Se não conseguir cumprir todos os requisitos listados para o scanner porque são proibidos pelas políticas da sua organização, consulte a secção configurações alternativas .
Para suportar análises em partilhas NFS, os serviços para NFS têm de ser implementados no computador do scanner.
No seu computador, navegue para a caixa de diálogo Funcionalidades do Windows (Ativar ou desativar funcionalidades do Windows) e selecione os seguintes itens: Serviços paraFerramentas AdministrativasNFS> e Cliente para NFS.
Microsoft Office iFilter
Quando o scanner está instalado num computador windows server, também tem de instalar o Microsoft Office iFilter para analisar .zip ficheiros para procurar tipos de informações confidenciais.
Tem de ter uma conta de serviço para executar o serviço de scanner no computador Windows Server, bem como autenticar para Microsoft Entra ID e transferir a política do scanner.
A sua conta de serviço tem de ser uma conta do Active Directory e sincronizada com Microsoft Entra ID.
Inicie sessão como uma atribuição de direito de utilizador de serviço.
Este direito é concedido automaticamente à conta de serviço durante a instalação do scanner e este direito é necessário para a instalação, configuração e operação do scanner.
Permissões para os repositórios de dados
-
Partilhas de ficheiros ou ficheiros locais: conceda permissões de Leitura, Escrita e Modificação para analisar os ficheiros e, em seguida, aplicar a classificação e proteção conforme configurado.
-
SharePoint: tem de conceder permissões de Controlo Total para analisar os ficheiros e, em seguida, aplicar a classificação e proteção aos ficheiros que cumprem as condições na política de Proteção de Informações do Azure.
-
Modo de deteção: para executar o scanner apenas no modo de deteção, a permissão de Leitura é suficiente.
Para etiquetas que voltar a proteger ou remover a proteção
Para garantir que o scanner tem sempre acesso a ficheiros encriptados, torne esta conta um superutilizador do Azure Proteção de Informações e certifique-se de que a funcionalidade de superutilizador está ativada.
Além disso, se tiver implementado controlos de inclusão para uma implementação faseada, certifique-se de que a conta de serviço está incluída nos controlos de inclusão que configurou.
Análise específica ao nível do URL
Para analisar e detetar sites e subsites num URL específico, conceda direitos de Auditor do Recoletor de Sites à conta do analisador ao nível do farm.
Licença para proteção de informações
Necessário para fornecer capacidades de classificação, etiquetagem ou proteção de ficheiros à conta de serviço do scanner.
Para armazenar os dados de configuração do scanner, utilize um SQL Server com os seguintes requisitos:
Uma instância local ou remota.
Recomendamos que aloje o SQL Server e o serviço de scanner em computadores diferentes, a menos que esteja a trabalhar com uma implementação pequena. Além disso, recomendamos que tenha uma instância do SQL dedicada que serve apenas a base de dados do analisador e que não seja partilhada com outras aplicações.
Se estiver a trabalhar num servidor partilhado, certifique-se de que o número recomendado de núcleos é gratuito para que a base de dados do scanner funcione.
SQL Server 2016 é a versão mínima para as seguintes edições:
SQL Server Enterprise
SQL Server Standard
SQL Server Express (recomendado apenas para ambientes de teste)
Uma conta com a função Sysadmin para instalar o scanner.
A função Sysadmin permite que o processo de instalação crie automaticamente a base de dados de configuração do scanner e conceda a função de db_owner necessária à conta de serviço que executa o scanner.
Se não lhe for possível conceder a função Sysadmin ou se as políticas da sua organização exigirem que as bases de dados sejam criadas e configuradas manualmente, veja Implementar o scanner com configurações alternativas.
São suportadas várias bases de dados de configuração no mesmo servidor SQL quando especifica um nome de cluster personalizado para o scanner ou quando utiliza a versão de pré-visualização do scanner.
Requisitos de armazenamento e planeamento de capacidade para SQL Server
A quantidade de espaço em disco necessária para a base de dados de configuração do scanner e a especificação do computador com SQL Server podem variar para cada ambiente, pelo que recomendamos que faça os seus próprios testes. Utilize a seguinte documentação de orientação como ponto de partida.
Por exemplo, para analisar 1 milhão de ficheiros com um comprimento médio de nome de ficheiro de 250 bytes, aloque espaço em disco de 2 GB.
Para vários scanners:
Até 10 scanners, utilize:
Processadores de 4 núcleos
8 GB de RAM recomendado
Mais de 10 scanners (máximo 40), utilize:
8 processos principais
16 GB de RAM recomendado
Requisitos do cliente de proteção de informações
Para uma rede de produção, tem de ter a versão de disponibilidade geral atual do cliente Proteção de Informações do Microsoft Purview instalada no computador Windows Server.
Tem de instalar o cliente completo do scanner. Não instale o cliente apenas com o módulo do PowerShell.
Requisitos de configuração de etiquetas
Tem de ter, pelo menos, uma etiqueta de confidencialidade configurada no portal do Microsoft Purview ou portal de conformidade do Microsoft Purview para a conta do scanner, para aplicar a classificação e, opcionalmente, a encriptação.
A conta do scanner é a conta que irá especificar no parâmetro DelegatedUser do cmdlet Set-Authentication , executado ao configurar o scanner.
Para analisar bibliotecas e pastas de documentos do SharePoint, certifique-se de que o seu servidor do SharePoint cumpre os seguintes requisitos:
Requisito
Descrição
Versões com suporte
As versões suportadas incluem: SharePoint 2019, SharePoint 2016 e SharePoint 2013. Outras versões do SharePoint não são suportadas para o scanner.
Controle de Versão
Quando utiliza o controlo de versões, o scanner inspeciona e etiqueta a última versão publicada.
Se o scanner etiquetar um ficheiro e for necessária aprovação de conteúdo , esse ficheiro etiquetado tem de ser aprovado para estar disponível para os utilizadores.
Grandes farms do SharePoint
Para grandes farms do SharePoint, marcar se precisa de aumentar o limiar da vista de lista (por predefinição, 5000) para o scanner aceder a todos os ficheiros.
Se tiver longos caminhos de ficheiro no SharePoint, certifique-se de que o valor httpRuntime.maxUrlLength do servidor do SharePoint é maior do que os 260 carateres predefinidos.
Se tiver longos caminhos de ficheiro na versão 2013 ou superior do SharePoint, certifique-se de que o valor httpRuntime.maxUrlLength do servidor do SharePoint é superior aos 260 carateres predefinidos.
Este valor é definido na classe HttpRuntimeSection da ASP.NET configuração.
Para atualizar a classe HttpRuntimeSection:
Faça uma cópia de segurança da configuração doweb.config .
Atualize o valor maxUrlLength conforme necessário. Por exemplo:
Por predefinição, para analisar ficheiros, os caminhos de ficheiro têm de ter um máximo de 260 carateres.
Para analisar ficheiros com caminhos de ficheiro com mais de 260 carateres, instale o scanner num computador com uma das seguintes versões do Windows e configure o computador conforme necessário:
Versão do Windows
Descrição
Windows 2016 ou posterior
Configurar o computador para suportar caminhos longos
Windows 10 ou Windows Server 2016
Defina a seguinte definição de política de grupo: Política> deComputador Local Configuração>do Computador Modelos Administrativos>Todas as Definições>Ativar caminhos longos win32.
Para obter mais informações sobre o suporte de caminhos de ficheiro longos nestas versões, veja a secção Limitação máxima do Comprimento do Caminho na documentação do programador do Windows 10.
Implementar o scanner com configurações alternativas
Os pré-requisitos listados acima são os requisitos predefinidos para a implementação do scanner e recomendados porque suportam a configuração do scanner mais simples.
Os requisitos predefinidos devem ser adequados para testes iniciais, para que possa marcar as capacidades do scanner.
No entanto, num ambiente de produção, as políticas da sua organização podem ser diferentes dos requisitos predefinidos. O scanner pode acomodar as seguintes alterações com configuração adicional:
Detetar e analisar todos os sites e subsites do SharePoint num URL específico
O scanner pode detetar e analisar todos os sites e subsites do SharePoint num URL específico com a seguinte configuração:
Inicie a Administração Central do SharePoint.
No site da Administração Central do SharePoint , na secção Gestão de Aplicações , clique em Gerir aplicações Web.
Clique para realçar a aplicação Web cujo nível de política de permissão pretende gerir.
Escolha o farm relevante e, em seguida, selecione Gerir Níveis de Política de Permissões.
Selecione Auditor de Coleção de Sites nas opções Permissões da Coleção de Sites e, em seguida, conceda Ver Páginas da Aplicação na lista Permissões e, por fim, atribua um nome ao novo auditor e visualizador da coleção de sites scanner de nível de política.
Adicione o utilizador do scanner à nova política e conceda Coleção de sites na lista Permissões.
Adicione um URL do SharePoint que aloja sites ou subsites que precisam de ser analisados. Para obter mais informações, veja Configurar as definições do scanner.
Restrição: o servidor de scanner não pode ter conectividade à Internet
Embora o cliente de proteção de informações não possa aplicar encriptação sem uma ligação à Internet, o scanner ainda pode aplicar etiquetas com base em políticas importadas.
Para suportar um computador desligado, utilize um dos seguintes métodos:
Utilizar o portal do Microsoft Purview ou portal de conformidade do Microsoft Purview com um computador desligado
Para suportar um computador que não consegue ligar ao portal do Microsoft Purview ou portal de conformidade do Microsoft Purview, execute os seguintes passos:
Configure o scanner no portal de compatibilidade ao criar um cluster de scanners. Para obter mais informações, veja Configurar as definições do scanner.
Exporte a tarefa de conteúdo do painel Information protection - Content scan jobs (Proteção de informações – Tarefas de análise de conteúdo ) com a opção Export (Exportar ).
Adicione os repositórios com o cmdlet Add-ScannerRepository , com o caminho para o repositório que pretende adicionar.
Dica
Para impedir que o repositório herda definições da tarefa de análise de conteúdos, adicione o OverrideContentScanJob On parâmetro, bem como os valores para definições adicionais.
Para editar detalhes de um repositório existente, utilize o comando Set-ScannerRepository .
Se lhe for concedida a função Sysadmin temporariamente para instalar o scanner, pode remover esta função quando a instalação do scanner estiver concluída.
Efetue um dos seguintes procedimentos, consoante os requisitos da sua organização:
Restrição
Descrição
Pode ter a função Sysadmin temporariamente
Se tiver temporariamente a função Sysadmin, a base de dados é criada automaticamente para si e a conta de serviço do scanner recebe automaticamente as permissões necessárias.
No entanto, a conta de utilizador que configura o scanner ainda requer a função de db_owner para a base de dados de configuração do scanner. Se tiver apenas a função Sysadmin até a instalação do scanner estar concluída, conceda a função de db_owner à conta de utilizador manualmente.
Não pode ter a função Sysadmin
Se não lhe for possível conceder a função Sysadmin mesmo temporariamente, tem de pedir a um utilizador com direitos de administrador do Sysadmin para criar manualmente uma base de dados antes de instalar o scanner.
Para esta configuração, a função db_owner tem de ser atribuída às seguintes contas: - Conta de serviço do scanner - Conta de utilizador para a instalação do scanner - Conta de utilizador para a configuração do scanner
Normalmente, irá utilizar a mesma conta de utilizador para instalar e configurar o scanner. Se utilizar contas diferentes, ambas necessitam da função db_owner para a base de dados de configuração do scanner. Crie este utilizador e os direitos conforme necessário. Se especificar o seu próprio nome de cluster, a base de dados de configuração tem o< nome AIPScannerUL_cluster_name>.
Além disso:
Tem de ser um administrador local no servidor que irá executar o scanner
A conta de serviço que irá executar o scanner tem de ter permissões de Controlo Total para as seguintes chaves de registo:
Se, depois de configurar estas permissões, vir um erro ao instalar o scanner, o erro pode ser ignorado e pode iniciar manualmente o serviço de scanner.
Criar manualmente uma base de dados e um utilizador para o scanner e conceder direitos de db_owner
Se precisar de criar manualmente a base de dados do scanner e/ou criar um utilizador e conceder direitos de db_owner na base de dados, peça ao Sysadmin para executar os seguintes passos:
Criar uma base de dados para o scanner:
**CREATE DATABASE AIPScannerUL_[clustername]**
**ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
Conceda direitos ao utilizador que executa o comando de instalação e é utilizado para executar comandos de gestão de scanners. Utilize o seguinte script:
if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
Conceda direitos à conta de serviço do scanner. Utilize o seguinte script:
if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
Restrição: não é possível conceder à conta de serviço do scanner o direito iniciar sessão localmente
Se as políticas da sua organização proibirem o início de sessão localmente correto para contas de serviço, utilize o parâmetro OnBehalfOf com Set-Authentication.
Restrição: a conta de serviço do scanner não pode ser sincronizada com Microsoft Entra ID mas o servidor tem conectividade à Internet
Pode ter uma conta para executar o serviço de scanner e utilizar outra conta para autenticar no Microsoft Entra ID:
Para a conta de serviço do scanner, utilize uma conta do Windows local ou uma conta do Active Directory.
Para a conta Microsoft Entra, especifique o Microsoft Entra utilizador no cmdlet Set-Authentication, no parâmetro DelegatedUser.
Se estiver a executar a análise em qualquer utilizador que não seja a conta do scanner, certifique-se de que também especifica a conta do analisador no parâmetro OnBehalfOf .
Este módulo examina o processo de implementação de rótulos de confidencialidade, incluindo a aplicação de permissões administrativas adequadas, a determinação de uma estratégia de implantação, a criação, a configuração e a publicação de rótulos e a remoção e exclusão de rótulos.
Demonstre os conceitos básicos de segurança de dados, gerenciamento do ciclo de vida, segurança da informação e conformidade para proteger uma implantação do Microsoft 365.