PowerShell을 사용하여 정보 보호 클라이언트 설정
Description
PowerShell을 사용하여 Microsoft Purview Information Protection 클라이언트 및 PowerShell cmdlet을 설치하는 방법에 대한 지침을 포함합니다.
Microsoft Purview Information Protection 클라이언트에서 PowerShell 사용
Microsoft Purview Information Protection 모듈은 정보 보호 클라이언트와 함께 설치됩니다. 연결된 PowerShell 모듈은 PurviewInformationProtection입니다.
PurviewInformationProtection 모듈을 사용하면 명령 및 자동화 스크립트를 사용하여 클라이언트를 관리할 수 있습니다. 예를 들어:
- Install-Scanner: Windows Server 2019, Windows Server 2016 또는 Windows Server 2012 R2를 실행하는 컴퓨터에 Information Protection 스캐너 서비스를 설치하고 구성합니다.
- Get-FileStatus: 지정된 파일 또는 파일에 대한 Information Protection 레이블 및 보호 정보를 가져옵니다.
- Start-Scan: 일회성 검사 주기를 시작하도록 정보 보호 스캐너에 지시합니다.
- Set-FileLabel -Autolabel: 정책에 구성된 조건에 따라 파일에 대한 정보 보호 레이블을 자동으로 설정하도록 파일을 검사합니다.
PurviewInformationProtection PowerShell 모듈 설치
설치 필수 조건
- 이 모듈에는 Windows PowerShell 4.0이 필요합니다. 이 필수 구성 요소는 설치 중에 확인되지 않습니다. 올바른 버전의 PowerShell이 설치되어 있는지 확인합니다.
- 를 실행
Import-Module PurviewInformationProtection하여 PurviewInformationProtection PowerShell 모듈의 최신 버전이 있는지 확인합니다.
설치 세부 정보
PowerShell을 사용하여 정보 보호 클라이언트 및 관련 cmdlet을 설치하고 구성합니다.
PurviewInformationProtection PowerShell 모듈은 전체 버전의 정보 보호 클라이언트를 설치할 때 자동으로 설치됩니다. 또는 PowerShellOnly=true 매개 변수를 사용하여서만 모듈을 설치할 수 있습니다.
이 모듈은 \ProgramFiles (x86)\PurviewInformationProtection 폴더에 설치된 다음 이 폴더를 시스템 변수에 PSModulePath 추가합니다.
중요
PurviewInformationProtection 모듈은 레이블 또는 레이블 정책에 대한 고급 설정 구성을 지원하지 않습니다.
경로 길이가 260자를 초과하는 cmdlet을 사용하려면 Windows 10 버전 1607부터 사용할 수 있는 다음 그룹 정책 설정을 사용합니다.
로컬 컴퓨터 정책>컴퓨터 구성>관리 템플릿>모든 설정>Win32 긴 경로 활성화
Windows Server 2016의 경우, Windows 10용 최신 관리 템플릿(.admx)을 설치하면 동일한 그룹 정책 설정을 사용할 수 있습니다.
자세한 내용은 Windows 10 개발자 설명서의 최대 경로 길이 제한 섹션을 참조하세요.
PurviewInformationProtection PowerShell 모듈의 필수 구성 요소 이해
PurviewInformationProtection 모듈에 대한 설치 필수 조건 외에도 Azure Rights Management 서비스도 활성화해야 합니다.
경우에 따라 사용자 고유의 계정을 사용하는 다른 사용자에 대한 파일에서 보호를 제거하려고 할 수 있습니다. 예를 들어 데이터 검색 또는 복구를 위해 다른 사용자에 대한 보호를 제거할 수 있습니다. 레이블을 사용하여 보호를 적용하는 경우 보호를 적용하지 않는 새 레이블을 설정하여 해당 보호를 제거하거나 레이블을 제거할 수 있습니다.
이와 같은 경우 다음 요구 사항도 충족해야 합니다.
- 조직에 대해 슈퍼 사용자 기능을 활성화해야 합니다.
- 계정은 Azure Rights Management 슈퍼 사용자로 구성되어야 합니다.
무인 정보 보호 레이블 지정 cmdlet 실행
기본적으로 레이블 지정에 대한 cmdlet을 실행하는 경우 명령이 대화형 PowerShell 세션의 자체적인 사용자 컨텍스트에서 실행됩니다. 민감도 레이블 지정 cmdlet을 자동으로 실행하려면 다음 섹션을 읽어보세요.
- 무인 레이블 지정 cmdlet을 실행하기 위한 필수 구성 요소 이해
- Set-Authentication에 대한 Microsoft Entra 애플리케이션 Create 및 구성
- Set-Authentication cmdlet 실행
무인 레이블 지정 cmdlet을 실행하기 위한 필수 구성 요소 이해
Purview Information Protection 레이블 지정 cmdlet을 무인으로 실행하려면 다음 액세스 세부 정보를 사용합니다.
대화형으로 로그인할 수 있는 Windows 계정
위임된 액세스에 대한 Microsoft Entra 계정입니다. 관리 편의를 위해 Active Directory에서 Microsoft Entra ID 동기화하는 단일 계정을 사용합니다.
위임된 사용자 계정의 경우 다음 요구 사항을 구성합니다.
요구 사항 세부 정보 레이블 정책 이 계정에 레이블 정책이 할당되어 있고 정책에 사용하려는 게시된 레이블이 포함되어 있는지 확인합니다.
다른 사용자에 대해 레이블 정책을 사용하는 경우 모든 레이블을 게시하는 새 레이블 정책을 만들고 이 위임된 사용자 계정에만 정책을 게시해야 할 수 있습니다.콘텐츠 암호 해독 예를 들어 파일을 다시 보호하고 다른 사용자가 보호하는 파일을 검사하기 위해 이 계정이 콘텐츠의 암호를 해독해야 하는 경우 Information Protection 슈퍼 사용자로 설정하고 슈퍼 사용자 기능이 사용하도록 설정되어 있는지 확인합니다. 온보딩 컨트롤 단계적 배포를 위해 온보딩 컨트롤을 구현한 경우 구성한 온보딩 컨트롤에 이 계정이 포함되어 있는지 확인합니다. 위임된 사용자가 Microsoft Purview Information Protection 인증할 자격 증명을 설정하고 저장하는 Microsoft Entra 액세스 토큰입니다. Microsoft Entra ID 토큰이 만료되면 cmdlet을 다시 실행하여 새 토큰을 획득해야 합니다.
Set-Authentication에 대한 매개 변수는 Microsoft Entra ID 앱 등록 프로세스의 값을 사용합니다. 자세한 내용은 Set-Authentication에 대한 Microsoft Entra 애플리케이션 Create 및 구성을 참조하세요.
먼저 Set-Authentication cmdlet을 실행하여 비대화형으로 레이블 지정 cmdlet을 실행합니다.
Set-Authentication cmdlet을 실행하는 컴퓨터는 Microsoft Purview 규정 준수 포털 위임된 사용자 계정에 할당된 레이블 지정 정책을 다운로드합니다.
Set-Authentication 대한 Microsoft Entra 애플리케이션 Create 및 구성
Set-Authentication cmdlet에는 AppId 및 AppSecret 매개 변수에 대한 앱 등록이 필요합니다.
통합 레이블 지정 클라이언트 Set-Authentication cmdlet에 대한 새 앱 등록을 만들려면 다음을 수행합니다.
새 브라우저 창에서 Microsoft Purview Information Protection 사용하는 Microsoft Entra 테넌트로 Azure Portal 로그인합니다.
Microsoft Entra ID>관리>앱 등록로 이동하고 새 등록을 선택합니다.
애플리케이션 등록 창에서 다음 값을 지정한 다음 등록을 선택합니다.
옵션 값 이름 AIP-DelegatedUser
필요에 따라 다른 이름을 지정합니다. 이름은 테넌트별로 고유해야 합니다.지원되는 계정 유형 이 조직 디렉터리의 계정만을 선택합니다. 리디렉션 URI(선택 사항) 웹을 선택한 후 https://localhost를 입력합니다.AIP-DelegatedUser 창에서 애플리케이션(클라이언트) ID의 값을 복사합니다.
값은
77c3c1c3-abf9-404e-8b2b-4652836c8c66예제와 유사합니다.이 값은 Set-Authentication cmdlet을 실행할 때 AppId 매개 변수에 사용됩니다. 나중에 참조할 수 있도록 값을 붙여넣고 저장합니다.
사이드바에서인증서 & 비밀관리를> 선택합니다.
그런 다음 AIP-DelegatedUser - 인증서 & 비밀 창의 클라이언트 비밀 섹션에서 새 클라이언트 암호를 선택합니다.
클라이언트 암호 추가의 경우 다음을 지정한 후 추가를 선택합니다.
필드 값 설명 Microsoft Purview Information Protection clientExpires 선택한 기간 지정(1년, 2년 또는 만료되지 않음) AIP-DelegatedUser - 인증서 & 비밀 창으로 돌아가서 클라이언트 비밀 섹션에서 VALUE에 대한 문자열을 복사합니다.
이 문자열은
OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4예제와 비슷한 형식입니다.모든 문자를 복사하려면 클립보드에 복사할 아이콘을 선택합니다.
중요
이 문자열은 다시 표시되지 않고 검색할 수 없으므로 저장합니다. 사용하는 모든 중요한 정보와 마찬가지로 저장된 값을 안전하게 저장하고 액세스를 제한합니다.
사이드바에서 관리>API 권한을 선택합니다.
AIP-DelegatedUser - API 권한 창에서 권한 추가를 선택합니다.
요청 API 권한 창에서 Microsoft API 탭에 있는지 확인하고 Azure Rights Management 서비스를 선택합니다.
애플리케이션에 필요한 권한 유형을 묻는 메시지가 표시되면 애플리케이션 권한을 선택합니다.
권한 선택의 경우 콘텐츠를 확장하고 다음을 선택한 후, 권한 추가를 선택합니다.
- Content.DelegatedReader
- Content.DelegatedWriter
AIP-DelegatedUser - API 권한 창으로 돌아가 권한 추가를 다시 선택합니다.
AIP 권한 요청 창에서 조직에서 사용하는 API를 선택하고 Microsoft Information Protection 동기화 서비스를 검색합니다.
필수 API 권한 창에서 애플리케이션 사용 권한을 선택합니다.
권한 선택의 경우 UnifiedPolicy를 확장하고 UnifiedPolicy.Tenant.Read를 선택한 후 권한 추가를 선택합니다.
AIP-DelegatedUser - API 권한 창으로 돌아가서 테넌트 관리자 동의 부여를 선택하고 확인 프롬프트에서 예를 선택합니다.
이 단계가 끝나면 비밀로 이 앱의 등록이 완료됩니다. AppId 및 AppSecret 매개 변수를 사용하여 Set-Authentication을 실행할 준비가 된 것입니다. 또한 테넌트 ID가 필요합니다.
팁
Azure Portal: Microsoft Entra ID>속성>디렉터리 ID관리를> 사용하여 테넌트 ID를 빠르게 복사할 수 있습니다.
Set-Authentication cmdlet 실행
관리자 권한으로 실행 옵션을 사용하여 Windows PowerShell을 엽니다.
PowerShell 세션에서 비대화형으로 실행되는 Windows 사용자 계정의 자격 증명을 저장하는 변수를 만듭니다. 예를 들어 스캐너에 대한 서비스 계정을 만든 경우:
$pscreds = Get-Credential "CONTOSO\srv-scanner"이 계정의 암호를 입력하라는 메시지가 표시됩니다.
OnBeHalfOf 매개 변수를 사용하여 Set-Authentication cmdlet을 실행하여 사용자가 만든 변수의 값으로 지정합니다.
또한 앱 등록 값, 테넌트 ID 및 Microsoft Entra ID 위임된 사용자 계정의 이름을 지정합니다. 예:
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds