Configurar e instalar o scanner de proteção de informações
Observação
Agora, na versão prévia, há uma nova versão do scanner de proteção de informações. Para obter mais informações, consulte Atualizar o scanner de Proteção de Informações do Microsoft Purview do cliente Proteção de Informações do Azure.
Este artigo descreve como configurar e instalar o scanner de Proteção de Informações do Microsoft Purview, anteriormente chamado de Azure Proteção de Informações scanner de rotulagem unificado ou o scanner local.
Dica
Embora a maioria dos clientes execute esses procedimentos no portal de administração, talvez seja necessário trabalhar apenas no PowerShell.
Por exemplo, se você estiver trabalhando em um ambiente sem acesso ao portal de administração, como servidores de scanner do Azure China 21Vianet, siga as instruções em Usar o PowerShell para configurar o scanner.
Visão Geral
Antes de começar, verifique se o sistema está em conformidade com os pré-requisitos necessários.
Em seguida, use as seguintes etapas para configurar e instalar o scanner:
Em seguida, execute os seguintes procedimentos de configuração conforme necessário para seu sistema:
| Procedimento | Descrição |
|---|---|
| Alterar quais tipos de arquivo proteger | Talvez você queira examinar, classificar ou proteger tipos de arquivo diferentes do padrão. Para obter mais informações, confira O processo de verificação. |
| Atualizando seu scanner | Atualize o scanner para usar os recursos e melhorias mais recentes. |
| Editando configurações do repositório de dados em massa | Use opções de importação e exportação para fazer alterações em massa para vários repositórios de dados. |
| Usar o scanner com configurações alternativas | Use o scanner sem configurar rótulos com condições |
| Otimizar desempenho | Diretrizes para otimizar o desempenho do scanner |
Se você não tiver acesso às páginas do scanner no portal de conformidade, configure apenas as configurações do scanner no PowerShell. Para obter mais informações, confira Usar o PowerShell para configurar o scanner e oscmdlets do PowerShell com suporte.
Configurar as configurações do scanner
Antes de instalar o scanner ou atualizá-lo de uma versão de disponibilidade geral mais antiga, configure ou verifique as configurações do scanner. Para essa configuração, você pode usar o portal do Microsoft Purview ou o portal de conformidade do Microsoft Purview.
Para configurar o scanner no portal do Microsoft Purview ou portal de conformidade do Microsoft Purview:
- Entre usando uma das seguintes funções:
- Administrador de Conformidade
- Administrador de dados de conformidade
- Administrador de segurança
- Organization Management
Dependendo do portal que estiver usando, navegue até um dos seguintes locais:
Entrar no portal> do Microsoft PurviewConfigurações cartão >Proteção de Informações>O scanner de proteção contra desinformação.
Entre no scanner deproteção de informações portal de conformidade do Microsoft Purview >Settings>.
Crie um cluster de scanner. Esse cluster define o scanner e é usado para identificar a instância do scanner, como durante a instalação, atualizações e outros processos.
Crie um trabalho de verificação de conteúdo para definir os repositórios que você deseja examinar.
Criar um cluster de scanner
Para criar um cluster de scanner no portal ou portal de conformidade do Microsoft Purview do Microsoft Purview:
Nas guias na página Scanner de proteção de informações , selecione Clusters.
Na guia Clusters , selecione Adicionar
.No painel Novo cluster , insira um nome significativo para o scanner e uma descrição opcional.
O nome do cluster é usado para identificar as configurações e repositórios do scanner. Por exemplo, você pode entrar na Europa para identificar os locais geográficos dos repositórios de dados que deseja examinar.
Você usará esse nome mais tarde para identificar onde deseja instalar ou atualizar o scanner.
Selecione Salvar para salvar suas alterações.
Criar um trabalho de verificação de conteúdo
Mergulhe profundamente no conteúdo para verificar repositórios específicos para obter conteúdo confidencial.
Para criar seu trabalho de verificação de conteúdo no portal do Microsoft Purview de portal de conformidade do Microsoft Purview:
Nas guias na página Scanner de proteção de informações , selecione Trabalhos de verificação de conteúdo.
No painel Trabalhos de verificação de conteúdo , selecione Adicionar
.Para essa configuração inicial, configure as seguintes configurações e selecione Salvar.
Setting Descrição Configurações de trabalho de verificação de conteúdo - Agendamento: manter o padrão do Manual
- Tipos de informações a serem descobertos: somente alterar para PolíticaPolítica de DLP Se você estiver usando uma política de prevenção contra perda de dados, defina Habilitar regras DLP como Ativado. Para obter mais informações, consulte Usar uma política DLP. Política de confidencialidade - Impor política de rotulagem de confidencialidade: Selecione Desativar
- Rotular arquivos com base no conteúdo: manter o padrão de Ativado
- Rótulo padrão: manter o padrão de Política padrão
- Relançar arquivos: mantenha o padrão de desativadoConfigurar configurações de arquivo - Preservar "Date modified", "Last modified" e "Modified by": Manter o padrão de Ativado
- Tipos de arquivo a serem digitalizados: mantenha os tipos de arquivo padrão para Excluir
- Proprietário padrão: manter o padrão da Conta do Scanner
- Definir proprietário do repositório: use essa opção somente ao usar uma política DLP.Abra o trabalho de verificação de conteúdo que foi salvo e selecione a guia Repositórios para especificar os armazenamentos de dados a serem verificados.
Especifique caminhos UNC e URLs do SharePoint Server para bibliotecas e pastas de documentos locais do SharePoint.
Observação
SharePoint Server 2019, SharePoint Server 2016 e SharePoint Server 2013 têm suporte para o SharePoint. O SharePoint Server 2010 também tem suporte quando você tem suporte estendido para esta versão do SharePoint.
Para adicionar seu primeiro armazenamento de dados, na guia Repositórios :
No painel Repositórios , selecione Adicionar:
No painel Repositório , especifique o caminho para o repositório de dados e selecione Salvar.
- Para um compartilhamento de rede, use
\\Server\Folder. - Para uma biblioteca do SharePoint, use
http://sharepoint.contoso.com/Shared%20Documents/Folder. - Para um caminho local:
C:\Folder - Para um caminho UNC:
\\Server\Folder
- Para um compartilhamento de rede, use
Observação
Não há suporte para curingas e não há suporte para locais WebDav. Não há suporte para a verificação de locais do OneDrive como repositórios.
Se você adicionar um caminho do SharePoint para Documentos Compartilhados:
- Especifique Documentos Compartilhados no caminho quando você deseja examinar todos os documentos e todas as pastas de Documentos Compartilhados.
Por exemplo:
http://sp2013/SharedDocuments - Especifique Documentos no caminho quando você deseja examinar todos os documentos e todas as pastas de uma subpasta em Documentos Compartilhados.
Por exemplo:
http://sp2013/Documents/SalesReports - Ou especifique apenas o FQDN do SharePoint, por exemplo
http://sp2013, para descobrir e examinar todos os sites e subsites do SharePoint em uma URL específica e legendas sob essa URL. Conceda ao verificador direitos do Auditor do Coletor de Sites para habilitar isso.
Para as configurações restantes neste painel, não altere-as para essa configuração inicial, mas mantenha-as como padrão de trabalho de verificação de conteúdo. A configuração padrão significa que o repositório de dados herda as configurações do trabalho de verificação de conteúdo.
Use a seguinte sintaxe ao adicionar caminhos do SharePoint:
Caminho Sintaxe Caminho raiz http://<SharePoint server name>
Verifica todos os sites, incluindo todas as coleções de sites permitidas para o usuário do scanner.
Requer permissões adicionais para descobrir automaticamente o conteúdo raizSubsite ou coleção específica do SharePoint Uma das seguintes opções:
-http://<SharePoint server name>/<subsite name>
-http://SharePoint server name>/<site collection name>/<site name>
Requer permissões adicionais para descobrir automaticamente o conteúdo da coleção de sitesBiblioteca específica do SharePoint Uma das seguintes opções:
-http://<SharePoint server name>/<library name>
-http://SharePoint server name>/.../<library name>Pasta Específica do SharePoint http://<SharePoint server name>/.../<folder name>Repita as etapas anteriores para adicionar tantos repositórios quanto necessário.
Agora você está pronto para instalar o scanner com o trabalho de scanner de conteúdo que você criou. Continue com Instalar o scanner.
Instalar o scanner
Depois de configurar o scanner, execute as etapas a seguir para instalar o scanner. Esse procedimento é executado totalmente no PowerShell.
Entre no computador windows server que executará o scanner. Use uma conta que tenha direitos de administrador local e que tenha permissões para gravar no banco de dados SQL Server master.
Importante
Você deve ter o cliente de rotulagem unificado do AIP instalado em seu computador antes de instalar o scanner.
Para obter mais informações, consulte Pré-requisitos para instalar e implantar o scanner de proteção de informações.
Abra uma sessão Windows PowerShell com a opção Executar como administrador.
Execute o cmdlet Install-AIPScanner, especificando sua SQL Server instância na qual criar um banco de dados para o scanner de proteção de informações e o nome do cluster do scanner especificado na seção anterior:
Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>Exemplos, usando o nome do cluster de scanner da Europa:
Para uma instância padrão:
Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster EuropePara uma instância nomeada:
Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster EuropePara SQL Server Express:
Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe
Quando você for solicitado, forneça as credenciais do Active Directory para a conta de serviço do scanner.
Use a seguinte sintaxe:
\<domain\user name>. Por exemplo:contoso\scanneraccountVerifique se o serviço agora está instalado usando osServiços de Ferramentas Administrativas>.
O serviço instalado se chama Azure Proteção de Informações Scanner e é configurado para ser executado usando a conta de serviço de scanner que você criou.
Agora que você instalou o scanner, você precisa obter um token Microsoft Entra para que a conta de serviço do scanner se autentique para que o scanner possa ser executado desacompanhado.
Obter um token Microsoft Entra para o scanner
Um token Microsoft Entra permite que o scanner se autentique no serviço de Proteção de Informações do Azure, permitindo que o scanner seja executado de forma não interativa.
Para obter mais informações, consulte Como rotular arquivos de forma não interativa para o Azure Proteção de Informações.
Para obter um token de Microsoft Entra:
Abra o portal do Azure para criar um aplicativo Microsoft Entra para especificar um token de acesso para autenticação.
No computador Windows Server, se sua conta de serviço de scanner tiver sido concedida o Logon localmente para a instalação, entre com essa conta e inicie uma sessão do PowerShell.
Execute Set-AIPAuthentication, especificando os valores copiados da etapa anterior:
Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>Por exemplo:
$pscreds = Get-Credential CONTOSO\scanner Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.Dica
Se sua conta de serviço de scanner não puder receber o Log no local para a instalação, use o parâmetro OnBehalfOf com Set-AIPAuthentication, conforme descrito em Como rotular arquivos de forma não interativa para o Azure Proteção de Informações.
O scanner agora tem um token para autenticar para Microsoft Entra ID. Esse token é válido por um ano, dois anos ou nunca, de acordo com sua configuração do segredo do cliente do aplicativo Web /API em Microsoft Entra ID. Quando o token expirar, você deve repetir esse procedimento.
Continue usando uma das seguintes etapas, dependendo se você estiver usando o portal de conformidade para configurar o scanner ou somente o PowerShell:
Agora você está pronto para executar sua primeira verificação no modo de descoberta. Para obter mais informações, consulte Executar um ciclo de descoberta e exibir relatórios para o scanner.
Depois de executar a verificação de descoberta inicial, continue com Configurar o scanner para aplicar classificação e proteção.
Observação
Para obter mais informações, consulte Como rotular arquivos de forma não interativa para o Azure Proteção de Informações
Configurar o scanner para aplicar classificação e proteção
As configurações padrão configuram o scanner a ser executado uma vez e no modo somente relatórios. Para alterar essas configurações, edite o trabalho de verificação de conteúdo.
Dica
Se você estiver trabalhando apenas no PowerShell, consulte Configurar o scanner para aplicar classificação e proteção – Somente o PowerShell.
Para configurar o scanner para aplicar classificação e proteção no portal do Microsoft Purview ou portal de conformidade do Microsoft Purview:
No portal ou portal de conformidade do Microsoft Purview do Microsoft Purview, na guia Trabalhos de verificação de conteúdo, selecione um trabalho de verificação de conteúdo específico para editá-lo.
Selecione o trabalho de verificação de conteúdo, altere o seguinte e selecione Salvar:
- Na seção Trabalho de verificação de conteúdo : altere a agenda para Always
- Na seção Impor política de rotulagem de confidencialidade : altere o botão de rádio para Ativado
Verifique se um nó para o trabalho de verificação de conteúdo está online e inicie o trabalho de verificação de conteúdo novamente selecionando Examinar agora. O botão Verificar agora só é exibido quando um nó para o trabalho de verificação de conteúdo selecionado está online.
O scanner agora está programado para ser executado continuamente. Quando o scanner funciona em todos os arquivos configurados, ele inicia automaticamente um novo ciclo para que todos os arquivos novos e alterados sejam descobertos.
Usar uma política DLP
O uso de uma política de prevenção contra perda de dados permite que o scanner detecte possíveis vazamentos de dados combinando regras DLP com arquivos armazenados em compartilhamentos de arquivos e no SharePoint Server.
Habilite regras DLP em seu trabalho de verificação de conteúdo para reduzir a exposição de todos os arquivos que correspondam às políticas de DLP. Quando suas regras DLP estiverem habilitadas, o scanner poderá reduzir apenas o acesso de arquivos aos proprietários de dados ou reduzir a exposição a grupos em toda a rede, como Todos, Usuários Autenticados ou Usuários de Domínio.
No portal ou portal de conformidade do Microsoft Purview do Microsoft Purview, determine se você está apenas testando sua política DLP ou se deseja que suas regras sejam impostas e suas permissões de arquivo sejam alteradas de acordo com essas regras. Para obter mais informações, consulte Criar e Implantar políticas de prevenção contra perda de dados
As políticas DLP são configuradas no portal de conformidade do Microsoft Purview. Para obter mais informações sobre o licenciamento DLP, consulte Introdução ao scanner local de prevenção contra perda de dados.
Dica
A verificação de seus arquivos, mesmo ao testar apenas a política DLP, também cria relatórios de permissão de arquivo. Consulte esses relatórios para investigar exposições de arquivos específicas ou explorar a exposição de um usuário específico a arquivos verificados.
Para usar somente o PowerShell, consulte Usar uma política DLP com o scanner – somente PowerShell.
Para usar uma política DLP com o scanner no portal do Microsoft Purview ou portal de conformidade do Microsoft Purview:
No portal ou portal de conformidade do Microsoft Purview do Microsoft Purview, navegue até a guia Trabalhos de verificação de conteúdo e selecione um trabalho específico de verificação de conteúdo. Para obter mais informações, consulte Criar um trabalho de verificação de conteúdo.
Em Habilitar regras de política DLP, defina o botão de rádio como Ativado.
Importante
Não defina Habilitar regras DLP como Ativado , a menos que você realmente tenha uma política DLP configurada no Microsoft 365.
Ativar esse recurso sem uma política DLP fará com que o scanner gere erros.
(Opcional) Defina o proprietário do repositório Set como Ativado e defina um usuário específico como o proprietário do repositório.
Essa opção permite que o scanner reduza a exposição de todos os arquivos encontrados neste repositório, que correspondem à política DLP, ao proprietário do repositório definido.
Políticas DLP e ações privadas
Se você estiver usando uma política DLP com uma ação make private e também estiver planejando usar o scanner para rotular automaticamente seus arquivos, recomendamos que você também defina a configuração avançada UseCopyAndPreserveNTFSOwner do cliente de rotulagem unificada.
Essa configuração garante que os proprietários originais mantenham acesso aos seus arquivos.
Para obter mais informações, consulte Criar um trabalho de verificação de conteúdo e Aplicar um rótulo de confidencialidade ao conteúdo automaticamente.
Alterar quais tipos de arquivo proteger
Por padrão, o scanner protege apenas os tipos de arquivo do Office e os arquivos PDF.
Use comandos do PowerShell para alterar esse comportamento conforme necessário, como configurar o scanner para proteger todos os tipos de arquivo, assim como o cliente faz ou para proteger tipos de arquivo adicionais e específicos.
Para uma política de rótulo que se aplica à conta de usuário que baixa rótulos para o scanner, especifique uma configuração avançada do PowerShell chamada PFileSupportedExtensions.
Para um scanner que tem acesso à Internet, essa conta de usuário é a conta especificada para o parâmetro DelegatedUser com o comando Set-AIPAuthentication.
Exemplo 1: comando do PowerShell para o scanner para proteger todos os tipos de arquivo, em que sua política de rótulo é chamada de "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
Exemplo 2: comando do PowerShell para o scanner para proteger arquivos .xml e .tiff arquivos, além de arquivos do Office e arquivos PDF, em que sua política de rótulo é chamada de "Scanner":
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}
Para obter mais informações, consulte Alterar quais tipos de arquivo proteger.
Atualizar seu scanner
Se você instalou o scanner anteriormente e deseja atualizar, use as instruções descritas em Atualizar o scanner de proteção de informações.
Em seguida, configure e use o scanner como de costume, ignorando as etapas para instalar o scanner.
Editar configurações do repositório de dados em massa
Use os botões Exportar e Importar para fazer alterações para o scanner em vários repositórios.
Dessa forma, você não precisa fazer as mesmas alterações várias vezes, manualmente, no portal ou portal de conformidade do Microsoft Purview do Microsoft Purview.
Por exemplo, se você tiver um novo tipo de arquivo em vários repositórios de dados do SharePoint, talvez queira atualizar as configurações desses repositórios em massa.
Para fazer alterações em massa entre repositórios no portal do Microsoft Purview portal de conformidade do Microsoft Purview:
No portal ou portal de conformidade do Microsoft Purview do Microsoft Purview, selecione um trabalho específico de verificação de conteúdo e navegue até a guia Repositórios no painel. Selecione a opção Exportar .
Edite manualmente o arquivo exportado para fazer a alteração.
Use a opção Importar na mesma página para importar as atualizações de volta em seus repositórios.
Usar o scanner com configurações alternativas
O scanner geralmente procura condições especificadas para seus rótulos para classificar e proteger seu conteúdo conforme necessário.
Nos cenários a seguir, o scanner também é capaz de examinar seu conteúdo e gerenciar rótulos, sem nenhuma condição configurada:
- Aplicar um rótulo padrão a todos os arquivos em um repositório de dados
- Remover rótulos existentes de todos os arquivos em um repositório de dados
- Identificar todas as condições personalizadas e tipos de informações confidenciais conhecidos
Aplicar um rótulo padrão a todos os arquivos em um repositório de dados
Nesta configuração, todos os arquivos não rotulados no repositório são rotulados com o rótulo padrão especificado para o repositório ou o trabalho de verificação de conteúdo. Os arquivos são rotulados sem inspeção.
Defina as seguinte configurações:
| Setting | Descrição |
|---|---|
| Rotular arquivos com base no conteúdo | Definir como Desativar |
| Rótulo padrão | Defina como Personalizado e selecione o rótulo a ser usado |
| Impor rótulo padrão | Selecione para ter o rótulo padrão aplicado a todos os arquivos, mesmo que eles já estejam rotulados transformando arquivos Relabel e Impor rótulo padrão em |
Remover rótulos existentes de todos os arquivos em um repositório de dados
Nessa configuração, todos os rótulos existentes serão removidos, incluindo proteção, se a proteção for aplicada com o rótulo. A proteção aplicada independentemente de um rótulo é mantida.
Defina as seguinte configurações:
| Setting | Descrição |
|---|---|
| Rotular arquivos com base no conteúdo | Definir como Desativar |
| Rótulo padrão | Definir como Nenhum |
| Relançar arquivos | Definido como Ativado, com o rótulo Impor padrão definido como Ativado |
Identificar todas as condições personalizadas e tipos de informações confidenciais conhecidos
Essa configuração permite encontrar informações confidenciais que talvez você não tenha percebido, em detrimento das taxas de verificação do scanner.
Defina os tipos de informações a serem descobertos como Todos.
Para identificar condições e tipos de informações para rotulagem, o scanner usa todos os tipos de informações confidenciais personalizados especificados e a lista de tipos de informações confidenciais internos que estão disponíveis para seleção, conforme definido em seu centro de gerenciamento de rotulagem.
Otimizar o desempenho do scanner
Observação
Se você estiver procurando melhorar a capacidade de resposta do computador scanner em vez do desempenho do scanner, use uma configuração avançada do cliente para limitar o número de threads usados pelo scanner.
Use as seguintes opções e diretrizes para ajudá-lo a otimizar o desempenho do scanner:
| Opção | Descrição |
|---|---|
| Ter uma conexão de rede confiável e de alta velocidade entre o computador scanner e o armazenamento de dados digitalizado | Por exemplo, coloque o computador scanner na mesma LAN ou, preferencialmente, no mesmo segmento de rede que o armazenamento de dados digitalizado. A qualidade da conexão de rede afeta o desempenho do scanner porque, para inspecionar os arquivos, o scanner transfere o conteúdo dos arquivos para o computador que executa o serviço de scanner. Reduzir ou eliminar os saltos de rede necessários para que os dados viajem também reduz a carga em sua rede. |
| Verifique se o computador scanner tem recursos de processador disponíveis | Inspecionar o conteúdo do arquivo e criptografar e descriptografar arquivos são ações intensivas em processadores. Monitore os ciclos de verificação típicos dos armazenamentos de dados especificados para identificar se a falta de recursos do processador está afetando negativamente o desempenho do scanner. |
| Instalar várias instâncias do scanner | O scanner dá suporte a vários bancos de dados de configuração na mesma instância do SQL Server quando você especifica um nome de cluster personalizado para o scanner. Dica: vários scanners também podem compartilhar o mesmo cluster, resultando em tempos de verificação mais rápidos. Se você planeja instalar o scanner em vários computadores com a mesma instância de banco de dados e quiser que seus scanners sejam executados em paralelo, você deverá instalar todos os scanners usando o mesmo nome de cluster. |
| Verificar o uso de configuração alternativa | O scanner é executado mais rapidamente quando você usa a configuração alternativa para aplicar um rótulo padrão a todos os arquivos porque o scanner não inspeciona o conteúdo do arquivo. O scanner é executado mais lentamente quando você usa a configuração alternativa para identificar todas as condições personalizadas e tipos de informações confidenciais conhecidos. |
Fatores adicionais que afetam o desempenho
Fatores adicionais que afetam o desempenho do scanner incluem:
| Fator | Descrição |
|---|---|
| Tempos de carga/resposta | Os tempos atuais de carga e resposta dos armazenamentos de dados que contêm os arquivos a serem verificados também afetarão o desempenho do scanner. |
| Modo scanner (Descoberta/Impor) | O modo de descoberta normalmente tem uma taxa de verificação maior do que o modo de impor. A descoberta requer uma única ação de leitura de arquivo, enquanto o modo de impor requer ações de leitura e gravação. |
| Alterações na política | O desempenho do scanner poderá ser afetado se você tiver feito alterações no rótulo automático na política de rótulo. Seu primeiro ciclo de verificação, quando o scanner deve inspecionar cada arquivo, levará mais tempo do que os ciclos de verificação subsequentes que, por padrão, inspecionam apenas arquivos novos e alterados. Se você alterar as condições ou as configurações de rotulagem automática, todos os arquivos serão verificados novamente. Para obter mais informações, consulte Rescanning files. |
| Construções regex | O desempenho do scanner é afetado pela forma como suas expressões regex para condições personalizadas são construídas. Para evitar o consumo intenso de memória e o risco de tempo limite (15 minutos por arquivo), examine suas expressões regex para obter uma correspondência eficiente de padrões. Por exemplo: – Evitar quantificadores gananciosos - Usar grupos que não capturam, como (?:expression) em vez de (expression) |
| Nível de log | As opções de nível de log incluem Depuração, Informações, Erro e Desativação para os relatórios do scanner. - Desativar resultados no melhor desempenho - A depuração reduz consideravelmente o scanner e deve ser usada apenas para solução de problemas. Para obter mais informações, consulte o parâmetro ReportLevel para o cmdlet Set-AIPScannerConfiguration . |
| Arquivos que estão sendo verificados | - Com exceção dos arquivos do Excel, os arquivos do Office são verificados mais rapidamente do que os arquivos PDF. – Arquivos desprotegidos são mais rápidos de verificar do que arquivos protegidos. - Arquivos grandes obviamente levam mais tempo para serem digitalizados do que arquivos pequenos. |
Usar o PowerShell para configurar o scanner
Esta seção descreve as etapas necessárias para configurar e instalar o scanner quando você não tiver acesso às páginas do scanner no portal ou portal de conformidade do Microsoft Purview do Microsoft Purview e deve usar apenas o PowerShell.
Importante
Algumas etapas exigem o Powershell se você pode ou não acessar as páginas do scanner no portal de conformidade e são idênticas. Para essas etapas, consulte as instruções anteriores neste artigo, conforme indicado.
Se você estiver trabalhando com o scanner do Azure China 21Vianet, serão necessárias etapas adicionais além das instruções detalhadas aqui. Para obter mais informações, consulte Suporte Proteção de Informações do Azure para Office 365 operado pela 21Vianet.
Para obter mais informações, consulte Cmdlets do PowerShell com suporte.
Para configurar e instalar o scanner:
Comece com o PowerShell fechado. Se você já instalou o cliente e o scanner do AIP anteriormente, verifique se o serviço AIPScanner foi interrompido.
Abra uma sessão Windows PowerShell com a opção Executar como administrador.
Execute o comando Install-AIPScanner para instalar o scanner na instância do SQL Server, com o parâmetro Cluster para definir o nome do cluster.
Essa etapa é idêntica se você pode ou não acessar as páginas do scanner no portal de conformidade. Para obter mais informações, confira as instruções anteriores neste artigo: Instalar o scanner
Obtenha um token do Azure para usar com o scanner e reauthenticar.
Essa etapa é idêntica se você pode ou não acessar as páginas do scanner no portal de conformidade. Para obter mais informações, confira as instruções anteriores neste artigo: Obtenha um token de Microsoft Entra para o scanner.
Execute o cmdlet Set-AIPScannerConfiguration para definir o scanner como funcionando no modo offline. Executar:
Set-AIPScannerConfiguration -OnlineConfiguration OffExecute o cmdlet Set-AIPScannerContentScanJob para criar um trabalho de verificação de conteúdo padrão.
O único parâmetro necessário no cmdlet Set-AIPScannerContentScanJob é Impor. No entanto, talvez você queira definir outras configurações para o trabalho de verificação de conteúdo neste momento. Por exemplo:
Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>A sintaxe acima configura as seguintes configurações enquanto você continua a configuração:
- Mantém o agendamento de execução do scanner como manual
- Define os tipos de informações a serem descobertos com base na política de rótulo de confidencialidade
- Não impõe uma política de rótulo de confidencialidade
- Rotula automaticamente arquivos com base no conteúdo, usando o rótulo padrão definido para a política de rótulo de confidencialidade
- Não permite o relançamento de arquivos
- Preserva os detalhes do arquivo durante a verificação e a rotulagem automática, incluindo a data modificada, a última modificada e modificada por valores
- Define o scanner para excluir arquivos .msg e .tmp ao executar
- Define o proprietário padrão para a conta que você deseja usar ao executar o scanner
Use o cmdlet Add-AIPScannerRepository para definir os repositórios que você deseja examinar no trabalho de verificação de conteúdo. Por exemplo, execute:
Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'Use uma das seguintes sintaxes, dependendo do tipo de repositório que você está adicionando:
- Para um compartilhamento de rede, use
\\Server\Folder. - Para uma biblioteca do SharePoint, use
http://sharepoint.contoso.com/Shared%20Documents/Folder. - Para um caminho local:
C:\Folder - Para um caminho UNC:
\\Server\Folder
Observação
Não há suporte para curingas e não há suporte para locais WebDav.
Para modificar o repositório posteriormente, use o cmdlet Set-AIPScannerRepository .
Se você adicionar um caminho do SharePoint para Documentos Compartilhados:
- Especifique Documentos Compartilhados no caminho quando você deseja examinar todos os documentos e todas as pastas de Documentos Compartilhados.
Por exemplo:
http://sp2013/SharedDocuments - Especifique Documentos no caminho quando você deseja examinar todos os documentos e todas as pastas de uma subpasta em Documentos Compartilhados.
Por exemplo:
http://sp2013/Documents/SalesReports - Ou especifique apenas o FQDN do SharePoint, por exemplo
http://sp2013, para descobrir e examinar todos os sites e subsites do SharePoint em uma URL específica e legendas sob essa URL. Conceda ao verificador direitos do Auditor do Coletor de Sites para habilitar isso.
Use a seguinte sintaxe ao adicionar caminhos do SharePoint:
Caminho Sintaxe Caminho raiz http://<SharePoint server name>
Verifica todos os sites, incluindo todas as coleções de sites permitidas para o usuário do scanner.
Requer permissões adicionais para descobrir automaticamente o conteúdo raizSubsite ou coleção específica do SharePoint Uma das seguintes opções:
-http://<SharePoint server name>/<subsite name>
-http://SharePoint server name>/<site collection name>/<site name>
Requer permissões adicionais para descobrir automaticamente o conteúdo da coleção de sitesBiblioteca específica do SharePoint Uma das seguintes opções:
-http://<SharePoint server name>/<library name>
-http://SharePoint server name>/.../<library name>Pasta Específica do SharePoint http://<SharePoint server name>/.../<folder name>- Para um compartilhamento de rede, use
Continue com as seguintes etapas conforme necessário:
- Configuração para clientes na China
- Executar um ciclo de descoberta e exibir relatórios do scanner
- Usar o PowerShell para configurar o scanner para aplicar classificação e proteção
- Usar o PowerShell para configurar uma política DLP com o scanner
Usar o PowerShell para configurar o scanner para aplicar classificação e proteção
Execute o cmdlet Set-AIPScannerContentScanJob para atualizar seu trabalho de verificação de conteúdo para definir seu agendamento como sempre e impor sua política de confidencialidade.
Set-AIPScannerContentScanJob -Schedule Always -Enforce OnDica
Talvez você queira alterar outras configurações neste painel, como se os atributos de arquivo são alterados e se o scanner pode relançar arquivos. Para obter mais informações sobre as configurações disponíveis, consulte a documentação completa do PowerShell.
Execute o cmdlet Start-AIPScan para executar seu trabalho de verificação de conteúdo:
Start-AIPScan
O scanner agora está programado para ser executado continuamente. Quando o scanner funciona em todos os arquivos configurados, ele inicia automaticamente um novo ciclo para que todos os arquivos novos e alterados sejam descobertos.
Usar o PowerShell para configurar uma política DLP com o scanner
Execute o cmdlet Set-AIPScannerContentScanJob novamente com o parâmetro -EnableDLP definido como Ativado e com um proprietário de repositório específico definido.
Por exemplo:
Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
Cmdlets do PowerShell com suporte
Esta seção lista cmdlets do PowerShell com suporte para o scanner de proteção de informações e instruções para configurar e instalar o scanner somente com o PowerShell.
Os cmdlets com suporte para o scanner incluem:
Get-MIPScannerContentScanJob
Remove-MIPScannerContentScanJob
Set-MIPScannerContentScanJob
Próximas etapas
Depois de instalar e configurar o scanner, comece a examinar seus arquivos.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários