Como instalar o AIP Scanner em seu ambiente corporativo

O scanner AIP é executado como um serviço no Windows Server e permite que você descubra, classifique e proteja arquivos nos seguintes armazenamentos de dados:

Caminhos UNC para compartilhamentos de rede que usam os protocolos SMB ou NFS (versão prévia).
Bibliotecas de documentos e pastas do SharePoint para o sharepoint Server 2019 por meio do sharepoint Server 2013. Também há suporte ao SharePoint 2010 para clientes que tenham suporte estendido para essa versão do SharePoint.

Visão geral

O scanner AIP pode inspecionar todos os arquivos que o Windows pode indexar. Se você tiver configurado rótulos de sensibilidade para aplicar a classificação automática, o verificador poderá rotular arquivos descobertos para aplicar essa classificação e, opcionalmente, aplicar ou remover a proteção.

A imagem a seguir mostra a arquitetura do scanner AIP, em que o verificador descobre arquivos em seus servidores locais e do SharePoint.

Para inspecionar os arquivos, o verificador usa IFilters instalados no computador. Para determinar se os arquivos precisam de rotulagem, o verificador usa o Microsoft 365 tipos de informações de sensibilidade de DLP (prevenção contra perda de dados) internos e detecção de padrões, ou Microsoft 365 padrões Regex.

Pré-requisitos de instalação

Os pré-requisitos abaixo ainda são necessários para uma instalação bem-sucedida do scanner AIP:

Um Servidor Windows 2012 R2 ou 2016 Server para executar o serviço.
Cpu mínima de 4 e 4 GB de RAM física ou virtual.
O scanner alocará RAM 2.5-3 vezes de tamanho de todos os arquivos sendo digitalizados em paralelo. Assim, se você digitalizar 40 arquivos que são 20MB cada ao mesmo tempo, ele deve levar cerca de 202.540=2GB RAM. No entanto, se você tem um grande arquivo de 1GB, ele pode levar 3GB de RAM apenas para esse arquivo.
Conectividade à Internet necessária para a Proteção de Informações do Azure.
Uma instância local ou remota do SQL Server 2012+ (qualquer versão do Express ou melhor é suportada).
Função Sysadmin necessária para instalar o serviço de scanner (usuário executando Install-AIPScanner, não a conta de serviço).
Conta de serviço criada no ambiente local AD.
O serviço requer o Log on localmente à direita e o Log on como um direito de serviço (o segundo será dado durante a instalação do serviço de scanner).
A conta de serviço requer permissões de leitura em cada repositório para detecção e permissões de leitura/gravação para classificação/proteção.
AzInfoProtection.exe disponível no Microsoft Download Center (Os bits do scanner estão incluídos no Cliente AIP)

NOTA: Se usar o SQL Server Express, o nome da instância SQL é ServerName\SQLExpress.

NOTA: Uma instância SQL diferente é necessária para cada nó AIP Scanner.

Além desses requisitos de infraestrutura é necessário atender os seguintes abaixo:

O serviço de Rights Management do Azure deve ser ativado.
Se o locatário da proteção de informações do Azure não estiver ativado, consulte as instruções para ativar o serviço de proteção da proteção de informações do Azure.

Para remover a proteção de arquivos para outras pessoas que usam sua própria conta:

O recurso de superusuário deve ser habilitado para sua organização.
Sua conta deve ser configurada para ser um superusuário do Azure Rights Management.

Criar um Cluster

1- É necessário antes de começar a instalação do AIPScanner no servidor criar um cluster no portal de informações do azure.

2- Acesso o portal do Azure.

3- Pesquise por azure information protection e clique nele.

4- No canto esquerdo descer até chegar em Cluster, clique em Add.

5- Defina um nome e uma descrição.

Iniciando a Instalação

Após instalar o SQL conforme as recomendações acima, e instalar o cliente do aip scanner no servidor, vamos instalar o AIPSCANNER.

1- Acessar o servidor do AIPScanner.

2- Abrir o poweshell como administrador.

3- Executor o comando Install-AIPScanner -SqlServerInstance VM-WIN19\SQLEXPRESS (Nome do servidor\nome da instancia).

4- Na sequência digitar o nome do cluster que configuramos no portal do Azure Information Protection, inserir o nome dele, no meu caso MEHC.

5- Caso o resultado seja positivo conforme a imagem abaixo.

Criando um aplicativo no Azure AD

1- Acessar o portal do Azure.

2- Acesse o Azure Active Directory.

3- Copie o ID de seu Tenant e salve em um bloco de notas pois será necessário mais adiante.

4- Em Manage escolha Registro de aplicativo.

5- Em registro de aplicativo criar uma aplicação.

6- Preencher conforme imagem abaixo:

7- Clique em registrar.

8- Após registrar, copie o ID do aplicativo pois precisaremos dele mais a frente, acesse o aplicativo criado em visão geral copie o ID.

9- Na mesma tela do aplicativo, no canto esquerdo escolher certificados e segredos.

10- Defina o tempo de expiração da chave.

11- Após criar a chave copie o valor guarde a AppSecret com segurança pois não será possível visualiza-la após fechar a tela.

12- Agora precisamos conceder as permissões para essa aplicação. No canto esquerdo selecionar Permissões de API.

13- Clique em adicionar permissões.

14- Selecione Microsoft API, e escolha Rights Management do Azure.

15- Selecione a opção Permissões do aplicativo.

16- Escolha as opções Content. DelegatedReader e Content. DelegatedWriter e clique em adicionar permissões.

17- Clique em adicionar permissões e escolha UnifiedPolicy.

18- Se tudo ocorrer conforme planejado as configurações devem estar assim:

19- Após todas essas etapas, vamos retornar ao nosso servidor do AIP Scanner e adicionar esse aplicativo com os parâmetros que copiamos anteriormente AppID e AppSecret.

20- No servidor onde está será instalado o AIP Scanner abrir o powershell e executar os comandos abaixo:

21- Deve-se usar o usuário que instalou o AIPScanner e que tenha permissão de SA no SQL:

$pscreds = Get-Credential dominio\usuario

22- Após executar o comando abaixo colocando as informações de AppID copiadas anteriormente e da AppSecret, o DelegatedUser precisa que o usuário tenha permissão de super usuário:


Set-AIPAuthentication -AppId "f60bfbdb-1fc0-497a-9d8a-f4c74e2e2f3b" -AppSecret "K0_Mf61aP_sKu3_M1_3AuZ6ODPRyat-7n_" -DelegatedUser [email protected] -TenantId "10b535da-aa3f-4abf-be80-2ee1af49d92c" -OnBehalfOf $pscreds

23- Se tudo ocorrer bem após executar esse comando deverá receber a mensagem:

Acquired application access token on behalf of dominio\usuario.

Configurando os Repositórios a serem escaneados

1- Acessar o portal.azure.com, pesquisar por Azure Information Protection.

2- No portal do Azure Information Protection, em Scanner em Nodes você deve ver o seu servidor no AIPScanner.

3- Clique nele e adicione ao cluster criado anteriormente.

4- Volte a tela anterior, acesse Network scan jobs clique em adicionar.

5- Defina um nome para a rotina, adicione o cluster, caso queira pode-se adicionar ranges de IP para o escaneamento ser feito somente neste range.

6- Selecione quando o escaneamento será executado, o escaneamento automático só é disponível em licenças Azure Information Protection P2.

7- Volte a tela anterior, vamos para Trabalhos de verificação de conteúdo.

8- Aqui iremos configurar os repositórios que serão verificados e as condições, preencha conforme abaixo e escolha Repositórios:

9- Aqui estou usando o mesmo servidor de arquivos como AipScanner pois estamos em um ambiente de DEMO, em um ambiente de produção é recomendado usar um servidor dedicado para o AIPScanner ou criar um pool de Scanner, em Path você deve definir o caminho do compartilhamento exemplo \\servidordearquivos\pastascaneada.

10- Após definir todas as configurações retorne para a tela anterior, em Trabalhos de verificação de conteúdo selecione o servidor e execute um escaneamento.

11- É possível acompanhar o status no escaneamento.

12- Nesse ambiente eu não possuo uma assinatura do Log Analytics para coletar os dados direto do portal do Azure, nesse caso eu preciso navegar até a pasta %localappdata%\Microsoft\MSIP\Scanner\Reports.