21Vianet에서 운영하는 Office 365에 대한 Azure Information Protection 지원

이 문서에서는 21Vianet에서 운영하는 Office 365에 대한 AIP(Azure Information Protection) 지원과 상업용 제품 간의 차이점과 중국 고객을 위한 AIP 구성에 대한 구체적인 지침(정보 보호 스캐너 설치 및 콘텐츠 스캔 작업 관리 방법 포함)에 대해 설명합니다.

21Vianet에서 운영하는 Office 365용 AIP와 상용 제품의 차이점

21Vianet 제품에서 운영하는 Office 365용 AIP를 사용하여 중국 고객에게 모든 상업적 기능과 기능을 제공하는 것이 목표이지만, 몇 가지 누락된 기능을 강조 표시하고 싶습니다.

다음은 21Vianet에서 운영하는 Office 365용 AIP와 상업용 제품 간의 격차 목록입니다.

• AD RMS(Active Directory Rights Management Services) 암호화는 엔터프라이즈용 Microsoft 365 앱(빌드 11731.10000 이상)에서만 지원됩니다. Office Professional Plus는 AD RMS를 지원하지 않습니다.

• AD RMS에서 AIP로의 마이그레이션은 현재 사용할 수 없습니다.

• 상업용 클라우드의 사용자와 보호된 전자 메일 공유가 지원됩니다.

• 상용 클라우드의 사용자와 문서 및 전자 메일 첨부 파일 공유는 현재 사용할 수 없습니다. 여기에는 상용 클라우드의 21Vianet 사용자가 운영하는 Office 365, 상용 클라우드의 21Vianet 사용자가 운영하는 비 Office 365, 개인용 RMS 라이선스가 있는 사용자가 포함됩니다.

• SharePoint가 있는 IRM(IRM 보호 사이트 및 라이브러리)은 현재 사용할 수 없습니다.

• AD RMS용 모바일 디바이스 확장은 현재 사용할 수 없습니다.

• 모바일 뷰어는 Azure 중국 21Vianet에서 지원되지 않습니다.

• 규정 준수 포털의 스캐너 영역은 중국의 고객이 사용할 수 없습니다. 콘텐츠 검색 작업 관리 및 실행과 같이 포털에서 작업을 수행하는 대신 PowerShell 명령을 사용합니다.

• 21Vianet에서 운영하는 Office 365의 AIP 엔드포인트는 다른 클라우드 서비스에 필요한 엔드포인트와 다릅니다. 클라이언트에서 다음 엔드포인트로의 네트워크 연결이 필요합니다.

  • 레이블 및 레이블 정책 다운로드: *.protection.partner.outlook.cn
  • Azure Rights Management 서비스: *.aadrm.cn

• 사용자에 의한 문서 추적 및 해지는 현재 사용할 수 없습니다.

중국 고객에 대한 AIP 구성

중국의 고객에 대해 AIP를 구성하려면 다음을 수행합니다.

1. 테넌트에 대해 Rights Management를 사용하도록 설정합니다.

2. Microsoft Information Protection 동기화 서비스 주체를 추가합니다.

3. DNS 암호화를 구성합니다.

4. AIP 통합 레이블 지정 클라이언트를 설치하고 구성합니다.

5. Windows에서 AIP 앱을 구성합니다.

6. 정보 보호 스캐너를 설치하고 콘텐츠 스캔 작업을 관리합니다.

1단계: 테넌트에 대한 권한 관리 사용

암호화가 올바르게 작동하려면 테넌트에 RMS를 사용하도록 설정해야 합니다.

1. RMS가 사용하도록 설정되어 있는지 확인합니다.

   1. 관리자 권한으로 PowerShell을 시작합니다.
   2. AIPService 모듈이 설치되어 있지 않으면 실행 Install-Module AipService합니다.
   3. 를 사용하여 Import-Module AipService모듈을 가져옵니다.
   4. 를 사용하여 Connect-AipService -environmentname azurechinacloud서비스에 커넥트.
   5. 상태를 Enabled실행하고 (Get-AipServiceConfiguration).FunctionalState 검사.

2. 기능 상태가 Disabled면 다음을 실행합니다 Enable-AipService.

2단계: Microsoft Information Protection 동기화 서비스 주체 추가

Microsoft Information Protection 동기화 서비스 주체는 기본적으로 Azure 중국 테넌트에서 사용할 수 없으며 Azure Information Protection에 필요합니다. Azure Az PowerShell 모듈을 통해 이 서비스 주체를 수동으로 만듭니다.

1. Azure Az 모듈이 설치되어 있지 않은 경우 Azure Cloud Shell과 같이 Azure Az 모듈이 미리 설치된 리소스를 설치하거나 사용합니다. 자세한 내용은 Azure Az PowerShell 모듈 설치를 참조하세요.

2. 커넥트-AzAccount cmdlet 및 azurechinacloud 환경 이름을 사용하여 서비스에 커넥트.

   Connect-azaccount -environmentname azurechinacloud
   

3. New-AzADServicePrincipal cmdlet 및 870c4f2e-85b6-4d43-bdda-6ed9a579b725 Microsoft Purview Information Protection 동기화 서비스에 대한 애플리케이션 ID를 사용하여 Microsoft Information Protection 동기화 서비스 주체를 수동으로 만듭니다.

   New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
   

4. 서비스 주체를 추가한 후 서비스에 필요한 관련 권한을 추가합니다.

3단계: DNS 암호화 구성

암호화가 올바르게 작동하려면 Office 클라이언트 애플리케이션이 서비스의 중국 인스턴스에 연결하고 여기에서 부트스트랩해야 합니다. 클라이언트 애플리케이션을 올바른 서비스 인스턴스로 리디렉션하려면 테넌트 관리자가 Azure RMS URL에 대한 정보를 사용하여 DNS SRV 레코드를 구성해야 합니다. DNS SRV 레코드가 없으면 클라이언트 애플리케이션은 기본적으로 퍼블릭 클라우드 인스턴스에 연결을 시도하며 실패합니다.

또한 사용자가 사용자 이름(예joe@contoso.onmschina.cn: )이 아니라 onmschina 테넌트 소유 do기본(예: joe@contoso.cn)를 기반으로 사용자 이름으로 로그인한다고 가정합니다. 사용자 이름의 do기본 이름은 올바른 서비스 인스턴스로 DNS 리디렉션에 사용됩니다.

DNS 암호화 구성 - Windows

1. RMS ID를 가져옵니다.

   1. 관리자 권한으로 PowerShell을 시작합니다.
   2. AIPService 모듈이 설치되어 있지 않으면 실행 Install-Module AipService합니다.
   3. 를 사용하여 Connect-AipService -environmentname azurechinacloud서비스에 커넥트.
   4. RMS ID를 가져오려면 실행 (Get-AipServiceConfiguration).RightsManagementServiceId 합니다.

2. DNS 공급자에 로그인하고 do기본 대한 DNS 설정으로 이동한 다음 새 SRV 레코드를 추가합니다.

   • 서비스 = _rmsredir
   • 프로토콜 = _http
   • Name = _tcp
   • 대상 = [GUID].rms.aadrm.cn (여기서 GUID는 RMS ID)
   • Priority, Weight, Seconds, TTL = 기본값

3. 사용자 지정 do기본 Azure Portal의 테넌트에 연결합니다. 그러면 DNS에 항목이 추가되며, DNS 설정에 값을 추가한 후 확인을 받는 데 몇 분 정도 걸릴 수 있습니다.

4. 해당 전역 관리자 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인하고 사용자 만들기를 위해 할 일기본(예: contoso.cn)을 추가합니다. 확인 프로세스에서 추가 DNS 변경이 필요할 수 있습니다. 확인이 완료되면 사용자를 만들 수 있습니다.

DNS 암호화 구성 - Mac, iOS, Android

DNS 공급자에 로그인하고 do기본 대한 DNS 설정으로 이동한 다음 새 SRV 레코드를 추가합니다.

• 서비스 = _rmsdisco
• 프로토콜 = _http
• Name = _tcp
• 대상 = api.aadrm.cn
• 포트 = 80
• Priority, Weight, Seconds, TTL = 기본값

4단계: AIP 통합 레이블 지정 클라이언트 설치 및 구성

Microsoft 다운로드 센터에서 AIP 통합 레이블 지정 클라이언트를 다운로드하고 설치합니다.

자세한 내용은 다음을 참조하세요.

• AIP 설명서
• AIP 버전 기록 및 지원 정책
• AIP 시스템 요구 사항
• AIP 빠른 시작: AIP 클라이언트 배포
• AIP 관리자 가이드
• AIP 사용자 가이드
• 민감도 레이블에 대해 알아보기

5단계: Windows에서 AIP 앱 구성

Windows의 AIP 앱은 Azure 중국의 올바른 소버린 클라우드를 가리키기 위해 다음 레지스트리 키가 필요합니다.

• 레지스트리 노드 = HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
• Name = CloudEnvType
• Value = 6 (default = 0)
• 형식 = REG_DWORD

Important

제거 후 레지스트리 키를 삭제하지 않도록 합니다. 키가 비어 있거나, 잘못되거나, 존재하지 않는 경우 기능은 기본값(상용 클라우드의 경우 기본값 = 0)으로 동작합니다. 키가 비어 있거나 올바르지 않으면 인쇄 오류도 로그에 추가됩니다.

6단계: 정보 보호 스캐너 설치 및 콘텐츠 스캔 작업 관리

Microsoft Purview Information Protection 스캐너를 설치하여 네트워크 및 콘텐츠 공유에서 중요한 데이터를 검색하고 조직의 정책에 구성된 대로 분류 및 보호 레이블을 적용합니다.

콘텐츠 검색 작업을 구성하고 관리하는 경우 상업용 제품에서 사용하는 Microsoft Purview 규정 준수 포털 대신 다음 절차를 사용합니다.

자세한 내용은 PowerShell만을 사용하여 정보 보호 스캐너 및 콘텐츠 스캔 작업 관리에 대해 알아봅니다.

스캐너를 설치하고 구성하려면 다음을 수행합니다.

1. 스캐너를 실행할 Windows Server 컴퓨터에 로그인합니다. 로컬 관리자 권한이 있고 SQL Server 마스터 데이터베이스에 쓸 수 있는 권한이 있는 계정을 사용합니다.

2. PowerShell을 닫은 상태에서 시작합니다. 이전에 AIP 클라이언트 및 스캐너를 설치한 경우 AIPScanner 서비스가 중지되었는지 확인합니다.

3. 관리자 권한으로 실행 옵션을 사용하여 Windows PowerShell 세션을 엽니다.

4. Install-AIPScanner cmdlet을 실행하여 Azure Information Protection 스캐너용 데이터베이스를 만들 SQL Server 인스턴스와 스캐너 클러스터의 의미 있는 이름을 지정합니다.

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   팁

   Install-AIPScanner 명령에서 동일한 클러스터 이름을 사용하여 여러 스캐너 노드를 동일한 클러스터에 연결할 수 있습니다. 여러 스캐너 노드에 동일한 클러스터를 사용하면 여러 스캐너가 함께 작동하여 검사를 수행할 수 있습니다.

5. 관리 도구>서비스를 사용하여 현재 서비스가 설치되어 있는지 확인합니다.

   설치된 서비스의 이름은 Azure Information Protection Scanner이며, 만든 스캐너 서비스 계정을 사용하여 실행하도록 구성됩니다.

6. 스캐너와 함께 사용할 Azure 토큰을 가져옵니다. Microsoft Entra 토큰을 사용하면 스캐너가 Azure Information Protection 서비스에 인증하여 스캐너가 비대화형으로 실행되도록 할 수 있습니다.

   1. Azure Portal을 열고 인증을 위한 액세스 토큰을 지정하는 Microsoft Entra 애플리케이션을 만듭니다. 자세한 내용은 Azure Information Protection에 대해 비대화형으로 파일에 레이블을 지정하는 방법을 참조하세요.

      팁

      Set-AIPAuthentication 명령에 대한 Microsoft Entra 애플리케이션을 만들고 구성할 때 요청 API 권한 창에는 조직에서 Microsoft API 탭 대신 탭을 사용하는 API가 표시됩니다. 조직에서 사용하는 API를 선택한 다음, Azure Rights Management Services를 선택합니다.

   2. Windows Server 컴퓨터에서 스캐너 서비스 계정에 설치에 대한 로컬 로그온 권한이 부여된 경우 이 계정을 사용하여 로그인하고 PowerShell 세션을 시작합니다.

      스캐너 서비스 계정에 설치에 대한 로컬 로그온 권한을 부여할 수 없는 경우 Azure Information Protection에 대해 비대화형으로 파일에 레이블을 지정하는 방법에 설명된 대로 Set-AIPAuthentication과 함께 OnBehalfOf 매개 변수를 사용합니다.

   3. Microsoft Entra 애플리케이션에서 복사한 값을 지정하여 Set-AIPAuthentication을 실행합니다.

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   예시:

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   이제 스캐너에 Microsoft Entra ID를 인증하는 토큰이 있습니다. 이 토큰은 Microsoft Entra ID의 웹앱 /API 클라이언트 암호 구성에 따라 1년, 2년 또는 절대로 유효하지 않습니다. 토큰이 만료되면 이 절차를 반복해야 합니다.

7. Set-AIPScannerConfiguration cmdlet을 실행하여 스캐너가 오프라인 모드에서 작동하도록 설정합니다. 다음을 실행합니다.

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

8. Set-AIPScannerContentScanJob cmdlet을 실행하여 기본 콘텐츠 검색 작업을 만듭니다.

   Set-AIPScannerContentScanJob cmdlet에서 유일한 필수 매개 변수는 Enforce입니다. 그러나 현재 콘텐츠 검색 작업에 대한 다른 설정을 정의할 수 있습니다. 예시:

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   위의 구문은 구성을 계속하는 동안 다음 설정을 구성합니다.

   • 스캐너 실행 일정을 수동으로 유지
   • 민감도 레이블 지정 정책에 따라 검색할 정보 유형 설정
   • 민감도 레이블 지정 정책을 적용하지 않음
   • 민감도 레이블 지정 정책에 대해 정의된 기본 레이블을 사용하여 콘텐츠에 따라 파일에 자동으로 레이블 지정
   • 파일에 레이블을 다시 지정할 수 없음
   • 수정된 날짜, 마지막으로 수정한 날짜수정한 사람 값을 포함하여 검색하고 자동 레이블을 지정하는 동안 파일 세부 정보를 유지합니다.
   • 실행 시 .msg 및 .tmp 파일을 제외하도록 스캐너 설정
   • 스캐너를 실행할 때 사용할 계정으로 기본 소유자 설정

9. Add-AIPScannerRepository cmdlet을 사용하여 콘텐츠 검색 작업에서 검색하려는 리포지토리를 정의합니다. 예를 들어 다음을 실행합니다.

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   추가하는 리포지토리의 유형에 따라 다음 구문 중 하나를 사용합니다.

   • 네트워크 공유에 \\Server\Folder를 사용합니다.
   • SharePoint 라이브러리에 http://sharepoint.contoso.com/Shared%20Documents/Folder를 사용합니다.
   • 로컬 경로의 경우: C:\Folder
   • UNC 경로: \\Server\Folder

   참고 항목

   Wild카드s는 지원되지 않으며 WebDav 위치는 지원되지 않습니다.

   나중에 리포지토리를 수정하려면 Set-AIPScannerRepository cmdlet을 대신 사용합니다.

필요에 따라 다음 단계를 계속 수행합니다.

• 검색 주기 실행 및 스캐너에 대한 보고서 보기
• PowerShell을 사용하여 분류 및 보호를 적용하도록 스캐너 구성
• PowerShell을 사용하여 스캐너로 DLP 정책 구성

다음 표에서는 스캐너 설치 및 콘텐츠 스캔 작업 관리와 관련된 PowerShell cmdlet을 나열합니다.

cmdlet	설명
Add-AIPScannerRepository	콘텐츠 검색 작업에 새 리포지토리를 추가합니다.
Get-AIPScannerConfiguration	클러스터에 대한 세부 정보를 반환합니다.
Get-AIPScannerContentScanJob	콘텐츠 검색 작업에 대한 세부 정보를 가져옵니다.
Get-AIPScannerRepository	콘텐츠 검색 작업에 대해 정의된 리포지토리에 대한 세부 정보를 가져옵니다.
Remove-AIPScannerContentScanJob	콘텐츠 검색 작업을 삭제합니다.
Remove-AIPScannerRepository	콘텐츠 검색 작업에서 리포지토리를 제거합니다.
Set-AIPScannerContentScanJob	콘텐츠 검색 작업에 대한 설정을 정의합니다.
Set-AIPScannerRepository	콘텐츠 검색 작업의 기존 리포지토리에 대한 설정을 정의합니다.

자세한 내용은 다음을 참조하세요.

• 정보 보호 스캐너에 대해 알아보기
• 정보 보호 스캐너 구성 및 설치
• PowerShell만 사용하여 콘텐츠 검색 작업 관리