Requisiti per l'installazione e la distribuzione dello scanner di etichettatura unificata di Azure Information Protection

Prima di installare lo scanner locale di Azure Information Protection, assicurarsi che il sistema sia conforme ai requisiti di base di Azure Information Protection.

Inoltre, i requisiti seguenti sono specifici per lo scanner:

Se non è possibile soddisfare tutti i requisiti elencati per lo scanner perché non sono consentiti dai criteri dell'organizzazione, vedere la sezione Configurazioni alternative .

Quando si distribuisce lo scanner in produzione o si testano le prestazioni per più scanner, vedere Requisiti di archiviazione e pianificazione della capacità per SQL Server.

Quando si è pronti per iniziare a installare e distribuire lo scanner, continuare con Distribuzione dello scanner di Azure Information Protection per classificare e proteggere automaticamente i file.

Requisiti di Windows Server

Per eseguire lo scanner, è necessario disporre di un computer Windows Server con le specifiche di sistema seguenti:

Specifiche Dettagli
Processore Processori a 4 core
RAM 8 GB
Spazio su disco Spazio disponibile da 10 GB (media) per i file temporanei.

Lo scanner richiede spazio su disco sufficiente per creare file temporanei per ogni file che analizza, quattro file per core.

Lo spazio su disco consigliato di 10 GB consente l'analisi di 4 processori core di 16 file con dimensioni di file pari a 625 MB.
Sistema operativo Versioni a 64 bit di:

- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2

Nota: per scopi di test o valutazione in un ambiente non di produzione, è anche possibile usare qualsiasi sistema operativo Windows supportato dal client azure Information Protection.
Connettività di rete Il computer scanner può essere un computer fisico o virtuale con una connessione di rete veloce e affidabile agli archivi dati da analizzare.

Se la connettività Internet non è possibile a causa dei criteri dell'organizzazione, vedere Distribuzione dello scanner con configurazioni alternative.

In caso contrario, assicurarsi che il computer disponga di connettività Internet che consenta gli URL seguenti su HTTPS (porta 443):

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com
- *.protection.outlook.com
Condivisioni NFS Per supportare le analisi sulle condivisioni NFS, i servizi per NFS devono essere distribuiti nel computer dello scanner.

Nel computer passare alla finestra di dialogo Funzionalità di Windows (Attiva o disattiva funzionalità di Windows) e selezionare gli elementi seguenti: Servizi per NFS>Strumenti di amministrazione e Client per NFS.
Microsoft Office iFilter Quando lo scanner è installato in un computer Windows Server, è necessario installare anche Microsoft Office iFilter per analizzare .zip file per i tipi di informazioni riservate.

Per altre informazioni, vedere il sito di download Microsoft.

Requisiti dell'account del servizio

È necessario avere un account del servizio per eseguire il servizio scanner nel computer Windows Server, nonché eseguire l'autenticazione in Azure AD e scaricare i criteri di Azure Information Protection.

L'account del servizio deve essere un account Active Directory e sincronizzato con Azure AD.

Se non è possibile sincronizzare questo account a causa dei criteri dell'organizzazione, vedere Distribuzione dello scanner con configurazioni alternative.

I requisiti di questo account del servizio sono i seguenti:

Requisito Dettagli
Accedere all'assegnazione dei diritti utente in locale Necessario per installare e configurare lo scanner, ma non per eseguire le analisi.

Dopo aver verificato che lo scanner può individuare, classificare e proteggere i file, è possibile rimuoverli direttamente dall'account del servizio.

Se la concessione di questo diritto anche per un breve periodo di tempo non è possibile a causa dei criteri dell'organizzazione, vedere Distribuzione dello scanner con configurazioni alternative.
Accedere come assegnazione del diritto utente del servizio. Questo diritto viene concesso automaticamente all'account del servizio durante l'installazione dello scanner ed è richiesto per l'installazione, la configurazione e il funzionamento dello scanner.
Autorizzazioni per i repository di dati - Condivisioni file o file locali: concedere autorizzazioni di lettura, scrittura e modifica per l'analisi dei file e quindi applicare la classificazione e la protezione come configurato.

- SharePoint: è necessario concedere autorizzazioni di controllo completo per l'analisi dei file e quindi applicare la classificazione e la protezione ai file che soddisfano le condizioni nei criteri di azure Information Protection.

- Modalità di individuazione: per eseguire lo scanner solo in modalità di individuazione, l'autorizzazione di lettura è sufficiente.
Per le etichette che riproteggono o rimuovono la protezione Per assicurarsi che lo scanner abbia sempre accesso ai file protetti, impostare questo account come utente con privilegi avanzati per Azure Information Protection e assicurarsi che la funzionalità utente con privilegi avanzati sia abilitata.

Inoltre, se sono stati implementati controlli di onboarding per una distribuzione in più fasi, assicurarsi che l'account del servizio sia incluso nei controlli di onboarding configurati.
Analisi a livello di URL specifico Per analizzare e individuare siti e siti secondari con un URL specifico, concedere ai revisori dell'agente di raccolta siti i diritti all'account scanner a livello di farm.
Licenza per la protezione delle informazioni Obbligatorio per fornire funzionalità di classificazione, etichettatura o protezione dei file per l'account del servizio scanner.

Per altre informazioni, vedere la roadmap di distribuzione di Azure Information Protection e le linee guida di Microsoft 365 per la conformità alla sicurezza&.

Requisiti di SQL Server

Per archiviare i dati di configurazione dello scanner, usare un server SQL con i requisiti seguenti:

  • Istanza locale o remota.

    È consigliabile ospitare SQL Server e il servizio scanner in computer diversi, a meno che non si stia usando una distribuzione di piccole dimensioni. È inoltre consigliabile avere un'istanza SQL dedicata che gestisce solo il database dello scanner e che non è condivisa con altre applicazioni.

    Se si usa un server condiviso, assicurarsi che il numero consigliato di core sia gratuito per il funzionamento del database dello scanner.

    SQL Server 2016 è la versione minima per le edizioni seguenti:

    • SQL Server Enterprise

    • SQL Server Standard

    • SQL Server Express (consigliato solo per gli ambienti di test)

  • Un account con ruolo Sysadmin per installare lo scanner.

    Il ruolo Sysadmin consente al processo di installazione di creare automaticamente il database di configurazione dello scanner e concedere il ruolo di db_owner richiesto all'account del servizio che esegue lo scanner.

    Se non è possibile concedere il ruolo Sysadmin o i criteri dell'organizzazione richiedono la creazione e la configurazione manuale dei database, vedere Distribuzione dello scanner con configurazioni alternative.

  • Capacità. Per indicazioni sulla capacità, vedere Requisiti di archiviazione e pianificazione della capacità per SQL Server.

  • Regole di confronto senza distinzione tra maiuscole e minuscole.

Nota

Sono supportati più database di configurazione nello stesso server SQL quando si specifica un nome cluster personalizzato per lo scanner o quando si usa la versione di anteprima dello scanner.

Requisiti di archiviazione e pianificazione della capacità per SQL Server

La quantità di spazio su disco necessaria per il database di configurazione dello scanner e la specifica del computer che esegue SQL Server possono variare per ogni ambiente, quindi è consigliabile eseguire test personalizzati. Usare le indicazioni seguenti come punto di partenza.

Per altre informazioni, vedere Ottimizzazione delle prestazioni dello scanner.

Le dimensioni del disco per il database di configurazione dello scanner variano per ogni distribuzione. Usare l'equazione seguente come indicazioni:

100 KB + <file count> *(1000 + 4* <average file name length>)

Ad esempio, per analizzare 1 milione di file con una lunghezza media del nome file di 250 byte, allocare spazio su disco di 2 GB.

Per più scanner:

  • Fino a 10 scanner, usare:

    • Processori a 4 core
    • Consigliata ram da 8 GB
  • Più di 10 scanner (massimo 40), usare:

    • 8 processi di base
    • 16 GB di RAM consigliata

Requisiti per il client di Azure Information Protection

È necessario disporre della versione di disponibilità generale corrente del client di Azure Information Protection installato nel computer Windows Server.

Per altre informazioni, vedere la guida per l'amministrazione client di etichettatura unificata.

Importante

È necessario installare il client completo per lo scanner. Non installare solo il modulo PowerShell del client.

Requisiti di configurazione delle etichette

È necessario avere almeno un'etichetta di riservatezza configurata nel Portale di conformità di Microsoft Purview per l'account dello scanner, per applicare la classificazione e, facoltativamente, la protezione.

L'account scanner è l'account che si specifica nel parametro DelegatedUser del cmdlet Set-AIPAuthentication, eseguire durante la configurazione dello scanner.

Se le etichette non dispongono di condizioni di etichettatura automatica, vedere le istruzioni per le configurazioni alternative riportate di seguito.

Per altre informazioni, vedere:

Requisiti di SharePoint

Per analizzare le raccolte e le cartelle dei documenti di SharePoint, assicurarsi che il server SharePoint sia conforme ai requisiti seguenti:

Requisito Descrizione
Versioni supportate Le versioni supportate includono: SharePoint 2019, SharePoint 2016 e SharePoint 2013.
Altre versioni di SharePoint non sono supportate per lo scanner.
Controllo delle versioni Quando si usa il controllo delle versioni, lo scanner controlla e etichetta l'ultima versione pubblicata.

Se lo scanner etichetta un file e l'approvazione del contenuto è necessario, tale file etichettato deve essere approvato per essere disponibile per gli utenti.
Farm di SharePoint di grandi dimensioni Per le farm SharePoint di grandi dimensioni, controllare se è necessario aumentare la soglia della visualizzazione elenco (per impostazione predefinita, 5.000) per lo scanner al fine di accedere a tutti i file.

Per altre informazioni, vedere Gestire elenchi e librerie di grandi dimensioni in SharePoint.
Percorsi di file lunghi Se sono presenti percorsi di file lunghi in SharePoint, assicurarsi che il valore httpRuntime.maxUrlLength del server SharePoint sia maggiore dei 260 caratteri predefiniti.

Per altre informazioni, vedere Evitare timeout dello scanner in SharePoint.

Requisiti di Microsoft Office

Per analizzare i documenti di Office, i documenti devono trovarsi in uno dei formati seguenti:

  • Microsoft Office 97-2003
  • Formati XML aperti da Office per Word, Excel e PowerPoint

Per altre informazioni, vedere Tipi di file supportati dal client di etichettatura unificata di Azure Information Protection.

Requisiti del percorso file

Per impostazione predefinita, per analizzare i file, i percorsi dei file devono avere un massimo di 260 caratteri.

Per analizzare i file con percorsi di file di oltre 260 caratteri, installare lo scanner in un computer con una delle versioni di Windows seguenti e configurare il computer in base alle esigenze:

Versione di Windows Descrizione
Windows 2016 o versione successiva Configurare il computer per supportare percorsi lunghi
Windows 10 o Windows Server 2016 Definire l'impostazione dei criteri di gruppo seguente:Configurazione computerlocale> Modelliamministrativi> Configurazione > computerTutte le impostazioni>Abilita percorsi lunghi Win32.

Per altre informazioni sul supporto del percorso di file lungo in queste versioni, vedere la sezione Limitazione massima lunghezza percorso dalla documentazione per sviluppatori di Windows 10.
Windows 10, versione 1607 o successiva Acconsentire esplicitamente alla funzionalità di MAX_PATH aggiornata. Per altre informazioni, vedere Abilitare percorsi lunghi in Windows 10 versioni 1607 e successive.

Distribuzione dello scanner con configurazioni alternative

I prerequisiti elencati in precedenza sono i requisiti predefiniti per la distribuzione dello scanner e consigliati perché supportano la configurazione dello scanner più semplice.

I requisiti predefiniti devono essere adatti per i test iniziali, in modo che sia possibile controllare le funzionalità dello scanner.

Tuttavia, in un ambiente di produzione, i criteri dell'organizzazione possono essere diversi dai requisiti predefiniti. Lo scanner può gestire le modifiche seguenti con una configurazione aggiuntiva:

Individuare ed analizzare tutti i siti e i siti secondari di SharePoint in un URL specifico

Lo scanner può individuare ed analizzare tutti i siti e i siti secondari di SharePoint in un URL specifico con la configurazione seguente:

  1. Avviare Amministrazione centrale SharePoint.

  2. Nel sito Web Amministrazione centrale SharePoint fare clic su Gestisci applicazioni Web nella sezione Gestione applicazioni.

  3. Fare clic per evidenziare l'applicazione Web il cui livello di criteri di autorizzazione si vuole gestire.

  4. Scegliere la farm pertinente e quindi selezionare Gestisci livelli di criteri di autorizzazioni.

  5. Selezionare Revisore raccolta siti nelle opzioni Autorizzazioni raccolta siti, quindi concedere Visualizzazione pagine applicazione nell'elenco Autorizzazioni e infine assegnare il nome al nuovo revisore e visualizzatore della raccolta siti dello scanner AIP a livello di criterio.

  6. Aggiungere l'utente dello scanner al nuovo criterio e concedere la raccolta siti nell'elenco Autorizzazioni.

  7. Aggiungere un URL di SharePoint che ospita siti o siti secondari da analizzare. Per altre informazioni, vedere Configurare lo scanner nella portale di Azure.

Per altre informazioni su come gestire i livelli di criteri di SharePoint, vedere Gestire i criteri di autorizzazione per un'applicazione Web.

Restrizione: il server scanner non può avere connettività Internet

Anche se il client di etichettatura unificata non può applicare la protezione senza una connessione Internet, lo scanner può comunque applicare etichette in base ai criteri importati.

Per supportare un computer disconnesso, usare uno dei metodi seguenti:

Usare il portale di Azure con un computer disconnesso

Per supportare un computer disconnesso dalla portale di Azure, seguire questa procedura:

  1. Configurare le etichette nei criteri e quindi usare la procedura per supportare i computer disconnessi per abilitare la classificazione e l'etichettatura offline.

  2. Abilitare la gestione offline per i processi di analisi del contenuto e della rete come indicato di seguito:

    Abilitare la gestione offline per i processi di analisi del contenuto:

    1. Impostare lo scanner per funzionare in modalità offline usando il cmdlet Set-AIPScannerConfiguration .

    2. Configurare lo scanner nella portale di Azure creando un cluster scanner. Per altre informazioni, vedere Configurare lo scanner nella portale di Azure.

    3. Esportare il processo di contenuto dal riquadro Processi di analisi contenuto da Azure Information Protection - Processi di analisi contenuto usando l'opzione Esporta.

    4. Importare il criterio usando il cmdlet Import-AIPScannerConfiguration .

    I risultati per i processi di analisi del contenuto offline si trovano in: %localappdata%\Microsoft\MSIP\Scanner\Reports

    Abilitare la gestione offline dei processi di analisi di rete:

    1. Impostare il servizio Individuazione di rete (anteprima pubblica) per funzionare in modalità offline usando il cmdlet Set-MIPNetworkDiscoveryConfiguration .

    2. Configurare il processo di analisi di rete nel portale di Azure. Per altre informazioni, vedere Creazione di un processo di analisi di rete.

    3. Esportare il processo di analisi di rete dal riquadro Azure Information Protection - Processi di analisi di rete (anteprima) usando l'opzione Esporta.

    4. Importare il processo di analisi di rete usando il file corrispondente al nome del cluster usando il cmdlet Import-MIPNetworkDiscoveryConfiguration .

    I risultati per i processi di analisi di rete offline si trovano in: %localappdata%\Microsoft\MSIP\Scanner\Reports

Usare PowerShell con un computer disconnesso

Eseguire la procedura seguente per supportare un computer disconnesso solo con PowerShell.

Importante

Gli amministratori dei server scanner di Azure Cina 21Vianetdevono usare questa procedura per gestire i processi di analisi del contenuto.

Gestire i processi di analisi del contenuto solo con PowerShell:

  1. Impostare lo scanner per funzionare in modalità offline usando il cmdlet Set-AIPScannerConfiguration .

  2. Creare un nuovo processo di analisi del contenuto usando il cmdlet Set-AIPScannerContentScanJob , assicurandosi di usare il parametro obbligatorio -Enforce On .

  3. Aggiungere i repository usando il cmdlet Add-AIPScannerRepository , con il percorso del repository da aggiungere.

    Suggerimento

    Per impedire al repository di ereditare le impostazioni dal processo di analisi del contenuto, aggiungere il OverrideContentScanJob On parametro e i valori per altre impostazioni.

    Per modificare i dettagli per un repository esistente, usare il comando Set-AIPScannerRepository .

  4. Usare i cmdlet Get-AIPScannerContentScanJob e Get-AIPScannerRepository per restituire informazioni sulle impostazioni correnti del processo di analisi del contenuto.

  5. Usare il comando Set-AIPScannerRepository per aggiornare i dettagli per un repository esistente.

  6. Eseguire immediatamente il processo di analisi del contenuto, se necessario, usando il cmdlet Start-AIPScan .

    I risultati per i processi di analisi del contenuto offline si trovano in: %localappdata%\Microsoft\MSIP\Scanner\Reports

  7. Se è necessario rimuovere un repository o un intero processo di analisi del contenuto, usare i cmdlet seguenti:

Restrizione: non è possibile concedere all'utente il ruolo Sysadmin o i database devono essere creati e configurati manualmente

Utilizzare le procedure seguenti per creare manualmente i database e concedere il ruolo db_owner , in base alle esigenze.

Se è possibile concedere il ruolo Sysadmin temporaneamente per installare lo scanner, è possibile rimuovere questo ruolo al termine dell'installazione dello scanner.

Eseguire una delle operazioni seguenti, a seconda dei requisiti dell'organizzazione:

Restrizione Descrizione
È possibile avere il ruolo Sysadmin temporaneamente Se si dispone temporaneamente del ruolo Sysadmin, il database viene creato automaticamente e all'account del servizio per lo scanner vengono concesse automaticamente le autorizzazioni necessarie.

Tuttavia, l'account utente che configura lo scanner richiede comunque il ruolo db_owner per il database di configurazione dello scanner. Se si ha solo il ruolo Sysadmin fino al completamento dell'installazione dello scanner, concedere manualmente il ruolo di db_owner all'account utente.
Non è possibile avere il ruolo Sysadmin Se non è possibile concedere il ruolo Sysadmin anche temporaneamente, è necessario chiedere a un utente con diritti sysadmin di creare manualmente un database prima di installare lo scanner.

Per questa configurazione, il ruolo db_owner deve essere assegnato agli account seguenti:
- Account del servizio per lo scanner
- Account utente per l'installazione dello scanner
- Account utente per la configurazione dello scanner

In genere, si usa lo stesso account utente per installare e configurare lo scanner, Se si usano account diversi, entrambi richiedono il ruolo db_owner per il database di configurazione dello scanner. Creare questo utente e i diritti in base alle esigenze. Se si specifica il nome del proprio cluster, il database di configurazione viene denominato AIPScannerUL_<cluster_name>.

Inoltre:

  • È necessario essere un amministratore locale nel server che eseguirà lo scanner

  • All'account del servizio che eseguirà lo scanner devono essere concesse le autorizzazioni controllo completo per le chiavi del Registro di sistema seguenti:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Se, dopo aver configurato queste autorizzazioni, viene visualizzato un errore durante l'installazione dello scanner, l'errore può essere ignorato ed è possibile avviare manualmente il servizio scanner.

Creare manualmente un database e un utente per lo scanner e concedere diritti di db_owner

Se è necessario creare manualmente il database dello scanner e/o creare un utente e concedere diritti di db_owner nel database, chiedere all'amministratore di sistema di eseguire la procedura seguente:

  1. Creare un database per lo scanner:

    **CREATE DATABASE AIPScannerUL_[clustername]**
    
    **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
    
  2. Concedere diritti all'utente che esegue il comando di installazione e viene usato per eseguire i comandi di gestione dello scanner. Usare lo script seguente:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. Concedere diritti all'account del servizio scanner. Usare lo script seguente:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

Creare manualmente un database e un utente per il servizio di individuazione di rete e concedere diritti di db_owner

Se è necessario creare manualmente il database di individuazione di rete e/o creare un utente e concedere diritti di db_owner nel database, chiedere all'amministratore di sistema di eseguire la procedura seguente:

  1. Creare un database per il servizio individuazione di rete:

    **CREATE DATABASE AIPNetworkDiscovery_[clustername]**
    
    **ALTER DATABASE AIPNetworkDiscovery_[clustername] SET TRUSTWORTHY ON**
    
  2. Concedere diritti all'utente che esegue il comando di installazione e viene usato per eseguire i comandi di gestione dello scanner. Usare lo script seguente:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. Concedere diritti all'account del servizio scanner. Usare lo script seguente:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

Restrizione: all'account del servizio per lo scanner non può essere concesso il diritto Log on locally (Accesso locale)

Se i criteri dell'organizzazione impediscono l'accesso locale per gli account del servizio, usare il parametro OnBehalfOf con Set-AIPAuthentication.

Per altre informazioni, vedere Come assegnare un'etichetta ai file in modo non interattivo per Azure Information Protection.

Restrizione: l'account del servizio scanner non può essere sincronizzato con Azure Active Directory, ma il server dispone della connettività Internet

È possibile usare un account per eseguire il servizio dello scanner e un altro per l'autenticazione in Azure Active Directory:

Restrizione: le etichette non hanno condizioni di etichettatura automatica

Se le etichette non hanno condizioni di etichettatura automatica, pianificare l'uso di una delle opzioni seguenti durante la configurazione dello scanner:

Opzione Descrizione
Individuare tutti i tipi di informazioni Nel processo di analisi del contenuto impostare l'opzione Tipi di informazioni da individuare su Tutti.

Questa opzione imposta il processo di analisi del contenuto per analizzare il contenuto per tutti i tipi di informazioni riservate.
Usare l'etichettatura consigliata Nel processo di analisi del contenuto impostare l'opzione Considera l'etichettatura consigliata come automaticasu Sì.

Questa impostazione configura lo scanner per applicare automaticamente tutte le etichette consigliate al contenuto.
Definire un'etichetta predefinita Definire un'etichetta predefinita nei criteri, nelprocesso di analisi del contenuto o nel repository.

In questo caso lo scanner applica l'etichetta predefinita in tutti i file trovati.

Passaggi successivi

Dopo aver confermato che il sistema è conforme ai prerequisiti dello scanner, continuare con Distribuzione dello scanner di Azure Information Protection per classificare e proteggere automaticamente i file.

Per una panoramica dello scanner, vedere Distribuzione dello scanner di Azure Information Protection per classificare e proteggere automaticamente i file.

Altre informazioni: