Introdução ao scanner de proteção de informações

  • Artigo

Observação

Agora, na versão prévia, há uma nova versão do scanner de proteção de informações. Para obter mais informações, consulte Atualizar o scanner de Proteção de Informações do Microsoft Purview do cliente Proteção de Informações do Azure.

Antes de instalar o scanner de Proteção de Informações do Microsoft Purview, verifique se o sistema está em conformidade com os requisitos básicos de Proteção de Informações do Azure.

Além disso, os seguintes requisitos são específicos para o scanner:

Se você não conseguir atender a todos os requisitos listados para o scanner porque eles são proibidos pelas políticas de sua organização, consulte a seção configurações alternativas .

Ao implantar o scanner na produção ou testar o desempenho de vários scanners, consulte Requisitos de armazenamento e planejamento de capacidade para SQL Server.

Quando estiver pronto para começar a instalar e implantar o scanner, continue com Configurar e instalar o scanner de proteção de informações.

Requisitos do Windows Server

Você deve ter um computador Windows Server para executar o scanner, que tem as seguintes especificações do sistema:

Especificação Detalhes
Processador 4 processadores principais
RAM 8 GB
Espaço em disco Espaço livre de 10 GB (média) para arquivos temporários.

O scanner requer espaço em disco suficiente para criar arquivos temporários para cada arquivo que ele examina, quatro arquivos por núcleo.

O espaço em disco recomendado de 10 GB permite que quatro processadores principais escaneiem 16 arquivos com um tamanho de arquivo de 625 MB.
Sistema operacional Versões de 64 bits de:

– Windows Server 2022
– Windows Server 2019
– Windows Server 2016
– Windows Server 2012 R2

Observação: para fins de teste ou avaliação em um ambiente de não produção, você também pode usar qualquer sistema operacional Windows com suporte do cliente do Azure Proteção de Informações.
- Conectividade de rede Seu computador scanner pode ser um computador físico ou virtual com uma conexão de rede rápida e confiável com os armazenamentos de dados a serem verificados.

Se a conectividade com a Internet não for possível devido às políticas da sua organização, consulte Implantar o scanner com configurações alternativas.

Caso contrário, verifique se esse computador tem conectividade com a Internet que permite as seguintes URLs por HTTPS (porta 443):

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com
- *.protection.outlook.com
Ações NFS Para dar suporte a verificações em compartilhamentos NFS, os serviços para NFS devem ser implantados no computador de scanner.

Em seu computador, navegue até a caixa de diálogo Recursos do Windows (ativar ou desativar recursos do Windows) e selecione os seguintes itens: Serviços paraFerramentas Administrativas NFS > e Cliente para NFS.
IFilter do Microsoft Office Quando o scanner estiver instalado em um computador windows server, você também deve instalar o iFilter do Microsoft Office para verificar .zip arquivos em busca de tipos de informações confidenciais.

Para obter mais informações, confira o site de download da Microsoft.

Requisitos da conta de serviço

Você deve ter uma conta de serviço para executar o serviço de scanner no computador Windows Server, bem como autenticar para Microsoft Entra ID e baixar a política do scanner.

Sua conta de serviço deve ser uma conta do Active Directory e sincronizada para Microsoft Entra ID.

Se você não puder sincronizar essa conta devido às políticas da sua organização, consulte Implantar o scanner com configurações alternativas.

Essa conta de serviço tem os seguintes requisitos:

Requisito Detalhes
Fazer logon na atribuição correta do usuário localmente Necessário para instalar e configurar o scanner, mas não necessário para executar verificações.

Depois de confirmar que o scanner pode descobrir, classificar e proteger arquivos, você pode remover esse direito da conta de serviço.

Se a concessão desse direito mesmo por um curto período de tempo não for possível devido às políticas da sua organização, consulte Implantar o scanner com configurações alternativas.
Faça logon como uma atribuição correta do usuário de serviço. Esse direito é concedido automaticamente à conta de serviço durante a instalação do scanner e esse direito é necessário para a instalação, configuração e operação do scanner.
Permissões para os repositórios de dados - Compartilhamentos de arquivos ou arquivos locais: conceda permissões de leitura, gravação e modificação para examinar os arquivos e, em seguida, aplicar classificação e proteção conforme configurado.

- SharePoint: você deve conceder permissões de Controle Total para examinar os arquivos e, em seguida, aplicar classificação e proteção aos arquivos que atendem às condições na política de Proteção de Informações do Azure.

- Modo de descoberta: para executar o scanner somente no modo de descoberta, a permissão de leitura é suficiente.
Para rótulos que reproteçam ou removem a proteção Para garantir que o scanner sempre tenha acesso a arquivos criptografados, torne essa conta um super usuário para o Azure Proteção de Informações e verifique se o recurso do super usuário está habilitado.

Além disso, se você implementou controles de integração para uma implantação em fases, verifique se a conta de serviço está incluída nos controles de integração que você configurou.
Verificação de nível de URL específica Para examinar e descobrir sites e subsites em uma URL específica, conceda direitos do Auditor de Coletor de Sites à conta do scanner no nível do farm.
Licença para proteção de informações Necessário para fornecer recursos de classificação, rotulagem ou proteção de arquivos para a conta de serviço do scanner.

Para obter mais informações, consulte as diretrizes do Microsoft 365 para conformidade de & de segurança.

Requisitos do SQL Server

Para armazenar os dados de configuração do scanner, use um SQL Server com os seguintes requisitos:

  • Uma instância local ou remota.

    Recomendamos hospedar o SQL Server e o serviço de scanner em computadores diferentes, a menos que você esteja trabalhando com uma pequena implantação. Além disso, recomendamos ter uma instância de SQL dedicada que atende apenas ao banco de dados do scanner e que não seja compartilhada com outros aplicativos.

    Se você estiver trabalhando em um servidor compartilhado, verifique se o número recomendado de núcleos é gratuito para que o banco de dados do scanner funcione.

    SQL Server 2016 é a versão mínima para as seguintes edições:

    • SQL Server Enterprise

    • SQL Server Standard

    • SQL Server Express (recomendado apenas para ambientes de teste)

  • Uma conta com função Sysadmin para instalar o scanner.

    A função Sysadmin permite que o processo de instalação crie automaticamente o banco de dados de configuração do scanner e conceda a função db_owner necessária à conta de serviço que executa o scanner.

    Se você não puder receber a função Sysadmin ou suas políticas de organização exigirem que bancos de dados sejam criados e configurados manualmente, consulte Implantar o scanner com configurações alternativas.

  • Capacidade. Para obter diretrizes de capacidade, consulte Requisitos de armazenamento e planejamento de capacidade para SQL Server.

  • Ordenação insensível de caso.

Observação

Há suporte para vários bancos de dados de configuração no mesmo SQL Server quando você especifica um nome de cluster personalizado para o scanner ou quando você usa a versão prévia do scanner.

Requisitos de armazenamento e planejamento de capacidade para SQL Server

A quantidade de espaço em disco necessária para o banco de dados de configuração do scanner e a especificação do computador em execução SQL Server podem variar para cada ambiente, portanto, incentivamos você a fazer seu próprio teste. Use as diretrizes a seguir como ponto de partida.

Para obter mais informações, confira Otimizando o desempenho do scanner.

O tamanho do disco para o banco de dados de configuração do scanner variará para cada implantação. Use a seguinte equação como diretriz:

100 KB + <file count> *(1000 + 4* <average file name length>)

Por exemplo, para verificar 1 milhão de arquivos com um tamanho médio de nome de arquivo de 250 bytes, aloque espaço em disco de 2 GB.

Para vários scanners:

  • Até 10 scanners, use:

    • 4 processadores principais
    • RAM de 8 GB recomendada

  • Mais de 10 scanners (no máximo 40), use:

    • 8 processos principais
    • RAM de 16 GB recomendada

Requisitos do cliente Proteção de Informações do Azure

Para uma rede de produção, você deve ter a versão de disponibilidade geral atual do cliente do Azure Proteção de Informações instalado no computador Windows Server.

Para obter mais informações, consulte o guia de administrador de cliente de rotulagem unificada do Azure Proteção de Informações.

Importante

Você deve instalar o cliente completo para o scanner. Não instale o cliente apenas com o módulo do PowerShell.

Requisitos de configuração de rótulo

Você deve ter pelo menos um rótulo de confidencialidade configurado no portal do Microsoft Purview ou portal de conformidade do Microsoft Purview para a conta do scanner, para aplicar classificação e, opcionalmente, criptografia.

A conta do scanner é a conta que você especificará no parâmetro DelegatedUser do cmdlet Set-AIPAuthentication , executado ao configurar o scanner.

Se seus rótulos não tiverem condições de rotulagem automática, consulte as instruções para configurações alternativas abaixo.

Para saber mais, confira:

Requisitos do SharePoint

Para verificar bibliotecas e pastas de documentos do SharePoint, verifique se o servidor do SharePoint está em conformidade com os seguintes requisitos:

Requisito Descrição
Versões com suporte As versões com suporte incluem: SharePoint 2019, SharePoint 2016 e SharePoint 2013.
Não há suporte para outras versões do SharePoint para o scanner.
Controle de Versão Quando você usa a versão, o scanner inspeciona e rotula a última versão publicada.

Se o scanner rotular um arquivo e a aprovação de conteúdo for necessário, esse arquivo rotulado deverá ser aprovado para estar disponível para os usuários.
Grandes fazendas do SharePoint Para fazendas grandes do SharePoint, marcar se você precisa aumentar o limite de exibição de lista (por padrão, 5.000) para que o scanner acesse todos os arquivos.

Para obter mais informações, consulte Gerenciar listas e bibliotecas grandes no SharePoint.
Longos caminhos de arquivo Se você tiver longos caminhos de arquivo no SharePoint, verifique se o valor httpRuntime.maxUrlLength do servidor do SharePoint é maior que os 260 caracteres padrão.

Para obter mais informações, confira a próxima seção Evitar tempo limite do scanner no SharePoint.

Evitar tempos limite de scanner no SharePoint

Se você tiver longos caminhos de arquivo na versão 2013 ou superior do SharePoint, verifique se o valor httpRuntime.maxUrlLength do servidor do SharePoint é maior que os 260 caracteres padrão.

Esse valor é definido na classe HttpRuntimeSection da ASP.NET configuração.

Para atualizar a classe HttpRuntimeSection:

  1. Faça backup da configuração deweb.config .

  2. Atualize o valor maxUrlLength conforme necessário. Por exemplo:

    <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />

  3. Reinicie o servidor Web do SharePoint e verifique se ele é carregado corretamente.

    Por exemplo, no Gerenciador de Servidores de Informações da Internet (IIS) do Windows, selecione seu site e, em Gerenciar Site, selecione Reiniciar.

Requisitos do Microsoft Office

Para examinar documentos do Office, seus documentos devem estar em um dos seguintes formatos:

  • Microsoft Office 97-2003
  • Formatos XML do Office Open para Word, Excel e PowerPoint

Para obter mais informações, consulte Tipos de arquivo compatíveis com o cliente de rotulagem unificada do Azure Proteção de Informações.

Requisitos de caminho de arquivo

Por padrão, para verificar arquivos, seus caminhos de arquivo devem ter um máximo de 260 caracteres.

Para verificar arquivos com caminhos de arquivo de mais de 260 caracteres, instale o scanner em um computador com uma das seguintes versões do Windows e configure o computador conforme necessário:

Versão do Windows Descrição
Windows 2016 ou posterior Configurar o computador para dar suporte a caminhos longos
Windows 10 ou Windows Server 2016 Defina a seguinte configuração de política de grupo:Modelos administrativos> deconfiguração> de computador de política > de computador localTodas as configuraçõeshabilitam caminhos> longos do Win32.

Para obter mais informações sobre o suporte a longo caminho de arquivo nessas versões, consulte a seção Limitação máxima de comprimento do caminho da documentação do desenvolvedor Windows 10.
Windows 10, versão 1607 ou posterior Opte pela funcionalidade de MAX_PATH atualizada. Para obter mais informações, consulte Habilitar caminhos longos em Windows 10 versões 1607 e posteriores.

Implantando o scanner com configurações alternativas

Os pré-requisitos listados acima são os requisitos padrão para a implantação do scanner e recomendados porque dão suporte à configuração de scanner mais simples.

Os requisitos padrão devem ser adequados para testes iniciais, para que você possa marcar os recursos do scanner.

No entanto, em um ambiente de produção, as políticas da sua organização podem ser diferentes dos requisitos padrão. O scanner pode acomodar as seguintes alterações com configuração adicional:

Descobrir e examinar todos os sites e subsites do SharePoint em uma URL específica

O scanner pode descobrir e examinar todos os sites e subsites do SharePoint em uma URL específica com a seguinte configuração:

  1. Inicie a Administração Central do SharePoint.

  2. No site da Administração Central do SharePoint , na seção Gerenciamento de Aplicativos , clique em Gerenciar aplicativos Web.

  3. Clique para realçar o aplicativo Web cujo nível de política de permissão você deseja gerenciar.

  4. Escolha o farm relevante e selecione Gerenciar Níveis de Política de Permissões.

  5. Selecione Auditor de Coleção de Sites nas opções Permissões de Coleção de Sites e, em seguida, conceda Exibir Páginas de Aplicativo na lista Permissões e, por fim, nomeie o novo auditor e visualizador da coleção de sites do Scanner de nível de política.

  6. Adicione o usuário do scanner à nova política e conceda a coleção Site na lista Permissões.

  7. Adicione uma URL do SharePoint que hospeda sites ou subsites que precisam ser verificados. Para obter mais informações, consulte Configurar as configurações do scanner.

Para saber mais sobre como gerenciar seus níveis de política do SharePoint, consulte gerenciar políticas de permissão para um aplicativo Web.

Restrição: o servidor de scanner não pode ter conectividade com a Internet

Embora o cliente de rotulagem unificada não possa aplicar criptografia sem uma conexão com a Internet, o scanner ainda pode aplicar rótulos com base em políticas importadas.

Para dar suporte a um computador desconectado, use um dos seguintes métodos:

Usar o portal do Microsoft Purview ou portal de conformidade do Microsoft Purview com um computador desconectado

Para dar suporte a um computador que não pode se conectar ao portal ou portal de conformidade do Microsoft Purview do Microsoft Purview, execute as seguintes etapas:

  1. Configure rótulos em sua política e use o procedimento para dar suporte a computadores desconectados para habilitar a classificação e a rotulagem offline.

  2. Habilite o gerenciamento offline para trabalhos de conteúdo da seguinte maneira:

    Habilitar o gerenciamento offline para trabalhos de verificação de conteúdo:

    1. Defina o scanner para funcionar no modo offline , usando o cmdlet Set-AIPScannerConfiguration .

    2. Configure o scanner no portal de conformidade criando um cluster de scanner. Para obter mais informações, consulte Configurar as configurações do scanner.

    3. Exportar seu trabalho de conteúdo da proteção de informações – Trabalhos de verificação de conteúdo usando a opção Exportar .

    4. Importe a política usando o cmdlet Import-AIPScannerConfiguration .

    Os resultados para trabalhos de verificação de conteúdo offline estão localizados em: %localappdata%\Microsoft\MSIP\Scanner\Reports

Usar o PowerShell com um computador desconectado

Execute o procedimento a seguir para dar suporte a um computador desconectado usando apenas o PowerShell.

Importante

Os administradores dos servidores de scanner do Azure China 21Vianetdevem usar esse procedimento para gerenciar seus trabalhos de verificação de conteúdo.

Gerenciar seus trabalhos de verificação de conteúdo usando apenas o PowerShell:

  1. Defina o scanner para funcionar no modo offline , usando o cmdlet Set-AIPScannerConfiguration .

  2. Crie um novo trabalho de verificação de conteúdo usando o cmdlet Set-AIPScannerContentScanJob, certificando-se de usar o parâmetro obrigatório -Enforce On .

  3. Adicione seus repositórios usando o cmdlet Add-AIPScannerRepository , com o caminho para o repositório que você deseja adicionar.

    Dica

    Para impedir que o repositório herde as configurações do trabalho de verificação de conteúdo, adicione o OverrideContentScanJob On parâmetro, bem como valores para configurações adicionais.

    Para editar detalhes de um repositório existente, use o comando Set-AIPScannerRepository .

  4. Use os cmdlets Get-AIPScannerContentScanJob e Get-AIPScannerRepository para retornar informações sobre as configurações atuais do trabalho de verificação de conteúdo.

  5. Use o comando Set-AIPScannerRepository para atualizar os detalhes de um repositório existente.

  6. Execute seu trabalho de verificação de conteúdo imediatamente, se necessário, usando o cmdlet Start-AIPScan .

    Os resultados para trabalhos de verificação de conteúdo offline estão localizados em: %localappdata%\Microsoft\MSIP\Scanner\Reports

  7. Se você precisar remover um repositório ou um trabalho inteiro de verificação de conteúdo, use os seguintes cmdlets:

Restrição: você não pode receber sysadmin ou bancos de dados devem ser criados e configurados manualmente

Use os procedimentos a seguir para criar bancos de dados manualmente e conceder a função db_owner , conforme necessário.

Se você puder receber a função Sysadmin temporariamente para instalar o scanner, poderá remover essa função quando a instalação do scanner for concluída.

Faça um dos seguintes procedimentos, dependendo dos requisitos da sua organização:

Restrição Descrição
Você pode ter a função Sysadmin temporariamente Se você tiver temporariamente a função Sysadmin, o banco de dados será criado automaticamente para você e a conta de serviço do scanner receberá automaticamente as permissões necessárias.

No entanto, a conta de usuário que configura o scanner ainda requer a função db_owner para o banco de dados de configuração do scanner. Se você tiver apenas a função Sysadmin até que a instalação do scanner seja concluída, conceda a função db_owner à conta de usuário manualmente.
Você não pode ter a função Sysadmin em tudo Se você não puder receber a função Sysadmin mesmo temporariamente, deverá solicitar a um usuário com direitos de Sysadmin para criar manualmente um banco de dados antes de instalar o scanner.

Para essa configuração, a função db_owner deve ser atribuída às seguintes contas:
- Conta de serviço para o scanner
– Conta de usuário para a instalação do scanner
– Conta de usuário para configuração do scanner

Normalmente, você usará a mesma conta de usuário para instalar e configurar o scanner. Se você usar contas diferentes, ambas exigirão a função db_owner para o banco de dados de configuração do scanner. Crie esse usuário e os direitos conforme necessário. Se você especificar seu próprio nome de cluster, o banco de dados de configuração será nomeado AIPScannerUL_<cluster_name>.

Além disso:

  • Você deve ser um administrador local no servidor que executará o scanner

  • A conta de serviço que executará o scanner deve receber permissões de Controle Total para as seguintes chaves de registro:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Se, depois de configurar essas permissões, você vir um erro ao instalar o scanner, o erro poderá ser ignorado e você poderá iniciar manualmente o serviço de scanner.

Crie manualmente um banco de dados e um usuário para o scanner e conceda direitos db_owner

Se você precisar criar manualmente o banco de dados do scanner e/ou criar um usuário e conceder direitos db_owner no banco de dados, peça ao seu Sysadmin para executar as seguintes etapas:

  1. Criar um banco de dados para o scanner:

    **CREATE DATABASE AIPScannerUL_[clustername]**

**ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**

  2. Conceda direitos ao usuário que executa o comando de instalação e é usado para executar comandos de gerenciamento de scanner. Use o seguinte script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

  3. Conceda direitos à conta de serviço do scanner. Use o seguinte script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

Restrição: a conta de serviço do scanner não pode receber o logon localmente correto

Se suas políticas de organização proibirem o Logon localmente para contas de serviço, use o parâmetro OnBehalfOf com Set-AIPAuthentication.

Para obter mais informações, consulte Como rotular arquivos de forma não interativa para o Azure Proteção de Informações.

Restrição: a conta de serviço do scanner não pode ser sincronizada com Microsoft Entra ID mas o servidor tem conectividade com a Internet

Você pode ter uma conta para executar o serviço de scanner e usar outra conta para autenticar para Microsoft Entra ID:

Restrição: seus rótulos não têm condições de rotulagem automática

Se os rótulos não tiverem condições de rotulagem automática, planeje usar uma das seguintes opções ao configurar o scanner:

Opção Descrição
Descobrir todos os tipos de informações No trabalho de verificação de conteúdo, defina a opção Tipos de informações a serem descobertos como Todos.

Essa opção define o trabalho de verificação de conteúdo para examinar seu conteúdo em busca de todos os tipos de informações confidenciais.
Usar rotulagem recomendada No trabalho de verificação de conteúdo, defina a opção Tratar rotulagem recomendada como automática como Ativar.

Essa configuração configura o scanner para aplicar automaticamente todos os rótulos recomendados em seu conteúdo.
Definir um rótulo padrão Defina um rótulo padrão em sua política, trabalho de verificação de conteúdo ou repositório.

Nesse caso, o scanner aplica o rótulo padrão em todos os arquivos encontrados.

Próximas etapas

Depois de confirmar que seu sistema está em conformidade com os pré-requisitos do scanner, continue com Configurar e instalar o scanner de proteção de informações.

Para obter uma visão geral sobre o scanner, consulte Saiba mais sobre o scanner de proteção de informações.