다음을 통해 공유


정보 보호 스캐너 구성 및 설치

참고

새로운 버전의 정보 보호 스캐너가 있습니다. 자세한 내용은 Microsoft Purview Information Protection 스캐너 업그레이드를 참조하세요.

이 문서에서는 이전에 Azure Information Protection 통합 레이블 지정 스캐너 또는 온-프레미스 스캐너라는 Microsoft Purview Information Protection 스캐너를 구성하고 설치하는 방법을 설명합니다.

대부분의 고객은 관리 포털에서 이러한 절차를 수행하지만 PowerShell에서만 작업해야 할 수 있습니다.

예를 들어 Azure 중국 21Vianet과 같은 관리 포털에 액세스할 수 없는 환경에서 작업하는 경우 PowerShell을 사용하여 스캐너 구성의 지침을 따릅니다.

개요

시작하기 전에 시스템이 필요한 필수 구성 요소를 준수하는지 확인합니다.

그런 다음, 다음 단계를 사용하여 스캐너를 구성하고 설치합니다.

  1. 스캐너 설정 구성

  2. 스캐너 설치

  3. 스캐너용 Microsoft Entra 토큰 가져오기

  4. 분류 및 보호를 적용하도록 스캐너 구성

다음으로, 시스템에 필요한 다음 구성 절차를 수행합니다.

절차 설명
보호할 파일 형식 변경 기본값과 다른 파일 형식을 검사, 분류 또는 보호할 수 있습니다. 자세한 내용은 검사 프로세스를 참조하세요.
스캐너 업그레이드 스캐너를 업그레이드하여 최신 기능 및 개선 사항을 사용합니다.
대량으로 데이터 리포지토리 설정 편집 가져오기 및 내보내기 옵션을 사용하여 여러 데이터 리포지토리에 대해 대량으로 변경합니다.
대체 구성으로 스캐너 사용 어떤 조건에서도 레이블을 구성하지 않고 스캐너 사용
성능 최적화 스캐너 성능을 최적화하기 위한 지침

Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털에서 스캐너 페이지에 액세스할 수 없는 경우 PowerShell에서만 스캐너 설정을 구성합니다. 자세한 내용은 PowerShell을 사용하여 스캐너지원되는 PowerShell cmdlet 구성을 참조하세요.

스캐너 설정 구성

스캐너를 설치하거나 이전 일반 공급 버전에서 업그레이드하기 전에 스캐너 설정을 구성하거나 확인합니다. 이 구성의 경우 Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털을 사용할 수 있습니다.

Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털에서 스캐너를 구성하려면 다음을 수행합니다.

  1. 다음 역할 중 하나를 사용하여 로그인합니다.
  • 준수 관리자
  • 규정 준수 데이터 관리자
  • 보안 관리자
  • 조직 관리
  1. 사용 중인 포털에 따라 다음 위치 중 하나로 이동합니다.

  2. 스캐너 클러스터를 만듭니다. 이 클러스터는 스캐너를 정의하며 설치, 업그레이드 및 기타 프로세스 중에 스캐너 인스턴스를 식별하는 데 사용됩니다.

  3. 검색하려는 리포지토리를 정의하는 콘텐츠 검색 작업을 만듭니다.

스캐너 클러스터 만들기

Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털에서 스캐너 클러스터를 만들려면 다음을 수행합니다.

  1. 정보 보호 스캐너 페이지의 탭에서 클러스터를 선택합니다.

  2. 클러스터 탭에서 추가 추가 아이콘을 선택합니다.

  3. 새 클러스터 창에서 스캐너의 의미 있는 이름과 선택적 설명을 입력합니다.

    클러스터 이름은 스캐너의 구성 및 리포지토리를 식별하는 데 사용됩니다. 예를 들어 유럽 을 입력하여 검사하려는 데이터 리포지토리의 지리적 위치를 식별할 수 있습니다.

    나중에 이 이름을 사용하여 스캐너를 설치하거나 업그레이드할 위치를 식별합니다.

  4. 저장을 선택하여 변경 내용을 저장합니다.

콘텐츠 검색 작업 만들기

콘텐츠를 심층 분석하여 특정 리포지토리에서 중요한 콘텐츠를 검색합니다.

Microsoft Purview 규정 준수 포털의 Microsoft Purview 포털에서 콘텐츠 검색 작업을 만들려면 다음을 수행합니다.

  1. 정보 보호 스캐너 페이지의 탭에서 콘텐츠 검사 작업을 선택합니다.

  2. 콘텐츠 검색 작업 창에서 추가 추가 아이콘을 선택합니다.

  3. 이 초기 구성의 경우 다음 설정을 구성한 다음 저장을 선택합니다.

    설정 설명
    콘텐츠 검사 작업 설정 - 일정: 기본값인 수동 유지
    - 검색할 정보 유형: 정책으로만 변경
    DLP 정책 데이터 손실 방지 정책을 사용하는 경우 DLP 규칙 사용을기로 설정합니다. 자세한 내용은 DLP 정책 사용을 참조하세요.
    민감도 정책 - 민감도 레이블 지정 정책 적용: 끄기 선택
    - 콘텐츠에 따라 파일 레이블 지정: 기본값인 기 유지
    - 기본 레이블: 정책 기본값을 유지합니다.
    - 파일 레이블 다시 지정: 기본값인 끄기 유지
    파일 설정 구성 - "수정한 날짜", "마지막으로 수정한 날짜" 및 "수정한 날짜"를 유지합니다. 기본값은 On으로 유지합니다.
    - 검사할 파일 형식: 제외에 대한 기본 파일 형식 유지
    - 기본 소유자: 스캐너 계정의 기본값 유지
    - 리포지토리 소유자 설정: DLP 정책을 사용하는 경우에만 이 옵션을 사용합니다.
  4. 저장된 콘텐츠 검색 작업을 열고 리포지토리 탭을 선택하여 검사할 데이터 저장소를 지정합니다.

    SHAREPoint 온-프레미스 문서 라이브러리 및 폴더에 대한 UNC 경로 및 SharePoint Server URL을 지정합니다.

    참고

    SharePoint Server 2019, SharePoint Server 2016 및 SharePoint Server 2013은 SharePoint에서 지원됩니다. 이 버전의 SharePoint에 대한 추가 지원이 있는 경우에도 SharePoint Server 2010이 지원됩니다.

    리포지토리 탭에 있는 동안 첫 번째 데이터 저장소를 추가하려면 다음을 수행합니다.

    1. 리포지토리 창에서 추가를 선택합니다.

    2. 리포지토리 창에서 데이터 리포지토리의 경로를 지정한 다음 저장을 선택합니다.

      • 네트워크 공유의 경우 를 사용합니다 \\Server\Folder.
      • SharePoint 라이브러리의 경우 를 사용합니다 http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • 로컬 경로의 경우: C:\Folder
      • UNC 경로의 경우: \\Server\Folder

    참고

    와일드카드는 지원되지 않으며 WebDav 위치는 지원되지 않습니다. OneDrive 위치를 리포지토리로 검색하는 것은 지원되지 않습니다.

    공유 문서에 대한 SharePoint 경로를 추가하는 경우:

    • 공유 문서의 모든 문서와 모든 폴더를 검색하려는 경우 경로에 공유 문서를 지정합니다. 예: http://sp2013/SharedDocuments
    • 공유 문서 아래의 하위 폴더에서 모든 문서 및 모든 폴더를 검사하려는 경우 경로에 문서를 지정합니다. 예: http://sp2013/Documents/SalesReports
    • 또는 SharePoint의 FQDN 만 지정합니다. 예를 들어 http://sp2013URL 아래의 특정 URL 및 부제목에서 모든 SharePoint 사이트 및 하위 사이트를 검색하고 검색 합니다. 스캐너 사이트 수집기 감사자 권한을 부여하여 사용하도록 설정합니다.

    이 창의 나머지 설정의 경우 이 초기 구성에 대해 변경하지 말고 콘텐츠 검사 작업 기본값으로 유지합니다. 기본 설정은 데이터 리포지토리가 콘텐츠 검사 작업의 설정을 상속한다는 것을 의미합니다.

    SharePoint 경로를 추가할 때 다음 구문을 사용합니다.

    경로 구문
    루트 경로 http://<SharePoint server name>

    스캐너 사용자에게 허용되는 사이트 모음을 포함하여 모든 사이트를 검사합니다.
    루트 콘텐츠를 자동으로 검색하려면 추가 권한이 필요합니다.
    특정 SharePoint 하위 사이트 또는 컬렉션 다음 중 하나가 필요합니다.
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    사이트 모음 콘텐츠를 자동으로 검색하려면 추가 권한이 필요합니다.
    특정 SharePoint 라이브러리 다음 중 하나가 필요합니다.
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    특정 SharePoint 폴더 http://<SharePoint server name>/.../<folder name>
  5. 이전 단계를 반복하여 필요한 만큼 리포지토리를 추가합니다.

이제 만든 콘텐츠 스캐너 작업을 사용하여 스캐너를 설치할 준비가 되었습니다. 스캐너 설치를 계속합니다.

스캐너 설치

스캐너를 구성한 후 다음 단계를 수행하여 스캐너를 설치합니다. 이 절차는 PowerShell에서 완전히 수행됩니다.

  1. 스캐너를 실행할 Windows Server 컴퓨터에 로그인합니다. 로컬 관리자 권한이 있고 SQL Server 마스터 데이터베이스에 쓸 수 있는 권한이 있는 계정을 사용합니다.

    중요

    스캐너를 설치하기 전에 컴퓨터에 정보 보호 클라이언트가 설치되어 있어야 합니다.

    자세한 내용은 정보 보호 스캐너 설치 및 배포를 위한 필수 구성 요소를 참조하세요.

  2. 관리자 권한으로 실행 옵션을 사용하여 Windows PowerShell 세션을 엽니다.

  3. Install-Scanner cmdlet을 실행하여 정보 보호 스캐너에 대한 데이터베이스를 만들 SQL Server 인스턴스와 이전 섹션에서 지정한 스캐너 클러스터 이름을 지정합니다.

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
    

    유럽 스캐너 클러스터 이름을 사용하는 예제:

    • 기본 인스턴스의 경우: Install-Scanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • 명명된 인스턴스의 경우: Install-Scanner -SqlServerInstance SQLSERVER1\SCANNER -Cluster Europe

    • SQL Server Express의 경우: Install-Scanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    메시지가 표시되면 스캐너 서비스 계정에 대한 Active Directory 자격 증명을 제공합니다.

    구문을 \<domain\user name>사용합니다. 예: contoso\scanneraccount

  4. 이제 관리 도구> 서비스를 사용하여 서비스가 설치되었는지 확인합니다.

    설치된 서비스의 이름은 Microsoft Purview Information Protection 스캐너 이며 사용자가 만든 스캐너 서비스 계정을 사용하여 실행되도록 구성됩니다.

스캐너를 설치했으므로 스캐너가 무인으로 실행될 수 있도록 인증할 스캐너 서비스 계정에 대한 Microsoft Entra 토큰을 가져와 야 합니다.

스캐너용 Microsoft Entra 토큰 가져오기

Microsoft Entra 토큰을 사용하면 스캐너가 Microsoft Purview Information Protection 스캐너 서비스에 인증되어 스캐너가 무인으로 실행되도록 할 수 있습니다.

자세한 내용은 무인 cmdlet에 대한 정보 보호 레이블 지정 실행을 참조하세요.

Microsoft Entra 토큰을 가져오려면 다음을 수행합니다.

  1. Azure Portal로 이동하여 Microsoft Entra ID 블레이드로 이동합니다.

  2. Microsoft Entra ID 쪽 창에서 앱 등록을 클릭합니다.

  3. 맨 위에서 + 새 등록을 클릭합니다.

  4. 이름 섹션에 InformationProtectionScanner를 입력합니다.

  5. 지원되는 계정 유형을 기본값으로 그대로 둡니다.

  6. 리디렉션 URI의 경우 형식을 웹으로 그대로 두고 항목 부분에 를 입력 http://localhost 하고 등록을 클릭합니다.

  7. 이 애플리케이션의 개요 페이지에서 선택한 텍스트 편집기에서 애플리케이션(클라이언트) ID디렉터리(테넌트) ID를 적어둡니다. 나중에 Set-AIPAuthentication 명령을 설정할 때 필요합니다.

  8. 측면 창에서 인증서 및 비밀로 이동합니다.

  9. + 새 클라이언트 암호를 클릭합니다.

  10. 표시되는 대화 상자에서 비밀에 대한 설명을 입력하고 1년 후에 만료로 설정한 다음, 비밀을 추가합니다.

  11. 이제 클라이언트 비밀 섹션 아래에 비밀 값이 있는 항목이 표시됩니다. 계속 진행하여 이 값을 복사하여 클라이언트 ID 및 테넌트 ID를 저장한 파일에 저장합니다. 비밀 값을 볼 수 있는 유일한 시간이며, 현재 복사하지 않으면 복구할 수 없습니다.

  12. 측면 창에서 API 권한으로 이동합니다.

  13. 계속 진행하여 권한 추가를 선택합니다.

  14. 화면이 표시되면 Azure Rights Management Service를 선택합니다. 그런 다음 , 애플리케이션 권한을 선택합니다.

  15. 콘텐츠 드롭다운을 클릭하고 Content.DelegatedReader 및 Content.DelegatedWriter에 대한 확인 표시를 내려 놓습니다. 그런 다음 화면 아래쪽에서 권한 추가를 클릭합니다.

  16. API 권한 섹션을 다시 탐색하고 다른 권한을 추가합니다.

  17. 이번에는 API 선택 섹션에서 조직에서 사용하는 API를 클릭합니다. 검색 창에서 Microsoft Information Protection Sync Service 를 입력하고 선택합니다.

  18. 애플리케이션 사용 권한을 선택한 다음 통합 정책 드롭다운에서 UnifiedPolicy.Tenant.Read 권한을 확인합니다. 그런 다음 화면 아래쪽에서 권한 추가를 클릭합니다.

  19. API 권한 화면으로 돌아가 관리자 동의 부여를 클릭하고 성공한 작업을 찾습니다(녹색 확인 표시로 표시됨).

  20. Windows Server 컴퓨터에서 스캐너 서비스 계정에 설치에 대한 로컬로 로그온 권한이 부여된 경우 이 계정으로 로그인하고 PowerShell 세션을 시작합니다.

    Set-Authentication을 실행하여 이전 단계에서 복사한 값을 지정합니다.

    Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    예:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

스캐너 서비스 계정에 설치에 대해 로컬로 로그온 권한을 부여할 수 없는 경우 무인 정보 보호 레이블 지정 cmdlet 실행에 설명된 대로 Set-Authentication과 함께 OnBehalfOf 매개 변수를 사용합니다.

이제 스캐너에 Microsoft Entra ID에 인증할 토큰이 있습니다. 이 토큰은 Microsoft Entra ID의 웹앱 /API 클라이언트 암호 구성에 따라 1년, 2년 또는 절대 유효하지 않습니다. 토큰이 만료되면 이 절차를 반복해야 합니다.

준수 포털을 사용하여 스캐너를 구성하는지 또는 PowerShell만 구성하는지에 따라 다음 단계 중 하나를 계속 사용합니다.

이제 검색 모드에서 첫 번째 검사를 실행할 준비가 되었습니다. 자세한 내용은 검색 주기 실행 및 스캐너에 대한 보고서 보기를 참조하세요.

초기 검색 검사를 실행한 후에는 분류 및 보호를 적용하도록 스캐너 구성을 계속 진행합니다.

자세한 내용은 무인 cmdlet에 대한 정보 보호 레이블 지정 실행을 참조하세요.

분류 및 보호를 적용하도록 스캐너 구성

기본 설정은 스캐너가 보고 전용 모드에서 한 번 실행되도록 구성합니다. 이러한 설정을 변경하려면 콘텐츠 검색 작업을 편집합니다.

PowerShell에서만 작업하는 경우 분류 및 보호를 적용하도록 스캐너 구성 - PowerShell만을 참조하세요.

Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털에서 분류 및 보호를 적용하도록 스캐너를 구성하려면 다음을 수행합니다.

  1. Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털의 콘텐츠 검색 작업 탭에서 특정 콘텐츠 검사 작업을 선택하여 편집합니다.

  2. 콘텐츠 검사 작업을 선택하고 다음을 변경한 다음 저장을 선택합니다.

    • 콘텐츠 검색 작업 섹션에서 일정항상으로 변경합니다.
    • 민감도 레이블 지정 정책 적용 섹션에서 라디오 단추를 기로 변경합니다.
  3. 콘텐츠 검색 작업의 노드가 온라인 상태인지 확인한 다음 지금 검사를 선택하여 콘텐츠 검색 작업을 다시 시작합니다. 지금 검사 단추는 선택한 콘텐츠 검색 작업의 노드가 온라인 상태일 때만 나타납니다.

이제 스캐너가 지속적으로 실행되도록 예약되었습니다. 스캐너가 구성된 모든 파일을 통해 작동하면 새 파일과 변경된 파일이 검색되도록 자동으로 새 주기가 시작됩니다.

DLP 정책 사용

데이터 손실 방지 정책을 사용하면 스캐너가 DLP 규칙을 파일 공유 및 SharePoint Server에 저장된 파일과 일치시켜 잠재적인 데이터 누출을 검색할 수 있습니다.

  • 콘텐츠 검사 작업에서 DLP 규칙을 사용하도록 설정 하여 DLP 정책과 일치하는 파일의 노출을 줄입니다. DLP 규칙을 사용하도록 설정하면 스캐너는 데이터 소유자에 대한 파일 액세스만 줄이거나 모든 사용자, 인증된 사용자 또는 도메인 사용자와 같은 네트워크 전체 그룹에 대한 노출을 줄일 수 있습니다.

  • Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털에서 DLP 정책을 테스트하고 있는지 또는 규칙을 적용할지 여부와 해당 규칙에 따라 파일 권한을 변경할지 여부를 결정합니다. 자세한 내용은 데이터 손실 방지 정책 만들기 및 배포를 참조하세요.

DLP 정책은 Microsoft Purview 규정 준수 포털에서 구성됩니다. DLP 라이선스에 대한 자세한 내용은 온-프레미스 스캐너 데이터 손실 방지 시작을 참조하세요.

DLP 정책을 테스트하는 경우에도 파일을 검사하면 파일 사용 권한 보고서도 생성됩니다. 이러한 보고서를 쿼리하여 특정 파일 노출을 조사하거나 특정 사용자가 스캔한 파일에 노출되는 것을 살펴봅니다.

PowerShell만 사용하려면 스캐너에서 DLP 정책 사용 - PowerShell만을 참조하세요.

Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털에서 스캐너와 함께 DLP 정책을 사용하려면 다음을 수행합니다.

  1. Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털에서 콘텐츠 검색 작업 탭으로 이동하여 특정 콘텐츠 검사 작업을 선택합니다. 자세한 내용은 콘텐츠 검색 작업 만들기를 참조하세요.

  2. DLP 정책 규칙 사용에서 라디오 단추를 기로 설정합니다.

    중요

    실제로 Microsoft 365에서 DLP 정책을 구성하지 않는 한 DLP 규칙 사용을 기로 설정하지 마세요.

    DLP 정책 없이 이 기능을 켜면 스캐너에서 오류가 발생합니다.

  3. (선택 사항) 리포지토리 소유자 설정을기로 설정하고 특정 사용자를 리포지토리 소유자로 정의합니다.

    이 옵션을 사용하면 스캐너가 DLP 정책과 일치하는 이 리포지토리에 있는 모든 파일이 정의된 리포지토리 소유자에게 노출되는 것을 줄일 수 있습니다.

DLP 정책 및 비공개 작업 수행

프라이빗 작업을 수행하는 DLP 정책을 사용하고 스캐너를 사용하여 파일에 자동으로 레이블을 지정하려는 경우 통합 레이블 지정 클라이언트의 UseCopyAndPreserveNTFSOwner 고급 설정도 정의하는 것이 좋습니다.

이 설정은 원래 소유자가 파일에 대한 액세스를 유지하도록 합니다.

자세한 내용은 콘텐츠 검색 작업 만들기 및 자동으로 콘텐츠에 민감도 레이블 적용을 참조하세요.

보호할 파일 형식 변경

기본적으로 스캐너는 Office 파일 형식 및 PDF 파일만 보호합니다.

PowerShell 명령을 사용하여 클라이언트와 마찬가지로 모든 파일 형식을 보호하도록 스캐너를 구성하거나 추가적인 특정 파일 형식을 보호하는 등 필요에 따라 이 동작을 변경합니다.

스캐너에 대한 레이블을 다운로드하는 사용자 계정에 적용되는 레이블 정책의 경우 PFileSupportedExtensions라는 PowerShell 고급 설정을 지정합니다.

인터넷에 액세스할 수 있는 스캐너의 경우 이 사용자 계정은 Set-Authentication 명령을 사용하여 DelegatedUser 매개 변수에 대해 지정하는 계정입니다.

예제 1: 레이블 정책의 이름이 "스캐너"인 모든 파일 형식을 보호하기 위한 스캐너에 대한 PowerShell 명령:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

예제 2: 레이블 정책의 이름이 "스캐너"인 Office 파일 및 PDF 파일 외에 .xml 파일 및 .tiff 파일을 보호하는 스캐너용 PowerShell 명령:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

자세한 내용은 보호할 파일 형식 변경을 참조하세요.

스캐너 업그레이드

이전에 스캐너를 설치했으며 업그레이드하려는 경우 Microsoft Purview Information Protection 스캐너 업그레이드에 설명된 지침을 사용합니다.

그런 다음 스캐너를 평소처럼 구성 하고 사용하여 스캐너 를 설치하는 단계를 건너뜁 있습니다.

대량으로 데이터 리포지토리 설정 편집

내보내기 및 가져오기 단추를 사용하여 여러 리포지토리에서 스캐너를 변경합니다.

이렇게 하면 Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털에서 수동으로 동일한 변경을 여러 번 수행할 필요가 없습니다.

예를 들어 여러 SharePoint 데이터 리포지토리에 새 파일 형식이 있는 경우 해당 리포지토리에 대한 설정을 대량으로 업데이트할 수 있습니다.

Microsoft Purview 포털 Microsoft Purview 규정 준수 포털의 리포지토리에서 대량으로 변경하려면 다음을 수행합니다.

  1. Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털에서 특정 콘텐츠 검사 작업을 선택하고 창 내의 리포지토리 탭으로 이동합니다. 내보내기 옵션을 선택합니다.

  2. 내보낸 파일을 수동으로 편집하여 변경합니다.

  3. 동일한 페이지의 가져오기 옵션을 사용하여 리포지토리에서 업데이트를 다시 가져옵니다.

대체 구성으로 스캐너 사용

스캐너는 일반적으로 필요에 따라 콘텐츠를 분류하고 보호하기 위해 레이블에 지정된 조건을 찾습니다.

다음 시나리오에서 스캐너는 조건을 구성하지 않고도 콘텐츠를 스캔하고 레이블을 관리할 수 있습니다.

데이터 리포지토리의 모든 파일에 기본 레이블 적용

이 구성에서 리포지토리의 레이블이 지정되지 않은 모든 파일은 리포지토리 또는 콘텐츠 검색 작업에 대해 지정된 기본 레이블로 레이블이 지정됩니다. 파일은 검사 없이 레이블이 지정됩니다.

다음 설정을 구성합니다.

설정 설명
콘텐츠에 따라 파일 레이블 지정 기로 설정
기본 레이블 사용자 지정으로 설정한 다음 사용할 레이블을 선택합니다.
기본 레이블 적용 레이블 다시 지정 파일 및 기본 레이블 적용을 켜서 이미 레이블이 지정된 경우에도 모든 파일에기본 레이블 을 적용하려면 선택합니다.

데이터 리포지토리의 모든 파일에서 기존 레이블 제거

이 구성에서는 보호가 레이블에 적용된 경우 보호를 포함하여 모든 기존 레이블이 제거됩니다. 레이블과 독립적으로 적용되는 보호는 유지됩니다.

다음 설정을 구성합니다.

설정 설명
콘텐츠에 따라 파일 레이블 지정 기로 설정
기본 레이블 없음으로 설정
파일 레이블 다시 지정 기본 레이블 적용기로 설정된 상태에서 기로 설정

모든 사용자 지정 조건 및 알려진 중요한 정보 유형 식별

이 구성을 사용하면 스캐너에 대한 검사 속도를 희생하여 사용자가 인식하지 못할 수 있는 중요한 정보를 찾을 수 있습니다.

검색할 정보 유형을모두로 설정합니다.

레이블 지정에 대한 조건 및 정보 유형을 식별하기 위해 스캐너는 지정된 사용자 지정 중요한 정보 유형과 레이블 관리 센터에 정의된 대로 선택할 수 있는 기본 제공 중요한 정보 유형 목록을 사용합니다.

스캐너 성능 최적화

참고

스캐너 성능이 아닌 스캐너 컴퓨터의 응답성을 향상시키려면 고급 클라이언트 설정을 사용하여 스캐너에서 사용하는 스레드 수를 제한합니다.

스캐너 성능을 최적화하려면 다음 옵션과 지침을 사용합니다.

옵션 설명
스캐너 컴퓨터와 스캔한 데이터 저장소 간에 고속 및 안정적인 네트워크 연결 예를 들어 스캐너 컴퓨터를 스캔한 데이터 저장소와 동일한 네트워크 세그먼트에 배치하거나, 바람직하게는 동일한 LAN에 배치합니다.

네트워크 연결의 품질은 스캐너 성능에 영향을 줍니다. 왜냐하면 파일을 검사하기 위해 스캐너는 파일 내용을 스캐너 Microsoft Purview Information Protection 스캐너 서비스를 실행하는 컴퓨터로 전송하기 때문입니다.

데이터를 이동하는 데 필요한 네트워크 홉을 줄이거나 제거하면 네트워크의 부하도 줄어듭니다.
스캐너 컴퓨터에 사용 가능한 프로세서 리소스가 있는지 확인합니다. 파일 내용을 검사하고 파일을 암호화 및 암호 해독하는 작업은 프로세서 집약적인 작업입니다.

지정된 데이터 저장소에 대한 일반적인 검사 주기를 모니터링하여 프로세서 리소스 부족이 스캐너 성능에 부정적인 영향을 미치는지 여부를 식별합니다.
스캐너의 여러 인스턴스 설치 스캐너는 스캐너에 대한 사용자 지정 클러스터 이름을 지정할 때 동일한 SQL Server 인스턴스에서 여러 구성 데이터베이스를 지원합니다.

: 여러 스캐너가 동일한 클러스터를 공유할 수도 있으므로 검사 시간이 더 빨라질 수 있습니다. 동일한 데이터베이스 인스턴스가 있는 여러 컴퓨터에 스캐너를 설치하고 스캐너를 병렬로 실행하려는 경우 동일한 클러스터 이름을 사용하여 모든 스캐너를 설치해야 합니다.
대체 구성 사용량 확인 스캐너가 파일 내용을 검사하지 않으므로 대체 구성 을 사용하여 모든 파일에 기본 레이블을 적용할 때 스캐너가 더 빠르게 실행됩니다.

대체 구성을 사용하여 모든 사용자 지정 조건 및 알려진 중요한 정보 유형을 식별하는 경우 스캐너가 더 느리게 실행됩니다.

성능에 영향을 주는 추가 요인

스캐너 성능에 영향을 주는 추가 요인은 다음과 같습니다.

요인 설명
로드/응답 시간 검사할 파일이 포함된 데이터 저장소의 현재 로드 및 응답 시간도 스캐너 성능에 영향을 줍니다.
스캐너 모드 (검색/적용) 검색 모드는 일반적으로 적용 모드보다 검사 속도가 높습니다.

검색에는 단일 파일 읽기 작업이 필요한 반면, 적용 모드에는 읽기 및 쓰기 작업이 필요합니다.
정책 변경 내용 레이블 정책에서 자동 레이블을 변경한 경우 스캐너 성능이 영향을 받을 수 있습니다.

스캐너가 모든 파일을 검사해야 하는 첫 번째 검사 주기는 기본적으로 새 파일과 변경된 파일만 검사하는 후속 검사 주기보다 오래 걸립니다.

조건 또는 자동 레이블 지정 설정을 변경하면 모든 파일이 다시 검사됩니다. 자세한 내용은 파일 다시 검색을 참조하세요.
Regex 생성 스캐너 성능은 사용자 지정 조건에 대한 정규식 식이 생성되는 방식에 영향을 받습니다.

메모리 사용량이 많고 시간 제한이 발생할 위험(파일당 15분)을 방지하려면 효율적인 패턴 일치를 위해 정규식 식을 검토합니다.

예:
- 욕심 수량자 방지
- 대신 와 같은 (?:expression) 비 캡처 그룹 사용 (expression)
로그 수준 로그 수준 옵션에는 스캐너 보고서에 대한 디버그, 정보, 오류끄기가 포함됩니다.

- 기 결과 최상의 성능
- 디버그 하면 스캐너 속도가 상당히 느려지고 문제 해결에만 사용해야 합니다.

자세한 내용은 Set-ScannerConfiguration cmdlet에 대한 ReportLevel 매개 변수를 참조하세요.
검사 중인 파일 - Excel 파일을 제외하고 Office 파일은 PDF 파일보다 더 빠르게 검사됩니다.

- 보호되지 않는 파일은 보호된 파일보다 빠르게 검색할 수 있습니다.

- 큰 파일은 분명히 작은 파일보다 스캔하는 데 시간이 오래 걸립니다.

PowerShell을 사용하여 스캐너 구성

이 섹션에서는 Microsoft Purview 포털 또는 Microsoft Purview 규정 준수 포털에서 스캐너 페이지에 액세스할 수 없고 PowerShell만 사용해야 하는 경우 스캐너를 구성하고 설치하는 데 필요한 단계를 설명합니다.

중요

자세한 내용은 지원되는 PowerShell cmdlet을 참조하세요.

스캐너를 구성하고 설치하려면 다음을 수행합니다.

  1. PowerShell 닫기부터 시작합니다. 이전에 정보 보호 클라이언트 및 스캐너를 설치한 경우 Microsoft Purview Information Protection 스캐너 서비스가 중지되었는지 확인합니다.

  2. 관리자 권한으로 실행 옵션을 사용하여 Windows PowerShell 세션을 엽니다.

  3. Install-Scanner 명령을 실행하여 클러스터 이름을 정의하려면 Cluster 매개 변수를 사용하여 SQL Server 인스턴스에 스캐너를 설치합니다.

    이 단계는 규정 준수 포털에서 스캐너 페이지에 액세스할 수 있는지 여부와 동일합니다. 자세한 내용은 스캐너 설치 문서의 이전 지침을 참조하세요.

  4. 스캐너와 함께 사용할 Azure 토큰을 가져와서 다시 인증합니다.

    이 단계는 규정 준수 포털에서 스캐너 페이지에 액세스할 수 있는지 여부와 동일합니다. 자세한 내용은 이 문서의 이전 지침인 스캐너용 Microsoft Entra 토큰 가져오기를 참조하세요.

  5. Set-ScannerConfiguration cmdlet을 실행하여 스캐너가 오프라인 모드에서 작동하도록 설정합니다. 달리다:

    Set-ScannerConfiguration -OnlineConfiguration Off
    
  6. Set-ScannerContentScan cmdlet을 실행하여 기본 콘텐츠 검사 작업을 만듭니다.

    Set-ScannerContentScan cmdlet의 유일한 필수 매개 변수는 적용입니다. 그러나 현재 콘텐츠 스캔 작업에 대한 다른 설정을 정의할 수 있습니다. 예:

    Set-ScannerContentScan -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    위의 구문은 구성을 계속하는 동안 다음 설정을 구성합니다.

    • 스캐너 실행 일정을 수동으로 유지합니다.
    • 민감도 레이블 정책에 따라 검색할 정보 유형을 설정합니다.
    • 민감도 레이블 정책을 적용 하지 않음
    • 민감도 레이블 정책에 정의된 기본 레이블을 사용하여 콘텐츠에 따라 파일에 자동으로 레이블을 지정합니다.
    • 파일의 레이블을 다시 지정할 수 없음
    • 수정 한 날짜, 마지막으로 수정한 날짜 및 값에 의해 수정 된 날짜를 포함하여 검사 및 자동 레이블 지정하는 동안 파일 세부 정보를 유지합니다.
    • 실행 시 .msg 및 .tmp 파일을 제외하도록 스캐너를 설정합니다.
    • 스캐너를 실행할 때 사용할 계정으로 기본 소유자를 설정합니다.
  7. Add-ScannerRepository cmdlet을 사용하여 콘텐츠 스캔 작업에서 검사하려는 리포지토리를 정의합니다. 예를 들어 다음을 실행합니다.

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    추가하는 리포지토리 유형에 따라 다음 구문 중 하나를 사용합니다.

    • 네트워크 공유의 경우 를 사용합니다 \\Server\Folder.
    • SharePoint 라이브러리의 경우 를 사용합니다 http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • 로컬 경로의 경우: C:\Folder
    • UNC 경로의 경우: \\Server\Folder

    참고

    와일드카드는 지원되지 않으며 WebDav 위치는 지원되지 않습니다.

    나중에 리포지토리를 수정하려면 Set-ScannerRepository cmdlet을 대신 사용합니다.

    공유 문서에 대한 SharePoint 경로를 추가하는 경우:

    • 공유 문서의 모든 문서와 모든 폴더를 검색하려는 경우 경로에 공유 문서를 지정합니다. 예: http://sp2013/SharedDocuments
    • 공유 문서 아래의 하위 폴더에서 모든 문서 및 모든 폴더를 검사하려는 경우 경로에 문서를 지정합니다. 예: http://sp2013/Documents/SalesReports
    • 또는 SharePoint의 FQDN 만 지정합니다. 예를 들어 http://sp2013URL 아래의 특정 URL 및 부제목에서 모든 SharePoint 사이트 및 하위 사이트를 검색하고 검색 합니다. 스캐너 사이트 수집기 감사자 권한을 부여하여 사용하도록 설정합니다.

    SharePoint 경로를 추가할 때 다음 구문을 사용합니다.

    경로 구문
    루트 경로 http://<SharePoint server name>

    스캐너 사용자에게 허용되는 사이트 모음을 포함하여 모든 사이트를 검사합니다.
    특정 SharePoint 하위 사이트 또는 컬렉션 다음 중 하나가 필요합니다.
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>
    특정 SharePoint 라이브러리 다음 중 하나가 필요합니다.
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    특정 SharePoint 폴더 http://<SharePoint server name>/.../<folder name>

필요에 따라 다음 단계를 계속 진행합니다.

PowerShell을 사용하여 분류 및 보호를 적용하도록 스캐너 구성

  1. Set-ScannerContentScan cmdlet을 실행하여 콘텐츠 스캔 작업을 업데이트하여 일정을 항상 로 설정하고 민감도 정책을 적용합니다.

    Set-ScannerContentScan -Schedule Always -Enforce On
    

    이 창의 다른 설정(예: 파일 특성 변경 여부 및 스캐너에서 파일의 레이블을 다시 지정할 수 있는지 여부)을 변경할 수 있습니다. 사용 가능한 설정에 대한 자세한 내용은 전체 Set-ScannerContentScan 설명서를 참조하세요.

  2. Start-Scan cmdlet을 실행하여 콘텐츠 검색 작업을 실행합니다.

    Start-Scan
    

이제 스캐너가 지속적으로 실행되도록 예약되었습니다. 스캐너가 구성된 모든 파일을 통해 작동하면 새 파일과 변경된 파일이 검색되도록 자동으로 새 주기가 시작됩니다.

PowerShell을 사용하여 스캐너로 DLP 정책 구성

-EnableDLP 매개 변수를 기로 설정하고 특정 리포지토리 소유자가 정의된 상태에서 Set-ScannerContentScan cmdlet을 다시 실행합니다.

예:

Set-ScannerContentScan -EnableDLP On -RepositoryOwner 'domain\user'

지원되는 PowerShell cmdlet

이 섹션에서는 정보 보호 스캐너에 대해 지원되는 PowerShell cmdlet과 PowerShell만 사용하여 스캐너를 구성하고 설치하기 위한 지침을 나열합니다.

스캐너에 지원되는 cmdlet은 다음과 같습니다.

다음 단계

스캐너를 설치하고 구성한 후 파일 검사를 시작합니다.