Configurer et installer le scanneur de protection des informations
Remarque
Il existe une nouvelle version du scanneur de protection des informations. Pour plus d’informations, consultez Mettre à niveau le scanneur Protection des données Microsoft Purview.
Cet article explique comment configurer et installer le scanneur Protection des données Microsoft Purview, anciennement nommé Analyseur d’étiquetage unifié Azure Information Protection, ou le scanneur local.
Conseil
Bien que la plupart des clients effectuent ces procédures dans le portail d’administration, vous devrez peut-être travailler dans PowerShell uniquement.
Par exemple, si vous travaillez dans un environnement sans accès au portail d’administration, tel qu’Azure China 21Vianet, suivez les instructions fournies dans Utiliser PowerShell pour configurer le scanneur.
Vue d’ensemble
Avant de commencer, vérifiez que votre système est conforme aux conditions préalables requises.
Ensuite, procédez comme suit pour configurer et installer le scanneur :
Ensuite, effectuez les procédures de configuration suivantes en fonction des besoins de votre système :
Procedure | Description |
---|---|
Modifier les types de fichiers à protéger | Vous pouvez analyser, classer ou protéger des types de fichiers différents de ceux par défaut. Pour plus d’informations, consultez Le processus d’analyse. |
Mise à niveau de votre scanneur | Mettez à niveau votre scanneur pour utiliser les dernières fonctionnalités et améliorations. |
Modification des paramètres du référentiel de données en bloc | Utilisez les options d’importation et d’exportation pour apporter des modifications en bloc à plusieurs référentiels de données. |
Utiliser le scanneur avec d’autres configurations | Utiliser le scanneur sans configurer d’étiquettes avec aucune condition |
Optimiser les performances | Conseils pour optimiser les performances de votre scanneur |
Si vous n’avez pas accès aux pages du scanneur dans le portail Microsoft Purview ou le portail de conformité Microsoft Purview, configurez les paramètres du scanneur dans PowerShell uniquement. Pour plus d’informations, consultez Utiliser PowerShell pour configurer le scanneur et Applets de commande PowerShell prises en charge.
Configurer les paramètres du scanneur
Avant d’installer le scanneur ou de le mettre à niveau à partir d’une version plus ancienne en disponibilité générale, configurez ou vérifiez vos paramètres. Pour cette configuration, vous pouvez utiliser le portail Microsoft Purview ou le portail de conformité Microsoft Purview.
Pour configurer votre scanneur dans le portail Microsoft Purview ou portail de conformité Microsoft Purview :
- Connectez-vous à l’aide de l’un des rôles suivants :
- Administrateur de conformité
- Administrateur des données de conformité
- Administrateur de sécurité
- Gestion de l'organisation
Selon le portail que vous utilisez, accédez à l’un des emplacements suivants :
Se connecter au portail> Microsoft PurviewParamètres carte >scanneur de protection Information Protection>Information.
Connectez-vous au scanneur deprotection des informations portail de conformité Microsoft Purview >Settings>.
Créez un cluster de scanneur. Ce cluster définit votre scanneur et est utilisé pour identifier le scanneur instance, par exemple lors de l’installation, des mises à niveau et d’autres processus.
Créez un travail d’analyse de contenu pour définir les dépôts que vous souhaitez analyser.
Créer un cluster de scanneur
Pour créer un cluster de scanneur dans le portail Microsoft Purview ou portail de conformité Microsoft Purview :
Dans les onglets de la page Analyseur information protection , sélectionnez Clusters.
Sous l’onglet Clusters, sélectionnez Ajouter
Dans le volet Nouveau cluster , entrez un nom explicite pour le scanneur et une description facultative.
Le nom du cluster est utilisé pour identifier les configurations et les dépôts du scanneur. Par exemple, vous pouvez entrer en Europe pour identifier les emplacements géographiques des référentiels de données que vous souhaitez analyser.
Vous utiliserez ce nom plus tard pour identifier l’emplacement où vous souhaitez installer ou mettre à niveau votre scanneur.
Sélectionnez Enregistrer pour enregistrer vos modifications.
Créer un travail d’analyse de contenu
Présentation approfondie de votre contenu pour analyser des dépôts spécifiques à la recherche de contenu sensible.
Pour créer votre travail d’analyse de contenu sur le portail Microsoft Purview de portail de conformité Microsoft Purview :
Dans les onglets de la page Du scanneur Information Protection , sélectionnez Tâches d’analyse de contenu.
Dans le volet Tâches d’analyse de contenu , sélectionnez Ajouter.
Pour cette configuration initiale, configurez les paramètres suivants, puis sélectionnez Enregistrer.
Setting Description Paramètres du travail d’analyse de contenu - Planification : conservez la valeur par défaut Manuelle
- Types d’informations à découvrir : Passer à la stratégie uniquementStratégie DLP Si vous utilisez une stratégie de protection contre la perte de données, définissez Activer les règles DLPsur Activé. Pour plus d’informations, consultez Utiliser une stratégie DLP. Stratégie de confidentialité - Appliquer la stratégie d’étiquetage de confidentialité : sélectionnez Désactivé
- Étiqueter les fichiers en fonction du contenu : conservez la valeur par défaut Sur
- Étiquette par défaut : conserver la valeur par défaut de la stratégie par défaut
- Réétiqueter les fichiers : conservez la valeur par défaut DésactivéeConfigurer les paramètres de fichier - Conserver « Date de modification », « Dernière modification » et « Modifié par » : conservez la valeur par défaut Sur
- Types de fichiers à analyser : conservez les types de fichiers par défaut pour Exclure
- Propriétaire par défaut : conservez la valeur par défaut du compte scanneur
- Définir le propriétaire du dépôt : utilisez cette option uniquement lors de l’utilisation d’une stratégie DLP.Ouvrez le travail d’analyse de contenu qui a été enregistré, puis sélectionnez l’onglet Référentiels pour spécifier les magasins de données à analyser.
Spécifiez les chemins d’accès UNC et les URL SharePoint Server pour les bibliothèques et dossiers de documents locaux SharePoint.
Remarque
SharePoint Server 2019, SharePoint Server 2016 et SharePoint Server 2013 sont pris en charge pour SharePoint. SharePoint Server 2010 est également pris en charge lorsque vous bénéficiez d’une prise en charge étendue de cette version de SharePoint.
Pour ajouter votre premier magasin de données, sous l’onglet Dépôts :
Dans le volet Référentiels , sélectionnez Ajouter :
Dans le volet Référentiel , spécifiez le chemin d’accès du référentiel de données, puis sélectionnez Enregistrer.
- Pour un partage réseau, utilisez
\\Server\Folder
. - Pour une bibliothèque SharePoint, utilisez
http://sharepoint.contoso.com/Shared%20Documents/Folder
. - Pour un chemin d’accès local :
C:\Folder
- Pour un chemin UNC :
\\Server\Folder
- Pour un partage réseau, utilisez
Remarque
Les caractères génériques ne sont pas pris en charge et les emplacements WebDav ne le sont pas. L’analyse des emplacements OneDrive en tant que dépôts n’est pas prise en charge.
Si vous ajoutez un chemin d’accès SharePoint pour les documents partagés :
- Spécifiez Documents partagés dans le chemin d’accès lorsque vous souhaitez analyser tous les documents et tous les dossiers à partir de Documents partagés.
Par exemple :
http://sp2013/SharedDocuments
- Spécifiez Documents dans le chemin lorsque vous souhaitez analyser tous les documents et tous les dossiers d’un sous-dossier sous Documents partagés.
Par exemple :
http://sp2013/Documents/SalesReports
- Vous pouvez également spécifier uniquement le nom de domaine complet de votre SharePoint, par exemple
http://sp2013
pour découvrir et analyser tous les sites et sous-sites SharePoint sous une URL et des sous-titres spécifiques sous cette URL. Accordez les droits d’auditeur du collecteur de sites du scanneur pour activer cette option.
Pour les autres paramètres de ce volet, ne les modifiez pas pour cette configuration initiale, mais conservez-les comme tâche d’analyse de contenu par défaut. Le paramètre par défaut signifie que le référentiel de données hérite des paramètres du travail d’analyse de contenu.
Utilisez la syntaxe suivante lors de l’ajout de chemins SharePoint :
Path Syntaxe Chemin d’accès racine http://<SharePoint server name>
Analyse tous les sites, y compris les collections de sites autorisées pour l’utilisateur du scanneur.
Nécessite des autorisations supplémentaires pour découvrir automatiquement le contenu racineSous-site ou collection SharePoint spécifique Un des éléments suivants :
-http://<SharePoint server name>/<subsite name>
-http://SharePoint server name>/<site collection name>/<site name>
Nécessite des autorisations supplémentaires pour découvrir automatiquement le contenu de la collection de sitesBibliothèque SharePoint spécifique Un des éléments suivants :
-http://<SharePoint server name>/<library name>
-http://SharePoint server name>/.../<library name>
Dossier SharePoint spécifique http://<SharePoint server name>/.../<folder name>
Répétez les étapes précédentes pour ajouter autant de dépôts que nécessaire.
Vous êtes maintenant prêt à installer le scanneur avec le travail d’analyse de contenu que vous avez créé. Poursuivez avec Installer le scanneur.
Installer le scanneur
Une fois que vous avez configuré le scanneur, procédez comme suit pour installer le scanneur. Cette procédure est entièrement exécutée dans PowerShell.
Connectez-vous à l’ordinateur Windows Server qui exécutera le scanneur. Utilisez un compte disposant de droits d’administrateur local et disposant des autorisations d’écriture dans la base de données SQL Server master.
Importante
Le client Information Protection doit être installé sur votre ordinateur avant d’installer le scanneur.
Pour plus d’informations, consultez Prérequis pour l’installation et le déploiement de l’analyseur de protection des informations.
Ouvrez une session Windows PowerShell avec l’option Exécuter en tant qu’administrateur.
Exécutez l’applet de commande Install-Scanner, en spécifiant votre SQL Server instance sur laquelle créer une base de données pour le scanneur de protection des informations et le nom du cluster du scanneur que vous avez spécifié dans la section précédente :
Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
Exemples, utilisant le nom du cluster du scanneur Europe :
Pour une instance par défaut :
Install-Scanner -SqlServerInstance SQLSERVER1 -Cluster Europe
Pour un instance nommé :
Install-Scanner -SqlServerInstance SQLSERVER1\SCANNER -Cluster Europe
Pour SQL Server Express :
Install-Scanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe
Lorsque vous y êtes invité, fournissez les informations d’identification Active Directory pour le compte de service du scanneur.
Utilisez la syntaxe suivante :
\<domain\user name>
. Par exemple :contoso\scanneraccount
Vérifiez que le service est maintenant installé à l’aide desservices Outils >d’administration.
Le service installé est nommé Protection des données Microsoft Purview Scanneur et est configuré pour s’exécuter à l’aide du compte de service d’analyseur que vous avez créé.
Maintenant que vous avez installé le scanneur, vous devez obtenir un jeton Microsoft Entra pour que le compte de service du scanneur s’authentifie, afin que le scanneur puisse s’exécuter sans assistance.
Obtenir un jeton Microsoft Entra pour le scanneur
Un jeton Microsoft Entra permet au scanneur de s’authentifier auprès du service scanneur Protection des données Microsoft Purview, ce qui permet au scanneur de s’exécuter sans assistance.
Pour plus d’informations, consultez Exécuter des applets de commande d’étiquetage de protection des informations sans assistance.
Pour obtenir un jeton Microsoft Entra :
Accédez au portail Azure et passez au panneau Microsoft Entra ID.
Dans le volet latéral Microsoft Entra ID, cliquez sur Inscriptions d’applications.
En haut, cliquez sur + Nouvelle inscription.
Dans la section Nom, tapez InformationProtectionScanner.
Conservez les types de comptes pris en charge par défaut.
Pour l’URI de redirection, laissez le type Web, mais tapez pour http://localhost la partie entrée et cliquez sur Inscrire.
Dans la page Vue d’ensemble de cette application, notez dans l’éditeur de texte de votre choix les ID suivants : ID d’application (client) et ID d’annuaire (locataire). Vous en aurez besoin plus tard lors de la configuration de la commande Set-AIPAuthentication.
Dans le volet latéral, accédez à Certificats et secrets.
Cliquez sur + Nouvelle clé secrète client.
Dans la boîte de dialogue qui s’affiche, entrez une description de votre secret, définissez-la sur Expirer dans 1 an , puis ajoutez le secret.
Vous devriez maintenant voir dans la section Secrets client qu’il existe une entrée avec la valeur de secret. Copiez cette valeur et stockez-la dans le fichier où vous avez enregistré l’ID client et l’ID de locataire. Il s’agit de la seule fois où vous pourrez voir la valeur du secret. Elle ne sera pas récupérable si vous ne la copiez pas pour l’instant.
Dans le volet latéral, accédez à Autorisations d’API.
Continuez et sélectionnez Ajouter une autorisation.
Lorsque l’écran s’affiche, sélectionnez Azure Rights Management Service. Sélectionnez ensuite Autorisations d’application.
Cliquez sur la liste déroulante de Contenu et cochez les cases Content.DelegatedReader et Content.DelegatedWriter. Ensuite, en bas de l’écran, cliquez sur Ajouter des autorisations.
Revenez à la section Autorisations de l’API et ajoutez une autre autorisation.
Cette fois, pour la section Sélectionner une API, cliquez sur API que mon organization utilise. Dans la barre de recherche, tapez Microsoft Information Protection Sync Service et sélectionnez-le.
Sélectionnez Autorisations de l’application , puis, dans la liste déroulante Stratégie unifiée , cochez l’autorisation UnifiedPolicy.Tenant.Read. Ensuite, en bas de l’écran, cliquez sur Ajouter des autorisations.
De retour sur l’écran Autorisations de l’API, cliquez sur Accorder Administration consentement et recherchez l’opération réussie (indiquée par une coche verte).
À partir de l’ordinateur Windows Server, si votre compte de service de scanneur a reçu le droit d’ouverture de session localement pour l’installation, connectez-vous avec ce compte et démarrez une session PowerShell.
Exécutez Set-Authentication, en spécifiant les valeurs que vous avez copiées à l’étape précédente :
Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
Par exemple :
$pscreds = Get-Credential CONTOSO\scanner Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.
Conseil
Si le droit d’ouverture de session locale pour l’installation ne peut pas être accordé à votre compte de service de scanneur, utilisez le paramètre OnBehalfOf avec Set-Authentication, comme décrit dans La section Exécuter les applets de commande d’étiquetage des informations de protection sans assistance.
Le scanneur dispose désormais d’un jeton pour s’authentifier auprès de Microsoft Entra ID. Ce jeton est valide pendant un an, deux ans ou jamais, selon votre configuration de la clé secrète client /API de l’application web dans Microsoft Entra ID. Lorsque le jeton expire, vous devez répéter cette procédure.
Continuez à utiliser l’une des étapes suivantes, selon que vous utilisez le portail de conformité pour configurer votre scanneur ou PowerShell uniquement :
Vous êtes maintenant prêt à exécuter votre première analyse en mode découverte. Pour plus d’informations, consultez Exécuter un cycle de découverte et afficher les rapports pour le scanneur.
Une fois que vous avez exécuté votre analyse de découverte initiale, passez à Configurer le scanneur pour appliquer la classification et la protection.
Pour plus d’informations, consultez Exécuter des applets de commande d’étiquetage de protection des informations sans assistance.
Configurer le scanneur pour appliquer la classification et la protection
Les paramètres par défaut configurent le scanneur pour qu’il s’exécute une seule fois et en mode création de rapports uniquement. Pour modifier ces paramètres, modifiez le travail d’analyse de contenu.
Conseil
Si vous travaillez uniquement dans PowerShell, consultez Configurer le scanneur pour appliquer la classification et la protection - PowerShell uniquement.
Pour configurer le scanneur pour appliquer la classification et la protection dans le portail Microsoft Purview ou portail de conformité Microsoft Purview :
Dans le portail Microsoft Purview ou portail de conformité Microsoft Purview, sous l’onglet Tâches d’analyse de contenu, sélectionnez un travail d’analyse de contenu spécifique pour le modifier.
Sélectionnez le travail d’analyse de contenu, modifiez les éléments suivants, puis sélectionnez Enregistrer :
- À partir de la section Travail d’analyse de contenu : Remplacez la planification par Toujours
- À partir de la section Appliquer la stratégie d’étiquetage de confidentialité : définissez la case d’option sur Activé
Assurez-vous qu’un nœud pour le travail d’analyse de contenu est en ligne, puis redémarrez le travail d’analyse de contenu en sélectionnant Analyser maintenant. Le bouton Analyser maintenant s’affiche uniquement lorsqu’un nœud pour le travail d’analyse de contenu sélectionné est en ligne.
Le scanneur est maintenant planifié pour s’exécuter en continu. Lorsque le scanneur parcourt tous les fichiers configurés, il démarre automatiquement un nouveau cycle afin que tous les fichiers nouveaux et modifiés soient découverts.
Utiliser une stratégie DLP
L’utilisation d’une stratégie de protection contre la perte de données permet au scanneur de détecter les fuites de données potentielles en faisant correspondre des règles DLP à des fichiers stockés dans des partages de fichiers et SharePoint Server.
Activez les règles DLP dans votre travail d’analyse de contenu pour réduire l’exposition des fichiers qui correspondent à vos stratégies DLP. Lorsque vos règles DLP sont activées, le scanneur peut réduire l’accès aux fichiers aux propriétaires de données uniquement, ou réduire l’exposition aux groupes à l’échelle du réseau, tels que Tout le monde, Utilisateurs authentifiés ou Utilisateurs de domaine.
Dans le portail Microsoft Purview ou portail de conformité Microsoft Purview, déterminez si vous testez simplement votre stratégie DLP ou si vous souhaitez que vos règles soient appliquées et que vos autorisations de fichier soient modifiées en fonction de ces règles. Pour plus d’informations, consultez Créer et déployer des stratégies de protection contre la perte de données
Les stratégies DLP sont configurées dans le portail de conformité Microsoft Purview. Pour plus d’informations sur les licences DLP, consultez Prise en main du scanneur local de protection contre la perte de données.
Conseil
L’analyse de vos fichiers, même lorsque vous testez simplement la stratégie DLP, crée également des rapports d’autorisation de fichier. Interrogez ces rapports pour examiner des expositions de fichiers spécifiques ou explorer l’exposition d’un utilisateur spécifique aux fichiers analysés.
Pour utiliser PowerShell uniquement, consultez Utiliser une stratégie DLP avec le scanneur - PowerShell uniquement.
Pour utiliser une stratégie DLP avec le scanneur dans le portail Microsoft Purview ou portail de conformité Microsoft Purview :
Dans le portail Microsoft Purview ou portail de conformité Microsoft Purview, accédez à l’onglet Tâches d’analyse de contenu et sélectionnez un travail d’analyse de contenu spécifique. Pour plus d’informations, consultez Créer un travail d’analyse de contenu.
Sous Activer les règles de stratégie DLP, définissez la case d’option sur Activé.
Importante
Ne définissez pas Activer les règles DLPsur Activé , sauf si vous avez réellement une stratégie DLP configurée dans Microsoft 365.
L’activation de cette fonctionnalité sans stratégie DLP entraîne la génération d’erreurs dans le scanneur.
(Facultatif) Définissez Définir le propriétaire du dépôt sur Activé et définissez un utilisateur spécifique comme propriétaire du dépôt.
Cette option permet au scanneur de réduire l’exposition de tous les fichiers trouvés dans ce dépôt, qui correspondent à la stratégie DLP, au propriétaire du dépôt défini.
Stratégies DLP et effectuer des actions privées
Si vous utilisez une stratégie DLP avec une action privée et que vous envisagez également d’utiliser le scanneur pour étiqueter automatiquement vos fichiers, nous vous recommandons de définir également le paramètre avancé UseCopyAndPreserveNTFSOwner du client d’étiquetage unifié.
Ce paramètre garantit que les propriétaires d’origine conservent l’accès à leurs fichiers.
Pour plus d’informations, consultez Créer un travail d’analyse de contenu et Appliquer automatiquement une étiquette de confidentialité aux données Microsoft 365.
Modifier les types de fichiers à protéger
Par défaut, le scanneur protège uniquement les types de fichiers Office et les fichiers PDF.
Utilisez les commandes PowerShell pour modifier ce comportement en fonction des besoins, par exemple pour configurer le scanneur afin de protéger tous les types de fichiers, comme le fait le client, ou pour protéger des types de fichiers supplémentaires spécifiques.
Pour une stratégie d’étiquette qui s’applique au compte d’utilisateur téléchargeant des étiquettes pour le scanneur, spécifiez un paramètre avancé PowerShell nommé PFileSupportedExtensions.
Pour un scanneur ayant accès à Internet, ce compte d’utilisateur est le compte que vous spécifiez pour le paramètre DelegatedUser avec la commande Set-Authentication.
Exemple 1 : commande PowerShell pour le scanneur afin de protéger tous les types de fichiers, où votre stratégie d’étiquette est nommée « Scanneur » :
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
Exemple 2 : commande PowerShell pour le scanneur afin de protéger .xml fichiers et .tiff fichiers en plus des fichiers Office et PDF, où votre stratégie d’étiquette est nommée « Scanneur » :
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}
Pour plus d’informations, consultez Modifier les types de fichiers à protéger.
Mettre à niveau votre scanneur
Si vous avez déjà installé le scanneur et que vous souhaitez effectuer une mise à niveau, suivez les instructions décrites dans Mettre à niveau le scanneur Protection des données Microsoft Purview.
Ensuite, configurez et utilisez votre scanneur comme d’habitude, en ignorant les étapes d’installation de votre scanneur.
Modifier les paramètres du référentiel de données en bloc
Utilisez les boutons Exporter et Importer pour apporter des modifications à votre scanneur sur plusieurs dépôts.
De cette façon, vous n’avez pas besoin d’apporter les mêmes modifications plusieurs fois, manuellement, dans le portail Microsoft Purview ou portail de conformité Microsoft Purview.
Par exemple, si vous avez un nouveau type de fichier sur plusieurs référentiels de données SharePoint, vous pouvez mettre à jour les paramètres de ces dépôts en bloc.
Pour apporter des modifications en bloc entre les dépôts dans le portail Microsoft Purview portail de conformité Microsoft Purview :
Dans le portail Microsoft Purview ou portail de conformité Microsoft Purview, sélectionnez un travail d’analyse de contenu spécifique et accédez à l’onglet Dépôts dans le volet. Sélectionnez l’option Exporter .
Modifiez manuellement le fichier exporté pour apporter votre modification.
Utilisez l’option Importer sur la même page pour réimporter les mises à jour dans vos dépôts.
Utiliser le scanneur avec d’autres configurations
Le scanneur recherche généralement les conditions spécifiées pour vos étiquettes afin de classifier et de protéger votre contenu en fonction des besoins.
Dans les scénarios suivants, le scanneur est également en mesure d’analyser votre contenu et de gérer les étiquettes, sans qu’aucune condition ne soit configurée :
- Appliquer une étiquette par défaut à tous les fichiers d’un référentiel de données
- Supprimer des étiquettes existantes de tous les fichiers d’un référentiel de données
- Identifier toutes les conditions personnalisées et les types d’informations sensibles connus
Appliquer une étiquette par défaut à tous les fichiers d’un référentiel de données
Dans cette configuration, tous les fichiers sans étiquette dans le dépôt sont étiquetés avec l’étiquette par défaut spécifiée pour le dépôt ou le travail d’analyse de contenu. Les fichiers sont étiquetés sans inspection.
Configurez les paramètres suivants :
Setting | Description |
---|---|
Étiqueter les fichiers en fonction du contenu | Définir sur Désactivé |
Étiquette par défaut | Définissez sur Personnalisé, puis sélectionnez l’étiquette à utiliser |
Appliquer l’étiquette par défaut | Sélectionnez cette option pour que l’étiquette par défaut soit appliquée à tous les fichiers, même s’ils sont déjà étiquetés en activant l’option Réétiqueter les fichiers et Appliquer l’étiquette par défaut sur |
Supprimer des étiquettes existantes de tous les fichiers d’un référentiel de données
Dans cette configuration, toutes les étiquettes existantes sont supprimées, y compris la protection, si la protection a été appliquée avec l’étiquette. La protection appliquée indépendamment d’une étiquette est conservée.
Configurez les paramètres suivants :
Setting | Description |
---|---|
Étiqueter les fichiers en fonction du contenu | Définir sur Désactivé |
Étiquette par défaut | Définir sur Aucun |
Réétiqueter les fichiers | Défini sur Activé, avec l’étiquette Appliquer par défaut définie sur Activé |
Identifier toutes les conditions personnalisées et les types d’informations sensibles connus
Cette configuration vous permet de trouver des informations sensibles que vous ne réalisez peut-être pas, au détriment des taux d’analyse du scanneur.
Définissez Les types d’informations à découvrir surTous.
Pour identifier les conditions et les types d’informations pour l’étiquetage, le scanneur utilise tous les types d’informations sensibles personnalisés spécifiés, ainsi que la liste des types d’informations sensibles intégrés qui peuvent être sélectionnés, comme défini dans votre centre de gestion de l’étiquetage.
Optimiser les performances du scanneur
Remarque
Si vous cherchez à améliorer la réactivité de l’ordinateur du scanneur plutôt que les performances du scanneur, utilisez un paramètre client avancé pour limiter le nombre de threads utilisés par le scanneur.
Utilisez les options et les conseils suivants pour vous aider à optimiser les performances du scanneur :
Option | Description |
---|---|
Disposer d’une connexion réseau à haut débit et fiable entre l’ordinateur scanneur et le magasin de données analysé | Par exemple, placez l’ordinateur scanneur dans le même réseau local, ou de préférence, dans le même segment réseau que le magasin de données analysé. La qualité de la connexion réseau affecte les performances du scanneur, car, pour inspecter les fichiers, le scanneur transfère le contenu des fichiers à l’ordinateur exécutant le scanneur Protection des données Microsoft Purview service Scanneur. La réduction ou l’élimination des tronçons réseau nécessaires au déplacement des données réduit également la charge sur votre réseau. |
Vérifiez que l’ordinateur du scanneur dispose de ressources processeur disponibles | L’inspection du contenu du fichier et le chiffrement et le déchiffrement des fichiers sont des actions nécessitant beaucoup de processeur. Surveillez les cycles d’analyse classiques pour vos magasins de données spécifiés afin d’identifier si un manque de ressources de processeur affecte négativement les performances du scanneur. |
Installer plusieurs instances du scanneur | Le scanneur prend en charge plusieurs bases de données de configuration sur le même serveur SQL instance lorsque vous spécifiez un nom de cluster personnalisé pour le scanneur. Conseil : Plusieurs scanneurs peuvent également partager le même cluster, ce qui accélère les temps d’analyse. Si vous envisagez d’installer le scanneur sur plusieurs ordinateurs avec la même base de données instance et que vous souhaitez que vos scanneurs s’exécutent en parallèle, vous devez installer tous vos scanneurs en utilisant le même nom de cluster. |
Vérifier votre autre utilisation de la configuration | Le scanneur s’exécute plus rapidement lorsque vous utilisez l’autre configuration pour appliquer une étiquette par défaut à tous les fichiers, car le scanneur n’inspecte pas le contenu du fichier. Le scanneur s’exécute plus lentement lorsque vous utilisez l’autre configuration pour identifier toutes les conditions personnalisées et les types d’informations sensibles connus. |
Facteurs supplémentaires qui affectent les performances
Les autres facteurs qui affectent les performances du scanneur sont les suivants :
Facteur | Description |
---|---|
Temps de chargement/réponse | Les temps de charge et de réponse actuels des magasins de données qui contiennent les fichiers à analyser affectent également les performances du scanneur. |
Mode scanneur (Découverte/Appliquer) | Le mode de découverte a généralement un taux d’analyse plus élevé que le mode d’application. La découverte nécessite une seule action de lecture de fichier, tandis que le mode d’application nécessite des actions de lecture et d’écriture. |
Modifications de stratégie | Les performances de votre scanneur peuvent être affectées si vous avez apporté des modifications à l’étiquetage automatique dans la stratégie d’étiquette. Votre premier cycle d’analyse, lorsque le scanneur doit inspecter chaque fichier, prendra plus de temps que les cycles d’analyse suivants qui, par défaut, inspectent uniquement les fichiers nouveaux et modifiés. Si vous modifiez les conditions ou les paramètres d’étiquetage automatique, tous les fichiers sont analysés à nouveau. Pour plus d’informations, consultez Réanalyse des fichiers. |
Constructions d’expressions régulières | Les performances du scanneur sont affectées par la façon dont vos expressions regex pour les conditions personnalisées sont construites. Pour éviter une consommation importante de mémoire et le risque de dépassement de délai d’attente (15 minutes par fichier), passez en revue vos expressions regex pour obtenir une correspondance efficace des modèles. Par exemple : - Éviter les quantificateurs gourmands - Utiliser des groupes qui ne capturent pas, par (?:expression) exemple, au lieu de (expression) |
Niveau de journalisation | Les options de niveau journal incluent Débogage, Informations, Erreur et Désactivé pour les rapports du scanneur. - Off permet d’obtenir les meilleures performances - Le débogage ralentit considérablement le scanneur et doit être utilisé uniquement pour la résolution des problèmes. Pour plus d’informations, consultez le paramètre ReportLevel pour l’applet de commande Set-ScannerConfiguration . |
Fichiers analysés | - À l’exception des fichiers Excel, les fichiers Office sont analysés plus rapidement que les fichiers PDF. - Les fichiers non protégés sont plus rapides à analyser que les fichiers protégés. - Les fichiers volumineux prennent évidemment plus de temps à analyser que les petits fichiers. |
Utiliser PowerShell pour configurer le scanneur
Cette section décrit les étapes requises pour configurer et installer le scanneur lorsque vous n’avez pas accès aux pages du scanneur dans le portail Microsoft Purview ou portail de conformité Microsoft Purview, et que vous devez utiliser PowerShell uniquement.
Importante
Certaines étapes nécessitent PowerShell, que vous puissiez accéder ou non aux pages du scanneur dans le portail de conformité et qu’elles soient identiques. Pour ces étapes, consultez les instructions précédentes de cet article, comme indiqué.
Si vous utilisez le scanneur pour Azure China 21Vianet, des étapes supplémentaires sont nécessaires en plus des instructions détaillées ici. Pour plus d’informations, consultez Protection des données Microsoft Purview pour Office 365 géré par 21Vianet.
Pour plus d’informations, consultez Applets de commande PowerShell prises en charge.
Pour configurer et installer votre scanneur :
Commencez avec PowerShell fermé. Si vous avez déjà installé le client et le scanneur de protection des informations, assurez-vous que le service scanneur Protection des données Microsoft Purview est arrêté.
Ouvrez une session Windows PowerShell avec l’option Exécuter en tant qu’administrateur.
Exécutez la commande Install-Scanner pour installer votre scanneur sur votre instance SQL Server, avec le paramètre Cluster pour définir le nom de votre cluster.
Cette étape est identique, que vous puissiez accéder ou non aux pages du scanneur dans le portail de conformité. Pour plus d’informations, consultez les instructions précédentes de cet article : Installer le scanneur
Obtenez un jeton Azure à utiliser avec votre scanneur, puis réauthentifier.
Cette étape est identique, que vous puissiez accéder ou non aux pages du scanneur dans le portail de conformité. Pour plus d’informations, consultez les instructions précédentes de cet article : Obtenir un jeton Microsoft Entra pour le scanneur.
Exécutez l’applet de commande Set-ScannerConfiguration pour que le scanneur fonctionne en mode hors connexion. Courir:
Set-ScannerConfiguration -OnlineConfiguration Off
Exécutez l’applet de commande Set-ScannerContentScan pour créer un travail d’analyse de contenu par défaut.
Le seul paramètre requis dans l’applet de commande Set-ScannerContentScan est Enforce. Toutefois, vous pouvez définir d’autres paramètres pour votre travail d’analyse de contenu à ce stade. Par exemple :
Set-ScannerContentScan -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
La syntaxe ci-dessus configure les paramètres suivants pendant que vous poursuivez la configuration :
- Maintient la planification manuelle de l’exécution du scanneur
- Définit les types d’informations à découvrir en fonction de la stratégie d’étiquette de confidentialité
- N’applique pas de stratégie d’étiquette de confidentialité
- Étiquette automatiquement les fichiers en fonction du contenu, à l’aide de l’étiquette par défaut définie pour la stratégie d’étiquette de confidentialité
- N’autorise pas la réétiquetage des fichiers
- Conserve les détails du fichier lors de l’analyse et de l’étiquetage automatique, y compris la date de modification, la dernière modification et la modification par valeurs
- Définit le scanneur pour exclure les fichiers .msg et .tmp lors de l’exécution
- Définit le propriétaire par défaut sur le compte que vous souhaitez utiliser lors de l’exécution du scanneur
Utilisez l’applet de commande Add-ScannerRepository pour définir les dépôts que vous souhaitez analyser dans votre travail d’analyse de contenu. Par exemple, exécutez :
Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
Utilisez l’une des syntaxes suivantes, selon le type de dépôt que vous ajoutez :
- Pour un partage réseau, utilisez
\\Server\Folder
. - Pour une bibliothèque SharePoint, utilisez
http://sharepoint.contoso.com/Shared%20Documents/Folder
. - Pour un chemin d’accès local :
C:\Folder
- Pour un chemin UNC :
\\Server\Folder
Remarque
Les caractères génériques ne sont pas pris en charge et les emplacements WebDav ne le sont pas.
Pour modifier le référentiel ultérieurement, utilisez l’applet de commande Set-ScannerRepository à la place.
Si vous ajoutez un chemin d’accès SharePoint pour les documents partagés :
- Spécifiez Documents partagés dans le chemin d’accès lorsque vous souhaitez analyser tous les documents et tous les dossiers à partir de Documents partagés.
Par exemple :
http://sp2013/SharedDocuments
- Spécifiez Documents dans le chemin lorsque vous souhaitez analyser tous les documents et tous les dossiers d’un sous-dossier sous Documents partagés.
Par exemple :
http://sp2013/Documents/SalesReports
- Vous pouvez également spécifier uniquement le nom de domaine complet de votre SharePoint, par exemple
http://sp2013
pour découvrir et analyser tous les sites et sous-sites SharePoint sous une URL et des sous-titres spécifiques sous cette URL. Accordez les droits d’auditeur du collecteur de sites du scanneur pour activer cette option.
Utilisez la syntaxe suivante lors de l’ajout de chemins SharePoint :
Path Syntaxe Chemin d’accès racine http://<SharePoint server name>
Analyse tous les sites, y compris les collections de sites autorisées pour l’utilisateur du scanneur.Sous-site ou collection SharePoint spécifique Un des éléments suivants :
-http://<SharePoint server name>/<subsite name>
-http://SharePoint server name>/<site collection name>/<site name>
Bibliothèque SharePoint spécifique Un des éléments suivants :
-http://<SharePoint server name>/<library name>
-http://SharePoint server name>/.../<library name>
Dossier SharePoint spécifique http://<SharePoint server name>/.../<folder name>
- Pour un partage réseau, utilisez
Passez aux étapes suivantes si nécessaire :
- Configuration pour les clients en Chine
- Exécuter un cycle de découverte et afficher les rapports pour le scanneur
- Utiliser PowerShell pour configurer le scanneur afin d’appliquer la classification et la protection
- Utiliser PowerShell pour configurer une stratégie DLP avec le scanneur
Utiliser PowerShell pour configurer le scanneur afin d’appliquer la classification et la protection
Exécutez l’applet de commande Set-ScannerContentScan pour mettre à jour votre travail d’analyse de contenu afin de toujours définir votre planification et d’appliquer votre stratégie de confidentialité.
Set-ScannerContentScan -Schedule Always -Enforce On
Conseil
Vous souhaiterez peut-être modifier d’autres paramètres dans ce volet, par exemple si les attributs de fichier sont modifiés et si le scanneur peut réétiqueter des fichiers. Pour plus d’informations sur les paramètres disponibles, consultez la documentation complète de Set-ScannerContentScan.
Exécutez l’applet de commande Start-Scan pour exécuter votre travail d’analyse de contenu :
Start-Scan
Le scanneur est maintenant planifié pour s’exécuter en continu. Lorsque le scanneur parcourt tous les fichiers configurés, il démarre automatiquement un nouveau cycle afin que tous les fichiers nouveaux et modifiés soient découverts.
Utiliser PowerShell pour configurer une stratégie DLP avec le scanneur
Réexécutez l’applet de commande Set-ScannerContentScan avec le paramètre -EnableDLP défini sur On et avec un propriétaire de dépôt spécifique défini.
Par exemple :
Set-ScannerContentScan -EnableDLP On -RepositoryOwner 'domain\user'
Applets de commande PowerShell prises en charge
Cette section répertorie les applets de commande PowerShell prises en charge pour le scanneur de protection des informations et des instructions pour configurer et installer le scanneur avec PowerShell uniquement.
Les applets de commande prises en charge pour le scanneur sont les suivantes :
Étapes suivantes
Une fois que vous avez installé et configuré votre scanneur, commencez à analyser vos fichiers.