Teilen über


Erfahren Sie mehr über den Information Protection-Scanner.

Hinweis

Es gibt eine neue Version des Informationsschutzscanners. Weitere Informationen finden Sie unter Upgrade des Microsoft Purview Information Protection-Scanners.

Verwenden Sie die Informationen in diesem Abschnitt, um mehr über den Microsoft Purview Information Protection-Scanner zu erfahren und dann zu erfahren, wie Sie ihn erfolgreich installieren, konfigurieren, ausführen und ggf. behandeln.

Dieser Scanner wird als Dienst unter Windows Server ausgeführt und ermöglicht es Ihnen, Dateien in den folgenden Datenspeichern zu ermitteln, zu klassifizieren und zu schützen:

  • UNC-Pfade für Netzwerkfreigaben, die die Protokolle SMB oder NFS (Vorschau) verwenden.

  • SharePoint-Dokumentbibliotheken und -Ordner für SharePoint Server 2019 bis SharePoint Server 2013.

Um Ihre Dateien zu klassifizieren und zu schützen, verwendet der Scanner Vertraulichkeitsbezeichnungen , die im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal konfiguriert sind.

Übersicht über den Scanner

Die Information Protection-Überprüfung kann alle Dateien überprüfen, die Windows indizieren kann. Wenn Sie Vertraulichkeitsbezeichnungen so konfigurieren, dass die automatische Klassifizierung angewendet wird, kann der Scanner ermittelte Dateien bezeichnen, um diese Klassifizierung anzuwenden, und optional den Schutz anwenden oder entfernen. Informationen zu den typen vertraulichen Informationen (SITs), die von der Information Protection-Überprüfung unterstützt werden, finden Sie unter Vom Microsoft Purview Information Protection-Scanner unterstützte Typen vertraulicher Informationen.

Die folgende Abbildung zeigt die Scannerarchitektur, in der der Scanner Dateien auf Ihren lokalen und SharePoint-Servern erkennt.

Microsoft Purview Information Protection-Scannerarchitektur

Um Ihre Dateien zu überprüfen, verwendet der Scanner IFilter, die auf dem Computer installiert sind. Um zu bestimmen, ob die Dateien beschriftet werden müssen, verwendet der Scanner Typen vertraulicher Informationen und Mustererkennung oder RegEx-Muster.

Der Scanner verwendet den Microsoft Purview Information Protection-Client und kann dieselben Dateitypen wie der Client klassifizieren und schützen. Weitere Informationen finden Sie unter Unterstützte Dateitypen.

Führen Sie eine der folgenden Aktionen aus, um Ihre Überprüfungen nach Bedarf zu konfigurieren:

  • Führen Sie den Scanner nur im Ermittlungsmodus aus, um Berichte zu erstellen, die überprüfen, was passiert, wenn Ihre Dateien beschriftet sind.
  • Führen Sie den Scanner aus, um Dateien mit vertraulichen Informationen zu ermitteln, ohne Bezeichnungen zu konfigurieren, die die automatische Klassifizierung anwenden.
  • Führen Sie den Scanner automatisch aus , um Bezeichnungen wie konfiguriert anzuwenden.
  • Definieren Sie eine Dateitypliste , um bestimmte Dateien anzugeben, die überprüft oder ausgeschlossen werden sollen.

Hinweis

Der Scanner erkennt und beschriftet nicht in Echtzeit. Dateien in den von Ihnen angegebenen Datenspeichern werden systematisch durchforstet. Konfigurieren Sie diesen Zyklus so, dass er einmal oder wiederholt ausgeführt wird.

Tipp

Der Scanner unterstützt Scannercluster mit mehreren Knoten, sodass Ihre Organisation horizontal hochskaliert werden kann, um schnellere Scanzeiten und einen breiteren Umfang zu erzielen.

Stellen Sie mehrere Knoten von Anfang an bereit, oder beginnen Sie mit einem Einzelknotencluster, und fügen Sie später weitere Knoten hinzu, wenn Sie wachsen. Stellen Sie mehrere Knoten bereit, indem Sie denselben Clusternamen und dieselbe Datenbank für das Cmdlet Install-Scanner verwenden.

Der Scanvorgang

Beim Scannen von Dateien führt die Information Protection-Überprüfung die folgenden Schritte aus:

1. Bestimmen Sie, ob Dateien zum Scannen eingeschlossen oder ausgeschlossen werden.

2. Überprüfen und bezeichnen Sie Dateien.

3. Bezeichnen Sie Dateien, die nicht überprüft werden können.

Weitere Informationen finden Sie unter Dateien, die vom Scanner nicht bezeichnet werden.

1. Bestimmen, ob Dateien zum Scannen eingeschlossen oder ausgeschlossen werden

Der Scanner überspringt automatisch Dateien, die von der Klassifizierung und dem Schutz ausgeschlossen sind, z. B. ausführbare Dateien und Systemdateien. Weitere Informationen finden Sie unter Ausgeschlossene Dateitypen.

Der Scanner berücksichtigt auch alle Dateilisten, die explizit zum Scannen oder Ausschließen von der Überprüfung definiert sind. Dateilisten gelten standardmäßig für alle Datenrepositorys und können auch nur für bestimmte Repositorys definiert werden.

Verwenden Sie zum Definieren von Dateilisten für die Überprüfung oder den Ausschluss die Einstellung Zu überprüfende Dateitypen im Auftrag für die Inhaltsüberprüfung. Beispiel:

Konfigurieren von Dateitypen für die Überprüfung im Purview-Complianceportal

Weitere Informationen finden Sie unter Bereitstellen des Scanners zum automatischen Klassifizieren und Schützen von Dateien.

2. Überprüfen und Bezeichnen von Dateien

Nachdem ausgeschlossene Dateien identifiziert wurden, filtert der Informationsschutzscanner erneut, um Dateien zu identifizieren, die für die Überprüfung unterstützt werden.

Diese Filter sind dieselben, die vom Betriebssystem für Windows Search und Indizierung verwendet werden, und erfordern keine zusätzliche Konfiguration. Windows IFilter wird auch zum Scannen von Dateitypen verwendet, die von Word, Excel und PowerPoint sowie für PDF-Dokumente und Textdateien verwendet werden.

Eine vollständige Liste der dateitypen, die für die Überprüfung unterstützt werden, sowie weitere Anweisungen zum Konfigurieren von Filtern, die .zip und .tiff Dateien enthalten, finden Sie unter Zur Überprüfung unterstützte Dateitypen.

Nach der Überprüfung werden unterstützte Dateitypen mit den für Ihre Bezeichnungen angegebenen Bedingungen bezeichnet. Wenn Sie den Ermittlungsmodus verwenden, können diese Dateien entweder gemeldet werden, dass sie die bedingungen enthalten, die für Ihre Bezeichnungen angegeben sind, oder sie enthalten alle bekannten vertraulichen Informationstypen.

Beendete Scannerprozesse

Wenn der Scanner beendet wird, bevor eine Überprüfung auf eine große Anzahl von Dateien in Ihrem Repository abgeschlossen wird, müssen Sie möglicherweise die Anzahl der dynamischen Ports für das Betriebssystem erhöhen, das die Dateien hostet.

Beispielsweise ist die Serverhärtung für SharePoint ein Grund, warum der Scanner die Anzahl der zulässigen Netzwerkverbindungen überschreitet und daher beendet wird.

Um zu überprüfen, ob die Serverhärtung für SharePoint die Ursache für das Beenden des Scanners ist, überprüfen Sie die folgende Fehlermeldung in den Scannerprotokollen unter %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (mehrere Protokolle werden in eine ZIP-Datei komprimiert):

Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

Weitere Informationen zum Anzeigen und Erhöhen des aktuellen Portbereichs bei Bedarf finden Sie unter Einstellungen, die geändert werden können, um die Netzwerkleistung zu verbessern.

Tipp

Bei großen SharePoint-Farmen müssen Sie möglicherweise den Schwellenwert für die Listenansicht erhöhen, der den Standardwert von 5.000 aufweist.

Weitere Informationen finden Sie unter Verwalten großer Listen und Bibliotheken in SharePoint.

3. Beschriftung von Dateien, die nicht überprüft werden können

Für alle Dateitypen, die nicht überprüft werden können, wendet der Scanner die Standardbezeichnung aus seiner Vertraulichkeitsbezeichnungsrichtlinie oder die für den Scanner konfigurierte Standardbezeichnung an.

Dateien, die vom Scanner nicht beschriftet sind

Der Scanner kann Dateien unter den folgenden Umständen nicht beschriften:

  • Wenn der Dateityp die Bezeichnung ohne Verschlüsselung nicht unterstützt. Eine Liste der Dateitypen, die für diese Bezeichnungskonfiguration unterstützt werden, finden Sie unter Vertraulichkeitsbezeichnungen ohne Verschlüsselung.

  • Wenn die Bezeichnung Verschlüsselung anwendet, aber der Scanner den Dateityp nicht unterstützt.

    Standardmäßig verschlüsselt der Scanner nur Office-Dateitypen und PDF-Dateien, wenn sie mit dem ISO-Standard für die PDF-Verschlüsselung geschützt sind.

    Andere Dateitypen können zur Verschlüsselung hinzugefügt werden, wenn Sie die zu schützenden Dateitypen ändern.

Beispiel: Nach der Überprüfung .txt Dateien kann der Scanner keine Bezeichnung anwenden, die keine Verschlüsselung anwendet, da der dateityp .txt keine Vertraulichkeitsbezeichnungen ohne Verschlüsselung unterstützt.

Wenn die Bezeichnung jedoch für die Anwendung der Verschlüsselung konfiguriert ist und der .txt Dateityp für den Scanner zum Schutz enthalten ist, kann der Scanner die Datei bezeichnen.

Nächste Schritte

Weitere Informationen zum Bereitstellen des Scanners finden Sie in den folgenden Artikeln:

Sie können PowerShell auch verwenden, um Dateien auf Ihrem Desktopcomputer interaktiv zu klassifizieren und zu schützen. Weitere Informationen zu diesem und anderen Szenarien, die PowerShell verwenden, finden Sie unter Einrichten des Information Protection-Clients mithilfe von PowerShell.