Configuración e instalación del analizador de etiquetado unificado de Azure Information Protection (AIP)

Nota:

Se cambia el nombre del analizador de etiquetado unificado de Azure Information Protection Microsoft Purview Information Protection analizador. Al mismo tiempo, la configuración (actualmente en versión preliminar) se mueve al portal de cumplimiento Microsoft Purview. Actualmente, puede configurar el analizador tanto en el Azure Portal como en el portal de cumplimiento. Las instrucciones de este artículo hacen referencia a ambos portales de administración.

En este artículo se describe cómo configurar e instalar azure Information Protection etiquetado unificado, analizador local.

Sugerencia

Aunque la mayoría de los clientes realizarán estos procedimientos en el portal de administración, es posible que tenga que trabajar solo en PowerShell.

Por ejemplo, si está trabajando en un entorno sin acceso al portal de administración, como los servidores de escáner de Azure China 21Vianet, siga las instrucciones de Uso de PowerShell para configurar el analizador.

Información general

Antes de empezar, compruebe que el sistema cumple los requisitos previos necesarios.

Para usar el Azure Portal, siga estos pasos:

  1. Configuración del analizador

  2. Instalación del escáner

  3. Obtención de un token de Azure AD para el analizador

  4. Configuración del analizador para aplicar la clasificación y protección

A continuación, realice los siguientes procedimientos de configuración según sea necesario para el sistema:

Procedimiento Descripción
Cambio de los tipos de archivo que se van a proteger Es posible que desee examinar, clasificar o proteger tipos de archivo diferentes de los predeterminados. Para obtener más información, consulte Proceso de examen de AIP.
Actualización del analizador Actualice el analizador para usar las características y mejoras más recientes.
Edición masiva de la configuración del repositorio de datos Use las opciones de importación y exportación para realizar cambios en masa para varios repositorios de datos.
Uso del analizador con configuraciones alternativas Usar el analizador sin configurar etiquetas con ninguna condición
Optimizar el rendimiento Guía para optimizar el rendimiento del analizador

Si no tiene acceso a las páginas del analizador en el portal de administración, configure cualquier configuración del analizador solo en PowerShell. Para más información, consulte Uso de PowerShell para configurar el analizador y los cmdlets de PowerShell admitidos.

Configuración del analizador

Antes de instalar el analizador o actualizarlo desde una versión de disponibilidad general anterior, configure o compruebe la configuración del analizador.

Para configurar el analizador en el portal de cumplimiento Microsoft Purview:

  1. Inicie sesión en el portal de cumplimiento Microsoft Purview con uno de los siguientes roles:

    • Administrador de cumplimiento
    • Administrador de datos de cumplimiento
    • Administrador de seguridad
    • Administrador global

    A continuación, vaya al panel Configuración .

    En el panel Configuración, seleccione Analizador de Information Protection.

    Captura de pantalla del analizador de Information Protection en la portal de cumplimiento Microsoft Purview..

  2. Cree un clúster de escáner. Este clúster define el escáner y se usa para identificar la instancia del escáner, por ejemplo, durante la instalación, las actualizaciones y otros procesos.

  3. Cree un trabajo de examen de contenido para definir los repositorios que desea examinar.

Para configurar el analizador en el Azure Portal:

  1. Inicie sesión en el Azure Portal con uno de los siguientes roles:

    • Administrador de cumplimiento
    • Administrador de datos de cumplimiento
    • Administrador de seguridad
    • Administrador global

    A continuación, vaya al panel azure Information Protection.

    Por ejemplo, en el cuadro de búsqueda de recursos, servicios y documentos, empiece a escribir Information y seleccione Azure Information Protection.

  2. Cree un clúster de escáner. Este clúster define el escáner y se usa para identificar la instancia del escáner, por ejemplo, durante la instalación, las actualizaciones y otros procesos.

  3. Cree un trabajo de examen de contenido para definir los repositorios que desea examinar.

Creación de un clúster del analizador

Para crear un clúster de escáner en el portal de cumplimiento Microsoft Purview:

  1. En las pestañas de la página Analizador de Information Protection , seleccione Clústeres.

  2. En la pestaña Clústeres , seleccione Agregaricono.

  3. En el panel Nuevo clúster , escriba un nombre descriptivo para el analizador y una descripción opcional.

    El nombre del clúster se usa para identificar las configuraciones y repositorios del analizador. Por ejemplo, puede escribir Europa para identificar las ubicaciones geográficas de los repositorios de datos que desea examinar.

    Usará este nombre más adelante para identificar dónde desea instalar o actualizar el analizador.

  4. Haga clic en Guardar para guardar los cambios.

Para crear un clúster de escáner en el Azure Portal:

  1. En el menú Escáner de la izquierda , seleccioneClústeres icono.

  2. En el panel Azure Information Protection - Clústeres, seleccione Agregaricono agregaricono.

  3. En el panel Agregar un nuevo clúster , escriba un nombre descriptivo para el analizador y una descripción opcional.

    El nombre del clúster se usa para identificar las configuraciones y repositorios del analizador. Por ejemplo, puede escribir Europa para identificar las ubicaciones geográficas de los repositorios de datos que desea examinar.

    Usará este nombre más adelante para identificar dónde desea instalar o actualizar el analizador.

  4. Seleccione Guardaricono para guardar los cambios.

Creación de un trabajo de examen de contenido

Profundización en el contenido para examinar repositorios específicos de contenido confidencial.

Para crear el trabajo de examen de contenido en el portal de cumplimiento Microsoft Purview:

  1. En las pestañas de la página Analizador de Information Protection , seleccione Trabajos de examen de contenido.

  2. En el panel Trabajos de examen de contenido, seleccione Agregar icono para .

  3. Para esta configuración inicial, configure las siguientes opciones y, a continuación, seleccione Guardar.

    Configuración Descripción
    Configuración del trabajo de examen de contenido - Programación: mantenga el valor predeterminado de Manual.
    - Tipos de información que se van a detectar: cambiar solo a Directiva
    Directiva DLP Si usa una directiva de prevención de pérdida de datos, establezca Habilitar reglas DLP en Activado. Para obtener más información, consulte Uso de una directiva DLP.
    Directiva de confidencialidad - Aplicar la directiva de etiquetado de confidencialidad: Seleccione Desactivado.
    - Etiquetar archivos basados en el contenido: mantenga el valor predeterminado de Activado
    - Etiqueta predeterminada: mantenga el valor predeterminado de Policy default
    - Volver a etiquetar los archivos: mantenga el valor predeterminado desactivado.
    Configuración de los valores de archivo - Conservar "Fecha de modificación", "Última modificación" y "Modificado por": Mantener el valor predeterminado de Activado
    - Tipos de archivo que se van a examinar: mantenga los tipos de archivo predeterminados para Excluir.
    - Propietario predeterminado: mantenga el valor predeterminado de la cuenta del analizador.
    - Establecer propietario del repositorio: use esta opción solo cuando use una directiva DLP.
  4. Abra el trabajo de examen de contenido que se guardó y seleccione la pestaña Repositorios para especificar los almacenes de datos que se van a examinar.

    Especifique rutas de acceso UNC y direcciones URL de SharePoint Server para carpetas y bibliotecas de documentos locales de SharePoint.

    Nota:

    SharePoint Server 2019, SharePoint Server 2016 y SharePoint Server 2013 son compatibles con SharePoint. SharePoint Server 2010 también se admite con la compatibilidad ampliada para esta versión de SharePoint.

    Para agregar el primer almacén de datos, mientras que en la pestaña Repositorios :

    1. En el panel Repositorios, seleccione Agregar:

    2. En el panel Repositorio , especifique la ruta de acceso del repositorio de datos y, a continuación, seleccione Guardar.

      • Para un recurso compartido de red, use \\Server\Folder.
      • Para una biblioteca de SharePoint, use http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • Para una ruta de acceso local: C:\Folder
      • Para una ruta de acceso UNC: \\Server\Folder

    Nota:

    No se admiten los caracteres comodín ni las ubicaciones de WebDAV.

    Si agrega una ruta de acceso de SharePoint para documentos compartidos:

    • Especifique Documentos compartidos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de los documentos compartidos. Por ejemplo: http://sp2013/SharedDocuments
    • Especifique Documentos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de una subcarpeta de documentos compartidos. Por ejemplo: http://sp2013/Documents/SalesReports
    • O bien, especifique solo el FQDN de sharepoint, por ejemplo http://sp2013 , para detectar y examinar todos los sitios y subsitios de SharePoint en una dirección URL y subtítulos específicos en esta dirección URL. Conceda derechos de auditor del recopilador de sitios del analizador para habilitarlo.

    Para los valores restantes de este panel, no los cambie para esta configuración inicial, pero manténgalos como valor predeterminado del trabajo examen de contenido. La configuración predeterminada significa que el repositorio de datos hereda la configuración del trabajo de examen de contenido.

    Use la sintaxis siguiente al agregar rutas de acceso de SharePoint:

    Ruta de acceso Sintaxis
    Ruta de acceso raíz http://<SharePoint server name>

    Examina todos los sitios, incluidas las colecciones de sitios permitidas para el usuario del analizador.
    Requiere permisos adicionales para detectar automáticamente el contenido raíz
    Subsitio o colección específicos de SharePoint Uno de los siguientes:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Requiere permisos adicionales para detectar automáticamente el contenido de la colección de sitios
    Biblioteca específica de SharePoint Uno de los siguientes:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Carpeta específica de SharePoint http://<SharePoint server name>/.../<folder name>
  5. Repita los pasos anteriores para agregar tantos repositorios como sea necesario.

Para crear el trabajo de examen de contenido en el Azure Portal:

  1. En el menú Escáner de la izquierda, seleccione Trabajos de examen de contenido.

  2. En el panel Azure Information Protection - Trabajos de examen de contenido, seleccione Agregar icono para .

  3. Para esta configuración inicial, configure las opciones siguientes y, a continuación, seleccione Guardar , pero no cierre el panel.

    Configuración Descripción
    Configuración del trabajo de examen de contenido - Programación: mantenga el valor predeterminado de Manual.
    - Tipos de información que se van a detectar: cambiar solo a Directiva
    - Configurar repositorios: no configure en este momento porque primero se debe guardar el trabajo de examen de contenido.
    Directiva DLP Si usa una directiva de prevención de pérdida de datos, establezca Habilitar reglas DLP en Activado. Para obtener más información, consulte Uso de una directiva DLP.
    Directiva de confidencialidad - Aplicar: seleccionar Desactivado
    - Etiquetar archivos basados en el contenido: mantenga el valor predeterminado de Activado
    - Etiqueta predeterminada: mantenga el valor predeterminado de Policy default
    - Volver a etiquetar los archivos: mantenga el valor predeterminado desactivado.
    Configuración de los valores de archivo - Conservar "Fecha de modificación", "Última modificación" y "Modificado por": Mantener el valor predeterminado de Activado
    - Tipos de archivo que se van a examinar: mantenga los tipos de archivo predeterminados para Excluir.
    - Propietario predeterminado: mantenga el valor predeterminado de la cuenta del analizador.
    - Establecer propietario del repositorio: use esta opción solo cuando use una directiva DLP.
  4. Ahora que se crea y guarda el trabajo de examen de contenido, está listo para volver a la opción Configurar repositorios para especificar los almacenes de datos que se van a examinar.

    Especifique rutas de acceso UNC y direcciones URL de SharePoint Server para carpetas y bibliotecas de documentos locales de SharePoint.

    Nota:

    SharePoint Server 2019, SharePoint Server 2016 y SharePoint Server 2013 son compatibles con SharePoint.

    Para agregar el primer almacén de datos, mientras que en el panel Agregar un nuevo trabajo de examen de contenido , seleccione Configurar repositorios para abrir el panel Repositorios :

    Configure repositorios de datos para el analizador de Azure Information Protection.

    1. En el panel Repositorios, seleccione Agregar:

      Agregue el repositorio de datos para el analizador de Azure Information Protection.

    2. En el panel Repositorio , especifique la ruta de acceso del repositorio de datos y, a continuación, seleccione Guardar.

      • Para un recurso compartido de red, use \\Server\Folder.
      • Para una biblioteca de SharePoint, use http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • Para una ruta de acceso local: C:\Folder
      • Para una ruta de acceso UNC: \\Server\Folder

    Nota:

    No se admiten los caracteres comodín ni las ubicaciones de WebDAV.

    Si agrega una ruta de acceso de SharePoint para documentos compartidos:

    • Especifique Documentos compartidos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de los documentos compartidos. Por ejemplo: http://sp2013/SharedDocuments
    • Especifique Documentos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de una subcarpeta de documentos compartidos. Por ejemplo: http://sp2013/Documents/SalesReports
    • O bien, especifique solo el FQDN de sharepoint, por ejemplo http://sp2013 , para detectar y examinar todos los sitios y subsitios de SharePoint en una dirección URL y subtítulos específicos en esta dirección URL. Conceda derechos de auditor del recopilador de sitios del analizador para habilitarlo.

    Para los valores restantes de este panel, no los cambie para esta configuración inicial, pero manténgalos como valor predeterminado del trabajo examen de contenido. La configuración predeterminada significa que el repositorio de datos hereda la configuración del trabajo de examen de contenido.

    Use la sintaxis siguiente al agregar rutas de acceso de SharePoint:

    Ruta de acceso Sintaxis
    Ruta de acceso raíz http://<SharePoint server name>

    Examina todos los sitios, incluidas las colecciones de sitios permitidas para el usuario del analizador.
    Requiere permisos adicionales para detectar automáticamente el contenido raíz
    Subsitio o colección específicos de SharePoint Uno de los siguientes:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Requiere permisos adicionales para detectar automáticamente el contenido de la colección de sitios
    Biblioteca específica de SharePoint Uno de los siguientes:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Carpeta específica de SharePoint http://<SharePoint server name>/.../<folder name>
  5. Repita los pasos anteriores para agregar tantos repositorios como sea necesario.

    Cuando haya terminado, cierre los paneles de trabajos Repositorios y Análisis de contenido .

De nuevo en el panel de trabajo Azure Information Protection: examen de contenido, se muestra el nombre del examen de contenido, junto con la columna SCHEDULE que muestra Manual y la columna ENFORCE está en blanco.

Ya está listo para instalar el analizador con el trabajo del analizador de contenido que ha creado. Continúe con Instalación del analizador.

Instalación del escáner

Después de configurar el analizador de Azure Information Protection, realice los pasos siguientes para instalar el analizador. Este procedimiento se realiza completamente en PowerShell.

  1. Inicie sesión en el equipo de Windows Server en el que se ejecutará el analizador. Use una cuenta que tenga derechos de administrador local y que tenga permisos para escribir en la base de datos maestra de SQL Server.

    Importante

    Debe tener instalado el cliente de etiquetado unificado de AIP en el equipo antes de instalar el analizador.

    Para más información, consulte Requisitos previos para instalar e implementar el analizador de Azure Information Protection.

  2. Inicie una sesión de Windows PowerShell con la opción Ejecutar como administrador.

  3. Ejecute el cmdlet Install-AIPScanner, especificando la instancia de SQL Server en la que se va a crear una base de datos para el analizador de Azure Information Protection y el nombre del clúster del analizador que especificó en la sección anterior:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Ejemplos, con el nombre del clúster del analizador de Europa:

    • Para una instancia predeterminada: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Para una instancia con nombre: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • Para SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Cuando se le solicite, proporcione las credenciales de Active Directory para la cuenta de servicio del analizador.

    Use la sintaxis siguiente: \<domain\user name>. Por ejemplo: contoso\scanneraccount

  4. Compruebe que el servicio ya está instalado mediante Servicios de herramientas> administrativas.

    El servicio instalado se denomina Azure Information Protection Scanner y está configurado para ejecutarse mediante la cuenta de servicio del analizador que creó.

Ahora que ha instalado el analizador, debe obtener un token de Azure AD para que la cuenta de servicio del analizador se autentique, de modo que el analizador pueda ejecutarse desatendido.

Obtención de un token de Azure AD para el escáner

Un token de Azure AD permite que el analizador se autentique en el servicio azure Information Protection, lo que permite que el analizador se ejecute de forma no interactiva.

Para obtener más información, vea Cómo etiquetar archivos de manera no interactiva para Azure Information Protection.

Para obtener un token de Azure AD:

  1. Abra el Azure Portal para crear una aplicación de Azure AD para especificar un token de acceso para la autenticación.

  2. Desde el equipo con Windows Server, si a la cuenta de servicio del analizador se le ha concedido el derecho Iniciar sesión localmente para la instalación, inicie sesión con esta cuenta e inicie una sesión de PowerShell.

    Ejecute AIPAuthentication conjunto, especificando los valores que ha copiado en el paso anterior:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Por ejemplo:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Sugerencia

    Si la cuenta de servicio del analizador no se puede conceder el derecho Iniciar sesión localmente para la instalación, use el parámetro OnBehalfOf con Set-AIPAuthentication, como se describe en Etiquetado de archivos de forma no interactiva para Azure Information Protection.

Ahora el escáner tiene un token para autenticarse en Azure AD. Este token es válido durante un año, dos años o nunca, según la configuración del secreto de cliente de la aplicación web /API en Azure AD. Cuando expire el token, debe repetir este procedimiento.

Siga usando uno de los pasos siguientes, en función de si usa el Azure Portal para configurar el analizador o solo PowerShell:

Ahora está listo para ejecutar el primer examen en modo de detección. Para obtener más información, consulte Ejecución de un ciclo de detección y visualización de informes para el analizador.

Una vez que haya ejecutado el examen de detección inicial, continúe con Configuración del analizador para aplicar la clasificación y la protección.

Configuración del escáner para aplicar la clasificación y protección

Las opciones predeterminadas configuran el analizador para que se ejecute una vez y en modo de solo informes. Para cambiar esta configuración, edite el trabajo de examen de contenido.

Sugerencia

Si solo está trabajando en PowerShell, consulte Configuración del analizador para aplicar la clasificación y la protección: solo PowerShell.

Para configurar el analizador para aplicar la clasificación y la protección en el portal de cumplimiento Microsoft Purview:

  1. En el portal de cumplimiento Microsoft Purview, en la pestaña Trabajos de examen de contenido, seleccione un trabajo de examen de contenido específico para editarlo.

  2. Seleccione el trabajo de examen de contenido, cambie lo siguiente y, a continuación, seleccione Guardar:

    • En la sección Trabajo de examen de contenido: Cambie la programación a Always.
    • En la sección Aplicar directiva de etiquetado de confidencialidad: cambie el botón de radio a Activado.
  3. Asegúrese de que un nodo para el trabajo de examen de contenido está en línea y vuelva a iniciar el trabajo de examen de contenido seleccionando Examinar ahora. El botón Examinar ahora solo aparece cuando un nodo del trabajo de examen de contenido seleccionado está en línea.

El analizador ahora está programado para ejecutarse continuamente. Cuando el analizador funciona a través de todos los archivos configurados, inicia automáticamente un nuevo ciclo para que se detecten los archivos nuevos y modificados.

Para configurar el analizador para aplicar la clasificación y la protección en el Azure Portal:

  1. En el Azure Portal, en el panel Trabajos de examen de contenido de Azure Information Protection, seleccione el clúster y el trabajo de examen de contenido para editarlo.

  2. En el panel Trabajo de examen de contenido, cambie lo siguiente y, a continuación, seleccione Guardar:

    • En la sección Trabajo de examen de contenido: Cambie la programación a Always.
    • En la sección Directiva de confidencialidad: Cambie Aplicar a Activado.

    Sugerencia

    Es posible que desee cambiar otras opciones de configuración en este panel, como si se cambian los atributos de archivo y si el analizador puede volver a etiquetar los archivos. Use la ayuda informativa emergente para obtener más información sobre cada opción de configuración.

  3. Anote la hora actual y vuelva a iniciar el analizador desde el panel Azure Information Protection - Trabajos de examen de contenido:

    Inicie el examen del analizador de Azure Information Protection.

El analizador ahora está programado para ejecutarse continuamente. Cuando el analizador funciona a través de todos los archivos configurados, inicia automáticamente un nuevo ciclo para que se detecten los archivos nuevos y modificados.

Uso de una directiva DLP

El uso de una directiva de prevención de pérdida de datos permite al analizador detectar posibles fugas de datos mediante la coincidencia de reglas DLP con los archivos almacenados en recursos compartidos de archivos y SharePoint Server.

  • Habilite las reglas DLP en el trabajo de examen de contenido para reducir la exposición de los archivos que coincidan con las directivas DLP. Cuando las reglas DLP están habilitadas, el analizador solo puede reducir el acceso a los archivos a los propietarios de datos o reducir la exposición a grupos de toda la red, como Todos, Usuarios autenticados o Usuarios de dominio.

  • En el portal de cumplimiento Microsoft Purview, determine si solo está probando la directiva DLP o si desea que se apliquen las reglas y los permisos de archivo cambien según esas reglas. Para obtener más información, consulte Activar una directiva DLP.

Las directivas DLP se configuran en el portal de cumplimiento Microsoft Purview. Para obtener más información sobre las licencias DLP, consulte Introducción a la prevención de pérdida de datos en el analizador local.

Sugerencia

Al examinar los archivos, incluso cuando simplemente se prueba la directiva DLP, también se crean informes de permisos de archivo. Consulte estos informes para investigar exposiciones de archivos específicas o explorar la exposición de un usuario específico a los archivos escaneados.

Para usar solo PowerShell, consulte Uso de una directiva DLP con el analizador: solo PowerShell.

Para usar una directiva DLP con el analizador en el portal de cumplimiento Microsoft Purview:

  1. En el portal de cumplimiento Microsoft Purview, vaya a la pestaña Trabajos de examen de contenido y seleccione un trabajo de examen de contenido específico. Para obtener más información, consulte Creación de un trabajo de examen de contenido.

  2. En Habilitar reglas de directiva DLP, establezca el botón de radio en Activado.

    Importante

    No establezca Habilitar reglas DLP en Activado a menos que realmente tenga configurada una directiva DLP en Microsoft 365.

    Al activar esta característica sin una directiva DLP, el analizador generará errores.

  3. (Opcional) Establezca el propietario del repositorio en Activado y defina un usuario específico como propietario del repositorio.

    Esta opción permite al analizador reducir la exposición de los archivos que se encuentran en este repositorio, que coinciden con la directiva DLP, con el propietario del repositorio definido.

Para usar una directiva DLP con el analizador en el Azure Portal:

  1. En el Azure Portal, vaya al trabajo de examen de contenido. Para obtener más información, consulte Creación de un trabajo de examen de contenido.

  2. En Directiva DLP, establezca Habilitar reglas DLP en Activado.

    Importante

    No establezca Habilitar reglas DLP en Activado a menos que realmente tenga configurada una directiva DLP en Microsoft 365.

    Al activar esta característica sin una directiva DLP, el analizador generará errores.

  3. (Opcional) En Configurar opciones de archivo, establezca el valor de Establecer el propietario del repositorio en Activado y defina un usuario específico como propietario del repositorio.

    Esta opción permite al analizador reducir la exposición de los archivos que se encuentran en este repositorio, que coinciden con la directiva DLP, con el propietario del repositorio definido.

Directivas DLP y realización de acciones privadas

Si usa una directiva DLP con una acción privada make y también planea usar el analizador para etiquetar automáticamente los archivos, se recomienda definir también la configuración avanzada useCopyAndPreserveNTFSOwner del cliente de etiquetado unificado.

Esta configuración garantiza que los propietarios originales conserven el acceso a sus archivos.

Para obtener más información, vea Crear un trabajo de examen de contenido y Aplicar una etiqueta de confidencialidad al contenido automáticamente en la documentación de Microsoft 365.

Cambio de los tipos de archivo que se van a proteger

De forma predeterminada, el analizador de AIP protege solo los tipos de archivos de Office y los archivos PDF.

Use comandos de PowerShell para cambiar este comportamiento según sea necesario, como para configurar el analizador para proteger todos los tipos de archivo, igual que el cliente, o para proteger tipos de archivo adicionales y específicos.

Para una directiva de etiqueta que se aplica a la cuenta de usuario que descarga etiquetas para el analizador, especifique una configuración avanzada de PowerShell denominada PFileSupportedExtensions.

Para un analizador que tiene acceso a Internet, esta cuenta de usuario es la cuenta que se especifica para el parámetro DelegatedUser con el comando Set-AIPAuthentication.

Ejemplo 1: comando de PowerShell para que el analizador proteja todos los tipos de archivo, donde la directiva de etiqueta se denomina "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Ejemplo 2: comando de PowerShell para que el analizador proteja .xml archivos y archivos .tiff, además de archivos de Office y archivos PDF, donde la directiva de etiqueta se denomina "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Para obtener más información, consulte Cambio de los tipos de archivo que se van a proteger.

Actualización del analizador

Si ha instalado previamente el analizador y quiere actualizarlo, siga las instrucciones que se describen en Actualización del analizador de Azure Information Protection.

Después, configure y use el analizador como de costumbre, omitiendo los pasos para instalar el analizador.

Editar la configuración del repositorio de datos de forma masiva

Use los botones Exportar e Importar para realizar cambios en el analizador en varios repositorios.

De este modo, no es necesario realizar los mismos cambios varias veces, manualmente, en el Azure Portal o portal de cumplimiento Microsoft Purview.

Por ejemplo, si tiene un nuevo tipo de archivo en varios repositorios de datos de SharePoint, puede que desee actualizar la configuración de esos repositorios de forma masiva.

Para realizar cambios de forma masiva en los repositorios de la portal de cumplimiento Microsoft Purview:

  1. En el portal de cumplimiento Microsoft Purview, seleccione un trabajo de examen de contenido específico y vaya a la pestaña Repositorios del panel. Seleccione la opción Exportar .

  2. Edite manualmente el archivo exportado para realizar el cambio.

  3. Use la opción Importar en la misma página para importar las actualizaciones de nuevo en los repositorios.

Para realizar cambios de forma masiva en los repositorios de la Azure Portal:

  1. En el Azure Portal del panel Repositorios, seleccione la opción Exportar. Por ejemplo:

    Exportación de la configuración del repositorio de datos para el analizador de Azure Information Protection.

  2. Edite manualmente el archivo exportado para realizar el cambio.

  3. Use la opción Importar en la misma página para importar las actualizaciones de nuevo en los repositorios.

Uso del analizador con configuraciones alternativas

El analizador de Azure Information Protection suele buscar condiciones especificadas para las etiquetas con el fin de clasificar y proteger el contenido según sea necesario.

En los escenarios siguientes, el analizador de Azure Information Protection también puede examinar el contenido y administrar etiquetas, sin que se configuren condiciones:

Aplicar una etiqueta predeterminada a todos los archivos de un repositorio de datos

En esta configuración, todos los archivos sin etiquetar del repositorio se etiquetan con la etiqueta predeterminada especificada para el repositorio o el trabajo de examen de contenido. Los archivos se etiquetan sin inspección.

Configure las siguientes opciones:

Configuración Descripción
Etiquetado de archivos basados en contenido Establézcalo en Desactivado
Etiqueta predeterminada Establezca en Personalizado y, a continuación, seleccione la etiqueta que se va a usar.
Aplicar etiqueta predeterminada Seleccione esta opción para que la etiqueta predeterminada se aplique a todos los archivos, incluso si ya están etiquetadas activando los archivos Relabel y Aplicar etiqueta predeterminada en

Eliminación de etiquetas existentes de todos los archivos de un repositorio de datos

En esta configuración, se quitan todas las etiquetas existentes, incluida la protección, si se aplicó la protección con la etiqueta . La protección aplicada independientemente de una etiqueta se conserva.

Configure las siguientes opciones:

Configuración Descripción
Etiquetado de archivos basados en contenido Establézcalo en Desactivado
Etiqueta predeterminada Establézcalo en Ninguno
Volver a etiquetar los archivos Establezca en Activado, con la etiqueta Aplicar predeterminada establecida en Activado.

Identificar todas las condiciones personalizadas y los tipos de información confidencial conocidos

Esta configuración le permite encontrar información confidencial que podría no darse cuenta de que tenía, a costa de las tasas de examen del escáner.

Establezca los tipos de información que se detectarán en Todos.

Para identificar las condiciones y los tipos de información para el etiquetado, el analizador usa los tipos de información confidencial personalizados especificados y la lista de tipos de información confidencial integrados que están disponibles para seleccionar, tal como se define en el centro de administración de etiquetado.

Optimización del rendimiento del analizador

Nota:

Si desea mejorar la capacidad de respuesta del equipo del analizador en lugar del rendimiento del analizador, use una configuración de cliente avanzada para limitar el número de subprocesos usados por el analizador.

Use las siguientes opciones e instrucciones para ayudarle a optimizar el rendimiento del analizador:

Opción Descripción
Use una conexión de red de alta velocidad y estable entre el equipo que actúa como analizador y el almacén para los datos examinados. Por ejemplo, coloque el equipo del analizador en la misma LAN, o preferiblemente, en el mismo segmento de red que el almacén de datos examinado.

La calidad de la conexión de red afecta al rendimiento del analizador porque, para inspeccionar los archivos, el analizador transfiere el contenido de los archivos al equipo que ejecuta el servicio del analizador.

Reducir o eliminar los saltos de red necesarios para que los datos viajen también reducen la carga en la red.
Asegúrese de que el equipo que actúa como analizador tenga recursos del procesador disponibles. La inspección del contenido del archivo y el cifrado y el descifrado de los archivos son acciones que consumen muchos procesadores.

Supervise los ciclos de examen típicos de los almacenes de datos especificados para identificar si la falta de recursos del procesador afecta negativamente al rendimiento del analizador.
Instalación de varias instancias del analizador El analizador de Azure Information Protection admite varias bases de datos de configuración en la misma instancia de SQL Server al especificar un nombre de clúster personalizado para el analizador.

Sugerencia: Varios escáneres también pueden compartir el mismo clúster, lo que da lugar a tiempos de examen más rápidos. Si tiene previsto instalar el analizador en varias máquinas con la misma instancia de base de datos y desea que los analizadores se ejecuten en paralelo, debe instalar todos los analizadores con el mismo nombre de clúster.
Comprobación del uso de la configuración alternativa El analizador se ejecuta más rápidamente cuando se usa la configuración alternativa para aplicar una etiqueta predeterminada a todos los archivos porque el analizador no inspecciona el contenido del archivo.

El analizador se ejecuta más lentamente cuando se usa la configuración alternativa para identificar todas las condiciones personalizadas y los tipos conocidos de información confidencial.

Factores adicionales que afectan al rendimiento

Entre los factores adicionales que afectan al rendimiento del analizador se incluyen los siguientes:

Factor Descripción
Tiempos de carga y respuesta Los tiempos de carga y respuesta actuales de los almacenes de datos que contienen los archivos que se van a examinar también afectarán al rendimiento del analizador.
Modo escáner (detección/aplicación) Normalmente, el modo de detección tiene una velocidad de examen más alta que el modo de aplicación.

La detección requiere una única acción de lectura de archivos, mientras que el modo de aplicación requiere acciones de lectura y escritura.
Cambios de directiva El rendimiento del analizador puede verse afectado si ha realizado cambios en la etiqueta automática en la directiva de etiquetas.

El primer ciclo de examen, cuando el analizador debe inspeccionar cada archivo, tardará más tiempo que los ciclos de examen posteriores que, de forma predeterminada, inspeccionarán solo los archivos nuevos y modificados.

Si cambia las condiciones o la configuración de etiquetado automático, se vuelven a examinar todos los archivos. Para obtener más información, vea Volver a examinar archivos.
Construcciones regex El rendimiento del analizador se ve afectado por la forma en que se construyen las expresiones regex para las condiciones personalizadas.

A fin de evitar un gran consumo de memoria y el riesgo de tiempos de espera (15 minutos por archivo), revise las expresiones regex para garantizar una coincidencia de patrones eficaz.

Por ejemplo:
- Evitar cuantificadores expansores
- Usar grupos que no son de captura, como (?:expression) en lugar de (expression)
Nivel de registro Las opciones de nivel de registro incluyen Depuración, Información, Error y Desactivado para los informes del analizador.

- Desactivado da como resultado el mejor rendimiento
- La depuración ralentiza considerablemente el escáner y solo se debe usar para solucionar problemas.

Para obtener más información, consulte el parámetro ReportLevel del cmdlet Set-AIPScannerConfiguration.
Archivos que se examinan - A excepción de los archivos de Excel, los archivos de Office se examinan más rápidamente que los archivos PDF.

- Los archivos sin protección son más rápidos que los archivos protegidos.

- Los archivos grandes obviamente tardan más tiempo en examinarse que los archivos pequeños.

Uso de PowerShell para configurar el analizador

En esta sección se describen los pasos necesarios para configurar e instalar el analizador local de AIP cuando no tiene acceso a las páginas del analizador en el Azure Portal y solo debe usar PowerShell.

Importante

  • Algunos pasos requieren PowerShell si puede acceder o no a las páginas del analizador en el Azure Portal y son idénticas. Para estos pasos, consulte las instrucciones anteriores de este artículo, como se indica.

  • Si está trabajando con el analizador para Azure China 21Vianet, se requieren pasos adicionales además de las instrucciones que se detallan aquí. Para más información, consulte Compatibilidad de Azure Information Protection con Office 365 operado por 21Vianet.

Para más información, consulte Cmdlets de PowerShell admitidos.

Para configurar e instalar el analizador:

  1. Comience con PowerShell cerrado. Si ha instalado previamente el cliente y el analizador de AIP, asegúrese de que el servicio AIPScanner está detenido.

  2. Inicie una sesión de Windows PowerShell con la opción Ejecutar como administrador.

  3. Ejecute el comando Install-AIPScanner para instalar el analizador en la instancia de SQL Server, con el parámetro Cluster para definir el nombre del clúster.

    Este paso es idéntico tanto si puede acceder a las páginas del analizador en el Azure Portal. Para obtener más información, consulte las instrucciones anteriores de este artículo: Instalación del analizador

  4. Obtenga un token de Azure para usarlo con el analizador y, a continuación, vuelva a autenticarse.

    Este paso es idéntico tanto si puede acceder a las páginas del analizador en el Azure Portal. Para más información, consulte las instrucciones anteriores de este artículo: Obtención de un token de Azure AD para el analizador.

  5. Ejecute el cmdlet Set-AIPScannerConfiguration para establecer el analizador en modo sin conexión. Ejecute:

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  6. Ejecute el cmdlet Set-AIPScannerContentScanJob para crear un trabajo de examen de contenido predeterminado.

    El único parámetro necesario en el cmdlet Set-AIPScannerContentScanJob es Enforce. Sin embargo, es posible que quiera definir otras opciones de configuración para el trabajo de examen de contenido en este momento. Por ejemplo:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    La sintaxis anterior configura las siguientes opciones mientras continúa la configuración:

    • Mantiene la programación de ejecución del analizador en manual
    • Establece los tipos de información que se detectarán en función de la directiva de etiquetado de confidencialidad.
    • No aplica una directiva de etiquetado de confidencialidad
    • Etiqueta automáticamente los archivos en función del contenido, con la etiqueta predeterminada definida para la directiva de etiquetado de confidencialidad.
    • No permite volver a etiquetar archivos
    • Conserva los detalles del archivo al examinar y etiquetar automáticamente, incluida la fecha modificada, la última modificación y la modificación por valores.
    • Establece el analizador para excluir archivos .msg y .tmp al ejecutarse.
    • Establece el propietario predeterminado en la cuenta que desea usar al ejecutar el analizador.
  7. Use el cmdlet Add-AIPScannerRepository para definir los repositorios que desea examinar en el trabajo de examen de contenido. Por ejemplo, ejecute:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Use una de las siguientes sintaxis, en función del tipo de repositorio que agregue:

    • Para un recurso compartido de red, use \\Server\Folder.
    • Para una biblioteca de SharePoint, use http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Para una ruta de acceso local: C:\Folder
    • Para una ruta de acceso UNC: \\Server\Folder

    Nota:

    No se admiten los caracteres comodín ni las ubicaciones de WebDAV.

    Para modificar el repositorio más adelante, use el cmdlet Set-AIPScannerRepository en su lugar.

    Si agrega una ruta de acceso de SharePoint para documentos compartidos:

    • Especifique Documentos compartidos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de los documentos compartidos. Por ejemplo: http://sp2013/SharedDocuments
    • Especifique Documentos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de una subcarpeta de documentos compartidos. Por ejemplo: http://sp2013/Documents/SalesReports
    • O bien, especifique solo el FQDN de sharepoint, por ejemplo http://sp2013 , para detectar y examinar todos los sitios y subsitios de SharePoint en una dirección URL y subtítulos específicos en esta dirección URL. Conceda derechos de auditor del recopilador de sitios del analizador para habilitarlo.

    Use la sintaxis siguiente al agregar rutas de acceso de SharePoint:

    Ruta de acceso Sintaxis
    Ruta de acceso raíz http://<SharePoint server name>

    Examina todos los sitios, incluidas las colecciones de sitios permitidas para el usuario del analizador.
    Requiere permisos adicionales para detectar automáticamente el contenido raíz
    Subsitio o colección específicos de SharePoint Uno de los siguientes:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Requiere permisos adicionales para detectar automáticamente el contenido de la colección de sitios
    Biblioteca específica de SharePoint Uno de los siguientes:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Carpeta específica de SharePoint http://<SharePoint server name>/.../<folder name>

Continúe con los pasos siguientes según sea necesario:

Uso de PowerShell para configurar el analizador para aplicar la clasificación y la protección

  1. Ejecute el cmdlet Set-AIPScannerContentScanJob para actualizar el trabajo de examen de contenido para establecer la programación en siempre y aplicar la directiva de confidencialidad.

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On
    

    Sugerencia

    Es posible que desee cambiar otras opciones de configuración en este panel, como si se cambian los atributos de archivo y si el analizador puede volver a etiquetar los archivos. Para más información sobre la configuración disponible, consulte la documentación completa de PowerShell.

  2. Ejecute el cmdlet Start-AIPScan para ejecutar el trabajo de examen de contenido:

    Start-AIPScan
    

El analizador ahora está programado para ejecutarse continuamente. Cuando el analizador funciona a través de todos los archivos configurados, inicia automáticamente un nuevo ciclo para que se detecten los archivos nuevos y modificados.

Uso de PowerShell para configurar una directiva DLP con el analizador

  1. Vuelva a ejecutar el cmdlet Set-AIPScannerContentScanJob con el parámetro -EnableDLP establecido en Activado y con un propietario de repositorio específico definido.

    Por ejemplo:

    Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
    

Cmdlets de PowerShell admitidos

En esta sección se enumeran los cmdlets de PowerShell admitidos para el analizador de Azure Information Protection e instrucciones para configurar e instalar el analizador solo con PowerShell.

Los cmdlets admitidos para el analizador incluyen:

Pasos siguientes

Una vez que haya instalado y configurado el analizador, empiece a examinar los archivos.

Consulte también: Implementación del analizador de Azure Information Protection para clasificar y proteger automáticamente los archivos.

Más información: