Mengonfigurasi dan menginstal pemindai label terpadu Azure Information Protection (AIP)

Artikel ini menjelaskan cara mengonfigurasi dan menginstal azure Information Protection label terpadu, pemindai lokal.

Tips

Meskipun sebagian besar pelanggan akan melakukan prosedur ini di area Information Protection Azure di portal Azure, Anda mungkin hanya perlu bekerja di PowerShell.

Misalnya, jika Anda bekerja dalam lingkungan tanpa akses ke portal Azure, seperti server pemindai Azure China 21Vianet, ikuti instruksi dalam Menggunakan PowerShell untuk mengonfigurasi pemindai.

Ikhtisar

Sebelum memulai, verifikasi bahwa sistem Anda mematuhi prasyarat yang diperlukan.

Untuk menggunakan portal Azure, gunakan langkah-langkah berikut:

1. Mengonfigurasi pengaturan pemindai

2. Menginstal pemindai

3. Dapatkan token Azure AD untuk pemindai

4. Mengonfigurasi pemindai untuk menerapkan klasifikasi dan proteksi

Lalu, lakukan prosedur konfigurasi berikut sesuai kebutuhan untuk sistem Anda:

Prosedur	Deskripsi
Mengubah tipe file yang akan diproteksi	Anda mungkin ingin memindai, mengklasifikasikan, atau melindungi tipe file yang berbeda dari default. Untuk informasi selengkapnya, lihat Proses pemindaian AIP.
Memutakhirkan pemindai Anda	Mutakhirkan pemindai Anda untuk memanfaatkan fitur dan penyempurnaan terbaru.
Mengedit pengaturan penyimpanan data secara massal	Gunakan opsi impor dan ekspor untuk membuat perubahan secara massal untuk beberapa repositori data.
Menggunakan pemindai dengan konfigurasi alternatif	Gunakan pemindai tanpa mengonfigurasi label dengan kondisi apa pun
Optimalkan kinerja	Panduan untuk mengoptimalkan kinerja pemindai Anda

Jika Anda tidak memiliki akses ke halaman pemindai di portal Azure, konfigurasi pengaturan pemindai apa pun di PowerShell saja. Untuk informasi selengkapnya, lihat Menggunakan PowerShell untuk mengonfigurasi cmdlet pemindai dan PowerShell yang Didukung.

Mengonfigurasi pengaturan pemindai

Sebelum Anda menginstal pemindai, atau memutakhirkannya dari versi ketersediaan umum yang lebih lama, konfigurasi atau verifikasi pengaturan pemindai Anda.

Untuk mengonfigurasi pemindai di portal Azure:

1. Masuk ke portal Azure dengan salah satu peran berikut:

   • Administrator kepatuhan
   • Administrator data kepatuhan
   • Administrator keamanan
   • Administrator Global

   Lalu, navigasikan ke panel Information Protection Azure.

   Misalnya, dalam kotak pencarian untuk sumber daya, layanan, dan dokumen, mulailah mengetik Informasi dan pilih Azure Information Protection.

2. Membuat kluster pemindai. Kluster ini menentukan pemindai Anda dan digunakan untuk mengidentifikasi instans pemindai, seperti selama penginstalan, pemutakhiran, dan proses lainnya.

3. Buat pekerjaan pemindaian konten untuk menentukan repositories yang ingin Anda pindai.

Membuat kluster pemindai

1. Dari menu Pemindai di sebelah kiri, pilih Kluster.

2. Di panel Azure Information Protection - Kluster, pilih Tambahkan.

3. Pada panel Tambahkan kluster baru , masukkan nama yang bermakna untuk pemindai, dan deskripsi opsional.

   Nama kluster digunakan untuk mengidentifikasi konfigurasi dan reposisi pemindai. Misalnya, Anda mungkin masuk ke Eropa untuk mengidentifikasi lokasi geografis tempat penyimpanan data yang ingin Anda pindai.

   Anda akan menggunakan nama ini nanti untuk mengidentifikasi tempat Anda ingin menginstal atau memutakhirkan pemindai.

4. Pilih Simpan untuk menyimpan perubahan Anda.

Membuat pekerjaan pemindaian jaringan (pratinjau publik)

Tambahkan satu atau beberapa repositori yang ditemukan ke pekerjaan pemindaian konten untuk memindainya untuk konten sensitif.

Catatan

Kami akan menenggelamkan analitik azure Information Protection per 18 Maret 2022, dengan masa pensiun penuh dijadwalkan pada 30 September 2022.

Kami juga sedang menenggelamkan fitur penemuan jaringan pemindai pada garis waktu yang sama. Pekerjaan pemindaian jaringan saat ini hanya tersedia bagi pelanggan yang memiliki ruang kerja Analitik Log yang sudah ada untuk menyimpan log audit AIP. Untuk informasi selengkapnya, lihat Layanan yang dihapus dan dihentikan.

Ketentuan Tambahan Pratinjau Azure menyertakan ketentuan hukum tambahan yang berlaku untuk fitur Azure yang beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Tabel berikut ini menjelaskan prasyarat yang diperlukan untuk layanan penemuan jaringan:

Prasyarat	Deskripsi
Menginstal layanan Penemuan Jaringan	Jika Anda baru saja memutakhirkan pemindai, Anda mungkin masih perlu menginstal layanan Penemuan Jaringan. Jalankan cmdlet Install-MIPNetworkDiscovery untuk mengaktifkan pekerjaan pemindaian jaringan.
Analitik Azure Information Protection	Pastikan Anda mengaktifkan analitik Azure Information Protection. Di portal Azure, masuk ke Azure Information Protection > Kelola > Konfigurasi analitik (Pratinjau). Untuk informasi selengkapnya, lihat Pelaporan terpusat untuk Azure Information Protection (pratinjau publik).

Untuk membuat pekerjaan pemindaian jaringan

1. Masuk ke portal Azure, lalu masuk ke Information Protection Azure. Di bawah menu Pemindai di sebelah kiri, pilih Pekerjaan pemindaian jaringan (Pratinjau).

2. Di panel pekerjaan Azure Information Protection - Pemindaian jaringan, pilih Tambahkan.

3. Di halaman Tambahkan pekerjaan pemindaian jaringan baru , tentukan pengaturan berikut:

   Pengaturan	Deskripsi
   Nama pekerjaan pemindaian jaringan	Masukkan nama yang bermakna untuk pekerjaan ini. Bidang ini diperlukan.
   Deskripsi	Masukkan deskripsi yang bermakna.
   Pilih kluster	Dari menu menurun, pilih kluster yang ingin digunakan untuk memindai lokasi jaringan yang dikonfigurasi. Tips: Ketika memilih kluster, pastikan bahwa simpul dalam kluster yang Anda tetapkan dapat mengakses rentang IP yang dikonfigurasi melalui SMB.
   Mengonfigurasi rentang IP untuk ditemukan	Klik untuk menentukan alamat IP atau rentang. Di panel Pilih rentang IP , masukkan nama opsional, lalu mulai alamat IP dan akhiri alamat IP untuk rentang Anda. Tips: Untuk memindai alamat IP tertentu saja, masukkan alamat IP yang identik di bidang Mulai IP dan AkhirI IP .
   Atur jadwal	Tentukan seberapa sering Anda ingin pekerjaan pemindaian jaringan ini dijalankan. Jika Anda memilih Mingguan, pengaturan Jalankan pekerjaan pemindaian jaringan pada muncul. Pilih hari dalam seminggu tempat Anda ingin menjalankan pekerjaan pemindaian jaringan.
   Mengatur waktu mulai (UTC)	Tentukan tanggal dan waktu yang Anda inginkan untuk menjalankan pekerjaan pemindaian jaringan ini. Jika Anda telah memilih untuk menjalankan pekerjaan setiap hari, mingguan, atau bulanan, pekerjaan akan berjalan pada waktu yang ditentukan, pada pengulangan yang Anda pilih. Catatan: Berhati-hatilah saat mengatur tanggal ke hari apa pun pada akhir bulan. Jika Anda memilih 31, pekerjaan pemindaian jaringan tidak akan berjalan dalam bulan apa pun yang memiliki 30 hari atau kurang.

4. Pilih Simpan untuk menyimpan perubahan Anda.

Tips

Jika Anda ingin menjalankan pemindaian jaringan yang sama menggunakan pemindai yang berbeda, ubah kluster yang ditentukan dalam pekerjaan pemindaian jaringan.

Kembali ke panel Pekerjaan pemindaian jaringan , dan pilih Tetapkan ke kluster untuk memilih klaster lain sekarang, atau Hapus penetapan kluster untuk membuat perubahan tambahan nanti.

Menganalisis repositori berisiko yang ditemukan (pratinjau publik)

Repositori yang ditemukan, baik dengan pekerjaan pemindaian jaringan, pekerjaan pemindaian konten, atau menurut akses pengguna yang terdeteksi dalam file log, diagregat dan tercantum di panel ikon RepositoriesRepositories Pemindai>.

Jika Anda telah menentukan pekerjaan pemindaian jaringan dan telah mengaturnya untuk berjalan pada tanggal dan waktu tertentu, tunggu hingga selesai berjalan untuk memeriksa hasil. Anda juga dapat kembali ke sini setelah menjalankan pekerjaan pemindaian konten untuk menampilkan data yang diperbarui.

Catatan

Fitur Azure Information Protection Repositories saat ini sedang dalam PRATINJAU. Ketentuan Tambahan Pratinjau Azure menyertakan ketentuan hukum tambahan yang berlaku untuk fitur Azure yang beta, pratinjau, atau belum dirilis ke ketersediaan umum.

1. Di bawah menu Pemindai di sebelah kiri, pilih Penyimpanan.

   Repositories yang ditemukan diperlihatkan sebagai berikut:

   • Grafik Repositories menurut status memperlihatkan berapa banyak repositori yang sudah dikonfigurasi untuk pekerjaan pemindaian konten, dan berapa banyak yang belum.
   • 10 repositori teratas yang tidak dikelola oleh access graph mencantumkan 10 repositori teratas yang saat ini tidak ditetapkan ke pekerjaan pemindaian konten, serta detail tentang tingkat akses mereka. Tingkat akses dapat menunjukkan betapa berisikonya repositories Anda.
   • Tabel di bawah grafik mencantumkan setiap repository yang ditemukan beserta detailnya.

2. Lakukan salah satu hal berikut ini:

   Pilihan	Deskripsi
   	Pilih Kolom untuk mengubah kolom tabel yang ditampilkan.
   	Jika pemindai Anda baru-baru ini menjalankan hasil pemindaian jaringan, pilih Refresh untuk merefresh halaman.
   	Pilih satu atau beberapa repositori yang tercantum dalam tabel, lalu pilih Tetapkan Item Terpilih untuk menetapkannya ke pekerjaan pemindaian konten.
   Filter	Baris filter memperlihatkan kriteria pemfilteran apa pun yang saat ini diterapkan. Pilih salah satu kriteria yang diperlihatkan untuk mengubah pengaturannya, atau pilih Tambahkan Filter untuk menambahkan kriteria pemfilteran baru. Pilih Filter untuk menerapkan perubahan Anda dan merefresh tabel dengan filter yang diperbarui.
   	Di sudut kanan atas grafik repositories yang tidak dikelola, klik ikon Log Analytics untuk melompat ke data Analitik Log untuk repositories ini.

Repositories di mana Akses publik ditemukan memiliki kapabilitas baca atau baca/tulis mungkin memiliki konten sensitif yang harus diamankan. Jika Akses publik salah, penyimpanan tidak dapat diakses oleh publik sama sekali.

Akses publik ke repositori hanya dilaporkan jika Anda telah menetapkan akun yang lemah dalam parameter StandardDomainsUserAccount dari cmdlet Install-MIPNetworkDiscovery atau Set-MIPNetworkDiscoveryConfiguration .

• Akun yang ditentukan dalam parameter ini digunakan untuk mensimulasikan akses pengguna yang lemah ke repository. Jika pengguna yang lemah yang ditentukan di sana dapat mengakses repository, artinya repository dapat diakses secara publik.

• Untuk memastikan bahwa akses publik dilaporkan dengan benar, pastikan bahwa pengguna yang ditentukan dalam parameter ini adalah anggota grup Pengguna Domain saja.

Membuat pekerjaan pemindaian konten

Mendalami konten Anda untuk memindai repositori tertentu untuk konten sensitif.

Anda mungkin ingin melakukan ini hanya setelah menjalankan pekerjaan pemindaian jaringan untuk menganalisis repositori di jaringan Anda, tetapi juga dapat menentukan sendiri repositories Anda.

Untuk membuat pekerjaan pemindaian konten di portal Azure:

1. Di bawah menu Pemindai di sebelah kiri, pilih Pekerjaan pemindaian konten.

2. Di panel pekerjaan Azure Information Protection - Pemindaian konten, pilih Tambahkan.

3. Untuk konfigurasi awal ini, konfigurasi pengaturan berikut, lalu pilih Simpan tapi jangan tutup panel.

   Pengaturan	Deskripsi
   Pengaturan pekerjaan pemindaian konten	- Jadwal: Pertahankan default Manual - Tipe info yang akan ditemukan: Ubah ke Kebijakan saja - Mengonfigurasi repositories: Jangan konfigurasi saat ini karena pekerjaan pemindaian konten harus disimpan terlebih dahulu.
   Kebijakan DLP	Jika Anda menggunakan kebijakan Microsoft 365 Pencegahan Kehilangan Data (DLP), atur Aktifkan aturan DLP ke Aktif. Untuk informasi selengkapnya, lihat Menggunakan kebijakan DLP.
   Kebijakan sensitivitas	- Berlakukan: Pilih Nonaktif - File label berdasarkan konten: Pertahankan default Aktif - Label default: Pertahankan default Kebijakan default - File relabel: Pertahankan default Nonaktif
   Mengonfigurasi pengaturan file	- Pertahankan "Tanggal diubah", "Terakhir diubah" dan "Diubah oleh": Pertahankan default Aktif - Tipe file yang akan dipindai: Menyimpan tipe file default untuk Dikecualikan - Pemilik default: Menyimpan default Akun Pemindai - Atur pemilik penyimpanan: Gunakan opsi ini hanya saat menggunakan kebijakan DLP.

4. Setelah pekerjaan pemindaian konten dibuat dan disimpan, Anda siap untuk kembali ke opsi Konfigurasi penyimpanan untuk menentukan penyimpanan data yang akan dipindai.

   Tentukan jalur UNC dan URL Server SharePoint untuk SharePoint pustaka dan folder dokumen lokal.

   Catatan

   SharePoint Server 2019, SharePoint Server 2016, dan SharePoint Server 2013 didukung untuk SharePoint.

   Untuk menambahkan penyimpanan data pertama Anda, saat berada di panel Pekerjaan pemindaian pindai konten baru , pilih Konfigurasi repositories untuk membuka panel Repositories :

   

   1. Pada panel Repositories , pilih Tambahkan:

      

   2. Pada panel Penyimpanan , tentukan jalur untuk penyimpanan data, lalu pilih Simpan.

      • Untuk berbagi jaringan, gunakan \\Server\Folder.
      • Untuk pustaka SharePoint, gunakan http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • Untuk jalur lokal: C:\Folder
      • Untuk jalur UNC: \\Server\Folder

   Catatan

   Wildcard tidak didukung dan lokasi WebDav tidak didukung.

   Jika Anda menambahkan jalur SharePoint untuk Dokumen Bersama:

   • Tentukan Dokumen Bersama di jalur ketika Anda ingin memindai semua dokumen dan semua folder dari Dokumen Bersama. Misalnya: http://sp2013/SharedDocuments
   • Tentukan Dokumen di jalur saat Anda ingin memindai semua dokumen dan semua folder dari subfolder di bawah Dokumen Bersama. Misalnya: http://sp2013/Documents/SalesReports
   • Atau, tentukan hanya FQDN Sharepoint Anda, misalnya http://sp2013 untuk menemukan dan memindai semua situs dan subsitus SharePoint di bawah URL dan subjudul tertentu di bawah URL ini. Berikan hak Auditor Kolektor Situs pemindai untuk mengaktifkannya.

   Untuk pengaturan yang tersisa di panel ini, jangan ubah pengaturan tersebut untuk konfigurasi awal ini, tetapi tetap gunakan pengaturan tersebut sebagai default pekerjaan pemindaian konten. Pengaturan default berarti bahwa penyimpanan data mewarisi pengaturan dari pekerjaan pemindaian konten.

   Gunakan sintaks berikut saat menambahkan jalur SharePoint:

   Jalan	Sintaks
   Jalur akar	http://<SharePoint server name> Memindai semua situs, termasuk kumpulan situs apa pun yang diperbolehkan untuk pengguna pemindai. Memerlukan izin tambahan untuk menemukan konten akar secara otomatis
   Subsitus atau koleksi SharePoint tertentu	Salah satu hal berikut ini: - http://<SharePoint server name>/<subsite name> - http://SharePoint server name>/<site collection name>/<site name> Memerlukan izin tambahan untuk menemukan konten kumpulan situs secara otomatis
   Pustaka SharePoint tertentu	Salah satu hal berikut ini: - http://<SharePoint server name>/<library name> - http://SharePoint server name>/.../<library name>
   Folder SharePoint tertentu	http://<SharePoint server name>/.../<folder name>

5. Ulangi langkah sebelumnya untuk menambahkan sebanyak mungkin repositori sesuai kebutuhan.

   Setelah selesai, tutup panel pekerjaan Pemindaian Repositories dan Konten .

Kembali ke panel kerja pemindaian Azure Information Protection - Konten, nama pemindaian konten Anda ditampilkan, bersama-sama dengan kolom JADWAL memperlihatkan Manual dan kolom ENFORCE kosong.

Kini Anda siap untuk menginstal pemindai dengan pekerjaan pemindai konten yang telah dibuat. Lanjutkan dengan Instal pemindai.

Menginstal pemindai

Setelah mengonfigurasi pemindai azure Information Protection, lakukan langkah-langkah di bawah ini untuk menginstal pemindai. Prosedur ini dilakukan sepenuhnya di PowerShell.

1. Masuk ke komputer Windows Server yang akan menjalankan pemindai. Gunakan akun yang memiliki hak administrator lokal dan yang memiliki izin untuk menulis ke database master SQL Server.

   Penting

   Anda harus menginstal klien pelabelan terpadu AIP di komputer Anda sebelum menginstal pemindai.

   Untuk informasi selengkapnya, lihat Prasyarat untuk menginstal dan menyebarkan pemindai Information Protection Azure.

2. Buka sesi Windows PowerShell dengan opsi Jalankan sebagai administrator.

3. Jalankan cmdlet Install-AIPScanner, tentukan instans SQL Server anda untuk membuat database untuk pemindai Azure Information Protection, dan nama kluster pemindai yang Anda tentukan di bagian sebelumnya:

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   Contoh, menggunakan nama kluster pemindai Eropa:

   • Untuk contoh default: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

   • Untuk contoh bernama: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

   • Untuk SQL Server Express:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

   Ketika diminta, berikan kredensial Direktori Aktif untuk akun layanan pemindai.

   Gunakan sintaks berikut: \<domain\user name>. Misalnya: contoso\scanneraccount

4. Verifikasi bahwa layanan sekarang diinstal dengan menggunakan AdministrativeToolsServices>.

   Layanan yang diinstal bernama Azure Information Protection Scanner dan dikonfigurasi untuk dijalankan menggunakan akun layanan pemindai yang Anda buat.

Setelah menginstal pemindai, Anda perlu mendapatkan token Azure AD untuk mengautentikasi akun layanan pemindai agar pemindai dapat berjalan tanpa dipantau.

Dapatkan token Azure AD untuk pemindai

Token Azure AD memungkinkan pemindai mengautentikasi ke layanan azure Information Protection, memungkinkan pemindai berjalan secara non-interaktif.

Untuk informasi selengkapnya, lihat Cara memberi label file secara non-interaktif untuk Azure Information Protection.

Untuk mendapatkan token Azure AD:

1. Buka portal Azure untuk membuat aplikasi Azure AD guna menentukan token akses untuk autentikasi.

2. Dari komputer Windows Server, jika akun layanan pemindai Anda telah diberi hak masuk secara lokal untuk penginstalan, masuk dengan akun ini dan mulai sesi PowerShell.

   Jalankan Set-AIPAuthentication, menentukan nilai yang Anda salin dari langkah sebelumnya:

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   Misalnya:

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   Tips

   Jika akun layanan pemindai Anda tidak dapat diberikan Langsung Masuk secara lokal untuk penginstalan, gunakan parameter OnBehalfOf dengan Set-AIPAuthentication, seperti yang dijelaskan dalam Cara memberi label file secara non-interaktif untuk Azure Information Protection.

Pemindai kini memiliki token untuk diautentikasi ke Azure AD. Token ini berlaku selama satu tahun, dua tahun, atau tidak pernah, sesuai dengan konfigurasi rahasia klien Aplikasi Web /API Anda di Azure AD. Ketika token kedaluwarsa, Anda harus mengulangi prosedur ini.

Lanjutkan menggunakan salah satu langkah berikut, bergantung pada apakah Anda menggunakan portal Azure untuk mengonfigurasi pemindai, atau PowerShell saja:

portal Azure saja

Kini Anda siap untuk menjalankan pemindaian pertama dalam mode penemuan. Untuk informasi selengkapnya, lihat Menjalankan siklus penemuan dan menampilkan laporan untuk pemindai.

Setelah menjalankan pemindaian penemuan awal, lanjutkan dengan Konfigurasi pemindai untuk menerapkan klasifikasi dan perlindungan.

PowerShell saja

Jika mengonfigurasi dan menginstal pemindai menggunakan PowerShell, bukan halaman pemindai di portal Azure, lanjutkan dengan langkah berikutnya dalam Menggunakan PowerShell untuk mengonfigurasi pemindai.

Kemudian:

• Menjalankan siklus penemuan dan menampilkan laporan untuk pemindai
• Menggunakan PowerShell untuk mengonfigurasi pemindai untuk menerapkan klasifikasi dan proteksi
• Menggunakan PowerShell untuk mengonfigurasi kebijakan DLP dengan pemindai

Catatan

Untuk informasi selengkapnya, lihat Cara memberi label file secara non-interaktif untuk Azure Information Protection

Mengonfigurasi pemindai untuk menerapkan klasifikasi dan proteksi

Pengaturan default mengonfigurasi pemindai untuk dijalankan satu kali, dan dalam mode pelaporan saja. Untuk mengubah pengaturan ini, edit pekerjaan pemindaian konten.

Tips

Jika Anda hanya bekerja di PowerShell, lihat Mengonfigurasi pemindai untuk menerapkan klasifikasi dan proteksi - PowerShell saja.

Untuk mengonfigurasi pemindai agar menerapkan klasifikasi dan proteksi:

1. Di portal Azure, di panel pekerjaan Pemindaian konten Information Protection Azure, pilih tugas pemindaian klaster dan konten untuk mengeditnya.

2. Pada panel pekerjaan pemindaian konten, ubah hal berikut ini, lalu pilih Simpan:

   • Dari bagian Pekerjaan pemindaian konten : Ubah Jadwal menjadi Selalu
   • Dari bagian Kebijakan sensitivitas : Ubah Berlakukan ke Aktif

   Tips

   Anda mungkin ingin mengubah pengaturan lain di panel ini, seperti apakah atribut file diubah dan apakah pemindai dapat melabeli file. Gunakan bantuan popup informasi untuk mempelajari informasi selengkapnya tentang setiap pengaturan konfigurasi.

3. Catat waktu saat ini dan mulai kembali pemindai dari azure Information Protection - Panel pekerjaan pemindaian konten:

   

Pemindai kini dijadwalkan untuk berjalan terus menerus. Ketika pemindai bekerja dengan caranya melalui semua file yang dikonfigurasi, pemindai secara otomatis memulai siklus baru sehingga file baru dan yang diubah ditemukan.

Menggunakan kebijakan DLP

Menggunakan kebijakan Microsoft 365 Pencegahan Kehilangan Data (DLP, Data Loss Prevention) memungkinkan pemindai mendeteksi potensi kebocoran data dengan mencocokkan aturan DLP ke file yang disimpan dalam berbagi file dan server SharePoint.

• Aktifkan aturan DLP dalam pekerjaan pemindaian konten Anda untuk mengurangi eksposur file apa pun yang sesuai dengan kebijakan DLP Anda. Saat aturan DLP Diaktifkan, pemindai dapat mengurangi akses file ke pemilik data saja, atau mengurangi paparan ke grup berskala jaringan, seperti Semua Orang, Pengguna Terautentikasi, atau Pengguna Domain.

• Dalam pusat kepatuhan Microsoft 365, tentukan apakah Anda hanya menguji kebijakan DLP atau apakah Anda ingin aturan diberlakukan dan izin file Anda berubah sesuai dengan aturan tersebut. Untuk informasi selengkapnya, lihat Mengaktifkan kebijakan DLP.

Kebijakan DLP dikonfigurasi dalam pusat kepatuhan Microsoft 365. Untuk informasi selengkapnya tentang lisensi DLP, lihat Mulai menggunakan pemindai pencegahan kehilangan data di tempat.

Tips

Memindai file Anda, bahkan ketika hanya menguji kebijakan DLP, juga membuat laporan izin file. Buat kueri laporan ini untuk menyelidiki eksposur file tertentu atau menjelajahi eksposur pengguna tertentu ke file yang dipindai.

Untuk menggunakan PowerShell saja, lihat Menggunakan kebijakan DLP dengan pemindai - PowerShell saja.

Untuk menggunakan kebijakan DLP dengan pemindai:

1. Di portal Azure, navigasikan ke pekerjaan pemindaian konten Anda. Untuk informasi selengkapnya, lihat Membuat pekerjaan pemindaian konten.

2. Di bawah Kebijakan DLP, atur Aktifkan aturan DLP ke Aktif.

   Penting

   Jangan atur Aktifkan aturan DLP ke Aktif kecuali Anda benar-benar memiliki kebijakan DLP yang dikonfigurasi dalam Microsoft 365.

   Mengaktifkan fitur ini tanpa kebijakan DLP akan menyebabkan pemindai menghasilkan kesalahan.

3. (Opsional) Di bawah Konfigurasi pengaturan file, atur pemilik penyimpanan ke Aktif, dan tentukan pengguna tertentu sebagai pemilik penyimpanan.

   Opsi ini memungkinkan pemindai untuk mengurangi paparan file apa pun yang ditemukan dalam penyimpanan ini, yang sesuai dengan kebijakan DLP, dengan pemilik repository yang ditentukan.

Kebijakan DLP dan melakukan tindakan privat

Jika Anda menggunakan kebijakan DLP dengan tindakan membuat privat , dan juga berencana menggunakan pemindai untuk memberi label file secara otomatis, kami menyarankan agar Anda juga menentukan pengaturan tingkat lanjut UseCopyAndPreserveNTFSOwner klien terpadu.

Pengaturan ini memastikan bahwa pemilik asli mempertahankan akses ke file mereka.

Untuk informasi selengkapnya, lihat Membuat pekerjaan pemindaian konten dan Menerapkan label sensitivitas ke konten secara otomatis dalam dokumentasi Microsoft 365.

Mengubah tipe file yang akan diproteksi

Secara default, pemindai AIP hanya melindungi tipe file Office dan file PDF.

Gunakan perintah PowerShell untuk mengubah perilaku ini sesuai kebutuhan, seperti mengonfigurasi pemindai untuk memproteksi semua tipe file, sama seperti yang dilakukan klien, atau untuk melindungi tipe file tertentu tambahan.

Untuk kebijakan label yang berlaku untuk label pengunduhan akun pengguna untuk pemindai, tentukan pengaturan tingkat lanjut PowerShell bernama PFileSupportedExtensions.

Untuk pemindai yang memiliki akses ke internet, akun pengguna ini adalah akun yang Anda tentukan untuk parameter DelegatedUser dengan perintah Set-AIPAuthentication.

Contoh 1: Perintah PowerShell untuk pemindai untuk melindungi semua tipe file, di mana kebijakan label Anda bernama "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Contoh 2: Perintah PowerShell untuk pemindai untuk melindungi file .xml dan file .tiff selain file Office dan file PDF, di mana kebijakan label Anda bernama "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Untuk informasi selengkapnya, lihat Mengubah tipe file yang akan diproteksi.

Mutakhirkan pemindai Anda

Jika Sebelumnya Anda telah menginstal pemindai dan ingin memutakhirkan, gunakan instruksi yang dijelaskan dalam Memutakhirkan pemindai azure Information Protection.

Lalu, konfigurasikan dan gunakan pemindai seperti biasa, lewati langkah-langkah untuk menginstal pemindai Anda.

Mengedit pengaturan penyimpanan data secara massal

Gunakan tombol Ekspor dan Impor untuk membuat perubahan bagi pemindai Anda di beberapa repositories.

Dengan cara ini, Anda tidak perlu membuat perubahan yang sama beberapa kali, secara manual, dalam portal Azure.

Misalnya, jika Anda memiliki tipe file baru di beberapa repositori data SharePoint, Anda mungkin ingin memperbarui pengaturan untuk repositori tersebut secara massal.

Untuk membuat perubahan secara massal di seluruh repositori:

1. Di portal Azure di panel Penyimpanan, pilih opsi Ekspor. Misalnya:

   

2. Edit file yang diekspor secara manual untuk membuat perubahan Anda.

3. Gunakan opsi Impor di halaman yang sama untuk mengimpor kembali pembaruan di seluruh repositori Anda.

Menggunakan pemindai dengan konfigurasi alternatif

Pemindai Azure Information Protection biasanya mencari kondisi yang ditentukan untuk label Anda untuk mengklasifikasikan dan melindungi konten Anda sesuai kebutuhan.

Dalam skenario berikut, pemindai Azure Information Protection juga dapat memindai konten Anda dan mengelola label, tanpa kondisi yang dikonfigurasi:

• Menerapkan label default ke semua file dalam penyimpanan data
• Menghapus label yang sudah ada dari semua file dalam penyimpanan data
• Mengidentifikasi semua kondisi kustom dan tipe informasi sensitif yang diketahui

Menerapkan label default ke semua file dalam penyimpanan data

Dalam konfigurasi ini, semua file tanpa label di repository diberi label default yang ditentukan untuk penyimpanan atau pekerjaan pemindaian konten. File diberi label tanpa inspeksi.

Mengonfigurasi pengaturan berikut:

Pengaturan	Deskripsi
Memberi label file berdasarkan konten	Atur ke Nonaktif
Label default	Atur ke Kustom, lalu pilih label yang akan digunakan
Memberlakukan label default	Pilih agar label default diterapkan ke semua file, bahkan jika label sudah dilabeli.

Menghapus label yang sudah ada dari semua file dalam penyimpanan data

Dalam konfigurasi ini, semua label yang sudah ada dihapus, termasuk proteksi, jika proteksi diterapkan dengan label. Proteksi yang diterapkan secara terpisah dari label dipertahankan.

Mengonfigurasi pengaturan berikut:

Pengaturan	Deskripsi
Memberi label file berdasarkan konten	Atur ke Nonaktif
Label default	Atur ke Tidak Ada
File pemberontak	Atur ke Aktif, dengan kotak centang Terapkan label default dipilih

Mengidentifikasi semua kondisi kustom dan tipe informasi sensitif yang diketahui

Konfigurasi ini memungkinkan Anda menemukan informasi sensitif yang mungkin tidak Anda sadari, dengan mengorbankan kecepatan pemindaian untuk pemindai.

Atur tipe Info untuk ditemukan ke Semua.

Untuk mengidentifikasi kondisi dan tipe informasi untuk pelabelan, pemindai menggunakan setiap tipe informasi sensitif kustom yang ditentukan, dan daftar tipe informasi sensitif bawaan yang tersedia untuk dipilih, seperti yang ditentukan di pusat manajemen label Anda.

Optimalkan kinerja pemindai

Catatan

Jika Anda ingin meningkatkan respons komputer pemindai daripada kinerja pemindai, gunakan pengaturan klien tingkat lanjut untuk membatasi jumlah utas yang digunakan oleh pemindai.

Gunakan opsi dan panduan berikut ini untuk membantu Anda mengoptimalkan kinerja pemindai:

Pilihan	Deskripsi
Memiliki koneksi jaringan berkecepatan tinggi dan andal antara komputer pemindai dan penyimpanan data yang dipindai	Misalnya, letakkan komputer pemindai di LAN yang sama, atau sebaiknya, di segmen jaringan yang sama dengan penyimpanan data yang dipindai. Kualitas koneksi jaringan mempengaruhi kinerja pemindai karena, untuk memeriksa berkas, pemindai mentransfer isi berkas ke komputer yang menjalankan layanan pemindai. Mengurangi atau menghilangkan lompatan jaringan yang diperlukan agar data dapat bepergian juga mengurangi beban di jaringan Anda.
Pastikan komputer pemindai memiliki sumber daya prosesor yang tersedia	Memeriksa konten file dan mengenkripsi dan mendekripsi file adalah tindakan intensif prosesor. Pantau siklus pemindaian umum untuk penyimpanan data tertentu untuk mengidentifikasi apakah kurangnya sumber daya prosesor berdampak negatif pada kinerja pemindai.
Menginstal beberapa contoh pemindai	Pemindai Azure Information Protection mendukung beberapa database konfigurasi pada contoh server SQL yang sama ketika Anda menentukan nama klaster kustom untuk pemindai. Tips: Beberapa pemindai juga dapat berbagi klaster yang sama, menghasilkan waktu pemindaian yang lebih cepat. Jika berencana untuk menginstal pemindai di beberapa mesin dengan instans database yang sama, dan ingin pemindai berjalan secara paralel, Anda harus menginstal semua pemindai menggunakan nama kluster yang sama.
Periksa penggunaan konfigurasi alternatif Anda	Pemindai berjalan lebih cepat ketika Anda menggunakan konfigurasi alternatif untuk menerapkan label default ke semua file karena pemindai tidak memeriksa konten file. Pemindai berjalan lebih lambat ketika Anda menggunakan konfigurasi alternatif untuk mengidentifikasi semua kondisi kustom dan tipe informasi sensitif yang diketahui.

Faktor tambahan yang memengaruhi kinerja

Faktor tambahan yang memengaruhi kinerja pemindai meliputi:

Faktor	Deskripsi
Waktu muat/respons	Waktu muat dan respons penyimpanan data saat ini yang berisi file yang akan dipindai juga akan memengaruhi kinerja pemindai.
Mode pemindai (Penemuan / Penerapan)	Mode penemuan biasanya memiliki tingkat pemindaian yang lebih tinggi daripada mode penerapan. Penemuan memerlukan satu tindakan baca file, sedangkan mode penerapan memerlukan tindakan baca dan tulis.
Perubahan kebijakan	Kinerja pemindai Anda mungkin terpengaruh jika Anda telah membuat perubahan pada autolabeling dalam kebijakan label. Siklus pemindaian pertama Anda, ketika pemindai harus memeriksa setiap file, akan memakan waktu lebih lama daripada siklus pemindaian berikutnya secara default, hanya memeriksa file baru dan yang diubah. Jika Anda mengubah kondisi atau pengaturan penandaan otomatis, semua file akan dipindai lagi. Untuk informasi selengkapnya, lihat Mecandukan kembali file.
Konstruksi regex	Kinerja pemindai dipengaruhi oleh bagaimana ekspresi regex Anda untuk kondisi kustom disusun. Untuk menghindari konsumsi memori berat dan risiko waktu habis (15 menit per file), tinjau ekspresi regex Anda untuk pencocokan pola yang efisien. Misalnya: - Hindari kuantifer serakah - Gunakan grup yang tidak merekam seperti (?:expression) bukan (expression)
Tingkat log	Opsi tingkat log mencakup Debug, Info, Kesalahan dan Nonaktif untuk laporan pemindai. - Hasil nonaktif dalam kinerja terbaik - Debug sangat memperlambat pemindai dan harus digunakan hanya untuk pemecahan masalah. Untuk informasi selengkapnya, lihat parameter ReportLevel untuk cmdlet Set-AIPScannerConfiguration .
File sedang dipindai	- Dengan pengecualian file Excel, file Office lebih cepat dipindai daripada file PDF. - File tanpa proteksi lebih cepat untuk dipindai daripada file yang dilindungi. - File besar jelas membutuhkan waktu lebih lama untuk memindai daripada file kecil.

Menggunakan PowerShell untuk mengonfigurasi pemindai

Bagian ini menjelaskan langkah-langkah yang diperlukan untuk mengonfigurasi dan menginstal pemindai lokal AIP saat Anda tidak memiliki akses ke halaman pemindai di portal Azure, dan harus menggunakan PowerShell saja.

Penting

• Beberapa langkah mengharuskan Powershell apakah Anda dapat mengakses halaman pemindai dalam portal Azure atau tidak, dan identik. Untuk langkah-langkah ini, lihat instruksi sebelumnya dalam artikel ini seperti yang ditunjukkan.

• Jika Anda bekerja dengan pemindai untuk Azure China 21Vianet, langkah-langkah tambahan diperlukan selain instruksi yang dirinci di sini. Untuk informasi selengkapnya, lihat dukungan Azure Information Protection untuk Office 365 yang dioperasikan oleh 21Vianet.

Untuk informasi selengkapnya, lihat Cmdlet PowerShell yang didukung.

Untuk mengonfigurasi dan menginstal pemindai Anda:

1. Mulai dengan PowerShell tertutup. Jika Sebelumnya Anda telah menginstal klien dan pemindai AIP, pastikan bahwa layanan AIPScanner dihentikan.

2. Buka sesi Windows PowerShell dengan opsi Jalankan sebagai administrator.

3. Jalankan perintah Install-AIPScanner untuk menginstal pemindai di instance server SQL Anda, dengan parameter Cluster untuk menentukan nama kluster Anda.

   Langkah ini identik apakah Anda dapat mengakses halaman pemindai dalam portal Azure atau tidak. Untuk informasi selengkapnya, lihat instruksi sebelumnya dalam artikel ini: Menginstal pemindai

4. Dapatkan token Azure untuk digunakan dengan pemindai Anda, lalu autentikasi ulang.

   Langkah ini identik apakah Anda dapat mengakses halaman pemindai dalam portal Azure atau tidak. Untuk informasi selengkapnya, lihat instruksi sebelumnya dalam artikel ini: Dapatkan token Azure AD untuk pemindai.

5. Jalankan cmdlet Set-AIPScannerConfiguration untuk mengatur pemindai agar berfungsi dalam mode offline. Menjalankan:

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

6. Jalankan cmdlet Set-AIPScannerContentScanJob untuk membuat pekerjaan pemindaian konten default.

   Satu-satunya parameter yang diperlukan dalam cmdlet Set-AIPScannerContentScanJob adalah Enforce. Namun, Anda mungkin ingin menentukan pengaturan lain untuk pekerjaan pemindaian konten Anda saat ini. Misalnya:

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   Sintaks di atas mengonfigurasi pengaturan berikut saat Anda melanjutkan konfigurasi:

   • Membuat pemindai tetap menjalankan penjadwalan ke manual
   • Mengatur tipe informasi yang akan ditemukan berdasarkan kebijakan pelabelan sensitivitas
   • Tidak menerapkan kebijakan pelabelan sensitivitas
   • Secara otomatis melabeli file berdasarkan konten, menggunakan label default yang ditentukan untuk kebijakan pelabelan sensitivitas
   • Tidak memperbolehkan untuk melabeli file
   • Mempertahankan detail file saat memindai dan memberi label otomatis, termasuk tanggal diubah, terakhir diubah, dan diubah menurut nilai
   • Mengatur pemindai untuk mengecualikan file .msg dan .tmp saat dijalankan
   • Mengatur pemilik default ke akun yang ingin Anda gunakan saat menjalankan pemindai

7. Gunakan cmdlet Add-AIPScannerRepository untuk menentukan repositori yang ingin Anda pindai dalam pekerjaan pemindaian konten. Misalnya, jalankan:

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   Gunakan salah satu sintaks berikut, bergantung pada tipe repository yang Anda tambahkan:

   • Untuk berbagi jaringan, gunakan \\Server\Folder.
   • Untuk pustaka SharePoint, gunakan http://sharepoint.contoso.com/Shared%20Documents/Folder.
   • Untuk jalur lokal: C:\Folder
   • Untuk jalur UNC: \\Server\Folder

   Catatan

   Wildcard tidak didukung dan lokasi WebDav tidak didukung.

   Untuk mengubah repositori nanti, gunakan cmdlet Set-AIPScannerRepository sebagai gantinya.

   Jika Anda menambahkan jalur SharePoint untuk Dokumen Bersama:

   • Tentukan Dokumen Bersama di jalur ketika Anda ingin memindai semua dokumen dan semua folder dari Dokumen Bersama. Misalnya: http://sp2013/SharedDocuments
   • Tentukan Dokumen di jalur saat Anda ingin memindai semua dokumen dan semua folder dari subfolder di bawah Dokumen Bersama. Misalnya: http://sp2013/Documents/SalesReports
   • Atau, tentukan hanya FQDN Sharepoint Anda, misalnya http://sp2013 untuk menemukan dan memindai semua situs dan subsitus SharePoint di bawah URL dan subjudul tertentu di bawah URL ini. Berikan hak Auditor Kolektor Situs pemindai untuk mengaktifkannya.

   Gunakan sintaks berikut saat menambahkan jalur SharePoint:

   Jalan	Sintaks
   Jalur akar	http://<SharePoint server name> Memindai semua situs, termasuk kumpulan situs apa pun yang diperbolehkan untuk pengguna pemindai. Memerlukan izin tambahan untuk menemukan konten akar secara otomatis
   Subsitus atau koleksi SharePoint tertentu	Salah satu hal berikut ini: - http://<SharePoint server name>/<subsite name> - http://SharePoint server name>/<site collection name>/<site name> Memerlukan izin tambahan untuk menemukan konten kumpulan situs secara otomatis
   Pustaka SharePoint tertentu	Salah satu hal berikut ini: - http://<SharePoint server name>/<library name> - http://SharePoint server name>/.../<library name>
   Folder SharePoint tertentu	http://<SharePoint server name>/.../<folder name>

Lanjutkan dengan langkah-langkah berikut sesuai kebutuhan:

• Mengonfigurasi AIP untuk pelanggan di Tiongkok
• Menjalankan siklus penemuan dan menampilkan laporan untuk pemindai
• Menggunakan PowerShell untuk mengonfigurasi pemindai untuk menerapkan klasifikasi dan proteksi
• Menggunakan PowerShell untuk mengonfigurasi kebijakan DLP dengan pemindai

Menggunakan PowerShell untuk mengonfigurasi pemindai untuk menerapkan klasifikasi dan proteksi

1. Jalankan cmdlet Set-AIPScannerContentScanJob untuk memperbarui pekerjaan pemindaian konten untuk mengatur penjadwalan Anda agar selalu dan menerapkan kebijakan sensitivitas Anda.

   Set-AIPScannerContentScanJob -Schedule Always -Enforce On
   

   Tips

   Anda mungkin ingin mengubah pengaturan lain di panel ini, seperti apakah atribut file diubah dan apakah pemindai dapat melabeli file. Untuk informasi selengkapnya tentang pengaturan yang tersedia, lihat dokumentasi Lengkap PowerShell.

2. Jalankan cmdlet Start-AIPScan untuk menjalankan pekerjaan pemindaian konten Anda:

   Start-AIPScan
   

Pemindai kini dijadwalkan untuk berjalan terus menerus. Ketika pemindai bekerja dengan caranya melalui semua file yang dikonfigurasi, pemindai secara otomatis memulai siklus baru sehingga file baru dan yang diubah ditemukan.

Menggunakan PowerShell untuk mengonfigurasi kebijakan DLP dengan pemindai

1. Jalankan cmdlet Set-AIPScannerContentScanJob lagi dengan parameter -EnableDLP diatur ke Aktif, dan dengan pemilik repositori tertentu yang ditentukan.

   Misalnya:

   Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
   

Cmdlet PowerShell yang didukung

Bagian ini mencantumkan cmdlet PowerShell yang didukung untuk pemindai Information Protection Azure dan instruksi untuk mengonfigurasi dan menginstal pemindai dengan PowerShell saja.

Cmdlet yang didukung untuk pemindai meliputi:

• Add-AIPScannerRepository

• Ekspor-AIPLogs

• Get-AIPScannerConfiguration

• Get-AIPScannerContentScanJob

• Get-AIPScannerRepository

• Get-AIPScannerStatus

• Get-MIPNetworkDiscoveryConfiguration

• Get-MIPNetworkDiscoveryJobs

• Get-MIPNetworkDiscoveryStatus

• Get-MIPScannerContentScanJob

• Get-AIPScannerRepository

• Import-AIPScannerConfiguration

• Set-MIPNetworkDiscovery

• Impor-MIPNetworkDiscoveryConfiguration

• Instal-AIPScanner

• Install-MIPNetworkDiscovery

• Remove-MIPScannerContentScanJob

• Hapus-AIPScannerRepository

• Set-AIPScanner

• Set-AIPScannerConfiguration

• Set-AIPScannerContentScanJob

• Set-AIPScannerRepository

• Set-MIPNetworkDiscoveryConfiguration

• Set-MIPScannerContentScanJob

• Set-AIPScannerRepository

• Start-AIPScan

• Start-AIPScanDiagnostics

• Start-MIPNetworkDiscovery

• Stop-AIPScan

• Remove-AIPScannerContentScanJob

• Hapus-AIPScannerRepository

• Hapus instalan-AIPScanner

• Hapus instalan-MIPNetworkDiscovery

• Update-AIPScanner

Langkah berikutnya

Setelah menginstal dan mengonfigurasi pemindai, mulailah memindai file Anda.

Lihat juga: Menyebarkan pemindai azure Information Protection untuk mengklasifikasi dan melindungi file secara otomatis.

Informasi selengkapnya:

• Tertarik dengan bagaimana tim Teknisi dan Operasi Layanan Inti di Microsoft menerapkan pemindai ini? Baca studi kasus teknis: Mengotomatisasi proteksi data dengan pemindai Azure Information Protection.

• Gunakan PowerShell untuk mengklasifikasi dan melindungi file secara interaktif dari komputer desktop Anda. Untuk informasi selengkapnya tentang skenario ini dan skenario lain yang menggunakan PowerShell, lihat Menggunakan PowerShell dengan Azure Information Protection klien label terpadu.