Självstudiekurs: Installera en enhetlig AIP-skanner (Azure Information Protection)

  • Artikel
  • 7 minuter för att läsa

Gäller för:Azure Information Protection

Relevant för:Azure Information Protection unified labeling client for Windows

I den här självstudiekursen beskrivs hur du installerar den lokala Azure Information Protection-skannern (AIP). Med skannern kan AIP-administratörer söka igenom sina nätverk och innehållsresurser efter känsliga data och tillämpa klassificerings- och skyddsetiketter enligt organisationens policy.

Tid krävs:Du kan slutföra den här självstudiekursen på 30 minuter.

Förutsättningar för självstudier

Om du vill installera den enhetliga skannern och slutföra den här självstudiekursen behöver du:

Krav Beskrivning
En stödprenumeration Du behöver en Azure-prenumeration som omfattar Azure Information Protection.

Om du inte har någon av dessa prenumerationer kan du skapa ett kostnadsfritt konto för din organisation.
Administratörsåtkomst till Azure Portal Se till att du kan logga in på Azure Portal med något av följande administratörskonton:

- -
- -
- -
- -
Klient installerad För att få åtkomst till skannerinstallationen ska du först installera AIP Unified Labeling-klienten på den dator som du använder för att köra skanningarna.

Ladda ned och kör AzInfoProtection_UL.exe från Microsoft Download Center.

När installationen är klar kan det hända att du uppmanas att starta om datorn Office programvaran. Starta om om det behövs för att fortsätta.

Mer information finns i Snabbstart: Distribuera den enhetliga etikettklienten för Azure Information Protection (AIP).
SQL Server Om du vill köra skannern måste SQL Server installerat på skannerdatorn.

Om du vill installera går SQL Server nedladdningssidan och väljer Ladda ned nu under det installationsalternativ som du vill installera. Välj installationstyp För grundläggande installation i installationsprogrammet.

Obs!Vi rekommenderar att du SQL Server Enterprise för produktionsmiljöer och Express only för testmiljöer.
Azure Active Directory konto När du arbetar med en vanlig, molnbaserad miljö måste det domäntjänstkonto du vill använda för skannern synkroniseras till ett Azure Active Directory. Det här är inte nödvändigt om du arbetar offline.

Om du är osäker på ditt konto kontaktar du en av systemadministratörerna för att kontrollera synkroniseringsstatusen.
Känslighetsetiketter och en publicerad princip Du måste ha skapat känslighetsetiketter och publicerat en princip med minst en etikett på Microsoft 365 Efterlevnadscenter, för skannertjänstkontot.

Konfigurera känslighetsetiketter i Microsoft 365 Efterlevnadscenter. Mer information finns i dokumentationen Microsoft 365 .

Mer information finns i Krav för installation och distribution av den enhetliga etikettskannern i Azure Information Protection. När du har bekräftat dina krav, Konfigurera Azure Information Protection i Azure-portalen.

Konfigurera Azure Information Protection i Azure Portal

Azure Information Protection kanske inte är tillgängligt i Azure-portalen, eller så är skyddet kanske inte aktiverat för närvarande.

Utför en eller båda av följande steg efter behov:

Fortsätt sedan med Konfigurera inställningar för initial skanner i Azure Portal.

Lägga till Azure Information Protection i Azure Portal

  1. Logga in på Azure Portal med ettstödadministratörskonto.

  2. Välj + Skapa en resurs. I sökrutan söker du efter och väljer sedan Azure Information Protection. På sidan Azure Information Protection väljer du Skapaoch sedan Skapa igen.

    Lägg till Azure Information Protection på din Azure Portal

    Tips!

    Om det är första gången du utför det här steget visas fäst i instrumentpanelsikonen Fäst på instrumentpanelsikonen Fäst på instrumentpanelsikonen bredvid fönstrets namn. Välj fästikonen för att skapa en panel på instrumentpanelen så att du kan navigera direkt här nästa gång.

Fortsätt med Bekräfta att skyddet är aktiverat.

Bekräfta att skydd är aktiverat

Om du redan har Azure Information Protection tillgängligt kontrollerar du att skyddet är aktiverat:

  1. I området Azure Information Protection under Manage till vänster väljer du Protection Activation.

  2. Bekräfta om skydd är aktiverat för klientorganisationen. Till exempel:

    Bekräfta AIP-aktivering

Om skydd inte är aktiverat väljer du Aktivera AIP-aktivera När aktiveringen är klar visas aktiveringen som slutförd i informationsfältet.

Fortsätt med Konfigurera inställningar för första skanner i Azure-portalen.

Konfigurera inställningar för initial skanner i Azure Portal

Förbered de första skannerinställningarna i Azure Portal innan du installerar skannern på datorn.

  1. Under Skanner till vänster i området Azure Information Protection väljer du Kluster.

  2. På sidan kluster väljer du Lägg till för att skapa ett nytt kluster för att hantera skannern.

  3. I fönstret Lägg till ett nytt kluster som öppnas till höger anger du ett beskrivande klusternamn och en valfri beskrivning.

    Viktigt

    Du behöver namnet på det här klustret när du installerar skannern.

    Till exempel:

    Lägga till ett nytt kluster för självstudiekursen

  4. Skapa ett första genomsökningsjobb för innehåll. I menyn Skanner till vänster väljer du Sök efter innehåll ochväljer sedan Lägg till.

  5. I fönstret Lägg till ett nytt genomsökningsjobb anger du ett beskrivande namn på sökjobbet och en valfri beskrivning.

    Rulla sedan nedåt på sidan till Tillämpning av principoch välj Av.

    Spara ändringarna när du är klar.

    Det här standardsökningsjobbet söker efter alla kända typer av känslig information.

  6. Stäng informationsfönstret för innehållssökningsjobbet och återgå till rutnätet för innehållssökningsjobb.

    Välj +Tilldela till kluster i kolumnen Klusternamn på den nya rad som visas för genomsökningsjobbet för innehåll. I rutan Tilldela till kluster som visas till höger väljer du sedan ditt kluster.

    Tilldela till kluster

Nu är du redo att installera AIP Unified Labeling-skannern.

Installera AIP Unified Labeling-skannern

När du har konfigurerat grundläggande skannerinställningar i Azure Portalinstallerar du den enhetliga skannern på skannerservern.

  1. På skannerservern öppnar du en PowerShell-session med alternativet Kör som administratör.

  2. Installera skannern med hjälp av följande kommando. I kommandot anger du var du vill installera skannern, liksom namnet på det kluster som du skapade i Azure-portalen.

    Install-AIPScanner -SqlServerInstance <your SQL installation location>\SQLEXPRESS -Cluster <cluster name>

    Till exempel:

    Install-AIPScanner -SqlServerInstance localhost\SQLEXPRESS -Cluster Quickstart

    När PowerShell uppmanar dig att ange autentiseringsuppgifter anger du användarnamn och lösenord.

    Använd följande syntax för fältet Användarnamn: . Till exempel: emea\contososcanner .

  3. Gå tillbaka till Azure Portal. I menyn Skanner till vänster väljer du Noder.

    Du bör nu se din skanner tillagd i rutnätet. Till exempel:

    Nyligen installerad skanner som visas i noders rutnät

Fortsätt med Hämta en Azure Active Directory-token för skannern så att skannertjänstens konto kan köras icke-interaktivt.

Hämta en Azure Active Directory-token för skannern

Utför den här proceduren när du arbetar med en vanlig, molnbaserad miljö så att skannern kan autentiseras till AIP-tjänsten, vilket gör att tjänsten kan köra icke-interaktivt.

Den här proceduren krävs inte om du bara arbetar offline.

Mer information finns i Så här märks filer icke-interaktivt för Azure Information Protection.

Hämta en Azure AD-token för skannern:

  1. Skapa ett Azure AD-program i Azure-portalen för att ange en åtkomsttoken för autentisering.

  2. Logga in på skannerdatorn med ett skannertjänstkonto som har beviljats logga in lokalt direkt och starta en PowerShell-session.

  3. Starta en PowerShell-session och kör följande kommando, med de värden som kopieras från Azure AD-programmet.

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    Till exempel:

    $pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds

Acquired application access token on behalf of CONTOSO\scanner.

    Tips!

    Om ditt skannertjänstkonto inte kan beviljas logga in lokalt direkt för installationen använder du parametern OnBehalfOf med Set-AIPAuthenticationi stället för parametern DelegatedUser.

Skannern har nu en token som autentiseras i Azure AD. Denna token är giltig så länge du har konfigurerat i Azure Active Directory. Du måste upprepa proceduren när tokenet går ut.

Fortsätt med installationen av den valfria tjänsten för nätverksidentifiering, så att du kan söka igenom nätverksplatsen efter innehåll som kan vara på risk, och sedan lägga till dessa lagringsplatsen i ett genomsökningsjobb för innehåll.

Installera tjänsten Nätverksidentifiering (offentlig förhandsversion)

Från och med version 2.8.85.0 av AIP unified labeling-klienten kan administratörer använda AIP-skannern för att söka i nätverksdeaditorer och sedan lägga till eventuella lagringssamlingar som verkar riskfyllda i ett genomsökningsjobb för innehåll.

Nätverkssökningsjobb hjälper dig att förstå var innehållet kan vara på risk, genom att försöka komma åt konfigurerade lagringsplatsen som både administratör och offentlig användare.

Om en lagringsplats till exempel visar sig ha både läs- och skrivbehörighet kanske du vill söka ytterligare och bekräfta att inga känsliga data lagras där.

Obs!

Den här funktionen är för närvarande i FÖRHANDSVERSION. Tilläggsvillkor för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är beta, förhandsversion eller på annat sätt ännu inte har släppts till allmän tillgänglighet.

Så här installerar du tjänsten nätverksidentifiering:

  1. Öppna en PowerShell-session på skannerns maskin som administratör.

  2. Definiera de autentiseringsuppgifter som du vill att AIP ska använda när tjänsten nätverksidentifiering körs, samt när administratör och offentlig användaråtkomst visas.

    Ange autentiseringsuppgifterna för varje kommando när du tillfrågas med följande syntax: domain\user . Till exempel: emea\msanchez

    Kör:

    Autentiseringsuppgifter för att köra tjänsten nätverksidentifiering:

    $serviceacct= Get-Credential

    Autentiseringsuppgifter för att simulera administratörsåtkomst:

    $shareadminacct= Get-Credential

    Autentiseringsuppgifter för att simulera offentlig användaråtkomst:

    $publicaccount= Get-Credential

  3. Installera tjänsten nätverksidentifiering genom att köra:

    Install-MIPNetworkDiscovery [-ServiceUserCredentials] <PSCredential> [[-StandardDomainsUserAccount] <PSCredential>] [[-ShareAdminUserAccount] <PSCredential>] [-SqlServerInstance] <String> -Cluster <String> [-WhatIf] [-Confirm] [<CommonParameters>]

For example:

```PowerShell
Install-MIPNetworkDiscovery -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Quickstart -ServiceUserCredentials $serviceacct  -ShareAdminUserAccount $shareadminacct -StandardDomainsUserAccount $publicaccount

Ett bekräftelsemeddelande visas i systemet när installationen är klar.

Nästa steg

När du har installerat skannern och tjänsten Network Discovery är du redo att börja skanna.

Mer information finns i Självstudiekurs: Identifiera känsligt innehåll med Azure Information Protection (AIP)-skannern.

Tips!

Om du har installerat version 2.8.85.0 rekommenderar vi att du söker igenom nätverket för att hitta platser där innehållet kan vara riskabelt.

Om du vill gå igenom dina riskfyllda lagringar efter känsliga data och sedan klassificera och skydda dessa data från användare utifrån uppdaterar du genomsökningsjobbet med informationen på lagringsplatsen du hittat.

Se även: