관리자 가이드: Azure Information Protection 통합 클라이언트와 함께 PowerShell 사용

*적용 대상: Azure Information Protection, windows 10, Windows 8.1, Windows 8, windows server 2019, windows Server 2016, windows Server 2012 R2, windows server 2012 *

Windows 7 또는 Office 2010가 있는 경우 Aip 및 레거시 Windows 및 office 버전을 참조 하세요.

관련: Windows 용 통합 레이블 클라이언트 Azure Information Protection

Azure Information Protection 통합 레이블 지정 클라이언트를 설치 하는 경우 PowerShell 명령은 Azureinformationprotection 모듈의 일부로 자동으로 설치 되며, 레이블을 지정 하기 위한 cmdlet이 포함 됩니다.

Azureinformationprotection 모듈을 사용 하면 자동화 스크립트에 대 한 명령을 실행 하 여 클라이언트를 관리할 수 있습니다.

예를 들면 다음과 같습니다.

  • Get-aipfilestatus: 지정 된 파일에 대 한 Azure Information Protection 레이블 및 보호 정보를 가져옵니다.
  • Set-aipfileclassification: 파일을 검색 하 여 정책에 구성 된 조건에 따라 파일에 대 한 Azure Information Protection 레이블을 자동으로 설정 합니다.
  • Set-aipfilelabel: 파일에 대 한 Azure Information Protection 레이블을 설정 하거나 제거 하 고 레이블 구성 또는 사용자 지정 권한에 따라 보호를 설정 하거나 제거 합니다.
  • Set-AIPAuthentication: Azure Information Protection 클라이언트에 대 한 인증 자격 증명을 설정 합니다.

Azureinformationprotection 모듈은 \ProgramFiles (x86) \Microsoft Azure Information Protection 폴더에 설치 된 후이 폴더를 PSModulePath 시스템 변수에 추가 합니다. 이 모듈의 .dll 이름은 AIP.dll 입니다.

중요

Azureinformationprotection 모듈은 레이블 또는 레이블 정책에 대 한 고급 설정 구성을 지원 하지 않습니다.

이러한 설정의 경우 Office 365 Security & 준수 센터 PowerShell이 필요 합니다. 자세한 내용은 Azure Information Protection 통합 레이블 지정 클라이언트에 대 한 사용자 지정 구성을 참조 하세요.

경로 길이가 260자보다 긴 cmdlet을 사용하려면 Windows 10 버전 1607부터 사용할 수 있는 다음 그룹 정책 설정을 사용합니다.
로컬 컴퓨터 정책 > 컴퓨터 구성 > 관리 템플릿 > 모든 설정 > Win32 긴 경로 사용

Windows Server 2016의 경우, Windows 10용 최신 관리 템플릿(.admx)을 설치하면 동일한 그룹 정책 설정을 사용할 수 있습니다.

자세한 내용은 Windows 10 개발자 설명서의 최대 경로 길이 제한 섹션을 참조하세요.

AzureInformationProtection 모듈을 사용 하기 위한 필수 구성 요소

Azureinformationprotection 모듈을 설치 하기 위한 필수 구성 요소 외에도 Azure Information Protection에 레이블 지정 cmdlet을 사용 하는 경우에 대 한 추가 필수 구성 요소가 있습니다.

  • Azure Rights Management 서비스를 활성화 해야 합니다.

    Azure Information Protection 테 넌 트가 활성화 되지 않은 경우 Azure Information Protection에서 보호 서비스를 활성화하는 방법에 대 한 지침을 참조 하세요.

  • 자신의 계정을 사용 하 여 다른 사용자에 대 한 파일에서 보호를 제거 하려면:

    • 조직에서 슈퍼 사용자 기능을 사용 하도록 설정 해야 합니다.
    • 계정은 Azure Rights Management에 대 한 슈퍼 사용자가 되도록 구성 해야 합니다.

    예를 들어 데이터 검색 또는 복구를 위해 다른 사용자에 대 한 보호를 제거 하려고 할 수 있습니다. 레이블을 사용 하 여 보호를 적용 하는 경우 보호를 적용 하지 않는 새 레이블을 설정 하 여 해당 보호를 제거 하거나 레이블을 제거할 수 있습니다.

    보호를 제거 하려면 removeprotection 매개 변수와 함께 set-aipfilelabel cmdlet을 사용 합니다. 보호 제거 기능은 기본적으로 사용 하지 않도록 설정 되어 있으므로 먼저 설정-LabelPolicy cmdlet을 사용 하 여 사용 하도록 설정 해야 합니다.

RMS에서 통합 레이블 지정 cmdlet 매핑

Azure RMS에서 마이그레이션한 경우 RMS 관련 cmdlet은 통합 레이블 지정에 사용 하기 위해 더 이상 사용 되지 않습니다.

기존 cmdlet 중 일부는 통합 레이블 지정을 위해 새 cmdlet으로 바뀌었습니다. 예를 들어 RMS 보호와 함께 RMSProtectionLicense 를 사용 하 고 통합 된 레이블으로 마이그레이션한 경우 New-AIPCustomPermissions 를 대신 사용 합니다.

다음 표에서는 RMS 관련 cmdlet을 통합 레이블 지정에 사용 되는 업데이트 된 cmdlet에 매핑합니다.

RMS cmdlet 통합 레이블 지정 cmdlet
Get-rmsfilestatus Get-AIPFileStatus
따라서 get-rmsserver 통합 레이블 지정과 관련이 없습니다.
Set-rmsserverauthentication Set-AIPAuthentication
Clear-RMSAuthentication Set-AIPAuthentication
Set-RMSServerAuthentication Set-AIPAuthentication
Get-rmstemplate 통합 레이블 지정과 관련이 없습니다.
RMSProtectionLicense New-AIPCustomPermissions및 Set-aipfilelabel ( custompermissions 매개 변수 포함 )
보호-Protect-rmsfile Set-aipfilelabel, removeprotection 매개 변수

Azure Information Protection에 대해 비대화형으로 파일에 레이블을 지정하는 방법

기본적으로 레이블 지정에 대한 cmdlet을 실행하는 경우 명령이 대화형 PowerShell 세션의 자체적인 사용자 컨텍스트에서 실행됩니다.

자세한 내용은 다음을 참조하세요.

참고

컴퓨터에서 인터넷에 액세스할 수 없는 경우 Azure AD에서 앱을 만들고 Set-AIPAuthentication cmdlet을 실행할 필요가 없습니다. 대신, 연결 되지 않은 컴퓨터에 대 한 지침을 따릅니다.

AIP 레이블 cmdlet을 무인 실행 하기 위한 필수 구성 요소

Azure Information Protection 레이블 지정 cmdlet을 무인 모드로 실행 하려면 다음 액세스 정보를 사용 합니다.

  • 대화형으로 로그인 할 수 있는 Windows 계정 입니다.

  • 위임 된 액세스를 위한 AZURE AD 계정. 관리 용이성을 위해 Active Directory에서 Azure AD로 동기화 되는 단일 계정을 사용 합니다.

    위임 된 사용자 계정의 경우:

    요구 사항 세부 정보
    레이블 정책 이 계정에 레이블 정책이 할당 되어 있고 사용 하려는 게시 된 레이블이 정책에 포함 되어 있는지 확인 합니다.

    다른 사용자에 게 레이블 정책을 사용 하는 경우 모든 레이블을 게시 하는 새 레이블 정책을 만들고이 위임 된 사용자 계정에만 정책을 게시 해야 할 수 있습니다.
    콘텐츠 암호 해독 이 계정으로 파일을 다시 보호 하 고 다른 사용자가 보호 한 파일을 검사 하는 등의 방법으로 콘텐츠 암호를 해독 해야 하는 경우에는 Azure Information Protection의 슈퍼 사용자 로 설정 하 고 슈퍼 사용자 기능이 사용 되도록 설정 되었는지 확인 합니다.
    온 보 딩 컨트롤 단계적 배포를 위해 온 보 딩 컨트롤 을 구현한 경우이 계정이 구성한 온 보 딩 컨트롤에 포함 되어 있는지 확인 합니다.
  • 위임 된 사용자가 Azure Information Protection에 대해 인증할 자격 증명을 설정 하 고 저장 하는 AZURE AD 액세스 토큰 입니다. Azure AD의 토큰이 만료 되 면 cmdlet을 다시 실행 하 여 새 토큰을 획득 해야 합니다.

    Set AIPAuthentication 의 매개 변수는 Azure AD의 앱 등록 프로세스의 값을 사용 합니다. 자세한 내용은 Set-AIPAuthentication에 대 한 AZURE AD 응용 프로그램 만들기 및 구성을 참조 하세요.

먼저 Set-AIPAuthentication cmdlet을 실행 하 여 레이블 지정 cmdlet을 비 대화형으로 실행 합니다.

Aipauthentication cmdlet을 실행 하는 컴퓨터는 레이블 관리 센터 (예: Microsoft 365 보안 & 준수 센터)에서 위임 된 사용자 계정에 할당 된 레이블 지정 정책을 다운로드 합니다.

Set-AIPAuthentication에 대 한 Azure AD 응용 프로그램 만들기 및 구성

Set AIPAuthentication cmdlet에는 AppIdappsecret 매개 변수에 대 한 앱 등록이 필요 합니다.

최근 클래식 클라이언트에서 마이그레이션하고 이전 WebappidNativeAppId 매개 변수에 대 한 앱 등록을 만든 사용자의 경우 통합 레이블 지정 클라이언트에 대 한 새 앱 등록을 만들어야 합니다.

통합 레이블 클라이언트 Set-AIPAuthentication cmdlet에 대 한 새 앱 등록을 만들려면 다음을 수행 합니다.

  1. 새 브라우저 창에서 Azure Information Protection와 함께 사용 하는 Azure AD 테 넌 트에 Azure Portal 로그인 합니다.

  2. Azure Active Directory 관리 앱 등록으로 이동 하 여 > > 새 등록 을 선택 합니다.

  3. 응용 프로그램 등록 창에서 다음 값을 지정 하 고 등록 을 클릭 합니다.

    옵션
    이름 AIP-DelegatedUser
    필요에 따라 다른 이름을 지정 합니다. 이름은 테 넌 트 별로 고유 해야 합니다.
    지원되는 계정 유형 이 조직 디렉터리의 계정만 을 선택합니다.
    리디렉션 URI(선택 사항) 을 선택 하 고을 입력 https://localhost 합니다.
  4. Aip 창에서 응용 프로그램 (클라이언트) ID 의 값을 복사 합니다.

    값은 다음 예제와 유사 77c3c1c3-abf9-404e-8b2b-4652836c8c66 합니다..

    이 값은 Set-AIPAuthentication cmdlet 을 실행할 때 AppId 매개 변수에 사용 됩니다. 나중에 참조할 값을 붙여넣고 저장 합니다.

  5. 사이드바에서 인증서 관리 > & 암호 를 선택 합니다.

    그런 다음 Aip-certificate & 암호 창의 클라이언트 암호 섹션에서 새 클라이언트 암호 를 선택 합니다.

  6. 클라이언트 암호를 추가 하려면 다음을 지정한 후 추가 를 선택 합니다.

    필드
    설명 Azure Information Protection unified labeling client
    기간이 선택 기간 (1 년, 2 년 또는 만료 되지 않음)을 지정 합니다.
  7. Aip-certificate & 암호 창으로 돌아가서 클라이언트 암호 섹션에서 에 대 한 문자열을 복사 합니다.

    이 문자열은 다음 예제와 유사 합니다. OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4 .

    모든 문자를 복사 하려면 아이콘을 선택 하 여 클립보드에 복사 합니다.

    중요

    이 문자열은 다시 표시되지 않으며 검색도 불가능하므로 반드시 저장해야 합니다. 사용 하는 중요 한 정보에 따라 저장 된 값을 안전 하 게 저장 하 고 액세스를 제한 합니다.

  8. 사이드바에서 > API 권한 관리를 선택 합니다.

    Aip-API 권한 창에서 권한 추가 를 선택 합니다.

  9. Api 권한 요청 창에서 Microsoft api 탭에 있는지 확인 하 고 Azure Rights Management 서비스 를 선택 합니다.

    응용 프로그램에 필요한 사용 권한 유형을 묻는 메시지가 표시 되 면 응용 프로그램 사용 권한 을 선택 합니다.

  10. Select 권한 에서 콘텐츠 를 확장 하 고 다음을 선택한 다음 권한 추가 를 선택 합니다.

    • DelegatedReader
    • DelegatedWriter
  11. Aip-API 사용 권한 창으로 돌아가서 권한 추가 를 다시 선택 합니다.

    요청 AIP 권한 창에서 내 조직에서 사용 하는 api를 선택 하 고 Microsoft Information Protection Sync Service 를 검색 합니다.

  12. API 권한 요청 창에서 응용 프로그램 사용 권한 을 선택 합니다.

    Select 권한 에서 UnifiedPolicy 를 확장 하 고 UnifiedPolicy 를 선택한 다음 권한 추가 를 선택 합니다.

  13. Aip-API 권한 창으로 돌아가서 에 대해 <your tenant name> 관리자 동의 부여 를 선택 하 고 확인 메시지에 대해 를 선택 합니다.

    API 권한은 다음 이미지와 같습니다.

    Azure AD에서 등록 된 앱에 대 한 API 권한

이제 암호를 사용 하 여이 앱의 등록을 완료 했습니다. 매개 변수 AppIdappsecret 을 사용 하 여 Set aipauthentication 을 실행할 준비가 되었습니다. 또한 테 넌 트 ID가 필요 합니다.

Azure Portal: Azure Active Directory > > 속성 관리 > 디렉터리 id 를 사용 하 여 테 넌 트 ID를 빠르게 복사할 수 있습니다.

Set-AIPAuthentication cmdlet 실행

  1. 관리자 권한으로 실행 옵션 을 사용 하 여 Windows PowerShell을 엽니다.

  2. PowerShell 세션에서 비 대화형으로 실행 되는 Windows 사용자 계정의 자격 증명을 저장할 변수를 만듭니다. 예를 들어, 스캐너에 대 한 서비스 계정을 만든 경우 다음을 수행 합니다.

    $pscreds = Get-Credential "CONTOSO\srv-scanner"
    

    이 계정의 암호를 입력 하 라는 메시지가 표시 됩니다.

  3. 사용자가 만든 변수를 값으로 지정 하 여 OnBeHalfOf 매개 변수를 사용 하 여 Set aipauthentication cmdlet을 실행 합니다.

    또한 Azure AD에서 앱 등록 값, 테 넌 트 ID 및 위임 된 사용자 계정의 이름을 지정 합니다. 예를 들면 다음과 같습니다.

    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -DelegatedUser scanner@contoso.com -OnBehalfOf $pscreds
    

다음 단계

PowerShell 세션에서 cmdlet 도움말을 보려면을 입력 Get-Help <cmdlet name> -online 합니다. 예를 들면 다음과 같습니다.

Get-Help Set-AIPFileLabel -online

자세한 내용은 다음을 참조하세요.