分享方式:


設定並安裝資訊保護掃描器

注意事項

有新版本的信息保護掃描器。 如需詳細資訊,請參閱升級 Microsoft Purview 資訊保護 掃描器

本文說明如何設定及安裝 Microsoft Purview 資訊保護 掃描器,先前名為 Azure 資訊保護 統一卷標掃描器或內部部署掃描器。

提示

雖然大部分的客戶都會在系統管理入口網站中執行這些程式,但您可能只需要在 PowerShell 中工作。

例如,如果您是在無法存取系統管理入口網站的環境中工作,例如 Azure China 21Vianet,請遵循 使用 PowerShell 設定掃描器中的指示。

概觀

開始之前,請確認您的系統符合 必要的必要條件

然後,使用下列步驟來設定和安裝掃描器:

  1. 設定掃描器設定

  2. 安裝掃描器

  3. 取得掃描器的 Microsoft Entra 令牌

  4. 設定掃描器以套用分類和保護

接下來,視需要為您的系統執行下列設定程式:

程序 描述
變更要保護的文件類型 您可能想要掃描、分類或保護與預設不同的檔案類型。 如需詳細資訊, 請參閱掃描程式
升級掃描器 升級您的掃描器,以使用最新的功能和改進功能。
大量編輯數據存放庫設定 使用匯入和導出選項,針對多個數據存放庫進行大量變更。
使用掃描器搭配替代設定 使用掃描器而不設定具有任何條件的標籤
最佳化效能 優化掃描器效能的指引

如果您無法存取 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中的掃描器頁面,請只在 PowerShell 中設定任何掃描器設定。 如需詳細資訊,請 參閱使用PowerShell設定掃描器 和支援的 PowerShell Cmdlet

設定掃描器設定

安裝掃描器或從較舊的公開上市版本升級掃描器之前,請先設定或驗證掃描器設定。 針對此設定,您可以使用 Microsoft Purview 入口網站Microsoft Purview 合規性入口網站

若要在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中設定掃描器:

  1. 使用下列其中一個角色登入:
  • 合規性系統管理員
  • 合規性資料系統管理員
  • 安全性系統管理員
  • 組織管理
  1. 根據您使用的入口網站,流覽至下列其中一個位置:

  2. 建立掃描儀叢集。 此叢集會定義您的掃描器,並用來識別掃描器實例,例如在安裝、升級和其他程序期間。

  3. 建立內容掃描作業 ,以定義您想要掃描的存放庫。

建立掃描儀叢集

若要在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中建立掃描器叢集:

  1. 從 [ 資訊保護掃描器 ] 頁面上的索引標籤,選取 [叢 集]

  2. 在 [叢 集] 索引標籤上 ,選取 [新增] 圖示

  3. 在 [ 新增叢集 ] 窗格中,為掃描器輸入有意義的名稱,以及選擇性的描述。

    叢集名稱可用來識別掃描器的設定和存放庫。 例如,您可以輸入 歐洲 來識別您想要掃描之數據存放庫的地理位置。

    稍後您將使用此名稱來識別您要安裝或升級掃描器的位置。

  4. 選取 [儲存] 以儲存變更。

建立內容掃描作業

深入探討您的內容,以掃描敏感性內容的特定存放庫。

若要在 Microsoft Purview 合規性入口網站 的 Microsoft Purview 入口網站上建立內容掃描作業:

  1. 從 [ 資訊保護掃描器 ] 頁面上的索引標籤,選取 [ 內容掃描作業]

  2. 在 [內容掃描作業] 窗格上,選取 [新增] 圖示

  3. 針對此初始組態,請設定下列設定,然後選取 [ 儲存]

    設定 描述
    內容掃描作業設定 - 排程:保留手動的預設值
    - 要探索的信息類型:僅變更為 原則
    DLP 原則 如果您使用數據外洩防護原則,請將 [ 啟用 DLP 規則] 設定為 [ 開啟]。 如需詳細資訊,請 參閱使用 DLP 原則
    敏感度原則 - 強制執行敏感度標籤原則:選 取 [關閉]
    - 根據內容為檔案加上標籤:保留預設值 [ 開啟]
    - 默認標籤:保留原則 預設值的預設值
    - 重新標記檔案:保留預設值 [關閉]
    設定檔案設定 - 保留 [修改日期]、[上次修改日期] 和 [修改者]:保留預設值 [ 開啟]
    - 要掃描的檔類型:保留 [排除] 的預設文件類型
    - 默認擁有者:保留掃描器帳戶的預設值
    - 設定存放庫擁有者:只有在 使用 DLP 原則時才使用此選項。
  4. 開啟已儲存的內容掃描作業,然後選取 [ 存放庫] 索引卷標以指定要掃描的數據存放區。

    指定 SharePoint 內部部署文件庫和資料夾的 UNC 路徑和 SharePoint Server URL。

    注意事項

    sharePoint 支援 SharePoint Server 2019、SharePoint Server 2016 和 SharePoint Server 2013。 當您有 此版本 SharePoint 的外延支援時,也支援 SharePoint Server 2010。

    若要在 [ 存放庫 ] 索引標籤上新增您的第一個資料存放區:

    1. 在 [ 存放庫] 窗格中,選取 [ 新增]

    2. 在 [ 存放庫] 窗格中,指定數據存放庫的路徑,然後選取 [ 儲存]

      • 若為網路分享,請使用 \\Server\Folder
      • 針對 SharePoint 文件庫,請使用 http://sharepoint.contoso.com/Shared%20Documents/Folder
      • 針對本機路徑: C:\Folder
      • 針對 UNC 路徑: \\Server\Folder

    注意事項

    不支援通配符,也不支援 WebDav 位置。 不支援將 OneDrive 位置掃描為存放庫。

    如果您新增 共享文件的 SharePoint 路徑:

    • 當您要掃描 [ 共享檔案 ] 中的所有檔案和所有資料夾時,請在路徑中指定 [共享檔]。 例如:http://sp2013/SharedDocuments
    • 當您要掃描 [共享 ] 下子資料夾中的所有檔案和所有資料夾時,請指定路徑中的 [檔案]。 例如:http://sp2013/Documents/SalesReports
    • 或者,僅指定 SharePoint 的 FQDN ,例如 http://sp2013 在此 URL 下探索及掃描特定 URL 和子標題下的所有 SharePoint 網站和子網站 。 授與掃描儀 網站收集器稽核員 許可權以啟用此功能。

    對於此窗格上的其餘設定,請勿針對此初始組態加以變更,但將其保留為 [內容掃描作業預設值]。 默認設定表示數據存放庫會從內容掃描作業繼承設定。

    新增 SharePoint 路徑時,請使用下列語法:

    路徑 語法
    根路徑 http://<SharePoint server name>

    掃描所有網站,包括掃描器用戶允許的任何網站集合。
    需要 額外的許可權 才能自動探索根內容
    特定 SharePoint 子網站或集合 下列其中之一:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    需要 額外的許可權 才能自動探索網站集合內容
    特定 SharePoint 文件庫 下列其中之一:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    特定 SharePoint 資料夾 http://<SharePoint server name>/.../<folder name>
  5. 重複上述步驟,視需要新增多個存放庫。

您現在已準備好使用您已建立的內容掃描器作業來安裝掃描器。 繼續 安裝掃描器

安裝掃描器

設定 掃描器之後,請執行下列步驟來安裝掃描器。 此程式會在PowerShell中完整執行。

  1. 登入將執行掃描器的 Windows Server 電腦。 使用具有本機系統管理員許可權且有權寫入 SQL Server master 資料庫的帳戶。

    重要事項

    您必須先在計算機上安裝資訊保護用戶端,才能安裝掃描器。

    如需詳細資訊,請參閱 安裝和部署資訊保護掃描器的必要條件

  2. 使用 [以系統管理員身分執行] 選項開啟 Windows PowerShell 會話。

  3. 執行 Install-Scanner Cmdlet,指定要在其中為資訊保護掃描器建立資料庫的 SQL Server 實例,以及您在上一節中指定的掃描器叢集名稱:

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
    

    使用 歐洲掃描器叢集名稱的範例:

    • 針對預設實例: Install-Scanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • 針對具名實例: Install-Scanner -SqlServerInstance SQLSERVER1\SCANNER -Cluster Europe

    • 針對 SQL Server Express:Install-Scanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    當系統提示您時,請提供掃描器服務帳戶的 Active Directory 認證。

    使用下列語法: \<domain\user name>。 例如:contoso\scanneraccount

  4. 確認現在已使用系統管理工具>服務來安裝服務

    已安裝的服務名為 Microsoft Purview 資訊保護 掃描器],並設定為使用您建立的掃描器服務帳戶來執行。

現在您已安裝掃描器,您必須取得掃描器服務帳戶要驗證的 Microsoft Entra 令牌,才能自動執行掃描器。

取得掃描器的 Microsoft Entra 令牌

Microsoft Entra 令牌可讓掃描器向 Microsoft Purview 資訊保護 掃描器服務進行驗證,讓掃描器能夠自動執行。

如需詳細資訊,請參閱自動執行 資訊保護標籤 Cmdlet

若要取得 Microsoft Entra 令牌

  1. 流覽至 Azure 入口網站,然後繼續前往 [Microsoft Entra ID] 刀鋒視窗。

  2. 在 [Microsoft Entra ID 端] 窗格中,按兩下 [應用程式註冊]

  3. 在頂端,繼續按兩下 [ + 新增註冊]

  4. 在 [名稱] 區段中,輸入 InformationProtectionScanner

  5. [支持的帳戶類型 ] 保留為預設值。

  6. 針對 [重新導向 URI],將類型保留為 [Web],但在輸入部分輸入 http://localhost ,然後按兩下 [ 註冊]

  7. 在此應用程式的 [概觀] 頁面上,在您選擇的文本編輯器中記下下列標識碼:應用程式 (用戶端) 標識 符和 目錄 (租使用者) 標識符。 您稍後在設定 Set-AIPAuthentication 命令時將需要此專案。

  8. 在側邊窗格中,流覽至 [ 憑證和秘密]

  9. 按兩下 [ + 新增客戶端密碼]

  10. 在顯示的對話框中,輸入秘密的描述,並將它設定為 [ 1 年後 過期],然後 [新增秘密]。

  11. 您現在應該會在 [用戶端秘密] 區段下看到有一個具有 秘密值的專案。 請繼續複製此值,並將它儲存在您儲存用戶端標識碼和租使用者標識碼的檔案中。 這是您唯一能夠看到秘密值的時間,如果您目前未複製秘密值,將無法復原。

  12. 在側邊窗格中,流覽至 [API 許可權]

  13. 繼續並選取 [新增許可權]

  14. 當畫面顯示時,選取 [Azure Rights Management Service]。 然後選取 [ 應用程式許可權]

  15. 單擊 [ 內容] 的下拉式清單,然後為 Content.DelegatedReaderContent.DelegatedWriter 放置複選標記。 然後在畫面底部,按兩下 [ 新增許可權]

  16. 流覽回 [API 許可權] 區段並新增另一個許可權。

  17. 這次,在 [選取 API] 區段中,按兩下 我的組織使用的 API。 在搜尋列中,輸入 Microsoft 資訊保護 Sync Service 並加以選取。

  18. 取 [應用程式許可權] ,然後在 [ 整合原則 ] 下拉式清單中,勾選 [UnifiedPolicy.Tenant.Read] 許可權。 然後在畫面底部,按兩下 [ 新增許可權]

  19. 回到 [API 許可權] 畫面,按兩下 [授與 管理員 同意],並尋找作業是否成功 (綠色複選標記) 。

  20. 從 Windows Server 計算機,如果您的掃描器服務帳戶已獲得安裝的本機 入許可權,請使用此帳戶登入並啟動 PowerShell 工作階段。

    執行 Set-Authentication,指定您從上一個步驟複製的值:

    Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    例如:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

提示

如果您的掃描儀服務帳戶無法授與安裝的本機登 入許可權 ,請使用 OnBehalfOf 參數搭配 Set-Authentication,如自動執行 資訊保護卷標 Cmdlet 中所述。

掃描器現在有令牌可向 Microsoft Entra ID 驗證。 根據您在 Microsoft Entra ID 中設定的 Web 應用程式 /API 客戶端密碼,此令牌的有效期為一年、兩年或永不有效。 令牌到期時,您必須重複此程式。

根據您是使用合規性入口網站來設定掃描器,還是僅限 PowerShell,繼續使用下列其中一個步驟:

您現在已準備好在探索模式中執行第一次掃描。 如需詳細資訊,請 參閱執行探索週期和檢視掃描器的報告

執行初始探索掃描之後,請繼續設定 掃描器以套用分類和保護

如需詳細資訊,請參閱自動執行 資訊保護標籤 Cmdlet

設定掃描器以套用分類和保護

默認設定會將掃描器設定為執行一次,並以僅報告模式執行一次。 若要變更這些設定,請編輯內容掃描作業。

提示

如果您只在PowerShell中工作,請參閱設定 掃描器以套用分類和保護 - 僅限 PowerShell

若要在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中設定掃描器以套用分類和保護

  1. 在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 的 [內容掃描作業] 索引卷標上,選取特定的內容掃描作業加以編輯。

  2. 選取內容掃描作業,變更下列專案,然後選取 [ 儲存]

    • 從 [ 內容掃描作業] 區段:將 [排程 ] 變更為 [ 永遠]
    • 從 [ 強制執行敏感度卷標原則 ] 區段:將單選按鈕變更為 [開啟]
  3. 確定內容掃描作業的節點已上線,然後選取 [ 立即掃描] 再次啟動內容掃描作業。 [ 立即掃描 ] 按鈕只會在所選內容掃描作業的節點上線時顯示。

掃描器現在已排定持續執行。 當掃描器在所有已設定的檔案中運作時,會自動啟動新的迴圈,以便探索任何新的和變更的檔案。

使用 DLP 原則

使用數據外洩防護原則可讓掃描器藉由比對 DLP 規則與檔案共用和 SharePoint Server 中儲存的檔案,來偵測潛在的數據外洩。

  • 在內容掃描作業中啟用 DLP 規則 ,以減少任何符合 DLP 原則之檔案的曝光率。 當您的 DLP 規則啟用時,掃描器可能會減少僅對數據擁有者進行檔案存取,或減少暴露於全網路群組的風險,例如 [所有人]、[ 已驗證的使用者] 或 [ 網域使用者]

  • 在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中,判斷您只是要測試 DLP 原則,還是要強制執行您的規則,並根據這些規則變更您的檔案許可權。 如需詳細資訊,請 參閱建立和部署數據外泄防護原則

DLP 原則是在 Microsoft Purview 合規性入口網站中設定。 如需 DLP 授權的詳細資訊, 請參閱開始使用數據外洩防護內部部署掃描器

提示

即使只測試 DLP 原則,掃描您的檔案也會建立檔案許可權報告。 查詢這些報告以調查特定檔案曝光,或探索特定使用者暴露於掃描檔案的程度。

若只要使用PowerShell,請 參閱搭配掃描器使用 DLP 原則 - 僅限 PowerShell

若要在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中搭配掃描器使用 DLP 原則

  1. 在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中,流覽至 [內容掃描作業] 索引標籤,然後選取特定的內容掃描作業。 如需詳細資訊,請 參閱建立內容掃描作業

  2. [啟用 DLP 原則規則] 下,將單選按鈕設定為 [開啟]

    重要事項

    請勿將 [啟用 DLP 規則] 設定為 [ 開啟 ],除非您實際上已在 Microsoft 365 中設定 DLP 原則。

    在沒有 DLP 原則的情況下開啟此功能會導致掃描器產生錯誤。

  3. (選擇性) 將 存放庫擁有者設定[開啟],並將特定使用者定義為存放庫擁有者。

    此選項可讓掃描器減少在此存放庫中找到且符合 DLP 原則的任何檔案暴露於已定義的存放庫擁有者。

DLP 原則並 進行私人 動作

如果您使用 DLP 原則搭配 進行私人 動作,而且也打算使用掃描器自動為您的檔案加上標籤,建議您也定義統一卷標用戶端的 UseCopyAndPreserveNTFSOwner 進階設定。

此設定可確保原始擁有者保留其檔案的存取權。

如需詳細資訊,請 參閱建立內容掃描作業自動將敏感度標籤套用至Microsoft 365 數據

變更要保護的文件類型

根據預設,掃描器只會保護 Office 檔案類型和 PDF 檔案。

使用 PowerShell 命令視需要變更此行為,例如設定掃描器來保護所有文件類型,就像客戶端一樣,或保護其他特定的檔類型。

針對適用於使用者帳戶下載掃描器卷標的卷標原則,請指定名為 PFileSupportedExtensions 的 PowerShell 進階設定。

對於可存取因特網的掃描器,此用戶帳戶是您使用 Set-Authentication 命令為 DelegatedUser 參數指定的帳戶。

範例 1:掃描器的 PowerShell 命令,可保護卷標原則命名為 “Scanner” 的所有文件類型:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

範例 2:掃描器的 PowerShell 命令,除了 Office 檔案和 PDF 檔案之外,還可保護 .xml 檔案和.tiff檔案,其中卷標原則命名為 “Scanner”:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

如需詳細資訊,請 參閱變更要保護的文件類型

升級掃描器

如果您先前已安裝掃描器並想要升級,請使用升級 Microsoft Purview 資訊保護 掃描器中所述的指示。

然後, 往常一樣設定並 使用掃描器 ,略過安裝掃描器的步驟。

大量編輯數據存放庫設定

使用 [ 出] 和 [ 匯入] 按鈕,在數個存放庫中變更掃描器。

如此一來,您就不需要在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中手動進行相同的變更數次。

例如,如果您在數個 SharePoint 資料存放庫上有新的文件類型,您可能會想要大量更新這些存放庫的設定。

若要在 Microsoft Purview 入口網站中的存放庫進行大量變更,請 Microsoft Purview 合規性入口網站:

  1. 在 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中,選取特定的內容掃描作業,然後流覽至窗格內的 [存放庫] 索引卷標。 選取 [ 匯出 ] 選項。

  2. 手動編輯導出的檔案以進行變更。

  3. 使用相同頁面上的 [ 入] 選項,將更新匯回您的存放庫。

使用掃描器搭配替代設定

掃描器通常會尋找為標籤指定的條件,以便視需要分類及保護您的內容。

在下列案例中,掃描器也能夠掃描您的內容和管理標籤,而不需要設定任何條件:

將預設標籤套用至數據存放庫中的所有檔案

在此組態中,存放庫中所有未標記的檔案都會標示為為存放庫或內容掃描作業指定的默認標籤。 檔案會在不進行檢查的情況下加上標籤。

進行下列設定:

設定 描述
根據內容為檔案加上標籤 設定為 [關閉]
預設標籤 設定為 [自定義],然後選取要使用的標籤
強制執行預設標籤 選取即可將默認標籤套用至所有檔案,即使它們已透過開啟 [重新 標籤檔案] 和 [ 強制執行預設標籤 ] 來標示

從數據存放庫中的所有檔案移除現有的標籤

在此設定中,如果標籤已套用保護,則會移除所有現有的標籤,包括保護。 系統會保留獨立於標籤套用的保護。

進行下列設定:

設定 描述
根據內容為檔案加上標籤 設定為 [關閉]
預設標籤 設定為 [無]
重新標記檔案 設定為 [開啟], 並將 [強制執行] 預設標籤 設定為 [ 開啟]

識別所有自定義條件和已知敏感性信息類型

此設定可讓您尋找可能不知道您擁有的敏感性資訊,但代價是掃描器的掃描速率。

要探索的信息類型 設定為 [全部]

為了識別標籤標的條件和資訊類型,掃描器會使用指定的任何自定義敏感性資訊類型,以及可供選取的內建敏感性資訊類型清單,如標籤管理中心中所定義。

優化掃描器效能

注意事項

如果您想要改善掃描器電腦的回應性,而不是掃描器效能,請使用進階客戶端設定來 限制掃描器所使用的線程數目

使用下列選項和指引,協助您將掃描器效能優化:

選項 描述
在掃描儀計算機與掃描的數據存放區之間有高速且可靠的網路連線 例如,將掃描儀計算機放在與掃描的數據存放區相同的 LAN 中,或最好放在相同的網路區段中。

網路連線的品質會影響掃描器效能,因為掃描儀會將檔案的內容傳送到執行掃描器 Microsoft Purview 資訊保護 掃描器服務的計算機。

減少或消除數據移動所需的網路躍點,也會減少網路上的負載。
確定掃描器電腦有可用的處理器資源 檢查檔案內容以及加密和解密檔案是處理器密集的動作。

監視指定數據存放區的一般掃描週期,以識別缺少處理器資源是否會對掃描儀效能造成負面影響。
安裝掃描器的多個實例 當您指定掃描器的自定義叢集名稱時,掃描器會在同一個SQL Server 實例上支援多個設定資料庫。

提示:多個掃描器也可以共用相同的叢集,進而加快掃描時間。 如果您打算在具有相同資料庫實例的多部計算機上安裝掃描器,並想要讓掃描器平行執行,您必須使用相同的叢集名稱來安裝所有掃描器。
檢查您的替代組態使用方式 當您使用 替代 組態將默認標籤套用至所有檔案時,掃描器會執行得更快,因為掃描器不會檢查檔案內容。

當您使用 替代 組態來識別所有自定義條件和已知敏感性資訊類型時,掃描器的執行速度會比較慢。

影響效能的其他因素

影響掃描器效能的其他因素包括:

因素 描述
載入/回應時間 包含要掃描之檔案之資料存放區的目前載入和響應時間也會影響掃描器效能。
掃描器模式 (探索/強制執行) 探索模式的掃描速率通常高於強制模式。

探索需要單一檔案讀取動作,而強制模式則需要讀取和寫入動作。
原則變更 如果您已變更標籤原則中的自動標籤,掃描器效能可能會受到影響。

當掃描器必須檢查每個檔案時,您的第一個掃描週期將需要比後續掃描週期更長的時間,預設只會檢查新的和變更的檔案。

如果您變更條件或自動標記設定,則會再次掃描所有檔案。 如需詳細資訊,請 參閱重新掃描檔案
Regex 建構 掃描儀效能會受到自定義條件的 regex 運算式建構方式所影響。

若要避免耗用大量記憶體,以及每個檔案) 逾時 (15 分鐘的風險,請檢閱您的 regex 表達式,以取得有效率的模式比對。

例如:
- 避免 窮盡數量值
- 使用非擷取群組,例如 (?:expression) ,而不是 (expression)
記錄層級 記錄層級選項包括掃描器報告的 [ 錯]、[ 資訊]、[ 錯誤 ] 和 [ 關閉 ]。

- 關閉 會產生最佳效能
- 偵錯 會大幅降低掃描器的速度,而且應該只用於疑難解答。

如需詳細資訊,請參閱 Set-ScannerConfiguration Cmdlet 的 ReportLevel 參數。
正在掃描的檔案 - 除了 Excel 檔案之外,Office 檔案的掃描速度會比 PDF 檔案快。

- 未受保護的檔案比受保護的檔案更快速地進行掃描。

- 大型檔案的掃描時間明顯比小型檔案長。

使用PowerShell設定掃描器

本節說明當您無法存取 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中的掃描器頁面,且必須只使用 PowerShell 時,設定和安裝掃描器所需的步驟。

重要事項

  • 有些步驟需要 Powershell,無論您是否能夠存取合規性入口網站中的掃描器頁面,而且是否相同。 如需這些步驟,請參閱本文先前的指示,如所示。

  • 如果您使用適用於 Azure China 21Vianet 的掃描器,除了此處詳述的指示之外,還需要執行其他步驟。 如需詳細資訊,請參閱 21Vianet 營運 Office 365 Microsoft Purview 資訊保護。

如需詳細資訊,請參閱 支援的 PowerShell Cmdlet

若要設定並安裝掃描器

  1. 從關閉PowerShell開始。 如果您先前已安裝資訊保護用戶端和掃描器,請確定 Microsoft Purview 資訊保護 掃描器服務已停止。

  2. 使用 [以系統管理員身分執行] 選項開啟 Windows PowerShell 會話。

  3. 執行 Install-Scanner 命令,以在 SQL Server 實例上安裝掃描器,並使用 Cluster 參數來定義您的叢集名稱。

    無論您是否能夠存取合規性入口網站中的掃描儀頁面,此步驟都相同。 如需詳細資訊,請參閱本文先前的指示: 安裝掃描器

  4. 取得要與掃描器搭配使用的 Azure 令牌,然後重新驗證。

    無論您是否能夠存取合規性入口網站中的掃描儀頁面,此步驟都相同。 如需詳細資訊,請參閱本文先前的指示:取得掃描器的 Microsoft Entra 令牌

  5. 執行 Set-ScannerConfiguration Cmdlet,將掃描器設定為在離線模式下運作。 跑:

    Set-ScannerConfiguration -OnlineConfiguration Off
    
  6. 執行 Set-ScannerContentScan Cmdlet 來建立預設內容掃描作業。

    Set-ScannerContentScan Cmdlet 中唯一必要的參數是 Enforce。 不過,您可能想要在此時定義內容掃描作業的其他設定。 例如:

    Set-ScannerContentScan -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    上述語法會在您繼續設定時設定下列設定:

    • 將掃描器執行排程保留為 手動
    • 根據敏感度標籤原則設定要探索的資訊類型
    • 強制執行敏感度標籤原則
    • 使用針對敏感度標籤原則定義的預設標籤,根據內容自動標記檔案
    • 不允許重新標記檔案
    • 在掃描和自動套用標籤時保留檔案詳細數據,包括 修改日期上次修改日期和值 修改 日期
    • 設定掃描器以在執行時排除.msg和.tmp檔案
    • 將預設擁有者設定為執行掃描器時要使用的帳戶
  7. 使用 Add-ScannerRepository Cmdlet 來定義您想要在內容掃描作業中掃描的存放庫。 例如,執行:

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    依您要新增的存放庫類型,使用下列其中一種語法:

    • 若為網路分享,請使用 \\Server\Folder
    • 針對 SharePoint 文件庫,請使用 http://sharepoint.contoso.com/Shared%20Documents/Folder
    • 針對本機路徑: C:\Folder
    • 針對 UNC 路徑: \\Server\Folder

    注意事項

    不支援通配符,也不支援 WebDav 位置。

    若要稍後修改存放庫,請改用 Set-ScannerRepository Cmdlet。

    如果您新增 共享文件的 SharePoint 路徑:

    • 當您要掃描 [ 共享檔案 ] 中的所有檔案和所有資料夾時,請在路徑中指定 [共享檔]。 例如:http://sp2013/SharedDocuments
    • 當您要掃描 [共享 ] 下子資料夾中的所有檔案和所有資料夾時,請指定路徑中的 [檔案]。 例如:http://sp2013/Documents/SalesReports
    • 或者,僅指定 SharePoint 的 FQDN ,例如 http://sp2013 在此 URL 下探索及掃描特定 URL 和子標題下的所有 SharePoint 網站和子網站 。 授與掃描儀 網站收集器稽核員 許可權以啟用此功能。

    新增 SharePoint 路徑時,請使用下列語法:

    路徑 語法
    根路徑 http://<SharePoint server name>

    掃描所有網站,包括掃描器用戶允許的任何網站集合。
    特定 SharePoint 子網站或集合 下列其中之一:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>
    特定 SharePoint 文件庫 下列其中之一:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    特定 SharePoint 資料夾 http://<SharePoint server name>/.../<folder name>

視需要繼續進行下列步驟:

使用 PowerShell 設定掃描器以套用分類和保護

  1. 執行 Set-ScannerContentScan Cmdlet 來更新您的內容掃描作業,以一律將排程設定為 ,並強制執行敏感度原則。

    Set-ScannerContentScan -Schedule Always -Enforce On
    

    提示

    您可能想要變更此窗格上的其他設定,例如是否變更檔屬性,以及掃描器是否可以重新標記檔案。 如需可用設定的詳細資訊,請參閱完整的 Set-ScannerContentScan 檔

  2. 執行 Start-Scan Cmdlet 來執行您的內容掃描作業:

    Start-Scan
    

掃描器現在已排定持續執行。 當掃描器在所有已設定的檔案中運作時,會自動啟動新的迴圈,以便探索任何新的和變更的檔案。

使用 PowerShell 搭配掃描器設定 DLP 原則

再次執行 Set-ScannerContentScan Cmdlet, 並將 -EnableDLP 參數設定為 On,並定義特定存放庫擁有者。

例如:

Set-ScannerContentScan -EnableDLP On -RepositoryOwner 'domain\user'

支援的 PowerShell Cmdlet

本節列出資訊保護掃描器支援的 PowerShell Cmdlet,以及僅使用 PowerShell 設定和安裝掃描器的指示。

掃描器支援的 Cmdlet 包括:

後續步驟

安裝並設定掃描器之後,請開始 掃描您的檔案