Compartilhar via


Configurar e instalar o analisador de proteção de informações

Observação

Existe uma nova versão do analisador de proteção de informações. Para obter mais informações, consulte Atualizar o Proteção de Informações do Microsoft Purview scanner.

Este artigo descreve como configurar e instalar o scanner Proteção de Informações do Microsoft Purview, anteriormente denominado Azure Proteção de Informações scanner de etiquetagem unificada ou scanner no local.

Dica

Embora a maioria dos clientes execute estes procedimentos no portal de administração, poderá ter de trabalhar apenas no PowerShell.

Por exemplo, se estiver a trabalhar num ambiente sem acesso ao portal de administração, como o Azure China 21Vianet, siga as instruções em Utilizar o PowerShell para configurar o scanner.

Visão Geral

Antes de começar, verifique se o sistema está em conformidade com os pré-requisitos necessários.

Em seguida, utilize os seguintes passos para configurar e instalar o scanner:

  1. Configurar as definições do scanner

  2. Instalar o scanner

  3. Obter um token de Microsoft Entra para o scanner

  4. Configurar o scanner para aplicar a classificação e proteção

Em seguida, execute os seguintes procedimentos de configuração conforme necessário para o seu sistema:

Procedimento Descrição
Alterar os tipos de ficheiro a proteger Poderá querer analisar, classificar ou proteger diferentes tipos de ficheiros do que a predefinição. Para obter mais informações, veja O processo de análise.
Atualizar o scanner Atualize o scanner para utilizar as funcionalidades e melhorias mais recentes.
Editar as definições do repositório de dados em massa Utilize as opções de importação e exportação para fazer alterações em massa para vários repositórios de dados.
Utilizar o scanner com configurações alternativas Utilizar o scanner sem configurar etiquetas com quaisquer condições
Otimizar desempenho Documentação de orientação para otimizar o desempenho do scanner

Se não tiver acesso às páginas do scanner no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview, configure as definições do scanner apenas no PowerShell. Para obter mais informações, veja Use PowerShell to configure the scanner and Supported PowerShell cmdlets (Utilizar o PowerShell para configurar o scanner e os cmdlets suportados do PowerShell).

Configurar as definições do scanner

Antes de instalar o scanner ou atualizá-lo a partir de uma versão de disponibilidade geral mais antiga, configure ou verifique as definições do scanner. Para essa configuração, você pode usar o portal do Microsoft Purview ou o portal de conformidade do Microsoft Purview.

Para configurar o scanner no portal do Microsoft Purview ou portal de conformidade do Microsoft Purview:

  1. Inicie sessão com uma das seguintes funções:
  • Administrador de Conformidade
  • Administrador de Dados de Conformidade
  • Administrador de Segurança
  • Organization Management
  1. Dependendo do portal que estiver usando, navegue até um dos seguintes locais:

  2. Criar um cluster de scanners. Este cluster define o scanner e é utilizado para identificar a instância do analisador, como durante a instalação, atualizações e outros processos.

  3. Crie uma tarefa de análise de conteúdos para definir os repositórios que pretende analisar.

Criar um cluster de scanners

Para criar um cluster de scanners no portal do Microsoft Purview ou portal de conformidade do Microsoft Purview:

  1. Nos separadores na página Analisador de proteção de informações , selecione Clusters.

  2. No separador Clusters , selecione Adicionarícone Adicionar ícone.

  3. No painel Novo cluster , introduza um nome significativo para o scanner e uma descrição opcional.

    O nome do cluster é utilizado para identificar as configurações e os repositórios do scanner. Por exemplo, pode entrar na Europa para identificar as localizações geográficas dos repositórios de dados que pretende analisar.

    Irá utilizar este nome mais tarde para identificar onde pretende instalar ou atualizar o scanner.

  4. Selecione Salvar para salvar suas alterações.

Criar uma tarefa de análise de conteúdos

Descrição aprofundada dos seus conteúdos para analisar repositórios específicos de conteúdo confidencial.

Para criar a tarefa de análise de conteúdos no portal do Microsoft Purview do portal de conformidade do Microsoft Purview:

  1. Nos separadores da página Analisador de proteção de informações , selecione Tarefas de análise de conteúdo.

  2. No painel Tarefas de análise de conteúdo , selecione Adicionarícone adicionar ícone.

  3. Para esta configuração inicial, configure as seguintes definições e, em seguida, selecione Guardar.

    Setting Descrição
    Definições da tarefa de análise de conteúdos - Agenda: Manter a predefinição de Manual
    - Tipos de informações a detetar: Alterar apenas para Política
    Política de DLP Se estiver a utilizar uma política de prevenção de perda de dados, defina Ativar regras DLP como Ativado. Para obter mais informações, veja Utilizar uma política DLP.
    Política de confidencialidade - Impor política de etiquetagem de confidencialidade: selecione Desativado
    - Etiquetar ficheiros com base no conteúdo: Manter a predefinição de Ativado
    - Etiqueta predefinida: mantenha a predefinição de Política
    - Ficheiros de recaída: mantenha a predefinição de Desativado
    Configurar definições de ficheiro - Preservar "Data de modificação", "Última modificação" e "Modificado por": Manter a predefinição de Ativado
    - Tipos de ficheiro a analisar: mantenha os tipos de ficheiro predefinidos para Excluir
    - Proprietário predefinido: mantenha a predefinição da Conta do Scanner
    - Definir proprietário do repositório: utilize esta opção apenas quando utilizar uma política DLP.
  4. Abra a tarefa de análise de conteúdos que foi guardada e selecione o separador Repositórios para especificar os arquivos de dados a analisar.

    Especifique caminhos UNC e URLs do SharePoint Server para bibliotecas e pastas de documentos no local do SharePoint.

    Observação

    SharePoint Server 2019, SharePoint Server 2016 e SharePoint Server 2013 são suportados para o SharePoint. O SharePoint Server 2010 também é suportado quando tem suporte alargado para esta versão do SharePoint.

    Para adicionar o seu primeiro arquivo de dados, enquanto estiver no separador Repositórios :

    1. No painel Repositórios , selecione Adicionar:

    2. No painel Repositório , especifique o caminho para o repositório de dados e, em seguida, selecione Guardar.

      • Para uma partilha de rede, utilize \\Server\Folder.
      • Para uma biblioteca do SharePoint, utilize http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • Para um caminho local: C:\Folder
      • Para um caminho UNC: \\Server\Folder

    Observação

    Os carateres universais não são suportados e as localizações webDav não são suportadas. A análise das localizações do OneDrive como repositórios não é suportada.

    Se adicionar um caminho do SharePoint para Documentos Partilhados:

    • Especifique Documentos Partilhados no caminho quando pretender analisar todos os documentos e todas as pastas a partir de Documentos Partilhados. Por exemplo: http://sp2013/SharedDocuments
    • Especifique Documentos no caminho quando pretender analisar todos os documentos e todas as pastas de uma subpasta em Documentos Partilhados. Por exemplo: http://sp2013/Documents/SalesReports
    • Em alternativa, especifique apenas o FQDN do seu SharePoint, por exemplo http://sp2013 , para detetar e digitalizar todos os sites e subsites do SharePoint num URL e subtítulos específicos neste URL. Conceda ao scanner direitos de Auditor recoletor de Sites para ativar esta opção.

    Para as restantes definições neste painel, não as altere para esta configuração inicial, mas mantenha-as como Tarefa de análise de conteúdo predefinida. A predefinição significa que o repositório de dados herda as definições da tarefa de análise de conteúdos.

    Utilize a seguinte sintaxe ao adicionar caminhos do SharePoint:

    Caminho Sintaxe
    Caminho de raiz http://<SharePoint server name>

    Analisa todos os sites, incluindo quaisquer coleções de sites permitidas para o utilizador do scanner.
    Requer permissões adicionais para detetar automaticamente o conteúdo raiz
    Subsite ou coleção específica do SharePoint Uma das seguintes opções:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Requer permissões adicionais para detetar automaticamente conteúdos da coleção de sites
    Biblioteca específica do SharePoint Uma das seguintes opções:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Pasta específica do SharePoint http://<SharePoint server name>/.../<folder name>
  5. Repita os passos anteriores para adicionar o número de repositórios necessários.

Agora, está pronto para instalar o scanner com a tarefa de scanner de conteúdos que criou. Continue com Instalar o scanner.

Instalar o scanner

Depois de configurar o scanner, execute os seguintes passos para instalar o scanner. Este procedimento é executado na totalidade no PowerShell.

  1. Inicie sessão no computador Windows Server que irá executar o scanner. Utilize uma conta que tenha direitos de administrador local e que tenha permissões para escrever na base de dados SQL Server master.

    Importante

    Tem de ter o cliente de proteção de informações instalado no computador antes de instalar o scanner.

    Para obter mais informações, veja Pré-requisitos para instalar e implementar o analisador de proteção de informações.

  2. Abra uma sessão Windows PowerShell com a opção Executar como administrador.

  3. Execute o cmdlet Install-Scanner, especificando a instância SQL Server para criar uma base de dados para o analisador de proteção de informações e o nome do cluster do scanner que especificou na secção anterior:

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Exemplos, com o nome do cluster de scanner da Europa:

    • Para uma instância predefinida: Install-Scanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Para uma instância nomeada: Install-Scanner -SqlServerInstance SQLSERVER1\SCANNER -Cluster Europe

    • Para SQL Server Express:Install-Scanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Quando lhe for pedido, forneça as credenciais do Active Directory para a conta de serviço do scanner.

    Utilize a seguinte sintaxe: \<domain\user name>. Por exemplo: contoso\scanneraccount

  4. Verifique se o serviço está agora instalado através dos Serviços de Ferramentas Administrativas>.

    O serviço instalado tem o nome Proteção de Informações do Microsoft Purview Scanner e está configurado para ser executado com a conta de serviço do scanner que criou.

Agora que instalou o scanner, tem de obter um token de Microsoft Entra para que a conta de serviço do scanner seja autenticada, para que o scanner possa ser executado sem supervisão.

Obter um token de Microsoft Entra para o scanner

Um token de Microsoft Entra permite que o scanner se autentique no serviço scanner Proteção de Informações do Microsoft Purview, permitindo que o scanner seja executado sem supervisão.

Para obter mais informações, veja Executar cmdlets de etiquetagem de proteção de informações sem supervisão.

Para obter um token de Microsoft Entra:

  1. Navegue para o Portal do Azure e avance para o Painel Microsoft Entra ID.

  2. No painel lateral Microsoft Entra ID, clique em Registos de Aplicações.

  3. Na parte superior, clique em + Novo registo.

  4. Na secção Nome, escreva Em InformationProtectionScanner.

  5. Deixe Tipos de conta suportados como predefinição.

  6. Para o URI de Redirecionamento, deixe o tipo como Web, mas escreva na parte de entrada e clique em http://localhostRegistar.

  7. Na página Descrição geral desta aplicação, anote no editor de texto de eleição os seguintes IDs: ID da Aplicação (cliente) e ID do Diretório (inquilino). Irá precisar disto mais tarde ao configurar o comando Set-AIPAuthentication.

  8. No painel lateral, navegue para Certificados e Segredos.

  9. Clique em + Novo segredo do cliente.

  10. Na caixa de diálogo que é apresentada, introduza uma descrição para o seu segredo, defina-a como Expirar Em 1 ano e, em seguida, Adicione o segredo.

  11. Deverá ver agora, na secção segredos do cliente, que existe uma entrada com o Valor do Segredo. Copie este valor e armazene-o no ficheiro onde guardou o ID de Cliente e o ID do Inquilino. Esta é a única altura em que poderá ver o valor do segredo, não será recuperável se não o copiar neste momento.

  12. No painel lateral, navegue para Permissões da API.

  13. Vá em frente e selecione Adicionar uma permissão.

  14. Quando o ecrã for apresentado, selecione Serviço Azure Rights Management. Em seguida, selecione Permissões da Aplicação.

  15. Clique na lista pendente de Conteúdo e coloque as marcas de verificação em Content.DelegatedReader e Content.DelegatedWriter. Em seguida, na parte inferior do ecrã, clique em Adicionar Permissões.

  16. Navegue de volta na secção Permissões da API e adicione outra permissão.

  17. Desta vez, na secção Selecionar uma API, clique em APIs que a minha organização utiliza. Na barra de pesquisa, escreva Microsoft Proteção de Informações Sync Service e selecione-o.

  18. Selecione Permissões da Aplicação e, em seguida, no menu pendente Política Unificada , marque a permissão UnifiedPolicy.Tenant.Read. Em seguida, na parte inferior do ecrã, clique em Adicionar Permissões.

  19. Novamente no ecrã Permissões da API, clique em Conceder Consentimento Administração e procure que a operação seja bem-sucedida (significada por uma marca de verificação verde).

  20. A partir do computador Windows Server, se tiver sido concedida à conta de serviço do scanner o direito de Iniciar sessão localmente para a instalação, inicie sessão com esta conta e inicie uma sessão do PowerShell.

    Execute Set-Authentication, especificando os valores que copiou do passo anterior:

    Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Por exemplo:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

Dica

Se não for possível conceder à conta de serviço do scanner o direito de início de sessão local para a instalação, utilize o parâmetro OnBehalfOf com Set-Authentication, conforme descrito em Executar cmdlets de etiquetagem de proteção de informações sem supervisão.

O scanner tem agora um token para autenticar no Microsoft Entra ID. Este token é válido durante um ano, dois anos ou nunca, de acordo com a configuração do segredo do cliente /API da aplicação Web no Microsoft Entra ID. Quando o token expirar, tem de repetir este procedimento.

Continue a utilizar um dos seguintes passos, consoante esteja a utilizar o portal de conformidade para configurar o scanner ou apenas o PowerShell:

Está agora pronto para executar a sua primeira análise no modo de deteção. Para obter mais informações, consulte Executar um ciclo de deteção e ver relatórios do scanner.

Depois de executar a análise de deteção inicial, continue com Configurar o scanner para aplicar a classificação e a proteção.

Para obter mais informações, veja Executar cmdlets de etiquetagem de proteção de informações sem supervisão.

Configurar o scanner para aplicar a classificação e proteção

As predefinições configuram o scanner para ser executado uma vez e no modo apenas de relatórios. Para alterar estas definições, edite a tarefa de análise de conteúdos.

Para configurar o scanner para aplicar a classificação e proteção no portal do Microsoft Purview ou portal de conformidade do Microsoft Purview:

  1. No portal ou portal de conformidade do Microsoft Purview do Microsoft Purview, no separador Tarefas de análise de conteúdo, selecione uma tarefa de análise de conteúdo específica para editá-la.

  2. Selecione a tarefa de análise de conteúdos, altere o seguinte e, em seguida, selecione Guardar:

    • Na secção Tarefa de análise de conteúdo : Alterar a Agenda para Sempre
    • Na secção Impor política de etiquetagem de confidencialidade : Alterar o botão de opção para Ativado
  3. Certifique-se de que um nó para a tarefa de análise de conteúdos está online e, em seguida, inicie novamente a tarefa de análise de conteúdos ao selecionar Analisar agora. O botão Analisar agora só é apresentado quando um nó para a tarefa de análise de conteúdos selecionada está online.

O scanner está agora agendado para ser executado continuamente. Quando o scanner percorre todos os ficheiros configurados, inicia automaticamente um novo ciclo para que todos os ficheiros novos e alterados sejam detetados.

Utilizar uma política DLP

A utilização de uma política de prevenção de perda de dados permite ao scanner detetar potenciais fugas de dados ao corresponder as regras DLP a ficheiros armazenados em partilhas de ficheiros e no SharePoint Server.

  • Ative as regras DLP na tarefa de análise de conteúdos para reduzir a exposição de quaisquer ficheiros que correspondam às suas políticas DLP. Quando as regras DLP estão ativadas, o scanner pode reduzir o acesso a ficheiros apenas aos proprietários de dados ou reduzir a exposição a grupos de toda a rede, como Todos, Utilizadores Autenticados ou Utilizadores de Domínio.

  • No portal ou portal de conformidade do Microsoft Purview do Microsoft Purview, determine se está apenas a testar a política DLP ou se pretende que as regras sejam impostas e as permissões de ficheiro alteradas de acordo com essas regras. Para obter mais informações, veja Criar e Implementar políticas de prevenção de perda de dados

As políticas DLP são configuradas no portal de conformidade do Microsoft Purview. Para obter mais informações sobre o licenciamento DLP, veja Introdução à prevenção de perda de dados no local.

Dica

A análise dos seus ficheiros, mesmo ao testar apenas a política DLP, também cria relatórios de permissões de ficheiros. Consulte estes relatórios para investigar exposições de ficheiros específicas ou explorar a exposição de um utilizador específico a ficheiros analisados.

Para utilizar apenas o PowerShell, veja Utilizar uma política DLP apenas com o scanner - PowerShell.

Para utilizar uma política DLP com o scanner no portal do Microsoft Purview ou portal de conformidade do Microsoft Purview:

  1. No portal ou portal de conformidade do Microsoft Purview do Microsoft Purview, navegue para o separador Tarefas de análise de conteúdo e selecione uma tarefa de análise de conteúdo específica. Para obter mais informações, veja Criar uma tarefa de análise de conteúdos.

  2. Em Ativar regras de política DLP, defina o botão de opção como Ativado.

    Importante

    Não defina Ativar regras DLP como Ativado , a menos que tenha realmente uma política DLP configurada no Microsoft 365.

    Ativar esta funcionalidade sem uma política DLP fará com que o scanner gere erros.

  3. (Opcional) Defina Definir proprietário do repositório como Ativado e defina um utilizador específico como o proprietário do repositório.

    Esta opção permite ao scanner reduzir a exposição de quaisquer ficheiros encontrados neste repositório, que correspondem à política DLP, ao proprietário do repositório definido.

Políticas DLP e efetuar ações privadas

Se estiver a utilizar uma política DLP com uma ação efetuar uma ação privada e também estiver a planear utilizar o scanner para etiquetar automaticamente os seus ficheiros, recomendamos que defina também a definição avançada UseCopyAndPreserveNTFSOwner do cliente de etiquetagem unificada.

Esta definição garante que os proprietários originais mantêm o acesso aos respetivos ficheiros.

Para obter mais informações, consulte Criar uma tarefa de análise de conteúdos e Aplicar automaticamente uma etiqueta de confidencialidade aos dados do Microsoft 365.

Alterar os tipos de ficheiro a proteger

Por predefinição, o scanner protege apenas os tipos de ficheiros e ficheiros PDF do Office.

Utilize comandos do PowerShell para alterar este comportamento conforme necessário, como para configurar o scanner para proteger todos os tipos de ficheiro, tal como o cliente, ou para proteger tipos de ficheiro adicionais específicos.

Para uma política de etiqueta que se aplica à conta de utilizador que transfere etiquetas para o scanner, especifique uma definição avançada do PowerShell chamada PFileSupportedExtensions.

Para um scanner com acesso à Internet, esta conta de utilizador é a conta que especificar para o parâmetro DelegatedUser com o comando Set-Authentication.

Exemplo 1: comando do PowerShell para o scanner proteger todos os tipos de ficheiros, em que a política de etiquetas tem o nome "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Exemplo 2: comando do PowerShell para o scanner proteger ficheiros .xml e .tiff ficheiros, além de ficheiros do Office e ficheiros PDF, em que a sua política de etiquetas tem o nome "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Para obter mais informações, consulte Alterar os tipos de ficheiro a proteger.

Atualizar o scanner

Se já instalou o scanner e pretende atualizar, utilize as instruções descritas em Atualizar o Proteção de Informações do Microsoft Purview scanner.

Em seguida, configure e utilize o scanner como habitualmente, ignorando os passos para instalar o scanner.

Editar as definições do repositório de dados em massa

Utilize os botões Exportar e Importar para fazer alterações ao scanner em vários repositórios.

Desta forma, não precisa de fazer as mesmas alterações várias vezes, manualmente, no portal do Microsoft Purview ou portal de conformidade do Microsoft Purview.

Por exemplo, se tiver um novo tipo de ficheiro em vários repositórios de dados do SharePoint, poderá querer atualizar as definições desses repositórios em massa.

Para fazer alterações em massa entre repositórios no portal do Microsoft Purview portal de conformidade do Microsoft Purview:

  1. No portal ou portal de conformidade do Microsoft Purview do Microsoft Purview, selecione uma tarefa de análise de conteúdo específica e navegue para o separador Repositórios no painel. Selecione a opção Exportar .

  2. Edite manualmente o ficheiro exportado para efetuar a alteração.

  3. Utilize a opção Importar na mesma página para importar as atualizações de volta para os repositórios.

Utilizar o scanner com configurações alternativas

Normalmente, o scanner procura condições especificadas para as etiquetas para classificar e proteger os seus conteúdos conforme necessário.

Nos seguintes cenários, o analisador também consegue analisar os seus conteúdos e gerir etiquetas, sem quaisquer condições configuradas:

Aplicar uma etiqueta predefinida a todos os ficheiros num repositório de dados

Nesta configuração, todos os ficheiros não etiquetados no repositório são etiquetados com a etiqueta predefinida especificada para o repositório ou a tarefa de análise de conteúdos. Os ficheiros são etiquetados sem inspeção.

Defina as seguinte configurações:

Setting Descrição
Etiquetar ficheiros com base no conteúdo Definir como Desativado
Rótulo padrão Defina como Personalizado e, em seguida, selecione a etiqueta a utilizar
Impor etiqueta predefinida Selecione para que a etiqueta predefinida seja aplicada a todos os ficheiros, mesmo que já estejam etiquetados ao ativar os ficheiros Relabel e Impor etiqueta predefinida

Remover etiquetas existentes de todos os ficheiros num repositório de dados

Nesta configuração, todas as etiquetas existentes são removidas, incluindo proteção, se a proteção tiver sido aplicada com a etiqueta. A proteção aplicada independentemente de uma etiqueta é mantida.

Defina as seguinte configurações:

Setting Descrição
Etiquetar ficheiros com base no conteúdo Definir como Desativado
Rótulo padrão Definir como Nenhum
Ficheiros de recaída Defina como Ativado, com a etiqueta Impor predefinida definida como Ativado

Identificar todas as condições personalizadas e tipos de informações confidenciais conhecidos

Esta configuração permite-lhe encontrar informações confidenciais que poderá não perceber que tinha, em detrimento das taxas de análise do scanner.

Defina os Tipos de informações a serem detetados como Todos.

Para identificar condições e tipos de informações para etiquetagem, o analisador utiliza todos os tipos de informações confidenciais personalizados especificados e a lista de tipos de informações confidenciais incorporados que estão disponíveis para seleção, conforme definido no seu centro de gestão de etiquetas.

Otimizar o desempenho do scanner

Observação

Se quiser melhorar a capacidade de resposta do computador do scanner em vez do desempenho do scanner, utilize uma definição de cliente avançada para limitar o número de threads utilizados pelo scanner.

Utilize as seguintes opções e documentação de orientação para o ajudar a otimizar o desempenho do scanner:

Opção Descrição
Ter uma ligação de rede fiável e de alta velocidade entre o computador scanner e o arquivo de dados analisado Por exemplo, coloque o computador do scanner na mesma LAN ou, de preferência, no mesmo segmento de rede que o arquivo de dados analisado.

A qualidade da ligação de rede afeta o desempenho do scanner porque, para inspecionar os ficheiros, o scanner transfere o conteúdo dos ficheiros para o computador que executa o scanner Proteção de Informações do Microsoft Purview serviço Scanner.

Reduzir ou eliminar os saltos de rede necessários para que os dados viajem também reduz a carga na sua rede.
Certifique-se de que o computador scanner tem recursos de processador disponíveis Inspecionar o conteúdo do ficheiro e encriptar e desencriptar ficheiros são ações intensivas em termos de processador.

Monitorize os ciclos de análise típicos dos arquivos de dados especificados para identificar se a falta de recursos do processador está a afetar negativamente o desempenho do scanner.
Instalar várias instâncias do scanner O scanner suporta várias bases de dados de configuração na mesma instância do SQL Server quando especifica um nome de cluster personalizado para o scanner.

Sugestão: vários scanners também podem partilhar o mesmo cluster, resultando em tempos de análise mais rápidos. Se planear instalar o scanner em vários computadores com a mesma instância de base de dados e pretender que os scanners sejam executados em paralelo, tem de instalar todos os scanners com o mesmo nome de cluster.
Verificar a utilização da configuração alternativa O scanner é executado mais rapidamente quando utiliza a configuração alternativa para aplicar uma etiqueta predefinida a todos os ficheiros porque o scanner não inspeciona o conteúdo do ficheiro.

O scanner é executado mais lentamente quando utiliza a configuração alternativa para identificar todas as condições personalizadas e tipos de informações confidenciais conhecidos.

Fatores adicionais que afetam o desempenho

Os fatores adicionais que afetam o desempenho do scanner incluem:

Fator Descrição
Tempos de carregamento/resposta Os tempos de carregamento e resposta atuais dos arquivos de dados que contêm os ficheiros a analisar também afetarão o desempenho do scanner.
Modo de scanner (Deteção/Impor) Normalmente, o modo de deteção tem uma taxa de análise mais elevada do que o modo de imposição.

A deteção requer uma única ação de leitura de ficheiros, enquanto o modo de imposição requer ações de leitura e escrita.
Alterações de política O desempenho do scanner poderá ser afetado se tiver efetuado alterações à etiquetagem automática na política de etiquetas.

O primeiro ciclo de análise, quando o scanner tem de inspecionar todos os ficheiros, demorará mais tempo do que os ciclos de análise subsequentes que, por predefinição, inspecionam apenas os ficheiros novos e alterados.

Se alterar as condições ou as definições de etiquetas automáticas, todos os ficheiros serão novamente analisados. Para obter mais informações, veja Rescanning files (Rescanning files).
Construções Regex O desempenho do scanner é afetado pela forma como as expressões regex para condições personalizadas são construídas.

Para evitar um consumo de memória elevado e o risco de tempos limite (15 minutos por ficheiro), reveja as expressões regex para obter uma correspondência de padrões eficiente.

Por exemplo:
- Evitar quantificações gananciosas
- Utilize grupos que não capturam, como (?:expression) em vez de (expression)
Nível de registo As opções ao nível do registo incluem Depuração, Informações, Erro e Desativado para os relatórios do scanner.

- Desativado resulta no melhor desempenho
- A depuração reduz consideravelmente o scanner e deve ser utilizada apenas para resolução de problemas.

Para obter mais informações, veja o parâmetro ReportLevel do cmdlet Set-ScannerConfiguration .
Ficheiros a serem analisados - À exceção dos ficheiros do Excel, os ficheiros do Office são analisados mais rapidamente do que os ficheiros PDF.

- Os ficheiros desprotegidos são mais rápidos de analisar do que os ficheiros protegidos.

- Os ficheiros grandes demoram, obviamente, mais tempo a ser analisados do que os ficheiros pequenos.

Utilizar o PowerShell para configurar o scanner

Esta secção descreve os passos necessários para configurar e instalar o scanner quando não tem acesso às páginas do scanner no portal do Microsoft Purview ou portal de conformidade do Microsoft Purview e tem de utilizar apenas o PowerShell.

Importante

  • Alguns passos requerem que o PowerShell consiga ou não aceder às páginas do analisador no portal de conformidade e se é idêntico. Para obter estes passos, veja as instruções anteriores neste artigo, conforme indicado.

  • Se estiver a trabalhar com o scanner para o Azure China 21Vianet, são necessários passos adicionais para além das instruções detalhadas aqui. Para obter mais informações, veja Proteção de Informações do Microsoft Purview para Office 365 operado pela 21Vianet.

Para obter mais informações, veja Cmdlets do PowerShell suportados.

Para configurar e instalar o scanner:

  1. Comece com o PowerShell fechado. Se já instalou o cliente e o scanner da proteção de informações, certifique-se de que o serviço Proteção de Informações do Microsoft Purview Scanner está parado.

  2. Abra uma sessão Windows PowerShell com a opção Executar como administrador.

  3. Execute o comando Install-Scanner para instalar o scanner na instância do SQL Server, com o parâmetro Cluster para definir o nome do cluster.

    Este passo é idêntico, quer consiga ou não aceder às páginas do analisador no portal de conformidade. Para obter mais informações, consulte as instruções anteriores neste artigo: Instalar o scanner

  4. Obtenha um token do Azure para utilizar com o scanner e, em seguida, volte a autenticar.

    Este passo é idêntico, quer consiga ou não aceder às páginas do analisador no portal de conformidade. Para obter mais informações, consulte as instruções anteriores neste artigo: Obter um token de Microsoft Entra para o scanner.

  5. Execute o cmdlet Set-ScannerConfiguration para definir o scanner para funcionar no modo offline. Executar:

    Set-ScannerConfiguration -OnlineConfiguration Off
    
  6. Execute o cmdlet Set-ScannerContentScan para criar uma tarefa de análise de conteúdo predefinida.

    O único parâmetro necessário no cmdlet Set-ScannerContentScan é Impor. No entanto, poderá querer definir outras definições para a tarefa de análise de conteúdos neste momento. Por exemplo:

    Set-ScannerContentScan -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    A sintaxe acima configura as seguintes definições enquanto continua a configuração:

    • Mantém o agendamento de execução do scanner manual
    • Define os tipos de informações a detetar com base na política de etiquetas de confidencialidade
    • Não impõe uma política de etiqueta de confidencialidade
    • Etiqueta automaticamente ficheiros com base no conteúdo, utilizando a etiqueta predefinida definida para a política de etiquetas de confidencialidade
    • Não permite a reincidução de ficheiros
    • Preserva os detalhes do ficheiro durante a análise e a etiquetagem automática, incluindo a data de modificação, última modificação e modificação por valores
    • Define o scanner para excluir ficheiros .msg e .tmp ao executar
    • Define o proprietário predefinido para a conta que pretende utilizar ao executar o scanner
  7. Utilize o cmdlet Add-ScannerRepository para definir os repositórios que pretende analisar na tarefa de análise de conteúdos. Por exemplo, execute:

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Utilize uma das seguintes sintaxes, consoante o tipo de repositório que está a adicionar:

    • Para uma partilha de rede, utilize \\Server\Folder.
    • Para uma biblioteca do SharePoint, utilize http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Para um caminho local: C:\Folder
    • Para um caminho UNC: \\Server\Folder

    Observação

    Os carateres universais não são suportados e as localizações webDav não são suportadas.

    Para modificar o repositório mais tarde, utilize o cmdlet Set-ScannerRepository .

    Se adicionar um caminho do SharePoint para Documentos Partilhados:

    • Especifique Documentos Partilhados no caminho quando pretender analisar todos os documentos e todas as pastas a partir de Documentos Partilhados. Por exemplo: http://sp2013/SharedDocuments
    • Especifique Documentos no caminho quando pretender analisar todos os documentos e todas as pastas de uma subpasta em Documentos Partilhados. Por exemplo: http://sp2013/Documents/SalesReports
    • Em alternativa, especifique apenas o FQDN do seu SharePoint, por exemplo http://sp2013 , para detetar e digitalizar todos os sites e subsites do SharePoint num URL e subtítulos específicos neste URL. Conceda ao scanner direitos de Auditor recoletor de Sites para ativar esta opção.

    Utilize a seguinte sintaxe ao adicionar caminhos do SharePoint:

    Caminho Sintaxe
    Caminho de raiz http://<SharePoint server name>

    Analisa todos os sites, incluindo quaisquer coleções de sites permitidas para o utilizador do scanner.
    Subsite ou coleção específica do SharePoint Uma das seguintes opções:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>
    Biblioteca específica do SharePoint Uma das seguintes opções:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Pasta específica do SharePoint http://<SharePoint server name>/.../<folder name>

Continue com os seguintes passos, conforme necessário:

Utilizar o PowerShell para configurar o scanner para aplicar a classificação e proteção

  1. Execute o cmdlet Set-ScannerContentScan para atualizar a tarefa de análise de conteúdos para definir o agendamento para sempre e impor a política de confidencialidade.

    Set-ScannerContentScan -Schedule Always -Enforce On
    

    Dica

    Poderá querer alterar outras definições neste painel, tais como se os atributos de ficheiro são alterados e se o scanner pode voltar a etiquetar ficheiros. Para obter mais informações sobre as definições disponíveis, veja a documentação completa Set-ScannerContentScan.

  2. Execute o cmdlet Start-Scan para executar a tarefa de análise de conteúdos:

    Start-Scan
    

O scanner está agora agendado para ser executado continuamente. Quando o scanner percorre todos os ficheiros configurados, inicia automaticamente um novo ciclo para que todos os ficheiros novos e alterados sejam detetados.

Utilizar o PowerShell para configurar uma política DLP com o scanner

Execute novamente o cmdlet Set-ScannerContentScan com o parâmetro -EnableDLP definido como Ativado e com um proprietário de repositório específico definido.

Por exemplo:

Set-ScannerContentScan -EnableDLP On -RepositoryOwner 'domain\user'

Cmdlets do PowerShell suportados

Esta secção lista os cmdlets do PowerShell suportados para o analisador de proteção de informações e instruções para configurar e instalar o scanner apenas com o PowerShell.

Os cmdlets suportados para o scanner incluem:

Próximas etapas

Depois de instalar e configurar o scanner, comece a analisar os seus ficheiros.