Tutorial: Instalación del escáner de etiquetado unificado de Azure Information Protection (AIP)

  • Artículo
  • Tiempo de lectura: 9 minutos

Se aplica a: Azure Information Protection

Pertinente para: Cliente de etiquetado unificado de Azure Information Protection para Windows

En este tutorial se describe cómo instalar el escáner local de Azure Information Protection (AIP). El escáner permite a los administradores de AIP examinar sus redes y recursos compartidos de contenido en busca de datos confidenciales, así como aplicar etiquetas de clasificación y protección según lo establecido en la directiva de la organización.

Tiempo necesario: puede completar este tutorial en 30 minutos.

Requisitos previos del tutorial

Para instalar el escáner de etiquetado unificado y completar este tutorial, necesitará lo siguiente:

Requisito Descripción
Una suscripción de apoyo Necesitará una suscripción de Azure que incluya Azure Information Protection.

Si no tiene una de estas suscripciones, cree una cuenta gratuita para la organización.
Acceso de administrador a Azure Portal Asegúrese de que puede iniciar sesión en Azure Portal con una de las cuentas de administrador siguientes:

- -
- -
- -
- -
Cliente instalado Para acceder a la instalación del analizador, instale primero el cliente de etiquetado unificado de AIP en la máquina que va a usar para ejecutar los exámenes.

Descargue y ejecute AzInfoProtection_UL.exe desde el Centro de descarga de Microsoft.

Una vez que se haya completado la instalación, es posible que se le pida que reinicie el equipo o el software de Office. Reinicie cuando sea necesario para continuar.

Para obtener más información, consulte Inicio rápido: Implementación del cliente de etiquetado unificado de Azure Information Protection (AIP).
SQL Server Para ejecutar el escáner, necesitará instalar SQL Server en el equipo del escáner.

Para instalarlo, vaya a la página de descarga de SQL Server y seleccione Descargar ahora en la opción de instalación que quiera instalar. En el instalador, seleccione el tipo de instalación Básico.

Nota: Se recomienda instalar SQL Server Enterprise para entornos de producción y Express solo para entornos de prueba.
Cuenta de Azure Active Directory Cuando se trabaja con un entorno estándar conectado a la nube, la cuenta de servicio de dominio que quiera usar para el escáner se debe sincronizar con Azure Active Directory. Esto no es necesario si se trabaja sin conexión.

Si no está seguro de la cuenta, póngase en contacto con uno de los administradores del sistema para verificar el estado de sincronización.
Etiquetas de confidencialidad y una directiva publicada Debe haber creado etiquetas de confidencialidad y haber publicado una directiva con al menos una etiqueta en el centro de cumplimiento de Microsoft 365 para la cuenta de servicio del detector.

Configure las etiquetas de confidencialidad en el centro de cumplimiento de Microsoft 365. Para obtener más información, vea la documentación de Microsoft 365.

Para obtener más información, consulte Requisitos previos para instalar e implementar el escáner de etiquetado unificado de Azure Information Protection. Una vez que haya confirmado los requisitos previos, configure Azure Information Protection en Azure Portal.

Configuración de Azure Information Protection en Azure Portal

Es posible que Azure Information Protection no esté disponible en Azure Portal, o bien que la protección no esté activada.

Realice uno de los pasos siguientes (o los dos) según sea necesario:

Después, continúe con Configuración de las opciones iniciales del escáner en Azure Portal.

Adición de Azure Information Protection a Azure Portal

  1. Inicie sesión en Azure Portal con una cuenta de administrador admitida.

  2. Seleccione + Crear un recurso. En el cuadro de búsqueda, busque Azure Information Protection y selecciónelo. En la página Azure Information Protection, seleccione Crear y, a continuación, otra vez Crear.

    Adición de Azure Information Protection a Azure Portal

    Sugerencia

    Si esta es la primera vez que va a realizar este paso, verá un icono Anclar al panelIcono Anclar al panel junto al nombre del panel. Seleccione el icono de ancla para crear un icono en el panel y así navegar directamente aquí la próxima vez.

Continúe con Confirmación de que la protección está activada.

Confirmación de que la protección está activada

Si ya tiene Azure Information Protection disponible, asegúrese de que la protección esté activada:

  1. En el área de Azure Information Protection, en Administrar en la parte izquierda, seleccione Activación de la protección.

  2. Confirme si la protección está activada para el inquilino. Por ejemplo:

    Confirmación de la activación de AIP

Si la protección no está activada, seleccione Activar AIPActivar. Una vez completada la activación, en la barra de información se verá Activation finished successfully (La activación ha finalizado correctamente).

Continúe con Configuración de las opciones iniciales del escáner en Azure Portal.

Configuración de las opciones iniciales del escáner en Azure Portal

Prepare la configuración inicial del escáner en Azure Portal antes de instalarlo en el equipo.

  1. En el área de Azure Information Protection, en Escáner en la parte izquierda, seleccione Clústeres.

  2. En la página de clústeres, seleccione Agregar para crear un clúster con el fin de administrar el escáner.

  3. En el panel Agregar un nuevo clúster que se abre a la derecha, escriba un nombre de clúster descriptivo y una descripción opcional.

    Importante

    Necesitará el nombre de este clúster al instalar el escáner.

    Por ejemplo:

    Adición de un nuevo clúster para el tutorial

  4. Cree un trabajo de detección de contenido inicial. En el menú Escáner de la izquierda, seleccione Trabajos de detección de contenido y, después, Agregar.

  5. En el panel Agregar un nuevo trabajo de detección de contenido, escriba un nombre descriptivo para el trabajo de detección de contenido y una descripción opcional.

    Después, desplácese hacia abajo en la página hasta Cumplimiento de directivas y seleccione Desactivar.

    Cuando haya terminado, guarde los cambios.

    Este trabajo de detección predeterminado buscará todos los tipos de información confidencial conocida.

  6. Cierre el panel de detalles del trabajo de detección de contenido y vuelva a la cuadrícula Trabajos de detección de contenido.

    En la nueva fila que aparece para el trabajo de detección de contenido, en la columna Nombre del clúster, seleccione +Asignar al clúster. Después, en el panel Asignar al clúster que aparece a la derecha, seleccione el clúster.

    Asignar al clúster

Ahora está listo para instalar el escáner de etiquetado unificado de AIP.

Instalación del escáner de etiquetado unificado

Una vez que haya configurado los valores básicos del escáner en Azure Portal, instale el escáner de etiquetado unificado en el servidor del escáner.

  1. En el servidor del escáner, abra una sesión de PowerShell con la opción Ejecutar como administrador.

  2. Use el comando siguiente para instalar el escáner. En el comando, especifique dónde quiere instalar el escáner, así como el nombre del clúster que ha creado en Azure Portal.

    Install-AIPScanner -SqlServerInstance <your SQL installation location>\SQLEXPRESS -Cluster <cluster name>

    Por ejemplo:

    Install-AIPScanner -SqlServerInstance localhost\SQLEXPRESS -Cluster Quickstart

    Cuando PowerShell le pida las credenciales, escriba el nombre de usuario y la contraseña.

    En el campo Nombre de usuario, use la siguiente sintaxis: . Por ejemplo: emea\contososcanner.

  3. Vuelva a Azure Portal. En el menú Escáner de la izquierda, seleccione Nodos.

    Ahora debería ver el escáner agregado a la cuadrícula. Por ejemplo:

    Escáner recién instalado mostrado en la cuadrícula Nodos

Continúe con Get an Azure Active directory token for the scanner (Obtención de un token de Azure Active Directory para el escáner) a fin de permitir que la cuenta de servicio del escáner se ejecute de forma no interactiva.

Obtención de un token de Azure Active Directory para el escáner

Realice este procedimiento cuando trabaje con un entorno estándar conectado a la nube, para permitir que el escáner se autentique en el servicio AIP, lo que permite que el servicio se ejecute de forma no interactiva.

Este procedimiento no es necesario si solo trabaja sin conexión.

Para obtener más información, vea Cómo etiquetar archivos de manera no interactiva para Azure Information Protection.

Para obtener un token de Azure AD para el escáner:

  1. En Azure Portal, cree una aplicación de Azure AD a fin de especificar un token de acceso para la autenticación.

  2. En el equipo del escáner, inicie sesión con una cuenta de servicio de escáner que tenga concedido el derecho de inicio de sesión local e inicie una sesión de PowerShell.

  3. Inicie una sesión de PowerShell y ejecute el comando siguiente con los valores copiados desde la aplicación de Azure AD.

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    Por ejemplo:

    $pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds

Acquired application access token on behalf of CONTOSO\scanner.

    Sugerencia

    Si no se puede conceder a la cuenta del servicio de escáner el derecho de inicio de sesión local para la instalación, use el parámetro OnBehalfOf con Set-AIPAuthentication, en lugar del parámetro DelegatedUser.

Ahora el escáner tiene un token para autenticarse en Azure AD. Este token es válido durante el tiempo que haya configurado en Azure Active Directory. Cuando expire el token, tendrá que repetir este procedimiento.

Continúe con la instalación del servicio Detección de redes opcional, que le permite examinar los repositorios de red en busca de contenido que puede estar en riesgo y, después, agregar los repositorios a un trabajo de detección de contenido.

Instale el servicio Detección de redes (versión preliminar pública)

A partir de la versión 2.8.85.0 del cliente de etiquetado unificado de AIP, los administradores pueden usar el escáner de AIP para examinar repositorios de red y, después, agregar los que parezcan suponer un riesgo a un trabajo de detección de contenido.

Los trabajos de detección de red ayudan a entender dónde puede estar en riesgo el contenido, mediante el intento de acceso a repositorios configurados como administrador y como usuario público.

Por ejemplo, si se detecta que un repositorio tiene acceso público de lectura y escritura, es posible que quiera realizar una detección adicional y confirmar que no almacena información confidencial.

Nota

Esta característica actualmente está en VERSIÓN PRELIMINAR. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Para instalar el servicio Detección de redes:

  1. En el equipo del escáner, abra una sesión de PowerShell como administrador.

  2. Defina las credenciales que quiera que use AIP al ejecutar el servicio Detección de redes, así como al simular el acceso de administrador y de usuario público.

    Escriba las credenciales de cada comando cuando se le solicite con la siguiente sintaxis: domain\user. Por ejemplo: emea\msanchez

    Ejecutar:

    Credenciales para ejecutar el servicio Detección de redes:

    $serviceacct= Get-Credential

    Credenciales para simular el acceso de administrador:

    $shareadminacct= Get-Credential

    Credenciales para simular el acceso de usuario público:

    $publicaccount= Get-Credential

  3. Para instalar el servicio Detección de redes, ejecute lo siguiente:

    Install-MIPNetworkDiscovery [-ServiceUserCredentials] <PSCredential> [[-StandardDomainsUserAccount] <PSCredential>] [[-ShareAdminUserAccount] <PSCredential>] [-SqlServerInstance] <String> -Cluster <String> [-WhatIf] [-Confirm] [<CommonParameters>]

For example:

```PowerShell
Install-MIPNetworkDiscovery -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Quickstart -ServiceUserCredentials $serviceacct  -ShareAdminUserAccount $shareadminacct -StandardDomainsUserAccount $publicaccount

Cuando se haya completado la instalación, el sistema mostrará un mensaje de confirmación.

Pasos siguientes

Una vez que haya instalado el escáner y el servicio Detección de redes, está listo para iniciar el análisis.

Para obtener más información, consulte Tutorial: Detección del contenido confidencial con el escáner de Azure Information Protection (AIP).

Sugerencia

Si ha instalado la versión 2.8.85.0, se recomienda examinar la red para detectar repositorios que puedan tener contenido en riesgo.

Para analizar los repositorios en riesgo en busca de datos confidenciales y, después, clasificar y proteger esos datos de usuarios externos, actualice el trabajo de detección de contenido con los detalles de los repositorios que ha encontrado.

Vea también: