Share via

Conditions préalables pour l’installation et le déploiement du scanneur Azure Information Protection classique

  • Article

Avant d’installer le scanneur local Azure Information Protection, assurez-vous que votre système est conforme aux exigences de base d’Azure Information Protection, ainsi que les exigences suivantes spécifiques au scanneur :

Si vous ne pouvez pas répondre à toutes les exigences du tableau, car elles sont interdites par les stratégies de votre organisation, consultez la section des configurations alternatives .

Lorsque vous déployez le scanneur en production ou testez les performances de plusieurs scanneurs, consultez Stockage exigences et la planification de la capacité pour SQL Server.

Lorsque vous êtes prêt à commencer à installer et à déployer votre scanneur, poursuivez avec le déploiement du scanneur Azure Information Protection pour classifier et protéger automatiquement les fichiers.

Configuration requise du serveur Windows

Vous devez disposer d’un ordinateur Windows Server pour exécuter le scanneur, qui a les spécifications système suivantes :

Caractéristique Détails
Processeur Processeurs à 4 cœurs
RAM 8 Go
Espace disque 10 Go d’espace libre (moyenne) pour les fichiers temporaires.

Le scanneur nécessite suffisamment d’espace disque pour créer des fichiers temporaires pour chaque fichier qu’il analyse, quatre fichiers par cœur.

L’espace disque recommandé de 10 Go permet d’analyser 4 processeurs de 16 fichiers qui ont chacune une taille de fichier de 625 Mo.
Système d’exploitation - Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2

Remarque : À des fins de test ou d’évaluation dans un environnement hors production, vous pouvez également utiliser n’importe quel système d’exploitation Windows pris en charge par Azure Information Protection client.
Connectivité réseau Votre ordinateur scanneur peut être un ordinateur physique ou virtuel avec une connexion réseau rapide et fiable aux magasins de données à analyser.

Si la connectivité Internet n’est pas possible en raison des stratégies de votre organisation, consultez Déploiement du scanneur avec d’autres configurations.

Sinon, assurez-vous que cet ordinateur dispose d’une connectivité Internet qui autorise les URL suivantes sur HTTPS (port 443) :

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com

Configuration requise pour les comptes de service

Vous devez disposer d’un compte de service pour exécuter le service de scanneur sur l’ordinateur Windows Server, ainsi que s’authentifier auprès d’Azure AD et télécharger Azure Information Protection Policy.

Votre compte de service doit être un compte Active Directory et synchronisé avec Azure AD.

Si vous ne pouvez pas synchroniser ce compte en raison des stratégies de votre organisation, consultez Déploiement du scanneur avec d’autres configurations.

Ce compte de service a la configuration suivante :

Condition requise Détails
Se connecter localement à l’attribution des droits de l’utilisateur Requis pour installer et configurer le scanneur, mais pas pour exécuter des analyses.

Une fois que vous avez confirmé que le scanneur peut découvrir, classifier et protéger des fichiers, vous pouvez supprimer ce droit du compte de service.

Si vous accordez ce droit même pendant une courte période de temps n’est pas possible en raison des stratégies de votre organisation, consultez Déploiement du scanneur avec d’autres configurations.
Connectez-vous en tant qu’attribution de droits utilisateur de service. Ce droit est accordé automatiquement au compte de service pendant l’installation du scanneur et il est exigé pour l’installation, la configuration et le fonctionnement du scanneur.
Autorisations sur les référentiels de données - Partages de fichiers ou fichiers locaux : accordez des autorisations lecture, écriture et modification pour analyser les fichiers, puis appliquez la classification et la protection comme configurés.

- SharePoint : accordez des autorisations contrôle total pour analyser les fichiers, puis appliquer la classification et la protection comme configuré.

- Mode de découverte : pour exécuter le scanneur en mode découverte uniquement, l’autorisation lecture est suffisante.
Pour les étiquettes qui reprotègent ou suppriment la protection Pour garantir que le scanneur a toujours accès aux fichiers protégés, rendez ce compte un super utilisateur pour Azure Information Protection et assurez-vous que la fonctionnalité super utilisateur est activée.

En outre, si vous avez implémenté des contrôles d’intégration pour un déploiement par phases, assurez-vous que le compte de service est inclus dans les contrôles d’intégration que vous avez configurés.

configuration requise du serveur SQL

Pour stocker les données de configuration du scanneur, utilisez un serveur SQL avec les exigences suivantes :

  • Instance locale ou distante.

    Nous vous recommandons d’héberger le serveur SQL et le service de scanneur sur différents ordinateurs, sauf si vous travaillez avec un petit déploiement. En outre, nous vous recommandons d’avoir une instance de SQL dédiée qui sert uniquement la base de données du scanneur et qui n’est pas partagée avec d’autres applications.

    Si vous travaillez sur un serveur partagé, assurez-vous que le nombre recommandé de cœurs est gratuit pour que la base de données du scanneur fonctionne.

    SQL Server 2012 est la version minimale pour les éditions suivantes :

    • SQL Server Entreprise
    • SQL Server Standard
    • SQL Server Express (recommandé pour les environnements de test uniquement)

  • Un compte avec le rôle Sysadmin pour installer le scanneur.

    Cela permet au processus d’installation de créer automatiquement la base de données de configuration du scanneur et d’accorder le rôle de db_owner requis au compte de service qui exécute le scanneur.

    Si vous ne pouvez pas obtenir le rôle Sysadmin ou que vos stratégies d’organisation nécessitent la création et la configuration manuelles des bases de données, consultez Déploiement du scanneur avec d’autres configurations.

  • Capacité. Pour obtenir des conseils sur la capacité, consultez Stockage exigences et la planification de la capacité pour SQL Server.

  • Classement ne respectant pas la casse.

Notes

Plusieurs bases de données de configuration sur le même serveur SQL sont prises en charge lorsque vous spécifiez un nom de cluster personnalisé (profil) pour le scanneur.

exigences Stockage et planification de la capacité pour les SQL Server

La quantité d’espace disque nécessaire pour la base de données de configuration du scanneur et la spécification de l’ordinateur exécutant SQL Server peuvent varier pour chaque environnement. Nous vous encourageons donc à effectuer vos propres tests. Utilisez les instructions suivantes comme point de départ.

Pour plus d’informations, consultez Optimisation des performances du scanneur.

La taille du disque de la base de données de configuration varie pour chaque déploiement. Nous vous recommandons d’allouer 500 Mo pour chaque 1 000 000 fichiers que vous souhaitez analyser.

Pour chaque scanneur, utilisez :

  • Processeurs à 4 cœurs
  • 8 Go de RAM (4 Go minimum)

Exigences du client Azure Information Protection

Le client Azure Information Protection doit être installé sur l’ordinateur Windows Server.

Pour plus d’informations, consultez le guide d’administration du client Classique.

Important

Vous devez installer le client complet pour le scanneur. N’installez pas le client avec juste le module PowerShell.

Exigences de configuration des étiquettes

Vous devez avoir configuré des étiquettes qui appliquent automatiquement la classification et éventuellement la protection.

Si vous n’avez pas configuré ces étiquettes, consultez Déploiement du scanneur avec d’autres configurations.

Pour plus d'informations, consultez les pages suivantes :

Conseil

Suivez les instructions du tutoriel pour tester le scanneur avec une étiquette qui recherche des numéros de carte de crédit dans un document Word préparé. Toutefois, vous devez modifier la configuration de l’étiquette afin que l’option Sélectionner la façon dont cette étiquette est appliquée est définie sur Automatique, plutôt que recommandée ou traiter l’étiquetage recommandé comme automatique (disponible dans scanneur version 2.7.x.x et ultérieures).

Supprimez ensuite l’étiquette du document (si elle est appliquée), puis copiez le fichier dans un référentiel de données pour le scanneur.

exigences en matière de SharePoint

Pour analyser SharePoint bibliothèques de documents et dossiers, vérifiez que votre serveur SharePoint est conforme aux exigences suivantes :

  • Versions prises en charge. Les versions prises en charge incluent : SharePoint 2019, SharePoint 2016 et SharePoint 2013. D’autres versions de SharePoint ne sont pas prises en charge pour le scanneur.

  • Versioning. Lorsque vous utilisez le contrôle de version, le scanneur inspecte et étiquette la dernière version publiée. Si le scanneur étiquette un fichier et une approbation de contenu est nécessaire, ce fichier étiqueté doit être approuvé pour être disponible pour les utilisateurs.

  • Grandes batteries de SharePoint. Pour les grandes batteries de serveurs SharePoint, regardez si vous devez augmenter le seuil d’affichage de liste (par défaut, 5 000) pour le scanneur pour accéder à tous les fichiers. Pour plus d’informations, consultez Gérer des listes et des bibliothèques volumineuses dans SharePoint.

exigences en matière de Microsoft Office

Pour analyser Office documents, vos documents doivent se trouver dans l’un des formats suivants :

  • Microsoft Office 97-2003
  • Office formats Open XML pour Word, Excel et PowerPoint

Pour plus d’informations, consultez Types de fichiers pris en charge par le client Azure Information Protection.

Configuration requise pour le chemin d’accès aux fichiers

Pour analyser les fichiers, vos chemins de fichier doivent avoir au maximum 260 caractères, sauf si le scanneur est installé sur Windows 2016 et que l’ordinateur est configuré pour prendre en charge les chemins longs

Windows 10 et Windows Server 2016 prennent en charge les longueurs de chemin d’accès supérieures à 260 caractères avec le paramètre de stratégie de groupe suivant :Modèles> d’administration deconfiguration> de l’ordinateur> localtous les chemins d’accès Paramètres>Enable Win32 longs

Pour plus d’informations sur la prise en charge des chemins de fichiers longs, consultez la section consacrée à la longueur maximale des chemins dans la documentation pour développeurs Windows 10.

Déploiement du scanneur avec d’autres configurations

Les conditions préalables répertoriées ci-dessus sont les exigences par défaut pour le déploiement du scanneur et recommandées, car elles prennent en charge la configuration du scanneur la plus simple.

Les exigences par défaut doivent être adaptées aux tests initiaux, afin de pouvoir vérifier les fonctionnalités du scanneur.

Toutefois, dans un environnement de production, les stratégies de votre organisation peuvent interdire ces exigences par défaut. Le scanneur peut prendre en charge les restrictions suivantes avec une configuration supplémentaire :

Restriction : le serveur de scanneur ne peut pas avoir de connectivité Internet

Pour prendre en charge un ordinateur déconnecté, procédez comme suit :

  1. Configurez vos étiquettes qui appliquent la classification uniquement ou appliquez la protection qui utilise la protection HYOK.

    Sans connexion Internet, le scanneur ne peut pas appliquer la protection, supprimer la protection ou inspecter les fichiers protégés à l’aide de la clé cloud de votre organisation. Au lieu de cela, le scanneur est limité à l’utilisation d’étiquettes qui appliquent uniquement la classification ou à la protection qui utilise la protection HYOK.

    Pour plus d’informations, consultez Prise en charge des ordinateurs déconnectés.

  2. Configurez le scanneur dans le Portail Azure, en créant un cluster de scanneur. Si vous avez besoin d’aide pour cette étape, consultez Configurer le scanneur dans le portail Azure.

  3. Exportez votre travail de contenu à partir d’Azure Information Protection - Volet Travaux d’analyse de contenu à l’aide de l’option Exporter.

  4. Dans une session PowerShell, exécutez Import-AIPScannerConfiguration et spécifiez le fichier qui contient les paramètres exportés.

Restriction : vous ne pouvez pas obtenir le rôle Sysadmin ou les bases de données doivent être créées et configurées manuellement

Si vous pouvez accorder temporairement le rôle Sysadmin pour installer le scanneur, vous pouvez supprimer ce rôle lorsque l’installation du scanneur est terminée.

Effectuez l’une des opérations suivantes, en fonction des exigences de votre organisation :

  • Vous pouvez avoir temporairement le rôle Sysadmin. Si vous disposez temporairement du rôle Sysadmin, la base de données est automatiquement créée pour vous et le compte de service du scanneur est automatiquement accordé aux autorisations requises.

    Toutefois, le compte d’utilisateur qui configure le scanneur nécessite toujours le rôle db_owner pour la base de données de configuration du scanneur. Si vous avez uniquement le rôle Sysadmin jusqu’à ce que l’installation du scanneur soit terminée, accordez le rôle db_owner au compte d’utilisateur manuellement.

  • Vous ne pouvez pas avoir le rôle Sysadmin du tout. Si vous ne pouvez pas accorder le rôle Sysadmin même temporairement, vous devez demander à un utilisateur disposant de droits Sysadmin de créer manuellement une base de données avant d’installer le scanneur.

    Pour cette configuration, le rôle db_owner doit être affecté aux comptes suivants :

    • Compte de service pour le scanneur

    • Compte d’utilisateur pour l’installation du scanneur

    • Compte utilisateur pour la configuration du scanneur

    En règle générale, vous utilisez le même compte utilisateur pour installer et configurer le scanneur. Si vous utilisez différents comptes, ils nécessitent tous deux le rôle db_owner pour la base de données de configuration du scanneur. Créez cet utilisateur et ces droits en fonction des besoins.

    Si vous ne spécifiez pas le nom de votre propre cluster (profil) pour le scanneur, la base de données de configuration est nommée AIPScanner_<computer_name>.
    Poursuivez la création d’un utilisateur et accordez db_owner droits sur la base de données.

En outre :

  • Vous devez être administrateur local sur le serveur qui exécute le scanneur

  • Le compte de service qui exécutera le scanneur doit disposer d’autorisations Contrôle total sur les clés de Registre suivantes :

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Si, après avoir configuré ces autorisations, vous voyez une erreur lorsque vous installez le scanneur, l’erreur peut être ignorée et vous pouvez démarrer manuellement le service du scanneur.

Remplir la base de données manuellement

Remplissez la base de données à l’aide du script suivant :

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

Créer un utilisateur et accorder db_owner droits manuellement

Pour créer un utilisateur et accorder db_owner droits sur cette base de données, demandez à Sysadmin d’effectuer les opérations suivantes :

  1. Créez une base de données pour le scanneur :

    **CREATE DATABASE AIPScannerUL_[clustername]**

**ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**

  2. Accordez des droits à l’utilisateur qui exécute la commande d’installation et qui est utilisé pour exécuter des commandes de gestion du scanneur.

    script SQL :

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

  3. Accordez des droits au compte de service scanneur.

    script SQL :

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

Restriction : le compte de service pour le scanneur ne peut pas obtenir le droit Ouvrir une session localement

Si vos stratégies d’organisation interdisent l’ouverture de session localement pour les comptes de service, mais autorise la connexion en tant que tâche de lot , consultez Spécifier et utiliser le paramètre Jeton pour Set-AIPAuthentication.

Restriction : le compte de service scanneur ne peut pas être synchronisé avec Azure Active Directory, mais le serveur dispose d’une connectivité Internet

Vous pouvez avoir un compte pour exécuter le service du scanneur et un autre compte pour l’authentification auprès d’Azure Active Directory :

Restriction : vos étiquettes n’ont pas de conditions d’étiquetage automatique

Si vos étiquettes n’ont pas de conditions d’étiquetage automatique, envisagez d’utiliser l’une des options suivantes lors de la configuration de votre scanneur :

Option Description
Découvrir tous les types d’informations Dans votre travail d’analyse de contenu, définissez l’option Tous les types d’informations à découvrir.

Cette option définit le travail d’analyse de contenu pour analyser votre contenu pour tous les types d’informations sensibles.
Définir une étiquette par défaut Définissez une étiquette par défaut dans votre stratégie, votre travail d’analyse de contenu ou votre référentiel.

Dans ce cas, le scanneur applique l’étiquette par défaut sur tous les fichiers trouvés.

Étapes suivantes

Une fois que vous avez confirmé que votre système est conforme aux conditions préalables du scanneur, poursuivez le déploiement du scanneur Azure Information Protection pour classifier et protéger automatiquement les fichiers.

Pour obtenir une vue d’ensemble du scanneur, consultez Déploiement du scanneur Azure Information Protection pour classifier et protéger automatiquement les fichiers.

Plus d’informations :

Comment l’équipe Core Services Engineering and Operations de Microsoft a-t-elle implémenté ce scanneur ? Lisez l’étude de cas technique : Automatiser la protection des données avec le scanneur Azure Information Protection.

Vous vous demandez peut-être : Quelle est la différence entre Windows serveur FCI et le scanneur Azure Information Protection ?

Vous pouvez également utiliser PowerShell pour classifier et protéger des fichiers de manière interactive à partir de votre ordinateur de bureau. Pour plus d’informations sur ces scénarios et d’autres scénarios qui utilisent PowerShell, consultez Utilisation de PowerShell avec le client Azure Information Protection classique