AIP (Azure Information Protection) 통합 레이블 지정 스캐너 구성 및 설치

*적용 대상: Azure Information Protection, Windows Server 2019, Windows Server 2016, windows server 2012 R2 *

*관련: aip 통합 레이블 지정 클라이언트 전용. *

이 문서에서는 온-프레미스 스캐너 Azure Information Protection 통합 레이블 지정을 구성 하 고 설치 하는 방법을 설명 합니다.

개요

시작 하기 전에 시스템이 필수 구성 요소를 준수 하는지 확인 합니다.

준비가 되 면 다음 단계를 계속 진행 합니다.

  1. Azure Portal에서 스캐너 구성

  2. 스캐너 설치

  3. 스캐너에 대한 Azure AD 토큰 가져오기

  4. 분류 및 보호를 적용하도록 스캐너 구성

그런 다음 필요에 따라 시스템에 대해 다음 구성 절차를 수행 합니다.

절차 Description
보호할 파일 형식 변경 기본값과 다른 파일 형식을 검색, 분류 또는 보호할 수 있습니다. 자세한 내용은 Aip 스캔 프로세스를 참조 하세요.
스캐너 업그레이드 최신 기능과 향상 된 기능을 활용 하려면 스캐너를 업그레이드 하세요.
대량으로 데이터 리포지토리 설정 편집 가져오기 및 내보내기 옵션을 사용 하 여 여러 데이터 리포지토리의 대량 변경을 수행 합니다.
대체 구성에 스캐너 사용 조건으로 레이블을 구성 하지 않고 스캐너 사용
성능 최적화 스캐너 성능 최적화 지침

자세한 내용은 지원 되는 PowerShell cmdlet을 참조 하세요.

Azure Portal에서 스캐너 구성

스캐너를 설치 하거나 이전 일반 공급 버전에서 업그레이드 하기 전에 Azure Portal의 Azure Information Protection 영역에서 스캐너 설정을 구성 하거나 확인 합니다.

스캐너를 구성 하려면:

  1. 다음 역할 중 하나를 사용 하 여 Azure Portal 에 로그인 합니다.

    • 규정 준수 관리자
    • 규정 준수 데이터 관리자
    • 보안 관리자
    • 전역 관리자

    그런 다음 Azure Information Protection 창으로 이동 합니다.

    예를 들어 리소스, 서비스 및 문서 검색 상자에서 Information 을 입력하고 Azure Information Protection 을 선택합니다.

  2. 스캐너 클러스터를 만듭니다. 해당 클러스터는 검사기를 정의하며 설치, 업그레이드 및 기타 프로세스 중에 검사기 인스턴스를 식별하는 데 사용됩니다.

  3. 필드 네트워크에서 위험한 리포지토리를 검색합니다. 네트워크 검색 작업을 만들어 지정 된 IP 주소 또는 범위를 검색 하 고, 보안을 유지할 중요 한 콘텐츠를 포함할 수 있는 위험한 리포지토리의 목록을 제공 합니다.

    네트워크 검색 작업을 실행 한 다음 발견 된 위험한 리포지토리를 분석합니다.

  4. 검색 하려는 리포지토리를 정의 하 는 콘텐츠 검색 작업을 만듭니다 .

스캐너 클러스터 만들기

  1. 왼쪽의 스캐너 메뉴에서 클러스터 클러스터 아이콘을 선택 합니다.

  2. Azure Information Protection-클러스터 창에서 추가 아이콘추가 를 선택 합니다 .

  3. 새 클러스터 추가 창에서 스캐너에 대 한 의미 있는 이름과 설명 (선택 사항)을 입력 합니다.

    클러스터 이름은 스캐너의 구성 및 리포지토리를 식별 하는 데 사용 됩니다. 예를 들어 유럽 을 입력 하 여 검색할 데이터 리포지토리의 지리적 위치를 식별할 수 있습니다.

    나중에이 이름을 사용 하 여 스캐너를 설치 하거나 업그레이드할 위치를 식별 합니다.

  4. 저장 저장 아이콘 을 선택 하 여 변경 내용을 저장 합니다.

네트워크 검색 작업 만들기 (공개 미리 보기)

버전 2.8.85.0부터 네트워크에서 위험한 리포지토리를 검색할 수 있습니다. 콘텐츠 검색 작업에 있는 하나 이상의 리포지토리를 추가 하 여 중요 한 콘텐츠를 검색 합니다.

참고

Azure Information Protection 네트워크 검색 기능은 현재 미리 보기로 제공 됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

다음 표에서는 네트워크 검색 서비스에 필요한 필수 구성 요소에 대해 설명 합니다.

필수 요소 Description
네트워크 검색 서비스 설치 최근에 스캐너를 업그레이드 한 경우에도 네트워크 검색 서비스를 설치 해야 할 수 있습니다.

MIPNetworkDiscovery cmdlet을 실행 하 여 네트워크 검색 작업을 사용 하도록 설정 합니다.
Azure Information Protection 분석 Azure Information Protection analytics를 사용 하도록 설정 했는지 확인 합니다.

Azure Portal에서 Azure Information Protection > 관리 > 분석 (미리 보기) 으로 이동 합니다.

자세한 내용은 Azure Information Protection의 중앙 보고 (공개 미리 보기)를 참조 하세요.

네트워크 검색 작업을 만들려면

  1. Azure Portal에 로그인 하 고 Azure Information Protection 로 이동 합니다. 왼쪽의 스캐너 메뉴 아래에서 네트워크 검색 작업 (미리 보기) 네트워크 검색 작업 아이콘을 선택 합니다.

  2. Azure Information Protection-네트워크 검색 작업 창에서 추가 아이콘추가 를 선택 합니다 .

  3. 새 네트워크 검색 작업 추가 페이지에서 다음 설정을 정의 합니다.

    설정 설명
    네트워크 검색 작업 이름 이 작업에 대 한 의미 있는 이름을 입력 합니다. 이 필드는 필수 필드입니다.
    설명 의미 있는 설명을 입력 합니다.
    클러스터 선택 드롭다운 목록에서 구성 된 네트워크 위치를 검색 하는 데 사용할 클러스터를 선택 합니다.

    : 클러스터를 선택 하는 경우 할당 하는 클러스터의 노드가 SMB를 통해 구성 된 IP 범위에 액세스할 수 있는지 확인 합니다.
    검색할 IP 범위 구성 IP 주소 또는 범위를 정의 하려면 클릭 합니다.

    IP 범위 선택 창에서 선택적 이름을 입력 한 다음 범위에 대 한 시작 ip 주소와 끝 ip 주소를 입력 합니다.

    : 특정 ip 주소만 검색 하려면 시작 IP끝 IP 필드 모두에 동일한 ip 주소를 입력 합니다.
    일정 설정 이 네트워크 검색 작업을 실행 하는 빈도를 정의 합니다.

    매주 를 선택 하면 네트워크 검색 작업 실행 설정이 표시 됩니다. 네트워크 검색 작업을 실행 하려는 요일을 선택 합니다.
    시작 시간(UTC) 설정 이 네트워크 검색 작업의 실행을 시작할 날짜와 시간을 정의 합니다. 매일, 매주 또는 매월 작업을 실행 하도록 선택한 경우 해당 작업은 사용자가 선택한 되풀이에서 정의 된 시간에 실행 됩니다.

    참고: 날짜를 해당 월의 끝 일로 설정할 때는 주의 해야 합니다. 31 을 선택 하는 경우 네트워크 검색 작업은 30 일 이하의 월에는 실행 되지 않습니다.
  4. 저장 저장 아이콘 을 선택 하 여 변경 내용을 저장 합니다.

다른 스캐너를 사용 하 여 동일한 네트워크 검색을 실행 하려면 네트워크 검색 작업에서 정의 된 클러스터를 변경 합니다.

네트워크 검색 작업 창으로 돌아가서 클러스터에 할당 을 선택 하 여 현재 다른 클러스터를 선택 하거나 클러스터 할당 을 취소 하 여 나중에 추가 변경을 수행 합니다.

위험한 리포지토리 분석 발견 (공개 미리 보기)

네트워크 검색 작업, 콘텐츠 검색 작업 또는 로그 파일에서 검색 된 사용자 액세스에 의해 검색 된 리포지토리는 집계 되어 스캐너 > 리포지토리 리포지토리 아이콘 창에 나열 됩니다.

네트워크 검색 작업을 정의 하 고 특정 날짜 및 시간에 실행 되도록 설정한 경우에는 실행이 완료 될 때까지 기다린 후 결과를 확인 합니다. 콘텐츠 검색 작업 을 실행 하 여 업데이트 된 데이터를 확인 한 후 여기로 돌아갈 수도 있습니다.

참고

Azure Information Protection 리포지토리 기능은 현재 미리 보기로 제공 됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

  1. 왼쪽의 스캐너 메뉴 아래에서 리포지토리 리포지토리 아이콘을 선택 합니다.

    검색 된 리포지토리는 다음과 같이 표시 됩니다.

    • 상태별 리포지토리 그래프에는 콘텐츠 검색 작업에 대해 이미 구성 된 리포지토리의 수와 그 수가 표시 되지 않습니다.
    • 액세스 그래프 별로 상위 10 개의 관리 되지 않는 리포지토리의 액세스 수준에 대 한 세부 정보 뿐만 아니라 현재 콘텐츠 검색 작업에 할당 되지 않은 상위 10 개의 리포지토리가 나열 됩니다. 액세스 수준은 리포지토리의 위험을 나타낼 수 있습니다.
    • 그래프 아래의 표에는 찾은 각 리포지토리 및 세부 정보가 나열 되어 있습니다.
  2. 다음 중 하나를 수행합니다.

    옵션 설명
    열 아이콘 을 선택 하 여 표시 되는 테이블 열을 변경 합니다.
    새로 고침 아이콘 스캐너가 최근에 네트워크 검사 결과를 실행 한 경우 새로 고침 을 선택 하 여 페이지를 새로 고칩니다.
    추가 아이콘 테이블에 나열 된 하나 이상의 리포지토리를 선택한 다음 선택한 항목 할당 을 선택 하 여 콘텐츠 검색 작업에 할당 합니다.
    Filter 필터 행에는 현재 적용 된 필터링 기준이 표시 됩니다. 표시 되는 조건 중 하나를 선택 하 여 설정을 수정 하거나 필터 추가 를 선택 하 여 새 필터링 조건을 추가 합니다.

    필터 를 선택 하 여 변경 내용을 적용 하 고 업데이트 된 필터를 사용 하 여 테이블을 새로 고칩니다.
    Log Analytics 아이콘 관리 되지 않는 리포지토리 그래프의 오른쪽 위 모서리에서 Log Analytics 아이콘을 클릭 하 여 이러한 리포지토리의 Log Analytics 데이터로 이동 합니다.

읽기 또는 읽기/쓰기 기능이 있는 공용 액세스 에 보안을 설정 해야 하는 중요 한 콘텐츠가 있을 수 있습니다. 공용 액세스가 false 이면 공용에서 리포지토리에 액세스할 수 없습니다.

저장소에 대 한 공용 액세스는 MIPNetworkDiscovery 또는 MIPNetworkDiscoveryConfiguration cmdlet의 StandardDomainsUserAccount 매개 변수에서 weak 계정을 설정한 경우에만 보고 됩니다.

  • 이러한 매개 변수에 정의 된 계정은 저장소에 대 한 약한 사용자의 액세스를 시뮬레이션 하는 데 사용 됩니다. 사용자가 정의한 약한 사용자가 리포지토리에 액세스할 수 있는 경우이는 리포지토리에 액세스할 수 있음을 의미 합니다.

  • 공용 액세스가 올바르게 보고 되도록 하려면이 매개 변수에 지정 된 사용자가 Domain Users 그룹의 구성원 인지 확인 합니다.

콘텐츠 검색 작업 만들기

콘텐츠를 자세히 살펴보고 중요 한 콘텐츠에 대 한 특정 리포지토리를 검색 합니다.

네트워크에서 리포지토리를 분석 하기 위해 네트워크 검색 작업을 실행 한 후에만이 작업을 수행할 수 있지만 직접 리포지토리를 정의할 수도 있습니다.

Azure Portal에서 콘텐츠 검색 작업을 만들려면 다음을 수행 합니다.

  1. 왼쪽의 스캐너 메뉴 아래에서 콘텐츠 검색 작업 을 선택 합니다.

  2. Azure Information Protection-콘텐츠 검색 작업 창에서 추가 아이콘추가 를 선택 합니다 .

  3. 이 초기 구성에서는 다음 설정을 구성한 후 저장 을 선택 하지만 창을 닫지는 않습니다 .를 선택 합니다.

    설정 설명
    콘텐츠 검색 작업 설정 - 일정: 수동 의 기본값 유지
    - 검색할 정보 유형: 정책만 변경
    - 리포지토리 구성: 콘텐츠 검색 작업을 먼저 저장 해야 하므로 지금은 구성 하지 마십시오.
    DLP 정책 Microsoft 365 DLP (데이터 손실 방지) 정책을 사용 하는 경우 dlp 규칙 사용켜기 로 설정 합니다. 자세한 내용은 DLP 정책 사용을 참조 하세요.
    민감도 정책 - 적용: 선택 해제
    - 콘텐츠를 기반으로 파일 레이블 설정:의 기본값 을 유지 합니다.
    - 기본 레이블: 기본값 정책 기본값 유지
    - 레이블 재지정 files: 기본값을 Off 로 유지 합니다.
    파일 설정 구성 - "수정한 날짜", "마지막 수정" 및 "수정한 사람" 유지: 기본값을 On 으로 유지 합니다.
    - 검색할 파일 형식: 제외할 기본 파일 형식을 유지 합니다.
    - 기본 소유자: 스캐너 계정 기본값 유지
    - 리포지토리 소유자 설정: DLP 정책을 사용 하는경우에만이 옵션을 사용 합니다.
  4. 콘텐츠 검색 작업을 만들어 저장 했으므로 저장소 구성 옵션으로 돌아가서 검색할 데이터 저장소를 지정할 준비가 되었습니다.

    SharePoint 온-프레미스 문서 라이브러리 및 폴더에 대 한 UNC 경로 및 SharePoint Server Url을 지정 합니다.

    참고

    Sharepoint Server 2019, SharePoint Server 2016 및 sharepoint Server 2013는 SharePoint에 대해 지원 됩니다. 이 버전의 SharePoint에 관한 추가 지원을 받는 경우 SharePoint Server 2010도 지원됩니다.

    첫 번째 데이터 저장소를 추가 하려면 새 콘텐츠 검색 작업 추가 창에서 리포지토리 구성 을 선택 하 여 리포지토리 창을 엽니다.

    Azure Information Protection 스캐너에 대 한 데이터 리포지토리를 구성 합니다.

    1. 리포지토리 창에서 추가 를 선택합니다.

      Azure Information Protection 스캐너에 대 한 데이터 리포지토리를 추가 합니다.

    2. 리포지토리 창에서 데이터 리포지토리의 경로를 지정 하 고 저장 을 선택 합니다.

      • 네트워크 공유의 경우를 사용 \\Server\Folder 합니다.
      • SharePoint 라이브러리의 경우를 사용 http://sharepoint.contoso.com/Shared%20Documents/Folder 합니다.
      • 로컬 경로: C:\Folder
      • UNC 경로: \\Server\Folder

    참고

    와일드카드는 지원되지 않으며 WebDav 위치도 지원되지 않습니다.

    공유 문서 에 대 한 SharePoint 경로를 추가 하는 경우:

    • 공유 문서의 모든 문서와 모든 폴더를 검사하려는 경우 경로에 Shared Documents 를 지정합니다. http://sp2013/SharedDocuments
    • 공유 문서의 하위 폴더에 있는 모든 문서와 모든 폴더를 검사하려는 경우 경로에 Documents 를 지정합니다. http://sp2013/Documents/SalesReports
    • 또는 Sharepoint의 FQDN 만 지정 합니다. 예를 들어 http://sp2013 이 URL의 특정 url 및 자막 아래에 있는 모든 sharepoint 사이트와 하위 사이트를 검색 하 고 검색 하는 데 사용할 수 있습니다. 스캐너 사이트 수집기 감사자 권한을 부여 하 여이 기능을 사용 하도록 설정 합니다.

    이 창의 나머지 설정에 대해서는이 초기 구성에 대해서는 변경 하지 말고 콘텐츠 검색 작업 기본값 으로 유지 합니다. 기본 설정은 데이터 리포지토리가 콘텐츠 검색 작업의 설정을 상속 하는 것을 의미 합니다.

    SharePoint 경로를 추가할 때 다음 구문을 사용 합니다.

    경로 구문
    루트 경로 http://<SharePoint server name>

    스캐너 사용자에 대해 허용 된 모든 사이트 컬렉션을 포함 하 여 모든 사이트를 검색 합니다.
    루트 콘텐츠를 자동으로 검색 하려면 추가 권한이 필요 합니다.
    특정 SharePoint 하위 사이트 또는 컬렉션 다음 중 하나
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    사이트 모음 콘텐츠를 자동으로 검색 하려면 추가 권한이 필요 합니다.
    특정 SharePoint 라이브러리 다음 중 하나
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    특정 SharePoint 폴더 http://<SharePoint server name>/.../<folder name>
  5. 이전 단계를 반복 하 여 필요한 만큼 리포지토리를 추가 합니다.

    완료 되 면 리포지토리콘텐츠 검색 작업 창을 모두 닫습니다.

Azure Information Protection 콘텐츠 검색 작업 창으로 돌아가서 콘텐츠 검색 이름이 표시 되 고, 수동 을 보여 주는 일정 열과 함께 적용 열이 비어 있습니다.

이제 만든 콘텐츠 스캐너 작업을 사용 하 여 스캐너를 설치할 준비가 되었습니다. 스캐너 설치를 계속 합니다.

스캐너 설치

Azure Portal에서 Azure Information Protection 스캐너를 구성한후 다음 단계를 수행 하 여 스캐너를 설치 합니다.

  1. 스캐너를 실행하는 Windows Server 컴퓨터에 로그인합니다. 로컬 관리자 권한이 있고 SQL Server 마스터 데이터베이스에 쓸 수 있는 권한이 있는 계정을 사용합니다.

    중요

    스캐너를 설치 하기 전에 AIP 통합 레이블 클라이언트를 컴퓨터에 설치 해야 합니다.

    자세한 내용은 Azure Information Protection 스캐너 설치 및 배포를 위한 필수 조건을 참조 하세요.

  2. 관리자 권한으로 실행 옵션을 사용하여 Windows PowerShell 세션을 엽니다.

  3. Install-AIPScanner cmdlet을 실행 하 여 Azure Information Protection 스캐너용 데이터베이스를 만들 SQL Server 인스턴스와 이전 섹션에서 지정한스캐너 클러스터 이름을 지정 합니다.

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    예를 들어, 유럽 의 스캐너 클러스터 이름을 사용 합니다.

    • 기본 인스턴스의 경우: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • 명명된 인스턴스의 경우: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • SQL Server Express의 경우: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    메시지가 표시 되 면 스캐너 서비스 계정에 대 한 Active Directory 자격 증명을 제공 합니다.

    다음 구문을 사용 합니다. \<domain\user name> . contoso\scanneraccount

  4. 이제 관리 도구 서비스를 사용 하 여 서비스를 설치 했는지 확인 > 합니다.

    설치 된 서비스는 Azure Information Protection 스캐너 로 이름이 지정 되 고 사용자가 만든 스캐너 서비스 계정을 사용 하 여 실행 되도록 구성 됩니다.

스캐너를 설치 했으므로 스캐너가 무인 모드로 실행 될 수 있도록 스캐너 서비스 계정을 인증 하기 위해 AZURE AD 토큰을 가져와야 합니다.

스캐너에 대한 Azure AD 토큰 가져오기

Azure AD 토큰을 사용 하면 스캐너가 Azure Information Protection 서비스에 인증할 수 있으므로 스캐너가 비 대화형으로 실행 될 수 있습니다.

자세한 내용은 Azure Information Protection에 대해 비대화형으로 파일에 레이블을 지정하는 방법을 참조하세요.

Azure AD 토큰을 가져오려면 다음을 수행 합니다.

  1. 인증에 대 한 액세스 토큰을 지정 하는 Azure AD 응용 프로그램을 만들려면 Azure Portal로 돌아갑니다.

  2. Windows Server 컴퓨터에서 스캐너 서비스 계정에 설치를 위한 로컬 로그온 권한이 부여 된 경우이 계정으로 로그인 하 고 PowerShell 세션을 시작 합니다.

    Set-AIPAuthentication을 실행하고 이전 단계에서 복사한 값을 지정합니다.

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    예를 들면 다음과 같습니다.

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

스캐너 서비스 계정에 설치를 위해 로컬 로그온 권한이 부여 되지 않은 경우에 는 Azure Information Protection에 대해 비 대화형으로 파일에 레이블을 설정 하는 방법에 설명 된 대로 Aipauthentication과 함께 OnBehalfOf 매개 변수를 사용 합니다.

이제 스캐너에는 Azure AD 인증을 위한 토큰이 있습니다. 이 토큰은 Azure AD에서 웹 앱/ a p i 클라이언트 암호의 구성에 따라 1 년, 2 년 또는 never에 대해 유효 합니다.

토큰이 만료 되 면이 절차를 반복 해야 합니다.

이제 검색 모드에서 첫 번째 검색을 실행할 준비가 되었습니다. 자세한 내용은 검색 주기 실행 및 스캐너에 대 한 보고서 보기를 참조 하세요.

초기 검색 검색을 실행 한 후에 는 계속 스캐너를 구성 하 여 분류 및 보호를 적용합니다.

스캐너를 구성하여 분류 및 보호 적용

기본 설정은 보고 전용 모드에서 한 번 실행 되도록 스캐너를 구성 합니다.

이러한 설정을 변경 하려면 콘텐츠 검색 작업을 편집 합니다.

  1. Azure Portal의 Azure Information Protection 콘텐츠 검색 작업 창에서 클러스터 및 콘텐츠 검색 작업을 선택 하 여 편집 합니다.

  2. 콘텐츠 검색 작업 창에서 다음을 변경한 다음 저장 을 선택 합니다.

    • 콘텐츠 검색 작업 섹션: 일정항상 로 변경 합니다.
    • 민감도 정책 섹션에서 적용 대상을 켜기 로 변경 합니다.

    이 창에서 파일 특성이 변경 되었는지 여부 및 스캐너가 파일을 레이블 재지정 수 있는지 여부와 같은 기타 설정을 변경할 수 있습니다. 정보 팝업 도움말을 사용하여 각 구성 설정에 대한 자세한 정보를 확인합니다.

  3. 현재 시간을 기록해 두고 Azure Information Protection-콘텐츠 검색 작업 창에서 스캐너를 다시 시작 합니다.

    Azure Information Protection 스캐너에 대 한 검색을 시작 합니다.

    또는 PowerShell 세션에서 다음 명령을 실행 합니다.

    Start-AIPScan
    

이제 스캐너가 지속적으로 실행 되도록 예약 됩니다. 스캐너가 구성 된 모든 파일을 통해 작동 하는 경우 새로운 파일 및 변경 된 파일이 검색 되도록 새 주기를 자동으로 시작 합니다.

DLP 정책 사용 (공개 미리 보기)

Microsoft 365 DLP (데이터 손실 방지) 정책을 사용 하면 파일 공유 및 SharePoint Server에 저장 된 파일에 DLP 규칙을 일치 시켜 서 스캐너가 잠재적 데이터 누수를 검색할 수 있습니다.

  • DLP 정책과 일치 하는 파일의 노출을 줄이기 위해 콘텐츠 검색 작업에서 dlp 규칙을 사용 하도록 설정 합니다. DLP 규칙을 사용 하도록 설정 하면 스캐너는 데이터 소유자 에게만 파일 액세스를 줄이거나, 모든 사용자, 인증 된 사용자 또는 도메인 사용자 와 같은 네트워크 전체 그룹에 대 한 노출을 줄일 수 있습니다.

  • Microsoft 365 준수 센터에서 DLP 정책을 테스트 하 고 있는지 아니면 규칙 적용 여부와 해당 규칙에 따라 파일 사용 권한이 변경 되었는지 여부를 확인 합니다. 자세한 내용은 DLP 정책 설정을 참조 하세요.

DLP 정책을 테스트 하는 경우에도 파일을 스캔 하면 파일 권한 보고서도 생성 됩니다. 이러한 보고서를 쿼리하여 특정 파일 노출을 조사 하거나 검색 된 파일에 대 한 특정 사용자의 노출을 살펴볼 수 있습니다.

DLP 정책은 Microsoft 365 준수 센터에서 구성 되며 Azure Information Protection 버전 2.10.43.0부터 지원 됩니다.

DLP 라이선스에 대 한 자세한 내용은 데이터 손실 방지 온-프레미스 스캐너 시작을 참조 하세요.

스캐너를 사용 하 여 DLP 정책을 사용 하려면 다음을 수행 합니다.

  1. Azure Portal에서 콘텐츠 스캔 작업으로 이동 합니다. 자세한 내용은 콘텐츠 스캔 작업 만들기를 참조 하세요.

  2. Dlp 정책 에서 dlp 규칙 사용켜기 로 설정 합니다.

    중요

    Microsoft 365에 DLP 정책이 구성 되어 있지 않으면 dlp 규칙 사용On 으로 설정 하지 마십시오.

    DLP 정책을 사용 하지 않고이 기능을 설정 하면 스캐너가 오류를 생성 합니다.

  3. 필드 파일 설정 구성 에서 리포지토리 소유자 설정켜기 로 설정 하 고 특정 사용자를 리포지토리 소유자로 정의 합니다.

    이 옵션을 사용 하면 스캐너가 DLP 정책과 일치 하는이 리포지토리에서 찾은 파일을 정의 된 리포지토리 소유자에 게 노출 하는 것을 줄일 수 있습니다.

DLP 정책 및 전용 작업 만들기

개인 만들기 작업으로 DLP 정책을 사용 하 고 스캐너를 사용 하 여 파일에 자동으로 레이블을 지정 하려는 경우에도 통합 레이블 지정 클라이언트의 UseCopyAndPreserveNTFSOwner 고급 설정을 정의 하는 것이 좋습니다.

이 설정은 원래 소유자가 해당 파일에 대 한 액세스 권한을 유지 하도록 합니다.

자세한 내용은 콘텐츠 스캔 작업 만들기 및 Microsoft 365 설명서에서 콘텐츠에 자동으로 민감도 레이블 적용 을 참조 하세요.

보호할 파일 형식 변경

기본적으로 AIP 스캐너는 Office 파일 형식 및 PDF 파일만 보호 합니다.

PowerShell 명령을 사용 하 여 필요에 따라이 동작을 변경 합니다. 예를 들어, 클라이언트가 수행 하는 것 처럼 모든 파일 형식을 보호 하도록 스캐너를 구성 하거나 특정 파일 형식을 추가로 보호 합니다.

스캐너의 레이블을 다운로드 하는 사용자 계정에 적용 되는 레이블 정책에 대해 PFileSupportedExtensions 라는 PowerShell 고급 설정을 지정 합니다.

인터넷에 액세스할 수 있는 스캐너의 경우이 사용자 계정은 Set-AIPAuthentication 명령을 사용 하 여 DelegatedUser 매개 변수에 지정 하는 계정입니다.

예 1: 모든 파일 형식을 보호 하기 위한 스캐너의 PowerShell 명령 (레이블 정책의 이름이 "스캐너" 인 경우):

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

예 2: Office 파일 및 tiff 파일 뿐만 아니라 Office 파일 및 tiff 파일을 보호 하는 스캐너의 PowerShell 명령 (레이블 정책의 이름이 "스캐너" 인 경우):

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

자세한 내용은 보호할 파일 형식 변경을 참조 하세요.

스캐너 업그레이드

이전에 스캐너를 설치 했 고 업그레이드 하려는 경우 Azure Information Protection 스캐너 업그레이드에 설명 된 지침을 따르십시오.

스캐너를 설치 하는 단계를 건너뛰어 일반적인 방법으로 스캐너를 구성 하 고 사용 합니다.

대량으로 데이터 리포지토리 설정 편집

내보내기가져오기 단추를 사용 하 여 여러 리포지토리에서 스캐너를 변경할 수 있습니다.

이렇게 하면 Azure Portal에서 수동으로 동일 하 게 변경할 필요가 없습니다.

예를 들어 여러 SharePoint 데이터 리포지토리에 새 파일 형식이 있는 경우 해당 리포지토리의 설정을 대량으로 업데이트 하는 것이 좋습니다.

저장소에서 대량으로 변경 하려면 다음을 수행 합니다.

  1. 리포지토리 창의 Azure Portal에서 내보내기 옵션을 선택 합니다. 예를 들면 다음과 같습니다.

    Azure Information Protection 스캐너에 대 한 데이터 리포지토리 설정을 내보냅니다.

  2. 내보낸 파일을 수동으로 편집 하 여 변경 합니다.

  3. 동일한 페이지에서 가져오기 옵션을 사용 하 여 리포지토리를 통해 업데이트를 다시 가져올 수 있습니다.

대체 구성에 스캐너 사용

Azure Information Protection 스캐너는 일반적으로 필요에 따라 콘텐츠를 분류 하 고 보호 하기 위해 레이블에 대해 지정 된 조건을 찾습니다.

다음 시나리오에서 Azure Information Protection 스캐너는 구성 된 조건을 제외 하 고 콘텐츠를 검색 하 고 레이블을 관리할 수도 있습니다.

데이터 리포지토리의 모든 파일에 기본 레이블 적용

이 구성에서 리포지토리의 레이블이 지정 되지 않은 모든 파일은 리포지토리 또는 콘텐츠 검색 작업에 대해 지정 된 기본 레이블로 레이블이 지정 됩니다. 파일은 검사 없이 레이블이 지정 됩니다.

다음 설정을 구성합니다.

설정 설명
콘텐츠를 기반으로 파일 레이블 설정 Off 로 설정
기본 레이블 사용자 지정 으로 설정 하 고 사용할 레이블을 선택 합니다.
기본 레이블 적용 모든 파일에 이미 레이블이 지정 된 경우에도 기본 레이블을 모든 파일에 적용 하려면 선택 합니다.

데이터 리포지토리의 모든 파일에서 기존 레이블 제거

이 구성에서는 보호를 포함 하 여 모든 기존 레이블이 제거 됩니다. 레이블과 독립적으로 적용 되는 보호는 유지 됩니다.

다음 설정을 구성합니다.

설정 설명
콘텐츠를 기반으로 파일 레이블 설정 Off 로 설정
기본 레이블 없음 으로 설정
레이블 재지정 파일 기본 레이블 적용 확인란을 선택 하 여 켜기 로 설정 합니다.

모든 사용자 지정 조건 및 알려진 중요 한 정보 형식 식별

이 구성을 사용 하면 스캐너에 대 한 검색 속도를 저하 시킬 수 있는 중요 한 정보를 찾을 수 있습니다.

검색할 정보 유형을 모두 로 설정 합니다.

레이블 지정을 위한 조건 및 정보 유형을 식별 하기 위해 스캐너는 레이블 관리 센터에 정의 된 대로 사용자 지정 중요 한 정보 유형 및 선택할 수 있는 기본 제공 중요 정보 유형 목록을 사용 합니다.

스캐너 성능 최적화

참고

스캐너 성능이 아닌 스캐너 컴퓨터의 응답성을 향상 시키려는 경우 고급 클라이언트 설정을 사용 하 여 스캐너에서 사용 하는 스레드 수를 제한합니다.

스캐너 성능을 최적화 하는 데 도움이 되는 다음 옵션 및 지침을 사용 합니다.

옵션 설명
스캐너 컴퓨터와 스캔 대상 데이터 저장소 간에 안정적인 고속 네트워크 연결 확보 예를 들어 스캐너 컴퓨터를 검색 된 데이터 저장소와 동일한 LAN 또는 동일한 네트워크 세그먼트에 저장 합니다.

네트워크 연결의 품질은 파일을 검사 하기 위해 스캐너 서비스를 실행 하는 컴퓨터에 파일 내용이 전송 되기 때문에 스캐너 성능에 영향을 줍니다.

데이터를 이동 하는 데 필요한 네트워크 홉을 줄이거나 제거 해도 네트워크 부하가 감소 합니다.
스캐너 컴퓨터에 사용 가능한 프로세서 리소스가 있는지 확인 파일 콘텐츠를 검사 하 고 파일을 암호화 하 고 해독 하는 작업은 프로세서를 많이 사용 합니다.

지정 된 데이터 저장소에 대 한 일반적인 검색 주기를 모니터링 하 여 프로세서 리소스가 부족 하 여 스캐너 성능에 부정적인 영향을 주는지 여부를 확인 합니다.
스캐너의 여러 인스턴스 설치 스캐너에 대 한 사용자 지정 클러스터 이름을 지정 하는 경우 Azure Information Protection 스캐너는 동일한 SQL server 인스턴스에서 여러 구성 데이터베이스를 지원 합니다.

여러 스캐너가 동일한 클러스터를 공유할 수도 있으므로 검색 시간이 단축 됩니다.
대체 구성 사용 확인 스캐너는 파일 콘텐츠를 검사하지 않으므로 대체 구성을 사용하여 기본 레이블을 모든 파일에 적용하면 스캐너가 더 빠르게 실행됩니다.

대체 구성을 사용하여 모든 사용자 지정 조건 및 알려진 중요한 정보 유형을 식별하면 스캐너가 더 느리게 실행됩니다.

성능에 영향을 주는 추가 요소

스캐너 성능에 영향을 주는 추가 요인은 다음과 같습니다.

요인 설명
로드/응답 시간 검색할 파일을 포함 하는 데이터 저장소의 현재 로드 및 응답 시간도 스캐너 성능에 영향을 줍니다.
스캐너 모드 (검색/적용) 검색 모드는 일반적으로 적용 모드 보다 검사 속도가 높습니다.

검색에는 단일 파일 읽기 작업이 필요 하지만 적용 모드에는 읽기 및 쓰기 작업이 필요 합니다.
정책 변경 내용 레이블 정책에서 autolabeling를 변경한 경우 스캐너 성능에 영향을 줄 수 있습니다.

첫 번째 검색 주기는 스캐너가 모든 파일을 검사 해야 하는 경우에는 기본적으로 새 파일 및 변경 된 파일만 검사 하는 이후 검색 주기 보다 오래 걸립니다.

조건 또는 autolabeling 설정을 변경 하는 경우 모든 파일이 다시 검색 됩니다. 자세한 내용은 파일다시 검사를 참조 하세요.
Regex 생성 스캐너 성능은 사용자 지정 조건의 regex 식이 생성 되는 방법의 영향을 받습니다.

과도한 메모리 소비 및 시간 제한(파일당 15분)의 위험을 방지하려면 regex 식을 검토하여 효율적인 패턴 일치를 확인합니다.

예를 들면 다음과 같습니다.
- Greedy 수량자 사용 안 합니다.
-대신 비 캡처링 그룹을 사용 합니다. (?:expression)``(expression)
로그 수준 로그 수준 옵션에는 스캐너 보고서에 대 한 디버그, 정보, 오류해제 가 포함 됩니다.

- 성능 저하 결과
- 디버그 는 스캐너의 속도를 크게 낮추고 문제 해결에만 사용 해야 합니다.

자세한 내용은 Set-AIPScannerConfiguration cmdlet의 ReportLevel 매개 변수를 참조하세요.
검색 중인 파일 -Excel 파일을 제외 하 고 Office 파일은 PDF 파일 보다 더 빠르게 스캔 됩니다.

-보호 되지 않는 파일은 보호 된 파일 보다 더 빠르게 검색 됩니다.

-큰 파일은 작은 파일 보다 검색 하는 데 더 오랜 시간이 걸립니다.

지원 되는 PowerShell cmdlet

이 섹션에서는 Azure Information Protection 스캐너에 대해 지원 되는 PowerShell cmdlet을 나열 합니다.

스캐너에 대해 지원 되는 cmdlet은 다음과 같습니다.

다음 단계

스캐너를 설치 하 고 구성한 후에는 파일 검색을 시작 합니다.

참고 항목: 자동으로 파일을 분류 하 고 보호 하는 Azure Information Protection 스캐너 배포

추가 정보: