Introducción al analizador de protección de la información

  • Artículo

Nota:

Ahora, en versión preliminar, hay una nueva versión del escáner de protección de la información. Para obtener más información, consulte Actualización del analizador de Microsoft Purview Information Protection desde el cliente de Azure Information Protection.

Antes de instalar el analizador desde Microsoft Purview Information Protection, asegúrese de que el sistema cumple los requisitos básicos de Azure Information Protection.

Además, los siguientes requisitos son específicos para el analizador:

Si no puede cumplir todos los requisitos enumerados para el analizador porque están prohibidos por las directivas de su organización, consulte la sección configuraciones alternativas .

Al implementar el analizador en producción o probar el rendimiento de varios escáneres, consulte Requisitos de almacenamiento y planeamiento de capacidad para SQL Server.

Cuando esté listo para empezar a instalar e implementar el escáner, continúe con Configuración e instalación del analizador de protección de la información.

Requisitos de Windows Server

Debe tener un equipo con Windows Server para ejecutar el analizador, que tiene las siguientes especificaciones del sistema:

Especificación Detalles
Procesador Procesadores de 4 núcleos
RAM 8 GB
Espacio en disco 10 GB de espacio libre (promedio) para los archivos temporales.

El analizador requiere suficiente espacio en disco para crear archivos temporales para cada archivo que examina, cuatro archivos por núcleo.

El espacio en disco recomendado de 10 GB permite 4 procesadores de núcleos que examinan 16 archivos que tienen un tamaño de archivo de 625 MB.
Sistema operativo Versiones de 64 bits de:

- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2

Nota: Para fines de prueba o evaluación en un entorno que no sea de producción, también puede usar cualquier sistema operativo Windows compatible con el cliente de Azure Information Protection.

No se admiten Server Core ni Nano Server.
- Conectividad de red El equipo del escáner puede ser un equipo físico o virtual con una conexión de red rápida y confiable a los almacenes de datos que se van a examinar.

Si no es posible la conectividad a Internet debido a las directivas de la organización, consulte Implementación del analizador con configuraciones alternativas.

De lo contrario, asegúrese de que este equipo tenga conectividad a Internet que permita las siguientes direcciones URL a través de HTTPS (puerto 443):

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com
- *.protection.outlook.com
Recursos compartidos de NFS Para admitir exámenes en recursos compartidos de NFS, los servicios de NFS deben implementarse en la máquina del escáner.

En el equipo, vaya al cuadro de diálogo de configuración Características de Windows (activar o desactivar características de Windows) y seleccione los siguientes elementos: Servicios para NFS>Herramientas administrativas y Cliente para NFS.
iFilter de Microsoft Office Cuando el escáner está instalado en un equipo con Windows Server, también debe instalar el iFilter de Microsoft Office para examinar .zip archivos en busca de tipos de información confidencial.

Para obtener más información, consulte el sitio de descarga de Microsoft.

Requisitos de la cuenta de servicio

Debe tener una cuenta de servicio para ejecutar el servicio de escáner en el equipo con Windows Server, así como autenticarse para Microsoft Entra ID y descargar la directiva del analizador.

La cuenta de servicio debe ser una cuenta de Active Directory y estar sincronizada con Microsoft Entra ID.

Si no puede sincronizar esta cuenta debido a las directivas de la organización, consulte Implementación del analizador con configuraciones alternativas.

Esta cuenta de servicio tiene los siguientes requisitos:

Requisito Detalles
Iniciar sesión en la asignación de derechos de usuario local Es necesario para instalar y configurar el analizador, pero no es necesario para ejecutar exámenes.

Una vez que haya confirmado que el analizador puede detectar, clasificar y proteger archivos, puede quitar este derecho de la cuenta de servicio.

Si no es posible conceder este derecho incluso durante un breve período de tiempo debido a las directivas de su organización, consulte Implementación del analizador con configuraciones alternativas.
Inicie sesión como una asignación de derechos de usuario de servicio. Este derecho se concede automáticamente a la cuenta de servicio durante la instalación del escáner y este derecho es necesario para la instalación, configuración y funcionamiento del escáner.
Permisos para los repositorios de datos - Recursos compartidos de archivos o archivos locales: conceda permisos de lectura, escritura y modificación para examinar los archivos y, a continuación, aplique la clasificación y la protección según lo configurado.

- SharePoint: debe conceder permisos de control total para examinar los archivos y, a continuación, aplicar la clasificación y la protección a los archivos que cumplen las condiciones de la directiva de Azure Information Protection.

- Modo de detección: para ejecutar el analizador solo en modo de detección, el permiso de lectura es suficiente.
Para etiquetas que reprotegen o quitan la protección Para asegurarse de que el analizador siempre tiene acceso a archivos cifrados, convierta esta cuenta en superusuario para Azure Information Protection y asegúrese de que la característica superusuario está habilitada.

Además, si ha implementado controles de incorporación para una implementación por fases, asegúrese de que la cuenta de servicio está incluida en los controles de incorporación que ha configurado.
Examen de nivel de dirección URL específico Para examinar y detectar sitios y subsitios en una dirección URL específica, conceda derechos de auditor del recopilador de sitios a la cuenta del analizador en el nivel de granja de servidores.
Licencia para la protección de la información Se requiere para proporcionar funcionalidades de clasificación, etiquetado o protección de archivos a la cuenta de servicio del analizador.

Para obtener más información, consulte las instrucciones de Microsoft 365 para la seguridad & cumplimiento.

Requisitos de SQL Server

Para almacenar los datos de configuración del analizador, use un servidor SQL Server con los siguientes requisitos:

  • Una instancia local o remota.

    Se recomienda hospedar sql server y el servicio de escáner en máquinas diferentes, a menos que trabaje con una pequeña implementación. Además, se recomienda tener una instancia de SQL dedicada que solo sirva a la base de datos del analizador y que no se comparta con otras aplicaciones.

    Si está trabajando en un servidor compartido, asegúrese de que el número recomendado de núcleos es gratuito para que la base de datos del analizador funcione.

    SQL Server 2016 es la versión mínima para las siguientes ediciones:

    • SQL Server Enterprise

    • SQL Server Standard

    • SQL Server Express (solo se recomienda para entornos de prueba)

  • Una cuenta con el rol Sysadmin para instalar el analizador.

    El rol Sysadmin permite que el proceso de instalación cree automáticamente la base de datos de configuración del analizador y conceda el rol de db_owner necesario a la cuenta de servicio que ejecuta el analizador.

    Si no se le puede conceder el rol Sysadmin o las directivas de su organización requieren que las bases de datos se creen y configuren manualmente, consulte Implementación del analizador con configuraciones alternativas.

  • Capacidad. Para obtener instrucciones sobre la capacidad, consulte Requisitos de almacenamiento y planeamiento de capacidad para SQL Server.

  • Intercalación sin distinción entre mayúsculas y minúsculas.

Nota:

Se admiten varias bases de datos de configuración en el mismo servidor SQL Server cuando se especifica un nombre de clúster personalizado para el analizador o cuando se usa la versión preliminar del analizador.

Requisitos de almacenamiento y planeamiento de capacidad para SQL Server

La cantidad de espacio en disco necesaria para la base de datos de configuración del analizador y la especificación del equipo que ejecuta SQL Server puede variar para cada entorno, por lo que le recomendamos que realice sus propias pruebas. Use la siguiente guía como punto de partida.

Para obtener más información, consulte Optimización del rendimiento del escáner.

El tamaño del disco de la base de datos de configuración del analizador variará para cada implementación. Use la siguiente ecuación como guía:

100 KB + <file count> *(1000 + 4* <average file name length>)

Por ejemplo, para examinar 1 millón de archivos que tienen una longitud media de nombre de archivo de 250 bytes, asigne 2 GB de espacio en disco.

Para varios escáneres:

  • Hasta 10 escáneres, use:

    • Procesadores de 4 núcleos
    • 8 GB de RAM recomendada

  • Más de 10 escáneres (máximo 40), utilice:

    • 8 procesos principales
    • 16 GB de RAM recomendada

Requisitos de cliente de Azure Information Protection

Para una red de producción, debe tener instalada la versión de disponibilidad general actual del cliente de Azure Information Protection en el equipo con Windows Server.

Para obtener más información, consulte la guía del administrador de cliente de etiquetado unificado de Azure Information Protection.

Importante

Debe instalar el cliente completo para el analizador. No instale el cliente solo con el módulo de PowerShell.

Requisitos de configuración de etiquetas

Debe tener al menos una etiqueta de confidencialidad configurada en el portal de Microsoft Purview o portal de cumplimiento Microsoft Purview para la cuenta del analizador, para aplicar la clasificación y, opcionalmente, el cifrado.

La cuenta del analizador es la cuenta que especificará en el parámetro DelegatedUser del cmdlet Set-AIPAuthentication , que se ejecuta al configurar el analizador.

Si las etiquetas no tienen condiciones de etiquetado automático, consulte las instrucciones para las configuraciones alternativas que se indican a continuación.

Para más información, vea:

Requisitos de SharePoint

Para examinar las bibliotecas y carpetas de documentos de SharePoint, asegúrese de que el servidor de SharePoint cumple los siguientes requisitos:

Requisito Descripción
Versiones compatibles Entre las versiones admitidas se incluyen: SharePoint 2019, SharePoint 2016 y SharePoint 2013.
No se admiten otras versiones de SharePoint para el analizador.
Control de versiones Al usar el control de versiones, el analizador inspecciona y etiqueta la última versión publicada.

Si el analizador etiqueta un archivo y se requiere la aprobación de contenido , ese archivo etiquetado debe aprobarse para que esté disponible para los usuarios.
Granjas de servidores de SharePoint grandes En el caso de las granjas de servidores de SharePoint grandes, compruebe si necesita aumentar el umbral de vista de lista (de forma predeterminada, 5 000) para que el analizador acceda a todos los archivos.

Para obtener más información, vea Administrar listas y bibliotecas grandes en SharePoint.
Rutas de acceso de archivo largas Si tiene rutas de acceso de archivo largas en SharePoint, asegúrese de que el valor httpRuntime.maxUrlLength del servidor de SharePoint sea mayor que los 260 caracteres predeterminados.

Para obtener más información, vea la sección siguiente, Evitar tiempos de espera del analizador en SharePoint.

Evitar tiempos de espera del analizador en SharePoint

Si tiene rutas de acceso de archivo largas en SharePoint versión 2013 o posterior, asegúrese de que el valor httpRuntime.maxUrlLength del servidor de SharePoint sea mayor que los 260 caracteres predeterminados.

Este valor se define en la clase HttpRuntimeSection de la ASP.NET configuración.

Para actualizar la clase HttpRuntimeSection:

  1. Realice una copia de seguridad de la configuración deweb.config .

  2. Actualice el valor maxUrlLength según sea necesario. Por ejemplo:

    <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />

  3. Reinicie el servidor web de SharePoint y compruebe que se carga correctamente.

    Por ejemplo, en el Administrador de Windows Internet Information Server (IIS), seleccione el sitio y, a continuación, en Administrar sitio web, seleccione Reiniciar.

Requisitos de Microsoft Office

Para examinar documentos de Office, los documentos deben tener uno de los siguientes formatos:

  • Microsoft Office 97-2003
  • Formatos Open XML de Office para Word, Excel y PowerPoint

Para obtener más información, consulte Tipos de archivo admitidos por el cliente de etiquetado unificado de Azure Information Protection.

Requisitos de ruta de acceso de archivo

De forma predeterminada, para examinar archivos, las rutas de acceso de archivo deben tener un máximo de 260 caracteres.

Para examinar archivos con rutas de acceso de archivo de más de 260 caracteres, instale el escáner en un equipo con una de las siguientes versiones de Windows y configure el equipo según sea necesario:

Versión de Windows Descripción
Windows 2016 o posterior Configuración del equipo para admitir rutas de acceso largas
Windows 10 o Windows Server 2016 Defina la siguiente configuración de directiva de grupo:Configuración> del equipo de directiva de equipo> localPlantillas> administrativasToda la configuración>Habilita las rutas de acceso largas de Win32.

Para obtener más información sobre la compatibilidad con rutas de acceso de archivos largas en estas versiones, consulte la sección Limitación de longitud máxima de ruta de acceso de la documentación de Windows 10 desarrollador.
Windows 10, versión 1607 o posterior Opte por la funcionalidad de MAX_PATH actualizada. Para obtener más información, vea Habilitar rutas de acceso largas en Windows 10 versiones 1607 y posteriores.

Implementación del analizador con configuraciones alternativas

Los requisitos previos enumerados anteriormente son los requisitos predeterminados para la implementación del analizador y se recomiendan porque admiten la configuración del analizador más sencilla.

Los requisitos predeterminados deben ser adecuados para las pruebas iniciales, de modo que pueda comprobar las funcionalidades del escáner.

Sin embargo, en un entorno de producción, las directivas de la organización pueden ser diferentes de los requisitos predeterminados. El analizador puede dar cabida a los siguientes cambios con una configuración adicional:

Detectar y examinar todos los sitios y subsitios de SharePoint en una dirección URL específica

El analizador puede detectar y examinar todos los sitios y subsitios de SharePoint en una dirección URL específica con la siguiente configuración:

  1. Inicie administración central de SharePoint.

  2. En el sitio web de Administración central de SharePoint , en la sección Administración de aplicaciones, haga clic en Administrar aplicaciones web.

  3. Haga clic para resaltar la aplicación web cuyo nivel de directiva de permisos desea administrar.

  4. Elija la granja correspondiente y, a continuación, seleccione Administrar niveles de directiva de permisos.

  5. Seleccione Auditor de colección de sitios en las opciones Permisos de colección de sitios, conceda a Ver páginas de aplicación en la lista Permisos y, por último, asigne al nuevo nivel de directiva el nombre Auditor y visor de la colección de sitios del analizador.

  6. Agregue el usuario del analizador a la nueva directiva y conceda a La colección de sitios en la lista Permisos.

  7. Agregue una dirección URL de SharePoint que hospede sitios o subsitios que necesiten examinarse. Para obtener más información, consulte Configuración de los valores del analizador.

Para obtener más información sobre cómo administrar los niveles de directiva de SharePoint, vea Administrar directivas de permisos para una aplicación web.

Restricción: el servidor de escáner no puede tener conectividad a Internet

Aunque el cliente de etiquetado unificado no puede aplicar el cifrado sin una conexión a Internet, el analizador todavía puede aplicar etiquetas basadas en directivas importadas.

Para admitir un equipo desconectado, use uno de los métodos siguientes:

Uso del portal de Microsoft Purview o portal de cumplimiento Microsoft Purview con un equipo desconectado

Para admitir un equipo que no pueda conectarse al portal de Microsoft Purview o portal de cumplimiento Microsoft Purview, realice los pasos siguientes:

  1. Configure las etiquetas en la directiva y, a continuación, use el procedimiento para admitir equipos desconectados para habilitar la clasificación y el etiquetado sin conexión.

  2. Habilite la administración sin conexión para los trabajos de contenido como se indica a continuación:

    Habilitar la administración sin conexión para trabajos de examen de contenido:

    1. Establezca el analizador para que funcione en modo sin conexión mediante el cmdlet Set-AIPScannerConfiguration .

    2. Configure el analizador en el portal de cumplimiento mediante la creación de un clúster de escáner. Para obtener más información, consulte Configuración de los valores del analizador.

    3. Exporte el trabajo de contenido desde el panel Protección de la información: trabajos de examen de contenido mediante la opción Exportar .

    4. Importe la directiva mediante el cmdlet Import-AIPScannerConfiguration .

    Los resultados de los trabajos de examen de contenido sin conexión se encuentran en: %localappdata%\Microsoft\MSIP\Scanner\Reports

Uso de PowerShell con un equipo desconectado

Realice el procedimiento siguiente para admitir un equipo desconectado solo con PowerShell.

Importante

Los administradores de los servidores de escáner de Azure China 21Vianetdeben usar este procedimiento para administrar sus trabajos de examen de contenido.

Administre los trabajos de examen de contenido solo con PowerShell:

  1. Establezca el analizador para que funcione en modo sin conexión mediante el cmdlet Set-AIPScannerConfiguration .

  2. Create un nuevo trabajo de examen de contenido mediante el cmdlet Set-AIPScannerContentScanJob, asegurándose de usar el parámetro obligatorio-Enforce On.

  3. Agregue los repositorios mediante el cmdlet Add-AIPScannerRepository , con la ruta de acceso al repositorio que desea agregar.

    Sugerencia

    Para evitar que el repositorio herede la configuración del trabajo de examen de contenido, agregue el OverrideContentScanJob On parámetro, así como los valores de configuración adicionales.

    Para editar los detalles de un repositorio existente, use el comando Set-AIPScannerRepository .

  4. Use los cmdlets Get-AIPScannerContentScanJob y Get-AIPScannerRepository para devolver información sobre la configuración actual del trabajo de examen de contenido.

  5. Use el comando Set-AIPScannerRepository para actualizar los detalles de un repositorio existente.

  6. Ejecute el trabajo de examen de contenido inmediatamente si es necesario mediante el cmdlet Start-AIPScan .

    Los resultados de los trabajos de examen de contenido sin conexión se encuentran en: %localappdata%\Microsoft\MSIP\Scanner\Reports

  7. Si necesita quitar un repositorio o un trabajo de examen de contenido completo, use los siguientes cmdlets:

Restricción: No se le puede conceder Sysadmin o las bases de datos deben crearse y configurarse manualmente.

Use los procedimientos siguientes para crear manualmente bases de datos y conceder el rol de db_owner , según sea necesario.

Si se le puede conceder el rol Sysadmin temporalmente para instalar el analizador, puede quitar este rol cuando se complete la instalación del analizador.

Realice una de las siguientes acciones, en función de los requisitos de su organización:

Restriction Descripción
Puede tener el rol Sysadmin temporalmente. Si tiene temporalmente el rol Sysadmin, la base de datos se crea automáticamente y a la cuenta de servicio del analizador se le conceden automáticamente los permisos necesarios.

Sin embargo, la cuenta de usuario que configura el analizador todavía requiere el rol de db_owner para la base de datos de configuración del analizador. Si solo tiene el rol Sysadmin hasta que se complete la instalación del analizador, conceda manualmente el rol db_owner a la cuenta de usuario.
No puede tener el rol Sysadmin en absoluto. Si no se le puede conceder el rol Sysadmin incluso temporalmente, debe pedir a un usuario con derechos sysadmin que cree manualmente una base de datos antes de instalar el analizador.

Para esta configuración, el rol de db_owner debe asignarse a las cuentas siguientes:
- Cuenta de servicio para el analizador
- Cuenta de usuario para la instalación del escáner
- Cuenta de usuario para la configuración del analizador

Normalmente, usará la misma cuenta de usuario para instalar y configurar el analizador. Si usa cuentas diferentes, ambas requieren el rol de db_owner para la base de datos de configuración del analizador. Create este usuario y los derechos según sea necesario. Si especifica su propio nombre de clúster, la base de datos de configuración se denomina AIPScannerUL_<cluster_name>.

Además:

  • Debe ser un administrador local en el servidor que ejecutará el analizador.

  • A la cuenta de servicio que ejecutará el analizador se le deben conceder permisos de control total a las siguientes claves del Registro:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Si, después de configurar estos permisos, ve un error al instalar el analizador, se puede omitir el error y puede iniciar manualmente el servicio de escáner.

Cree manualmente una base de datos y un usuario para el analizador y conceda derechos de db_owner

Si necesita crear manualmente la base de datos del analizador o crear un usuario y conceder derechos de db_owner en la base de datos, pida al administrador del sistema que realice los pasos siguientes:

  1. Create una base de datos para el analizador:

    **CREATE DATABASE AIPScannerUL_[clustername]**

**ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**

  2. Conceda derechos al usuario que ejecuta el comando de instalación y se usa para ejecutar comandos de administración del analizador. Use el siguiente script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

  3. Conceda derechos a la cuenta de servicio del analizador. Use el siguiente script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

Restricción: no se puede conceder a la cuenta de servicio del analizador el derecho Iniciar sesión localmente

Si las directivas de su organización prohíben el derecho Iniciar sesión localmente para las cuentas de servicio, use el parámetro OnBehalfOf con Set-AIPAuthentication.

Para obtener más información, consulte Cómo etiquetar archivos de forma no interactiva para Azure Information Protection.

Restricción: la cuenta de servicio del analizador no se puede sincronizar con Microsoft Entra ID, pero el servidor tiene conectividad a Internet

Puede tener una cuenta para ejecutar el servicio de escáner y usar otra cuenta para autenticarse en Microsoft Entra ID:

  • Para la cuenta de servicio del analizador, use una cuenta local de Windows o una cuenta de Active Directory.

  • Para la cuenta de Microsoft Entra, especifique el usuario Microsoft Entra en el cmdlet Set-AIPAuthentication, en el parámetro DelegatedUser.

    Si está ejecutando el examen en cualquier usuario que no sea la cuenta del analizador, asegúrese de especificar también la cuenta del escáner en el parámetro OnBehalfOf .

    Para obtener más información, consulte Cómo etiquetar archivos de forma no interactiva para Azure Information Protection.

Restricción: las etiquetas no tienen condiciones de etiquetado automático

Si las etiquetas no tienen condiciones de etiquetado automático, planee usar una de las siguientes opciones al configurar el escáner:

Opción Descripción
Detectar todos los tipos de información En el trabajo de examen de contenido, establezca la opción Tipos de información que se detectarán en Todo.

Esta opción establece el trabajo de examen de contenido para examinar el contenido en busca de todos los tipos de información confidencial.
Uso del etiquetado recomendado En el trabajo de examen de contenido, establezca la opción Tratar el etiquetado recomendado como automáticoen Activado.

Esta configuración configura el analizador para aplicar automáticamente todas las etiquetas recomendadas en el contenido.
Definición de una etiqueta predeterminada Defina una etiqueta predeterminada en la directiva, el trabajo de examen de contenido o el repositorio.

En este caso, el escáner aplica la etiqueta predeterminada en todos los archivos encontrados.

Pasos siguientes

Una vez que haya confirmado que el sistema cumple los requisitos previos del escáner, continúe con Configuración e instalación del analizador de protección de la información.

Para obtener información general sobre el analizador, consulte Información sobre el analizador de protección de la información.