Resolver problemas com a implementação do analisador de proteção de informações
Nota
O leitor de etiquetagem unificado Information Protection do Azure está a ser renomeado Proteção de Informações do Microsoft Purview scanner. Ao mesmo tempo, a configuração (atualmente em pré-visualização) está a ser movida para o Portal de Conformidade do Microsoft Purview. Atualmente, pode configurar o scanner no portal do Azure e no portal de conformidade. As instruções neste artigo referem-se a ambos os portais de administração.
Se estiver a ter problemas com o analisador do Microsoft Preview Information Protection, verifique se a implementação está em bom estado de funcionamento com o cmdlet Start-AIPScannerDiagnostics do PowerShell para iniciar a ferramenta de diagnóstico do scanner:
Start-AIPScannerDiagnostics
A ferramenta de diagnóstico verifica os seguintes detalhes e, em seguida, cria um ficheiro de registo com os resultados:
- Se a base de dados está atualizada
- Se os URLs de rede estão acessíveis
- Se existe um token de autenticação válido e a política pode ser adquirida
- Se o perfil está definido no portal do Azure
- Se a configuração offline/online existe e pode ser adquirida
- Se as regras configuradas são válidas
Sugestão
- Se não estiver a executar a ferramenta com a conta de serviço utilizada para executar o serviço de scanner, tem de utilizar o
-OnBehalf
parâmetro . Caso contrário, irá deparar-se com erros. - Para imprimir os últimos 10 erros do registo do scanner, adicione o
Verbose
parâmetro . Se quiser imprimir mais erros, utilize oVerboseErrorCount
para definir o número de erros que pretende imprimir.
O Start-AIPScannerDiagnostics
comando não executa uma verificação de pré-requisitos completa. Se estiver a ter problemas com o scanner, também tem de garantir que o sistema está em conformidade com os requisitos do scanner e que a configuração e instalação do scanner estão concluídas.
Verificar os detalhes de análise por nó e repositório do scanner
Execute o cmdlet Do PowerShell Get-AIPScannerStatus para obter detalhes sobre o estado da análise atual e a lista de nós no cluster do scanner.
PS C:\> Get-AIPScannerStatus
Cluster : contoso-test
ClusterStatus : Scanning
StartTime : 12/22/2020 9:05:02 AM
TimeFromStart : 00:00:00:37
NodesInfo : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}
Utilize a NodesInfo
variável com o cmdlet Get-AIPScannerStatus para obter mais detalhes sobre cada nó no cluster:
PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo
O resultado apresenta os detalhes de cada nó numa tabela, conforme mostrado no exemplo seguinte:
NodeName Status IsScanning Summary
-------- -------- ---------- -------
t-contoso1-T298-corp.contoso.com Scanning True Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com Scanning Pending Microsoft.InformationProtection.Scanner.ScanSummaryData
Para desagregar mais em cada nó, utilize a NodesInfo
variável novamente, com o número inteiro do nó a começar por 0.
PS C:\Windows\system32> $x.NodesInfo[0].Summary
O resultado apresenta os detalhes sobre as análises no nó selecionado, conforme mostrado no exemplo seguinte:
ScannerID : t-contoso1-T298-corp.contoso.com
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
Utilize o Verbose
parâmetro com o cmdlet Get-AIPScannerStatus para obter dados sobre uma análise atual.
PS C:\> Get-AIPScannerStatus -Verbose
ScannedFiles MBScanned CurrentScanSummary RepositoriesStatus
------------ --------- ------------------ ------------------
2280 78478187 Microsoft.InformationProtection.Scanner.ScanSummaryData {{ Path = C:\temp, Status = Scanning }
Utilize as RepositoriesStatus
variáveis ou CurrentScanSummary
para desagregar mais para obter mais detalhes sobre o estado dos repositórios.
Os possíveis valores de estado do repositório incluem:
- Ignorado, se o repositório tiver sido ignorado
- Pendente, se a análise atual ainda não tiver começado a analisar o repositório
- Análise, se a análise atual estiver em execução no repositório
- Concluído, se a análise atual tiver sido concluída em execução no repositório
Exemplo: utilizar a variável RepositoriesStatus
PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus
Path Status
---- ------
C:\temp Scanning
Exemplo: utilizar a variável CurrentScanSummary
PS C:\Windows\system32> $x.CurrentScanSummary
ScannerID :
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
Este resultado mostra apenas um único repositório. Se existirem vários repositórios, cada um deles será listado separadamente.
Referência de erros do scanner
A tabela seguinte fornece informações sobre mensagens de erro específicas geradas pelo scanner e fornece ações para corrigir o problema associado:
Tipo de erro | Resolução de Problemas |
---|---|
Erros de autenticação | |
Erros de política | |
Erros de DB/Esquema | |
Outros erros |
Token de autenticação não aceite
Mensagem de erro
Microsoft.InformationProtection.Exceptions.AccessDeniedException: o serviço não aceitou o token de autenticação.
Descrição
O comando Set-AIPAuthentication falhou.
Resolução
Verifique se as permissões adequadas estão definidas corretamente no portal do Azure.
Para obter mais informações, veja Criar e configurar aplicações Microsoft Entra para Set-AIPAuthentication.
Token de autenticação em falta
Mensagens de erro
-
NoAuthTokenException: A aplicação cliente não forneceu o token de autenticação para pedido HTTP
-
Microsoft.InformationProtection.Exceptions.NoAuthTokenException: a aplicação cliente não forneceu o token de autenticação para pedido HTTP. Falha com: System.AggregateException: Ocorreu um ou mais erros. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: foi encontrada uma de duas condições: 1. O sinalizador PromptBehavior.Never foi transmitido, mas não foi possível respeitar a restrição, porque a interação do utilizador era necessária. 2. Ocorreu um erro durante uma autenticação Web silenciosa que impediu a conclusão do fluxo de autenticação http num período de tempo suficientemente curto
-
Falha ao adquirir um token com a autenticação integrada do Windows (Sem SSO)
Na portal do Azure, na página Nós:
A política não inclui nenhuma condição de etiquetagem automática
Descrição
Estes erros de autenticação ocorrem quando o scanner é executado de forma não interativa.
Resolução
Tem de autenticar com um token com o cmdlet Set-AIPAuthentication .
Quando executar o cmdlet Set-AIPAuthentication, certifique-se de que utiliza o parâmetro de token em nome da conta de serviço utilizada para executar o serviço de scanner, conforme mostrado no exemplo seguinte:
$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.
Para obter mais informações, consulte Obter um token de Microsoft Entra para o scanner.
Política em falta
Mensagem de erro
A política está em falta
Descrição
O scanner não consegue localizar o ficheiro de política de etiqueta de confidencialidade.
Resolução
Para verificar se o ficheiro de política existe conforme esperado, verifique a seguinte localização: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3.
Para obter mais informações sobre as etiquetas de confidencialidade e as respetivas políticas de etiquetas, veja Criar e configurar etiquetas de confidencialidade e as respetivas políticas.
A política não inclui condições de etiquetagem automática
Mensagem de erro
As condições de etiquetagem da política estão em falta
Descrição
A política de etiquetagem não tem condições de etiquetagem automática.
Resolução
Configure as seguintes definições:
Definição | Passos para configurar as definições |
---|---|
Definições da tarefa de análise de conteúdos | Na portal do Azure, faça o seguinte: |
Definições de política de etiquetagem | Na Portal de Conformidade do Microsoft Purview, faça o seguinte: |
Se as definições já estiverem definidas como esperado, o próprio ficheiro de política poderá estar em falta ou inacessível, como quando existe um tempo limite da Portal de Conformidade do Microsoft Purview.
Para verificar o ficheiro de política, verifique se existe o seguinte ficheiro: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3
Para obter mais informações, veja O que é o leitor de etiquetagem unificado do Azure Information Protection? e Saiba mais sobre as etiquetas de confidencialidade.
Erros da base de dados
Mensagem de erro
Erro de BD
Descrição
O scanner não consegue ligar à base de dados.
Resolução
Verifique a conectividade de rede entre o computador do scanner e a base de dados.
Além disso, certifique-se de que a conta de serviço que está a ser utilizada para executar processos de scanner tem todas as permissões necessárias para aceder à base de dados.
Esquema não correspondente ou desatualizado
Mensagem de erro
Uma das seguintes opções:
-
SchemaMismatchException
Na portal do Azure, na página Nós:
O esquema DB não está atualizado. Execute Update-AIPScanner comando para atualizar o esquema da BD
Erro: O esquema da BD não está atualizado
Descrição
O esquema da base de dados não está atualizado.
Resolução
Execute o cmdlet Update-AIPScanner para ressincronizar o esquema e garantir que está atualizado com quaisquer alterações recentes.
A ligação subjacente foi fechada
Mensagens de erro
System.Net.WebException: A ligação subjacente foi fechada: ocorreu um erro inesperado num envio. >--- System.IO.IOException: A autenticação falhou porque a entidade remota fechou o fluxo de transporte.
[System.Net.Http.HttpRequestException: Ocorreu um erro ao enviar o pedido. >--- System.Net.WebException: A ligação subjacente foi fechada: ocorreu um erro inesperado num envio. >--- System.IO.IOException: Não é possível ler dados da ligação de transporte: uma ligação existente foi forçada a fechar pelo anfitrião remoto. >--- System.Net.Sockets.SocketException: uma ligação existente foi forçada a fechar pelo anfitrião remoto.
Descrição
Estes erros indicam que o TLS 1.2 não está ativado.
Resolução
Para ativar o TLS 1.2, veja:
- Firewalls e requisitos de infraestrutura de rede
- Como ativar o TLS 1.2
- Ative o suporte ao TLS 1.1 e TLS 1.2 no Office Online Server
Processos do scanner bloqueados
Mensagem de erro
Não é apresentada nenhuma mensagem de erro, mas o scanner excede o tempo limite.
Descrição
O scanner está a processar um único ficheiro durante mais tempo do que o esperado ou para inesperadamente enquanto analisa um grande número de ficheiros num repositório. O processo do scanner pode estar bloqueado.
Resolução
Modifique uma das seguintes definições:
Número de portas dinâmicas. Poderá ter de aumentar o número de portas dinâmicas para o sistema operativo que aloja os ficheiros. A proteção do servidor para o SharePoint pode ser uma das razões pelas quais o detetor excede o número de ligações de rede permitidas e para.
Para obter informações sobre como ver o intervalo de portas atual e aumentar o intervalo, veja Definições que podem ser Modificadas para Melhorar o Desempenho da Rede.
Limiar de vista de lista. Para grandes farms do SharePoint, poderá ter de aumentar o limiar da vista de lista. Por predefinição, o limiar da vista de lista está definido como 5000.
Para obter informações sobre como aumentar o limiar, veja Gerir listas e bibliotecas grandes no SharePoint.
Se o problema continuar a ocorrer, verifique o relatório detalhado para determinar se o ficheiro está a aumentar de tamanho.
Se o tamanho do ficheiro continuar a aumentar, o scanner ainda está a processar os dados e tem de aguardar até que o mesmo esteja concluído.
Se o ficheiro já não estiver a aumentar de tamanho, faça o seguinte:
Execute o seguinte cmdlets:
- Cmdlet Start-AIPScannerDiagnostics : para executar verificações de diagnóstico no scanner e exportar e zipar ficheiros de registo para quaisquer erros encontrados.
- Cmdlet Export-AIPLogs : para exportar e criar uma versão .zip dos ficheiros de registo a partir do diretório %localappdata%\Microsoft\MSIP\Logs .
Crie um ficheiro de informação de falha de sistema para o serviço Scanner MSIP. No Gestor de Tarefas do Windows, clique com o botão direito do rato no serviço Scanner MSIP e selecione Criar ficheiro de captura.
Na portal do Azure, pare a análise.
No computador do scanner, reinicie o serviço.
Abra um pedido de suporte e anexe os ficheiros de informação de falha de sistema do processo do analisador.
Não é possível ligar ao servidor remoto
Mensagem de erro
No ficheiro MSIPScanner.iplog localizado em %localappdata%\Microsoft\MSIP\Logs\:
Não é possível ligar ao servidor remoto ---> System.Net.Sockets.SocketException: normalmente, só é permitida uma utilização de cada endereço de socket (protocolo/endereço/porta de rede)
Se existirem vários registos, o ficheiro MSIPScanner.iplog será um ficheiro .zip.
Descrição
O scanner excedeu o número de ligações de rede permitidas.
Resolução
Aumente o número de portas dinâmicas para o sistema operativo que aloja os ficheiros.
Para obter informações sobre como ver o intervalo de portas atual e aumentar o intervalo, veja Definições que podem ser modificadas para melhorar o desempenho da rede.
Perfil ou tarefa de análise de conteúdo em falta
Mensagem de erro
Na portal do Azure, na página Nós:
Não foi encontrada nenhuma tarefa de análise de conteúdos
Descrição
Este erro ocorre quando não é possível localizar o perfil ou a tarefa de análise de conteúdos.
Resolução
Verifique a configuração do scanner no portal do Azure.
Para obter mais informações, veja Configuring and installing the Azure Information Protection unified labeling scanner (Configurar e instalar o analisador de etiquetagem unificada do Azure Information Protection).
Nota: Um perfil é um termo de scanner legado que foi substituído pelo cluster do scanner e pela tarefa de análise de conteúdos em versões mais recentes do scanner.
Não existem repositórios configurados
Mensagem de erro
No portal de administração, na página Nós :
Não existem repositórios configurados
Descrição
Pode ter uma tarefa de análise de conteúdos sem repositórios configurados.
Resolução
Verifique as definições da tarefa de análise de conteúdos e adicione, pelo menos, um repositório.
Para obter mais informações, veja Criar uma tarefa de análise de conteúdos.
Nenhum cluster encontrado
Mensagem de erro
No portal de administração, na página Nós :
Nenhum cluster encontrado
Descrição
Não foi encontrada nenhuma correspondência real para um dos clusters de scanner que definiu.
Resolução
Verifique a configuração do cluster e verifique se existem erros e erros nos seus próprios detalhes do sistema.
Para obter mais informações, veja Criar um cluster de scanners.
Mais informações
Melhores práticas para implementar e utilizar o scanner UL do AIP.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários