Az Information Protection Scanner konfigurálása és telepítése

Megjegyzés:

A Microsoft Purview információvédelem szkennert korábban Azure Information Protection egységes címkézési szkennernek vagy helyszíni szkennernek hívták. A konfiguráció átkerült a Azure Portal a Microsoft Purview megfelelőségi portál.

Ez a cikk bemutatja, hogyan konfigurálhatja és telepítheti a korábban Azure Information Protection egyesített címkézési szkennernek vagy a helyszíni szkennernek nevezett Microsoft Purview információvédelem scannert.

Tipp

Bár a legtöbb ügyfél ezeket az eljárásokat a felügyeleti portálon hajtja végre, előfordulhat, hogy csak a PowerShellben kell dolgoznia.

Ha például olyan környezetben dolgozik, amely nem fér hozzá a felügyeleti portálhoz, például az Azure China 21Vianet scanner kiszolgálóihoz, kövesse a Képolvasó konfigurálása a PowerShell használatával című cikk utasításait.

Áttekintés

Mielőtt hozzákezd, ellenőrizze, hogy a rendszer megfelel-e a szükséges előfeltételeknek.

Ezután a következő lépésekkel konfigurálhatja és telepítheti a képolvasót:

1. A képolvasó beállításainak konfigurálása

2. A képolvasó telepítése

3. Azure AD token lekérése a szkennerhez

4. A képolvasó konfigurálása besorolás és védelem alkalmazásához

Ezután hajtsa végre a következő konfigurációs eljárásokat a rendszerhez szükséges módon:

Eljárás	Leírás
A védeni kívánt fájltípusok módosítása	Érdemes lehet az alapértelmezett fájltípusoktól eltérő fájltípusokat vizsgálni, besorolni vagy védeni. További információ: A vizsgálati folyamat.
A képolvasó frissítése	Frissítse a szkennert a legújabb funkciók és fejlesztések használatára.
Az adattár beállításainak tömeges szerkesztése	Az importálási és exportálási lehetőségekkel tömegesen végezhet módosításokat több adatadattárban.
A szkenner használata alternatív konfigurációkkal	A képolvasó használata címkék konfigurálása nélkül, bármilyen feltétellel
Teljesítmény optimalizálása	Útmutató a képolvasó teljesítményének optimalizálásához

Ha nem fér hozzá a képolvasó lapjaihoz a megfelelőségi portálon, csak a PowerShellben konfiguráljon szkennerbeállításokat. További információ: A szkenner és a támogatott PowerShell-parancsmagokkonfigurálása a PowerShell használatával.

A képolvasó beállításainak konfigurálása

Mielőtt telepítené a képolvasót, vagy frissítené azt egy régebbi általános rendelkezésre állási verzióról, konfigurálja vagy ellenőrizze a képolvasó beállításait.

A képolvasó konfigurálása a Microsoft Purview megfelelőségi portál:

1. Jelentkezzen be a Microsoft Purview megfelelőségi portál az alábbi szerepkörök egyikével:

   • Globális rendszergazda
   • Megfelelőségi rendszergazda
   • Megfelelőségi adatadminisztrátor
   • Biztonsági rendszergazda
   • Biztonsági operátor
   • Biztonsági olvasó
   • Globális olvasó

   Ezután lépjen a Beállítások panelre.

   A Beállítások panelen válassza az Information Protection Scanner lehetőséget.

2. Képolvasófürt létrehozása. Ez a fürt határozza meg a képolvasót, és a szkennerpéldány azonosítására szolgál, például a telepítés, a frissítések és más folyamatok során.

3. Hozzon létre egy tartalomvizsgálati feladatot a vizsgálni kívánt adattárak meghatározásához.

Képolvasófürt létrehozása

Képolvasófürt létrehozása a Microsoft Purview megfelelőségi portál:

1. Az Information Protection Scanner lapfülei közül válassza a Fürtök lehetőséget.

2. A Fürtök lapon válassza a .

3. Az Új fürt panelen adjon meg egy jelentéssel bíró nevet a képolvasónak, és adjon meg egy opcionális leírást.

   A fürt neve a szkenner konfigurációinak és adattárainak azonosítására szolgál. Beírhatja például Európát a vizsgálni kívánt adattárak földrajzi helyének azonosításához.

   Később ezt a nevet fogja használni a szkenner telepítésének vagy frissítésének helyére.

4. A módosítások mentéshez válassza a Mentés gombot.

Tartalomvizsgálati feladat létrehozása

A tartalom részletes vizsgálatához keressen bizalmas tartalmakat adott adattárakban.

Tartalomvizsgálati feladat létrehozása a Microsoft Purview megfelelőségi portál:

1. Az Information Protection Scanner lapfülei közül válassza a Tartalomvizsgálati feladatok lehetőséget.

2. A Tartalomvizsgálati feladatok panelen válassza a lehetőséget.

3. Ehhez a kezdeti konfigurációhoz konfigurálja az alábbi beállításokat, majd válassza a Mentés lehetőséget.

   Beállítás	Leírás
   Tartalomvizsgálati feladat beállításai	- Ütemezés: Tartsa meg a Kézi beállítás alapértelmezett beállítását - Felderítendő információtípusok: Csak a szabályzat módosítása
   DLP-szabályzat	Ha adatveszteség-megelőzési szabályzatot használ, állítsa a DLP-szabályok engedélyezése beállítást Be értékre. További információ: DLP-szabályzat használata.
   Bizalmassági szabályzat	- Bizalmassági címkézési szabályzat kényszerítése: Válassza a Ki lehetőséget - Fájlok címkézése tartalom alapján: Tartsa meg az alapértelmezett Be értéket - Alapértelmezett címke: A Házirend alapértelmezett értékének megtartása - Fájlok újracímkézése: Tartsa meg az alapértelmezett kikapcsolva értéket
   Fájlbeállítások konfigurálása	- A "Módosítás dátuma", a "Legutóbbi módosítás" és a "Módosító" érték megőrzése: Hagyja meg a Be értéket - Vizsgálandó fájltípusok: Tartsa meg az alapértelmezett fájltípusokat az Exclude (Kizárás) beállításnál - Alapértelmezett tulajdonos: Tartsa meg a Scanner-fiók alapértelmezett beállítását - Adattár tulajdonosának beállítása: Ezt a beállítást csak DLP-szabályzat használatakor használja.

4. Nyissa meg a mentett tartalomvizsgálati feladatot, és válassza az Adattárak lapot a vizsgálandó adattárak megadásához.

   Adjon meg UNC elérési utakat és SharePoint Server URL-címeket a helyszíni SharePoint-dokumentumtárakhoz és -mappákhoz.

   Megjegyzés:

   A SharePoint SharePoint Server 2019, SharePoint Server 2016 és SharePoint Server 2013 támogatott. A SharePoint Server 2010 akkor is támogatott, ha kiterjesztette a SharePoint ezen verziójának támogatását.

   Az első adattár hozzáadásához az Adattárak lapon:

   1. Az Adattárak panelen válassza a Hozzáadás lehetőséget:

   2. Az Adattár panelen adja meg az adattár elérési útját, majd válassza a Mentés lehetőséget.

      • Hálózati megosztás esetén használja a következőt \\Server\Folder: .
      • SharePoint-tár esetén használja a következőt http://sharepoint.contoso.com/Shared%20Documents/Folder: .
      • Helyi elérési út esetén: C:\Folder
      • UNC elérési út esetén: \\Server\Folder

   Megjegyzés:

   A helyettesítő karakterek nem támogatottak, és a WebDav-helyek nem támogatottak.

   Ha SharePoint-elérési utat ad hozzá a megosztott dokumentumokhoz:

   • Adja meg a Megosztott dokumentumok elemet az elérési úton, ha az összes dokumentumot és mappát át szeretné vizsgálni a Megosztott dokumentumokból. Például: http://sp2013/SharedDocuments
   • Adja meg a Dokumentumok elemet az elérési úton, ha a Megosztott dokumentumok almappában lévő összes dokumentumot és mappát át szeretné vizsgálni. Például: http://sp2013/Documents/SalesReports
   • Vagy csak a SharePoint teljes tartománynevét adja meg, például http://sp2013 az összes SharePoint-webhely és alwebhely felderítéséhez és vizsgálatához egy adott URL-cím és alcím alatt. Engedélyezze a scanner Site Collector Auditor jogosultságát.

   A panel további beállításainál ne módosítsa őket a kezdeti konfigurációhoz, hanem tartsa meg őket alapértelmezett tartalomvizsgálati feladatként. Az alapértelmezett beállítás azt jelenti, hogy az adattár a tartalomvizsgálati feladattól örökli a beállításokat.

   SharePoint-elérési utak hozzáadásakor használja az alábbi szintaxist:

   Elérési út	Szintaxis
   Gyökérútvonal	http://<SharePoint server name> Megvizsgálja az összes webhelyet, beleértve a képolvasó felhasználója számára engedélyezett webhelycsoportokat is. További engedélyeket igényel a gyökértartalom automatikus felderítéséhez
   Adott SharePoint-alwebhely vagy -gyűjtemény	Az alábbiak egyike: - http://<SharePoint server name>/<subsite name> - http://SharePoint server name>/<site collection name>/<site name> További engedélyeket igényel a webhelycsoport tartalmának automatikus felderítéséhez
   Adott SharePoint-tár	Az alábbiak egyike: - http://<SharePoint server name>/<library name> - http://SharePoint server name>/.../<library name>
   Adott SharePoint-mappa	http://<SharePoint server name>/.../<folder name>

5. Ismételje meg az előző lépéseket annyi adattár hozzáadásához, amennyit csak szükséges.

Most már készen áll a képolvasó telepítésére a létrehozott tartalomolvasó feladattal. Folytassa a képolvasó telepítésével.

A képolvasó telepítése

A képolvasó konfigurálása után hajtsa végre a következő lépéseket a képolvasó telepítéséhez. Ez az eljárás teljes mértékben a PowerShellben történik.

1. Jelentkezzen be a képolvasót futtató Windows Server-számítógépre. Használjon olyan fiókot, amely helyi rendszergazdai jogosultságokkal rendelkezik, és rendelkezik az SQL Server master adatbázisba való íráshoz szükséges engedélyekkel.

   Fontos

   A szkenner telepítése előtt telepítenie kell az AIP egységes címkézési ügyfelet a számítógépen.

   További információ: Az information protection scanner telepítésének és üzembe helyezésének előfeltételei.

2. Nyisson meg egy Windows PowerShell munkamenetet a Futtatás rendszergazdaként beállítással.

3. Futtassa az Install-AIPScanner parancsmagot, megadva a SQL Server-példányt, amelyen adatbázist szeretne létrehozni az Azure Information Protection scanner számára, valamint az előző szakaszban megadott szkennerfürt nevét:

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   Példák az Európa képolvasófürt nevének használatával:

   • Alapértelmezett példány esetén: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

   • Névvel ellátott példány esetén: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

   • SQL Server Express esetén:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

   Amikor a rendszer kéri, adja meg az Active Directory hitelesítő adatait a scanner szolgáltatásfiókhoz.

   Használja a következő szintaxist: \<domain\user name>. Például: contoso\scanneraccount

4. Ellenőrizze, hogy a szolgáltatás telepítve van-e a Felügyeleti eszközök>szolgáltatásaival.

   A telepített szolgáltatás neve Azure Information Protection Scanner, és úgy van konfigurálva, hogy a létrehozott Scanner szolgáltatásfiók használatával fusson.

Most, hogy telepítette a szkennert, be kell szereznie egy Azure AD jogkivonatot a szkenner szolgáltatásfiókjához a hitelesítéshez, hogy a képolvasó felügyelet nélkül fusson.

Azure AD token lekérése a szkennerhez

A Azure AD token lehetővé teszi, hogy a szkenner hitelesítést végezzen az Azure Information Protection szolgáltatásban, így a szkenner nem interaktív módon futhat.

További információ: Fájlok nem interaktív címkézése az Azure Information Protection esetében.

Azure AD token lekérése:

1. Nyissa meg a Azure Portal egy Azure AD alkalmazás létrehozásához, amely hozzáférési jogkivonatot ad meg a hitelesítéshez.

2. Ha a Windows Server számítógépről a scanner szolgáltatásfiókja megkapta a Helyi bejelentkezés lehetőséget a telepítéshez, jelentkezzen be ezzel a fiókkal, és indítson el egy PowerShell-munkamenetet.

   Futtassa a Set-AIPAuthentication parancsot az előző lépésből kimásolt értékek megadásával:

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   Például:

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   Tipp

   Ha a szkenner szolgáltatásfiókja nem tud helyileg bejelentkezni a telepítéshez, használja az OnBehalfOf paramétert a Set-AIPAuthentication paraméterrel, a fájlok nem interaktív címkézése az Azure Information Protection esetében című cikkben leírtak szerint.

A szkenner most már rendelkezik egy jogkivonattal a Azure AD hitelesítéséhez. Ez a jogkivonat egy évig, két évig vagy soha nem érvényes a webalkalmazás /API titkos ügyfélkódjának konfigurációja szerint Azure AD. Ha a jogkivonat lejár, meg kell ismételnie ezt az eljárást.

Folytassa az alábbi lépések egyikének használatát attól függően, hogy a megfelelőségi portált használja-e a szkenner konfigurálásához, vagy csak a PowerShellt:

csak Rendszergazda portál

Most már készen áll az első vizsgálat felderítési módban való futtatására. További információ: Felderítési ciklus futtatása és a képolvasó jelentéseinek megtekintése.

A kezdeti felderítési vizsgálat futtatása után folytassa a Képolvasó konfigurálása besorolás és védelem alkalmazásához című témakörrel.

Csak PowerShell

Ha a képolvasót a megfelelőségi portál lapjai helyett a PowerShell használatával konfigurálja és telepíti, folytassa a Képolvasó konfigurálása a PowerShell használatával című cikk 5. lépésével.

Akkor:

• Felderítési ciklus futtatása és a szkenner jelentéseinek megtekintése
• A Képolvasó konfigurálása besorolás és védelem alkalmazásához a PowerShell használatával
• DLP-szabályzat konfigurálása a szkennerrel a PowerShell használatával

Megjegyzés:

További információ: Fájlok nem interaktív címkézése az Azure Information Protection

A képolvasó konfigurálása besorolás és védelem alkalmazásához

Az alapértelmezett beállítások úgy konfigurálják a képolvasót, hogy egyszer és csak jelentéskészítési módban fusson. A beállítások módosításához szerkessze a tartalomvizsgálati feladatot.

Tipp

Ha csak a PowerShellben dolgozik, tekintse meg A képolvasó konfigurálása besorolás és védelem alkalmazásához – csak PowerShell című cikket.

A képolvasó konfigurálása besorolás és védelem alkalmazásához a Microsoft Purview megfelelőségi portál:

1. A Microsoft Purview megfelelőségi portál Tartalomvizsgálati feladatok lapján válasszon ki egy adott tartalomvizsgálati feladatot a szerkesztéséhez.

2. Jelölje ki a tartalomvizsgálati feladatot, módosítsa a következőket, majd válassza a Mentés lehetőséget:

   • A Tartalomvizsgálati feladat szakaszban: Módosítsa az ÜtemezéstMindig értékűre
   • A Bizalmassági címkézési szabályzat kényszerítése szakaszban: Módosítsa a választógombot Be állásba

3. Győződjön meg arról, hogy a tartalomvizsgálati feladat egyik csomópontja online állapotban van, majd indítsa el újra a tartalomvizsgálati feladatot a Vizsgálat most lehetőség kiválasztásával. A Vizsgálat most gomb csak akkor jelenik meg, ha a kijelölt tartalomvizsgálati feladat egyik csomópontja online állapotban van.

A képolvasó mostantól folyamatos futásra van ütemezve. Amikor a képolvasó végigvezeti az összes konfigurált fájlon, automatikusan elindít egy új ciklust, hogy a rendszer felderítse az új és módosított fájlokat.

DLP-szabályzat használata

Az adatveszteség-megelőzési házirendek használatával a képolvasó észlelheti a lehetséges adatszivárgásokat azáltal, hogy DLP-szabályokat egyeztet a fájlmegosztásokban és a SharePoint Serverben tárolt fájlokkal.

• Engedélyezze a DLP-szabályokat a tartalomvizsgálati feladatban , hogy csökkentse a DLP-szabályzatokkal egyező fájlok kitettségét. Ha a DLP-szabályok engedélyezve vannak, a szkenner csökkentheti a fájlhozzáférést csak az adattulajdonosok számára, vagy csökkentheti a hálózati szintű csoportokkal (például Mindenki, Hitelesített felhasználók vagy Tartományi felhasználók) szembeni kitettséget.

• A Microsoft Purview megfelelőségi portál állapítsa meg, hogy csak a DLP-szabályzatot teszteli-e, vagy szeretné-e kikényszeríteni a szabályokat, és hogy a fájlengedélyek a szabályoknak megfelelően változnak-e. További információ: Adatveszteség-megelőzési szabályzatok létrehozása és üzembe helyezése

A DLP-szabályzatok a Microsoft Purview megfelelőségi portál vannak konfigurálva. További információ a DLP-licencelésről: Ismerkedés a helyszíni adatveszteség-megelőzési szkennerrel.

Tipp

A fájlok vizsgálata akkor is fájlengedély-jelentéseket hoz létre, ha csak a DLP-szabályzatot teszteli. Lekérdezheti ezeket a jelentéseket adott fájlexpozíciók vizsgálatához, vagy megvizsgálhatja egy adott felhasználónak a beolvasott fájloknak való kitettségét.

Ha csak a PowerShellt szeretné használni, tekintse meg a DLP-szabályzatok csak a szkennerrel való használatát ismertető cikket.

DLP-szabályzat használata a szkennerrel a Microsoft Purview megfelelőségi portál:

1. A Microsoft Purview megfelelőségi portál lépjen a Tartalomvizsgálati feladatok lapra, és válasszon ki egy adott tartalomvizsgálati feladatot. További információ: Tartalomvizsgálati feladat létrehozása.

2. A DLP-házirendszabályok engedélyezése területen állítsa a választógombot Be értékre.

   Fontos

   Ne állítsa a DLP-szabályok engedélyezése beállítást Be értékre , hacsak nincs ténylegesen konfigurálva DLP-szabályzat a Microsoft 365-ben.

   Ha DLP-szabályzat nélkül kapcsolja be ezt a funkciót, a képolvasó hibát fog okozni.

3. (Nem kötelező) Állítsa az Adattár tulajdonosának beállítása beállítást Be értékre, és adjon meg egy adott felhasználót az adattár tulajdonosaként.

   Ez a beállítás lehetővé teszi a szkenner számára, hogy csökkentse az adattárban található fájloknak a DLP-szabályzatnak megfelelő kitettségét a megadott adattártulajdonos számára.

DLP-szabályzatok és privát műveletek végrehajtása

Ha DLP-szabályzatot használ egy privát művelettel , és azt is tervezi, hogy a szkennerrel automatikusan címkézi a fájlokat, javasoljuk, hogy határozza meg az egységes címkézési ügyfél UseCopyAndPreserveNTFSOwner speciális beállítását is.

Ez a beállítás biztosítja, hogy az eredeti tulajdonosok továbbra is hozzáférjenek a fájljaikhoz.

További információ: Tartalomvizsgálati feladat létrehozása és Bizalmassági címke automatikus alkalmazása a tartalomra.

A védeni kívánt fájltípusok módosítása

Alapértelmezés szerint a képolvasó csak az Office-fájltípusokat és a PDF-fájlokat védi.

A PowerShell-parancsokkal szükség szerint módosíthatja ezt a viselkedést, például úgy konfigurálhatja a képolvasót, hogy az ügyfélhez hasonlóan az összes fájltípust védje, vagy további, meghatározott fájltípusok védelmére.

A szkenner címkéinek letöltésére szolgáló felhasználói fiókra vonatkozó címkeszabályzathoz adjon meg egy PFileSupportedExtensions nevű speciális PowerShell-beállítást.

Az internethez hozzáféréssel rendelkező szkennerek esetében ez a felhasználói fiók az a fiók, amelyet a DelegatedUser paraméterhez a Set-AIPAuthentication paranccsal ad meg.

1. példa: A képolvasó PowerShell-parancsa az összes fájltípus védelméhez, ahol a címkeszabályzat neve "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

2. példa: A képolvasó PowerShell-parancsa az Office- és PDF-fájlok mellett .xml fájlok és .tiff fájlok védelmére, ahol a címkeszabályzat neve "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

További információ: A védeni kívánt fájltípusok módosítása.

A képolvasó frissítése

Ha korábban már telepítette a képolvasót, és frissíteni szeretne, kövesse az Information Protection Scanner frissítésével foglalkozó cikkben leírt utasításokat.

Ezután konfigurálja és használja a szkennert a szokásos módon, kihagyva a szkenner telepítésének lépéseit.

Az adattár beállításainak tömeges szerkesztése

Az Exportálás és importálás gombbal módosíthatja a képolvasót több adattárban.

Így nem kell többször elvégeznie ugyanazokat a módosításokat manuálisan, a Azure Portal vagy a Microsoft Purview megfelelőségi portál.

Ha például új fájltípust használ több SharePoint-adattárban, érdemes lehet tömegesen frissíteni az adattárak beállításait.

Ha tömegesen szeretne módosításokat végezni a Microsoft Purview megfelelőségi portál adattáraiban:

1. A Microsoft Purview megfelelőségi portál válasszon ki egy adott tartalomvizsgálati feladatot, és navigáljon az Adattárak lapra a panelen. Válassza az Exportálás lehetőséget.

2. Manuálisan szerkessze az exportált fájlt a módosításhoz.

3. Az ugyanazon a lapon található Importálás lehetőséggel importálja újra a frissítéseket az adattárakba.

A szkenner használata alternatív konfigurációkkal

A képolvasó általában a címkékhez megadott feltételeket keresi a tartalom igény szerinti besorolása és védelme érdekében.

A következő forgatókönyvekben a képolvasó konfigurált feltételek nélkül is képes a tartalom vizsgálatára és a címkék kezelésére:

• Alapértelmezett címke alkalmazása az adattárban lévő összes fájlra
• Meglévő címkék eltávolítása az adattárban lévő összes fájlból
• Az összes egyéni feltétel és ismert bizalmasadat-típus azonosítása

Alapértelmezett címke alkalmazása az adattárban lévő összes fájlra

Ebben a konfigurációban az adattárban lévő összes címkézetlen fájl címkéje az adattárhoz vagy a tartalomvizsgálati feladathoz megadott alapértelmezett címkével van ellátva. A fájlok címkézése ellenőrzés nélkül.

Konfigurálja a következő beállításokat:

Beállítás	Leírás
Fájlok címkézése tartalom alapján	Beállítás Ki értékre
Alapértelmezett címke	Állítsa be az Egyéni értéket, majd válassza ki a használni kívánt címkét
Alapértelmezett címke kényszerítése	Jelölje be az alapértelmezett címkét az összes fájlra, még akkor is, ha azok már címkézve vannak. Ehhez kapcsolja be az Újracímkézett fájlok és az Alapértelmezett címke kényszerítése beállítást.

Meglévő címkék eltávolítása az adattárban lévő összes fájlból

Ebben a konfigurációban a rendszer eltávolítja az összes meglévő címkét, beleértve a védelmet is, ha a címkével védelmet alkalmaztak. A címkéktől függetlenül alkalmazott védelem megmarad.

Konfigurálja a következő beállításokat:

Beállítás	Leírás
Fájlok címkézése tartalom alapján	Beállítás Ki értékre
Alapértelmezett címke	Nincs értékre állítva
Fájlok újracímkéje	Állítsa Be értékre, az Alapértelmezett címke kényszerítése beállításnál pedig a Be értékre

Az összes egyéni feltétel és ismert bizalmasadat-típus azonosítása

Ez a konfiguráció lehetővé teszi, hogy olyan bizalmas információkat keressen, amelyekről nem biztos, hogy tisztában van, a képolvasó vizsgálati sebességének rovására.

Állítsa a felderítendő információtípusokata Mind értékre.

A címkézés feltételeinek és információtípusainak azonosításához a képolvasó a megadott egyéni bizalmasadat-típusokat, valamint a címkézési felügyeleti központban meghatározott beépített bizalmasadat-típusok listáját használja.

Képolvasó teljesítményének optimalizálása

Megjegyzés:

Ha a képolvasó teljesítménye helyett a képolvasó számítógép válaszkészségét szeretné javítani, használjon speciális ügyfélbeállítást a szkenner által használt szálak számának korlátozásához.

A képolvasó teljesítményének optimalizálásához használja az alábbi lehetőségeket és útmutatást:

Lehetőség	Leírás
Nagy sebességű és megbízható hálózati kapcsolat létesítése a szkenner számítógépe és a beolvasott adattár között	Tegyük fel például, hogy a képolvasó számítógépet ugyanabban a lan-ban, vagy lehetőleg ugyanabban a hálózati szegmensben helyezi el, mint a beolvasott adattárat. A hálózati kapcsolat minősége befolyásolja a képolvasó teljesítményét, mivel a fájlok vizsgálatához a képolvasó átviszi a fájlok tartalmát a képolvasó szolgáltatást futtató számítógépre. Az adatok utazásához szükséges hálózati ugrások csökkentése vagy megszüntetése szintén csökkenti a hálózat terhelését.
Győződjön meg arról, hogy a szkenner számítógépe rendelkezik elérhető processzorerőforrásokkal	A fájl tartalmának vizsgálata, valamint a fájlok titkosítása és visszafejtése processzorigényes művelet. Monitorozza a megadott adattárak tipikus vizsgálati ciklusait annak megállapításához, hogy a processzorerőforrások hiánya negatívan befolyásolja-e a szkenner teljesítményét.
A képolvasó több példányának telepítése	A képolvasó több konfigurációs adatbázist is támogat ugyanazon az SQL Server-példányon, ha egyéni fürtnevet ad meg a képolvasóhoz. Tipp: Több szkenner is osztozhat ugyanazon a fürtön, ami gyorsabb vizsgálati időt eredményez. Ha a képolvasót több, azonos adatbázispéldánysal rendelkező gépre szeretné telepíteni, és azt szeretné, hogy a képolvasók párhuzamosan fussanak, az összes képolvasót ugyanarra a fürtnévre kell telepítenie.
Az alternatív konfiguráció használatának ellenőrzése	A képolvasó gyorsabban fut, ha az alternatív konfigurációval egy alapértelmezett címkét alkalmaz az összes fájlra, mert a képolvasó nem vizsgálja meg a fájl tartalmát. A szkenner lassabban fut, ha az alternatív konfigurációval azonosítja az összes egyéni feltételt és ismert bizalmasadat-típust.

A teljesítményt befolyásoló további tényezők

A képolvasó teljesítményét befolyásoló további tényezők a következők:

Tényező	Leírás
Betöltési/válaszidők	A beolvasandó fájlokat tartalmazó adattárak aktuális betöltési és válaszideje szintén befolyásolja a szkenner teljesítményét.
Szkenner mód (Felderítés/Kényszerítés)	A felderítési mód általában magasabb vizsgálati sebességgel rendelkezik, mint a kényszerítési mód. A felderítéshez egyetlen fájlolvasási műveletre van szükség, míg a kényszerítési mód olvasási és írási műveletekre van szükség.
Szabályzatmódosítások	A képolvasó teljesítménye akkor lehet hatással, ha módosította az automatikus címkézést a címkeszabályzatban. Az első vizsgálati ciklus, amikor a képolvasónak minden fájlt meg kell vizsgálnia, több időt vesz igénybe, mint az azt követő vizsgálati ciklusok, amelyek alapértelmezés szerint csak az új és módosított fájlokat vizsgálják meg. Ha módosítja a feltételeket vagy az automatikus címkézési beállításokat, a rendszer minden fájlt újra megvizsgál. További információ: Fájlok ismételt átvizsgálása.
Reguláris szerkezetek	A képolvasó teljesítményét befolyásolja az egyéni feltételek reguláris kifejezéseinek felépítése. A nagy memóriahasználat és az időtúllépések kockázata (fájlonként 15 perc) elkerülése érdekében tekintse át a reguláris kifejezéseket a hatékony mintaegyeztetéshez. Például: - Kerülje a kapzsi kvantátorok – Használjon nem rögzített csoportokat, például (?:expression) a (expression)
Naplószint	A naplószint-beállítások közé tartozik a hibakeresés, az információ, a hiba és a kikapcsolás a szkenner jelentéseiben. - Az eredmények kikapcsolása a legjobb teljesítmény érdekében - A hibakeresés jelentősen lelassítja a szkennert, és csak hibaelhárításra ajánlott. További információ: A Set-AIPScannerConfiguration parancsmag ReportLevel paramétere.
Beolvasott fájlok	– Az Excel-fájlok kivételével az Office-fájlok gyorsabban beolvashatók, mint a PDF-fájlok. – A nem védett fájlok vizsgálata gyorsabb, mint a védett fájlok. - A nagy fájlok vizsgálata nyilvánvalóan hosszabb időt vesz igénybe, mint a kis fájlok.

A képolvasó konfigurálása a PowerShell használatával

Ez a szakasz a képolvasó konfigurálásához és telepítéséhez szükséges lépéseket ismerteti, ha nem fér hozzá a képolvasó lapjaihoz a Microsoft Purview megfelelőségi portál, és csak a PowerShellt kell használnia.

Fontos

• Egyes lépésekhez a PowerShell szükséges, függetlenül attól, hogy hozzáfér-e a képolvasó lapjaihoz a megfelelőségi portálon, és megegyeznek-e. Ezekhez a lépésekhez tekintse meg a cikk korábbi utasításait a jelzett módon.

• Ha az Azure China 21Vianet szkennerével dolgozik, az itt ismertetett utasítások mellett további lépésekre is szükség van. További információ: Az Azure Information Protection támogatása a 21Vianet által üzemeltetett Office 365 esetében.

További információ: Támogatott PowerShell-parancsmagok.

A képolvasó konfigurálása és telepítése:

1. Első lépésként zárja be a PowerShellt. Ha korábban már telepítette az AIP-ügyfelet és -szkennert, győződjön meg arról, hogy az AIPScanner szolgáltatás le van állítva.

2. Nyisson meg egy Windows PowerShell munkamenetet a Futtatás rendszergazdaként beállítással.

3. Futtassa az Install-AIPScanner parancsot a szkenner SQL Server-példányra való telepítéséhez a Fürt paraméterrel a fürt nevének meghatározásához.

   Ez a lépés megegyezik, függetlenül attól, hogy hozzáfér-e a képolvasó lapjaihoz a megfelelőségi portálon. További információért tekintse meg a következő cikk korábbi utasításait: A képolvasó telepítése

4. Szerezzen be egy Azure-jogkivonatot a szkennerrel való használathoz, majd végezze el újra a hitelesítést.

   Ez a lépés megegyezik, függetlenül attól, hogy hozzáfér-e a képolvasó lapjaihoz a megfelelőségi portálon. További információért tekintse meg a következő cikk korábbi utasításait: Azure AD token lekérése a szkennerhez.

5. Futtassa a Set-AIPScannerConfiguration parancsmagot, hogy a képolvasó offline módban működjön. Fuss:

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

6. Futtassa a Set-AIPScannerContentScanJob parancsmagot egy alapértelmezett tartalomvizsgálati feladat létrehozásához.

   A Set-AIPScannerContentScanJob parancsmagban az egyetlen kötelező paraméter a Kényszerítés. Előfordulhat azonban, hogy a tartalomvizsgálati feladat egyéb beállításait is meg szeretné határozni. Például:

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   A fenti szintaxis a következő beállításokat konfigurálja a konfiguráció folytatása közben:

   • A szkenner futtatásának ütemezését manuálisra tartja
   • Beállítja a felderítendő információtípusokat a bizalmassági címke szabályzata alapján
   • Nem kényszerít bizalmassági címkeszabályzatot
   • Fájlok automatikus címkézése tartalom alapján a bizalmassági címke szabályzatához definiált alapértelmezett címke használatával
   • Nem engedélyezi a fájlok újracímkézését
   • Megőrzi a fájladatokat a beolvasás és az automatikus címkézés során, beleértve az értékek által módosított, utoljára módosított és módosítottdátumokat
   • Úgy állítja be a képolvasót, hogy a futtatáskor kizárja az .msg és a .tmp fájlokat
   • Beállítja az alapértelmezett tulajdonost arra a fiókra, amelyet használni szeretne a képolvasó futtatásakor

7. Az Add-AIPScannerRepository parancsmaggal határozhatja meg a tartalomvizsgálati feladatban vizsgálni kívánt adattárakat. Futtassa például a következőt:

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   A hozzáadni kívánt adattár típusától függően használja az alábbi szintaxisok egyikét:

   • Hálózati megosztás esetén használja a következőt \\Server\Folder: .
   • SharePoint-tár esetén használja a következőt http://sharepoint.contoso.com/Shared%20Documents/Folder: .
   • Helyi elérési út esetén: C:\Folder
   • UNC elérési út esetén: \\Server\Folder

   Megjegyzés:

   A helyettesítő karakterek nem támogatottak, és a WebDav-helyek nem támogatottak.

   Az adattár későbbi módosításához használja inkább a Set-AIPScannerRepository parancsmagot.

   Ha SharePoint-elérési utat ad hozzá a megosztott dokumentumokhoz:

   • Adja meg a Megosztott dokumentumok elemet az elérési úton, ha az összes dokumentumot és mappát át szeretné vizsgálni a Megosztott dokumentumokból. Például: http://sp2013/SharedDocuments
   • Adja meg a Dokumentumok elemet az elérési úton, ha a Megosztott dokumentumok almappában lévő összes dokumentumot és mappát át szeretné vizsgálni. Például: http://sp2013/Documents/SalesReports
   • Vagy csak a SharePoint teljes tartománynevét adja meg, például http://sp2013 az összes SharePoint-webhely és alwebhely felderítéséhez és vizsgálatához egy adott URL-cím és alcím alatt. Engedélyezze a scanner Site Collector Auditor jogosultságát.

   SharePoint-elérési utak hozzáadásakor használja az alábbi szintaxist:

   Elérési út	Szintaxis
   Gyökérútvonal	http://<SharePoint server name> Megvizsgálja az összes webhelyet, beleértve a képolvasó felhasználója számára engedélyezett webhelycsoportokat is. További engedélyeket igényel a gyökértartalom automatikus felderítéséhez
   Adott SharePoint-alwebhely vagy -gyűjtemény	Az alábbiak egyike: - http://<SharePoint server name>/<subsite name> - http://SharePoint server name>/<site collection name>/<site name> További engedélyeket igényel a webhelycsoport tartalmának automatikus felderítéséhez
   Adott SharePoint-tár	Az alábbiak egyike: - http://<SharePoint server name>/<library name> - http://SharePoint server name>/.../<library name>
   Adott SharePoint-mappa	http://<SharePoint server name>/.../<folder name>

Folytassa a következő lépésekkel, ha szükséges:

• Konfigurálás kínában lévő ügyfelek számára
• Felderítési ciklus futtatása és a szkenner jelentéseinek megtekintése
• A Képolvasó konfigurálása besorolás és védelem alkalmazásához a PowerShell használatával
• DLP-szabályzat konfigurálása a szkennerrel a PowerShell használatával

A Képolvasó konfigurálása besorolás és védelem alkalmazásához a PowerShell használatával

1. Futtassa a Set-AIPScannerContentScanJob parancsmagot a tartalomvizsgálati feladat frissítéséhez, hogy mindig az ütemezést állítsa be, és kényszerítse ki a bizalmassági szabályzatot.

   Set-AIPScannerContentScanJob -Schedule Always -Enforce On
   

   Tipp

   Előfordulhat, hogy ezen a panelen más beállításokat is módosítani szeretne, például azt, hogy a fájlattribútumok módosultak-e, illetve hogy a képolvasó képes-e újracímkézni a fájlokat. Az elérhető beállításokkal kapcsolatos további információkért tekintse meg a PowerShell teljes dokumentációját.

2. Futtassa a Start-AIPScan parancsmagot a tartalomvizsgálati feladat futtatásához:

   Start-AIPScan
   

A képolvasó mostantól folyamatos futásra van ütemezve. Amikor a képolvasó végigvezeti az összes konfigurált fájlon, automatikusan elindít egy új ciklust, hogy a rendszer felderítse az új és módosított fájlokat.

DLP-szabályzat konfigurálása a szkennerrel a PowerShell használatával

Futtassa újra a Set-AIPScannerContentScanJob parancsmagot az -EnableDLP paraméter Be értékre állítva, és egy meghatározott adattártulajdonossal.

Például:

Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'

Támogatott PowerShell-parancsmagok

Ez a szakasz az information protection scanner által támogatott PowerShell-parancsmagokat, valamint a szkenner csak a PowerShell használatával történő konfigurálására és telepítésére vonatkozó utasításokat sorolja fel.

A szkenner támogatott parancsmagjai a következők:

• Add-AIPScannerRepository

• Export-AIPLogs

• Get-AIPScannerConfiguration

• Get-AIPScannerContentScanJob

• Get-AIPScannerRepository

• Get-AIPScannerStatus

• Get-MIPNetworkDiscoveryConfiguration

• Get-MIPNetworkDiscoveryJobs

• Get-MIPNetworkDiscoveryStatus

• Get-MIPScannerContentScanJob

• Get-AIPScannerRepository

• Import-AIPScannerConfiguration

• Set-MIPNetworkDiscovery

• Import-MIPNetworkDiscoveryConfiguration

• Install-AIPScanner

• Install-MIPNetworkDiscovery

• Remove-MIPScannerContentScanJob

• Remove-AIPScannerRepository

• Set-AIPScanner

• Set-AIPScannerConfiguration

• Set-AIPScannerContentScanJob

• Set-AIPScannerRepository

• Set-MIPNetworkDiscoveryConfiguration

• Set-MIPScannerContentScanJob

• Set-AIPScannerRepository

• Start-AIPScan

• Start-AIPScanDiagnostics

• Start-MIPNetworkDiscovery

• Stop-AIPScan

• Remove-AIPScannerContentScanJob

• Remove-AIPScannerRepository

• Uninstall-AIPScanner

• Uninstall-MIPNetworkDiscovery

• Update-AIPScanner

Következő lépések

Miután telepítette és konfigurálta a szkennert, kezdje el a fájlok vizsgálatát.