Wat is de geïntegreerde labelscanner van Azure Information Protection?

Gebruik de informatie in deze sectie voor meer informatie over de geïntegreerde labelscanner van Azure Information Protection en hoe u deze vervolgens kunt installeren, configureren, uitvoeren en indien nodig problemen kunt oplossen.

De AIP-scanner wordt uitgevoerd als een service op Windows Server en biedt u de mogelijkheid om bestanden op de volgende gegevensarchieven te detecteren, classificeren en beveiligen:

  • UNC-paden voor netwerkshares die gebruikmaken van de SMB- of NFS-protocollen (Preview).

  • SharePoint-documentbibliotheken en -mappen voor SharePoint Server 2019 via SharePoint Server 2013.

Om uw bestanden te classificeren en te beveiligen, gebruikt de scanner vertrouwelijkheidslabels die zijn geconfigureerd in de Microsoft Purview-nalevingsportal.

Overzicht van azure Information Protection geïntegreerde labelscanner

De AIP-scanner kan alle bestanden inspecteren die Windows kan indexeren. Als u vertrouwelijkheidslabels hebt geconfigureerd om automatische classificatie toe te passen, kan de scanner gedetecteerde bestanden labelen om die classificatie toe te passen en eventueel beveiliging toepassen of verwijderen.

In de volgende afbeelding ziet u de architectuur van de AIP-scanner, waar de scanner bestanden detecteert op uw on-premises en SharePoint-servers.

Architectuur van een geïntegreerde labelscanner in Azure Information Protection

Om uw bestanden te inspecteren, gebruikt de scanner IFilters die op de computer zijn geïnstalleerd. Om te bepalen of de bestanden labelen nodig hebben, gebruikt de scanner de ingebouwde DLP-vertrouwelijkheidsinformatietypen (DLP) voor preventie van gegevensverlies (DLP) of Microsoft 365 regex-patronen.

De scanner maakt gebruik van de Azure Information Protection-client en kan dezelfde typen bestanden classificeren en beveiligen als de client. Zie Bestandstypen die worden ondersteund door de Azure Information Protection geïntegreerde labelclient voor meer informatie.

Voer een van de volgende handelingen uit om uw scans zo nodig te configureren:

  • Voer de scanner alleen uit in de detectiemodus om rapporten te maken die controleren wat er gebeurt wanneer uw bestanden zijn gelabeld.
  • Voer de scanner uit om bestanden met gevoelige informatie te detecteren, zonder labels te configureren die automatische classificatie toepassen.
  • Voer de scanner automatisch uit om labels toe te passen zoals geconfigureerd.
  • Definieer een lijst met bestandstypen om specifieke bestanden op te geven die moeten worden gescand of uitgesloten.

Notitie

De scanner detecteert en labelt in realtime niet. Het verkent systematisch bestanden in gegevensarchieven die u opgeeft. Configureer deze cyclus om één keer of herhaaldelijk uit te voeren.

Tip

De geïntegreerde labelscanner ondersteunt scannerclusters met meerdere knooppunten, zodat uw organisatie kan uitschalen, snellere scantijden en een breder bereik kan bereiken.

Implementeer vanaf het begin meerdere knooppunten of begin met een cluster met één knooppunt en voeg later extra knooppunten toe terwijl u groeit. Implementeer meerdere knooppunten met dezelfde clusternaam en database voor de cmdlet Install-AIPScanner .

AIP-scanproces

Bij het scannen van bestanden voert de AIP-scanner de volgende stappen uit:

1. Bepalen of bestanden zijn opgenomen of uitgesloten voor scannen

2. Bestanden inspecteren en labelen

3. Labelbestanden die niet kunnen worden gecontroleerd

Zie Bestanden die niet zijn gelabeld door de scanner voor meer informatie.

1. Bepalen of bestanden zijn opgenomen of uitgesloten voor scannen

De scanner slaat automatisch bestanden over die zijn uitgesloten van classificatie en beveiliging, zoals uitvoerbare bestanden en systeembestanden. Zie Bestandstypen die zijn uitgesloten van classificatie en beveiliging voor meer informatie.

De scanner beschouwt ook bestandslijsten die expliciet zijn gedefinieerd om te scannen of uit te sluiten van scannen. Bestandslijsten zijn standaard van toepassing op alle gegevensopslagplaatsen en kunnen ook alleen worden gedefinieerd voor specifieke opslagplaatsen.

Als u bestandslijsten wilt definiëren voor scannen of uitsluiten, gebruikt u de bestandstypen om de instelling in de inhoudsscantaak te scannen. Bijvoorbeeld:

Bestandstypen configureren om te scannen op de Azure Information Protection-scanner

Zie De Azure Information Protection-scanner implementeren om bestanden automatisch te classificeren en te beveiligen voor meer informatie.

2. Bestanden inspecteren en labelen

Nadat uitgesloten bestanden zijn geïdentificeerd, filtert de scanner opnieuw om bestanden te identificeren die worden ondersteund voor inspectie.

Deze filters zijn dezelfde filters die worden gebruikt door het besturingssysteem voor Windows Search en indexering, en vereisen geen extra configuratie. Windows IFilter wordt ook gebruikt om bestandstypen te scannen die worden gebruikt door Word, Excel en PowerPoint, en voor PDF-documenten en tekstbestanden.

Voor een volledige lijst met bestandstypen die worden ondersteund voor inspectie en andere instructies voor het configureren van filters voor het opnemen van .zip- en TIFF-bestanden, raadpleegt u Bestandstypen die worden ondersteund voor inspectie.

Na inspectie worden ondersteunde bestandstypen gelabeld met behulp van de voorwaarden die zijn opgegeven voor uw labels. Als u de detectiemodus gebruikt, kunnen deze bestanden worden gerapporteerd om de voorwaarden te bevatten die zijn opgegeven voor uw labels of gerapporteerd om bekende typen gevoelige informatie te bevatten.

Gestopte scannerprocessen

Als de scanner stopt en geen scan voor een groot aantal bestanden in uw opslagplaats voltooit, moet u mogelijk het aantal dynamische poorten verhogen voor het besturingssysteem dat als host fungeert voor de bestanden.

Serverbeveiliging voor SharePoint is bijvoorbeeld een reden waarom de scanner het aantal toegestane netwerkverbindingen overschrijdt en daarom stopt.

Als u wilt controleren of serverbeveiliging voor SharePoint de oorzaak is van het stoppen van de scanner, controleert u op het volgende foutbericht in de scannerlogboeken op %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (meerdere logboeken worden gecomprimeerd in een zip-bestand):

Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

Zie Instellingen die kunnen worden gewijzigd om de netwerkprestaties te verbeteren voor meer informatie over het weergeven van het huidige poortbereik en deze indien nodig te verhogen.

Tip

Voor grote SharePoint-farms moet u mogelijk de drempelwaarde voor de lijstweergave verhogen, met een standaardwaarde van 5000.

Zie voor meer informatie de grote lijsten en bibliotheken beheren in SharePoint.

3. Labelbestanden die niet kunnen worden gecontroleerd

Voor bestandstypen die niet kunnen worden gecontroleerd, past de AIP-scanner het standaardlabel toe in het Azure Information Protection-beleid of het standaardlabel dat is geconfigureerd voor de scanner.

Bestanden die niet zijn gelabeld door de scanner

De AIP-scanner kan bestanden onder de volgende omstandigheden niet labelen:

  • Wanneer het label classificatie toepast, maar geen beveiliging, en het bestandstype biedt geen ondersteuning voor classificatie alleen door de client. Zie Unified Labeling Client-bestandstypen voor meer informatie.

  • Wanneer het label classificatie en beveiliging toepast, maar de scanner het bestandstype niet ondersteunt.

    Standaard beveiligt de scanner alleen Office-bestandstypen en PDF-bestanden wanneer ze worden beveiligd met behulp van de ISO-standaard voor PDF-versleuteling.

    Andere typen bestanden kunnen worden toegevoegd voor beveiliging wanneer u de typen bestanden wijzigt die moeten worden beveiligd.

Voorbeeld: Nadat .txt bestanden zijn geïnspecteerd, kan de scanner geen label toepassen dat alleen is geconfigureerd voor classificatie, omdat het .txt bestandstype niet alleen classificatie ondersteunt.

Als het label echter is geconfigureerd voor zowel classificatie als beveiliging, en het .txt bestandstype is opgenomen om de scanner te beveiligen, kan de scanner het bestand labelen.

Volgende stappen

Zie de volgende artikelen voor meer informatie over het implementeren van de scanner:

Meer informatie: