Поделиться через

Настройка и установка сканера защиты информации

Примечание.

Добавлена новая версия сканера защиты информации. Дополнительные сведения см. в разделе Обновление сканера Защита информации Microsoft Purview.

В этой статье описывается, как настроить и установить сканер Защита информации Microsoft Purview, ранее Azure Information Protection унифицированный сканер меток, или локальный сканер.

Совет

Хотя большинство клиентов будут выполнять эти процедуры на портале администрирования, возможно, вам потребуется работать только в PowerShell.

Например, если вы работаете в среде без доступа к порталу администрирования, например Azure China 21Vianet, следуйте инструкциям в разделе Настройка сканера с помощью PowerShell.

Обзор

Перед началом работы убедитесь, что система соответствует необходимым требованиям.

Затем выполните следующие действия, чтобы настроить и установить сканер.

  1. Настройка параметров сканера

  2. Установка сканера

  3. Получение маркера Microsoft Entra для сканера

  4. Настройка сканера для применения классификации и защиты

Затем при необходимости выполните следующие процедуры настройки для системы:

Procedure Описание
Изменение типов файлов для защиты Может потребоваться сканировать, классифицировать или защищать файлы разных типов, отличных от типов по умолчанию. Дополнительные сведения см. в разделе Процесс сканирования.
Обновление сканера Обновите сканер, чтобы использовать последние функции и улучшения.
Массовое изменение параметров репозитория данных Используйте параметры импорта и экспорта для массового внесения изменений в несколько репозиториев данных.
Использование сканера с альтернативными конфигурациями Использование сканера без настройки меток с какими-либо условиями
Оптимизация производительности Руководство по оптимизации производительности сканера

Если у вас нет доступа к страницам сканера на портале Microsoft Purview, настройте параметры сканера только в PowerShell. Дополнительные сведения см. в разделах Настройка сканера с помощью PowerShell и Поддерживаемые командлеты PowerShell.

Настройка параметров сканера

Перед установкой сканера или обновлением более старой общедоступной версии настройте или проверьте параметры сканера. Для этой конфигурации можно использовать портал Microsoft Purview.

Чтобы настроить сканер на портале Microsoft Purview, выполните следующие действия.

  1. Войдите, используя одну из следующих ролей:
  • Администратор соответствия
  • Администратор данных соответствия требованиям
  • Администратор безопасности
  • Управление организацией

  1. Вход на портал> Microsoft PurviewПараметры карта >сканера Information Protection>Защита информации.

  2. Создайте кластер сканера. Этот кластер определяет сканер и используется для идентификации экземпляра сканера, например во время установки, обновления и других процессов.

  3. Создайте задание проверки содержимого , чтобы определить репозитории, которые требуется сканировать.

Создание кластера сканера

Чтобы создать кластер сканера на портале Microsoft Purview, выполните следующие действия.

  1. На вкладках на странице Сканер защиты информации выберите Кластеры.

  2. На вкладке Кластеры выберите Добавитьзначок добавления.

  3. На панели Новый кластер введите понятное имя средства проверки и необязательное описание.

    Имя кластера используется для идентификации конфигураций и репозиториев сканера. Например, вы можете войти в Европу , чтобы определить географическое расположение репозиториев данных, которые требуется сканировать.

    Это имя будет использоваться позже, чтобы определить, где вы хотите установить или обновить сканер.

  4. Нажмите кнопку Сохранить, чтобы сохранить изменения.

Создание задания проверки содержимого

Подробные сведения о содержимом, чтобы проверить определенные репозитории на наличие конфиденциального содержимого.

Чтобы создать задание проверки содержимого на портале Microsoft Purview, выполните следующие действия.

  1. На вкладках на странице Сканер защиты информации выберите Задания сканирования содержимого.

  2. На панели Задания проверки содержимого выберите Значок сохранения добавить.

  3. Для этой начальной конфигурации настройте следующие параметры и нажмите кнопку Сохранить.

    Setting Описание
    Параметры задания проверки содержимого - Расписание: оставьте значение по умолчанию Вручную.
    - Обнаруженные типы сведений: измените только на политику
    Политика защиты от потери данных Если вы используете политику защиты от потери данных, установите для параметра Включить правила защиты от потери данных значение Включено. Дополнительные сведения см. в разделе Использование политики защиты от потери данных.
    Политика конфиденциальности - Принудительное применение политики меток конфиденциальности: выберите Выкл.
    - Метка файлов на основе содержимого. Оставьте значение по умолчанию Включено.
    - Метка по умолчанию: оставьте значение по умолчанию Политика по умолчанию.
    - Повторная маркировка файлов: оставьте значение по умолчанию Выкл.
    Настройка параметров файла - Сохранение значений "Дата изменения", "Последнее изменение" и "Изменено". Оставьте значение по умолчанию Включено.
    - Типы файлов для сканирования: оставьте типы файлов по умолчанию для исключения.
    - Владелец по умолчанию: оставьте значение по умолчанию для учетной записи сканера.
    - Задать владельца репозитория. Используйте этот параметр только при использовании политики защиты от потери данных.

  4. Откройте сохраненное задание проверки содержимого и выберите вкладку Репозитории , чтобы указать хранилища данных для проверки.

    Укажите UNC-пути и URL-адреса SharePoint Server для локальных библиотек документов и папок SharePoint.

    Примечание.

    SharePoint Server 2019, SharePoint Server 2016 и SharePoint Server 2013 поддерживаются для SharePoint. SharePoint Server 2010 также поддерживается при расширенной поддержке этой версии SharePoint.

    Чтобы добавить первое хранилище данных на вкладке Репозитории :

    1. В области Репозитории выберите Добавить:

    2. В области Репозиторий укажите путь к репозиторию данных и нажмите кнопку Сохранить.

      • Для сетевого ресурса используйте .\\Server\Folder
      • Для библиотеки SharePoint используйте http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • Для локального пути: C:\Folder
      • Для UNC-пути: \\Server\Folder

    Примечание.

    Подстановочные знаки не поддерживаются, а расположения WebDav не поддерживаются. Сканирование расположений OneDrive в качестве репозиториев не поддерживается.

    Если добавить путь к SharePoint для общих документов:

    • Укажите общие документы в пути, если вы хотите сканировать все документы и все папки из общих документов. Пример: http://sp2013/SharedDocuments
    • Укажите документы в пути, если вы хотите сканировать все документы и все папки из вложенной папки в разделе Общие документы. Пример: http://sp2013/Documents/SalesReports
    • Или укажите только полное доменное имя sharePoint, например http://sp2013 для обнаружения и сканирования всех сайтов и дочерних сайтов SharePoint по определенному URL-адресу и субтитров в этом URL-адресе. Предоставьте сканеру права аудитора сборщика сайтов , чтобы включить это.

    Для остальных параметров на этой панели не изменяйте их для этой начальной конфигурации, но оставьте их в качестве задания проверки содержимого по умолчанию. Параметр по умолчанию означает, что репозиторий данных наследует параметры от задания проверки содержимого.

    При добавлении путей SharePoint используйте следующий синтаксис:

    Path Синтаксис
    Корневой путь http://<SharePoint server name>

    Сканирует все сайты, включая все семейства веб-сайтов, разрешенные для пользователя сканера.
    Требуются дополнительные разрешения для автоматического обнаружения корневого содержимого
    Определенный дочерний сайт или коллекция SharePoint Один из следующих продуктов:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Требуются дополнительные разрешения для автоматического обнаружения содержимого семейства веб-сайтов
    Конкретная библиотека SharePoint Один из следующих продуктов:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Конкретная папка SharePoint http://<SharePoint server name>/.../<folder name>

  5. Повторите предыдущие шаги, чтобы добавить столько репозиториев, сколько необходимо.

Теперь вы можете установить сканер с помощью созданного задания проверки содержимого. Перейдите к параметру Установка сканера.

Установка сканера

Настроив сканер, выполните следующие действия, чтобы установить сканер. Эта процедура полностью выполняется в PowerShell.

  1. Войдите на Windows Server компьютер, на который будет запущен сканер. Используйте учетную запись с правами локального администратора и с разрешениями на запись в базу данных SQL Server master.

    Важно!

    Перед установкой сканера на компьютере должен быть установлен клиент защиты информации.

    Дополнительные сведения см. в разделе Предварительные требования для установки и развертывания сканера защиты информации.

  2. Откройте сеанс Windows PowerShell с параметром Запуск от имени администратора.

  3. Выполните командлет Install-Scanner, указав экземпляр SQL Server, на котором создается база данных для средства проверки защиты информации, и имя кластера сканера, указанное в предыдущем разделе:

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>

    Примеры использования имени кластера сканера в Европе:

    • Для экземпляра по умолчанию: Install-Scanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Для именованного экземпляра: Install-Scanner -SqlServerInstance SQLSERVER1\SCANNER -Cluster Europe

    • Для SQL Server Express:Install-Scanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    При появлении запроса укажите учетные данные Active Directory для учетной записи службы проверки.

    Используйте следующий синтаксис: \<domain\user name>. Пример: contoso\scanneraccount

  4. Убедитесь, что служба теперь установлена с помощью служб администрирования>.

    Установленная служба называется Защита информации Microsoft Purview Scanner и настроена для запуска с помощью созданной учетной записи службы проверки.

Теперь, когда вы установили сканер, необходимо получить маркер Microsoft Entra для учетной записи службы проверки подлинности, чтобы средство проверки пустилось автоматически.

Получение маркера Microsoft Entra для сканера

Маркер Microsoft Entra позволяет сканеру проходить проверку подлинности в службе сканера Защита информации Microsoft Purview, что позволяет сканеру выполняться автоматически.

Дополнительные сведения см. в статье Автоматическое выполнение командлетов для защиты информации.

Примечание.

Поддержка проверки подлинности на основе сертификатов доступна в общедоступной предварительной версии. Дополнительные сведения см. в разделе Проверка подлинности на основе сертификатов.

Чтобы получить маркер Microsoft Entra:

  1. Перейдите на портал Azure и перейдите к колонке Microsoft Entra ID.

  2. В боковой области Microsoft Entra ID щелкните Регистрация приложений.

  3. В верхней части окна нажмите кнопку + Новая регистрация.

  4. В разделе Имя введите InformationProtectionScanner.

  5. Оставьте значение по умолчанию Поддерживаемые типы учетных записей .

  6. Для URI перенаправления оставьте тип Web, но введите для http://localhost части записи и нажмите кнопку Зарегистрировать.

  7. На странице Обзор этого приложения запишите в выбранном текстовом редакторе следующие идентификаторы: Идентификатор приложения (клиента) и Идентификатор каталога (клиента). Это потребуется позже при настройке команды Set-AIPAuthentication.

  8. На боковой панели перейдите к разделу Сертификаты и секреты.

  9. Щелкните + Новый секрет клиента.

  10. В открывшемся диалоговом окне введите описание секрета и задайте для него значение Срок действия через 1 год , а затем — Добавить секрет.

  11. Теперь в разделе секретов клиента появится запись со значением секрета. Скопируйте это значение и сохраните его в файле, где вы сохранили идентификатор клиента и идентификатор клиента. Это единственный раз, когда вы сможете увидеть значение секрета, оно не будет восстановлено, если вы не скопируете его в настоящее время.

  12. На боковой панели перейдите к разделу Разрешения API.

  13. Выберите Добавить разрешение.

  14. Когда появится экран, выберите Azure Служба управления правами. Затем выберите Разрешения приложения.

  15. Щелкните раскрывающийся список Содержимое и установите флажки для Content.DelegatedReader и Content.DelegatedWriter. Затем в нижней части экрана щелкните Добавить разрешения.

  16. Вернитесь к разделу Разрешения API и добавьте другое разрешение.

  17. На этот раз в разделе Выбор API щелкните API, которые использует моя организация. В строке поиска введите Microsoft Information Protection Sync Service и выберите ее.

  18. Выберите Разрешения приложения , а затем в раскрывающемся списке Единая политика установите флажок разрешения UnifiedPolicy.Tenant.Read. Затем в нижней части экрана щелкните Добавить разрешения.

  19. Вернитесь на экран Разрешения API, щелкните Предоставить согласие Администратор и найдите успешную операцию (означаемую зеленой галочкой).

  20. С Windows Server компьютера, если вашей учетной записи службы сканера предоставлен локальный вход для установки, войдите с помощью этой учетной записи и запустите сеанс PowerShell.

    Запустите Set-Authentication, указав значения, скопированные на предыдущем шаге:

    Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    Например, вы можете:

    $pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "00001111-aaaa-2222-bbbb-3333cccc4444" -AppSecret "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2" -DelegatedUser scanner@contoso.com -TenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Совет

Если вашей учетной записи службы сканера не удается предоставить локальное право входа для установки, используйте параметр OnBehalfOf с командлетом Set-Authentication, как описано в разделе Запуск командлетов меток защиты информации автоматически.

Сканер теперь имеет маркер для проверки подлинности для Microsoft Entra ID. Этот маркер действителен в течение одного года, двух лет или никогда в соответствии с конфигурацией секрета клиента веб-приложения /API в Microsoft Entra ID. По истечении срока действия маркера необходимо повторить эту процедуру.

Выполните одно из следующих действий в зависимости от того, используете ли вы портал Microsoft Purview для настройки сканера или только PowerShell:

Теперь вы можете запустить первую проверку в режиме обнаружения. Дополнительные сведения см. в разделе Запуск цикла обнаружения и просмотр отчетов для сканера.

После запуска начальной проверки обнаружения перейдите к параметру Настройка сканера для применения классификации и защиты.

Дополнительные сведения см. в статье Автоматическое выполнение командлетов для защиты информации.

Настройка сканера для применения классификации и защиты

Параметры по умолчанию настраивают средство проверки для однократного запуска и в режиме только для отчетов. Чтобы изменить эти параметры, измените задание сканирования содержимого.

Совет

Если вы работаете только в PowerShell, см . статью Настройка сканера для применения классификации и защиты — только PowerShell.

Чтобы настроить сканер для применения классификации и защиты на портале Microsoft Purview:

  1. На портале Microsoft Purview на вкладке Задания проверки содержимого выберите определенное задание проверки содержимого, чтобы изменить его.

  2. Выберите задание проверки содержимого, измените следующее и нажмите кнопку Сохранить:

    • В разделе Задание сканирования содержимого : измените расписание на Always
    • В разделе Применить политику меток конфиденциальности: измените переключатель на Включено.

  3. Убедитесь, что узел для задания проверки содержимого находится в сети, а затем снова запустите задание сканирования содержимого, нажав кнопку Проверить сейчас. Кнопка "Проверить сейчас " отображается только в том случае, если узел для выбранного задания проверки содержимого находится в сети.

Теперь планируется непрерывное выполнение сканера. Когда средство проверки проходит через все настроенные файлы, он автоматически запускает новый цикл, чтобы обнаружить все новые и измененные файлы.

Использование политики защиты от потери данных

Использование политики защиты от потери данных позволяет сканеру обнаруживать потенциальные утечки данных, сопоставляя правила защиты от потери данных с файлами, хранящимися в общих папках и SharePoint Server.

  • Включите правила защиты от потери данных в задании сканирования содержимого , чтобы уменьшить уязвимость всех файлов, соответствующих политикам защиты от потери данных. Если правила защиты от потери данных включены, сканер может ограничить доступ к файлам только владельцам данных или уменьшить уязвимость к группам на уровне сети, таким как Все, Пользователи с проверкой подлинности или Пользователи домена.

  • На портале Microsoft Purview определите, тестируете ли вы политику защиты от потери данных или хотите применить правила и изменить разрешения файлов в соответствии с этими правилами. Дополнительные сведения см. в статье Создание и развертывание политик защиты от потери данных.

Политики защиты от потери данных настраиваются на портале Microsoft Purview. Дополнительные сведения о лицензировании защиты от потери данных см. в статье Начало работы с локальным сканером защиты от потери данных.

Совет

При проверке файлов даже при простом тестировании политики защиты от потери данных также создаются отчеты о разрешениях файлов. Запросите эти отчеты, чтобы изучить уязвимость конкретных файлов или изучить уязвимость конкретного пользователя к сканируемым файлам.

Сведения о том, как использовать только PowerShell, см. в статье Использование политики защиты от потери данных с помощью сканера — только PowerShell.

Чтобы использовать политику защиты от потери данных со сканером на портале Microsoft Purview, выполните следующие действия.

  1. На портале Microsoft Purview перейдите на вкладку Задания проверки содержимого и выберите определенное задание проверки содержимого. Дополнительные сведения см. в разделе Создание задания проверки содержимого.

  2. В разделе Включить правила политики защиты от потери данных установите переключатель в значение Включено.

    Важно!

    Не устанавливайте для параметра Включить правила защиты от потери данных значение Включено , если в Microsoft 365 не настроена политика защиты от потери данных.

    Включение этой функции без политики защиты от потери данных приведет к возникновению ошибок сканера.

  3. (Необязательно) Задайте для параметра Настройка владельца репозитория значение Включено и определите конкретного пользователя в качестве владельца репозитория.

    Этот параметр позволяет сканеру уменьшить уязвимость всех файлов, найденных в этом репозитории, которые соответствуют политике защиты от потери данных, определенному владельцу репозитория.

Политики защиты от потери данных и выполнение частных действий

Если вы используете политику защиты от потери данных с частным действием и планируете использовать сканер для автоматической маркировки файлов, рекомендуется также определить расширенный параметр UseCopyAndPreserveNTFSOwner клиента унифицированных меток.

Этот параметр гарантирует, что исходные владельцы сохраняют доступ к своим файлам.

Дополнительные сведения см. в разделах Создание задания проверки содержимого и Автоматическое применение метки конфиденциальности к данным Microsoft 365.

Изменение типов файлов для защиты

По умолчанию средство проверки защищает только типы файлов Office и PDF-файлы.

Используйте команды PowerShell, чтобы изменить это поведение по мере необходимости, например настроить средство проверки для защиты файлов всех типов, как это делает клиент, или для защиты файлов дополнительных конкретных типов.

Для политики меток, применяемой к учетной записи пользователя, скачивающей метки для сканера, укажите дополнительный параметр PowerShell С именем PFileSupportedExtensions.

Для сканера, имеющего доступ к Интернету, эта учетная запись пользователя является учетной записью, указанной для параметра DelegatedUser с помощью команды Set-Authentication.

Пример 1. Команда PowerShell для сканера для защиты файлов всех типов, где политика меток называется "Сканер":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Пример 2. Команда PowerShell для средства проверки для защиты файлов .xml и .tiff файлов в дополнение к файлам Office и PDF-файлам, где политика меток называется "Сканер":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Дополнительные сведения см. в разделе Изменение типов файлов для защиты.

Обновление сканера

Если вы ранее установили сканер и хотите выполнить обновление, используйте инструкции, описанные в разделе Обновление сканера Защита информации Microsoft Purview.

Затем настройте и используйте сканер , как обычно, пропуская действия по установке сканера.

Массовое изменение параметров репозитория данных

Используйте кнопки Экспорт и Импорт , чтобы внести изменения в сканер в нескольких репозиториях.

Таким образом, вам не нужно вносить одни и те же изменения несколько раз вручную на портале Microsoft Purview.

Например, если у вас есть новый тип файла в нескольких репозиториях данных SharePoint, вам может потребоваться массово обновить параметры этих репозиториев.

Чтобы внести изменения в репозитории на портале Microsoft Purview, выполните следующие действия:

  1. На портале Microsoft Purview выберите определенное задание сканирования содержимого и перейдите на вкладку Репозитории в области. Выберите параметр Экспорт .

  2. Вручную измените экспортированный файл, чтобы внести изменения.

  3. Используйте параметр Импорт на той же странице, чтобы импортировать обновления обратно в репозитории.

Использование сканера с альтернативными конфигурациями

Сканер обычно ищет условия, указанные для меток, чтобы классифицировать и защищать содержимое по мере необходимости.

В следующих сценариях сканер также может сканировать содержимое и управлять метками без настройки каких-либо условий:

Применение метки по умолчанию ко всем файлам в репозитории данных

В этой конфигурации все файлы без метки в репозитории помечаются меткой по умолчанию, указанной для репозитория или задания сканирования содержимого. Files помечаются без проверки.

Настройте указанные ниже параметры.

Setting Описание
Метки файлов на основе содержимого Установите значение Выкл.
Подпись по умолчанию Задайте для параметра Значение Настраиваемое, а затем выберите метку для использования.
Принудительное применение метки по умолчанию Выберите, чтобы метка по умолчанию применялась ко всем файлам, даже если они уже помечены путем включения повторной метки файлов и принудительного применения метки по умолчанию

Удаление существующих меток из всех файлов в репозитории данных

В этой конфигурации удаляются все существующие метки, включая защиту, если с меткой была применена защита. Защита, применяемая независимо от метки, сохраняется.

Настройте указанные ниже параметры.

Setting Описание
Метки файлов на основе содержимого Установите значение Выкл.
Подпись по умолчанию Задайте значение Нет.
Повторная маркировка файлов Установите значение Включено, а для параметра Применить по умолчаниюзадано значение Включено.

Определение всех настраиваемых условий и известных типов конфиденциальной информации

Эта конфигурация позволяет находить конфиденциальную информацию, которую вы, возможно, не знаете, за счет скорости сканирования для сканера.

Задайте для параметра Типы сведений для обнаружениязначение Все.

Чтобы определить условия и типы информации для маркировки, сканер использует все указанные настраиваемые типы конфиденциальной информации и список встроенных типов конфиденциальной информации, которые можно выбрать, как определено в центре управления метками.

Оптимизация производительности сканера

Примечание.

Если вы хотите повысить скорость реагирования компьютера сканера, а не производительность сканера, используйте расширенный параметр клиента, чтобы ограничить количество потоков, используемых сканером.

Используйте следующие параметры и рекомендации, чтобы оптимизировать производительность сканера.

Вариант Описание
Наличие высокоскоростного и надежного сетевого подключения между компьютером сканера и сканируемым хранилищем данных Например, поместите компьютер сканера в ту же локальную сеть или, желательно, в том же сегменте сети, что и сканированное хранилище данных.

Качество сетевого подключения влияет на производительность сканера, так как для проверки файлов сканер передает содержимое файлов на компьютер, на котором запущена служба сканера Защита информации Microsoft Purview сканера.

Уменьшение или устранение сетевых прыжков, необходимых для перемещения данных, также снижает нагрузку на сеть.
Убедитесь, что на компьютере сканера есть доступные ресурсы процессора Проверка содержимого файла, шифрование и расшифровка файлов являются интенсивными действиями процессора.

Отслеживайте типичные циклы сканирования для указанных хранилищ данных, чтобы определить, влияет ли нехватка ресурсов процессора на производительность сканера.
Установка нескольких экземпляров сканера Средство проверки поддерживает несколько баз данных конфигурации в одном экземпляре SQL Server при указании пользовательского имени кластера для сканера.

Совет. Несколько сканеров также могут совместно использовать один кластер, что ускоряет сканирование. Если вы планируете установить сканер на нескольких компьютерах с тем же экземпляром базы данных и хотите, чтобы сканеры выполнялись параллельно, необходимо установить все сканеры с одинаковым именем кластера.
Проверка использования альтернативной конфигурации Средство проверки выполняется быстрее при использовании альтернативной конфигурации для применения метки по умолчанию ко всем файлам, так как средство проверки не проверяет содержимое файла.

Сканер работает медленнее при использовании альтернативной конфигурации для определения всех настраиваемых условий и известных типов конфиденциальной информации.

Дополнительные факторы, влияющие на производительность

К дополнительным факторам, влияющим на производительность сканера, относятся:

Множитель Описание
Время загрузки и отклика Текущая загрузка и время отклика хранилищ данных, содержащих файлы для сканирования, также влияет на производительность сканера.
Режим проверки (обнаружение и принудительное применение) Режим обнаружения обычно имеет более высокую скорость сканирования, чем режим принудительного применения.

Для обнаружения требуется одно действие чтения файла, тогда как режим принудительного применения требует действий чтения и записи.
Изменения политики Производительность сканера может быть затронута, если вы внесли изменения в автоматическую маркировку в политике меток.

Первый цикл сканирования, когда сканер должен проверить каждый файл, займет больше времени, чем последующие циклы сканирования, которые по умолчанию проверяют только новые и измененные файлы.

При изменении условий или параметров автоматической маркировки все файлы сканируются снова. Дополнительные сведения см. в разделе Повторное сканирование файлов.
Регулярные конструкции Производительность сканера зависит от того, как создаются выражения регулярных выражений для пользовательских условий.

Чтобы избежать интенсивного потребления памяти и риска превышения времени ожидания (15 минут на файл), просмотрите выражения регулярных выражений для эффективного сопоставления шаблонов.

Например, вы можете:
- Избегайте жадных квантификаторов
— используйте неухватные группы, (?:expression) например, вместо (expression)
Уровень журнала Параметры уровня журнала включают отладку, сведения, ошибку и выкл . для отчетов сканера.

- Выключение обеспечивает лучшую производительность
- Отладка значительно замедляет работу сканера и должна использоваться только для устранения неполадок.

Дополнительные сведения см. в параметре ReportLevel для командлета Set-ScannerConfiguration .
Files сканируется — За исключением файлов Excel, файлы Office сканируются быстрее, чем PDF-файлы.

— Незащищенные файлы быстрее сканируются, чем защищенные файлы.

— Большие файлы, очевидно, занимают больше времени, чем небольшие файлы.

Настройка сканера с помощью PowerShell

В этом разделе описаны действия, необходимые для настройки и установки средства проверки, если у вас нет доступа к страницам проверки на портале Microsoft Purview и необходимо использовать только PowerShell.

Важно!

  • Для некоторых действий требуется, чтобы PowerShell мог получить доступ к страницам средства проверки на портале Microsoft Purview и идентичны. Эти действия см. в предыдущих инструкциях в этой статье, как указано.

  • Если вы работаете со сканером для Azure China 21Vianet, в дополнение к инструкциям, описанным здесь, необходимо выполнить дополнительные действия. Дополнительные сведения см. в разделе Защита информации Microsoft Purview для Office 365, управляемых 21Vianet.

Дополнительные сведения см. в разделе Поддерживаемые командлеты PowerShell.

Чтобы настроить и установить сканер, выполните следующие действия.

  1. Начните с закрытой оболочки PowerShell. Если вы ранее установили клиент защиты информации и сканер, убедитесь, что служба сканера Защита информации Microsoft Purview остановлена.

  2. Откройте сеанс Windows PowerShell с параметром Запуск от имени администратора.

  3. Выполните команду Install-Scanner , чтобы установить сканер на экземпляре SQL Server с параметром Cluster , чтобы определить имя кластера.

    Этот шаг идентичен, если вы можете получить доступ к страницам сканера на портале Microsoft Purview. Дополнительные сведения см. в предыдущих инструкциях в этой статье : Установка сканера

  4. Получите маркер Azure для использования со сканером, а затем повторно выполните проверку подлинности.

    Этот шаг идентичен, если вы можете получить доступ к страницам сканера на портале Microsoft Purview. Дополнительные сведения см. в предыдущих инструкциях в этой статье: Получение маркера Microsoft Entra для сканера.

  5. Выполните командлет Set-ScannerConfiguration , чтобы настроить работу сканера в автономном режиме. Запустить:

    Set-ScannerConfiguration -OnlineConfiguration Off

  6. Запустите командлет Set-ScannerContentScan , чтобы создать задание проверки содержимого по умолчанию.

    Единственным обязательным параметром в командлете Set-ScannerContentScan является Принудительно. Однако в настоящее время может потребоваться определить другие параметры для задания проверки содержимого. Например, вы можете:

    Set-ScannerContentScan -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>

    Приведенный выше синтаксис настраивает следующие параметры при продолжении настройки:

    • Позволяет вручную планировать выполнение сканера
    • Задает типы информации для обнаружения на основе политики меток конфиденциальности
    • Не применяет политику меток конфиденциальности
    • Автоматически помечает файлы на основе содержимого, используя метку по умолчанию, определенную для политики меток конфиденциальности.
    • Не допускает повторную маркировку файлов
    • Сохраняет сведения о файлах при проверке и автоматическом присвоении меток, включая дату изменения, последнего изменения и изменения значений
    • Задает средство проверки для исключения файлов .msg и .tmp при запуске
    • Задает владельца по умолчанию учетную запись, которую вы хотите использовать при запуске сканера

  7. Используйте командлет Add-ScannerRepository , чтобы определить репозитории, которые требуется сканировать в задании проверки содержимого. Например, выполните команду:

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'

    Используйте один из следующих синтаксисов в зависимости от типа добавляемого репозитория:

    • Для сетевого ресурса используйте .\\Server\Folder
    • Для библиотеки SharePoint используйте http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Для локального пути: C:\Folder
    • Для UNC-пути: \\Server\Folder

    Примечание.

    Подстановочные знаки не поддерживаются, а расположения WebDav не поддерживаются.

    Чтобы изменить репозиторий позже, используйте командлет Set-ScannerRepository .

    Если добавить путь к SharePoint для общих документов:

    • Укажите общие документы в пути, если вы хотите сканировать все документы и все папки из общих документов. Пример: http://sp2013/SharedDocuments
    • Укажите документы в пути, если вы хотите сканировать все документы и все папки из вложенной папки в разделе Общие документы. Пример: http://sp2013/Documents/SalesReports
    • Или укажите только полное доменное имя sharePoint, например http://sp2013 для обнаружения и сканирования всех сайтов и дочерних сайтов SharePoint по определенному URL-адресу и субтитров в этом URL-адресе. Предоставьте сканеру права аудитора сборщика сайтов , чтобы включить это.

    При добавлении путей SharePoint используйте следующий синтаксис:

    Path Синтаксис
    Корневой путь http://<SharePoint server name>

    Сканирует все сайты, включая все семейства веб-сайтов, разрешенные для пользователя сканера.
    Определенный дочерний сайт или коллекция SharePoint Один из следующих продуктов:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>
    Конкретная библиотека SharePoint Один из следующих продуктов:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Конкретная папка SharePoint http://<SharePoint server name>/.../<folder name>

При необходимости выполните следующие действия.

Использование PowerShell для настройки сканера для применения классификации и защиты

  1. Выполните командлет Set-ScannerContentScan , чтобы обновить задание проверки содержимого, чтобы настроить расписание на постоянное и принудительно применить политику конфиденциальности.

    Set-ScannerContentScan -Schedule Always -Enforce On

    Совет

    Может потребоваться изменить другие параметры на этой панели, например, изменяются ли атрибуты файлов и может ли средство проверки повторно маркировать файлы. Дополнительные сведения о доступных параметрах см. в полной документации по Set-ScannerContentScan.

  2. Выполните командлет Start-Scan , чтобы запустить задание проверки содержимого:

    Start-Scan

Теперь планируется непрерывное выполнение сканера. Когда средство проверки проходит через все настроенные файлы, он автоматически запускает новый цикл, чтобы обнаружить все новые и измененные файлы.

Настройка политики защиты от потери данных с помощью сканера с помощью PowerShell

Снова запустите командлет Set-ScannerContentScan с параметром -EnableDLPвключено, а также с определенным владельцем репозитория.

Например, вы можете:

Set-ScannerContentScan -EnableDLP On -RepositoryOwner 'domain\user'

Проверка подлинности на основе сертификатов (общедоступная предварительная версия)

Использование проверки подлинности на основе сертификата со сканером защиты информации

В этом разделе описывается, как настроить сканер Защита информации Microsoft Purview для проверки подлинности с помощью сертификата, а не секрета клиента.

Предварительные условия

Перед настройкой проверки подлинности на основе сертификатов убедитесь, что у вас есть:

  • Установленный сканер Защита информации Microsoft Purview
  • Административный доступ к Windows Server, на котором запущен сканер
  • Доступ к регистрации приложения Microsoft Entra, используемой сканером
  • Windows PowerShell 5.1

Шаг 1. Получение или создание сертификата

Получить сертификат можно двумя способами:

  1. Сертификат, выданный ЦС: запросите сертификат из центра сертификации вашей организации.
  2. Самозаверяющий сертификат. Создайте самозаверяющий сертификат.

Вариант А. Использование сертификата, выданного ЦС (в рабочей среде)

Использование сертификата, выданного ЦС, обеспечивает:

  • Автоматическое доверие через существующую инфраструктуру PKI
  • Централизованное управление жизненным циклом сертификатов
  • Соответствие политикам безопасности организации
  • Не нужно пропускать проверку цепочки сертификатов
Требования к сертификатам

При запросе сертификата из ЦС убедитесь, что он соответствует следующим требованиям:

Требование Значение
Алгоритм ключа RSA
Длина ключа Минимум 2048 бит (рекомендуется 4096)
Использование ключа Цифровые подписи
Закрытый ключ Экспортируемый (для резервного копирования) или помеченный для компьютера
Действия Согласно политике организации (обычно 1–2 года)

Ознакомьтесь с документацией по ЦС для получения конкретных инструкций по запросу сертификата с этими параметрами.

После получения ключа из корпоративного ЦС установите сертификат в хранилище локального компьютера на каждом Windows Server запуска сканера. Обязательно установите сертификат в личное хранилище локального компьютера.

Экспорт открытого ключа для Microsoft Entra

После выдачи и установки сертификата экспортируйте открытый ключ:

# Find the certificate (adjust the subject filter as needed)
$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Subject -like "*PurviewScanner*" }
Export-Certificate -Cert $cert -FilePath "C:\temp\PurviewScanner.cer"

Вариант Б. Использование самозаверяющего сертификата

Самозаверяющий сертификат можно создать на одном сервере, а затем импортировать на серверы в кластере сканера.

# Create certificate in Local Machine store with RSA provider
$cert = New-SelfSignedCertificate `
    -Subject "CN=PurviewScanner" `
    -CertStoreLocation Cert:\LocalMachine\My `
    -KeyExportPolicy Exportable `
    -KeySpec Signature `
    -KeyLength 2048 `
    -KeyAlgorithm RSA `
    -HashAlgorithm SHA256 `
    -NotAfter (Get-Date).AddYears(2) `
    -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider"

# Display the certificate details
Write-Host "Certificate created successfully"
Write-Host "Thumbprint: $($cert.Thumbprint)"
Write-Host "Subject: $($cert.Subject)"

Важно!

Параметр -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" является обязательным. Использование поставщиков CNG (Cryptography Next Generation) приведет к ошибкам "Набор ключей не существует" при попытке проверки подлинности сканера.

Экспорт открытого ключа

Экспортируйте открытый ключ сертификата для отправки в Microsoft Entra:

# Export public key certificate (.cer file)
Export-Certificate -Cert $cert -FilePath "C:\temp\PurviewScanner.cer"

Шаг 2. Предоставление разрешений закрытого ключа учетной записи службы проверки

Учетная запись службы сканера должна иметь разрешение на чтение закрытого ключа сертификата. Без этого разрешения проверка подлинности завершится ошибкой "Набор ключей не существует".

Использование пользовательского интерфейса диспетчера сертификатов

  1. Откройте хранилище сертификатов локального компьютера:

    • Нажмите Win + R, введите certlm.mscи нажмите клавишу ВВОД.

  2. Перейдите к разделу Сертификаты — локальный компьютер

  3. Щелкните правой кнопкой мыши созданный сертификат (например, "PurviewScanner") и выберите Все задачи>Управление закрытыми ключами.

  4. Нажмите кнопку Добавить и введите имя учетной записи службы проверки (например, CONTOSO\ScannerService).

  5. Выберите учетную запись и убедитесь, что установлен флажок Разрешение на чтение .

  6. Нажмите кнопку ОК , чтобы сохранить

С помощью PowerShell

Кроме того, можно предоставить разрешения с помощью PowerShell. Обязательно замените имя учетной записи службы фактической учетной записью службы сканера.

# Get the certificate
$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Subject -eq "CN=PurviewScanner" }

# Get the private key file path
$privateKey = [System.Security.Cryptography.X509Certificates.RSACertificateExtensions]::GetRSAPrivateKey($cert)
$keyPath = $privateKey.Key.UniqueName
$fullKeyPath = "$env:ALLUSERSPROFILE\Microsoft\Crypto\RSA\MachineKeys\$keyPath"

# Get current ACL
$acl = Get-Acl $fullKeyPath

# Add read permission for the scanner service account
$serviceAccount = "CONTOSO\ScannerService"  # Replace with your scanner service account
$accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule($serviceAccount, "Read", "Allow")
$acl.AddAccessRule($accessRule)

# Apply the updated ACL
Set-Acl $fullKeyPath $acl

Шаг 3. Отправка сертификата в Microsoft Entra

Зарегистрируйте открытый ключ сертификата с помощью регистрации приложения, используемого сканером.

Подробные инструкции по отправке сертификата в Microsoft Entra регистрации приложения см. в разделе Регистрация сертификата с помощью Microsoft Entra.

После отправки обратите внимание на отпечаток сертификата, отображаемый на портале. Он должен соответствовать отпечатку из шага 1.

Шаг 4. Настройка сканера для использования проверки подлинности с помощью сертификата

Set-Authentication Используйте командлет с параметрами -AppSecret сертификата вместо параметра .

# Get credentials for the scanner service account
$pscreds = Get-Credential CONTOSO\ScannerService

# Set authentication using certificate thumbprint
Set-Authentication `
    -AppId "your-app-id-guid" `
    -TenantId "your-tenant-id-guid" `
    -DelegatedUser "scanner@contoso.com" `
    -CertificateThumbprint "your-certificate-thumbprint" `
    -CertificateStoreLocation LocalMachine `
    -CertificateStoreName My `
    -OnBehalfOf $pscreds

Цепочка сертификатов автоматически проверяется на наличие сертификатов, выданных доверенным ЦС. Если проверка завершается ошибкой, убедитесь, что:

  • Корневой сертификат ЦС находится в хранилище доверенных корневых центров сертификации.
  • Все промежуточные сертификаты ЦС находятся в хранилище промежуточных центров сертификации.

Примечание.

Если вы используете самозаверяющий сертификат, добавьте -SkipCertificateChainValidation параметр для обхода проверки цепочки, что приведет к сбою для самозаверяющих сертификатов.

Проверка подлинности с помощью имени субъекта сертификата

Кроме того, можно указать сертификат по имени субъекта:

# Get credentials for the scanner service account
$pscreds = Get-Credential CONTOSO\ScannerService

# Set authentication using certificate subject name
Set-Authentication `
    -AppId "your-app-id-guid" `
    -TenantId "your-tenant-id-guid" `
    -DelegatedUser "scanner@contoso.com" `
    -CertificateSubjectName "PurviewScanner" `
    -CertificateStoreLocation LocalMachine `
    -CertificateStoreName My `
    -OnBehalfOf $pscreds

Примечание.

Если вы используете самозаверяющий сертификат, добавьте -SkipCertificateChainValidation параметр для обхода проверки цепочки, что приведет к сбою для самозаверяющих сертификатов.

Ссылка на параметр

Параметр Описание
-CertificateThumbprint Отпечаток SHA-1 сертификата, используемого для проверки подлинности. Не может использоваться с -CertificateSubjectName.
-CertificateSubjectName Имя субъекта (CN) сертификата, используемого для проверки подлинности. Не может использоваться с -CertificateThumbprint.
-CertificateStoreLocation Расположение хранилища сертификатов. Используйте LocalMachine для службы сканера. Допустимые значения: CurrentUser, LocalMachine. Значение по умолчанию: CurrentUser.
-CertificateStoreName Имя хранилища сертификатов. По умолчанию: My (Личное хранилище).
-SkipCertificateChainValidation Пропускает проверку цепочки сертификатов. Требуется для самозаверяемых сертификатов.

Устранение неполадок

Ошибка "Набор ключей не существует"

Эта ошибка обычно указывает на одну из следующих проблем:

  1. Разрешения закрытого ключа. Учетная запись службы проверки не имеет доступа на чтение закрытого ключа сертификата. Сведения о предоставлении разрешений см. в разделе Шаг 2 .

  2. Поставщик CNG. Сертификат был создан с поставщиком CNG, а не с поставщиком RSA. Повторно создайте сертификат с помощью -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" параметра .

Ошибка "Сертификат не найден"

Проверьте, что:

  • Правильный отпечаток или имя субъекта
  • Сертификат находится в указанном хранилище (LocalMachine\My по умолчанию)
  • Срок действия сертификата не истек

Ошибка "Не удалось создать цепочку сертификатов"

Для самозаверяемых сертификатов используйте -SkipCertificateChainValidation параметр . Для сертификатов, выданных ЦС, убедитесь, что на сервере установлена полная цепочка сертификатов (включая промежуточные ЦС).

Ошибка 401 "Не авторизовано" или "invalid_client"

Проверьте, что:

  • Открытый ключ сертификата передается в правильную Microsoft Entra регистрации приложения.
  • Идентификатор регистрации приложения соответствует параметру -AppId
  • Срок действия сертификата не истек
  • Правильный идентификатор клиента

Переход с проверки подлинности секрета на сертификат

Чтобы перенести существующий сканер с проверки подлинности на основе секретов на проверку подлинности на основе сертификатов, выполните приведенные далее действия.

  1. Создание и настройка сертификата, как описано выше
  2. Запуск Set-Authentication с параметрами сертификата
  3. Новая конфигурация проверки подлинности перезапишет предыдущую конфигурацию на основе секретов.
  4. Перезапуск службы сканера
# Restart the scanner service after changing authentication
Restart-Service -Name "Microsoft Purview Information Protection Scanner"

См. также

Поддерживаемые командлеты PowerShell

В этом разделе перечислены командлеты PowerShell, поддерживаемые сканером защиты информации, и инструкции по настройке и установке сканера только с помощью PowerShell.

Поддерживаемые командлеты для средства проверки:

Дальнейшие действия

После установки и настройки сканера начните сканирование файлов.

  • Last updated on