配置并安装信息保护扫描程序

注意

有一个新版本的信息保护扫描程序。 有关详细信息,请参阅升级Microsoft Purview 信息保护扫描程序

本文介绍如何配置和安装Microsoft Purview 信息保护扫描程序(以前名为 Azure 信息保护统一标记扫描程序)或本地扫描程序。

提示

虽然大多数客户将在管理门户中执行这些过程,但你可能只需要在 PowerShell 中工作。

例如,如果在无法访问管理门户的环境中工作,例如 Azure 中国世纪互联,请按照 使用 PowerShell 配置扫描程序中的说明进行操作。

概述

在开始之前,请验证系统是否符合 所需的先决条件

然后,使用以下步骤配置和安装扫描程序:

  1. 配置扫描程序设置

  2. 安装扫描程序

  3. 获取扫描程序的Microsoft Entra令牌

  4. 配置扫描程序以应用分类和保护

接下来,根据需要为系统执行以下配置过程:

Procedure 说明
更改要保护的文件类型 你可能想要扫描、分类或保护与默认文件类型不同的文件类型。 有关详细信息,请参阅 扫描过程
升级扫描程序 升级扫描程序以使用最新功能和改进。
批量编辑数据存储库设置 使用导入和导出选项批量更改多个数据存储库。
将扫描程序与备用配置配合使用 在不配置任何条件的标签的情况下使用扫描程序
优化性能 优化扫描程序性能的指南

如果无权访问 Microsoft Purview 门户或Microsoft Purview 合规门户中的扫描程序页面,请仅在 PowerShell 中配置任何扫描程序设置。 有关详细信息,请参阅使用 PowerShell 配置扫描程序和支持的 PowerShell cmdlet

配置扫描程序设置

在安装扫描程序或从较旧的正式发布版本升级扫描程序之前,请配置或验证扫描程序设置。 对于此配置,可以使用 Microsoft Purview 门户Microsoft Purview 合规门户

若要在 Microsoft Purview 门户或Microsoft Purview 合规门户配置扫描程序,请执行以下操作:

  1. 使用以下角色之一登录:
  • 合规性管理员
  • 合规性数据管理员
  • 安全管理员
  • 组织管理
  1. 根据所使用的门户,导航到以下位置之一:

  2. 创建扫描程序群集。 此群集定义扫描程序,并用于标识扫描程序实例,例如在安装、升级和其他过程中。

  3. 创建内容扫描作业 以定义要扫描的存储库。

创建扫描程序群集

若要在 Microsoft Purview 门户或Microsoft Purview 合规门户中创建扫描程序群集,请执行以下操作:

  1. “信息保护扫描程序 ”页上的选项卡中,选择“ 群集”。

  2. 在“ 群集 ”选项卡上,选择“ 添加”图标

  3. 在“ 新建群集 ”窗格中,输入扫描程序的有意义名称和可选说明。

    群集名称用于标识扫描程序的配置和存储库。 例如,可以输入 “欧洲 ”来标识要扫描的数据存储库的地理位置。

    稍后将使用此名称来确定要安装或升级扫描程序的位置。

  4. 选择保存以保存所做的更改。

创建内容扫描作业

深入了解内容,以扫描特定存储库的敏感内容。

若要在 Microsoft Purview 合规门户 的 Microsoft Purview 门户上创建内容扫描作业,请执行以下操作:

  1. “信息保护扫描程序 ”页上的选项卡中,选择“ 内容扫描作业”。

  2. “内容扫描作业 ”窗格中,选择“ 添加”图标

  3. 对于此初始配置,请配置以下设置,然后选择“ 保存”。

    Setting 说明
    内容扫描作业设置 - 计划:保留默认值“ 手动”
    - 要发现的信息类型仅更改为策略
    DLP 策略 如果使用数据丢失防护策略,请将 “启用 DLP 规则” 设置为 “打开”。 有关详细信息,请参阅 使用 DLP 策略
    敏感度策略 - 强制实施敏感度标记策略:选择“关闭
    - 基于内容标记文件:保留默认值“打开
    - 默认标签:保留 策略默认值
    - 重新标记文件:保留默认值“ 关”
    配置文件设置 - 保留“修改日期”、“上次修改时间”和“修改者”:保留默认值“ 打开
    - 要扫描的文件类型:保留 Exclude 的默认文件类型
    - 默认所有者:保留扫描程序帐户的默认值
    - 设置存储库所有者:仅 当使用 DLP 策略时才使用此选项。
  4. 打开已保存的内容扫描作业,然后选择“ 存储库 ”选项卡以指定要扫描的数据存储。

    为 SharePoint 本地文档库和文件夹指定 UNC 路径和 SharePoint Server URL。

    注意

    SharePoint 支持SharePoint Server 2019、SharePoint Server 2016 和 SharePoint Server 2013。 如果 已扩展对此版本的 SharePoint 的支持,则还支持 SharePoint Server 2010。

    若要在“ 存储库 ”选项卡上添加第一个数据存储,请执行以下操作:

    1. 在“ 存储库 ”窗格中,选择“ 添加”:

    2. 在“ 存储库 ”窗格中,指定数据存储库的路径,然后选择“ 保存”。

      • 对于网络共享,请使用 \\Server\Folder
      • 对于 SharePoint 库,请使用 http://sharepoint.contoso.com/Shared%20Documents/Folder
      • 对于本地路径:C:\Folder
      • 对于 UNC 路径:\\Server\Folder

    注意

    不支持通配符,也不支持 WebDav 位置。 不支持将 OneDrive 位置作为存储库进行扫描。

    如果为 共享文档添加 SharePoint 路径:

    • 如果要从 共享文档 扫描所有文档和所有文件夹,请在路径中指定共享文档。 例如:http://sp2013/SharedDocuments
    • 如果要从 “共享文档” 下的子文件夹中扫描所有文档和所有文件夹,请在路径中指定“文档”。 例如:http://sp2013/Documents/SalesReports
    • 或者,仅指定 SharePoint 的 FQDN ,例如 http://sp2013发现和扫描特定 URL 下的所有 SharePoint 网站和子网站 ,以及此 URL 下的副标题。 授予扫描程序 Site Collector Auditor 权限以启用此功能。

    对于此窗格上的其余设置,请不要更改此初始配置,而是将其保留为 内容扫描作业默认值。 默认设置意味着数据存储库从内容扫描作业继承设置。

    添加 SharePoint 路径时使用以下语法:

    Path 语法
    根路径 http://<SharePoint server name>

    扫描所有网站,包括扫描程序用户允许的任何网站集。
    需要 其他权限 才能自动发现根内容
    特定 SharePoint 子网站或集合 以下各项之一:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    需要 其他权限 才能自动发现网站集内容
    特定 SharePoint 库 以下各项之一:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    特定 SharePoint 文件夹 http://<SharePoint server name>/.../<folder name>
  5. 重复上述步骤,根据需要添加任意数量的存储库。

现在,可以使用已创建的内容扫描程序作业安装扫描程序。 继续 安装扫描程序

安装扫描程序

配置扫描程序后,请执行以下步骤来安装扫描程序。 此过程在 PowerShell 中完全执行。

  1. 登录到将运行扫描程序的 Windows Server 计算机。 使用具有本地管理员权限并有权写入 SQL Server 主数据库的帐户。

    重要

    安装扫描程序之前,必须在计算机上安装信息保护客户端。

    有关详细信息,请参阅 安装和部署信息保护扫描程序的先决条件

  2. 使用“以管理员身份运行”选项打开 Windows PowerShell 会话。

  3. 运行 Install-Scanner cmdlet,指定要为其创建信息保护扫描程序数据库的SQL Server实例,以及上一部分中指定的扫描程序群集名称:

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
    

    示例,使用 欧洲扫描程序群集名称:

    • 对于默认实例: Install-Scanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • 对于命名实例: Install-Scanner -SqlServerInstance SQLSERVER1\SCANNER -Cluster Europe

    • 对于SQL Server Express:Install-Scanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    出现提示时,请提供扫描程序服务帐户的 Active Directory 凭据。

    使用以下语法: \<domain\user name>。 例如:contoso\scanneraccount

  4. 使用“管理工具”>“服务”验证现在是否安装了该服务。

    已安装的服务名为“Microsoft Purview 信息保护扫描程序”,并配置为使用创建的扫描程序服务帐户运行。

安装扫描程序后,需要获取扫描程序服务帐户的Microsoft Entra令牌进行身份验证,以便扫描程序可以无人参与地运行。

获取扫描程序的Microsoft Entra令牌

Microsoft Entra令牌允许扫描程序向Microsoft Purview 信息保护扫描程序服务进行身份验证,使扫描程序能够在无人参与的情况下运行。

有关详细信息,请参阅 在无人参与的情况下运行信息保护标记 cmdlet

若要获取Microsoft Entra令牌,请执行以下操作

  1. 导航到 Azure 门户,然后转到“Microsoft Entra ID边栏选项卡。

  2. 在Microsoft Entra ID侧窗格中,单击“应用注册”。

  3. 在顶部,继续并单击“ + 新建注册”。

  4. 在“名称”部分中,键入 InformationProtectionScanner

  5. 支持的帐户类型 保留为默认值。

  6. 对于“重定向 URI”,请将类型保留为“Web”,但为条目部分键入 , http://localhost 然后单击“ 注册”。

  7. 在此应用程序的“概述”页上,在所选的文本编辑器中记下以下 ID: 应用程序 (客户端) ID目录 (租户) ID。 稍后在设置 Set-AIPAuthentication 命令时需要此命令。

  8. 在侧窗格上,导航到 “证书和机密”。

  9. 单击“ + 新建客户端密码”。

  10. 在显示的对话框中,输入机密的说明,并将其设置为“ 1 年后 过期”,然后添加机密。

  11. 现在,在“客户端机密”部分下,应看到有一个包含 “机密值”的条目。 继续复制此值,并将其存储在保存客户端 ID 和租户 ID 的文件中。 这是唯一一次能够看到机密值,如果此时不复制机密值,则无法恢复该机密值。

  12. 在侧窗格中,导航到 “API 权限”。

  13. 继续并选择“ 添加权限”。

  14. 显示屏幕时,选择“ Azure Rights Management Service”。 然后选择“ 应用程序权限”。

  15. 单击 Content 的下拉列表,并将 Content.DelegatedReaderContent.DelegatedWriter 的复选标记向下。 然后在屏幕底部,单击“ 添加权限”。

  16. 导航回 “API 权限” 部分并添加另一个权限。

  17. 这一次,对于“选择 API”部分,单击 我的组织使用的 API。 在搜索栏中,键入“Microsoft信息保护同步服务”并将其选中。

  18. 选择“ 应用程序权限” ,然后在 “统一策略 ”下拉列表中,选中“ UnifiedPolicy.Tenant.Read”权限。 然后在屏幕底部,单击“ 添加权限”。

  19. 返回“API 权限”屏幕,单击“授予管理员同意”,并查找操作是否成功 (用绿色复选标记) 。

  20. 在 Windows Server 计算机上,如果扫描程序服务帐户已被授予安装的“在本机登录”权限,请使用此帐户登录并启动 PowerShell 会话。

    运行 Set-Authentication,指定从上一步复制的值:

    Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    例如:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

提示

如果无法向扫描程序服务帐户授予安装 本地登录 权限,请将 OnBehalfOf 参数与 Set-Authentication 配合使用,如无人 参与地运行信息保护标记 cmdlet 中所述。

扫描程序现在具有一个令牌,用于向Microsoft Entra ID进行身份验证。 根据 Microsoft Entra ID 中的 Web 应用 /API 客户端密码配置,此令牌的有效期为一年、两年或永远有效。 当令牌过期时,你必须重复此过程。

继续执行以下步骤之一,具体取决于是使用合规性门户来配置扫描程序,还是仅使用 PowerShell:

现在,你已准备好在发现模式下运行第一次扫描。 有关详细信息,请参阅 运行发现周期和查看扫描程序的报告

运行初始发现扫描后,请继续 配置扫描程序以应用分类和保护

有关详细信息,请参阅 在无人参与的情况下运行信息保护标记 cmdlet

配置扫描程序以应用分类和保护

默认设置将扫描程序配置为在仅报告模式下运行一次。 若要更改这些设置,请编辑内容扫描作业。

提示

如果仅在 PowerShell 中工作,请参阅 配置扫描程序以应用分类和保护 - 仅限 PowerShell

若要将扫描程序配置为在 Microsoft Purview 门户或Microsoft Purview 合规门户应用分类和保护,请执行以下操作

  1. 在 Microsoft Purview 门户或Microsoft Purview 合规门户中,在“内容扫描作业”选项卡上,选择特定的内容扫描作业进行编辑。

  2. 选择内容扫描作业,更改以下内容,然后选择“ 保存”

    • “内容扫描作业 ”部分:将 “计划” 更改为 “始终”
    • “强制实施敏感度标记策略 ”部分:将单选按钮更改为“ 开”
  3. 确保内容扫描作业的节点处于联机状态,然后通过选择“ 立即扫描”再次启动内容扫描作业。 仅当所选内容扫描作业的节点处于联机状态时,才会显示“ 立即 扫描”按钮。

扫描程序现在计划为连续运行。 当扫描程序在所有已配置的文件中工作时,它会自动启动一个新周期,以便发现任何新的和更改的文件。

使用 DLP 策略

使用数据丢失防护策略,扫描程序可以通过将 DLP 规则与存储在文件共享和 SharePoint Server 中的文件匹配来检测潜在的数据泄漏。

  • 在内容扫描作业中启用 DLP 规则 ,以减少与 DLP 策略匹配的任何文件的公开。 启用 DLP 规则后,扫描程序可能会减少仅对数据所有者的文件访问,或减少对网络范围组(如“所有人”、“经过身份验证的用户”“域用户”)的公开。

  • 在 Microsoft Purview 门户或Microsoft Purview 合规门户中,确定是只是测试 DLP 策略,还是要强制实施规则,并根据这些规则更改文件权限。 有关详细信息,请参阅 创建和部署数据丢失防护策略

DLP 策略是在 Microsoft Purview 合规门户中配置的。 有关 DLP 许可的详细信息,请参阅数据丢失 防护本地扫描程序入门

提示

扫描文件(即使只是测试 DLP 策略)也会创建文件权限报告。 查询这些报表以调查特定文件公开,或浏览特定用户对扫描文件公开情况。

若要仅使用 PowerShell,请参阅 将 DLP 策略与扫描程序配合使用 - 仅限 PowerShell

若要在 Microsoft Purview 门户或Microsoft Purview 合规门户将 DLP 策略与扫描程序配合使用,请执行以下操作

  1. 在 Microsoft Purview 门户或Microsoft Purview 合规门户中,导航到“内容扫描作业”选项卡,然后选择特定的内容扫描作业。 有关详细信息,请参阅 创建内容扫描作业

  2. “启用 DLP 策略规则”下,将单选按钮设置为“ 打开”。

    重要

    除非在 Microsoft 365 中配置了 DLP 策略,否则不要将 “启用 DLP 规则” 设置为“ 打开 ”。

    在没有 DLP 策略的情况下打开此功能将导致扫描程序生成错误。

  3. (可选) 将 “设置存储库所有者” 设置为 “开”,并将特定用户定义为存储库所有者。

    此选项使扫描程序能够减少在此存储库中找到的任何文件(与 DLP 策略匹配)向定义的存储库所有者公开。

DLP 策略和 执行专用 操作

如果使用 DLP 策略和 make private 操作,并且还计划使用扫描程序自动标记文件,建议同时定义统一标记客户端的 UseCopyAndPreserveNTFSOwner 高级设置。

此设置可确保原始所有者保留对其文件的访问权限。

有关详细信息,请参阅 创建内容扫描作业自动将敏感度标签应用于Microsoft 365 数据

更改要保护的文件类型

默认情况下,扫描程序仅保护 Office 文件类型和 PDF 文件。

使用 PowerShell 命令根据需要更改此行为,例如将扫描程序配置为像客户端一样保护所有文件类型,或者保护其他特定文件类型。

对于适用于扫描程序下载标签的用户帐户的标签策略,请指定名为 PFileSupportedExtensions 的 PowerShell 高级设置。

对于有权访问 Internet 的扫描程序,此用户帐户是使用 Set-Authentication 命令为 DelegatedUser 参数指定的帐户。

示例 1:扫描程序的 PowerShell 命令,用于保护所有文件类型,其中标签策略名为“扫描程序”:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

示例 2:扫描程序的 PowerShell 命令,用于保护除 Office 文件和 PDF 文件之外的 .xml 文件和.tiff文件,其中标签策略名为“扫描程序”:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

有关详细信息,请参阅 更改要保护的文件类型

升级扫描程序

如果之前已安装扫描程序并想要升级,请按照升级Microsoft Purview 信息保护扫描程序中所述的说明进行操作。

然后,像往常一样配置和使用扫描程序,跳过安装扫描程序的步骤。

批量编辑数据存储库设置

使用“ 导出 ”和“ 导入 ”按钮跨多个存储库对扫描程序进行更改。

这样,无需在 Microsoft Purview 门户或Microsoft Purview 合规门户中手动多次进行相同的更改。

例如,如果在多个 SharePoint 数据存储库上具有新的文件类型,则可能需要批量更新这些存储库的设置。

若要在 Microsoft Purview 门户Microsoft Purview 合规门户跨存储库批量进行更改,请执行以下操作:

  1. 在 Microsoft Purview 门户或Microsoft Purview 合规门户,选择特定的内容扫描作业,然后导航到窗格中的“存储库”选项卡。 选择“ 导出 ”选项。

  2. 手动编辑导出的文件以进行更改。

  3. 使用同一页上的 “导入 ”选项将更新导入存储库。

将扫描程序与备用配置配合使用

扫描程序通常会查找为标签指定的条件,以便根据需要对内容进行分类和保护。

在以下方案中,扫描程序还可以扫描内容和管理标签,而无需配置任何条件:

将默认标签应用于数据存储库中的所有文件

在此配置中,存储库中的所有未标记文件都标有为存储库或内容扫描作业指定的默认标签。 对文件进行标记,无需检查。

配置以下设置:

Setting 说明
基于内容标记文件 设置为 Off
默认标签 设置为 “自定义”,然后选择要使用的标签
强制实施默认标签 选择以将默认标签应用于所有文件,即使它们已通过打开 “重新标记文件” 和“ 强制启用默认标签 ”来标记它们

从数据存储库中的所有文件中删除现有标签

在此配置中,如果随标签一起应用了保护,则会删除所有现有标签,包括保护。 将保留独立于标签应用的保护。

配置以下设置:

Setting 说明
基于内容标记文件 设置为 Off
默认标签 设置为 “无”
重新标记文件 设置为 “开”,“ 强制默认标签 ”设置为“ 开”

确定所有自定义条件和已知的敏感信息类型

此配置使你能够查找你可能没有意识到的敏感信息,但代价是扫描程序的扫描速率。

“要发现的信息类型 ”设置为 “全部”。

为了标识标记的条件和信息类型,扫描程序使用指定的任何自定义敏感信息类型,以及标签管理中心中定义的可供选择的内置敏感信息类型列表。

优化扫描程序性能

注意

如果希望提高扫描程序计算机的响应能力,而不是扫描程序性能,请使用高级客户端设置来 限制扫描程序使用的线程数

使用以下选项和指南来帮助你优化扫描程序性能:

选项 说明
在扫描程序计算机和扫描的数据存储之间建立高速可靠的网络连接 例如,将扫描程序计算机放置在与扫描数据存储相同的 LAN 中,或者最好是位于同一网段中。

网络连接的质量会影响扫描程序的性能,因为为了检查文件,扫描程序会将文件的内容传输到运行扫描程序Microsoft Purview 信息保护扫描程序服务的计算机。

减少或消除传输数据所需的网络跃点也会减少网络上的负载。
确保扫描程序计算机具有可用的处理器资源 检查文件内容以及加密和解密文件是处理器密集型操作。

监视指定数据存储的典型扫描周期,以确定缺少处理器资源是否对扫描程序性能产生负面影响。
安装扫描程序的多个实例 为扫描程序指定自定义群集名称时,扫描程序支持同一 SQL Server 实例上的多个配置数据库。

提示:多个扫描程序还可以共享同一群集,从而缩短扫描时间。 如果计划在具有同一数据库实例的多台计算机上安装扫描程序,并且希望扫描程序并行运行,则必须使用相同的群集名称安装所有扫描程序。
检查备用配置使用情况 使用 备用配置 将默认标签应用于所有文件时,扫描程序的运行速度会更快,因为扫描程序不检查文件内容。

使用 备用配置 标识所有自定义条件和已知敏感信息类型时,扫描程序的运行速度会变慢。

影响性能的其他因素

影响扫描程序性能的其他因素包括:

因素 说明
加载/响应时间 包含要扫描的文件的数据存储的当前加载和响应时间也会影响扫描程序性能。
扫描程序模式 (发现/强制) 发现模式的扫描速率通常高于强制模式。

发现需要单个文件读取操作,而强制模式需要读取和写入操作。
策略更改 如果已更改标签策略中的自动标记,扫描程序的性能可能会受到影响。

当扫描程序必须检查每个文件时,第一个扫描周期将比后续扫描周期更长,默认情况下,仅检查新文件和更改的文件。

如果更改条件或自动标记设置,将再次扫描所有文件。 有关详细信息,请参阅 重新扫描文件
正则表达式构造 扫描程序性能受自定义条件的正则表达式的构造方式的影响。

若要避免大量内存消耗和每个文件) 15 分钟 (超时的风险,请查看正则表达式,以便进行有效的模式匹配。

例如:
- 避免 贪婪限定符
- 使用非捕获组,例如 (?:expression) ,而不是 (expression)
日志级别 扫描程序报告的日志级别选项包括“调试”、“信息”、“错误”和“关闭”。

- 关闭 可产生最佳性能
- 调试 会大大减慢扫描程序的速度,只应用于故障排除。

有关详细信息,请参阅 Set-ScannerConfiguration cmdlet 的 ReportLevel 参数。
正在扫描的文件 - 除 Excel 文件外,Office 文件的扫描速度比 PDF 文件更快。

- 与受保护的文件相比,不受保护的文件扫描速度更快。

- 大文件扫描时间显然比小文件长。

使用 PowerShell 配置扫描程序

本部分介绍当你无权访问 Microsoft Purview 门户或Microsoft Purview 合规门户中的扫描程序页面并且只能使用 PowerShell 时配置和安装扫描程序所需的步骤。

重要

  • 某些步骤需要 Powershell,无论你是否能够访问合规性门户中的扫描程序页,并且都是相同的。 有关这些步骤,请参阅本文中前面的说明(如所示)。

  • 如果使用适用于 Azure 中国世纪互联的扫描程序,除了此处详述的说明外,还需要执行其他步骤。 有关详细信息,请参阅世纪互联运营的Office 365 Microsoft Purview 信息保护

有关详细信息,请参阅 支持的 PowerShell cmdlet

若要配置和安装扫描程序,请

  1. 在关闭 PowerShell 的情况下开始。 如果之前已安装信息保护客户端和扫描程序,请确保已停止Microsoft Purview 信息保护扫描程序服务。

  2. 使用“以管理员身份运行”选项打开 Windows PowerShell 会话。

  3. 运行 Install-Scanner 命令,使用 Cluster 参数在 SQL Server 实例上安装扫描程序,以定义群集名称。

    无论是否能够访问合规性门户中的扫描程序页,此步骤都是相同的。 有关详细信息,请参阅本文中的早期说明: 安装扫描程序

  4. 获取用于扫描程序的 Azure 令牌,然后重新进行身份验证。

    无论是否能够访问合规性门户中的扫描程序页,此步骤都是相同的。 有关详细信息,请参阅本文前面的说明:获取扫描程序的Microsoft Entra令牌

  5. 运行 Set-ScannerConfiguration cmdlet,将扫描程序设置为在脱机模式下运行。 运行:

    Set-ScannerConfiguration -OnlineConfiguration Off
    
  6. 运行 Set-ScannerContentScan cmdlet 以创建默认内容扫描作业。

    Set-ScannerContentScan cmdlet 中唯一必需的参数是 Enforce。 但是,此时你可能希望为内容扫描作业定义其他设置。 例如:

    Set-ScannerContentScan -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    在你继续配置时,上述语法会配置以下设置:

    • 将扫描程序运行计划保持为“手动
    • 根据敏感度标签策略设置要发现的信息类型
    • 强制实施敏感度标签策略
    • 使用为敏感度标签策略定义的默认标签,根据内容自动标记文件
    • 允许重新标记文件
    • 在扫描和自动标记时保留文件详细信息,包括修改日期上次修改时间修改者
    • 将扫描程序设置为在运行时排除 .msg 和 .tmp 文件
    • 将默认所有者设置为在运行扫描程序时要使用的帐户
  7. 使用 Add-ScannerRepository cmdlet 定义要在内容扫描作业中扫描的存储库。 例如,运行:

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    根据所添加的存储库类型使用以下语法之一:

    • 对于网络共享,请使用 \\Server\Folder
    • 对于 SharePoint 库,请使用 http://sharepoint.contoso.com/Shared%20Documents/Folder
    • 对于本地路径:C:\Folder
    • 对于 UNC 路径:\\Server\Folder

    注意

    不支持通配符,也不支持 WebDav 位置。

    若要稍后修改存储库,请改用 Set-ScannerRepository cmdlet。

    如果为 共享文档添加 SharePoint 路径:

    • 如果要从 共享文档 扫描所有文档和所有文件夹,请在路径中指定共享文档。 例如:http://sp2013/SharedDocuments
    • 如果要从 “共享文档” 下的子文件夹中扫描所有文档和所有文件夹,请在路径中指定“文档”。 例如:http://sp2013/Documents/SalesReports
    • 或者,仅指定 SharePoint 的 FQDN ,例如 http://sp2013发现和扫描特定 URL 下的所有 SharePoint 网站和子网站 ,以及此 URL 下的副标题。 授予扫描程序 Site Collector Auditor 权限以启用此功能。

    添加 SharePoint 路径时使用以下语法:

    Path 语法
    根路径 http://<SharePoint server name>

    扫描所有网站,包括扫描程序用户允许的任何网站集。
    特定 SharePoint 子网站或集合 以下各项之一:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>
    特定 SharePoint 库 以下各项之一:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    特定 SharePoint 文件夹 http://<SharePoint server name>/.../<folder name>

根据需要继续执行以下步骤:

使用 PowerShell 配置扫描程序以应用分类和保护

  1. 运行 Set-ScannerContentScan cmdlet 以更新内容扫描作业,将计划设置为始终并强制实施敏感度策略。

    Set-ScannerContentScan -Schedule Always -Enforce On
    

    提示

    你可能想要更改此窗格上的其他设置,例如是否更改文件属性以及扫描程序是否可以重新标记文件。 有关可用设置的详细信息,请参阅完整的 Set-ScannerContentScan 文档

  2. 运行 Start-Scan cmdlet 以运行内容扫描作业:

    Start-Scan
    

扫描程序现在计划为连续运行。 当扫描程序在所有已配置的文件中工作时,它会自动启动一个新周期,以便发现任何新的和更改的文件。

使用 PowerShell 为扫描程序配置 DLP 策略

再次运行 Set-ScannerContentScan cmdlet,并将 -EnableDLP 参数设置为 On,并定义了特定的存储库所有者。

例如:

Set-ScannerContentScan -EnableDLP On -RepositoryOwner 'domain\user'

支持的 PowerShell cmdlet

本部分列出了信息保护扫描程序支持的 PowerShell cmdlet,以及有关仅使用 PowerShell 配置和安装扫描程序的说明。

扫描程序支持的 cmdlet 包括:

后续步骤

安装并配置扫描程序后,开始 扫描文件