Configurar e instalar el escáner de etiquetado unificado de Azure Information Protection (AIP)

Se aplica a:Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Relevante solopara: cliente de etiquetado unificado AIP.

En este artículo se describe cómo configurar e instalar el escáner local y etiquetado unificado de Azure Information Protection.

Información general

Antes de empezar, compruebe que el sistema cumple los requisitos previos necesarios.

Para usar Azure Portal, siga estos pasos:

1. Configurar la configuración del escáner

2. Instalar el escáner

3. Obtener un Azure AD de datos para el escáner

4. Configurar el escáner para aplicar la clasificación y la protección

Después, realice los siguientes procedimientos de configuración según sea necesario para el sistema:

Si no tiene acceso a las páginas del escáner en Azure Portal, configure cualquier configuración de escáner solo en PowerShell. Para obtener más información, vea Usar PowerShell para configurar el escáner y los cmdlets de PowerShell compatibles.

Configurar la configuración del escáner

Antes de instalar el escáner o actualizarlo desde una versión de disponibilidad general anterior, configure o compruebe la configuración del escáner.

Para configurar el escáner en Azure Portal:

1. Inicie sesión en Azure Portal con uno de los siguientes roles:

   • Administrador de cumplimiento
   • Administrador de datos de cumplimiento
   • Administrador de seguridad
   • Administrador global

   A continuación, vaya al panel de Azure Information Protection.

   Por ejemplo, en el cuadro de búsqueda de recursos, servicios y documentos, empiece a escribir Información y seleccione Azure Information Protection.

2. Crear un clúster de escáneres. Este clúster define el escáner y se usa para identificar la instancia del escáner, como durante la instalación, las actualizaciones y otros procesos.

3. (Opcional) Digitalizar la red en busca de repositorios arriesgado. Cree un trabajo de detección de red para examinar una dirección IP o un rango especificados y proporcione una lista de repositorios arriesgados que pueden contener contenido confidencial que desea proteger.

   Ejecute el trabajo de detección de red y, a continuación, analice los repositorios arriesgado que se encuentran.

4. Cree un trabajo de detección de contenido para definir los repositorios que desea analizar.

Crear un clúster de escáneres

1. En el menú Escáner de la izquierda, seleccione Icono de

2. En el panel Azure Information Protection - Clusters, seleccione Agregaricono .

3. En el panel Agregar un nuevo clúster, escriba un nombre significativo para el escáner y una descripción opcional.

   El nombre del clúster se usa para identificar las configuraciones y repositorios del escáner. Por ejemplo, es posible que escriba Europa para identificar las ubicaciones geográficas de los repositorios de datos que desea analizar.

   Más adelante, usará este nombre para identificar dónde desea instalar o actualizar el escáner.

4. Seleccione Guardarguardar para guardar los cambios.

Crear un trabajo de detección de red (vista previa pública)

Agregue uno o varios de los repositorios encontrados a un trabajo de detección de contenido para buscar contenido confidencial.

En la tabla siguiente se describen los requisitos previos necesarios para el servicio de detección de red:

Para crear un trabajo de detección de red

1. Inicie sesión en Azure Portal y vaya a Azure Information Protection. En el menú Escáner de la izquierda, seleccione Trabajos de detección de red (vista previa)icono trabajos de detección de redtrabajos.

2. En el panel Azure Information Protection - Trabajos de detección de red, seleccione Agregar icono .

3. En la página Agregar un nuevo trabajo de detección de red, defina la siguiente configuración:

   Configuración	Descripción
   Nombre del trabajo de examen de red	Escriba un nombre significativo para este trabajo. Este campo es obligatorio.
   Descripción	Escriba una descripción significativa.
   Seleccionar el clúster	En la lista desplegable, seleccione el clúster que desea usar para examinar las ubicaciones de red configuradas. Sugerencia:Al seleccionar un clúster, asegúrese de que los nodos del clúster que asigne puedan tener acceso a los rangos IP configurados a través de SMB.
   Configurar rangos IP para detectar	Haga clic para definir una dirección IP o un rango. En el panel Elegir rangos IP, escriba un nombre opcional y, a continuación, una dirección IP de inicio y dirección IP de finalización para el rango. Sugerencia:Para examinar solo una dirección IP específica, escriba la dirección IP idéntica en los campos Inicio IP y Finalizar IP.
   Establecer programación	Defina la frecuencia con la que desea que se ejecute este trabajo de detección de red. Si selecciona Semanalmente,aparecerá la configuración Ejecutar trabajo de detección de red al. Seleccione los días de la semana en los que desea que se ejecute el trabajo de detección de red.
   Establecer la hora de inicio (UTC)	Defina la fecha y hora en que desea que se inicie este trabajo de detección de red. Si ha seleccionado ejecutar el trabajo diaria, semanal o mensualmente, el trabajo se ejecutará en el momento definido, en la periodicidad que haya seleccionado. Nota:Tenga cuidado al establecer la fecha en cualquier día al final del mes. Si selecciona 31, el trabajo de detección de red no se ejecutará en ningún mes que tenga 30 días o menos.

4. Seleccione Guardarguardar para guardar los cambios.

Analizar repositorios arriesgado encontrados (vista previa pública)

Los repositorios encontrados, ya sea por un trabajo de detección de red, un trabajo de detección de contenido o por el acceso de usuario detectado en archivos de registro, se agregan y se muestran en el panel de iconos repositorios deescáner.

Si ha definido un trabajo de detección de red y lo ha configurado para que se ejecute en una fecha y hora específicas, espere hasta que termine de ejecutarse para buscar resultados. También puede volver aquí después de ejecutar un trabajo de detección de contenido para ver los datos actualizados.

1. En el menú Escáner de la izquierda, seleccione .

   Los repositorios encontrados se muestran de la siguiente manera:

   • El gráfico Repositorios por estado muestra cuántos repositorios ya están configurados para un trabajo de detección de contenido y cuántos no.
   • Los diez repositorios no administrados principales por el gráfico de acceso muestran los 10 repositorios principales que no están asignados actualmente a un trabajo de detección de contenido, así como detalles sobre sus niveles de acceso. Los niveles de access pueden indicar lo arriesgado que son sus repositorios.
   • La tabla debajo de los gráficos enumera cada repositorio encontrado y sus detalles.

2. Realice una de las siguientes acciones:

   Opción	Descripción
   	Seleccione Columnas para cambiar las columnas de tabla que se muestran.
   	Si el escáner ha ejecutado recientemente los resultados del examen de red, seleccione Actualizar para actualizar la página.
   	Seleccione uno o varios repositorios enumerados en la tabla y, a continuación, seleccione Asignar elementos seleccionados para asignarlos a un trabajo de detección de contenido.
   Filtro	La fila de filtro muestra los criterios de filtrado aplicados actualmente. Seleccione cualquiera de los criterios que se muestran para modificar su configuración o seleccione Agregar filtro para agregar nuevos criterios de filtrado. Seleccione Filtro para aplicar los cambios y actualizar la tabla con el filtro actualizado.
   	En la esquina superior derecha del gráfico de repositorios no administrados, haga clic en el icono Análisis de registros para ir a los datos de Log Analytics de estos repositorios.

Los repositorios en los que se encuentra que el acceso público tiene capacidades de lectura o lectura y escritura pueden tener contenido confidencial que debe protegerse. Si el acceso público es falso, el repositorio no es accesible para el público en absoluto.

El acceso público a un repositorio solo se notifica si ha establecido una cuenta débil en el parámetro StandardDomainsUserAccount de los cmdlets Install-MIPNetworkDiscovery o Set-MIPNetworkDiscoveryConfiguration.

• Las cuentas definidas en estos parámetros se usan para simular el acceso de un usuario débil al repositorio. Si el usuario débil definido allí puede obtener acceso al repositorio, esto significa que se puede acceder al repositorio públicamente.

• Para asegurarse de que el acceso público se notifica correctamente, asegúrese de que el usuario especificado en estos parámetros solo es miembro del grupo Usuarios de dominio.

Crear un trabajo de detección de contenido

Profundizar en el contenido para analizar repositorios específicos en busca de contenido confidencial.

Es posible que desee hacerlo solo después de ejecutar un trabajo de detección de red para analizar los repositorios de la red, pero también puede definir sus repositorios usted mismo.

Para crear el trabajo de examen de contenido en Azure Portal:

1. En el menú Escáner de la izquierda, seleccione Trabajos de detección de contenido.

2. En el panel Azure Information Protection - Trabajos de detección de contenido, seleccione Agregar iconoagregaricono .

3. Para esta configuración inicial, configure las siguientes opciones y, a continuación, seleccione Guardar pero no cierre el panel.

   Configuración	Descripción
   Configuración del trabajo de detección de contenido	- - Mantener el valor predeterminado de Manual - - Cambiar solo a directiva - - No configure en este momento porque el trabajo de detección de contenido primero debe guardarse.
   Directiva DLP	Si usa una directiva de prevención Microsoft 365 de pérdida de datos (DLP), establezca Habilitar reglas DLP en Activar. Para obtener más información, vea Usar una directiva DLP.
   Directiva de confidencialidad	- - Selecciona Desactivado - - Mantener el valor predeterminado de On - - Mantener el valor predeterminado de Directiva predeterminada - - Mantener el valor predeterminado de Desactivado
   Configurar la configuración de archivos	- - Mantener el valor predeterminado de On - - Conservar los tipos de archivo predeterminados para Excluir - - Mantener el valor predeterminado de la cuenta de escáner - - Use esta opción solo cuando use una directiva DLP.

4. Ahora que el trabajo de detección de contenido se crea y se guarda, está listo para volver a la opción Configurar repositorios para especificar los almacenes de datos que se van a analizar.

   Especifique rutas unc y SharePoint de servidor para SharePoint bibliotecas de documentos locales y carpetas.

   Nota

   SharePoint Server 2019, SharePoint Server 2016 y SharePoint Server 2013 son compatibles con SharePoint. SharePoint Server 2010 también es compatible cuando tiene compatibilidad extendida para esta versión de SharePoint.

   Para agregar el primer almacén de datos, mientras se encuentra en el panel Agregar un nuevo trabajo de detección de contenido, seleccione Configurar repositorios para abrir el panel Repositorios:

   

   1. En el panel Repositorios, seleccione Agregar:

      

   2. En el panel Repositorio, especifique la ruta de acceso para el repositorio de datos y, a continuación, seleccione Guardar.

      • Para un recurso compartido de red, use \\Server\Folder .
      • Para obtener una SharePoint biblioteca, use http://sharepoint.contoso.com/Shared%20Documents/Folder .
      • Para una ruta de acceso local: C:\Folder
      • Para una ruta de acceso UNC: \\Server\Folder

   Nota

   Los caracteres comodín no son compatibles y las ubicaciones webDav no son compatibles.

   Si agrega una ruta de SharePoint para documentos compartidos:

   • Especifique Documentos compartidos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de documentos compartidos. Por ejemplo: http://sp2013/SharedDocuments
   • Especifique Documentos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de una subcarpeta en Documentos compartidos. Por ejemplo: http://sp2013/Documents/SalesReports
   • O bien, especifique solo el FQDN de sharepoint, por ejemplo, para detectar y examinar todos los sitios y subsitios de SharePoint en una dirección URL y subtítulos específicos en esta dirección URL. Conceda derechos de auditor del recopilador de sitios del escáner para habilitarlo.

   Para el resto de la configuración de este panel, no las cambie para esta configuración inicial, sino que las mantenga como trabajo de detección de contenido predeterminado. La configuración predeterminada significa que el repositorio de datos hereda la configuración del trabajo de detección de contenido.

   Use la sintaxis siguiente al agregar SharePoint rutas de acceso:

   Ruta de acceso	Sintaxis
   Ruta raíz	http://<SharePoint server name> Examina todos los sitios, incluidas las colecciones de sitios permitidas para el usuario del escáner. Requiere permisos adicionales para detectar automáticamente el contenido raíz
   Datos SharePoint subsitio o colección específicos	Una de las siguientes opciones: - http://<SharePoint server name>/<subsite name> - http://SharePoint server name>/<site collection name>/<site name> Requiere permisos adicionales para detectar automáticamente el contenido de la colección de sitios
   Biblioteca SharePoint biblioteca específica	Una de las siguientes opciones: - http://<SharePoint server name>/<library name> - http://SharePoint server name>/.../<library name>
   Carpeta SharePoint carpeta específica	http://<SharePoint server name>/.../<folder name>

5. Repita los pasos anteriores para agregar tantos repositorios como sea necesario.

   Cuando haya terminado, cierre los paneles de trabajo Repositorios y Análisis de contenido.

De nuevo en el panel Detección de contenido de Azure Information Protection, se muestra el nombre del examen de contenido, junto con la columna PROGRAMAR que muestra Manual y la columna EXIGIR está en blanco.

Ya está listo para instalar el escáner con el trabajo de escáner de contenido que ha creado. Continúe con Instalar el escáner.

Instalar el escáner

Después de configurar el escáner de Azure Information Protection,siga estos pasos para instalar el escáner. Este procedimiento se realiza por completo en PowerShell.

1. Inicie sesión en el equipo Windows Server que ejecutará el escáner. Use una cuenta que tenga derechos de administrador local y que tenga permisos para escribir en la base SQL Server base de datos principal.

   Importante

   Debe tener instalado el cliente de etiquetado unificado AIP en el equipo antes de instalar el escáner.

   Para obtener más información, vea Requisitos previos parainstalar e implementar el escáner de Azure Information Protection.

2. Abra una Windows PowerShell sesión con la opción Ejecutar como administrador.

3. Ejecute el cmdlet Install-AIPScanner, especificando la instancia de SQL Server en la que se va a crear una base de datos para el escáner de Azure Information Protection y el nombre del clúster del escáner que especificó en la sección anterior:

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   Ejemplos, usando el nombre del clúster de escáneres de Europa:

   • Para una instancia predeterminada: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

   • Para una instancia con nombre: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

   • Para SQL Server Express:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

   Cuando se le solicite, proporcione las credenciales de Active Directory para la cuenta de servicio de escáner.

   Use la sintaxis siguiente: \<domain\user name> . Por ejemplo: contoso\scanneraccount

4. Compruebe que el servicio ya está instalado mediante servicios de herramientasadministrativas.

   El servicio instalado se denomina Escáner de Azure Information Protection y está configurado para ejecutarse con la cuenta de servicio de escáner que creó.

Ahora que ha instalado el escáner, necesita obtener un token de Azure AD para que la cuenta de servicio del escáner se autentique, de modo que el escáner se pueda ejecutar sin supervisión.

Obtener un Azure AD de datos para el escáner

Un token Azure AD permite que el escáner se autentique en el servicio Azure Information Protection, lo que permite que el escáner se ejecute de forma no interactiva.

Para obtener más información, vea Cómo etiquetar archivos no interactivos para Azure Information Protection.

Para obtener un token Azure AD :

1. Abra Azure Portal para crear una aplicación Azure AD para especificar un token de acceso para la autenticación.

2. Desde el equipo Windows Server, si se ha concedido a su cuenta de servicio de escáner el inicio de sesión localmente correcto para la instalación, inicie sesión con esta cuenta e inicie una sesión de PowerShell.

   Ejecute Set-AIPAuthentication, especificando los valores que copió del paso anterior:

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   Por ejemplo:

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   Sugerencia

   Si no se puede conceder a su cuenta de servicio de escáner la opción Iniciar sesión localmente correcta para la instalación, use el parámetro OnBehalfOf con Set-AIPAuthentication, como se describe en Cómo etiquetar archivos no interactivos para Azure Information Protection.

El escáner ahora tiene un token para autenticarse en Azure AD. Este token es válido durante un año, dos años o nunca, según la configuración del secreto de cliente de la aplicación web /API en Azure AD. Cuando el token expire, debe repetir este procedimiento.

Siga usando uno de los pasos siguientes, dependiendo de si usa Azure Portal para configurar el escáner o solo PowerShell:

Configurar el escáner para aplicar la clasificación y la protección

La configuración predeterminada configura el escáner para que se ejecute una vez y solo en modo de informes. Para cambiar esta configuración, edite el trabajo de detección de contenido.

Para configurar el escáner para aplicar la clasificación y la protección:

1. En Azure Portal, en el panel Azure Information Protection - Trabajos de detección de contenido, seleccione el trabajo de análisis de contenido y el clúster para editarlo.

2. En el panel Detección de contenido, cambie lo siguiente y, a continuación, seleccione Guardar:

   • En la sección Trabajo de detección de contenido: Cambiar la programación a Siempre
   • En la sección Directiva de confidencialidad: Cambiar Exigir a On

   Sugerencia

   Es posible que desee cambiar otras opciones de configuración en este panel, como si se cambian los atributos de archivo y si el escáner puede volver a etiquetar los archivos. Use la ayuda emergente de información para obtener más información sobre cada configuración.

3. Anote la hora actual y vuelva a iniciar el escáner desde el panel Azure Information Protection - Trabajos de detección de contenido:

   

El escáner está programado para ejecutarse continuamente. Cuando el escáner funciona a través de todos los archivos configurados, inicia automáticamente un nuevo ciclo para que se descubran los archivos nuevos y modificados.

Usar una directiva DLP

El uso de una Microsoft 365 de prevención de pérdida de datos (DLP) permite al escáner detectar posibles pérdidas de datos al coincidir las reglas DLP con los archivos almacenados en recursos compartidos de archivos y SharePoint Server.

• Habilite las reglas DLP en el trabajo de detección de contenido para reducir la exposición de los archivos que coincidan con las directivas DLP. Cuando las reglas DLP están habilitadas, el escáner puede reducir el acceso de archivos solo a los propietarios de datos o reducir la exposición a grupos de toda la red, como Todos,Usuarios autenticados oUsuarios de dominio.

• En el Centro de cumplimiento de Microsoft 365, determine si solo está probando la directiva DLP o si quiere que se cumplan las reglas y los permisos de archivo cambian según dichas reglas. Para obtener más información, vea Activar una directiva DLP.

Las directivas DLP se configuran en el Centro de cumplimiento de Microsoft 365. Para obtener más información sobre las licencias DLP, vea Introducción al escáner local de prevención de pérdida de datos.

Para usar una directiva DLP con el escáner:

1. En Azure Portal, vaya a su trabajo de examen de contenido. Para obtener más información, vea Crear un trabajo de detección de contenido.

2. En Directiva DLP,establezca Habilitar reglas DLP en Activar.

   Importante

   No establezca Habilitar reglas DLP en Activar a menos que realmente tenga una directiva DLP configurada en Microsoft 365.

   Al activar esta característica sin una directiva DLP, el escáner generará errores.

3. (Opcional) En Configurar la configuración de archivo,establezca el propietario del repositorio en Ony defina un usuario específico como propietario del repositorio.

   Esta opción permite al escáner reducir la exposición de los archivos que se encuentran en este repositorio, que coinciden con la directiva DLP, al propietario del repositorio definido.

Directivas DLP y realizar acciones privadas

Si usa una directiva DLP con una acción privada y también tiene previsto usar el escáner para etiquetar automáticamente los archivos, le recomendamos que también defina la configuración avanzada useCopyAndPreserveNTFSOwner del cliente de etiquetado unificado.

Esta configuración garantiza que los propietarios originales conserven el acceso a sus archivos.

Para obtener más información, vea Crear un trabajo de examen de contenido y Aplicar automáticamente una etiqueta de confidencialidad al contenido en la Microsoft 365 contenido.

Cambiar los tipos de archivo que se protegerán

De forma predeterminada, el escáner AIP Office solo los tipos de archivo y los archivos PDF.

Use comandos de PowerShell para cambiar este comportamiento según sea necesario, como configurar el escáner para proteger todos los tipos de archivo, tal como lo hace el cliente, o para proteger tipos de archivo específicos adicionales.

Para una directiva de etiqueta que se aplica a la cuenta de usuario que descarga etiquetas para el escáner, especifique una configuración avanzada de PowerShell denominada PFileSupportedExtensions.

Para un escáner que tiene acceso a Internet, esta cuenta de usuario es la cuenta que especifique para el parámetro DelegatedUser con el comando Set-AIPAuthentication usuario.

Ejemplo 1:Comando de PowerShell para el escáner para proteger todos los tipos de archivo, donde la directiva de etiquetas se denomina "Escáner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Ejemplo 2:Comando de PowerShell para el escáner para proteger archivos .xml y archivos .tiff, además de archivos Office y archivos PDF, donde la directiva de etiqueta se denomina "Escáner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Para obtener más información, vea Cambiar los tipos de archivo que desea proteger.

Actualizar el escáner

Si instaló previamente el escáner y desea actualizarlo, use las instrucciones que se describen en Actualizar el escáner de Azure Information Protection.

Después, configure y use el escáner como de costumbre, omitiendo los pasos para instalar el escáner.

Editar la configuración del repositorio de datos en masa

Use los botones Exportar e Importar para realizar cambios para el escáner en varios repositorios.

De esta forma, no es necesario realizar los mismos cambios varias veces, manualmente, en Azure Portal.

Por ejemplo, si tiene un nuevo tipo de archivo en varios repositorios de datos SharePoint, es posible que desee actualizar la configuración de esos repositorios en masa.

Para realizar cambios en masa en todos los repositorios:

1. En Azure Portal, en el panel Repositorios, seleccione la opción Exportar. Por ejemplo:

   

2. Edite manualmente el archivo exportado para realizar el cambio.

3. Use la opción Importar en la misma página para importar las actualizaciones de nuevo en los repositorios.

Usar el escáner con configuraciones alternativas

El escáner de Azure Information Protection normalmente busca condiciones especificadas para las etiquetas para clasificar y proteger el contenido según sea necesario.

En los siguientes escenarios, el escáner de Azure Information Protection también puede analizar el contenido y administrar etiquetas, sin ninguna condición configurada:

• Aplicar una etiqueta predeterminada a todos los archivos de un repositorio de datos
• Quitar etiquetas existentes de todos los archivos de un repositorio de datos
• Identificar todas las condiciones personalizadas y los tipos de información confidencial conocidos

Aplicar una etiqueta predeterminada a todos los archivos de un repositorio de datos

En esta configuración, todos los archivos sin etiqueta del repositorio se etiquetan con la etiqueta predeterminada especificada para el repositorio o el trabajo de detección de contenido. Los archivos se etiquetan sin inspección.

Configure las siguientes opciones:

Quitar etiquetas existentes de todos los archivos de un repositorio de datos

En esta configuración, se quitan todas las etiquetas existentes, incluida la protección, si se aplicó protección con la etiqueta. Se conserva la protección aplicada independientemente de una etiqueta.

Configure las siguientes opciones:

Identificar todas las condiciones personalizadas y los tipos de información confidencial conocidos

Esta configuración le permite encontrar información confidencial que es posible que no se dé cuenta de que tenía, a expensas de las tasas de análisis del escáner.

Establezca los tipos de información que se descubrirán en Todos.

Para identificar condiciones y tipos de información para el etiquetado, el escáner usa los tipos de información confidencial personalizados especificados y la lista de tipos de información confidencial integrados que están disponibles para seleccionar, como se define en el centro de administración de etiquetas.

Optimizar el rendimiento del escáner

Use las siguientes opciones y instrucciones para ayudarle a optimizar el rendimiento del escáner:

Factores adicionales que afectan al rendimiento

Entre los factores adicionales que afectan al rendimiento del escáner se incluyen:

Usar PowerShell para configurar el escáner

En esta sección se describen los pasos necesarios para configurar e instalar el escáner local AIP cuando no tiene acceso a las páginas del escáner en Azure Portal y debe usar solo PowerShell.

Para obtener más información, vea Cmdlets de PowerShell compatibles.

Para configurar e instalar el escáner:

1. Empiece con PowerShell cerrado. Si instaló previamente el cliente y el escáner AIP, asegúrese de que el servicio AIPScanner está detenido.

2. Abra una Windows PowerShell sesión con la opción Ejecutar como administrador.

3. Ejecute el comando Instalar-AIPScanner para instalar el escáner en la instancia de servidor SQL, con el parámetro Cluster para definir el nombre del clúster.

   Este paso es idéntico independientemente de si puede o no tener acceso a las páginas del escáner en Azure Portal. Para obtener más información, vea las instrucciones anteriores de este artículo: Instalar el escáner

4. Obtenga un token de Azure para usarlo con el escáner y, después, vuelva a autenticarse.

   Este paso es idéntico independientemente de si puede o no tener acceso a las páginas del escáner en Azure Portal. Para obtener más información, vea las instrucciones anteriores de este artículo: Obtener un token de Azure AD para el escáner.

5. Ejecute el cmdlet para establecer que el escáner funcione en modo sin conexión. Ejecutar:

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

6. Ejecute el cmdlet Set-AIPScannerContentScanJob para crear un trabajo de detección de contenido predeterminado.

   El único parámetro necesario en el cmdlet Set-AIPScannerContentScanJob es Exigir. Sin embargo, es posible que desee definir otras opciones de configuración para el trabajo de detección de contenido en este momento. Por ejemplo:

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   La sintaxis anterior configura las siguientes opciones mientras continúa con la configuración:

   • Mantiene la programación de la ejecución del escáner en manual
   • Establece los tipos de información que se detectarán en función de la directiva de etiquetado de confidencialidad
   • No aplica una directiva de etiquetado de confidencialidad
   • Etiqueta automáticamente los archivos en función del contenido, con la etiqueta predeterminada definida para la directiva de etiquetado de confidencialidad
   • No permite volver a etiquetar archivos
   • Conserva los detalles del archivo al analizar y etiquetar automáticamente, incluidas las fechas modificadas, las últimas modificadas y las modificadas por valores
   • Establece que el escáner excluya los archivos .msg y .tmp al ejecutarse
   • Establece el propietario predeterminado en la cuenta que desea usar al ejecutar el escáner

7. Use el cmdlet Add-AIPScannerRepository para definir los repositorios que desea analizar en el trabajo de detección de contenido. Por ejemplo, ejecute:

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   Use una de las sintaxis siguientes, según el tipo de repositorio que agregue:

   • Para un recurso compartido de red, use \\Server\Folder .
   • Para obtener una SharePoint biblioteca, use http://sharepoint.contoso.com/Shared%20Documents/Folder .
   • Para una ruta de acceso local: C:\Folder
   • Para una ruta de acceso UNC: \\Server\Folder

   Nota

   Los caracteres comodín no son compatibles y las ubicaciones webDav no son compatibles.

   Para modificar el repositorio más adelante, use el cmdlet Set-AIPScannerRepository en su lugar.

   Si agrega una ruta de SharePoint para documentos compartidos:

   • Especifique Documentos compartidos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de documentos compartidos. Por ejemplo: http://sp2013/SharedDocuments
   • Especifique Documentos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de una subcarpeta en Documentos compartidos. Por ejemplo: http://sp2013/Documents/SalesReports
   • O bien, especifique solo el FQDN de sharepoint, por ejemplo, para detectar y examinar todos los sitios y subsitios de SharePoint en una dirección URL y subtítulos específicos en esta dirección URL. Conceda derechos de auditor del recopilador de sitios del escáner para habilitarlo.

   Use la sintaxis siguiente al agregar SharePoint rutas de acceso:

   Ruta de acceso	Sintaxis
   Ruta raíz	http://<SharePoint server name> Examina todos los sitios, incluidas las colecciones de sitios permitidas para el usuario del escáner. Requiere permisos adicionales para detectar automáticamente el contenido raíz
   Datos SharePoint subsitio o colección específicos	Una de las siguientes opciones: - http://<SharePoint server name>/<subsite name> - http://SharePoint server name>/<site collection name>/<site name> Requiere permisos adicionales para detectar automáticamente el contenido de la colección de sitios
   Biblioteca SharePoint biblioteca específica	Una de las siguientes opciones: - http://<SharePoint server name>/<library name> - http://SharePoint server name>/.../<library name>
   Carpeta SharePoint carpeta específica	http://<SharePoint server name>/.../<folder name>

Continúe con los pasos siguientes según sea necesario:

• Configurar AIP para clientes en China
• Ejecutar un ciclo de detección y ver informes para el escáner
• Usar PowerShell para configurar el escáner para aplicar la clasificación y la protección
• Usar PowerShell para configurar una directiva DLP con el escáner

Usar PowerShell para configurar el escáner para aplicar la clasificación y la protección

1. Ejecute el cmdlet Set-AIPScannerContentScanJob para actualizar el trabajo de examen de contenido para establecer la programación en siempre y exigir la directiva de confidencialidad.

   Set-AIPScannerContentScanJob -Schedule Always -Enforce On
   

   Sugerencia

   Es posible que desee cambiar otras opciones de configuración en este panel, como si se cambian los atributos de archivo y si el escáner puede volver a etiquetar los archivos. Para obtener más información sobre la configuración disponible, vea la documentación completa de PowerShell.

2. Ejecute el cmdlet Start-AIPScan para ejecutar el trabajo de detección de contenido:

   Start-AIPScan
   

El escáner está programado para ejecutarse continuamente. Cuando el escáner funciona a través de todos los archivos configurados, inicia automáticamente un nuevo ciclo para que se descubran los archivos nuevos y modificados.

Usar PowerShell para configurar una directiva DLP con el escáner

1. Ejecute el cmdlet Set-AIPScannerContentScanJob de nuevo con el parámetro -EnableDLP establecido en Ony con un propietario de repositorio específico definido.

   Por ejemplo:

   Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
   

Cmdlets de PowerShell compatibles

En esta sección se enumeran los cmdlets de PowerShell compatibles con el escáner de Azure Information Protection e instrucciones para configurar e instalar el escáner solo con PowerShell.

Los cmdlets admitidos para el escáner incluyen:

• Add-AIPScannerRepository

• Export-AIPLogs

• Get-AIPScannerConfiguration

• Get-AIPScannerContentScanJob

• Get-AIPScannerRepository

• Get-AIPScannerStatus

• Get-MIPNetworkDiscoveryConfiguration

• Get-MIPNetworkDiscoveryJobs

• Get-MIPNetworkDiscoveryStatus

• Get-MIPScannerContentScanJob

• Get-MIPScannerRepository

• Import-AIPScannerConfiguration

• Set-MIPNetworkDiscovery

• Import-MIPNetworkDiscoveryConfiguration

• Install-AIPScanner

• Install-MIPNetworkDiscovery

• Remove-MIPScannerContentScanJob

• Remove-MIPScannerRepository

• Set-AIPScanner

• Set-AIPScannerConfiguration

• Set-AIPScannerContentScanJob

• Set-AIPScannerRepository

• Set-MIPNetworkDiscoveryConfiguration

• Set-MIPScannerContentScanJob

• Set-MIPScannerRepository

• Start-AIPScan

• Start-AIPScanDiagnostics

• Start-MIPNetworkDiscovery

• Stop-AIPScan

• Remove-AIPScannerContentScanJob

• Remove-AIPScannerRepository

• Uninstall-AIPScanner

• Uninstall-MIPNetworkDiscovery

• Update-AIPScanner

Pasos siguientes

Una vez que haya instalado y configurado el escáner, empiece a analizar los archivos.

Vea también: Implementar el escáner de Azure Information Protection para clasificar y proteger automáticamente los archivos.

Más información:

• ¿Está interesado en cómo el equipo de ingeniería y operaciones de Core Services en Microsoft implementó este escáner? Lea el caso práctico técnico: Automatizar la protección de datos con el escáner de Azure Information Protection.

• Use PowerShell para clasificar y proteger archivos de forma interactiva desde el equipo de escritorio. Para obtener más información sobre este y otros escenarios que usan PowerShell, vea Usar PowerShell con el cliente de etiquetado unificado de Azure Information Protection.