Kurz: instalace nástroje pro sjednocení štítků pro Azure Information Protection (AIP)Tutorial: Installing the Azure Information Protection (AIP) unified labeling scanner

*Platí pro: Azure Information Protection**Applies to: Azure Information Protection*

*Důležité pro: Azure Information Protection klienta Unified labeling pro Windows**Relevant for: Azure Information Protection unified labeling client for Windows*

V tomto kurzu se dozvíte, jak nainstalovat místní skener Azure Information Protection (AIP).This tutorial describes how to install the Azure Information Protection (AIP) on-premises scanner. Tento skener umožňuje správcům AIP kontrolovat jejich sítě a sdílení obsahu pro citlivá data a používat klasifikace klasifikace a ochrany, jak jsou nakonfigurované v zásadách jejich organizace.The scanner enables AIP administrators to scan their networks and content shares for sensitive data, and apply classification and protection labels as configured in their organization's policy.

Potřebný čas: Tento kurz můžete dokončit za 30 minut.Time required: You can complete this tutorial in 30 minutes..

Požadavky kurzuTutorial prerequisites

K instalaci jednotného označování skeneru a dokončení tohoto kurzu budete potřebovat:To install the unified labeling scanner and complete this tutorial, you'll need:

PožadavekRequirement PopisDescription
Podpůrné předplatnéA supporting subscription Budete potřebovat předplatné Azure, které zahrnuje Azure Information Protection.You'll need an Azure subscription that includes Azure Information Protection.

Pokud nemáte jedno z těchto předplatných, vytvořte si bezplatný účet pro vaši organizaci.If you don't have one of these subscriptions, create a free account for your organization.
Přístup správce k Azure PortalAdmin access to the Azure portal Ujistěte se, že se můžete přihlásit k Azure Portal pomocí jednoho z následujících účtů správce:Make sure that you can sign in to the Azure portal with one of the following administrator accounts:

- Správce dodržování předpisů- Compliance administrator
- Správce dat dodržování předpisů- Compliance data administrator
- Správce zabezpečení- Security administrator
- Globální správce- Global administrator
Klient nainstalovánClient installed Nainstalujte do počítače klienta Unified labeling AIP, abyste měli přístup k instalaci skeneru.Install the AIP unified labeling client on your computer to access the scanner installation.

Stáhněte a spusťte AzInfoProtection_UL.exe z webu Microsoft Download Center.Download and run the AzInfoProtection_UL.exe from the Microsoft Download Center.

Po dokončení instalace se může zobrazit výzva k restartování počítače nebo softwaru Office.When the installation is complete, you may be prompted to restart your computer or Office software. Aby bylo možné pokračovat, restartujte podle potřeby.Restart as needed to continue.

Další informace najdete v tématu rychlý Start: nasazení sjednoceného klienta pro označování Azure Information Protection (AIP).For more information, see Quickstart: Deploying the Azure Information Protection (AIP) unified labeling client.
SQL ServerSQL Server Pokud chcete spustit skener, budete potřebovat SQL Server nainstalovanou na počítači skeneru.To run the scanner, you'll need SQL Server installed on the scanner machine.

Pokud ho chcete nainstalovat, na stránce pro stažení SQL Server vyberte Stáhnout a v možnosti instalace, kterou chcete nainstalovat, vyberte Stáhnout.To install, go to the SQL Server download page and select Download now under the installation option you want to install. V instalačním programu vyberte typ základní instalace.In the installer, select the Basic installation type.

Poznámka: doporučujeme nainstalovat SQL Server Enterprise pro produkční prostředí a vyjádřit se jenom pro testovací prostředí.Note: We recommend installing SQL Server Enterprise for production environments, and Express only for testing environments.
Účet Azure Active DirectoryAzure Active Directory account Při práci se standardním prostředím připojeným ke cloudu musí být účet doménové služby, který chcete použít pro skener, synchronizovaný Azure Active Directory.When working with a standard, cloud-connected environment, the domain service account you want to use for the scanner must be synchronized to Azure Active Directory. To není nutné, pokud pracujete offline.This isn't necessary if you're working offline.

Pokud si nejste jisti vaším účtem, obraťte se na jednoho ze správců systému, aby ověřil stav synchronizace.If you're not sure about your account, contact one of your system administrators to verify the synch status.
Popisky citlivostí a publikovaná zásadaSensitivity labels and a published policy Je nutné, abyste vytvořili popisky citlivosti a publikovali zásadu s alespoň jedním popiskem do centra pro správu popisků pro účet služby skeneru.You must have created sensitivity labels, and published a policy with at least one label to your labeling admin center, for the scanner service account.

Nakonfigurujte popisky citlivosti v centru pro správu popisků, včetně centra dodržování předpisů Microsoft 365, Microsoft 365 Security Center nebo Microsoft 365 Security & Security Center.Configure sensitivity labels in your labeling admin center, including the Microsoft 365 compliance center, the Microsoft 365 security center, or the Microsoft 365 Security & Compliance Center. Další informace najdete v dokumentaci k Microsoft 365.For more information, see the Microsoft 365 documentation.

Po potvrzení požadovaných součástí nakonfigurujte Azure Information Protection v Azure Portal.Once you've confirmed your prerequisites, Configure Azure Information Protection in the Azure portal.

Konfigurace Azure Information Protection v Azure PortalConfigure Azure Information Protection in the Azure portal

Azure Information Protection nemusí být pro vás v Azure Portal k dispozici, nebo není možné aktuálně aktivovat ochranu.Azure Information Protection may not be available for you in the Azure portal, or protection may not be currently activated.

V případě potřeby proveďte jeden nebo oba následující kroky:Perform one or both of the following steps, as needed:

Pak pokračujte v konfiguraci počátečního nastavení skeneru v Azure Portal.Then, continue with Configure initial scanner settings in the Azure portal.

Přidat Azure Information Protection do Azure PortalAdd Azure Information Protection to the Azure portal

  1. Přihlaste se k Azure Portal pomocí podpůrného účtu správce.Sign in to the Azure portal using a supporting admin account.

  2. Vyberte + Vytvořit prostředek.Select + Create a resource. Do vyhledávacího pole vyhledejte a pak vyberte Azure Information Protection.In the search box, search for and then select Azure Information Protection. Na stránce Azure Information Protection vyberte vytvořit a pak znovu vytvořte .On the Azure Information Protection page, select Create, and then Create again.

    Přidání Azure Information Protection do Azure Portal

    Tip

    Pokud tento krok provedete poprvé, zobrazí se vedle názvu podokna ikona Připnout na řídicí panel připnout na řídicí panel.If this is the first time you're performing this step, you'll see a Pin to dashboard Pin to dashboard icon icon next to the pane name. Vyberte ikonu připnutí a vytvořte na řídicím panelu dlaždici, abyste mohli přejít přímo na další místo.Select the pin icon to create a tile on your dashboard so that you can navigate directly here next time.

Pokračujte s potvrzením, že je ochrana aktivovaná.Continue with Confirm that protection is activated.

Potvrďte, že je ochrana aktivovaná.Confirm that protection is activated

Pokud už máte Azure Information Protection k dispozici, ujistěte se, že je zapnutá ochrana:If you already have Azure Information Protection available for you, make sure that protection is activated:

  1. V oblasti Azure Information Protection v části Spravovat na levé straně vyberte Aktivace ochrany.In the Azure Information Protection area, under Manage on the left, select Protection Activation.

  2. Ověřte, jestli je pro vašeho tenanta aktivovaná ochrana.Confirm whether protection is activated for your tenant. Příklad:For example:

    Potvrdit aktivaci AIP

Pokud není ochrana aktivovaná, vyberte aktivovat AIP aktivovat.If protection isn't activated, select Activate AIP Activate. Po dokončení aktivace se na informačním panelu zobrazí zpráva Aktivace se úspěšně dokončila.When activation is complete, the information bar displays Activation finished successfully.

Pokračujte s konfigurací počátečního nastavení skeneru v Azure Portal.Continue with Configure initial scanner settings in the Azure portal.

Konfigurace počátečního nastavení skeneru v Azure PortalConfigure initial scanner settings in the Azure portal

Než na svém počítači nainstalujete skener, připravte si počáteční nastavení skeneru v Azure Portal.Prepare your initial scanner settings in the Azure portal before you install the scanner on your machine.

  1. V oblasti Azure Information Protection v části skener vlevo vyberte clustery.

  2. Na stránce clustery vyberte Přidat a vytvořte nový cluster pro správu skeneru.

  3. V podokně Přidat nové clustery , které se otevře napravo, zadejte smysluplný název clusteru a volitelný popis.In the Add a new cluster pane that opens on the right, enter a meaningful cluster name and an optional description.

    Důležité

    Při instalaci skeneru budete potřebovat název tohoto clusteru.You'll need the name of this cluster when installing your scanner.

    Příklad:For example:

    Přidání nového clusteru pro kurz

  4. Vytvořte prvotní úlohu kontroly obsahu.Create an initial content scan job. V nabídce skener na levé straně vyberte úlohy prověřování obsahu a pak vyberte Přidat.

  5. V podokně Přidat novou úlohu prohledání obsahu zadejte smysluplný název úlohy kontroly obsahu a případně i její popis.In the Add a new content scan job pane, enter a meaningful name for your content scan job, and an optional description.

    Pak přejděte dolů na stránku vynucení zásad a vyberte vypnuto.Then, scroll down the page to Policy enforcement, and select Off.

    Až budete hotovi, uložte změny.Save your changes when you're done.

    Tato výchozí úloha vyhledávání vyhledá všechny známé typy citlivých informací.This default scan job will scan for all known sensitive information types.

  6. Zavřete podokno podrobností pro úlohu kontroly obsahu a vraťte se do mřížky úlohy prověřování obsahu .

    Na novém řádku, který se zobrazí pro úlohu kontroly obsahu, vyberte ve sloupci název clusteru možnost + přiřadit ke clusteru.In the new row that appears for your content scan job, in the Cluster Name column, select +Assign to cluster. Pak v podokně přiřadit ke clusteru , které se zobrazí na pravé straně, vyberte svůj cluster.Then, in the Assign to cluster pane that appears on the right, select your cluster.

    Přiřadit ke clusteru

Teď jste připraveni nainstalovat AIP s jednotným popiskem pro skener.Now you're ready to Install the AIP unified labeling scanner.

Instalace nástroje AIP Unified labeling ScannerInstall the AIP unified labeling scanner

Jakmile nakonfigurujete základní nastavení skeneru v Azure Portal, nainstalujte na klientském počítači s AIPm jednotný popis skeneru.Once you've configured basic scanner settings in the Azure portal, install the unified labeling scanner on your AIP client machine.

  1. Na klientském počítači otevřete relaci PowerShellu s možností Spustit jako správce .On your client machine, open a PowerShell session with the Run as an administrator option.

  2. K instalaci skeneru použijte následující příkaz.Use the following command to install the scanner. Ve svém příkazu určete, kam chcete skener nainstalovat, a název clusteru, který jste vytvořili v Azure Portal.In your command, specify where you want to install the scanner, as well as the name of the cluster you created in the Azure portal.

    Install-AIPScanner -SqlServerInstance <your SQL installation location>\SQLEXPRESS -Cluster <cluster name>
    

    Příklad:For example:

    Install-AIPScanner -SqlServerInstance localhost\SQLEXPRESS -Cluster Quickstart
    

    Když vás PowerShell vyzve k zadání přihlašovacích údajů, zadejte uživatelské jméno a heslo.When PowerShell prompts you for credentials, enter the username and password.

    V poli uživatelské jméno použijte následující syntaxi: <domain\user name> .For the User name field, use the following syntax: <domain\user name>. Příklad: emea\contososcanner.For example: emea\contososcanner.

  3. Vraťte se na Azure Portal.Go back to the Azure portal. V nabídce skener na levé straně vyberte uzly.

    Nyní byste měli vidět váš skener přidaný do mřížky.You should now see your scanner added to the grid. Příklad:For example:

    Nově nainstalovaný skener zobrazený v mřížce uzly

Pokračujte tím, že získáte token služby Azure Active Directory pro daný skener , aby váš účet služby skeneru mohl běžet bez interaktivně.Continue with Get an Azure Active directory token for the scanner to enable your scanner service account to run non-interactively.

Získání tokenu Azure Active Directory pro skenerGet an Azure Active directory token for the scanner

Tento postup proveďte, když pracujete se standardním cloudovým prostředím, které umožňuje, aby se ověřilo, že se služba AIP, a umožňuje tak neinteraktivně běžet.Perform this procedure when you're working with a standard, cloud-connected environment, to allow the scanner to authenticate to the AIP service, enabling the service to run non-interactively.

Tento postup není nutný, pokud pracujete pouze offline.This procedure is not required if you're working offline only.

Další informace najdete v tématu postup neinteraktivního označování souborů pro Azure Information Protection.For more information, see How to label files non-interactively for Azure Information Protection.

Získání tokenu Azure AD pro skener:To get an Azure AD token for the scanner:

  1. V Azure Portal vytvořte aplikaci Azure AD a určete přístupový token pro ověřování.In the Azure portal, create an Azure AD application to specify an access token for authentication.

  2. Na svém počítači skeneru se přihlaste pomocí účtu služby skeneru, kterému se přihlásilo místně , a spusťte relaci PowerShellu.On your scanner machine, sign in with a scanner service account that's been granted the Log on locally right, and start a PowerShell session.

  3. Spusťte relaci PowerShellu a spusťte následující příkaz s použitím hodnot zkopírovaných z vaší aplikace Azure AD.Start a PowerShell session, and run the following command, using the values copied from your Azure AD application.

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Příklad:For example:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Tip

    Pokud vašemu účtu služby skeneru nelze udělit oprávnění k místnímu přihlášení pro instalaci, místo parametru DelegatedUser použijte parametr OnBehalfOf s parametrem set-AIPAuthentication.If your scanner service account cannot be granted the Log on locally right for the installation, use the OnBehalfOf parameter with Set-AIPAuthentication, instead of the DelegatedUser parameter.

Skener teď má token pro ověření ve službě Azure AD.The scanner now has a token to authenticate to Azure AD. Tento token je platný, pokud jste nakonfigurovali v Azure Active Directory.This token is valid for as long as you've configured in Azure Active Directory. Tento postup je třeba opakovat, až vyprší platnost tokenu.You must repeat this procedure when the token expires.

Pokračujte v instalaci volitelné služby zjišťování sítě, která vám umožní vyhledat obsah, který může být ohrožen, a pak tato úložiště přidejte do úlohy kontroly obsahu.Continue with installing the optional Network Discovery service, which enables you to scan your network repositories for content that may be at risk, and then add those repositories to a content scan job.

Instalace služby zjišťování sítě (Public Preview)Install the Network Discovery service (public preview)

Od verze 2.8.85.0 klienta s jednotným označováním AIP můžou správci pomocí skeneru AIP kontrolovat úložiště v síti a pak přidat všechna úložiště, která se jeví jako riskantní pro úlohu kontroly obsahu.Starting in version 2.8.85.0 of the AIP unified labeling client, administrators can use the AIP scanner to scan network repositories, and then add any repositories that seem risky to a content scan job.

Úlohy kontroly sítě vám pomůžou pochopit, kde může být váš obsah v ohrožení, tím, že se pokusí získat přístup k nakonfigurovaným úložištím jako správce i jako veřejný uživatel.Network scan jobs help you understand where your content may be at risk, by attempting to access configured repositories as both an administrator and a public user.

Pokud se například najde úložiště, které bude mít veřejný přístup pro čtení i zápis, možná budete chtít zkontrolovat další a potvrdit, že tam nejsou uložená žádná citlivá data.For example, if a repository is found to have both read and write public access, you may want to scan further and confirm that no sensitive data is stored there.

Poznámka

Tato funkce je aktuálně ve verzi PREVIEW.This feature is currently in PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo jinak ještě nedostupné ve všeobecné dostupnosti.The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

Instalace služby zjišťování sítě:To install the Network Discovery service:

  1. Na počítači skeneru otevřete relaci PowerShellu jako správce.On the scanner machine, open a PowerShell session as an administrator.

  2. Zadejte pověření, které má AIP použít při spuštění služby zjišťování sítě, a také při simulaci přístupu správce a veřejného uživatele.Define the credentials you want AIP to use when running the Network Discovery service, as well as when simulating admin and public user access.

    Zadejte přihlašovací údaje pro každý příkaz po zobrazení výzvy pomocí následující syntaxe: domain\user .Enter the credentials for each command when prompted using the following syntax: domain\user. Příklad: emea\msanchezFor example: emea\msanchez

    Spusťte tento příkaz:Run:

    Pověření ke spuštění služby zjišťování sítě:Credentials to run the Network Discovery service:

    $serviceacct= Get-Credential 
    

    Přihlašovací údaje pro simulaci přístupu správce:Credentials to simulate admin access:

    $shareadminacct= Get-Credential 
    

    Přihlašovací údaje pro simulaci přístupu veřejného uživatele:Credentials to simulate public user access:

    $publicaccount= Get-Credential 
    
  3. Chcete-li nainstalovat službu zjišťování sítě, spusťte příkaz:To install the Network Discovery service, run:

    Install-MIPNetworkDiscovery [-ServiceUserCredentials] <PSCredential> [[-StandardDomainsUserAccount] <PSCredential>] [[-ShareAdminUserAccount] <PSCredential>] [-SqlServerInstance] <String> -Cluster <String> [-WhatIf] [-Confirm] [<CommonParameters>]
    
    For example:
    
    ```PowerShell
    Install-MIPNetworkDiscovery -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Quickstart -ServiceUserCredentials $serviceacct  -ShareAdminUserAccount $shareadminacct -StandardDomainsUserAccount $publicaccount
    
    

Po dokončení instalace se v systému zobrazí potvrzovací zpráva.The system shows a confirmation message when the installation is complete.

Další krokyNext steps

Jakmile budete mít skener a službu zjišťování sítě nainstalovanou, budete připraveni zahájit kontrolu.Once you have the scanner and the Network Discovery service installed, you're ready to start scanning.

Další informace najdete v tématu kurz: zjištění citlivého obsahu pomocí skeneru Azure Information Protection (AIP).For more information, see Tutorial: Discovering your sensitive content with the Azure Information Protection (AIP) scanner.

Tip

Pokud jste nainstalovali verzi 2.8.85.0, doporučujeme, abyste prohledali síť, abyste zjistili úložiště, která by mohla mít ohrožení obsahu.If you've installed version 2.8.85.0, we recommend that you scan your network to discover repositories that may have content at risk.

Pokud chcete zkontrolovat citlivá data v rizikových úložištích a pak tato data klasifikovat a chránit před externími uživateli, aktualizujte svou úlohu kontroly obsahu o podrobnosti úložišť, která jste našli.To scan your risky repositories for sensitive data, and then classify and protect that data from outside users, update your content scan job with the details of the repositories you've found.

Viz také:See also: