Konfigurowanie i instalowanie skanera ujednoliconego etykietowania usługi Azure Information Protection (AIP)

Uwaga

Nazwa skanera ujednoliconego etykietowania w usłudze Azure Information Protection jest zmieniana Microsoft Purview Information Protection skanera. W tym samym czasie konfiguracja (obecnie w wersji zapoznawczej) jest przenoszona do portal zgodności Microsoft Purview. Obecnie skaner można skonfigurować zarówno w portalu Azure Portal, jak i w portalu zgodności. Instrukcje w tym artykule dotyczą obu portali administracyjnych.

W tym artykule opisano sposób konfigurowania i instalowania ujednoliconego etykietowania usługi Azure Information Protection skanera lokalnego.

Porada

Chociaż większość klientów wykona te procedury w portalu administracyjnym, może być konieczne tylko praca w programie PowerShell.

Jeśli na przykład pracujesz w środowisku bez dostępu do portalu administracyjnego, takiego jak serwery skanera Azure China 21Vianet, postępuj zgodnie z instrukcjami w temacie Konfigurowanie skanera za pomocą programu PowerShell.

Omówienie

Przed rozpoczęciem sprawdź, czy system jest zgodny z wymaganymi wymaganiami wstępnymi.

Aby użyć Azure Portal, wykonaj następujące kroki:

  1. Konfigurowanie ustawień skanera

  2. Instalowanie skanera

  3. Uzyskiwanie tokenu Azure AD dla skanera

  4. Konfigurowanie skanera w celu stosowania klasyfikacji i ochrony

Następnie wykonaj następujące procedury konfiguracji zgodnie z potrzebami systemu:

Procedura Opis
Zmienianie typów plików do ochrony Możesz chcieć skanować, klasyfikować lub chronić różne typy plików niż domyślne. Aby uzyskać więcej informacji, zobacz Proces skanowania usługi AIP.
Uaktualnianie skanera Uaktualnij skaner, aby korzystać z najnowszych funkcji i ulepszeń.
Zbiorcze edytowanie ustawień repozytorium danych Użyj opcji importu i eksportu, aby zbiorczo wprowadzić zmiany w wielu repozytoriach danych.
Używanie skanera z alternatywnymi konfiguracjami Używanie skanera bez konfigurowania etykiet z żadnymi warunkami
Optymalizowanie wydajności Wskazówki dotyczące optymalizacji wydajności skanera

Jeśli nie masz dostępu do stron skanera w portalu administracyjnym, skonfiguruj tylko ustawienia skanera w programie PowerShell. Aby uzyskać więcej informacji, zobacz Konfigurowanie skanera i obsługiwanych poleceń cmdlet programu PowerShell przy użyciu programu PowerShell.

Konfigurowanie ustawień skanera

Przed zainstalowaniem skanera lub uaktualnij go ze starszej wersji ogólnej dostępności, skonfiguruj lub zweryfikuj ustawienia skanera.

Aby skonfigurować skaner w portal zgodności Microsoft Purview:

  1. Zaloguj się do portal zgodności Microsoft Purview przy użyciu jednej z następujących ról:

    • Administrator zgodności
    • Administrator danych zgodności
    • Administrator zabezpieczeń
    • Administrator globalny

    Następnie przejdź do okienka Ustawienia .

    W okienku Ustawienia wybierz pozycję Skaner ochrony informacji.

    Zrzut ekranu przedstawiający skaner usługi Information Protection w portal zgodności Microsoft Purview.

  2. Utwórz klaster skanera. Ten klaster definiuje skaner i służy do identyfikowania wystąpienia skanera, takiego jak podczas instalacji, uaktualnień i innych procesów.

  3. Utwórz zadanie skanowania zawartości, aby zdefiniować repozytoria, które chcesz skanować.

Aby skonfigurować skaner w Azure Portal:

  1. Zaloguj się do Azure Portal przy użyciu jednej z następujących ról:

    • Administrator zgodności
    • Administrator danych zgodności
    • Administrator zabezpieczeń
    • Administrator globalny

    Następnie przejdź do okienka azure Information Protection.

    Na przykład w polu wyszukiwania zasobów, usług i dokumentów zacznij wpisywać informacje i wybierz pozycję Azure Information Protection.

  2. Utwórz klaster skanera. Ten klaster definiuje skaner i służy do identyfikowania wystąpienia skanera, takiego jak podczas instalacji, uaktualnień i innych procesów.

  3. Utwórz zadanie skanowania zawartości, aby zdefiniować repozytoria, które chcesz skanować.

Tworzenie klastra skanera

Aby utworzyć klaster skanera w portal zgodności Microsoft Purview:

  1. Na kartach na stronie Skaner ochrony informacji wybierz pozycję Klastry.

  2. Na karcie Klastry wybierz pozycję Dodajikonę dodawania ikona.

  3. W okienku Nowy klaster wprowadź zrozumiałą nazwę skanera i opcjonalny opis.

    Nazwa klastra służy do identyfikowania konfiguracji i repozytoriów skanera. Możesz na przykład wprowadzić europę , aby zidentyfikować lokalizacje geograficzne repozytoriów danych, które chcesz skanować.

    Użyjesz tej nazwy później, aby określić, gdzie chcesz zainstalować lub uaktualnić skaner.

  4. Wybierz przycisk Zapisz, aby zapisać zmiany.

Aby utworzyć klaster skanera w Azure Portal:

  1. W menu Skaner po lewej stronie wybierz ikonę Klastryikona klastrów.

  2. W okienku Azure Information Protection — Klastry wybierz pozycję Dodajikonę dodawania ikona.

  3. W okienku Dodawanie nowego klastra wprowadź zrozumiałą nazwę skanera i opcjonalny opis.

    Nazwa klastra służy do identyfikowania konfiguracji i repozytoriów skanera. Możesz na przykład wprowadzić europę , aby zidentyfikować lokalizacje geograficzne repozytoriów danych, które chcesz skanować.

    Użyjesz tej nazwy później, aby określić, gdzie chcesz zainstalować lub uaktualnić skaner.

  4. Wybierz pozycję Zapiszikonę zapisywania ikona zapisywania, aby zapisać zmiany.

Tworzenie zadania skanowania zawartości

Szczegółowe omówienie zawartości w celu skanowania określonych repozytoriów pod kątem poufnej zawartości.

Aby utworzyć zadanie skanowania zawartości w portal zgodności Microsoft Purview:

  1. Na kartach na stronie Skaner ochrony informacji wybierz pozycję Zadania skanowania zawartości.

  2. W okienku Zadania skanowania zawartości wybierz pozycję Dodajikonę.

  3. W przypadku tej konfiguracji początkowej skonfiguruj następujące ustawienia, a następnie wybierz pozycję Zapisz.

    Ustawienie Opis
    Ustawienia zadania skanowania zawartości - Harmonogram: zachowaj domyślną wartość ręczną
    - Typy informacji do odnalezienia: zmień tylko na zasady
    Zasady DLP Jeśli używasz zasad ochrony przed utratą danych, ustaw opcję Włącz reguły DLP na . Aby uzyskać więcej informacji, zobacz Używanie zasad DLP.
    Zasady poufności - Wymuszanie zasad etykietowania poufności: wybierz pozycję Wył.
    - Pliki etykiet na podstawie zawartości: zachowaj wartość domyślną włączonej
    - Etykieta domyślna: Zachowaj domyślną wartość domyślną zasad
    - Ponowne etykietowanie plików: zachowaj wartość domyślną Wyłączone
    Konfigurowanie ustawień pliku - Zachowaj wartości "Data modyfikacji", "Ostatnio zmodyfikowane" i "Zmodyfikowane przez": zachowaj wartość domyślną włączonej
    - Typy plików do skanowania: zachowaj domyślne typy plików dla opcji Wyklucz
    - Domyślny właściciel: zachowaj domyślne konto skanera
    - Ustaw właściciela repozytorium: użyj tej opcji tylko w przypadku korzystania z zasad DLP.
  4. Otwórz zadanie skanowania zawartości, które zostało zapisane, i wybierz kartę Repozytoria , aby określić magazyny danych do skanowania.

    Określ ścieżki UNC i adresy URL programu SharePoint Server dla lokalnych bibliotek dokumentów i folderów programu SharePoint.

    Uwaga

    SharePoint Server 2019, SharePoint Server 2016 i SharePoint Server 2013 są obsługiwane w programie SharePoint. Program SharePoint Server 2010 jest również obsługiwany w przypadku rozszerzonej obsługi tej wersji programu SharePoint.

    Aby dodać pierwszy magazyn danych, na karcie Repozytoria :

    1. W okienku Repozytoria wybierz pozycję Dodaj:

    2. W okienku Repozytorium określ ścieżkę dla repozytorium danych, a następnie wybierz pozycję Zapisz.

      • W przypadku udziału sieciowego użyj polecenia \\Server\Folder.
      • W przypadku biblioteki programu SharePoint użyj polecenia http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • W przypadku ścieżki lokalnej: C:\Folder
      • W przypadku ścieżki UNC: \\Server\Folder

    Uwaga

    Symbole wieloznaczne nie są obsługiwane, a lokalizacje WebDav nie są obsługiwane.

    Jeśli dodasz ścieżkę programu SharePoint dla dokumentów udostępnionych:

    • Określ dokumenty udostępnione w ścieżce, gdy chcesz skanować wszystkie dokumenty i wszystkie foldery z dokumentów udostępnionych. Na przykład: http://sp2013/SharedDocuments
    • Określ dokumenty w ścieżce, gdy chcesz skanować wszystkie dokumenty i wszystkie foldery z podfolderu w obszarze Dokumenty udostępnione. Na przykład: http://sp2013/Documents/SalesReports
    • Możesz też określić tylko nazwę FQDN programu SharePoint, na przykład http://sp2013 w celu odnajdywania i skanowania wszystkich witryn i podwitryn programu SharePoint pod określonym adresem URL i podtytułami w tym adresie URL. Udziel skanerowi uprawnień audytora modułu zbierającego witryn , aby to włączyć.

    W przypadku pozostałych ustawień w tym okienku nie zmieniaj ich dla tej konfiguracji początkowej, ale zachowaj je jako domyślne zadanie skanowania zawartości. Ustawienie domyślne oznacza, że repozytorium danych dziedziczy ustawienia z zadania skanowania zawartości.

    Podczas dodawania ścieżek programu SharePoint użyj następującej składni:

    Ścieżka Składnia
    Ścieżka główna http://<SharePoint server name>

    Skanuje wszystkie witryny, w tym wszystkie zbiory witryn dozwolone dla użytkownika skanera.
    Wymaga dodatkowych uprawnień do automatycznego odnajdywania zawartości głównej
    Określona podwitryna lub kolekcja programu SharePoint Jeden z poniższych programów:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Wymaga dodatkowych uprawnień do automatycznego odnajdywania zawartości zbioru witryn
    Określona biblioteka programu SharePoint Jeden z poniższych programów:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Określony folder programu SharePoint http://<SharePoint server name>/.../<folder name>
  5. Powtórz poprzednie kroki, aby dodać dowolną liczbę repozytoriów.

Aby utworzyć zadanie skanowania zawartości w Azure Portal:

  1. W menu Skaner po lewej stronie wybierz pozycję Zadania skanowania zawartości.

  2. W okienku Zadania skanowania zawartości w usłudze Azure Information Protection wybierz Dodaj ikonępozycję.

  3. W przypadku tej początkowej konfiguracji skonfiguruj następujące ustawienia, a następnie wybierz pozycję Zapisz , ale nie zamykaj okienka.

    Ustawienie Opis
    Ustawienia zadania skanowania zawartości - Harmonogram: zachowaj domyślną wartość ręczną
    - Typy informacji do odnalezienia: zmień tylko na zasady
    - Konfigurowanie repozytoriów: nie konfiguruj w tej chwili, ponieważ najpierw należy zapisać zadanie skanowania zawartości.
    Zasady DLP Jeśli używasz zasad ochrony przed utratą danych, ustaw opcję Włącz reguły DLP na Włączone. Aby uzyskać więcej informacji, zobacz Używanie zasad DLP.
    Zasady poufności - Wymuszanie: wybierz pozycję Wyłączone
    - Etykiety plików na podstawie zawartości: zachowaj domyślną wartość Włączone
    - Etykieta domyślna: zachowaj domyślną wartość domyślną zasad
    - Pliki ponownego etykietowania: zachowaj wartość domyślną wył.
    Konfigurowanie ustawień pliku - Zachowaj wartość "Data modyfikacji", "Ostatnio zmodyfikowane" i "Zmodyfikowane przez": zachowaj wartość domyślną pozycji Włączone
    - Typy plików do skanowania: zachowaj domyślne typy plików dla opcji Wykluczanie
    - Domyślny właściciel: zachowaj domyślne konto skanera
    - Ustaw właściciela repozytorium: użyj tej opcji tylko w przypadku korzystania z zasad DLP.
  4. Po utworzeniu i zapisaniu zadania skanowania zawartości możesz wrócić do opcji Konfiguruj repozytoria , aby określić magazyny danych do skanowania.

    Określ ścieżki UNC i adresy URL programu SharePoint Server dla lokalnych bibliotek dokumentów i folderów programu SharePoint.

    Uwaga

    SharePoint Server 2019, SharePoint Server 2016 i SharePoint Server 2013 są obsługiwane w programie SharePoint.

    Aby dodać pierwszy magazyn danych, a następnie w okienku Dodawanie nowego zadania skanowania zawartości wybierz pozycję Konfiguruj repozytoria , aby otworzyć okienko Repozytoria :

    Konfigurowanie repozytoriów danych dla skanera usługi Azure Information Protection.

    1. W okienku Repozytoria wybierz pozycję Dodaj:

      Dodaj repozytorium danych dla skanera usługi Azure Information Protection.

    2. W okienku Repozytorium określ ścieżkę dla repozytorium danych, a następnie wybierz pozycję Zapisz.

      • W przypadku udziału sieciowego użyj polecenia \\Server\Folder.
      • W przypadku biblioteki programu SharePoint użyj polecenia http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • W przypadku ścieżki lokalnej: C:\Folder
      • W przypadku ścieżki UNC: \\Server\Folder

    Uwaga

    Symbole wieloznaczne nie są obsługiwane, a lokalizacje WebDav nie są obsługiwane.

    Jeśli dodasz ścieżkę programu SharePoint dla dokumentów udostępnionych:

    • Określ dokumenty udostępnione w ścieżce, gdy chcesz skanować wszystkie dokumenty i wszystkie foldery z dokumentów udostępnionych. Na przykład: http://sp2013/SharedDocuments
    • Określ dokumenty w ścieżce, gdy chcesz skanować wszystkie dokumenty i wszystkie foldery z podfolderu w obszarze Dokumenty udostępnione. Na przykład: http://sp2013/Documents/SalesReports
    • Możesz też określić tylko nazwę FQDN programu SharePoint, na przykład http://sp2013 w celu odnajdywania i skanowania wszystkich witryn i podwitryn programu SharePoint pod określonym adresem URL i podtytułami w tym adresie URL. Udziel skanerowi uprawnień audytora modułu zbierającego witryn , aby to włączyć.

    W przypadku pozostałych ustawień w tym okienku nie należy zmieniać ich dla tej konfiguracji początkowej, ale zachowaj je jako domyślne zadanie skanowania zawartości. Ustawienie domyślne oznacza, że repozytorium danych dziedziczy ustawienia z zadania skanowania zawartości.

    Podczas dodawania ścieżek programu SharePoint użyj następującej składni:

    Ścieżka Składnia
    Ścieżka główna http://<SharePoint server name>

    Skanuje wszystkie witryny, w tym wszystkie zbiory witryn dozwolone dla użytkownika skanera.
    Wymaga dodatkowych uprawnień do automatycznego odnajdywania zawartości głównej
    Określona podwitryna lub kolekcja programu SharePoint Jeden z poniższych programów:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Wymaga dodatkowych uprawnień do automatycznego odnajdywania zawartości zbioru witryn
    Określona biblioteka programu SharePoint Jeden z poniższych programów:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Określony folder programu SharePoint http://<SharePoint server name>/.../<folder name>
  5. Powtórz poprzednie kroki, aby dodać dowolną liczbę repozytoriów.

    Gdy wszystko będzie gotowe, zamknij okienka Zadania skanowania repozytoriów i zawartości .

Po powrocie do okienka zadania skanowania zawartości w usłudze Azure Information Protection — nazwa skanowania zawartości jest wyświetlana wraz z kolumną SCHEDULE z wyświetloną kolumną Manual (Ręcznie), a kolumna ENFORCE (WYMUSZAnie) jest pusta.

Teraz możesz zainstalować skaner za pomocą utworzonego zadania skanera zawartości. Kontynuuj pracę z instalowaniem skanera.

Instalowanie skanera

Po skonfigurowaniu skanera usługi Azure Information Protection wykonaj poniższe kroki, aby zainstalować skaner. Ta procedura jest wykonywana w pełni w programie PowerShell.

  1. Zaloguj się na komputerze z systemem Windows Server, który uruchomi skaner. Użyj konta z uprawnieniami administratora lokalnego i ma uprawnienia do zapisu w bazie danych master SQL Server.

    Ważne

    Przed zainstalowaniem skanera musisz mieć klienta ujednoliconego etykietowania usługi AIP zainstalowanego na komputerze.

    Aby uzyskać więcej informacji, zobacz Wymagania wstępne dotyczące instalowania i wdrażania skanera usługi Azure Information Protection.

  2. Otwórz sesję Windows PowerShell z opcją Uruchom jako administrator.

  3. Uruchom polecenie cmdlet Install-AIPScanner, określając wystąpienie SQL Server, na którym ma zostać utworzona baza danych skanera usługi Azure Information Protection oraz nazwa klastra skanera określona w poprzedniej sekcji:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Przykłady użycia nazwy klastra skanera w Europie:

    • Dla wystąpienia domyślnego: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Dla nazwanego wystąpienia: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • W przypadku SQL Server Express:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Po wyświetleniu monitu podaj poświadczenia usługi Active Directory dla konta usługi skanera.

    Użyj następującej składni: \<domain\user name>. Na przykład: contoso\scanneraccount

  4. Sprawdź, czy usługa jest teraz zainstalowana przy użyciu usług Narzędzi> administracyjnych.

    Zainstalowana usługa nosi nazwę Azure Information Protection Scanner i jest skonfigurowana do uruchamiania przy użyciu utworzonego konta usługi skanera.

Po zainstalowaniu skanera musisz uzyskać token Azure AD dla konta usługi skanera do uwierzytelnienia, aby skaner mógł uruchomić nienadzorowany.

Uzyskiwanie tokenu Azure AD dla skanera

Token Azure AD umożliwia skanerowi uwierzytelnianie w usłudze Azure Information Protection, umożliwiając uruchamianie skanera nieinterakcyjnego.

Aby uzyskać więcej informacji, zobacz How to label files non-interactively for Azure Information Protection (Jak oznaczać pliki nieinterakcyjne dla usługi Azure Information Protection).

Aby uzyskać token Azure AD:

  1. Otwórz Azure Portal, aby utworzyć aplikację Azure AD w celu określenia tokenu dostępu do uwierzytelniania.

  2. Jeśli na komputerze z systemem Windows Server udzielono konta usługi skanera, zaloguj się przy użyciu tego konta i uruchom sesję programu PowerShell lokalnie .

    Uruchom polecenie Set-AIPAuthentication, określając wartości skopiowane z poprzedniego kroku:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Przykład:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Porada

    Jeśli nie można przyznać konta usługi skanera lokalnego dla instalacji, użyj parametru OnBehalfOf z parametrem Set-AIPAuthentication, zgodnie z opisem w temacie How to label files non-interactively for Azure Information Protection (Jak oznaczać pliki nieinterakcyjne dla usługi Azure Information Protection).

Skaner ma teraz token do uwierzytelnienia w Azure AD. Ten token jest ważny przez jeden rok, dwa lata lub nigdy, zgodnie z konfiguracją wpisu tajnego klienta aplikacji internetowej /API w Azure AD. Po wygaśnięciu tokenu należy powtórzyć tę procedurę.

Kontynuuj korzystanie z jednego z następujących kroków, w zależności od tego, czy używasz Azure Portal do skonfigurowania skanera, czy tylko programu PowerShell:

Teraz możesz przystąpić do pierwszego skanowania w trybie odnajdywania. Aby uzyskać więcej informacji, zobacz Uruchamianie cyklu odnajdywania i wyświetlanie raportów dla skanera.

Po uruchomieniu początkowego skanowania odnajdywania kontynuuj konfigurowanie skanera w celu zastosowania klasyfikacji i ochrony.

Konfigurowanie skanera w celu stosowania klasyfikacji i ochrony

Ustawienia domyślne konfigurują skaner do uruchamiania raz i w trybie tylko do raportowania. Aby zmienić te ustawienia, edytuj zadanie skanowania zawartości.

Porada

Jeśli pracujesz tylko w programie PowerShell, zobacz Konfigurowanie skanera w celu zastosowania klasyfikacji i ochrony — tylko program PowerShell.

Aby skonfigurować skaner w celu zastosowania klasyfikacji i ochrony w portal zgodności Microsoft Purview:

  1. Na portal zgodności Microsoft Purview na karcie Zadania skanowania zawartości wybierz określone zadanie skanowania zawartości, aby je edytować.

  2. Wybierz zadanie skanowania zawartości, zmień następujące elementy, a następnie wybierz pozycję Zapisz:

    • W sekcji Zadanie skanowania zawartości : Zmień harmonogram na Zawsze
    • W sekcji Wymuszanie zasad etykietowania poufności : zmień przycisk radiowy na Włączone
  3. Upewnij się, że węzeł zadania skanowania zawartości jest w trybie online, a następnie ponownie uruchom zadanie skanowania zawartości, wybierając pozycję Skanuj teraz. Przycisk Skanuj teraz jest wyświetlany tylko wtedy, gdy węzeł wybranego zadania skanowania zawartości jest w trybie online.

Skaner jest teraz zaplanowany do ciągłego uruchamiania. Gdy skaner działa przez wszystkie skonfigurowane pliki, automatycznie uruchamia nowy cykl, aby wszystkie nowe i zmienione pliki zostały odnalezione.

Aby skonfigurować skaner w celu zastosowania klasyfikacji i ochrony w Azure Portal:

  1. W Azure Portal w okienku Zadania skanowania zawartości w usłudze Azure Information Protection wybierz zadanie skanowania klastra i zawartości, aby je edytować.

  2. W okienku Zadanie skanowania zawartości zmień następujące elementy, a następnie wybierz pozycję Zapisz:

    • W sekcji Zadanie skanowania zawartości : Zmień harmonogram na Zawsze
    • W sekcji Zasady poufności : Zmień wymuszanie na Włączone

    Porada

    Możesz zmienić inne ustawienia w tym okienku, takie jak to, czy atrybuty plików zostały zmienione i czy skaner może ponownie utworzyć etykiety plików. Skorzystaj z wyskakujących informacji, aby dowiedzieć się więcej o każdym ustawieniu konfiguracji.

  3. Zanotuj bieżący czas i uruchom skaner ponownie w okienku Zadania skanowania zawartości w usłudze Azure Information Protection :

    Zainicjuj skanowanie skanera usługi Azure Information Protection.

Skaner jest teraz zaplanowany do ciągłego uruchamiania. Gdy skaner działa przez wszystkie skonfigurowane pliki, automatycznie uruchamia nowy cykl, aby wszystkie nowe i zmienione pliki zostały odnalezione.

Używanie zasad DLP

Użycie zasad ochrony przed utratą danych umożliwia skanerowi wykrywanie potencjalnych wycieków danych przez dopasowanie reguł DLP do plików przechowywanych w udziałach plików i programie SharePoint Server.

  • Włącz reguły DLP w zadaniu skanowania zawartości, aby zmniejszyć narażenie wszystkich plików pasujących do zasad DLP. Po włączeniu reguł DLP skaner może zmniejszyć dostęp do plików tylko do właścicieli danych lub zmniejszyć narażenie na grupy obejmujące całą sieć, takie jak Wszyscy, Uwierzytelnieni użytkownicy lub Użytkownicy domeny.

  • W portal zgodności Microsoft Purview określ, czy właśnie testujesz zasady DLP, czy chcesz, aby reguły zostały wymuszone, a uprawnienia plików zostały zmienione zgodnie z tymi regułami. Aby uzyskać więcej informacji, zobacz Włączanie zasad DLP.

Zasady DLP są konfigurowane w portal zgodności Microsoft Purview. Aby uzyskać więcej informacji na temat licencjonowania DLP, zobacz Wprowadzenie do lokalnego skanera zapobiegania utracie danych.

Porada

Skanowanie plików, nawet w przypadku testowania zasad DLP, powoduje również utworzenie raportów uprawnień do plików. Wykonaj zapytania dotyczące tych raportów, aby zbadać określone ekspozycje plików lub zbadać narażenie określonego użytkownika na zeskanowane pliki.

Aby użyć tylko programu PowerShell, zobacz Używanie zasad DLP ze skanerem — tylko program PowerShell.

Aby użyć zasad DLP ze skanerem w portal zgodności Microsoft Purview:

  1. W portal zgodności Microsoft Purview przejdź do karty Zadania skanowania zawartości i wybierz określone zadanie skanowania zawartości. Aby uzyskać więcej informacji, zobacz Tworzenie zadania skanowania zawartości.

  2. W obszarze Włącz reguły zasad DLP ustaw przycisk radiowy na Włączone.

    Ważne

    Nie ustawiaj opcji Włącz reguły DLPna Włączone , chyba że w rzeczywistości masz zasady DLP skonfigurowane na platformie Microsoft 365.

    Włączenie tej funkcji bez zasad DLP spowoduje wygenerowanie błędów przez skaner.

  3. (Opcjonalnie) Ustaw wartość Ustaw właściciela repozytorium na Włączone i zdefiniuj określonego użytkownika jako właściciela repozytorium.

    Ta opcja umożliwia skanerowi zmniejszenie ekspozycji wszystkich plików znalezionych w tym repozytorium, które są zgodne z zasadami DLP zdefiniowanymi przez właściciela repozytorium.

Aby użyć zasad DLP ze skanerem w Azure Portal:

  1. W Azure Portal przejdź do zadania skanowania zawartości. Aby uzyskać więcej informacji, zobacz Tworzenie zadania skanowania zawartości.

  2. W obszarze Zasady DLP ustaw opcję Włącz reguły DLP na Włączone.

    Ważne

    Nie ustawiaj opcji Włącz reguły DLPna Włączone , chyba że w rzeczywistości masz zasady DLP skonfigurowane na platformie Microsoft 365.

    Włączenie tej funkcji bez zasad DLP spowoduje wygenerowanie błędów przez skaner.

  3. (Opcjonalnie) W obszarze Konfigurowanie ustawień pliku ustaw dla właściciela repozytorium wartość Włączone i zdefiniuj określonego użytkownika jako właściciela repozytorium.

    Ta opcja umożliwia skanerowi zmniejszenie narażenia wszystkich plików znalezionych w tym repozytorium, które są zgodne z zasadami DLP, do zdefiniowanego właściciela repozytorium.

Zasady DLP i akcje prywatne

Jeśli używasz zasad DLP z akcją make private action, a także planujesz użyć skanera do automatycznego etykietowania plików, zalecamy również zdefiniowanie zaawansowanego ustawienia UseCopyAndPreserveNTFSOwner klienta ujednoliconego etykietowania.

To ustawienie zapewnia, że oryginalni właściciele zachowają dostęp do swoich plików.

Aby uzyskać więcej informacji, zobacz Tworzenie zadania skanowania zawartości i Automatyczne stosowanie etykiety poufności do zawartości w dokumentacji platformy Microsoft 365.

Zmienianie typów plików do ochrony

Domyślnie skaner usługi AIP chroni tylko typy plików pakietu Office i pliki PDF.

Użyj poleceń programu PowerShell, aby zmienić to zachowanie zgodnie z potrzebami, na przykład w celu skonfigurowania skanera w celu ochrony wszystkich typów plików, podobnie jak w przypadku klienta lub ochrony dodatkowych, określonych typów plików.

W przypadku zasad etykiet, które dotyczą konta użytkownika pobierającego etykiety skanera, określ zaawansowane ustawienie programu PowerShell o nazwie PFileSupportedExtensions.

W przypadku skanera z dostępem do Internetu to konto użytkownika określone dla parametru DelegatedUser za pomocą polecenia Set-AIPAuthentication.

Przykład 1: Polecenie programu PowerShell dla skanera w celu ochrony wszystkich typów plików, gdzie zasady etykiet mają nazwę "Skaner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Przykład 2: Polecenie programu PowerShell dla skanera w celu ochrony plików .xml i plików tiff oprócz plików pakietu Office i plików PDF, gdzie zasady etykiety mają nazwę "Skaner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Aby uzyskać więcej informacji, zobacz Zmienianie typów plików do ochrony.

Uaktualnianie skanera

Jeśli skaner został wcześniej zainstalowany i chcesz uaktualnić go, skorzystaj z instrukcji opisanych w temacie Uaktualnianie skanera usługi Azure Information Protection.

Następnie skonfiguruj skaner i użyj go w zwykły sposób, pomijając kroki instalacji skanera.

Zbiorcze edytowanie ustawień repozytorium danych

Użyj przycisków Eksportuj i Importuj , aby wprowadzić zmiany dla skanera w kilku repozytoriach.

W ten sposób nie trzeba wprowadzać tych samych zmian kilka razy, ręcznie, w Azure Portal lub portal zgodności Microsoft Purview.

Jeśli na przykład masz nowy typ pliku w kilku repozytoriach danych programu SharePoint, możesz zaktualizować ustawienia tych repozytoriów zbiorczo.

Aby zbiorczo wprowadzić zmiany w repozytoriach w portal zgodności Microsoft Purview:

  1. W portal zgodności Microsoft Purview wybierz określone zadanie skanowania zawartości i przejdź do karty Repozytoria w okienku. Wybierz opcję Eksportuj .

  2. Ręcznie edytuj wyeksportowany plik, aby wprowadzić zmiany.

  3. Użyj opcji Importuj na tej samej stronie, aby zaimportować aktualizacje z powrotem do repozytoriów.

Aby wprowadzić zmiany zbiorcze w repozytoriach w Azure Portal:

  1. W okienku Azure Portal w okienku Repozytoria wybierz opcję Eksportuj. Przykład:

    Eksportowanie ustawień repozytorium danych dla skanera usługi Azure Information Protection.

  2. Ręcznie edytuj wyeksportowany plik, aby wprowadzić zmiany.

  3. Użyj opcji Importuj na tej samej stronie, aby zaimportować aktualizacje z powrotem do repozytoriów.

Używanie skanera z alternatywnymi konfiguracjami

Skaner usługi Azure Information Protection zwykle szuka warunków określonych dla etykiet w celu klasyfikowania i ochrony zawartości zgodnie z potrzebami.

W następujących scenariuszach skaner usługi Azure Information Protection może również skanować zawartość i zarządzać etykietami bez żadnych skonfigurowanych warunków:

Stosowanie etykiety domyślnej do wszystkich plików w repozytorium danych

W tej konfiguracji wszystkie nieoznaczone pliki w repozytorium są oznaczone etykietą domyślną określoną dla repozytorium lub zadania skanowania zawartości. Pliki są oznaczone bez inspekcji.

Skonfiguruj następujące ustawienia:

Ustawienie Opis
Etykietowanie plików na podstawie zawartości Ustaw wartość Wyłączone
Etykieta domyślna Ustaw wartość Niestandardowy, a następnie wybierz etykietę do użycia
Wymuszanie etykiety domyślnej Wybierz, aby etykieta domyślna została zastosowana do wszystkich plików, nawet jeśli są one już oznaczone etykietą, włączając pozycję Pliki ponownego etykietowania i Wymuszaj etykietę domyślną na

Usuwanie istniejących etykiet ze wszystkich plików w repozytorium danych

W tej konfiguracji wszystkie istniejące etykiety zostaną usunięte, w tym ochrona, jeśli ochrona została zastosowana wraz z etykietą. Ochrona stosowana niezależnie od etykiety jest zachowywana.

Skonfiguruj następujące ustawienia:

Ustawienie Opis
Etykietowanie plików na podstawie zawartości Ustaw wartość Wyłączone
Etykieta domyślna Ustaw na wartość Brak
Ponowne etykietowanie plików Ustaw wartość Wł. z etykietą domyślną Wymuszaj ustawioną na .

Identyfikowanie wszystkich warunków niestandardowych i znanych typów informacji poufnych

Ta konfiguracja umożliwia znalezienie poufnych informacji, które mogą nie zostać wyświetlone, kosztem skanowania skanera.

Ustaw typy informacji, które mają zostać odnalezione , na Wartość Wszystkie.

Aby zidentyfikować warunki i typy informacji do etykietowania, skaner używa określonych niestandardowych typów informacji poufnych oraz listy wbudowanych typów informacji poufnych, które są dostępne do wybrania zgodnie z definicją w centrum zarządzania etykietowaniem.

Optymalizowanie wydajności skanera

Uwaga

Jeśli chcesz poprawić czas odpowiedzi komputera skanera, a nie wydajność skanera, użyj zaawansowanego ustawienia klienta, aby ograniczyć liczbę wątków używanych przez skaner.

Skorzystaj z poniższych opcji i wskazówek, aby ułatwić optymalizację wydajności skanera:

Opcja Opis
Połączenie sieciowe o dużej szybkości i niezawodności między komputerem skanera a zeskanowanym magazynem danych Na przykład umieść komputer skanera w tej samej sieci LAN lub najlepiej w tym samym segmencie sieci co zeskanowany magazyn danych.

Jakość połączenia sieciowego wpływa na wydajność skanera, ponieważ w celu sprawdzenia plików skaner przesyła zawartość plików na komputer z uruchomioną usługą skanera.

Zmniejszenie lub wyeliminowanie przeskoków sieci wymaganych do podróżować danych zmniejsza również obciążenie sieci.
Upewnij się, że komputer skanera ma dostępne zasoby procesora Inspekcja zawartości pliku i szyfrowanie i odszyfrowywanie plików to akcje intensywnie korzystające z procesora.

Monitoruj typowe cykle skanowania dla określonych magazynów danych, aby określić, czy brak zasobów procesora negatywnie wpływa na wydajność skanera.
Instalowanie wielu wystąpień skanera Skaner usługi Azure Information Protection obsługuje wiele baz danych konfiguracji w tym samym wystąpieniu programu SQL Server podczas określania niestandardowej nazwy klastra skanera.

Porada: Wiele skanerów może również współużytkować ten sam klaster, co pozwala na szybsze skanowanie. Jeśli planujesz zainstalować skaner na wielu maszynach z tym samym wystąpieniem bazy danych i chcesz, aby skanery działały równolegle, musisz zainstalować wszystkie skanery przy użyciu tej samej nazwy klastra.
Sprawdzanie użycia alternatywnej konfiguracji Skaner działa szybciej, gdy używasz alternatywnej konfiguracji , aby zastosować etykietę domyślną do wszystkich plików, ponieważ skaner nie sprawdza zawartości pliku.

Skaner działa wolniej, gdy używasz alternatywnej konfiguracji do identyfikowania wszystkich warunków niestandardowych i znanych typów informacji poufnych.

Dodatkowe czynniki wpływające na wydajność

Dodatkowe czynniki wpływające na wydajność skanera:

Czynnik Opis
Czasy ładowania/odpowiedzi Bieżące czasy ładowania i odpowiedzi magazynów danych, które zawierają pliki do skanowania, również będą mieć wpływ na wydajność skanera.
Tryb skanera (odnajdywanie/wymuszanie) Tryb odnajdywania zwykle ma wyższą szybkość skanowania niż tryb wymuszania.

Odnajdywanie wymaga pojedynczej akcji odczytu pliku, natomiast tryb wymuszania wymaga akcji odczytu i zapisu.
Zmiany zasad Może to mieć wpływ na wydajność skanera, jeśli wprowadzono zmiany w automatycznym etykietowaniu w zasadach etykiet.

Pierwszy cykl skanowania, gdy skaner musi sprawdzić każdy plik, będzie trwać dłużej niż kolejne cykle skanowania, które domyślnie są sprawdzane tylko nowe i zmienione pliki.

Jeśli zmienisz warunki lub ustawienia automatycznego etykietowania, wszystkie pliki zostaną ponownie przeskanowane. Aby uzyskać więcej informacji, zobacz Ponowne skanowanie plików.
Konstrukcje regularne Wydajność skanera ma wpływ na sposób konstruowania wyrażeń regularnych dla warunków niestandardowych.

Aby uniknąć dużego zużycia pamięci i ryzyka przekroczenia limitu czasu (15 minut na plik), przejrzyj wyrażenia regularne, aby uzyskać wydajne dopasowywanie wzorców.

Przykład:
- Unikaj chciwych kwantyfikatorów
— Użyj grup nieuchwytujących, takich jak (?:expression) zamiast (expression)
Poziom dziennika Opcje poziomu dziennika obejmują debugowanie, informacje, błędy i wyłączanie raportów skanera.

- Wyłączone wyniki w najlepszej wydajności
- Debugowanie znacznie spowalnia skaner i powinno być używane tylko do rozwiązywania problemów.

Aby uzyskać więcej informacji, zobacz parametr ReportLevel polecenia cmdlet Set-AIPScannerConfiguration .
Przeskanowane pliki — Z wyjątkiem plików programu Excel pliki pakietu Office są szybciej skanowane niż pliki PDF.

— Pliki niechronione są szybsze do skanowania niż pliki chronione.

- Duże pliki oczywiście trwa dłużej, aby skanować niż małe pliki.

Konfigurowanie skanera przy użyciu programu PowerShell

W tej sekcji opisano kroki wymagane do skonfigurowania i zainstalowania skanera lokalnego usługi AIP, gdy nie masz dostępu do stron skanera w Azure Portal i muszą używać tylko programu PowerShell.

Ważne

Aby uzyskać więcej informacji, zobacz Obsługiwane polecenia cmdlet programu PowerShell.

Aby skonfigurować i zainstalować skaner:

  1. Rozpocznij od zamknięcia programu PowerShell. Jeśli wcześniej zainstalowano klienta i skaner usługi AIP, upewnij się, że usługa AIPScanner została zatrzymana.

  2. Otwórz sesję Windows PowerShell z opcją Uruchom jako administrator.

  3. Uruchom polecenie Install-AIPScanner , aby zainstalować skaner w wystąpieniu programu SQL Server z parametrem Klaster w celu zdefiniowania nazwy klastra.

    Ten krok jest identyczny, czy można uzyskać dostęp do stron skanera w Azure Portal. Aby uzyskać więcej informacji, zobacz wcześniejsze instrukcje w tym artykule: Instalowanie skanera

  4. Pobierz token platformy Azure do użycia ze skanerem, a następnie ponownie uwierzytelnij.

    Ten krok jest identyczny, czy można uzyskać dostęp do stron skanera w Azure Portal. Aby uzyskać więcej informacji, zobacz wcześniejsze instrukcje w tym artykule: Uzyskiwanie tokenu Azure AD dla skanera.

  5. Uruchom polecenie cmdlet Set-AIPScannerConfiguration , aby ustawić skaner na funkcję w trybie offline. Uruchom:

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  6. Uruchom polecenie cmdlet Set-AIPScannerContentScanJob , aby utworzyć domyślne zadanie skanowania zawartości.

    Jedynym wymaganym parametrem polecenia cmdlet Set-AIPScannerContentScanJob jest Wymuszanie. Jednak w tej chwili możesz zdefiniować inne ustawienia zadania skanowania zawartości. Przykład:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    Powyższy składnia konfiguruje następujące ustawienia podczas kontynuowania konfiguracji:

    • Utrzymuje harmonogram uruchamiania skanera do ręcznego
    • Ustawia typy informacji, które mają zostać odnalezione na podstawie zasad etykietowania poufności
    • Nie wymusza zasad etykietowania poufności
    • Automatycznie etykiety plików na podstawie zawartości przy użyciu etykiety domyślnej zdefiniowanej dla zasad etykietowania poufności
    • Nie zezwala na ponowne etykietowanie plików
    • Zachowuje szczegóły pliku podczas skanowania i automatycznego etykietowania, w tym daty modyfikacji, ostatniej modyfikacji i modyfikacji według wartości
    • Ustawia skaner, aby wykluczyć pliki msg i tmp podczas uruchamiania
    • Ustawia domyślnego właściciela konta, którego chcesz użyć podczas uruchamiania skanera
  7. Użyj polecenia cmdlet Add-AIPScannerRepository , aby zdefiniować repozytoria, które chcesz skanować w zadaniu skanowania zawartości. Na przykład uruchom:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Użyj jednej z następujących składni, w zależności od typu dodawanego repozytorium:

    • W przypadku udziału sieciowego użyj polecenia \\Server\Folder.
    • W przypadku biblioteki programu SharePoint użyj polecenia http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • W przypadku ścieżki lokalnej: C:\Folder
    • W przypadku ścieżki UNC: \\Server\Folder

    Uwaga

    Symbole wieloznaczne nie są obsługiwane, a lokalizacje WebDav nie są obsługiwane.

    Aby później zmodyfikować repozytorium, zamiast tego użyj polecenia cmdlet Set-AIPScannerRepository .

    Jeśli dodasz ścieżkę programu SharePoint dla dokumentów udostępnionych:

    • Określ dokumenty udostępnione w ścieżce, gdy chcesz skanować wszystkie dokumenty i wszystkie foldery z dokumentów udostępnionych. Na przykład: http://sp2013/SharedDocuments
    • Określ dokumenty w ścieżce, gdy chcesz skanować wszystkie dokumenty i wszystkie foldery z podfolderu w obszarze Dokumenty udostępnione. Na przykład: http://sp2013/Documents/SalesReports
    • Możesz też określić tylko nazwę FQDN programu SharePoint, na przykład http://sp2013 w celu odnajdywania i skanowania wszystkich witryn i podwitryn programu SharePoint pod określonym adresem URL i podtytułami w tym adresie URL. Udziel skanerowi uprawnień audytora modułu zbierającego witryn , aby to włączyć.

    Podczas dodawania ścieżek programu SharePoint użyj następującej składni:

    Ścieżka Składnia
    Ścieżka główna http://<SharePoint server name>

    Skanuje wszystkie witryny, w tym wszystkie zbiory witryn dozwolone dla użytkownika skanera.
    Wymaga dodatkowych uprawnień do automatycznego odnajdywania zawartości głównej
    Określona podwitryna lub kolekcja programu SharePoint Jeden z poniższych programów:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Wymaga dodatkowych uprawnień do automatycznego odnajdywania zawartości zbioru witryn
    Określona biblioteka programu SharePoint Jeden z poniższych programów:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Określony folder programu SharePoint http://<SharePoint server name>/.../<folder name>

W razie potrzeby wykonaj następujące czynności:

Konfigurowanie skanera w celu zastosowania klasyfikacji i ochrony za pomocą programu PowerShell

  1. Uruchom polecenie cmdlet Set-AIPScannerContentScanJob , aby zaktualizować zadanie skanowania zawartości, aby ustawić harmonogram na zawsze i wymusić zasady poufności.

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On
    

    Porada

    Możesz zmienić inne ustawienia w tym okienku, takie jak to, czy atrybuty plików zostały zmienione i czy skaner może ponownie utworzyć etykiety plików. Aby uzyskać więcej informacji na temat dostępnych ustawień, zobacz pełną dokumentację programu PowerShell.

  2. Uruchom polecenie cmdlet Start-AIPScan , aby uruchomić zadanie skanowania zawartości:

    Start-AIPScan
    

Skaner jest teraz zaplanowany do ciągłego uruchamiania. Gdy skaner działa przez wszystkie skonfigurowane pliki, automatycznie uruchamia nowy cykl, aby wszystkie nowe i zmienione pliki zostały odnalezione.

Konfigurowanie zasad DLP za pomocą programu PowerShell za pomocą skanera

  1. Uruchom ponownie polecenie cmdlet Set-AIPScannerContentScanJob z parametrem -EnableDLP ustawionym na Włączone i z określonym właścicielem repozytorium zdefiniowanym.

    Przykład:

    Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
    

Obsługiwane polecenia cmdlet programu PowerShell

W tej sekcji wymieniono polecenia cmdlet programu PowerShell obsługiwane dla skanera usługi Azure Information Protection oraz instrukcje dotyczące konfigurowania i instalowania skanera tylko za pomocą programu PowerShell.

Obsługiwane polecenia cmdlet skanera obejmują:

Następne kroki

Po zainstalowaniu i skonfigurowaniu skanera rozpocznij skanowanie plików.

Zobacz również: Wdrażanie skanera usługi Azure Information Protection w celu automatycznego klasyfikowania i ochrony plików.

Więcej informacji: