할 수 있습니다.

조직 정책 때문에 짧은 시간 동안이라도 이 권한을 부여할 수 없는 경우 대체 구성으로 스캐너 배포를 참조하세요.
서비스로 로그온 사용자 권한 할당. 스캐너 설치 중에 서비스 계정에 이 권한이 자동으로 부여됩니다. 이 권한은 스캐너의 설치, 구성 및 작동에 필요합니다.
데이터 리포지토리에 대한 사용 권한 - 파일 공유 또는 로컬 파일: 파일을 검색한 다음 구성된 대로 분류 및 보호를 적용하기 위해 읽기, 쓰기수정 권한을 부여합니다.

- SharePoint: 민감도 레이블 정책을 통해 구성된 대로 파일을 검사하고 분류 및 보호를 적용할 수 있는 모든 권한을 부여해야 합니다.

- 검색 모드: 검색 모드에서만 스캐너를 실행하려는 경우 읽기 권한이면 충분합니다.
다시 보호하거나 보호를 제거하는 레이블의 경우 스캐너가 항상 보호된 파일에 액세스할 수 있도록 하려면 이 계정을 Azure Information Protection에 대한 슈퍼 사용자로 지정하고 슈퍼 사용자 기능을 사용하도록 설정합니다.

또한 단계적 배포를 위해 온보딩 컨트롤을 구현한 경우 구성한 온보딩 컨트롤에 서비스 계정이 포함되어 있는지 확인합니다.
특정 URL 수준 검사 특정 URL에 있는 사이트와 하위 사이트를 검사 및 검색하려면 팜 수준에서 스캐너 계정에 Site Collector Auditor 권한을 부여합니다.
Information Protection의 라이선스 스캐너 서비스 계정에 파일 분류, 레이블 지정 또는 보호 기능을 제공하는 데 필요합니다.

자세한 내용은 Azure Information Protection 배포 로드맵보안 & 규정 준수를 위한 Microsoft 365 지침을 참조하세요.

SQL Server 요구 사항

스캐너 구성 데이터를 저장하려면 다음 요구 사항이 있는 SQL Server를 사용합니다.

  • 로컬 또는 원격 인스턴스.

    소규모 배포로 작업하지 않는 한 SQL Server 및 스캐너 서비스를 다른 머신에서 호스트하는 것이 좋습니다. 또한 스캐너 데이터베이스만 제공하고 다른 애플리케이션과 공유되지 않는 전용 SQL 인스턴스를 사용하는 것이 좋습니다.

    공유 서버에서 작업하는 경우 스캐너 데이터베이스가 작동할 수 있도록 권장되는 코어 수가 무료인지 확인합니다.

    SQL Server 2016은 다음 에디션의 최소 버전입니다.

    • SQL Server Enterprise

    • SQL Server Standard

    • SQL Server Express(테스트 환경에만 권장)

  • 스캐너를 설치하기 위해 Sysadmin 역할이 있는 계정.

    Sysadmin 역할을 사용하면 설치 프로세스를 통해 스캐너 구성 데이터베이스를 자동으로 만들고 스캐너를 실행하는 서비스 계정에 필수 db_owner 역할을 부여할 수 있습니다.

    Sysadmin 역할을 부여할 수 없거나 조직 정책에서 데이터베이스를 수동으로 만들고 구성해야 하는 경우 대체 구성으로 스캐너 배포를 참조하세요.

  • 용량. 용량 지침은 SQL Server 대한 저장소 요구 사항 및 용량 계획을 참조하세요.

  • 대/소문자를 구분하지 않는 데이터 정렬.

참고

스캐너에 대한 사용자 지정 클러스터 이름을 지정하거나 스캐너의 미리 보기 버전을 사용하는 경우 동일한 SQL Server의 여러 구성 데이터베이스가 지원됩니다.

SQL Server에 대한 저장소 요구 사항 및 용량 계획

스캐너의 구성 데이터베이스에 필요한 디스크 공간과 SQL Server를 실행하는 컴퓨터의 사양은 각 환경에 따라 달라질 수 있으므로 사용자 고유의 테스트를 수행하는 것이 좋습니다. 다음 지침을 시작점으로 사용하세요.

자세한 내용은 스캐너의 성능 최적화를 참조하세요.

스캐너 구성 데이터베이스의 디스크 크기는 배포마다 다릅니다. 다음 수식을 지침으로 참조하세요.

100 KB + <file count> *(1000 + 4* <average file name length>)

예를 들어 평균 파일 이름 길이가 250바이트인 100만 개의 파일을 검사하려면 2GB의 디스크 공간을 할당합니다.

여러 스캐너의 경우:

  • 최대 10개의 스캐너, 다음을 사용합니다.

    • 4코어 프로세서
    • 8GB RAM 권장
  • 11개 이상의 스캐너(최대 40개), 다음을 사용합니다.

    • 8코어 프로세스
    • 16GB RAM 권장

Azure Information Protection 클라이언트 요구 사항

Windows Server 컴퓨터에 설치된 Azure Information Protection 클라이언트의 현재 일반 가용성 버전이 있어야 합니다.

자세한 내용은 통합 레이블 지정 클라이언트 관리자 가이드를 참조하세요.

중요

스캐너를 위해 전체 클라이언트를 설치해야 합니다. PowerShell 모듈만으로 클라이언트를 설치하지 마세요.

레이블 구성 요구 사항

분류 및 선택적으로 보호를 적용하려면 스캐너 계정에 대한 Microsoft Purview 규정 준수 포털 구성된 민감도 레이블이 하나 이상 있어야 합니다.

스캐너 계정은 스캐너를 구성할 때 실행되는 Set-AIPAuthentication cmdlet의 DelegatedUser 매개 변수에 지정하는 계정입니다.

레이블에 자동 레이블 지정 조건이 없는 경우 아래의 대체 구성에 대한 지침을 참조하세요.

자세한 내용은 다음을 참조하세요.

SharePoint 요구 사항

SharePoint 문서 라이브러리 및 폴더를 검색하려면 SharePoint Server가 다음 요구 사항을 준수하는지 확인합니다.

요구 사항 Description
지원되는 버전 SharePoint 2019, SharePoint 2016 및 SharePoint 2013이 지원됩니다.
다른 버전의 SharePoint는 스캐너에 지원되지 않습니다.
버전 관리 버전 관리를 사용하는 경우 스캐너는 최근에 게시된 버전을 검사하고 레이블을 지정합니다.

스캐너가 파일에 레이블을 지정하고 콘텐츠 승인이 필요한 경우 사용자가 사용할 수 있도록 해당 레이블이 지정된 파일을 승인해야 합니다.
대형 SharePoint 팜 대량 SharePoint 팜의 경우 모든 파일에 액세스할 스캐너에 대한 목록 보기 임계값(기본값: 5,000)을 증가시켜야 하는지 여부를 확인합니다.

자세한 내용은 SharePoint의 대규모 목록 및 라이브러리 관리를 참조하세요.
긴 파일 경로 SharePoint에 긴 파일 경로가 있는 경우 SharePoint Server의 httpRuntime.maxUrlLength 값이 기본 260자보다 큰지 확인합니다.

자세한 내용은 SharePoint에서 스캐너 시간 제한 방지를 참조하세요.

Microsoft Office 요구 사항

Office 문서를 검색하려면 문서가 다음 형식 중 하나여야 합니다.

  • Microsoft Office 97~2003
  • Word, Excel 및 PowerPoint용 Office Open XML 형식

자세한 내용은 Azure Information Protection 통합 레이블 지정 클라이언트에서 지원하는 파일 형식을 참조하세요.

파일 경로 요구 사항

기본적으로 파일을 검사하려면 파일 경로가 최대 260자여야 합니다.

파일 경로가 260자를 초과하는 파일을 검사하려면 다음 Windows 버전 중 하나가 설치된 컴퓨터에 스캐너를 설치하고 필요에 따라 컴퓨터를 구성합니다.

Windows 버전 Description
Windows 2016 이상 긴 경로를 지원하도록 컴퓨터 구성
Windows 10 또는 Windows Server 2016 다음과 같은 그룹 정책 설정을 정의합니다. 로컬 컴퓨터 정책>컴퓨터 구성>관리 템플릿>모든 설정>Win32 긴 경로 사용

이러한 버전의 긴 파일 경로 지원에 대한 자세한 내용은 Windows 10 개발자 문서의 최대 경로 길이 제한 섹션을 참조하세요.
Windows 10 버전 1607 이상 업데이트된 MAX_PATH 기능을 옵트인합니다. 자세한 내용은 Windows 10 버전 1607 이상에서 긴 경로 사용을 참조하세요.

대체 구성으로 스캐너 배포

위에 나열된 필수 구성 요소는 스캐너 배포를 위한 요구 사항이며, 간단한 스캐너 구성을 지원하기 때문에 권장됩니다.

기본 요구 사항은 초기 테스트에 적합해야 하므로 스캐너의 기능을 확인할 수 있습니다.

그러나 프로덕션 환경에서 조직의 정책은 기본 요구 사항과 다를 수 있습니다. 스캐너는 추가 구성을 통해 다음과 같은 변경을 수용할 수 있습니다.

특정 URL 아래의 모든 사이트 및 하위 사이트 검색 및 검사

스캐너는 다음 구성을 사용하여 특정 URL 아래의 모든 SharePoint 사이트 및 하위 사이트를 검색하고 검사할 수 있습니다.

  1. SharePoint 중앙 관리를 시작합니다.

  2. SharePoint 중앙 관리 웹 사이트의 애플리케이션 관리 섹션에서 웹 애플리케이션 관리를 클릭합니다.

  3. 권한 정책 수준을 관리할 웹 애플리케이션을 클릭하여 강조 표시합니다.

  4. 관련 팜을 선택한 후 권한 정책 수준 관리를 선택합니다.

  5. 사이트 모음 권한 옵션에서 사이트 모음 감사자를 선택한 후 권한 목록에서 애플리케이션 페이지 보기를 부여하고, 마지막으로 새 정책 수준의 이름을 AIP 스캐너 사이트 모음 감사자 및 보기 권한자로 지정합니다.

  6. 새 정책에 스캐너 사용자를 추가하고 권한 목록에서 사이트 모음을 부여합니다.

  7. 검사해야 하는 사이트 또는 하위 사이트를 호스트하는 SharePoint URL을 추가합니다. 자세한 내용은 Azure Portal에서 스캐너 구성을 참조하세요.

SharePoint 정책 수준을 관리하는 방법에 대한 자세한 내용은 웹 애플리케이션에 대한 권한 정책 관리를 참조하세요.

제한 사항: 스캐너 서버는 인터넷에 연결할 수 없습니다.

통합 레이블 지정 클라이언트는 인터넷에 연결되지 않으면 보호를 적용할 수 없지만 스캐너는 가져온 정책을 기반으로 레이블을 계속 적용할 수 있습니다.

연결이 끊어진 컴퓨터를 지원하려면 다음 방법을 수행합니다.

연결이 끊긴 컴퓨터에서 Azure Portal 사용

Azure Portal에서 연결이 끊긴 컴퓨터를 지원하려면 다음 단계를 수행합니다.

  1. 정책에서 레이블을 구성한 다음, 오프라인 분류 및 레이블 지정을 사용하도록 연결이 끊긴 컴퓨터를 지원하는 절차를 사용합니다.

  2. 다음과 같이 콘텐츠 작업에 대해 오프라인 관리를 사용하도록 설정합니다.

    콘텐츠 검사 작업에 대해 오프라인 관리를 사용하도록 설정:

    1. Set-AIPScannerConfiguration cmdlet을 사용하여 스캐너가 오프라인 모드에서 작동하도록 설정합니다.

    2. 스캐너 클러스터를 만들어 Azure Portal에서 스캐너를 구성합니다. 자세한 내용은 Azure Portal에서 스캐너 구성을 참조하세요.

    3. 내보내기 옵션을 사용하여 Azure Information Protection - 콘텐츠 검색 작업 창에서 콘텐츠 작업을 내보냅니다.

    4. Import-AIPScannerConfiguration cmdlet을 사용하여 정책을 가져옵니다.

    오프라인 콘텐츠 검사 작업의 결과는 %localappdata%\Microsoft\MSIP\Scanner\Reports에 있습니다.

연결이 끊긴 컴퓨터에서 PowerShell 사용

PowerShell만 사용하여 연결이 끊긴 컴퓨터를 지원하려면 다음 절차를 수행합니다.

중요

Azure 중국 21Vianet 스캐너 서버의 관리자는 콘텐츠 검사 작업을 관리하기 위해 이 절차를 사용해야 합니다.

PowerShell만 사용하여 콘텐츠 검사 작업 관리:

  1. Set-AIPScannerConfiguration cmdlet을 사용하여 스캐너가 오프라인 모드에서 작동하도록 설정합니다.

  2. Set-AIPScannerContentScanJob cmdlet을 사용하여 새 콘텐츠 검사 작업을 만들고, 필수 -Enforce On 매개 변수를 사용해야 합니다.

  3. 추가할 리포지토리의 경로와 함께 Add-AIPScannerRepository cmdlet을 사용하여 리포지토리를 추가합니다.

    리포지토리가 콘텐츠 검사 작업에서 설정을 상속하지 못하도록 하려면 OverrideContentScanJob On 매개 변수와 추가 설정에 대한 값을 추가합니다.

    기존 리포지토리에 대한 세부 정보를 편집하려면 Set-AIPScannerRepository 명령을 사용합니다.

  4. Get-AIPScannerContentScanJobGet-AIPScannerRepository cmdlet을 사용하여 콘텐츠 검사 작업의 현재 설정에 대한 정보를 반환합니다.

  5. Set-AIPScannerRepository 명령을 사용하여 기존 리포지토리에 대한 세부 정보를 업데이트합니다.

  6. 필요한 경우 Start-AIPScan cmdlet을 사용하여 콘텐츠 검사 작업을 즉시 실행합니다.

    오프라인 콘텐츠 검사 작업의 결과는 %localappdata%\Microsoft\MSIP\Scanner\Reports에 있습니다.

  7. 리포지토리 또는 전체 콘텐츠 검사 작업을 제거해야 하는 경우 다음 cmdlet을 사용합니다.

제한: Sysadmin을 부여받을 수 없거나 데이터베이스를 수동으로 생성하고 구성해야 합니다.

다음 절차를 사용하여 데이터베이스를 수동으로 만들고 필요에 따라 db_owner 역할을 부여합니다.

Sysadmin 역할을 일시적으로 부여하여 스캐너를 설치할 수 있는 경우 스캐너 설치가 완료되면 이 역할을 제거할 수 있습니다.

조직의 요구 사항에 따라 다음 중 하나를 수행합니다.

제한 사항 Description
Sysadmin 역할을 일시적으로 가질 수 있습니다. Sysadmin 역할을 일시적으로 가질 수 있으면 사용자에 대한 데이터베이스가 자동으로 생성되고 스캐너에 대한 서비스 계정에 필수 권한이 자동으로 부여됩니다.

그러나 스캐너를 구성한 사용자 계정에 스캐너 구성 데이터베이스에 대한 db_owner 역할이 필요합니다. 스캐너 설치가 완료될 때까지 Sysadmin 역할만 있는 경우 사용자 계정에 db_owner 역할을 수동으로 부여합니다.
Sysadmin 역할은 전혀 가질 수 없습니다. 본인에게 일시적으로 Sysadmin 역할을 부여할 수 없는 경우 스캐너를 설치하기 전에 Sysadmin 권한이 있는 사용자에게 데이터베이스를 수동으로 만들도록 요청합니다.

이 구성의 경우 db_owner 역할을 다음 계정에 할당해야 합니다.
- 스캐너의 서비스 계정
- 스캐너 설치용 사용자 계정
- 스캐너 구성용 사용자 계정

일반적으로 스캐너를 설치하고 구성하는 데 동일한 사용자 계정을 사용합니다. 다른 계정을 사용하는 경우 두 계정 모두 스캐너 구성 데이터베이스에 대한 db_owner 역할이 필요합니다. 필요에 따라 이 사용자 및 권한을 만듭니다. 고유한 클러스터 이름을 지정하는 경우 구성 데이터베이스의 이름은 AIPScannerUL_<cluster_name>입니다.

추가 필수 구성 요소:

  • 스캐너를 실행할 서버의 로컬 관리자여야 합니다.

  • 스캐너를 실행할 서비스 계정에 다음 레지스트리 키에 대한 모든 권한을 부여해야 합니다.

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

이러한 사용 권한을 구성한 후 스캐너를 설치할 때 오류가 표시되는 경우 오류를 무시할 수 있으며 스캐너 서비스를 수동으로 시작할 수 있습니다.

스캐너에 대한 데이터베이스 및 사용자를 수동으로 만들고 db_owner 권한을 부여합니다.

수동으로 스캐너 데이터베이스 및/또는 사용자를 만들고 데이터베이스에 대한 db_owner 권한을 부여해야 하는 경우 Sysadmin에게 다음 단계를 수행하도록 요청합니다.

  1. 스캐너용 데이터베이스 만들기:

    **CREATE DATABASE AIPScannerUL_[clustername]**
    
    **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
    
  2. 설치 명령을 실행하고 스캐너 관리 명령을 실행하는 데 사용되는 권한을 사용자에게 부여합니다. 다음 스크립트를 사용합니다.

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. 스캐너 서비스 계정에 대한 권한을 부여합니다. 다음 스크립트를 사용합니다.

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

제한: 스캐너의 서비스 계정에 로컬 로그온 권한을 부여할 수 없습니다.

조직 정책에서 서비스 계정에 대한 로컬 로그온 권한을 금지하는 경우 Set-AIPAuthentication과 함께 OnBehalfOf 매개 변수를 사용합니다.

자세한 내용은 Azure Information Protection에 대해 비대화형으로 파일에 레이블을 지정하는 방법을 참조하세요.

제한 사항: 스캐너 서비스 계정을 Azure Active Directory에 동기화할 수 없지만 서버는 인터넷에 연결되어 있습니다.

다음과 같이 한 계정을 사용하여 스캐너 서비스를 실행하고 다른 계정을 사용하여 Azure Active Directory에 인증할 수 있습니다.

제한 사항: 레이블에 자동 레이블 지정 조건이 없습니다.

레이블에 자동 레이블 지정 조건이 없는 경우 스캐너를 구성할 때 다음 옵션 중 하나를 사용하도록 계획합니다.

옵션 Description
모든 정보 유형 검색 콘텐츠 검색 작업에서 검색할 정보 유형 옵션을 모두로 설정합니다.

이 옵션은 콘텐츠 검사 작업을 설정하여 모든 중요한 정보 유형에 대한 콘텐츠를 검사합니다.
권장 레이블 지정 사용 콘텐츠 검사 작업에서 권장 레이블 지정을 자동으로 처리 옵션을 켜기로 설정합니다.

이 설정은 콘텐츠에 권장되는 모든 레이블을 자동으로 적용하도록 스캐너를 구성합니다.
기본 레이블 정의 정책, 콘텐츠 검색 작업 또는 리포지토리에서 기본 레이블을 정의합니다.

이 경우 스캐너는 찾은 모든 파일에 기본 레이블을 적용합니다.

다음 단계

시스템이 스캐너 필수 구성 요소를 준수하는지 확인한 후에는 Azure Information Protection 스캐너를 계속 배포하여 파일을 자동으로 분류 및 보호합니다.

스캐너에 대한 개요는 Azure Information Protection 스캐너를 배포하여 자동으로 파일 분류 및 보호를 참조하세요.

자세한 정보: