Prima di installare lo scanner da Microsoft Purview Information Protection, assicurarsi che il sistema sia conforme ai requisiti di base di Azure Information Protection.
Inoltre, i requisiti seguenti sono specifici per lo scanner:
Se non è possibile soddisfare tutti i requisiti elencati per lo scanner perché non sono consentiti dai criteri dell'organizzazione, vedere la sezione configurazioni alternative .
Per supportare le analisi nelle condivisioni NFS, è necessario distribuire i servizi per NFS nel computer scanner.
Nel computer passare alla finestra di dialogo Funzionalità di Windows (Attivare o disattivare le funzionalità di Windows) e selezionare gli elementi seguenti: Servizi perstrumenti di amministrazioneNFS> e Client per NFS.
Microsoft Office iFilter
Quando lo scanner è installato in un computer server Windows, è necessario installare anche Microsoft Office iFilter per analizzare i file di .zip alla ricerca di tipi di informazioni sensibili.
È necessario disporre di un account di servizio per eseguire il servizio scanner nel computer Windows Server, nonché eseguire l'autenticazione per Microsoft Entra ID e scaricare i criteri dello scanner.
L'account del servizio deve essere un account Active Directory e sincronizzato con Microsoft Entra ID.
Accedere come assegnazione dei diritti utente del servizio.
Questo diritto viene concesso automaticamente all'account del servizio durante l'installazione dello scanner e questo diritto è necessario per l'installazione, la configurazione e il funzionamento dello scanner.
Autorizzazioni per i repository di dati
-
Condivisioni file o file locali: concedere autorizzazioni di lettura, scrittura e modifica per l'analisi dei file e quindi l'applicazione della classificazione e della protezione come configurato.
-
SharePoint: è necessario concedere autorizzazioni di controllo completo per l'analisi dei file e quindi l'applicazione della classificazione e della protezione ai file che soddisfano le condizioni nei criteri di Information Protection di Azure.
-
Modalità di individuazione: per eseguire lo scanner solo in modalità di individuazione, l'autorizzazione di lettura è sufficiente.
Per le etichette che riproteggono o rimuovono la protezione
Per assicurarsi che lo scanner abbia sempre accesso ai file crittografati, rendere questo account un utente con privilegi avanzati per Azure Information Protection e assicurarsi che la funzionalità utente con privilegi avanzati sia abilitata.
Inoltre, se sono stati implementati controlli di onboarding per una distribuzione in più fasi, assicurarsi che l'account del servizio sia incluso nei controlli di onboarding configurati.
Analisi a livello di URL specifico
Per analizzare e individuare siti e siti secondari in un URL specifico, concedere i diritti di revisore dell'agente di raccolta siti all'account scanner a livello di farm.
Licenza per la protezione delle informazioni
Necessario per fornire funzionalità di classificazione, etichettatura o protezione dei file all'account del servizio scanner.
Per archiviare i dati di configurazione dello scanner, usare un server SQL con i requisiti seguenti:
Istanza locale o remota.
È consigliabile ospitare SQL Server e il servizio scanner in computer diversi, a meno che non si stia lavorando con una distribuzione di piccole dimensioni. Inoltre, è consigliabile avere un'istanza SQL dedicata che serve solo il database dello scanner e che non è condivisa con altre applicazioni.
Se si lavora su un server condiviso, assicurarsi che il numero consigliato di core sia gratuito per il funzionamento del database dello scanner.
SQL Server 2016 è la versione minima per le edizioni seguenti:
SQL Server Enterprise
SQL Server Standard
SQL Server Express (consigliato solo per ambienti di test)
Un account con ruolo Sysadmin per installare lo scanner.
Il ruolo Sysadmin consente al processo di installazione di creare automaticamente il database di configurazione dello scanner e concedere il ruolo di db_owner necessario all'account del servizio che esegue lo scanner.
Più database di configurazione nello stesso server SQL sono supportati quando si specifica un nome di cluster personalizzato per lo scanner o quando si usa la versione di anteprima dello scanner.
Requisiti di archiviazione e pianificazione della capacità per SQL Server
La quantità di spazio su disco necessaria per il database di configurazione dello scanner e la specifica del computer in esecuzione SQL Server possono variare per ogni ambiente, pertanto è consigliabile eseguire test personalizzati. Usare le indicazioni seguenti come punto di partenza.
Ad esempio, per analizzare 1 milione di file con una lunghezza media del nome file di 250 byte, allocare 2 GB di spazio su disco.
Per più scanner:
Fino a 10 scanner, usare:
4 processori core
Consigliato 8 GB di RAM
Più di 10 scanner (massimo 40), usare:
8 processi principali
Consigliato 16 GB di RAM
Requisiti del client di protezione delle informazioni
Per una rete di produzione, è necessario che nel computer Windows Server sia installata la versione di disponibilità generale corrente del client Microsoft Purview Information Protection.
È necessario installare il client completo per lo scanner. Non installare il client solo con il modulo PowerShell.
Requisiti di configurazione delle etichette
È necessario avere almeno un'etichetta di riservatezza configurata nel portale di Microsoft Purview o Portale di conformità di Microsoft Purview per l'account dello scanner, per applicare la classificazione e, facoltativamente, la crittografia.
L'account dello scanner è l'account che verrà specificato nel parametro DelegatedUser del cmdlet Set-Authentication, eseguito durante la configurazione dello scanner.
Per analizzare raccolte documenti e cartelle di SharePoint, assicurarsi che il server SharePoint sia conforme ai requisiti seguenti:
Requisito
Descrizione
Versioni supportate
Le versioni supportate includono: SharePoint 2019, SharePoint 2016 e SharePoint 2013. Altre versioni di SharePoint non sono supportate per lo scanner.
Controllo delle versioni
Quando si usa il controllo delle versioni, lo scanner controlla ed etichetta l'ultima versione pubblicata.
Se lo scanner etichetta un file e l'approvazione del contenuto è necessario, tale file etichettato deve essere approvato per essere disponibile per gli utenti.
Farm di SharePoint di grandi dimensioni
Per le farm di SharePoint di grandi dimensioni, verificare se è necessario aumentare la soglia di visualizzazione elenco (per impostazione predefinita, 5.000) per consentire allo scanner di accedere a tutti i file.
Se in SharePoint sono presenti percorsi di file lunghi, assicurarsi che il valore httpRuntime.maxUrlLength del server SharePoint sia maggiore dei 260 caratteri predefiniti.
Se sono presenti percorsi di file lunghi in SharePoint versione 2013 o successiva, assicurarsi che il valore httpRuntime.maxUrlLength del server SharePoint sia maggiore dei 260 caratteri predefiniti.
Questo valore è definito nella classe HttpRuntimeSection della ASP.NET configurazione.
Per aggiornare la classe HttpRuntimeSection:
Eseguire il backup della configurazione web.config .
Aggiornare il valore maxUrlLength in base alle esigenze. Ad esempio:
Per impostazione predefinita, per analizzare i file, i percorsi di file devono avere un massimo di 260 caratteri.
Per analizzare i file con percorsi di file di più di 260 caratteri, installare lo scanner in un computer con una delle seguenti versioni di Windows e configurare il computer in base alle esigenze:
Versione di Windows
Descrizione
Windows 2016 o versione successiva
Configurare il computer per supportare percorsi lunghi
Windows 10 o Windows Server 2016
Definire l'impostazione di criteri di gruppo seguente: Configurazione computer> localeConfigurazione> computerModelli> amministrativiTutte le impostazioni>Abilitano i percorsi lunghi Win32.
Per altre informazioni sul supporto del percorso di file lungo in queste versioni, vedere la sezione Limitazione della lunghezza massima del percorso nella documentazione per sviluppatori Windows 10.
Distribuzione dello scanner con configurazioni alternative
I prerequisiti elencati in precedenza sono i requisiti predefiniti per la distribuzione dello scanner e sono consigliati perché supportano la configurazione dello scanner più semplice.
I requisiti predefiniti devono essere adatti per i test iniziali, in modo da poter controllare le funzionalità dello scanner.
Tuttavia, in un ambiente di produzione, i criteri dell'organizzazione possono essere diversi dai requisiti predefiniti. Lo scanner può supportare le modifiche seguenti con una configurazione aggiuntiva:
Individuare ed analizzare tutti i siti e i siti secondari di SharePoint in un URL specifico
Lo scanner può individuare ed analizzare tutti i siti e i siti secondari di SharePoint in un URL specifico con la configurazione seguente:
Avviare Amministrazione centrale SharePoint.
Nella sezione Gestione applicazioni del sito Web Amministrazione centrale SharePoint fare clic su Gestisci applicazioni Web.
Fare clic per evidenziare l'applicazione Web di cui si vuole gestire il livello di criteri di autorizzazione.
Scegliere la farm pertinente e quindi selezionare Gestisci livelli di criteri di autorizzazioni.
Selezionare Revisore raccolta siti nelle opzioni Autorizzazioni raccolta siti , quindi concedere Visualizza pagine applicazione nell'elenco Autorizzazioni e infine assegnare al nuovo livello di criteri il revisore e il visualizzatore della raccolta siti scanner.
Aggiungere l'utente dello scanner ai nuovi criteri e concedere Raccolta siti nell'elenco Autorizzazioni.
Aggiungere un URL di SharePoint che ospita siti o siti secondari che devono essere analizzati. Per altre informazioni, vedere Configurare le impostazioni dello scanner.
Restrizione: il server scanner non può avere connettività Internet
Anche se il client di protezione delle informazioni non può applicare la crittografia senza una connessione Internet, lo scanner può comunque applicare etichette in base ai criteri importati.
Per supportare un computer disconnesso, usare uno dei metodi seguenti:
Usare il portale di Microsoft Purview o Portale di conformità di Microsoft Purview con un computer disconnesso
Per supportare un computer che non è in grado di connettersi al portale di Microsoft Purview o Portale di conformità di Microsoft Purview, seguire questa procedura:
Gestire i processi di analisi del contenuto solo con PowerShell:
Impostare lo scanner in modo che funzioni in modalità offline usando il cmdlet Set-ScannerConfiguration .
Creare un nuovo processo di analisi del contenuto usando il cmdlet Set-ScannerContentScan , assicurandosi di usare il parametro obbligatorio -Enforce On .
Aggiungere i repository usando il cmdlet Add-ScannerRepository , con il percorso del repository da aggiungere.
Suggerimento
Per impedire al repository di ereditare le impostazioni dal processo di analisi del contenuto, aggiungere il OverrideContentScanJob On parametro e i valori per impostazioni aggiuntive.
Per modificare i dettagli per un repository esistente, usare il comando Set-ScannerRepository .
Se è possibile concedere temporaneamente il ruolo Sysadmin per installare lo scanner, è possibile rimuovere questo ruolo al termine dell'installazione dello scanner.
Eseguire una delle operazioni seguenti, a seconda dei requisiti dell'organizzazione:
Restrizione
Descrizione
È possibile disporre temporaneamente del ruolo Sysadmin
Se si dispone temporaneamente del ruolo Sysadmin, il database viene creato automaticamente e all'account del servizio per lo scanner vengono concesse automaticamente le autorizzazioni necessarie.
Tuttavia, l'account utente che configura lo scanner richiede ancora il ruolo db_owner per il database di configurazione dello scanner. Se si dispone solo del ruolo Sysadmin fino al completamento dell'installazione dello scanner, concedere manualmente il ruolo db_owner all'account utente.
Non è possibile avere il ruolo Sysadmin
Se non è possibile concedere il ruolo Sysadmin anche temporaneamente, è necessario chiedere a un utente con diritti Sysadmin di creare manualmente un database prima di installare lo scanner.
Per questa configurazione, il ruolo db_owner deve essere assegnato agli account seguenti: - Account del servizio per lo scanner - Account utente per l'installazione dello scanner - Account utente per la configurazione dello scanner
In genere, si userà lo stesso account utente per installare e configurare lo scanner. Se si usano account diversi, entrambi richiedono il ruolo db_owner per il database di configurazione dello scanner. Creare l'utente e i diritti in base alle esigenze. Se si specifica il nome del cluster, il database di configurazione viene denominato AIPScannerUL_<cluster_name>.
Inoltre:
È necessario essere un amministratore locale nel server che eseguirà lo scanner
All'account del servizio che eseguirà lo scanner devono essere concesse autorizzazioni di controllo completo per le chiavi del Registro di sistema seguenti:
Se, dopo aver configurato queste autorizzazioni, viene visualizzato un errore durante l'installazione dello scanner, l'errore può essere ignorato ed è possibile avviare manualmente il servizio scanner.
Creare manualmente un database e un utente per lo scanner e concedere db_owner diritti
Se è necessario creare manualmente il database dello scanner e/o creare un utente e concedere diritti di db_owner sul database, chiedere al amministratore di sistema di eseguire la procedura seguente:
Creare un database per lo scanner:
**CREATE DATABASE AIPScannerUL_[clustername]**
**ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
Concedere diritti all'utente che esegue il comando di installazione e viene usato per eseguire i comandi di gestione dello scanner. Usare lo script seguente:
if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
Concedere diritti all'account del servizio scanner. Usare lo script seguente:
if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
Restrizione: all'account del servizio per lo scanner non è possibile concedere il diritto di accesso locale
Se i criteri dell'organizzazione impediscono l'accesso locale per gli account del servizio, usare il parametro OnBehalfOf con Set-Authentication.
Restrizione: l'account del servizio scanner non può essere sincronizzato con Microsoft Entra ID ma il server dispone di connettività Internet
È possibile avere un account per eseguire il servizio scanner e usare un altro account per eseguire l'autenticazione a Microsoft Entra ID:
Per l'account del servizio scanner, usare un account Windows locale o un account di Active Directory.
Per l'account Microsoft Entra, specificare l'utente Microsoft Entra nel cmdlet Set-Authentication nel parametro DelegatedUser.
Se si esegue l'analisi con qualsiasi utente diverso dall'account dello scanner, assicurarsi di specificare anche l'account dello scanner nel parametro OnBehalfOf .
Restrizione: le etichette non hanno condizioni di etichettatura automatica
Se le etichette non hanno condizioni di etichettatura automatica, pianificare l'uso di una delle opzioni seguenti durante la configurazione dello scanner:
Opzione
Descrizione
Individuare tutti i tipi di informazioni
Nel processo di analisi del contenuto impostare l'opzione Tipi di informazioni da individuare su Tutto.
Questa opzione imposta il processo di analisi del contenuto per analizzare il contenuto alla ricerca di tutti i tipi di informazioni sensibili.
Usare l'etichettatura consigliata
Nel processo di analisi del contenuto impostare l'opzione Considera l'etichettatura consigliata come automatica su Sì.
Questa impostazione configura lo scanner per applicare automaticamente tutte le etichette consigliate al contenuto.
Questo modulo esamina il processo di implementazione delle etichette di riservatezza, tra cui l'applicazione di autorizzazioni amministrative appropriate, la determinazione di una strategia di distribuzione, la creazione, la configurazione e la pubblicazione di etichette e la rimozione e l'eliminazione di etichette.
Illustrare i concetti fondamentali della protezione dei dati, della gestione del ciclo di vita, della protezione delle informazioni e della conformità per proteggere una distribuzione di Microsoft 365.