Konfigurieren und Installieren der Information Protection-Überprüfung

  • Artikel

Hinweis

Jetzt in der Vorschauphase gibt es eine neue Version des Informationsschutzscanners. Weitere Informationen finden Sie unter Aktualisieren des Microsoft Purview Information Protection-Scanners vom Azure Information Protection-Client.

In diesem Artikel wird beschrieben, wie Sie den Microsoft Purview Information Protection Scanner konfigurieren und installieren, der früher als Azure Information Protection Unified Labeling Scanner bezeichnet wurde, oder den lokalen Scanner.

Tipp

Während die meisten Kunden diese Verfahren im Verwaltungsportal ausführen, müssen Sie möglicherweise nur in PowerShell arbeiten.

Wenn Sie beispielsweise in einer Umgebung ohne Zugriff auf das Verwaltungsportal arbeiten, z. B. Azure China 21Vianet-Scannerserver, befolgen Sie die Anweisungen unter Verwenden von PowerShell zum Konfigurieren des Scanners.

Übersicht

Bevor Sie beginnen, überprüfen Sie, ob Ihr System die erforderlichen Voraussetzungen erfüllt.

Führen Sie dann die folgenden Schritte aus, um den Scanner zu konfigurieren und zu installieren:

  1. Konfigurieren der Scannereinstellungen

  2. Installieren des Scanners

  3. Abrufen eines Microsoft Entra Tokens für den Scanner

  4. Konfigurieren des Scanners für die Anwendung von Klassifizierung und Schutz

Führen Sie als Nächstes die folgenden Konfigurationsverfahren nach Bedarf für Ihr System aus:

Verfahren Beschreibung
Ändern der zu schützenden Dateitypen Möglicherweise möchten Sie andere Dateitypen als die Standarddateitypen überprüfen, klassifizieren oder schützen. Weitere Informationen finden Sie unter Der Überprüfungsprozess.
Aktualisieren des Scanners Aktualisieren Sie Ihren Scanner, um die neuesten Features und Verbesserungen zu verwenden.
Massenbearbeitung von Datenrepositoryeinstellungen Verwenden Sie Import- und Exportoptionen, um Massenänderungen für mehrere Datenrepositorys vorzunehmen.
Verwenden des Scanners mit alternativen Konfigurationen Verwenden des Scanners ohne Konfigurieren von Bezeichnungen mit Bedingungen
Optimieren der Leistung Leitfaden zur Optimierung der Scannerleistung

Wenn Sie keinen Zugriff auf die Scannerseiten im Complianceportal haben, konfigurieren Sie alle Scannereinstellungen nur in PowerShell. Weitere Informationen finden Sie unter Verwenden von PowerShell zum Konfigurieren des Scanners und unterstützte PowerShell-Cmdlets.

Konfigurieren der Scannereinstellungen

Bevor Sie den Scanner installieren oder von einer älteren Version der allgemeinen Verfügbarkeit aktualisieren, konfigurieren oder überprüfen Sie ihre Scannereinstellungen. Für diese Konfiguration können Sie entweder das Microsoft Purview-Portal oder die Microsoft Purview-Complianceportal verwenden.

So konfigurieren Sie Ihren Scanner im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal:

  1. Melden Sie sich mit einer der folgenden Rollen an:
  • Complianceadministrator
  • Compliancedatenadministrator
  • Sicherheitsadministrator
  • Organisationsverwaltung

  1. Navigieren Sie abhängig vom verwendeten Portal zu einem der folgenden Speicherorte:

  2. Erstellen Sie einen Scannercluster. Dieser Cluster definiert Ihren Scanner und wird verwendet, um die Scanner-instance zu identifizieren, z. B. während der Installation, upgrades und anderer Prozesse.

  3. Erstellen Sie einen Auftrag zur Inhaltsüberprüfung , um die Repositorys zu definieren, die Sie überprüfen möchten.

Erstellen eines Scannerclusters

So erstellen Sie einen Scannercluster im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal:

  1. Wählen Sie auf den Registerkarten auf der Seite Information Protection-Überprüfungdie Option Cluster aus.

  2. Wählen Sie auf der Registerkarte Cluster die Option HinzufügenSymbol hinzufügen.

  3. Geben Sie im Bereich Neuer Cluster einen aussagekräftigen Namen für den Scanner und eine optionale Beschreibung ein.

    Der Clustername wird verwendet, um die Konfigurationen und Repositorys des Scanners zu identifizieren. Beispielsweise können Sie europa eingeben, um die geografischen Standorte der Datenrepositorys zu identifizieren, die Sie überprüfen möchten.

    Sie verwenden diesen Namen später, um zu ermitteln, wo Sie Ihren Scanner installieren oder aktualisieren möchten.

  4. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern.

Erstellen eines Inhaltsüberprüfungsauftrags

Ausführliche Informationen zu Ihren Inhalten, um bestimmte Repositorys auf vertrauliche Inhalte zu überprüfen.

So erstellen Sie Ihren Auftrag zur Inhaltsüberprüfung im Microsoft Purview-Portal von Microsoft Purview-Complianceportal:

  1. Wählen Sie auf den Registerkarten auf der Seite Information Protection-Überprüfungdie Option Aufträge zur Inhaltsüberprüfung aus.

  2. Wählen Sie im Bereich Aufträge zur Inhaltsüberprüfung die Option Symbolhinzufügen aus.

  3. Konfigurieren Sie für diese Erstkonfiguration die folgenden Einstellungen, und wählen Sie dann Speichern aus.

    Einstellung Beschreibung
    Inhaltsüberprüfungsauftragseinstellungen - Zeitplan: Behalten Sie die Standardeinstellung Manuell bei.
    - Zu ermittelnde Infotypen: Nur in Richtlinie ändern
    DLP-Richtlinie Wenn Sie eine Richtlinie zur Verhinderung von Datenverlust verwenden, legen Sie DLP-Regeln aktivieren auf Ein fest. Weitere Informationen finden Sie unter Verwenden einer DLP-Richtlinie.
    Vertraulichkeitsrichtlinie - Richtlinie zur Vertraulichkeitsbezeichnung erzwingen: Wählen Sie Aus aus.
    - Beschriften von Dateien basierend auf Inhalten: Behalten Sie den Standardwert Ein bei.
    - Standardbezeichnung: Behalten Sie den Standardwert der Richtlinie bei.
    - Dateien neu bezeichnen: Behalten Sie den Standardwert Aus bei.
    Konfigurieren von Dateieinstellungen - "Änderungsdatum", "Letzte Änderung" und "Geändert von" beibehalten: Behalten Sie die Standardeinstellung Ein bei.
    - Zu überprüfende Dateitypen: Behalten Sie die Standarddateitypen für Exclude bei.
    - Standardbesitzer: Behalten Sie die Standardeinstellung Scanner-Konto bei.
    - Repositorybesitzer festlegen: Verwenden Sie diese Option nur bei Verwendung einer DLP-Richtlinie.

  4. Öffnen Sie den Inhaltsüberprüfungsauftrag, der gespeichert wurde, und wählen Sie die Registerkarte Repositorys aus, um die zu überprüfenden Datenspeicher anzugeben.

    Geben Sie UNC-Pfade und SharePoint Server-URLs für lokale SharePoint-Dokumentbibliotheken und -Ordner an.

    Hinweis

    SharePoint Server 2019, SharePoint Server 2016 und SharePoint Server 2013 werden für SharePoint unterstützt. SharePoint Server 2010 wird auch unterstützt, wenn Sie über erweiterte Unterstützung für diese Version von SharePoint verfügen.

    So fügen Sie Ihren ersten Datenspeicher hinzu, während Sie auf der Registerkarte Repositorys :

    1. Wählen Sie im Bereich Repositorysdie Option Hinzufügen aus:

    2. Geben Sie im Bereich Repository den Pfad für das Datenrepository an, und wählen Sie dann Speichern aus.

      • Verwenden Sie \\Server\Folderfür eine Netzwerkfreigabe .
      • Verwenden Sie http://sharepoint.contoso.com/Shared%20Documents/Folderfür eine SharePoint-Bibliothek .
      • Für einen lokalen Pfad: C:\Folder
      • Für einen UNC-Pfad: \\Server\Folder

    Hinweis

    Wildcards werden nicht unterstützt, und WebDav-Speicherorte werden nicht unterstützt. Das Scannen von OneDrive-Speicherorten als Repositorys wird nicht unterstützt.

    Wenn Sie einen SharePoint-Pfad für freigegebene Dokumente hinzufügen:

    • Geben Sie freigegebene Dokumente im Pfad an, wenn Sie alle Dokumente und alle Ordner aus freigegebenen Dokumenten überprüfen möchten. Beispiel: http://sp2013/SharedDocuments
    • Geben Sie Dokumente im Pfad an, wenn Sie alle Dokumente und ordner aus einem Unterordner unter Freigegebene Dokumente überprüfen möchten. Beispiel: http://sp2013/Documents/SalesReports
    • Oder geben Sie nur den FQDN Ihres SharePoint an, um beispielsweise http://sp2013alle SharePoint-Websites und -Unterwebsites unter einer bestimmten URL und Untertiteln unter dieser URL zu ermitteln und zu überprüfen. Gewähren Sie scanner Site Collector Auditor-Berechtigungen , um dies zu aktivieren.

    Für die verbleibenden Einstellungen in diesem Bereich ändern Sie sie nicht für diese Erstkonfiguration, sondern behalten Sie sie als Standard für Inhaltsüberprüfungsauftrag bei. Die Standardeinstellung bedeutet, dass das Datenrepository die Einstellungen vom Inhaltsscanauftrag erbt.

    Verwenden Sie beim Hinzufügen von SharePoint-Pfaden die folgende Syntax:

    Pfad Syntax
    Stammpfad http://<SharePoint server name>

    Überprüft alle Websites, einschließlich aller Websitesammlungen, die für den Scannerbenutzer zulässig sind.
    Erfordert zusätzliche Berechtigungen zum automatischen Ermitteln von Stamminhalten
    Bestimmte SharePoint-Unterwebsite oder -Sammlung Eine der folgenden Varianten:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Erfordert zusätzliche Berechtigungen zum automatischen Ermitteln von Websitesammlungsinhalten
    Bestimmte SharePoint-Bibliothek Eine der folgenden Varianten:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Bestimmter SharePoint-Ordner http://<SharePoint server name>/.../<folder name>

  5. Wiederholen Sie die vorherigen Schritte, um so viele Repositorys wie nötig hinzuzufügen.

Sie können nun den Scanner mit dem Von Ihnen erstellten Inhaltsscannerauftrag installieren. Fahren Sie mit Installieren des Scanners fort.

Installieren des Scanners

Nachdem Sie den Scanner konfiguriert haben, führen Sie die folgenden Schritte aus, um den Scanner zu installieren. Dieses Verfahren wird vollständig in PowerShell ausgeführt.

  1. Melden Sie sich beim Windows Server-Computer an, auf dem die Überprüfung ausgeführt wird. Verwenden Sie ein Konto, das über lokale Administratorrechte verfügt und über Berechtigungen zum Schreiben in die SQL Server master-Datenbank verfügt.

    Wichtig

    Vor der Installation des Scanners muss der AIP-Client für einheitliche Bezeichnungen auf Ihrem Computer installiert sein.

    Weitere Informationen finden Sie unter Voraussetzungen für die Installation und Bereitstellung des Informationsschutzscanners.

  2. Öffnen Sie eine Windows PowerShell Sitzung mit der Option Als Administrator ausführen.

  3. Führen Sie das Cmdlet Install-AIPScanner aus, und geben Sie Dabei Ihre SQL Server instance an, für die eine Datenbank für die Information Protection-Überprüfung erstellt werden soll, und den Namen des Scannerclusters, den Sie im vorherigen Abschnitt angegeben haben:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>

    Beispiele für die Verwendung des Scannerclusternamens Europa:

    • Für eine Standard-instance:Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Für einen benannten instance:Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • Für SQL Server Express:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Wenn Sie dazu aufgefordert werden, geben Sie die Active Directory-Anmeldeinformationen für das Scannerdienstkonto an.

    Verwenden Sie die folgende Syntax: \<domain\user name>. Beispiel: contoso\scanneraccount

  4. Überprüfen Sie mithilfe der Verwaltungstoolsdienste>, ob der Dienst jetzt installiert ist.

    Der installierte Dienst heißt Azure Information Protection Scanner und ist für die Ausführung mit dem von Ihnen erstellten Scannerdienstkonto konfiguriert.

Nachdem Sie den Scanner installiert haben, müssen Sie ein Microsoft Entra Token für die Authentifizierung des Scannerdienstkontos abrufen, damit der Scanner unbeaufsichtigt ausgeführt werden kann.

Abrufen eines Microsoft Entra Tokens für den Scanner

Ein Microsoft Entra-Token ermöglicht es dem Scanner, sich beim Azure Information Protection-Dienst zu authentifizieren, sodass der Scanner nicht interaktiv ausgeführt werden kann.

Weitere Informationen finden Sie unter So bezeichnen Sie Dateien nicht interaktiv für Azure Information Protection.

So rufen Sie ein Microsoft Entra Token ab:

  1. Öffnen Sie die Azure-Portal, um eine Microsoft Entra Anwendung zum Angeben eines Zugriffstokens für die Authentifizierung zu erstellen.

  2. Wenn Ihrem Scannerdienstkonto das Recht Lokal anmelden für die Installation gewährt wurde, melden Sie sich auf dem Windows Server-Computer mit diesem Konto an, und starten Sie eine PowerShell-Sitzung.

    Führen Sie Set-AIPAuthentication aus, und geben Sie die Werte an, die Sie aus dem vorherigen Schritt kopiert haben:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    Zum Beispiel:

    $pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

    Tipp

    Wenn Ihrem Scannerdienstkonto das Recht Lokal anmelden für die Installation nicht gewährt werden kann, verwenden Sie den OnBehalfOf-Parameter mit Set-AIPAuthentication, wie unter So wird's gemacht: Nicht interaktives Bezeichnen von Dateien für Azure Information Protection beschrieben.

Der Scanner verfügt jetzt über ein Token zur Authentifizierung bei Microsoft Entra ID. Dieses Token ist gemäß Ihrer Konfiguration des geheimen Clientschlüssels der Web-App/API in Microsoft Entra ID ein Jahr, zwei Jahre oder nie gültig. Wenn das Token abläuft, müssen Sie diesen Vorgang wiederholen.

Fahren Sie mit einem der folgenden Schritte fort, je nachdem, ob Sie das Complianceportal zum Konfigurieren Ihres Scanners oder nur PowerShell verwenden:

Sie können nun Ihre erste Überprüfung im Ermittlungsmodus ausführen. Weitere Informationen finden Sie unter Ausführen eines Ermittlungszyklus und Anzeigen von Berichten für die Überprüfung.

Nachdem Sie Ihre erste Ermittlungsüberprüfung ausgeführt haben, fahren Sie mit Konfigurieren des Scanners zum Anwenden von Klassifizierung und Schutz fort.

Hinweis

Weitere Informationen finden Sie unter So bezeichnen Sie Dateien nicht interaktiv für Azure Information Protection

Konfigurieren des Scanners für die Anwendung von Klassifizierung und Schutz

Mit den Standardeinstellungen wird der Scanner so konfiguriert, dass er einmal und nur im Berichtsmodus ausgeführt wird. Um diese Einstellungen zu ändern, bearbeiten Sie den Auftrag für die Inhaltsüberprüfung.

Tipp

Wenn Sie nur mit PowerShell arbeiten, finden Sie weitere Informationen unter Konfigurieren des Scanners zum Anwenden von Klassifizierung und Schutz – nur PowerShell.

So konfigurieren Sie den Scanner für die Anwendung der Klassifizierung und des Schutzes im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal:

  1. Wählen Sie im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal auf der Registerkarte Aufträge zur Inhaltsüberprüfung einen bestimmten Auftrag zur Inhaltsüberprüfung aus, um ihn zu bearbeiten.

  2. Wählen Sie den Auftrag für die Inhaltsüberprüfung aus, ändern Sie Folgendes, und wählen Sie dann Speichern aus:

    • Im Abschnitt Inhaltsüberprüfungsauftrag: Ändern Sie den Zeitplan in Immer.
    • Im Abschnitt Richtlinie für Vertraulichkeitsbezeichnung erzwingen: Ändern Sie das Optionsfeld in Ein.

  3. Stellen Sie sicher, dass ein Knoten für den Auftrag zur Inhaltsüberprüfung online ist, und starten Sie dann den Auftrag für die Inhaltsüberprüfung erneut, indem Sie Jetzt überprüfen auswählen. Die Schaltfläche Jetzt überprüfen wird nur angezeigt, wenn ein Knoten für den ausgewählten Inhaltsüberprüfungsauftrag online ist.

Der Scanner ist jetzt für die kontinuierliche Ausführung geplant. Wenn der Scanner alle konfigurierten Dateien durchläuft, wird automatisch ein neuer Zyklus gestartet, sodass alle neuen und geänderten Dateien erkannt werden.

Verwenden einer DLP-Richtlinie

Mithilfe einer Richtlinie zur Verhinderung von Datenverlust kann der Scanner potenzielle Datenlecks erkennen, indem DLP-Regeln mit Dateien übereinstimmen, die in Dateifreigaben und SharePoint Server gespeichert sind.

  • Aktivieren Sie DLP-Regeln in Ihrem Auftrag zur Inhaltsüberprüfung , um die Offenlegung von Dateien zu reduzieren, die Ihren DLP-Richtlinien entsprechen. Wenn Ihre DLP-Regeln aktiviert sind, kann der Scanner den Dateizugriff nur auf Datenbesitzer reduzieren oder die Gefährdung durch netzwerkweite Gruppen wie Jeder, authentifizierte Benutzer oder Domänenbenutzer verringern.

  • Bestimmen Sie im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal, ob Sie nur Ihre DLP-Richtlinie testen oder ob Ihre Regeln erzwungen und Ihre Dateiberechtigungen gemäß diesen Regeln geändert werden sollen. Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Richtlinien zur Verhinderung von Datenverlust.

DLP-Richtlinien werden im Microsoft Purview-Complianceportal konfiguriert. Weitere Informationen zur DLP-Lizenzierung finden Sie unter Erste Schritte mit dem lokalen Scanner zur Verhinderung von Datenverlust.

Tipp

Beim Überprüfen Ihrer Dateien werden auch Dateiberechtigungsberichte erstellt, selbst wenn sie nur die DLP-Richtlinie testen. Fragen Sie diese Berichte ab, um bestimmte Dateirisiken zu untersuchen oder die Offenlegung eines bestimmten Benutzers für gescannte Dateien zu untersuchen.

Informationen zur ausschließlichen Verwendung von PowerShell finden Sie unter Verwenden einer DLP-Richtlinie mit dem Scanner – nur PowerShell.

So verwenden Sie eine DLP-Richtlinie mit dem Scanner im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal:

  1. Navigieren Sie im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal zur Registerkarte Aufträge zur Inhaltsüberprüfung, und wählen Sie einen bestimmten Auftrag zur Inhaltsüberprüfung aus. Weitere Informationen finden Sie unter Erstellen eines Inhaltsüberprüfungsauftrags.

  2. Legen Sie unter DLP-Richtlinienregeln aktivieren das Optionsfeld auf Ein fest.

    Wichtig

    Legen Sie DLP-Regeln aktivieren nicht auf Ein fest, es sei denn, Sie haben tatsächlich eine DLP-Richtlinie in Microsoft 365 konfiguriert.

    Wenn Sie dieses Feature ohne DLP-Richtlinie aktivieren, generiert der Scanner Fehler.

  3. (Optional) Legen Sie Repositorybesitzer festlegen auf Ein fest, und definieren Sie einen bestimmten Benutzer als Repositorybesitzer.

    Mit dieser Option kann der Scanner die Offenlegung aller in diesem Repository gefundenen Dateien, die der DLP-Richtlinie entsprechen, für den definierten Repositorybesitzer verringern.

DLP-Richtlinien und private Aktionen durchführen

Wenn Sie eine DLP-Richtlinie mit der Aktion "Privat machen " verwenden und den Scanner auch zum automatischen Bezeichnen Ihrer Dateien verwenden möchten, empfiehlt es sich, auch die erweiterte UseCopyAndPreserveNTFSOwner-Einstellung des einheitlichen Bezeichnungsclients zu definieren.

Diese Einstellung stellt sicher, dass die ursprünglichen Besitzer zugriff auf ihre Dateien behalten.

Weitere Informationen finden Sie unter Erstellen eines Inhaltsüberprüfungsauftrags und Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte.

Ändern der zu schützenden Dateitypen

Standardmäßig schützt der Scanner nur Office-Dateitypen und PDF-Dateien.

Verwenden Sie PowerShell-Befehle, um dieses Verhalten nach Bedarf zu ändern, z. B. um den Scanner so zu konfigurieren, dass alle Dateitypen wie der Client geschützt werden, oder um zusätzliche, bestimmte Dateitypen zu schützen.

Geben Sie für eine Bezeichnungsrichtlinie, die für das Benutzerkonto gilt, das Bezeichnungen für den Scanner herunter lädt, eine erweiterte PowerShell-Einstellung mit dem Namen PFileSupportedExtensions an.

Für einen Scanner, der Zugriff auf das Internet hat, ist dieses Benutzerkonto das Konto, das Sie für den DelegatedUser-Parameter mit dem Befehl Set-AIPAuthentication angeben.

Beispiel 1: PowerShell-Befehl für den Scanner zum Schutz aller Dateitypen, bei denen Ihre Bezeichnungsrichtlinie "Scanner" heißt:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Beispiel 2: PowerShell-Befehl für den Scanner zum Schutz .xml Dateien und .tiff Dateien zusätzlich zu Office- und PDF-Dateien, wobei Ihre Bezeichnungsrichtlinie "Scanner" heißt:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Weitere Informationen finden Sie unter Ändern der zu schützenden Dateitypen.

Aktualisieren Des Scanners

Wenn Sie den Scanner bereits installiert haben und ein Upgrade durchführen möchten, befolgen Sie die Anweisungen unter Aktualisieren des Informationsschutzscanners.

Konfigurieren und verwenden Sie ihren Scanner dann wie gewohnt, und überspringen Sie dabei die Schritte zum Installieren des Scanners.

Massenbearbeitung von Datenrepositoryeinstellungen

Verwenden Sie die Schaltflächen Exportieren und Importieren , um Änderungen an Ihrem Scanner in mehreren Repositorys vorzunehmen.

Auf diese Weise müssen Sie die gleichen Änderungen nicht mehrmals manuell im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal vornehmen.

Wenn Sie beispielsweise über einen neuen Dateityp für mehrere SharePoint-Datenrepositorys verfügen, können Sie die Einstellungen für diese Repositorys in einem Massenvorgang aktualisieren.

So nehmen Sie Im Microsoft Purview-Portal Microsoft Purview-Complianceportal massenweise Änderungen über Repositorys hinweg vor:

  1. Wählen Sie im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal einen bestimmten Auftrag zur Inhaltsüberprüfung aus, und navigieren Sie im Bereich zur Registerkarte Repositorys. Wählen Sie die Option Exportieren aus.

  2. Bearbeiten Sie die exportierte Datei manuell, um Ihre Änderung vorzunehmen.

  3. Verwenden Sie die Option Importieren auf derselben Seite, um die Updates in Ihre Repositorys zurück zu importieren.

Verwenden des Scanners mit alternativen Konfigurationen

Der Scanner sucht in der Regel nach Bedingungen, die für Ihre Etiketten angegeben sind, um Ihre Inhalte nach Bedarf zu klassifizieren und zu schützen.

In den folgenden Szenarien ist der Scanner auch in der Lage, Ihre Inhalte zu scannen und Bezeichnungen zu verwalten, ohne dass Bedingungen konfiguriert sind:

Anwenden einer Standardbezeichnung auf alle Dateien in einem Datenrepository

In dieser Konfiguration werden alle dateien ohne Bezeichnung im Repository mit der Standardbezeichnung bezeichnet, die für das Repository oder den Auftrag zur Inhaltsüberprüfung angegeben ist. Dateien werden ohne Überprüfung bezeichnet.

Konfigurieren Sie die folgenden Einstellungen:

Einstellung Beschreibung
Beschriften von Dateien basierend auf Inhalten Auf Aus festlegen
Standardbezeichnung Legen Sie auf Benutzerdefiniert fest, und wählen Sie dann die zu verwendende Bezeichnung aus.
Standardbezeichnung erzwingen Wählen Sie aus, dass die Standardbezeichnung auf alle Dateien angewendet wird, auch wenn sie bereits beschriftet sind, indem Sie Dateien neu bezeichnen und Standardbezeichnung erzwingen aktivieren.

Entfernen vorhandener Bezeichnungen aus allen Dateien in einem Datenrepository

In dieser Konfiguration werden alle vorhandenen Bezeichnungen entfernt, einschließlich des Schutzes, wenn der Schutz mit der Bezeichnung angewendet wurde. Der unabhängig von einer Bezeichnung angewendete Schutz wird beibehalten.

Konfigurieren Sie die folgenden Einstellungen:

Einstellung Beschreibung
Beschriften von Dateien basierend auf Inhalten Auf Aus festlegen
Standardbezeichnung Auf "None" festgelegt
Dateien neu bezeichnen Legen Sie auf Ein fest, wobei die Standardbezeichnung erzwingen auf Ein festgelegt ist.

Identifizieren aller benutzerdefinierten Bedingungen und bekannten Typen vertraulicher Informationen

Diese Konfiguration ermöglicht es Ihnen, vertrauliche Informationen zu finden, von denen Sie möglicherweise nicht wissen, dass Sie sie hatten, auf Kosten der Scanraten für den Scanner.

Legen Sie die zu ermittelnden Infotypen auf Alle fest.

Um Bedingungen und Informationstypen für die Bezeichnung zu identifizieren, verwendet der Scanner alle angegebenen benutzerdefinierten Typen vertraulicher Informationen und die Liste der integrierten Typen vertraulicher Informationen, die ausgewählt werden können, wie in Ihrem Bezeichnungsverwaltungscenter definiert.

Optimieren der Scannerleistung

Hinweis

Wenn Sie die Reaktionsfähigkeit des Scannercomputers und nicht die Scannerleistung verbessern möchten, verwenden Sie eine erweiterte Clienteinstellung, um die Anzahl der vom Scanner verwendeten Threads zu begrenzen.

Verwenden Sie die folgenden Optionen und Anleitungen, um die Leistung des Scanners zu optimieren:

Option Beschreibung
Herstellen einer schnellen und zuverlässigen Netzwerkverbindung zwischen dem Scannercomputer und dem gescannten Datenspeicher Platzieren Sie den Scannercomputer beispielsweise im gleichen LAN oder vorzugsweise im selben Netzwerksegment wie der gescannte Datenspeicher.

Die Qualität der Netzwerkverbindung wirkt sich auf die Scannerleistung aus, da der Scanner zum Überprüfen der Dateien den Inhalt der Dateien an den Computer überträgt, auf dem der Scannerdienst ausgeführt wird.

Das Reduzieren oder Beseitigen der Netzwerkhops, die für die Datenverschiebung erforderlich sind, verringert auch die Last in Ihrem Netzwerk.
Stellen Sie sicher, dass der Scannercomputer über verfügbare Prozessorressourcen verfügt. Das Überprüfen des Dateiinhalts und das Verschlüsseln und Entschlüsseln von Dateien sind prozessorintensive Aktionen.

Überwachen Sie die typischen Scanzyklen für Ihre angegebenen Datenspeicher, um zu ermitteln, ob sich ein Mangel an Prozessorressourcen negativ auf die Scannerleistung auswirkt.
Installieren mehrerer Instanzen des Scanners Der Scanner unterstützt mehrere Konfigurationsdatenbanken auf demselben SQL Server instance, wenn Sie einen benutzerdefinierten Clusternamen für den Scanner angeben.

Tipp: Mehrere Scanner können auch denselben Cluster gemeinsam nutzen, was zu schnelleren Scanzeiten führt. Wenn Sie planen, den Scanner auf mehreren Computern mit demselben Datenbank-instance zu installieren und Ihre Scanner parallel ausgeführt werden sollen, müssen Sie alle Ihre Scanner mit demselben Clusternamen installieren.
Überprüfen der verwendung der alternativen Konfiguration Der Scanner wird schneller ausgeführt, wenn Sie die alternative Konfiguration verwenden, um eine Standardbezeichnung auf alle Dateien anzuwenden, da der Scanner den Dateiinhalt nicht überprüft.

Der Scanner wird langsamer ausgeführt, wenn Sie die alternative Konfiguration verwenden, um alle benutzerdefinierten Bedingungen und bekannten Typen vertraulicher Informationen zu identifizieren.

Zusätzliche Faktoren, die sich auf die Leistung auswirken

Weitere Faktoren, die sich auf die Leistung des Scanners auswirken, sind:

Faktor Beschreibung
Lade-/Antwortzeiten Die aktuellen Lade- und Antwortzeiten der Datenspeicher, die die zu überprüfenden Dateien enthalten, wirken sich ebenfalls auf die Scannerleistung aus.
Scannermodus (Ermittlung/Erzwingen) Der Ermittlungsmodus hat in der Regel eine höhere Scanrate als der Erzwingungsmodus.

Die Ermittlung erfordert eine einzelne Dateileseaktion, während der Erzwingungsmodus Lese- und Schreibaktionen erfordert.
Richtlinienänderungen Ihre Scannerleistung kann beeinträchtigt werden, wenn Sie Änderungen an der automatischen Bezeichnung in der Bezeichnungsrichtlinie vorgenommen haben.

Ihr erster Scanzyklus, wenn der Scanner jede Datei überprüfen muss, dauert länger als nachfolgende Überprüfungszyklen, bei denen standardmäßig nur neue und geänderte Dateien überprüft werden.

Wenn Sie die Bedingungen oder die Einstellungen für die automatische Bezeichnung ändern, werden alle Dateien erneut überprüft. Weitere Informationen finden Sie unter Erneutes Scannen von Dateien.
Regex-Konstruktionen Die Scannerleistung wird dadurch beeinflusst, wie Ihre RegEx-Ausdrücke für benutzerdefinierte Bedingungen erstellt werden.

Um einen hohen Arbeitsspeicherverbrauch und das Risiko von Timeouts (15 Minuten pro Datei) zu vermeiden, überprüfen Sie Ihre RegEx-Ausdrücke auf einen effizienten Musterabgleich.

Zum Beispiel:
- Vermeiden Sie gierige Quantifizierer
– Verwenden Sie gruppen, die nicht erfasst werden, z. B. anstelle (?:expression) von (expression)
Protokollebene Zu den Optionen auf Protokollebene gehören Debug, Info, Error und Off für die Scannerberichte.

- Off ergibt die beste Leistung
- Das Debuggen verlangsamt den Scanner erheblich und sollte nur zur Problembehandlung verwendet werden.

Weitere Informationen finden Sie im ReportLevel-Parameter für das Cmdlet Set-AIPScannerConfiguration .
Dateien, die gescannt werden - Mit Ausnahme von Excel-Dateien werden Office-Dateien schneller gescannt als PDF-Dateien.

- Nicht geschützte Dateien können schneller gescannt werden als geschützte Dateien.

- Das Scannen großer Dateien dauert offensichtlich länger als kleine Dateien.

Verwenden von PowerShell zum Konfigurieren des Scanners

In diesem Abschnitt werden die Schritte beschrieben, die zum Konfigurieren und Installieren des Scanners erforderlich sind, wenn Sie keinen Zugriff auf die Scannerseiten im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal haben und nur PowerShell verwenden müssen.

Wichtig

  • Einige Schritte erfordern PowerShell, unabhängig davon, ob Sie im Complianceportal auf die Scannerseiten zugreifen können oder nicht, und sind identisch. Informationen zu diesen Schritten finden Sie in den vorherigen Anweisungen in diesem Artikel.

  • Wenn Sie mit dem Scanner für Azure China 21Vianet arbeiten, sind zusätzlich zu den hier beschriebenen Anweisungen zusätzliche Schritte erforderlich. Weitere Informationen finden Sie unter Azure Information Protection Support für Office 365, die von 21Vianet betrieben werden.

Weitere Informationen finden Sie unter Unterstützte PowerShell-Cmdlets.

So konfigurieren und installieren Sie Den Scanner:

  1. Beginnen Sie, wenn PowerShell geschlossen ist. Wenn Sie zuvor den AIP-Client und den Scanner installiert haben, stellen Sie sicher, dass der AIPScanner-Dienst beendet wurde.

  2. Öffnen Sie eine Windows PowerShell Sitzung mit der Option Als Administrator ausführen.

  3. Führen Sie den Befehl Install-AIPScanner aus, um den Scanner auf Ihrer SQL Server-instance mit dem Clusterparameter zu installieren, um den Clusternamen zu definieren.

    Dieser Schritt ist identisch, unabhängig davon, ob Sie im Complianceportal auf die Scannerseiten zugreifen können oder nicht. Weitere Informationen finden Sie in den vorherigen Anweisungen in diesem Artikel: Installieren des Scanners.

  4. Rufen Sie ein Azure-Token für die Verwendung mit Ihrem Scanner ab, und authentifizieren Sie sich dann erneut.

    Dieser Schritt ist identisch, unabhängig davon, ob Sie im Complianceportal auf die Scannerseiten zugreifen können oder nicht. Weitere Informationen finden Sie in den vorherigen Anweisungen in diesem Artikel: Abrufen eines Microsoft Entra Tokens für den Scanner.

  5. Führen Sie das Cmdlet Set-AIPScannerConfiguration aus, um die Funktion des Scanners im Offlinemodus festzulegen. Ausführen:

    Set-AIPScannerConfiguration -OnlineConfiguration Off

  6. Führen Sie das Cmdlet Set-AIPScannerContentScanJob aus, um einen Standardauftrag für die Inhaltsüberprüfung zu erstellen.

    Der einzige erforderliche Parameter im Cmdlet Set-AIPScannerContentScanJob ist Enforce. Möglicherweise möchten Sie jedoch zu diesem Zeitpunkt andere Einstellungen für Ihren Inhaltsüberprüfungsauftrag definieren. Zum Beispiel:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>

    Mit der obigen Syntax werden die folgenden Einstellungen konfiguriert, während Sie die Konfiguration fortsetzen:

    • Hält die Zeitplanung für die Scannerausführung auf "manuell"
    • Legt die zu ermittelnden Informationstypen basierend auf der Richtlinie für Vertraulichkeitsbezeichnungen fest.
    • Erzwingt keine Richtlinie für Vertraulichkeitsbezeichnungen
    • Automatisches Bezeichnen von Dateien basierend auf Inhalten mithilfe der Standardbezeichnung, die für die Richtlinie für Vertraulichkeitsbezeichnungen definiert ist
    • Ermöglicht keine erneute Bezeichnung von Dateien.
    • Behält Dateidetails beim Scannen und automatischen Bezeichnen bei, einschließlich Änderungsdatum, letzte Änderung und Änderung durch Werte
    • Legt fest, dass der Scanner .msg- und .tmp-Dateien bei der Ausführung ausschließt.
    • Legt den Standardbesitzer auf das Konto fest, das Sie beim Ausführen des Scanners verwenden möchten.

  7. Verwenden Sie das Cmdlet Add-AIPScannerRepository , um die Repositorys zu definieren, die Sie in Ihrem Inhaltsüberprüfungsauftrag überprüfen möchten. Führen Sie beispielsweise den folgenden Befehl aus:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'

    Verwenden Sie je nach Repositorytyp, das Sie hinzufügen, eine der folgenden Syntaxen:

    • Verwenden Sie \\Server\Folderfür eine Netzwerkfreigabe .
    • Verwenden Sie http://sharepoint.contoso.com/Shared%20Documents/Folderfür eine SharePoint-Bibliothek .
    • Für einen lokalen Pfad: C:\Folder
    • Für einen UNC-Pfad: \\Server\Folder

    Hinweis

    Wildcards werden nicht unterstützt, und WebDav-Speicherorte werden nicht unterstützt.

    Um das Repository später zu ändern, verwenden Sie stattdessen das Cmdlet Set-AIPScannerRepository .

    Wenn Sie einen SharePoint-Pfad für freigegebene Dokumente hinzufügen:

    • Geben Sie freigegebene Dokumente im Pfad an, wenn Sie alle Dokumente und alle Ordner aus freigegebenen Dokumenten überprüfen möchten. Beispiel: http://sp2013/SharedDocuments
    • Geben Sie Dokumente im Pfad an, wenn Sie alle Dokumente und ordner aus einem Unterordner unter Freigegebene Dokumente überprüfen möchten. Beispiel: http://sp2013/Documents/SalesReports
    • Oder geben Sie nur den FQDN Ihres SharePoint an, um beispielsweise http://sp2013alle SharePoint-Websites und -Unterwebsites unter einer bestimmten URL und Untertiteln unter dieser URL zu ermitteln und zu überprüfen. Gewähren Sie scanner Site Collector Auditor-Berechtigungen , um dies zu aktivieren.

    Verwenden Sie beim Hinzufügen von SharePoint-Pfaden die folgende Syntax:

    Pfad Syntax
    Stammpfad http://<SharePoint server name>

    Überprüft alle Websites, einschließlich aller Websitesammlungen, die für den Scannerbenutzer zulässig sind.
    Erfordert zusätzliche Berechtigungen zum automatischen Ermitteln von Stamminhalten
    Bestimmte SharePoint-Unterwebsite oder -Sammlung Eine der folgenden Varianten:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Erfordert zusätzliche Berechtigungen zum automatischen Ermitteln von Websitesammlungsinhalten
    Bestimmte SharePoint-Bibliothek Eine der folgenden Varianten:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Bestimmter SharePoint-Ordner http://<SharePoint server name>/.../<folder name>

Fahren Sie nach Bedarf mit den folgenden Schritten fort:

Verwenden von PowerShell zum Konfigurieren des Scanners für die Anwendung von Klassifizierung und Schutz

  1. Führen Sie das Cmdlet Set-AIPScannerContentScanJob aus, um Ihren Auftrag für die Inhaltsüberprüfung zu aktualisieren, um Ihre Planung auf always festzulegen und Ihre Vertraulichkeitsrichtlinie zu erzwingen.

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On

    Tipp

    Möglicherweise möchten Sie andere Einstellungen in diesem Bereich ändern, z. B. ob Dateiattribute geändert werden und ob der Scanner Dateien neu bezeichnen kann. Weitere Informationen zu den verfügbaren Einstellungen finden Sie in der vollständigen PowerShell-Dokumentation.

  2. Führen Sie das Cmdlet Start-AIPScan aus, um Ihren Auftrag zur Inhaltsüberprüfung auszuführen:

    Start-AIPScan

Der Scanner ist jetzt für die kontinuierliche Ausführung geplant. Wenn der Scanner alle konfigurierten Dateien durchläuft, wird automatisch ein neuer Zyklus gestartet, sodass alle neuen und geänderten Dateien erkannt werden.

Verwenden von PowerShell zum Konfigurieren einer DLP-Richtlinie mit dem Scanner

Führen Sie das Cmdlet Set-AIPScannerContentScanJob erneut aus, wobei der Parameter -EnableDLP auf Ein festgelegt ist und ein bestimmter Repositorybesitzer definiert ist.

Zum Beispiel:

Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'

Unterstützte PowerShell-Cmdlets

In diesem Abschnitt werden powerShell-Cmdlets aufgeführt, die für die Informationsschutzüberprüfung unterstützt werden, sowie Anweisungen zum Konfigurieren und Installieren des Scanners nur mit PowerShell.

Zu den unterstützten Cmdlets für den Scanner gehören:

Nächste Schritte

Nachdem Sie Den Scanner installiert und konfiguriert haben, beginnen Sie mit dem Scannen Ihrer Dateien.