Zelfstudie: De geïntegreerde labelingscanner voor Azure Information Protection (AIP) installeren

  • Artikel
  • 8 minuten om te lezen

Van toepassing op: Azure Information Protection

Relevant voor: Azure Information Protection unified labeling client for Windows

In deze zelfstudie wordt beschreven hoe u de on-premises Azure Information Protection (AIP) scanner installeert. Met de scanner kunnen AIP-beheerders hun netwerken en inhoudsaandelen scannen op gevoelige gegevens en classificatie- en beveiligingslabels toepassen zoals geconfigureerd in het beleid van hun organisatie.

Tijd vereist:u kunt deze zelfstudie in 30 minuten voltooien.

Vereisten voor zelfstudie

Als u de geïntegreerde labelscanner wilt installeren en deze zelfstudie wilt voltooien, hebt u het volgende nodig:

Vereiste Beschrijving
Een ondersteunend abonnement U hebt een Azure-abonnement nodig dat Azure Information Protection bevat.

Als u geen van deze abonnementen hebt, maakt u een gratis account voor uw organisatie.
Beheerderstoegang tot de Azure-portal Zorg ervoor dat u zich met een van de volgende beheerdersaccounts kunt aanmelden bij de Azure-portal:

- -
- -
- -
- -
Client geïnstalleerd Als u toegang wilt tot de installatie van de scanner, installeert u eerst de geïntegreerde AIP-labelingclient op de computer die u gebruikt om de scans uit te voeren.

Download en voer de AzInfoProtection_UL.exe uit vanuit het Microsoft Downloadcentrum.

Wanneer de installatie is voltooid, wordt u mogelijk gevraagd uw computer of software opnieuw Office starten. Start zo nodig opnieuw om door te gaan.

Zie Quickstart: Deploying the Azure Information Protection (AIP) unified labeling client (Azure Information Protection) voormeer informatie.
SQL Server Als u de scanner wilt uitvoeren, moet u SQL Server geïnstalleerd op de scannermachine.

Als u wilt installeren, gaat u naar SQL Server downloadpagina en selecteert u Nu downloaden onder de installatieoptie die u wilt installeren. Selecteer in het installatieprogramma het installatietype Basis.

Opmerking:Het is raadzaam om SQL Server Enterprise voor productieomgevingen en Express alleen voor testomgevingen te installeren.
Azure Active Directory account Wanneer u werkt met een standaardomgeving die is verbonden met de cloud, moet het domeinserviceaccount dat u voor de scanner wilt gebruiken, worden gesynchroniseerd met Azure Active Directory. Dit is niet nodig als u offline werkt.

Als u uw account niet zeker weet, neem dan contact op met een van uw systeembeheerders om de synchronisatiestatus te controleren.
Gevoeligheidslabels en een gepubliceerd beleid U moet gevoeligheidslabels hebben gemaakt en een beleid met ten minste één label voor het Microsoft 365-compliancecentrum voor het scannerserviceaccount hebben gepubliceerd.

Gevoeligheidslabels configureren in de Microsoft 365-compliancecentrum. Zie de documentatie Microsoft 365 voor meer informatie.

Zie Vereisten voor het installeren en implementeren van de geïntegreerde labelingsscanner voor Azure Information Protection voor meer informatie. Nadat u uw vereisten hebt bevestigd, configureert u Azure Information Protection in de Azure-portal.

Azure Information Protection configureren in de Azure-portal

Azure Information Protection is mogelijk niet beschikbaar voor u in de Azure-portal of de beveiliging is momenteel niet geactiveerd.

Voer zo nodig een of beide van de volgende stappen uit:

Ga vervolgens verder met De eerste scannerinstellingen configureren in de Azure-portal.

Azure Information Protection toevoegen aan de Azure-portal

  1. Meld u aan bij de Azure-portal met een ondersteunend beheerdersaccount.

  2. Selecteer + Een resource maken. Zoek in het zoekvak naar Azure Information Protection en selecteer vervolgens Azure Information Protection. Selecteer op de pagina Azure Information Protection de optie Makenen vervolgens opnieuw maken.

    Azure Information Protection toevoegen aan uw Azure-portal

    Tip

    Als dit de eerste keer is dat u deze stap voert, ziet u een pictogram Vastmaken aan dashboard vastmaken aan dashboardpictogramVastmaken aan naast de naam van het deelvenster. Selecteer het pictogram Vastmaken om een tegel op uw dashboard te maken, zodat u de volgende keer rechtstreeks hier naartoe kunt navigeren.

Ga verder met Bevestigen dat beveiliging is geactiveerd.

Controleren of beveiliging is geactiveerd

Als u al Azure Information Protection voor u beschikbaar hebt, moet u ervoor zorgen dat de beveiliging is geactiveerd:

  1. Selecteer in het gebied Azure Information Protection onder Beheren aan de linkerkant de optie Beveiligingsactivering.

  2. Controleer of beveiliging is geactiveerd voor uw tenant. Bijvoorbeeld:

    AIP-activering bevestigen

Als beveiliging niet is geactiveerd, selecteert u AIP activerenactiveren. Wanneer de activering is voltooid, wordt op de informatiebalk weergegeven dat activering is voltooid.

Ga verder met De eerste scannerinstellingen configureren in de Azure-portal.

Oorspronkelijke scannerinstellingen configureren in de Azure-portal

Bereid de eerste scannerinstellingen in de Azure-portal voor voordat u de scanner op uw computer installeert.

  1. Selecteer in het gebied Azure Information Protection onder Scanner aan de linkerkant de optie Clusters.

  2. Selecteer op de pagina Clusters de optie Toevoegen om een nieuw cluster te maken om de scanner te beheren.

  3. Voer in het deelvenster Een nieuw cluster toevoegen dat aan de rechterkant wordt geopend, een duidelijke clusternaam en een optionele beschrijving in.

    Belangrijk

    U hebt de naam van dit cluster nodig bij het installeren van de scanner.

    Bijvoorbeeld:

    Een nieuw cluster toevoegen voor de zelfstudie

  4. Een eerste inhoudsscan maken. Selecteer inhoudsscantaken in het menu Scanner aan de linkerkant en selecteer vervolgens Toevoegen.

  5. Voer in het taakvenster Een nieuwe inhoudsscan toevoegen een duidelijke naam in voor uw inhoudsscan en een optionele beschrijving.

    Schuif vervolgens omlaag op de pagina naar Beleidshandhavingen selecteer Uit.

    Sla uw wijzigingen op wanneer u klaar bent.

    Met deze standaardscan wordt op alle bekende typen gevoelige informatie gescand.

  6. Sluit het detailvenster voor uw inhoudsscantaken en ga terug naar het raster Inhoudsscantaken.

    Selecteer in de nieuwe rij die wordt weergegeven voor uw inhoudsscan, in de kolom Clusternaam de optie +Toewijzen aan cluster. Selecteer vervolgens het cluster in het deelvenster Toewijzen aan cluster dat aan de rechterkant wordt weergegeven.

    Toewijzen aan cluster

Nu kunt u de geïntegreerde labelscanner AIP installeren.

De geïntegreerde AIP-labelscanner installeren

Nadat u de basisinstellingen voor scanners hebt geconfigureerd in de Azure-portal,installeert u de geïntegreerde labelscanner op de scannerserver.

  1. Open op de scannerserver een PowerShell-sessie met de optie Uitvoeren als beheerder.

  2. Gebruik de volgende opdracht om de scanner te installeren. Geef in de opdracht op waar u de scanner wilt installeren, evenals de naam van het cluster dat u hebt gemaakt in de Azure-portal.

    Install-AIPScanner -SqlServerInstance <your SQL installation location>\SQLEXPRESS -Cluster <cluster name>

    Bijvoorbeeld:

    Install-AIPScanner -SqlServerInstance localhost\SQLEXPRESS -Cluster Quickstart

    Wanneer PowerShell u om referenties vraagt, voert u de gebruikersnaam en het wachtwoord in.

    Gebruik voor het veld Gebruikersnaam de volgende syntaxis: . Bijvoorbeeld: emea\contososcanner .

  3. Ga terug naar de Azure-portal. Selecteer knooppunten in het menu Scanner aan de linkerkant.

    De scanner wordt nu toegevoegd aan het raster. Bijvoorbeeld:

    Nieuw geïnstalleerde scanner die wordt weergegeven op het raster Knooppunten

Ga verder met Een Azure Active Directory-token voor de scanner gebruiken om uw scannerserviceaccount niet-interactief uit te voeren.

Een Azure Active Directory-token voor de scanner krijgen

Voer deze procedure uit wanneer u werkt met een standaardomgeving die is verbonden met de cloud, zodat de scanner kan worden geverifieerd bij de AIP-service, zodat de service niet-interactief kan worden uitgevoerd.

Deze procedure is niet vereist als u alleen offline werkt.

Zie Bestanden op een niet-interactievemanier labelen voor Azure Information Protection voor meer informatie.

Een Azure AD-token voor de scanner krijgen:

  1. Maak in de Azure-portal een Azure AD-toepassing om een toegangs token voor verificatie op te geven.

  2. Meld u op uw scannerapparaat aan met een scannerserviceaccount dat lokaal rechts is toegewezen en start een PowerShell-sessie.

  3. Start een PowerShell-sessie en voer de volgende opdracht uit met behulp van de waarden die zijn gekopieerd uit uw Azure AD-toepassing.

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    Bijvoorbeeld:

    $pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds

Acquired application access token on behalf of CONTOSO\scanner.

    Tip

    Als uw scannerserviceaccount niet lokaal rechts voor de installatie kan worden toegewezen, gebruikt u de parameter OnBehalfOf met Set-AIPAuthenticationin plaats van de parameter DelegatedUser.

De scanner heeft nu een token om te verifiëren bij Azure AD. Dit token is geldig zolang u dit hebt geconfigureerd in Azure Active Directory. U moet deze procedure herhalen wanneer het token verloopt.

Ga verder met het installeren van de optionele Network Discovery-service,waarmee u uw netwerk-opslagplaatsen kunt scannen op inhoud die mogelijk in gevaar is, en voeg deze opslagplaatsen vervolgens toe aan een inhoudsscan.

De Network Discovery-service installeren (openbare preview)

Vanaf versie 2.8.85.0 van de geïntegreerde AIP-labelingclient kunnen beheerders de AIP-scanner gebruiken om netwerkrepresitories te scannen en vervolgens opslagplaatsen toe te voegen die riskant lijken voor een inhoudsscan.

Netwerkscantaken helpen u te begrijpen waar uw inhoud mogelijk in gevaar is door te proberen toegang te krijgen tot geconfigureerde opslagplaatsen als zowel een beheerder als een openbare gebruiker.

Als een opslagplaats bijvoorbeeld openbare toegang heeft voor lezen en schrijven, wilt u mogelijk verder scannen en bevestigen dat er geen gevoelige gegevens zijn opgeslagen.

Opmerking

Deze functie is momenteel beschikbaar in PREVIEW. De aanvullende voorwaarden van Azure Preview bevatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bètaversie, preview of anderszins nog niet beschikbaar zijn.

De Network Discovery-service installeren:

  1. Open op de scanner een PowerShell-sessie als beheerder.

  2. Definieer de referenties die AIP moet gebruiken bij het uitvoeren van de Network Discovery-service, evenals bij het simuleren van beheerders- en openbare gebruikerstoegang.

    Voer de referenties voor elke opdracht in wanneer u wordt gevraagd de volgende syntaxis te gebruiken: domain\user . Bijvoorbeeld: emea\msanchez

    Uitvoeren:

    Referenties voor het uitvoeren van de Netwerkdetectieservice:

    $serviceacct= Get-Credential

    Referenties voor het simuleren van beheerderstoegang:

    $shareadminacct= Get-Credential

    Referenties voor het simuleren van openbare gebruikerstoegang:

    $publicaccount= Get-Credential

  3. Als u de netwerkdetectieservice wilt installeren, gaat u als volgende te werk:

    Install-MIPNetworkDiscovery [-ServiceUserCredentials] <PSCredential> [[-StandardDomainsUserAccount] <PSCredential>] [[-ShareAdminUserAccount] <PSCredential>] [-SqlServerInstance] <String> -Cluster <String> [-WhatIf] [-Confirm] [<CommonParameters>]

For example:

```PowerShell
Install-MIPNetworkDiscovery -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Quickstart -ServiceUserCredentials $serviceacct  -ShareAdminUserAccount $shareadminacct -StandardDomainsUserAccount $publicaccount

In het systeem wordt een bevestigingsbericht weergegeven wanneer de installatie is voltooid.

Volgende stappen

Nadat u de scanner en de Netwerkdetectieservice hebt geïnstalleerd, kunt u beginnen met scannen.

Zie Zelfstudie: Uw gevoelige inhoud ontdekken met de AIP-scanner (Azure Information Protection).

Tip

Als u versie 2.8.85.0 hebt geïnstalleerd, raden we u aan uw netwerk te scannen om te kijken of er opslagplaatsen zijn met mogelijk risicovolle inhoud.

Als u uw risicovolle opslagplaatsen wilt scannen op gevoelige gegevens en deze gegevens vervolgens wilt classificeren en beveiligen tegen externe gebruikers, moet u de taak voor het scannen van inhoud bijwerken met de details van de opslagplaatsen die u hebt gevonden.

Zie ook: