Risolvere i problemi relativi alla distribuzione dello scanner di protezione delle informazioni

  • Articolo
  • Si applica a:
    Microsoft Purview

Nota

Lo scanner di etichettatura unificata di Azure Information Protection viene rinominato Microsoft Purview Information Protection scanner. Allo stesso tempo, la configurazione (attualmente in anteprima) viene spostata nel Portale di conformità di Microsoft Purview. Attualmente è possibile configurare lo scanner sia nel portale di Azure che nel portale di conformità. Le istruzioni in questo articolo si riferiscono a entrambi i portali di amministrazione.

Se si verificano problemi con lo scanner di microsoft preview Information Protection, verificare se la distribuzione è integra usando il cmdlet Start-AIPScannerDiagnostics di PowerShell per avviare lo strumento di diagnostica dello scanner:

Start-AIPScannerDiagnostics

Lo strumento di diagnostica controlla i dettagli seguenti e quindi crea un file di log con i risultati:

  • Indica se il database è aggiornato
  • Indica se gli URL di rete sono accessibili
  • Se è presente un token di autenticazione valido e i criteri possono essere acquisiti
  • Indica se il profilo è definito nel portale di Azure
  • Se la configurazione offline/online esiste e può essere acquisita
  • Indica se le regole configurate sono valide

Consiglio

  • Se non si esegue lo strumento usando l'account del servizio usato per eseguire il servizio scanner, è necessario usare il -OnBehalf parametro . In caso contrario, si verificano errori.
  • Per stampare gli ultimi 10 errori dal log dello scanner, aggiungere il Verbose parametro . Se si desidera stampare altri errori, usare VerboseErrorCount per definire il numero di errori da stampare.

Il Start-AIPScannerDiagnostics comando non esegue un controllo completo dei prerequisiti. Se si verificano problemi con lo scanner, è anche necessario assicurarsi che il sistema sia conforme ai requisiti dello scanner e che la configurazione e l'installazione dello scanner siano complete.

Verificare i dettagli dell'analisi per nodo dello scanner e repository

Eseguire il cmdlet Di PowerShell Get-AIPScannerStatus per ottenere informazioni dettagliate sullo stato corrente dell'analisi e sull'elenco dei nodi nel cluster dello scanner.

PS C:\> Get-AIPScannerStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

Usare la NodesInfo variabile con il cmdlet Get-AIPScannerStatus per ottenere ulteriori dettagli su ogni nodo del cluster:

PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo

L'output visualizza i dettagli per ogni nodo di una tabella, come illustrato nell'esempio seguente:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Per eseguire ulteriormente il drill-down in ogni nodo, usare di nuovo la NodesInfo variabile, con l'intero del nodo che inizia con 0.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

L'output visualizza i dettagli sulle analisi nel nodo selezionato, come illustrato nell'esempio seguente:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Usare il Verbose parametro con il cmdlet Get-AIPScannerStatus per ottenere dati su un'analisi corrente.

PS C:\> Get-AIPScannerStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

Usare le RepositoriesStatus variabili o CurrentScanSummary per eseguire il drill-down per altri dettagli sullo stato dei repository.

I possibili valori di stato del repository includono:

  • Ignorato, se il repository è stato ignorato
  • In sospeso, se l'analisi corrente non ha ancora avviato l'analisi del repository
  • Analisi, se l'analisi corrente è in esecuzione nel repository
  • Completato, se l'analisi corrente è stata completata in esecuzione nel repository

Esempio: usare la variabile RepositoriesStatus

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

Esempio: usare la variabile CurrentScanSummary

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Questo output mostra solo un singolo repository. Se sono presenti più repository, ognuno verrà elencato separatamente.

Informazioni di riferimento sugli errori dello scanner

La tabella seguente fornisce informazioni sui messaggi di errore specifici generati dallo scanner e fornisce azioni per risolvere il problema associato:

Tipo di errore Risoluzione dei problemi
Errori di autenticazione
Errori dei criteri
Errori di database/schema
Altri errori

Token di autenticazione non accettato

Messaggio di errore

Microsoft.InformationProtection.Exceptions.AccessDeniedException: il servizio non ha accettato il token di autenticazione.

Descrizione

Il comando Set-AIPAuthentication non è riuscito.

Risoluzione

Verificare che le autorizzazioni appropriate siano definite correttamente nel portale di Azure.

Per altre informazioni, vedere Creare e configurare applicazioni Microsoft Entra per Set-AIPAuthentication.

Token di autenticazione mancante

Messaggi di errore

  • NoAuthTokenException: l'applicazione client non è riuscita a fornire il token di autenticazione per la richiesta HTTP

  • Microsoft.InformationProtection.Exceptions.NoAuthTokenException: l'applicazione client non è riuscita a fornire il token di autenticazione per la richiesta HTTP. Errore con: System.AggregateException: si sono verificati uno o più errori. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: è stata rilevata una delle due condizioni seguenti: 1. Il flag PromptBehavior.Never è stato passato, ma non è stato possibile rispettare il vincolo, perché era necessaria l'interazione dell'utente. 2. Errore durante un'autenticazione Web invisibile all'utente che impediva il completamento del flusso di autenticazione HTTP in un intervallo di tempo sufficiente

  • Impossibile acquisire un token usando l'autenticazione integrata di Windows (nessun SSO)

  • Dalla portale di Azure nella pagina Nodi:

    I criteri non includono alcuna condizione di etichettatura automatica

Descrizione

Questi errori di autenticazione si verificano quando lo scanner viene eseguito in modo non interattivo.

Risoluzione

È necessario eseguire l'autenticazione usando un token usando il cmdlet Set-AIPAuthentication .

Quando si esegue il cmdlet Set-AIPAuthentication, assicurarsi di usare il parametro token per conto dell'account del servizio usato per eseguire il servizio scanner, come illustrato nell'esempio seguente:

$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Per altre informazioni, vedere Ottenere un token di Microsoft Entra per lo scanner.

Criteri mancanti

Messaggio di errore

Criteri mancanti

Descrizione

Lo scanner non è in grado di trovare il file dei criteri dell'etichetta di riservatezza.

Risoluzione

Per verificare che il file dei criteri esista come previsto, controllare il percorso seguente: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3.

Per altre informazioni sulle etichette di riservatezza e sui relativi criteri di etichetta, vedere Creare e configurare le etichette di riservatezza e i relativi criteri.

I criteri non includono le condizioni di etichettatura automatica

Messaggio di errore

Condizioni di etichettatura mancanti per i criteri

Descrizione

Ai criteri di etichettatura mancano le condizioni di etichettatura automatica.

Risoluzione

Configurare le seguenti impostazioni:

Impostazione Passaggi per configurare le impostazioni
Impostazioni del processo di analisi del contenuto Nel portale di Azure eseguire le operazioni seguenti:
Impostazioni dei criteri di etichettatura Nel Portale di conformità di Microsoft Purview eseguire le operazioni seguenti:

Se le impostazioni sono già definite come previsto, il file dei criteri stesso potrebbe essere mancante o inaccessibile, ad esempio quando si verifica un timeout dalla Portale di conformità di Microsoft Purview.

Per verificare il file dei criteri, verificare che esista il file seguente: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

Per altre informazioni, vedere Informazioni sullo scanner di etichettatura unificata di Azure Information Protection e Informazioni sulle etichette di riservatezza.

Errori del database

Messaggio di errore

Errore del database

Descrizione

Lo scanner non è in grado di connettersi al database.

Risoluzione

Controllare la connettività di rete tra il computer scanner e il database.

Assicurarsi inoltre che l'account del servizio usato per eseguire i processi dello scanner disponga di tutte le autorizzazioni necessarie per accedere al database.

Schema non corrispondente o obsoleto

Messaggio di errore

Uno dei seguenti:

  • SchemaMismatchException

  • Nella portale di Azure nella pagina Nodi:

    Lo schema del database non è aggiornato. Eseguire Update-AIPScanner comando per aggiornare lo schema del database
    Errore: lo schema del database non è aggiornato

Descrizione

Lo schema del database non è aggiornato.

Risoluzione

Eseguire il cmdlet Update-AIPScanner per risincronizzare lo schema e assicurarsi che sia aggiornato con eventuali modifiche recenti.

La connessione sottostante è stata chiusa

Messaggi di errore

System.Net.WebException: la connessione sottostante è stata chiusa: si è verificato un errore imprevisto durante un'invio. >--- System.IO.IOException: l'autenticazione non è riuscita perché la parte remota ha chiuso il flusso di trasporto.

[System.Net.Http.HttpRequestException: si è verificato un errore durante l'invio della richiesta. >--- System.Net.WebException: la connessione sottostante è stata chiusa: si è verificato un errore imprevisto durante un'invio. >--- System.IO.IOException: impossibile leggere i dati dalla connessione di trasporto: una connessione esistente è stata chiusa forzatamente dall'host remoto. >--- System.Net.Sockets.SocketException: una connessione esistente è stata chiusa forzatamente dall'host remoto.

Descrizione

Questi errori indicano che TLS 1.2 non è abilitato.

Risoluzione

Per abilitare TLS 1.2, vedere:

Processi dello scanner bloccati

Messaggio di errore

Non viene visualizzato alcun messaggio di errore, ma il timeout dello scanner.

Descrizione

Lo scanner sta elaborando un singolo file per un tempo più lungo del previsto o si arresta in modo imprevisto durante l'analisi di un numero elevato di file in un repository. Il processo dello scanner potrebbe essere bloccato.

Risoluzione

Modificare una delle impostazioni seguenti:

  • Numero di porte dinamiche. Potrebbe essere necessario aumentare il numero di porte dinamiche per il sistema operativo che ospita i file. La protezione avanzata del server per SharePoint può essere uno dei motivi per cui lo scanner supera il numero di connessioni di rete consentite e si arresta.

    Per informazioni su come visualizzare l'intervallo di porte corrente e aumentare l'intervallo, vedere Impostazioni che possono essere modificate per migliorare le prestazioni di rete.

  • Soglia visualizzazione elenco. Per le farm di SharePoint di grandi dimensioni, potrebbe essere necessario aumentare la soglia della visualizzazione elenco. Per impostazione predefinita, la soglia di visualizzazione elenco è impostata su 5.000.

    Per informazioni sull'aumento della soglia, vedere Gestire elenchi e raccolte di grandi dimensioni in SharePoint.

Se il problema persiste, controllare il report dettagliato per determinare se le dimensioni del file aumentano.

Se le dimensioni del file continuano ad aumentare, lo scanner sta ancora elaborando i dati ed è necessario attendere fino a quando non viene completato.

Se le dimensioni del file non aumentano più, eseguire le operazioni seguenti:

  1. Eseguire i seguenti cmdlet:

    • Cmdlet Start-AIPScannerDiagnostics : per eseguire controlli di diagnostica sullo scanner ed esportare e comprimere i file di log per individuare eventuali errori rilevati.
    • Cmdlet Export-AIPLogs : per esportare e creare una versione .zip dei file di log dalla directory %localappdata%\Microsoft\MSIP\Logs .

  2. Creare un file di dump per il servizio Scanner MSIP. In Gestione attività Windows fare clic con il pulsante destro del mouse sul servizio Scanner MSIP e scegliere Crea file di dump.

  3. Nel portale di Azure arrestare l'analisi.

  4. Nel computer scanner riavviare il servizio.

  5. Aprire un ticket di supporto e allegare i file di dump dal processo dello scanner.

Impossibile connettersi al server remoto

Messaggio di errore

Nel file MSIPScanner.iplog in %localappdata%\Microsoft\MSIP\Logs\:

Impossibile connettersi al server remoto ---> System.Net.Sockets.SocketException: è in genere consentito un solo utilizzo di ogni indirizzo socket (protocollo/indirizzo di rete/porta) IP:porta

Se sono presenti più log, il file MSIPScanner.iplog sarà un file .zip.

Descrizione

Lo scanner ha superato il numero di connessioni di rete consentite.

Risoluzione

Aumentare il numero di porte dinamiche per il sistema operativo che ospita i file.

Per informazioni su come visualizzare l'intervallo di porte corrente e aumentare l'intervallo, vedere Impostazioni che possono essere modificate per migliorare le prestazioni di rete.

Processo o profilo di analisi del contenuto mancante

Messaggio di errore

Nella portale di Azure nella pagina Nodi:

Nessun processo di analisi del contenuto trovato

Descrizione

Questo errore si verifica quando non è possibile trovare il processo o il profilo di analisi del contenuto.

Risoluzione

Controllare la configurazione dello scanner nel portale di Azure.

Per altre informazioni, vedere Configurazione e installazione dello scanner di etichettatura unificata di Azure Information Protection.

Nota: Un profilo è un termine dello scanner legacy che è stato sostituito dal cluster dello scanner e dal processo di analisi del contenuto nelle versioni più recenti dello scanner.

Nessun repository configurato

Messaggio di errore

Nella pagina Nodi del portale di amministrazione:

Nessun repository configurato

Descrizione

È possibile che sia stato eseguito un processo di analisi del contenuto senza repository configurati.

Risoluzione

Controllare le impostazioni del processo di analisi del contenuto e aggiungere almeno un repository.

Per altre informazioni, vedere Creare un processo di analisi del contenuto.

Nessun cluster trovato

Messaggio di errore

Nella pagina Nodi del portale di amministrazione:

Nessun cluster trovato

Descrizione

Nessuna corrispondenza effettiva trovata per uno dei cluster di scanner definiti.

Risoluzione

Verificare la configurazione del cluster e verificarla in base ai dettagli del sistema per individuare errori e errori di digitazione.

Per altre informazioni, vedere Creare un cluster di scanner.

Ulteriori informazioni

Procedure consigliate per la distribuzione e l'uso dello scanner AIP UL.