자습서: AIP(Azure Information Protection) 통합 레이블 지정 스캐너 설치Tutorial: Installing the Azure Information Protection (AIP) unified labeling scanner

적용 대상:* Azure Information Protection**Applies to: Azure Information Protection*

*관련: Windows용 Azure Information Protection 통합 레이블 지정 클라이언트**Relevant for: Azure Information Protection unified labeling client for Windows*

이 자습서에서는 AIP(Azure Information Protection) 온-프레미스 스캐너를 설치하는 방법을 설명합니다.This tutorial describes how to install the Azure Information Protection (AIP) on-premises scanner. 스캐너를 통해 AIP 관리자는 네트워크 및 콘텐츠 공유에서 중요한 데이터를 스캔하고 조직의 정책에 구성된 대로 분류 및 보호 레이블을 적용할 수 있습니다.The scanner enables AIP administrators to scan their networks and content shares for sensitive data, and apply classification and protection labels as configured in their organization's policy.

필요 시간: 이 자습서는 30분 내에 완료할 수 있습니다.Time required: You can complete this tutorial in 30 minutes..

자습서 필수 구성 요소Tutorial prerequisites

통합 레이블 지정 스캐너를 설치하고 이 자습서를 완료하려면 다음이 필요합니다.To install the unified labeling scanner and complete this tutorial, you'll need:

요구 사항Requirement DescriptionDescription
지원 구독A supporting subscription Azure Information Protection을 포함하는 Azure 구독이 필요합니다.You'll need an Azure subscription that includes Azure Information Protection.

이러한 구독 중 하나라도 없으면 조직을 위해 무료 계정을 만듭니다.If you don't have one of these subscriptions, create a free account for your organization.
Azure Portal에 대한 관리자 액세스 권한Admin access to the Azure portal 다음 관리자 계정 중 하나를 사용하여 Azure Portal에 로그인할 수 있는지 확인합니다.Make sure that you can sign in to the Azure portal with one of the following administrator accounts:

- 규정 준수 관리자- Compliance administrator
- 규정 준수 데이터 관리자- Compliance data administrator
- 보안 관리자- Security administrator
- 전역 관리자- Global administrator
클라이언트 설치Client installed 컴퓨터에 AIP 통합 레이블 지정 클라이언트를 설치하여 스캐너 설치에 액세스합니다.Install the AIP unified labeling client on your computer to access the scanner installation.

Microsoft 다운로드 센터에서 AzInfoProtection_UL.exe 를 다운로드 및 실행합니다.Download and run the AzInfoProtection_UL.exe from the Microsoft Download Center.

설치가 완료되면 컴퓨터 또는 Office 소프트웨어를 다시 시작하라는 메시지가 표시될 수 있습니다.When the installation is complete, you may be prompted to restart your computer or Office software. 계속하려면 필요에 따라 다시 시작합니다.Restart as needed to continue.

자세한 내용은 빠른 시작: AIP(Azure Information Protection) 통합 레이블 지정 클라이언트 배포를 참조하세요.For more information, see Quickstart: Deploying the Azure Information Protection (AIP) unified labeling client.
SQL ServerSQL Server 스캐너를 실행하려면 스캐너 컴퓨터에 SQL Server가 설치되어 있어야 합니다.To run the scanner, you'll need SQL Server installed on the scanner machine.

설치하려면 SQL Server 다운로드 페이지로 이동하고 설치하려는 설치 옵션 아래에서 지금 다운로드 를 선택합니다.To install, go to the SQL Server download page and select Download now under the installation option you want to install. 설치 관리자에서 기본 설치 유형을 선택합니다.In the installer, select the Basic installation type.

참고: 프로덕션 환경에는 SQL Server Enterprise를 설치하고 테스트 환경용으로는 Express만 설치하는 것이 좋습니다.Note: We recommend installing SQL Server Enterprise for production environments, and Express only for testing environments.
Azure Active Directory 계정Azure Active Directory account 표준 클라우드 연결 환경에서 작업하는 경우 스캐너에 사용하려는 도메인 서비스 계정을 Azure Active Directory와 동기화해야 합니다.When working with a standard, cloud-connected environment, the domain service account you want to use for the scanner must be synchronized to Azure Active Directory. 오프라인으로 작업하는 경우에는 이 작업이 필요하지 않습니다.This isn't necessary if you're working offline.

자신의 계정을 잘 모르는 경우 시스템 관리자 중 한 명에게 문의하여 동기화 상태를 확인합니다.If you're not sure about your account, contact one of your system administrators to verify the synch status.
민감도 레이블 및 게시된 정책Sensitivity labels and a published policy 스캐너 서비스 계정에 대해 민감도 레이블을 만들어야 하며, 레이블이 하나 이상 있는 정책을 Microsoft 365 규정 준수 센터에 게시해야 합니다.You must have created sensitivity labels, and published a policy with at least one label to the Microsoft 365 compliance center, for the scanner service account.

Microsoft 365 규정 준수 센터에서 민감도 레이블을 구성합니다.Configure sensitivity labels in the Microsoft 365 compliance center. 자세한 내용은 Microsoft 365 설명서를 참조하세요.For more information, see the Microsoft 365 documentation.

필수 조건을 확인한 후에는 Azure Portal에서 Azure Information Protection을 구성합니다.Once you've confirmed your prerequisites, Configure Azure Information Protection in the Azure portal.

Azure Portal에서 Azure Information Protection 구성Configure Azure Information Protection in the Azure portal

Azure Portal에서 Azure Information Protection을 사용할 수 없거나 보호가 현재 활성화되어 있지 않을 수 있습니다.Azure Information Protection may not be available for you in the Azure portal, or protection may not be currently activated.

필요에 따라 다음 단계 중 하나 또는 모두를 수행합니다.Perform one or both of the following steps, as needed:

그런 다음 계속해서 Azure Portal에서 초기 스캐너 설정 구성을 수행합니다.Then, continue with Configure initial scanner settings in the Azure portal.

Azure Portal에 Azure Information Protection 추가Add Azure Information Protection to the Azure portal

  1. 지원되는 관리자 계정을 사용하여 Azure Portal에 로그인합니다.Sign in to the Azure portal using a supporting admin account.

  2. + 리소스 만들기 를 선택합니다.Select + Create a resource. 검색 상자에서 Azure Information Protection 을 검색하여 선택합니다.In the search box, search for and then select Azure Information Protection. Azure Information Protection 페이지에서 만들기, 만들기 를 차례로 선택합니다.On the Azure Information Protection page, select Create, and then Create again.

    Azure Portal에 Azure Information Protection 추가

    이 단계를 처음 수행하는 경우 창 이름 옆에 대시보드에 고정 대시보드에 고정 아이콘이 표시됩니다.If this is the first time you're performing this step, you'll see a Pin to dashboard Pin to dashboard icon icon next to the pane name. 다음부터 여기에서 직접 탐색할 수 있도록 대시보드에 타일을 만들려면 고정 아이콘을 선택합니다.Select the pin icon to create a tile on your dashboard so that you can navigate directly here next time.

계속해서 보호가 활성화되었는지 확인을 수행합니다.Continue with Confirm that protection is activated.

보호가 활성화되었는지 확인Confirm that protection is activated

Azure Information Protection을 이미 사용할 수 있는 경우 보호가 활성화되어 있는지 확인합니다.If you already have Azure Information Protection available for you, make sure that protection is activated:

  1. Azure Information Protection 영역의 왼쪽에 있는 관리 에서 보호 활성화 를 선택합니다.In the Azure Information Protection area, under Manage on the left, select Protection Activation.

  2. 테넌트에 대해 보호가 활성화되었는지 확인합니다.Confirm whether protection is activated for your tenant. 예를 들면 다음과 같습니다.For example:

    AIP 활성화 확인

보호가 활성화되지 않은 경우 AIP 활성화 활성화 를 선택합니다.If protection isn't activated, select Activate AIP Activate. 활성화가 완료되면 정보 표시줄에 활성화가 성공적으로 완료됨 이 표시됩니다.When activation is complete, the information bar displays Activation finished successfully.

계속해서 Azure Portal에서 초기 스캐너 설정 구성을 수행합니다.Continue with Configure initial scanner settings in the Azure portal.

Azure Portal에서 초기 스캐너 설정 구성Configure initial scanner settings in the Azure portal

컴퓨터에 스캐너를 설치하기 전에 Azure Portal에서 초기 스캐너 설정을 준비합니다.Prepare your initial scanner settings in the Azure portal before you install the scanner on your machine.

  1. Azure Information Protection 영역의 왼쪽에 있는 스캐너 에서 클러스터 를 선택합니다.

  2. 클러스터 페이지에서 추가 를 선택하여 스캐너를 관리하기 위한 새 클러스터를 만듭니다.

  3. 오른쪽에 열리는 새 클러스터 추가 창에서 의미 있는 클러스터 이름과 설명(선택 사항)을 입력합니다.In the Add a new cluster pane that opens on the right, enter a meaningful cluster name and an optional description.

    중요

    스캐너를 설치할 때 이 클러스터의 이름이 필요합니다.You'll need the name of this cluster when installing your scanner.

    예를 들어:For example:

    자습서용 새 클러스터 추가

  4. 초기 콘텐츠 스캔 작업을 만듭니다.Create an initial content scan job. 왼쪽의 스캐너 메뉴에서 콘텐츠 스캔 작업 을 선택하고 추가 를 선택합니다.

  5. 새 콘텐츠 스캔 작업 추가 창에서 콘텐츠 스캔 작업에 대해 의미 있는 이름과 설명(선택 사항)을 입력합니다.In the Add a new content scan job pane, enter a meaningful name for your content scan job, and an optional description.

    그런 다음 페이지의 아래로 스크롤하여 정책 적용끄기 를 차례로 선택합니다.Then, scroll down the page to Policy enforcement, and select Off.

    작업이 완료되면 변경 내용을 저장합니다.Save your changes when you're done.

    이 기본 스캔 작업은 알려진 모든 중요한 정보 유형을 스캔합니다.This default scan job will scan for all known sensitive information types.

  6. 콘텐츠 스캔 작업에 대한 세부 정보 창을 닫은 다음 콘텐츠 스캔 작업 그리드로 돌아갑니다.

    콘텐츠 스캔 작업에 대해 표시되는 새 행의 클러스터 이름 열에서 +클러스터에 할당 을 선택합니다.In the new row that appears for your content scan job, in the Cluster Name column, select +Assign to cluster. 그런 다음 오른쪽에 표시되는 클러스터에 할당 창에서 클러스터를 선택합니다.Then, in the Assign to cluster pane that appears on the right, select your cluster.

    클러스터에 할당

이제 AIP 통합 레이블 지정 스캐너를 설치할 준비가 되었습니다.Now you're ready to Install the AIP unified labeling scanner.

AIP 통합 레이블 지정 스캐너 설치Install the AIP unified labeling scanner

Azure Portal에서 기본 스캐너 설정을 구성했으면 AIP 클라이언트 컴퓨터에 통합 레이블 지정 스캐너를 설치합니다.Once you've configured basic scanner settings in the Azure portal, install the unified labeling scanner on your AIP client machine.

  1. 클라이언트 컴퓨터에서 관리자 권한으로 실행 옵션을 사용하여 PowerShell 세션을 엽니다.On your client machine, open a PowerShell session with the Run as an administrator option.

  2. 다음 명령을 사용하여 스캐너를 설치합니다.Use the following command to install the scanner. 명령에서 스캐너를 설치하려는 위치와 Azure Portal에서 만든 클러스터의 이름을 지정합니다.In your command, specify where you want to install the scanner, as well as the name of the cluster you created in the Azure portal.

    Install-AIPScanner -SqlServerInstance <your SQL installation location>\SQLEXPRESS -Cluster <cluster name>
    

    예를 들어:For example:

    Install-AIPScanner -SqlServerInstance localhost\SQLEXPRESS -Cluster Quickstart
    

    PowerShell에서 자격 증명을 묻는 메시지를 표시하면 사용자 이름 및 암호를 입력합니다.When PowerShell prompts you for credentials, enter the username and password.

    사용자 이름 필드의 경우 <domain\user name> 구문을 사용합니다.For the User name field, use the following syntax: <domain\user name>. 예: emea\contososcanner.For example: emea\contososcanner.

  3. Azure Portal로 돌아갑니다.Go back to the Azure portal. 왼쪽의 스캐너 메뉴에서 노드 를 선택합니다.

    이제 스캐너가 그리드에 추가된 것을 볼 수 있습니다.You should now see your scanner added to the grid. 예를 들어:For example:

    노드 그리드에 표시된 새로 설치된 스캐너

계속해서 스캐너에 대한 Azure Active Directory 토큰 가져오기를 통해 스캐너 서비스 계정을 비대화형으로 실행할 수 있습니다.Continue with Get an Azure Active directory token for the scanner to enable your scanner service account to run non-interactively.

스캐너에 대한 Azure Active Directory 토큰 가져오기Get an Azure Active directory token for the scanner

표준 클라우드 연결 환경에서 작업할 때 이 절차를 수행하면, AIP 서비스에 대해 스캐너를 인증하여 서비스를 비대화형으로 실행할 수 있습니다.Perform this procedure when you're working with a standard, cloud-connected environment, to allow the scanner to authenticate to the AIP service, enabling the service to run non-interactively.

오프라인으로만 작업하는 경우에는 이 절차가 필요하지 않습니다.This procedure is not required if you're working offline only.

자세한 내용은 Azure Information Protection에 대해 비대화형으로 파일에 레이블을 지정하는 방법을 참조하세요.For more information, see How to label files non-interactively for Azure Information Protection.

스캐너에 대한 Azure AD 토큰을 가져오려면:To get an Azure AD token for the scanner:

  1. Azure Portal에서 인증용 액세스 토큰을 지정하는 Azure AD 애플리케이션을 만듭니다.In the Azure portal, create an Azure AD application to specify an access token for authentication.

  2. 스캐너 컴퓨터에서 로컬로 로그온 권한이 부여된 스캐너 서비스 계정으로 로그인하고 PowerShell 세션을 시작합니다.On your scanner machine, sign in with a scanner service account that's been granted the Log on locally right, and start a PowerShell session.

  3. PowerShell 세션을 시작하고 Azure AD 애플리케이션에서 복사된 값을 사용하여 다음 명령을 실행합니다.Start a PowerShell session, and run the following command, using the values copied from your Azure AD application.

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    예를 들어:For example:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    
    Acquired application access token on behalf of CONTOSO\scanner.
    

    스캐너 서비스 계정에 설치를 위한 로컬로 로그온 권한을 부여할 수 없는 경우 DelegatedUser 매개 변수 대신 Set-AIPAuthentication 과 함께 OnBehalfOf 매개 변수를 사용합니다.If your scanner service account cannot be granted the Log on locally right for the installation, use the OnBehalfOf parameter with Set-AIPAuthentication, instead of the DelegatedUser parameter.

이제 스캐너에는 Azure AD 인증을 위한 토큰이 있습니다.The scanner now has a token to authenticate to Azure AD. 이 토큰은 Azure Active Directory에서 구성한 기간까지 유효합니다.This token is valid for as long as you've configured in Azure Active Directory. 토큰이 만료되면 이 절차를 반복해야 합니다.You must repeat this procedure when the token expires.

계속해서 선택적인 네트워크 검색 서비스 설치를 수행합니다. 이 작업을 수행하면 네트워크 리포지토리에서 위험할 수 있는 콘텐츠를 스캔한 다음 해당 리포지토리를 콘텐츠 스캔 작업에 추가할 수 있습니다.Continue with installing the optional Network Discovery service, which enables you to scan your network repositories for content that may be at risk, and then add those repositories to a content scan job.

네트워크 검색 서비스 설치(공개 미리보기)Install the Network Discovery service (public preview)

AIP 통합 레이블 지정 클라이언트의 2.8.85.0 버전부터, 관리자는 AIP 스캐너를 사용하여 네트워크 리포지토리를 스캔한 후 위험한 것으로 보이는 모든 리포지토리를 콘텐츠 스캔 작업에 추가할 수 있습니다.Starting in version 2.8.85.0 of the AIP unified labeling client, administrators can use the AIP scanner to scan network repositories, and then add any repositories that seem risky to a content scan job.

네트워크 스캔 작업을 사용하면 관리자 및 퍼블릭 사용자 모두로 리포지토리에 액세스를 시도하여 콘텐츠가 위험할 수 있는 위치 를 파악할 수 있습니다.Network scan jobs help you understand where your content may be at risk, by attempting to access configured repositories as both an administrator and a public user.

예를 들어 리포지토리에 읽기 및 쓰기 퍼블릭 액세스 권한이 모두 있는 것으로 확인되면, 추가로 스캔하여 중요한 데이터가 저장되지 않았는지 확인하는 것이 좋습니다.For example, if a repository is found to have both read and write public access, you may want to scan further and confirm that no sensitive data is stored there.

참고

이 기능은 현재 미리 보기로 제공됩니다.This feature is currently in PREVIEW. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

네트워크 검색 서비스를 설치하려면:To install the Network Discovery service:

  1. 스캐너 컴퓨터에서 관리자 권한으로 PowerShell 세션을 엽니다.On the scanner machine, open a PowerShell session as an administrator.

  2. 네트워크 검색 서비스를 실행할 때 그리고 관리자 및 퍼블릭 사용자 액세스를 시뮬레이션할 때 AIP에서 사용할 자격 증명을 정의합니다.Define the credentials you want AIP to use when running the Network Discovery service, as well as when simulating admin and public user access.

    메시지가 표시될 때 각 명령의 자격 증명을 입력하려면 domain\user 구문을 사용합니다.Enter the credentials for each command when prompted using the following syntax: domain\user. emea\msanchezFor example: emea\msanchez

    다음을 실행합니다.Run:

    네트워크 검색 서비스를 실행하기 위한 자격 증명:Credentials to run the Network Discovery service:

    $serviceacct= Get-Credential 
    

    관리자 액세스를 시뮬레이션하기 위한 자격 증명:Credentials to simulate admin access:

    $shareadminacct= Get-Credential 
    

    퍼블릭 사용자 액세스를 시뮬레이션하기 위한 자격 증명:Credentials to simulate public user access:

    $publicaccount= Get-Credential 
    
  3. 네트워크 검색 서비스를 설치하려면 다음을 실행합니다.To install the Network Discovery service, run:

    Install-MIPNetworkDiscovery [-ServiceUserCredentials] <PSCredential> [[-StandardDomainsUserAccount] <PSCredential>] [[-ShareAdminUserAccount] <PSCredential>] [-SqlServerInstance] <String> -Cluster <String> [-WhatIf] [-Confirm] [<CommonParameters>]
    
    For example:
    
    ```PowerShell
    Install-MIPNetworkDiscovery -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Quickstart -ServiceUserCredentials $serviceacct  -ShareAdminUserAccount $shareadminacct -StandardDomainsUserAccount $publicaccount
    
    

설치가 완료되면 시스템에서 확인 메시지를 표시합니다.The system shows a confirmation message when the installation is complete.

다음 단계Next steps

스캐너와 네트워크 검색 서비스가 설치되면 검색을 시작할 준비가 된 것입니다.Once you have the scanner and the Network Discovery service installed, you're ready to start scanning.

자세한 내용은 자습서: AIP(Azure Information Protection) 스캐너를 사용하여 중요한 콘텐츠 검색을 참조하세요.For more information, see Tutorial: Discovering your sensitive content with the Azure Information Protection (AIP) scanner.

2.8.85.0 버전을 설치한 경우 네트워크를 스캔하여 콘텐츠가 위험할 수 있는 리포지토리를 검색하는 것이 좋습니다.If you've installed version 2.8.85.0, we recommend that you scan your network to discover repositories that may have content at risk.

위험한 리포지토리에서 중요한 데이터를 스캔한 다음 해당 데이터를 분류하고 외부 사용자로부터 보호하려면, 발견한 리포지토리의 세부 정보를 사용하여 콘텐츠 스캔 작업을 업데이트합니다.To scan your risky repositories for sensitive data, and then classify and protect that data from outside users, update your content scan job with the details of the repositories you've found.

참고 항목:See also: