A klasszikus Azure Information Protection scanner konfigurálása és telepítése
Mielőtt megkezdené az Azure Information Protection scanner konfigurálását és telepítését, ellenőrizze, hogy a rendszer megfelel-e a szükséges előfeltételeknek.
Ha elkészült, folytassa a következő lépésekkel:
Hajtsa végre a következő további konfigurációs eljárásokat a rendszeréhez szükséges módon:
Eljárás | Leírás |
---|---|
A védeni kívánt fájltípusok módosítása | Érdemes lehet az alapértelmezett fájltípusoktól eltérő fájltípusokat vizsgálni, besorolni vagy védeni. További információ: AIP-vizsgálat folyamata. |
A képolvasó frissítése | Frissítse a képolvasót a legújabb funkciók és fejlesztések kihasználásához. |
Az adattár beállításainak tömeges szerkesztése | Az importálási és exportálási lehetőségekkel tömegesen végezhet módosításokat több adattárházon. |
A képolvasó használata alternatív konfigurációkkal | A képolvasó használata címkék konfigurálása nélkül, bármilyen feltétellel |
Teljesítmény optimalizálása | Útmutató a képolvasó teljesítményének optimalizálásához |
További információ: A képolvasó parancsmagjainak listája.
A képolvasó konfigurálása a Azure Portal
Mielőtt telepítené a képolvasót, vagy frissítené a képolvasó egy régebbi általánosan elérhető verziójáról, hozzon létre egy fürtöt és egy tartalomvizsgálati feladatot a képolvasóhoz a Azure Portal.
Ezután konfigurálja a fürtöt és a tartalomvizsgálati feladatot a szkenner beállításaival és a vizsgálandó adattárakkal.
A képolvasó konfigurálása:
Jelentkezzen be a Azure Portal, és lépjen az Azure Information Protection panelre.
Például az erőforrások, szolgáltatások és dokumentumok keresőmezőjében: Start menü gépelje be az Információkat, és válassza az Azure Information Protection lehetőséget.
Keresse meg a Képolvasó menü beállításait, és válassza a Fürtök lehetőséget.
Az Azure Information Protection – Fürtök panelen válassza a Hozzáadás:
Az Új fürt hozzáadása panelen:
Adjon meg egy kifejező nevet a képolvasónak. Ez a név azonosítja a képolvasó konfigurációs beállításait és a vizsgálandó adattárakat.
Megadhatja például Európát a szkenner által lefedett adattárak földrajzi helyének azonosításához. Amikor később telepíti vagy frissíti a képolvasót, ugyanazt a fürtnevet kell megadnia.
Ha szükséges, adjon meg egy leírást rendszergazdai célokra, hogy könnyebben azonosíthassa a képolvasó fürtnevét.
Kattintson a Mentés gombra.
Keresse meg a Képolvasó menü beállításait, és válassza a Tartalomvizsgálati feladatok lehetőséget.
Az Azure Information Protection – Tartalomvizsgálati feladatok panelen válassza a Hozzáadás lehetőséget.
Ehhez a kezdeti konfigurációhoz konfigurálja a következő beállításokat, majd válassza a Mentés lehetőséget , de ne zárja be a panelt:
Section Beállítások Tartalomvizsgálati feladat beállításai - Ütemezés: A felderítendő manuális
- információtípusok alapértelmezett értékének megtartása: Csak házirendre
- váltson, csak adattárakat konfiguráljon: Jelenleg ne konfigurálja, mert a tartalomvizsgálati feladatot először menteni kell.Bizalmassági szabályzat - Kényszerítés: A tartalom alapján válassza ki
- acímkefájlokat: Tartsa meg azalapértelmezett
- On Default címkét: Tartsa meg a Házirend alapértelmezett
- újracímkézett fájljainak alapértelmezett értékét: Tartsa meg az alapértelmezett kikapcsolva értéketFájlbeállítások konfigurálása - A "Módosítás dátuma", a "Legutóbbi módosítás" és a "Módosító" érték megőrzése: Hagyja meg azalapértelmezett-
fájltípusokat a vizsgálathoz: Tartsa meg az alapértelmezett fájltípusokat azAlapértelmezett tulajdonoskizárása
- beállításnál: Tartsa meg a Scanner-fiók alapértelmezett beállításátMost, hogy létrehozta és mentette a tartalomvizsgálati feladatot, visszatérhet az Adattárak konfigurálása lehetőséghez, és megadhatja a vizsgálandó adattárakat.
Adjon meg UNC elérési utakat és SharePoint kiszolgálói URL-címeket SharePoint helyszíni dokumentumtárakhoz és mappákhoz.
Megjegyzés
SharePoint Server 2019, SharePoint Server 2016 és SharePoint Server 2013 SharePoint támogatott. SharePoint Server 2010 akkor is támogatott, ha kiterjesztette a SharePoint ezen verziójának támogatását.
Az első adattár hozzáadásához az Új tartalomvizsgálati feladat hozzáadása panelen válassza az Adattárak konfigurálása lehetőséget az Adattárak panel megnyitásához:
Az Adattárak panelen válassza a Hozzáadás:
Az Adattár panelen adja meg az adattár elérési útját, majd válassza a Mentés lehetőséget.
Például:
- Hálózati megosztás esetén használja a következőt
\\Server\Folder
: . - SharePoint kódtárhoz használja a következőt
http://sharepoint.contoso.com/Shared%20Documents/Folder
: .
Megjegyzés
A helyettesítő karakterek nem támogatottak, és a WebDav-helyek nem támogatottak.
SharePoint elérési utak hozzáadásakor használja az alábbi szintaxist:
Elérési út Syntax Gyökér elérési útja http://<SharePoint server name>
Megvizsgálja az összes webhelyet, beleértve a képolvasó felhasználója számára engedélyezett webhelycsoportokat is.
További engedélyeket igényel a gyökértartalom automatikus felderítéséhezAdott SharePoint alwebhely vagy gyűjtemény Az alábbiak egyike:
-http://<SharePoint server name>/<subsite name>
-http://SharePoint server name>/<site collection name>/<site name>
További engedélyeket igényel a webhelycsoport tartalmának automatikus felderítéséhezAdott SharePoint kódtár Az alábbiak egyike:
-http://<SharePoint server name>/<library name>
-http://SharePoint server name>/.../<library name>
Adott SharePoint mappa http://<SharePoint server name>/.../<folder name>
A panel további beállításainál ne módosítsa őket a kezdeti konfigurációhoz, hanem tartsa meg őket alapértelmezett tartalomvizsgálati feladatként. Az alapértelmezett beállítás azt jelenti, hogy az adattár örökli a beállításokat a tartalomvizsgálati feladattól.
- Hálózati megosztás esetén használja a következőt
Ha egy másik adattárat szeretne hozzáadni, ismételje meg a 8. és a 9. lépést.
Zárja be az Adattárak panelt és a tartalomvizsgálati feladat panelt.
Visszatérve az Azure Information Protection – Tartalomvizsgálati feladat panelre, megjelenik a tartalomvizsgálat neve, valamint a SCHEDULE oszlop a Kézi és a KÉNYSZERÍTÉS oszlop üres.
Most már készen áll a képolvasó telepítésére a létrehozott tartalomolvasó feladattal. Folytassa a képolvasó telepítésével.
A vizsgáló telepítése
Miután konfigurálta az Azure Information Protection scannert a Azure Portal, hajtsa végre az alábbi lépéseket a képolvasó telepítéséhez:
Jelentkezzen be a képolvasót futtató Windows Server számítógépre. Olyan fiókot használjon, amely helyi rendszergazdai jogosultságokkal rendelkezik, és rendelkezik engedéllyel a SQL Server master adatbázisba való íráshoz.
Fontos
További információ: Az Azure Information Protection Scanner telepítésének és üzembe helyezésének előfeltételei.
Nyisson meg egy Windows PowerShell munkamenetet a Futtatás rendszergazdaként beállítással.
Futtassa az Install-AIPScanner parancsmagot, megadva a SQL Server-példányt, amelyen adatbázist kíván létrehozni az Azure Information Protection scanner számára, valamint a lapolvasófürt előző szakaszban megadott nevét:
Install-AIPScanner -SqlServerInstance <name> -Profile <cluster name>
Példák Az Európa profilnév használatával:
Alapértelmezett példány esetén:
Install-AIPScanner -SqlServerInstance SQLSERVER1 -Profile Europe
Nevesített példány esetén:
Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Profile Europe
SQL Server Express esetén:
Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Profile Europe
Amikor a rendszer kéri, adja meg a scanner szolgáltatásfiókjának (
\<domain\user name>
) hitelesítő adatait és jelszavát.Ellenőrizze, hogy a szolgáltatás telepítve van-e a Felügyeleti eszközök>szolgáltatással.
A telepített szolgáltatás neve Azure Information Protection Scanner, és úgy van konfigurálva, hogy a létrehozott Scanner szolgáltatásfiók használatával fusson.
Most, hogy telepítette a képolvasót, be kell szereznie egy Azure AD jogkivonatot a scanner szolgáltatásfiókjához a hitelesítéshez, hogy a képolvasó felügyelet nélkül fusson.
Azure AD-jogkivonat lekérése a képolvasóhoz
A Azure AD jogkivonat lehetővé teszi, hogy a scanner hitelesítse magát az Azure Information Protection szolgáltatásban.
Azure AD-jogkivonat lekérése:
Térjen vissza a Azure Portal, és hozzon létre két Azure AD alkalmazást a hitelesítéshez szükséges hozzáférési jogkivonat megadásához. Ez a jogkivonat lehetővé teszi, hogy a képolvasó nem interaktív módon fusson.
További információ: Fájlok nem interaktív címkézése az Azure Information Protection.
Ha a Windows Server számítógépről a scanner szolgáltatásfiókja helyileg megkapta a bejelentkezést a telepítéshez, jelentkezzen be ezzel a fiókkal, és indítsa el a PowerShell-munkamenetet.
Futtassa a Set-AIPAuthentication parancsot az előző lépésből kimásolt értékek megadásával:
Set-AIPAuthentication -webAppId <ID of the "Web app / API" application> -webAppKey <key value generated in the "Web app / API" application> -nativeAppId <ID of the "Native" application>
Amikor a rendszer kéri, adja meg a szolgáltatásfiók hitelesítő adatainak jelszavát Azure AD, majd kattintson az Elfogadás gombra.
Például:
Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "+LBkMvddz?WrlNCK5v0e6_=meM59sSAn" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip Acquired application access token on behalf of the user
Tipp
Ha a képolvasó szolgáltatásfiókja nem tud helyileg bejelentkezni, adja meg és használja a Set-AIPAuthentication token paraméterét.
A szkenner most már rendelkezik egy jogkivonattal a Azure AD hitelesítéséhez, amely egy, két évig vagy soha nem érvényes a webalkalmazás /API konfigurációjának megfelelően Azure AD.
Amikor a jogkivonat lejár, meg kell ismételnie az 1. és a 2. lépést.
Most már készen áll az első vizsgálat felderítési módban való futtatására. További információ: Felderítési ciklus futtatása és a képolvasó jelentéseinek megtekintése.
Ha már futtatott felderítési vizsgálatot, folytassa a képolvasó konfigurálását besorolás és védelem alkalmazásával.
A Scanner konfigurálása besorolásra és védelemre
Az alapértelmezett beállítások úgy konfigurálják a képolvasót, hogy egyszer fusson, és csak jelentéskészítési módban.
A beállítások módosításához szerkessze a tartalomvizsgálati feladatot:
Az Azure Portal Azure Information Protection – Tartalomvizsgálati feladatok paneljén válassza ki a fürtöt és a tartalomvizsgálati feladatot a szerkesztéséhez.
A Tartalomvizsgálati feladat panelen módosítsa a következőket, majd válassza a Mentés lehetőséget:
- A Tartalomvizsgálati feladat szakaszból: Az ütemezés módosítása Mindig értékűre
- A Bizalmassági szabályzat szakaszban: Kényszerítésbekapcsolva
Tipp
Ezen a panelen más beállításokat is módosíthat, például azt, hogy módosultak-e a fájlattribútumok, és hogy a képolvasó képes-e újracímkézni a fájlokat. Az információs felugró súgó segítségével további információkat tudhat meg az egyes konfigurációs beállításokról.
Jegyezze fel az aktuális időt, és indítsa újra a szkennert az Azure Information Protection – Tartalomvizsgálati feladatok panelről:
Másik lehetőségként futtassa a következő parancsot a PowerShell-munkamenetben:
Start-AIPScan
A címkézett fájlokról, az alkalmazott besorolásról és a védelem alkalmazásáról szóló jelentések megtekintéséhez figyelje a 911-es információs típus és a legutóbbi időbélyeg eseménynaplóját.
Ellenőrizze a részleteket a jelentésekben, vagy a Azure Portal segítségével keresse meg ezeket az információkat.
A képolvasó most már folyamatos futásra van ütemezve. Amikor a képolvasó végigvezeti az összes konfigurált fájlon, automatikusan elindít egy új ciklust, hogy a rendszer felderítse az új és módosított fájlokat.
A védeni kívánt fájltípusok módosítása
Alapértelmezés szerint az AIP scanner csak Office fájltípusokat és PDF-fájlokat védi. Ha módosítani szeretné ezt a viselkedést, például úgy szeretné konfigurálni a képolvasót, hogy az összes fájltípust megvédje, ahogyan az ügyfél teszi, vagy adott további fájltípusok védelmére, szerkessze a beállításjegyzéket az alábbiak szerint:
- Adja meg a védeni kívánt további fájltípusokat
- Adja meg az alkalmazni kívánt védelem típusát (natív vagy általános)
Ebben a fejlesztői dokumentációban az általános védelemre „PFile” néven hivatkoznak.
A támogatott fájltípusok ügyfélhez igazítása, ahol minden fájl automatikusan natív vagy általános védelemmel van ellátva:
Adja meg:
- A
*
helyettesítő karakter beállításkulcsként Encryption
értékként (REG_SZ)Default
értékadatokként
- A
Ellenőrizze, hogy léteznek-e az MSIPC és a FileProtection kulcsok. Ha nem, manuálisan hozza létre őket, majd hozzon létre egy alkulcsot minden fájlnévkiterjesztéshez.
Ha például a képolvasó a Office fájlok és PDF-fájlok mellett a TIFF-képeket is védi, a beállításjegyzék a szerkesztés után az alábbihoz hasonlóan fog kinézni:
Megjegyzés
Képfájlként a TIFF-fájlok támogatják a natív védelmet, az eredményül kapott fájlnévkiterjesztés pedig .ptiff.
A natív védelmet nem támogató fájlok esetében adja meg a fájlnévkiterjesztést új kulcsként, az általános védelemhez pedig a PFile-t . A védett fájl eredményként kapott fájlnévkiterjesztése a .pfile.
Azoknak a szöveg- és képfájloknak a listáját, amelyek hasonlóan támogatják a natív védelmet, de meg kell adni a beállításjegyzékben, tekintse meg a besoroláshoz és védelemhez támogatott fájltípusokat.
A képolvasó frissítése
Ha korábban már telepítette a szkennert, és frissíteni szeretne, tekintse meg az Azure Information Protection scanner frissítését.
Ezután konfigurálja és használja a szkennert a szokásos módon, kihagyva a szkenner telepítésének lépéseit.
Megjegyzés
Ha a szkenner 1.48.204.0-snál régebbi verzióját használja, és még nem áll készen a frissítésre, tekintse meg az Azure Information Protection scanner korábbi verzióinak üzembe helyezését a fájlok automatikus besorolásához és védelméhez.
Az adattár beállításainak tömeges szerkesztése
Az Exportálás és az Importálás gombbal módosíthatja a képolvasót több adattárban.
Így nem kell többször, manuálisan elvégeznie ugyanazokat a módosításokat a Azure Portal.
Ha például új fájltípussal rendelkezik több SharePoint adatadattárban, érdemes lehet tömegesen frissíteni az adattárak beállításait.
Tömeges módosítás az adattárakban:
Az Adattárak panel Azure Portal válassza az Exportálás lehetőséget. Például:
Manuálisan szerkessze az exportált fájlt a módosítás elvégzéséhez.
Az ugyanazon a lapon található Importálás lehetőséggel importálja újra a frissítéseket az adattárakba.
A képolvasó használata alternatív konfigurációkkal
Az Azure Information Protection Scanner általában a címkékhez megadott feltételeket keresi a tartalom igény szerinti besorolása és védelme érdekében.
Az alábbi forgatókönyvekben az Azure Information Protection Scanner konfigurált feltételek nélkül is képes a tartalmak vizsgálatára és a címkék kezelésére:
- Alapértelmezett címke alkalmazása az adattárban lévő összes fájlra
- Az összes egyéni feltétel és ismert bizalmas információtípus azonosítása
Alapértelmezett címke alkalmazása az adattárban lévő összes fájlra
Ebben a konfigurációban az adattár összes címkézetlen fájlja az adattárhoz vagy a tartalomvizsgálati feladathoz megadott alapértelmezett címkével van ellátva. A fájlok címkézése ellenőrzés nélkül.
Adja meg az alábbi beállításokat:
- Fájlok címkézése tartalom alapján: Kikapcsolva
- Alapértelmezett címke: Egyéni értékre állítva, majd válassza ki a használni kívánt címkét
Az összes egyéni feltétel és ismert bizalmas információtípus azonosítása
Ez a konfiguráció lehetővé teszi olyan bizalmas információk megkeresését, amelyekről nem biztos, hogy észrevehette, a szkenner vizsgálati sebességének rovására.
Állítsa be a felderítendő információtípusokat az Összes értékre.
A címkézés feltételeinek és információtípusainak azonosításához a szkenner a címkékhez megadott egyéni feltételeket, valamint a címkékhez megadható információtípusok listáját használja az Azure Information Protection szabályzatban felsoroltak szerint.
További információ: Rövid útmutató: A bizalmas adatok megkeresése.
A képolvasó teljesítményének optimalizálása
Megjegyzés
Ha a képolvasó teljesítménye helyett a képolvasó számítógép válaszkészségét szeretné javítani, használjon speciális ügyfélbeállítást a képolvasó által használt szálak számának korlátozásához.
A képolvasó teljesítményének optimalizálásához használja az alábbi lehetőségeket és útmutatást:
Beállítás | Leírás |
---|---|
Nagy sebességű és megbízható hálózati kapcsolattal rendelkezik a szkenner számítógépe és a beolvasott adattár között | Tegyük fel például, hogy a képolvasó számítógépet ugyanabban a helyi hálózaton helyezi el, vagy lehetőleg ugyanabban a hálózati szegmensben, mint a beolvasott adattár. A hálózati kapcsolat minősége befolyásolja a képolvasó teljesítményét, mivel a fájlok vizsgálatához a képolvasó átviszi a fájlok tartalmát a képolvasó szolgáltatást futtató számítógépre. Az adatok utazásához szükséges hálózati ugrások csökkentése vagy megszüntetése szintén csökkenti a hálózat terhelését. |
Győződjön meg arról, hogy a képolvasó számítógép rendelkezik elérhető processzorerőforrásokkal | A fájl tartalmának vizsgálata, valamint a fájlok titkosítása és visszafejtése processzorigényes művelet. Figyelje a megadott adattárak jellemző vizsgálati ciklusait annak megállapításához, hogy a processzorerőforrások hiánya negatívan befolyásolja-e a szkenner teljesítményét. |
A képolvasó több példányának telepítése | Az Azure Information Protection Scanner több konfigurációs adatbázist is támogat ugyanazon az SQL Server-példányon, amikor egyéni fürtnevet (profilt) ad meg a képolvasóhoz. |
Adott jogosultságok megadása és az alacsony integritási szint letiltása | Győződjön meg arról, hogy a képolvasót futtató szolgáltatásfiók csak a szolgáltatásfiókra vonatkozó követelményekben dokumentált jogosultságokkal rendelkezik. Ezután konfigurálja a speciális ügyfélbeállítást , hogy letiltsa a képolvasó alacsony integritási szintjét. |
Az alternatív konfiguráció használatának ellenőrzése | A képolvasó gyorsabban fut, ha az alternatív konfigurációval alapértelmezett címkét alkalmaz az összes fájlra, mert a képolvasó nem vizsgálja meg a fájl tartalmát. A képolvasó lassabban fut, ha az alternatív konfigurációval azonosítja az összes egyéni feltételt és az ismert bizalmas információtípusokat. |
Képolvasó időtúllépéseinek csökkentése | Speciális ügyfélbeállításokkal csökkentheti a képolvasó időtúllépéseit. A képolvasó csökkentett időtúllépése jobb vizsgálati sebességet és alacsonyabb memóriahasználatot biztosít. Megjegyzés: A képolvasó időtúllépésének csökkentése azt jelenti, hogy egyes fájlok kihagyhatók. |
A teljesítményt befolyásoló további tényezők
A képolvasó teljesítményét befolyásoló további tényezők a következők:
Szempont | Leírás |
---|---|
Betöltési/válaszidők | A vizsgálandó fájlokat tartalmazó adattárak aktuális betöltési és válaszideje szintén befolyásolja a képolvasó teljesítményét. |
Szkenner mód (Felderítés/ Kényszerítés) | A felderítési mód általában magasabb vizsgálati sebességgel rendelkezik, mint a kényszerítési mód. A felderítés egyetlen fájlolvasási műveletet igényel, míg a kényszerítési mód olvasási és írási műveleteket igényel. |
A szabályzatok változásai | A képolvasó teljesítménye változhat, ha módosította az Azure Information Protection szabályzat feltételeit. Az első vizsgálati ciklus, amikor a képolvasónak minden fájlt meg kell vizsgálnia, hosszabb időt vesz igénybe, mint a következő vizsgálati ciklusok, amelyek alapértelmezés szerint csak az új és módosított fájlokat ellenőrzik. Ha módosítja a feltételeket, a rendszer minden fájlt újra megvizsgál. További információ: Fájlok ismételt ellenőrzése. |
Regex-szerkezetek | A képolvasó teljesítményét befolyásolja az egyéni feltételek regex-kifejezéseinek felépítése. A nagy memóriahasználat és az időtúllépések kockázatának elkerülése érdekében (fájlonként 15 perc) tekintse át a regex-kifejezéseket a hatékony mintaegyeztetéshez. Például: - Kerülje a kapzsi kvantátorok használatát– Használjon nem rögzítő csoportokat, például (?:expression) a (expression) |
Naplószint | A naplószintű beállítások közé tartozik a hibakeresés, az információ, a hiba és a kikapcsolás a képolvasó jelentéseiben. - A legjobb teljesítményt - eredményező hibakeresés jelentősen lelassítja a képolvasót, és csak hibaelhárításra használható. További információt a Set-AIPScannerConfiguration parancsmag ReportLevel paraméterében talál. |
A beolvasott fájlok | – A Excel fájlok kivételével Office fájlokat gyorsabban ellenőrzik, mint a PDF-fájlokat. – A nem védett fájlok gyorsabban kereshetők, mint a védett fájlok. - A nagy fájlok vizsgálata nyilvánvalóan tovább tart, mint a kis fájlok. |
A képolvasó parancsmagjainak listája
Ez a szakasz az Azure Information Protection Scanner által támogatott PowerShell-parancsmagokat sorolja fel.
Megjegyzés
Az Azure Information Protection scanner a Azure Portal van konfigurálva. Ezért a korábbi verziókban az adattárak és a beolvasott fájltípusok listájának konfigurálásához használt parancsmagok elavultak.
A szkenner támogatott parancsmagjai a következők:
Következő lépések
Miután telepítette és konfigurálta a képolvasót, kezdje el a fájlok vizsgálatát.
További információ:
Érdekli, hogy a Microsoft Core Services mérnöki és üzemeltetési csapata hogyan implementálta ezt a szkennert? Olvassa el a műszaki esettanulmányt: Az adatvédelem automatizálása az Azure Information Protection Scannerrel.
Felmerülhet a kérdés: Mi a különbség a Windows Server FCI és az Azure Information Protection scanner között?
A PowerShell használatával interaktív módon osztályozhatja és megvédheti a fájlokat az asztali számítógépről. További információ erről és a PowerShellt használó egyéb forgatókönyvekről: A PowerShell használata az Azure Information Protection-ügyféllel.