Persyaratan untuk menginstal dan menyebarkan pemindai pelabelan terpadu Azure Information Protection

Sebelum menginstal pemindai azure Information Protection lokal, pastikan sistem Anda mematuhi persyaratan Information Protection Azure dasar.

Selain itu, persyaratan berikut khusus untuk pemindai:

Jika Anda tidak dapat memenuhi semua persyaratan yang tercantum untuk pemindai karena dilarang oleh kebijakan organisasi Anda, lihat bagian konfigurasi alternatif .

Saat menyebarkan pemindai dalam produksi atau menguji performa untuk beberapa pemindai, lihat Persyaratan penyimpanan dan perencanaan kapasitas untuk SQL Server.

Saat Anda siap untuk mulai menginstal dan menyebarkan pemindai, lanjutkan dengan Menyebarkan pemindai Azure Information Protection untuk mengklasifikasikan dan melindungi file secara otomatis.

Persyaratan Windows Server

Anda harus memiliki komputer Windows Server untuk menjalankan pemindai, yang memiliki spesifikasi sistem berikut:

Spesifikasi Detail
Prosesor 4 prosesor inti
RAM 8 GB
Ruang disk Ruang kosong 10 GB (rata-rata) untuk file sementara.

Pemindai memerlukan ruang disk yang cukup untuk membuat file sementara untuk setiap file yang dipindainya, empat file per inti.

Ruang disk 10 GB yang direkomendasikan memungkinkan 4 prosesor inti memindai 16 file yang masing-masing memiliki ukuran file 625 MB.
Sistem Operasi Versi 64-bit dari:

- Windows Server 2019
- Windows Server 2016
- Catatan Windows Server 2012 R2

: Untuk tujuan pengujian atau evaluasi di lingkungan non-produksi, Anda juga dapat menggunakan sistem operasi Windows apa pun yang didukung oleh klien Azure Information Protection.
Konektivitas jaringan Komputer pemindai Anda dapat menjadi komputer fisik atau virtual dengan koneksi jaringan yang cepat dan andal ke penyimpanan data yang akan dipindai.

Jika konektivitas internet tidak dimungkinkan karena kebijakan organisasi Anda, lihat Menyebarkan pemindai dengan konfigurasi alternatif.

Jika tidak, pastikan komputer ini memiliki konektivitas internet yang memungkinkan URL berikut melalui HTTPS (port 443):

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com
- *.protection.outlook.com
Berbagi NFS Untuk mendukung pemindaian pada berbagi NFS, layanan untuk NFS harus disebarkan pada mesin pemindai.

Di komputer Anda, navigasikan ke dialog pengaturan Fitur Windows (Aktifkan atau nonaktifkan fitur Windows), dan pilih item berikut: Layanan untukAlat AdministratifNFS> dan Klien untuk NFS.
Microsoft Office iFilter Ketika pemindai Anda diinstal pada komputer server Windows, Anda juga harus menginstal Microsoft Office iFilter untuk memindai file .zip untuk tipe informasi sensitif.

Untuk informasi selengkapnya, lihat situs unduhan Microsoft.

Persyaratan akun layanan

Anda harus memiliki akun layanan untuk menjalankan layanan pemindai di komputer Windows Server, serta mengautentikasi untuk Azure AD dan mengunduh Azure Information Protection Policy.

Akun layanan Anda harus merupakan akun Direktori Aktif dan disinkronkan ke Azure AD.

Jika Anda tidak dapat menyinkronkan akun ini karena kebijakan organisasi Anda, lihat Menyebarkan pemindai dengan konfigurasi alternatif.

Akun layanan ini memiliki persyaratan berikut:

Persyaratan Detail
Masuk ke penetapan hak pengguna lokal Diperlukan untuk menginstal dan mengonfigurasi pemindai, tetapi tidak diperlukan untuk menjalankan pemindaian.

Setelah mengonfirmasi bahwa pemindai dapat menemukan, mengklasifikasikan, dan melindungi file, Anda dapat menghapusnya langsung dari akun layanan.

Jika memberikan hak ini bahkan untuk waktu yang singkat tidak dimungkinkan karena kebijakan organisasi Anda, lihat Menyebarkan pemindai dengan konfigurasi alternatif.
Masuk sebagai penetapan hak pengguna layanan. Hak ini secara otomatis diberikan ke akun layanan selama instalasi pemindai dan hak ini diperlukan untuk instalasi, konfigurasi, dan pengoperasian pemindai.
Izin ke repositori data - Berbagi file atau file lokal: Berikan izin Baca, Tulis, dan Ubah untuk memindai file lalu menerapkan klasifikasi dan perlindungan seperti yang dikonfigurasi.

- SharePoint: Anda harus memberikan izin Kontrol Penuh untuk memindai file dan menerapkan klasifikasi dan perlindungan seperti yang dikonfigurasi melalui kebijakan label sensitivitas.

- Mode penemuan: Untuk menjalankan pemindai hanya dalam mode penemuan, izin Baca sudah cukup.
Untuk label yang melindungi lagi atau menghapus perlindungan Untuk memastikan bahwa pemindai selalu memiliki akses ke file yang dilindungi, jadikan akun ini pengguna super untuk Azure Information Protection, dan pastikan bahwa fitur pengguna super diaktifkan.

Selain itu, jika Anda telah menerapkan kontrol onboarding untuk penyebaran bertahap, pastikan bahwa akun layanan disertakan dalam kontrol onboarding yang telah Anda konfigurasi.
Pemindaian tingkat URL tertentu Untuk memindai dan menemukan situs dan subsitus di bawah URL tertentu, berikan hak Auditor Pengumpul Situs ke akun pemindai di tingkat farm.
Lisensi untuk perlindungan informasi Diperlukan untuk memberikan kemampuan klasifikasi, pelabelan, atau perlindungan file ke akun layanan pemindai.

Untuk informasi selengkapnya, lihat peta strategi penyebaran Azure Information Protection dan panduan Microsoft 365 untuk kepatuhan keamanan&.

Persyaratan server SQL

Untuk menyimpan data konfigurasi pemindai, gunakan server SQL dengan persyaratan berikut:

  • Instans lokal atau jarak jauh.

    Sebaiknya hosting server SQL dan layanan pemindai di komputer yang berbeda, kecuali Anda bekerja dengan penyebaran kecil. Selain itu, kami sarankan memiliki instans SQL khusus yang hanya melayani database pemindai, dan yang tidak dibagikan dengan aplikasi lain.

    Jika Anda bekerja di server bersama, pastikan bahwa jumlah inti yang direkomendasikan gratis agar database pemindai berfungsi.

    SQL Server 2016 adalah versi minimum untuk edisi berikut:

    • SQL Server Enterprise

    • SQL Server Standard

    • SQL Server Express (disarankan hanya untuk lingkungan pengujian)

  • Akun dengan peran Sysadmin untuk menginstal pemindai.

    Peran Sysadmin memungkinkan proses penginstalan untuk secara otomatis membuat database konfigurasi pemindai dan memberikan peran db_owner yang diperlukan ke akun layanan yang menjalankan pemindai.

    Jika Anda tidak dapat diberikan peran Sysadmin atau kebijakan organisasi Anda mengharuskan database dibuat dan dikonfigurasi secara manual, lihat Menyebarkan pemindai dengan konfigurasi alternatif.

  • Kapasitas. Untuk panduan kapasitas, lihat Persyaratan penyimpanan dan perencanaan kapasitas untuk SQL Server.

  • Kolater tidak peka huruf besar/kecil.

Catatan

Beberapa database konfigurasi pada server SQL yang sama didukung saat Anda menentukan nama kluster kustom untuk pemindai, atau saat Anda menggunakan versi pratinjau pemindai.

Persyaratan penyimpanan dan perencanaan kapasitas untuk SQL Server

Jumlah ruang disk yang diperlukan untuk database konfigurasi pemindai dan spesifikasi komputer yang berjalan SQL Server dapat bervariasi untuk setiap lingkungan, jadi kami mendorong Anda untuk melakukan pengujian Anda sendiri. Gunakan panduan berikut sebagai titik awal.

Untuk informasi selengkapnya, lihat Mengoptimalkan performa pemindai.

Ukuran disk untuk database konfigurasi pemindai akan bervariasi untuk setiap penyebaran. Gunakan persamaan berikut sebagai panduan:

100 KB + <file count> *(1000 + 4* <average file name length>)

Misalnya, untuk memindai 1 juta file yang memiliki panjang nama file rata-rata 250 byte, alokasikan ruang disk 2 GB.

Untuk beberapa pemindai:

  • Hingga 10 pemindai, gunakan:

    • 4 prosesor inti
    • Direkomendasikan RAM 8 GB
  • Lebih dari 10 pemindai (maksimum 40), gunakan:

    • 8 proses inti
    • Direkomendasikan RAM 16 GB

Persyaratan klien Perlindungan Informasi Azure

Anda harus menginstal versi ketersediaan umum klien Azure Information Protection saat ini di komputer Windows Server.

Untuk informasi selengkapnya, lihat Panduan admin klien pelabelan terpadu.

Penting

Anda harus menginstal klien lengkap untuk pemindai. Jangan menginstal klien hanya dengan modul PowerShell.

Persyaratan konfigurasi label

Anda harus memiliki setidaknya satu label sensitivitas yang dikonfigurasi dalam portal kepatuhan Microsoft Purview untuk akun pemindai, untuk menerapkan klasifikasi dan, secara opsional, perlindungan.

Akun pemindai adalah akun yang akan Anda tentukan dalam parameter DelegatedUser dari cmdlet Set-AIPAuthentication , berjalan saat mengonfigurasi pemindai Anda.

Jika label Anda tidak memiliki kondisi pelabelan otomatis, lihat instruksi untuk konfigurasi alternatif di bawah ini.

Untuk informasi selengkapnya, lihat:

Persyaratan SharePoint

Untuk memindai pustaka dan folder dokumen SharePoint, pastikan server SharePoint Anda mematuhi persyaratan berikut:

Persyaratan Deskripsi
Versi yang didukung Versi yang didukung meliputi: SharePoint 2019, SharePoint 2016, dan SharePoint 2013.
Versi SharePoint lainnya tidak didukung untuk pemindai.
Penerapan Versi Saat Anda menggunakan penerapan versi, pemindai memeriksa dan memberi label versi terakhir yang diterbitkan.

Jika pemindai melabeli file dan persetujuan konten diperlukan, file berlabel tersebut harus disetujui agar tersedia untuk pengguna.
Farm SharePoint besar Untuk farm SharePoint besar, periksa apakah Anda perlu meningkatkan ambang tampilan daftar (secara default, 5.000) agar pemindai mengakses semua file.

Untuk informasi selengkapnya, lihat Mengelola daftar dan pustaka besar di SharePoint.
Jalur file panjang Jika Anda memiliki jalur file panjang di SharePoint, pastikan nilai httpRuntime.maxUrlLength server SharePoint Anda lebih besar dari 260 karakter default.

Untuk informasi selengkapnya, lihat Menghindari batas waktu pemindai di SharePoint.

Persyaratan Microsoft Office

Untuk memindai dokumen Office, dokumen Anda harus dalam salah satu format berikut:

  • Microsoft Office 97-2003
  • Format Office Open XML untuk Word, Excel, dan PowerPoint

Untuk informasi selengkapnya, lihat Jenis file yang didukung oleh klien pelabelan terpadu Azure Information Protection.

Persyaratan jalur file

Secara default, untuk memindai file, jalur file Anda harus memiliki maksimal 260 karakter.

Untuk memindai file dengan jalur file lebih dari 260 karakter, instal pemindai di komputer dengan salah satu versi Windows berikut, dan konfigurasikan komputer sesuai kebutuhan:

Versi Windows Deskripsi
Windows 2016 atau yang lebih baru Mengonfigurasi komputer untuk mendukung jalur panjang
Windows 10 atau Windows Server 2016 Tentukan pengaturan kebijakan grup berikut:Templat> AdministratifKonfigurasi>Komputer Kebijakan> Komputer LokalSemua Pengaturan>Aktifkan jalur panjang Win32.

Untuk informasi selengkapnya tentang dukungan jalur file panjang dalam versi ini, lihat bagian Batasan Panjang Jalur Maksimum dari dokumentasi pengembang Windows 10.
Windows 10, versi 1607 atau yang lebih baru Ikut serta untuk fungsionalitas MAX_PATH yang diperbarui. Untuk informasi selengkapnya, lihat Mengaktifkan Jalur Panjang di Windows 10 versi 1607 dan yang lebih baru.

Menyebarkan pemindai dengan konfigurasi alternatif

Prasyarat yang tercantum di atas adalah persyaratan default untuk penyebaran pemindai, dan direkomendasikan karena mendukung konfigurasi pemindai paling sederhana.

Persyaratan default harus cocok untuk pengujian awal, sehingga Anda dapat memeriksa kemampuan pemindai.

Namun, di lingkungan produksi, kebijakan organisasi Anda mungkin berbeda dari persyaratan default. Pemindai dapat mengakomodasi perubahan berikut dengan konfigurasi tambahan:

Menemukan dan memindai semua situs dan subsitus Sharepoint di bawah URL tertentu

Pemindai dapat menemukan dan memindai semua situs dan subsitus Sharepoint di bawah URL tertentu dengan konfigurasi berikut:

  1. Mulai Administrasi Pusat SharePoint.

  2. Pada situs web Administrasi Sentral SharePoint , di bagian Manajemen Aplikasi , klik Kelola aplikasi web.

  3. Klik untuk menyoroti aplikasi web yang tingkat kebijakan izinnya ingin Anda kelola.

  4. Pilih farm yang relevan lalu pilih Kelola Tingkat Kebijakan Izin.

  5. Pilih Auditor Kumpulan Situs di opsi Izin Kumpulan Situs , lalu berikan Tampilkan Halaman Aplikasi di daftar Izin, dan terakhir, beri nama auditor dan penampil kumpulan situs pemindai AIP tingkat kebijakan baru.

  6. Tambahkan pengguna pemindai Anda ke kebijakan baru dan berikan Kumpulan situs di daftar Izin.

  7. Tambahkan URL SharePoint yang menghosting situs atau subsitus yang perlu dipindai. Untuk informasi selengkapnya, lihat Mengonfigurasi pemindai di portal Azure.

Untuk mempelajari selengkapnya tentang cara mengelola tingkat kebijakan SharePoint Anda lihat, mengelola kebijakan izin untuk aplikasi web.

Pembatasan: Server pemindai tidak dapat memiliki konektivitas internet

Meskipun klien pelabelan terpadu tidak dapat menerapkan perlindungan tanpa koneksi internet, pemindai masih dapat menerapkan label berdasarkan kebijakan yang diimpor.

Untuk mendukung komputer yang terputus, gunakan salah satu metode berikut:

Gunakan portal Azure dengan komputer terputus

Untuk mendukung komputer yang terputus dari portal Azure, lakukan langkah-langkah berikut:

  1. Konfigurasikan label dalam kebijakan Anda, lalu gunakan prosedur untuk mendukung komputer yang terputus untuk mengaktifkan klasifikasi dan pelabelan offline.

  2. Aktifkan manajemen offline untuk pekerjaan konten sebagai berikut:

    Aktifkan manajemen offline untuk pekerjaan pemindaian konten:

    1. Atur pemindai agar berfungsi dalam mode offline , menggunakan cmdlet Set-AIPScannerConfiguration .

    2. Konfigurasikan pemindai di portal Azure dengan membuat kluster pemindai. Untuk informasi selengkapnya, lihat Mengonfigurasi pemindai di portal Azure.

    3. Ekspor pekerjaan konten Anda dari panel pekerjaan pemindaian Azure Information Protection - Konten menggunakan opsi Ekspor.

    4. Impor kebijakan menggunakan cmdlet Import-AIPScannerConfiguration .

    Hasil untuk pekerjaan pemindaian konten offline terletak di: %localappdata%\Microsoft\MSIP\Scanner\Reports

Menggunakan PowerShell dengan komputer yang terputus

Lakukan prosedur berikut untuk mendukung komputer yang terputus menggunakan PowerShell saja.

Penting

Admin server pemindai Azure Tiongkok 21Vianetharus menggunakan prosedur ini untuk mengelola pekerjaan pemindaian konten mereka.

Kelola pekerjaan pemindaian konten Anda hanya menggunakan PowerShell:

  1. Atur pemindai agar berfungsi dalam mode offline , menggunakan cmdlet Set-AIPScannerConfiguration .

  2. Buat pekerjaan pemindaian konten baru menggunakan cmdlet Set-AIPScannerContentScanJob , pastikan untuk menggunakan parameter wajib -Enforce On .

  3. Tambahkan repositori Anda menggunakan cmdlet Add-AIPScannerRepository , dengan jalur ke repositori yang ingin Anda tambahkan.

    Tip

    Untuk mencegah repositori mewarisi pengaturan dari pekerjaan pemindaian konten Anda, tambahkan OverrideContentScanJob On parameter , serta nilai untuk pengaturan tambahan.

    Untuk mengedit detail untuk repositori yang ada, gunakan perintah Set-AIPScannerRepository .

  4. Gunakan cmdlet Get-AIPScannerContentScanJob dan Get-AIPScannerRepository untuk mengembalikan informasi tentang pengaturan pekerjaan pemindaian konten Anda saat ini.

  5. Gunakan perintah Set-AIPScannerRepository untuk memperbarui detail untuk repositori yang ada.

  6. Jalankan pekerjaan pemindaian konten Anda segera jika diperlukan, menggunakan cmdlet Start-AIPScan .

    Hasil untuk pekerjaan pemindaian konten offline terletak di: %localappdata%\Microsoft\MSIP\Scanner\Reports

  7. Jika Anda perlu menghapus repositori atau seluruh pekerjaan pemindaian konten, gunakan cmdlet berikut:

Pembatasan: Anda tidak dapat diberikan Sysadmin atau database harus dibuat dan dikonfigurasi secara manual

Gunakan prosedur berikut untuk membuat database secara manual dan memberikan peran db_owner , sesuai kebutuhan.

Jika Anda dapat diberikan peran Sysadmin untuk sementara waktu untuk menginstal pemindai, Anda dapat menghapus peran ini ketika penginstalan pemindai selesai.

Lakukan salah satu hal berikut ini, bergantung pada persyaratan organisasi Anda:

Pembatasan Deskripsi
Anda dapat memiliki peran Sysadmin untuk sementara Jika Anda sementara memiliki peran Sysadmin, database secara otomatis dibuat untuk Anda dan akun layanan untuk pemindai secara otomatis diberikan izin yang diperlukan.

Namun, akun pengguna yang mengonfigurasi pemindai masih memerlukan peran db_owner untuk database konfigurasi pemindai. Jika Anda hanya memiliki peran Sysadmin hingga penginstalan pemindai selesai, berikan peran db_owner ke akun pengguna secara manual.
Anda tidak dapat memiliki peran Sysadmin sama sekali Jika Anda tidak dapat diberikan peran Sysadmin untuk sementara waktu, Anda harus meminta pengguna dengan hak Sysadmin untuk membuat database secara manual sebelum menginstal pemindai.

Untuk konfigurasi ini, peran db_owner harus ditetapkan ke akun berikut:
- Akun layanan untuk pemindai
- Akun pengguna untuk penginstalan pemindai
- Akun pengguna untuk konfigurasi pemindai

Biasanya, Anda akan menggunakan akun pengguna yang sama untuk menginstal dan mengonfigurasi pemindai. Jika Anda menggunakan akun yang berbeda, keduanya memerlukan peran db_owner untuk database konfigurasi pemindai. Buat pengguna dan hak ini sesuai kebutuhan. Jika Anda menentukan nama kluster Anda sendiri, database konfigurasi diberi nama AIPScannerUL_<cluster_name>.

Selain itu:

  • Anda harus menjadi administrator lokal pada server yang akan menjalankan pemindai

  • Akun layanan yang akan menjalankan pemindai harus diberikan izin Kontrol Penuh ke kunci registri berikut:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Jika, setelah mengonfigurasi izin ini, Anda akan melihat kesalahan saat menginstal pemindai, kesalahan dapat diabaikan dan Anda dapat memulai layanan pemindai secara manual.

Buat database dan pengguna secara manual untuk pemindai, dan berikan hak db_owner

Jika Anda perlu membuat database pemindai dan/atau membuat pengguna secara manual dan memberikan hak db_owner pada database, minta Sysadmin Anda untuk melakukan langkah-langkah berikut:

  1. Buat database untuk pemindai:

    **CREATE DATABASE AIPScannerUL_[clustername]**
    
    **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
    
  2. Memberikan hak kepada pengguna yang menjalankan perintah penginstalan dan digunakan untuk menjalankan perintah manajemen pemindai. Gunakan skrip berikut:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. Memberikan hak untuk akun layanan pemindai. Gunakan skrip berikut:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

Pembatasan: Akun layanan untuk pemindai tidak dapat diberikan hak Masuk secara lokal

Jika kebijakan organisasi Anda melarang hak Masuk secara lokal untuk akun layanan, gunakan parameter OnBehalfOf dengan Set-AIPAuthentication.

Untuk informasi selengkapnya, lihat Cara melabeli file secara non-interaktif untuk Microsoft Azure Information Protection.

Pembatasan: Akun layanan pemindai tidak dapat disinkronkan ke Azure Active Directory tetapi server memiliki konektivitas internet

Anda dapat memiliki satu akun untuk menjalankan layanan pemindai dan menggunakan akun lain untuk mengautentikasi ke Azure Active Directory:

Pembatasan: Label Anda tidak memiliki kondisi pelabelan otomatis

Jika label Anda tidak memiliki kondisi pelabelan otomatis, rencanakan untuk menggunakan salah satu opsi berikut saat mengonfigurasi pemindai Anda:

Opsi Deskripsi
Menemukan semua jenis info Dalam pekerjaan pemindaian konten Anda, atur opsi Jenis info yang akan ditemukan ke Semua.

Opsi ini mengatur pekerjaan pemindaian konten untuk memindai konten Anda untuk semua jenis informasi sensitif.
Gunakan pelabelan yang direkomendasikan Dalam pekerjaan pemindaian konten Anda, atur opsi Perlakukan pelabelan yang direkomendasikan sebagai otomatis ke Aktif.

Pengaturan ini mengonfigurasi pemindai untuk secara otomatis menerapkan semua label yang direkomendasikan pada konten Anda.
Menentukan label default Tentukan label default dalam kebijakan, pekerjaan pemindaian konten, atau repositori Anda.

Dalam hal ini pemindai menerapkan label default pada semua file yang ditemukan.

Langkah berikutnya

Setelah Anda mengonfirmasi bahwa sistem Anda mematuhi prasyarat pemindai, lanjutkan dengan Menyebarkan pemindai Azure Information Protection untuk mengklasifikasikan dan melindungi file secara otomatis.

Untuk gambaran umum tentang pemindai, lihat Menyebarkan pemindai Azure Information Protection untuk mengklasifikasikan dan melindungi file secara otomatis.

Informasi selengkapnya: