Prise en main du scanneur de protection des informations

  • Article

Remarque

Maintenant en préversion, il existe une nouvelle version du scanneur de protection des informations. Pour plus d’informations, consultez Mettre à niveau le scanneur Protection des données Microsoft Purview à partir du client Azure Information Protection.

Avant d’installer le scanneur à partir de Protection des données Microsoft Purview, assurez-vous que votre système est conforme aux exigences de base d’Azure Information Protection.

En outre, les exigences suivantes sont spécifiques au scanneur :

Si vous ne parvenez pas à répondre à toutes les exigences répertoriées pour le scanneur, car elles sont interdites par vos stratégies de organization, consultez la section configurations alternatives.

Lorsque vous déployez le scanneur en production ou testez les performances de plusieurs scanneurs, consultez Exigences de stockage et planification de la capacité pour SQL Server.

Lorsque vous êtes prêt à démarrer l’installation et le déploiement de votre scanneur, passez à La configuration et à l’installation de l’analyseur de protection des informations.

Configuration requise pour Windows Server

Vous devez disposer d’un ordinateur Windows Server pour exécuter le scanneur, qui a les spécifications système suivantes :

Spécification Détails
Processeur Processeurs à 4 cœurs
Mémoire RAM 8 Go
Espace disque 10 Go d’espace libre (moyenne) pour les fichiers temporaires.

Le scanneur a besoin de suffisamment d’espace disque pour créer des fichiers temporaires pour chaque fichier qu’il analyse, quatre fichiers par cœur.

L’espace disque recommandé de 10 Go permet à 4 processeurs cœurs d’analyser 16 fichiers dont la taille de fichier est de 625 Mo.
Système d’exploitation Versions 64 bits de :

- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2

Remarque : à des fins de test ou d’évaluation dans un environnement hors production, vous pouvez également utiliser n’importe quel système d’exploitation Windows pris en charge par le client Azure Information Protection.
- Connectivité réseau Votre ordinateur scanneur peut être un ordinateur physique ou virtuel disposant d’une connexion réseau rapide et fiable aux magasins de données à analyser.

Si la connectivité Internet n’est pas possible en raison de vos stratégies de organization, consultez Déploiement du scanneur avec d’autres configurations.

Sinon, assurez-vous que cet ordinateur dispose d’une connectivité Internet qui autorise les URL suivantes via HTTPS (port 443) :

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com
- *.protection.outlook.com
Partages NFS Pour prendre en charge les analyses sur les partages NFS, les services pour NFS doivent être déployés sur l’ordinateur du scanneur.

Sur votre ordinateur, accédez à la boîte de dialogue des paramètres Fonctionnalités Windows (Activer ou désactiver les fonctionnalités Windows), puis sélectionnez les éléments suivants : Services pouroutils d’administrationNFS> et Client pour NFS.
Microsoft Office iFilter Lorsque votre scanneur est installé sur un ordinateur Windows Server, vous devez également installer Microsoft Office iFilter afin d’analyser .zip fichiers à la recherche de types d’informations sensibles.

Pour plus d’informations, consultez le site de téléchargement Microsoft.

Conditions requises pour les comptes de service

Vous devez disposer d’un compte de service pour exécuter le service de scanneur sur l’ordinateur Windows Server, ainsi que pour vous authentifier auprès de Microsoft Entra ID et télécharger la stratégie du scanneur.

Votre compte de service doit être un compte Active Directory et synchronisé avec Microsoft Entra ID.

Si vous ne pouvez pas synchroniser ce compte en raison de vos stratégies de organization, consultez Déploiement du scanneur avec d’autres configurations.

Ce compte de service a les exigences suivantes :

Conditions requises Détails
Se connecter localement à l’attribution des droits d’utilisateur Requis pour installer et configurer le scanneur, mais pas pour exécuter des analyses.

Une fois que vous avez confirmé que le scanneur peut découvrir, classifier et protéger les fichiers, vous pouvez supprimer ce droit du compte de service.

Si l’octroi de ce droit, même pendant une courte période, n’est pas possible en raison de vos stratégies de organization, consultez Déploiement du scanneur avec d’autres configurations.
Connectez-vous en tant que service attribution de droits d’utilisateur. Ce droit est automatiquement accordé au compte de service pendant l’installation du scanneur et ce droit est requis pour l’installation, la configuration et le fonctionnement du scanneur.
Autorisations sur les référentiels de données - Partages de fichiers ou fichiers locaux : accordez les autorisations lecture, écriture et modification pour analyser les fichiers, puis appliquer la classification et la protection comme configuré.

- SharePoint : vous devez accorder des autorisations de contrôle total pour analyser les fichiers, puis appliquer la classification et la protection aux fichiers qui répondent aux conditions de la stratégie de Information Protection Azure.

- Mode de découverte : pour exécuter le scanneur en mode découverte uniquement, l’autorisation lecture est suffisante.
Pour les étiquettes qui reprotégent ou suppriment la protection Pour vous assurer que le scanneur a toujours accès aux fichiers chiffrés, faites de ce compte un super utilisateur pour Azure Information Protection et assurez-vous que la fonctionnalité de super utilisateur est activée.

En outre, si vous avez implémenté des contrôles d’intégration pour un déploiement par phases, assurez-vous que le compte de service est inclus dans les contrôles d’intégration que vous avez configurés.
Analyse au niveau de l’URL spécifique Pour analyser et découvrir des sites et des sous-sites sous une URL spécifique, accordez des droits d’auditeur du collecteur de sites au compte scanneur au niveau de la batterie de serveurs.
Licence pour la protection des informations Requis pour fournir des fonctionnalités de classification, d’étiquetage ou de protection des fichiers au compte de service du scanneur.

Pour plus d’informations, consultez les conseils de Microsoft 365 pour la sécurité & la conformité.

Configuration requise pour SQL Server

Pour stocker les données de configuration du scanneur, utilisez un serveur SQL avec les exigences suivantes :

  • Un instance local ou distant.

    Nous vous recommandons d’héberger le serveur SQL et le service de scanneur sur différents ordinateurs, sauf si vous travaillez avec un petit déploiement. En outre, nous vous recommandons de disposer d’une instance SQL dédiée qui sert uniquement la base de données du scanneur et qui n’est pas partagée avec d’autres applications.

    Si vous travaillez sur un serveur partagé, assurez-vous que le nombre recommandé de cœurs est gratuit pour que la base de données du scanneur fonctionne.

    SQL Server 2016 est la version minimale pour les éditions suivantes :

    • SQL Server Enterprise

    • SQL Server Standard

    • SQL Server Express (recommandé pour les environnements de test uniquement)

  • Un compte avec le rôle Sysadmin pour installer le scanneur.

    Le rôle Sysadmin permet au processus d’installation de créer automatiquement la base de données de configuration du scanneur et d’accorder le rôle db_owner requis au compte de service qui exécute le scanneur.

    Si le rôle Sysadmin ne vous est pas accordé ou si vos stratégies de organization nécessitent la création et la configuration manuelles des bases de données, consultez Déploiement du scanneur avec d’autres configurations.

  • Capacité. Pour obtenir des conseils sur la capacité, consultez Exigences de stockage et planification de la capacité pour SQL Server.

  • Classement non sensible à la casse.

Remarque

Plusieurs bases de données de configuration sur le même serveur SQL sont prises en charge lorsque vous spécifiez un nom de cluster personnalisé pour le scanneur ou lorsque vous utilisez la préversion du scanneur.

Exigences de stockage et planification de la capacité pour SQL Server

La quantité d’espace disque nécessaire pour la base de données de configuration du scanneur et la spécification de l’ordinateur exécutant SQL Server peuvent varier pour chaque environnement. Nous vous encourageons donc à effectuer vos propres tests. Utilisez les conseils suivants comme point de départ.

Pour plus d’informations, consultez Optimisation des performances du scanneur.

La taille du disque de la base de données de configuration du scanneur varie pour chaque déploiement. Utilisez l’équation suivante comme guide :

100 KB + <file count> *(1000 + 4* <average file name length>)

Par exemple, pour analyser 1 million de fichiers dont la longueur moyenne du nom de fichier est de 250 octets, allouez 2 Go d’espace disque.

Pour plusieurs scanneurs :

  • Jusqu’à 10 scanneurs, utilisez :

    • Processeurs à 4 cœurs
    • 8 Go de RAM recommandé

  • Plus de 10 scanneurs (maximum 40), utilisez :

    • 8 processus principaux
    • 16 Go de RAM recommandé

Configuration requise du client Azure Information Protection

Pour un réseau de production, la version actuelle en disponibilité générale du client Azure Information Protection doit être installée sur l’ordinateur Windows Server.

Pour plus d’informations, consultez le guide de l’administrateur client d’étiquetage unifié Azure Information Protection.

Importante

Vous devez installer le client complet pour le scanneur. N’installez pas le client uniquement avec le module PowerShell.

Exigences de configuration des étiquettes

Vous devez disposer d’au moins une étiquette de confidentialité configurée dans le portail Microsoft Purview ou portail de conformité Microsoft Purview pour le compte du scanneur, afin d’appliquer la classification et, éventuellement, le chiffrement.

Le compte du scanneur est le compte que vous allez spécifier dans le paramètre DelegatedUser de l’applet de commande Set-AIPAuthentication , exécuté lors de la configuration de votre scanneur.

Si vos étiquettes n’ont pas de conditions d’étiquetage automatique, consultez les instructions pour les autres configurations ci-dessous.

Pour plus d’informations, reportez-vous aux rubriques suivantes :

Configuration requise pour SharePoint

Pour analyser les bibliothèques et dossiers de documents SharePoint, vérifiez que votre serveur SharePoint est conforme aux exigences suivantes :

Conditions requises Description
Versions prises en charge Les versions prises en charge incluent : SharePoint 2019, SharePoint 2016 et SharePoint 2013.
Les autres versions de SharePoint ne sont pas prises en charge pour le scanneur.
Contrôle de version Lorsque vous utilisez le contrôle de version, le scanneur inspecte et étiquette la dernière version publiée.

Si le scanneur étiquette un fichier et que l’approbation du contenu est requise, ce fichier étiqueté doit être approuvé pour être disponible pour les utilisateurs.
Grandes batteries de serveurs SharePoint Pour les batteries de serveurs SharePoint volumineuses, case activée si vous devez augmenter le seuil d’affichage de liste (par défaut, 5 000) pour que le scanneur accède à tous les fichiers.

Pour plus d’informations, voir Gérer des listes et bibliothèques volumineuses dans SharePoint.
Chemins d’accès de fichiers longs Si vous avez des chemins de fichiers longs dans SharePoint, vérifiez que la valeur httpRuntime.maxUrlLength de votre serveur SharePoint est supérieure aux 260 caractères par défaut.

Pour plus d’informations, consultez la section suivante, Éviter les délais d’expiration du scanneur dans SharePoint.

Éviter les délais d’expiration du scanneur dans SharePoint

Si vous avez des chemins de fichiers longs dans SharePoint version 2013 ou ultérieure, vérifiez que la valeur httpRuntime.maxUrlLength de votre serveur SharePoint est supérieure aux 260 caractères par défaut.

Cette valeur est définie dans la classe HttpRuntimeSection de la ASP.NET configuration.

Pour mettre à jour la classe HttpRuntimeSection :

  1. Sauvegardez votre configuration web.config .

  2. Mettez à jour la valeur maxUrlLength si nécessaire. Par exemple :

    <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />

  3. Redémarrez votre serveur web SharePoint et vérifiez qu’il se charge correctement.

    Par exemple, dans le Gestionnaire des serveurs Internet (IIS) Windows, sélectionnez votre site, puis sous Gérer le site web, sélectionnez Redémarrer.

Configuration requise pour Microsoft Office

Pour analyser des documents Office, vos documents doivent être dans l’un des formats suivants :

  • Microsoft Office 97-2003
  • Formats Office Open XML pour Word, Excel et PowerPoint

Pour plus d’informations, consultez Types de fichiers pris en charge par le client d’étiquetage unifié Azure Information Protection.

Conditions requises pour le chemin d’accès au fichier

Par défaut, pour analyser les fichiers, vos chemins d’accès doivent comporter un maximum de 260 caractères.

Pour analyser des fichiers avec des chemins de fichiers de plus de 260 caractères, installez le scanneur sur un ordinateur avec l’une des versions de Windows suivantes et configurez l’ordinateur en fonction des besoins :

Version de Windows Description
Windows 2016 ou version ultérieure Configurer l’ordinateur pour prendre en charge les chemins longs
Windows 10 ou Windows Server 2016 Définissez le paramètre de stratégie de groupe suivant : Stratégie ordinateur> localConfiguration ordinateur>Modèles> d’administrationTous les paramètres>Activer les chemins longs Win32.

Pour plus d’informations sur la prise en charge des chemins d’accès longs dans ces versions, consultez la section Limitation de la longueur maximale du chemin d’accès de la documentation du développeur Windows 10.
Windows 10, version 1607 ou ultérieure Optez pour la fonctionnalité MAX_PATH mise à jour. Pour plus d’informations, consultez Activer les chemins longs dans Windows 10 versions 1607 et ultérieures.

Déploiement du scanneur avec d’autres configurations

Les conditions préalables répertoriées ci-dessus sont les exigences par défaut pour le déploiement du scanneur et recommandées, car elles prennent en charge la configuration de scanneur la plus simple.

Les exigences par défaut doivent convenir aux tests initiaux, afin que vous puissiez case activée les fonctionnalités du scanneur.

Toutefois, dans un environnement de production, les stratégies de votre organization peuvent être différentes des exigences par défaut. Le scanneur peut prendre en charge les modifications suivantes avec une configuration supplémentaire :

Découvrir et analyser tous les sites et sous-sites SharePoint sous une URL spécifique

Le scanneur peut découvrir et analyser tous les sites et sous-sites SharePoint sous une URL spécifique avec la configuration suivante :

  1. Démarrez l’Administration centrale de SharePoint.

  2. Sur le site web Administration centrale de SharePoint , dans la section Gestion des applications, cliquez sur Gérer les applications web.

  3. Cliquez pour mettre en surbrillance l’application web dont vous souhaitez gérer le niveau de stratégie d’autorisation.

  4. Choisissez la batterie de serveurs appropriée, puis sélectionnez Gérer les niveaux de stratégie d’autorisations.

  5. Sélectionnez Auditeur de collection de sites dans les options Autorisations de collection de sites, puis accordez Afficher les pages d’application dans la liste Autorisations, puis nommez le nouveau niveau de stratégie Auditeur et visionneuse de la collection de sites du scanneur.

  6. Ajoutez votre utilisateur de scanneur à la nouvelle stratégie et accordez la collection de sites dans la liste Autorisations.

  7. Ajoutez une URL de SharePoint qui héberge les sites ou sous-sites qui doivent être analysés. Pour plus d’informations, consultez Configurer les paramètres du scanneur.

Pour en savoir plus sur la gestion de vos niveaux de stratégie SharePoint, consultez Gérer les stratégies d’autorisation pour une application web.

Restriction : Le serveur d’analyse ne peut pas disposer d’une connectivité Internet

Bien que le client d’étiquetage unifié ne puisse pas appliquer le chiffrement sans connexion Internet, le scanneur peut toujours appliquer des étiquettes basées sur des stratégies importées.

Pour prendre en charge un ordinateur déconnecté, utilisez l’une des méthodes suivantes :

Utiliser le portail Microsoft Purview ou portail de conformité Microsoft Purview avec un ordinateur déconnecté

Pour prendre en charge un ordinateur qui ne peut pas se connecter au portail Microsoft Purview ou à portail de conformité Microsoft Purview, procédez comme suit :

  1. Configurez les étiquettes dans votre stratégie, puis utilisez la procédure pour prendre en charge les ordinateurs déconnectés afin d’activer la classification et l’étiquetage hors connexion.

  2. Activez la gestion hors connexion pour les travaux de contenu comme suit :

    Activer la gestion hors connexion pour les travaux d’analyse de contenu :

    1. Définissez le scanneur pour qu’il fonctionne en mode hors connexion , à l’aide de l’applet de commande Set-AIPScannerConfiguration .

    2. Configurez le scanneur dans le portail de conformité en créant un cluster de scanneur. Pour plus d’informations, consultez Configurer les paramètres du scanneur.

    3. Exportez votre travail de contenu à partir du volet Informations protection - Tâches d’analyse de contenu à l’aide de l’option Exporter .

    4. Importez la stratégie à l’aide de l’applet de commande Import-AIPScannerConfiguration .

    Les résultats des travaux d’analyse de contenu hors connexion se trouvent à l’adresse : %localappdata%\Microsoft\MSIP\Scanner\Reports

Utiliser PowerShell avec un ordinateur déconnecté

Effectuez la procédure suivante pour prendre en charge un ordinateur déconnecté à l’aide de PowerShell uniquement.

Importante

Les administrateurs des serveurs de scanneur Azure China 21Vianetdoivent utiliser cette procédure pour gérer leurs travaux d’analyse de contenu.

Gérez vos travaux d’analyse de contenu à l’aide de PowerShell uniquement :

  1. Définissez le scanneur pour qu’il fonctionne en mode hors connexion , à l’aide de l’applet de commande Set-AIPScannerConfiguration .

  2. Créez un travail d’analyse de contenu à l’aide de l’applet de commande Set-AIPScannerContentScanJob , en veillant à utiliser le paramètre obligatoire -Enforce On .

  3. Ajoutez vos dépôts à l’aide de l’applet de commande Add-AIPScannerRepository , avec le chemin d’accès au dépôt que vous souhaitez ajouter.

    Conseil

    Pour empêcher le dépôt d’hériter des paramètres de votre travail d’analyse de contenu, ajoutez le OverrideContentScanJob On paramètre, ainsi que des valeurs pour d’autres paramètres.

    Pour modifier les détails d’un dépôt existant, utilisez la commande Set-AIPScannerRepository .

  4. Utilisez les applets de commande Get-AIPScannerContentScanJob et Get-AIPScannerRepository pour retourner des informations sur les paramètres actuels de votre travail d’analyse de contenu.

  5. Utilisez la commande Set-AIPScannerRepository pour mettre à jour les détails d’un dépôt existant.

  6. Exécutez votre travail d’analyse de contenu immédiatement si nécessaire, à l’aide de l’applet de commande Start-AIPScan .

    Les résultats des travaux d’analyse de contenu hors connexion se trouvent à l’adresse : %localappdata%\Microsoft\MSIP\Scanner\Reports

  7. Si vous devez supprimer un dépôt ou un travail d’analyse de contenu entier, utilisez les applets de commande suivantes :

Restriction : Vous ne pouvez pas recevoir sysadmin ou les bases de données doivent être créées et configurées manuellement

Utilisez les procédures suivantes pour créer manuellement des bases de données et accorder le rôle db_owner , si nécessaire.

Si le rôle Sysadmin peut vous être accordé temporairement pour installer le scanneur, vous pouvez supprimer ce rôle une fois l’installation du scanneur terminée.

Effectuez l’une des opérations suivantes, en fonction des exigences de votre organization :

Restriction Description
Vous pouvez avoir le rôle Sysadmin temporairement Si vous disposez temporairement du rôle Sysadmin, la base de données est automatiquement créée pour vous et le compte de service du scanneur reçoit automatiquement les autorisations requises.

Toutefois, le compte d’utilisateur qui configure le scanneur nécessite toujours le rôle db_owner pour la base de données de configuration du scanneur. Si vous disposez uniquement du rôle Sysadmin jusqu’à la fin de l’installation du scanneur, accordez manuellement le rôle db_owner au compte d’utilisateur.
Vous ne pouvez pas avoir le rôle Sysadmin du tout Si le rôle Sysadmin ne peut pas vous être accordé, même temporairement, vous devez demander à un utilisateur disposant des droits Sysadmin de créer manuellement une base de données avant d’installer le scanneur.

Pour cette configuration, le rôle db_owner doit être attribué aux comptes suivants :
- Compte de service pour le scanneur
- Compte d’utilisateur pour l’installation du scanneur
- Compte d’utilisateur pour la configuration du scanneur

En règle générale, vous utilisez le même compte d’utilisateur pour installer et configurer le scanneur. Si vous utilisez des comptes différents, ils nécessitent tous les deux le rôle db_owner pour la base de données de configuration du scanneur. Créez cet utilisateur et ces droits en fonction des besoins. Si vous spécifiez votre propre nom de cluster, la base de données de configuration est nommée AIPScannerUL_<cluster_name>.

De plus :

  • Vous devez être un administrateur local sur le serveur qui exécutera le scanneur

  • Le compte de service qui exécutera le scanneur doit disposer d’autorisations Contrôle total sur les clés de Registre suivantes :

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Si, après avoir configuré ces autorisations, vous voyez une erreur lors de l’installation du scanneur, l’erreur peut être ignorée et vous pouvez démarrer manuellement le service du scanneur.

Créer manuellement une base de données et un utilisateur pour le scanneur, et accorder des droits db_owner

Si vous devez créer manuellement votre base de données de scanneur et/ou créer un utilisateur et accorder db_owner droits sur la base de données, demandez à votre administrateur sys d’effectuer les étapes suivantes :

  1. Créez une base de données pour le scanneur :

    **CREATE DATABASE AIPScannerUL_[clustername]**

**ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**

  2. Accordez des droits à l’utilisateur qui exécute la commande d’installation et qui est utilisé pour exécuter les commandes de gestion du scanneur. Utilisez le script suivant :

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

  3. Accordez des droits au compte de service du scanneur. Utilisez le script suivant :

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

Restriction : Le compte de service du scanneur ne peut pas recevoir le droit Se connecter localement

Si vos stratégies de organization interdisent l’ouverture de session localement pour les comptes de service, utilisez le paramètre OnBehalfOf avec Set-AIPAuthentication.

Pour plus d’informations, consultez Comment étiqueter des fichiers de manière non interactive pour Azure Information Protection.

Restriction : le compte de service du scanneur ne peut pas être synchronisé avec Microsoft Entra ID, mais le serveur dispose d’une connectivité Internet

Vous pouvez avoir un compte pour exécuter le service de scanneur et utiliser un autre compte pour vous authentifier auprès de Microsoft Entra ID :

Restriction : vos étiquettes n’ont pas de conditions d’étiquetage automatique

Si vos étiquettes n’ont pas de conditions d’étiquetage automatique, envisagez d’utiliser l’une des options suivantes lors de la configuration de votre scanneur :

Option Description
Découvrir tous les types d’informations Dans votre travail d’analyse de contenu, définissez l’option Types d’informations à découvrir sur Tous.

Cette option définit le travail d’analyse de contenu pour analyser votre contenu pour tous les types d’informations sensibles.
Utiliser l’étiquetage recommandé Dans votre travail d’analyse de contenu, définissez l’option Traiter l’étiquetage recommandé comme automatique sur Activé.

Ce paramètre configure le scanneur pour appliquer automatiquement toutes les étiquettes recommandées à votre contenu.
Définir une étiquette par défaut Définissez une étiquette par défaut dans votre stratégie, votre travail d’analyse de contenu ou votre référentiel.

Dans ce cas, le scanneur applique l’étiquette par défaut sur tous les fichiers trouvés.

Prochaines étapes

Une fois que vous avez confirmé que votre système est conforme aux conditions préalables du scanneur, passez à La configuration et à l’installation du scanneur de protection des informations.

Pour obtenir une vue d’ensemble du scanneur, consultez En savoir plus sur le scanneur de protection des informations.