Kurz: Instalace jednotného skeneru štítků Azure Information Protection (AIP)

  • Článek
  • 7 min ke čtení

Platí pro:Azure Information Protection

Relevantní pro:Azure Information Protection unified labeling client for Windows

Tento kurz popisuje, jak nainstalovat místní skener Azure Information Protection (AIP). Skener umožňuje správcům programu AIP kontrolovat jejich sítě a sdílené složky obsahu pro citlivá data a používat popisky klasifikace a ochrany nakonfigurované v zásadách jejich organizace.

Čas potřebný:Tento kurz můžete dokončit za 30 minut.

Předpoklady kurzu

Pokud chcete nainstalovat jednotný skener štítků a dokončit tento kurz, budete potřebovat:

Požadavek Popis
Podpůrné předplatné Budete potřebovat předplatné Azure, které zahrnuje Azure Information Protection.

Pokud žádné z těchto předplatných nemáte, vytvořte si pro svou organizaci bezplatný účet.
Přístup správce k portálu Azure Portal Ujistěte se, že se k portálu Azure Portal můžete přihlásit pomocí jednoho z následujících účtů správce:

- -
- -
- -
- -
Klient je nainstalovaný Pokud chcete získat přístup k instalaci skeneru, nainstalujte na počítač, který budete používat ke spuštění kontrol, klienta jednotného označování AIP.

Stáhněte a spusťte AzInfoProtection_UL.exe z webu Stažení softwaru společnosti Microsoft.

Po dokončení instalace se může zobrazit výzva k restartování počítače nebo Office softwaru. Pokud chcete pokračovat, restartujte ho podle potřeby.

Další informace najdete v tématu Rychlý start: Nasazení jednotného klienta pro označování štítků Azure Information Protection (AIP).
SQL Server Pokud chcete skener spustit, budete muset SQL Server na počítači skeneru nainstalovat.

Pokud chcete nainstalovat, přejděte na stránku SQL Server stažení a vyberte Stáhnout hned pod možností instalace, kterou chcete nainstalovat. V instalačním programu vyberte typ základní instalace.

Poznámka:Doporučujeme nainstalovat SQL Server Enterprise pro produkční prostředí a Express jenom pro testovací prostředí.
Azure Active Directory účet Při práci se standardním cloudovým prostředím musí být účet doménové služby, který chcete použít pro skener, synchronizovaný s Azure Active Directory. To není nutné, pokud pracujete offline.

Pokud si nejste jistí svým účtem, požádejte o ověření stavu synchronizace jednoho ze správců systému.
Popisky citlivosti a publikované zásady Pro účet služby skeneru musíte vytvořit popisky citlivosti a publikovat zásadu s Centrum dodržování předpisů Microsoftu 365 popiskem.

Nakonfigurujte popisky citlivosti v Centrum dodržování předpisů Microsoftu 365. Další informace najdete v Microsoft 365 dokumentaci.

Další informace najdete v článku Požadavky na instalaci a nasazení jednotného skeneru štítků Azure Information Protection. Po potvrzení předpokladů nakonfigurujte Azure Information Protection na portálu Azure Portal.

Konfigurace Azure Information Protection na portálu Azure Portal

Azure Information Protection pro vás nemusí být na portálu Azure portal dostupná nebo se ochrana momentálně neaktivuje.

Podle potřeby proveďte jeden nebo oba následující kroky:

Potom pokračujte konfigurací počátečního nastavení skeneru na portálu Azure Portal.

Přidání Azure Information Protection na portál Azure Portal

  1. Přihlaste se k webu Azure Portal pomocí účtu podpůrného správce.

  2. Vyberte + Vytvořit zdroj. Do vyhledávacího pole vyhledejte a vyberte Azure Information Protection. Na stránce Azure Information Protection vyberte Vytvořit apak znovu Vytvořit.

    Přidání Azure Information Protection na portál Azure Portal

    Tip

    Pokud tento krok provádíte poprvé, zobrazí se vedle názvu podokna ikona Připnout na řídicí panel Připnout na řídicí panel. Vyberte ikonu připnutí a vytvořte dlaždici na řídicím panelu, abyste příště mohli přejít přímo sem.

Pokračujte potvrďte, že je ochrana aktivovaná.

Potvrďte, že je ochrana aktivovaná.

Pokud už máte Azure Information Protection k dispozici, ujistěte se, že je ochrana aktivovaná:

  1. V oblasti Azure Information Protection v části Spravovat vlevo vyberte Aktivace ochrany.

  2. Zkontrolujte, jestli je pro vašeho tenanta aktivovaná ochrana. Příklad:

    Potvrzení aktivace AIP

Pokud ochrana není aktivovaná, vyberte Aktivovat aktivaci AIP. Po dokončení aktivace se na informačním panelu zobrazí úspěšně dokončená aktivace.

Pokračujte konfigurací počátečního nastavení skeneru na portálu Azure Portal.

Konfigurace počátečního nastavení skeneru na portálu Azure Portal

Před instalací skeneru do počítače si připravte počáteční nastavení skeneru na portálu Azure Portal.

  1. V oblasti Azure Information Protection v části Skener na levé straně vyberte Clustery.

  2. Na stránce Clustery vyberte Přidat a vytvořte nový cluster pro správu skeneru.

  3. V podokně Přidat nový cluster, které se otevře vpravo, zadejte smysluplný název clusteru a volitelný popis.

    Důležité:

    Při instalaci skeneru budete potřebovat název tohoto clusteru.

    Příklad:

    Přidání nového clusteru pro kurz

  4. Vytvořte počáteční úlohu kontroly obsahu. V nabídce Skener vlevo vyberte Úlohy kontroly obsahu a pak vyberte Přidat.

  5. V podokně Přidat novou úlohu kontroly obsahu zadejte smysluplný název úlohy kontroly obsahu a volitelný popis.

    Potom přejděte na stránku dolů na Vynucení zásada vyberte Vypnuto.

    Až budete hotovi, uložte změny.

    Tato výchozí úloha kontroly bude hledat všechny známé typy citlivých informací.

  6. Zavřete podokno podrobností pro úlohu kontroly obsahu a vraťte se do mřížky Úlohy kontroly obsahu.

    V novém řádku, který se zobrazí pro úlohu kontroly obsahu, vyberte ve sloupci Název clusteru +Přiřadit ke clusteru. Potom v podokně Přiřadit ke clusteru, které se zobrazí vpravo, vyberte cluster.

    Přiřazení ke clusteru

Teď můžete nainstalovat jednotný skener štítků AIP.

Instalace jednotného skeneru štítků AIP

nakonfigurujete základní nastavení skeneru na portálu Azure Portal,nainstalujte si na server skeneru jednotný skener štítků.

  1. Na serveru skeneru otevřete relaci PowerShellu s možností Spustit jako správce.

  2. K instalaci skeneru použijte následující příkaz. V příkazu zadejte, kam chcete skener nainstalovat, a také název clusteru, který jste vytvořili na portálu Azure Portal.

    Install-AIPScanner -SqlServerInstance <your SQL installation location>\SQLEXPRESS -Cluster <cluster name>

    Příklad:

    Install-AIPScanner -SqlServerInstance localhost\SQLEXPRESS -Cluster Quickstart

    Když vás PowerShell vyzve k zadání přihlašovacích údajů, zadejte uživatelské jméno a heslo.

    Pro pole Uživatelské jméno použijte následující syntaxi: . Příklad: emea\contososcanner .

  3. Vraťte se na portál Azure Portal. V nabídce Skener vlevo vyberte Uzly.

    Teď byste měli vidět skener přidaný do mřížky. Příklad:

    Nově nainstalovaný skener zobrazený v mřížce Uzly

Pokračujte v získání tokenu adresáře Azure Active pro skener a povolte tak, aby váš účet služby skeneru neinteraktivně spouštěl.

Získání tokenu adresáře Azure Active pro skener

Tento postup proveďte, pokud pracujete se standardním cloudovým prostředím, které umožňuje skeneru ověřit službu AIP a umožnit tak, aby služba mohla běžet neinteraktivně.

Tento postup není nutný, pokud pracujete jenom offline.

Další informace najdete v tématu Jak označit soubory neinteraktivně pro Azure Information Protection.

Získání tokenu Azure AD pro skener:

  1. Na portálu Azure Portal vytvořte aplikaci Azure AD, která určí přístupový token pro ověřování.

  2. Na počítači se skenerem se přihlaste pomocí účtu služby skeneru, který má oprávnění Přihlásit se místně vpravo, a spusťte relaci PowerShellu.

  3. Spusťte relaci PowerShellu a spusťte následující příkaz pomocí hodnot zkopírovaných z aplikace Azure AD.

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    Příklad:

    $pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds

Acquired application access token on behalf of CONTOSO\scanner.

    Tip

    Pokud vašemu účtu služby skeneru nelze udělit oprávnění Přihlásit se místně přímo k instalaci, použijte parametr OnBehalfOf s parametrem Set-AIPAuthenticationmísto parametru DelegatedUser.

Skener teď má token k ověření ve službě Azure AD. Tento token platí tak dlouho, jak jste nakonfigurovali v Azure Active Directory. Tento postup musíte opakovat, když token vyprší.

Pokračujte instalací nepovinnéslužby zjišťování sítě , která umožňuje prohledání síťových úložišť s obsahem, který může být ohrožený, a pak tyto úložiště přidat do úlohy kontroly obsahu.

Instalace služby Zjišťování sítě (public preview)

Od verze 2.8.85.0 klienta jednotného označování štítků AIP můžou správci pomocí skeneru AIP prohledát síťová úložiště a pak přidat do úlohy kontroly obsahu všechny úložiště, která se zdají být riziková.

Úlohy kontroly sítě vám pomůžou pochopit, kde může být váš obsah ohrožen, a to tak, že se pokusíte získat přístup k nakonfigurované úložišti jako správce i veřejný uživatel.

Pokud je třeba zjištěno, že úložiště má veřejný přístup ke čtení i zápisu, možná budete chtít dál skenovat a potvrdit, že v úložišti nejsou uložená žádná citlivá data.

Poznámka:

Tato funkce je momentálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, ve verzi Preview nebo jinak ještě nejsou vydané do obecné dostupnosti.

Instalace služby Zjišťování sítě:

  1. Na počítači se skenerem otevřete relaci PowerShellu jako správce.

  2. Definujte přihlašovací údaje, které má AIP používat při spuštění služby zjišťování sítě, a také při simulaci přístupu správce a veřejného uživatele.

    Po zobrazení výzvy zadejte přihlašovací údaje pro každý příkaz pomocí následující syntaxe: domain\user . Příklad: emea\msanchez

    Spustit:

    Přihlašovací údaje ke spuštění služby zjišťování sítě:

    $serviceacct= Get-Credential

    Přihlašovací údaje pro simulaci přístupu správce:

    $shareadminacct= Get-Credential

    Přihlašovací údaje pro simulaci přístupu veřejných uživatelů:

    $publicaccount= Get-Credential

  3. Pokud chcete nainstalovat službu zjišťování sítě, spusťte:

    Install-MIPNetworkDiscovery [-ServiceUserCredentials] <PSCredential> [[-StandardDomainsUserAccount] <PSCredential>] [[-ShareAdminUserAccount] <PSCredential>] [-SqlServerInstance] <String> -Cluster <String> [-WhatIf] [-Confirm] [<CommonParameters>]

For example:

```PowerShell
Install-MIPNetworkDiscovery -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Quickstart -ServiceUserCredentials $serviceacct  -ShareAdminUserAccount $shareadminacct -StandardDomainsUserAccount $publicaccount

Po dokončení instalace se v systému zobrazí potvrzovací zpráva.

Další kroky

Jakmile máte skener a nainstalovanou službu Zjišťování sítě, můžete začít skenovat.

Další informace najdete v tématu Kurz: Zjišťování citlivého obsahu pomocí skeneru Azure Information Protection (AIP).

Tip

Pokud jste nainstalovali verzi 2.8.85.0, doporučujeme zkontrolovat síť a zjistit úložiště, která mohou mít ohrožený obsah.

Pokud chcete vyhledat citlivá data ve svých riskantních úložištích a pak je klasifikovat a chránit před externími uživateli, aktualizujte úlohu kontroly obsahu s podrobnostmi o úložištích, která jste našli.

Viz také: