Teilen über


Konfigurieren und Installieren der Information Protection-Überprüfung

Hinweis

Es gibt eine neue Version des Informationsschutzscanners. Weitere Informationen finden Sie unter Aktualisieren des Microsoft Purview Information Protection Scanners.

In diesem Artikel wird beschrieben, wie Sie den Microsoft Purview Information Protection Scanner konfigurieren und installieren, der früher als Azure Information Protection Unified Labeling Scanner bezeichnet wurde, oder den lokalen Scanner.

Tipp

Während die meisten Kunden diese Verfahren im Verwaltungsportal ausführen, müssen Sie möglicherweise nur in PowerShell arbeiten.

Wenn Sie beispielsweise in einer Umgebung ohne Zugriff auf das Verwaltungsportal wie Azure China 21Vianet arbeiten, befolgen Sie die Anweisungen unter Verwenden von PowerShell zum Konfigurieren des Scanners.

Übersicht

Bevor Sie beginnen, überprüfen Sie, ob Ihr System die erforderlichen Voraussetzungen erfüllt.

Führen Sie dann die folgenden Schritte aus, um den Scanner zu konfigurieren und zu installieren:

  1. Konfigurieren der Scannereinstellungen

  2. Installieren des Scanners

  3. Abrufen eines Microsoft Entra Tokens für den Scanner

  4. Konfigurieren des Scanners für die Anwendung von Klassifizierung und Schutz

Führen Sie als Nächstes die folgenden Konfigurationsverfahren nach Bedarf für Ihr System aus:

Verfahren Beschreibung
Ändern der zu schützenden Dateitypen Möglicherweise möchten Sie andere Dateitypen als die Standarddateitypen überprüfen, klassifizieren oder schützen. Weitere Informationen finden Sie unter Der Überprüfungsprozess.
Aktualisieren des Scanners Aktualisieren Sie Ihren Scanner, um die neuesten Features und Verbesserungen zu verwenden.
Massenbearbeitung von Datenrepositoryeinstellungen Verwenden Sie Import- und Exportoptionen, um Massenänderungen für mehrere Datenrepositorys vorzunehmen.
Verwenden des Scanners mit alternativen Konfigurationen Verwenden des Scanners ohne Konfigurieren von Bezeichnungen mit Bedingungen
Optimieren der Leistung Leitfaden zur Optimierung der Scannerleistung

Wenn Sie keinen Zugriff auf die Scannerseiten im Microsoft Purview-Portal oder im Microsoft Purview-Complianceportal haben, konfigurieren Sie alle Scannereinstellungen nur in PowerShell. Weitere Informationen finden Sie unter Verwenden von PowerShell zum Konfigurieren des Scanners und unterstützte PowerShell-Cmdlets.

Konfigurieren der Scannereinstellungen

Bevor Sie den Scanner installieren oder von einer älteren Version der allgemeinen Verfügbarkeit aktualisieren, konfigurieren oder überprüfen Sie ihre Scannereinstellungen. Für diese Konfiguration können Sie entweder das Microsoft Purview-Portal oder die Microsoft Purview-Complianceportal verwenden.

So konfigurieren Sie Ihren Scanner im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal:

  1. Melden Sie sich mit einer der folgenden Rollen an:
  • Complianceadministrator
  • Compliancedatenadministrator
  • Sicherheitsadministrator
  • Organisationsverwaltung
  1. Navigieren Sie abhängig vom verwendeten Portal zu einem der folgenden Speicherorte:

  2. Erstellen Sie einen Scannercluster. Dieser Cluster definiert Ihren Scanner und wird verwendet, um die Scanner-instance zu identifizieren, z. B. während der Installation, upgrades und anderer Prozesse.

  3. Erstellen Sie einen Auftrag zur Inhaltsüberprüfung , um die Repositorys zu definieren, die Sie überprüfen möchten.

Erstellen eines Scannerclusters

So erstellen Sie einen Scannercluster im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal:

  1. Wählen Sie auf den Registerkarten auf der Seite Information Protection-Überprüfungdie Option Cluster aus.

  2. Wählen Sie auf der Registerkarte Cluster die Option HinzufügenSymbol hinzufügen.

  3. Geben Sie im Bereich Neuer Cluster einen aussagekräftigen Namen für den Scanner und eine optionale Beschreibung ein.

    Der Clustername wird verwendet, um die Konfigurationen und Repositorys des Scanners zu identifizieren. Beispielsweise können Sie europa eingeben, um die geografischen Standorte der Datenrepositorys zu identifizieren, die Sie überprüfen möchten.

    Sie verwenden diesen Namen später, um zu ermitteln, wo Sie Ihren Scanner installieren oder aktualisieren möchten.

  4. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern.

Erstellen eines Inhaltsüberprüfungsauftrags

Ausführliche Informationen zu Ihren Inhalten, um bestimmte Repositorys auf vertrauliche Inhalte zu überprüfen.

So erstellen Sie Ihren Auftrag zur Inhaltsüberprüfung im Microsoft Purview-Portal von Microsoft Purview-Complianceportal:

  1. Wählen Sie auf den Registerkarten auf der Seite Information Protection-Überprüfungdie Option Aufträge zur Inhaltsüberprüfung aus.

  2. Wählen Sie im Bereich Aufträge zur Inhaltsüberprüfung die Option Symbolhinzufügen aus.

  3. Konfigurieren Sie für diese Erstkonfiguration die folgenden Einstellungen, und wählen Sie dann Speichern aus.

    Einstellung Beschreibung
    Inhaltsüberprüfungsauftragseinstellungen - Zeitplan: Behalten Sie die Standardeinstellung Manuell bei.
    - Zu ermittelnde Infotypen: Nur in Richtlinie ändern
    DLP-Richtlinie Wenn Sie eine Richtlinie zur Verhinderung von Datenverlust verwenden, legen Sie DLP-Regeln aktivieren auf Ein fest. Weitere Informationen finden Sie unter Verwenden einer DLP-Richtlinie.
    Vertraulichkeitsrichtlinie - Richtlinie zur Vertraulichkeitsbezeichnung erzwingen: Wählen Sie Aus aus.
    - Beschriften von Dateien basierend auf Inhalten: Behalten Sie den Standardwert Ein bei.
    - Standardbezeichnung: Behalten Sie den Standardwert der Richtlinie bei.
    - Dateien neu bezeichnen: Behalten Sie den Standardwert Aus bei.
    Konfigurieren von Dateieinstellungen - "Änderungsdatum", "Letzte Änderung" und "Geändert von" beibehalten: Behalten Sie die Standardeinstellung Ein bei.
    - Zu überprüfende Dateitypen: Behalten Sie die Standarddateitypen für Exclude bei.
    - Standardbesitzer: Behalten Sie die Standardeinstellung Scanner-Konto bei.
    - Repositorybesitzer festlegen: Verwenden Sie diese Option nur bei Verwendung einer DLP-Richtlinie.
  4. Öffnen Sie den Inhaltsüberprüfungsauftrag, der gespeichert wurde, und wählen Sie die Registerkarte Repositorys aus, um die zu überprüfenden Datenspeicher anzugeben.

    Geben Sie UNC-Pfade und SharePoint Server-URLs für lokale SharePoint-Dokumentbibliotheken und -Ordner an.

    Hinweis

    SharePoint Server 2019, SharePoint Server 2016 und SharePoint Server 2013 werden für SharePoint unterstützt. SharePoint Server 2010 wird auch unterstützt, wenn Sie über erweiterte Unterstützung für diese Version von SharePoint verfügen.

    So fügen Sie Ihren ersten Datenspeicher hinzu, während Sie auf der Registerkarte Repositorys :

    1. Wählen Sie im Bereich Repositorysdie Option Hinzufügen aus:

    2. Geben Sie im Bereich Repository den Pfad für das Datenrepository an, und wählen Sie dann Speichern aus.

      • Verwenden Sie \\Server\Folderfür eine Netzwerkfreigabe .
      • Verwenden Sie http://sharepoint.contoso.com/Shared%20Documents/Folderfür eine SharePoint-Bibliothek .
      • Für einen lokalen Pfad: C:\Folder
      • Für einen UNC-Pfad: \\Server\Folder

    Hinweis

    Wildcards werden nicht unterstützt, und WebDav-Speicherorte werden nicht unterstützt. Das Scannen von OneDrive-Speicherorten als Repositorys wird nicht unterstützt.

    Wenn Sie einen SharePoint-Pfad für freigegebene Dokumente hinzufügen:

    • Geben Sie freigegebene Dokumente im Pfad an, wenn Sie alle Dokumente und alle Ordner aus freigegebenen Dokumenten überprüfen möchten. Beispiel: http://sp2013/SharedDocuments
    • Geben Sie Dokumente im Pfad an, wenn Sie alle Dokumente und ordner aus einem Unterordner unter Freigegebene Dokumente überprüfen möchten. Beispiel: http://sp2013/Documents/SalesReports
    • Oder geben Sie nur den FQDN Ihres SharePoint an, um beispielsweise http://sp2013alle SharePoint-Websites und -Unterwebsites unter einer bestimmten URL und Untertiteln unter dieser URL zu ermitteln und zu überprüfen. Gewähren Sie scanner Site Collector Auditor-Berechtigungen , um dies zu aktivieren.

    Für die verbleibenden Einstellungen in diesem Bereich ändern Sie sie nicht für diese Erstkonfiguration, sondern behalten Sie sie als Standard für Inhaltsüberprüfungsauftrag bei. Die Standardeinstellung bedeutet, dass das Datenrepository die Einstellungen vom Inhaltsscanauftrag erbt.

    Verwenden Sie beim Hinzufügen von SharePoint-Pfaden die folgende Syntax:

    Pfad Syntax
    Stammpfad http://<SharePoint server name>

    Überprüft alle Websites, einschließlich aller Websitesammlungen, die für den Scannerbenutzer zulässig sind.
    Erfordert zusätzliche Berechtigungen zum automatischen Ermitteln von Stamminhalten
    Bestimmte SharePoint-Unterwebsite oder -Sammlung Eine der folgenden Varianten:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Erfordert zusätzliche Berechtigungen zum automatischen Ermitteln von Websitesammlungsinhalten
    Bestimmte SharePoint-Bibliothek Eine der folgenden Varianten:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Bestimmter SharePoint-Ordner http://<SharePoint server name>/.../<folder name>
  5. Wiederholen Sie die vorherigen Schritte, um so viele Repositorys wie nötig hinzuzufügen.

Sie können nun den Scanner mit dem Von Ihnen erstellten Inhaltsscannerauftrag installieren. Fahren Sie mit Installieren des Scanners fort.

Installieren des Scanners

Nachdem Sie den Scanner konfiguriert haben, führen Sie die folgenden Schritte aus, um den Scanner zu installieren. Dieses Verfahren wird vollständig in PowerShell ausgeführt.

  1. Melden Sie sich beim Windows Server-Computer an, auf dem die Überprüfung ausgeführt wird. Verwenden Sie ein Konto, das über lokale Administratorrechte verfügt und über Berechtigungen zum Schreiben in die SQL Server master-Datenbank verfügt.

    Wichtig

    Vor der Installation des Scanners muss der Information Protection-Client auf Ihrem Computer installiert sein.

    Weitere Informationen finden Sie unter Voraussetzungen für die Installation und Bereitstellung des Informationsschutzscanners.

  2. Öffnen Sie eine Windows PowerShell Sitzung mit der Option Als Administrator ausführen.

  3. Führen Sie das Cmdlet Install-Scanner aus, und geben Sie dabei Ihre SQL Server instance an, für die eine Datenbank für die Information Protection-Überprüfung erstellt werden soll, und den Namen des Scannerclusters, den Sie im vorherigen Abschnitt angegeben haben:

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Beispiele für die Verwendung des Scannerclusternamens Europa:

    • Für eine Standard-instance:Install-Scanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Für einen benannten instance:Install-Scanner -SqlServerInstance SQLSERVER1\SCANNER -Cluster Europe

    • Für SQL Server Express:Install-Scanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Wenn Sie dazu aufgefordert werden, geben Sie die Active Directory-Anmeldeinformationen für das Scannerdienstkonto an.

    Verwenden Sie die folgende Syntax: \<domain\user name>. Beispiel: contoso\scanneraccount

  4. Überprüfen Sie mithilfe der Verwaltungstoolsdienste>, ob der Dienst jetzt installiert ist.

    Der installierte Dienst heißt Microsoft Purview Information Protection Scanner und ist für die Ausführung mit dem von Ihnen erstellten Scannerdienstkonto konfiguriert.

Nachdem Sie den Scanner installiert haben, müssen Sie ein Microsoft Entra Token für die Authentifizierung des Scannerdienstkontos abrufen, damit der Scanner unbeaufsichtigt ausgeführt werden kann.

Abrufen eines Microsoft Entra Tokens für den Scanner

Ein Microsoft Entra Token ermöglicht es dem Scanner, sich beim Microsoft Purview Information Protection Scannerdienst zu authentifizieren, sodass der Scanner unbeaufsichtigt ausgeführt werden kann.

Weitere Informationen finden Sie unter Unbeaufsichtigtes Ausführen von Bezeichnungs-Cmdlets für den Informationsschutz.

So rufen Sie ein Microsoft Entra Token ab:

  1. Navigieren Sie zum Azure-Portal, und fahren Sie mit dem Blatt Microsoft Entra ID fort.

  2. Klicken Sie im Microsoft Entra ID Seitenbereich auf App-Registrierungen.

  3. Klicken Sie oben auf + Neue Registrierung.

  4. Geben Sie im Abschnitt Name in InformationProtectionScanner ein.

  5. Übernehmen Sie die Option Unterstützte Kontotypen als Standard.

  6. Übernehmen Sie für den Umleitungs-URI den Typ Web, geben http://localhost Sie aber für den Eintragsteil ein, und klicken Sie auf Registrieren.

  7. Notieren Sie sich auf der Seite Übersicht dieser Anwendung im Text-Editor Ihrer Wahl die folgenden IDs: Anwendungs-ID (Client) und Verzeichnis-ID (Mandant). Sie benötigen dies später beim Einrichten des befehls Set-AIPAuthentication.

  8. Navigieren Sie im Seitenbereich zu Zertifikate und Geheimnisse.

  9. Klicken Sie auf + Neuer geheimer Clientschlüssel.

  10. Geben Sie im angezeigten Dialogfeld eine Beschreibung für Ihr Geheimnis ein, legen Sie es auf Ablauf in 1 Jahr und dann Auf Geheimnis hinzufügen fest.

  11. Nun sollte im Abschnitt geheime Clientschlüssel angezeigt werden, dass ein Eintrag mit dem Geheimniswert vorhanden ist. Kopieren Sie diesen Wert, und speichern Sie ihn in der Datei, in der Sie die Client-ID und die Mandanten-ID gespeichert haben. Dies ist das einzige Mal, dass Der Geheimniswert angezeigt wird. Er kann nicht wiederhergestellt werden, wenn Sie ihn zu diesem Zeitpunkt nicht kopieren.

  12. Navigieren Sie im Seitenbereich zu API-Berechtigungen.

  13. Fahren Sie fort, und wählen Sie Berechtigung hinzufügen aus.

  14. Wenn der Bildschirm angezeigt wird, wählen Sie Azure Rights Management Service aus. Wählen Sie dann Anwendungsberechtigungen aus.

  15. Klicken Sie auf die Dropdownliste für Inhalt, und setzen Sie die Häkchen für Content.DelegatedReader und Content.DelegatedWriter. Klicken Sie dann unten auf dem Bildschirm auf Berechtigungen hinzufügen.

  16. Navigieren Sie zurück zum Abschnitt API-Berechtigungen , und fügen Sie eine weitere Berechtigung hinzu.

  17. Klicken Sie dieses Mal für den Abschnitt API auswählen auf APIs, die von meinem organization verwendet werden. Geben Sie in der Suchleiste Microsoft Information Protection Sync Service ein, und wählen Sie ihn aus.

  18. Wählen Sie Anwendungsberechtigungen aus, und markieren Sie dann in der Dropdownliste Einheitliche Richtlinie die Berechtigung UnifiedPolicy.Tenant.Read. Klicken Sie dann unten auf dem Bildschirm auf Berechtigungen hinzufügen.

  19. Klicken Sie auf dem Bildschirm API-Berechtigungen auf Admin Zustimmung erteilen, und suchen Sie nach dem erfolgreichen Vorgang (durch ein grünes Häkchen gekennzeichnet).

  20. Wenn Ihrem Scannerdienstkonto das Recht Lokal anmelden für die Installation gewährt wurde, melden Sie sich auf dem Windows Server-Computer mit diesem Konto an, und starten Sie eine PowerShell-Sitzung.

    Führen Sie Set-Authentication aus, und geben Sie die Werte an, die Sie aus dem vorherigen Schritt kopiert haben:

    Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Zum Beispiel:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

Tipp

Wenn Ihrem Scannerdienstkonto nicht das Recht Lokales Anmelden für die Installation gewährt werden kann, verwenden Sie den Parameter OnBehalfOf mit Set-Authentication, wie unter Ausführen von Bezeichnungs-Cmdlets für den Informationsschutz unbeaufsichtigt beschrieben.

Der Scanner verfügt jetzt über ein Token zur Authentifizierung bei Microsoft Entra ID. Dieses Token ist gemäß Ihrer Konfiguration des geheimen Clientschlüssels der Web-App/API in Microsoft Entra ID ein Jahr, zwei Jahre oder nie gültig. Wenn das Token abläuft, müssen Sie diesen Vorgang wiederholen.

Fahren Sie mit einem der folgenden Schritte fort, je nachdem, ob Sie das Complianceportal zum Konfigurieren Ihres Scanners oder nur PowerShell verwenden:

Sie können nun Ihre erste Überprüfung im Ermittlungsmodus ausführen. Weitere Informationen finden Sie unter Ausführen eines Ermittlungszyklus und Anzeigen von Berichten für die Überprüfung.

Nachdem Sie Ihre erste Ermittlungsüberprüfung ausgeführt haben, fahren Sie mit Konfigurieren des Scanners zum Anwenden von Klassifizierung und Schutz fort.

Weitere Informationen finden Sie unter Unbeaufsichtigtes Ausführen von Bezeichnungs-Cmdlets für den Informationsschutz.

Konfigurieren des Scanners für die Anwendung von Klassifizierung und Schutz

Mit den Standardeinstellungen wird der Scanner so konfiguriert, dass er einmal und nur im Berichtsmodus ausgeführt wird. Um diese Einstellungen zu ändern, bearbeiten Sie den Auftrag für die Inhaltsüberprüfung.

Tipp

Wenn Sie nur mit PowerShell arbeiten, finden Sie weitere Informationen unter Konfigurieren des Scanners zum Anwenden von Klassifizierung und Schutz – nur PowerShell.

So konfigurieren Sie den Scanner für die Anwendung der Klassifizierung und des Schutzes im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal:

  1. Wählen Sie im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal auf der Registerkarte Aufträge zur Inhaltsüberprüfung einen bestimmten Auftrag zur Inhaltsüberprüfung aus, um ihn zu bearbeiten.

  2. Wählen Sie den Auftrag für die Inhaltsüberprüfung aus, ändern Sie Folgendes, und wählen Sie dann Speichern aus:

    • Im Abschnitt Inhaltsüberprüfungsauftrag: Ändern Sie den Zeitplan in Immer.
    • Im Abschnitt Richtlinie für Vertraulichkeitsbezeichnung erzwingen: Ändern Sie das Optionsfeld in Ein.
  3. Stellen Sie sicher, dass ein Knoten für den Auftrag zur Inhaltsüberprüfung online ist, und starten Sie dann den Auftrag für die Inhaltsüberprüfung erneut, indem Sie Jetzt überprüfen auswählen. Die Schaltfläche Jetzt überprüfen wird nur angezeigt, wenn ein Knoten für den ausgewählten Inhaltsüberprüfungsauftrag online ist.

Der Scanner ist jetzt für die kontinuierliche Ausführung geplant. Wenn der Scanner alle konfigurierten Dateien durchläuft, wird automatisch ein neuer Zyklus gestartet, sodass alle neuen und geänderten Dateien erkannt werden.

Verwenden einer DLP-Richtlinie

Mithilfe einer Richtlinie zur Verhinderung von Datenverlust kann der Scanner potenzielle Datenlecks erkennen, indem DLP-Regeln mit Dateien übereinstimmen, die in Dateifreigaben und SharePoint Server gespeichert sind.

  • Aktivieren Sie DLP-Regeln in Ihrem Auftrag zur Inhaltsüberprüfung , um die Offenlegung von Dateien zu reduzieren, die Ihren DLP-Richtlinien entsprechen. Wenn Ihre DLP-Regeln aktiviert sind, kann der Scanner den Dateizugriff nur auf Datenbesitzer reduzieren oder die Gefährdung durch netzwerkweite Gruppen wie Jeder, authentifizierte Benutzer oder Domänenbenutzer verringern.

  • Bestimmen Sie im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal, ob Sie nur Ihre DLP-Richtlinie testen oder ob Ihre Regeln erzwungen und Ihre Dateiberechtigungen gemäß diesen Regeln geändert werden sollen. Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust.

DLP-Richtlinien werden im Microsoft Purview-Complianceportal konfiguriert. Weitere Informationen zur DLP-Lizenzierung finden Sie unter Erste Schritte mit dem lokalen Scanner zur Verhinderung von Datenverlust.

Tipp

Beim Überprüfen Ihrer Dateien werden auch Dateiberechtigungsberichte erstellt, selbst wenn sie nur die DLP-Richtlinie testen. Fragen Sie diese Berichte ab, um bestimmte Dateirisiken zu untersuchen oder die Offenlegung eines bestimmten Benutzers für gescannte Dateien zu untersuchen.

Informationen zur ausschließlichen Verwendung von PowerShell finden Sie unter Verwenden einer DLP-Richtlinie mit dem Scanner – nur PowerShell.

So verwenden Sie eine DLP-Richtlinie mit dem Scanner im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal:

  1. Navigieren Sie im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal zur Registerkarte Aufträge zur Inhaltsüberprüfung, und wählen Sie einen bestimmten Auftrag zur Inhaltsüberprüfung aus. Weitere Informationen finden Sie unter Erstellen eines Inhaltsüberprüfungsauftrags.

  2. Legen Sie unter DLP-Richtlinienregeln aktivieren das Optionsfeld auf Ein fest.

    Wichtig

    Legen Sie DLP-Regeln aktivieren nicht auf Ein fest, es sei denn, Sie haben tatsächlich eine DLP-Richtlinie in Microsoft 365 konfiguriert.

    Wenn Sie dieses Feature ohne DLP-Richtlinie aktivieren, generiert der Scanner Fehler.

  3. (Optional) Legen Sie Repositorybesitzer festlegen auf Ein fest, und definieren Sie einen bestimmten Benutzer als Repositorybesitzer.

    Mit dieser Option kann der Scanner die Offenlegung aller in diesem Repository gefundenen Dateien, die der DLP-Richtlinie entsprechen, für den definierten Repositorybesitzer verringern.

DLP-Richtlinien und private Aktionen durchführen

Wenn Sie eine DLP-Richtlinie mit der Aktion "Privat machen " verwenden und den Scanner auch zum automatischen Bezeichnen Ihrer Dateien verwenden möchten, empfiehlt es sich, auch die erweiterte UseCopyAndPreserveNTFSOwner-Einstellung des einheitlichen Bezeichnungsclients zu definieren.

Diese Einstellung stellt sicher, dass die ursprünglichen Besitzer zugriff auf ihre Dateien behalten.

Weitere Informationen finden Sie unter Erstellen eines Inhaltsüberprüfungsauftrags und Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Microsoft 365-Daten.

Ändern der zu schützenden Dateitypen

Standardmäßig schützt der Scanner nur Office-Dateitypen und PDF-Dateien.

Verwenden Sie PowerShell-Befehle, um dieses Verhalten nach Bedarf zu ändern, z. B. um den Scanner so zu konfigurieren, dass alle Dateitypen wie der Client geschützt werden, oder um zusätzliche, bestimmte Dateitypen zu schützen.

Geben Sie für eine Bezeichnungsrichtlinie, die für das Benutzerkonto gilt, das Bezeichnungen für den Scanner herunter lädt, eine erweiterte PowerShell-Einstellung mit dem Namen PFileSupportedExtensions an.

Für einen Scanner, der Zugriff auf das Internet hat, ist dieses Benutzerkonto das Konto, das Sie für den DelegatedUser-Parameter mit dem Befehl Set-Authentication angeben.

Beispiel 1: PowerShell-Befehl für den Scanner zum Schutz aller Dateitypen, bei denen Ihre Bezeichnungsrichtlinie "Scanner" heißt:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Beispiel 2: PowerShell-Befehl für den Scanner zum Schutz .xml Dateien und .tiff Dateien zusätzlich zu Office- und PDF-Dateien, wobei Ihre Bezeichnungsrichtlinie "Scanner" heißt:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Weitere Informationen finden Sie unter Ändern der zu schützenden Dateitypen.

Aktualisieren Des Scanners

Wenn Sie den Scanner bereits installiert haben und ein Upgrade durchführen möchten, befolgen Sie die Anweisungen unter Aktualisieren des Microsoft Purview Information Protection Scanners.

Konfigurieren und verwenden Sie ihren Scanner dann wie gewohnt, und überspringen Sie dabei die Schritte zum Installieren des Scanners.

Massenbearbeitung von Datenrepositoryeinstellungen

Verwenden Sie die Schaltflächen Exportieren und Importieren , um Änderungen an Ihrem Scanner in mehreren Repositorys vorzunehmen.

Auf diese Weise müssen Sie die gleichen Änderungen nicht mehrmals manuell im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal vornehmen.

Wenn Sie beispielsweise über einen neuen Dateityp für mehrere SharePoint-Datenrepositorys verfügen, können Sie die Einstellungen für diese Repositorys in einem Massenvorgang aktualisieren.

So nehmen Sie Im Microsoft Purview-Portal Microsoft Purview-Complianceportal massenweise Änderungen über Repositorys hinweg vor:

  1. Wählen Sie im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal einen bestimmten Auftrag zur Inhaltsüberprüfung aus, und navigieren Sie im Bereich zur Registerkarte Repositorys. Wählen Sie die Option Exportieren aus.

  2. Bearbeiten Sie die exportierte Datei manuell, um Ihre Änderung vorzunehmen.

  3. Verwenden Sie die Option Importieren auf derselben Seite, um die Updates in Ihre Repositorys zurück zu importieren.

Verwenden des Scanners mit alternativen Konfigurationen

Der Scanner sucht in der Regel nach Bedingungen, die für Ihre Etiketten angegeben sind, um Ihre Inhalte nach Bedarf zu klassifizieren und zu schützen.

In den folgenden Szenarien ist der Scanner auch in der Lage, Ihre Inhalte zu scannen und Bezeichnungen zu verwalten, ohne dass Bedingungen konfiguriert sind:

Anwenden einer Standardbezeichnung auf alle Dateien in einem Datenrepository

In dieser Konfiguration werden alle dateien ohne Bezeichnung im Repository mit der Standardbezeichnung bezeichnet, die für das Repository oder den Auftrag zur Inhaltsüberprüfung angegeben ist. Dateien werden ohne Überprüfung bezeichnet.

Konfigurieren Sie die folgenden Einstellungen:

Einstellung Beschreibung
Beschriften von Dateien basierend auf Inhalten Auf Aus festlegen
Standardbezeichnung Legen Sie auf Benutzerdefiniert fest, und wählen Sie dann die zu verwendende Bezeichnung aus.
Standardbezeichnung erzwingen Wählen Sie aus, dass die Standardbezeichnung auf alle Dateien angewendet wird, auch wenn sie bereits beschriftet sind, indem Sie Dateien neu bezeichnen und Standardbezeichnung erzwingen aktivieren.

Entfernen vorhandener Bezeichnungen aus allen Dateien in einem Datenrepository

In dieser Konfiguration werden alle vorhandenen Bezeichnungen entfernt, einschließlich des Schutzes, wenn der Schutz mit der Bezeichnung angewendet wurde. Der unabhängig von einer Bezeichnung angewendete Schutz wird beibehalten.

Konfigurieren Sie die folgenden Einstellungen:

Einstellung Beschreibung
Beschriften von Dateien basierend auf Inhalten Auf Aus festlegen
Standardbezeichnung Auf "None" festgelegt
Dateien neu bezeichnen Legen Sie auf Ein fest, wobei die Standardbezeichnung erzwingen auf Ein festgelegt ist.

Identifizieren aller benutzerdefinierten Bedingungen und bekannten Typen vertraulicher Informationen

Diese Konfiguration ermöglicht es Ihnen, vertrauliche Informationen zu finden, von denen Sie möglicherweise nicht wissen, dass Sie sie hatten, auf Kosten der Scanraten für den Scanner.

Legen Sie die zu ermittelnden Infotypen auf Alle fest.

Um Bedingungen und Informationstypen für die Bezeichnung zu identifizieren, verwendet der Scanner alle angegebenen benutzerdefinierten Typen vertraulicher Informationen und die Liste der integrierten Typen vertraulicher Informationen, die ausgewählt werden können, wie in Ihrem Bezeichnungsverwaltungscenter definiert.

Optimieren der Scannerleistung

Hinweis

Wenn Sie die Reaktionsfähigkeit des Scannercomputers und nicht die Scannerleistung verbessern möchten, verwenden Sie eine erweiterte Clienteinstellung, um die Anzahl der vom Scanner verwendeten Threads zu begrenzen.

Verwenden Sie die folgenden Optionen und Anleitungen, um die Leistung des Scanners zu optimieren:

Option Beschreibung
Herstellen einer schnellen und zuverlässigen Netzwerkverbindung zwischen dem Scannercomputer und dem gescannten Datenspeicher Platzieren Sie den Scannercomputer beispielsweise im gleichen LAN oder vorzugsweise im selben Netzwerksegment wie der gescannte Datenspeicher.

Die Qualität der Netzwerkverbindung wirkt sich auf die Leistung des Scanners aus, da der Scanner zum Überprüfen der Dateien den Inhalt der Dateien an den Computer überträgt, auf dem der Scanner Microsoft Purview Information Protection Scannerdienst ausgeführt wird.

Das Reduzieren oder Beseitigen der Netzwerkhops, die für die Datenverschiebung erforderlich sind, verringert auch die Last in Ihrem Netzwerk.
Stellen Sie sicher, dass der Scannercomputer über verfügbare Prozessorressourcen verfügt. Das Überprüfen des Dateiinhalts und das Verschlüsseln und Entschlüsseln von Dateien sind prozessorintensive Aktionen.

Überwachen Sie die typischen Scanzyklen für Ihre angegebenen Datenspeicher, um zu ermitteln, ob sich ein Mangel an Prozessorressourcen negativ auf die Scannerleistung auswirkt.
Installieren mehrerer Instanzen des Scanners Der Scanner unterstützt mehrere Konfigurationsdatenbanken auf demselben SQL Server instance, wenn Sie einen benutzerdefinierten Clusternamen für den Scanner angeben.

Tipp: Mehrere Scanner können auch denselben Cluster gemeinsam nutzen, was zu schnelleren Scanzeiten führt. Wenn Sie planen, den Scanner auf mehreren Computern mit demselben Datenbank-instance zu installieren und Ihre Scanner parallel ausgeführt werden sollen, müssen Sie alle Ihre Scanner mit demselben Clusternamen installieren.
Überprüfen der verwendung der alternativen Konfiguration Der Scanner wird schneller ausgeführt, wenn Sie die alternative Konfiguration verwenden, um eine Standardbezeichnung auf alle Dateien anzuwenden, da der Scanner den Dateiinhalt nicht überprüft.

Der Scanner wird langsamer ausgeführt, wenn Sie die alternative Konfiguration verwenden, um alle benutzerdefinierten Bedingungen und bekannten Typen vertraulicher Informationen zu identifizieren.

Zusätzliche Faktoren, die sich auf die Leistung auswirken

Weitere Faktoren, die sich auf die Leistung des Scanners auswirken, sind:

Faktor Beschreibung
Lade-/Antwortzeiten Die aktuellen Lade- und Antwortzeiten der Datenspeicher, die die zu überprüfenden Dateien enthalten, wirken sich ebenfalls auf die Scannerleistung aus.
Scannermodus (Ermittlung/Erzwingen) Der Ermittlungsmodus hat in der Regel eine höhere Scanrate als der Erzwingungsmodus.

Die Ermittlung erfordert eine einzelne Dateileseaktion, während der Erzwingungsmodus Lese- und Schreibaktionen erfordert.
Richtlinienänderungen Ihre Scannerleistung kann beeinträchtigt werden, wenn Sie Änderungen an der automatischen Bezeichnung in der Bezeichnungsrichtlinie vorgenommen haben.

Ihr erster Scanzyklus, wenn der Scanner jede Datei überprüfen muss, dauert länger als nachfolgende Überprüfungszyklen, bei denen standardmäßig nur neue und geänderte Dateien überprüft werden.

Wenn Sie die Bedingungen oder die Einstellungen für die automatische Bezeichnung ändern, werden alle Dateien erneut überprüft. Weitere Informationen finden Sie unter Erneutes Scannen von Dateien.
Regex-Konstruktionen Die Scannerleistung wird dadurch beeinflusst, wie Ihre RegEx-Ausdrücke für benutzerdefinierte Bedingungen erstellt werden.

Um einen hohen Arbeitsspeicherverbrauch und das Risiko von Timeouts (15 Minuten pro Datei) zu vermeiden, überprüfen Sie Ihre RegEx-Ausdrücke auf einen effizienten Musterabgleich.

Zum Beispiel:
- Vermeiden Sie gierige Quantifizierer
– Verwenden Sie gruppen, die nicht erfasst werden, z. B. anstelle (?:expression) von (expression)
Protokollebene Zu den Optionen auf Protokollebene gehören Debug, Info, Error und Off für die Scannerberichte.

- Off ergibt die beste Leistung
- Das Debuggen verlangsamt den Scanner erheblich und sollte nur zur Problembehandlung verwendet werden.

Weitere Informationen finden Sie unter dem ReportLevel-Parameter für das Cmdlet Set-ScannerConfiguration .
Dateien, die gescannt werden - Mit Ausnahme von Excel-Dateien werden Office-Dateien schneller gescannt als PDF-Dateien.

- Nicht geschützte Dateien können schneller gescannt werden als geschützte Dateien.

- Das Scannen großer Dateien dauert offensichtlich länger als kleine Dateien.

Verwenden von PowerShell zum Konfigurieren des Scanners

In diesem Abschnitt werden die Schritte beschrieben, die zum Konfigurieren und Installieren des Scanners erforderlich sind, wenn Sie keinen Zugriff auf die Scannerseiten im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal haben und nur PowerShell verwenden müssen.

Wichtig

  • Einige Schritte erfordern PowerShell, unabhängig davon, ob Sie im Complianceportal auf die Scannerseiten zugreifen können oder nicht, und sind identisch. Informationen zu diesen Schritten finden Sie in den vorherigen Anweisungen in diesem Artikel.

  • Wenn Sie mit dem Scanner für Azure China 21Vianet arbeiten, sind zusätzlich zu den hier beschriebenen Anweisungen zusätzliche Schritte erforderlich. Weitere Informationen finden Sie unter Microsoft Purview Information Protection für Office 365, die von 21Vianet betrieben werden.

Weitere Informationen finden Sie unter Unterstützte PowerShell-Cmdlets.

So konfigurieren und installieren Sie Den Scanner:

  1. Beginnen Sie, wenn PowerShell geschlossen ist. Wenn Sie zuvor den Information Protection-Client und den Scanner installiert haben, stellen Sie sicher, dass der Microsoft Purview Information Protection Scanner-Dienst beendet wurde.

  2. Öffnen Sie eine Windows PowerShell Sitzung mit der Option Als Administrator ausführen.

  3. Führen Sie den Befehl Install-Scanner aus, um Den Scanner auf Ihrer SQL Server-instance mit dem Clusterparameter zu installieren, um den Clusternamen zu definieren.

    Dieser Schritt ist identisch, unabhängig davon, ob Sie im Complianceportal auf die Scannerseiten zugreifen können oder nicht. Weitere Informationen finden Sie in den vorherigen Anweisungen in diesem Artikel: Installieren des Scanners.

  4. Rufen Sie ein Azure-Token für die Verwendung mit Ihrem Scanner ab, und authentifizieren Sie sich dann erneut.

    Dieser Schritt ist identisch, unabhängig davon, ob Sie im Complianceportal auf die Scannerseiten zugreifen können oder nicht. Weitere Informationen finden Sie in den vorherigen Anweisungen in diesem Artikel: Abrufen eines Microsoft Entra Tokens für den Scanner.

  5. Führen Sie das Cmdlet Set-ScannerConfiguration aus, um die Funktion des Scanners im Offlinemodus festzulegen. Laufen:

    Set-ScannerConfiguration -OnlineConfiguration Off
    
  6. Führen Sie das Cmdlet Set-ScannerContentScan aus, um einen Standardauftrag für die Inhaltsüberprüfung zu erstellen.

    Der einzige erforderliche Parameter im Cmdlet Set-ScannerContentScan ist Enforce. Möglicherweise möchten Sie jedoch zu diesem Zeitpunkt andere Einstellungen für Ihren Inhaltsüberprüfungsauftrag definieren. Zum Beispiel:

    Set-ScannerContentScan -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    Mit der obigen Syntax werden die folgenden Einstellungen konfiguriert, während Sie die Konfiguration fortsetzen:

    • Hält die Zeitplanung für die Scannerausführung auf "manuell"
    • Legt die zu ermittelnden Informationstypen basierend auf der Richtlinie für Vertraulichkeitsbezeichnungen fest.
    • Erzwingt keine Richtlinie für Vertraulichkeitsbezeichnungen
    • Automatisches Bezeichnen von Dateien basierend auf Inhalten mithilfe der Standardbezeichnung, die für die Richtlinie für Vertraulichkeitsbezeichnungen definiert ist
    • Ermöglicht keine erneute Bezeichnung von Dateien.
    • Behält Dateidetails beim Scannen und automatischen Bezeichnen bei, einschließlich Änderungsdatum, letzte Änderung und Änderung durch Werte
    • Legt fest, dass der Scanner .msg- und .tmp-Dateien bei der Ausführung ausschließt.
    • Legt den Standardbesitzer auf das Konto fest, das Sie beim Ausführen des Scanners verwenden möchten.
  7. Verwenden Sie das Cmdlet Add-ScannerRepository , um die Repositorys zu definieren, die Sie in Ihrem Inhaltsüberprüfungsauftrag überprüfen möchten. Führen Sie beispielsweise den folgenden Befehl aus:

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Verwenden Sie je nach Repositorytyp, das Sie hinzufügen, eine der folgenden Syntaxen:

    • Verwenden Sie \\Server\Folderfür eine Netzwerkfreigabe .
    • Verwenden Sie http://sharepoint.contoso.com/Shared%20Documents/Folderfür eine SharePoint-Bibliothek .
    • Für einen lokalen Pfad: C:\Folder
    • Für einen UNC-Pfad: \\Server\Folder

    Hinweis

    Wildcards werden nicht unterstützt, und WebDav-Speicherorte werden nicht unterstützt.

    Um das Repository später zu ändern, verwenden Sie stattdessen das Cmdlet Set-ScannerRepository .

    Wenn Sie einen SharePoint-Pfad für freigegebene Dokumente hinzufügen:

    • Geben Sie freigegebene Dokumente im Pfad an, wenn Sie alle Dokumente und alle Ordner aus freigegebenen Dokumenten überprüfen möchten. Beispiel: http://sp2013/SharedDocuments
    • Geben Sie Dokumente im Pfad an, wenn Sie alle Dokumente und ordner aus einem Unterordner unter Freigegebene Dokumente überprüfen möchten. Beispiel: http://sp2013/Documents/SalesReports
    • Oder geben Sie nur den FQDN Ihres SharePoint an, um beispielsweise http://sp2013alle SharePoint-Websites und -Unterwebsites unter einer bestimmten URL und Untertiteln unter dieser URL zu ermitteln und zu überprüfen. Gewähren Sie scanner Site Collector Auditor-Berechtigungen , um dies zu aktivieren.

    Verwenden Sie beim Hinzufügen von SharePoint-Pfaden die folgende Syntax:

    Pfad Syntax
    Stammpfad http://<SharePoint server name>

    Überprüft alle Websites, einschließlich aller Websitesammlungen, die für den Scannerbenutzer zulässig sind.
    Bestimmte SharePoint-Unterwebsite oder -Sammlung Eine der folgenden Varianten:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>
    Bestimmte SharePoint-Bibliothek Eine der folgenden Varianten:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Bestimmter SharePoint-Ordner http://<SharePoint server name>/.../<folder name>

Fahren Sie nach Bedarf mit den folgenden Schritten fort:

Verwenden von PowerShell zum Konfigurieren des Scanners für die Anwendung von Klassifizierung und Schutz

  1. Führen Sie das Cmdlet Set-ScannerContentScan aus, um Ihren Auftrag für die Inhaltsüberprüfung zu aktualisieren, um Ihre Planung auf immer festzulegen und Ihre Vertraulichkeitsrichtlinie zu erzwingen.

    Set-ScannerContentScan -Schedule Always -Enforce On
    

    Tipp

    Möglicherweise möchten Sie andere Einstellungen in diesem Bereich ändern, z. B. ob Dateiattribute geändert werden und ob der Scanner Dateien neu bezeichnen kann. Weitere Informationen zu den verfügbaren Einstellungen finden Sie in der vollständigen Dokumentation zu Set-ScannerContentScan.

  2. Führen Sie das Cmdlet Start-Scan aus, um Ihren Auftrag für die Inhaltsüberprüfung auszuführen:

    Start-Scan
    

Der Scanner ist jetzt für die kontinuierliche Ausführung geplant. Wenn der Scanner alle konfigurierten Dateien durchläuft, wird automatisch ein neuer Zyklus gestartet, sodass alle neuen und geänderten Dateien erkannt werden.

Verwenden von PowerShell zum Konfigurieren einer DLP-Richtlinie mit dem Scanner

Führen Sie das Cmdlet Set-ScannerContentScan erneut aus, wobei der Parameter -EnableDLP auf Ein festgelegt ist und ein bestimmter Repositorybesitzer definiert ist.

Zum Beispiel:

Set-ScannerContentScan -EnableDLP On -RepositoryOwner 'domain\user'

Unterstützte PowerShell-Cmdlets

In diesem Abschnitt werden powerShell-Cmdlets aufgeführt, die für die Informationsschutzüberprüfung unterstützt werden, sowie Anweisungen zum Konfigurieren und Installieren des Scanners nur mit PowerShell.

Zu den unterstützten Cmdlets für den Scanner gehören:

Nächste Schritte

Nachdem Sie Den Scanner installiert und konfiguriert haben, beginnen Sie mit dem Scannen Ihrer Dateien.