開始使用資訊保護掃描器
注意事項
有新版本的信息保護掃描器。 如需詳細資訊,請參閱升級 Microsoft Purview 資訊保護 掃描器。
從 Microsoft Purview 資訊保護 安裝掃描器之前,請確定您的系統符合基本的 Azure 資訊保護 需求。
此外,掃描器有下列特定需求:
如果您無法滿足掃描器所列的所有需求,因為您的組織原則禁止這些需求,請參閱 替代組態一 節。
在生產環境中部署掃描器或測試多個掃描器的效能時,請參閱 SQL Server的記憶體需求和容量規劃。
當您準備好開始安裝和部署掃描器時,請繼續設定 和安裝資訊保護掃描器。
Windows Server 需求
您必須有 Windows Server 電腦才能執行掃描器,具有下列系統規格:
| 規範 | 詳細資料 |
|---|---|
| 處理器 | 4 個核心處理器 |
| RAM | 8 GB |
| 磁碟空間 | 暫存盤的平均) (10 GB 可用空間。
掃描器需要足夠的磁碟空間,才能為掃描的每個檔案建立暫存盤,每個核心四個檔案。 建議的磁碟空間為 10 GB,可讓 4 個核心處理器掃描 16 個檔案,每個檔案的檔案大小為 625 MB。 |
| 作業系統 | 64 位版本的: - Windows Server 2022 - Windows Server 2019 - Windows Server 2016 - Windows Server 2012 R2 注意:針對非生產環境中的測試或評估用途,您也可以使用資訊保護用戶端支援的任何 Windows 操作系統。 不支援 Server Core 和 Nano Server。 |
| - 網路連線能力 | 您的掃描儀計算機可以是實體或虛擬計算機,可快速且可靠的網路連線到要掃描的數據存放區。
如果因組織原則而無法連線到因特網,請參閱 使用替代設定部署掃描器。 否則,請確定此計算機具有因特網連線能力,可透過 HTTPS (埠 443) 允許下列 URL: - *.aadrm.com - *.azurerms.com - *.informationprotection.azure.com - informationprotection.hosting.portal.azure.net - *.aria.microsoft.com - *.protection.outlook.com |
| NFS 共用 | 若要支援 NFS 共用上的掃描,NFS 的服務必須部署在掃描器電腦上。 在您的計算機上,流覽至 [Windows 功能] ([開啟或關閉 Windows 功能) 設定] 對話框,然後選取下列專案:NFS> 系統管理工具的服務和適用於 NFS 的用戶端。 |
| Microsoft Office iFilter | 當您的掃描器安裝在 Windows 伺服器電腦上時,您也必須安裝 Microsoft Office iFilter,才能掃描 .zip 檔案是否有敏感性資訊類型。 如需詳細資訊,請 參閱Microsoft下載網站。 |
服務帳戶需求
您必須有服務帳戶,才能在 Windows Server 計算機上執行掃描器服務,以及驗證以 Microsoft Entra ID 並下載掃描器的原則。
您的服務帳戶必須是Active Directory 帳戶,並同步至 Microsoft Entra ID。
如果您因為組織原則而無法同步處理此帳戶,請參閱 使用替代設定部署掃描器。
此服務帳戶具有下列需求:
| 需求 | 詳細資料 |
|---|---|
| 登入本機 用戶權力指派 | 需要安裝和設定掃描器,但不需要執行掃描。
確認掃描器可以探索、分類及保護檔案之後,您可以從服務帳戶中移除此許可權。 如果因為組織原則而無法在短時間內授與此許可權,請參閱 使用替代設定部署掃描器。 |
| 以服務 用戶權力指派登入。 | 此許可權會在掃描器安裝期間自動授與服務帳戶,而且掃描器的安裝、設定和作業需要此許可權。 |
| 數據存放庫的許可權 |
-
檔案共用或本機檔案:授與 讀取、 寫入和 修改 掃描檔案的許可權,然後依照設定套用分類和保護。 - SharePoint:您必須授與完整控制權限以掃描檔案,然後將分類和保護套用至符合 Azure 資訊保護 原則中條件的檔案。 - 探索模式:若只要在探索模式中執行掃描器, 讀 取許可權就已足夠。 |
| 針對重新保護或移除保護的標籤 | 若要確保掃描器一律能夠存取加密的檔案,請將此帳戶設為 Azure 資訊保護 的進階使用者,並確保已啟用進階使用者功能。
此外,如果您已針對階段式部署實作 上線控 件,請確定服務帳戶包含在您已設定的上線控件中。 |
| 特定 URL 層級掃描 | 若要掃描及探索 特定 URL 下的網站和子網站,請將 網站收集器稽核員 許可權授與伺服器數位級上的掃描儀帳戶。 |
| 信息保護的授權 | 必須提供檔案分類、標籤或保護功能給掃描器服務帳戶。 如需詳細資訊, 請參閱 Microsoft 365 安全性 & 合規性指引。 |
SQL Server 需求
若要儲存掃描器設定數據,請使用具有下列需求的 SQL Server:
本機或遠程實例。
除非您使用小型部署,否則建議您在不同的計算機上裝載 SQL Server 和掃描器服務。 此外,我們建議您使用專用的 SQL 實例,僅供掃描器資料庫使用,且不會與其他應用程式共用。
如果您正在共享伺服器上工作,請確定 建議的核心數目 免費供掃描器資料庫運作。
SQL Server 2016 是下列版本的最低版本:
SQL Server Enterprise
SQL Server Standard
僅針對測試環境建議 SQL Server Express ()
具有 Sysadmin 角色以安裝掃描器的帳戶。
Sysadmin 角色可讓安裝程式自動建立掃描器設定資料庫,並將必要的 db_owner 角色授與執行掃描器的服務帳戶。
如果您無法獲得系統管理員角色,或組織原則需要手動建立和設定資料庫,請參閱 使用替代設定部署掃描器。
能力。 如需容量指引,請參閱記憶體需求和 SQL Server 容量規劃。
注意事項
當您為掃描器指定自定義叢集名稱,或使用掃描器的預覽版本時,支援相同 SQL Server 上的多個設定資料庫。
SQL Server的記憶體需求和容量規劃
掃描器設定資料庫所需的磁碟空間量,以及執行 SQL Server 的計算機規格,可能會因每個環境而有所不同,因此我們鼓勵您進行自己的測試。 請使用下列指引作為起點。
如需詳細資訊,請參閱 優化掃描器的效能。
掃描器設定資料庫的磁碟大小會因每個部署而有所不同。 使用下列方程式作為指引:
100 KB + <file count> *(1000 + 4* <average file name length>)
例如,若要掃描平均檔名長度為 250 個字節的 1 百萬個檔案,請配置 2 GB 的磁碟空間。
針對多個掃描器:
最多 10 個掃描器,請使用:
- 4 個核心處理器
- 建議使用 8 GB RAM
超過 10 個掃描器 (最多 40 個) ,請使用:
- 8 個核心進程
- 建議使用 16 GB RAM
資訊保護用戶端需求
針對生產網路,您必須在 Windows Server 計算機上安裝目前正式運作的 Microsoft Purview 資訊保護 用戶端版本。
如需詳細資訊,請參閱 安裝或升級資訊保護用戶端。
重要事項
您必須安裝掃描器的完整用戶端。 請勿只使用PowerShell模組來安裝用戶端。
標籤設定需求
您必須在 Microsoft Purview 入口網站或掃描儀帳戶的 Microsoft Purview 合規性入口網站 中設定至少一個敏感度標籤,才能套用分類和選擇性加密。
掃描儀帳戶是您將在 Set-Authentication Cmdlet 的 DelegatedUser 參數中指定的帳戶,在設定掃描儀時執行。
如果您的標籤沒有自動套用標籤條件,請參閱下列 替代設定的指示 。
如需詳細資訊,請參閱:
SharePoint 需求
若要掃描 SharePoint 文件庫和資料夾,請確定您的 SharePoint 伺服器符合下列需求:
| 需求 | 描述 |
|---|---|
| 支援的版本: | 支援的版本包括:SharePoint 2019、SharePoint 2016 和 SharePoint 2013。 掃描器不支援其他版本的 SharePoint。 |
| 版本設定 | 當您使用 版本設定時,掃描器會檢查並標示上次發佈的版本。 如果掃描儀為檔案加上標籤,且需要 內容核准 ,則必須核准已加上標籤的檔案才能供使用者使用。 |
| 大型 SharePoint 伺服器陣列 | 針對大型 SharePoint 伺服器數位,請檢查您是否需要根據預設增加清單檢視閾值 (,5,000) 掃描器才能存取所有檔案。 如需詳細資訊,請 參閱在 SharePoint 中管理大型清單和文檔庫。 |
| 長檔案路徑 | 如果您在 SharePoint 中有很長的檔案路徑,請確定 SharePoint 伺服器的 HTTPRuntime.maxUrlLength 值大於預設的 260 個字元。 如需詳細資訊,請參閱下一節: 避免 SharePoint 中的掃描器逾時。 |
避免 SharePoint 中的掃描器逾時
如果您在 SharePoint 2013 版或更高版本中有很長的檔案路徑,請確定 SharePoint 伺服器的 httpRuntime.maxUrlLength 值大於預設的 260 個字符。
此值定義於組態的 HttpRuntimeSection 類別中 ASP.NET 。
若要更新 HttpRuntimeSection 類別:
備份您的 web.config 組態。
視需要更新 maxUrlLength 值。 例如:
<httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000" />重新啟動您的 SharePoint Web 伺服器,並確認其載入正確。
例如,在 Windows Internet Information Servers (IIS) Manager 中,選取您的網站,然後在 [ 管理網站] 底下,選取 [ 重新啟動]。
Microsoft Office 需求
若要掃描 Office 檔,您的文件必須是下列其中一種格式:
- Microsoft Office 97-2003
- 適用於 Word、Excel 和 PowerPoint 的 Office Open XML 格式
如需詳細資訊,請參閱 支援的文件類型。
檔案路徑需求
根據預設,若要掃描檔案,您的檔案路徑最多必須有 260 個字元。
若要掃描檔案的檔案路徑超過 260 個字元,請在具有下列其中一個 Windows 版本的電腦上安裝掃描器,並視需要設定電腦:
| Windows 版本 | 描述 |
|---|---|
| Windows 2016 或更新版本 | 設定計算機以支持長路徑 |
| Windows 10 或 Windows Server 2016 | 定義下列組策略設定:本機計算機原則>計算機設定>系統管理>範本所有設定>啟用Win32 長路徑。
For more information long file path support in these versions, see the Maximum Path Length Limitation section from the Windows 10 developer documentation. |
| Windows 10 1607 版或更新版本 | 選擇加入更新的 MAX_PATH 功能。 如需詳細資訊,請參閱在 Windows 10 1607 版和更新版本中啟用長路徑。 |
使用替代組態部署掃描器
以上所列的必要條件是掃描器部署的預設需求,建議使用,因為它們支援最簡單的掃描器設定。
默認需求應適用於初始測試,以便您檢查掃描器的功能。
不過,在生產環境中,貴組織的原則可能會與預設需求不同。 掃描器可以透過其他設定來容納下列變更:
探索並掃描特定 URL 下的所有 SharePoint 網站和子網站
掃描器可以使用下列設定,探索並掃描特定 URL 下的所有 SharePoint 網站和子網站:
啟動 SharePoint 管理中心。
在 SharePoint 管理中心 網站上的 [應用程式 管理] 區段中,按兩下 [ 管理 Web 應用程式]。
按兩下即可反白顯示您想要管理其許可權原則層級的 Web 應用程式。
選擇相關的伺服器陣列,然後選取 [管理許可權原則層級]。
在 [網站集合 許可權] 選項中選取 [ 網站集合 稽核員],然後在 [許可權] 清單中授與 [ 檢視應用程式頁面 ],最後將新的原則層級命名為 掃描儀網站集合稽核員和查看器。
將掃描器使用者新增至新原則,並在 [許可權] 清單中授與 網站集合 。
新增裝載需要掃描之網站或子網站的 SharePoint URL。 如需詳細資訊, 請參閱設定掃描器設定。
若要深入瞭解如何管理 SharePoint 原則層級,請參閱 管理 Web 應用程式的許可權原則。
限制:掃描儀伺服器不能有因特網連線
雖然資訊保護用戶端無法在沒有因特網連線的情況下套用加密,但掃描器仍然可以根據匯入的原則套用標籤。
若要支援中斷連線的計算機,請使用下列其中一種方法:
請盡可能使用 (建議的合規性入口網站)
使用 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 與中斷連線的電腦
若要支持無法連線到 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 的電腦,請執行下列步驟:
在原則中設定標籤,然後使用 程式來支援中斷連線的計算機 ,以啟用離線分類和標籤。
啟用內容作業的離線管理,如下所示:
開啟內容掃描作業的離線管理:
使用 Set-ScannerConfiguration Cmdlet,將掃描器設定為在離線模式下運作。
藉由建立掃描儀叢集,在合規性入口網站中設定掃描器。 如需詳細資訊, 請參閱設定掃描器設定。
使用 [匯出] 選項,從 [信息保護 - 內容掃描工作] 窗格匯出您的內容作業。
使用 Import-ScannerConfiguration Cmdlet 匯入原則。
離線內容掃描工作的結果位於: %localappdata%\Microsoft\MSIP\Scanner\Reports
使用 PowerShell 搭配已中斷連線的電腦
執行下列程式,僅使用PowerShell支援中斷連線的電腦。
重要事項
Azure China 21Vianet 掃描儀伺服器的系統管理員必須使用此程式來管理其內容掃描作業。
僅使用 PowerShell 管理您的內容掃描作業:
使用 Set-ScannerConfiguration Cmdlet,將掃描器設定為在離線模式下運作。
使用 Set-ScannerContentScan Cmdlet 建立新的內容掃描作業,請務必使用強制
-Enforce On參數。使用 Add-ScannerRepository Cmdlet,以及您想要新增之存放庫的路徑,新增您的存放庫。
提示
若要防止存放庫繼承內容掃描作業中的設定,請新增
OverrideContentScanJob On參數,以及其他設定的值。若要編輯現有存放庫的詳細數據,請使用 Set-ScannerRepository 命令。
使用 Get-ScannerContentScan 和 Get-ScannerRepository Cmdlet 可傳回內容掃描作業目前設定的相關信息。
使用 Set-ScannerRepository 命令來更新現有存放庫的詳細數據。
視需要使用 Start-Scan Cmdlet,立即執行內容掃描作業。
離線內容掃描工作的結果位於: %localappdata%\Microsoft\MSIP\Scanner\Reports
如果您需要移除存放庫或整個內容掃描作業,請使用下列 Cmdlet:
限制:您無法被授與 Sysadmin,或必須手動建立和設定資料庫
使用下列程式手動建立資料庫,並視需要授 與db_owner 角色。
如果您可以 暫時 獲得 Sysadmin 角色以安裝掃描器,您可以在掃描器安裝完成時移除此角色。
視貴組織的需求而定,執行下列其中一項:
| Restriction | 描述 |
|---|---|
| 您可以暫時擁有 Sysadmin 角色 | 如果您暫時擁有 Sysadmin 角色,系統會自動為您建立資料庫,而且掃描器的服務帳戶會自動獲得必要的許可權。 不過,設定掃描器的用戶帳戶仍然需要掃描器設定資料庫 的db_owner 角色。 如果您在掃描器安裝完成之前只有 Sysadmin 角色,請手動將 db_owner 角色授與用戶帳戶。 |
| 您完全不能有 Sysadmin 角色 | 如果您甚至暫時無法被授與 Sysadmin 角色,您必須要求具有 Sysadmin 許可權的使用者在安裝掃描器之前手動建立資料庫。 針對此設定, 必須將db_owner 角色指派給下列帳戶: - 掃描器的服務帳戶 - 掃描器安裝的用戶帳戶 - 掃描器設定的用戶帳戶 一般而言,您會使用相同的用戶帳戶來安裝和設定掃描器。 如果您使用不同的帳戶,兩者都需要掃描器設定資料庫 的db_owner 角色。 視需要建立此用戶和許可權。 如果您指定自己的叢集名稱,設定資料庫會命名 為 AIPScannerUL_<cluster_name>。 |
此外:
您必須是伺服器上將執行掃描器的本機系統管理員
將執行掃描器的服務帳戶必須被授與下列登入機碼的完全控制權限:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server
如果在設定這些許可權之後,您在安裝掃描器時看到錯誤,則可以忽略錯誤,而且您可以手動啟動掃描器服務。
手動建立掃描器的資料庫和使用者,並授與db_owner許可權
如果您需要手動建立掃描儀資料庫和/或建立使用者,並在資料庫上授 與db_owner 許可權,請要求 Sysadmin 執行下列步驟:
建立掃描器的資料庫:
**CREATE DATABASE AIPScannerUL_[clustername]** **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**將許可權授與執行安裝命令並用來執行掃描器管理命令的使用者。 使用下列文稿:
if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END授與掃描器服務帳戶的許可權。 使用下列文稿:
if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
限制:掃描器的服務帳戶無法授與 本機登 入許可權
如果您的組織原則禁止服務帳戶 在 本機登入,請使用 OnBehalfOf 參數搭配 Set-Authentication。
如需詳細資訊,請參閱自動執行 資訊保護標籤 Cmdlet。
限制:掃描器服務帳戶無法同步至 Microsoft Entra ID 但伺服器具有因特網連線能力
您可以有一個帳戶來執行掃描器服務,並使用另一個帳戶來驗證以 Microsoft Entra ID:
針對掃描儀服務帳戶,請使用本機 Windows 帳戶或 Active Directory 帳戶。
針對 Microsoft Entra 帳戶,請在 DelegatedUser 參數的 Set-Authentication Cmdlet 中指定 Microsoft Entra 使用者。
如果您是在掃描儀帳戶以外的任何用戶下執行掃描,請務必同時在 OnBehalfOf 參數中指定掃描儀帳戶。
如需詳細資訊,請參閱自動執行 資訊保護標籤 Cmdlet。
限制:您的標籤沒有自動套用標籤條件
如果您的標籤沒有任何自動套用標籤條件,請規劃在設定掃描器時使用下列其中一個選項:
| 選項 | 描述 |
|---|---|
| 探索所有信息類型 | 在 您的內容掃描作業中,將 [ 要探索的信息類型 ] 選項設定為 [ 全部]。
此選項會設定內容掃描作業,以掃描所有敏感性資訊類型的內容。 |
| 使用建議的標籤 | 在 您的內容掃描作業中,將 [ 將建議的標籤視為自動 ] 選項設定為 [ 開啟]。
此設定會設定掃描器自動在您的內容上套用所有建議的標籤。 |
| 定義預設標籤 | 在原則、內容掃描作業或存放庫中定義預設標籤。
在此情況下,掃描器會在找到的所有檔案上套用默認標籤。 |
後續步驟
確認您的系統符合掃描器必要條件之後,請繼續設定 和安裝資訊保護掃描器。
如需掃描器的概觀,請參閱 瞭解資訊保護掃描器。