Protect-RMSFile
RMS를 사용하여 지정된 파일 또는 지정된 폴더의 파일을 보호합니다.
Syntax
Protect-RMSFile
[-File <String>]
[-Folder <String>]
[-InPlace]
[-Recurse]
[-TemplateID <String>]
[-License <SafeInformationProtectionLicenseHandle>]
[-DoNotPersistEncryptionKey <String>]
[-OutputFolder <String>]
[-OwnerEmail <String>]
[<CommonParameters>]Description
Protect-RMSFile cmdlet은 Azure RMS 또는 AD RMS를 사용하여 지정된 폴더의 파일 또는 모든 파일을 보호합니다. 파일이 이전에 보호된 경우 파일을 보호하는 데 사용되는 템플릿에 적용할 수 있는 변경 내용과 같은 변경 내용을 적용하기 위해 다시 보호됩니다.
파일 탐색기 "분류 및 보호" 마우스 오른쪽 단추 클릭 옵션을 사용할 때 Azure Information Protection 클라이언트에서 파일을 보호할 수 있는 것과 동일한 방식으로 여러 파일 형식을 보호할 수 있습니다.
파일 형식에 따라 다양한 수준의 보호가 자동으로 적용됩니다(네이티브 또는 제네릭). 레지스트리를 편집하여 보호 수준을 변경할 수 있습니다. 또한 일부 파일은 Rights Management로 보호된 후 파일 이름 확장명을 변경합니다. 자세한 내용은 Azure Information Protection 클라이언트 관리자 가이드에서 보호에 지원되는 파일 형식을 참조하세요.
이 cmdlet을 실행하기 전에 Get-RMSTemplate 을 실행하여 템플릿을 컴퓨터에 다운로드해야 합니다. 이 cmdlet을 실행한 이후 사용하려는 템플릿이 수정된 경우 -force 매개 변수를 사용하여 다시 실행하여 수정된 템플릿을 다운로드합니다.
이 cmdlet을 실행하면 다음과 같은 옵션이 있습니다.
파일이 현재 위치에서 보호되어 보호되지 않은 원래 파일을 대체합니다.
원래 파일은 보호되지 않은 상태로 유지되며 보호된 버전의 파일이 다른 위치에 만들어집니다.
지정된 폴더의 모든 파일은 현재 위치에서 보호되어 보호되지 않은 원래 파일을 대체합니다.
지정된 폴더의 모든 파일은 보호되지 않은 상태로 유지되며 각 파일의 보호된 버전은 다른 위치에 만들어집니다.
이 명령을 동시에 실행할 수는 없지만 원래 명령이 완료될 때까지 기다렸다가 다시 실행해야 합니다. 이전 명령이 완료되기 전에 다시 실행하려고 하면 새 명령이 실패합니다.
이 cmdlet은 Success.log, Failure.log 및 Debug.log의 %localappdata%\Microsoft\MSIPC\pscmdlet\Logs\\<GUID>로그 파일에 씁니다.
팁
이 cmdlet을 사용하여 파일 Resource Manager 및 파일 분류 인프라를 사용하여 Windows Server 파일 공유의 파일을 보호하는 단계별 지침은 Windows Server FCI(파일 분류 인프라)를 사용한 RMS Protection을 참조하세요.
예제
예제 1: 템플릿을 사용하여 단일 파일 보호 및 바꾸기
PS C:\>Protect-RMSFile -File "C:\Test.docx" -InPlace -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test.docx이 명령은 템플릿을 사용하여 Test.docx 명명된 단일 파일을 보호하고 원래 보호되지 않은 파일을 대체합니다. 파일의 Rights Management 소유자 및 보호된 파일에 액세스할 때 사용자에게 표시될 수 있는 전자 메일 주소는 명령을 실행하는 계정의 전자 메일 주소로 자동으로 설정됩니다.
예제 2: 템플릿을 사용하여 단일 파일의 보호된 복사본 만들기
PS C:\>Protect-RMSFile -File "Test.docx" -TemplateID 82bf3474-6efe-4fa1-8827-d1bd93339119
InputFile EncryptedFile
--------- -------------
C:\Test.docx C:\Test-Copy.docx이 명령은 InPlace 매개 변수를 사용하지 않는다는 점을 제외하고 이전 예제와 동일합니다. 또한 OutputFolder 매개 변수를 사용하지 않으므로 파일 이름에 "-Copy"가 추가된 현재 폴더에 보호된 파일이 만들어집니다. 보호되지 않은 원래 파일은 현재 폴더에 남아 있습니다.
예제 3: 템플릿을 사용하여 보호된 버전의 파일 만들기
PS C:\>Protect-RMSFile -File "C:\Test.docx" -OutputFolder "C:\Temp" -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "admin@Contoso.com"
InputFile EncryptedFile
--------- -------------
C:\Test.txt C:\Temp\Test.ptxt이 명령은 템플릿을 사용하여 Test.docx 명명된 단일 파일을 보호하고 이 보호된 버전의 파일을 C:\Temp에 배치하여 원래 파일을 C: 드라이브의 루트에 보호되지 않습니다. 파일의 Rights Management 소유자 및 보호된 파일에 액세스할 때 사용자에게 표시될 수 있는 전자 메일 주소는 관리자를 위한 것입니다.
예제 4: 템플릿을 사용하여 폴더의 모든 파일 보호
PS C:\>Protect-RMSFile -Folder "\\server1\Docs" -InPlace -DoNotPersistEncryptionKey All -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerEmail "IT@Contoso.com"
InputFile EncryptedFile
---------- -------------
\\server1\Docs\Feb2015.docx \\server1\Docs\Feb2015.docx
\\server1\Docs\Feb2015.txt \\server1\Docs\Feb2015.ptxt
\\server1\Docs\Jan2015.docx \\server1\Docs\Jan2015.docx
\\server1\Docs\Jan2015.txt \\server1\Docs\Jan2015.ptxt이 명령은 서버 공유의 모든 파일(하위 폴더가 아닌 단일 폴더만)을 보호하여 보호되지 않는 파일을 대체합니다. 사용자에게 액세스 권한이 없을 때 표시되는 전자 메일 주소는 IT 부서 그룹에 대한 것이며 이 그룹에는 보호된 파일에 대한 사용 권한을 변경할 수 있도록 템플릿에 모든 권한 사용 권한이 부여됩니다.
이 시나리오는 다른 사용자를 대신하여 파일을 보호하므로 DoNotPersistEncryptionKey 매개 변수는 성능을 극대화하고 사용하지 않는 파일이 디스크에 저장되지 않도록 방지하는 데 사용됩니다.
예제 5: 템플릿을 사용하여 폴더에 특정 파일 이름 확장명을 가진 보호된 파일
PS C:\>foreach ($file in (Get-ChildItem -Path \\server1\Docs -Recurse -Force | where {!$_.PSIsContainer} | Where-Object {$_.Extension -eq ".docx"})) {Protect-RMSFile -File $file.PSPath -InPlace -DoNotPersistEncryptionKey All -TemplateID "e6ee2481-26b9-45e5-b34a-f744eacd53b0" -OwnerEmail "IT@Contoso.com"}
InputFile EncryptedFile
--------- -------------
\\server1\Docs\Feb2015.docx \\server1\Docs\Feb2015.docx
\\server1\Docs\Jan2015.docx \\server1\Docs\Jan2015.docx
\\server1\Docs\Reports\Feb2015.docx \\server1\Docs\Reports\Feb2015.docx
\\server1\Docs\Reports\Jan2015.docx \\server1\Docs\Reports\Jan2015.docx이 명령은 서버 공유의 폴더(및 모든 하위 폴더)에 .docx 파일 이름 확장명이 있는 파일만 보호하고 보호되지 않은 파일을 대체합니다. 이전 예제와 같이 사용자에게 액세스 권한이 없을 때 표시되는 전자 메일 주소는 IT 부서용입니다.
Protect-RMSFile 명령은 와일드카드를 기본적으로 지원하지 않지만 Windows PowerShell 사용하여 이를 달성하고 필요에 따라 예제에서 파일 이름 확장명을 변경할 수 있습니다.
예제 6: 임시 권한 정책을 사용하여 단일 파일 보호
PS C:\>$License = New-RMSProtectionLicense -UserEmail 'user1@contoso.com' -Permission EDIT
PS C:\> Protect-RMSFile -License $License -File "C:\Test.txt" -InPlace
InputFile EncryptedFile
--------- -------------
C:\Test.txt C:\Test.ptxt첫 번째 명령은 편집 권한을 부여하는 임시 권한 user1@contoso.com정책을 만듭니다.
두 번째 명령은 방금 만든 이 임시 권한 정책을 사용하여 Test.txt이라는 단일 파일을 보호하고 원래 보호되지 않은 파일을 대체합니다.
전자 메일 주소가 user1@contoso.com없으면 권한이 없고 Rights Management 소유자가 아니므로 명령이 완료된 후에는 이 파일의 보호를 해제할 수 없습니다.
나중에 이 파일을 보호 해제해야 하는 경우 이름을 추가하고 첫 번째 명령의 임시 권한 정책에서 사용자와 사용자에게 EXTRACT 또는 OWNER 권한을 부여할 수 있습니다. 또는 사용자가 파일 보호를 해제할 수 없도록 하려면 -OwnerEmail 전자 메일 <주소를> 두 번째 명령의 끝에 추가합니다.
매개 변수
-DoNotPersistEncryptionKey
파일을 보호할 때 Rights Management 발급자의 자체 부여 최종 사용자 라이선스가 저장되지 않도록 합니다. 이 라이선스를 사용하면 Rights Management 발급자가 Rights Management 서비스에 인증하지 않고 보호된 파일을 열 수 있습니다. 이렇게 하면 이 cmdlet을 실행한 사용자가 오프라인 상태일 때에도 보호한 자체 파일을 항상 열 수 있습니다. 또한 해당 사용자가 이러한 보호된 파일을 열도록 지연을 최소화합니다.
Rights Management 발급자가 파일을 보호하는 계정입니다. 자세한 내용은 Rights Management 발급자 및 Rights Management 소유자를 참조하세요.
기본적으로 이 자체 부여 최종 사용자 라이선스는 파일 자체와 cmdlet이 실행되는 컴퓨터에 모두 저장됩니다. 파일 이름은 EUL로 시작하고 %localappdata%\Microsoft\MSIPC에 만들어집니다. 이 매개 변수를 사용하여 이 최종 사용자 라이선스가 파일, 컴퓨터 또는 둘 다에 저장되지 않도록 합니다. 예를 들어 Windows Server FCI를 사용하여 다른 사용자를 대신하여 파일을 보호하는 경우 이 매개 변수를 지정하는 것이 적절합니다. 이 시나리오에서는 Rights Management 발급자가 보호된 파일을 열지 않으므로 최종 사용자 라이선스를 만들고 저장하면 보호 성능이 저하되고 사용 가능한 디스크 공간을 채울 수 있는 많은 파일이 불필요하게 생성됩니다.
이 매개 변수에 허용되는 값은 다음과 같습니다.
디스크: 권한 관리 발급자의 최종 사용자 라이선스는 %localappdata%\Microsoft\MSIPC의 각 파일에 대해 생성되지 않습니다.
라이센스: Rights Management 발급자의 최종 사용자 라이선스는 파일의 게시 라이선스에 삽입되지 않습니다.
모든: 파일이 보호될 때 Rights Management 발급자의 최종 사용자 라이선스가 만들어지고 저장되지 않습니다.
| Type: | String |
| Accepted values: | all, disk, license |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-File
보호할 경로 및 파일 이름을 지정합니다. 경로의 경우 드라이브 문자 또는 UNC를 사용할 수 있습니다.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Folder
보호할 경로 및 폴더를 지정합니다. 경로의 경우 드라이브 문자 또는 UNC를 사용할 수 있습니다.
현재 지정된 폴더에 있는 모든 파일이 보호됩니다. 폴더에 추가된 새 파일은 자동으로 보호되지 않습니다.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-InPlace
지정된 폴더의 파일 또는 파일은 현재 위치에서 보호되어 보호되지 않은 원본 파일 또는 파일을 대체합니다. OutputFolder 매개 변수가 지정된 경우 이 매개 변수는 무시됩니다.
InPlace와 OutputFolder를 지정하지 않으면 파일이 복사되어 동일한 폴더에 붙여넣을 때 파일 탐색기 사용하는 것과 동일한 명명 규칙을 사용하여 파일 이름에 "-Copy"가 추가된 현재 디렉터리에 새 파일이 만들어집니다. 예를 들어 Document.docx 있는 파일이 보호되지 않은 경우 보호된 버전의 이름은 Document-Copy.docx. Document-Copy.docx 파일이 이미 있는 경우 Document-Copy(2).docx 만들어집니다.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-License
New-RMSProtectionLicense cmdlet을 사용하여 만든 임시 권한 정책을 저장하는 변수 이름을 지정합니다. 이 임시 권한 정책은 파일 또는 파일을 보호하기 위해 템플릿 대신 사용됩니다.
| Type: | SafeInformationProtectionLicenseHandle |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-OutputFolder
보호되지 않은 상태로 유지되는 원본 파일의 보호된 버전을 배치할 경로 및 폴더를 지정합니다. 원래 폴더 구조는 유지 관리되므로 지정된 값에 대해 하위 폴더를 만들 수 있습니다.
경로의 경우 드라이브 문자 또는 UNC를 사용할 수 있습니다.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-OwnerEmail
메일 주소로 보호된 파일 또는 파일의 Rights Management 소유자를 지정합니다.
기본적으로 이 cmdlet을 실행하는 계정은 Rights Management 발급자 및 보호된 파일의 Rights Management 소유자입니다. 이 매개 변수를 사용하면 지정된 계정에 파일에 대한 모든 사용 권한(모든 권한)이 있고 항상 액세스할 수 있도록 보호된 파일에 다른 Rights Management 소유자를 할당할 수 있습니다. Rights Management 소유자는 Windows 파일 시스템 소유자와 독립적입니다. 자세한 내용은 Rights Management 발급자 및 Rights Management 소유자를 참조하세요.
이 매개 변수의 값을 지정하지 않으면 cmdlet은 인증된 세션의 이메일 주소를 사용하여 보호된 파일 또는 파일의 Rights Management 소유자를 식별합니다. 파일을 보호하기 위해 AD RMS 또는 사용자 계정으로 Azure RMS를 사용하는 경우 이메일 주소가 됩니다. 서비스 주체 계정으로 Azure RMS를 사용하는 경우 이 전자 메일 주소는 숫자와 문자의 긴 문자열이 됩니다. 이 전자 메일 주소는 권한이 요청될 수 있도록 보호된 문서를 볼 수 있는 파마가 없는 사용자에게 표시됩니다.
서비스 주체 계정으로 Azure RMS에 대해 이 cmdlet을 실행하고 보호 중인 파일 또는 파일을 소유하고 있는 경우 이 매개 변수에 대한 사용자 고유의 이메일 주소를 지정합니다. 서비스 주체 계정으로 Azure RMS에 대해 이 cmdlet을 실행하고 단일 사용자가 보호 중인 파일 또는 모든 파일을 소유하는 경우 원래 파일 소유자가 파일을 변경하고 의도한 대로 사용하도록 제한하지 않도록 해당 전자 메일 주소를 지정합니다.
다른 사용자에 속하는 여러 파일로 이 cmdlet을 실행하는 경우 해당 사용자에게 모든 권한 사용 권한이 부여되었는지 확인하고 이 매개 변수에 할당할 전자 메일 주소를 고려합니다. 그룹 전자 메일 주소를 지정할 수 있고 액세스 권한을 요청하기 위해 이 주소가 표시되지만 그룹의 구성원은 Rights Management 소유자가 되지 않으며 기본적으로 보호 파일에 대한 사용 권한이 없습니다. 이 시나리오에서는 단일 사용자(예: 관리자)를 할당할지 또는 모든 권한 사용 권한을 할당하는 그룹 전자 메일 주소를 지정할지 선택합니다. 예를 들어 그룹 전자 메일 구성의 경우 지원 센터일 수 있습니다.
중요: 이 매개 변수는 선택 사항이지만 Azure RMS 및 서비스 주체를 사용하여 파일을 보호할 때 지정하지 않으면 Azure Information Protection 클라이언트에서 사용자에게 표시되는 이메일 주소는 유용하지 않습니다. 따라서 사용자 계정이 아닌 Azure RMS 및 서비스 주체를 사용하여 파일을 보호할 때 항상 이 매개 변수를 지정하는 것이 좋습니다.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Recurse
Folder 매개 변수와 함께 사용하는 경우 하위 폴더의 모든 현재 파일이 보호됨을 나타냅니다.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-TemplateID
임시 정책에 대해 License 매개 변수를 사용하지 않는 경우 지정된 파일 또는 파일을 보호하는 데 사용할 템플릿의 ID를 지정합니다. 사용하려는 템플릿의 ID를 모르는 경우 Get-RMSTemplate cmdlet을 사용합니다.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |