Informazioni sullo scanner di etichettatura unificata di Azure Information Protection

Usare le informazioni contenute in questa sezione per informazioni sullo scanner di etichettatura unificata di Azure Information Protection e quindi su come installare, configurare, eseguire ed eseguire e, se necessario, risolvere i problemi.

Lo scanner AIP viene eseguito come servizio in Windows Server e consente di individuare, classificare e proteggere i file negli archivi dati seguenti:

  • Percorsi UNC per le condivisioni di rete che usano i protocolli SMB o NFS (anteprima).

  • Raccolte documenti e cartelle di SharePoint per SharePoint Server 2019 tramite SharePoint Server 2013.

Per classificare e proteggere i file, lo scanner usa etichette di riservatezza configurate nella Portale di conformità di Microsoft Purview.

Panoramica dello scanner di etichettatura unificata di Azure Information Protection

Lo scanner AIP può controllare tutti i file che Windows possono indicizzare. Se sono state configurate etichette di riservatezza per applicare la classificazione automatica, lo scanner può etichettare i file individuati per applicare tale classificazione e, facoltativamente, applicare o rimuovere la protezione.

L'immagine seguente mostra l'architettura dello scanner AIP, in cui lo scanner individua i file tra i server locali e SharePoint.

Architettura dello scanner di etichettatura unificata di Azure Information Protection

Per esaminare i file, lo scanner usa IFilters installato nel computer. Per determinare se i file richiedono l'etichettatura, lo scanner usa i tipi di informazioni sulla prevenzione della perdita di dati predefiniti di Microsoft 365 o i modelli regex di Microsoft 365.

Lo scanner usa il client di Azure Information Protection e può classificare e proteggere gli stessi tipi di file del client. Per altre informazioni, vedere Tipi di file supportati dal client di etichettatura unificata di Azure Information Protection.

Eseguire una delle operazioni seguenti per configurare le analisi in base alle esigenze:

  • Eseguire lo scanner in modalità di individuazione solo per creare report che controllano cosa accade quando i file vengono etichettati.
  • Eseguire lo scanner per individuare i file con informazioni riservate, senza configurare etichette che applicano la classificazione automatica.
  • Eseguire lo scanner automaticamente per applicare le etichette come configurate.
  • Definire un elenco di tipi di file per specificare file specifici da analizzare o escludere.

Nota

Lo scanner non individua ed etichetta in tempo reale. Esegue sistematicamente la ricerca per indicizzazione nei file negli archivi dati specificati. Configurare questo ciclo per l'esecuzione una sola volta o ripetutamente.

Suggerimento

Lo scanner di etichettatura unificata supporta cluster scanner con più nodi, consentendo all'organizzazione di aumentare il numero di istanze, ottenendo tempi di analisi più rapidi e ambito più ampio.

Distribuire più nodi direttamente dall'avvio o iniziare con un cluster a nodo singolo e aggiungere altri nodi più avanti durante la crescita. Distribuire più nodi usando lo stesso nome del cluster e il database per il cmdlet Install-AIPScanner .

Processo di analisi AIP

Durante l'analisi dei file, lo scanner AIP viene eseguito tramite la procedura seguente:

1. Determinare se i file sono inclusi o esclusi per l'analisi

2. Esaminare e etichettare i file

3. Etichettare i file che non possono essere controllati

Per altre informazioni, vedere File non etichettati dallo scanner.

1. Determinare se i file sono inclusi o esclusi per l'analisi

Lo scanner ignora automaticamente i file esclusi dalla classificazione e dalla protezione, ad esempio file eseguibili e file di sistema. Per altre informazioni, vedere Tipi di file esclusi dalla classificazione e dalla protezione.

Lo scanner considera anche gli elenchi di file definiti in modo esplicito per l'analisi o l'esclusione dall'analisi. Gli elenchi di file si applicano per impostazione predefinita a tutti i repository dati e possono anche essere definiti solo per repository specifici.

Per definire elenchi di file per l'analisi o l'esclusione, usare i tipi di file per analizzare l'impostazione nel processo di analisi del contenuto. Ad esempio:

Configurare i tipi di file da analizzare per lo scanner di Azure Information Protection

Per altre informazioni, vedere Distribuzione dello scanner di Azure Information Protection per classificare e proteggere automaticamente i file.

2. Esaminare e etichettare i file

Dopo aver identificato i file esclusi, lo scanner filtra di nuovo per identificare i file supportati per l'ispezione.

Questi filtri sono gli stessi usati dal sistema operativo per Windows Search e indicizzazione e non richiedono alcuna configurazione aggiuntiva. Windows IFilter viene usato anche per analizzare i tipi di file usati da Word, Excel e PowerPoint e per documenti PDF e file di testo.

Per un elenco completo dei tipi di file supportati per l'ispezione e altre istruzioni per la configurazione dei filtri in modo da includere .zip e file con estensione tiff, vedere Tipi di file supportati per l'ispezione.

Dopo l'ispezione, i tipi di file supportati vengono etichettati usando le condizioni specificate per le etichette. Se si usa la modalità di individuazione, questi file possono essere segnalati per contenere le condizioni specificate per le etichette o segnalate per contenere eventuali tipi di informazioni sensibili noti.

Processi di scanner arrestati

Se lo scanner si arresta e non completa un'analisi per un numero elevato di file nel repository, potrebbe essere necessario aumentare il numero di porte dinamiche per il sistema operativo che ospita i file.

Ad esempio, la protezione avanzata del server per SharePoint è un motivo per cui lo scanner supera il numero di connessioni di rete consentite e quindi arresta.

Per verificare se la protezione avanzata del server per SharePoint è la causa dell'arresto dello scanner, verificare la presenza del seguente messaggio di errore nei log dello scanner in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (più log vengono compressi in un file zip):

Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

Per altre informazioni su come visualizzare l'intervallo di porte corrente e aumentarlo se necessario, vedere Impostazioni che possono essere modificate per migliorare le prestazioni di rete.

Suggerimento

Per le farm di SharePoint di grandi dimensioni, potrebbe essere necessario aumentare la soglia di visualizzazione elenco, con un valore predefinito di 5.000.

Per altre informazioni, vedere Gestire elenchi e librerie di grandi dimensioni in SharePoint.

3. Etichettare i file che non possono essere controllati

Per qualsiasi tipo di file che non è possibile controllare, lo scanner AIP applica l'etichetta predefinita nel criterio di Information Protection di Azure o l'etichetta predefinita configurata per lo scanner.

File non etichettati dallo scanner

Lo scanner AIP non può etichettare i file nelle circostanze seguenti:

  • Quando l'etichetta applica la classificazione, ma non la protezione e il tipo di file non supporta la classificazione solo dal client. Per altre informazioni, vedere Tipi di file client di etichettatura unificata.

  • Quando l'etichetta applica la classificazione e la protezione, ma lo scanner non supporta il tipo di file.

    Per impostazione predefinita lo scanner protegge solo i tipi di file di Office e i file PDF se questi sono protetti usando lo standard ISO per la crittografia dei file PDF.

    Altri tipi di file possono essere aggiunti per la protezione quando si modificano i tipi di file da proteggere.

Esempio: dopo aver controllato .txt file, lo scanner non può applicare un'etichetta configurata solo per la classificazione, perché il tipo di file .txt non supporta solo la classificazione.

Tuttavia, se l'etichetta è configurata per la classificazione e la protezione e il tipo di file .txt è incluso per lo scanner da proteggere, lo scanner può etichettare il file.

Passaggi successivi

Per altre informazioni sulla distribuzione dello scanner, vedere gli articoli seguenti:

Altre informazioni: