Руководство. Установка сканера унифицированных меток Azure Information Protection (AIP)

Область применения: Azure Information Protection

К чему относится: Клиент унифицированных меток Azure Information Protection для Windows

В этом руководстве описывается, как установить локальный сканер Azure Information Protection (AIP). С помощью сканера администраторы AIP могут проверять свои сети и общие папки на предмет наличия в них конфиденциальных данных, а также применять метки классификации и защиты, настроенные в политике организации.

Затрачиваемое время. Изучение этого руководства займет около 30 минут.

Предварительные требования для учебника

Для установки сканера унифицированных меток и изучения этого руководства потребуется следующее:

Требование Описание
Поддерживаемая подписка Вам понадобится подписка Azure, которая поддерживает Azure Information Protection.

Если у вас нет подписки, в которую входит один из этих планов, вы можете создать бесплатную учетную запись для своей организации.
Доступ к порталу Azure с правами администратора Убедитесь, что вы можете войти на портал Azure с помощью одной из следующих учетных записей администратора:

- администратор соответствия требованиям;
- администратор соответствия данных требованиям;
- администратор безопасности;
- глобальный администратор.
Установленный клиент Установите на компьютер клиент унифицированных меток AIP, чтобы получить доступ к установке сканера.

Скачайте файл AzInfoProtection_UL.exe из Центра загрузки Майкрософт и запустите его.

После завершения установки может появиться запрос на перезагрузку компьютера или программного обеспечения Office. Чтобы продолжить, перезагрузите компьютер.

Дополнительные сведения см. в статье Краткое руководство. Развертывание клиента унифицированных меток Azure Information Protection (AIP).
SQL Server На компьютере, на котором будет запускаться сканер, должен быть установлен SQL Server.

Чтобы его установить, перейдите на страницу скачивания SQL Server и выберите Скачать сейчас в соответствующем разделе. В программе установки выберите тип установки Базовый.

Примечание. Для рабочих сред рекомендуется устанавливать SQL Server Enterprise. Версию Express следует использовать только для сред тестирования.
Учетная запись Azure Active Directory При работе со стандартной подключенной к облаку средой учетная запись службы домена, которую планируется использовать для работы со сканером, должна быть синхронизирована с Azure Active Directory. Если вы работаете в автономном режиме, это необязательно.

Если вы не уверены в состоянии своей учетной записи, обратитесь к одному из системных администраторов и уточните статус синхронизации.
Метки конфиденциальности и опубликованная политика Для учетной записи службы сканера необходимо создать метки конфиденциальности и опубликовать в Центре соответствия требованиям Microsoft 365 политику по крайней мере с одной меткой.

Настройте метки конфиденциальности в Центре соответствия требованиям Microsoft 365. Дополнительные сведения см. в документации по Microsoft 365.

После подтверждения, что необходимые условия соблюдены, настройте Azure Information Protection на портале Azure.

Настройка Azure Information Protection на портале Azure

Azure Information Protection может быть недоступен для вас на портале Azure, или защита в настоящее время может быть не активирована.

При необходимости выполните одно или оба указанных ниже действия.

Затем перейдите к настройке первоначальных параметров сканера на портале Azure.

Добавление Azure Information Protection на портале Azure

  1. Войдите на портал Azure с помощью учетной записи администратора.

  2. Выберите действие Создать ресурс. В поле поиска найдите и выберите Azure Information Protection. На странице Azure Information Protection выберите Создать, а затем еще раз Создать.

    Добавление Azure Information Protection на портале Azure

    Совет

    Если вы выполняете это действие впервые, вы увидите рядом с именем панели значок Закрепить на панели мониторинга Значок закрепления на панели мониторинга. Выберите значок закрепления, чтобы создать на панели мониторинга плитку, которой можно воспользоваться в следующий раз.

Перейдите к подтверждению активации защиты.

Подтверждение активации защиты

Если у вас уже есть Azure Information Protection, убедитесь, что защита активирована.

  1. В области Azure Information Protection в разделе Управление слева выберите Активация защиты.

  2. Проверьте, активирована ли защита в вашем клиенте. Пример.

    Подтверждение активации AIP

Если защита не активирована, выберите Активировать AIP Активировать. После завершения активации на информационной панели отображается сообщение Активация успешно завершена.

Перейдите к настройке первоначальных параметров сканера на портале Azure.

Настройка первоначальных параметров сканера на портале Azure

Настройте первоначальные параметры сканера на портале Azure перед установкой сканера на компьютер.

  1. В области Azure Information Protection в разделе Сканер слева выберите Кластеры.

  2. На странице кластеров выберите Добавить, чтобы создать новый кластер для управления сканером.

  3. В области Добавить новый кластер, которая открывается справа, введите понятное имя кластера и описание (необязательно).

    Важно!

    При установке сканера вам потребуется имя этого кластера.

    Пример:

    Добавление нового кластера для руководства

  4. Создайте исходное задание сканирования содержимого. В меню Сканер слева выберите Задания сканирования содержимого, а затем нажмите кнопку Добавить.

  5. В области Добавить новое задание сканирования содержимого введите понятное имя для задания сканирования содержимого и описание (необязательно).

    Затем прокрутите страницу до параметра Применение политики и выберите Выкл.

    По завершении сохраните изменения.

    Это задание сканирования по умолчанию будет использоваться для проверки всех известных типов конфиденциальных данных.

  6. Закройте область сведений о задании сканирования содержимого и вернитесь к таблице Задания сканирования содержимого.

    В новой строке, которая отображается для задания сканирования содержимого, в столбце Имя кластера выберите + Назначить кластеру. Затем в области Назначение кластеру, которая отображается справа, выберите свой кластер.

    Назначение кластеру

Теперь все готово к установке сканера универсальных меток AIP.

Установка сканера унифицированных меток AIP

После настройки основных параметров сканера на портале Azure установите на клиентский компьютер сканер унифицированных меток AIP.

  1. На клиентском компьютере откройте сеанс PowerShell в режиме Запуск от имени администратора.

  2. Для установки сканера используйте приведенную ниже команду. В команде укажите, где необходимо установить сканер, а также имя кластера, созданного на портале Azure.

    Install-AIPScanner -SqlServerInstance <your SQL installation location>\SQLEXPRESS -Cluster <cluster name>
    

    Пример:

    Install-AIPScanner -SqlServerInstance localhost\SQLEXPRESS -Cluster Quickstart
    

    Когда PowerShell запросит учетные данные, введите имя пользователя и пароль.

    В поле Имя пользователя используйте следующий синтаксис: <domain\user name>. Например, так: emea\contososcanner.

  3. Вернитесь на портал Azure. В меню Сканер слева выберите Узлы.

    Теперь вы увидите, что сканер добавлен в таблицу. Пример:

    Недавно установленный сканер в таблице узлов

Переходите к получению маркера Azure Active Directory для сканера, чтобы учетная запись службы сканера выполнялась в неинтерактивном режиме.

Получение маркера Azure Active Directory для сканера

Эту процедуру следует выполнять при работе со стандартной средой, подключенной к облаку, чтобы позволить сканеру проходить проверку подлинности в службе AIP, поскольку это позволяет службе работать в неинтерактивном режиме.

Эта процедура не требуется, если вы работаете исключительно в автономном режиме.

Дополнительные сведения см. в статье Как пометить файлы в неинтерактивном режиме для Azure Information Protection.

Порядок получения маркера Azure AD для сканера:

  1. На портале Azure создайте приложение Azure AD, чтобы указать маркер доступа для проверки подлинности.

  2. На компьютере, где установлен сканер, войдите в систему, используя учетную запись службы сканера, которой предоставлены права локального входа, и запустите сеанс PowerShell.

  3. Запустите сеанс PowerShell и выполните следующую команду, используя значения, скопированные из приложения Azure AD.

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Пример:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Совет

    Если учетной записи сканера не удается предоставить права локального входа для установки, используйте параметр OnBehalfOf с Set-AIPAuthentication вместо параметра DelegatedUser.

Теперь у сканера есть маркер для проверки подлинности в Azure AD. Этот токен действителен до тех пор, пока он настроен в Azure Active Directory. Эту процедуру необходимо повторить по истечении срока действия маркера.

Переходите к установке службы сетевого обнаружения (необязательно), которая позволяет сканировать сетевые репозитории на предмет обнаружения содержимого, которое может быть под угрозой, а затем добавлять эти репозитории в задание сканирования содержимого.

Установка службы сетевого обнаружения (общедоступная предварительная версия)

Начиная с версии 2.8.85.0 в клиенте унифицированных меток AIP администраторы могут использовать сканер AIP для сканирования сетевых хранилищ, а затем добавлять любые репозитории, которые, как они предполагают, представляют риск, в задания сканирования содержимого.

Задания сканирования сети помогают понять, где содержимое может оказаться под угрозой, путем попытки доступа к настроенным репозиториям как от имени администратора, так и от имени пользователя, которому предоставлен общий доступ.

Например, если репозиторий находится в открытом доступе для чтения и записи, может потребоваться дополнительное сканирование на предмет отсутствия в нем конфиденциальных данных.

Примечание

Сейчас эта функция доступна в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Порядок установки службы сетевого обнаружения:

  1. На компьютере, на котором установлен сканер, откройте сеанс PowerShell от имени администратора.

  2. Укажите учетные данные, которые необходимо использовать в AIP при запуске службы сетевого обнаружения, а также при моделировании доступа администратора и пользователя, которому предоставлен общий доступ.

    При появлении запроса введите учетные данные для каждой команды, используя следующий синтаксис: domain\user. Пример: emea\msanchez

    Выполните:

    Учетные данные для запуска службы сетевого обнаружения:

    $serviceacct= Get-Credential 
    

    Учетные данные для имитации административного доступа:

    $shareadminacct= Get-Credential 
    

    Учетные данные для имитации доступа пользователя, которому предоставлен общий доступ:

    $publicaccount= Get-Credential 
    
  3. Чтобы установить службу сетевого обнаружения, выполните следующую команду:

    Install-MIPNetworkDiscovery [-ServiceUserCredentials] <PSCredential> [[-StandardDomainsUserAccount] <PSCredential>] [[-ShareAdminUserAccount] <PSCredential>] [-SqlServerInstance] <String> -Cluster <String> [-WhatIf] [-Confirm] [<CommonParameters>]
    
    For example:
    
    ```PowerShell
    Install-MIPNetworkDiscovery -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Quickstart -ServiceUserCredentials $serviceacct  -ShareAdminUserAccount $shareadminacct -StandardDomainsUserAccount $publicaccount
    
    

После завершения установки система отобразит сообщение с подтверждением.

Дальнейшие действия

После установки сканера и службы сетевого обнаружения можно приступать к сканированию.

Дополнительные сведения можно найти в разделе Учебник. Обнаружение конфиденциального содержимого с помощью сканера Azure Information Protection (AIP).

Совет

Если вы установили версию 2.8.85.0, рекомендуется сканировать сеть на предмет наличия репозиториев, в которых может иметься содержимое под угрозой.

Чтобы проверить такие репозитории на предмет наличия в них конфиденциальных данных, а затем классифицировать и защитить эти данные от внешних пользователей, обновите задание сканирования содержимого, указав сведения о найденных репозиториях.

См. также: