Partilhar via


Introdução ao analisador de proteção de informações

Observação

Existe uma nova versão do analisador de proteção de informações. Para obter mais informações, consulte Atualizar o analisador do Microsoft Purview Information Protection.

Antes de instalar o scanner a partir do Microsoft Purview Information Protection, certifique-se de que o seu sistema está em conformidade com os requisitos básicos do Azure Information Protection.

Além disso, os seguintes requisitos são específicos para o scanner:

Se não conseguir cumprir todos os requisitos listados para o scanner porque são proibidos pelas políticas da sua organização, consulte a secção configurações alternativas .

Ao implementar o scanner em produção ou testar o desempenho de vários scanners, veja Requisitos de armazenamento e planeamento de capacidade para o SQL Server .

Quando estiver pronto para começar a instalar e implementar o scanner, continue com Configurar e instalar o analisador de proteção de informações.

Requisitos do Windows Server

Tem de ter um computador Windows Server para executar o scanner, que tem as seguintes especificações do sistema:

Especificação Detalhes
Processador Processadores de 4 núcleos
RAM 8 GB
Espaço em disco Espaço livre de 10 GB (média) para ficheiros temporários.

O scanner necessita de espaço em disco suficiente para criar ficheiros temporários para cada ficheiro que analisa, quatro ficheiros por núcleo.

O espaço em disco recomendado de 10 GB permite que 4 processadores principais analisem 16 ficheiros com um tamanho de ficheiro de 625 MB.
Sistema operacional Versões de 64 bits de:

- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2

Nota: para fins de teste ou avaliação num ambiente de não produção, também pode utilizar qualquer sistema operativo Windows suportado pelo cliente de proteção de informações.

O Server Core e o Servidor Nano não são suportados.
- Conectividade de rede O computador scanner pode ser um computador físico ou virtual com uma ligação de rede rápida e fiável aos arquivos de dados a analisar.

Se a conectividade à Internet não for possível devido às políticas da sua organização, veja Implementar o scanner com configurações alternativas.

Caso contrário, certifique-se de que este computador tem conectividade à Internet que permite os seguintes URLs através de HTTPS (porta 443):

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com
- *.protection.outlook.com
Partilhas NFS Para suportar análises em partilhas NFS, os serviços para NFS têm de ser implementados no computador do scanner.

No seu computador, navegue para a caixa de diálogo Funcionalidades do Windows (Ativar ou desativar funcionalidades do Windows) e selecione os seguintes itens: Serviços paraFerramentas AdministrativasNFS> e Cliente para NFS.
Microsoft Office iFilter Quando o scanner está instalado num computador windows server, também tem de instalar o Microsoft Office iFilter para analisar .zip ficheiros para procurar tipos de informações confidenciais.

Para obter mais informações, consulte o site de transferências da Microsoft.

Requisitos da conta de serviço

Tem de ter uma conta de serviço para executar o serviço de scanner no computador Windows Server, bem como autenticar no Microsoft Entra ID e transferir a política do scanner.

A sua conta de serviço tem de ser uma conta do Active Directory e sincronizada com o ID do Microsoft Entra.

Se não conseguir sincronizar esta conta devido às políticas da sua organização, veja Implementar o scanner com configurações alternativas.

Esta conta de serviço tem os seguintes requisitos:

Requisito Detalhes
Iniciar sessão na atribuição de direitos de utilizador localmente Necessário para instalar e configurar o scanner, mas não necessário para executar análises.

Depois de confirmar que o scanner pode detetar, classificar e proteger ficheiros, pode removê-lo diretamente da conta de serviço.

Se não for possível conceder este direito mesmo durante um curto período de tempo devido às políticas da sua organização, veja Implementar o scanner com configurações alternativas.
Inicie sessão como uma atribuição de direito de utilizador de serviço. Este direito é concedido automaticamente à conta de serviço durante a instalação do scanner e este direito é necessário para a instalação, configuração e operação do scanner.
Permissões para os repositórios de dados - Partilhas de ficheiros ou ficheiros locais: conceda permissões de Leitura, Escrita e Modificação para analisar os ficheiros e, em seguida, aplicar a classificação e proteção conforme configurado.

- SharePoint: tem de conceder permissões de Controlo Total para analisar os ficheiros e, em seguida, aplicar a classificação e proteção aos ficheiros que cumprem as condições na política do Azure Information Protection.

- Modo de deteção: para executar o scanner apenas no modo de deteção, a permissão de Leitura é suficiente.
Para etiquetas que voltar a proteger ou remover a proteção Para garantir que o scanner tem sempre acesso a ficheiros encriptados, torne esta conta um superutilizador do Azure Information Protection e certifique-se de que a funcionalidade de superutilizador está ativada.

Além disso, se tiver implementado controlos de inclusão para uma implementação faseada, certifique-se de que a conta de serviço está incluída nos controlos de inclusão que configurou.
Análise específica ao nível do URL Para analisar e detetar sites e subsites num URL específico, conceda direitos de Auditor do Recoletor de Sites à conta do analisador ao nível do farm.
Licença para proteção de informações Necessário para fornecer capacidades de classificação, etiquetagem ou proteção de ficheiros à conta de serviço do scanner.

Para obter mais informações, consulte a documentação de orientação do Microsoft 365 para segurança & conformidade.

Requisitos do SQL Server

Para armazenar os dados de configuração do scanner, utilize um SQL Server com os seguintes requisitos:

  • Uma instância local ou remota.

    Recomendamos que aloje o SQL Server e o serviço de scanner em computadores diferentes, a menos que esteja a trabalhar com uma implementação pequena. Além disso, recomendamos que tenha uma instância do SQL dedicada que serve apenas a base de dados do analisador e que não seja partilhada com outras aplicações.

    Se estiver a trabalhar num servidor partilhado, certifique-se de que o número recomendado de núcleos é gratuito para que a base de dados do scanner funcione.

    O SQL Server 2016 é a versão mínima para as seguintes edições:

    • SQL Server Enterprise

    • SQL Server Standard

    • SQL Server Express (recomendado apenas para ambientes de teste)

  • Uma conta com a função Sysadmin para instalar o scanner.

    A função Sysadmin permite que o processo de instalação crie automaticamente a base de dados de configuração do scanner e conceda a função de db_owner necessária à conta de serviço que executa o scanner.

    Se não lhe for possível conceder a função Sysadmin ou se as políticas da sua organização exigirem que as bases de dados sejam criadas e configuradas manualmente, veja Implementar o scanner com configurações alternativas.

  • Capacidade. Para obter orientações sobre a capacidade, veja Requisitos de armazenamento e planeamento de capacidade para o SQL Server.

  • Agrupamento não sensível a maiúsculas e minúsculas.

Observação

São suportadas várias bases de dados de configuração no mesmo servidor SQL quando especifica um nome de cluster personalizado para o scanner ou quando utiliza a versão de pré-visualização do scanner.

Requisitos de armazenamento e planeamento de capacidade do SQL Server

A quantidade de espaço em disco necessária para a base de dados de configuração do scanner e a especificação do computador com o SQL Server podem variar para cada ambiente, pelo que recomendamos que faça os seus próprios testes. Utilize a seguinte documentação de orientação como ponto de partida.

Para obter mais informações, veja Otimizar o desempenho do scanner.

O tamanho do disco da base de dados de configuração do scanner irá variar para cada implementação. Utilize a seguinte equação como orientação:

100 KB + <file count> *(1000 + 4* <average file name length>)

Por exemplo, para analisar 1 milhão de ficheiros com um comprimento médio de nome de ficheiro de 250 bytes, aloque espaço em disco de 2 GB.

Para vários scanners:

  • Até 10 scanners, utilize:

    • Processadores de 4 núcleos
    • 8 GB de RAM recomendado
  • Mais de 10 scanners (máximo 40), utilize:

    • 8 processos principais
    • 16 GB de RAM recomendado

Requisitos do cliente de proteção de informações

Para uma rede de produção, tem de ter a versão de disponibilidade geral atual do cliente do Microsoft Purview Information Protection instalada no computador Windows Server.

Para obter mais informações, consulte Instalar ou atualizar o cliente de proteção de informações.

Importante

Tem de instalar o cliente completo do scanner. Não instale o cliente apenas com o módulo do PowerShell.

Requisitos de configuração de etiquetas

Tem de ter, pelo menos, uma etiqueta de confidencialidade configurada no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview para a conta do scanner, para aplicar a classificação e, opcionalmente, a encriptação.

A conta do scanner é a conta que irá especificar no parâmetro DelegatedUser do cmdlet Set-Authentication , executado ao configurar o scanner.

Se as etiquetas não tiverem condições de etiquetagem automática, veja as instruções para configurações alternativas abaixo.

Para saber mais, confira:

Requisitos do SharePoint

Para analisar bibliotecas e pastas de documentos do SharePoint, certifique-se de que o seu servidor do SharePoint cumpre os seguintes requisitos:

Requisito Descrição
Versões com suporte As versões suportadas incluem: SharePoint 2019, SharePoint 2016 e SharePoint 2013.
Outras versões do SharePoint não são suportadas para o scanner.
Controle de Versão Quando utiliza o controlo de versões, o scanner inspeciona e etiqueta a última versão publicada.

Se o scanner etiquetar um ficheiro e for necessária aprovação de conteúdo , esse ficheiro etiquetado tem de ser aprovado para estar disponível para os utilizadores.
Grandes farms do SharePoint Para grandes farms do SharePoint, verifique se precisa de aumentar o limiar da vista de lista (por predefinição, 5000) para o scanner aceder a todos os ficheiros.

Para obter mais informações, consulte Gerir listas e bibliotecas grandes no SharePoint.
Caminhos de ficheiro longos Se tiver longos caminhos de ficheiro no SharePoint, certifique-se de que o valor httpRuntime.maxUrlLength do servidor do SharePoint é maior do que os 260 carateres predefinidos.

Para obter mais informações, consulte a secção seguinte, Evitar tempos limite do scanner no SharePoint.

Evitar tempos limite do scanner no SharePoint

Se tiver longos caminhos de ficheiro na versão 2013 ou superior do SharePoint, certifique-se de que o valor httpRuntime.maxUrlLength do servidor do SharePoint é superior aos 260 carateres predefinidos.

Este valor é definido na classe HttpRuntimeSection da ASP.NET configuração.

Para atualizar a classe HttpRuntimeSection:

  1. Faça uma cópia de segurança da configuração doweb.config .

  2. Atualize o valor maxUrlLength conforme necessário. Por exemplo:

    <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />
    
  3. Reinicie o servidor Web do SharePoint e verifique se carrega corretamente.

    Por exemplo, no Gestor de Servidores de Informação Internet (IIS) do Windows, selecione o seu site e, em seguida, em Gerir Site, selecione Reiniciar.

Requisitos do Microsoft Office

Para digitalizar documentos do Office, os seus documentos têm de estar num dos seguintes formatos:

  • Microsoft Office 97-2003
  • Formatos Open XML do Office para Word, Excel e PowerPoint

Para obter mais informações, veja Tipos de ficheiro suportados.

Requisitos do caminho do ficheiro

Por predefinição, para analisar ficheiros, os caminhos de ficheiro têm de ter um máximo de 260 carateres.

Para analisar ficheiros com caminhos de ficheiro com mais de 260 carateres, instale o scanner num computador com uma das seguintes versões do Windows e configure o computador conforme necessário:

Versão do Windows Descrição
Windows 2016 ou posterior Configurar o computador para suportar caminhos longos
Windows 10 ou Windows Server 2016 Defina a seguinte definição de política de grupo: Política> deComputador Local Configuração>do Computador Modelos Administrativos>Todas as Definições>Ativar caminhos longos win32.

Para obter mais informações sobre o suporte de caminhos de ficheiro longos nestas versões, consulte a secção Limitação máxima do Comprimento do Caminho na documentação do programador do Windows 10.
Windows 10, versão 1607 ou posterior Opte ativamente por participar na funcionalidade de MAX_PATH atualizada. Para obter mais informações, consulte Ativar Caminhos Longos no Windows 10 versões 1607 e posteriores.

Implementar o scanner com configurações alternativas

Os pré-requisitos listados acima são os requisitos predefinidos para a implementação do scanner e recomendados porque suportam a configuração do scanner mais simples.

Os requisitos predefinidos devem ser adequados para testes iniciais, para que possa verificar as capacidades do scanner.

No entanto, num ambiente de produção, as políticas da sua organização podem ser diferentes dos requisitos predefinidos. O scanner pode acomodar as seguintes alterações com configuração adicional:

Detetar e analisar todos os sites e subsites do SharePoint num URL específico

O scanner pode detetar e analisar todos os sites e subsites do SharePoint num URL específico com a seguinte configuração:

  1. Inicie a Administração Central do SharePoint.

  2. No site da Administração Central do SharePoint , na secção Gestão de Aplicações , clique em Gerir aplicações Web.

  3. Clique para realçar a aplicação Web cujo nível de política de permissão pretende gerir.

  4. Escolha o farm relevante e, em seguida, selecione Gerir Níveis de Política de Permissões.

  5. Selecione Auditor de Coleção de Sites nas opções Permissões da Coleção de Sites e, em seguida, conceda Ver Páginas da Aplicação na lista Permissões e, por fim, atribua um nome ao novo auditor e visualizador da coleção de sites scanner de nível de política.

  6. Adicione o utilizador do scanner à nova política e conceda Coleção de sites na lista Permissões.

  7. Adicione um URL do SharePoint que aloja sites ou subsites que precisam de ser analisados. Para obter mais informações, veja Configurar as definições do scanner.

Para saber mais sobre como gerir os níveis de política do SharePoint, veja Gerir políticas de permissão para uma aplicação Web.

Restrição: o servidor de scanner não pode ter conectividade à Internet

Embora o cliente de proteção de informações não possa aplicar encriptação sem uma ligação à Internet, o scanner ainda pode aplicar etiquetas com base em políticas importadas.

Para suportar um computador desligado, utilize um dos seguintes métodos:

Utilizar o portal do Microsoft Purview ou o portal de conformidade do Microsoft Purview com um computador desligado

Para suportar um computador que não consegue ligar ao portal do Microsoft Purview ou ao portal de conformidade do Microsoft Purview, execute os seguintes passos:

  1. Configure etiquetas na sua política e, em seguida, utilize o procedimento para suportar computadores desligados para ativar a classificação e etiquetagem offline.

  2. Ative a gestão offline para tarefas de conteúdo da seguinte forma:

    Ativar a gestão offline para tarefas de análise de conteúdos:

    1. Defina o scanner para funcionar no modo offline com o cmdlet Set-ScannerConfiguration .

    2. Configure o scanner no portal de compatibilidade ao criar um cluster de scanners. Para obter mais informações, veja Configurar as definições do scanner.

    3. Exporte a tarefa de conteúdo do painel Information protection - Content scan jobs (Proteção de informações – Tarefas de análise de conteúdo ) com a opção Export (Exportar ).

    4. Importe a política com o cmdlet Import-ScannerConfiguration .

    Os resultados das tarefas de análise de conteúdo offline estão localizados em: %localappdata%\Microsoft\MSIP\Scanner\Reports

Utilizar o PowerShell com um computador desligado

Execute o seguinte procedimento para suportar um computador desligado apenas com o PowerShell.

Importante

Os administradores dos servidores de scanner do Azure China 21Vianettêm de utilizar este procedimento para gerir as tarefas de análise de conteúdos.

Gerir as tarefas de análise de conteúdos apenas com o PowerShell:

  1. Defina o scanner para funcionar no modo offline com o cmdlet Set-ScannerConfiguration .

  2. Crie uma nova tarefa de análise de conteúdos com o cmdlet Set-ScannerContentScan, certificando-se de que utiliza o parâmetro obrigatório -Enforce On .

  3. Adicione os repositórios com o cmdlet Add-ScannerRepository , com o caminho para o repositório que pretende adicionar.

    Dica

    Para impedir que o repositório herda definições da tarefa de análise de conteúdos, adicione o OverrideContentScanJob On parâmetro, bem como os valores para definições adicionais.

    Para editar detalhes de um repositório existente, utilize o comando Set-ScannerRepository .

  4. Utilize os cmdlets Get-ScannerContentScan e Get-ScannerRepository para devolver informações sobre as definições atuais da tarefa de análise de conteúdos.

  5. Utilize o comando Set-ScannerRepository para atualizar os detalhes de um repositório existente.

  6. Execute a tarefa de análise de conteúdos imediatamente, se necessário, com o cmdlet Start-Scan .

    Os resultados das tarefas de análise de conteúdo offline estão localizados em: %localappdata%\Microsoft\MSIP\Scanner\Reports

  7. Se precisar de remover um repositório ou uma tarefa de análise de conteúdo completa, utilize os seguintes cmdlets:

Restrição: não lhe é possível conceder o Sysadmin ou as bases de dados têm de ser criadas e configuradas manualmente

Utilize os seguintes procedimentos para criar manualmente bases de dados e conceder a função db_owner , conforme necessário.

Se lhe for concedida a função Sysadmin temporariamente para instalar o scanner, pode remover esta função quando a instalação do scanner estiver concluída.

Efetue um dos seguintes procedimentos, consoante os requisitos da sua organização:

Restrição Descrição
Pode ter a função Sysadmin temporariamente Se tiver temporariamente a função Sysadmin, a base de dados é criada automaticamente para si e a conta de serviço do scanner recebe automaticamente as permissões necessárias.

No entanto, a conta de utilizador que configura o scanner ainda requer a função de db_owner para a base de dados de configuração do scanner. Se tiver apenas a função Sysadmin até a instalação do scanner estar concluída, conceda a função de db_owner à conta de utilizador manualmente.
Não pode ter a função Sysadmin Se não lhe for possível conceder a função Sysadmin mesmo temporariamente, tem de pedir a um utilizador com direitos de administrador do Sysadmin para criar manualmente uma base de dados antes de instalar o scanner.

Para esta configuração, a função db_owner tem de ser atribuída às seguintes contas:
- Conta de serviço do scanner
- Conta de utilizador para a instalação do scanner
- Conta de utilizador para a configuração do scanner

Normalmente, irá utilizar a mesma conta de utilizador para instalar e configurar o scanner. Se utilizar contas diferentes, ambas necessitam da função db_owner para a base de dados de configuração do scanner. Crie este utilizador e os direitos conforme necessário. Se especificar o seu próprio nome de cluster, a base de dados de configuração tem o< nome AIPScannerUL_cluster_name>.

Além disso:

  • Tem de ser um administrador local no servidor que irá executar o scanner

  • A conta de serviço que irá executar o scanner tem de ter permissões de Controlo Total para as seguintes chaves de registo:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Se, depois de configurar estas permissões, vir um erro ao instalar o scanner, o erro pode ser ignorado e pode iniciar manualmente o serviço de scanner.

Criar manualmente uma base de dados e um utilizador para o scanner e conceder direitos de db_owner

Se precisar de criar manualmente a base de dados do scanner e/ou criar um utilizador e conceder direitos de db_owner na base de dados, peça ao Sysadmin para executar os seguintes passos:

  1. Criar uma base de dados para o scanner:

    **CREATE DATABASE AIPScannerUL_[clustername]**
    
    **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
    
  2. Conceda direitos ao utilizador que executa o comando de instalação e é utilizado para executar comandos de gestão de scanners. Utilize o seguinte script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. Conceda direitos à conta de serviço do scanner. Utilize o seguinte script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

Restrição: não é possível conceder à conta de serviço do scanner o direito iniciar sessão localmente

Se as políticas da sua organização proibirem o início de sessão localmente correto para contas de serviço, utilize o parâmetro OnBehalfOf com Set-Authentication.

Para obter mais informações, veja Executar cmdlets de etiquetagem de proteção de informações sem supervisão.

Restrição: a conta de serviço do scanner não pode ser sincronizada com o ID do Microsoft Entra, mas o servidor tem conectividade à Internet

Pode ter uma conta para executar o serviço de scanner e utilizar outra conta para autenticar no Microsoft Entra ID:

  • Para a conta de serviço do scanner, utilize uma conta do Windows local ou uma conta do Active Directory.

  • Para a conta Microsoft Entra, especifique o utilizador microsoft Entra no cmdlet Set-Authentication , no parâmetro DelegatedUser .

    Se estiver a executar a análise em qualquer utilizador que não seja a conta do scanner, certifique-se de que também especifica a conta do analisador no parâmetro OnBehalfOf .

    Para obter mais informações, veja Executar cmdlets de etiquetagem de proteção de informações sem supervisão.

Restrição: as etiquetas não têm condições de etiquetagem automática

Se as etiquetas não tiverem condições de etiquetagem automática, planeie utilizar uma das seguintes opções ao configurar o scanner:

Opção Descrição
Descobrir todos os tipos de informações Na sua tarefa de análise de conteúdos, defina a opção Tipos de informações a serem detetados como Todos.

Esta opção define a tarefa de análise de conteúdos para analisar o conteúdo de todos os tipos de informações confidenciais.
Utilizar etiquetagem recomendada Na tarefa de análise de conteúdos, defina a opção Tratar etiquetagem recomendada como automática como Ativado.

Esta definição configura o scanner para aplicar automaticamente todas as etiquetas recomendadas no seu conteúdo.
Definir uma etiqueta predefinida Defina uma etiqueta predefinida na sua política, tarefa de análise de conteúdos ou repositório.

Neste caso, o scanner aplica a etiqueta predefinida em todos os ficheiros encontrados.

Próximas etapas

Depois de confirmar que o sistema está em conformidade com os pré-requisitos do analisador, continue com a opção Configurar e instalar o analisador de proteção de informações.

Para obter uma descrição geral sobre o scanner, consulte Saiba mais sobre o analisador de proteção de informações.