Configurazione e installazione dello scanner di etichettatura unificata di Azure Information Protection (AIP)

Nota

Lo scanner di etichettatura unificata di Azure Information Protection viene rinominato Microsoft Purview Information Protection scanner. Allo stesso tempo, la configurazione (attualmente in anteprima) viene spostata nella Portale di conformità di Microsoft Purview. Attualmente è possibile configurare lo scanner sia nella portale di Azure che nel portale di conformità. Le istruzioni in questo articolo fanno riferimento a entrambi i portali di amministrazione.

Questo articolo descrive come configurare e installare l'etichetta unificata di Azure Information Protection scanner locale.

Suggerimento

Anche se la maggior parte dei clienti eseguirà queste procedure nel portale di amministrazione, potrebbe essere necessario lavorare solo in PowerShell.

Ad esempio, se si lavora in un ambiente senza accesso al portale di amministrazione, ad esempio i server scanner di Azure Cina 21Vianet, seguire le istruzioni in Usare PowerShell per configurare lo scanner.

Panoramica

Prima di iniziare, verificare che il sistema sia conforme ai prerequisiti necessari.

Per usare la portale di Azure, seguire questa procedura:

  1. Configurare le impostazioni dello scanner

  2. Installare lo scanner

  3. Ottenere un token di Azure AD per lo scanner

  4. Configurare lo scanner per applicare la classificazione e la protezione

Eseguire quindi le procedure di configurazione seguenti in base alle esigenze del sistema:

Procedura Descrizione
Modificare i tipi di file da proteggere È possibile analizzare, classificare o proteggere tipi di file diversi rispetto al valore predefinito. Per altre informazioni, vedere Processo di analisi AIP.
Aggiornamento dello scanner Aggiornare lo scanner per usare le funzionalità e i miglioramenti più recenti.
Modifica delle impostazioni del repository dati in blocco Usare le opzioni di importazione ed esportazione per apportare modifiche in blocco per più repository di dati.
Usare lo scanner con configurazioni alternative Usare lo scanner senza configurare le etichette con eventuali condizioni
Ottimizzare le prestazioni Indicazioni per ottimizzare le prestazioni dello scanner

Se non si ha accesso alle pagine dello scanner nel portale di amministrazione, configurare solo le impostazioni dello scanner in PowerShell. Per altre informazioni, vedere Usare PowerShell per configurare lo scanner e i cmdlet di PowerShell supportati.

Configurare le impostazioni dello scanner

Prima di installare lo scanner o aggiornarlo da una versione di disponibilità generale precedente, configurare o verificare le impostazioni dello scanner.

Per configurare lo scanner nel Portale di conformità di Microsoft Purview:

  1. Accedere alla Portale di conformità di Microsoft Purview con uno dei ruoli seguenti:

    • Amministratore di conformità
    • Amministratore dati di conformità
    • Amministratore della sicurezza
    • Amministratore globale

    Passare quindi al riquadro Impostazioni .

    Nel riquadro Impostazioni selezionare Scanner di protezione delle informazioni.

    Screenshot dello scanner di Information Protection all'interno dell'Portale di conformità di Microsoft Purview..

  2. Creare un cluster scanner. Questo cluster definisce lo scanner e viene usato per identificare l'istanza dello scanner, ad esempio durante l'installazione, gli aggiornamenti e altri processi.

  3. Creare un processo di analisi del contenuto per definire i repository da analizzare.

Per configurare lo scanner nel portale di Azure:

  1. Accedere alla portale di Azure con uno dei ruoli seguenti:

    • Amministratore di conformità
    • Amministratore dati di conformità
    • Amministratore della sicurezza
    • Amministratore globale

    Passare quindi al riquadro Information Protection di Azure.

    Ad esempio, nella casella di ricerca di risorse, servizi e documenti iniziare a digitare Information e selezionare Azure Information Protection.

  2. Creare un cluster scanner. Questo cluster definisce lo scanner e viene usato per identificare l'istanza dello scanner, ad esempio durante l'installazione, gli aggiornamenti e altri processi.

  3. Creare un processo di analisi del contenuto per definire i repository da analizzare.

Creare un cluster scanner

Per creare un cluster scanner nel Portale di conformità di Microsoft Purview:

  1. Nella scheda nella pagina Scanner di Information Protection selezionare Cluster.

  2. Nella scheda Cluster selezionare Aggiungiicona.

  3. Nel riquadro Nuovo cluster immettere un nome significativo per lo scanner e una descrizione facoltativa.

    Il nome del cluster viene usato per identificare le configurazioni e i repository dello scanner. Ad esempio, è possibile immettere l'Europa per identificare le posizioni geografiche dei repository dati da analizzare.

    Questo nome verrà usato in un secondo momento per identificare la posizione in cui si vuole installare o aggiornare lo scanner.

  4. Fare clic su Salva per salvare le modifiche.

Per creare un cluster scanner nel portale di Azure:

  1. Dal menu Scanner a sinistra selezionareIcona.

  2. Nel riquadro Azure Information Protection - Cluster selezionare Aggiungiicona.

  3. Nel riquadro Aggiungi un nuovo cluster immettere un nome significativo per lo scanner e una descrizione facoltativa.

    Il nome del cluster viene usato per identificare le configurazioni e i repository dello scanner. Ad esempio, è possibile immettere l'Europa per identificare le posizioni geografiche dei repository dati da analizzare.

    Questo nome verrà usato in un secondo momento per identificare la posizione in cui si vuole installare o aggiornare lo scanner.

  4. Selezionare Salvaicona salva icona salva per salvare le modifiche.

Creare un processo di analisi del contenuto

Approfondimento sul contenuto per analizzare repository specifici per contenuti sensibili.

Per creare il processo di analisi del contenuto nel Portale di conformità di Microsoft Purview:

  1. Nella scheda nella pagina Scanner di Protezione delle informazioni selezionare Processi di analisi contenuto.

  2. Nel riquadro Processi analisi contenuto selezionare Aggiungi icona.

  3. Per questa configurazione iniziale, configurare le impostazioni seguenti e quindi selezionare Salva.

    Impostazione Descrizione
    Impostazioni del processo di analisi del contenuto - Pianificazione: Mantenere l'impostazione predefinita manuale
    - Tipi di informazioni da individuare: Modificare solo criteri
    Criterio di prevenzione della perdita dei dati Se si usa un criterio di prevenzione della perdita di dati, impostare Abilita regole DLP su Attiva. Per altre informazioni, vedere Usare un criterio DLP.
    Criteri di riservatezza - Applicare criteri di etichettatura di riservatezza: selezionare Disattivato
    - Etichettare i file in base al contenuto: Mantenere l'impostazione predefinita di On
    - Etichetta predefinita: Mantenere l'impostazione predefinita di Criteri predefinita
    - Rivalutare i file: Mantenere l'impostazione predefinita disattivata
    Configurare le impostazioni dei file - Mantenere "Data modificata", "Ultima modificata" e "Modificata": Mantenere l'impostazione predefinita di On
    - Tipi di file da analizzare: Mantenere i tipi di file predefiniti per Escludi
    - Proprietario predefinito: Mantenere l'impostazione predefinita dell'account scanner
    - Impostare il proprietario del repository: usare questa opzione solo quando si usa un criterio DLP.
  4. Aprire il processo di analisi del contenuto salvato e selezionare la scheda Repository per specificare gli archivi dati da analizzare.

    Specificare percorsi UNC e URL di SharePoint Server per librerie e cartelle di documenti locali di SharePoint.

    Nota

    SharePoint Server 2019, SharePoint Server 2016 e SharePoint Server 2013 sono supportati per SharePoint. Anche SharePoint Server 2010 è supportato quando è disponibile il supporto "Extended" per questa versione di SharePoint.

    Per aggiungere il primo archivio dati, mentre nella scheda Repository :

    1. Nel riquadro Repository selezionare Aggiungi:

    2. Nel riquadro Repository specificare il percorso del repository dati e quindi selezionare Salva.

      • Per una condivisione di rete, usare \\Server\Folder.
      • Per una raccolta di SharePoint, usare http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • Per un percorso locale: C:\Folder
      • Per un percorso UNC: \\Server\Folder

    Nota

    I caratteri jolly e i percorsi WebDav non sono supportati.

    Se si aggiunge un percorso di SharePoint per documenti condivisi:

    • Specificare Documenti condivisi nel percorso quando si vogliono analizzare tutti i documenti e tutte le cartelle da Documenti condivisi. ad esempio http://sp2013/SharedDocuments
    • Specificare Documenti nel percorso quando si vogliono analizzare tutti i documenti e tutte le cartelle da una sottocartella in Documenti condivisi. ad esempio http://sp2013/Documents/SalesReports
    • In alternativa, specificare solo il nome di dominio completo di Sharepoint, ad esempio http://sp2013 per individuare ed analizzare tutti i siti e i siti secondari di SharePoint in un URL e sottotitoli specifici in questo URL. Concedere ai revisori del sito dello scanner i diritti di abilitazione.

    Per le impostazioni rimanenti in questo riquadro, non modificarle per questa configurazione iniziale, ma mantenerle come impostazione predefinita del processo di analisi del contenuto. L'impostazione predefinita indica che il repository dati eredita le impostazioni dal processo di analisi del contenuto.

    Usare la sintassi seguente quando si aggiungono percorsi di SharePoint:

    Percorso Sintassi
    Percorso radice http://<SharePoint server name>

    Analizza tutti i siti, incluse le raccolte siti consentite per l'utente dello scanner.
    Richiede autorizzazioni aggiuntive per individuare automaticamente il contenuto radice
    Sito secondario o raccolta di SharePoint specifici I tipi validi sono:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Richiede autorizzazioni aggiuntive per individuare automaticamente il contenuto della raccolta siti
    Raccolta di SharePoint specifica I tipi validi sono:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Cartella SharePoint specifica http://<SharePoint server name>/.../<folder name>
  5. Ripetere i passaggi precedenti per aggiungere tutti i repository necessari.

Per creare il processo di analisi del contenuto nel portale di Azure:

  1. Nel menu Scanner a sinistra selezionare Processi di analisi del contenuto.

  2. Nel riquadro Processi di analisi del contenuto del Information Protection di Azure selezionare Aggiungi icona.

  3. Per questa configurazione iniziale, configurare le impostazioni seguenti e quindi selezionare Salva ma non chiudere il riquadro.

    Impostazione Descrizione
    Impostazioni del processo di analisi del contenuto - Pianificazione: Mantenere l'impostazione predefinita manuale
    - Tipi di informazioni da individuare: Modificare solo criteri
    - Configurare i repository: non configurare in questo momento perché il processo di analisi del contenuto deve essere prima salvato.
    Criterio di prevenzione della perdita dei dati Se si usano criteri di prevenzione della perdita di dati, impostare Abilita regole DLP su Attiva. Per altre informazioni, vedere Usare un criterio DLP.
    Criteri di riservatezza - Applica: Seleziona disattivata
    - Etichettare i file in base al contenuto: Mantenere l'impostazione predefinita di On
    - Etichetta predefinita: Mantenere l'impostazione predefinita di Criteri predefinita
    - Rivalutare i file: Mantenere l'impostazione predefinita disattivata
    Configurare le impostazioni dei file - Mantenere "Data modificata", "Ultima modificata" e "Modificata": Mantenere l'impostazione predefinita di On
    - Tipi di file da analizzare: Mantenere i tipi di file predefiniti per Escludi
    - Proprietario predefinito: Mantenere l'impostazione predefinita dell'account scanner
    - Impostare il proprietario del repository: usare questa opzione solo quando si usa un criterio DLP.
  4. Dopo aver creato e salvato il processo di analisi del contenuto, è possibile tornare all'opzione Configura repository per specificare gli archivi dati da analizzare.

    Specificare percorsi UNC e URL di SharePoint Server per librerie e cartelle di documenti locali di SharePoint.

    Nota

    SharePoint Server 2019, SharePoint Server 2016 e SharePoint Server 2013 sono supportati per SharePoint.

    Per aggiungere il primo archivio dati, mentre nel riquadro Aggiungi un nuovo processo di analisi del contenutoselezionare Configura repository per aprire il riquadro Repository :

    Configurare i repository dati per lo scanner di Information Protection di Azure.

    1. Nel riquadro Repository selezionare Aggiungi:

      Aggiungere il repository dati per lo scanner di Information Protection di Azure.

    2. Nel riquadro Repository specificare il percorso del repository dati e quindi selezionare Salva.

      • Per una condivisione di rete, usare \\Server\Folder.
      • Per una raccolta di SharePoint, usare http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • Per un percorso locale: C:\Folder
      • Per un percorso UNC: \\Server\Folder

    Nota

    I caratteri jolly e i percorsi WebDav non sono supportati.

    Se si aggiunge un percorso di SharePoint per documenti condivisi:

    • Specificare Documenti condivisi nel percorso quando si vogliono analizzare tutti i documenti e tutte le cartelle da Documenti condivisi. ad esempio http://sp2013/SharedDocuments
    • Specificare Documenti nel percorso quando si vogliono analizzare tutti i documenti e tutte le cartelle da una sottocartella in Documenti condivisi. ad esempio http://sp2013/Documents/SalesReports
    • In alternativa, specificare solo il nome di dominio completo di Sharepoint, ad esempio http://sp2013 per individuare ed analizzare tutti i siti e i siti secondari di SharePoint in un URL e sottotitoli specifici in questo URL. Concedere ai revisori del sito dello scanner i diritti di abilitazione.

    Per le impostazioni rimanenti in questo riquadro, non modificarle per questa configurazione iniziale, ma mantenerle come impostazione predefinita del processo di analisi del contenuto. L'impostazione predefinita indica che il repository dati eredita le impostazioni dal processo di analisi del contenuto.

    Usare la sintassi seguente quando si aggiungono percorsi di SharePoint:

    Percorso Sintassi
    Percorso radice http://<SharePoint server name>

    Analizza tutti i siti, incluse le raccolte siti consentite per l'utente dello scanner.
    Richiede autorizzazioni aggiuntive per individuare automaticamente il contenuto radice
    Sito secondario o raccolta di SharePoint specifici I tipi validi sono:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Richiede autorizzazioni aggiuntive per individuare automaticamente il contenuto della raccolta siti
    Raccolta di SharePoint specifica I tipi validi sono:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Cartella SharePoint specifica http://<SharePoint server name>/.../<folder name>
  5. Ripetere i passaggi precedenti per aggiungere tutti i repository necessari.

    Al termine, chiudere sia i riquadri repository che i riquadri del processo di analisi del contenuto .

Tornare al riquadro del processo di analisi del contenuto Information Protection di Azure, viene visualizzato il nome dell'analisi del contenuto, insieme alla colonna SCHEDULE che mostra Manuale e la colonna ENFORCE è vuota.

È ora possibile installare lo scanner con il processo dello scanner di contenuto creato. Continuare con Installare lo scanner.

Installare lo scanner

Dopo aver configurato lo scanner di Azure Information Protection, seguire questa procedura per installare lo scanner. Questa procedura viene eseguita completamente in PowerShell.

  1. Accedere al computer Windows Server che eseguirà lo scanner. Usare un account con diritti di amministratore locale e con le autorizzazioni per scrivere nel database master di SQL Server.

    Importante

    Prima di installare lo scanner, è necessario che nel computer sia installato il client di etichettatura unificata AIP.

    Per altre informazioni, vedere Prerequisiti per l'installazione e la distribuzione dello scanner di Azure Information Protection.

  2. Aprire una sessione di Windows PowerShell con l'opzione Esegui come amministratore.

  3. Eseguire il cmdlet Install-AIPScanner, specificando l'istanza di SQL Server in cui creare un database per lo scanner Information Protection di Azure e il nome del cluster dello scanner specificato nella sezione precedente:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Esempi, usando il nome del cluster scanner europa:

    • Per un'istanza predefinita: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Per un'istanza denominata: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • Per SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Quando richiesto, specificare le credenziali di Active Directory per l'account del servizio scanner.

    Usare la sintassi seguente: \<domain\user name>. ad esempio contoso\scanneraccount

  4. Verificare che il servizio sia ora installato tramiteServizistrumenti> di amministrazione.

    Il servizio installato è denominato Azure Information Protection Scanner ed è configurato per l'esecuzione usando l'account del servizio scanner creato.

Dopo aver installato lo scanner, è necessario ottenere un token di Azure AD per l'autenticazione dell'account del servizio scanner , in modo che lo scanner possa essere eseguito automaticamente.

Ottenere un token di Azure AD per lo scanner

Un token di Azure AD consente allo scanner di eseguire l'autenticazione nel servizio Azure Information Protection, consentendo allo scanner di eseguire in modo non interattivo.

Per altre informazioni, vedere Come assegnare un'etichetta ai file in modo non interattivo per Azure Information Protection.

Per ottenere un token di Azure AD:

  1. Aprire il portale di Azure per creare un'applicazione Azure AD per specificare un token di accesso per l'autenticazione.

  2. Dal computer Windows Server, se all'account del servizio scanner è stato concesso il diritto di accesso locale per l'installazione, accedere con questo account e avviare una sessione di PowerShell.

    Eseguire Set-AIPAuthentication specificando i valori copiati nel passaggio precedente:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Ad esempio:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Suggerimento

    Se all'account del servizio scanner non è possibile concedere il diritto di accesso locale per l'installazione, usare il parametro OnBehalfOf con Set-AIPAuthentication, come descritto in Come etichettare i file in modo non interattivo per Azure Information Protection.

Lo scanner dispone ora di un token per l'autenticazione in Azure AD. Questo token è valido per un anno, due anni o mai, in base alla configurazione del segreto client dell'app Web /API in Azure AD. Alla scadenza del token, è necessario ripetere questa procedura.

Continuare a usare uno dei passaggi seguenti, a seconda che si usi il portale di Azure per configurare lo scanner o solo PowerShell:

Si è ora pronti per eseguire la prima analisi in modalità di individuazione. Per altre informazioni, vedere Eseguire un ciclo di individuazione e visualizzare i report per lo scanner.

Dopo aver eseguito l'analisi di individuazione iniziale, continuare con Configurare lo scanner per applicare la classificazione e la protezione.

Configurare lo scanner per applicare la classificazione e la protezione

Le impostazioni predefinite configurano lo scanner per l'esecuzione una sola volta e in modalità di sola creazione di report. Per modificare queste impostazioni, modificare il processo di analisi del contenuto.

Per configurare lo scanner per applicare la classificazione e la protezione nel Portale di conformità di Microsoft Purview:

  1. Nella scheda Processi di analisi del contenuto della Portale di conformità di Microsoft Purview selezionare un processo di analisi del contenuto specifico per modificarlo.

  2. Selezionare il processo di analisi del contenuto, modificare quanto segue e quindi selezionare Salva:

    • Dalla sezione Processo di analisi del contenuto : Modificare la pianificazione in Sempre
    • Nella sezione Applicare i criteri di etichettatura della riservatezza : Modificare il pulsante di opzione su
  3. Assicurarsi che un nodo per il processo di analisi del contenuto sia online, quindi avviare di nuovo il processo di analisi del contenuto selezionando Analizza adesso. Il pulsante Analizza ora viene visualizzato solo quando un nodo per il processo di analisi del contenuto selezionato è online.

Lo scanner è ora pianificato per l'esecuzione continua. Quando lo scanner funziona attraverso tutti i file configurati, avvia automaticamente un nuovo ciclo in modo che vengano individuati tutti i file nuovi e modificati.

Per configurare lo scanner per applicare la classificazione e la protezione nel portale di Azure:

  1. Nel riquadro Processi di analisi del contenuto di Azure Information Protection del portale di Azure selezionare il processo di analisi del contenuto e del cluster per modificarlo.

  2. Nel riquadro Processo analisi contenuto modificare quanto segue e quindi selezionare Salva:

    • Dalla sezione Processo di analisi del contenuto : Modificare la pianificazione in Sempre
    • Dalla sezione Criteri di riservatezza : Modificare Applica a

    Suggerimento

    È possibile modificare altre impostazioni in questo riquadro, ad esempio se gli attributi del file vengono modificati e se lo scanner può riassegnare etichette ai file. Usare la Guida con informazioni popup per altre informazioni sulle singole impostazioni di configurazione.

  3. Prendere nota dell'ora corrente e avviare di nuovo lo scanner dal riquadro Azure Information Protection - Processi di analisi del contenuto:

    Avviare l'analisi dello scanner Information Protection di Azure.

Lo scanner è ora pianificato per l'esecuzione continua. Quando lo scanner funziona attraverso tutti i file configurati, avvia automaticamente un nuovo ciclo in modo che vengano individuati tutti i file nuovi e modificati.

Usare un criterio di prevenzione della perdita dei dati

L'uso di un criterio di prevenzione della perdita dei dati consente allo scanner di rilevare potenziali perdite di dati associando le regole DLP ai file archiviati in condivisioni file e SharePoint Server.

  • Abilitare le regole di prevenzione della perdita dei dati nel processo di analisi del contenuto per ridurre l'esposizione di tutti i file che corrispondono ai criteri di prevenzione della perdita dei dati. Quando le regole di prevenzione della perdita dei dati sono abilitate, lo scanner può ridurre l'accesso ai file solo ai proprietari dei dati o ridurre l'esposizione a gruppi a livello di rete, ad esempio Tutti, Utenti autenticati o Utenti di dominio.

  • Nella Portale di conformità di Microsoft Purview determinare se si stanno semplicemente testando i criteri di prevenzione della perdita dei dati o se si desidera che le regole vengano applicate e le autorizzazioni per i file siano state modificate in base a tali regole. Per altre informazioni, vedere Attivare un criterio di prevenzione della perdita dei dati.

I criteri di prevenzione della perdita dei dati vengono configurati nel Portale di conformità di Microsoft Purview. Per altre informazioni sulle licenze DLP, vedere Introduzione allo scanner locale per la prevenzione della perdita dei dati.

Suggerimento

L'analisi dei file, anche quando si testa semplicemente il criterio DLP, crea anche report sulle autorizzazioni per i file. Eseguire query su questi report per analizzare specifiche esposizione di file o esplorare l'esposizione di un utente specifico ai file analizzati.

Per usare solo PowerShell, vedere Usare un criterio di prevenzione della perdita dei dati con lo scanner - Solo PowerShell.

Per usare un criterio di prevenzione della perdita dei dati con lo scanner nel Portale di conformità di Microsoft Purview:

  1. Nella Portale di conformità di Microsoft Purview passare alla scheda Processi di analisi del contenuto e selezionare un processo di analisi del contenuto specifico. Per altre informazioni, vedere Creare un processo di analisi del contenuto.

  2. In Abilita regole dei criteri di prevenzione della perdita dei dati impostare il pulsante di opzione su Sì.

    Importante

    Non impostare Abilita regole DLP su , a meno che non sia effettivamente configurato un criterio di prevenzione della perdita dei dati in Microsoft 365.

    L'attivazione di questa funzionalità senza criteri di prevenzione della perdita dei dati causerà la generazione di errori da parte dello scanner.

  3. (Facoltativo) Impostare Il proprietario del repositorysu Sì e definire un utente specifico come proprietario del repository.

    Questa opzione consente allo scanner di ridurre l'esposizione di tutti i file trovati in questo repository, che corrispondono ai criteri DLP, al proprietario del repository definito.

Per usare un criterio di prevenzione della perdita dei dati con lo scanner nel portale di Azure:

  1. Nella portale di Azure passare al processo di analisi del contenuto. Per altre informazioni, vedere Creare un processo di analisi del contenuto.

  2. In Criteri di prevenzione della perdita dei dati impostare Abilita regole DLP su .

    Importante

    Non impostare Abilita regole DLP su , a meno che non sia effettivamente configurato un criterio di prevenzione della perdita dei dati in Microsoft 365.

    L'attivazione di questa funzionalità senza criteri di prevenzione della perdita dei dati causerà la generazione di errori da parte dello scanner.

  3. (Facoltativo) In Configura impostazioni file impostare Il proprietario del repositorysu Sì e definire un utente specifico come proprietario del repository.

    Questa opzione consente allo scanner di ridurre l'esposizione di tutti i file trovati in questo repository, che corrispondono ai criteri DLP, al proprietario del repository definito.

Criteri di prevenzione della perdita dei dati e azioni private

Se si usano criteri di prevenzione della perdita dei dati con un'azione privata e si prevede anche di usare lo scanner per etichettare automaticamente i file, è consigliabile definire anche l'impostazione avanzata UseCopyAndPreserveNTFSOwner del client di etichettatura unificata.

Questa impostazione garantisce che i proprietari originali mantengano l'accesso ai file.

Per altre informazioni, vedere Creare un processo di analisi del contenuto e Applicare automaticamente un'etichetta di riservatezza al contenuto nella documentazione di Microsoft 365.

Modificare i tipi di file da proteggere

Per impostazione predefinita, lo scanner AIP protegge solo i tipi di file di Office e i file PDF.

Usare i comandi di PowerShell per modificare questo comportamento in base alle esigenze, ad esempio per configurare lo scanner in modo da proteggere tutti i tipi di file, esattamente come fa il client o per proteggere tipi di file aggiuntivi specifici.

Per un criterio di etichetta applicabile all'account utente che scarica etichette per lo scanner, specificare un'impostazione avanzata di PowerShell denominata PFileSupportedExtensions.

Per uno scanner che ha accesso a Internet, questo account utente è l'account specificato per il parametro DelegatedUser con il comando Set-AIPAuthentication.

Esempio 1: comando di PowerShell per lo scanner per proteggere tutti i tipi di file, in cui i criteri di etichetta sono denominati "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Esempio 2: comando di PowerShell per lo scanner per proteggere .xml file e file con estensione tiff, oltre ai file PDF di Office, in cui i criteri di etichetta sono denominati "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Per altre informazioni, vedere Modificare i tipi di file da proteggere.

Aggiornare lo scanner

Se lo scanner è stato installato in precedenza e si vuole eseguire l'aggiornamento, usare le istruzioni descritte in Aggiornamento dello scanner di Azure Information Protection.

Quindi , configurare e usare lo scanner come di consueto, ignorando i passaggi per installare lo scanner.

Modificare le impostazioni del repository dati in blocco

Usare i pulsanti Esporta e Importa per apportare modifiche per lo scanner in diversi repository.

In questo modo, non è necessario apportare le stesse modifiche più volte, manualmente, nel portale di Azure o Portale di conformità di Microsoft Purview.

Ad esempio, se si ha un nuovo tipo di file in diversi repository di dati di SharePoint, è possibile aggiornare le impostazioni per tali repository in blocco.

Per apportare modifiche in blocco tra repository nel Portale di conformità di Microsoft Purview:

  1. Nella Portale di conformità di Microsoft Purview selezionare un processo di analisi del contenuto specifico e passare alla scheda Repository all'interno del riquadro. Selezionare l'opzione Esporta .

  2. Modificare manualmente il file esportato per apportare la modifica.

  3. Usare l'opzione Importa nella stessa pagina per importare nuovamente gli aggiornamenti nei repository.

Per apportare modifiche in blocco tra repository nel portale di Azure:

  1. Nel portale di Azure nel riquadro Repository selezionare l'opzione Esporta. Ad esempio:

    Esportazione delle impostazioni del repository dati per lo scanner Information Protection di Azure.

  2. Modificare manualmente il file esportato per apportare la modifica.

  3. Usare l'opzione Importa nella stessa pagina per importare nuovamente gli aggiornamenti nei repository.

Usare lo scanner con configurazioni alternative

Lo scanner di Azure Information Protection cerca in genere le condizioni specificate per le etichette per classificare e proteggere il contenuto in base alle esigenze.

Negli scenari seguenti, lo scanner Information Protection di Azure è anche in grado di analizzare il contenuto e gestire le etichette, senza alcuna condizione configurata:

Applicare un'etichetta predefinita a tutti i file in un repository di dati

In questa configurazione, tutti i file senza etichetta nel repository vengono etichettati con l'etichetta predefinita specificata per il repository o il processo di analisi del contenuto. I file vengono etichettati senza ispezione.

Configurare le seguenti impostazioni:

Impostazione Descrizione
Etichettare i file in base al contenuto Impostare su Disattivato
Etichetta predefinita Impostare su Personalizzato e quindi selezionare l'etichetta da usare
Applicare l'etichetta predefinita Selezionare questa opzione per applicare l'etichetta predefinita a tutti i file, anche se sono già etichettati attivando i file relabel e Imponi etichetta predefinita

Rimuovere le etichette esistenti da tutti i file in un repository di dati

In questa configurazione tutte le etichette esistenti vengono rimosse, inclusa la protezione, se è stata applicata la protezione con l'etichetta. La protezione applicata indipendentemente da un'etichetta viene mantenuta.

Configurare le seguenti impostazioni:

Impostazione Descrizione
Etichettare i file in base al contenuto Impostare su Disattivato
Etichetta predefinita Impostare su Nessuno
Etichettare nuovamente i file Impostare su Sì, con l'opzione Imponi etichetta predefinita impostata su

Identificare tutte le condizioni personalizzate e i tipi di informazioni sensibili noti

Questa configurazione consente di trovare informazioni riservate che potrebbero non rendersi conto di avere, a scapito delle frequenze di analisi per lo scanner.

Impostare i tipi di informazioni da individuare su Tutti.

Per identificare le condizioni e i tipi di informazioni per l'etichettatura, lo scanner usa tutti i tipi di informazioni sensibili personalizzati specificati e l'elenco dei tipi di informazioni sensibili predefiniti disponibili per la selezione, come definito nel Centro gestione etichette.

Ottimizzare le prestazioni dello scanner

Nota

Se si vuole migliorare la velocità di risposta del computer dello scanner anziché le prestazioni dello scanner, usare un'impostazione client avanzata per limitare il numero di thread usati dallo scanner.

Usare le opzioni e le indicazioni seguenti per ottimizzare le prestazioni dello scanner:

Opzione Descrizione
Disporre di una connessione di rete ad alta velocità e affidabile tra il computer dello scanner e l'archivio dei dati analizzati Ad esempio, posizionare il computer scanner nella stessa LAN o preferibilmente nello stesso segmento di rete dell'archivio dati analizzato.

La qualità della connessione di rete influisce sulle prestazioni dello scanner perché, per controllare i file, lo scanner trasferisce il contenuto dei file al computer che esegue il servizio scanner.

La riduzione o l'eliminazione degli hop di rete necessari per il trasferimento dei dati riduce anche il carico sulla rete.
Verificare che il computer dello scanner abbia risorse del processore disponibili L'ispezione del contenuto del file e la crittografia e la decrittografia dei file sono azioni a elevato utilizzo del processore.

Monitorare i cicli di analisi tipici per gli archivi dati specificati per identificare se la mancanza di risorse del processore influisce negativamente sulle prestazioni dello scanner.
Installare più istanze dello scanner Lo scanner di Azure Information Protection supporta più database di configurazione nella stessa istanza di SQL Server quando si specifica un nome cluster personalizzato per lo scanner.

Suggerimento: più scanner possono anche condividere lo stesso cluster, con tempi di analisi più rapidi. Se si prevede di installare lo scanner in più computer con la stessa istanza del database e si vuole che gli scanner vengano eseguiti in parallelo, è necessario installare tutti gli scanner usando lo stesso nome del cluster.
Controllare l'utilizzo alternativo della configurazione Lo scanner viene eseguito più rapidamente quando si usa la configurazione alternativa per applicare un'etichetta predefinita a tutti i file perché lo scanner non controlla il contenuto del file.

L'esecuzione dello scanner è più lenta quando si usa la configurazione alternativa per identificare tutte le condizioni personalizzate e i tipi di informazioni riservate noti.

Fattori aggiuntivi che influiscono sulle prestazioni

Altri fattori che influiscono sulle prestazioni dello scanner includono:

Fattore Descrizione
Tempi di caricamento/risposta I tempi di caricamento e risposta correnti degli archivi dati che contengono i file da analizzare influiscono anche sulle prestazioni dello scanner.
Modalità scanner (individuazione/imposizione) La modalità di individuazione ha in genere una frequenza di analisi superiore rispetto alla modalità di imposizione.

L'individuazione richiede un'azione di lettura di un singolo file, mentre la modalità di imposizione richiede azioni di lettura e scrittura.
Modifiche dei criteri Le prestazioni dello scanner possono essere influenzate se sono state apportate modifiche allabeling automatico nei criteri di etichetta.

Il primo ciclo di analisi, quando lo scanner deve controllare ogni file, richiederà più tempo dei cicli di analisi successivi che per impostazione predefinita controllano solo i file nuovi e modificati.

Se si modificano le condizioni o le impostazioni di rilevamento automatico, tutti i file vengono analizzati di nuovo. Per altre informazioni, vedere Riesecuzione dei file.
Costruzione regex Le prestazioni dello scanner sono influenzate dal modo in cui vengono costruite le espressioni regex per le condizioni personalizzate.

Per evitare un consumo intenso di memoria e il rischio di timeout (15 minuti per ogni file), rivedere le espressioni regex per assicurarsi che usino criteri di ricerca efficienti.

Ad esempio:
- Evitare quantifier greedy
- Usare gruppi non di acquisizione, ad (?:expression) esempio anziché (expression)
Livello di log Le opzioni di livello di log includono Debug, Info, Errore e Disattiva per i report dello scanner.

- Off risultati nella migliore prestazioni
- Il debug rallenta notevolmente lo scanner e deve essere usato solo per la risoluzione dei problemi.

Per altre informazioni, vedere il parametro ReportLevel del cmdlet Set-AIPScannerConfiguration.
File analizzati - Ad eccezione dei file di Excel, i file di Office vengono analizzati più rapidamente rispetto ai file PDF.

- I file non protetti sono più rapidi da analizzare rispetto ai file protetti.

- I file di grandi dimensioni richiedono ovviamente più tempo per analizzare i file di piccole dimensioni.

Usare PowerShell per configurare lo scanner

Questa sezione descrive i passaggi necessari per configurare e installare lo scanner locale AIP quando non si ha accesso alle pagine dello scanner nella portale di Azure e deve usare solo PowerShell.

Importante

  • Alcuni passaggi richiedono a PowerShell se è possibile accedere alle pagine dello scanner nell'portale di Azure e sono identiche. Per questi passaggi, vedere le istruzioni precedenti in questo articolo come indicato.

  • Se si usa lo scanner per Azure China 21Vianet, sono necessari passaggi aggiuntivi oltre alle istruzioni dettagliate qui. Per altre informazioni, vedere Supporto di Azure Information Protection per Office 365 gestito da 21Vianet.

Per altre informazioni, vedere Cmdlet di PowerShell supportati.

Per configurare e installare lo scanner:

  1. Iniziare con PowerShell chiuso. Se in precedenza è stato installato il client e lo scanner AIP, assicurarsi che il servizio AIPScanner venga arrestato.

  2. Aprire una sessione di Windows PowerShell con l'opzione Esegui come amministratore.

  3. Eseguire il comando Install-AIPScanner per installare lo scanner nell'istanza di SQL Server, con il parametro Cluster per definire il nome del cluster.

    Questo passaggio è identico se è possibile accedere alle pagine dello scanner nella portale di Azure. Per altre informazioni, vedere le istruzioni precedenti in questo articolo: Installare lo scanner

  4. Ottenere un token di Azure da usare con lo scanner e quindi ripetere l'autenticazione.

    Questo passaggio è identico se è possibile accedere alle pagine dello scanner nella portale di Azure. Per altre informazioni, vedere le istruzioni precedenti in questo articolo: Ottenere un token di Azure AD per lo scanner.

  5. Eseguire il cmdlet Set-AIPScannerConfiguration per impostare lo scanner su funzione in modalità offline. Eseguire:

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  6. Eseguire il cmdlet Set-AIPScannerContentScanJob per creare un processo di analisi del contenuto predefinito.

    L'unico parametro richiesto nel cmdlet Set-AIPScannerContentScanJob è Applica. Tuttavia, è possibile definire altre impostazioni per il processo di analisi del contenuto in questo momento. Ad esempio:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    La sintassi precedente configura le impostazioni seguenti mentre si continua la configurazione:

    • Mantiene la pianificazione dello scanner su manuale
    • Imposta i tipi di informazioni da individuare in base ai criteri di etichettatura di riservatezza
    • Non applica criteri di etichettatura di riservatezza
    • Etichetta automaticamente i file in base al contenuto, usando l'etichetta predefinita definita per i criteri di etichettatura di riservatezza
    • Non consente la rilabazione dei file
    • Mantiene i dettagli del file durante l'analisi e l'etichettatura automatica, inclusa la data modificata, l'ultima modifica e modificata dai valori
    • Imposta lo scanner per escludere i file con estensione msg e tmp durante l'esecuzione
    • Imposta il proprietario predefinito sull'account che si vuole usare quando si esegue lo scanner
  7. Usare il cmdlet Add-AIPScannerRepository per definire i repository da analizzare nel processo di analisi del contenuto. Ad esempio, eseguire:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Usare una delle sintassi seguenti, a seconda del tipo di repository che si sta aggiungendo:

    • Per una condivisione di rete, usare \\Server\Folder.
    • Per una raccolta di SharePoint, usare http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Per un percorso locale: C:\Folder
    • Per un percorso UNC: \\Server\Folder

    Nota

    I caratteri jolly e i percorsi WebDav non sono supportati.

    Per modificare il repository in un secondo momento, usare invece il cmdlet Set-AIPScannerRepository .

    Se si aggiunge un percorso di SharePoint per documenti condivisi:

    • Specificare Documenti condivisi nel percorso quando si vogliono analizzare tutti i documenti e tutte le cartelle da Documenti condivisi. ad esempio http://sp2013/SharedDocuments
    • Specificare Documenti nel percorso quando si vogliono analizzare tutti i documenti e tutte le cartelle da una sottocartella in Documenti condivisi. ad esempio http://sp2013/Documents/SalesReports
    • In alternativa, specificare solo il nome di dominio completo di Sharepoint, ad esempio http://sp2013 per individuare ed analizzare tutti i siti e i siti secondari di SharePoint in un URL e sottotitoli specifici in questo URL. Concedere ai revisori del sito dello scanner i diritti di abilitazione.

    Usare la sintassi seguente quando si aggiungono percorsi di SharePoint:

    Percorso Sintassi
    Percorso radice http://<SharePoint server name>

    Analizza tutti i siti, incluse le raccolte siti consentite per l'utente dello scanner.
    Richiede autorizzazioni aggiuntive per individuare automaticamente il contenuto radice
    Sito secondario o raccolta di SharePoint specifici I tipi validi sono:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Richiede autorizzazioni aggiuntive per individuare automaticamente il contenuto della raccolta siti
    Raccolta di SharePoint specifica I tipi validi sono:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Cartella SharePoint specifica http://<SharePoint server name>/.../<folder name>

Continuare con i passaggi seguenti in base alle esigenze:

Usare PowerShell per configurare lo scanner per applicare la classificazione e la protezione

  1. Eseguire il cmdlet Set-AIPScannerContentScanJob per aggiornare il processo di analisi del contenuto per impostare la pianificazione su sempre e applicare i criteri di riservatezza.

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On
    

    Suggerimento

    È possibile modificare altre impostazioni in questo riquadro, ad esempio se gli attributi dei file vengono modificati e se lo scanner può ribeltare i file. Per altre informazioni sulle impostazioni disponibili, vedere la documentazione completa di PowerShell.

  2. Eseguire il cmdlet Start-AIPScan per eseguire il processo di analisi del contenuto:

    Start-AIPScan
    

Lo scanner è ora pianificato per l'esecuzione continua. Quando lo scanner esegue il suo funzionamento attraverso tutti i file configurati, avvia automaticamente un nuovo ciclo in modo che tutti i file nuovi e modificati vengano individuati.

Usare PowerShell per configurare un criterio DLP con lo scanner

  1. Eseguire di nuovo il cmdlet Set-AIPScannerContentScanJob con il parametro -EnableDLP impostato su On e con un proprietario del repository specifico definito.

    Ad esempio:

    Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
    

Cmdlet di PowerShell supportati

Questa sezione elenca i cmdlet di PowerShell supportati per lo scanner di Information Protection di Azure e le istruzioni per la configurazione e l'installazione dello scanner solo con PowerShell.

I cmdlet supportati per lo scanner includono:

Passaggi successivi

Dopo aver installato e configurato lo scanner, avviare l'analisi dei file.

Vedere anche: Distribuzione dello scanner di Azure Information Protection per classificare e proteggere automaticamente i file.

Altre informazioni: