다음을 통해 공유

PowerShell을 사용하여 정보 보호 클라이언트 설정

설명

PowerShell을 사용하여 Microsoft Purview Information Protection 클라이언트 및 PowerShell cmdlet을 설치하기 위한 지침이 포함되어 있습니다.

Microsoft Purview Information Protection 클라이언트에서 PowerShell 사용

Microsoft Purview Information Protection 모듈은 정보 보호 클라이언트와 함께 설치됩니다. 연결된 PowerShell 모듈은 PurviewInformationProtection입니다.

PurviewInformationProtection 모듈을 사용하면 명령 및 자동화 스크립트를 사용하여 클라이언트를 관리할 수 있습니다. 예를 들어:

  • Install-Scanner: Windows Server 2019, Windows Server 2016 또는 Windows Server 2012 R2를 실행하는 컴퓨터에서 Information Protection 스캐너 서비스를 설치하고 구성합니다.
  • Get-FileStatus: 지정된 파일에 대한 Information Protection 레이블 및 보호 정보를 가져옵니다.
  • 시작-검사: 정보 보호 스캐너에 일회성 검사 주기를 시작하도록 지시합니다.
  • Set-FileLabel -Autolabel: 정책에 구성된 조건에 따라 파일을 검사하여 파일에 대한 정보 보호 레이블을 자동으로 설정합니다.

PurviewInformationProtection PowerShell 모듈 설치

설치 필수 구성 요소

  • 이 모듈에는 Windows PowerShell 4.0이 필요합니다. 이 필수 구성 요소는 설치 중에 확인되지 않습니다. 올바른 버전의 PowerShell이 설치되어 있는지 확인합니다.
  • 를 실행하여 Import-Module PurviewInformationProtection최신 버전의 PurviewInformationProtection PowerShell 모듈이 있는지 확인합니다.

설치 세부 정보

PowerShell을 사용하여 정보 보호 클라이언트 및 관련 cmdlet을 설치하고 구성합니다.

PurviewInformationProtection PowerShell 모듈은 정보 보호 클라이언트의 전체 버전을 설치할 때 자동으로 설치됩니다. 또는 PowerShellOnly=true 매개 변수를 사용해야만 모듈을 설치할 수 있습니다.

모듈은 \ProgramFiles (x86)\PurviewInformationProtection 폴더에 설치된 다음 이 폴더를 PSModulePath 시스템 변수에 추가합니다.

중요합니다

PurviewInformationProtection 모듈은 레이블 또는 레이블 정책에 대한 고급 설정 구성을 지원하지 않습니다.

경로 길이가 260자보다 큰 cmdlet을 사용하려면 Windows 10 버전 1607부터 사용할 수 있는 다음 그룹 정책 설정을 사용합니다.

로컬 컴퓨터 정책>컴퓨터 구성>관리 템플릿>모든 설정>Win32 긴 경로 사용

Windows Server 2016 경우 Windows 10용 최신 관리 템플릿(.admx)을 설치할 때 동일한 그룹 정책 설정을 사용할 수 있습니다.

자세한 내용은 Windows 10 개발자 설명서에서 최대 경로 길이 제한을 참조하세요.

PurviewInformationProtection PowerShell 모듈의 필수 구성 요소 이해

PurviewInformationProtection 모듈에 대한 설치 필수 구성 요소 외에도 Azure Rights Management 서비스를 활성화해야 합니다.

경우에 따라 자신의 계정을 사용하는 다른 사람의 파일에 대한 보호를 제거할 수 있습니다. 예를 들어 데이터 검색 또는 복구를 위해 다른 사용자에 대한 보호를 제거할 수 있습니다. 레이블을 사용하여 보호를 적용하는 경우 보호를 적용하지 않는 새 레이블을 설정하여 해당 보호를 제거하거나 레이블을 제거할 수 있습니다.

이와 같은 경우 다음 요구 사항도 충족해야 합니다.

  • 조직에 대해 슈퍼 사용자 기능을 사용하도록 설정해야 합니다.
  • 계정을 Azure Rights Management 슈퍼 사용자로 구성해야 합니다.

무인 정보 보호 레이블 지정 cmdlet 실행

기본적으로 레이블 지정을 위해 cmdlet을 실행하면 명령이 대화형 PowerShell 세션의 고유한 사용자 컨텍스트에서 실행됩니다. 민감도 레이블 지정 cmdlet을 자동으로 실행하려면 다음 섹션을 읽어보세요.

레이블 지정 cmdlet을 무인으로 실행하기 위한 필수 구성 요소 이해

Purview Information Protection 레이블 지정 cmdlet을 무인으로 실행하려면 다음 액세스 세부 정보를 사용합니다.

  • 대화형으로 로그인할 수 있는 Windows 계정입니다.

  • 위임된 액세스를 위한 Microsoft Entra 계정입니다. 쉽게 관리할 수 있도록 Active Directory에서 Microsoft Entra ID로 동기화하는 단일 계정을 사용합니다.

    위임된 사용자 계정의 경우 다음 요구 사항을 구성합니다.

    요구 사항 세부 정보
    레이블 정책 이 계정에 레이블 정책이 할당되어 있고 정책에 사용하려는 게시된 레이블이 포함되어 있는지 확인합니다.

    다른 사용자에 대해 레이블 정책을 사용하는 경우 모든 레이블을 게시하는 새 레이블 정책을 만들고 이 위임된 사용자 계정에만 정책을 게시해야 할 수 있습니다.
    콘텐츠 복호화 이 계정이 콘텐츠를 암호 해독해야 하는 경우(예: 파일을 다시 보호하고 다른 사람이 보호한 파일을 검사하기 위해) 정보 보호를 위한 슈퍼 사용자로 만들고 슈퍼 사용자 기능이 사용하도록 설정되어 있는지 확인합니다.
    온보딩 컨트롤 단계적 배포를 위해 온보딩 컨트롤을 구현한 경우 이 계정이 구성한 온보딩 컨트롤에 포함되어 있는지 확인합니다.

  • 위임된 사용자가 Microsoft Purview Information Protection 인증할 수 있도록 자격 증명을 설정하고 저장하는 Microsoft Entra 액세스 토큰입니다. Microsoft Entra ID의 토큰이 만료되면 cmdlet을 다시 실행하여 새 토큰을 획득해야 합니다.

    Set-Authentication에 대한 매개 변수는 Microsoft Entra ID의 앱 등록 프로세스 값을 사용합니다. 자세한 내용은 Set-Authentication에 대한 Microsoft Entra 애플리케이션 만들기 및 구성을 참조하세요.

먼저 Set-Authentication cmdlet을 실행하여 레이블 지정 cmdlet을 비대화형으로 실행합니다.

Set-Authentication cmdlet을 실행하는 컴퓨터는 Microsoft Purview 규정 준수 포털 위임된 사용자 계정에 할당된 레이블 지정 정책을 다운로드합니다.

Set-Authentication용 Microsoft Entra 애플리케이션 만들기 및 구성

Set-Authentication cmdlet을 사용하려면 AppIdAppSecret 매개 변수에 대한 앱 등록이 필요합니다.

통합 레이블 지정 클라이언트 Set-Authentication cmdlet에 대한 새 앱 등록을 만들려면 다음을 수행합니다.

  1. 새 브라우저 창에서 Microsoft Purview Information Protection 사용하는 Microsoft Entra 테넌트에 Azure Portal 로그인합니다.

  2. Microsoft Entra ID> 앱등록>로 이동하여 새 등록을 선택합니다.

  3. Register an application(응용 프로그램 등록) 창에서 다음 값을 지정한 다음, Register(등록)를 선택합니다.

    옵션 가치
    이름 AIP-DelegatedUser
    필요에 따라 다른 이름을 지정합니다. 이름은 테넌트별로 고유해야 합니다.
    지원되는 계정 유형 이 조직 디렉터리에서만 계정을 선택합니다.
    리디렉션 URI(선택 사항) 을 선택한 다음 을 입력합니다https://localhost.

  4. AIP-DelegatedUser 창에서 애플리케이션(클라이언트) ID의 값을 복사합니다.

    값은 다음 예제와 유사합니다. 77c3c1c3-abf9-404e-8b2b-4652836c8c66

    이 값은 Set-Authentication cmdlet을 실행할 때 AppId 매개 변수에 사용됩니다. 나중에 참조할 수 있도록 값을 붙여넣고 저장합니다.

  5. 사이드바에서Manage Certificates & secrets(인증서 및 비밀>)를 선택합니다.

    그런 다음, AIP-DelegatedUser - Certificates & secrets(인증서 및 비밀) 창의 Client secrets(클라이언트 암호) 섹션에서 New client secret(새 클라이언트 암호)을 선택합니다.

  6. 클라이언트 암호 추가(Add a client secret)에서 다음을 지정한 다음, 추가(Add)를 선택합니다.

    분야 가치
    설명 Microsoft Purview Information Protection client
    만료 기간을 선택할 수 있습니다(1년, 2년 또는 만료되지 않음).

  7. AIP-DelegatedUser - Certificates & secrets 창으로 돌아가서 Client secrets 섹션에서 VALUE의 문자열을 복사합니다.

    이 문자열은 다음 예제와 유사합니다. OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4

    모든 문자를 복사하려면 클립보드에 복사 아이콘을 선택합니다.

    중요합니다

    이 문자열은 다시 표시되지 않고 검색할 수 없으므로 저장합니다. 사용하는 모든 중요한 정보와 마찬가지로 저장된 값을 안전하게 저장하고 이에 대한 액세스를 제한합니다.

  8. 사이드바에서API 권한> 선택합니다.

    AIP-DelegatedUser - API 권한 창에서 권한 추가를 선택합니다.

  9. API 권한 요청 창에서 Microsoft API 탭에 있는지 확인하고 Azure Rights Management Services를 선택합니다.

    애플리케이션에 필요한 권한 유형을 묻는 메시지가 표시되면 애플리케이션 권한을 선택합니다.

  10. 권한 선택의 경우 콘텐츠를 확장하고 다음을 선택한 다음, 권한 추가를 선택합니다.

    • Content.DelegatedReader (영문)
    • Content.DelegatedWriter

  11. AIP-DelegatedUser - API 권한 창으로 돌아가서 권한 추가를 다시 선택합니다.

    AIP 권한 요청 창에서 내 조직에서 사용하는 API를 선택하고 Microsoft Information Protection Sync Service를 검색합니다.

  12. API 권한 요청 창에서 애플리케이션 권한을 선택합니다.

    권한 선택의 경우 UnifiedPolicy를 확장하고, UnifiedPolicy.Tenant.Read를 선택한 다음, 권한 추가를 선택합니다.

  13. AIP-DelegatedUser - API 권한 창으로 돌아가서 테넌트에 대한 관리자 동의 부여를 선택하고 확인 프롬프트에 대해 예를 선택합니다.

이 단계가 끝나면 이 앱을 비밀로 등록하는 작업이 완료됩니다. AppIdAppSecret 매개 변수를 사용하여 Set-Authentication을 실행할 준비가 되었습니다. 또한 테넌트 ID가 필요합니다.

팁 (조언)

Azure Portal: Microsoft Entra ID>Manage>Properties>Directory ID를 사용하여 테넌트 ID를 빠르게 복사할 수 있습니다.

Set-Authentication cmdlet 실행

  1. 관리자 권한으로 실행 옵션을 사용하여 Windows PowerShell을 엽니다.

  2. PowerShell 세션에서 비대화형으로 실행되는 Windows 사용자 계정의 자격 증명을 저장할 변수를 만듭니다. 예를 들어 스캐너에 대한 서비스 계정을 만든 경우:

    $pscreds = Get-Credential "CONTOSO\srv-scanner"

    이 계정의 암호를 입력하라는 메시지가 표시됩니다.

  3. OnBeHalfOf 매개 변수를 사용하여 Set-Authentication cmdlet을 실행하고 만든 변수를 값으로 지정합니다.

    또한 앱 등록 값, 테넌트 ID 및 Microsoft Entra ID에서 위임된 사용자 계정의 이름을 지정합니다. 다음은 그 예입니다.

    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds