Was ist der Azure Information Protection-Scanner für einheitliche Bezeichnungen?

Verwenden Sie die Informationen in diesem Abschnitt, um mehr über den Azure Information Protection einheitlichen Bezeichnungsscanner zu erfahren und dann erfolgreich zu installieren, zu konfigurieren, auszuführen und bei Bedarf zu beheben.

Der AIP-Scanner wird als Dienst auf Windows Server ausgeführt und ermöglicht das Erkennen, Klassifizieren und Schützen von Dateien in den folgenden Datenspeichern:

  • UNC-Pfade für Netzwerkfreigaben, die die Protokolle SMB oder NFS (Vorschau) verwenden.

  • SharePoint-Dokumentenbibliotheken und Ordner für SharePoint Server 2019 bis SharePoint Server 2013.

Um Ihre Dateien zu klassifizieren und zu schützen, verwendet der Scanner Vertraulichkeitsbezeichnungen, die im Microsoft Purview-Complianceportal konfiguriert sind.

Azure Information Protection Unified Labeling-Scanner (einheitlicher Bezeichnungsscanner)

Der AIP-Scanner kann alle Dateien prüfen, die Windows indizieren kann. Wenn Sie Vertraulichkeitsbezeichnungen für die Anwendung der automatischen Klassifizierung konfiguriert haben, kann der Scanner ermittelte Dateien bezeichnen, um diese Klassifizierung anzuwenden und optional den Schutz anzuwenden oder zu entfernen.

Die folgende Abbildung zeigt die Architektur des AIP-Scanners, bei der der Scanner Dateien auf Ihren lokalen und SharePoint-Servern erkennt.

Azure Information Protection einheitliche Bezeichnungsscannerarchitektur

Um Ihre Dateien zu überprüfen, verwendet der Scanner IFilter, die auf dem Computer installiert sind. Um festzustellen, ob die Dateien beschriftet werden müssen, verwendet der Scanner die in Microsoft 365 integrierte Data Loss Prevention (DLP) Vertraulichkeitsinformationstypen und Mustererkennung oder Microsoft 365 RegEx-Muster.

Der Scanner verwendet den Azure Information Protection-Client und kann dieselbe Art von Dateien wie der Client klassifizieren und schützen. Weitere Informationen finden Sie unter Dateitypen, die vom Azure Information Protection Unified Labeling Client unterstützt werden.

Führen Sie eine der folgenden Aktionen aus, um Ihre Scans nach Bedarf zu konfigurieren:

  • Betreiben Sie den Scanner nur im Erkennungsmodus, um Berichte zu erstellen, die prüfen, was passiert, wenn Ihre Dateien gekennzeichnet werden.
  • Führen Sie den Scanner aus, um Dateien mit sensiblen Informationen zu entdecken, ohne Etiketten zu konfigurieren, die eine automatische Klassifizierung vornehmen.
  • Der Scanner wird automatisch gestartet, um Etiketten wie konfiguriert aufzubringen.
  • Definieren Sie eine Dateitypenliste, um bestimmte zu überprüfende oder auszuschließende Dateien anzugeben.

Hinweis

Der Scanner erkennt und kennzeichnet nicht in Echtzeit. Es durchsucht systematisch die Dateien in den von Ihnen angegebenen Datenspeichern. Konfigurieren Sie diesen Zyklus, um einmal oder wiederholt auszuführen.

Tipp

Der einheitliche Bezeichnungsscanner unterstützt Scannercluster mit mehreren Knoten, wodurch Ihre Organisation die Skalierung ermöglicht, schnellere Scanzeiten und breitere Bereiche zu erreichen.

Stellen Sie mehrere Knoten direkt am Anfang bereit, oder beginnen Sie mit einem Einzelknotencluster, und fügen Sie später weitere Knoten hinzu, während Sie wachsen. Stellen Sie mehrere Knoten bereit, indem Sie denselben Clusternamen und dieselbe Datenbank für das Cmdlet Install-AIPScanner verwenden.

AIP-Scanprozess

Beim Scannen von Dateien führt der AIP-Scanner die folgenden Schritte aus:

1. Festlegen, ob Dateien für die Überprüfung ein- oder ausgeschlossen werden sollen

2. Einsichtnahme und Bezeichnung von Dateien

3. Kennzeichnen Sie Dateien, die nicht eingesehen werden können

Weitere Informationen finden Sie unter Dateien, die vom Scanner nicht beschriftet wurden.

1. Festlegen, ob Dateien für die Überprüfung einbezogen oder ausgeschlossen werden sollen

Bei der Überprüfung werden von der Klassifizierung und vom Schutz ausgeschlossene Dateien wie ausführbare Dateien und Systemdateien übersprungen. Weitere Informationen finden Sie unter Dateitypen, die von der Klassifizierung und dem Schutz ausgeschlossen sind.

Der Scanner betrachtet auch alle dateilisten, die explizit zum Scannen definiert sind oder aus dem Scannen ausgeschlossen werden. Dateilisten gelten standardmäßig für alle Datenrepositorys und können auch nur für bestimmte Repositorys definiert werden.

Um Dateilisten für das Scannen oder den Ausschluss zu definieren, verwenden Sie die Einstellung zu scannende Dateitypen im Inhaltsscanauftrag. Beispiel:

Konfigurieren der zu überprüfenden Dateitypen für den Azure Information Protection-Scanner

Weitere Informationen finden Sie unter Einsatz des Azure Information Protection-Scanners zur automatischen Klassifizierung und zum Schutz von Dateien.

2. Einsichtnahme und Bezeichnung von Dateien

Nach der Identifizierung ausgeschlossener Dateien filtert der Scanner erneut, um Dateien zu identifizieren, die für die Überprüfung unterstützt werden.

Diese Filter sind dieselben, die vom Betriebssystem für Windows Suche und Indizierung verwendet werden, und benötigen keine zusätzliche Konfiguration. Windows IFilter wird auch zum Scannen von Dateitypen verwendet, die von Word, Excel und PowerPoint verwendet werden, sowie für PDF-Dokumente und Textdateien.

Eine vollständige Liste der für die Prüfung unterstützten Dateitypen sowie weitere Anweisungen zur Konfiguration von Filtern zur Einbeziehung von .zip- und .tiff-Dateien finden Sie unter Für die Prüfung unterstützte Dateitypen.

Nach der Inspektion werden die unterstützten Dateitypen mit den für Ihre Etiketten festgelegten Bedingungen beschriftet. Wenn Sie den Erkennungsmodus verwenden, können diese Dateien entweder so gemeldet werden, dass sie die für Ihre Bezeichnungen angegebenen Bedingungen enthalten, oder so gemeldet werden, dass sie alle bekannten sensiblen Informationstypen enthalten.

Beendete Scannerprozesse

Wenn der Scanner bei einer großen Anzahl von Dateien in Ihrem Repository anhält und die Überprüfung nicht abschließt, müssen Sie möglicherweise die Anzahl der dynamischen Ports für das Betriebssystem, auf dem die Dateien gespeichert sind, erhöhen.

Die Serverfestung für SharePoint ist beispielsweise ein Grund dafür, dass der Scanner die Anzahl der zulässigen Netzwerkverbindungen überschreitet und daher beendet wird.

Um zu überprüfen, ob die Serverhärtung für SharePoint die Ursache für das Anhalten des Scanners ist, suchen Sie nach der folgenden Fehlermeldung in den Scannerprotokollen unter %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (mehrere Protokolle sind in einer Zip-Datei komprimiert):

Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

Weitere Informationen zum Anzeigen des aktuellen Portbereichs und zum Erhöhen des Bereichs bei Bedarf finden Sie unter Einstellungen, die zur Verbesserung der Netzwerkleistung geändert werden können.

Tipp

Für große SharePoint-Farmen müssen Sie möglicherweise den Schwellenwert für die Listenansicht erhöhen, der standardmäßig 5.000 beträgt.

Weitere Informationen finden Sie in der Verwaltung großer Listen und Bibliotheken in SharePoint.

3. Kennzeichnen Sie Dateien, die nicht eingesehen werden können

Für alle Dateitypen, die nicht inspiziert werden können, wendet der AIP-Scanner die Standardbezeichnung in der Azure Information Protection-Richtlinie oder die für den Scanner konfigurierte Standardbezeichnung an.

Dateien, die nicht vom Scanner gekennzeichnet sind

Der AIP-Scanner kann unter den folgenden Umständen keine Dateien beschriften:

  • Wenn die Bezeichnung Klassifizierungen anwendet, aber keinen Schutz, und der Dateityp unterstützt keine Klassifizierung nur vom Client. Weitere Informationen finden Sie unter Unified Labeling Client Dateitypen.

  • Wenn das Etikett die Klassifizierung und den Schutz anwendet, aber der Scanner den Dateityp nicht unterstützt.

    Standardmäßig unterstützt der Scanner nur Office-Dateitypen und PDF-Dateien, wenn diese gemäß dem ISO-Standard für die PDF-Verschlüsselung geschützt werden.

    Andere Dateitypen können zum Schutz hinzugefügt werden, wenn Sie die zu schützenden Dateitypen ändern.

Beispiel: Nach der Inspektion von .txt-Dateien kann der Scanner kein Etikett anwenden, das nur für die Klassifizierung konfiguriert ist, da der .txt-Dateityp keine reine Klassifizierung unterstützt.

Wenn die Bezeichnung jedoch sowohl für Klassifizierung als auch für den Schutz konfiguriert ist, und der .txt Dateityp ist für den Scanner enthalten, um zu schützen, kann der Scanner die Datei beschriften.

Nächste Schritte

Weitere Informationen zum Einsatz des Scanners finden Sie in den folgenden Artikeln:

Weitere Informationen: