Erfahren Sie mehr über den Information Protection-Scanner.
Verwenden Sie die Informationen in diesem Abschnitt, um mehr über den Microsoft Purview Information Protection-Scanner zu erfahren und dann zu erfahren, wie Sie ihn erfolgreich installieren, konfigurieren, ausführen und ggf. behandeln.
Dieser Scanner wird als Dienst unter Windows Server ausgeführt und ermöglicht es Ihnen, Dateien in den folgenden Datenspeichern zu ermitteln, zu klassifizieren und zu schützen:
UNC-Pfade für Netzwerkfreigaben, die die Protokolle SMB oder NFS (Vorschau) verwenden.
SharePoint-Dokumentbibliotheken und -Ordner für SharePoint Server 2019 über SharePoint Server 2013.
Um Ihre Dateien zu klassifizieren und zu schützen, verwendet der Scanner Vertraulichkeitsbezeichnungen, die im Microsoft Purview-Complianceportal konfiguriert sind.
Übersicht über den Scanner
Die Information Protection-Überprüfung kann alle Dateien überprüfen, die Windows indizieren kann. Wenn Sie Vertraulichkeitsbezeichnungen für die automatische Klassifizierung konfiguriert haben, kann der Scanner ermittelte Dateien bezeichnen, um diese Klassifizierung anzuwenden, und optional den Schutz anwenden oder entfernen.
Die folgende Abbildung zeigt die Scannerarchitektur, in der der Scanner Dateien auf Ihren lokalen und SharePoint-Servern erkennt.
Um Ihre Dateien zu überprüfen, verwendet der Scanner IFilter, die auf dem Computer installiert sind. Um zu bestimmen, ob die Dateien beschriftet werden müssen, verwendet der Scanner Typen vertraulicher Informationen und Mustererkennung oder RegEx-Muster.
Der Scanner verwendet den Azure Information Protection-Client und kann dieselben Dateitypen wie der Client klassifizieren und schützen. Weitere Informationen finden Sie unter Vom Azure Information Protection Unified Labeling Client unterstützte Dateitypen.
Führen Sie eine der folgenden Aktionen aus, um Ihre Überprüfungen nach Bedarf zu konfigurieren:
- Führen Sie den Scanner nur im Ermittlungsmodus aus, um Berichte zu erstellen, die überprüfen, was passiert, wenn Ihre Dateien beschriftet sind.
- Führen Sie den Scanner aus, um Dateien mit vertraulichen Informationen zu ermitteln, ohne Bezeichnungen zu konfigurieren, die die automatische Klassifizierung anwenden.
- Führen Sie den Scanner automatisch aus , um Bezeichnungen wie konfiguriert anzuwenden.
- Definieren Sie eine Dateitypliste , um bestimmte Dateien anzugeben, die überprüft oder ausgeschlossen werden sollen.
Hinweis
Der Scanner erkennt und beschriftet nicht in Echtzeit. Dateien in den von Ihnen angegebenen Datenspeichern werden systematisch durchforstet. Konfigurieren Sie diesen Zyklus so, dass er einmal oder wiederholt ausgeführt wird.
Tipp
Der Scanner unterstützt Scannercluster mit mehreren Knoten, sodass Ihre Organisation horizontal hochskaliert werden kann, um schnellere Scanzeiten und einen breiteren Umfang zu erzielen.
Stellen Sie mehrere Knoten von Anfang an bereit, oder beginnen Sie mit einem Einzelknotencluster, und fügen Sie später weitere Knoten hinzu, wenn Sie wachsen. Stellen Sie mehrere Knoten bereit, indem Sie denselben Clusternamen und dieselbe Datenbank für das Cmdlet Install-AIPScanner verwenden.
Der Scanvorgang
Beim Scannen von Dateien führt die Information Protection-Überprüfung die folgenden Schritte aus:
1. Bestimmen, ob Dateien zum Scannen eingeschlossen oder ausgeschlossen werden
2. Überprüfen und Bezeichnen von Dateien
3. Beschriftung von Dateien, die nicht überprüft werden können
Weitere Informationen finden Sie unter Dateien, die vom Scanner nicht bezeichnet werden.
1. Bestimmen, ob Dateien zum Scannen eingeschlossen oder ausgeschlossen werden
Der Scanner überspringt automatisch Dateien, die von der Klassifizierung und dem Schutz ausgeschlossen sind, z. B. ausführbare Dateien und Systemdateien. Weitere Informationen finden Sie unter Dateitypen, die von Klassifizierung und Schutz ausgeschlossen sind.
Der Scanner berücksichtigt auch alle Dateilisten, die explizit zum Scannen oder ausschließen von der Überprüfung definiert sind. Dateilisten gelten standardmäßig für alle Datenrepositorys und können auch nur für bestimmte Repositorys definiert werden.
Verwenden Sie zum Definieren von Dateilisten für die Überprüfung oder den Ausschluss die Einstellung Zu überprüfende Dateitypen im Auftrag für die Inhaltsüberprüfung. Beispiel:
Weitere Informationen finden Sie unter Bereitstellen des Scanners zum automatischen Klassifizieren und Schützen von Dateien.
2. Überprüfen und Bezeichnen von Dateien
Nach dem Identifizieren ausgeschlossener Dateien filtert der Informationsschutz-Scanner erneut, um Dateien zu identifizieren, die für die Überprüfung unterstützt werden.
Diese Filter sind dieselben, die vom Betriebssystem für Windows Search und Indizierung verwendet werden, und erfordern keine zusätzliche Konfiguration. Windows IFilter wird auch zum Scannen von Dateitypen verwendet, die von Word, Excel und PowerPoint sowie für PDF-Dokumente und Textdateien verwendet werden.
Eine vollständige Liste der für die Überprüfung unterstützten Dateitypen sowie weitere Anweisungen zum Konfigurieren von Filtern, die .zip- und TIFF-Dateien enthalten, finden Sie unter Zur Überprüfung unterstützte Dateitypen.
Nach der Überprüfung werden unterstützte Dateitypen mit den für Ihre Bezeichnungen angegebenen Bedingungen bezeichnet. Wenn Sie den Ermittlungsmodus verwenden, können diese Dateien entweder gemeldet werden, dass sie die bedingungen enthalten, die für Ihre Bezeichnungen angegeben sind, oder sie enthalten alle bekannten vertraulichen Informationstypen.
Beendete Scannerprozesse
Wenn der Scanner beendet wird und keine Überprüfung auf eine große Anzahl von Dateien in Ihrem Repository abgeschlossen wird, müssen Sie möglicherweise die Anzahl der dynamischen Ports für das Betriebssystem erhöhen, das die Dateien hostet.
Beispielsweise ist die Serverhärtung für SharePoint ein Grund, warum der Scanner die Anzahl der zulässigen Netzwerkverbindungen überschreitet und daher beendet wird.
Um zu überprüfen, ob die Serverhärtung für SharePoint die Ursache für das Beenden des Scanners ist, überprüfen Sie die folgende Fehlermeldung in den Scannerprotokollen unter %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (mehrere Protokolle werden in eine ZIP-Datei komprimiert):
Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port
Weitere Informationen zum Anzeigen und Erhöhen des aktuellen Portbereichs bei Bedarf finden Sie unter Einstellungen, die geändert werden können, um die Netzwerkleistung zu verbessern.
Tipp
Bei großen SharePoint-Farmen müssen Sie möglicherweise den Schwellenwert für die Listenansicht erhöhen, der den Standardwert von 5.000 aufweist.
Weitere Informationen finden Sie unter Verwalten großer Listen und Bibliotheken in SharePoint.
3. Beschriftung von Dateien, die nicht überprüft werden können
Für alle Dateitypen, die nicht überprüft werden können, wendet der Scanner die Standardbezeichnung aus seiner Vertraulichkeitsbezeichnungsrichtlinie oder die für den Scanner konfigurierte Standardbezeichnung an.
Dateien, die vom Scanner nicht beschriftet sind
Der Scanner kann Dateien unter folgenden Umständen nicht beschriften:
Wenn die Bezeichnung Klassifizierung anwendet, aber keinen Schutz, und der Dateityp keine ausschließliche Klassifizierung durch den Client unterstützt. Weitere Informationen finden Sie unter Nur für die Klassifizierung unterstützte Dateitypen.
Wenn die Bezeichnung Klassifizierung und Schutz anwendet, aber der Scanner den Dateityp nicht unterstützt.
Standardmäßig schützt der Scanner nur Office-Dateitypen und PDF-Dateien, wenn sie mit dem ISO-Standard für die PDF-Verschlüsselung geschützt werden.
Andere Dateitypen können zum Schutz hinzugefügt werden, wenn Sie die zu schützenden Dateitypen ändern.
Beispiel: Nach dem Überprüfen .txt Dateien kann der Scanner keine Bezeichnung anwenden, die nur für die Klassifizierung konfiguriert ist, da der dateityp .txt nicht nur die Klassifizierung unterstützt.
Wenn die Bezeichnung jedoch sowohl für die Klassifizierung als auch für den Schutz konfiguriert ist und der .txt Dateityp für den Scanner zum Schutz enthalten ist, kann der Scanner die Datei bezeichnen.
Nächste Schritte
Weitere Informationen zum Bereitstellen des Scanners finden Sie in den folgenden Artikeln:
- Voraussetzungen für die Scannerbereitstellung
- Konfigurieren und Installieren des Scanners
- Ausführen von Scans mithilfe des Scanners
Weitere Informationen:
Sehen Sie sich unser End-to-End-Demovideo für Scanner an! Sehen Sie sich eine schrittweise Überprüfung der Scannerarchitektur, -architektur, -empfehlung, -installation und -konfiguration an.
Sehen Sie sich unseren Blog zu bewährten Methoden für den Scanner an: Bewährte Methoden für die Bereitstellung und Verwendung des AIP UL-Scanners
Möchten Sie wissen, wie das Core Services Engineering and Operations-Team in Microsoft diesen Scanner implementiert hat? Lesen Sie die technische Fallstudie: Automatisieren des Datenschutzes mit azure Information Protection Scanner.
Sie können PowerShell auch verwenden, um Dateien auf Ihrem Desktopcomputer interaktiv zu klassifizieren und zu schützen. Weitere Informationen zu diesem und anderen Szenarien, die PowerShell verwenden, finden Sie unter [Verwenden von PowerShell mit dem Azure Information Protection Unified Labeling Client](./
.md).