教程:安装 Azure 信息保护 (AIP) 统一标签扫描程序

适用范围:Azure 信息保护

相关内容:用于 Windows 的 Azure 信息保护统一标签客户端

本教程介绍如何安装 Azure 信息保护 (AIP) 本地扫描程序。 通过扫描程序,AIP 管理员能够扫描其网络和内容共享以获取敏感数据,并应用组织策略中配置的分类和保护标签。

所需时间:可在 30 分钟内完成本教程。

教程先决条件

若要安装统一标记扫描程序并完成本教程,你需要:

要求 说明
支持订阅 你需要包含 Azure 信息保护的 Azure 订阅。

如果没有上述任一订阅,则请为组织创建一个免费帐户。
对 Azure 门户的管理员访问权限 请确保可以通过以下管理员帐户之一登录到 Azure 门户

- 合规性管理员-
- 合规性数据管理员-
- 安全管理员-
- 全局管理员-
客户端已安装 若要访问扫描程序安装,请首先在要用于运行扫描的计算机上安装 AIP 统一标记客户端。

Microsoft 下载中心下载并运行 AzInfoProtection_UL.exe。

安装完成后,系统可能会提示你重启计算机或 Office 软件。 根据需要重启以继续。

有关详细信息,请参阅快速入门:部署 Azure 信息保护 (AIP) 统一标签客户端
SQL Server 若要运行扫描程序,你需要在扫描程序计算机上安装 SQL Server。

若要安装,请转到 SQL Server 下载页,然后选择要安装的安装选项下的“立即下载”。 在安装程序中,选择“基本”安装类型。

注意:我们建议为生产环境安装 SQL Server Enterprise,仅为测试环境安装 Express。
Azure Active Directory 帐户 使用标准的云连接环境时,要用于扫描程序的域服务帐户必须同步到 Azure Active Directory。 如果正在脱机工作,则不需要这样做。

如果你不确定你的帐户,请联系你的系统管理员来验证同步状态。
敏感度标签和已发布的策略 必须已创建敏感度标签,并将至少有一个标签的策略发布到 Microsoft 365 合规中心,用于扫描程序服务帐户。

在 Microsoft 365 合规中心配置敏感度标签。 有关详细信息,请参阅 Microsoft 365 文档

有关详细信息,请参阅安装和部署 Azure 信息保护统一标记扫描程序的要求。 确认先决条件后,在 Azure 门户中配置 Azure 信息保护

在 Azure 门户中配置 Azure 信息保护

Azure 信息保护可能在 Azure 门户中不可用,或者当前可能未激活保护。

根据需要执行以下步骤一二:

然后继续在 Azure 门户中配置初始扫描程序设置

将 Azure 信息保护添加到 Azure 门户

  1. 使用支持的管理员帐户登录到 Azure 门户

  2. 选择“+ 创建资源”。 在搜索框中,搜索然后选择“Azure 信息保护”。 在“Azure 信息保护”页上,选择“创建”,然后再次选择“创建”。

    将 Azure 信息保护添加到 Azure 门户

    提示

    如果这是你第一次执行此步骤,你将会在窗格名称旁看到“固定到仪表板”固定到仪表板图标。 选择“固定”图标以在仪表板上创建磁贴,以便你下一次可以直接导航到此处。

继续确认已激活保护

确认已激活保护

如果已有可用的 Azure 信息保护,请确保已激活保护:

  1. 在“Azure 信息保护”区域中的左侧“管理”下,选择“保护激活”。

  2. 确认是否已为租户激活保护。 例如:

    确认 AIP 激活

如果保护未激活,请选择 激活 AIP“激活”。 激活完成后,信息栏将显示“激活已成功完成”。

继续在 Azure 门户中配置初始扫描程序设置

在Azure 门户中配置初始扫描程序设置

在计算机上安装扫描程序之前,请先在 Azure 门户中准备初始扫描程序设置。

  1. 在“Azure 信息保护”区域中的左侧“扫描程序”下,选择 “群集”。

  2. 在“群集”页上,选择 “添加”以创建新群集来管理扫描程序。

  3. 在右侧打开的“添加新群集”窗格中,输入有意义的群集名称和可选说明。

    重要

    安装扫描程序时,需要此群集的名称。

    例如:

    添加用于教程的新群集

  4. 创建初始内容扫描作业。 在左侧的“扫描程序”菜单中,选择 “内容扫描作业”,然后选择 “添加”。

  5. 在“添加新的内容扫描作业”窗格中,输入内容扫描作业有意义的名称和可选说明。

    然后,向下滚动页面到“策略强制”,然后选择“关闭”。

    完成后,保存所做的更改。

    此默认扫描作业将扫描所有已知的敏感信息类型。

  6. 关闭内容扫描作业的详细信息窗格,然后返回到 “内容扫描作业”网格。

    在为内容扫描作业显示的新行中的“群集名称”列中,选择“+ 分配到群集”。 然后,在右侧显示的“分配到群集”窗格中,选择群集。

    分配到群集

现在,你已准备好安装 AIP 统一标记扫描程序

安装 AIP 统一标记扫描程序

在 Azure 门户中配置基本扫描程序设置后,在扫描程序服务器上安装统一标记扫描程序。

  1. 在扫描程序服务器上,使用“以管理员身份运行”选项打开 PowerShell 会话。

  2. 使用以下命令安装扫描程序。 在命令中,指定要安装的扫描程序的位置,以及在 Azure 门户中创建的群集的名称。

    Install-AIPScanner -SqlServerInstance <your SQL installation location>\SQLEXPRESS -Cluster <cluster name>
    

    例如:

    Install-AIPScanner -SqlServerInstance localhost\SQLEXPRESS -Cluster Quickstart
    

    当 PowerShell 提示你输入凭据时,请输入用户名和密码。

    对于“用户名称”字段,请使用以下语法:。 例如: emea\contososcanner

  3. 返回到 Azure 门户。 在左侧“扫描程序”菜单中,选择 “节点”。

    现在应会看到扫描程序添加到了网格。 例如:

    节点网格上显示的新安装的扫描程序

继续获取用于扫描程序的 Azure Active Directory 令牌,以使扫描程序服务帐户能够以非交互方式运行。

获取扫描程序的 Azure Active directory 令牌

当你使用标准的云连接环境时,请执行此过程,以允许扫描程序对 AIP 服务进行身份验证,使服务能够以非交互方式运行。

如果仅脱机工作,则不需要此过程。

有关详细信息,请参阅如何以非交互方式为 Azure 信息保护标记文件

若要获取扫描程序的 Azure AD 令牌,请执行以下操作:

  1. 在 Azure 门户中,创建 Azure AD 应用程序来指定用于身份验证的访问令牌。

  2. 在扫描程序计算机上,使用已被授予“本地登录”权限的扫描程序服务帐户进行登录,并启动 PowerShell 会话。

  3. 启动 PowerShell 会话,并使用从 Azure AD 应用程序复制的值运行以下命令。

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    例如:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    
    Acquired application access token on behalf of CONTOSO\scanner.
    

    提示

    如果无法向扫描程序服务帐户授予“本地登录”的安装权限,请将 OnBehalfOf 参数与 Set-AIPAuthentication(而非 DelegatedUser 参数)一起使用。

扫描程序现在具有要对 Azure AD 进行身份验证的令牌。 只要在 Azure Active Directory 中配置过,此令牌就有效。 如果令牌过期,则必须重复此过程。

继续安装可选的网络发现服务,通过该服务,你能够扫描网络存储库中可能存在风险的内容,然后将这些存储库添加到内容扫描作业中。

安装网络发现服务(公共预览版)

从 AIP 统一标签客户端的版本 2.8.85.0 开始,管理员可以使用 AIP 扫描程序扫描网络存储库,然后添加任何看似对内容扫描作业有风险的存储库。

网络扫描作业通过尝试同时作为管理员和公共用户访问已配置的存储库,帮助你了解内容可能面临的风险。

例如,如果发现存储库同时具有读取和写入公共访问权限,可能需要进一步扫描并确认没有在其中存储敏感数据。

备注

此功能目前处于预览状态。 Azure 预览版补充条款包括适用于以 beta 版、预览版或尚未正式发布的 Azure 功能的其他法律条款。

若要安装网络发现服务,请执行以下操作:

  1. 在扫描程序计算机上,以管理员的身份打开 PowerShell 会话。

  2. 定义你希望 AIP 在运行网络发现服务时以及模拟管理员和公共用户访问时使用的凭据。

    使用以下语法提示时,请输入每个命令的凭据:domain\user。 例如:emea\msanchez

    运行:

    运行网络发现服务的凭据:

    $serviceacct= Get-Credential 
    

    模拟管理员访问权限的凭据:

    $shareadminacct= Get-Credential 
    

    模拟公共用户访问权限的凭据:

    $publicaccount= Get-Credential 
    
  3. 若要安装网络发现服务,请运行:

    Install-MIPNetworkDiscovery [-ServiceUserCredentials] <PSCredential> [[-StandardDomainsUserAccount] <PSCredential>] [[-ShareAdminUserAccount] <PSCredential>] [-SqlServerInstance] <String> -Cluster <String> [-WhatIf] [-Confirm] [<CommonParameters>]
    
    For example:
    
    ```PowerShell
    Install-MIPNetworkDiscovery -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Quickstart -ServiceUserCredentials $serviceacct  -ShareAdminUserAccount $shareadminacct -StandardDomainsUserAccount $publicaccount
    
    

安装完成后,系统将显示确认消息。

后续步骤

安装扫描程序和网络发现服务后,即可开始扫描。

有关详细信息,请参阅教程:使用 Azure 信息保护 (AIP) 扫描程序发现敏感内容

提示

如果你安装了版本 2.8.85.0,建议扫描网络以发现可能包含有风险的内容的存储库。

若要扫描有风险的存储库以寻找敏感数据,然后进行分类并避免外部用户使用这些数据,请使用找到的存储库的详细信息更新内容扫描作业。

另请参阅: