Erfahren Sie mehr über den Information Protection-Scanner.

Verwenden Sie die Informationen in diesem Abschnitt, um mehr über den Microsoft Purview Information Protection-Scanner zu erfahren und dann, wie Sie ihn erfolgreich installieren, konfigurieren, ausführen und ggf. behandeln.

Dieser Scanner wird als Dienst unter Windows Server ausgeführt und ermöglicht es Ihnen, Dateien in den folgenden Datenspeichern zu ermitteln, zu klassifizieren und zu schützen:

  • UNC-Pfade für Netzwerkfreigaben, die die Protokolle SMB oder NFS (Vorschau) verwenden.

  • SharePoint-Dokumentbibliotheken und -Ordner für SharePoint Server 2019 über SharePoint Server 2013.

Um Ihre Dateien zu klassifizieren und zu schützen, verwendet der Scanner Vertraulichkeitsbezeichnungen, die im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal konfiguriert sind.

Übersicht über den Scanner

Die Information Protection-Überprüfung kann alle Dateien überprüfen, die Windows indizieren kann. Wenn Sie Vertraulichkeitsbezeichnungen so konfigurieren, dass die automatische Klassifizierung angewendet wird, kann der Scanner ermittelte Dateien bezeichnen, um diese Klassifizierung anzuwenden, und optional den Schutz anwenden oder entfernen. Informationen zu den typen vertraulichen Informationen (SITs), die vom Information Protection-Scanner unterstützt werden, finden Sie unter Von Microsoft Purview Information Protection Scanner unterstützte Typen vertraulicher Informationen.

Die folgende Abbildung zeigt die Scannerarchitektur, in der der Scanner Dateien auf Ihren lokalen und SharePoint-Servern erkennt.

Architektur des Microsoft Purview Information Protection-Scanners

Um Ihre Dateien zu überprüfen, verwendet der Scanner IFilter, die auf dem Computer installiert sind. Um zu bestimmen, ob die Dateien beschriftet werden müssen, verwendet der Scanner Typen vertraulicher Informationen und Mustererkennung oder RegEx-Muster.

Der Scanner verwendet den Azure Information Protection-Client und kann dieselben Dateitypen wie der Client klassifizieren und schützen. Weitere Informationen finden Sie unter Vom Azure Information Protection Unified Labeling Client unterstützte Dateitypen.

Führen Sie eine der folgenden Aktionen aus, um Ihre Überprüfungen nach Bedarf zu konfigurieren:

  • Führen Sie den Scanner nur im Ermittlungsmodus aus, um Berichte zu erstellen, die überprüfen, was passiert, wenn Ihre Dateien beschriftet sind.
  • Führen Sie den Scanner aus, um Dateien mit vertraulichen Informationen zu ermitteln, ohne Bezeichnungen zu konfigurieren, die die automatische Klassifizierung anwenden.
  • Führen Sie den Scanner automatisch aus , um Bezeichnungen wie konfiguriert anzuwenden.
  • Definieren Sie eine Dateitypliste , um bestimmte Dateien anzugeben, die überprüft oder ausgeschlossen werden sollen.

Hinweis

Der Scanner erkennt und beschriftet nicht in Echtzeit. Dateien in den von Ihnen angegebenen Datenspeichern werden systematisch durchforstet. Konfigurieren Sie diesen Zyklus so, dass er einmal oder wiederholt ausgeführt wird.

Tipp

Der Scanner unterstützt Scannercluster mit mehreren Knoten, sodass Ihre organization horizontal hochskaliert werden kann, wodurch schnellere Scanzeiten und ein breiterer Umfang erzielt werden können.

Stellen Sie mehrere Knoten von Anfang an bereit, oder beginnen Sie mit einem Einzelknotencluster, und fügen Sie später weitere Knoten hinzu, wenn Sie wachsen. Stellen Sie mehrere Knoten bereit, indem Sie denselben Clusternamen und dieselbe Datenbank für das Cmdlet Install-AIPScanner verwenden.

Der Scanvorgang

Beim Scannen von Dateien führt die Information Protection-Überprüfung die folgenden Schritte aus:

1. Bestimmen Sie, ob Dateien zum Scannen eingeschlossen oder ausgeschlossen werden.

2. Überprüfen und bezeichnen Sie Dateien.

3. Bezeichnen Sie Dateien, die nicht überprüft werden können.

Weitere Informationen finden Sie unter Dateien, die vom Scanner nicht bezeichnet werden.

1. Bestimmen, ob Dateien zum Scannen eingeschlossen oder ausgeschlossen werden

Der Scanner überspringt automatisch Dateien, die von der Klassifizierung und dem Schutz ausgeschlossen sind, z. B. ausführbare Dateien und Systemdateien. Weitere Informationen finden Sie unter Dateitypen, die von Klassifizierung und Schutz ausgeschlossen sind.

Der Scanner berücksichtigt auch alle Dateilisten, die explizit zum Scannen oder Ausschließen von der Überprüfung definiert sind. Dateilisten gelten standardmäßig für alle Datenrepositorys und können auch nur für bestimmte Repositorys definiert werden.

Verwenden Sie zum Definieren von Dateilisten für die Überprüfung oder den Ausschluss die Einstellung Zu überprüfende Dateitypen im Auftrag für die Inhaltsüberprüfung. Zum Beispiel:

Konfigurieren von Dateitypen für die Überprüfung im Purview-Complianceportal

Weitere Informationen finden Sie unter Bereitstellen des Scanners zum automatischen Klassifizieren und Schützen von Dateien.

2. Überprüfen und Bezeichnen von Dateien

Nachdem ausgeschlossene Dateien identifiziert wurden, filtert der Informationsschutzscanner erneut, um Dateien zu identifizieren, die für die Überprüfung unterstützt werden.

Diese Filter sind dieselben, die vom Betriebssystem für windows Search und Indizierung verwendet werden und erfordern keine zusätzliche Konfiguration. Windows IFilter wird auch zum Überprüfen von Dateitypen verwendet, die von Word, Excel und PowerPoint sowie für PDF-Dokumente und Textdateien verwendet werden.

Eine vollständige Liste der dateitypen, die für die Überprüfung unterstützt werden, sowie weitere Anweisungen zum Konfigurieren von Filtern, die .zip und .tiff Dateien enthalten, finden Sie unter Zur Überprüfung unterstützte Dateitypen.

Nach der Überprüfung werden unterstützte Dateitypen mit den für Ihre Bezeichnungen angegebenen Bedingungen bezeichnet. Wenn Sie den Ermittlungsmodus verwenden, können diese Dateien entweder gemeldet werden, dass sie die bedingungen enthalten, die für Ihre Bezeichnungen angegeben sind, oder sie enthalten alle bekannten vertraulichen Informationstypen.

Beendete Scannerprozesse

Wenn der Scanner beendet wird, bevor eine Überprüfung auf eine große Anzahl von Dateien in Ihrem Repository abgeschlossen wird, müssen Sie möglicherweise die Anzahl der dynamischen Ports für das Betriebssystem erhöhen, das die Dateien hostet.

Beispielsweise ist die Serverhärtung für SharePoint ein Grund, warum der Scanner die Anzahl der zulässigen Netzwerkverbindungen überschreitet und daher beendet wird.

Um zu überprüfen, ob die Serverhärtung für SharePoint die Ursache für das Beenden des Scanners ist, überprüfen Sie die folgende Fehlermeldung in den Scannerprotokollen unter %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (mehrere Protokolle werden in eine ZIP-Datei komprimiert):

Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

Weitere Informationen zum Anzeigen und Erhöhen des aktuellen Portbereichs bei Bedarf finden Sie unter Einstellungen, die geändert werden können, um die Netzwerkleistung zu verbessern.

Tipp

Bei großen SharePoint-Farmen müssen Sie möglicherweise den Schwellenwert für die Listenansicht erhöhen, der den Standardwert von 5.000 aufweist.

Weitere Informationen finden Sie unter Verwalten großer Listen und Bibliotheken in SharePoint.

3. Beschriftung von Dateien, die nicht überprüft werden können

Für alle Dateitypen, die nicht überprüft werden können, wendet der Scanner die Standardbezeichnung aus seiner Vertraulichkeitsbezeichnungsrichtlinie oder die für den Scanner konfigurierte Standardbezeichnung an.

Dateien, die vom Scanner nicht beschriftet sind

Der Scanner kann Dateien unter folgenden Umständen nicht beschriften:

  • Wenn die Bezeichnung Klassifizierung anwendet, aber keinen Schutz, und der Dateityp keine ausschließliche Klassifizierung durch den Client unterstützt. Weitere Informationen finden Sie unter Nur für die Klassifizierung unterstützte Dateitypen.

  • Wenn die Bezeichnung Klassifizierung und Schutz anwendet, aber der Scanner den Dateityp nicht unterstützt.

    Standardmäßig schützt der Scanner nur Office-Dateitypen und PDF-Dateien, wenn sie mit dem ISO-Standard für die PDF-Verschlüsselung geschützt werden.

    Andere Dateitypen können zum Schutz hinzugefügt werden, wenn Sie die zu schützenden Dateitypen ändern.

Beispiel: Nach dem Überprüfen .txt Dateien kann der Scanner keine Bezeichnung anwenden, die nur für die Klassifizierung konfiguriert ist, da der dateityp .txt nicht nur die Klassifizierung unterstützt.

Wenn die Bezeichnung jedoch sowohl für die Klassifizierung als auch für den Schutz konfiguriert ist und der .txt Dateityp für den Scanner zum Schutz enthalten ist, kann der Scanner die Datei bezeichnen.

Nächste Schritte

Weitere Informationen zum Bereitstellen des Scanners finden Sie in den folgenden Artikeln:

Weitere Informationen: