Konfigurace a instalace jednotného skeneru štítků Azure Information Protection (AIP)

  • Článek
  • 25 min ke čtení

Platí pro:Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Relevantní pouze pro:AIP unified labeling client only.

Tento článek popisuje, jak nakonfigurovat a nainstalovat místní skener s jednotným popiskem Azure Information Protection.

Tip

Většina zákazníků sice tyto postupy provede v oblasti Azure Information Protection na portálu Azure Portal, ale možná budete muset pracovat jenom v PowerShellu.

Pokud například pracujete v prostředí bez přístupu k portálu Azure Portal, jako jsou servery skeneru Azure China 21Vianet,postupujte podle pokynů v tématu Konfigurace skeneru pomocí PowerShellu.

Přehled

Než začnete, ověřte, že váš systém splňuje požadované předpoklady.

Pokud chcete použít portál Azure Portal, postupujte takto:

  1. Konfigurace nastavení skeneru

  2. Instalace skeneru

  3. Získání tokenu Azure AD pro skener

  4. Konfigurace skeneru pro použití klasifikace a ochrany

Potom podle potřeby pro svůj systém proveďte následující postupy konfigurace:

Postup Popis
Změna typů souborů, které chcete chránit Možná budete chtít skenovat, klasifikovat nebo zamknout různé typy souborů, než je výchozí. Další informace najdete v tématu Proces kontroly AIP.
Upgrade skeneru Upgradujte skener, abyste využili nejnovější funkce a vylepšení.
Hromadné úpravy nastavení úložiště dat Možnosti importu a exportu slouží k hromadné změně více úložišť dat.
Použití skeneru s alternativními konfiguracemi Použití skeneru bez konfigurace štítků za jakýchkoli podmínek
Optimalizace výkonu Pokyny k optimalizaci výkonu skeneru

Pokud nemáte přístup k stránkám skeneru na portálu Azure Portal, nakonfigurujte nastavení skeneru jenom v PowerShellu. Další informace najdete v tématu Použití PowerShellu ke konfiguraci skeneru a podporovaných rutin PowerShellu.

Konfigurace nastavení skeneru

Před instalací skeneru nebo upgradem ze starší verze obecné dostupnosti nakonfigurujte nebo ověřte nastavení skeneru.

Konfigurace skeneru na portálu Azure Portal:

  1. Přihlaste se k webu Azure Portal s jednou z následujících rolí:

    • Správce dodržování předpisů
    • Správce dat dodržování předpisů
    • Správce zabezpečení
    • Globální správce

    Potom přejděte do podokna Azure Information Protection.

    Například do vyhledávacího pole pro zdroje, služby a dokumenty začněte psát informace a vyberte Azure Information Protection.

  2. Vytvoření clusteru skenerů Tento cluster definuje skener a používá se k identifikaci instance skeneru, například během instalace, upgradů a dalších procesů.

  3. (Volitelné) Naskenujte svou síť, pokud chcete vyhledat rizikové úložiště. Vytvořte úlohu kontroly sítě a naskenujte zadanou IP adresu nebo oblast a zadejte seznam rizikovějších úložišť, která mohou obsahovat citlivý obsah, který chcete zabezpečit.

    Spusťte úlohu kontroly sítě a potom analyzujte všechny nalezenérizikové úložiště.

  4. Vytvořte úlohu kontroly obsahu a definujte úložiště, která chcete naskenovat.

Vytvoření clusteru skenerů

  1. V nabídce Scanner (Skener) vlevo vyberteClusters clusters icon clusters icon

  2. V podokně Azure Information Protection – Clustery vyberte Přidat ikonu přidat ikonu.

  3. V podokně Přidat nový cluster zadejte smysluplný název skeneru a volitelný popis.

    Název clusteru se používá k identifikaci konfigurací a úložišť skeneru. Můžete třeba zadat Evropě, abyste identifikovali zeměpisná umístění úložišť dat, která chcete prohledat.

    Tento název později použijete k identifikaci, kam chcete skener nainstalovat nebo upgradovat.

  4. Pokud chcetezměny vyberte Uložit ikonu uložit ikonu pro uložení.

Vytvoření úlohy kontroly sítě (verze Public Preview)

Přidejte jeden nebo více úložišť nalezených do úlohy kontroly obsahu a naskenujte je kvůli citlivému obsahu.

Poznámka:

Funkce zjišťování sítě Azure Information Protection je momentálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, ve verzi Preview nebo jinak ještě nejsou vydané do obecné dostupnosti.

Následující tabulka popisuje předpoklady požadované pro službu zjišťování sítě:

Předpoklad Popis
Instalace služby Zjišťování sítě Pokud jste skener nedávno upgradovali, možná budete muset službu Zjišťování sítě nainstalovat.

Spuštěním rutiny Install-MIPNetworkDiscovery povolte úlohy kontroly sítě.
Analýza Azure Information Protection Ujistěte se, že máte povolenou analýzu Azure Information Protection.

Na portálu Azure Portal přejděte na Azure Information Protection Manage Configure > analytics (Preview) (Správa konfigurace analýzy Azure Information Protection).

Další informace najdete v tématu Centrální vytváření sestav pro Azure Information Protection (public preview).

Vytvoření úlohy kontroly sítě

  1. Přihlaste se k portálu Azure Portal a přejděte na Azure Information Protection. V nabídce Skener na levé straně vyberte Network scan jobs (Preview)network scan jobsiconnetwork scan.

  2. V podokně Úlohy kontroly sítě v Azure Information Protection vyberte Přidat ikonupřidat.

  3. Na stránce Add a new network scan job (Přidat novou úlohu kontroly sítě) definujte následující nastavení:

    Nastavení Popis
    Název úlohy kontroly sítě Zadejte smysluplný název této úlohy. Toto pole je povinné.
    Popis Zadejte smysluplný popis.
    Výběr clusteru V rozevíracím seznamu vyberte cluster, který chcete použít k prohledávání nakonfigurovaných síťových umístění.

    Tip:Při výběru clusteru se ujistěte, že uzly v clusteru, který přiřadíte, mají přístup k nakonfigurované oblasti IP adres prostřednictvím protokolu SMB.
    Konfigurace rozsahů IP adres pro zjišťování Kliknutím můžete definovat IP adresu nebo oblast.

    V podokně Zvolit rozsahy IP adres zadejte nepovinný název a potom počáteční IP adresu a koncovou IP adresu pro vaši oblast.

    Tip:Pokud chcete naskenovat jenom určitou IP adresu, zadejte identickou IP adresu do polí Start IP i End IP.
    Nastavení plánu Definujte, jak často se má tato úloha kontroly sítě spouštět.

    Pokud vyberete Týdně, zobrazí se nastavení Spustit úlohu kontroly sítě. Vyberte dny v týdnu, ve kterých chcete spustit úlohu kontroly sítě.
    Nastavení času zahájení (UTC) Definujte datum a čas, kdy má tato úloha kontroly sítě začít běžet. Pokud jste vybrali, že chcete spustit úlohu denně, týdně nebo měsíčně, úloha se spustí v definovaný čas při opakování, které jste vybrali.

    Poznámka:Při nastavování data na libovolné dny na konci měsíce buďte opatrní. Pokud vyberete 31, úloha kontroly sítě se nebude spouštět v žádném měsíci, který má 30 nebo méně dní.

  4. Pokud chcetezměny vyberte Uložit ikonu uložit ikonu pro uložení.

Tip

Pokud chcete spustit stejnou síťovou kontrolu pomocí jiného skeneru, změňte cluster definovaný v síťové úlohu kontroly.

Vraťte se do podokna Úlohy síťové kontroly a vyberte Přiřadit ke clusteru a vyberte jiný cluster nebo zrušit přiřazení clusteru a později proveďte další změny.

Analýza nalezených riskovaných úložišť (veřejná verze Preview)

Nalezené úložiště se agregují a uvedená v podokně repozitářů repozitářů úložišť skeneru.

Pokud jste definovali úlohu kontroly sítě a nastavili jste ji tak, aby běžela k určitému datu a času, počkejte, až bude spuštěná, a zkontrolujte výsledky. Po spuštění úlohy kontroly obsahu se sem můžete vrátit a zobrazit aktualizovaná data.

Poznámka:

Funkce úložiště Azure Information Protection je momentálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, ve verzi Preview nebo jinak ještě nejsou vydané do obecné dostupnosti.

  1. V nabídce Skener vlevo vyberte ikonuúložišť úložišť s ikonamiúložišť.

    Nalezené úložiště se zobrazují takto:

    • Graf Úložiště podle stavu ukazuje, kolik úložišť už je nakonfigurovaných pro úlohu kontroly obsahu a kolik jich není.
    • 10 nejoblíbenějších nespravovaných úložišť podle accessového grafu uvádí 10 nejvyšších úložišť, která nejsou aktuálně přiřazená k úlohu kontroly obsahu, a také podrobnosti o jejich úrovních přístupu. Úrovně přístupu označují, jak jsou vaše úložiště riziková.
    • V tabulce pod grafy jsou uvedené všechny nalezené úložiště a jejich podrobnosti.

  2. Proveďte některý z následujících kroků:

    Možnost Popis
    Ikona sloupců ikona Pokud chcete změnit zobrazené sloupce tabulky, vyberte Sloupce.
    Refresh icon Pokud skener nedávno spouštěl výsledky síťové kontroly, aktualizujte stránku výběrem možnosti Aktualizovat.
    Add icon Vyberte jedno nebo více úložišť uvedených v tabulce a pak vyberte Přiřadit vybrané položky a přiřaďte je k úlohu kontroly obsahu.
    Filtrovat Řádek filtru zobrazuje všechna aktuálně použitá kritéria filtrování. Výběrem libovolného z kritérií, která se zobrazí, můžete změnit jeho nastavení. Pokud chcete přidat nová kritéria filtrování, vyberte Přidat filtr.

    Pokud chcete použít změny a aktualizovat tabulku aktualizovaným filtrem, vyberte Filtr.
    Log Analytics icon V pravém horním rohu grafu nespravovaných úložišť klikněte na ikonu Analýza protokolů a přeskočte tak na data Analýzy protokolů pro tato úložiště.

Úložiště, ve kterých se zjistilo, že veřejný přístup má možnosti čtení nebo čtení a zápisu, mohou mít citlivý obsah, který je třeba zabezpečit. Pokud je veřejný přístup nepravdivý, úložiště není přístupné veřejnosti vůbec.

Veřejný přístup k úložišti se hlásí jenom v případě, že jste nastavili slabý účet v parametru StandardDomainsUserAccount rutin Install-MIPNetworkDiscovery nebo Set-MIPNetworkDiscoveryConfiguration.

  • Účty definované v těchto parametrech slouží k simulaci přístupu slabého uživatele k úložišti. Pokud tam definovaný slabý uživatel má přístup k úložišti, znamená to, že k úložišti je možné přistupovat veřejně.

  • Abyste se ujistili, že je veřejný přístup správně nahlášený, ujistěte se, že uživatel zadaný v těchto parametrech je členem jenom skupiny Domain Users.

Vytvoření úlohy kontroly obsahu

Ponořte se do obsahu a naskenujte konkrétní úložiště pro citlivý obsah.

Možná to budete chtít udělat jenom po spuštění úlohy kontroly sítě, abyste mohli analyzovat úložiště ve vaší síti, ale můžete taky definovat vaše úložiště sami.

Vytvoření úlohy kontroly obsahu na portálu Azure Portal:

  1. V nabídce Skener vlevo vyberte Úlohy kontroly obsahu.

  2. V podokně Úloh kontroly obsahu v Azure Information Protection vyberte Přidat ikonupro přidání ikony.

  3. Pro tuto počáteční konfiguraci nakonfigurujte následující nastavení a pak vyberte Uložit, ale podokno nezabýte.

    Nastavení Popis
    Nastavení úloh kontroly obsahu - - Zachovat výchozí nastavení Ruční
    - - zjistit: Pouze změna zásad
    - - V tuto chvíli nekonfigurujte, protože je nutné nejdřív uložit úlohu kontroly obsahu.
    Zásady ochrany před únikem informací Pokud používáte zásadu ochrany před únikem Microsoft 365 (DLP), nastavte Povolit pravidla ochrany před únikem informací na Hodnotu Zapnout. Další informace najdete v tématu Použití zásad ochrany před únikem informací.
    Zásady citlivosti - - Vyberte Vypnuto
    - - Zachovat výchozí nastavení Na
    - - Nastavení výchozího nastavení zásad
    - - :Keep the default of Off
    Konfigurace nastavení souborů - - : Zachovat výchozí hodnotu Dne
    - - Zachovat výchozí typy souborů pro vyloučit
    - - Zachovat výchozí nastavení účtu skeneru
    - - Tuto možnost použijte jenom v případě, že používáte zásadu ochrany před únikem informací.

  4. Teď, když je úloha kontroly obsahu vytvořená a uložená, můžete se vrátit k možnosti Konfigurovat úložiště a zadat úložiště dat, která se budou skenovat.

    Zadejte cesty UNC a SharePoint adresy URL serveru pro SharePoint místních knihoven dokumentů a složek.

    Poznámka:

    SharePoint Server 2019, SharePoint Server 2016 a SharePoint Server 2013 jsou podporované pro SharePoint. SharePoint Server 2010 je podporovaný také v případě, že jste rozšířili podporu pro tuto verzi SharePoint.

    Pokud chcete přidat první úložiště dat, v podokně Přidat novou úlohu kontroly obsahu vyberte Konfigurovat úložiště a otevřete tak podokno Úložiště:

    Nakonfigurujte úložiště dat pro skener Azure Information Protection.

    1. V podokně Úložiště vybertePřidat:

      Přidejte úložiště dat pro skener Azure Information Protection.

    2. V podokně Úložiště zadejte cestu k úložišti dat a pak vyberte Uložit.

      • Pro sdílení v síti použijte \\Server\Folder .
      • U SharePoint knihovny použijte http://sharepoint.contoso.com/Shared%20Documents/Folder .
      • Místní cesta: C:\Folder
      • Cesta UNC: \\Server\Folder

    Poznámka:

    Zástupné znaky nejsou podporované a umístění WebDav nejsou podporovaná.

    Pokud přidáte cestu SharePoint sdílené dokumenty:

    • Pokud chcete naskenovat všechny dokumenty a všechny složky ze sdílených dokumentů, zadejte do cesty sdílené dokumenty. Příklad: http://sp2013/SharedDocuments
    • Zadejte dokumenty v cestě, pokud chcete prohledat všechny dokumenty a všechny složky z podsložky v části Sdílené dokumenty. Příklad: http://sp2013/Documents/SalesReports
    • Můžete také zadat jenom plně kvalifikovaný název domény sharepointu, například zjistit a zkontrolovat všechny weby SharePoint podřízené weby pod konkrétní adresou URL a podnadpisy pod touto adresou URL. Udělte skeneru oprávnění auditora kolekcí webů, aby to bylo možné povolit.

    U zbývajících nastavení v tomto podokně je pro tuto počáteční konfiguraci neměňte, ale uchovujte je jako výchozí úlohu kontroly obsahu. Výchozí nastavení znamená, že úložiště dat dědí nastavení z úlohy kontroly obsahu.

    Při přidávání cest k SharePoint použijte následující syntaxi:

    Cesta Syntaxe
    Kořenová cesta http://<SharePoint server name>

    Prohledá všechny weby, včetně všech kolekcí webů povolených pro uživatele skeneru.
    Vyžaduje další oprávnění k automatickému zjišťování kořenového obsahu.
    Konkrétní SharePoint podřízeného webu nebo kolekce Jedna z těchto možností:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Vyžaduje další oprávnění k automatickému zjišťování obsahu kolekce webů.
    Specifická SharePoint knihovny Jedna z těchto možností:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Specifická SharePoint složky http://<SharePoint server name>/.../<folder name>

  5. Opakováním předchozích kroků přidejte tolik úložišť, kolik potřebujete.

    Až to budete mít, zavřete podokna úloh Úložiště i Vyhledávání obsahu.

Zpátky v podokně úloh Azure Information Protection – Kontrola obsahu se zobrazí název kontroly obsahu spolu se sloupcem SCHEDULE, který zobrazuje Ručně a sloupec ENFORCE je prázdný.

Teď můžete skener nainstalovat pomocí úlohy skeneru obsahu, kterou jste vytvořili. Pokračujte v instalaci skeneru.

Instalace skeneru

Po nakonfigurování skeneru Azure Information Protectionproveďte následující kroky k instalaci skeneru. Tento postup se provádí plně v PowerShellu.

  1. Přihlaste se k počítači Windows Server, který spustí skener. Použijte účet, který má oprávnění místního správce a který má oprávnění k zápisu do SQL Server hlavní databáze.

    Důležité:

    Před instalací skeneru musíte mít na počítači nainstalovaný jednotného klienta štítků AIP.

    Další informace najdete v článku Předpoklady pro instalacia nasazení skeneru Azure Information Protection .

  2. Otevřete relaci Windows PowerShell s možností Spustit jako správce.

  3. Spusťte rutinu Install-AIPScanner SQL Server zadejte instanci SQL Server, na které chcete vytvořit databázi pro skener Azure Information Protection, a název clusteru skeneru, který jste zadali v předchozí části:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>

    Příklady použití názvu clusteru skeneru v Evropě:

    • Pro výchozí instanci: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Pro pojmenovanou instanci: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • Pro SQL Server Express:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Po zobrazení výzvy zadejte přihlašovací údaje služby Active Directory pro účet služby skeneru.

    Použijte následující syntaxi: \<domain\user name> . Příklad: contoso\scanneraccount

  4. Pomocí služby Nástroje pro správu ověřte, jestli je služba nainstalovaná.

    Nainstalovaná služba se jmenuje Azure Information Protection Scanner a je nakonfigurovaná tak, aby se spouštěla pomocí účtu služby skeneru, který jste vytvořili.

Teď, když jste skener nainstalovali, musíte k ověření získat token Azure AD pro účet služby skeneru, aby mohl skener běžet bezobslužně.

Získání tokenu Azure AD pro skener

Token Azure AD umožňuje skeneru ověřit službu Azure Information Protection, která skeneru umožňuje spustit neinteraktivně.

Další informace najdete v tématu Jak označit soubory neinteraktivně pro Azure Information Protection.

Získání tokenu Azure AD:

  1. Otevřete portál Azure Portal a vytvořte aplikaci Azure AD a zadejte přístupový token pro ověřování.

  2. Pokud jste Windows serveru skeneru udělili místně přihlášení přímo k instalaci, přihlaste se pomocí tohoto účtu a spusťte relaci PowerShellu.

    Spusťte Set-AIPAuthenticationa zadejte hodnoty, které jste zkopíroval(a) z předchozího kroku:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    Příklad:

    $pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

    Tip

    Pokud vašemu účtu služby skeneru nelze udělit oprávnění Přihlásit se místně pro instalaci, použijte parametr OnBehalfOf se set-AIPAuthentication, jak je popsáno v článku Jak označit soubory pro Azure Information Protectionneinteraktivně.

Skener teď má token k ověření ve službě Azure AD. Tento token je platný po dobu jednoho roku, dvou let nebo nikdy podle vaší konfigurace tajného klíče klienta webové aplikace /API v Azure AD. Po vypršení platnosti tokenu musíte tento postup zopakovat.

Pokračujte v jednom z následujících kroků v závislosti na tom, jestli ke konfiguraci skeneru používáte portál Azure portal, nebo jenom PowerShell:

Teď jste připravení spustit první kontrolu v režimu zjišťování. Další informace najdete v článku Spuštění cyklu zjišťování a zobrazení sestav skeneru.

Po spuštění úvodní kontroly zjišťování pokračujte v tématu Konfigurace skeneru pro použití klasifikace a ochrany.

Poznámka:

Další informace najdete v tématu Jak označit soubory neinteraktivně pro Azure Information Protection

Konfigurace skeneru pro použití klasifikace a ochrany

Ve výchozím nastavení nakonfigurujte skener tak, aby se spouštěl jednou a v režimu jen pro vytváření sestav. Pokud chcete toto nastavení změnit, upravte úlohu kontroly obsahu.

Tip

Pokud pracujete jenom v PowerShellu, podívejte se na informace v tématu Konfigurace skeneru tak, aby se klasifikaci a ochrana používejte – jenom v PowerShellu.

Konfigurace skeneru pro použití klasifikace a ochrany:

  1. Na portálu Azure Portal v podokně úloh Azure Information Protection – Úlohy kontroly obsahu vyberte úlohu kontroly clusteru a obsahu a upravte ji.

  2. V podokně úloh Vyhledávání obsahu změňte následující položky a pak vyberte Uložit:

    • V části Úloha kontroly obsahu: Změňte plán naVždy.
    • V části Zásady citlivosti: Změna vynucení na Zak

    Tip

    V tomto podokně můžete chtít změnit další nastavení, třeba jestli se změní atributy souborů a jestli skener může soubory znovu označovat. Pomocí místní nápovědy k informacím získáte další informace o jednotlivých nastaveních konfigurace.

  3. Poznamenejte si aktuální čas a spusťte skener znovu v podokně úloh Azure Information Protection – úlohy kontroly obsahu:

    Spusťte kontrolu skeneru Azure Information Protection.

Skener je teď naplánovaný tak, aby se spouštěl nepřetržitě. Když skener funguje ve všech nakonfigurovaných souborech, automaticky spustí nový cyklus, aby se objevily všechny nové a změněné soubory.

Použití zásad ochrany před únikem informací

Pomocí zásady ochrany Microsoft 365 ztrát dat (DLP) umožňuje skeneru zjistit potenciální úniky dat tak, že se shoduje s pravidly DLP se soubory uloženými ve sdílených souborech a SharePoint Serveru.

  • Povolte pravidla DLP v úlohu kontroly obsahu a zmenšete tak expozici všech souborů, které odpovídají vašim zásadám ochrany před únikem informací. Pokud jsou povolená pravidla DLP, skener může omezit přístup k souborům jenom vlastníkům dat nebo omezit vystavení skupinám v celé síti, jako jsou Všichni ,Ověření uživatelé nebo Uživatelé domény.

  • V Centrum dodržování předpisů Microsoftu 365zjistěte, jestli jenom testujete zásady ochrany před únikem informací nebo jestli chcete vynutit pravidla a změnit oprávnění k souborům podle těchto pravidel. Další informace najdete v tématu Zapnutí zásady ochrany před únikem informací.

Zásady ochrany před únikem informací jsou nakonfigurované v Centrum dodržování předpisů Microsoftu 365. Další informace o licencování DLP najdete v tématu Začínáme s místním skenerem prevence ztráty dat.

Tip

Prohledávání souborů, i když jenom testujete zásadu ochrany před únikem informací, také vytvoří sestavy oprávnění k souborům. V těchto sestavách můžete zkoumat konkrétní expozice souborů nebo prozkoumat vystavení konkrétního uživatele naskenovanému souboru.

Pokud chcete používat jenom PowerShell, podívejte se na informace v tématu Použití zásad ochrany před únikem informací se skenerem – jenom v PowerShellu.

Použití zásad ochrany před únikem informací se skenerem:

  1. Na portálu Azure Portal přejděte na úlohu kontroly obsahu. Další informace najdete v tématu Vytvoření úlohy kontroly obsahu.

  2. V části Zásady ochrany před únikeminformací nastavte Povolit pravidla DLP na Hodnotu Zapnout.

    Důležité:

    Pokud ve skutečnosti nemáte zásadu DLP nakonfigurovanou v Microsoft 365, nenastavovat možnost Povolit pravidla ochrany před únikem informací na hodnotu Microsoft 365.

    Zapnutí této funkce bez zásad ochrany před únikem informací způsobí, že skener vygeneruje chyby.

  3. (Volitelné) V části Konfigurace nastavení souborůnastavte vlastníka úložiště na Hodnotu Zaa definujte konkrétního uživatele jako vlastníka úložiště.

    Tato možnost umožňuje skeneru snížit expozici všech souborů nalezených v tomto úložišti, které odpovídají zásadám DLP, definovanému vlastníkovi úložiště.

Zásady ochrany před únikem informací a soukromé akce

Pokud používáte zásadu DLP s privátní akcí a plánujete také použít skener k automatickému označení souborů, doporučujeme také definovat rozšířené nastavení UseCopyAndPreserveNTFSOwner jednotného klienta štítků.

Toto nastavení zajistí, aby původní vlastníci zachovali přístup ke svým souborům.

Další informace najdete v tématu Vytvoření úlohy kontroly obsahu a Použití popisku citlivosti na obsah automaticky v Microsoft 365 dokumentaci.

Změna typů souborů, které chcete chránit

Ve výchozím nastavení skener AIP chrání Office souborů a souborů PDF.

Pomocí příkazů PowerShellu můžete toto chování podle potřeby změnit, například nakonfigurovat skener tak, aby chránil všechny typy souborů, stejně jako to dělá klient, nebo k ochraně dalších konkrétních typů souborů.

U zásad štítků, které se vztahují ke stahování štítků pro skener uživatelského účtu, zadejte rozšířené nastavení PowerShellu s názvem PFileSupportedExtensions.

U skeneru, který má přístup k internetu, je tento uživatelský účet účet, který zadáte pro parametr DelegatedUser pomocí příkazu Set-AIPAuthentication uživatele.

Příklad 1:Příkaz PowerShellu pro skener, který chrání všechny typy souborů, kde se zásada štítků jmenuje "Skener":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Příklad 2:Příkaz PowerShellu pro skener k ochraně souborů .xml .tiff kromě souborů Office souborů PDF, kde se vaše zásady štítků jmenují "Skener":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Další informace najdete v tématu Změna typů souborů, které chcete chránit.

Upgrade skeneru

Pokud jste skener dříve nainstalovali a chcete upgradovat, postupujte podle pokynů popsaných v tématu Upgrade skeneru Azure Information Protection.

Pak skener nakonfigurujtea používejte jako obvykle a přeskočte kroky k instalaci skeneru.

Hromadné úpravy nastavení úložiště dat

Pomocí tlačítek Exportovat a Importovat můžete provádět změny skeneru v několika úložištích.

Díky tomu nemusíte na portálu Azure Portal provádět stejné změny několikrát ručně.

Pokud máte například nový typ souboru v několika SharePoint úložišť dat, možná budete chtít hromadně aktualizovat nastavení těchto úložišť.

Hromadné změny v úložištích:

  1. Na portálu Azure Portal v podokně Úložiště vyberte možnost Exportovat. Příklad:

    Export nastavení úložiště dat pro skener Azure Information Protection

  2. Exportovaný soubor můžete změnit ručně.

  3. Pomocí možnosti Importovat na stejné stránce naimportujte aktualizace zpátky do úložišť.

Použití skeneru s alternativními konfiguracemi

Skener Azure Information Protection obvykle vyhledá podmínky určené pro vaše štítky, aby klasifikovat a chránit váš obsah podle potřeby.

V následujících scénářích může skener Azure Information Protection kontrolovat váš obsah a spravovat štítky bez nakonfigurovaných podmínek:

Použití výchozího popisku u všech souborů v úložišti dat

V této konfiguraci jsou všechny neoznačené soubory v úložišti označené výchozím popiskem určeným pro úložiště nebo úlohou kontroly obsahu. Soubory jsou označené bez kontroly.

Nakonfigurujte následující nastavení:

Nastavení Popis
Soubory štítků založené na obsahu Nastavit na Vypnuto
Výchozí popisek Nastavte na Vlastnía vyberte popisek, který chcete použít.
Vynucení výchozího popisku Výběrem tohoto možnosti použijete výchozí popisek pro všechny soubory, i když už jsou označené.

Odebrání existujících štítků ze všech souborů v úložišti dat

V této konfiguraci se odstraní všechny existující popisky, včetně ochrany, pokud se u popisku použila ochrana. Ochrana použitá nezávisle na štítku zůstane zachována.

Nakonfigurujte následující nastavení:

Nastavení Popis
Soubory štítků založené na obsahu Nastavit na Vypnuto
Výchozí popisek Nastavit na žádné
Přeznačte soubory Nastavit na Hodnotu Za, s vybraným zaškrtávacím políčkem Vynutit výchozí popisek

Určení všech vlastních podmínek a známých typů citlivých informací

Tato konfigurace umožňuje najít citlivé informace, které si možná neuvědomujete, na úkor rychlosti skenování skeneru.

Nastavte typy informací, které chcete zjistit, naVše.

K identifikaci podmínek a typů informací pro označování skener používá všechny zadané vlastní typy citlivých informací a seznam předdefinovaných citlivých typů informací, které je možné vybrat podle definice v Centru správy štítků.

Optimalizace výkonu skeneru

Poznámka:

Pokud chcete zlepšit odezvu počítače skeneru místo výkonu skeneru, použijte rozšířené nastavení klienta k omezení počtu vláken používaných skenerem.

K optimalizaci výkonu skeneru použijte následující možnosti a pokyny:

Možnost Popis
Vysokorychlostní a spolehlivé síťové připojení mezi počítačem skeneru a naskenovanou úložištěm dat Například umístěte počítač skeneru do stejné sítě LAN nebo nejlépe do stejného síťového segmentu jako naskenované úložiště dat.

Kvalita síťového připojení má vliv na výkon skeneru, protože skener při kontrole souborů přenáší obsah souborů do počítače, na který běží služba skeneru.

Snížení nebo odstranění směrování sítě potřebného pro cestování dat také snižuje zatížení sítě.
Zkontrolujte, jestli má počítač skeneru dostupné prostředky procesoru. Kontrola obsahu souboru a šifrování a dešifrování souborů jsou akce náročné na procesor.

Sledujte obvyklé cykly kontroly pro zadaná úložiště dat a zjistěte, jestli nedostatek prostředků procesoru negativně ovlivňuje výkon skeneru.
Instalace více instancí skeneru Skener Azure Information Protection podporuje více konfiguračních databází ve stejné SQL serveru, když zadáte vlastní název clusteru skeneru.

Tip:Stejný cluster může sdílet i několik skenerů, což vede k rychlejším časům kontroly. Pokud máte v plánu nainstalovat skener na několik počítačů se stejnou instancí databáze a chcete, aby skenery běží souběžně, musíte nainstalovat všechny skenery se stejným názvem clusteru.
Kontrola využití alternativní konfigurace Skener se spustí rychleji, když použijete alternativní konfiguraci k použití výchozího popisku u všech souborů, protože skener neskenuje obsah souboru.

Skener běží pomaleji, když použijete alternativní konfiguraci k identifikaci všech vlastních podmínek a známých typů citlivých informací.

Další faktory ovlivňující výkon

Mezi další faktory, které ovlivňují výkon skeneru, patří:

Faktor Popis
Doba načítání a odezvy Výkon skeneru bude mít vliv také na aktuální dobu načítání a doby odezvy úložišť dat, která obsahují soubory, které chcete zkontrolovat.
Režim skeneru (zjišťování / vynucení) Režim zjišťování má obvykle vyšší rychlost skenování než režim vynucení.

Zjišťování vyžaduje jednu akci čtení souboru, zatímco režim vynucení vyžaduje akce čtení a zápisu.
Změny zásad Výkon skeneru může být ovlivněný, pokud jste provedli změny automatického označování v zásadách štítků.

První cyklus kontroly, kdy skener musí zkontrolovat každý soubor, bude trvat déle než následující cykly kontroly, které ve výchozím nastavení kontrolujou jenom nové a změněné soubory.

Pokud změníte podmínky nebo nastavení automatického popisku, všechny soubory se znovu naskenují. Další informace najdete v tématu Rescanning files (Přeskenování souborů).
Regex constructions Výkon skeneru ovlivňuje způsob vytvoření regexových výrazů pro vlastní podmínky.

Abyste předešli velkému využití paměti a riziku časových limitů (15 minut na soubor), zkontrolujte výrazy regexu, abyste našli efektivní porovnávání vzorců.

Příklad:
- Vyhněte se nenasytných kvantifikátorům.
- Používejte nezachytávající skupiny, (?:expression) například místo (expression)
Úroveň protokolu Mezi možnosti úrovně protokolů patří Ladění, Informace, Chyba a Vypnuto pro sestavy skeneru.

- - je nejlepší výkon.
- - značně zpomaluje skener a mělo by se používat jenom k řešení potíží.

Další informace najdete v tématu Parametr ReportLevel rutiny Set-AIPScannerConfiguration.
Naskenované soubory - S výjimkou souborů Excel jsou soubory Office rychleji naskenované než soubory PDF.

- Nechráněné soubory jsou rychlejší než chráněné soubory.

- Skenování velkých souborů samozřejmě trvá déle než malé soubory.

Konfigurace skeneru pomocí PowerShellu

Tato část popisuje kroky potřebné ke konfiguraci a instalaci místního skeneru AIP, pokud nemáte přístup k stránkám skeneru na portálu Azure Portal a musíte používat jenom PowerShell.

Důležité:

  • Některé kroky vyžadují PowerShell bez ohledu na to, jestli máte přístup ke stránkám skeneru na portálu Azure Portal nebo ne, a jsou identické. Tyto kroky najdete v předchozích pokynech v tomto článku, jak je uvedeno.

  • Pokud pracujete se skenerem pro Azure China 21Vianet, jsou kromě pokynů popsaných tady potřeba další kroky. Další informace najdete v tématu Podpora Azure Information Protection pro Office 365 provozované společností 21Vianet.

Další informace najdete v tématu Podporované rutiny PowerShellu.

Konfigurace a instalace skeneru:

  1. Začněte se zavřeným PowerShellem. Pokud jste dříve nainstalovali klienta a skener AIP, ujistěte se, že je služba AIPScanner zastavená.

  2. Otevřete relaci Windows PowerShell s možností Spustit jako správce.

  3. Spusťte příkaz Install-AIPScanner a nainstalujte skener na instanci SQL serveru, pomocí parametru Cluster definujte název vašeho clusteru.

    Tento krok je identický bez ohledu na to, jestli máte přístup ke stránkám skeneru na portálu Azure Portal. Další informace najdete v předchozích pokynech v tomto článku: Instalace skeneru

  4. Získejte token Azure, který budete používat se skenerem, a pak ho znovu ověřte.

    Tento krok je identický bez ohledu na to, jestli máte přístup ke stránkám skeneru na portálu Azure Portal. Další informace najdete v předchozích pokynech v tomto článku: Získání tokenu Azure AD pro skener.

  5. Spuštěním rutiny nastavte skener tak, aby fungoval v offline režimu. Spustit:

    Set-AIPScannerConfiguration -OnlineConfiguration Off

  6. Spuštěním rutiny Set-AIPScannerContentScanJob vytvořte výchozí úlohu kontroly obsahu.

    Jediný povinný parametr v rutině Set-AIPScannerContentScanJob je Vynucení. V tuto chvíli ale můžete chtít definovat další nastavení pro úlohu kontroly obsahu. Příklad:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>

    Výše uvedená syntaxe konfiguruje následující nastavení při pokračování v konfiguraci:

    • Udržuje plánování skeneru v ručním režimu.
    • Nastaví typy informací, které se budou zjistit na základě zásad označování citlivosti.
    • Nevynucuje zásadu označování citlivosti.
    • Automatické popisky souborů na základě obsahu pomocí výchozího popisku definovaného pro zásadu označování citlivosti
    • Nepovoluje opětovné označení souborů.
    • Zachovává podrobnosti o souboru při kontrole a automatickém označování, včetně změny data ,poslední změny a změny hodnotami.
    • Nastaví skener tak, aby při spuštění vyloučil soubory .msg a .tmp.
    • Nastaví výchozího vlastníka na účet, který chcete použít při spuštění skeneru.

  7. Pomocí rutiny Add-AIPScannerRepository definujte úložiště, která chcete prohledat v úlohu kontroly obsahu. Spusťte třeba:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'

    V závislosti na typu úložiště, které přidáváte, použijte jednu z následujících syntaxí:

    • Pro sdílení v síti použijte \\Server\Folder .
    • U SharePoint knihovny použijte http://sharepoint.contoso.com/Shared%20Documents/Folder .
    • Místní cesta: C:\Folder
    • Cesta UNC: \\Server\Folder

    Poznámka:

    Zástupné znaky nejsou podporované a umístění WebDav nejsou podporovaná.

    Pokud chcete později úložiště upravit, použijte místo toho rutinu Set-AIPScannerRepository.

    Pokud přidáte cestu SharePoint sdílené dokumenty:

    • Pokud chcete naskenovat všechny dokumenty a všechny složky ze sdílených dokumentů, zadejte do cesty sdílené dokumenty. Příklad: http://sp2013/SharedDocuments
    • Zadejte dokumenty v cestě, pokud chcete prohledat všechny dokumenty a všechny složky z podsložky v části Sdílené dokumenty. Příklad: http://sp2013/Documents/SalesReports
    • Můžete také zadat jenom plně kvalifikovaný název domény sharepointu, například zjistit a zkontrolovat všechny weby SharePoint a podřízené weby pod konkrétní adresou URL a titulky pod touto adresou URL. Udělte skeneru oprávnění auditora kolekcí webů, aby to bylo možné povolit.

    Při přidávání cest k SharePoint použijte následující syntaxi:

    Cesta Syntaxe
    Kořenová cesta http://<SharePoint server name>

    Prohledá všechny weby, včetně všech kolekcí webů povolených pro uživatele skeneru.
    Vyžaduje další oprávnění k automatickému zjišťování kořenového obsahu.
    Konkrétní SharePoint podřízeného webu nebo kolekce Jedna z těchto možností:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Vyžaduje další oprávnění k automatickému zjišťování obsahu kolekce webů.
    Specifická SharePoint knihovny Jedna z těchto možností:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Specifická SharePoint složky http://<SharePoint server name>/.../<folder name>

Podle potřeby pokračujte následujícími kroky:

Konfigurace skeneru pro použití klasifikace a ochrany pomocí PowerShellu

  1. Spuštěním rutiny Set-AIPScannerContentScanJob aktualizujte úlohu kontroly obsahu tak, aby plánování bylo vždy nastavené a vynucovat zásady citlivosti.

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On

    Tip

    V tomto podokně můžete chtít změnit další nastavení, třeba jestli se změní atributy souborů a jestli skener může soubory znovu označovat. Další informace o dostupných nastaveních najdete v úplné dokumentaci k PowerShellu.

  2. Spuštěním rutiny Start-AIPScan spusťte úlohu kontroly obsahu:

    Start-AIPScan

Skener je teď naplánovaný tak, aby se spouštěl nepřetržitě. Když skener funguje ve všech nakonfigurovaných souborech, automaticky spustí nový cyklus, aby se objevily všechny nové a změněné soubory.

Použití PowerShellu ke konfiguraci zásad ochrany před únikem informací pomocí skeneru

  1. Spusťte rutinu Set-AIPScannerContentScanJob znovu s parametrem -EnableDLP nastaveným na Hodnotu Zapnouta s definovaným konkrétním vlastníkem úložiště.

    Příklad:

    Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'

Podporované rutiny PowerShellu

V této části jsou uvedené rutiny PowerShellu podporované pro skener Azure Information Protection a pokyny pro konfiguraci a instalaci skeneru jenom s PowerShellem.

Mezi podporované rutiny skeneru patří:

Další kroky

Po instalaci a konfiguraci skeneru začněte skenovat soubory.

Viz také: Nasazení skeneru Azure Information Protection, který automaticky klasifikujea chrání soubory .

Další informace:

  • Zajímá vás, jak tým Core Services Engineering and Operations v Microsoftu tento skener implementoval? Přečtěte si technickou případovou studii: Automatizace ochrany dat pomocí skeneru Azure Information Protection.

  • Pomocí PowerShellu můžete interaktivně klasifikovat a chránit soubory z počítače. Další informace o tomto a dalších scénářích, které používají PowerShell, najdete v tématu Použití PowerShellu sjednotným klientem označování Azure Information Protection .