Resolver problemas com a implementação do analisador de proteção de informações

• Aplica-se a:

  Microsoft Purview

Nota

O leitor de etiquetagem unificado Information Protection do Azure está a ser renomeado Proteção de Informações do Microsoft Purview scanner. Ao mesmo tempo, a configuração (atualmente em pré-visualização) está a ser movida para o Portal de Conformidade do Microsoft Purview. Atualmente, pode configurar o scanner no portal do Azure e no portal de conformidade. As instruções neste artigo referem-se a ambos os portais de administração.

Se estiver a ter problemas com o analisador do Microsoft Preview Information Protection, verifique se a implementação está em bom estado de funcionamento com o cmdlet Start-AIPScannerDiagnostics do PowerShell para iniciar a ferramenta de diagnóstico do scanner:

Start-AIPScannerDiagnostics

A ferramenta de diagnóstico verifica os seguintes detalhes e, em seguida, cria um ficheiro de registo com os resultados:

• Se a base de dados está atualizada
• Se os URLs de rede estão acessíveis
• Se existe um token de autenticação válido e a política pode ser adquirida
• Se o perfil está definido no portal do Azure
• Se a configuração offline/online existe e pode ser adquirida
• Se as regras configuradas são válidas

Sugestão

• Se não estiver a executar a ferramenta com a conta de serviço utilizada para executar o serviço de scanner, tem de utilizar o -OnBehalf parâmetro . Caso contrário, irá deparar-se com erros.
• Para imprimir os últimos 10 erros do registo do scanner, adicione o Verbose parâmetro . Se quiser imprimir mais erros, utilize o VerboseErrorCount para definir o número de erros que pretende imprimir.

O Start-AIPScannerDiagnostics comando não executa uma verificação de pré-requisitos completa. Se estiver a ter problemas com o scanner, também tem de garantir que o sistema está em conformidade com os requisitos do scanner e que a configuração e instalação do scanner estão concluídas.

Verificar os detalhes de análise por nó e repositório do scanner

Execute o cmdlet Do PowerShell Get-AIPScannerStatus para obter detalhes sobre o estado da análise atual e a lista de nós no cluster do scanner.

PS C:\> Get-AIPScannerStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

Utilize a NodesInfo variável com o cmdlet Get-AIPScannerStatus para obter mais detalhes sobre cada nó no cluster:

PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo

O resultado apresenta os detalhes de cada nó numa tabela, conforme mostrado no exemplo seguinte:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Para desagregar mais em cada nó, utilize a NodesInfo variável novamente, com o número inteiro do nó a começar por 0.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

O resultado apresenta os detalhes sobre as análises no nó selecionado, conforme mostrado no exemplo seguinte:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Utilize o Verbose parâmetro com o cmdlet Get-AIPScannerStatus para obter dados sobre uma análise atual.

PS C:\> Get-AIPScannerStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

Utilize as RepositoriesStatus variáveis ou CurrentScanSummary para desagregar mais para obter mais detalhes sobre o estado dos repositórios.

Os possíveis valores de estado do repositório incluem:

• Ignorado, se o repositório tiver sido ignorado
• Pendente, se a análise atual ainda não tiver começado a analisar o repositório
• Análise, se a análise atual estiver em execução no repositório
• Concluído, se a análise atual tiver sido concluída em execução no repositório

Exemplo: utilizar a variável RepositoriesStatus

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

Exemplo: utilizar a variável CurrentScanSummary

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Este resultado mostra apenas um único repositório. Se existirem vários repositórios, cada um deles será listado separadamente.

Referência de erros do scanner

A tabela seguinte fornece informações sobre mensagens de erro específicas geradas pelo scanner e fornece ações para corrigir o problema associado:

Tipo de erro	Resolução de Problemas
Erros de autenticação	Token de autenticação não aceite Token de autenticação em falta
Erros de política	Política em falta A política não inclui nenhuma condição de etiquetagem automática
Erros de DB/Esquema	Erros da base de dados Esquema não correspondente ou desatualizado
Outros erros	A ligação subjacente foi fechada Processos do scanner bloqueados Não é possível ligar ao servidor remoto Perfil ou tarefa de análise de conteúdo em falta Não existem repositórios configurados Nenhum cluster encontrado

Token de autenticação não aceite

Mensagem de erro

Microsoft.InformationProtection.Exceptions.AccessDeniedException: o serviço não aceitou o token de autenticação.

Descrição

O comando Set-AIPAuthentication falhou.

Resolução

Verifique se as permissões adequadas estão definidas corretamente no portal do Azure.

Para obter mais informações, veja Criar e configurar aplicações Microsoft Entra para Set-AIPAuthentication.

Token de autenticação em falta

Mensagens de erro

• NoAuthTokenException: A aplicação cliente não forneceu o token de autenticação para pedido HTTP

• Microsoft.InformationProtection.Exceptions.NoAuthTokenException: a aplicação cliente não forneceu o token de autenticação para pedido HTTP. Falha com: System.AggregateException: Ocorreu um ou mais erros. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: foi encontrada uma de duas condições: 1. O sinalizador PromptBehavior.Never foi transmitido, mas não foi possível respeitar a restrição, porque a interação do utilizador era necessária. 2. Ocorreu um erro durante uma autenticação Web silenciosa que impediu a conclusão do fluxo de autenticação http num período de tempo suficientemente curto

• Falha ao adquirir um token com a autenticação integrada do Windows (Sem SSO)

• Na portal do Azure, na página Nós:

  A política não inclui nenhuma condição de etiquetagem automática

Descrição

Estes erros de autenticação ocorrem quando o scanner é executado de forma não interativa.

Resolução

Tem de autenticar com um token com o cmdlet Set-AIPAuthentication .

Quando executar o cmdlet Set-AIPAuthentication, certifique-se de que utiliza o parâmetro de token em nome da conta de serviço utilizada para executar o serviço de scanner, conforme mostrado no exemplo seguinte:

$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Para obter mais informações, consulte Obter um token de Microsoft Entra para o scanner.

Política em falta

Mensagem de erro

A política está em falta

Descrição

O scanner não consegue localizar o ficheiro de política de etiqueta de confidencialidade.

Resolução

Para verificar se o ficheiro de política existe conforme esperado, verifique a seguinte localização: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3.

Para obter mais informações sobre as etiquetas de confidencialidade e as respetivas políticas de etiquetas, veja Criar e configurar etiquetas de confidencialidade e as respetivas políticas.

A política não inclui condições de etiquetagem automática

Mensagem de erro

As condições de etiquetagem da política estão em falta

Descrição

A política de etiquetagem não tem condições de etiquetagem automática.

Resolução

Configure as seguintes definições:

Definição	Passos para configurar as definições
Definições da tarefa de análise de conteúdos	Na portal do Azure, faça o seguinte: Defina os Tipos de informações a serem detetados como Todos Definir uma etiqueta predefinida a ser aplicada ao analisar
Definições de política de etiquetagem	Na Portal de Conformidade do Microsoft Purview, faça o seguinte: Definir uma etiqueta de confidencialidade predefinida Configurar a etiquetagem automática/recomendada

Se as definições já estiverem definidas como esperado, o próprio ficheiro de política poderá estar em falta ou inacessível, como quando existe um tempo limite da Portal de Conformidade do Microsoft Purview.

Para verificar o ficheiro de política, verifique se existe o seguinte ficheiro: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

Para obter mais informações, veja O que é o leitor de etiquetagem unificado do Azure Information Protection? e Saiba mais sobre as etiquetas de confidencialidade.

Erros da base de dados

Mensagem de erro

Erro de BD

Descrição

O scanner não consegue ligar à base de dados.

Resolução

Verifique a conectividade de rede entre o computador do scanner e a base de dados.

Além disso, certifique-se de que a conta de serviço que está a ser utilizada para executar processos de scanner tem todas as permissões necessárias para aceder à base de dados.

Esquema não correspondente ou desatualizado

Mensagem de erro

Uma das seguintes opções:

• SchemaMismatchException

• Na portal do Azure, na página Nós:

  O esquema DB não está atualizado. Execute Update-AIPScanner comando para atualizar o esquema da BD
  Erro: O esquema da BD não está atualizado

Descrição

O esquema da base de dados não está atualizado.

Resolução

Execute o cmdlet Update-AIPScanner para ressincronizar o esquema e garantir que está atualizado com quaisquer alterações recentes.

A ligação subjacente foi fechada

Mensagens de erro

System.Net.WebException: A ligação subjacente foi fechada: ocorreu um erro inesperado num envio. >--- System.IO.IOException: A autenticação falhou porque a entidade remota fechou o fluxo de transporte.

[System.Net.Http.HttpRequestException: Ocorreu um erro ao enviar o pedido. >--- System.Net.WebException: A ligação subjacente foi fechada: ocorreu um erro inesperado num envio. >--- System.IO.IOException: Não é possível ler dados da ligação de transporte: uma ligação existente foi forçada a fechar pelo anfitrião remoto. >--- System.Net.Sockets.SocketException: uma ligação existente foi forçada a fechar pelo anfitrião remoto.

Descrição

Estes erros indicam que o TLS 1.2 não está ativado.

Resolução

Para ativar o TLS 1.2, veja:

• Firewalls e requisitos de infraestrutura de rede
• Como ativar o TLS 1.2
• Ative o suporte ao TLS 1.1 e TLS 1.2 no Office Online Server

Processos do scanner bloqueados

Mensagem de erro

Não é apresentada nenhuma mensagem de erro, mas o scanner excede o tempo limite.

Descrição

O scanner está a processar um único ficheiro durante mais tempo do que o esperado ou para inesperadamente enquanto analisa um grande número de ficheiros num repositório. O processo do scanner pode estar bloqueado.

Resolução

Modifique uma das seguintes definições:

• Número de portas dinâmicas. Poderá ter de aumentar o número de portas dinâmicas para o sistema operativo que aloja os ficheiros. A proteção do servidor para o SharePoint pode ser uma das razões pelas quais o detetor excede o número de ligações de rede permitidas e para.

  Para obter informações sobre como ver o intervalo de portas atual e aumentar o intervalo, veja Definições que podem ser Modificadas para Melhorar o Desempenho da Rede.

• Limiar de vista de lista. Para grandes farms do SharePoint, poderá ter de aumentar o limiar da vista de lista. Por predefinição, o limiar da vista de lista está definido como 5000.

  Para obter informações sobre como aumentar o limiar, veja Gerir listas e bibliotecas grandes no SharePoint.

Se o problema continuar a ocorrer, verifique o relatório detalhado para determinar se o ficheiro está a aumentar de tamanho.

Se o tamanho do ficheiro continuar a aumentar, o scanner ainda está a processar os dados e tem de aguardar até que o mesmo esteja concluído.

Se o ficheiro já não estiver a aumentar de tamanho, faça o seguinte:

1. Execute o seguinte cmdlets:

   • Cmdlet Start-AIPScannerDiagnostics : para executar verificações de diagnóstico no scanner e exportar e zipar ficheiros de registo para quaisquer erros encontrados.
   • Cmdlet Export-AIPLogs : para exportar e criar uma versão .zip dos ficheiros de registo a partir do diretório %localappdata%\Microsoft\MSIP\Logs .

2. Crie um ficheiro de informação de falha de sistema para o serviço Scanner MSIP. No Gestor de Tarefas do Windows, clique com o botão direito do rato no serviço Scanner MSIP e selecione Criar ficheiro de captura.

3. Na portal do Azure, pare a análise.

4. No computador do scanner, reinicie o serviço.

5. Abra um pedido de suporte e anexe os ficheiros de informação de falha de sistema do processo do analisador.

Não é possível ligar ao servidor remoto

Mensagem de erro

No ficheiro MSIPScanner.iplog localizado em %localappdata%\Microsoft\MSIP\Logs\:

Não é possível ligar ao servidor remoto ---> System.Net.Sockets.SocketException: normalmente, só é permitida uma utilização de cada endereço de socket (protocolo/endereço/porta de rede)

Se existirem vários registos, o ficheiro MSIPScanner.iplog será um ficheiro .zip.

Descrição

O scanner excedeu o número de ligações de rede permitidas.

Resolução

Aumente o número de portas dinâmicas para o sistema operativo que aloja os ficheiros.

Para obter informações sobre como ver o intervalo de portas atual e aumentar o intervalo, veja Definições que podem ser modificadas para melhorar o desempenho da rede.

Perfil ou tarefa de análise de conteúdo em falta

Mensagem de erro

Na portal do Azure, na página Nós:

Não foi encontrada nenhuma tarefa de análise de conteúdos

Descrição

Este erro ocorre quando não é possível localizar o perfil ou a tarefa de análise de conteúdos.

Resolução

Verifique a configuração do scanner no portal do Azure.

Para obter mais informações, veja Configuring and installing the Azure Information Protection unified labeling scanner (Configurar e instalar o analisador de etiquetagem unificada do Azure Information Protection).

Nota: Um perfil é um termo de scanner legado que foi substituído pelo cluster do scanner e pela tarefa de análise de conteúdos em versões mais recentes do scanner.

Não existem repositórios configurados

Mensagem de erro

No portal de administração, na página Nós :

Não existem repositórios configurados

Descrição

Pode ter uma tarefa de análise de conteúdos sem repositórios configurados.

Resolução

Verifique as definições da tarefa de análise de conteúdos e adicione, pelo menos, um repositório.

Para obter mais informações, veja Criar uma tarefa de análise de conteúdos.

Nenhum cluster encontrado

Mensagem de erro

No portal de administração, na página Nós :

Nenhum cluster encontrado

Descrição

Não foi encontrada nenhuma correspondência real para um dos clusters de scanner que definiu.

Resolução

Verifique a configuração do cluster e verifique se existem erros e erros nos seus próprios detalhes do sistema.

Para obter mais informações, veja Criar um cluster de scanners.

Mais informações

Melhores práticas para implementar e utilizar o scanner UL do AIP.