21Vianet에서 운영하는 Office 365용 Microsoft Purview Information Protection
이 문서에서는 21Vianet에서 운영하는 Office 365에 대한 Microsoft Purview Information Protection 지원과 이전에 AIP(Azure Information Protection)로 알려진 제품으로 제한되는 상용 제품과 정보 보호 스캐너를 설치하고 콘텐츠 스캔 작업을 관리하는 방법을 포함하여 중국 고객을 위한 특정 구성 지침의 차이점을 설명합니다.
21Vianet과 상업용 제품 간의 차이점
우리의 목표는 21Vianet 제품에서 운영하는 Office 365에 대한 Microsoft Purview Information Protection 지원을 통해 중국의 고객에게 모든 상업적 기능과 기능을 제공하는 것이지만 몇 가지 누락된 기능이 있습니다.
AD RMS(Active Directory Rights Management Services) 암호화는 엔터프라이즈용 Microsoft 365 앱(빌드 11731.10000 이상)에서만 지원됩니다. Office Professional Plus는 AD RMS를 지원하지 않습니다.
AD RMS에서 AIP로의 마이그레이션은 현재 사용할 수 없습니다.
상업용 클라우드의 사용자와 보호된 전자 메일 공유가 지원됩니다.
상용 클라우드의 사용자와 문서 및 전자 메일 첨부 파일 공유는 현재 사용할 수 없습니다. 여기에는 상용 클라우드의 21Vianet 사용자가 운영하는 Office 365, 상용 클라우드의 21Vianet 사용자가 운영하는 비 Office 365, 개인용 RMS 라이선스가 있는 사용자가 포함됩니다.
SharePoint가 있는 IRM(IRM 보호 사이트 및 라이브러리)은 현재 사용할 수 없습니다.
AD RMS용 모바일 디바이스 확장은 현재 사용할 수 없습니다.
모바일 뷰어는 Azure 중국 21Vianet에서 지원되지 않습니다.
규정 준수 포털의 스캐너 영역은 중국의 고객이 사용할 수 없습니다. 콘텐츠 검색 작업 관리 및 실행과 같이 포털에서 작업을 수행하는 대신 PowerShell 명령을 사용합니다.
21Vianet 환경 내의 Microsoft Purview Information Protection 클라이언트에 대한 네트워크 엔드포인트는 다른 클라우드 서비스에 필요한 엔드포인트와 다릅니다. 클라이언트에서 다음 엔드포인트로의 네트워크 연결이 필요합니다.
- 레이블 및 레이블 정책 다운로드:
*.protection.partner.outlook.cn
- Azure Rights Management 서비스:
*.aadrm.cn
- 레이블 및 레이블 정책 다운로드:
사용자에 의한 문서 추적 및 해지는 현재 사용할 수 없습니다.
21Vianet의 고객 구성
21Vianet에서 운영하는 Office 365에 대한 Microsoft Purview Information Protection 지원을 구성하려면 다음을 수행합니다.
테넌트에 대해 Rights Management를 사용하도록 설정합니다.
Windows 설정을 구성합니다.
1단계: 테넌트에 대한 권한 관리 사용
암호화가 올바르게 작동하려면 테넌트에 RMS(권한 관리 서비스)를 사용하도록 설정해야 합니다.
RMS가 사용하도록 설정되어 있는지 확인합니다.
- 관리자 권한으로 PowerShell을 시작합니다.
- AIPService 모듈이 설치되어 있지 않으면 실행
Install-Module AipService
합니다. - 를 사용하여
Import-Module AipService
모듈을 가져옵니다. - 를 사용하여
Connect-AipService -environmentname azurechinacloud
서비스에 커넥트. - 상태를
Enabled
실행하고(Get-AipServiceConfiguration).FunctionalState
검사.
기능 상태가
Disabled
면 다음을 실행합니다Enable-AipService
.
2단계: Microsoft Information Protection 동기화 서비스 주체 추가
Microsoft Information Protection 동기화 서비스 주체는 기본적으로 Azure 중국 테넌트에서 사용할 수 없으며 Azure Information Protection에 필요합니다. Azure Az PowerShell 모듈을 통해 이 서비스 주체를 수동으로 만듭니다.
Azure Az 모듈이 설치되어 있지 않은 경우 Azure Cloud Shell과 같이 Azure Az 모듈이 미리 설치된 리소스를 설치하거나 사용합니다. 자세한 내용은 Azure Az PowerShell 모듈 설치를 참조하세요.
커넥트-AzAccount cmdlet 및
azurechinacloud
환경 이름을 사용하여 서비스에 커넥트.Connect-azaccount -environmentname azurechinacloud
New-AzADServicePrincipal cmdlet 및
870c4f2e-85b6-4d43-bdda-6ed9a579b725
Microsoft Purview Information Protection 동기화 서비스에 대한 애플리케이션 ID를 사용하여 Microsoft Information Protection 동기화 서비스 주체를 수동으로 만듭니다.New-AzADServicePrincipal -ApplicationId 870c4f2e-85b6-4d43-bdda-6ed9a579b725
서비스 주체를 추가한 후 서비스에 필요한 관련 권한을 추가합니다.
3단계: DNS 암호화 구성
암호화가 올바르게 작동하려면 Office 클라이언트 애플리케이션이 서비스의 중국 인스턴스에 연결하고 여기에서 부트스트랩해야 합니다. 클라이언트 애플리케이션을 올바른 서비스 인스턴스로 리디렉션하려면 테넌트 관리자가 Azure RMS URL에 대한 정보를 사용하여 DNS SRV 레코드를 구성해야 합니다. DNS SRV 레코드가 없으면 클라이언트 애플리케이션은 기본적으로 퍼블릭 클라우드 인스턴스에 연결을 시도하며 실패합니다.
또한 사용자가 사용자 이름(예joe@contoso.onmschina.cn
: )이 아니라 onmschina
테넌트 소유 do기본(예: joe@contoso.cn
)를 기반으로 사용자 이름으로 로그인한다고 가정합니다. 사용자 이름의 do기본 이름은 올바른 서비스 인스턴스로 DNS 리디렉션에 사용됩니다.
DNS 암호화 구성 - Windows
RMS ID를 가져옵니다.
- 관리자 권한으로 PowerShell을 시작합니다.
- AIPService 모듈이 설치되어 있지 않으면 실행
Install-Module AipService
합니다. - 를 사용하여
Connect-AipService -environmentname azurechinacloud
서비스에 커넥트. - RMS ID를 가져오려면 실행
(Get-AipServiceConfiguration).RightsManagementServiceId
합니다.
DNS 공급자에 로그인하고 do기본 대한 DNS 설정으로 이동한 다음 새 SRV 레코드를 추가합니다.
- 서비스 =
_rmsredir
- 프로토콜 =
_http
- Name =
_tcp
- 대상 =
[GUID].rms.aadrm.cn
(여기서 GUID는 RMS ID) - Priority, Weight, Seconds, TTL = 기본값
- 서비스 =
사용자 지정 do기본 Azure Portal의 테넌트에 연결합니다. 그러면 DNS에 항목이 추가되며, DNS 설정에 값을 추가한 후 확인을 받는 데 몇 분 정도 걸릴 수 있습니다.
해당 전역 관리자 자격 증명을 사용하여 Microsoft 365 관리 센터 로그인하고 사용자 만들기를 위해 할 일기본(예:
contoso.cn
)을 추가합니다. 확인 프로세스에서 추가 DNS 변경이 필요할 수 있습니다. 확인이 완료되면 사용자를 만들 수 있습니다.
DNS 암호화 구성 - Mac, iOS, Android
DNS 공급자에 로그인하고 do기본 대한 DNS 설정으로 이동한 다음 새 SRV 레코드를 추가합니다.
- 서비스 =
_rmsdisco
- 프로토콜 =
_http
- Name =
_tcp
- 대상 =
api.aadrm.cn
- 포트 =
80
- Priority, Weight, Seconds, TTL = 기본값
4단계: 레이블 지정 클라이언트 설치 및 구성
Microsoft 다운로드 센터에서 Microsoft Purview Information Protection 클라이언트를 다운로드하고 설치합니다.
자세한 내용은 다음을 참조하세요.
5단계: Windows 설정 구성
Windows는 Azure 중국의 올바른 소버린 클라우드를 가리키도록 인증을 위해 다음 레지스트리 키가 필요합니다.
- 레지스트리 노드 =
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
- Name =
CloudEnvType
- Value =
6
(default = 0) - 형식 =
REG_DWORD
Important
제거 후 레지스트리 키를 삭제하지 않도록 합니다. 키가 비어 있거나, 잘못되거나, 존재하지 않는 경우 기능은 기본값(상용 클라우드의 경우 기본값 = 0)으로 동작합니다. 키가 비어 있거나 올바르지 않으면 인쇄 오류도 로그에 추가됩니다.
6단계: 정보 보호 스캐너 설치 및 콘텐츠 스캔 작업 관리
Microsoft Purview Information Protection 스캐너를 설치하여 네트워크 및 콘텐츠 공유에서 중요한 데이터를 검색하고 조직의 정책에 구성된 대로 분류 및 보호 레이블을 적용합니다.
콘텐츠 검색 작업을 구성하고 관리하는 경우 상업용 제품에서 사용하는 Microsoft Purview 규정 준수 포털 대신 다음 절차를 사용합니다.
자세한 내용은 PowerShell만을 사용하여 정보 보호 스캐너 및 콘텐츠 스캔 작업 관리에 대해 알아봅니다.
스캐너를 설치하고 구성하려면 다음을 수행합니다.
스캐너를 실행할 Windows Server 컴퓨터에 로그인합니다. 로컬 관리자 권한이 있고 SQL Server 마스터 데이터베이스에 쓸 수 있는 권한이 있는 계정을 사용합니다.
PowerShell을 닫은 상태에서 시작합니다. 이전에 정보 보호 스캐너를 설치한 경우 Microsoft Purview Information Protection 스캐너 서비스가 중지되었는지 확인합니다.
관리자 권한으로 실행 옵션을 사용하여 Windows PowerShell 세션을 엽니다.
Install-Scanner cmdlet을 실행하여 Microsoft Purview Information Protection 스캐너용 데이터베이스를 만들 SQL Server 인스턴스와 스캐너 클러스터의 의미 있는 이름을 지정합니다.
Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
팁
Install-Scanner 명령에서 동일한 클러스터 이름을 사용하여 여러 스캐너 노드를 동일한 클러스터에 연결할 수 있습니다. 여러 스캐너 노드에 동일한 클러스터를 사용하면 여러 스캐너가 함께 작동하여 검사를 수행할 수 있습니다.
관리 도구>서비스를 사용하여 현재 서비스가 설치되어 있는지 확인합니다.
설치된 서비스의 이름은 Microsoft Purview Information Protection 스캐너 이며 사용자가 만든 스캐너 서비스 계정을 사용하여 실행되도록 구성됩니다.
스캐너와 함께 사용할 Azure 토큰을 가져옵니다. Microsoft Entra 토큰을 사용하면 스캐너가 Azure Information Protection 서비스에 인증하여 스캐너가 비대화형으로 실행되도록 할 수 있습니다.
Azure Portal을 열고 인증을 위한 액세스 토큰을 지정하는 Microsoft Entra 애플리케이션을 만듭니다. 자세한 내용은 Azure Information Protection에 대해 비대화형으로 파일에 레이블을 지정하는 방법을 참조하세요.
Windows Server 컴퓨터에서 스캐너 서비스 계정에 설치에 대한 로컬 로그온 권한이 부여된 경우 이 계정을 사용하여 로그인하고 PowerShell 세션을 시작합니다.
스캐너 서비스 계정에 설치에 대한 로그온 권한을 로컬로 부여할 수 없는 경우 Azure Information Protection에 대해 비대화형으로 파일에 레이블을 지정하는 방법에 설명된 대로 Set-Authentication에서 OnBehalfOf 매개 변수를 사용합니다.
Microsoft Entra 애플리케이션에서 복사한 값을 지정하여 Set-Authentication을 실행합니다.
Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
예시:
$pscreds = Get-Credential CONTOSO\scanner Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.
이제 스캐너에 Microsoft Entra ID를 인증하는 토큰이 있습니다. 이 토큰은 Microsoft Entra ID의 웹앱 /API 클라이언트 암호 구성에 따라 1년, 2년 또는 절대로 유효하지 않습니다. 토큰이 만료되면 이 절차를 반복해야 합니다.
Set-ScannerConfiguration cmdlet을 실행하여 스캐너가 오프라인 모드에서 작동하도록 설정합니다. 다음을 실행합니다.
Set-ScannerConfiguration -OnlineConfiguration Off
Set-ScannerContentScanJob cmdlet을 실행하여 기본 콘텐츠 검색 작업을 만듭니다.
Set-ScannerContentScanJob cmdlet의 유일한 필수 매개 변수는 Enforce입니다. 그러나 현재 콘텐츠 검색 작업에 대한 다른 설정을 정의할 수 있습니다. 예시:
Set-ScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
위의 구문은 구성을 계속하는 동안 다음 설정을 구성합니다.
- 스캐너 실행 일정을 수동으로 유지
- 민감도 레이블 지정 정책에 따라 검색할 정보 유형 설정
- 민감도 레이블 지정 정책을 적용하지 않음
- 민감도 레이블 지정 정책에 대해 정의된 기본 레이블을 사용하여 콘텐츠에 따라 파일에 자동으로 레이블 지정
- 파일에 레이블을 다시 지정할 수 없음
- 수정된 날짜, 마지막으로 수정한 날짜수정한 사람 값을 포함하여 검색하고 자동 레이블을 지정하는 동안 파일 세부 정보를 유지합니다.
- 실행 시 .msg 및 .tmp 파일을 제외하도록 스캐너 설정
- 스캐너를 실행할 때 사용할 계정으로 기본 소유자 설정
Add-ScannerRepository cmdlet을 사용하여 콘텐츠 검색 작업에서 검사하려는 리포지토리를 정의합니다. 예를 들어 다음을 실행합니다.
Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
추가하는 리포지토리의 유형에 따라 다음 구문 중 하나를 사용합니다.
- 네트워크 공유에
\\Server\Folder
를 사용합니다. - SharePoint 라이브러리에
http://sharepoint.contoso.com/Shared%20Documents/Folder
를 사용합니다. - 로컬 경로의 경우:
C:\Folder
- UNC 경로:
\\Server\Folder
참고 항목
Wild카드s는 지원되지 않으며 WebDav 위치는 지원되지 않습니다.
나중에 리포지토리를 수정하려면 Set-ScannerRepository cmdlet을 대신 사용합니다.
- 네트워크 공유에
필요에 따라 다음 단계를 계속 수행합니다.
다음 표에서는 스캐너 설치 및 콘텐츠 스캔 작업 관리와 관련된 PowerShell cmdlet을 나열합니다.
cmdlet | 설명 |
---|---|
Add-ScannerRepository | 콘텐츠 검색 작업에 새 리포지토리를 추가합니다. |
Get-ScannerConfiguration | 클러스터에 대한 세부 정보를 반환합니다. |
Get-ScannerContentScan | 콘텐츠 검색 작업에 대한 세부 정보를 가져옵니다. |
Get-ScannerRepository | 콘텐츠 검색 작업에 대해 정의된 리포지토리에 대한 세부 정보를 가져옵니다. |
Remove-ScannerContentScan | 콘텐츠 검색 작업을 삭제합니다. |
Remove-ScannerRepository | 콘텐츠 검색 작업에서 리포지토리를 제거합니다. |
Set-ScannerContentScan | 콘텐츠 검색 작업에 대한 설정을 정의합니다. |
Set-ScannerRepository | 콘텐츠 검색 작업의 기존 리포지토리에 대한 설정을 정의합니다. |
자세한 내용은 다음을 참조하세요.