快速入門:尋找內部部署所儲存檔案中的敏感性資訊
在此快速入門中,您將允許 SharePoint 進行掃描,而且也安裝並設定 Azure 資訊保護掃描器,以尋找您儲存在內部部署資料存放區的敏感性資料。
所需時間:您可以在 15 分鐘內完成此設定。
必要條件
若要完成本快速入門,您需要:
需求 | 描述 |
---|---|
支援的訂用帳戶 | 您將需要包含 Azure 資訊保護的訂用帳戶。 |
已安裝用戶端 | 您必須在電腦上安裝傳統用戶端。 若要部署 AIP 傳統用戶端,請建立支援票證以取得下載存取權。 |
SQL Server Express | 您將必須在電腦上安裝 SQL Server Express。 若要安裝,請移至 Microsoft 下載中心 ,然後選取 [快速] 選項下的 [ 立即下載 ]。 在安裝程式中,選取 [基本] 安裝類型。 |
Azure AD | 您的網域帳戶必須同步處理至 Azure AD。 如果您不確定您的帳戶,請連絡其中一位系統管理員。 |
SharePoint 存取 | 若要啟用 SharePoint 掃描,您將需要 SharePoint 原則的存取權與權限。 |
準備測試資料夾和檔案
進行初始測試以確認掃描器正在運作:
在可存取的網路共用上建立新資料夾。 例如,將此資料夾命名為 TestScanner。
在該資料夾中建立並儲存包含以下字樣的 Word 文件:信用卡:4242-4242-4242-4242。
允許使用者掃描 SharePoint 存放庫
若要跨 SharePoint 存放庫使用掃描器,請指定站台 URL,Azure 資訊保護將會探索該 URL 下的所有站台並加以掃描。
若要啟用跨存放庫掃描,請為您想要用來掃描的使用者新增下列 SharePoint 權限:
開啟 SharePoint,然後選取 [權限原則],然後選取 [新增權限原則層級]。
在 [網站集合權限] 下,選取 [網站收集器稽核員] 選項。
在 [權限] 之下,針對 [檢視應用程式頁面] 選項選取 [授與],並儲存您所做的變更。
確認您的變更之後,請在開啟的 [Web 應用程式的原則] 訊息中,按一下 [確定]。
在 [新增使用者] 頁面的 [選擇使用者] 欄位中,新增您想要用於掃描的使用者。 在 [選擇權限] 底下,選取 [網站集合] 選項,然後按一下 [完成],將您建立的權限套用至您新增或選取的使用者。
設定掃描器的設定檔
安裝掃描器之前,請先在 Azure 入口網站中為它建立設定檔。 此設定檔包含掃描器設定與要掃描的資料存放庫位置。
開啟新的瀏覽器視窗,並登入 Azure 入口網站。 然後瀏覽至 [Azure 資訊保護] 窗格。
例如,在資源、服務及文件的搜尋方塊中:開始輸入資訊,然後選取 [Azure 資訊保護]。
從左側窗格中找出 [掃描器] 選項,然後選取 [設定檔]。
在 [Azure 資訊保護 - 設定檔] 窗格上,選取 [新增]:
在 [新增設定檔] 窗格上,為用來識別其組態設定和要掃描之資料存放庫的掃描器指定名稱。 例如,針對此快速入門,您可以指定 [快速入門]。 當您稍後安裝掃描器時,必須指定相同的設定檔名稱。
選擇性地指定用於系統管理目的之說明,以協助您識別掃描器的設定檔名稱。
找出 [ 敏感度原則 ] 區段,在此快速入門中,只選取一個設定:針對 [ 強制執行],選取 [ 關閉]。 接著選取 [儲存],但不要關閉窗格。
此設定會將掃描器設定為對指定的資料存放庫中的所有檔案進行單次性探索。 此掃描就會尋找所有已知的機密資訊類型,並且不需要您先設定您的 Azure 資訊保護標籤或原則設定。
現在會建立並儲存設定檔,而您已準備好返回 [設定存放庫] 選項來指定網路資料夾作為要掃描的資料存放區。
繼續在 [新增設定檔] 窗格上,選取 [設定存放庫] 以開啟 [存放庫] 窗格:
在 [存放庫] 窗格上,選取 [新增]:
在 [存放庫] 窗格上,指定您先前建立的資料夾。 例如:
\\server\TestScanner
請不要變更此窗格上的其餘設定,而應該將其維持為設定檔預設值,這表示資料存放庫會從掃描器設定檔繼承設定。
選取 [儲存]。
回到[Azure 資訊保護 - 設定檔] 窗格,您現在會看到設定檔列出,以及顯示[手動] 的[排程] 資料行,而[強制執行] 資料行是空白的。
[節點] 欄會顯示 0,因為您尚未安裝此設定檔的掃描器。
您現在已準備好使用您所建立的掃描器設定檔來安裝掃描器。
安裝掃描器
使用 [以系統管理員身分執行] 選項來開啟 PowerShell 工作階段。
使用下列命令來安裝掃描器,並指定網路共用的名稱,以及儲存在 Azure 入口網站中的設定檔名稱:
Install-AIPScanner -SqlServerInstance <your network share name>\SQLEXPRESS -Profile <profile name>
出現提示時,請使用 < 網域\使用者名稱 > 格式,然後提供您自己的掃描器認證,然後提供密碼。
開始掃描並確認它已完成
回到 Azure 入口網站,重新整理 [Azure 資訊保護 - 設定檔] 窗格,您應該會看到 [節點] 欄現在顯示 1。
選取您的設定檔名稱,然後選取 [立即掃描] 選項:
選取您的設定檔之後,如果此選項無法使用,掃描器就不會連線到 Azure 資訊保護。 檢查您的設定和網際網路連線能力。
只有一個小檔案需要檢查,因此這個初步測試掃描將會很快速:
請等候,直到您看到顯示 [上次掃描結果 ] 和 [上次掃描 (結束時間)] 欄的值為止。
提示
或者,僅適用於來自傳統用戶端的掃描器:
查看本機 Windows 應用程式及服務事件記錄檔:Azure 資訊保護。 確認 MSIP.Scanner 處理序的資訊事件識別碼 911。 事件記錄檔項目還包含掃描結果的摘要。
查看詳細結果
使用 [檔案總管],在 %localappdata%\Microsoft\MSIP\Scanner\Reports 中尋找掃描器報告。 開啟 .csv 檔案格式的詳細報表檔案。
在 Excel 中:
前兩欄會顯示您的資料存放區存放庫與檔案名稱。
在查看欄時,您將看到一個名為資訊類型名稱的資料行,這是您最感興趣的資料行。
針對我們的初始測試,它會顯示信用卡號碼,這是掃描器可以找到的許多機密資訊類型的其中一個。
掃描您自己的資料
編輯您的掃描器設定檔並新增資料存放庫,這次指定您想要掃描敏感性資訊的內部部署資料存放區。
為 SharePoint 站台或程式庫指定網路共用 (UNC 路徑) 或 SharePoint Server URL。
例如:
- 針對網路共用:
\\NAS\HR
- 針對 SharePoint 資料夾:
http://sp2016/Shared Documents
- 針對網路共用:
再次重新啟動掃描器。
在 [Azure 資訊保護 - 設定檔] 窗格上,確認已選取您的設定檔,然後選取 [立即掃描] 選項:
當掃描完成後,請檢視新的結果。
掃描需要多長時間,取決於資料存放區中有多少檔案、這些檔案有多大,以及檔案類型。
清除資源
在生產環境中,您將使用以無訊息方式對 Azure 資訊保護服務進行驗證的服務帳戶,在 Windows 伺服器上執行掃描器。 您也會使用企業級版本的 SQL Server,並可能指定數個資料存放庫。
若要清除資源並讓系統為生產環境部署做好準備,請在 PowerShell 工作階段中執行下列命令以將掃描器解除安裝:
Uninstall-AIPScanner
重新啟動您的電腦。
此命令並不會移除下列項目,如果您在此快速入門之後不需要它們,則必須以手動方式移除它們:
安裝 Azure 資訊保護 掃描器時,執行 Install-AIPScanner Cmdlet 所建立的SQL Server資料庫:AIPScanner_ < profile >
掃描器報告位於 %localappdata%\Microsoft\MSIP\Scanner\Reports。
針對您的本機電腦,已授與您網域帳戶的以服務方式登入使用者權限指派。
後續步驟
此快速入門包含最低設定,以便您可以快速查看掃描器如何在內部部署資料存放區中尋找機密資訊。 如果您已準備好在生產環境中安裝掃描器,請參閱部署 Azure 資訊保護掃描器以自動分類和保護檔案。
如果要對包含機密資訊的檔案進行分類及保護,您必須設定標籤以進行自動分類和保護: