Resolución de problemas con la implementación del analizador de protección de la información

  • Artículo
  • Se aplica a:
    Microsoft Purview

Nota:

Se cambia el nombre del analizador de etiquetado unificado de Azure Information Protection Microsoft Purview Information Protection. Al mismo tiempo, la configuración (actualmente en versión preliminar) se mueve al portal de cumplimiento Microsoft Purview. Actualmente, puede configurar el analizador tanto en el Azure Portal como en el portal de cumplimiento. Las instrucciones de este artículo se refieren a ambos portales de administración.

Si tiene problemas con el analizador de Information Protection de Microsoft Preview, compruebe si la implementación está en buen estado mediante el cmdlet de PowerShell Start-AIPScannerDiagnostics para iniciar la herramienta de diagnóstico del analizador:

Start-AIPScannerDiagnostics

La herramienta de diagnóstico comprueba los detalles siguientes y, a continuación, crea un archivo de registro con los resultados:

  • Si la base de datos está actualizada
  • Si se puede acceder a las direcciones URL de red
  • Si hay un token de autenticación válido y se puede adquirir la directiva
  • Si el perfil se define en el Azure Portal
  • Si la configuración sin conexión o en línea existe y se puede adquirir
  • Si las reglas configuradas son válidas

Sugerencia

  • Si no ejecuta la herramienta mediante la cuenta de servicio que se usa para ejecutar el servicio de escáner, debe usar el -OnBehalf parámetro . De lo contrario, encontrará errores.
  • Para imprimir los últimos 10 errores del registro del analizador, agregue el Verbose parámetro . Si desea imprimir más errores, use para VerboseErrorCount definir el número de errores que desea imprimir.

El Start-AIPScannerDiagnostics comando no ejecuta una comprobación de requisitos previos completa. Si tiene problemas con el escáner, también debe asegurarse de que el sistema cumple con los requisitos del escáner y que la configuración y la instalación del escáner están completas.

Comprobación de los detalles del examen por nodo y repositorio del analizador

Ejecute el cmdlet de PowerShell Get-AIPScannerStatus para obtener detalles sobre el estado de examen actual y la lista de nodos del clúster del analizador.

PS C:\> Get-AIPScannerStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

Use la NodesInfo variable con el cmdlet Get-AIPScannerStatus para obtener más detalles sobre cada nodo del clúster:

PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo

La salida muestra los detalles de cada nodo de una tabla, como se muestra en el ejemplo siguiente:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Para profundizar más en cada nodo, use la NodesInfo variable de nuevo, con el entero del nodo a partir de 0.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

La salida muestra los detalles de los exámenes en el nodo seleccionado, como se muestra en el ejemplo siguiente:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Use el Verbose parámetro con el cmdlet Get-AIPScannerStatus para obtener datos sobre un examen actual.

PS C:\> Get-AIPScannerStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

Use o RepositoriesStatus las CurrentScanSummary variables para explorar en profundidad más detalles sobre el estado de los repositorios.

Entre los posibles valores de estado del repositorio se incluyen:

  • Omitido, si se omitió el repositorio
  • Pendiente, si el examen actual aún no ha comenzado a examinar el repositorio
  • Examen, si el examen actual se está ejecutando en el repositorio
  • Finalizado, si el examen actual ha terminado de ejecutarse en el repositorio

Ejemplo: usar la variable RepositoriesStatus

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

Ejemplo: uso de la variable CurrentScanSummary

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Esta salida muestra solo un único repositorio. Si hay varios repositorios, cada uno de ellos se mostrará por separado.

Referencia de error del analizador

En la tabla siguiente se proporciona información sobre mensajes de error específicos generados por el analizador y se proporcionan acciones para corregir el problema asociado:

Tipo de error Solución de problemas
Errores de autenticación
Errores de directiva
Errores de base de datos o esquema
Otros errores

Token de autenticación no aceptado

Mensaje de error

Microsoft.InformationProtection.Exceptions.AccessDeniedException: el servicio no aceptó el token de autenticación.

Descripción

Error en el comando Set-AIPAuthentication .

Resolución

Compruebe que los permisos adecuados se definen correctamente en el Azure Portal.

Para obtener más información, consulte Creación y configuración de aplicaciones de Microsoft Entra para Set-AIPAuthentication.

Falta el token de autenticación

Mensajes de error

  • NoAuthTokenException: la aplicación cliente no pudo proporcionar el token de autenticación para la solicitud HTTP.

  • Microsoft.InformationProtection.Exceptions.NoAuthTokenException: la aplicación cliente no pudo proporcionar el token de autenticación para la solicitud HTTP. Error con: System.AggregateException: se han producido uno o varios errores. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: se encontró una de las dos condiciones: 1. Se pasó la marca PromptBehavior.Never, pero no se pudo respetar la restricción, ya que era necesaria la interacción del usuario. 2. Error durante una autenticación web silenciosa que impedía que el flujo de autenticación HTTP se completara en un breve período de tiempo

  • No se pudo adquirir un token mediante la autenticación integrada de Windows (sin sso)

  • En la Azure Portal, en la página Nodos:

    La directiva no incluye ninguna condición de etiquetado automático

Descripción

Estos errores de autenticación se producen cuando el analizador se ejecuta de forma no interactiva.

Resolución

Debe autenticarse mediante un token mediante el cmdlet Set-AIPAuthentication .

Al ejecutar el cmdlet Set-AIPAuthentication, asegúrese de usar el parámetro token en nombre de la cuenta de servicio que se usa para ejecutar el servicio de escáner, como se muestra en el ejemplo siguiente:

$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Para obtener más información, consulte Obtención de un token de Microsoft Entra para el analizador.

Falta la directiva

Mensaje de error

Falta la directiva

Descripción

El analizador no puede encontrar el archivo de directiva de etiqueta de confidencialidad.

Resolución

Para comprobar que el archivo de directiva existe según lo esperado, compruebe la siguiente ubicación: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3.

Para obtener más información sobre las etiquetas de confidencialidad y sus directivas de etiquetas, consulte Creación y configuración de etiquetas de confidencialidad y sus directivas.

La directiva no incluye condiciones de etiquetado automático

Mensaje de error

Falta condiciones de etiquetado en la directiva

Descripción

A la directiva de etiquetado le faltan condiciones de etiquetado automático.

Resolución

Configure las siguientes opciones:

Configuración Pasos para configurar las opciones
Configuración del trabajo de examen de contenido En el Azure Portal, haga lo siguiente:
Configuración de directiva de etiquetado En el portal de cumplimiento Microsoft Purview, haga lo siguiente:

Si la configuración ya está definida como esperada, es posible que el archivo de directiva en sí falte o no sea accesible, como cuando hay un tiempo de espera del portal de cumplimiento Microsoft Purview.

Para comprobar el archivo de directiva, compruebe que existe el archivo siguiente: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

Para obtener más información, consulte ¿Qué es el analizador de etiquetado unificado de Azure Information Protection? y Información sobre las etiquetas de confidencialidad.

Errores de base de datos

Mensaje de error

Error de base de datos

Descripción

El analizador no puede conectarse a la base de datos.

Resolución

Compruebe la conectividad de red entre el equipo del escáner y la base de datos.

Además, asegúrese de que la cuenta de servicio que se usa para ejecutar procesos de escáner tiene todos los permisos necesarios para acceder a la base de datos.

Esquema no coincidente o obsoleto

Mensaje de error

Uno de los siguientes:

  • SchemaMismatchException

  • En el Azure Portal, en la página Nodos:

    El esquema de base de datos no está actualizado. Ejecutar Update-AIPScanner comando para actualizar el esquema de base de datos
    Error: El esquema de base de datos no está actualizado

Descripción

El esquema de base de datos no está actualizado.

Resolución

Ejecute el cmdlet Update-AIPScanner para volver a sincronizar el esquema y asegurarse de que está actualizado con los cambios recientes.

Se cerró la conexión subyacente

Mensajes de error

System.Net.WebException: se cerró la conexión subyacente: se produjo un error inesperado en un envío. >--- System.IO.IOException: error de autenticación porque la entidad remota ha cerrado el flujo de transporte.

[System.Net.Http.HttpRequestException: error al enviar la solicitud. >--- System.Net.WebException: se cerró la conexión subyacente: Error inesperado en un envío. >--- System.IO.IOException: No se pueden leer datos de la conexión de transporte: el host remoto cerró forzadamente una conexión existente. >--- System.Net.Sockets.SocketException: el host remoto cerró por la fuerza una conexión existente.

Descripción

Estos errores indican que TLS 1.2 no está habilitado.

Resolución

Para habilitar TLS 1.2, consulte:

Procesos de escáner bloqueados

Mensaje de error

No se muestra ningún mensaje de error, pero el escáner agota el tiempo de espera.

Descripción

El analizador está procesando un único archivo durante más tiempo del esperado o se detiene inesperadamente mientras examina un gran número de archivos en un repositorio. Es posible que el proceso del escáner esté bloqueado.

Resolución

Modifique una de las opciones siguientes:

  • Número de puertos dinámicos. Es posible que tenga que aumentar el número de puertos dinámicos para el sistema operativo que hospeda los archivos. La protección del servidor para SharePoint puede ser una de las razones por las que el analizador supera el número de conexiones de red permitidas y se detiene.

    Para obtener información sobre cómo ver el intervalo de puertos actual y aumentar el intervalo, consulte Configuración que se puede modificar para mejorar el rendimiento de la red.

  • Umbral de vista de lista. En el caso de las granjas de servidores de SharePoint grandes, es posible que tenga que aumentar el umbral de vista de lista. De forma predeterminada, el umbral de vista de lista se establece en 5000.

    Para obtener información sobre cómo aumentar el umbral, vea Administrar listas y bibliotecas grandes en SharePoint.

Si el problema sigue ocurriendo, compruebe el informe detallado para determinar si el archivo aumenta de tamaño.

Si el tamaño del archivo sigue aumentando, el analizador sigue procesando datos y debe esperar hasta que se complete.

Si el archivo ya no aumenta de tamaño, haga lo siguiente:

  1. Ejecute los siguientes cmdlets:

    • Cmdlet Start-AIPScannerDiagnostics : para ejecutar comprobaciones de diagnóstico en el escáner y exportar y comprimir los archivos de registro de los errores que se encuentren.
    • Cmdlet Export-AIPLogs : para exportar y crear una versión .zip de los archivos de registro desde el directorio %localappdata%\Microsoft\MSIP\Logs .

  2. Cree un archivo de volcado para el servicio MSIP Scanner. En el Administrador de tareas de Windows, haga clic con el botón derecho en el servicio escáner MSIP y seleccione Crear archivo de volcado.

  3. En el Azure Portal, detenga el examen.

  4. En la máquina del escáner, reinicie el servicio.

  5. Abra una incidencia de soporte técnico y adjunte los archivos de volcado del proceso del escáner.

No se puede conectar al servidor remoto

Mensaje de error

En el archivo MSIPScanner.iplog ubicado en %localappdata%\Microsoft\MSIP\Logs\:

No se puede conectar al servidor remoto ---> System.Net.Sockets.SocketException: normalmente, solo se permite un uso de cada dirección de socket (protocolo, dirección de red o puerto) IP:puerto.

Si hay varios registros, el archivo MSIPScanner.iplog será un archivo .zip.

Descripción

El escáner ha superado el número de conexiones de red permitidas.

Resolución

Aumente el número de puertos dinámicos para el sistema operativo que hospeda los archivos.

Para obtener información sobre cómo ver el intervalo de puertos actual y aumentar el intervalo, consulte Configuración que se puede modificar para mejorar el rendimiento de la red.

Falta el perfil o el trabajo de examen de contenido

Mensaje de error

En el Azure Portal, en la página Nodos:

No se encontró ningún trabajo de examen de contenido

Descripción

Este error se produce cuando no se encuentra el trabajo o el perfil de examen de contenido.

Resolución

Compruebe la configuración del escáner en el Azure Portal.

Para obtener más información, consulte Configuración e instalación del analizador de etiquetado unificado de Azure Information Protection.

Nota: Un perfil es un término de escáner heredado que se ha reemplazado por el clúster del escáner y el trabajo de examen de contenido en las versiones más recientes del escáner.

No hay repositorios configurados

Mensaje de error

En el portal de administración, en la página Nodos :

No hay repositorios configurados

Descripción

Es posible que tenga un trabajo de examen de contenido sin repositorios configurados.

Resolución

Compruebe la configuración del trabajo de examen de contenido y agregue al menos un repositorio.

Para obtener más información, consulte Creación de un trabajo de examen de contenido.

No se encontró ningún clúster

Mensaje de error

En el portal de administración, en la página Nodos :

No se encontró ningún clúster

Descripción

No se encontró ninguna coincidencia real para uno de los clústeres del escáner que haya definido.

Resolución

Compruebe la configuración del clúster y compruébelo con sus propios detalles del sistema para ver si hay errores tipográficos y errores.

Para obtener más información, consulte Creación de un clúster de escáner.

Más información

Procedimientos recomendados para implementar y usar el escáner UL de AIP.