Az Azure Information Protection (AIP) egységes címkézési szkennerének konfigurálása és telepítése

Megjegyzés

Az Azure Information Protection egységes címkézési szkennert átnevezik Microsoft Purview információvédelem szkennerre. Ezzel egy időben a konfiguráció (jelenleg előzetes verzióban) a Microsoft Purview megfelelőségi portál. A szkenner jelenleg a Azure Portal és a megfelelőségi portálon is konfigurálható. A cikkben található utasítások mindkét felügyeleti portálra vonatkoznak.

Ez a cikk az Azure Information Protection egységes címkézési, helyszíni szkenner konfigurálását és telepítését ismerteti.

Tipp

Bár a legtöbb ügyfél ezeket az eljárásokat a felügyeleti portálon hajtja végre, előfordulhat, hogy csak a PowerShellben kell dolgoznia.

Ha például olyan környezetben dolgozik, amely nem fér hozzá a felügyeleti portálhoz, például az Azure China 21Vianet scanner-kiszolgálókhoz, kövesse a Szkenner konfigurálása a PowerShell használatával című cikkben található utasításokat.

Áttekintés

Mielőtt hozzákezd, ellenőrizze, hogy a rendszer megfelel-e a szükséges előfeltételeknek.

A Azure Portal használatához kövesse az alábbi lépéseket:

  1. A képolvasó beállításainak konfigurálása

  2. A vizsgáló telepítése

  3. Azure AD token lekérése a szkennerhez

  4. A Scanner konfigurálása besorolásra és védelemre

Ezután hajtsa végre a következő konfigurációs eljárásokat a rendszer számára szükséges módon:

Eljárás Description
A védeni kívánt fájltípusok módosítása Érdemes lehet az alapértelmezett fájltípusoktól eltérő fájltípusokat beolvasni, besorolni vagy védeni. További információ: AIP-vizsgálat folyamata.
A szkenner frissítése Frissítse a szkennert a legújabb funkciók és fejlesztések használatára.
Az adattár beállításainak tömeges szerkesztése Az importálási és exportálási lehetőségek használatával tömegesen végezhet módosításokat több adatadattárban.
A szkenner használata alternatív konfigurációkkal A szkenner használata címkék konfigurálása nélkül bármilyen feltétellel
Teljesítmény optimalizálása Útmutató a szkenner teljesítményének optimalizálásához

Ha nem fér hozzá a képolvasó lapjaihoz a felügyeleti portálon, csak a PowerShellben konfiguráljon szkennerbeállításokat. További információ: A szkenner és a támogatott PowerShell-parancsmagokkonfigurálása a PowerShell használatával.

A képolvasó beállításainak konfigurálása

Mielőtt telepíti a szkennert, vagy frissítené egy régebbi általános rendelkezésre állási verzióról, konfigurálja vagy ellenőrizze a szkenner beállításait.

A képolvasó konfigurálása a Microsoft Purview megfelelőségi portál:

  1. Jelentkezzen be a Microsoft Purview megfelelőségi portál az alábbi szerepkörök egyikével:

    • Megfelelőségi rendszergazda
    • Megfelelőségi adatok rendszergazdája
    • Biztonsági rendszergazda
    • Globális rendszergazda

    Ezután lépjen a Beállítások panelre.

    A Beállítások panelen válassza az Information Protection Scanner lehetőséget.

    Képernyőkép a Microsoft Purview megfelelőségi portál.-on belüli Information Protection Scannerről.

  2. Hozzon létre egy szkennerfürtöt. Ez a fürt határozza meg a szkennert, és a szkennerpéldány azonosítására szolgál, például a telepítés, a frissítések és más folyamatok során.

  3. Hozzon létre egy tartalomvizsgálati feladatot a beolvasni kívánt adattárak meghatározásához.

A képolvasó konfigurálása a Azure Portal:

  1. Jelentkezzen be a Azure Portal az alábbi szerepkörök egyikével:

    • Megfelelőségi rendszergazda
    • Megfelelőségi adatok rendszergazdája
    • Biztonsági rendszergazda
    • Globális rendszergazda

    Ezután lépjen az Azure Information Protection panelre.

    Az erőforrások, szolgáltatások és dokumentumok keresőmezőjében például kezdje el beírni az Információ kifejezést, és válassza az Azure Information Protection lehetőséget.

  2. Hozzon létre egy szkennerfürtöt. Ez a fürt határozza meg a szkennert, és a szkennerpéldány azonosítására szolgál, például a telepítés, a frissítések és más folyamatok során.

  3. Hozzon létre egy tartalomvizsgálati feladatot a beolvasni kívánt adattárak meghatározásához.

Szkennerfürt létrehozása

Képolvasófürt létrehozása a Microsoft Purview megfelelőségi portál:

  1. Az Information Protection Scanner lapfülei közül válassza a Fürtök lehetőséget.

  2. A Fürtök lapon válassza a Hozzáadás hozzáadás ikon.

  3. Az Új fürt panelen adjon meg egy jelentéssel bíró nevet a képolvasónak, és adjon meg egy opcionális leírást.

    A fürtnév a szkenner konfigurációinak és adattárainak azonosítására szolgál. Beírhatja például Európát a vizsgálandó adattárak földrajzi helyének azonosításához.

    Később ezt a nevet fogja használni annak azonosításához, hogy hol szeretné telepíteni vagy frissíteni a szkennert.

  4. A módosítások mentéséhez válassza a Mentés gombot.

Képolvasófürt létrehozása a Azure Portal:

  1. A bal oldali Scanner menüben válassza a Fürtökfürtök.

  2. Az Azure Information Protection – Fürtök panelen válassza az Addadd icon add icon (Hozzáadás ikon hozzáadása.

  3. Az Új fürt hozzáadása panelen adjon meg egy jelentéssel bíró nevet a képolvasónak, és adjon meg egy opcionális leírást.

    A fürtnév a szkenner konfigurációinak és adattárainak azonosítására szolgál. Beírhatja például Európát a vizsgálandó adattárak földrajzi helyének azonosításához.

    Később ezt a nevet fogja használni annak azonosításához, hogy hol szeretné telepíteni vagy frissíteni a szkennert.

  4. A módosítások mentéséhez válassza a Mentés mentés ikon.

Tartalomvizsgálati feladat létrehozása

A tartalom részletes bemutatása a bizalmas tartalmak adott adattárainak vizsgálatához.

A tartalomvizsgálati feladat létrehozása a Microsoft Purview megfelelőségi portál:

  1. Az Information Protection Scanner lapfülei közül válassza a Tartalomvizsgálati feladatok lehetőséget.

  2. A Tartalomvizsgálati feladatok panelen válassza a Hozzáadás ikon.

  3. Ehhez a kezdeti konfigurációhoz konfigurálja a következő beállításokat, majd válassza a Mentés lehetőséget.

    Beállítás Leírás
    Tartalomvizsgálati feladat beállításai - Ütemezés: Tartsa meg a Kézi beállítás alapértelmezett beállítását
    - Felderítendő információtípusok: Csak szabályzatra váltás
    DLP-szabályzat Ha adatveszteség-megelőzési szabályzatot használ, állítsa a DLP-szabályok engedélyezésebeállítást Be értékre. További információ: DLP-szabályzat használata.
    Bizalmassági szabályzat - Bizalmassági címkézési szabályzat kényszerítése: Válassza a Ki lehetőséget
    - Fájlok címkézése tartalom alapján: Tartsa meg az alapértelmezett Be értéket
    - Alapértelmezett címke: A Házirend alapértelmezett értékének megtartása
    - Fájlok újracímkézettsége: Hagyja meg az alapértelmezett kikapcsolva értéket
    Fájlbeállítások konfigurálása - A "Módosítás dátuma", a "Legutóbbi módosítás" és a "Módosította" érték megőrzése: Hagyja meg az alapértelmezett Beállítást
    - Vizsgálandó fájltípusok: Hagyja meg az alapértelmezett fájltípusokat a Kizárás beállításnál
    - Alapértelmezett tulajdonos: Tartsa meg a Scanner-fiók alapértelmezett beállítását
    - Adattár tulajdonosának beállítása: Ezt a beállítást csak DLP-szabályzat használatakor használja.
  4. Nyissa meg a mentett tartalomvizsgálati feladatot, és válassza az Adattárak lapot a vizsgálandó adattárak megadásához.

    Adja meg a helyszíni SharePoint-dokumentumtárakhoz és -mappákhoz tartozó UNC-elérési utakat és SharePoint Server URL-címeket.

    Megjegyzés

    A SharePoint SharePoint Server 2019, a SharePoint Server 2016 és a SharePoint Server 2013 támogatott. A SharePoint Server 2010 akkor is támogatott, ha kiterjesztette a SharePoint ezen verziójának támogatását.

    Az első adattár hozzáadásához az Adattárak lapon:

    1. Az Adattárak panelen válassza a Hozzáadás lehetőséget:

    2. Az Adattár panelen adja meg az adattár elérési útját, majd válassza a Mentés lehetőséget.

      • Hálózati megosztás esetén használja a következőt \\Server\Folder: .
      • SharePoint-tár esetén használja a következőt http://sharepoint.contoso.com/Shared%20Documents/Folder: .
      • Helyi elérési út esetén: C:\Folder
      • UNC-elérési út esetén: \\Server\Folder

    Megjegyzés

    A helyettesítő karakterek nem támogatottak, és a WebDav-helyek nem támogatottak.

    Ha SharePoint-elérési utat ad hozzá a megosztott dokumentumokhoz:

    • Ha a megosztott dokumentumokból származó összes dokumentumot és mappát át szeretné vizsgálni, adja meg a Megosztott dokumentumok lehetőséget az elérési úton. Például: http://sp2013/SharedDocuments
    • Adja meg a Dokumentumok elemet az elérési úton, ha a Megosztott dokumentumok területen lévő almappákban lévő összes dokumentumot és mappát be szeretné vizsgálni. Például: http://sp2013/Documents/SalesReports
    • Vagy csak a SharePoint teljes tartománynevét adja meg, például http://sp2013 az összes SharePoint-webhely és alwebhely felderítéséhez és vizsgálatához egy adott URL-cím és alcím alatt. Engedélyezze a scanner site collector auditor jogosultságát ennek engedélyezéséhez.

    A panel többi beállításához ne módosítsa azokat a kezdeti konfigurációhoz, hanem tartsa meg őket alapértelmezett tartalomvizsgálati feladatként. Az alapértelmezett beállítás azt jelenti, hogy az adattár a tartalomvizsgálati feladattól örökli a beállításokat.

    SharePoint-elérési utak hozzáadásakor használja az alábbi szintaxist:

    Elérési út Syntax
    Gyökérútvonal http://<SharePoint server name>

    Megvizsgálja az összes webhelyet, beleértve a képolvasó felhasználója számára engedélyezett webhelycsoportokat is.
    További engedélyekre van szükség a gyökértartalom automatikus felderítéséhez
    Adott SharePoint-alwebhely vagy -gyűjtemény Az alábbiak valamelyikének telepítve kell lennie:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    További engedélyekre van szükség a webhelycsoport tartalmának automatikus felderítéséhez
    Adott SharePoint-tár Az alábbiak valamelyikének telepítve kell lennie:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Adott SharePoint-mappa http://<SharePoint server name>/.../<folder name>
  5. Ismételje meg az előző lépéseket, hogy szükség szerint minél több adattárat adjon hozzá.

Tartalomvizsgálati feladat létrehozása a Azure Portal:

  1. A bal oldali Scanner menüben válassza a Tartalomvizsgálati feladatok lehetőséget.

  2. Az Azure Information Protection – Tartalomvizsgálati feladatok panelen válassza az Addadd icon save icon (Hozzáadás ikon .

  3. Ehhez a kezdeti konfigurációhoz konfigurálja a következő beállításokat, majd válassza a Mentés lehetőséget , de ne zárja be a panelt.

    Beállítás Leírás
    Tartalomvizsgálati feladat beállításai - Ütemezés: Tartsa meg a Kézi beállítás alapértelmezett beállítását
    - Felderítendő információtípusok: Csak szabályzat módosítása
    - Adattárak konfigurálása: Jelenleg ne konfiguráljon, mert a tartalomvizsgálati feladatot először menteni kell.
    DLP-szabályzat Ha adatveszteség-megelőzési szabályzatot használ, állítsa a DLP-szabályok engedélyezése beállítást Be értékre. További információ: DLP-szabályzat használata.
    Bizalmassági szabályzat - Kényszerítés: Válassza a Ki lehetőséget
    - Fájlok címkézése tartalom alapján: Tartsa meg az alapértelmezett Be értéket
    - Alapértelmezett címke: A Házirend alapértelmezett értékének megtartása
    - Fájlok újracímkézettsége: Tartsa meg az alapértelmezett kikapcsolva értéket
    Fájlbeállítások konfigurálása - Őrizze meg a "Módosítás dátuma", "Utolsó módosítás" és "Módosítva" értéket: Tartsa meg az alapértelmezett Beállítást
    - Vizsgálandó fájltípusok: Tartsa meg az alapértelmezett fájltípusokat a Kizárás beállításnál
    - Alapértelmezett tulajdonos: Tartsa meg a Scanner-fiók alapértelmezett értékét
    - Adattár tulajdonosának beállítása: Ezt a beállítást csak DLP-szabályzat használatakor használja.
  4. Most, hogy létrehozta és mentette a tartalomvizsgálati feladatot, visszatérhet az Adattárak konfigurálása beállításhoz, és megadhatja a vizsgálandó adattárakat.

    Adja meg a helyszíni SharePoint-dokumentumtárakhoz és -mappákhoz tartozó UNC-elérési utakat és SharePoint Server URL-címeket.

    Megjegyzés

    A SharePoint SharePoint Server 2019, a SharePoint Server 2016 és a SharePoint Server 2013 támogatott.

    Az első adattár hozzáadásához az Új tartalomvizsgálati feladat hozzáadása panelen válassza az Adattárak konfigurálása lehetőséget az Adattárak panel megnyitásához:

    Konfigurálja az adattárakat az Azure Information Protection scannerhez.

    1. Az Adattárak panelen válassza a Hozzáadás lehetőséget:

      Adjon hozzá adattárat az Azure Information Protection scannerhez.

    2. Az Adattár panelen adja meg az adattár elérési útját, majd válassza a Mentés lehetőséget.

      • Hálózati megosztás esetén használja a következőt \\Server\Folder: .
      • SharePoint-tár esetén használja a következőt http://sharepoint.contoso.com/Shared%20Documents/Folder: .
      • Helyi elérési út esetén: C:\Folder
      • UNC-elérési út esetén: \\Server\Folder

    Megjegyzés

    A helyettesítő karakterek nem támogatottak, és a WebDav-helyek nem támogatottak.

    Ha SharePoint-elérési utat ad hozzá a megosztott dokumentumokhoz:

    • Ha a megosztott dokumentumokból származó összes dokumentumot és mappát át szeretné vizsgálni, adja meg a Megosztott dokumentumok lehetőséget az elérési úton. Például: http://sp2013/SharedDocuments
    • Adja meg a Dokumentumok elemet az elérési úton, ha a Megosztott dokumentumok területen lévő almappákban lévő összes dokumentumot és mappát be szeretné vizsgálni. Például: http://sp2013/Documents/SalesReports
    • Vagy csak a SharePoint teljes tartománynevét adja meg, például http://sp2013 az összes SharePoint-webhely és alwebhely felderítéséhez és vizsgálatához egy adott URL-cím és alcím alatt. Engedélyezze a scanner site collector auditor jogosultságát ennek engedélyezéséhez.

    A panel többi beállításához ne módosítsa őket a kezdeti konfigurációhoz, hanem tartsa meg őket alapértelmezett tartalomvizsgálati feladatként. Az alapértelmezett beállítás azt jelenti, hogy az adattár a tartalomvizsgálati feladattól örökli a beállításokat.

    SharePoint-elérési utak hozzáadásakor használja az alábbi szintaxist:

    Elérési út Syntax
    Gyökérútvonal http://<SharePoint server name>

    Megvizsgálja az összes webhelyet, beleértve a képolvasó felhasználója számára engedélyezett webhelycsoportokat is.
    További engedélyekre van szükség a gyökértartalom automatikus felderítéséhez
    Adott SharePoint-alwebhely vagy -gyűjtemény Az alábbiak valamelyikének telepítve kell lennie:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    További engedélyekre van szükség a webhelycsoport tartalmának automatikus felderítéséhez
    Adott SharePoint-tár Az alábbiak valamelyikének telepítve kell lennie:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Adott SharePoint-mappa http://<SharePoint server name>/.../<folder name>
  5. Ismételje meg az előző lépéseket, hogy szükség szerint minél több adattárat adjon hozzá.

    Ha végzett, zárja be az Adattárak és a Tartalomvizsgálat munkaablakokat is.

Az Azure Information Protection – Tartalomvizsgálati feladat panelen megjelenik a tartalomvizsgálat neve, valamint a SCHEDULE oszlop, amelyen a Kézi és a KÉNYSZERÍTÉS oszlop üres.

Most már készen áll a képolvasó telepítésére a létrehozott tartalomolvasó-feladattal. Folytassa a képolvasó telepítésével.

A vizsgáló telepítése

Miután konfigurálta az Azure Information Protection scannert, hajtsa végre az alábbi lépéseket a szkenner telepítéséhez. Ez az eljárás teljes mértékben a PowerShellben történik.

  1. Jelentkezzen be a szkennert futtató Windows Server-számítógépre. Olyan fiókot használjon, amely helyi rendszergazdai jogosultságokkal rendelkezik, és rendelkezik engedéllyel az SQL Server főadatbázisba való íráshoz.

    Fontos

    A szkenner telepítése előtt telepítenie kell az AIP egységes címkézési ügyfelet a gépre.

    További információ: Az Azure Information Protection scanner telepítésének és üzembe helyezésének előfeltételei.

  2. Nyisson meg egy Windows PowerShell munkamenetet a Futtatás rendszergazdaként beállítással.

  3. Futtassa az Install-AIPScanner parancsmagot, megadva a SQL Server példányt, amelyen adatbázist szeretne létrehozni az Azure Information Protection scannerhez, valamint a lapolvasófürt nevét, amelyet az előző szakaszban megadott:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Példák az Európa szkennerfürtjének nevére:

    • Alapértelmezett példány esetén: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Névvel ellátott példány esetén: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • SQL Server Express esetén:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Amikor a rendszer kéri, adja meg az Active Directory hitelesítő adatait a scanner szolgáltatásfiókhoz.

    Használja a következő szintaxist: \<domain\user name>. Például: contoso\scanneraccount

  4. Ellenőrizze, hogy a szolgáltatás telepítve van-e a Felügyeleti eszközök>szolgáltatásaival.

    A telepített szolgáltatás neve Azure Information Protection Scanner, és úgy van konfigurálva, hogy a létrehozott scanner szolgáltatásfiók használatával fusson.

Most, hogy telepítette a szkennert, le kell szereznie egy Azure AD jogkivonatot a scanner szolgáltatásfiók hitelesítéséhez, hogy a szkenner felügyelet nélkül fusson.

Azure AD token lekérése a szkennerhez

A Azure AD jogkivonat lehetővé teszi a szkenner számára a hitelesítést az Azure Information Protection szolgáltatásban, így a szkenner nem interaktív módon futhat.

További információ: Fájlok nem interaktív címkézése az Azure Information Protection számára.

Azure AD jogkivonat lekérése:

  1. Nyissa meg a Azure Portal egy Azure AD alkalmazás létrehozásához, amely hozzáférési jogkivonatot ad meg a hitelesítéshez.

  2. Ha a Windows Server-számítógépről a scanner szolgáltatásfiókja a telepítéshez helyileg be van jelentkezve , jelentkezzen be ezzel a fiókkal, és indítsa el a PowerShell-munkamenetet.

    Futtassa a Set-AIPAuthentication parancsot, és adja meg az előző lépésből kimásolt értékeket:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Például:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Tipp

    Ha a scanner szolgáltatásfiókja nem tudja helyileg megadni a bejelentkezést a telepítéshez, használja az OnBehalfOf paramétert a Set-AIPAuthentication paranccsal, a fájlok nem interaktív címkézése az Azure Information Protection esetében című témakörben leírtak szerint.

A szkenner most már rendelkezik egy jogkivonattal, a Azure AD hitelesítéséhez. Ez a jogkivonat egy évig, két évig vagy soha nem érvényes a webalkalmazás /API ügyfélkódjának konfigurációja szerint Azure AD. Ha a jogkivonat lejár, meg kell ismételnie ezt az eljárást.

Folytassa az alábbi lépések egyikét attól függően, hogy a Azure Portal használja-e a szkenner konfigurálásához, vagy csak a PowerShellt:

Most már készen áll az első vizsgálat felderítés módban való futtatására. További információ: Felderítési ciklus futtatása és a képolvasó jelentéseinek megtekintése.

A kezdeti felderítési vizsgálat futtatása után folytassa a Beolvasás konfigurálása besorolás és védelem alkalmazásához című témakörrel.

Megjegyzés

További információ: Fájlok nem interaktív címkézése az Azure Information Protection

A Scanner konfigurálása besorolásra és védelemre

Az alapértelmezett beállítások úgy konfigurálják a szkennert, hogy egyszer fusson, és csak jelentéskészítési módban. A beállítások módosításához szerkessze a tartalomvizsgálati feladatot.

Tipp

Ha csak a PowerShellben dolgozik, olvassa el A képolvasó konfigurálása besorolás és védelem alkalmazásához – csak PowerShell-lel című témakört.

A szkenner konfigurálása besorolás és védelem alkalmazásához a Microsoft Purview megfelelőségi portál:

  1. A Microsoft Purview megfelelőségi portál Tartalomvizsgálati feladatok lapján válasszon ki egy adott tartalomvizsgálati feladatot a szerkesztéséhez.

  2. Jelölje ki a tartalomvizsgálati feladatot, módosítsa a következőket, majd válassza a Mentés lehetőséget:

    • A Tartalomvizsgálati feladat szakaszból: Módosítsa az ütemezéstMindig értékűre
    • A Bizalmassági címkézési szabályzat kényszerítése szakaszban: A választógomb be állásba helyezése
  3. Győződjön meg arról, hogy a tartalomvizsgálati feladat egyik csomópontja online állapotban van, majd indítsa el újra a tartalomvizsgálati feladatot a Vizsgálat most lehetőség kiválasztásával. A Vizsgálat most gomb csak akkor jelenik meg, ha a kijelölt tartalomvizsgálati feladat egyik csomópontja online állapotban van.

A szkenner most már folyamatosan fut. Amikor a képolvasó végigvezeti az összes konfigurált fájlon, automatikusan elindít egy új ciklust, hogy minden új és módosított fájlt felderítsen.

A szkenner konfigurálása besorolás és védelem alkalmazásához a Azure Portal:

  1. Az Azure Portal Azure Information Protection – Tartalomvizsgálati feladatok paneljén válassza ki a fürtöt és a tartalomvizsgálati feladatot a szerkesztéshez.

  2. A Tartalomvizsgálati feladat panelen módosítsa a következőket, majd válassza a Mentés lehetőséget:

    • A Tartalomvizsgálati feladat szakaszból: Módosítsa az ütemezéstMindig értékűre
    • A Bizalmassági szabályzat szakaszból: Kényszerítés bekapcsolva

    Tipp

    Előfordulhat, hogy ezen a panelen más beállításokat is módosítani szeretne, például azt, hogy a fájlattribútumok módosultak-e, és hogy a képolvasó újracímkézni tudja-e a fájlokat. Az információs előugró súgó segítségével további információkat tudhat meg az egyes konfigurációs beállításokról.

  3. Jegyezze fel az aktuális időpontot, és indítsa el újra a szkennert az Azure Information Protection – Tartalomvizsgálati feladatok panelen:

    Indítsa el az Azure Information Protection scanner vizsgálatát.

A szkenner most már folyamatosan fut. Amikor a képolvasó végigvezeti az összes konfigurált fájlon, automatikusan elindít egy új ciklust, hogy minden új és módosított fájlt felderítsen.

DLP-szabályzat használata

Az adatveszteség-megelőzési szabályzat használatával a képolvasó észlelheti a lehetséges adatszivárgásokat a DLP-szabályoknak a fájlmegosztásokban és a SharePoint Serverben tárolt fájlokhoz való egyeztetésével.

  • Engedélyezze a DLP-szabályokat a tartalomvizsgálati feladatban , hogy csökkentse a DLP-szabályzatainak megfelelő fájlok expozícióját. Ha a DLP-szabályok engedélyezve vannak, a szkenner csökkentheti a fájlhozzáférést csak az adattulajdonosok számára, vagy csökkentheti a hálózati szintű csoportok, például a Mindenki, a Hitelesített felhasználók vagy a Tartományi felhasználók számára való kitettséget.

  • A Microsoft Purview megfelelőségi portál határozza meg, hogy csak teszteli-e a DLP-szabályzatot, vagy szeretné-e kikényszeríteni a szabályokat, és hogy a fájlengedélyek ezen szabályok szerint változnak-e. További információ: DLP-szabályzat bekapcsolása.

A DLP-szabályzatok a Microsoft Purview megfelelőségi portál vannak konfigurálva. A DLP-licenceléssel kapcsolatos további információkért lásd: Ismerkedés a helyszíni adatveszteség-megelőzési szkennerrel.

Tipp

A fájlok beolvasása akkor is létrehoz fájlengedély-jelentéseket, ha csak a DLP-szabályzatot teszteli. Lekérdezheti ezeket a jelentéseket adott fájlexpozíciók vizsgálatához vagy egy adott felhasználónak a beolvasott fájloknak való kitettségének vizsgálatához.

Ha csak a PowerShellt szeretné használni, olvassa el A DLP-szabályzat használata a szkennerrel – Csak PowerShell-lel című témakört.

DLP-szabályzat használata a szkennerrel a Microsoft Purview megfelelőségi portál:

  1. A Microsoft Purview megfelelőségi portál lépjen a Tartalomvizsgálati feladatok lapra, és válasszon ki egy adott tartalomvizsgálati feladatot. További információ: Tartalomvizsgálati feladat létrehozása.

  2. A DLP-házirendszabályok engedélyezése területen állítsa be a választógombot Be értékre.

    Fontos

    Ne állítsa be a DLP-szabályok engedélyezése beállítást Be értékre, hacsak nem rendelkezik a Microsoft 365-ben konfigurált DLP-szabályzattal.

    Ha ezt a funkciót DLP-szabályzat nélkül kapcsolja be, a szkenner hibákat generál.

  3. (Nem kötelező) Állítsa be az Adattár tulajdonosának beállítása beállítást Be értékre, és adjon meg egy adott felhasználót adattártulajdonosként.

    Ez a beállítás lehetővé teszi a szkenner számára, hogy csökkentse az adattárban található, a DLP-szabályzatnak megfelelő fájlok kitettségét a megadott adattár tulajdonosával.

DLP-szabályzat használata a szkennerrel a Azure Portal:

  1. A Azure Portal keresse meg a tartalomvizsgálati feladatot. További információ: Tartalomvizsgálati feladat létrehozása.

  2. A DLP-szabályzat területen állítsa a DLP-szabályok engedélyezése beállítást Be értékre.

    Fontos

    Ne állítsa be a DLP-szabályok engedélyezése beállítást Be értékre, hacsak nem rendelkezik a Microsoft 365-ben konfigurált DLP-szabályzattal.

    Ha ezt a funkciót DLP-szabályzat nélkül kapcsolja be, a szkenner hibákat generál.

  3. (Nem kötelező) A Fájlbeállítások konfigurálása területen állítsa be az Adattár tulajdonosának beállítása beállítást Be értékre, és adjon meg egy adott felhasználót az adattár tulajdonosaként.

    Ez a beállítás lehetővé teszi a szkenner számára, hogy csökkentse az adattárban található, a DLP-szabályzatnak megfelelő fájlok kitettségét a megadott adattár tulajdonosával.

DLP-szabályzatok és privát műveletek végrehajtása

Ha egy DLP-szabályzatot privát művelettel használ, és azt is tervezi, hogy a szkennerrel automatikusan címkézi a fájlokat, javasoljuk, hogy az egyesített címkézési ügyfél UseCopyAndPreserveNTFSOwner speciális beállítását is definiálja.

Ez a beállítás biztosítja, hogy az eredeti tulajdonosok továbbra is hozzáférjenek a fájljaikhoz.

További információ: Tartalomvizsgálati feladat létrehozása és Bizalmassági címke automatikus alkalmazása tartalomra a Microsoft 365 dokumentációjában.

A védeni kívánt fájltípusok módosítása

Alapértelmezés szerint az AIP scanner csak az Office-fájltípusokat és a PDF-fájlokat védi.

A PowerShell-parancsokkal szükség szerint módosíthatja ezt a viselkedést, például konfigurálhatja a szkennert az összes fájltípus védelmére, ugyanúgy, mint az ügyfél, vagy további, adott fájltípusok védelmére.

A szkenner címkéinek letöltésére szolgáló felhasználói fiókra vonatkozó címkeszabályzathoz adjon meg egy PFileSupportedExtensions nevű speciális PowerShell-beállítást.

Az internethez hozzáféréssel rendelkező szkennerek esetében ez a felhasználói fiók az a fiók, amelyet a Delegáltfelhasználó paraméterhez a Set-AIPAuthentication paranccsal ad meg.

1. példa: A képolvasó PowerShell-parancsa az összes fájltípus védelméhez, ahol a címkeszabályzat neve "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

2. példa: A képolvasó PowerShell-parancsa az Office-fájlok és PDF-fájlok mellett .xml fájlok és .tiff fájlok védelmére, ahol a címkeszabályzat neve "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

További információ: A védeni kívánt fájltípusok módosítása.

A képolvasó frissítése

Ha korábban telepítette a szkennert, és frissíteni szeretne, használja az Azure Information Protection scanner frissítésével kapcsolatos utasításokat.

Ezután konfigurálja és használja a szkennert a szokásos módon, kihagyva a szkenner telepítésének lépéseit.

Az adattár beállításainak szerkesztése tömegesen

Az Exportálás és importálás gombokkal módosíthatja a képolvasót több adattárban.

Így nem kell többször elvégeznie ugyanazokat a módosításokat manuálisan, a Azure Portal vagy a Microsoft Purview megfelelőségi portál.

Ha például új fájltípust használ több SharePoint-adatadattárban, érdemes lehet tömegesen frissíteni az adattárak beállításait.

Ha tömegesen szeretne módosításokat végezni a Microsoft Purview megfelelőségi portál adattáraiban:

  1. A Microsoft Purview megfelelőségi portál válasszon ki egy adott tartalomvizsgálati feladatot, és navigáljon az Adattárak lapra a panelen. Válassza az Exportálás lehetőséget.

  2. Manuálisan szerkessze az exportált fájlt a módosításhoz.

  3. Az Ugyanazon a lapon található Importálás lehetőséggel importálhatja a frissítéseket az adattárakba.

Ha tömegesen szeretne módosításokat végezni a Azure Portal adattáraiban:

  1. Az Adattárak panel Azure Portal válassza az Exportálás lehetőséget. Például:

    Adattárház beállításainak exportálása az Azure Information Protection scannerhez.

  2. Manuálisan szerkessze az exportált fájlt a módosításhoz.

  3. Az Ugyanazon a lapon található Importálás lehetőséggel importálhatja a frissítéseket az adattárakba.

A szkenner használata alternatív konfigurációkkal

Az Azure Information Protection scanner általában a címkékhez megadott feltételeket keresi a tartalom igény szerinti besorolása és védelme érdekében.

A következő esetekben az Azure Information Protection scanner konfigurált feltételek nélkül is képes beolvasni a tartalmat és kezelni a címkéket:

Alapértelmezett címke alkalmazása az adattárban lévő összes fájlra

Ebben a konfigurációban az adattár összes címkézetlen fájlja az adattárhoz vagy a tartalomvizsgálati feladathoz megadott alapértelmezett címkével van megjelölve. A fájlokat vizsgálat nélkül címkézték.

Adja meg az alábbi beállításokat:

Beállítás Leírás
Fájlok címkézése tartalom alapján Beállítás kikapcsolva
Alapértelmezett címke Állítsa egyéni értékre, majd válassza ki a használni kívánt címkét
Alapértelmezett címke kényszerítése Jelölje be, hogy az alapértelmezett címke az összes fájlra legyen alkalmazva, még akkor is, ha azok már címkézve vannak. Ehhez kapcsolja be az Újracímkézett fájlokat és az Alapértelmezett címke kényszerítése beállítást.

Meglévő címkék eltávolítása az adattárban lévő összes fájlból

Ebben a konfigurációban az összes meglévő címke el lesz távolítva, beleértve a védelmet is, ha a címkével védelmet alkalmaztak. A címkéktől függetlenül alkalmazott védelem megmarad.

Adja meg az alábbi beállításokat:

Beállítás Leírás
Fájlok címkézése tartalom alapján Beállítás kikapcsolva
Alapértelmezett címke Nincs értékre állítva
Fájlok újracímkéje Állítsa Be értékre, és az Alapértelmezett címke kényszerítése beállítás értéke Be

Az összes egyéni feltétel és ismert bizalmas információtípus azonosítása

Ez a konfiguráció lehetővé teszi, hogy olyan bizalmas információkat keressen, amelyekről nem biztos, hogy észrevenné, a szkenner vizsgálati sebességének rovására.

Állítsa a felderítendő információtípusokata Mind értékre.

A címkézés feltételeinek és adattípusainak azonosításához a szkenner a megadott egyéni bizalmas információtípusokat, valamint a címkézési felügyeleti központban meghatározottak szerint kiválasztható beépített bizalmas információtípusok listáját használja.

A képolvasó teljesítményének optimalizálása

Megjegyzés

Ha a szkenner teljesítménye helyett a képolvasó számítógép válaszképességét szeretné javítani, használjon speciális ügyfélbeállítást a szkenner által használt szálak számának korlátozásához.

A képolvasó teljesítményének optimalizálásához használja az alábbi lehetőségeket és útmutatást:

Beállítás Leírás
Nagy sebességű és megbízható hálózati kapcsolattal rendelkezik a szkenner számítógépe és a beolvasott adattár között Tegyük fel például, hogy a szkenner számítógépet ugyanabban a lan-ban helyezi el, vagy lehetőleg ugyanabban a hálózati szegmensben, mint a beolvasott adattár.

A hálózati kapcsolat minősége befolyásolja a képolvasó teljesítményét, mivel a fájlok vizsgálatához a képolvasó a fájlok tartalmát a képolvasó szolgáltatást futtató számítógépre továbbítja.

Az adatok utazásához szükséges hálózati ugrások csökkentése vagy megszüntetése szintén csökkenti a hálózat terhelését.
Győződjön meg arról, hogy a szkenner számítógépe rendelkezik elérhető processzorerőforrásokkal A fájl tartalmának vizsgálata, valamint a fájlok titkosítása és visszafejtése processzorigényes művelet.

Monitorozza a megadott adattárak tipikus vizsgálati ciklusait annak megállapításához, hogy a processzorerőforrások hiánya negatívan befolyásolja-e a szkenner teljesítményét.
A szkenner több példányának telepítése Az Azure Information Protection scanner több konfigurációs adatbázist is támogat ugyanazon az SQL Server-példányon, amikor egyéni fürtnevet ad meg a képolvasóhoz.

Tipp: Több szkenner is megoszthatja ugyanazt a fürtöt, ami gyorsabb vizsgálati időt eredményez. Ha több, azonos adatbázispéldányt használó gépre tervezi telepíteni a szkennert, és azt szeretné, hogy a szkennerek párhuzamosan fussanak, akkor az összes képolvasót ugyanazon fürtnévvel kell telepítenie.
Az alternatív konfiguráció használatának ellenőrzése A képolvasó gyorsabban fut, ha az alternatív konfigurációval egy alapértelmezett címkét alkalmaz az összes fájlra, mert a képolvasó nem vizsgálja meg a fájl tartalmát.

A szkenner lassabban fut, ha az alternatív konfigurációval azonosítja az összes egyéni feltételt és az ismert bizalmas információtípusokat.

A teljesítményt befolyásoló további tényezők

A szkenner teljesítményét befolyásoló további tényezők a következők:

Szempont Description
Betöltési/válaszidők A beolvasandó fájlokat tartalmazó adattárak aktuális betöltési és válaszideje is befolyásolja a szkenner teljesítményét.
Szkenner mód (felderítés / kényszerítés) A felderítési mód általában magasabb vizsgálati sebességgel rendelkezik, mint a kényszerítési mód.

A felderítés egyetlen fájlolvasási műveletet igényel, míg a kényszerítési mód olvasási és írási műveleteket igényel.
A szabályzatok változásai A képolvasó teljesítménye akkor lehet hatással, ha módosította az automatikus címkézést a címkeszabályzatban.

Az első vizsgálati ciklus, amikor a szkennernek minden fájlt meg kell vizsgálnia, több időt vesz igénybe, mint az azt követő vizsgálati ciklusok, amelyek alapértelmezés szerint csak az új és módosított fájlokat vizsgálják meg.

Ha módosítja a feltételeket vagy az automatikus címkézési beállításokat, a rendszer minden fájlt újra beolvas. További információ: Fájlok újrakenése.
Regex-szerkezetek A szkenner teljesítményét befolyásolja az egyéni feltételek regex-kifejezéseinek létrehozása.

A nagy memóriahasználat és az időtúllépések (fájlonként 15 perc) elkerülése érdekében tekintse át a regex kifejezéseket a hatékony mintaegyeztetés érdekében.

Például:
- Kerülje a kapzsi kvantitátorokat
– Használjon nem rögzített csoportokat, például ahelyett, hogy (?:expression)(expression)
Naplószint A naplószintű beállítások közé tartozik a hibakeresés, az Információ, a Hiba és a Ki lehetőség a szkennerjelentésekhez.

- A legjobb teljesítményt eredményező eredmény kikapcsolása
- A hibakeresés jelentősen lelassítja a szkennert, és csak hibaelhárításra használható.

További információ: A Set-AIPScannerConfiguration parancsmag ReportLevel paramétere.
A beolvasott fájlok – Az Excel-fájlok kivételével az Office-fájlok gyorsabban beolvashatók, mint a PDF-fájlok.

– A nem védett fájlok gyorsabbak, mint a védett fájlok.

- A nagy fájlok vizsgálata nyilvánvalóan hosszabb időt vesz igénybe, mint a kis fájlok.

A szkenner konfigurálása a PowerShell használatával

Ez a szakasz a helyszíni AIP-szkenner konfigurálásához és telepítéséhez szükséges lépéseket ismerteti, ha nincs hozzáférése a képolvasó lapjaihoz a Azure Portal, és csak a PowerShellt kell használnia.

Fontos

  • Egyes lépésekhez a PowerShell szükséges ahhoz, hogy hozzáférhessen-e a képolvasó lapjaihoz a Azure Portal, és azonosak-e. Ezekért a lépésekért tekintse meg a jelen cikkben szereplő korábbi utasításokat.

  • Ha az Azure China 21Vianet szkennerével dolgozik, az itt ismertetett utasítások mellett további lépésekre is szükség van. További információ: Az Azure Information Protection támogatása a 21Vianet által üzemeltetett Office 365 számára.

További információ: Támogatott PowerShell-parancsmagok.

A szkenner konfigurálása és telepítése:

  1. Első lépésként zárja be a PowerShellt. Ha korábban telepítette az AIP-ügyfelet és a szkennert, győződjön meg arról, hogy az AIPScanner szolgáltatás le van állítva.

  2. Nyisson meg egy Windows PowerShell munkamenetet a Futtatás rendszergazdaként beállítással.

  3. Futtassa az Install-AIPScanner parancsot a szkenner SQL Server-példányra való telepítéséhez a Fürt paraméterrel a fürt nevének meghatározásához.

    Ez a lépés azonos attól függetlenül, hogy hozzáfér-e a képolvasó lapjaihoz a Azure Portal. További információ: A képolvasó telepítése című cikk korábbi utasításai

  4. Szerezzen be egy Azure-jogkivonatot, amelyet használhat a szkennerrel, majd újrahitelesítheti.

    Ez a lépés azonos attól függetlenül, hogy hozzáfér-e a képolvasó lapjaihoz a Azure Portal. További információkért lásd a cikk korábbi utasításait: Azure AD token lekérése a szkennerhez.

  5. Futtassa a Set-AIPScannerConfiguration parancsmagot, hogy a szkenner offline módban működjön. Futtassa a következőt:

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  6. Futtassa a Set-AIPScannerContentScanJob parancsmagot egy alapértelmezett tartalomvizsgálati feladat létrehozásához.

    A Set-AIPScannerContentScanJob parancsmag egyetlen kötelező paramétere a Kényszerítés. Előfordulhat azonban, hogy a tartalomvizsgálati feladathoz jelenleg más beállításokat is meg szeretne adni. Például:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    A fenti szintaxis a következő beállításokat konfigurálja a konfiguráció folytatása közben:

    • A szkenner futtatásának ütemezését manuálisra tartja
    • Beállítja a felderítendő információtípusokat a bizalmassági címkézési szabályzat alapján
    • Nem kényszerít bizalmassági címkézési szabályzatot
    • Fájlok automatikus címkézése tartalom alapján a bizalmassági címkézési szabályzathoz definiált alapértelmezett címke használatával
    • Nem engedélyezi a fájlok újracímkézését
    • Megőrzi a fájladatokat a beolvasás és az automatikus címkézés során, beleértve a módosított dátumot, az utolsó módosítást és az értékekkel való módosítást is
    • A szkennert úgy állítja be, hogy az .msg és a .tmp fájlokat kizárja a futtatáskor
    • Beállítja az alapértelmezett tulajdonost arra a fiókra, amelyet a szkenner futtatásakor használni szeretne
  7. Az Add-AIPScannerRepository parancsmaggal definiálhatja a tartalomvizsgálati feladatban vizsgálni kívánt adattárakat. Futtassa például a következőt:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Használja az alábbi szintaxisok egyikét a hozzáadni kívánt adattár típusától függően:

    • Hálózati megosztás esetén használja a következőt \\Server\Folder: .
    • SharePoint-tár esetén használja a következőt http://sharepoint.contoso.com/Shared%20Documents/Folder: .
    • Helyi elérési út esetén: C:\Folder
    • UNC-elérési út esetén: \\Server\Folder

    Megjegyzés

    A helyettesítő karakterek nem támogatottak, és a WebDav-helyek nem támogatottak.

    Az adattár későbbi módosításához használja inkább a Set-AIPScannerRepository parancsmagot.

    Ha SharePoint-elérési utat ad hozzá a megosztott dokumentumokhoz:

    • Ha a megosztott dokumentumokból származó összes dokumentumot és mappát át szeretné vizsgálni, adja meg a Megosztott dokumentumok lehetőséget az elérési úton. Például: http://sp2013/SharedDocuments
    • Adja meg a Dokumentumok elemet az elérési úton, ha a Megosztott dokumentumok területen lévő almappákban lévő összes dokumentumot és mappát be szeretné vizsgálni. Például: http://sp2013/Documents/SalesReports
    • Vagy csak a SharePoint teljes tartománynevét adja meg, például http://sp2013 az összes SharePoint-webhely és alwebhely felderítéséhez és vizsgálatához egy adott URL-cím és alcím alatt. Engedélyezze a scanner site collector auditor jogosultságát ennek engedélyezéséhez.

    SharePoint-elérési utak hozzáadásakor használja az alábbi szintaxist:

    Elérési út Syntax
    Gyökérútvonal http://<SharePoint server name>

    Megvizsgálja az összes webhelyet, beleértve a képolvasó felhasználója számára engedélyezett webhelycsoportokat is.
    További engedélyekre van szükség a gyökértartalom automatikus felderítéséhez
    Adott SharePoint-alwebhely vagy -gyűjtemény Az alábbiak valamelyikének telepítve kell lennie:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    További engedélyekre van szükség a webhelycsoport tartalmának automatikus felderítéséhez
    Adott SharePoint-tár Az alábbiak valamelyikének telepítve kell lennie:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Adott SharePoint-mappa http://<SharePoint server name>/.../<folder name>

Folytassa a következő lépésekkel, ha szükséges:

A Képolvasó konfigurálása a PowerShell használatával besorolás és védelem alkalmazásához

  1. Futtassa a Set-AIPScannerContentScanJob parancsmagot a tartalomvizsgálati feladat frissítéséhez, hogy mindig az ütemezést állítsa be, és kényszerítse ki a bizalmassági szabályzatot.

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On
    

    Tipp

    Előfordulhat, hogy ezen a panelen más beállításokat is módosítani szeretne, például azt, hogy a fájlattribútumok módosultak-e, és hogy a képolvasó újracímkézni tudja-e a fájlokat. Az elérhető beállításokkal kapcsolatos további információkért tekintse meg a PowerShell teljes dokumentációját.

  2. Futtassa a Start-AIPScan parancsmagot a tartalomvizsgálati feladat futtatásához:

    Start-AIPScan
    

A szkenner most már folyamatosan fut. Amikor a képolvasó végigvezeti az összes konfigurált fájlon, automatikusan elindít egy új ciklust, hogy minden új és módosított fájlt felderítsen.

DLP-szabályzat konfigurálása a szkennerrel a PowerShell használatával

  1. Futtassa újra a Set-AIPScannerContentScanJob parancsmagot az -EnableDLP paraméter Be értékre állítva, és egy meghatározott adattártulajdonossal.

    Például:

    Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
    

Támogatott PowerShell-parancsmagok

Ez a szakasz az Azure Information Protection scannerhez támogatott PowerShell-parancsmagokat, valamint a csak a PowerShell-lel történő konfigurálásra és telepítésre vonatkozó utasításokat sorolja fel.

A szkenner támogatott parancsmagjai a következők:

Következő lépések

Miután telepítette és konfigurálta a szkennert, kezdje el beolvasni a fájlokat.

Lásd még: Az Azure Information Protection scanner üzembe helyezése a fájlok automatikus besorolásához és védelméhez.

További információ: