Antes de instalar el analizador desde Microsoft Purview Information Protection, asegúrese de que el sistema cumple los requisitos básicos de Azure Information Protection.
Además, los siguientes requisitos son específicos para el analizador:
Si no puede cumplir todos los requisitos enumerados para el analizador porque están prohibidos por las directivas de su organización, consulte la sección configuraciones alternativas .
Para admitir exámenes en recursos compartidos de NFS, los servicios de NFS deben implementarse en la máquina del escáner.
En el equipo, vaya al cuadro de diálogo de configuración Características de Windows (activar o desactivar características de Windows) y seleccione los siguientes elementos: Servicios para NFS>Herramientas administrativas y Cliente para NFS.
iFilter de Microsoft Office
Cuando el escáner está instalado en un equipo con Windows Server, también debe instalar el iFilter de Microsoft Office para examinar .zip archivos en busca de tipos de información confidencial.
Debe tener una cuenta de servicio para ejecutar el servicio de escáner en el equipo con Windows Server, así como autenticarse para Microsoft Entra ID y descargar la directiva del analizador.
La cuenta de servicio debe ser una cuenta de Active Directory y estar sincronizada con Microsoft Entra ID.
Inicie sesión como una asignación de derechos de usuario de servicio.
Este derecho se concede automáticamente a la cuenta de servicio durante la instalación del escáner y este derecho es necesario para la instalación, configuración y funcionamiento del escáner.
Permisos para los repositorios de datos
-
Recursos compartidos de archivos o archivos locales: conceda permisos de lectura, escritura y modificación para examinar los archivos y, a continuación, aplique la clasificación y la protección según lo configurado.
-
SharePoint: debe conceder permisos de control total para examinar los archivos y, a continuación, aplicar la clasificación y la protección a los archivos que cumplen las condiciones de la directiva de Azure Information Protection.
-
Modo de detección: para ejecutar el analizador solo en modo de detección, el permiso de lectura es suficiente.
Para etiquetas que reprotegen o quitan la protección
Para asegurarse de que el analizador siempre tiene acceso a archivos cifrados, convierta esta cuenta en superusuario para Azure Information Protection y asegúrese de que la característica superusuario está habilitada.
Además, si ha implementado controles de incorporación para una implementación por fases, asegúrese de que la cuenta de servicio está incluida en los controles de incorporación que ha configurado.
Examen de nivel de dirección URL específico
Para examinar y detectar sitios y subsitios en una dirección URL específica, conceda derechos de auditor del recopilador de sitios a la cuenta del analizador en el nivel de granja de servidores.
Licencia para la protección de la información
Se requiere para proporcionar funcionalidades de clasificación, etiquetado o protección de archivos a la cuenta de servicio del analizador.
Para almacenar los datos de configuración del analizador, use un servidor SQL Server con los siguientes requisitos:
Una instancia local o remota.
Se recomienda hospedar sql server y el servicio de escáner en máquinas diferentes, a menos que trabaje con una pequeña implementación. Además, se recomienda tener una instancia de SQL dedicada que solo sirva a la base de datos del analizador y que no se comparta con otras aplicaciones.
Si está trabajando en un servidor compartido, asegúrese de que el número recomendado de núcleos es gratuito para que la base de datos del analizador funcione.
SQL Server 2016 es la versión mínima para las siguientes ediciones:
SQL Server Enterprise
SQL Server Standard
SQL Server Express (solo se recomienda para entornos de prueba)
Una cuenta con el rol Sysadmin para instalar el analizador.
El rol Sysadmin permite que el proceso de instalación cree automáticamente la base de datos de configuración del analizador y conceda el rol de db_owner necesario a la cuenta de servicio que ejecuta el analizador.
Se admiten varias bases de datos de configuración en el mismo servidor SQL Server cuando se especifica un nombre de clúster personalizado para el analizador o cuando se usa la versión preliminar del analizador.
Requisitos de almacenamiento y planeamiento de capacidad para SQL Server
La cantidad de espacio en disco necesaria para la base de datos de configuración del analizador y la especificación del equipo que ejecuta SQL Server puede variar para cada entorno, por lo que le recomendamos que realice sus propias pruebas. Use la siguiente guía como punto de partida.
Por ejemplo, para examinar 1 millón de archivos que tienen una longitud media de nombre de archivo de 250 bytes, asigne 2 GB de espacio en disco.
Para varios escáneres:
Hasta 10 escáneres, use:
Procesadores de 4 núcleos
8 GB de RAM recomendada
Más de 10 escáneres (máximo 40), utilice:
8 procesos principales
16 GB de RAM recomendada
Requisitos de cliente de Information Protection
Para una red de producción, debe tener instalada la versión de disponibilidad general actual del cliente de Microsoft Purview Information Protection en el equipo con Windows Server.
Debe instalar el cliente completo para el analizador. No instale el cliente solo con el módulo de PowerShell.
Requisitos de configuración de etiquetas
Debe tener al menos una etiqueta de confidencialidad configurada en el portal de Microsoft Purview o portal de cumplimiento Microsoft Purview para la cuenta del analizador, para aplicar la clasificación y, opcionalmente, el cifrado.
La cuenta del analizador es la cuenta que especificará en el parámetro DelegatedUser del cmdlet Set-Authentication , que se ejecutará al configurar el analizador.
Para examinar las bibliotecas y carpetas de documentos de SharePoint, asegúrese de que el servidor de SharePoint cumple los siguientes requisitos:
Requisito
Descripción
Versiones compatibles
Entre las versiones admitidas se incluyen: SharePoint 2019, SharePoint 2016 y SharePoint 2013. No se admiten otras versiones de SharePoint para el analizador.
Control de versiones
Al usar el control de versiones, el analizador inspecciona y etiqueta la última versión publicada.
Si el analizador etiqueta un archivo y se requiere la aprobación de contenido , ese archivo etiquetado debe aprobarse para que esté disponible para los usuarios.
Granjas de servidores de SharePoint grandes
En el caso de las granjas de servidores de SharePoint grandes, compruebe si necesita aumentar el umbral de vista de lista (de forma predeterminada, 5 000) para que el analizador acceda a todos los archivos.
Si tiene rutas de acceso de archivo largas en SharePoint, asegúrese de que el valor httpRuntime.maxUrlLength del servidor de SharePoint sea mayor que los 260 caracteres predeterminados.
Evitar tiempos de espera del analizador en SharePoint
Si tiene rutas de acceso de archivo largas en SharePoint versión 2013 o posterior, asegúrese de que el valor httpRuntime.maxUrlLength del servidor de SharePoint sea mayor que los 260 caracteres predeterminados.
Este valor se define en la clase HttpRuntimeSection de la ASP.NET configuración.
Para actualizar la clase HttpRuntimeSection:
Realice una copia de seguridad de la configuración deweb.config .
Actualice el valor maxUrlLength según sea necesario. Por ejemplo:
Reinicie el servidor web de SharePoint y compruebe que se carga correctamente.
Por ejemplo, en el Administrador de Windows Internet Information Server (IIS), seleccione el sitio y, a continuación, en Administrar sitio web, seleccione Reiniciar.
Requisitos de Microsoft Office
Para examinar documentos de Office, los documentos deben tener uno de los siguientes formatos:
Microsoft Office 97-2003
Formatos Open XML de Office para Word, Excel y PowerPoint
De forma predeterminada, para examinar archivos, las rutas de acceso de archivo deben tener un máximo de 260 caracteres.
Para examinar archivos con rutas de acceso de archivo de más de 260 caracteres, instale el escáner en un equipo con una de las siguientes versiones de Windows y configure el equipo según sea necesario:
Versión de Windows
Descripción
Windows 2016 o posterior
Configuración del equipo para admitir rutas de acceso largas
Windows 10 o Windows Server 2016
Defina la siguiente configuración de directiva de grupo:Configuración> del equipo de directiva de equipo> localPlantillas> administrativasToda la configuración>Habilita las rutas de acceso largas de Win32.
Para obtener más información sobre la compatibilidad con rutas de acceso de archivos largas en estas versiones, consulte la sección Limitación de longitud máxima de ruta de acceso de la documentación de Windows 10 desarrollador.
Implementación del analizador con configuraciones alternativas
Los requisitos previos enumerados anteriormente son los requisitos predeterminados para la implementación del analizador y se recomiendan porque admiten la configuración del analizador más sencilla.
Los requisitos predeterminados deben ser adecuados para las pruebas iniciales, de modo que pueda comprobar las funcionalidades del escáner.
Sin embargo, en un entorno de producción, las directivas de la organización pueden ser diferentes de los requisitos predeterminados. El analizador puede dar cabida a los siguientes cambios con una configuración adicional:
Detectar y examinar todos los sitios y subsitios de SharePoint en una dirección URL específica
El analizador puede detectar y examinar todos los sitios y subsitios de SharePoint en una dirección URL específica con la siguiente configuración:
Inicie administración central de SharePoint.
En el sitio web de Administración central de SharePoint , en la sección Administración de aplicaciones, haga clic en Administrar aplicaciones web.
Haga clic para resaltar la aplicación web cuyo nivel de directiva de permisos desea administrar.
Elija la granja correspondiente y, a continuación, seleccione Administrar niveles de directiva de permisos.
Seleccione Auditor de colección de sitios en las opciones Permisos de colección de sitios, conceda a Ver páginas de aplicación en la lista Permisos y, por último, asigne al nuevo nivel de directiva el nombre Auditor y visor de la colección de sitios del analizador.
Agregue el usuario del analizador a la nueva directiva y conceda a La colección de sitios en la lista Permisos.
Agregue una dirección URL de SharePoint que hospede sitios o subsitios que necesiten examinarse. Para obtener más información, consulte Configuración de los valores del analizador.
Restricción: el servidor de escáner no puede tener conectividad a Internet
Aunque el cliente de protección de la información no puede aplicar el cifrado sin una conexión a Internet, el analizador todavía puede aplicar etiquetas basadas en directivas importadas.
Para admitir un equipo desconectado, use uno de los métodos siguientes:
Uso del portal de Microsoft Purview o portal de cumplimiento Microsoft Purview con un equipo desconectado
Para admitir un equipo que no pueda conectarse al portal de Microsoft Purview o portal de cumplimiento Microsoft Purview, realice los pasos siguientes:
Habilite la administración sin conexión para los trabajos de contenido como se indica a continuación:
Habilitar la administración sin conexión para trabajos de examen de contenido:
Establezca el analizador para que funcione en modo sin conexión mediante el cmdlet Set-ScannerConfiguration .
Configure el analizador en el portal de cumplimiento mediante la creación de un clúster de escáner. Para obtener más información, consulte Configuración de los valores del analizador.
Exporte el trabajo de contenido desde el panel Protección de la información: trabajos de examen de contenido mediante la opción Exportar .
Administre los trabajos de examen de contenido solo con PowerShell:
Establezca el analizador para que funcione en modo sin conexión mediante el cmdlet Set-ScannerConfiguration .
Cree un nuevo trabajo de examen de contenido mediante el cmdlet Set-ScannerContentScan , asegurándose de usar el parámetro obligatorio -Enforce On .
Agregue los repositorios mediante el cmdlet Add-ScannerRepository , con la ruta de acceso al repositorio que desea agregar.
Sugerencia
Para evitar que el repositorio herede la configuración del trabajo de examen de contenido, agregue el OverrideContentScanJob On parámetro, así como los valores de configuración adicionales.
Para editar los detalles de un repositorio existente, use el comando Set-ScannerRepository .
Si se le puede conceder el rol Sysadmin temporalmente para instalar el analizador, puede quitar este rol cuando se complete la instalación del analizador.
Realice una de las siguientes acciones, en función de los requisitos de su organización:
Restriction
Descripción
Puede tener el rol Sysadmin temporalmente.
Si tiene temporalmente el rol Sysadmin, la base de datos se crea automáticamente y a la cuenta de servicio del analizador se le conceden automáticamente los permisos necesarios.
Sin embargo, la cuenta de usuario que configura el analizador todavía requiere el rol de db_owner para la base de datos de configuración del analizador. Si solo tiene el rol Sysadmin hasta que se complete la instalación del analizador, conceda manualmente el rol db_owner a la cuenta de usuario.
No puede tener el rol Sysadmin en absoluto.
Si no se le puede conceder el rol Sysadmin incluso temporalmente, debe pedir a un usuario con derechos sysadmin que cree manualmente una base de datos antes de instalar el analizador.
Para esta configuración, el rol de db_owner debe asignarse a las cuentas siguientes: - Cuenta de servicio para el analizador - Cuenta de usuario para la instalación del escáner - Cuenta de usuario para la configuración del analizador
Normalmente, usará la misma cuenta de usuario para instalar y configurar el analizador. Si usa cuentas diferentes, ambas requieren el rol de db_owner para la base de datos de configuración del analizador. Cree este usuario y los derechos según sea necesario. Si especifica su propio nombre de clúster, la base de datos de configuración se denomina AIPScannerUL_<cluster_name>.
Además:
Debe ser un administrador local en el servidor que ejecutará el analizador.
A la cuenta de servicio que ejecutará el analizador se le deben conceder permisos de control total a las siguientes claves del Registro:
Si, después de configurar estos permisos, ve un error al instalar el analizador, se puede omitir el error y puede iniciar manualmente el servicio de escáner.
Cree manualmente una base de datos y un usuario para el analizador y conceda derechos de db_owner
Si necesita crear manualmente la base de datos del analizador o crear un usuario y conceder derechos de db_owner en la base de datos, pida al administrador del sistema que realice los pasos siguientes:
Cree una base de datos para el analizador:
**CREATE DATABASE AIPScannerUL_[clustername]**
**ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
Conceda derechos al usuario que ejecuta el comando de instalación y se usa para ejecutar comandos de administración del analizador. Use el siguiente script:
if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
Conceda derechos a la cuenta de servicio del analizador. Use el siguiente script:
if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
Restricción: no se puede conceder a la cuenta de servicio del analizador el derecho Iniciar sesión localmente
Si las directivas de su organización prohíben el derecho Iniciar sesión localmente para las cuentas de servicio, use el parámetro OnBehalfOf con Set-Authentication.
Restricción: la cuenta de servicio del analizador no se puede sincronizar con Microsoft Entra ID, pero el servidor tiene conectividad a Internet
Puede tener una cuenta para ejecutar el servicio de escáner y usar otra cuenta para autenticarse en Microsoft Entra ID:
Para la cuenta de servicio del analizador, use una cuenta local de Windows o una cuenta de Active Directory.
Para la cuenta de Microsoft Entra, especifique el usuario Microsoft Entra en el cmdlet Set-Authentication, en el parámetro DelegatedUser.
Si está ejecutando el examen en cualquier usuario que no sea la cuenta del analizador, asegúrese de especificar también la cuenta del escáner en el parámetro OnBehalfOf .
Este módulo examina el proceso de implementación de las etiquetas de confidencialidad, incluida la aplicación de los permisos administrativos adecuados, la determinación de una estrategia de implementación, la creación, configuración y publicación de etiquetas, y la eliminación y borrado de etiquetas.
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.