Konfigurera och installera den enhetliga etiketteringsskannern för Azure Information Protection (AIP)

Anteckning

Azure Information Protection skanner för enhetlig etikettering byter namn Microsoft Purview Information Protection skanner. Samtidigt flyttas konfigurationen (för närvarande i förhandsversion) till efterlevnadsportal i Microsoft Purview. För närvarande kan du konfigurera skannern i både Azure Portal och efterlevnadsportalen. Anvisningarna i den här artikeln refererar till båda administratörsportalerna.

Den här artikeln beskriver hur du konfigurerar och installerar Azure Information Protection enhetlig etikettering, lokal skanner.

Tips

De flesta kunder utför dessa procedurer i administratörsportalen, men du kan bara behöva arbeta i PowerShell.

Om du till exempel arbetar i en miljö utan åtkomst till administratörsportalen, till exempel Azure China 21Vianet-skannerservrar, följer du anvisningarna i Använda PowerShell för att konfigurera skannern.

Översikt

Innan du börjar kontrollerar du att systemet uppfyller de nödvändiga kraven.

Använd följande steg för att använda Azure Portal:

  1. Konfigurera skannerinställningarna

  2. Installera skannern

  3. Hämta en Azure AD token för skannern

  4. Konfigurera skannern att tillämpa klassificering och skydd

Utför sedan följande konfigurationsprocedurer efter behov för systemet:

Procedur Description
Ändra vilka filtyper som ska skyddas Du kanske vill genomsöka, klassificera eller skydda andra filtyper än standard. Mer information finns i AIP-genomsökningsprocessen.
Uppgradera skannern Uppgradera skannern så att den använder de senaste funktionerna och förbättringarna.
Massredigering av inställningar för datalagringsplats Använd import- och exportalternativ för att göra massändringar för flera datalagringsplatser.
Använda skannern med alternativa konfigurationer Använd skannern utan att konfigurera etiketter med några villkor
Optimera prestanda Vägledning för att optimera skannerprestanda

Om du inte har åtkomst till skannersidorna i administratörsportalen konfigurerar du endast skannerinställningar i PowerShell. Mer information finns i Använda PowerShell för att konfigurera skannern och PowerShell-cmdletar som stöds.

Konfigurera skannerinställningarna

Innan du installerar skannern eller uppgraderar den från en äldre version av allmän tillgänglighet ska du konfigurera eller verifiera skannerinställningarna.

Så här konfigurerar du skannern i efterlevnadsportal i Microsoft Purview:

  1. Logga in på efterlevnadsportal i Microsoft Purview med någon av följande roller:

    • Efterlevnadsadministratör
    • Administratör för efterlevnadsdata
    • Säkerhetsadministratör
    • Global administratör

    Navigera sedan till fönstret Inställningar .

    Välj Informationsskyddsskanner i fönstret Inställningar.

    Skärmbild av informationsskyddsskannern i efterlevnadsportal i Microsoft Purview..

  2. Skapa ett skannerkluster. Det här klustret definierar skannern och används för att identifiera skannerinstansen, till exempel under installation, uppgraderingar och andra processer.

  3. Skapa ett innehållsgenomsökningsjobb för att definiera de lagringsplatser som du vill genomsöka.

Så här konfigurerar du skannern i Azure Portal:

  1. Logga in på Azure Portal med någon av följande roller:

    • Efterlevnadsadministratör
    • Administratör för efterlevnadsdata
    • Säkerhetsadministratör
    • Global administratör

    Gå sedan till fönstret Azure Information Protection.

    I sökrutan för resurser, tjänster och dokument börjar du till exempel skriva Information och väljer Azure Information Protection.

  2. Skapa ett skannerkluster. Det här klustret definierar skannern och används för att identifiera skannerinstansen, till exempel under installation, uppgraderingar och andra processer.

  3. Skapa ett innehållsgenomsökningsjobb för att definiera de lagringsplatser som du vill genomsöka.

Skapa ett skannerkluster

Så här skapar du ett skannerkluster i efterlevnadsportal i Microsoft Purview:

  1. Välj Kluster på flikarna på sidan Information Protection-skanner.

  2. På fliken Kluster väljer du Läggtill lägg till ikonen Lägg till.

  3. I fönstret Nytt kluster anger du ett beskrivande namn för skannern och en valfri beskrivning.

    Klusternamnet används för att identifiera skannerns konfigurationer och lagringsplatser. Du kan till exempel ange Europa för att identifiera geografiska platser för de datalagringsplatser som du vill genomsöka.

    Du kommer att använda det här namnet senare för att identifiera var du vill installera eller uppgradera skannern.

  4. Välj Spara för att spara ändringarna.

Så här skapar du ett skannerkluster i Azure Portal:

  1. På menyn Skanner till vänster väljer du klusterklusterikonen.

  2. I fönstret Azure Information Protection – Kluster väljer du lägg till ikonen Lägg till ikonen.

  3. I fönstret Lägg till ett nytt kluster anger du ett beskrivande namn för skannern och en valfri beskrivning.

    Klusternamnet används för att identifiera skannerns konfigurationer och lagringsplatser. Du kan till exempel ange Europa för att identifiera geografiska platser för de datalagringsplatser som du vill genomsöka.

    Du kommer att använda det här namnet senare för att identifiera var du vill installera eller uppgradera skannern.

  4. Spara ändringarna genom att välja ikonen Spara spara .

Skapa ett innehållsgenomsökningsjobb

Fördjupa dig i ditt innehåll för att söka igenom specifika lagringsplatser efter känsligt innehåll.

Så här skapar du innehållssökningsjobbet på efterlevnadsportal i Microsoft Purview:

  1. På flikarna på sidan Information Protection-skanner väljer du Innehållssökningsjobb.

  2. I fönstret Innehållssökningsjobb väljer du Lägg till lägg till ikonenIkonen.

  3. För den här inledande konfigurationen konfigurerar du följande inställningar och väljer sedan Spara.

    Inställning Beskrivning
    Jobbinställningar för innehållssökning - Schema: Behåll standardvärdet Manuell
    - Informationstyper som ska identifieras: Ändra endast till princip
    DLP-princip Om du använder en princip för dataförlustskydd anger du Aktivera DLP-regler till . Mer information finns i Använda en DLP-princip.
    Känslighetsprincip - Framtvinga princip för känslighetsetiketter: Välj Av
    - Etikettfiler baserat på innehåll: Behåll standardvärdet
    - Standardetikett: Behåll standardvärdet principstandard
    - Ometikettfiler: Behåll standardvärdet Av
    Konfigurera filinställningar - Behåll "Ändrad datum", "Senast ändrad" och "Ändrad av": Behåll standardvärdet
    - Filtyper som ska genomsökas: Behåll standardfiltyperna för Exkludera
    - Standardägare: Behåll standardvärdet skannerkonto
    - Ange lagringsplatsägare: Använd endast det här alternativet när du använder en DLP-princip.
  4. Öppna det innehållsgenomsökningsjobb som sparades och välj fliken Lagringsplatser för att ange vilka datalager som ska genomsökas.

    Ange UNC-sökvägar och SharePoint Server-URL:er för lokala SharePoint-dokumentbibliotek och -mappar.

    Anteckning

    SharePoint Server 2019, SharePoint Server 2016 och SharePoint Server 2013 stöds för SharePoint. SharePoint Server 2010 stöds också när du har utökat stöd för den här versionen av SharePoint.

    Så här lägger du till ditt första datalager på fliken Lagringsplatser :

    1. I fönstret Lagringsplatser väljer du Lägg till:

    2. I fönstret Lagringsplats anger du sökvägen för datalagringsplatsen och väljer sedan Spara.

      • För en nätverksresurs använder du \\Server\Folder.
      • För ett SharePoint-bibliotek använder du http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • För en lokal sökväg: C:\Folder
      • För en UNC-sökväg: \\Server\Folder

    Anteckning

    Jokertecken stöds inte och WebDav-platser stöds inte.

    Om du lägger till en SharePoint-sökväg för delade dokument:

    • Ange Delade dokument i sökvägen när du vill genomsöka alla dokument och alla mappar från delade dokument. Exempelvis: http://sp2013/SharedDocuments
    • Ange Dokument i sökvägen när du vill genomsöka alla dokument och alla mappar från en undermapp under Delade dokument. Exempelvis: http://sp2013/Documents/SalesReports
    • Eller ange endast FQDN för din Sharepoint, till exempel http://sp2013 för att identifiera och genomsöka alla SharePoint-webbplatser och underwebbplatser under en specifik URL och undertexter under den här URL:en. Bevilja granskningsbehörighet för skannerwebbplatsinsamlare för att aktivera detta.

    För de återstående inställningarna i det här fönstret ändrar du dem inte för den här inledande konfigurationen, utan behåll dem som standard för innehållsgenomsökningsjobb. Standardinställningen innebär att datalagringsplatsen ärver inställningarna från innehållssökningsjobbet.

    Använd följande syntax när du lägger till SharePoint-sökvägar:

    Sökväg Syntax
    Rotsökväg http://<SharePoint server name>

    Söker igenom alla webbplatser, inklusive alla webbplatssamlingar som tillåts för skanneranvändaren.
    Kräver ytterligare behörigheter för att automatiskt identifiera rotinnehåll
    Specifik SharePoint-underwebbplats eller -samling Något av följande:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Kräver ytterligare behörigheter för att automatiskt identifiera webbplatssamlingsinnehåll
    Specifikt SharePoint-bibliotek Något av följande:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Specifik SharePoint-mapp http://<SharePoint server name>/.../<folder name>
  5. Upprepa föregående steg för att lägga till så många lagringsplatser som behövs.

Så här skapar du ditt innehållsgenomsökningsjobb på Azure Portal:

  1. Under menyn Skanner till vänster väljer du Innehållssökningsjobb.

  2. I fönstret Azure Information Protection – Innehållssökningsjobb väljer du Ikonen Läggtill lägg till ikon.

  3. Konfigurera följande inställningar för den här inledande konfigurationen och välj sedan Spara men stäng inte fönstret.

    Inställning Beskrivning
    Jobbinställningar för innehållssökning - Schema: Behåll standardvärdet manuell
    - Informationstyper som ska identifieras: Ändra endast till princip
    - Konfigurera lagringsplatser: Konfigurera inte för tillfället eftersom innehållssökningsjobbet först måste sparas.
    DLP-princip Om du använder en princip för dataförlustskydd anger du Aktivera DLP-regler till . Mer information finns i Använda en DLP-princip.
    Känslighetsprincip - Framtvinga: Välj av
    - Etikettfiler baserat på innehåll: Behåll standardvärdet
    - Standardetikett: Behåll standardvärdet principstandard
    - Ometikettfiler: Behåll standardvärdet Av
    Konfigurera filinställningar - Behåll "Ändrad datum", "Senast ändrad" och "Ändrad av": Behåll standardvärdet
    - Filtyper som ska genomsökas: Behåll standardfiltyperna för Exkludera
    - Standardägare: Behåll standardvärdet för skannerkontot
    - Ange lagringsplatsägare: Använd endast det här alternativet när du använder en DLP-princip.
  4. Nu när innehållssökningsjobbet har skapats och sparats är du redo att återgå till alternativet Konfigurera lagringsplatser för att ange vilka datalager som ska genomsökas.

    Ange UNC-sökvägar och SharePoint Server-URL:er för lokala SharePoint-dokumentbibliotek och -mappar.

    Anteckning

    SharePoint Server 2019, SharePoint Server 2016 och SharePoint Server 2013 stöds för SharePoint.

    Om du vill lägga till ditt första datalager går du till jobbfönstret Lägg till en ny innehållsgenomsökning och väljer Konfigurera lagringsplatser för att öppna fönstret Lagringsplatser :

    Konfigurera datalagringsplatser för Azure Information Protection-skannern.

    1. I fönstret Lagringsplatser väljer du Lägg till:

      Lägg till datalagringsplats för Azure Information Protection-skannern.

    2. I fönstret Lagringsplats anger du sökvägen för datalagringsplatsen och väljer sedan Spara.

      • För en nätverksresurs använder du \\Server\Folder.
      • För ett SharePoint-bibliotek använder du http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • För en lokal sökväg: C:\Folder
      • För en UNC-sökväg: \\Server\Folder

    Anteckning

    Jokertecken stöds inte och WebDav-platser stöds inte.

    Om du lägger till en SharePoint-sökväg för delade dokument:

    • Ange Delade dokument i sökvägen när du vill genomsöka alla dokument och alla mappar från delade dokument. Exempelvis: http://sp2013/SharedDocuments
    • Ange Dokument i sökvägen när du vill genomsöka alla dokument och alla mappar från en undermapp under Delade dokument. Exempelvis: http://sp2013/Documents/SalesReports
    • Eller ange endast FQDN för din Sharepoint, till exempel http://sp2013 för att identifiera och genomsöka alla SharePoint-webbplatser och underwebbplatser under en specifik URL och undertexter under den här URL:en. Bevilja granskningsbehörighet för skannerwebbplatsinsamlare för att aktivera detta.

    För de återstående inställningarna i det här fönstret ska du inte ändra dem för den här inledande konfigurationen, utan behålla dem som standard för innehållsgenomsökningsjobb. Standardinställningen innebär att datalagringsplatsen ärver inställningarna från innehållssökningsjobbet.

    Använd följande syntax när du lägger till SharePoint-sökvägar:

    Sökväg Syntax
    Rotsökväg http://<SharePoint server name>

    Söker igenom alla webbplatser, inklusive alla webbplatssamlingar som tillåts för skanneranvändaren.
    Kräver ytterligare behörigheter för att automatiskt identifiera rotinnehåll
    Specifik SharePoint-underwebbplats eller -samling Något av följande:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Kräver ytterligare behörigheter för att automatiskt identifiera webbplatssamlingsinnehåll
    Specifikt SharePoint-bibliotek Något av följande:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Specifik SharePoint-mapp http://<SharePoint server name>/.../<folder name>
  5. Upprepa föregående steg för att lägga till så många lagringsplatser som behövs.

    När du är klar stänger du både jobbfönstret Lagringsplatser och Innehållssökning .

I jobbfönstret Azure Information Protection – Innehållssökning visas namnet på innehållssökningen tillsammans med kolumnen SCHEDULE som visar Manuell och kolumnen ENFORCE är tom.

Nu är du redo att installera skannern med det innehållsskannerjobb som du har skapat. Fortsätt med Installera skannern.

Installera skannern

När du har konfigurerat Azure Information Protection-skannern utför du stegen nedan för att installera skannern. Den här proceduren utförs helt i PowerShell.

  1. Logga in på Den Windows Server-dator som ska köra skannern. Använd ett konto som har lokal administratörsbehörighet och som har behörighet att skriva till SQL Server huvuddatabas.

    Viktigt

    Du måste ha AIP-klienten för enhetlig etikettering installerad på datorn innan du installerar skannern.

    Mer information finns i Krav för att installera och distribuera Azure Information Protection-skannern.

  2. Öppna en Windows PowerShell session med alternativet Kör som administratör.

  3. Kör cmdleten Install-AIPScanner och ange din SQL Server-instans där du vill skapa en databas för Azure Information Protection-skannern och det skannerklusternamn som du angav i föregående avsnitt:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Exempel som använder skannerklustrets namn på Europa:

    • För en standardinstans: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • För en namngiven instans: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • För SQL Server Express:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    När du uppmanas till det anger du Active Directory-autentiseringsuppgifterna för skannertjänstkontot.

    Använd följande syntax: \<domain\user name>. Exempelvis: contoso\scanneraccount

  4. Kontrollera att tjänsten nu har installerats med hjälp av administrationsverktygstjänster>.

    Den installerade tjänsten heter Azure Information Protection Scanner och är konfigurerad för att köras med hjälp av det skannertjänstkonto som du skapade.

Nu när du har installerat skannern måste du hämta en Azure AD token för skannertjänstkontot för autentisering, så att skannern kan köras obevakat.

Hämta en Azure AD token för skannern

Med en Azure AD-token kan skannern autentisera till Tjänsten Azure Information Protection, vilket gör att skannern kan köras icke-interaktivt.

Mer information finns i Så här etiketterar du filer icke-interaktivt för Azure Information Protection.

Så här hämtar du en Azure AD token:

  1. Öppna Azure Portal för att skapa ett Azure AD program för att ange en åtkomsttoken för autentisering.

  2. Om skannertjänstkontot har beviljats lokal inloggning för installationen från Windows Server-datorn loggar du in med det här kontot och startar en PowerShell-session.

    Kör Set-AIPAuthentication och ange de värden som du kopierade från föregående steg:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Ett exempel:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Tips

    Om skannertjänstkontot inte kan beviljas lokal inloggning för installationen använder du parametern OnBehalfOf med Set-AIPAuthentication enligt beskrivningen i Så här etiketterar du filer icke-interaktivt för Azure Information Protection.

Skannern har nu en token för att autentisera till Azure AD. Denna token är giltig i ett år, två år eller aldrig, enligt din konfiguration av webbappens /API-klienthemlighet i Azure AD. När token upphör att gälla måste du upprepa den här proceduren.

Fortsätt att använda något av följande steg, beroende på om du använder Azure Portal för att konfigurera skannern eller endast PowerShell:

Nu är du redo att köra din första genomsökning i identifieringsläge. Mer information finns i Köra en identifieringscykel och visa rapporter för skannern.

När du har kört den första identifieringsgenomsökningen fortsätter du med Konfigurera skannern för att tillämpa klassificering och skydd.

Konfigurera skannern att tillämpa klassificering och skydd

Standardinställningarna konfigurerar skannern så att den körs en gång och i läget endast rapportering. Om du vill ändra de här inställningarna redigerar du innehållssökningsjobbet.

Så här konfigurerar du skannern för att tillämpa klassificering och skydd i efterlevnadsportal i Microsoft Purview:

  1. I efterlevnadsportal i Microsoft Purview går du till fliken Innehållssökningsjobb och väljer ett specifikt innehållssökningsjobb för att redigera det.

  2. Välj innehållssökningsjobbet, ändra följande och välj sedan Spara:

    • Från avsnittet Innehållssökningsjobb : Ändra schemat till Alltid
    • I avsnittet Framtvinga princip för känslighetsetiketter : Ändra alternativknappen till
  3. Kontrollera att en nod för innehållssökningsjobbet är online och starta sedan innehållssökningsjobbet igen genom att välja Genomsök nu. Knappen Genomsök nu visas bara när en nod för det valda innehållssökningsjobbet är online.

Skannern är nu schemalagd att köras kontinuerligt. När skannern arbetar sig igenom alla konfigurerade filer startar den automatiskt en ny cykel så att alla nya och ändrade filer identifieras.

Så här konfigurerar du skannern för att tillämpa klassificering och skydd i Azure Portal:

  1. I Azure Portal går du till fönstret Azure Information Protection – Innehållssökningsjobb och väljer klustret och innehållssökningsjobbet för att redigera det.

  2. I fönstret Innehållssökningsjobb ändrar du följande och väljer sedan Spara:

    • Från avsnittet Innehållssökningsjobb : Ändra schemat till Alltid
    • I avsnittet Känslighetsprincip : Ändra Framtvinga till

    Tips

    Du kanske vill ändra andra inställningar i det här fönstret, till exempel om filattribut ändras och om skannern kan etikettera om filer. Använd informations-popup-hjälpen om du vill veta mer om varje konfigurationsinställning.

  3. Anteckna den aktuella tiden och starta skannern igen från fönstret Azure Information Protection – Innehållssökningsjobb:

    Initiera genomsökningen av Azure Information Protection-skannern.

Skannern är nu schemalagd att köras kontinuerligt. När skannern arbetar sig igenom alla konfigurerade filer startar den automatiskt en ny cykel så att alla nya och ändrade filer identifieras.

Använda en DLP-princip

Med hjälp av en princip för dataförlustskydd kan skannern identifiera potentiella dataläckor genom att matcha DLP-regler till filer som lagras i filresurser och SharePoint Server.

  • Aktivera DLP-regler i innehållssökningsjobbet för att minska exponeringen av filer som matchar dina DLP-principer. När dina DLP-regler är aktiverade kan skannern minska filåtkomsten till endast dataägare eller minska exponeringen för nätverksomfattande grupper, till exempel Alla, Autentiserade användare eller Domänanvändare.

  • I efterlevnadsportal i Microsoft Purview ska du avgöra om du bara testar din DLP-princip eller om du vill att reglerna ska tillämpas och dina filbehörigheter ska ändras enligt dessa regler. Mer information finns i Aktivera en DLP-princip.

DLP-principer konfigureras i efterlevnadsportal i Microsoft Purview. Mer information om DLP-licensiering finns i Kom igång med den lokala skannern för dataförlustskydd.

Tips

Genomsökning av filer, även när du bara testar DLP-principen, skapar även filbehörighetsrapporter. Fråga dessa rapporter för att undersöka specifika filexponeringar eller utforska exponeringen för en specifik användare för skannade filer.

Om du bara vill använda PowerShell läser du Använda en DLP-princip med skannern – endast PowerShell.

Så här använder du en DLP-princip med skannern i efterlevnadsportal i Microsoft Purview:

  1. I efterlevnadsportal i Microsoft Purview går du till fliken Innehållssökningsjobb och väljer ett specifikt innehållsgenomsökningsjobb. Mer information finns i Skapa ett innehållsgenomsökningsjobb.

  2. Under Aktivera DLP-principregler anger du alternativknappen till .

    Viktigt

    Ställ inte in Aktivera DLP-reglerpå På om du inte har en DLP-princip konfigurerad i Microsoft 365.

    Om du aktiverar den här funktionen utan en DLP-princip genereras fel av skannern.

  3. (Valfritt) Ställ in lagringsplatsens ägarepå På och definiera en specifik användare som lagringsplatsägare.

    Det här alternativet gör det möjligt för skannern att minska exponeringen för alla filer som finns på den här lagringsplatsen, som matchar DLP-principen, för den definierade lagringsplatsens ägare.

Så här använder du en DLP-princip med skannern i Azure Portal:

  1. I Azure Portal navigerar du till innehållssökningsjobbet. Mer information finns i Skapa ett innehållsgenomsökningsjobb.

  2. Under DLP-princip anger du Aktivera DLP-regler till .

    Viktigt

    Ställ inte in Aktivera DLP-reglerpå På om du inte har en DLP-princip konfigurerad i Microsoft 365.

    Om du aktiverar den här funktionen utan en DLP-princip genereras fel i skannern.

  3. (Valfritt) Under Konfigurera filinställningar anger du Ange lagringsplatsägare till och definierar en specifik användare som lagringsplatsägare.

    Med det här alternativet kan skannern minska exponeringen för alla filer som finns på den här lagringsplatsen, som matchar DLP-principen, för den definierade lagringsplatsens ägare.

DLP-principer och utföra privata åtgärder

Om du använder en DLP-princip med en privat åtgärd och planerar att använda skannern för att automatiskt märka dina filer, rekommenderar vi att du också definierar den enhetliga etiketteringsklientens avancerade inställning UseCopyAndPreserveNTFSOwner .

Den här inställningen säkerställer att de ursprungliga ägarna behåller åtkomsten till sina filer.

Mer information finns i Skapa ett innehållsgenomsökningsjobb och Tillämpa en känslighetsetikett på innehåll automatiskt i Microsoft 365-dokumentationen.

Ändra vilka filtyper som ska skyddas

Som standard skyddar AIP-skannern endast Office-filtyper och PDF-filer.

Använd PowerShell-kommandon för att ändra det här beteendet efter behov, till exempel för att konfigurera skannern för att skydda alla filtyper, precis som klienten gör, eller för att skydda ytterligare, specifika filtyper.

För en etikettprincip som gäller för användarkontot som laddar ned etiketter för skannern anger du en avancerad PowerShell-inställning med namnet PFileSupportedExtensions.

För en skanner som har åtkomst till Internet är det här användarkontot det konto som du anger för parametern DelegatedUser med kommandot Set-AIPAuthentication.

Exempel 1: PowerShell-kommandot för skannern för att skydda alla filtyper, där etikettprincipen heter "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Exempel 2: PowerShell-kommandot för skannern för att skydda .xml filer och .tiff-filer utöver Office-filer och PDF-filer, där din etikettprincip heter "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Mer information finns i Ändra vilka filtyper som ska skyddas.

Uppgradera skannern

Om du tidigare har installerat skannern och vill uppgradera använder du anvisningarna i Uppgradera Azure Information Protection-skannern.

Konfigurera ochanvänd sedan skannern som vanligt och hoppa över stegen för att installera skannern.

Massredigera inställningar för datalagringsplats

Använd knapparna Exportera och importera för att göra ändringar för skannern på flera lagringsplatser.

På så sätt behöver du inte göra samma ändringar flera gånger, manuellt, i Azure Portal eller efterlevnadsportal i Microsoft Purview.

Om du till exempel har en ny filtyp på flera SharePoint-datalagringsplatser kanske du vill uppdatera inställningarna för dessa lagringsplatser i grupp.

Så här gör du massändringar mellan lagringsplatser i efterlevnadsportal i Microsoft Purview:

  1. I efterlevnadsportal i Microsoft Purview väljer du ett specifikt innehållsgenomsökningsjobb och navigerar till fliken Lagringsplatser i fönstret. Välj alternativet Exportera .

  2. Redigera den exporterade filen manuellt för att göra ändringen.

  3. Använd alternativet Importera på samma sida för att importera uppdateringarna tillbaka till dina lagringsplatser.

Så här gör du massändringar mellan lagringsplatser i Azure Portal:

  1. I Azure Portal i fönstret Lagringsplatser väljer du alternativet Exportera. Ett exempel:

    Exportera datalagringsplatsens inställningar för Azure Information Protection-skannern.

  2. Redigera den exporterade filen manuellt för att göra ändringen.

  3. Använd alternativet Importera på samma sida för att importera uppdateringarna tillbaka till dina lagringsplatser.

Använda skannern med alternativa konfigurationer

Azure Information Protection-skannern letar vanligtvis efter villkor som angetts för dina etiketter för att klassificera och skydda ditt innehåll efter behov.

I följande scenarier kan Även Azure Information Protection-skannern genomsöka ditt innehåll och hantera etiketter, utan några konfigurerade villkor:

Tillämpa en standardetikett på alla filer på en datalagringsplats

I den här konfigurationen är alla omärkta filer på lagringsplatsen märkta med standardetiketten som angetts för lagringsplatsen eller innehållssökningsjobbet. Filer är märkta utan inspektion.

Konfigurera följande inställningar:

Inställning Beskrivning
Etikettera filer baserat på innehåll Ställ in på Av
Standardetikett Ange till Anpassad och välj sedan den etikett som ska användas
Framtvinga standardetikett Välj om du vill att standardetiketten ska tillämpas på alla filer, även om de redan är märkta genom att aktivera Relabel-filer och Tillämpa standardetikett

Ta bort befintliga etiketter från alla filer i en datalagringsplats

I den här konfigurationen tas alla befintliga etiketter bort, inklusive skydd, om skyddet tillämpades med etiketten. Skydd som tillämpas oberoende av en etikett behålls.

Konfigurera följande inställningar:

Inställning Beskrivning
Etikettera filer baserat på innehåll Ställ in på Av
Standardetikett Ange till Ingen
Ometikettfiler Ange till med standardetiketten Framtvinga inställd på På

Identifiera alla anpassade villkor och kända typer av känslig information

Med den här konfigurationen kan du hitta känslig information som du kanske inte inser att du hade, på bekostnad av genomsökningsfrekvensen för skannern.

Ange vilka informationstyper som ska identifieras till Alla.

För att identifiera villkor och informationstyper för etikettering använder skannern alla angivna anpassade typer av känslig information och listan över inbyggda typer av känslig information som är tillgängliga att välja, enligt definitionen i ditt etiketthanteringscenter.

Optimera skannerprestanda

Anteckning

Om du vill förbättra skannerdatorns svarstider i stället för skannerns prestanda använder du en avancerad klientinställning för att begränsa antalet trådar som skannern använder.

Använd följande alternativ och vägledning för att optimera skannerprestanda:

Alternativ Beskrivning
Ha en hög hastighet och tillförlitlig nätverksanslutning mellan skannerdatorn och det skannade datalagret Placera till exempel skannerdatorn i samma LAN, eller helst i samma nätverkssegment som det skannade datalagret.

Kvaliteten på nätverksanslutningen påverkar skannerns prestanda eftersom skannern för att inspektera filerna överför innehållet i filerna till den dator som kör skannertjänsten.

Om du minskar eller eliminerar de nätverkshopp som krävs för att data ska kunna färdas minskar även belastningen på nätverket.
Kontrollera att skannerdatorn har tillgängliga processorresurser Att granska filinnehållet och kryptera och dekryptera filer är processorintensiva åtgärder.

Övervaka de typiska genomsökningscyklerna för dina angivna datalager för att identifiera om bristen på processorresurser påverkar skannerns prestanda negativt.
Installera flera instanser av skannern Azure Information Protection-skannern stöder flera konfigurationsdatabaser på samma SQL Server-instans när du anger ett anpassat klusternamn för skannern.

Tips: Flera skannrar kan också dela samma kluster, vilket resulterar i snabbare genomsökningstider. Om du planerar att installera skannern på flera datorer med samma databasinstans och vill att skannrarna ska köras parallellt måste du installera alla skannrar med samma klusternamn.
Kontrollera din alternativa konfigurationsanvändning Skannern körs snabbare när du använder den alternativa konfigurationen för att tillämpa en standardetikett på alla filer eftersom skannern inte inspekterar filinnehållet.

Skannern körs långsammare när du använder den alternativa konfigurationen för att identifiera alla anpassade villkor och kända typer av känslig information.

Ytterligare faktorer som påverkar prestanda

Ytterligare faktorer som påverkar skannerns prestanda är:

Faktor Description
Inläsnings-/svarstider De aktuella inläsnings- och svarstiderna för de datalager som innehåller filerna som ska genomsökas påverkar även skannerns prestanda.
Skannerläge (identifiering/framtvinga) Identifieringsläget har vanligtvis en högre genomsökningshastighet än tvingande läge.

Identifiering kräver en enda filläsningsåtgärd, medan tvingande läge kräver läs- och skrivåtgärder.
Principändringar Skannerns prestanda kan påverkas om du har gjort ändringar i automärkningen i etikettprincipen.

Din första genomsökningscykel, när skannern måste inspektera varje fil, tar längre tid än efterföljande genomsökningscykler som som standard endast inspekterar nya och ändrade filer.

Om du ändrar villkoren eller inställningarna för automatisk etikettering genomsöks alla filer igen. Mer information finns i Söka om filer.
Regex konstruktioner Skannerprestanda påverkas av hur dina regex-uttryck för anpassade villkor konstrueras.

Om du vill undvika hög minnesförbrukning och risken för timeouter (15 minuter per fil) granskar du regex-uttrycken för effektiv mönstermatchning.

Ett exempel:
- Undvik giriga kvantifierare
– Använd grupper som inte samlar in, till exempel (?:expression) i stället för (expression)
Loggnivå Bland alternativen på loggnivå finns felsökning, information, fel och av för skannerrapporterna.

- Av resulterar i bästa prestanda
- Felsökningen saktar ned skannern avsevärt och bör endast användas för felsökning.

Mer information finns i parametern ReportLevel för cmdleten Set-AIPScannerConfiguration .
Filer som genomsöks – Med undantag för Excel-filer genomsöks Office-filer snabbare än PDF-filer.

– Oskyddade filer går snabbare att genomsöka än skyddade filer.

– Stora filer tar uppenbarligen längre tid att skanna än små filer.

Använda PowerShell för att konfigurera skannern

I det här avsnittet beskrivs de steg som krävs för att konfigurera och installera den lokala AIP-skannern när du inte har åtkomst till skannersidorna i Azure Portal och endast måste använda PowerShell.

Viktigt

  • Vissa steg kräver PowerShell oavsett om du kan komma åt skannersidorna i Azure Portal och är identiska. De här stegen finns i de tidigare anvisningarna i den här artikeln som anges.

  • Om du arbetar med skannern för Azure China 21Vianet krävs ytterligare steg utöver instruktionerna som beskrivs här. Mer information finns i Azure Information Protection support för Office 365 som drivs av 21Vianet.

Mer information finns i PowerShell-cmdletar som stöds.

Så här konfigurerar och installerar du skannern:

  1. Börja med PowerShell stängt. Om du tidigare har installerat AIP-klienten och skannern kontrollerar du att AIPScanner-tjänsten har stoppats.

  2. Öppna en Windows PowerShell session med alternativet Kör som administratör.

  3. Kör kommandot Install-AIPScanner för att installera skannern på SQL Server-instansen med klusterparametern för att definiera klusternamnet.

    Det här steget är identiskt oavsett om du kan komma åt skannersidorna i Azure Portal eller inte. Mer information finns i de tidigare anvisningarna i den här artikeln: Installera skannern

  4. Hämta en Azure-token som ska användas med skannern och autentisera sedan igen.

    Det här steget är identiskt oavsett om du kan komma åt skannersidorna i Azure Portal eller inte. Mer information finns i de tidigare anvisningarna i den här artikeln: Hämta en Azure AD token för skannern.

  5. Kör cmdleten Set-AIPScannerConfiguration för att ställa in skannern så att den fungerar i offlineläge. Kör följande:

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  6. Kör cmdleten Set-AIPScannerContentScanJob för att skapa ett standardjobb för innehållssökning.

    Den enda obligatoriska parametern i cmdleten Set-AIPScannerContentScanJob är Enforce. Men du kanske vill definiera andra inställningar för innehållssökningsjobbet just nu. Ett exempel:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    Syntaxen ovan konfigurerar följande inställningar medan du fortsätter konfigurationen:

    • Håller schemaläggningen av skannerkörningen manuell
    • Anger vilka informationstyper som ska identifieras baserat på principen för känslighetsetiketter
    • Framtvingar inte en princip för känslighetsetiketter
    • Etiketter automatiskt filer baserat på innehåll med hjälp av standardetiketten som definierats för principen för känslighetsetiketter
    • Tillåter inte ommärkning av filer
    • Bevarar filinformation vid genomsökning och automatisk etikettering, inklusive datum som ändrats, senast ändrats och ändrats av värden
    • Anger att skannern ska undanta .msg- och .tmp-filer vid körning
    • Anger standardägaren till det konto som du vill använda när du kör skannern
  7. Använd cmdleten Add-AIPScannerRepository för att definiera de lagringsplatser som du vill genomsöka i innehållssökningsjobbet. Till exempel, kör:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Använd någon av följande syntaxer, beroende på vilken typ av lagringsplats du lägger till:

    • För en nätverksresurs använder du \\Server\Folder.
    • För ett SharePoint-bibliotek använder du http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • För en lokal sökväg: C:\Folder
    • För en UNC-sökväg: \\Server\Folder

    Anteckning

    Jokertecken stöds inte och WebDav-platser stöds inte.

    Om du vill ändra lagringsplatsen senare använder du cmdleten Set-AIPScannerRepository i stället.

    Om du lägger till en SharePoint-sökväg för delade dokument:

    • Ange Delade dokument i sökvägen när du vill genomsöka alla dokument och alla mappar från delade dokument. Exempelvis: http://sp2013/SharedDocuments
    • Ange Dokument i sökvägen när du vill genomsöka alla dokument och alla mappar från en undermapp under Delade dokument. Exempelvis: http://sp2013/Documents/SalesReports
    • Eller ange endast FQDN för din Sharepoint, till exempel http://sp2013 för att identifiera och genomsöka alla SharePoint-webbplatser och underwebbplatser under en specifik URL och undertexter under den här URL:en. Bevilja granskningsbehörighet för skannerwebbplatsinsamlare för att aktivera detta.

    Använd följande syntax när du lägger till SharePoint-sökvägar:

    Sökväg Syntax
    Rotsökväg http://<SharePoint server name>

    Söker igenom alla webbplatser, inklusive alla webbplatssamlingar som tillåts för skanneranvändaren.
    Kräver ytterligare behörigheter för att automatiskt identifiera rotinnehåll
    Specifik SharePoint-underwebbplats eller -samling Något av följande:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Kräver ytterligare behörigheter för att automatiskt identifiera webbplatssamlingsinnehåll
    Specifikt SharePoint-bibliotek Något av följande:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Specifik SharePoint-mapp http://<SharePoint server name>/.../<folder name>

Fortsätt med följande steg efter behov:

Använd PowerShell för att konfigurera skannern så att den tillämpar klassificering och skydd

  1. Kör cmdleten Set-AIPScannerContentScanJob för att uppdatera innehållssökningsjobbet för att ange schemaläggningen till alltid och framtvinga din känslighetsprincip.

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On
    

    Tips

    Du kanske vill ändra andra inställningar i det här fönstret, till exempel om filattribut ändras och om skannern kan ange om filer. Mer information om tillgängliga inställningar finns i den fullständiga PowerShell-dokumentationen.

  2. Kör cmdleten Start-AIPScan för att köra innehållssökningsjobbet:

    Start-AIPScan
    

Skannern är nu schemalagd att köras kontinuerligt. När skannern arbetar sig igenom alla konfigurerade filer startar den automatiskt en ny cykel så att alla nya och ändrade filer identifieras.

Använda PowerShell för att konfigurera en DLP-princip med skannern

  1. Kör cmdleten Set-AIPScannerContentScanJob igen med parametern -EnableDLP inställd på På och med en specifik lagringsplatsägare definierad.

    Ett exempel:

    Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
    

PowerShell-cmdletar som stöds

I det här avsnittet visas PowerShell-cmdletar som stöds för Azure Information Protection-skannern och instruktioner för att konfigurera och installera skannern endast med PowerShell.

Cmdletar som stöds för skannern är:

Nästa steg

När du har installerat och konfigurerat skannern börjar du genomsöka filerna.

Se även: Distribuera Azure Information Protection-skannern för att automatiskt klassificera och skydda filer.

Mer information: