Esercitazione: Installazione dello scanner di etichettatura unificata Azure Information Protection (AIP)

Questa esercitazione descrive come installare lo scanner locale Azure Information Protection (AIP). Lo scanner consente agli amministratori di AIP di analizzare le reti e le condivisioni contenuto alla ricerca di dati riservati e di applicare le etichette di classificazione e protezione configurate nei criteri dell'organizzazione.

Tempo richiesto: è possibile completare questa esercitazione in 30 minuti.

Prerequisiti dell'esercitazione

Per installare lo scanner di etichettatura unificato e completare questa esercitazione, è necessario:

Requisito Descrizione
Un abbonamento di supporto Ti servirà una sottoscrizione di Azure che include Azure Information Protection.

Se non si ha uno di questi abbonamenti, creare un account gratuito per l'organizzazione.
Accesso ammini portale di Azure Assicurarsi di poter accedere al portale di Azure con uno degli account amministratore seguenti:

- Amministratore di conformità
- Amministratore dei dati di conformità
- Amministratore della sicurezza
- amministratore globale
Client installato Per accedere all'installazione dello scanner, installare innanzitutto il client di etichettatura unificata AIP nel computer che si userà per eseguire le analisi.

Scarica ed esegui il AzInfoProtection_UL.exedall'Area download Microsoft.

Una volta completata l'installazione, potrebbe essere richiesto di riavviare il computer o Office software. Riavvia in base alle esigenze per continuare.

Per altre informazioni, vedere Guida introduttiva: Distribuzione del client di etichettatura unificata di Azure Information Protection (AIP).
SQL Server Per eseguire lo scanner, è necessario SQL Server installato nel computer scanner.

Per installare, vai alla pagina di download SQL Server e seleziona Scarica ora nell'opzione di installazione che vuoi installare. Nel programma di installazione selezionare il tipo di installazione Di base .

Nota: è consigliabile installare SQL Server Enterprise per gli ambienti di produzione ed Esprimere solo per gli ambienti di test.
Azure Active Directory account Quando si lavora con un ambiente standard connesso al cloud, l'account del servizio di dominio che si vuole usare per lo scanner deve essere sincronizzato con Azure Active Directory. Questa operazione non è necessaria se si lavora offline.

In caso di dubbi sull'account, contattare uno degli amministratori di sistema per verificare lo stato di sincronizzazione.
Etichette di riservatezza e criteri pubblicati È necessario aver creato etichette di riservatezza e pubblicato un criterio con almeno un'etichetta nel Centro conformità Microsoft 365 per l'account del servizio scanner.

Configurare le etichette di riservatezza nel Centro conformità Microsoft 365. Per altre informazioni, vedere la documentazione Microsoft 365.

Per altre informazioni, vedere Requisiti per l'installazione e la distribuzione di Azure Information Protection scanner di etichettatura unificata. Dopo aver confermato i prerequisiti, configurare Azure Information Protection nel portale di Azure.

Configurare Azure Information Protection nel portale di Azure

Azure Information Protection potrebbe non essere disponibile nel portale di Azure o la protezione potrebbe non essere attivata al momento.

Eseguire uno o entrambi i passaggi seguenti, in base alle esigenze:

Quindi, continua con Configura le impostazioni iniziali dello scanner nel portale di Azure.

Aggiungere Information Protection di Azure al portale di Azure

  1. Accedere al portale di Azure con un account di amministratore di supporto.

  2. Selezionare + Crea una risorsa. Nella casella di ricerca cercare e quindi selezionare Azure Information Protection. Nella pagina Azure Information Protection selezionare Crea e quindi di nuovo Crea.

    Add Azure Information Protection to your Azure portal

    Mancia

    Se è la prima volta che esegui questo passaggio, vedrai l'icona Aggiungi al dashboardPin to dashboard icon accanto al nome del riquadro. Seleziona l'icona a forma di puntina per creare un riquadro nel dashboard in modo da poterti spostare direttamente qui la prossima volta.

Continua con Verifica che la protezione sia attivata.

Verificare che la protezione sia attivata

Se è già disponibile Azure Information Protection, verificare che la protezione sia attivata:

  1. Nell'area Azure Information Protection, in Gestisci a sinistra, selezionare Attivazione della protezione.

  2. Verificare se la protezione è attivata per il tenant. Per esempio:

    Confirm AIP activation

Se la protezione non è attivata, seleziona Activate AIPAttiva. Al termine dell'attivazione, sulla barra delle informazioni viene visualizzato il messaggio Attivazione completata.

Continua con Configura le impostazioni iniziali dello scanner nel portale di Azure.

Configurare le impostazioni iniziali dello scanner nella portale di Azure

Prepara le impostazioni iniziali dello scanner nella portale di Azure prima di installare lo scanner nel computer.

  1. Nell'area azure Information Protection, in Scanner a sinistra, selezionare Cluster.

  2. Nella pagina cluster seleziona Aggiungi per creare un nuovo cluster per gestire lo scanner.

  3. Nel riquadro Aggiungi nuovo cluster visualizzato a destra immettere un nome cluster significativo e una descrizione facoltativa.

    Importante

    Il nome di questo cluster sarà necessario durante l'installazione dello scanner.

    Per esempio:

    Add a new cluster for the tutorial

  4. Creare un processo di analisi del contenuto iniziale. Nel menu Scanner a sinistra seleziona Processi di analisi del contenuto e quindi seleziona Aggiungi.

  5. Nel riquadro Aggiungere un nuovo processo di analisi del contenuto immettere un nome significativo per il processo di analisi del contenuto e una descrizione facoltativa.

    Quindi, scorri verso il basso nella pagina fino a Applicazione dei criteri e seleziona Disattivato.

    Al termine, salvare le modifiche.

    Questo processo di analisi predefinito analizza tutti i tipi di informazioni riservate noti.

  6. Chiudere il riquadro dei dettagli per il processo di analisi del contenuto e tornare alla griglia Processi di analisi del contenuto.

    Nella nuova riga visualizzata per il processo di analisi del contenuto, nella colonna Nome cluster , selezionare +Assegna al cluster. Quindi, nel riquadro Assegna al cluster visualizzato a destra selezionare il cluster.

    Assign to cluster

Ora si è pronti per installare lo scanner di etichettatura unificata AIP.

Installare lo scanner di etichettatura unificato AIP

Dopo aver configurato le impostazioni di base dello scanner nel portale di Azure, installa lo scanner di etichettatura unificato nel server dello scanner.

  1. Nel server scanner aprire una sessione di PowerShell con l'opzione Esegui come amministratore .

  2. Utilizza il comando seguente per installare lo scanner. Nel comando specificare dove installare lo scanner, nonché il nome del cluster creato nel portale di Azure.

    Install-AIPScanner -SqlServerInstance <your SQL installation location>\SQLEXPRESS -Cluster <cluster name>
    

    Per esempio:

    Install-AIPScanner -SqlServerInstance localhost\SQLEXPRESS -Cluster Quickstart
    

    Quando PowerShell richiede le credenziali, immettere il nome utente e la password.

    Per il campo Nome utente usare la sintassi seguente: <domain\user name>. Ad esempio: emea\contososcanner.

  3. Indietro al portale di Azure. Nel menu Scanner a sinistra, selezionare Nodi.

    Ora dovresti vedere lo scanner aggiunto alla griglia. Per esempio:

    Newly installed scanner displayed on the Nodes grid

Continua con Ottieni un token di Azure Active Directory per lo scanner per abilitare l'esecuzione non interattiva dell'account del servizio scanner.

Ottenere un token di Azure Active Directory per lo scanner

Eseguire questa procedura quando si lavora con un ambiente standard connesso al cloud per consentire allo scanner di eseguire l'autenticazione al servizio AIP, abilitando l'esecuzione non interattiva del servizio.

Questa procedura non è necessaria se si lavora solo offline.

Per altre informazioni, vedere Come etichettare i file in modo non interattivo per Azure Information Protection.

Per ottenere un token di Azure AD per lo scanner:

  1. Nel portale di Azure creare un'applicazione Azure AD per specificare un token di accesso per l'autenticazione.

  2. Nel computer scanner accedi con un account del servizio scanner a cui è stato concesso l'accesso in locale e avvia una sessione di PowerShell.

  3. Avviare una sessione di PowerShell ed eseguire il comando seguente, usando i valori copiati dall'applicazione Azure AD.

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Per esempio:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Mancia

    Se all'account del servizio scanner non è possibile concedere il diritto di accesso locale per l'installazione, usare il parametro OnBehalfOf con Set-AIPAuthentication invece del parametro DelegatedUser .

Lo scanner dispone ora di un token da autenticare per Azure AD. Questo token è valido a condizione che sia stato configurato in Azure Active Directory. È necessario ripetere questa procedura alla scadenza del token.

Continuare con l'installazione del servizio di individuazione della rete facoltativo, che consente di analizzare gli archivi di rete alla ricerca di contenuti che potrebbero essere a rischio e quindi aggiungerli a un processo di analisi del contenuto.

Installare il servizio di individuazione della rete (anteprima pubblica)

A partire dalla versione 2.8.85.0 del client di etichettatura unificata AIP, gli amministratori possono usare lo scanner AIP per analizzare i repository di rete e quindi aggiungere eventuali repository che sembrano rischiosi per un processo di analisi del contenuto.

I processi di analisi della rete consentono di capire dove può essere a rischio il contenuto, tentando di accedere agli archivi configurati sia come amministratore che come utente pubblico.

Ad esempio, se si rileva che un repository dispone sia dell'accesso pubblico in lettura che in scrittura, è consigliabile eseguire un'ulteriore analisi e verificare che non siano archiviati dati sensibili.

Nota

Questa funzionalità è attualmente disponibile in ANTEPRIMA. I termini supplementari di Azure Preview includono termini legali aggiuntivi che si applicano alle funzionalità di Azure che sono nella versione beta, in anteprima o in altro modo non ancora rilasciata nella disponibilità generale.

Per installare il servizio di individuazione della rete:

  1. Nel computer scanner aprire una sessione di PowerShell come amministratore.

  2. Definire le credenziali che AIP deve usare durante l'esecuzione del servizio di individuazione della rete, nonché per simulare l'accesso di amministratori e utenti pubblici.

    Immettere le credenziali per ogni comando quando viene richiesto di usare la sintassi seguente: domain\user. Per esempio: emea\msanchez

    Correre:

    Credenziali per eseguire il servizio di individuazione della rete:

    $serviceacct= Get-Credential 
    

    Credenziali per simulare l'accesso di amministratore:

    $shareadminacct= Get-Credential 
    

    Credenziali per simulare l'accesso degli utenti pubblici:

    $publicaccount= Get-Credential 
    
  3. Per installare il servizio di individuazione della rete, eseguire:

    Install-MIPNetworkDiscovery [-ServiceUserCredentials] <PSCredential> [[-StandardDomainsUserAccount] <PSCredential>] [[-ShareAdminUserAccount] <PSCredential>] [-SqlServerInstance] <String> -Cluster <String> [-WhatIf] [-Confirm] [<CommonParameters>]
    
    For example:
    
    ```PowerShell
    Install-MIPNetworkDiscovery -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Quickstart -ServiceUserCredentials $serviceacct  -ShareAdminUserAccount $shareadminacct -StandardDomainsUserAccount $publicaccount
    
    

Al termine dell'installazione, il sistema visualizza un messaggio di conferma.

Passaggi successivi

Dopo aver installato lo scanner e il servizio di individuazione della rete, sei pronto per avviare l'analisi.

Per altre informazioni, vedere Esercitazione: Individuazione di contenuti riservati con lo scanner Azure Information Protection (AIP).

Mancia

Se è installata la versione 2.8.85.0, è consigliabile analizzare la rete per individuare i repository che potrebbero presentare contenuti a rischio.

Per analizzare i repository rischiosi alla ricerca di dati riservati e quindi classificarli e proteggerli da utenti esterni, aggiornare il processo di analisi del contenuto con i dettagli degli archivi trovati.

Vedere anche: