Erfahren Sie mehr über den Information Protection-Scanner.

Verwenden Sie die Informationen in diesem Abschnitt, um mehr über den Microsoft Purview Information Protection-Scanner zu erfahren und dann zu erfahren, wie Sie ihn erfolgreich installieren, konfigurieren, ausführen und ggf. behandeln.

Dieser Scanner wird als Dienst unter Windows Server ausgeführt und ermöglicht es Ihnen, Dateien in den folgenden Datenspeichern zu ermitteln, zu klassifizieren und zu schützen:

  • UNC-Pfade für Netzwerkfreigaben, die die Protokolle SMB oder NFS (Vorschau) verwenden.

  • SharePoint-Dokumentbibliotheken und -Ordner für SharePoint Server 2019 über SharePoint Server 2013.

Um Ihre Dateien zu klassifizieren und zu schützen, verwendet der Scanner Vertraulichkeitsbezeichnungen, die im Microsoft Purview-Complianceportal konfiguriert sind.

Übersicht über den Scanner

Die Information Protection-Überprüfung kann alle Dateien überprüfen, die Windows indizieren kann. Wenn Sie Vertraulichkeitsbezeichnungen für die automatische Klassifizierung konfiguriert haben, kann der Scanner ermittelte Dateien bezeichnen, um diese Klassifizierung anzuwenden, und optional den Schutz anwenden oder entfernen.

Die folgende Abbildung zeigt die Scannerarchitektur, in der der Scanner Dateien auf Ihren lokalen und SharePoint-Servern erkennt.

Architektur des Microsoft Purview Information Protection-Scanners

Um Ihre Dateien zu überprüfen, verwendet der Scanner IFilter, die auf dem Computer installiert sind. Um zu bestimmen, ob die Dateien beschriftet werden müssen, verwendet der Scanner Typen vertraulicher Informationen und Mustererkennung oder RegEx-Muster.

Der Scanner verwendet den Azure Information Protection-Client und kann dieselben Dateitypen wie der Client klassifizieren und schützen. Weitere Informationen finden Sie unter Vom Azure Information Protection Unified Labeling Client unterstützte Dateitypen.

Führen Sie eine der folgenden Aktionen aus, um Ihre Überprüfungen nach Bedarf zu konfigurieren:

  • Führen Sie den Scanner nur im Ermittlungsmodus aus, um Berichte zu erstellen, die überprüfen, was passiert, wenn Ihre Dateien beschriftet sind.
  • Führen Sie den Scanner aus, um Dateien mit vertraulichen Informationen zu ermitteln, ohne Bezeichnungen zu konfigurieren, die die automatische Klassifizierung anwenden.
  • Führen Sie den Scanner automatisch aus , um Bezeichnungen wie konfiguriert anzuwenden.
  • Definieren Sie eine Dateitypliste , um bestimmte Dateien anzugeben, die überprüft oder ausgeschlossen werden sollen.

Hinweis

Der Scanner erkennt und beschriftet nicht in Echtzeit. Dateien in den von Ihnen angegebenen Datenspeichern werden systematisch durchforstet. Konfigurieren Sie diesen Zyklus so, dass er einmal oder wiederholt ausgeführt wird.

Tipp

Der Scanner unterstützt Scannercluster mit mehreren Knoten, sodass Ihre Organisation horizontal hochskaliert werden kann, um schnellere Scanzeiten und einen breiteren Umfang zu erzielen.

Stellen Sie mehrere Knoten von Anfang an bereit, oder beginnen Sie mit einem Einzelknotencluster, und fügen Sie später weitere Knoten hinzu, wenn Sie wachsen. Stellen Sie mehrere Knoten bereit, indem Sie denselben Clusternamen und dieselbe Datenbank für das Cmdlet Install-AIPScanner verwenden.

Der Scanvorgang

Beim Scannen von Dateien führt die Information Protection-Überprüfung die folgenden Schritte aus:

1. Bestimmen, ob Dateien zum Scannen eingeschlossen oder ausgeschlossen werden

2. Überprüfen und Bezeichnen von Dateien

3. Beschriftung von Dateien, die nicht überprüft werden können

Weitere Informationen finden Sie unter Dateien, die vom Scanner nicht bezeichnet werden.

1. Bestimmen, ob Dateien zum Scannen eingeschlossen oder ausgeschlossen werden

Der Scanner überspringt automatisch Dateien, die von der Klassifizierung und dem Schutz ausgeschlossen sind, z. B. ausführbare Dateien und Systemdateien. Weitere Informationen finden Sie unter Dateitypen, die von Klassifizierung und Schutz ausgeschlossen sind.

Der Scanner berücksichtigt auch alle Dateilisten, die explizit zum Scannen oder ausschließen von der Überprüfung definiert sind. Dateilisten gelten standardmäßig für alle Datenrepositorys und können auch nur für bestimmte Repositorys definiert werden.

Verwenden Sie zum Definieren von Dateilisten für die Überprüfung oder den Ausschluss die Einstellung Zu überprüfende Dateitypen im Auftrag für die Inhaltsüberprüfung. Beispiel:

Konfigurieren von Dateitypen für die Überprüfung im Purview-Complianceportal

Weitere Informationen finden Sie unter Bereitstellen des Scanners zum automatischen Klassifizieren und Schützen von Dateien.

2. Überprüfen und Bezeichnen von Dateien

Nach dem Identifizieren ausgeschlossener Dateien filtert der Informationsschutz-Scanner erneut, um Dateien zu identifizieren, die für die Überprüfung unterstützt werden.

Diese Filter sind dieselben, die vom Betriebssystem für Windows Search und Indizierung verwendet werden, und erfordern keine zusätzliche Konfiguration. Windows IFilter wird auch zum Scannen von Dateitypen verwendet, die von Word, Excel und PowerPoint sowie für PDF-Dokumente und Textdateien verwendet werden.

Eine vollständige Liste der für die Überprüfung unterstützten Dateitypen sowie weitere Anweisungen zum Konfigurieren von Filtern, die .zip- und TIFF-Dateien enthalten, finden Sie unter Zur Überprüfung unterstützte Dateitypen.

Nach der Überprüfung werden unterstützte Dateitypen mit den für Ihre Bezeichnungen angegebenen Bedingungen bezeichnet. Wenn Sie den Ermittlungsmodus verwenden, können diese Dateien entweder gemeldet werden, dass sie die bedingungen enthalten, die für Ihre Bezeichnungen angegeben sind, oder sie enthalten alle bekannten vertraulichen Informationstypen.

Beendete Scannerprozesse

Wenn der Scanner beendet wird und keine Überprüfung auf eine große Anzahl von Dateien in Ihrem Repository abgeschlossen wird, müssen Sie möglicherweise die Anzahl der dynamischen Ports für das Betriebssystem erhöhen, das die Dateien hostet.

Beispielsweise ist die Serverhärtung für SharePoint ein Grund, warum der Scanner die Anzahl der zulässigen Netzwerkverbindungen überschreitet und daher beendet wird.

Um zu überprüfen, ob die Serverhärtung für SharePoint die Ursache für das Beenden des Scanners ist, überprüfen Sie die folgende Fehlermeldung in den Scannerprotokollen unter %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (mehrere Protokolle werden in eine ZIP-Datei komprimiert):

Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

Weitere Informationen zum Anzeigen und Erhöhen des aktuellen Portbereichs bei Bedarf finden Sie unter Einstellungen, die geändert werden können, um die Netzwerkleistung zu verbessern.

Tipp

Bei großen SharePoint-Farmen müssen Sie möglicherweise den Schwellenwert für die Listenansicht erhöhen, der den Standardwert von 5.000 aufweist.

Weitere Informationen finden Sie unter Verwalten großer Listen und Bibliotheken in SharePoint.

3. Beschriftung von Dateien, die nicht überprüft werden können

Für alle Dateitypen, die nicht überprüft werden können, wendet der Scanner die Standardbezeichnung aus seiner Vertraulichkeitsbezeichnungsrichtlinie oder die für den Scanner konfigurierte Standardbezeichnung an.

Dateien, die vom Scanner nicht beschriftet sind

Der Scanner kann Dateien unter folgenden Umständen nicht beschriften:

  • Wenn die Bezeichnung Klassifizierung anwendet, aber keinen Schutz, und der Dateityp keine ausschließliche Klassifizierung durch den Client unterstützt. Weitere Informationen finden Sie unter Nur für die Klassifizierung unterstützte Dateitypen.

  • Wenn die Bezeichnung Klassifizierung und Schutz anwendet, aber der Scanner den Dateityp nicht unterstützt.

    Standardmäßig schützt der Scanner nur Office-Dateitypen und PDF-Dateien, wenn sie mit dem ISO-Standard für die PDF-Verschlüsselung geschützt werden.

    Andere Dateitypen können zum Schutz hinzugefügt werden, wenn Sie die zu schützenden Dateitypen ändern.

Beispiel: Nach dem Überprüfen .txt Dateien kann der Scanner keine Bezeichnung anwenden, die nur für die Klassifizierung konfiguriert ist, da der dateityp .txt nicht nur die Klassifizierung unterstützt.

Wenn die Bezeichnung jedoch sowohl für die Klassifizierung als auch für den Schutz konfiguriert ist und der .txt Dateityp für den Scanner zum Schutz enthalten ist, kann der Scanner die Datei bezeichnen.

Nächste Schritte

Weitere Informationen zum Bereitstellen des Scanners finden Sie in den folgenden Artikeln:

Weitere Informationen: