快速入门:查找在本地存储的文件中的敏感信息

适用于:Azure 信息保护

相关客户端:适用于 Windows 的 Azure 信息保护经典客户端

注意

为了提供统一、简化的客户体验,我们计划于 2021 年 3 月 31 日停用 Azure 门户中的 Azure 信息保护经典客户端和标签管理。 不提供对经典客户端的进一步支持,也不再发布维护版本。

  • 经典客户端将在 2022 年 3 月 31 日完全停用并停止运行。
  • 自 2022 年 3 月 18 日起,我们还将停用 AIP 审核日志和分析,完全停用日期为 2022 年 9 月 31 日。

本文中的内容仅为具有外延支持的客户提供支持。 有关详细信息,请参阅已删除和停用的服务

本快速入门将介绍如何使 SharePoint 允许扫描,以及安装和配置 Azure 信息保护扫描程序,以查找存储在本地数据存储中的任何敏感数据。

所需时间:在 15 分钟内即可完成此配置。

先决条件

若要完成本快速入门,你需要:

要求 说明
支持订阅 你需要包含 Azure 信息保护的订阅。
客户端已安装 你将需要在计算机上安装的经典客户端。 若要部署 AIP 经典客户端,请打开支持票证以获取下载访问权限。
SQL Server Express 你将需要在计算机上安装 SQL Server Express。

若要安装,请转到
,然后选择 Express 选项下的“立即下载”
。 在安装程序中,选择“基本”安装类型。
Azure AD 你的域帐户必须同步到 Azure AD。

如果你不确定你的帐户,请联系你的系统管理员。
SharePoint 访问 若要启用 SharePoint 扫描,你将需要 SharePoint 策略的访问权限和权限。

准备测试文件夹和文件

执行初始测试以确认扫描程序正常工作:

  1. 在可访问的网络共享上创建新文件夹。 例如,将此文件夹命名为 TestScanner。

  2. 在该文件夹中创建一个 Word 文档并保存它,该文件夹包含文本“信用卡:4242-4242-4242-4242”。

许可用户扫描 SharePoint 存储库

若要跨 SharePoint 存储库使用扫描程序,请为 Azure 信息保护指定站点 URL,以发现该 URL 下的所有站点并进行扫描。

若要实现跨存储库扫描,请为要用于扫描的用户添加以下 SharePoint 权限:

  1. 打开 SharePoint,选择“权限策略”,然后选择“添加权限策略级别”。

    Create new permissions policy level for a specific user

  2. 在“网站集权限”下,选择“网站收集器审核程序”选项。

  3. 在“权限”下,为“查看应用程序页面”选项选择“授权”,然后选择“保存”更改。

    Select Site Collector Auditor and permissions options for a specific user

  4. 确认更改后,在打开的“Web 应用程序策略”消息中单击“确定”。

  5. 在“添加用户”页面的“选择用户”字段中,添加要用于扫描的用户。 在“选择权限”下,选择“网站集”选项,然后单击“完成”,将创建的权限应用于已添加或选择的用户。

    Add user to new permissions options

配置扫描程序的配置文件

在安装扫描程序之前,在 Azure 门户中为其创建一个配置文件。 此配置文件包含扫描程序设置以及要扫描的数据存储库的位置。

  1. 打开新的浏览器窗口,登录到 Azure 门户。 然后导航到“Azure 信息保护”窗格。

    例如,在资源、服务和文档的搜索框中:开始键入“信息”并选择“Azure 信息保护”。

  2. 在左侧窗格中找到“扫描程序”选项,然后选择“配置文件” 。

  3. 在“Azure 信息保护 - 配置文件”窗格上,选择“添加”:

    Add profile for the Azure Information Protection scanner

  4. 在“添加新配置文件”窗格上,指定扫描程序的名称,该名称用于标识扫描程序的配置设置和要扫描的数据存储库。 例如,对于本快速入门,可以指定“快速入门”。 以后安装扫描程序时,将需要指定相同的配置文件名称。

    (可选)指定用于管理的说明,以帮助识别扫描程序的配置文件名称。

  5. 找到“敏感度策略”部分,对于此快速入门,只选择该部分中的一个设置:对于“实施”,选择“关闭”。 然后,选择“保存”,但不要关闭窗格。

    这些设置将扫描程序配置为对指定数据存储库中的所有文件进行一次性发现。 此扫描操作会查找所有已知的敏感信息类型,不必首先配置 Azure 信息保护标签或策略设置。

  6. 现已创建并保存配置文件,接下来你可返回到“配置存储库”选项,将网络文件夹指定为要扫描的数据存储。

    仍在“添加新配置文件”窗格上,选择“配置存储库”以打开“存储库”窗格:

    Configure data repositories for the Azure Information Protection scanner

  7. 在“存储库”窗格上,选择“添加”:

    Add data repository for the Azure Information Protection scanner

  8. 在“存储库”窗格上,指定之前创建的文件夹。 例如:\\server\TestScanner

    对于此窗格上的其余设置,请不要进行更改,而是将其保留为配置文件默认设置,这意味着数据存储库将从扫描程序配置文件继承设置。

    选择“保存”。

  9. 返回到“Azure 信息保护 - 配置文件”窗格,现在将看到列出的配置文件,同时“计划”列显示“手动”且“实施”列为空。

    “节点”列显示“0”,因为尚未为此配置文件安装扫描程序 。

现在可随时使用已创建的扫描程序配置文件安装扫描程序。

安装扫描程序

  1. 使用“以管理员身份运行”选项打开 PowerShell 会话。

  2. 使用以下命令安装扫描程序,指定你的网络共享的名称和你保存在 Azure 门户中的配置文件名称:

    Install-AIPScanner -SqlServerInstance <your network share name>\SQLEXPRESS -Profile <profile name>
    

    在出现提示时,请使用 <域\用户名> 格式,然后使用密码为扫描程序提供自己的凭据。

开始扫描并确认扫描完成

  1. 返回 Azure 门户,刷新“Azure 信息保护 - 配置文件”窗格,此时应看到“节点”列现在显示“1”。

  2. 选择配置文件名称,然后选择“立即扫描”选项:

    Initiate scan for the Azure Information Protection scanner

    如果在选择配置文件后,此选项不可用,则扫描程序不会连接到 Azure 信息保护。 查看配置和 Internet 连接。

  3. 只有一个小文件需要检查,因此初始测试扫描速度很快:

    请稍候,直到看到“上次扫描结果”和“上次扫描(结束时间)”列显示的值。

提示

或者,仅对于经典客户端中的扫描程序:

查看本地 Windows 应用程序和服务事件日志和 Azure 信息保护。 确认 MSIP.Scanner 进程的信息事件 ID 911。 事件日志条目还包含扫描结果的摘要。

查看详细结果

使用文件资源管理器在 %localappdata%\Microsoft\MSIP\Scanner\Reports 中找到扫描程序报表。 打开 .csv 文件格式的详细报告文件。

在 Excel 中:

  • 前两列显示数据存储的存储库和文件名。

  • 在查看列时,可以看到一个名为“信息类型名称”的列,这是你最感兴趣的列。

    在我们的初始测试中,它显示“信用卡号”,这是扫描程序可以找到的许多敏感信息类型之一。

扫描自己的数据

  1. 编辑扫描程序配置文件并添加新的数据存储库,这次指定要扫描敏感信息的本地数据存储。

    为 SharePoint 站点或库指定网络共享(UNC 路径)或 SharePoint Server URL。

    例如:

    • 对于网络共享:
    • 对于 SharePoint 文件夹:
  2. 再次重启扫描程序。

    在“Azure 信息保护 - 配置文件”窗格上,确保选中配置文件,然后选择“立即扫描”选项:

    Initiate scan for the Azure Information Protection scanner

  3. 扫描完成后,查看新的结果。

    扫描需要的时间取决于数据存储中的文件数量、文件大小以及文件类型。

清理资源

在生产环境中,将使用对 Azure 信息保护服务进行无提示身份验证的服务帐户在 Windows Server 上运行扫描程序。 同时还使用企业级版本的 SQL Server,并可能指定多个数据存储库。

若要清理资源并准备好系统用于生产部署,请在 PowerShell 会话中运行以下命令以卸载扫描程序:

Uninstall-AIPScanner

然后重新启动计算机。

此命令不会删除以下项目,如果你在学习本快速入门教程后不需要使用这些项目,必须手动删除它们:

  • 在安装 Azure 信息保护扫描程序时通过运行 Install-AIPScanner cmdlet 创建的 SQL Server 数据库:AIPScanner_配置文件>

  • %localappdata%\Microsoft\MSIP\Scanner\Reports 中的扫描程序报表。

  • 向域帐户授予的针对本地计算机的“作为服务登录”用户权限分配。

后续步骤

本快速入门教程包括最低配置,使用户可以快速查看扫描程序如何在本地数据存储中查找敏感信息。 如果你已准备好在生产环境中安装扫描程序,请参阅部署 Azure 信息保护扫描程序以自动分类和保护文件

如果要对包含敏感信息的文件进行分类和保护,必须配置标签以实现自动分类和保护: