Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Note
Le scanneur d’étiquetage unifié Azure Information Protection est renommé scanneur Microsoft Purview Information Protection. En même temps, la configuration (actuellement en préversion) passe au portail de conformité Microsoft Purview. Actuellement, vous pouvez configurer le scanneur dans le portail Azure et le portail de conformité. Les instructions de cet article font référence aux deux portails d’administration.
Si vous rencontrez des problèmes avec le scanneur Microsoft Purview Information Protection, vérifiez si votre déploiement est sain à l’aide de l’applet de commande PowerShell Start-ScannerDiagnostics pour démarrer l’outil de diagnostic du scanneur :
Start-ScannerDiagnostics
L’outil de diagnostic vérifie les détails suivants, puis crée un fichier journal avec les résultats :
- Indique si la base de données est à jour
- Indique si les URL réseau sont accessibles
- Indique s’il existe un jeton d’authentification valide et si la politique peut être obtenue
- Indique si le profil est défini dans le portail Azure
- Indique si la configuration hors connexion/en ligne existe et peut être acquise
- Indique si les règles configurées sont valides
Conseil / Astuce
- Si vous n’exécutez pas l’outil à l’aide du compte de service utilisé pour exécuter le service scanneur, vous devez utiliser le
-OnBehalfparamètre. Sinon, vous rencontrerez des erreurs. - Pour imprimer les 10 dernières erreurs du journal du scanneur, ajoutez le
Verboseparamètre. Si vous souhaitez imprimer d’autres erreurs, utilisez laVerboseErrorCountméthode pour définir le nombre d’erreurs que vous souhaitez imprimer.
La Start-ScannerDiagnostics commande n’exécute pas de vérification complète des prérequis. Si vous rencontrez des problèmes avec le scanneur, vous devez également vous assurer que votre système est conforme aux exigences du scanneur, et que la configuration et l’installation de votre scanneur sont terminées.
Vérifier les détails de la numérisation par nœud de scanneur et dépôt
Exécutez l’applet de commande PowerShell Get-ScanStatus pour obtenir des détails sur l’état actuel de l’analyse et la liste des nœuds de votre cluster scanneur.
PS C:\> Get-ScanStatus
Cluster : contoso-test
ClusterStatus : Scanning
StartTime : 12/22/2020 9:05:02 AM
TimeFromStart : 00:00:00:37
NodesInfo : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}
Utilisez la NodesInfo variable avec l’applet de commande Get-ScanStatus pour obtenir plus de détails sur chaque nœud du cluster :
PS C:\WINDOWS\system32> $x=Get-ScanStatus
PS C:\WINDOWS\system32> $x.NodesInfo
La sortie affiche les détails de chaque nœud d’une table, comme illustré dans l’exemple suivant :
NodeName Status IsScanning Summary
-------- -------- ---------- -------
t-contoso1-T298-corp.contoso.com Scanning True Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com Scanning Pending Microsoft.InformationProtection.Scanner.ScanSummaryData
Pour descendre plus loin dans chaque nœud, utilisez à nouveau la NodesInfo variable, avec l’entier du nœud commençant par 0.
PS C:\Windows\system32> $x.NodesInfo[0].Summary
La sortie affiche les détails des analyses sur le nœud sélectionné, comme illustré dans l’exemple suivant :
ScannerID : t-contoso1-T298-corp.contoso.com
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
Utilisez le Verbose paramètre avec l’applet de commande Get-ScanStatus pour obtenir des données sur une analyse actuelle.
PS C:\> Get-ScanStatus -Verbose
ScannedFiles MBScanned CurrentScanSummary RepositoriesStatus
------------ --------- ------------------ ------------------
2280 78478187 Microsoft.InformationProtection.Scanner.ScanSummaryData {{ Path = C:\temp, Status = Scanning }
Utilisez les RepositoriesStatusCurrentScanSummary variables pour explorer plus en détail l’état des référentiels.
Les valeurs d’état du référentiel possibles sont les suivantes :
- Ignoré, si le référentiel a été ignoré
- En attente, si l’analyse actuelle n’a pas encore démarré l’analyse du référentiel
- Analyse, si l’analyse actuelle est en cours d’exécution sur le référentiel
- Terminé, si l’analyse actuelle s’est terminée sur le référentiel
Exemple : utiliser la variable RepositoryStatus
PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus
Path Status
---- ------
C:\temp Scanning
Exemple : utiliser la variable CurrentScanSummary
PS C:\Windows\system32> $x.CurrentScanSummary
ScannerID :
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
Cette sortie n’affiche qu’un seul référentiel. S’il existe plusieurs référentiels, chacun d’eux est répertorié séparément.
Informations de référence sur les erreurs du scanneur
Le tableau suivant fournit des informations sur les messages d’erreur spécifiques générés par le scanneur et fournit des actions pour résoudre le problème associé :
| Type d’erreur | Résolution des problèmes |
|---|---|
| Erreurs d’authentification | |
| Erreurs de stratégie | |
| Erreurs de base de données/schéma | |
| Autres erreurs |
Jeton d’authentification non accepté
Message d’erreur
Microsoft.InformationProtection.Exceptions.AccessDeniedException : le service n’a pas accepté le jeton d’authentification.
Description
La commande Set-Authentication a échoué.
Résolution
Verfy que les autorisations appropriées sont définies correctement dans le portail Azure.
Pour plus d’informations, consultez Créer et configurer des applications Microsoft Entra pour Set-Authentication.
Jeton d’authentification manquant
Messages d’erreur
-
NoAuthTokenException : l’application cliente n’a pas pu fournir de jeton d’authentification pour la requête HTTP
-
Microsoft.InformationProtection.Exceptions.NoAuthTokenException : l’application cliente n’a pas pu fournir de jeton d’authentification pour la requête HTTP. Échec avec : System.AggregateException : une ou plusieurs erreurs se sont produites. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException : user_interaction_required : l’une des deux conditions a été rencontrée : 1. L’indicateur PromptBehavior.Never a été passé, mais la contrainte n’a pas pu être respectée, car l’interaction utilisateur a été requise. 2. Une erreur s’est produite lors d’une authentification web silencieuse qui empêchait le flux d’authentification http de se terminer dans un délai suffisamment court
-
Échec de l’acquisition d’un jeton à l’aide de l’authentification intégrée Windows (aucune authentification unique - SSO)
À partir du portail Azure, dans la page Nœuds :
La stratégie n’inclut aucune condition d’étiquetage automatique
Description
Ces erreurs d’authentification se produisent lorsque le scanneur s’exécute de manière non interactive.
Résolution
Vous devez vous authentifier à l’aide d’un jeton à l’aide de l’applet de commande Set-Authentication .
Lorsque vous exécutez l’applet de commande Set-Authentication, veillez à utiliser le paramètre de jeton pour le compte de service utilisé pour exécuter le service scanneur, comme indiqué dans l’exemple suivant :
$pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.
Pour plus d’informations, consultez Obtenir un jeton Microsoft Entra pour le scanneur.
Stratégie manquante
Message d’erreur
La stratégie est manquante
Description
Le scanneur ne peut pas trouver votre fichier de stratégie d’étiquettes de sensibilité.
Résolution
Pour vérifier que votre fichier de stratégie existe comme prévu, vérifiez l’emplacement suivant : %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3.
Pour plus d’informations sur les étiquettes de confidentialité et leurs stratégies d’étiquette, consultez Créer et configurer des étiquettes de confidentialité et leurs stratégies.
La stratégie n’inclut pas les conditions d’étiquetage automatique
Message d’erreur
La stratégie ne présente pas de conditions d’étiquetage
Description
La stratégie d’étiquetage ne contient pas de conditions d’étiquetage automatique.
Résolution
Configurez les paramètres suivants :
| Réglage | Étapes de configuration des paramètres |
|---|---|
| Paramètres du travail d’analyse du contenu | Dans le portail Azure, procédez comme suit : |
| Paramètres de stratégie d’étiquetage | Dans le portail de conformité Microsoft Purview, procédez comme suit : |
Si les paramètres sont déjà définis comme prévu, le fichier de stratégie lui-même peut être manquant ou inaccessible, par exemple en cas de dépassement du délai sur le portail Microsoft Purview de conformité.
Pour vérifier votre fichier de stratégie, vérifiez que le fichier suivant existe : %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3
Pour plus d’informations, consultez Quel est le scanneur d’étiquetage unifié Azure Information Protection eten savoir plus sur les étiquettes de confidentialité.
Erreurs de base de données
Message d’erreur
Erreur de base de données
Description
Le scanneur n’est pas en mesure de se connecter à la base de données.
Résolution
Vérifiez la connectivité réseau entre l’ordinateur scanneur et la base de données.
En outre, assurez-vous que le compte de service utilisé pour exécuter les processus de scanneur dispose de toutes les autorisations requises pour accéder à la base de données.
Schéma incompatible ou obsolète
Message d’erreur
L’une des opérations suivantes :
-
SchemaMismatchException
Dans le portail Azure, dans la page Nœuds :
Le schéma de base de données n’est pas à jour. Exécuter Update-ScannerDatabase commande pour mettre à jour le schéma de base de données
Erreur : le schéma de base de données n’est pas à jour
Description
Le schéma de base de données n’est pas à jour.
Résolution
Exécutez l’applet de commande Update-ScannerDatabase pour resynchroniser votre schéma et vérifiez qu’il est à jour avec les modifications récentes.
La connexion sous-jacente a été fermée
Messages d’erreur
System.Net.WebException : La connexion sous-jacente a été fermée : une erreur inattendue s’est produite lors d’un envoi. >--- System.IO.IOException : l’authentification a échoué, car la partie distante a fermé le flux de transport.
[System.Net.Http.HttpRequestException : une erreur s’est produite lors de l’envoi de la requête. >--- System.Net.WebException : la connexion sous-jacente a été fermée : une erreur inattendue s’est produite lors d’un envoi. >--- System.IO.IOException : Impossible de lire les données de la connexion de transport : une connexion existante a été fermée de force par l’hôte distant. >--- System.Net.Sockets.SocketException : une connexion existante a été fermée de force par l’hôte distant.
Description
Ces erreurs indiquent que TLS 1.2 n’est pas activé.
Résolution
Pour activer TLS 1.2, consultez :
- Configuration requise pour les pare-feu et l’infrastructure réseau
- Comment activer TLS 1.2
- Activer la prise en charge de TLS 1.1 et TLS 1.2 dans Office Online Server
Processus de scanneur bloqués
Message d’erreur
Aucun message d’erreur n’est affiché, mais le scanneur expire.
Description
Le scanneur traite un seul fichier pendant une durée plus longue que prévu ou s’arrête de façon inattendue lors de l’analyse d’un grand nombre de fichiers dans un référentiel. Le processus du scanneur peut être bloqué.
Résolution
Modifiez l’un des paramètres suivants :
Nombre de ports dynamiques. Vous devrez peut-être augmenter le nombre de ports dynamiques pour le système d’exploitation hébergeant les fichiers. Le renforcement du serveur pour SharePoint peut être une raison pour laquelle le scanneur dépasse le nombre de connexions réseau autorisées et s’arrête.
Pour plus d’informations sur la façon d’afficher la plage de ports actuelle et d’augmenter la plage, consultez Paramètres qui peuvent être modifiés pour améliorer les performances réseau.
Seuil d’affichage de liste. Pour les batteries de serveurs SharePoint volumineuses, vous devrez peut-être augmenter le seuil d’affichage de liste. Par défaut, le seuil d’affichage de liste est défini sur 5 000.
Pour plus d’informations sur l’augmentation du seuil, consultez Gérer les grandes listes et bibliothèques dans SharePoint.
Si le problème persiste, vérifiez le rapport détaillé pour déterminer si le fichier augmente de la taille.
Si la taille du fichier continue d’augmenter, le scanneur traite toujours les données, et vous devez attendre qu’il soit terminé.
Si le fichier n’augmente plus de taille, procédez comme suit :
Exécutez les applets de commande suivantes :
- Applet de commande Start-ScannerDiagnostics : pour exécuter des vérifications de diagnostic sur votre scanneur, puis exporter et compresser des fichiers journaux pour toutes les erreurs détectées.
- Applet de commande Export-DebugLogs : pour exporter et créer une version .zip des fichiers journaux à partir du répertoire %localappdata%\Microsoft\MSIP\Logs.
Créez un fichier de vidage pour le service MSIP Scanner. Dans le Gestionnaire des tâches Windows, cliquez avec le bouton droit sur le service Scanneur MSIP, puis sélectionnez Créer un fichier de vidage.
Dans le portail Azure, arrêtez l’analyse.
Sur la machine de scanner, redémarrez le service.
Ouvrez un ticket de support et joignez les fichiers de vidage à partir du processus de numérisation.
Impossible de se connecter au serveur distant
Message d’erreur
Dans le fichier MSIPScanner.iplog situé sous %localappdata%\Microsoft\MSIP\Logs\ :
Impossible de se connecter au serveur distant ---> System.Net.Sockets.SocketException : une seule utilisation de chaque adresse de socket (protocole/adresse réseau/port) est normalement autorisée IP :port
S’il existe plusieurs journaux d’activité, le fichier MSIPScanner.iplog est un fichier .zip.
Description
Le scanneur a dépassé le nombre de connexions réseau autorisées.
Résolution
Augmentez le nombre de ports dynamiques pour le système d’exploitation hébergeant les fichiers.
Pour plus d’informations sur la façon d’afficher la plage de ports actuelle et d’augmenter la plage, consultez Paramètres qui peuvent être modifiés pour améliorer les performances du réseau.
Tâche ou profil d’analyse de contenu manquant
Message d’erreur
Dans le portail Azure, dans la page Nœuds :
Aucune tâche d’analyse de contenu trouvée
Description
Cette erreur se produit lorsque le travail ou le profil d’analyse de contenu est introuvable.
Résolution
Vérifiez la configuration de votre scanneur dans le portail Azure.
Pour plus d’informations, consultez Configuration et installation du scanneur d’étiquetage unifié Azure Information Protection.
Note: Un profil est un terme de scanneur hérité qui a été remplacé par le cluster du scanneur et le travail d’analyse de contenu dans les versions plus récentes du scanneur.
Aucun référentiel configuré
Message d’erreur
Dans le portail d’administration, dans la page Nœuds :
Aucun référentiel n’est configuré
Description
Vous pouvez avoir un travail d’analyse de contenu sans référentiel configuré.
Résolution
Vérifiez les paramètres de votre travail d’analyse de contenu et ajoutez au moins un référentiel.
Pour plus d’informations, consultez Créer un travail d’analyse de contenu.
Aucun cluster trouvé
Message d’erreur
Dans le portail d’administration, dans la page Nœuds :
Aucun cluster trouvé
Description
Aucune correspondance réelle trouvée pour l’un des clusters de scanneur que vous avez définis.
Résolution
Vérifiez la configuration de votre cluster et vérifiez-la par rapport aux détails de votre propre système pour les fautes de frappe et les erreurs.
Pour plus d’informations, consultez Créer un cluster de scanneur.
Plus d’informations
Meilleures pratiques pour le déploiement et l’utilisation du scanneur UL AIP.