AIP(Azure Information Protection) 통합 레이블 지정 스캐너 구성 및 설치

이 문서에서는 Azure Information Protection 통합 레이블 지정, 온-프레미스 스캐너를 구성하고 설치하는 방법을 설명합니다.

팁

대부분의 고객은 Azure Portal의 Azure Information Protection 영역에서 이러한 절차를 수행하지만 PowerShell에서만 작업해야 할 수도 있습니다.

예를 들어 Azure China 21Vianet 스캐너 서버와 같이 Azure Portal에 액세스하지 않는 환경에서 작업하는 경우 PowerShell을 사용하여 스캐너를 구성합니다.

개요

시작하기 전에 시스템이 필수 구성 요소를 준수하는지 확인합니다.

Azure Portal을 사용하려면 다음 단계를 사용합니다.

1. 스캐너 설정 구성

2. 스캐너 설치

3. 스캐너에 대한 Azure AD 토큰 가져오기

4. 분류 및 보호를 적용하도록 스캐너 구성

그런 다음 시스템에 필요한 대로 아래 구성 절차를 수행합니다.

절차	Description
보호할 파일 형식 변경	기본 파일 형식과 다른 파일 형식을 검사, 분류 또는 보호할 수 있습니다. 자세한 내용은 AIP 검사 프로세스를 참조하세요.
스캐너 업그레이드	스캐너를 업그레이드하여 최신 기능 및 향상된 기능을 활용합니다.
데이터 리포지토리 설정을 대량으로 편집	가져오기 및 내보내기 옵션을 사용하여 여러 데이터 리포지토리에 대해 대량으로 변경합니다.
대체 구성으로 스캐너 사용	조건을 사용하여 레이블을 구성하지 않고 스캐너 사용
성능 최적화	스캐너 성능을 최적화하기 위한 지침

Azure Portal에서 스캐너 페이지에 액세스할 수 없는 경우 PowerShell에서만 스캐너 설정을 구성합니다. 자세한 내용은 PowerShell을 사용하여 스캐너 구성 및 지원되는 PowerShell cmdlet을 참조하세요.

스캐너 설정 구성

스캐너를 설치하거나 이전의 일반 가용성 버전에서 업그레이드하기 전에 스캐너 설정을 구성하거나 확인합니다.

Azure Portal에서 스캐너를 구성하려면:

1. 다음과 같은 역할 중 하나가 할당된 관리자로 Azure Portal에 로그인합니다.

   • 규정 준수 관리자
   • 규정 준수 데이터 관리자
   • 보안 관리자
   • 전역 관리자

   그런 다음, Azure Information Protection 창으로 이동합니다.

   예를 들어 리소스, 서비스 및 문서 검색 상자에서 Information을 입력하고 Azure Information Protection을 선택합니다.

2. 스캐너 클러스터를 생성합니다. 해당 클러스터는 검사기를 정의하며 설치, 업그레이드 및 기타 프로세스 중에 검사기 인스턴스를 식별하는 데 사용됩니다.

3. 콘텐츠 검색 작업을 만들어 검색할 리포지토리를 정의합니다.

스캐너 클러스터 생성

1. 왼쪽의 스캐너 메뉴에서 클러스터 선택합니다.

2. Azure Information Protection - 클러스터 창에서 추가을 선택합니다.

3. 새 클러스터 추가 창에 스캐너의 의미 있는 이름 및 설명(선택 사항)을 입력합니다.

   클러스터 이름은 스캐너의 구성 및 리포지토리를 식별하는 데 사용됩니다. 예를 들어 유럽을 입력하여 검사하려는 데이터 리포지토리의 지리적 위치를 식별할 수 있습니다.

   나중에 이 이름을 사용하여 스캐너를 설치하거나 업그레이드할 위치를 식별합니다.

4. 을 선택하여 변경 내용을 저장합니다.

네트워크 검색 작업 만들기(공개 미리 보기)

발견된 한 개 이상의 리포지토리를 콘텐츠 검색 작업에 추가하여 중요한 콘텐츠를 검사합니다.

참고

2022년 3월 18일부터 Azure Information Protection 분석을 종료하고 있으며, 전체 사용 중지는 2022년 9월 30일로 예정되어 있습니다.

또한 동일한 타임라인에서 스캐너의 네트워크 검색 기능을 중단합니다. 네트워크 검색 작업은 현재 AIP 감사 로그를 저장할 기존 Log Analytics 작업 영역이 있는 고객만 사용할 수 있습니다. 자세한 내용은 제거 및 사용 중지된 서비스를 참조하세요.

Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

다음 표에서는 네트워크 검색 서비스에 필요한 필수 구성 요소를 설명합니다.

필수 요소	Description
네트워크 검색 서비스 설치	스캐너를 최근에 업그레이드한 경우에도 네트워크 검색 서비스를 설치해야 할 수 있습니다. Install-MIPNetworkDiscovery cmdlet을 실행하여 네트워크 검색 작업을 사용하도록 설정합니다.
Azure Information Protection 분석	Azure Information Protection 분석을 사용하도록 설정했는지 확인합니다. Azure Portal에서 Azure Information Protection > 관리 >분석 구성(미리 보기)으로 이동합니다. 자세한 내용은 Azure Information Protection에 대한 중앙 보고(공개 미리 보기)를 참조하세요.

네트워크 검색 작업을 만들려면

1. Azure Portal에 로그인하고 Azure Information Protection으로 이동합니다. 왼쪽의 스캐너 메뉴에서 네트워크 검색 작업(미리 보기)을 선택합니다.

2. Azure Information Protection - 네트워크 검색 작업 창에서 을 선택합니다.

3. 새 네트워크 검색 작업 추가 페이지에서 다음 설정을 정의합니다.

   설정	Description
   네트워크 검색 작업 이름	이 작업의 의미 있는 이름을 입력합니다. 이 필드는 필수 필드입니다.
   설명	의미 있는 설명을 입력합니다.
   클러스터 선택	드롭다운에서 구성된 네트워크 위치를 검색하는 데 사용할 클러스터를 선택합니다. 팁: 클러스터를 선택할 때 할당하는 클러스터의 노드가 SMB를 통해 구성된 IP 범위에 액세스할 수 있는지 확인합니다.
   검색할 IP 범위 구성	IP 주소 또는 범위를 정의하려면 클릭합니다. IP 범위 선택 창에서 이름(선택 사항)을 입력한 다음, 범위에 대한 시작 IP 주소와 끝 IP 주소를 입력합니다. 팁: 특정 IP 주소만 검색하려면 시작 IP 및 끝 IP 필드에 동일한 IP주소를 입력합니다.
   일정 설정	이 네트워크 검색 작업을 실행할 빈도를 정의합니다. 매주를 선택하면 네트워크 검색 작업 실행 시간 설정이 표시됩니다. 네트워크 검색 작업을 실행할 요일을 선택합니다.
   시작 시간(UTC) 설정	이 네트워크 검색 작업 실행을 시작할 날짜 및 시간을 정의합니다. 매일, 매주 또는 매월 작업을 실행하도록 선택한 경우 작업이 선택한 되풀이 시간에 정의된 시간에 실행됩니다. 참고: 날짜를 월말의 임의 날짜로 설정할 때는 주의해야 합니다. 31을 선택하면 30일 이하의 날짜가 있는 달에서 네트워크 검색 작업이 실행되지 않습니다.

4. 을 선택하여 변경 내용을 저장합니다.

팁

다른 스캐너를 사용하여 동일한 네트워크 검색을 실행하려면 네트워크 검색 작업에 정의된 클러스터를 변경합니다.

네트워크 검색 작업 창으로 돌아가서 클러스터에 할당을 선택하여 지금 다른 클러스터를 선택하거나 클러스터 할당을 취소하여 나중에 추가로 변경합니다.

발견된 위험한 리포지토리 분석(공개 미리 보기)

네트워크 검색 작업, 콘텐츠 검색 작업 또는 로그 파일에서 검색된 사용자 액세스로 찾은 리포지토리는 스캐너 > 리포지토리 리포지토리 아이콘 창에 집계되고 나열됩니다.

네트워크 검색 작업을 정의하고 특정 날짜 및 시간에 실행되도록 설정한 경우 실행이 완료될 때까지 기다렸다가 결과를 확인합니다. 업데이트된 데이터를 보기 위해 콘텐츠 검색 작업을 실행한 후 여기로 돌아올 수도 있습니다.

참고

Azure Information Protection 리포지토리 기능은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

1. 왼쪽의 스캐너 메뉴에서 리포지토리을 선택합니다.

   찾은 리포지토리는 다음과 같이 표시됩니다.

   • 상태별 리포지토리 그래프는 콘텐츠 검색 작업에 대해 이미 구성된 리포지토리 수와 구성되지 않은 리포지토리 수를 보여 줍니다.
   • 액세스별로 관리되지 않는 상위 10개 리포지토리 그래프에는 현재 콘텐츠 검색 작업에 할당되지 않은 상위 10개 리포지토리와 액세스 수준에 대한 세부 정보가 나열됩니다. 액세스 수준은 리포지토리가 얼마나 위험한지를 나타낼 수 있습니다.
   • 그래프 아래의 표에는 찾은 각 리포지토리와 해당 리포지토리의 세부 정보가 나열되어 있습니다.

2. 다음 중 하나를 수행합니다.

   옵션	Description
   	열을 선택하여 표시되는 테이블 열을 변경합니다.
   	스캐너에서 최근에 네트워크 검색 결과를 실행한 경우 새로 고침을 선택하여 페이지를 새로 고칩니다.
   	표에 나열된 리포지토리를 한 개 이상의 선택한 다음 선택한 항목 할당을 선택하여 콘텐츠 검색 작업에 할당합니다.
   Filter	필터 행에는 현재 적용된 필터링 조건이 표시됩니다. 표시된 조건을 선택하여 해당 설정을 수정하거나 필터 추가를 선택하여 새 필터링 조건을 추가합니다. 필터를 선택하여 변경 내용을 적용하고 업데이트된 필터를 사용하여 테이블을 새로 고칩니다.
   	관리되지 않는 리포지토리 그래프의 오른쪽 위 모서리에서 Log Analytics 아이콘을 클릭하여 이러한 리포지토리에 대한 Log Analytics 데이터로 이동합니다.

공용 액세스에 읽기 또는 읽기/쓰기 기능이 있는 것으로 확인된 리포지토리에는 보호해야 하는 중요한 콘텐츠가 있을 수 있습니다. 공용 액세스가 false이면 공용에서 리포지토리에 전혀 액세스할 수 없습니다.

리포지토리에 대한 공용 액세스는 Install-MIPNetworkDiscovery 또는 Set-MIPNetworkDiscoveryConfiguration cmdlets의 StandardDomainsUserAccount 매개 변수에서 약한 계정을 설정한 경우에만 보고됩니다.

• 이러한 매개 변수에 정의된 계정은 리포지토리에 대한 약한 사용자의 액세스를 시뮬레이션하는 데 사용됩니다. 정의된 약한 사용자가 리포지토리에 액세스할 수 있는 경우 이는 리포지토리에 공개적으로 액세스할 수 있음을 의미합니다.

• 공용 액세스가 올바르게 보고되도록 하려면 이러한 매개 변수에 지정된 사용자가 도메인 사용자 그룹의 구성원인지 확인합니다.

콘텐츠 검색 작업 만들기

콘텐츠를 심층 분석하여 특정 리포지토리에서 중요한 콘텐츠를 검색합니다.

네트워크 검색 작업을 실행하여 네트워크의 리포지토리를 분석한 후에만 이 작업을 수행할 수 있지만, 리포지토리를 직접 정의할 수도 있습니다.

Azure Portal에서 콘텐츠 검색 작업을 만들려면 다음을 수행합니다.

1. 왼쪽의 스캐너 메뉴에서 콘텐츠 검색 작업을 선택합니다.

2. Azure Information Protection - 콘텐츠 검색 작업 창에서 을 선택합니다.

3. 이러한 초기 구성에서 다음 설정을 구성한 다음 저장을 선택하고 창을 닫지 않습니다.

   설정	Description
   콘텐츠 검색 작업 설정	- 일정: 기본값 수동을 그대로 유지 - 검색할 정보 유형: 정책만으로 변경 - 리포지토리 구성: 콘텐츠 검색 작업을 먼저 저장해야 하므로 지금은 구성하지 마세요.
   DLP 정책	Microsoft 365 DLP(데이터 손실 방지) 정책을 사용하는 경우 DLP 규칙 사용을 켜기로 설정합니다. 자세한 내용은 DLP 정책 사용을 참조하세요.
   민감도 정책	- 적용: 끄기 선택 - 콘텐츠에 따라 파일에 레이블 지정: 기본값 켜기를 그대로 유지 - 기본 레이블: 기본값 정책 기본값을 그대로 유지 - 파일에 레이블 다시 지정: 기본값 끄기를 그대로 유지
   파일 설정 구성	- "수정한 날짜", "마지막으로 수정한 날짜" 및 "수정한 사람": 기본값 켜기를 그대로 유지 - 검색할 파일 형식: 기본 파일 형식 제외를 그대로 유지 - 기본 소유자: 기본값 스캐너 계정을 그대로 유지 - 리포지토리 소유자 설정: DLP 정책을 사용하는 경우에만 이 옵션을 사용합니다.

4. 콘텐츠 검색 작업이 생성되고 저장되었으므로 이제 리포지토리 구성 옵션으로 이동하여 검색할 데이터 저장소를 지정할 수 있습니다.

   SharePoint 온-프레미스 문서 라이브러리 및 폴더에 대한 UNC 경로 및 SharePoint 서버 URL을 지정합니다.

   참고

   SharePoint의 경우 SharePoint Server 2019, SharePoint Server 2016 및 SharePoint Server 2013이 지원됩니다.

   첫 번째 데이터 저장소를 추가하려면 새 콘텐츠 검색 작업 추가 창에서 리포지토리 구성을 선택하여 리포지토리 창을 엽니다.

   

   1. 리포지토리 창에서 추가를 선택합니다.

      

   2. 리포지토리 창에서 데이터 리포지토리의 경로를 지정한 다음 저장을 선택합니다.

      • 네트워크 공유에 \\Server\Folder를 사용합니다.
      • SharePoint 라이브러리에 http://sharepoint.contoso.com/Shared%20Documents/Folder를 사용합니다.
      • 로컬 경로: C:\Folder
      • UNC 경로: \\Server\Folder

   참고

   와일드카드는 지원되지 않으며 WebDav 위치도 지원되지 않습니다.

   공유 문서에 대해 SharePoint 경로를 추가하는 경우 다음을 수행합니다.

   • 공유 문서의 모든 문서와 모든 폴더를 검사하려는 경우 경로에 Shared Documents를 지정합니다. 예: http://sp2013/SharedDocuments
   • 공유 문서의 하위 폴더에 있는 모든 문서와 모든 폴더를 검사하려는 경우 경로에 Documents를 지정합니다. 예: http://sp2013/Documents/SalesReports
   • 또는 Sharepoint의 FQDN만 지정합니다. 예: http://sp2013(특정 URL에서 SharePoint 사이트와 하위 사이트를 모두 검색하고 이 URL에서 하위 제목 검색) 이를 사용하도록 하려면 스캐너 사이트 수집기 감사자 권한을 부여합니다.

   이 페이지의 나머지 설정에 대해서는 이 초기 설정에서 변경하지 않고 콘텐츠 검색 작업 기본값으로 유지합니다. 기본 설정은 데이터 리포지토리가 콘텐츠 검색 작업의 설정을 상속한다는 것을 의미합니다.

   SharePoint 경로를 추가할 때 다음 구문을 사용합니다.

   경로	Syntax
   루트 경로	http://<SharePoint server name> 스캐너 사용자에게 허용된 사이트 모음을 포함하여 모든 사이트를 검색합니다. 루트 콘텐츠를 자동으로 검색하려면 추가 권한이 필요합니다.
   특정 SharePoint 하위 사이트 또는 모음	다음 중 하나 - http://<SharePoint server name>/<subsite name> - http://SharePoint server name>/<site collection name>/<site name> 사이트 모음 콘텐츠를 자동으로 검색하려면 추가 권한이 필요합니다.
   특정 SharePoint 라이브러리	다음 중 하나 - http://<SharePoint server name>/<library name> - http://SharePoint server name>/.../<library name>
   특정 SharePoint 폴더	http://<SharePoint server name>/.../<folder name>

5. 이전 단계를 반복하여 필요한 만큼 리포지토리를 추가합니다.

   완료되면 리포지토리 및 콘텐츠 검색 작업 창을 모두 닫습니다.

Azure Information Protection - 콘텐츠 검색 작업 창으로 돌아가면 수동이 표시되는 일정 열과 함께 콘텐츠 검색 이름이 표시되고 적용 열은 비어 있습니다.

이제 만든 콘텐츠 검색 작업을 사용하여 스캐너를 설치할 수 있습니다. 스캐너 설치를 계속합니다.

스캐너 설치

Azure Information Protection 스캐너를 구성한 후 아래 단계를 수행하여 스캐너를 설치합니다. 이 절차는 PowerShell에서 완벽하게 수행됩니다.

1. 스캐너를 실행하는 Windows Server 컴퓨터에 로그인합니다. 로컬 관리자 권한이 있고 SQL Server 마스터 데이터베이스에 쓸 수 있는 권한이 있는 계정을 사용합니다.

   중요

   스캐너를 설치하려면 머신에 AIP 통합 레이블 지정 클라이언트가 설치되어 있어야 합니다.

   자세한 내용은 Azure Information Protection 스캐너 설치 및 배포를 위한 사전 요구 사항을 참조하세요.

2. 관리자 권한으로 실행 옵션을 사용하여 Windows PowerShell 세션을 엽니다.

3. Azure Information Protection 스캐너에 대한 데이터베이스를 만들 SQL Server 인스턴스와 이전 섹션에서 지정한 스캐너 클러스터 이름을 지정하여 Install-AIPScanner cmdlet을 실행합니다.

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   예를 들어 유럽의 스캐너 클러스터 이름을 사용하는 경우 다음과 같습니다.

   • 기본 인스턴스의 경우: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

   • 명명된 인스턴스의 경우: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

   • SQL Server Express의 경우: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

   메시지가 표시되면 스캐너 서비스 계정에 대한 Active Directory 자격 증명을 제공합니다.

   다음 구문을 사용합니다. \<domain\user name>. 예: contoso\scanneraccount

4. 관리 도구>서비스를 사용하여 현재 서비스가 설치되어 있는지 확인합니다.

   설치된 서비스의 이름은 Azure Information Protection Scanner이며, 만든 스캐너 서비스 계정을 사용하여 실행하도록 구성됩니다.

스캐너를 설치했으므로 스캐너가 무인으로 실행되도록 인증할 스캐너 서비스 계정에 대한 Azure AD 토큰을 가져와야 합니다.

스캐너에 대한 Azure AD 토큰 가져오기

Azure AD 토큰을 사용하면 스캐너가 Azure Information Protection 서비스에 인증할 수 있으므로 스캐너가 비대화형으로 실행될 수 있습니다.

자세한 내용은 Azure Information Protection에 대해 비대화형으로 파일에 레이블을 지정하는 방법을 참조하세요.

Azure AD 토큰을 가져오려면:

1. Azure Portal을 열어서 Azure AD 애플리케이션을 만들고 인증에 대한 액세스 토큰을 지정합니다.

2. Windows Server 컴퓨터에서 스캐너 서비스 계정에 설치에 대한 로컬 로그온 권한이 부여된 경우 이 계정을 사용하여 로그인하고 PowerShell 세션을 시작합니다.

   Set-AIPAuthentication을 실행하고 이전 단계에서 복사한 값을 지정합니다.

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   예를 들면 다음과 같습니다.

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   팁

   스캐너 서비스 계정에 설치에 대한 로컬 로그온 권한을 부여할 수 없는 경우 Azure Information Protection에 대해 비대화형으로 파일에 레이블을 지정하는 방법에 설명된 대로 Set-AIPAuthentication과 함께 OnBehalfOf 매개 변수를 사용합니다.

이제 스캐너에는 Azure AD 인증을 위한 토큰이 있습니다. Azure AD의 웹 앱/API 클라이언트 암호 구성에 따라 이 토큰이 1년 또는 2년 동안 유효하거나 전혀 유효하지 않습니다. 토큰이 만료되면 이 절차를 반복해야 합니다.

스캐너를 구성하는 데 Azure Portal을 사용하는지 아니면 PowerShell만 사용하는지에 따라 다음 단계 중 하나를 계속 사용합니다.

Azure Portal만

이제 검색 모드에서 첫 번째 검색을 실행할 준비가 되었습니다. 자세한 내용은 검색 주기 실행 및 스캐너에 대한 보고서 보기를 참조하세요.

초기 검색 검사를 실행한 후 분류 및 보호를 적용하도록 스캐너 구성을 계속 진행합니다.

PowerShell만

Azure Portal에서 스캐너 페이지 대신 PowerShell을 사용하여 스캐너를 구성하고 설치하는 경우 PowerShell을 사용하여 스캐너 구성의 다음 단계를 계속 진행합니다.

그렇다면

• 검색 주기 실행 및 스캐너에 대한 보고서 보기
• PowerShell을 사용하여 분류 및 보호를 적용하도록 스캐너 구성
• PowerShell을 사용하여 스캐너로 DLP 정책 구성

참고

자세한 내용은 Azure Information Protection에 대해 비대화형으로 파일에 레이블을 지정하는 방법을 참조하세요.

스캐너를 구성하여 분류 및 보호 적용

기본 설정은 스캐너를 한 번, 보고 전용 모드로 실행하도록 구성합니다. 이러한 설정을 변경하려면 콘텐츠 검색 작업을 편집합니다.

팁

PowerShell에서만 작업하는 경우 분류 및 보호를 적용하도록 스캐너 구성 - PowerShell만을 참조하세요.

분류 및 보호를 적용하도록 스캐너를 구성하려면:

1. Azure Portal의 Azure Information Protection - 콘텐츠 검색 작업 창에서 클러스터 및 콘텐츠 검색 작업을 선택하여 편집합니다.

2. 콘텐츠 검색 작업 창에서 다음을 변경한 다음 저장을 선택합니다.

   • 콘텐츠 검색 작업 섹션에서: 일정을 항상으로 변경
   • 민감도 정책 섹션에서: 적용을 켜기로 변경

   팁

   이 창에서 파일 특성이 변경되었는지 여부 및 스캐너에서 파일의 레이블을 다시 지정할 수 있는지 여부 등 다른 설정을 변경할 수 있습니다. 정보 팝업 도움말을 사용하여 각 구성 설정에 대한 자세한 정보를 확인합니다.

3. 현재 시간을 기록해 두고 Azure Information Protection - 콘텐츠 검색 작업 창에서 스캐너를 다시 시작합니다.

   

이제 스캐너가 지속적으로 실행되도록 예약됩니다. 스캐너가 구성된 모든 파일에서 작동하면 자동으로 새로운 주기를 시작하므로 새 파일과 변경된 파일이 모두 검색됩니다.

DLP 정책 사용

Microsoft 365 DLP(데이터 손실 방지) 정책을 사용하면 스캐너가 파일 공유 및 SharePoint Server에 저장된 파일에 DLP 규칙을 일치시켜 잠재적인 데이터 누출을 감지할 수 있습니다.

• 콘텐츠 검색 작업에서 DLP 규칙을 사용하도록 설정하여 DLP 정책과 일치하는 파일의 노출을 줄일 수 있습니다. DLP 규칙을 사용하도록 설정된 경우 스캐너는 데이터 소유자에 대한 파일 액세스만 줄이거나 모든 사용자, 인증된 사용자 또는 도메인 사용자와 같은 네트워크 전체 그룹에 대한 노출을 줄일 수 있습니다.

• Microsoft Purview 규정 준수 포털 DLP 정책을 테스트하고 있는지 또는 규칙을 적용할지 여부와 해당 규칙에 따라 파일 사용 권한을 변경할지 여부를 결정합니다. 자세한 내용은 DLP 정책 켜기를 참조하세요.

DLP 정책은 Microsoft Purview 규정 준수 포털 구성됩니다. DLP 라이선스에 대한 자세한 내용은 데이터 손실 방지 온-프레미스 스캐너 시작을 참조하세요.

팁

DLP 정책을 테스트하는 경우에도 파일을 검색하면 파일 사용 권한 보고서가 생성됩니다. 이러한 보고서를 쿼리하여 특정 파일 노출을 조사하거나 검색된 파일에 대한 특정 사용자의 노출을 탐색합니다.

PowerShell만 사용하려면 스캐너에서 DLP 정책 사용 - PowerShell만을 참조하세요.

스캐너에서 DLP 정책을 사용하려면:

1. Azure Portal에서 콘텐츠 검색 작업으로 이동합니다. 자세한 내용은 콘텐츠 검색 작업 만들기를 참조하세요.

2. DLP 정책에서 DLP 규칙 사용을 켜기로 설정합니다.

   중요

   실제로 DLP 정책을 Microsoft 365에 구성하지 않은 경우 DLP 규칙 사용을 켜기로 설정하지 마세요.

   DLP 정책 없이 이 기능을 켜면 스캐너에서 오류가 발생합니다.

3. (선택 사항) 파일 설정 구성에서 리포지토리 소유자 설정을 켜기로 설정하고 특정 사용자를 리포지토리 소유자로 정의합니다.

   이 옵션을 사용하면 스캐너가 DLP 정책과 일치하는 이 리포지토리에 있는 모든 파일이 정의된 리포지토리 소유자에게 노출되는 것을 줄일 수 있습니다.

DLP 정책 및 프라이빗 작업 만들기

프라이빗 작업으로 DLP 정책을 사용하고 스캐너를 사용하여 파일에 자동으로 레이블을 지정하려는 경우 통합 레이블 지정 클라이언트의 UseCopyAndPreserveNTFSOwner 고급 설정도 정의하는 것이 좋습니다.

이 설정은 원래 소유자가 파일에 대한 액세스를 유지하도록 합니다.

자세한 내용은 Microsoft 365 설명서의 콘텐츠 검색 작업 만들기 및 콘텐츠에 자동으로 민감도 레이블 적용을 참조하세요.

보호할 파일 형식 변경

기본적으로 AIP 스캐너는 Office 파일 형식 및 PDF 파일만 보호합니다.

PowerShell 명령을 사용하여 클라이언트와 마찬가지로 모든 파일 형식을 보호하거나 추가적인 특정 파일 형식을 보호하도록 스캐너를 구성하는 등 필요에 따라 이 동작을 변경합니다.

스캐너의 레이블을 다운로드하는 사용자 계정에 적용되는 레이블 정책의 경우 PFileSupportedExtensions라는 PowerShell 고급 설정을 지정합니다.

인터넷에 액세스할 수 있는 스캐너의 경우 이 사용자 계정은 Set-AIPAuthentication 명령을 사용하여 DelegatedUser 매개 변수에 대해 지정하는 계정입니다.

예 1: 스캐너가 레이블 정책의 이름이 "스캐너"인 모든 파일 형식을 보호하는 PowerShell 명령:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

예 2: 스캐너가 레이블 정책의 이름이 "스캐너"인 Office 파일 및 PDF 파일 외에 .xml 파일 및 .tiff 파일을 보호하는 PowerShell 명령:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

자세한 내용은 보호할 파일 형식 변경을 참조하세요.

스캐너 업그레이드

이전에 설치한 스캐너를 업그레이드하려는 경우 Azure Information Protection 스캐너 업그레이드에 설명된 지침을 사용합니다.

그런 다음 스캐너 설치 단계를 건너뛰고 평소처럼 스캐너를 구성하고 사용합니다.

데이터 리포지토리 설정을 대량으로 편집

내보내기 및 가져오기 단추를 사용하여 여러 리포지토리에서 스캐너를 변경합니다.

이렇게 하면 Azure Portal에서 동일한 변경을 여러 번 수동으로 수행할 필요가 없습니다.

예를 들어 여러 SharePoint 데이터 리포지토리에 새 파일 형식이 있는 경우 해당 리포지토리에 대한 설정을 대량으로 업데이트할 수 있습니다.

리포지토리에서 대량으로 변경하려면:

1. Azure Portal의 리포지토리 창에서 내보내기 옵션을 선택합니다. 예를 들어 다음과 같습니다.

   

2. 내보낸 파일을 수동으로 편집하여 변경합니다.

3. 동일한 페이지에서 가져오기 옵션을 사용하여 리포지토리에서 업데이트를 다시 가져옵니다.

대체 구성으로 스캐너 사용

Azure Information Protection 스캐너는 일반적으로 필요에 따라 콘텐츠를 분류하고 보호하기 위해 레이블에 대해 지정된 조건을 찾습니다.

다음 시나리오에서 Azure Information Protection 스캐너는 조건을 구성하지 않고도 콘텐츠를 스캔하고 레이블을 관리할 수 있습니다.

• 데이터 리포지토리의 모든 파일에 기본 레이블 적용
• 데이터 리포지토리의 모든 파일에서 기존 레이블 제거
• 모든 사용자 지정 조건 및 알려진 중요한 정보 유형 식별

데이터 리포지토리의 모든 파일에 기본 레이블 적용

이 구성에서는 리포지토리에서 레이블이 지정되지 않은 모든 파일에 리포지토리 또는 콘텐츠 검색 작업을 위해 지정된 기본 레이블로 레이블이 지정됩니다. 파일에 검사 없이 레이블이 지정됩니다.

다음 설정을 구성합니다.

설정	Description
콘텐츠에 따라 파일에 레이블 지정	끄기로 설정
기본 레이블	사용자 지정으로 설정한 다음 사용할 레이블 선택
기본 레이블 적용	이미 레이블이 지정된 경우에도 모든 파일에 기본 레이블을 적용하려면 선택합니다.

데이터 리포지토리의 모든 파일에서 기존 레이블 제거

이 구성에서는 보호가 레이블에 적용된 경우 보호를 포함하여 기존의 모든 레이블이 제거됩니다. 레이블과 독립적으로 적용된 보호는 유지됩니다.

다음 설정을 구성합니다.

설정	Description
콘텐츠에 따라 파일에 레이블 지정	끄기로 설정
기본 레이블	없음으로 설정
파일에 레이블 다시 지정	기본 레이블 적용 확인란이 선택된 상태에서 켜기로 설정

모든 사용자 지정 조건 및 알려진 중요한 정보 유형 식별

이 구성을 사용하면 스캐너 검색 속도는 느리지만, 본인도 몰랐던 중요한 정보를 찾을 수 있습니다.

검색할 정보 유형을 모두로 설정합니다.

레이블 지정에 대한 조건 및 정보 유형을 식별하기 위해 스캐너는 레이블 지정 관리 센터에 정의된 대로 선택할 수 있는 기본 제공 중요한 정보 유형 목록과 지정된 사용자 지정 중요한 정보 유형을 사용합니다.

스캐너 성능 최적화

참고

스캐너 성능이 아닌 스캐너 컴퓨터의 응답성을 향상시키려면 고급 클라이언트 설정을 사용하여 스캐너에서 사용하는 스레드 수를 제한합니다.

다음 옵션과 지침을 사용하면 스캐너 성능을 최적화하는 데 도움이 됩니다.

옵션	Description
스캐너 컴퓨터와 스캔 대상 데이터 저장소 간에 안정적인 고속 네트워크 연결 확보	예를 들어 동일한 LAN 또는 가급적이면 검색된 데이터 저장소와 동일한 네트워크 세그먼트에 스캐너 컴퓨터를 배치합니다. 스캐너는 파일을 검사하기 위해 파일의 콘텐츠를 스캐너 서비스를 실행하는 컴퓨터로 전송하기 때문에 네트워크 연결 품질이 스캐너 성능에 영향을 줍니다. 데이터를 이동하는 데 필요한 네트워크 홉 수를 줄이거나 제거하면 네트워크의 부하도 줄어듭니다.
스캐너 컴퓨터에 사용 가능한 프로세서 리소스가 있는지 확인	파일 콘텐츠를 검사하고 파일을 암호화 및 암호 해독하는 작업은 프로세서를 많이 사용하는 작업입니다. 지정된 데이터 저장소에 대한 일반적인 검색 주기를 모니터링하여 프로세서 리소스 부족이 스캐너 성능을 저하시키는지 확인합니다.
스캐너의 여러 인스턴스 설치	Azure Information Protection 스캐너는 스캐너에 대한 사용자 지정 클러스터 이름을 지정할 때 동일한 SQL 서버 인스턴스에서 여러 개의 구성 데이터베이스를 지원합니다. 팁: 여러 스캐너가 동일한 클러스터를 공유할 수도 있으므로 검색 시간이 더 빨라질 수 있습니다. 동일한 데이터베이스 인스턴스가 있는 여러 머신에 스캐너를 설치하고 스캐너를 동시에 실행하려는 경우 동일한 클러스터 이름을 사용하여 모든 스캐너를 설치해야 합니다.
대체 구성 사용량 확인	스캐너는 파일 콘텐츠를 검사하지 않으므로 대체 구성을 사용하여 기본 레이블을 모든 파일에 적용하면 스캐너가 더 빠르게 실행됩니다. 대체 구성을 사용하여 모든 사용자 지정 조건 및 알려진 중요한 정보 유형을 식별하면 스캐너가 더 느리게 실행됩니다.

성능에 영향을 주는 추가 요인

스캐너 성능에 영향을 주는 추가 요인은 다음과 같습니다.

요인	설명
로드/응답 시간	검색할 파일이 포함된 데이터 저장소의 현재 로드 및 응답 시간도 스캐너 성능에 영향을 줍니다.
스캐너 모드(검색/적용)	검색 모드는 일반적으로 적용 모드보다 검색 속도가 빠릅니다. 검색 모드에는 단일 파일 읽기 작업이 필요하지만 적용 모드에는 읽기 및 쓰기 작업이 필요합니다.
정책 변경 내용	레이블 정책에서 자동 레이블 지정을 변경한 경우 스캐너 성능에 영향을 줄 수 있습니다. 스캐너가 모든 파일을 검사해야 하는 첫 번째 검색 주기는 기본적으로 새 파일과 변경된 파일만 검사하는 후속 검색 주기보다 오래 걸립니다. 조건 또는 자동 레이블 지정 설정을 변경하면 모든 파일이 다시 검색됩니다. 자세한 내용은 파일 다시 검색을 참조하세요.
Regex 생성	사용자 지정 조건에 대한 regex 식이 생성되는 방식은 스캐너 성능에 영향을 줍니다. 과도한 메모리 소비 및 시간 제한(파일당 15분)의 위험을 방지하려면 regex 식을 검토하여 효율적인 패턴 일치를 확인합니다. 예를 들어 다음과 같습니다. - 탐욕적 수량자 방지 - 비 캡처링 그룹 사용((expression) 대신 (?:expression))
로그 수준	로그 수준 옵션에는 스캐너 보고서에 대한 디버그, 정보, 오류 및 끄기가 포함되어 있습니다. - 끄기를 사용하면 최상의 성능이 유지됩니다. - 디버그를 사용하면 스캐너 속도가 상당히 느려지므로 문제 해결에만 사용해야 합니다. 자세한 내용은 Set-AIPScannerConfiguration cmdlet의 ReportLevel 매개 변수를 참조하세요.
검색 중인 파일	- Excel 파일을 제외한 Office 파일은 PDF 파일보다 더 빠르게 검색됩니다. - 보호되지 않은 파일은 보호된 파일보다 빠르게 검색됩니다. - 큰 파일은 작은 파일보다 분명히 검색하는 데 더 오랜 시간이 걸립니다.

PowerShell을 사용하여 스캐너 구성

이 섹션에서는 Azure Portal에서 스캐너 페이지에 액세스할 수 없고 PowerShell만 사용해야 하는 경우 AIP 온-프레미스 스캐너를 구성하고 설치하는 데 필요한 단계를 설명합니다.

중요

• 일부 단계에서는 Azure Portal에서 스캐너 페이지에 액세스할 수 있는지 여부와 동일한지 여부에 따라 Powershell이 필요합니다. 이러한 단계에 대해서는 표시된 대로 이 문서의 이전 지침을 참조하세요.

• Azure China 21Vianet용 스캐너로 작업하는 경우 여기에 설명된 지침 외에 추가 단계가 필요합니다. 자세한 내용은 21Vianet에서 운영하는 Office 365에 대한 Azure Information Protection 지원을 참조하세요.

자세한 내용은 지원되는 Azure PowerShell cmdlets을 참조하세요.

스캐너를 구성 및 설치하려면:

1. PowerShell을 닫은 상태에서 시작합니다. 이전에 AIP 클라이언트 및 스캐너를 설치한 경우 AIPScanner 서비스가 중지되었는지 확인합니다.

2. 관리자 권한으로 실행 옵션을 사용하여 Windows PowerShell 세션을 엽니다.

3. Install-AIPScanner 명령을 실행하여 클러스터 이름을 정의하는 클러스터 매개 변수를 사용하여 SQL 서버 인스턴스에 스캐너를 설치합니다.

   이 단계는 Azure Portal에서 스캐너 페이지에 액세스할 수 있는지 여부와 동일합니다. 자세한 내용은 이 문서의 이전 지침인 스캐너 설치를 참조하세요.

4. 스캐너에서 사용할 Azure 토큰을 가져온 다음 다시 인증합니다.

   이 단계는 Azure Portal에서 스캐너 페이지에 액세스할 수 있는지 여부와 동일합니다. 자세한 내용은 이 문서의 이전 지침인 스캐너에 대한 Azure AD 토큰 가져오기를 참조하세요.

5. Set-AIPScannerConfiguration cmdlet을 실행하여 스캐너가 오프라인 모드에서 작동하도록 설정합니다. 다음을 실행합니다.

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

6. Set-AIPScannerContentScanJob cmdlet을 실행하여 기본 콘텐츠 검색 작업을 만듭니다.

   Set-AIPScannerContentScanJob cmdlet에서 유일한 필수 매개 변수는 Enforce입니다. 그러나 현재 콘텐츠 검색 작업에 대한 다른 설정을 정의할 수 있습니다. 예를 들어 다음과 같습니다.

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   위의 구문은 구성을 계속하는 동안 다음 설정을 구성합니다.

   • 스캐너 실행 일정을 수동으로 유지
   • 민감도 레이블 지정 정책에 따라 검색할 정보 유형 설정
   • 민감도 레이블 지정 정책을 적용하지 않음
   • 민감도 레이블 지정 정책에 대해 정의된 기본 레이블을 사용하여 콘텐츠에 따라 파일에 자동으로 레이블 지정
   • 파일에 레이블을 다시 지정할 수 없음
   • 수정된 날짜, 마지막으로 수정한 날짜수정한 사람 값을 포함하여 검색하고 자동 레이블을 지정하는 동안 파일 세부 정보를 유지합니다.
   • 실행 시 .msg 및 .tmp 파일을 제외하도록 스캐너 설정
   • 스캐너를 실행할 때 사용할 계정으로 기본 소유자 설정

7. Add-AIPScannerRepository cmdlet을 사용하여 콘텐츠 검색 작업에서 검색하려는 리포지토리를 정의합니다. 예를 들어 다음을 실행합니다.

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   추가하는 리포지토리의 유형에 따라 다음 구문 중 하나를 사용합니다.

   • 네트워크 공유에 \\Server\Folder를 사용합니다.
   • SharePoint 라이브러리에 http://sharepoint.contoso.com/Shared%20Documents/Folder를 사용합니다.
   • 로컬 경로: C:\Folder
   • UNC 경로: \\Server\Folder

   참고

   와일드카드는 지원되지 않으며 WebDav 위치도 지원되지 않습니다.

   나중에 리포지토리를 수정하려면 Set-AIPScannerRepository cmdlet을 대신 사용합니다.

   공유 문서에 대해 SharePoint 경로를 추가하는 경우 다음을 수행합니다.

   • 공유 문서의 모든 문서와 모든 폴더를 검사하려는 경우 경로에 Shared Documents를 지정합니다. 예: http://sp2013/SharedDocuments
   • 공유 문서의 하위 폴더에 있는 모든 문서와 모든 폴더를 검사하려는 경우 경로에 Documents를 지정합니다. 예: http://sp2013/Documents/SalesReports
   • 또는 Sharepoint의 FQDN만 지정합니다. 예: http://sp2013(특정 URL에서 SharePoint 사이트와 하위 사이트를 모두 검색하고 이 URL에서 하위 제목 검색) 이를 사용하도록 하려면 스캐너 사이트 수집기 감사자 권한을 부여합니다.

   SharePoint 경로를 추가할 때 다음 구문을 사용합니다.

   경로	Syntax
   루트 경로	http://<SharePoint server name> 스캐너 사용자에게 허용된 사이트 모음을 포함하여 모든 사이트를 검색합니다. 루트 콘텐츠를 자동으로 검색하려면 추가 권한이 필요합니다.
   특정 SharePoint 하위 사이트 또는 모음	다음 중 하나 - http://<SharePoint server name>/<subsite name> - http://SharePoint server name>/<site collection name>/<site name> 사이트 모음 콘텐츠를 자동으로 검색하려면 추가 권한이 필요합니다.
   특정 SharePoint 라이브러리	다음 중 하나 - http://<SharePoint server name>/<library name> - http://SharePoint server name>/.../<library name>
   특정 SharePoint 폴더	http://<SharePoint server name>/.../<folder name>

필요에 따라 다음 단계를 계속 수행합니다.

• 중국 고객에 대한 AIP 구성
• 검색 주기 실행 및 스캐너에 대한 보고서 보기
• PowerShell을 사용하여 분류 및 보호를 적용하도록 스캐너 구성
• PowerShell을 사용하여 스캐너로 DLP 정책 구성

PowerShell을 사용하여 분류 및 보호를 적용하도록 스캐너 구성

1. Set-AIPScannerContentScanJob cmdlet을 실행하여 일정을 항상으로 설정하고 민감도 정책을 적용하도록 콘텐츠 검색 작업을 업데이트합니다.

   Set-AIPScannerContentScanJob -Schedule Always -Enforce On
   

   팁

   이 창에서 파일 특성이 변경되었는지 여부 및 스캐너에서 파일의 레이블을 다시 지정할 수 있는지 여부 등 다른 설정을 변경할 수 있습니다. 사용 가능한 설정에 대한 자세한 내용은 전체 PowerShell 설명서를 참조하세요.

2. Start-AIPScan cmdlet을 실행하여 콘텐츠 검색 작업을 실행합니다.

   Start-AIPScan
   

이제 스캐너가 지속적으로 실행되도록 예약됩니다. 스캐너가 구성된 모든 파일에서 작동하면 자동으로 새로운 주기를 시작하므로 새 파일과 변경된 파일이 모두 검색됩니다.

PowerShell을 사용하여 스캐너로 DLP 정책 구성

1. -EnableDLP 매개 변수를 On으로 설정하고 특정 리포지토리 소유자를 정의한 상태에서 Set-AIPScannerContentScanJob cmdlet을 다시 실행합니다.

   예를 들어 다음과 같습니다.

   Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
   

지원되는 PowerShell cmdlet

이 섹션에서는 Azure Information Protection 스캐너에 대해 지원되는 PowerShell cmdlet과 PowerShell만 사용하여 스캐너를 구성하고 설치하는 지침을 나열합니다.

스캐너에 대해 지원되는 cmdlet은 다음과 같습니다.

• Add-AIPScannerRepository

• Export-AIPLogs

• Get-AIPScannerConfiguration

• Get-AIPScannerContentScanJob

• Get-AIPScannerRepository

• Get-AIPScannerStatus

• Get-MIPNetworkDiscoveryConfiguration

• Get-MIPNetworkDiscoveryJobs

• Get-MIPNetworkDiscoveryStatus

• Get-MIPScannerContentScanJob

• Get-AIPScannerRepository

• Import-AIPScannerConfiguration

• Set-MIPNetworkDiscovery

• Import-MIPNetworkDiscoveryConfiguration

• Install-AIPScanner

• Install-MIPNetworkDiscovery

• Remove-MIPScannerContentScanJob

• Remove-AIPScannerRepository

• Set-AIPScanner

• Set-AIPScannerConfiguration

• Set-AIPScannerContentScanJob

• Set-AIPScannerRepository

• Set-MIPNetworkDiscoveryConfiguration

• Set-MIPScannerContentScanJob

• Set-AIPScannerRepository

• Start-AIPScan

• Start-AIPScanDiagnostics

• Start-MIPNetworkDiscovery

• Stop-AIPScan

• Remove-AIPScannerContentScanJob

• Remove-AIPScannerRepository

• Uninstall-AIPScanner

• Uninstall-MIPNetworkDiscovery

• Update-AIPScanner

다음 단계

스캐너를 설치하고 구성한 후 파일 검색을 시작합니다.

Azure Information Protection 스캐너를 배포하여 자동으로 파일 분류 및 보호도 참고하세요.

자세한 정보:

• Microsoft의 Core Services Engineering and Operations 팀이 이 스캐너를 구현한 방법에 관심이 있으세요? 기술 사례 연구 Automating data protection with Azure Information Protection scanner(Azure Information Protection 스캐너로 데이터 보호 자동화)를 읽으세요.

• PowerShell을 사용하여 데스크톱 컴퓨터에서 파일을 대화형으로 분류하고 보호합니다. PowerShell을 사용하는 이 시나리오 및 다른 시나리오에 대한 자세한 내용은 Azure Information Protection 통합 레이블 지정 클라이언트와 함께 PowerShell 사용을 참조하세요.