Résoudre les problèmes liés au déploiement de l’analyseur de protection des informations

• S’applique à:

  Microsoft Purview

Remarque

Le scanneur d’étiquetage unifié Azure Information Protection est renommé Protection des données Microsoft Purview scanneur. Dans le même temps, la configuration (actuellement en préversion) est déplacée vers le portail de conformité Microsoft Purview. Actuellement, vous pouvez configurer le scanneur dans le Portail Azure et le portail de conformité. Les instructions de cet article font référence aux deux portails d’administration.

Si vous rencontrez des problèmes avec le scanneur microsoft Preview Information Protection, vérifiez si votre déploiement est sain à l’aide de l’applet de commande PowerShell Start-AIPScannerDiagnostics pour démarrer l’outil de diagnostic du scanneur :

Start-AIPScannerDiagnostics

L’outil diagnostics vérifie les détails suivants, puis crée un fichier journal avec les résultats :

• Si la base de données est à jour
• Si les URL réseau sont accessibles
• S’il existe un jeton d’authentification valide et si la stratégie peut être acquise
• Indique si le profil est défini dans le Portail Azure
• Si la configuration hors connexion/en ligne existe et peut être acquise
• Si les règles configurées sont valides

Conseil

• Si vous n’exécutez pas l’outil à l’aide du compte de service utilisé pour exécuter le service de scanneur, vous devez utiliser le -OnBehalf paramètre . Sinon, vous rencontrerez des erreurs.
• Pour imprimer les 10 dernières erreurs à partir du journal du scanneur, ajoutez le Verbose paramètre . Si vous souhaitez imprimer davantage d’erreurs, utilisez pour VerboseErrorCount définir le nombre d’erreurs que vous souhaitez imprimer.

La Start-AIPScannerDiagnostics commande n’exécute pas de conditions préalables complètes case activée. Si vous rencontrez des problèmes avec le scanneur, vous devez également vous assurer que votre système est conforme aux exigences du scanneur, et que la configuration et l’installation de votre scanneur sont terminées.

Vérifier les détails de l’analyse par nœud et dépôt du scanneur

Exécutez l’applet de commande PowerShell Get-AIPScannerStatus pour obtenir des détails sur la status d’analyse actuelle et la liste des nœuds de votre cluster de scanneur.

PS C:\> Get-AIPScannerStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

Utilisez la NodesInfo variable avec l’applet de commande Get-AIPScannerStatus pour obtenir plus de détails sur chaque nœud du cluster :

PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo

La sortie affiche les détails de chaque nœud d’une table, comme illustré dans l’exemple suivant :

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Pour explorer plus en détail chaque nœud, utilisez à nouveau la NodesInfo variable, avec l’entier du nœud commençant par 0.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

La sortie affiche les détails des analyses sur le nœud sélectionné, comme indiqué dans l’exemple suivant :

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Utilisez le Verbose paramètre avec l’applet de commande Get-AIPScannerStatus pour obtenir des données sur une analyse actuelle.

PS C:\> Get-AIPScannerStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

Utilisez les RepositoriesStatus variables ou CurrentScanSummary pour explorer plus en détail la status des dépôts.

Les valeurs de status de référentiel possibles sont les suivantes :

• Ignoré, si le dépôt a été ignoré
• En attente, si l’analyse actuelle n’a pas encore commencé à analyser le dépôt
• Analyse, si l’analyse actuelle est en cours d’exécution sur le référentiel
• Terminé, si l’analyse actuelle s’est terminée sur le dépôt

Exemple : utiliser la variable RepositoriesStatus

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

Exemple : utiliser la variable CurrentScanSummary

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Cette sortie n’affiche qu’un seul dépôt. S’il existe plusieurs dépôts, chacun d’eux est répertorié séparément.

Informations de référence sur les erreurs du scanneur

Le tableau suivant fournit des informations sur les messages d’erreur spécifiques générés par le scanneur et fournit des actions pour résoudre le problème associé :

Type d’erreur	Résolution des problèmes
Erreurs d’authentification	Jeton d’authentification non accepté Jeton d’authentification manquant
Erreurs de stratégie	Stratégie manquante La stratégie n’inclut aucune condition d’étiquetage automatique
Erreurs de base de données/schéma	Erreurs de base de données Schéma incompatible ou obsolète
Autres erreurs	La connexion sous-jacente a été fermée Processus de scanneur bloqués Impossible de se connecter au serveur distant Tâche ou profil d’analyse de contenu manquant Aucun référentiel configuré Aucun cluster trouvé

Jeton d’authentification non accepté

Message d’erreur

Microsoft.InformationProtection.Exceptions.AccessDeniedException : le service n’a pas accepté le jeton d’authentification.

Description

Échec de la commande Set-AIPAuthentication .

Solution

Vérifiez que les autorisations appropriées sont correctement définies dans le Portail Azure.

Pour plus d’informations, consultez Créer et configurer Microsoft Entra applications pour Set-AIPAuthentication.

Jeton d’authentification manquant

Messages d’erreur

• NoAuthTokenException : l’application cliente n’a pas pu fournir le jeton d’authentification pour la requête HTTP

• Microsoft.InformationProtection.Exceptions.NoAuthTokenException : l’application cliente n’a pas pu fournir de jeton d’authentification pour la requête HTTP. Échec avec : System.AggregateException : Une ou plusieurs erreurs se sont produites. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException : user_interaction_required : une des deux conditions a été rencontrée : 1. L’indicateur PromptBehavior.Never a été passé, mais la contrainte n’a pas pu être respectée, car l’interaction utilisateur était requise. 2. Une erreur s’est produite lors d’une authentification web silencieuse qui a empêché le flux d’authentification HTTP de se terminer dans un laps de temps suffisamment court

• Échec de l’acquisition d’un jeton à l’aide de l’authentification intégrée Windows (aucune authentification unique)

• À partir de la Portail Azure, dans la page Nœuds :

  La stratégie n’inclut aucune condition d’étiquetage automatique

Description

Ces erreurs d’authentification se produisent lorsque le scanneur s’exécute de manière non interactive.

Solution

Vous devez vous authentifier à l’aide d’un jeton à l’aide de l’applet de commande Set-AIPAuthentication .

Lorsque vous exécutez l’applet de commande Set-AIPAuthentication, veillez à utiliser le paramètre de jeton pour le compte de service utilisé pour exécuter le service d’analyse, comme indiqué dans l’exemple suivant :

$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Pour plus d’informations, consultez Obtenir un jeton Microsoft Entra pour le scanneur.

Stratégie manquante

Message d’erreur

La stratégie est manquante

Description

Le scanneur ne trouve pas votre fichier de stratégie d’étiquette de confidentialité.

Solution

Pour vérifier que votre fichier de stratégie existe comme prévu, case activée à l’emplacement suivant : %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3.

Pour plus d’informations sur les étiquettes de confidentialité et leurs stratégies d’étiquette, consultez Créer et configurer des étiquettes de confidentialité et leurs stratégies.

La stratégie n’inclut pas de conditions d’étiquetage automatique

Message d’erreur

Conditions d’étiquetage manquantes pour la stratégie

Description

La stratégie d’étiquetage ne contient pas de conditions d’étiquetage automatique.

Solution

Configurez les paramètres suivants :

Setting	Étapes de configuration des paramètres
Paramètres du travail d’analyse de contenu	Dans le Portail Azure, procédez comme suit : Définissez les types d’informations à découvrir surTous Définir une étiquette par défaut à appliquer lors de l’analyse
Paramètres de stratégie d’étiquetage	Dans le portail de conformité Microsoft Purview, procédez comme suit : Définir une étiquette de confidentialité par défaut Configurer l’étiquetage automatique/recommandé

Si les paramètres sont déjà définis comme prévu, le fichier de stratégie lui-même peut être manquant ou inaccessible, par exemple en cas de délai d’expiration du portail de conformité Microsoft Purview.

Pour vérifier votre fichier de stratégie, case activée que le fichier suivant existe : %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

Pour plus d’informations, consultez Qu’est-ce que le scanneur d’étiquetage unifié Azure Information Protection ? et En savoir plus sur les étiquettes de confidentialité.

Erreurs de base de données

Message d’erreur

Erreur de base de données

Description

Le scanneur ne peut pas se connecter à la base de données.

Solution

Vérifiez la connectivité réseau entre l’ordinateur du scanneur et la base de données.

En outre, assurez-vous que le compte de service utilisé pour exécuter des processus d’analyse dispose de toutes les autorisations nécessaires pour accéder à la base de données.

Schéma incompatible ou obsolète

Message d’erreur

Un des éléments suivants :

• SchemaMismatchException

• Dans le Portail Azure, dans la page Nœuds :

  Le schéma de base de données n’est pas à jour. Exécutez Update-AIPScanner commande pour mettre à jour le schéma de base de données
  Erreur : Le schéma de base de données n’est pas à jour

Description

Le schéma de base de données n’est pas à jour.

Solution

Exécutez l’applet de commande Update-AIPScanner pour resynchroniser votre schéma et vérifier qu’il est à jour avec les modifications récentes.

La connexion sous-jacente a été fermée

Messages d’erreur

System.Net.WebException : la connexion sous-jacente a été fermée : une erreur inattendue s’est produite lors d’un envoi. >--- System.IO.IOException : l’authentification a échoué, car la partie distante a fermé le flux de transport.

[System.Net.Http.HttpRequestException : une erreur s’est produite lors de l’envoi de la requête. >--- System.Net.WebException : La connexion sous-jacente a été fermée : une erreur inattendue s’est produite lors d’un envoi. >--- System.IO.IOException : Impossible de lire les données à partir de la connexion de transport : une connexion existante a été fermée de force par l’hôte distant. >--- System.Net.Sockets.SocketException : une connexion existante a été fermée de force par l’hôte distant.

Description

Ces erreurs indiquent que TLS 1.2 n’est pas activé.

Solution

Pour activer TLS 1.2, consultez :

• Configuration requise pour les pare-feu et l’infrastructure réseau
• Comment activer TLS 1.2
• Activer la prise en charge des protocoles TLS 1.1 et TLS 1.2 dans Office Online Server

Processus de scanneur bloqués

Message d’erreur

Aucun message d’erreur n’est affiché, mais le scanneur expire.

Description

Le scanneur traite un seul fichier plus longtemps que prévu ou s’arrête de façon inattendue lors de l’analyse d’un grand nombre de fichiers dans un dépôt. Le processus du scanneur peut être bloqué.

Solution

Modifiez l’un des paramètres suivants :

• Nombre de ports dynamiques. Vous devrez peut-être augmenter le nombre de ports dynamiques pour le système d’exploitation hébergeant les fichiers. Le renforcement du serveur pour SharePoint peut être l’une des raisons pour lesquelles le scanneur dépasse le nombre de connexions réseau autorisées et s’arrête.

  Pour plus d’informations sur la façon d’afficher la plage de ports actuelle et d’augmenter la plage, consultez Paramètres qui peuvent être modifiés pour améliorer les performances réseau.

• Seuil d’affichage de liste. Pour les batteries de serveurs SharePoint volumineuses, vous devrez peut-être augmenter le seuil d’affichage de liste. Par défaut, le seuil d’affichage de liste est défini sur 5 000.

  Pour plus d’informations sur l’augmentation du seuil, voir Gérer des listes et bibliothèques volumineuses dans SharePoint.

Si le problème persiste, case activée le rapport détaillé pour déterminer si la taille du fichier augmente.

Si la taille du fichier continue d’augmenter, le scanneur traite toujours les données, et vous devez attendre qu’il soit terminé.

Si la taille du fichier n’augmente plus, procédez comme suit :

1. Exécutez les applets de commande suivantes :

   • Applet de commande Start-AIPScannerDiagnostics : pour exécuter des vérifications de diagnostic sur votre scanneur et exporter et compresser les fichiers journaux pour toutes les erreurs détectées.
   • Applet de commande Export-AIPLogs : pour exporter et créer une version .zip des fichiers journaux à partir du répertoire %localappdata%\Microsoft\MSIP\Logs.

2. Créez un fichier de vidage pour le service Scanneur MSIP. Dans le Gestionnaire des tâches Windows, cliquez avec le bouton droit sur le service Scanneur MSIP, puis sélectionnez Créer un fichier de vidage.

3. Dans le Portail Azure, arrêtez l’analyse.

4. Sur l’ordinateur du scanneur, redémarrez le service.

5. Ouvrez un ticket de support et joignez les fichiers de vidage du processus du scanneur.

Impossible de se connecter au serveur distant

Message d’erreur

Dans le fichier MSIPScanner.iplog situé sous %localappdata%\Microsoft\MSIP\Logs\ :

Impossible de se connecter au serveur distant ---> System.Net.Sockets.SocketException : une seule utilisation de chaque adresse de socket (protocole/adresse réseau/port) est normalement autorisée IP :port

S’il existe plusieurs journaux, le fichier MSIPScanner.iplog est un fichier .zip.

Description

Le scanneur a dépassé le nombre de connexions réseau autorisées.

Solution

Augmentez le nombre de ports dynamiques pour le système d’exploitation hébergeant les fichiers.

Pour plus d’informations sur la façon d’afficher la plage de ports actuelle et d’augmenter la plage, consultez Paramètres qui peuvent être modifiés pour améliorer les performances réseau.

Tâche ou profil d’analyse de contenu manquant

Message d’erreur

Dans le Portail Azure, dans la page Nœuds :

Aucun travail d’analyse de contenu trouvé

Description

Cette erreur se produit lorsque le travail ou le profil d’analyse de contenu est introuvable.

Solution

Vérifiez la configuration de votre scanneur dans le Portail Azure.

Pour plus d’informations, consultez Configuration et installation du scanneur d’étiquetage unifié Azure Information Protection.

Note: Un profil est un terme de scanneur hérité qui a été remplacé par le cluster du scanneur et le travail d’analyse de contenu dans les versions plus récentes du scanneur.

Aucun référentiel configuré

Message d’erreur

Dans le portail d’administration, accédez à la page Nœuds :

Aucun référentiel n’est configuré

Description

Vous pouvez avoir un travail d’analyse de contenu sans référentiels configurés.

Solution

Vérifiez les paramètres de votre travail d’analyse de contenu et ajoutez au moins un dépôt.

Pour plus d’informations, consultez Créer un travail d’analyse de contenu.

Aucun cluster trouvé

Message d’erreur

Dans le portail d’administration, accédez à la page Nœuds :

Aucun cluster trouvé

Description

Aucune correspondance réelle n’a été trouvée pour l’un des clusters de scanneur que vous avez définis.

Solution

Vérifiez la configuration de votre cluster et case activée-la par rapport à vos propres détails système pour les fautes de frappe et les erreurs.

Pour plus d’informations, consultez Créer un cluster de scanneur.

Informations supplémentaires

Meilleures pratiques pour le déploiement et l’utilisation du scanneur UL AIP.