Начало работы со сканером защиты информации

Перед установкой сканера из Защита информации Microsoft Purview убедитесь, что система соответствует базовым требованиям Azure Information Protection.

Кроме того, для сканера применяются следующие требования:

Если вы не можете выполнить все требования, перечисленные для сканера, так как они запрещены политиками вашей организации, см. раздел Альтернативные конфигурации .

При развертывании сканера в рабочей среде или тестировании производительности для нескольких сканеров см. статью Требования к хранилищу и планирование емкости для SQL Server.

Когда вы будете готовы приступить к установке и развертыванию сканера, перейдите к настройке и установке сканера защиты информации.

Требования к Windows Server

Для запуска сканера требуется компьютер Windows Server, который имеет следующие системные спецификации:

Спецификация Подробно
Процессор 4-ядерные процессоры
ОЗУ 8 ГБ
Место на диске 10 ГБ свободного места (среднее значение) для временных файлов.

Сканеру требуется достаточно места на диске для создания временных файлов для каждого сканируемого файла( по четыре файла на ядро).

Рекомендуемое дисковое пространство в 10 ГБ позволяет 4 ядрам сканировать 16 файлов, каждый из которых имеет размер файла 625 МБ.
Операционная система 64-разрядные версии:

— Windows Server 2022
— Windows Server 2019
— Windows Server 2016
— Windows Server 2012 R2

Примечание. Для тестирования или оценки в нерабочей среде можно также использовать любую операционную систему Windows, поддерживаемую клиентом azure Information Protection.
— Сетевое подключение Компьютер сканера может быть физическим или виртуальным компьютером с быстрым и надежным сетевым подключением к проверяемым хранилищам данных.

Если подключение к Интернету невозможно из-за политик организации, см. статью Развертывание сканера с альтернативными конфигурациями.

В противном случае убедитесь, что этот компьютер имеет подключение к Интернету, которое разрешает следующие URL-адреса по протоколу HTTPS (порт 443):

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
— informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com
- *.protection.outlook.com
Общие папки NFS Для поддержки проверок общих папок NFS на компьютере сканера необходимо развернуть службы для NFS.

На компьютере перейдите в диалоговое окно параметров Компоненты Windows (Включение или отключение функций Windows) и выберите следующие элементы: Службы длясредств администрированияNFS> и Клиент для NFS.
Microsoft Office iFilter Если средство проверки установлено на компьютере с Windows Server, необходимо также установить Microsoft Office iFilter, чтобы проверять .zip файлы на наличие конфиденциальной информации.

Дополнительные сведения см. на сайте загрузки Майкрософт.

Требования к учетной записи службы

Необходимо иметь учетную запись службы для запуска службы проверки на компьютере с Windows Server, а также проверки подлинности для Microsoft Entra ID и скачивания политики сканера.

Ваша учетная запись службы должна быть учетной записью Active Directory и синхронизирована с Microsoft Entra ID.

Если вы не можете синхронизировать эту учетную запись из-за политик организации, см. статью Развертывание сканера с альтернативными конфигурациями.

Эта учетная запись службы имеет следующие требования:

Требование Подробно
Войдите в локальное назначение прав пользователя Требуется для установки и настройки сканера, но не требуется для выполнения проверок.

Убедившись, что сканер может обнаруживать, классифицировать и защищать файлы, вы можете удалить это право из учетной записи службы.

Если предоставить это право даже на короткий период времени невозможно из-за политик организации, см. статью Развертывание сканера с альтернативными конфигурациями.
Войдите в систему как назначение прав пользователя службы. Это право автоматически предоставляется учетной записи службы во время установки сканера, и это право необходимо для установки, настройки и работы сканера.
Разрешения для репозиториев данных - Общие папки или локальные файлы. Предоставьте разрешения на чтение, запись и изменение для сканирования файлов, а затем применения классификации и защиты в соответствии с настройками.

- SharePoint. Необходимо предоставить разрешения на полный доступ для сканирования файлов, а затем применения классификации и защиты к файлам, которые соответствуют условиям политики Information Protection Azure.

- Режим обнаружения. Для запуска сканера только в режиме обнаружения достаточно разрешения на чтение .
Для меток, которые повторно защитят или снимают защиту Чтобы гарантировать, что сканер всегда имеет доступ к зашифрованным файлам, сделайте эту учетную запись суперпользоваем для Azure Information Protection и убедитесь, что функция суперпользовала включена.

Кроме того, если вы реализовали элементы управления подключением для поэтапного развертывания, убедитесь, что учетная запись службы включена в настроенные элементы управления подключения.
Сканирование на уровне определенного URL-адреса Чтобы сканировать и обнаруживать сайты и дочерние сайты по определенному URL-адресу, предоставьте права аудитора сборщика сайтов учетной записи сканера на уровне фермы.
Лицензия на защиту информации Требуется для предоставления возможности классификации файлов, маркировки или защиты учетной записи службы проверки.

Дополнительные сведения см. в руководстве microsoft 365 по обеспечению безопасности & соответствия требованиям.

Требования к SQL Server

Чтобы сохранить данные конфигурации сканера, используйте SQL Server со следующими требованиями:

  • Локальный или удаленный экземпляр.

    Мы рекомендуем размещать SQL Server и службу сканера на разных компьютерах, если вы не работаете с небольшим развертыванием. Кроме того, рекомендуется использовать выделенный экземпляр SQL, который обслуживает только базу данных сканера и не предоставляется другим приложениям.

    Если вы работаете на общем сервере, убедитесь, что рекомендуемое количество ядер бесплатно для работы базы данных сканера.

    SQL Server 2016 г. — это минимальная версия для следующих выпусков:

    • SQL Server Enterprise

    • SQL Server Standard

    • SQL Server Express (рекомендуется только для тестовых сред)

  • Учетная запись с ролью Sysadmin для установки сканера.

    Роль Sysadmin позволяет процессу установки автоматически создать базу данных конфигурации сканера и предоставить необходимую роль db_owner учетной записи службы, в которой выполняется средство проверки.

    Если вам не удается предоставить роль Sysadmin или политики организации требуют создания и настройки баз данных вручную, см. статью Развертывание сканера с альтернативными конфигурациями.

  • Емкость. Рекомендации по емкости см. в статье Требования к хранилищу и планирование емкости для SQL Server.

  • Параметры сортировки без учета регистра.

Примечание.

При указании пользовательского имени кластера для средства проверки или при использовании предварительной версии средства проверки поддерживается несколько баз данных конфигурации на одном сервере SQL Server.

Требования к хранилищу и планирование емкости для SQL Server

Объем дискового пространства, необходимый для базы данных конфигурации сканера, и спецификация компьютера, на котором выполняется SQL Server, могут отличаться для каждой среды, поэтому мы рекомендуем выполнить собственное тестирование. Используйте следующие рекомендации в качестве отправной точки.

Дополнительные сведения см. в разделе Оптимизация производительности сканера.

Размер диска для базы данных конфигурации сканера будет отличаться для каждого развертывания. Используйте следующее уравнение в качестве руководства:

100 KB + <file count> *(1000 + 4* <average file name length>)

Например, чтобы проверить 1 миллион файлов со средней длиной 250 байтов, выделите 2 ГБ места на диске.

Для нескольких сканеров:

  • До 10 сканеров, используйте:

    • 4-ядерные процессоры
    • Рекомендуется 8 ГБ ОЗУ
  • Более 10 сканеров (не более 40), используйте:

    • 8 основных процессов
    • Рекомендуется 16 ГБ ОЗУ

Требования клиента azure Information Protection

На компьютере с Windows Server должна быть установлена текущая общедоступная версия клиента Information Protection Azure.

Дополнительные сведения см. в руководстве администратора клиента унифицированных меток Azure Information Protection.

Важно!

Необходимо установить полный клиент для сканера. Не устанавливайте клиент только с помощью модуля PowerShell.

Требования к конфигурации меток

На портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview для учетной записи сканера должна быть настроена хотя бы одна метка конфиденциальности, чтобы применить классификацию и, при необходимости, шифрование.

Учетная запись сканера — это учетная запись, указанная в параметре DelegatedUser командлета Set-AIPAuthentication, выполняемого при настройке средства проверки.

Если у ваших меток нет условий автоматического применения меток, см. инструкции по альтернативным конфигурациям ниже.

Дополнительные сведения см. в указанных ниже статьях.

Требования к SharePoint

Чтобы проверить библиотеки документов и папки SharePoint, убедитесь, что сервер SharePoint соответствует следующим требованиям:

Требования Описание
Поддерживаемые версии Поддерживаемые версии: SharePoint 2019, SharePoint 2016 и SharePoint 2013.
Другие версии SharePoint не поддерживаются сканером.
Управление версиями. При использовании управления версиями сканер проверяет и помечает последнюю опубликованную версию.

Если сканер помечает файл и требует утверждения содержимого , этот файл с метками должен быть утвержден, чтобы он был доступен для пользователей.
Крупные фермы SharePoint Для крупных ферм SharePoint проверка, нужно ли увеличить пороговое значение представления списка (по умолчанию 5000), чтобы средство проверки получите доступ ко всем файлам.

Дополнительные сведения см. в статье Управление большими списками и библиотеками в SharePoint.
Длинные пути к файлам Если в SharePoint есть длинные пути к файлам, убедитесь, что значение httpRuntime.maxUrlLength сервера SharePoint больше 260 символов по умолчанию.

Дополнительные сведения см. в статье Предотвращение превышения времени ожидания сканера в SharePoint.

Требования к Microsoft Office

Чтобы сканировать документы Office, документы должны иметь один из следующих форматов:

  • Microsoft Office 97-2003
  • Форматы Office Open XML для Word, Excel и PowerPoint

Дополнительные сведения см. в статье Типы файлов, поддерживаемые клиентом унифицированных меток Azure Information Protection.

Требования к пути к файлу

По умолчанию для сканирования файлов пути к файлам должны содержать не более 260 символов.

Чтобы проверить файлы с путями к файлам более 260 символов, установите сканер на компьютере с одной из следующих версий Windows и настройте компьютер при необходимости:

Версия Windows Описание
Windows 2016 или более поздней версии Настройка компьютера для поддержки длинных путей
Windows 10 или Windows Server 2016 Определите следующий параметр групповой политики: Политика локального> компьютераКонфигурация> компьютераАдминистративные шаблоны>Все параметры>Включить длинные пути Win32.

Дополнительные сведения о поддержке длинных путей к файлам в этих версиях см. в разделе Ограничение максимальной длины пути документации разработчика Windows 10.
Windows 10 версии 1607 или более поздней Запустите обновленные функции MAX_PATH . Дополнительные сведения см. в разделе Включение длинных путей в Windows 10 версии 1607 и более поздних.

Развертывание сканера с альтернативными конфигурациями

Перечисленные выше предварительные требования — это требования по умолчанию для развертывания сканера, и они рекомендуются, так как они поддерживают простую конфигурацию сканера.

Требования по умолчанию должны подходить для первоначального тестирования, чтобы можно было проверка возможности сканера.

Однако в рабочей среде политики вашей организации могут отличаться от требований по умолчанию. Сканер может вместить следующие изменения с дополнительной конфигурацией:

Обнаружение и сканирование всех сайтов и дочерних сайтов SharePoint по определенному URL-адресу

Сканер может обнаруживать и сканировать все сайты и дочерние сайты SharePoint по определенному URL-адресу со следующей конфигурацией:

  1. Запустите центр администрирования SharePoint.

  2. На веб-сайте Центра администрирования SharePoint в разделе Управление приложениями щелкните Управление веб-приложениями.

  3. Щелкните, чтобы выделить веб-приложение, уровень политики разрешений которого требуется управлять.

  4. Выберите соответствующую ферму, а затем выберите Управление уровнями политики разрешений.

  5. Выберите Аудитор семейства веб-сайтов в параметрах Разрешения семейства веб-сайтов , затем предоставьте просмотр страниц приложений в списке Разрешений и, наконец, присвойте новому уровню политики имя аудитора и средства просмотра семейства веб-сайтов.

  6. Добавьте пользователя сканера в новую политику и предоставьте семейство веб-сайтов в списке Разрешений.

  7. Добавьте URL-адрес SharePoint, в котором размещаются сайты или дочерние сайты, которые необходимо проверить. Дополнительные сведения см. в разделе Настройка параметров сканера.

Дополнительные сведения об управлении уровнями политик SharePoint см. в статье Управление политиками разрешений для веб-приложения.

Ограничение. Сервер сканера не может иметь подключение к Интернету

Хотя клиент унифицированных меток не может применить шифрование без подключения к Интернету, сканер по-прежнему может применять метки на основе импортированных политик.

Для поддержки отключенного компьютера используйте один из следующих методов:

Использование портала Microsoft Purview или Портал соответствия требованиям Microsoft Purview с отключенным компьютером

Чтобы обеспечить поддержку компьютера, который не может подключиться к порталу Microsoft Purview или Портал соответствия требованиям Microsoft Purview, выполните следующие действия.

  1. Настройте метки в политике, а затем используйте процедуру для поддержки отключенных компьютеров , чтобы включить автономную классификацию и маркировку.

  2. Включите автономное управление для заданий содержимого следующим образом:

    Включение автономного управления для заданий сканирования содержимого:

    1. Настройте сканер для работы в автономном режиме с помощью командлета Set-AIPScannerConfiguration .

    2. Настройте средство проверки на портале соответствия требованиям, создав кластер сканера. Дополнительные сведения см. в разделе Настройка параметров сканера.

    3. Экспортируйте задание содержимого из области "Защита информации — задания сканирования содержимого " с помощью параметра Экспорт .

    4. Импортируйте политику с помощью командлета Import-AIPScannerConfiguration .

    Результаты заданий автономного сканирования содержимого находятся по адресу: %localappdata%\Microsoft\MSIP\Scanner\Reports

Использование PowerShell с отключенным компьютером

Выполните следующую процедуру для поддержки отключенного компьютера только с помощью PowerShell.

Важно!

Администраторы серверов сканера Azure 21Vianet для Китаядолжны использовать эту процедуру для управления заданиями сканирования содержимого.

Управление заданиями сканирования содержимого только с помощью PowerShell:

  1. Настройте сканер для работы в автономном режиме с помощью командлета Set-AIPScannerConfiguration .

  2. Создайте задание проверки содержимого с помощью командлета Set-AIPScannerContentScanJob , обязательно используя обязательный -Enforce On параметр.

  3. Добавьте репозитории с помощью командлета Add-AIPScannerRepository с путем к репозиторию, который требуется добавить.

    Совет

    Чтобы предотвратить наследование параметров репозитория от задания проверки содержимого, добавьте OverrideContentScanJob On параметр, а также значения для дополнительных параметров.

    Чтобы изменить сведения о существующем репозитории, используйте команду Set-AIPScannerRepository .

  4. Используйте командлеты Get-AIPScannerContentScanJob и Get-AIPScannerRepository , чтобы вернуть сведения о текущих параметрах задания сканирования содержимого.

  5. Используйте команду Set-AIPScannerRepository , чтобы обновить сведения о существующем репозитории.

  6. При необходимости немедленно запустите задание проверки содержимого с помощью командлета Start-AIPScan .

    Результаты заданий автономного сканирования содержимого находятся по адресу: %localappdata%\Microsoft\MSIP\Scanner\Reports

  7. Если вам нужно удалить репозиторий или все задание проверки содержимого, используйте следующие командлеты:

Ограничение. Вы не можете предоставить sysadmin или базы данных должны быть созданы и настроены вручную.

Используйте следующие процедуры для создания баз данных вручную и предоставления роли db_owner при необходимости.

Если вы можете временно предоставить роль Sysadmin для установки сканера, вы можете удалить эту роль после завершения установки сканера.

Выполните одно из следующих действий в зависимости от требований вашей организации.

Ограничение Описание
Вы можете временно иметь роль Sysadmin Если у вас временно есть роль Sysadmin, база данных автоматически создается для вас, а учетная запись службы для средства проверки автоматически получает необходимые разрешения.

Однако учетной записи пользователя, которая настраивает средство проверки, по-прежнему требуется роль db_owner для базы данных конфигурации сканера. Если у вас есть только роль Sysadmin до завершения установки сканера, предоставьте роль db_owner учетной записи пользователя вручную.
У вас не может быть роли Sysadmin Если вам не удается предоставить роль Sysadmin даже временно, перед установкой средства проверки необходимо попросить пользователя с правами Sysadmin вручную создать базу данных.

Для этой конфигурации db_owner роль должна быть назначена следующим учетным записям:
— учетная запись службы для сканера
— учетная запись пользователя для установки сканера
— Учетная запись пользователя для настройки сканера

Как правило, для установки и настройки сканера используется одна и та же учетная запись пользователя. Если вы используете разные учетные записи, для них обоих требуется db_owner роль для базы данных конфигурации сканера. При необходимости создайте этого пользователя и его права. Если указать собственное имя кластера, база данных конфигурации будет называться AIPScannerUL_<cluster_name>.

Также:

  • Вы должны быть локальным администратором на сервере, который будет запускать сканер.

  • Учетной записи службы, которая будет запускать средство проверки, должны быть предоставлены разрешения на полный доступ для следующих разделов реестра:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Если после настройки этих разрешений при установке сканера появится сообщение об ошибке, эту ошибку можно игнорировать, и вы можете вручную запустить службу сканера.

Вручную создайте базу данных и пользователя для сканера и предоставьте db_owner права

Если вам нужно вручную создать базу данных сканера и (или) создать пользователя и предоставить db_owner права на базу данных, попросите администратора Sysadmin выполнить следующие действия:

  1. Создайте базу данных для сканера:

    **CREATE DATABASE AIPScannerUL_[clustername]**
    
    **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
    
  2. Предоставьте права пользователю, который выполняет команду установки и используется для выполнения команд управления сканером. Используйте следующий скрипт:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. Предоставьте права учетной записи службы проверки. Используйте следующий скрипт:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

Ограничение. Учетной записи службы для сканера не может быть предоставлено локальное право входа в систему.

Если политики вашей организации запрещают локальный вход для учетных записей служб, используйте параметр OnBehalfOf с Set-AIPAuthentication.

Дополнительные сведения см. в статье How to label files non-interactively for Azure Information Protection.

Ограничение. Учетная запись службы проверки не может быть синхронизирована с Microsoft Entra ID но сервер имеет подключение к Интернету

Вы можете использовать одну учетную запись для запуска службы проверки и использовать другую учетную запись для проверки подлинности для Microsoft Entra ID:

  • Для учетной записи службы проверки используйте локальную учетную запись Windows или учетную запись Active Directory.

  • Для учетной записи Microsoft Entra укажите пользователя Microsoft Entra в командлете Set-AIPAuthentication в параметре DelegatedUser.

    Если проверка выполняется под любым пользователем, кроме учетной записи сканера, обязательно укажите учетную запись сканера в параметре OnBehalfOf .

    Дополнительные сведения см. в статье How to label files non-interactively for Azure Information Protection.

Ограничение. В ваших метках нет условий автоматической маркировки

Если у ваших меток нет условий автоматического применения меток, при настройке средства проверки планируйте использовать один из следующих параметров:

Вариант Описание
Обнаружение всех типов сведений В задании сканирования содержимого задайте для параметра Типы сведений для обнаружения значение Все.

Этот параметр задает задание проверки содержимого для проверки содержимого на наличие всех типов конфиденциальной информации.
Использование рекомендуемых меток В задании проверки содержимого задайте для параметра Обрабатывать рекомендуемые метки как автоматические значение Включено.

Этот параметр настраивает средство проверки для автоматического применения всех рекомендуемых меток к содержимому.
Определение метки по умолчанию Определите метку по умолчанию в политике, задании сканирования содержимого или репозитории.

В этом случае сканер применяет метку по умолчанию ко всем найденным файлам.

Дальнейшие действия

Убедившись, что ваша система соответствует предварительным требованиям для сканера, перейдите к разделу Настройка и установка сканера защиты информации.

Общие сведения о сканере см. в статье Сведения о сканере защиты информации.