Настройка и установка сканера унифицированных меток Azure Information Protection (AIP)

В этой статье описывается настройка и установка azure Information Protection унифицированных меток локального сканера.

Совет

Хотя большинство клиентов выполняют эти процедуры в области портал Azure Azure Information Protection, возможно, потребуется работать только в PowerShell.

Например, если вы работаете в среде без доступа к портал Azure, например к серверам сканера Azure Для Китая 21Vianet, следуйте инструкциям в разделе "Использование PowerShell" для настройки средства проверки.

Обзор

Перед началом убедитесь, что система соответствует необходимым предварительным требованиям.

Чтобы использовать портал Azure, выполните следующие действия.

  1. Настройка параметров сканера

  2. Установка средства проверки

  3. Получение маркера Azure AD для сканера

  4. Настройка сканера для применения классификации и защиты

Затем выполните следующие процедуры конфигурации по мере необходимости для системы:

Процедура Описание
Изменение типов файлов для защиты Может потребоваться сканировать, классифицировать или защищать типы файлов, отличные от типов по умолчанию. Дополнительные сведения см. в разделе о процессе сканирования AIP.
Обновление сканера Обновите сканер, чтобы использовать новейшие функции и улучшения.
Массовое изменение параметров репозитория данных Используйте параметры импорта и экспорта для массовой обработки нескольких репозиториев данных.
Использование сканера с альтернативными конфигурациями Использование средства проверки без настройки меток с любыми условиями
Оптимизация производительности Руководство по оптимизации производительности сканера

Если у вас нет доступа к страницам сканера в портал Azure, настройте параметры сканера только в PowerShell. Дополнительные сведения см. в статье "Использование PowerShell для настройки средства проверки и поддерживаемых командлетов PowerShell".

Настройка параметров сканера

Перед установкой средства проверки или обновлением с более старой общедоступной версии настройте или проверьте параметры сканера.

Чтобы настроить сканер в портал Azure, выполните следующие действия.

  1. Войдите в портал Azure с помощью одной из следующих ролей:

    • администратор соответствия требованиям;
    • администратор соответствия данных требованиям;
    • администратор безопасности;
    • Глобальный администратор

    Затем перейдите в область Information Protection Azure.

    Например, в поле поиска ресурсов, служб и документов введите Information и в результатах выберите Azure Information Protection.

  2. Создание кластера сканера. Этот кластер определяет сканер и используется для определения его экземпляра, например во время установки, обновления и других процессов.

  3. Создайте задание сканирования содержимого , чтобы определить репозитории, которые требуется сканировать.

Создание кластера сканера

  1. В меню сканера слева выберите .

  2. На панели "Кластеры" Information Protection Azureвыберитезначок добавления значка.

  3. На панели "Добавление нового кластера " введите понятное имя средства проверки и необязательное описание.

    Имя кластера используется для идентификации конфигураций и репозиториев сканера. Например, вы можете войти в Европу , чтобы определить географические расположения репозиториев данных, которые требуется проверить.

    Это имя будет использоваться позже, чтобы определить, где вы хотите установить или обновить сканер.

  4. Щелкнитезначок сохранения значка сохранения, чтобы сохранить изменения.

Создание задания проверки сети (общедоступная предварительная версия)

Добавьте один или несколько репозиториев, найденных в задание сканирования содержимого, чтобы проверить их на наличие конфиденциального содержимого.

Примечание

По состоянию на 18 марта 2022 года мы закатам аналитику Azure Information Protection, а полное прекращение поддержки запланировано на 30 сентября 2022 года.

Мы также закатируем функции обнаружения сети сканера на той же временной шкале. Задания проверки сети в настоящее время доступны только для тех клиентов, у которых есть рабочие области Log Analytics для хранения журналов аудита AIP. Дополнительные сведения см. в статье Удаленные и снятые с учета службы.

Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

В следующей таблице описаны предварительные требования, необходимые для службы обнаружения сети:

Предварительные требования Описание
Установка службы сетевого обнаружения Если вы недавно обновили сканер, может потребоваться установить службу обнаружения сети.

Выполните командлет Install-MIPNetworkDiscovery , чтобы включить задания сканирования сети.
Аналитика Information Protection Azure Убедитесь, что у вас включена аналитика Information Protection Azure.

В портал Azure перейдите в Azure Information Protection > управление > настройкой аналитики (предварительная версия).

Дополнительные сведения см. в разделе "Централизованные отчеты для Azure Information Protection (общедоступная предварительная версия)".

Создание задания сканирования сети

  1. Войдите в портал Azure и перейдите в Azure Information Protection. В меню сканера слева выберите значок заданий проверки сети (предварительная версия)значка .

  2. На панели заданий проверки сети в Azure Information Protectionвыберитезначок добавления значка добавления.

  3. На странице "Добавление нового задания проверки сети " определите следующие параметры:

    Параметр Описание
    Имя задания проверки сети Введите понятное имя для этого задания. Это обязательное поле.
    Описание Введите понятное описание.
    Выберите кластер. В раскрывающемся списке выберите кластер, который будет использоваться для сканирования настроенных сетевых расположений.

    Совет. При выборе кластера убедитесь, что узлы в кластере, которые вы назначаете, могут получить доступ к настроенным диапазонам IP-адресов через SMB.
    Настройка диапазонов IP-адресов для обнаружения Щелкните, чтобы определить IP-адрес или диапазон.

    В области "Выбор диапазонов IP-адресов " введите необязательное имя, а затем начальный IP-адрес и конечный IP-адрес диапазона.

    Совет. Чтобы проверить только определенный IP-адрес, введите идентичный IP-адрес в полях "Начальный IP-адрес " и " Конечный IP-адрес ".
    Установить расписание Определите частоту выполнения этого задания сканирования сети.

    Если выбрать "Еженедельно", появится задание "Запустить проверку сети" в параметре. Выберите дни недели, в которых будет выполняться задание сканирования сети.
    Установить время начала (UTC) Определите дату и время запуска этого задания сканирования сети. Если вы выбрали выполнение задания ежедневно, еженедельно или ежемесячно, задание будет выполняться в определенное время при выбранном повторении.

    Примечание. Будьте внимательны при установке даты на любые дни в конце месяца. Если выбрано значение 31, задание сканирования сети не будет выполняться ни в одном месяце с 30 днями или меньше.
  4. Щелкнитезначок сохранения значка сохранения, чтобы сохранить изменения.

Совет

Если вы хотите запустить ту же проверку сети с помощью другого сканера, измените кластер, определенный в задании сканирования сети.

Вернитесь в область заданий проверки сети и выберите " Назначить кластеру ", чтобы выбрать другой кластер сейчас, или отменить назначение кластера , чтобы внести дополнительные изменения позже.

Анализ обнаруженных рискованных репозиториев (общедоступная предварительная версия)

Найденные репозитории либо заданием сканирования сети, заданием сканирования содержимого, либо доступом пользователей, обнаруженным в файлах журнала, агрегируются и перечислены на > панели значков значков сканера.

Если вы определили задание проверки сети и настроили его выполнение в определенный момент времени, дождитесь завершения проверки результатов. Вы также можете вернуться сюда после запуска задания сканирования содержимого для просмотра обновленных данных.

Примечание

Функция репозиториев Azure Information Protection сейчас доступна в предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

  1. В меню сканераслева выберитерепозиториев репозиториев репозиториев репозиториевзначок.

    Найденные репозитории показаны следующим образом:

    • На диаграмме состояния репозиториев показано , сколько репозиториев уже настроено для задания сканирования содержимого и сколько нет.
    • В первых 10 неуправляемых репозиториях с помощью графа доступа перечислены 10 репозиториев, которые в настоящее время не назначены заданию сканирования содержимого, а также сведения об их уровнях доступа. Уровни доступа могут указывать, насколько рискованны ваши репозитории.
    • В таблице под графами перечислены все найденные репозитории и их сведения.
  2. Выполните одно из следующих действий.

    Параметр Описание
    Значок столбцов значка столбцов Выберите "Столбцы ", чтобы изменить отображаемые столбцы таблицы.
    Если сканер недавно выполнял результаты проверки сети, выберите "Обновить ", чтобы обновить страницу.
    значок добавления значка Выберите один или несколько репозиториев, перечисленных в таблице, а затем выберите "Назначить выбранные элементы ", чтобы назначить их заданию сканирования содержимого.
    Фильтр В строке фильтра отображаются все применяемые критерии фильтрации. Выберите любой из критериев, отображаемых для изменения его параметров, или нажмите кнопку "Добавить фильтр ", чтобы добавить новые критерии фильтрации.

    Выберите "Фильтр" , чтобы применить изменения и обновить таблицу с обновленным фильтром.
    Значок Log Analytics значка Log В правом верхнем углу графа неуправляемых репозиториев щелкните значок Log Analytics , чтобы перейти к данным Log Analytics для этих репозиториев.

Репозитории, в которых общедоступный доступ имеет возможности чтения или чтения и записи , могут иметь конфиденциальное содержимое, которое должно быть защищено. Если общий доступ имеет значение false, репозиторий вообще недоступен общедоступным.

Общедоступный доступ к репозиторию сообщается только в том случае, если вы установили слабую учетную запись в параметре StandardDomainsUserAccount командлетов Install-MIPNetworkDiscovery Или Set-MIPNetworkDiscoveryConfiguration .

  • Учетные записи, определенные в этих параметрах, используются для имитации доступа слабого пользователя к репозиторию. Если слабый пользователь, определенный там, может получить доступ к репозиторию, это означает, что к репозиторию можно получить общий доступ.

  • Чтобы обеспечить правильную отправку общедоступного доступа, убедитесь, что пользователь, указанный в этих параметрах, является членом только группы "Пользователи домена ".

Создание задания сканирования содержимого

Подробный обзор содержимого для сканирования определенных репозиториев для конфиденциального содержимого.

Это можно сделать только после запуска задания сканирования сети для анализа репозиториев в сети, но также может самостоятельно определить репозитории.

Чтобы создать задание сканирования содержимого на портал Azure, выполните следующие действия.

  1. В меню сканера слева выберите задания сканирования содержимого.

  2. В области заданий сканирования содержимого в Azure Information Protection выберите значок ".

  3. Для этой начальной конфигурации настройте следующие параметры, а затем нажмите кнопку "Сохранить ", но не закрывайте панель.

    Параметр Описание
    Параметры задания сканирования содержимого - Расписание: оставьте значение по умолчанию вручную
    - Обнаруженные типы сведений: изменение только политики
    - Настройка репозиториев: не настраивайте в настоящее время, так как задание сканирования содержимого должно быть сначала сохранено.
    Политика защиты от потери данных Если вы используете политику защиты от потери данных (DLP) Microsoft 365, установите для этого значения значение "Включить правила защиты от потери данных". Дополнительные сведения см. в разделе "Использование политики защиты от потери данных".
    Политика конфиденциальности - Принудительное применение: "Отключить"
    - Файлы меток на основе содержимого: оставьте значение по умолчанию вкл.
    - Метка по умолчанию: оставьте значение по умолчанию политики по умолчанию
    - Файлы с меткой: оставьте значение по умолчанию "Выкл."
    Настройка параметров файла - Сохранение значений "Дата изменения", "Последнее изменение" и "Изменено": оставьте значение по умолчанию вкл.
    - Типы файлов для сканирования: сохранение типов файлов по умолчанию для исключения
    - Владелец по умолчанию: оставьте учетную запись сканера по умолчанию
    - Задайте владельца репозитория: используйте этот параметр только при использовании политики защиты от потери данных.
  4. Теперь, когда задание сканирования содержимого создано и сохранено, можно вернуться к параметру "Настройка репозиториев ", чтобы указать проверяемые хранилища данных.

    Укажите UNC-пути и URL-адреса SharePoint Server для локальных библиотек документов и папок SharePoint.

    Примечание

    для SharePoint поддерживаются SharePoint Server 2019, SharePoint Server 2016 и SharePoint Server 2013.

    Чтобы добавить первое хранилище данных, на панели "Добавление нового задания сканирования содержимого " выберите "Настроить репозитории ", чтобы открыть панель "Репозитории ":

    Настройте репозитории данных для сканера Information Protection Azure.

    1. На панели Репозитории выберите Добавить.

      Добавьте репозиторий данных для сканера Information Protection Azure.

    2. На панели репозитория укажите путь к репозиторию данных и нажмите кнопку "Сохранить".

      • Для общей сетевой папки используйте \\Server\Folder.
      • Для библиотеки SharePoint используйте http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • Локальный путь: C:\Folder.
      • Для UNC-пути: \\Server\Folder

    Примечание

    Подстановочные знаки и расположения WebDav не поддерживаются.

    При добавлении пути SharePoint для общих документов:

    • Укажите Shared Documents в пути, если нужно проверить все документы и все папки на странице общих документов. Пример: http://sp2013/SharedDocuments
    • Укажите Documents в пути, если нужно проверить все документы и все папки во вложенной папке на странице общих документов. Пример: http://sp2013/Documents/SalesReports
    • Кроме того, укажите только полное доменное имя sharepoint, например http://sp2013для обнаружения и сканирования всех сайтов и дочерних сайтов SharePoint по определенному URL-адресу и субтитрам в этом URL-адресе. Предоставьте ему права аудитора сборщика сайта сканера.

    Для остальных параметров на этой панели не изменяйте их для этой начальной конфигурации, но сохраняйте их в качестве задания сканирования содержимого по умолчанию. Значение по умолчанию означает, что репозиторий данных наследует параметры от задания сканирования содержимого.

    При добавлении путей SharePoint используйте следующий синтаксис:

    Путь Синтаксис
    Корневой путь http://<SharePoint server name>

    Сканирует все сайты, включая все семейства веб-сайтов, разрешенные для пользователя средства проверки.
    Требуются дополнительные разрешения для автоматического обнаружения корневого содержимого
    Конкретный дочерний сайт Или коллекция SharePoint Это может быть:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Требуются дополнительные разрешения для автоматического обнаружения содержимого семейства веб-сайтов
    Конкретная библиотека SharePoint Это может быть:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Конкретная папка SharePoint http://<SharePoint server name>/.../<folder name>
  5. Повторите предыдущие шаги, чтобы добавить столько репозиториев, сколько потребуется.

    По завершении закройте области заданий " Репозитории " и " Сканирование содержимого ".

На панели заданий "Проверка содержимого" в Azure Information Protection отображается имя проверки содержимого, а также столбец SCHEDULE, показывающий "Вручную", и столбец ENFORCE пуст.

Теперь вы готовы установить сканер с созданным заданием сканера содержимого. Продолжите установку сканера.

Установка средства проверки

После настройки сканера azure Information Protection выполните следующие действия, чтобы установить сканер. Эта процедура выполняется полностью в PowerShell.

  1. Войдите на компьютер Windows Server, на котором будет запущено средство проверки. Используйте учетную запись с правами локального администратора, у которой есть разрешения на запись в базе данных master SQL Server.

    Важно!

    Перед установкой сканера необходимо установить на компьютере клиент унифицированных меток AIP.

    Дополнительные сведения см. в статье "Предварительные требования для установки и развертывания сканера Information Protection Azure".

  2. Откройте сеанс Windows PowerShell с параметром Запуск от имени администратора.

  3. Запустите командлет Install-AIPScanner, указав экземпляр SQL Server, на котором создается база данных для сканера Azure Information Protection, а также имя кластера сканера, указанное в предыдущем разделе:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Примеры использования имени кластера сканера в Европе:

    • Для экземпляра по умолчанию: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Для именованного экземпляра: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • Для SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    При появлении запроса укажите учетные данные Active Directory для учетной записи службы проверки.

    Используйте следующий синтаксис: \<domain\user name>. Пример: contoso\scanneraccount

  4. Убедитесь, что служба установлена с помощьюслужбадминистрирования>.

    Установленная служба называется azure Information Protection Сканер и настроена для запуска с помощью созданной учетной записи службы проверки.

После установки сканера необходимо получить маркер Azure AD для проверки подлинности учетной записи службы проверки, чтобы средство проверки могло выполняться автоматически.

Получение маркера Azure AD для средства проверки

Маркер Azure AD позволяет сканеру проходить проверку подлинности в службе Information Protection Azure, что позволяет сканеру работать неинтерактивно.

Дополнительные сведения см. в статье Как пометить файлы в неинтерактивном режиме для Azure Information Protection.

Чтобы получить маркер Azure AD, выполните приведенные далее действия.

  1. Откройте портал Azure, чтобы создать приложение Azure AD, чтобы указать маркер доступа для проверки подлинности.

  2. На компьютере Windows Server, если учетной записи службы сканера было предоставлено локальное право на установку, войдите с помощью этой учетной записи и запустите сеанс PowerShell.

    Выполите командлет Set-AIPAuthentication, указав значения, скопированные на предыдущем шаге:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Пример:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Совет

    Если учетная запись службы сканера не может быть предоставлена локальному входу для установки, используйте параметр OnBehalfOf с Set-AIPAuthentication, как описано в разделе "Как помечать файлы, неинтерактивно для Azure Information Protection".

Теперь у сканера есть маркер для проверки подлинности в Azure AD. Этот маркер действителен в течение одного года, двух лет или никогда в соответствии с конфигурацией секрета клиента веб-приложения /API в Azure AD. По истечении срока действия маркера необходимо повторить эту процедуру.

Продолжайте использовать один из следующих шагов в зависимости от того, используете ли вы портал Azure для настройки сканера или Только PowerShell:

Теперь вы можете выполнить первую проверку в режиме обнаружения. Дополнительные сведения см. в разделе "Запуск цикла обнаружения" и просмотр отчетов для сканера.

После запуска начальной проверки обнаружения перейдите к настройке средства проверки для применения классификации и защиты.

Примечание

Дополнительные сведения см. в статье "Как пометить файлы, неинтерактивные для Azure Information Protection

Настройка средства проверки для применения классификации и защиты

Параметры по умолчанию настраивают средство проверки для запуска один раз и в режиме только для отчетов. Чтобы изменить эти параметры, измените задание сканирования содержимого.

Чтобы настроить сканер для применения классификации и защиты, выполните следующие действия.

  1. В портал Azure в области заданий сканирования содержимого в Azure Information Protection выберите кластер и задание сканирования содержимого, чтобы изменить его.

  2. На панели заданий сканирования содержимого измените следующее и нажмите кнопку "Сохранить".

    • В разделе задания сканирования содержимого : изменение расписания на Always
    • В разделе политики конфиденциальности: изменение принудительного включения

    Совет

    Вы можете изменить другие параметры на этой панели, например, изменить атрибуты файлов и изменить ли средство проверки файлы. Дополнительные сведения о каждом параметре конфигурации см. во всплывающем окне справки.

  3. Запишите текущее время и снова запустите сканер из области заданий сканирования содержимого в Azure Information Protection:

    Инициируйте проверку для сканера Information Protection Azure.

Теперь средство проверки запланировано на непрерывное выполнение. Когда сканер работает по всем настроенным файлам, он автоматически запускает новый цикл, чтобы все новые и измененные файлы были обнаружены.

Использование политики защиты от потери данных

Использование политики защиты от потери данных (DLP) Microsoft 365 позволяет сканеру обнаруживать потенциальные утечки данных, сопоставляя правила защиты от потери данных с файлами, хранящимися в общих папках и SharePoint Server.

  • Включите правила защиты от потери данных в задании сканирования содержимого , чтобы уменьшить уязвимость всех файлов, соответствующих политикам защиты от потери данных. Если включены правила защиты от потери данных, средство проверки может уменьшить доступ к файлам только владельцам данных или уменьшить уязвимость к группам на уровне сети, таким как все, прошедшие проверку подлинности пользователей или пользователи домена.

  • В Портал соответствия требованиям Microsoft Purview определите, просто ли вы тестируете политику защиты от потери данных или хотите ли применять правила, а разрешения файлов изменены в соответствии с этими правилами. Дополнительные сведения см. в разделе "Включение политики защиты от потери данных".

Политики защиты от потери данных настраиваются в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения о лицензировании защиты от потери данных см. в статье "Начало работы с локальным сканером защиты от потери данных".

Совет

Сканирование файлов даже при тестировании политики защиты от потери данных также создает отчеты о разрешениях файлов. Запросите эти отчеты, чтобы исследовать определенные уязвимости файлов или исследовать уязвимость конкретного пользователя к сканированным файлам.

Сведения о том, как использовать только PowerShell, см. в статье "Использование политики защиты от потери данных" с сканером — только PowerShell.

Чтобы использовать политику защиты от потери данных с сканером, выполните следующие действия.

  1. В портал Azure перейдите к заданию сканирования содержимого. Дополнительные сведения см. в разделе "Создание задания сканирования содержимого".

  2. В разделе "Политика защиты от потери данных" установите для правил защиты от потери данных значение "Вкл.".

    Важно!

    Не устанавливайте для правил защиты от потери данных значение On , если в Microsoft 365 не настроена политика защиты от потери данных.

    Включение этой функции без политики защиты от потери данных приведет к возникновению ошибок сканера.

  3. (Необязательно) В разделе "Настройка параметров файла" задайте для владельца репозитория значение"Вкл." и определите конкретного пользователя в качестве владельца репозитория.

    Этот параметр позволяет сканеру уменьшить уязвимость всех файлов, найденных в этом репозитории, которые соответствуют политике защиты от потери данных, определенному владельцу репозитория.

Политики защиты от потери данных и выполнение частных действий

Если вы используете политику защиты от потери данных с частным действием, а также планируете использовать сканер для автоматической маркировки файлов, рекомендуется также определить расширенный параметр UseCopyAndPreserveNTFSOwner клиента унифицированных меток.

Этот параметр гарантирует, что исходные владельцы сохраняют доступ к своим файлам.

Дополнительные сведения см. в статье "Создание задания сканирования содержимого " и автоматическое применение метки конфиденциальности к содержимому в документации По Microsoft 365.

Изменение типов файлов для защиты

По умолчанию сканер AIP защищает только типы файлов Office и PDF-файлы.

Используйте команды PowerShell, чтобы изменить это поведение по мере необходимости, например настроить сканер для защиты всех типов файлов, как и клиент, или для защиты дополнительных конкретных типов файлов.

Для политики меток, которая применяется к учетной записи пользователя, скачивающей метки для средства проверки, укажите расширенный параметр PowerShell с именем PFileSupportedExtensions.

Для сканера, имеющего доступ к Интернету, эта учетная запись пользователя — это учетная запись, указанная для параметра DelegatedUser с помощью команды Set-AIPAuthentication.

Пример 1. Команда PowerShell для средства проверки для защиты всех типов файлов, где политика меток называется "Сканер":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Пример 2. Команда PowerShell для средства проверки для защиты .xml файлов и TIFF-файлов в дополнение к файлам Office и PDF-файлам, где политика меток называется "Сканер":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Дополнительные сведения см. в разделе "Изменение типов файлов для защиты".

Обновление сканера

Если вы ранее установили сканер и хотите обновить его, используйте инструкции, описанные в разделе "Обновление сканера azure Information Protection".

Затем настройте и используйте сканер , как обычно, пропуская шаги для установки сканера.

Массовое изменение параметров репозитория данных

Используйте кнопки экспорта и импорта , чтобы внести изменения в сканер в нескольких репозиториях.

Таким образом, вам не нужно вносить одни и те же изменения несколько раз вручную в портал Azure.

Например, если у вас есть новый тип файла в нескольких репозиториях данных SharePoint, может потребоваться массово обновить параметры этих репозиториев.

Чтобы выполнить массовые изменения в репозиториях, выполните приведенные далее действия.

  1. В портал Azure на панели репозиториев выберите параметр "Экспорт". Пример:

    Экспорт параметров репозитория данных для сканера Information Protection Azure.

  2. Вручную измените экспортированный файл, чтобы внести изменения.

  3. Используйте параметр импорта на той же странице, чтобы импортировать обновления обратно в репозитории.

Использование сканера с альтернативными конфигурациями

Сканер Azure Information Protection обычно ищет условия, указанные для меток, чтобы классифицировать и защищать содержимое по мере необходимости.

В следующих сценариях сканер Azure Information Protection также может сканировать содержимое и управлять метками без каких-либо условий.

Применение метки по умолчанию ко всем файлам в репозитории данных

В этой конфигурации все не помеченные файлы в репозитории помечены меткой по умолчанию, указанной для репозитория или задания сканирования содержимого. Файлы помечены без проверки.

Настройте следующие параметры.

Параметр Описание
Файлы меток на основе содержимого Значение "Выкл."
Метка по умолчанию Задайте значение Custom, а затем выберите метку, используемую
Применение метки по умолчанию Выберите, чтобы метка по умолчанию применялась ко всем файлам, даже если они уже помечены.

Удаление существующих меток из всех файлов в репозитории данных

В этой конфигурации все существующие метки удаляются, включая защиту, если защита была применена с меткой. Защита, применяемая независимо от метки, сохраняется.

Настройте следующие параметры.

Параметр Описание
Файлы меток на основе содержимого Значение "Выкл."
Метка по умолчанию Значение "Нет"
Изменение меток файлов Установите значение "Вкл." с установленным флажком "Применить метку по умолчанию "

Определение всех настраиваемых условий и известных типов конфиденциальной информации

Эта конфигурация позволяет найти конфиденциальную информацию, которую вы могли не реализовать, за счет скорости сканирования для сканера.

Задайте для обнаруженных типов сведенийзначение "Все".

Чтобы определить условия и типы информации для маркировки, средство проверки использует все указанные настраиваемые типы конфиденциальной информации и список встроенных типов конфиденциальной информации, доступных для выбора, как определено в центре управления метками.

Оптимизация производительности сканера

Примечание

Если вы хотите повысить скорость реагирования компьютера сканера, а не производительность сканера, используйте расширенный параметр клиента, чтобы ограничить количество потоков, используемых сканером.

Используйте следующие параметры и рекомендации для оптимизации производительности сканера:

Параметр Описание
Обеспечьте высокоскоростное и надежное сетевое подключение между компьютером сканера и сканируемым хранилищем данных Например, поместите компьютер сканера в ту же локальную сеть или предпочтительно в том же сегменте сети, что и сканированное хранилище данных.

Качество сетевого подключения влияет на производительность сканера, так как для проверки файлов средство проверки передает содержимое файлов на компьютер, на котором запущена служба сканера.

Сокращение или устранение сетевых прыжков, необходимых для перемещения данных, также снижает нагрузку на сеть.
Убедитесь, что на компьютере сканера достаточно процессорных ресурсов Проверка содержимого файла и шифрование и расшифровка файлов являются интенсивными действиями процессора.

Отслеживайте типичные циклы сканирования для указанных хранилищ данных, чтобы определить, негативно влияет ли отсутствие ресурсов процессора на производительность сканера.
Установка нескольких экземпляров сканера Сканер Azure Information Protection поддерживает несколько баз данных конфигурации в одном экземпляре SQL Server при указании пользовательского имени кластера для средства проверки.

Совет. Несколько сканеров также могут совместно использовать один и тот же кластер, что приводит к более быстрому сканированию. Если вы планируете установить сканер на нескольких компьютерах с одинаковым экземпляром базы данных и хотите, чтобы сканеры выполнялись параллельно, необходимо установить все сканеры с одинаковым именем кластера.
Проверка альтернативного использования конфигурации Средство проверки работает быстрее, если используется альтернативная конфигурация для применения метки по умолчанию ко всем файлам, так как это средство не проверяет содержимое файлов.

Если же вы используете альтернативную конфигурацию, чтобы определить все пользовательские условия и известные типы конфиденциальных сведений, средство проверки работает медленнее.

Дополнительные факторы, влияющие на производительность

К дополнительным факторам, влияющим на производительность сканера, относятся:

Фактор Описание
Время загрузки и отклика Текущее время загрузки и отклика хранилищ данных, содержащих файлы для сканирования, также влияет на производительность сканера.
Режим сканера (обнаружение и принудительное применение) Режим обнаружения обычно имеет более высокую скорость сканирования, чем режим принудительного применения.

Для обнаружения требуется одно действие чтения файла, в то время как в режиме принудительного применения требуются действия чтения и записи.
Изменения политики Производительность сканера может повлиять, если вы внесли изменения в автоматическую метку в политике меток.

Первый цикл сканирования, когда сканер должен проверить каждый файл, займет больше времени, чем последующие циклы сканирования, которые по умолчанию проверяют только новые и измененные файлы.

При изменении условий или параметров автоматической маркировки все файлы снова сканируются. Дополнительные сведения см. в разделе "Повторное сканирование файлов".
Конструкции регулярных выражений Производительность сканера зависит от того, как создаются выражения регулярного выражения для пользовательских условий.

Чтобы избежать значительного потребления памяти и риска превышения времени ожидания (15 минут на файл), обеспечьте эффективное сопоставление шаблонов в своих регулярных выражениях.

Пример:
- Избегайте жадных квантификаторов
— Используйте неупечатаемые группы, (?:expression) например вместо (expression)
Уровень ведения журнала Параметры уровня журнала включают отладку, информацию, ошибку и отключение отчетов сканера.

- Отключает результаты в оптимальной производительности
- Отладка значительно замедляет сканер и должна использоваться только для устранения неполадок.

Для получения дополнительных сведений см. параметр ReportLevel для командлета Set-AIPScannerConfiguration.
Сканируемые файлы — За исключением файлов Excel, файлы Office быстрее сканируются, чем PDF-файлы.

— Незащищенные файлы быстрее сканируются, чем защищенные файлы.

— Большие файлы, очевидно, занимают больше времени для сканирования, чем небольшие файлы.

Настройка средства проверки с помощью PowerShell

В этом разделе описываются действия, необходимые для настройки и установки локального сканера AIP, если у вас нет доступа к страницам сканера в портал Azure, и необходимо использовать только PowerShell.

Важно!

  • Для некоторых действий требуется PowerShell, можно ли получить доступ к страницам сканера в портал Azure и совпадать. Для выполнения этих действий см. предыдущие инструкции в этой статье, как показано ниже.

  • Если вы работаете со сканером для Azure Для Китая 21Vianet, дополнительные действия необходимы в дополнение к инструкциям, описанным здесь. Дополнительные сведения см. в статье о поддержке Information Protection Azure для Office 365, управляемых 21Vianet.

Дополнительные сведения см. в разделе "Поддерживаемые командлеты PowerShell".

Чтобы настроить и установить сканер, выполните приведенные ниже действия.

  1. Начните с закрытия PowerShell. Если вы ранее установили клиент и сканер AIP, убедитесь, что служба AIPScanner остановлена.

  2. Откройте сеанс Windows PowerShell с параметром Запуск от имени администратора.

  3. Выполните команду Install-AIPScanner , чтобы установить сканер на экземпляре SQL Server с параметром cluster , чтобы определить имя кластера.

    Этот шаг идентичен тому, сможете ли вы получить доступ к страницам сканера в портал Azure. Дополнительные сведения см. в предыдущих инструкциях в этой статье: установка средства проверки

  4. Получите маркер Azure для использования со сканером, а затем повторите проверку подлинности.

    Этот шаг идентичен тому, сможете ли вы получить доступ к страницам сканера в портал Azure. Дополнительные сведения см. в предыдущих инструкциях в этой статье: получение маркера Azure AD для средства проверки.

  5. Запустите командлет Set-AIPScannerConfiguration , чтобы настроить сканер для работы в автономном режиме. Выполните команду:

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  6. Выполните командлет Set-AIPScannerContentScanJob , чтобы создать задание сканирования содержимого по умолчанию.

    Единственным обязательным параметром в командлете Set-AIPScannerContentScanJob является Enforce. Однако в настоящее время может потребоваться определить другие параметры для задания сканирования содержимого. Пример:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    Приведенный выше синтаксис настраивает следующие параметры при продолжении настройки:

    • Сохраняет расписание выполнения сканера вручную
    • Задает типы информации для обнаружения на основе политики меток конфиденциальности.
    • Не применяет политику меток конфиденциальности
    • Автоматически присваивает метки файлам на основе содержимого, используя метку по умолчанию, определенную для политики меток конфиденциальности.
    • Не разрешает переназначение файлов
    • Сохраняет сведения о файле при сканировании и автоматическом присвоении меток, включая дату изменения, последнее изменение и изменение значений .
    • Задает средство проверки для исключения MSG и TMP-файлов при выполнении
    • Задает владельца по умолчанию для учетной записи, которую вы хотите использовать при запуске сканера.
  7. Используйте командлет Add-AIPScannerRepository , чтобы определить репозитории, которые требуется сканировать в задании сканирования содержимого. Вот пример команды для запуска:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Используйте один из следующих синтаксисов в зависимости от типа добавляемого репозитория:

    • Для общей сетевой папки используйте \\Server\Folder.
    • Для библиотеки SharePoint используйте http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Локальный путь: C:\Folder.
    • Для UNC-пути: \\Server\Folder

    Примечание

    Подстановочные знаки и расположения WebDav не поддерживаются.

    Чтобы изменить репозиторий позже, используйте командлет Set-AIPScannerRepository .

    При добавлении пути SharePoint для общих документов:

    • Укажите Shared Documents в пути, если нужно проверить все документы и все папки на странице общих документов. Пример: http://sp2013/SharedDocuments
    • Укажите Documents в пути, если нужно проверить все документы и все папки во вложенной папке на странице общих документов. Пример: http://sp2013/Documents/SalesReports
    • Кроме того, укажите только полное доменное имя sharepoint, например http://sp2013для обнаружения и сканирования всех сайтов и дочерних сайтов SharePoint по определенному URL-адресу и субтитрам в этом URL-адресе. Предоставьте ему права аудитора сборщика сайта сканера.

    При добавлении путей SharePoint используйте следующий синтаксис:

    Путь Синтаксис
    Корневой путь http://<SharePoint server name>

    Сканирует все сайты, включая все семейства веб-сайтов, разрешенные для пользователя средства проверки.
    Требуются дополнительные разрешения для автоматического обнаружения корневого содержимого
    Конкретный дочерний сайт Или коллекция SharePoint Это может быть:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Требуются дополнительные разрешения для автоматического обнаружения содержимого семейства веб-сайтов
    Конкретная библиотека SharePoint Это может быть:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Конкретная папка SharePoint http://<SharePoint server name>/.../<folder name>

При необходимости выполните следующие действия:

Использование PowerShell для настройки средства проверки для применения классификации и защиты

  1. Выполните командлет Set-AIPScannerContentScanJob , чтобы обновить задание сканирования содержимого, чтобы задать расписание для постоянного применения политики конфиденциальности.

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On
    

    Совет

    Может потребоваться изменить другие параметры на этой панели, например, изменить атрибуты файла и изменить ли средство проверки файлы меток. Дополнительные сведения о доступных параметрах см. в полной документации по PowerShell.

  2. Запустите командлет Start-AIPScan , чтобы запустить задание сканирования содержимого:

    Start-AIPScan
    

Теперь средство проверки планируется непрерывно выполнять. Когда средство проверки работает по всем настроенным файлам, оно автоматически запускает новый цикл, чтобы обнаруживать все новые и измененные файлы.

Настройка политики защиты от потери данных с помощью сканера с помощью PowerShell

  1. Снова запустите командлет Set-AIPScannerContentScanJob с параметром -EnableDLP , установленным в значение On, и с определенным владельцем репозитория.

    Пример:

    Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
    

Поддерживаемые командлеты PowerShell

В этом разделе перечислены командлеты PowerShell, поддерживаемые сканером Azure Information Protection, а также инструкции по настройке и установке сканера только с помощью PowerShell.

Поддерживаемые командлеты для средства проверки:

Дальнейшие действия

После установки и настройки средства проверки начните сканирование файлов.

См. также. Развертывание сканера Information Protection Azure для автоматической классификации и защиты файлов.

Дополнительные сведения: