Co to jest skaner ujednoliconego etykietowania usługi Azure Information Protection?

Skorzystaj z informacji w tej sekcji, aby dowiedzieć się więcej na temat skanera ujednoliconego etykietowania usługi Azure Information Protection, a następnie jak pomyślnie zainstalować, skonfigurować, uruchomić i w razie potrzeby rozwiązać ten problem.

Skaner usługi AIP działa jako usługa w systemie Windows Server i umożliwia odnajdywanie, klasyfikowanie i ochronę plików w następujących magazynach danych:

  • Ścieżki UNC dla udziałów sieciowych korzystających z protokołów SMB lub NFS (wersja zapoznawcza).

  • Biblioteki i foldery dokumentów programu SharePoint dla SharePoint Server 2019 za pośrednictwem programu SharePoint Server 2013.

Aby klasyfikować i chronić pliki, skaner używa etykiet poufności skonfigurowanych w portal zgodności Microsoft Purview.

Omówienie skanera ujednoliconego etykietowania w usłudze Azure Information Protection

Skaner usługi AIP może sprawdzać wszystkie pliki, które system Windows może indeksować. Jeśli skonfigurowano etykiety poufności w celu zastosowania automatycznej klasyfikacji, skaner może oznaczać odnalezione pliki w celu zastosowania tej klasyfikacji i opcjonalnie stosować lub usuwać ochronę.

Na poniższej ilustracji przedstawiono architekturę skanera usługi AIP, w której skaner odnajduje pliki na serwerach lokalnych i serwerach programu SharePoint.

Architektura skanera ujednoliconego etykietowania na platformie Azure Information Protection

Aby sprawdzić pliki, skaner używa filtrów IFilters zainstalowanych na komputerze. Aby określić, czy pliki wymagają etykietowania, skaner używa wbudowanych typów informacji poufności ochrony przed utratą danych (DLP) platformy Microsoft 365 lub wzorców wyrażeń regularnych platformy Microsoft 365.

Skaner używa klienta usługi Azure Information Protection i może klasyfikować i chronić te same typy plików co klient. Aby uzyskać więcej informacji, zobacz Typy plików obsługiwane przez klienta ujednoliconego etykietowania platformy Azure Information Protection.

Wykonaj dowolną z następujących czynności, aby skonfigurować skanowania zgodnie z potrzebami:

  • Uruchom skaner w trybie odnajdywania tylko w celu utworzenia raportów, które sprawdzają, co się stanie po oznaczeniu plików.
  • Uruchom skaner, aby odnaleźć pliki z poufnymi informacjami bez konfigurowania etykiet, które stosują automatyczną klasyfikację.
  • Uruchom skaner automatycznie, aby zastosować etykiety zgodnie z konfiguracją.
  • Zdefiniuj listę typów plików , aby określić określone pliki do skanowania lub wykluczenia.

Uwaga

Skaner nie odnajduje i nie oznacza etykiety w czasie rzeczywistym. Systematycznie przeszukiwane są pliki w magazynach danych, które określisz. Skonfiguruj ten cykl do uruchamiania raz lub wielokrotnie.

Porada

Ujednolicony skaner etykietowania obsługuje klastry skanerów z wieloma węzłami, umożliwiając organizacji skalowanie w poziomie, szybsze czasy skanowania i szerszy zakres.

Wdróż wiele węzłów bezpośrednio od samego początku lub rozpocznij od klastra z jednym węzłem i dodaj dodatkowe węzły później w miarę rozwoju. Wdróż wiele węzłów przy użyciu tej samej nazwy klastra i bazy danych dla polecenia cmdlet Install-AIPScanner .

Proces skanowania usługi AIP

Podczas skanowania plików skaner usługi AIP wykonuje następujące czynności:

1. Ustal, czy pliki są dołączane do skanowania, czy wykluczone

2. Sprawdzanie i etykietowanie plików

3. Etykiety plików, których nie można sprawdzić

Aby uzyskać więcej informacji, zobacz Pliki, które nie są oznaczone przez skaner.

1. Ustal, czy pliki są dołączane do skanowania, czy wykluczone

Skaner automatycznie pomija pliki wykluczone z klasyfikacji i ochrony, takie jak pliki wykonywalne i pliki systemowe. Aby uzyskać więcej informacji, zobacz Typy plików wykluczone z klasyfikacji i ochrony.

Skaner uwzględnia również wszystkie listy plików jawnie zdefiniowane do skanowania lub wykluczania ze skanowania. Listy plików mają zastosowanie domyślnie dla wszystkich repozytoriów danych i można je również definiować tylko dla określonych repozytoriów.

Aby zdefiniować listy plików do skanowania lub wykluczenia, użyj ustawienia Typy plików do skanowania w zadaniu skanowania zawartości. Przykład:

Konfigurowanie typów plików do skanowania pod kątem skanera usługi Azure Information Protection

Aby uzyskać więcej informacji, zobacz Wdrażanie skanera usługi Azure Information Protection w celu automatycznego klasyfikowania i ochrony plików.

2. Sprawdzanie i etykietowanie plików

Po zidentyfikowaniu wykluczonych plików skaner filtruje ponownie, aby zidentyfikować pliki obsługiwane do inspekcji.

Te filtry są tymi samymi, które są używane przez system operacyjny do wyszukiwania systemu Windows i indeksowania i nie wymagają dodatkowej konfiguracji. Funkcja IFilter systemu Windows służy również do skanowania typów plików używanych przez programy Word, Excel i PowerPoint oraz dokumentów PDF i plików tekstowych.

Aby uzyskać pełną listę typów plików obsługiwanych do inspekcji oraz inne instrukcje dotyczące konfigurowania filtrów w celu uwzględnienia plików .zip i tiff, zobacz Typy plików obsługiwane do inspekcji.

Po przeprowadzeniu inspekcji obsługiwane typy plików są oznaczane przy użyciu warunków określonych dla etykiet. Jeśli używasz trybu odnajdywania, te pliki mogą być zgłaszane w taki sposób, aby zawierały warunki określone dla etykiet lub zostały zgłoszone, aby zawierały wszystkie znane typy informacji poufnych.

Zatrzymane procesy skanera

Jeśli skaner zostanie zatrzymany i nie ukończy skanowania dużej liczby plików w repozytorium, może być konieczne zwiększenie liczby portów dynamicznych dla systemu operacyjnego hostujących pliki.

Na przykład wzmocnienie zabezpieczeń serwera dla programu SharePoint jest jednym z powodów, dla których skaner przekroczyłby liczbę dozwolonych połączeń sieciowych, a w związku z tym zatrzymał.

Aby sprawdzić, czy wzmocnienie zabezpieczeń serwera dla programu SharePoint jest przyczyną zatrzymania skanera, sprawdź w dziennikach skanera następujący komunikat o błędzie w folderze %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (wiele dzienników jest skompresowanych do pliku zip):

Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

Aby uzyskać więcej informacji na temat wyświetlania bieżącego zakresu portów i zwiększenia go w razie potrzeby, zobacz Ustawienia, które można zmodyfikować w celu zwiększenia wydajności sieci.

Porada

W przypadku dużych farm programu SharePoint może być konieczne zwiększenie progu widoku listy, który ma wartość domyślną 5000.

Aby uzyskać więcej informacji, zobacz Zarządzanie dużymi listami i bibliotekami w programie SharePoint.

3. Etykiety plików, których nie można sprawdzić

W przypadku wszystkich typów plików, których nie można sprawdzić, skaner usługi AIP stosuje etykietę domyślną w zasadach usługi Azure Information Protection lub etykietę domyślną skonfigurowaną dla skanera.

Pliki, które nie są oznaczone przez skaner

Skaner usługi AIP nie może oznaczać plików w następujących okolicznościach:

  • Gdy etykieta stosuje klasyfikację, ale nie ochronę, a typ pliku nie obsługuje klasyfikacji tylko przez klienta. Aby uzyskać więcej informacji, zobacz Ujednolicone etykietowanie typów plików klienta.

  • Gdy etykieta stosuje klasyfikację i ochronę, ale skaner nie obsługuje typu pliku.

    Domyślnie skaner chroni tylko typy plików pakietu Office i pliki PDF, gdy są chronione przy użyciu standardu ISO na potrzeby szyfrowania PLIKÓW PDF.

    Inne typy plików można dodać do ochrony podczas zmiany typów plików do ochrony.

Przykład: po sprawdzeniu plików .txt skaner nie może zastosować etykiety skonfigurowanej tylko do klasyfikacji, ponieważ typ pliku .txt nie obsługuje tylko klasyfikacji.

Jeśli jednak etykieta jest skonfigurowana zarówno do klasyfikacji, jak i ochrony, a typ pliku .txt zostanie uwzględniony w celu ochrony skanera, skaner może oznaczyć ten plik etykietą.

Następne kroki

Aby uzyskać więcej informacji na temat wdrażania skanera, zobacz następujące artykuły:

Więcej informacji: