Requisitos para instalar e implementar el analizador de etiquetado unificado de Azure Information Protection

Antes de instalar Azure Information Protection analizador local, asegúrese de que el sistema cumple los requisitos básicos de Azure Information Protection.

Además, los siguientes requisitos son específicos para el analizador:

Si no puede cumplir todos los requisitos enumerados para el analizador porque están prohibidos por las directivas de la organización, consulte la sección Configuraciones alternativas .

Al implementar el analizador en producción o probar el rendimiento de varios escáneres, consulte Requisitos de almacenamiento y planeamiento de capacidad para SQL Server.

Cuando esté listo para empezar a instalar e implementar el analizador, continúe con Implementación del analizador de Azure Information Protection para clasificar y proteger automáticamente los archivos.

Requisitos de Windows Server

Debe tener un equipo con Windows Server para ejecutar el analizador, que tiene las siguientes especificaciones del sistema:

Especificación Detalles
Procesador 4 procesadores principales
RAM 8 GB
Espacio en disco Espacio disponible de 10 GB (promedio) para archivos temporales.

El analizador requiere suficiente espacio en disco para crear archivos temporales para cada archivo que examina, cuatro archivos por núcleo.

El espacio en disco recomendado de 10 GB permite que 4 procesadores principales examinan 16 archivos que cada uno tiene un tamaño de archivo de 625 MB.
Sistema operativo Versiones de 64 bits de:

- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2

Nota: Para fines de prueba o evaluación en un entorno que no sea de producción, también puede usar cualquier sistema operativo Windows compatible con el cliente de Azure Information Protection.
Conectividad de red El equipo del escáner puede ser un equipo físico o virtual con una conexión de red rápida y confiable a los almacenes de datos que se van a examinar.

Si la conectividad a Internet no es posible debido a las directivas de su organización, consulte Implementación del analizador con configuraciones alternativas.

De lo contrario, asegúrese de que este equipo tenga conectividad a Internet que permita las siguientes direcciones URL a través de HTTPS (puerto 443):

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com
- *.protection.outlook.com
Recursos compartidos nfs Para admitir exámenes en recursos compartidos NFS, los servicios para NFS deben implementarse en la máquina del analizador.

En el equipo, vaya al cuadro de diálogo de configuración Características de Windows (Activar o desactivar características de Windows) y seleccione los siguientes elementos: Servicios paraherramientas administrativas de NFS> y cliente para NFS.
iFilter de Microsoft Office Cuando el analizador está instalado en un equipo con Windows Server, también debe instalar el iFilter de Microsoft Office para examinar .zip archivos de tipos de información confidencial.

Para obtener más información, consulte el sitio de descarga de Microsoft.

Requisitos de cuentas de servicio

Debe tener una cuenta de servicio para ejecutar el servicio de escáner en el equipo con Windows Server, así como autenticarse en Azure AD y descargar azure Information Protection Policy.

La cuenta de servicio debe ser una cuenta de Active Directory y sincronizarse con Azure AD.

Si no puede sincronizar esta cuenta debido a las directivas de su organización, consulte Implementación del analizador con configuraciones alternativas.

Esta cuenta de servicio tiene los siguientes requisitos:

Requisito Detalles
Inicio de sesión en la asignación de derechos de usuario local Necesario para instalar y configurar el analizador, pero no para ejecutar exámenes.

Una vez que haya confirmado que el analizador puede detectar, clasificar y proteger archivos, puede quitarlo de la cuenta de servicio.

Si la concesión de este derecho incluso durante un breve período de tiempo no es posible debido a las directivas de su organización, consulte Implementación del analizador con configuraciones alternativas.
Inicie sesión como asignación de derechos de usuario de servicio. Este derecho se concede automáticamente a la cuenta de servicio durante la instalación del analizador y es necesario para la instalación, la configuración y el funcionamiento del analizador.
Permisos para los repositorios de datos - Recursos compartidos de archivos o archivos locales: conceda permisos de lectura, escritura y modificación para examinar los archivos y, a continuación, aplicar la clasificación y la protección según esté configurado.

- SharePoint: debe conceder permisos de control total para examinar los archivos y aplicar la clasificación y la protección tal y como se configura a través de la directiva de etiquetas de confidencialidad.

- Modo de detección: para ejecutar el analizador solo en modo de detección, el permiso De lectura es suficiente.
Para las etiquetas que vuelven a proteger o quitan la protección Para asegurarse de que el analizador siempre tiene acceso a los archivos protegidos, convierta esta cuenta en superusuario para Azure Information Protection y asegúrese de que la característica de superusuario esté habilitada.

Además, si ha implementado controles de incorporación para una implementación por fases, asegúrese de que la cuenta de servicio se incluye en los controles de incorporación que ha configurado.
Examen de nivel de dirección URL específico Para examinar y detectar sitios y subsitios en una dirección URL específica, conceda derechos de auditor de recopilador de sitios a la cuenta del analizador en el nivel de granja de servidores.
Licencia para la protección de la información Se requiere para proporcionar funcionalidades de clasificación, etiquetado o protección de archivos a la cuenta de servicio del analizador.

Para obtener más información, consulte el mapa de ruta de implementación de Azure Information Protection y la guía de Microsoft 365 para el cumplimiento de la seguridad&.

Requisitos de SQL Server

Para almacenar los datos de configuración del analizador, use un servidor SQL Server con los siguientes requisitos:

  • Una instancia local o remota.

    Se recomienda hospedar el servidor SQL Server y el servicio de escáner en diferentes máquinas, a menos que trabaje con una implementación pequeña. Además, se recomienda tener una instancia de SQL dedicada que solo sirva a la base de datos del analizador y que no se comparta con otras aplicaciones.

    Si está trabajando en un servidor compartido, asegúrese de que el número recomendado de núcleos es gratuito para que la base de datos del analizador funcione.

    SQL Server 2016 es la versión mínima para las siguientes ediciones:

    • SQL Server Enterprise

    • SQL Server Standard

    • SQL Server Express (recomendado solo para entornos de prueba)

  • Una cuenta con el rol Sysadmin para instalar el analizador.

    El rol Sysadmin permite que el proceso de instalación cree automáticamente la base de datos de configuración del analizador y conceda el rol de db_owner necesario a la cuenta de servicio que ejecuta el analizador.

    Si no se le puede conceder el rol Sysadmin o las directivas de su organización requieren que las bases de datos se creen y configuren manualmente, consulte Implementación del analizador con configuraciones alternativas.

  • Capacity (Capacidad). Para obtener instrucciones sobre la capacidad, consulte Requisitos de almacenamiento y planeamiento de capacidad para SQL Server.

  • Intercalación sin distinción entre mayúsculas y minúsculas.

Nota

Se admiten varias bases de datos de configuración en el mismo servidor SQL Server cuando se especifica un nombre de clúster personalizado para el analizador o cuando se usa la versión preliminar del analizador.

Requisitos de almacenamiento y planeamiento de capacidad para SQL Server

La cantidad de espacio en disco necesario para la base de datos de configuración del analizador y la especificación del equipo que ejecuta SQL Server puede variar para cada entorno, por lo que le recomendamos que realice sus propias pruebas. Use las instrucciones siguientes como punto de partida.

Para obtener más información, consulte Optimización del rendimiento del escáner.

El tamaño del disco de la base de datos de configuración del analizador variará para cada implementación. Use la siguiente ecuación como guía:

100 KB + <file count> *(1000 + 4* <average file name length>)

Por ejemplo, para examinar 1 millón de archivos que tienen una longitud media de nombre de archivo de 250 bytes, asigne espacio en disco de 2 GB.

Para varios escáneres:

  • Hasta 10 escáneres, use:

    • 4 procesadores principales
    • Se recomienda ram de 8 GB
  • Más de 10 escáneres (máximo 40), use:

    • 8 procesos principales
    • Se recomienda ram de 16 GB

Requisitos de Azure Information Protection

Debe tener instalada la versión de disponibilidad general actual del cliente de Azure Information Protection en el equipo Con Windows Server.

Para obtener más información, consulte la guía de administración del cliente de etiquetado unificado.

Importante

Debe instalar el cliente completo para el analizador. No instale el cliente solo con el módulo de PowerShell.

Requisitos de configuración de etiquetas

Debe tener al menos una etiqueta de confidencialidad configurada en el portal de cumplimiento Microsoft Purview para la cuenta del analizador, para aplicar la clasificación y, opcionalmente, la protección.

La cuenta del analizador es la cuenta que especificará en el parámetro DelegatedUser del cmdlet Set-AIPAuthentication , que se ejecuta al configurar el analizador.

Si las etiquetas no tienen condiciones de etiquetado automático, consulte las instrucciones para ver las configuraciones alternativas a continuación.

Para más información, consulte:

Requisitos de SharePoint

Para examinar las carpetas y bibliotecas de documentos de SharePoint, asegúrese de que el servidor de SharePoint cumple los siguientes requisitos:

Requisito Descripción
Versiones admitidas Las versiones admitidas incluyen: SharePoint 2019, SharePoint 2016 y SharePoint 2013.
El analizador no admite otras versiones de SharePoint.
Control de versiones Al usar el control de versiones, el analizador inspecciona y etiqueta la última versión publicada.

Si el analizador etiqueta un archivo y la aprobación de contenido , ese archivo etiquetado debe aprobarse para que esté disponible para los usuarios.
Granjas de SharePoint grandes Para grandes granjas de servidores de SharePoint, compruebe si necesita aumentar el umbral de vista de lista (de manera predeterminada, 5000) para que el analizador acceda a todos los archivos.

Para obtener más información, vea Administrar listas y bibliotecas grandes en SharePoint.
Rutas de acceso de archivo largas Si tiene rutas de acceso de archivo largas en SharePoint, asegúrese de que el valor httpRuntime.maxUrlLength del servidor de SharePoint sea mayor que los 260 caracteres predeterminados.

Para obtener más información, vea Evitar tiempos de espera del analizador en SharePoint.

Requisitos de Microsoft Office

Para examinar documentos de Office, los documentos deben tener uno de los siguientes formatos:

  • Microsoft Office 97-2003
  • Formatos de Office Open XML para Word, Excel y PowerPoint

Para más información, consulte Tipos de archivo admitidos por el cliente de etiquetado unificado de Azure Information Protection.

Requisitos de ruta de acceso de archivo

De forma predeterminada, para examinar archivos, las rutas de acceso de archivo deben tener un máximo de 260 caracteres.

Para examinar archivos con rutas de acceso de archivo de más de 260 caracteres, instale el analizador en un equipo con una de las siguientes versiones de Windows y configure el equipo según sea necesario:

Versión de Windows Descripción
Windows 2016 o posterior Configuración del equipo para admitir rutas de acceso largas
Windows 10 o Windows Server 2016 Defina la siguiente configuración de directiva de grupo: Configuración de equipo Configuración del equipoConfiguración> del equipo >Plantillas> administrativasTodas las opciones>habilitar rutas de acceso largas de Win32.

Para obtener más información sobre la compatibilidad con rutas de acceso de archivo largas en estas versiones, consulte la sección Limitación de longitud máxima de ruta de acceso de la documentación para desarrolladores de Windows 10.
Windows 10, versión 1607 o posterior Opte por la funcionalidad de MAX_PATH actualizada. Para obtener más información, vea Habilitar rutas de acceso largas en Windows 10 versiones 1607 y posteriores.

Implementación del analizador con configuraciones alternativas

Los requisitos previos enumerados anteriormente son los requisitos predeterminados para la implementación del analizador y se recomiendan porque admiten la configuración más sencilla del analizador.

Los requisitos predeterminados deben ser adecuados para las pruebas iniciales, de modo que pueda comprobar las funcionalidades del analizador.

Sin embargo, en un entorno de producción, las directivas de la organización pueden ser diferentes de los requisitos predeterminados. El analizador puede dar cabida a los siguientes cambios con una configuración adicional:

Detección y examen de todos los sitios y subsitios de SharePoint en una dirección URL específica

El analizador puede detectar y examinar todos los sitios y subsitios de SharePoint en una dirección URL específica con la siguiente configuración:

  1. Inicie Administración central de SharePoint.

  2. En el sitio web de Administración central de SharePoint , en la sección Administración de aplicaciones, haga clic en Administrar aplicaciones web.

  3. Haga clic para resaltar la aplicación web cuyo nivel de directiva de permisos desea administrar.

  4. Elija la granja de servidores correspondiente y, a continuación, seleccione Administrar niveles de directiva de permisos.

  5. Seleccione Auditor de colección de sitios en las opciones Permisos de colección de sitios y, a continuación, conceda a Ver páginas de aplicación en la lista Permisos y, por último, asigne el nombre al nuevo auditor y visor de la colección de sitios de AIP de nivel de directiva.

  6. Agregue el usuario del analizador a la nueva directiva y conceda la colección de sitios en la lista Permisos.

  7. Agregue una dirección URL de SharePoint que hospede sitios o subsitios que deba examinarse. Para obtener más información, consulte Configuración del analizador en el Azure Portal.

Para obtener más información sobre cómo administrar los niveles de directiva de SharePoint, consulte Administrar directivas de permisos para una aplicación web.

Restricción: el servidor del analizador no puede tener conectividad a Internet

Aunque el cliente de etiquetado unificado no puede aplicar protección sin conexión a Internet, el analizador todavía puede aplicar etiquetas basadas en directivas importadas.

Para admitir un equipo desconectado, use uno de los métodos siguientes:

Usar el Azure Portal con un equipo desconectado

Para admitir un equipo desconectado de la Azure Portal, realice los pasos siguientes:

  1. Configure etiquetas en la directiva y, a continuación, use el procedimiento para admitir equipos desconectados para habilitar la clasificación y el etiquetado sin conexión.

  2. Habilite la administración sin conexión para los trabajos de contenido de la siguiente manera:

    Habilite la administración sin conexión para los trabajos de examen de contenido:

    1. Establezca el analizador para que funcione en modo sin conexión mediante el cmdlet Set-AIPScannerConfiguration .

    2. Configure el analizador en el Azure Portal mediante la creación de un clúster de escáner. Para obtener más información, consulte Configuración del analizador en el Azure Portal.

    3. Exporte el trabajo de contenido desde el panel Azure Information Protection- Examen de contenido mediante la opción Exportar.

    4. Importe la directiva mediante el cmdlet Import-AIPScannerConfiguration .

    Los resultados de los trabajos de examen de contenido sin conexión se encuentran en: %localappdata%\Microsoft\MSIP\Scanner\Reports

Uso de PowerShell con un equipo desconectado

Realice el procedimiento siguiente para admitir un equipo desconectado solo con PowerShell.

Importante

Los administradores de los servidores de escáner de Azure China 21Vianetdeben usar este procedimiento para administrar sus trabajos de análisis de contenido.

Administre los trabajos de examen de contenido solo con PowerShell:

  1. Establezca el analizador para que funcione en modo sin conexión mediante el cmdlet Set-AIPScannerConfiguration .

  2. Cree un nuevo trabajo de examen de contenido mediante el cmdlet Set-AIPScannerContentScanJob , asegurándose de usar el parámetro obligatorio -Enforce On .

  3. Agregue los repositorios mediante el cmdlet Add-AIPScannerRepository , con la ruta de acceso al repositorio que desea agregar.

    Sugerencia

    Para evitar que el repositorio herede la configuración del trabajo de examen de contenido, agregue el OverrideContentScanJob On parámetro , así como los valores de configuración adicionales.

    Para editar los detalles de un repositorio existente, use el comando Set-AIPScannerRepository .

  4. Use los cmdlets Get-AIPScannerContentScanJob y Get-AIPScannerRepository para devolver información sobre la configuración actual del trabajo de análisis de contenido.

  5. Use el comando Set-AIPScannerRepository para actualizar los detalles de un repositorio existente.

  6. Ejecute el trabajo de examen de contenido inmediatamente si es necesario, mediante el cmdlet Start-AIPScan .

    Los resultados de los trabajos de examen de contenido sin conexión se encuentran en: %localappdata%\Microsoft\MSIP\Scanner\Reports

  7. Si necesita quitar un repositorio o un trabajo de examen de contenido completo, use los siguientes cmdlets:

Restricción: no se le puede conceder el rol de administrador del sistema o las bases de datos deben crearse y configurarse manualmente

Use los procedimientos siguientes para crear manualmente bases de datos y conceder el rol db_owner , según sea necesario.

Si se le puede conceder temporalmente el rol Sysadmin para instalar el analizador, puede quitar este rol cuando se complete la instalación del analizador.

Realice una de las siguientes acciones, en función de los requisitos de la organización:

Restricción Descripción
Puede tener temporalmente el rol Sysadmin. Si tiene temporalmente el rol Sysadmin, la base de datos se crea automáticamente para usted y la cuenta de servicio del analizador se concede automáticamente los permisos necesarios.

Sin embargo, la cuenta de usuario que configura el analizador todavía requiere el rol db_owner para la base de datos de configuración del analizador. Si solo tiene el rol Sysadmin hasta que finalice la instalación del analizador, conceda el rol de db_owner a la cuenta de usuario manualmente.
No puede tener el rol Sysadmin en absoluto. Si no se puede conceder el rol Sysadmin incluso temporalmente, debe pedir a un usuario con derechos sysadmin que creen manualmente una base de datos antes de instalar el analizador.

Para esta configuración, el rol db_owner debe asignarse a las cuentas siguientes:
- Cuenta de servicio para el analizador
- Cuenta de usuario para la instalación del analizador
- Cuenta de usuario para la configuración del analizador

Normalmente, usará la misma cuenta de usuario para instalar y configurar el analizador. Si usa cuentas diferentes, ambas requieren el rol de db_owner para la base de datos de configuración del analizador. Cree este usuario y derechos según sea necesario. Si especifica su propio nombre de clúster, la base de datos de configuración se denomina AIPScannerUL_<cluster_name>.

Además:

  • Debe ser administrador local en el servidor que ejecutará el analizador.

  • La cuenta de servicio que ejecutará el analizador debe concederse permisos de Control total a las siguientes claves del Registro:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Si, después de configurar estos permisos, verá un error al instalar el analizador, se puede omitir el error y puede iniciar manualmente el servicio del analizador.

Cree manualmente una base de datos y un usuario para el analizador y conceda derechos db_owner

Si necesita crear manualmente la base de datos del analizador o crear un usuario y conceder db_owner derechos en la base de datos, pida a Sysadmin que realice los pasos siguientes:

  1. Cree una base de datos para el analizador:

    **CREATE DATABASE AIPScannerUL_[clustername]**
    
    **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
    
  2. Conceda derechos al usuario que ejecuta el comando de instalación y se usa para ejecutar comandos de administración del analizador. Use el siguiente script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. Conceda derechos a la cuenta de servicio del analizador. Use el siguiente script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

Restricción: no se puede conceder a la cuenta de servicio del analizador el derecho Iniciar sesión localmente

Si las directivas de la organización prohíben el inicio de sesión localmente adecuado para las cuentas de servicio, use el parámetro OnBehalfOf con Set-AIPAuthentication.

Para obtener más información, vea Cómo etiquetar archivos de manera no interactiva para Azure Information Protection.

Restricción: la cuenta de servicio del analizador no se puede sincronizar con Azure Active Directory, pero el servidor tiene conectividad a Internet

Puede tener una cuenta para ejecutar el servicio del analizador y usar otra cuenta para autenticarse en Azure Active Directory:

  • Para la cuenta de servicio del analizador, use una cuenta de Windows local o una cuenta de Active Directory.

  • Para la cuenta de Azure Active Directory, especifique el usuario de AAD en el cmdlet Set-AIPAuthentication , en el parámetro DelegatedUser .

    Si está ejecutando el examen en cualquier usuario que no sea la cuenta del analizador, asegúrese de especificar también la cuenta del analizador en el parámetro OnBehalfOf .

    Para obtener más información, vea Cómo etiquetar archivos de manera no interactiva para Azure Information Protection.

Restricción: las etiquetas no tienen condiciones de etiquetado automático

Si las etiquetas no tienen condiciones de etiquetado automático, planee usar una de las siguientes opciones al configurar el analizador:

Opción Descripción
Descubrir todos los tipos de información En el trabajo de examen de contenido, establezca la opción Tipos de información que se detectarán en Todos.

Esta opción establece el trabajo de examen de contenido para examinar el contenido de todos los tipos de información confidencial.
Uso del etiquetado recomendado En el trabajo de examen de contenido, establezca la opción Tratar el etiquetado recomendado como opción automática enActivado.

Esta configuración configura el analizador para aplicar automáticamente todas las etiquetas recomendadas en el contenido.
Definición de una etiqueta predeterminada Defina una etiqueta predeterminada en la directiva, el trabajo de examen de contenido o el repositorio.

En este caso, el analizador aplica la etiqueta predeterminada en todos los archivos encontrados.

Pasos siguientes

Una vez que haya confirmado que el sistema cumple los requisitos previos del analizador, continúe con Implementación del analizador de Azure Information Protection para clasificar y proteger automáticamente los archivos.

Para obtener información general sobre el analizador, consulte Implementación del analizador de Azure Information Protection para clasificar y proteger archivos automáticamente.

Más información: