자습서: AIP(Azure Information Protection) 통합 레이블 지정 스캐너 설치

이 자습서에서는 AIP(Azure Information Protection) 온-프레미스 스캐너를 설치하는 방법을 설명합니다. 스캐너를 통해 AIP 관리자는 네트워크 및 콘텐츠 공유에서 중요한 데이터를 스캔하고 조직의 정책에 구성된 대로 분류 및 보호 레이블을 적용할 수 있습니다.

필요 시간: 이 자습서는 30분 내에 완료할 수 있습니다.

자습서 필수 구성 요소

통합 레이블 지정 스캐너를 설치하고 이 자습서를 완료하려면 다음이 필요합니다.

요구 사항 Description
지원 구독 Azure Information Protection을 포함하는 Azure 구독이 필요합니다.

이러한 구독 중 하나라도 없으면 조직을 위해 무료 계정을 만듭니다.
Azure Portal에 대한 관리자 액세스 권한 다음 관리자 계정 중 하나를 사용하여 Azure Portal에 로그인할 수 있는지 확인합니다.

- 규정 준수 관리자
- 규정 준수 데이터 관리자
- 보안 관리자
- 전역 관리자
클라이언트 설치 스캐너 설치에 액세스하려면 먼저 검사를 실행하는 데 사용할 컴퓨터에 AIP 통합 레이블 지정 클라이언트를 설치합니다.

Microsoft 다운로드 센터에서 AzInfoProtection_UL.exe를 다운로드 및 실행합니다.

설치가 완료되면 컴퓨터 또는 Office 소프트웨어를 다시 시작하라는 메시지가 표시될 수 있습니다. 계속하려면 필요에 따라 다시 시작합니다.

자세한 내용은 빠른 시작: AIP(Azure Information Protection) 통합 레이블 지정 클라이언트 배포를 참조하세요.
SQL Server 스캐너를 실행하려면 스캐너 컴퓨터에 SQL Server가 설치되어 있어야 합니다.

설치하려면 SQL Server 다운로드 페이지로 이동하고 설치하려는 설치 옵션 아래에서 지금 다운로드를 선택합니다. 설치 관리자에서 기본 설치 유형을 선택합니다.

참고: 프로덕션 환경에는 SQL Server Enterprise를 설치하고 테스트 환경용으로는 Express만 설치하는 것이 좋습니다.
Azure Active Directory 계정 표준 클라우드 연결 환경에서 작업하는 경우 스캐너에 사용하려는 도메인 서비스 계정을 Azure Active Directory와 동기화해야 합니다. 오프라인으로 작업하는 경우에는 이 작업이 필요하지 않습니다.

자신의 계정을 잘 모르는 경우 시스템 관리자 중 한 명에게 문의하여 동기화 상태를 확인합니다.
민감도 레이블 및 게시된 정책 스캐너 서비스 계정에 대해 민감도 레이블을 만들고 Microsoft 365 규정 준수 센터에 레이블이 하나 이상 있는 정책을 게시해야 합니다.

Microsoft Purview 규정 준수 포털 민감도 레이블을 구성합니다. 자세한 내용은 Microsoft 365 설명서를 참조하세요.

자세한 내용은 Azure Information Protection 통합 레이블 지정 스캐너를 설치 및 배포하기 위한 요구 사항을 참조하세요. 필수 조건을 확인한 후에는 Azure Portal에서 Azure Information Protection을 구성합니다.

Azure Portal에서 Azure Information Protection 구성

Azure Portal에서 Azure Information Protection을 사용할 수 없거나 보호가 현재 활성화되어 있지 않을 수 있습니다.

필요에 따라 다음 단계 중 하나 또는 모두를 수행합니다.

그런 다음 계속해서 Azure Portal에서 초기 스캐너 설정 구성을 수행합니다.

Azure Portal에 Azure Information Protection 추가

  1. 지원되는 관리자 계정을 사용하여 Azure Portal에 로그인합니다.

  2. + 리소스 만들기를 선택합니다. 검색 상자에서 Azure Information Protection을 검색하여 선택합니다. Azure Information Protection 페이지에서 만들기, 만들기를 차례로 선택합니다.

    Azure Portal에 Azure Information Protection 추가

    이 단계를 처음 수행하는 경우 창 이름 옆에 대시보드에 고정대시보드에 고정 아이콘 아이콘이 표시됩니다. 다음부터 여기에서 직접 탐색할 수 있도록 대시보드에 타일을 만들려면 고정 아이콘을 선택합니다.

계속해서 보호가 활성화되었는지 확인을 수행합니다.

보호가 활성화되었는지 확인

Azure Information Protection을 이미 사용할 수 있는 경우 보호가 활성화되어 있는지 확인합니다.

  1. Azure Information Protection 영역의 왼쪽에 있는 관리에서 보호 활성화를 선택합니다.

  2. 테넌트에 대해 보호가 활성화되었는지 확인합니다. 예를 들면 다음과 같습니다.

    AIP 활성화 확인

보호가 활성화되지 않은 경우 활성화 AIP활성화를 선택합니다. 활성화가 완료되면 정보 표시줄에 활성화가 성공적으로 완료됨이 표시됩니다.

계속해서 Azure Portal에서 초기 스캐너 설정 구성을 수행합니다.

Azure Portal에서 초기 스캐너 설정 구성

컴퓨터에 스캐너를 설치하기 전에 Azure Portal에서 초기 스캐너 설정을 준비합니다.

  1. Azure Information Protection 영역의 왼쪽 스캐너에서 클러스터를 선택합니다.

  2. 클러스터 페이지에서 추가를 선택하여 스캐너를 관리할 새 클러스터를 만듭니다.

  3. 오른쪽에 열리는 새 클러스터 추가 창에서 의미 있는 클러스터 이름과 설명(선택 사항)을 입력합니다.

    중요

    스캐너를 설치할 때 이 클러스터의 이름이 필요합니다.

    예를 들어:

    자습서용 새 클러스터 추가

  4. 초기 콘텐츠 스캔 작업을 만듭니다. 왼쪽의 스캐너 메뉴에서 콘텐츠 검색 작업을 선택한 다음, 추가를 선택합니다.

  5. 새 콘텐츠 스캔 작업 추가 창에서 콘텐츠 스캔 작업에 대해 의미 있는 이름과 설명(선택 사항)을 입력합니다.

    그런 다음 페이지의 아래로 스크롤하여 정책 적용끄기를 차례로 선택합니다.

    작업이 완료되면 변경 내용을 저장합니다.

    이 기본 스캔 작업은 알려진 모든 중요한 정보 유형을 스캔합니다.

  6. 콘텐츠 검색 작업의 세부 정보 창을 닫고 콘텐츠 검색 작업 그리드로 돌아갑니다.

    콘텐츠 스캔 작업에 대해 표시되는 새 행의 클러스터 이름 열에서 +클러스터에 할당을 선택합니다. 그런 다음 오른쪽에 표시되는 클러스터에 할당 창에서 클러스터를 선택합니다.

    클러스터에 할당

이제 AIP 통합 레이블 지정 스캐너를 설치할 준비가 되었습니다.

AIP 통합 레이블 지정 스캐너 설치

Azure Portal에서 기본 스캐너 설정을 구성했으면 스캐너 서버에 통합 레이블 지정 스캐너를 설치합니다.

  1. 스캐너 서버에서 관리자 권한으로 실행 옵션을 사용하여 PowerShell 세션을 엽니다.

  2. 다음 명령을 사용하여 스캐너를 설치합니다. 명령에서 스캐너를 설치하려는 위치와 Azure Portal에서 만든 클러스터의 이름을 지정합니다.

    Install-AIPScanner -SqlServerInstance <your SQL installation location>\SQLEXPRESS -Cluster <cluster name>
    

    예를 들어:

    Install-AIPScanner -SqlServerInstance localhost\SQLEXPRESS -Cluster Quickstart
    

    PowerShell에서 자격 증명을 묻는 메시지를 표시하면 사용자 이름 및 암호를 입력합니다.

    사용자 이름 필드의 경우 <domain\user name> 구문을 사용합니다. 예: emea\contososcanner.

  3. Azure Portal로 돌아갑니다. 왼쪽의 스캐너 메뉴에서 노드를 선택합니다.

    이제 스캐너가 그리드에 추가된 것을 볼 수 있습니다. 예를 들어:

    노드 그리드에 표시된 새로 설치된 스캐너

계속해서 스캐너에 대한 Azure Active Directory 토큰 가져오기를 통해 스캐너 서비스 계정을 비대화형으로 실행할 수 있습니다.

스캐너에 대한 Azure Active Directory 토큰 가져오기

표준 클라우드 연결 환경에서 작업할 때 이 절차를 수행하면, AIP 서비스에 대해 스캐너를 인증하여 서비스를 비대화형으로 실행할 수 있습니다.

오프라인으로만 작업하는 경우에는 이 절차가 필요하지 않습니다.

자세한 내용은 Azure Information Protection에 대해 비대화형으로 파일에 레이블을 지정하는 방법을 참조하세요.

스캐너에 대한 Azure AD 토큰을 가져오려면:

  1. Azure Portal에서 인증용 액세스 토큰을 지정하는 Azure AD 애플리케이션을 만듭니다.

  2. 스캐너 컴퓨터에서 로컬로 로그온 권한이 부여된 스캐너 서비스 계정으로 로그인하고 PowerShell 세션을 시작합니다.

  3. PowerShell 세션을 시작하고 Azure AD 애플리케이션에서 복사된 값을 사용하여 다음 명령을 실행합니다.

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    예를 들면 다음과 같습니다.

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    
    Acquired application access token on behalf of CONTOSO\scanner.
    

    스캐너 서비스 계정에 설치를 위한 로컬로 로그온 권한을 부여할 수 없는 경우 DelegatedUser 매개 변수 대신 Set-AIPAuthentication과 함께 OnBehalfOf 매개 변수를 사용합니다.

이제 스캐너에는 Azure AD 인증을 위한 토큰이 있습니다. 이 토큰은 Azure Active Directory에서 구성한 기간까지 유효합니다. 토큰이 만료되면 이 절차를 반복해야 합니다.

계속해서 선택적인 네트워크 검색 서비스 설치를 수행합니다. 이 작업을 수행하면 네트워크 리포지토리에서 위험할 수 있는 콘텐츠를 스캔한 다음 해당 리포지토리를 콘텐츠 스캔 작업에 추가할 수 있습니다.

네트워크 검색 서비스 설치(공개 미리보기)

AIP 통합 레이블 지정 클라이언트의 2.8.85.0 버전부터, 관리자는 AIP 스캐너를 사용하여 네트워크 리포지토리를 스캔한 후 위험한 것으로 보이는 모든 리포지토리를 콘텐츠 스캔 작업에 추가할 수 있습니다.

네트워크 스캔 작업을 사용하면 관리자 및 퍼블릭 사용자 모두로 리포지토리에 액세스를 시도하여 콘텐츠가 위험할 수 있는 위치를 파악할 수 있습니다.

예를 들어 리포지토리에 읽기 및 쓰기 퍼블릭 액세스 권한이 모두 있는 것으로 확인되면, 추가로 스캔하여 중요한 데이터가 저장되지 않았는지 확인하는 것이 좋습니다.

참고

이 기능은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

네트워크 검색 서비스를 설치하려면:

  1. 스캐너 컴퓨터에서 관리자 권한으로 PowerShell 세션을 엽니다.

  2. 네트워크 검색 서비스를 실행할 때 그리고 관리자 및 퍼블릭 사용자 액세스를 시뮬레이션할 때 AIP에서 사용할 자격 증명을 정의합니다.

    메시지가 표시될 때 각 명령의 자격 증명을 입력하려면 domain\user 구문을 사용합니다. emea\msanchez

    다음을 실행합니다.

    네트워크 검색 서비스를 실행하기 위한 자격 증명:

    $serviceacct= Get-Credential 
    

    관리자 액세스를 시뮬레이션하기 위한 자격 증명:

    $shareadminacct= Get-Credential 
    

    퍼블릭 사용자 액세스를 시뮬레이션하기 위한 자격 증명:

    $publicaccount= Get-Credential 
    
  3. 네트워크 검색 서비스를 설치하려면 다음을 실행합니다.

    Install-MIPNetworkDiscovery [-ServiceUserCredentials] <PSCredential> [[-StandardDomainsUserAccount] <PSCredential>] [[-ShareAdminUserAccount] <PSCredential>] [-SqlServerInstance] <String> -Cluster <String> [-WhatIf] [-Confirm] [<CommonParameters>]
    
    For example:
    
    ```PowerShell
    Install-MIPNetworkDiscovery -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Quickstart -ServiceUserCredentials $serviceacct  -ShareAdminUserAccount $shareadminacct -StandardDomainsUserAccount $publicaccount
    
    

설치가 완료되면 시스템에서 확인 메시지를 표시합니다.

다음 단계

스캐너와 네트워크 검색 서비스가 설치되면 검색을 시작할 준비가 된 것입니다.

자세한 내용은 자습서: AIP(Azure Information Protection) 스캐너를 사용하여 중요한 콘텐츠 검색을 참조하세요.

2.8.85.0 버전을 설치한 경우 네트워크를 스캔하여 콘텐츠가 위험할 수 있는 리포지토리를 검색하는 것이 좋습니다.

위험한 리포지토리에서 중요한 데이터를 스캔한 다음 해당 데이터를 분류하고 외부 사용자로부터 보호하려면, 발견한 리포지토리의 세부 정보를 사용하여 콘텐츠 스캔 작업을 업데이트합니다.

참고 항목: