什麼是 Azure 資訊保護的統一標籤掃描器? (英文)

使用本節中的資訊來瞭解 Azure 資訊保護統一標籤掃描器,然後如何成功安裝、設定、執行及在必要時進行疑難排解。

AIP 掃描器會在 Windows Server 上以服務的形式執行,並可讓您探索、分類和保護下列資料存放區上的檔案:

  • 使用 SMB 或 NFS (Preview) 通訊協定之網路共用的UNC 路徑

  • 透過 SharePoint Server 2013 SharePoint Server 2019的SharePoint 文件庫和資料夾

為了分類和保護您的檔案,掃描器會使用Microsoft Purview 合規性入口網站中設定的敏感度標籤

Azure 資訊保護統一標籤掃描器概觀

AIP 掃描器可以檢查 Windows 可編制索引的任何檔案。 如果您已將敏感度標籤設定為套用自動分類,掃描器可以標記探索到的檔案以套用該分類,並選擇性地套用或移除保護。

下圖顯示 AIP 掃描器架構,其中掃描器會探索內部部署和 SharePoint 伺服器上的檔案。

Azure 資訊保護統一標籤掃描器架構

若要檢查您的檔案,掃描器會使用電腦上安裝的 IFilters。 若要判斷檔案是否需要標籤,掃描器會使用 Microsoft 365 內建資料外泄防護, (DLP) 敏感度資訊類型和模式偵測,或 Microsoft 365 RegEx 模式。

掃描器會使用 Azure 資訊保護 用戶端,並可分類和保護與用戶端相同的檔案類型。 如需詳細資訊,請參閱Azure 資訊保護統一標籤用戶端支援的檔案類型

請執行下列任一動作,視需要設定掃描:

  • 只在探索模式中執行掃描器 ,以建立報告,以檢查檔案卷標時會發生什麼情況。
  • 執行掃描器來探索具有敏感性資訊的檔案,而不需設定套用自動分類的標籤。
  • 自動執行掃描器 以套用已設定的標籤。
  • 定義檔案類型清單 ,以指定要掃描或排除的特定檔案。

注意

掃描器不會即時探索並加上標籤。 它會有系統地編目您指定之資料存放區上的檔案。 將此迴圈設定為執行一次,或重複執行一次。

提示

統一標籤掃描器支援具有多個節點的掃描器叢集,讓您的組織能夠相應放大、達到更快速的掃描時間和更廣泛的範圍。

從頭開始部署多個節點,或從單一節點叢集開始,並在稍後成長時新增其他節點。 針對 Install-AIPScanner Cmdlet 使用相同的叢集名稱和資料庫來部署多個節點。

AIP 掃描程式

掃描檔案時,AIP 掃描器會執行下列步驟:

1.判斷是否包含或排除檔案以供掃描

2.檢查和標記檔案

3.標記無法檢查的檔案

如需詳細資訊,請參閱 掃描器未標示的檔案

1.判斷是否包含或排除檔案以供掃描

掃描器會自動略過從分類和保護排除的檔案,例如可執行檔和系統檔案。 如需詳細資訊,請參閱分類 和保護中排除的檔案類型

掃描器也會考慮明確定義要掃描的任何檔案清單,或排除掃描。 根據預設,檔案清單適用于所有資料存放庫,也可以針對特定存放庫定義。

若要定義用於掃描或排除的檔案清單,請使用 檔案類型來掃描 內容掃描工作中的設定。 例如:

設定要針對 Azure 資訊保護掃描器掃描的檔案類型

如需詳細資訊,請參閱部署 Azure 資訊保護掃描器以自動分類和保護檔案

2.檢查和標記檔案

識別排除的檔案之後,掃描器會再次篩選,以識別支援檢查的檔案。

這些篩選準則與作業系統針對 Windows 搜尋和編制索引所使用的篩選準則相同,不需要額外的設定。 Windows IFilter 也可用來掃描 Word、Excel 和 PowerPoint 所使用的檔案類型,以及 PDF 檔和文字檔。

如需支援檢查的檔案類型完整清單,以及設定篩選以包含 .zip 和 .tiff 檔案的其他指示,請參閱 支援檢查的檔案類型

檢查之後,支援的檔案類型會使用您為標籤指定的條件來加上標籤。 如果您使用探索模式,可以報告這些檔案以包含您標籤所指定的條件,或回報以包含任何已知的敏感性資訊類型。

已停止的掃描器進程

如果掃描器停止且未完成存放庫中大量檔案的掃描,您可能需要增加裝載檔案之作業系統的動態埠數目。

例如,SharePoint 的伺服器強化是掃描器超過允許的網路連線數目的原因之一,因此會停止。

若要檢查 SharePoint 的伺服器強化是否為掃描器停止的原因,請檢查掃描器記錄中的下列錯誤訊息,網址為 %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (多個記錄會壓縮成 zip 檔案) :

Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

如需如何檢視目前埠範圍並視需要增加的詳細資訊,請參閱 可修改的設定以改善網路效能

提示

對於大型 SharePoint 伺服器陣列,您可能需要增加清單檢視閾值,其預設值為 5,000

如需詳細資訊,請參閱 在 SharePoint 中管理大型清單和文件庫

3.標記無法檢查的檔案

對於無法檢查的任何檔案類型,AIP 掃描器會在 Azure 資訊保護 原則中套用預設標籤,或為掃描器設定的預設標籤。

掃描器未加上標籤的檔案

AIP 掃描器無法在下列情況下標記檔案:

  • 當標籤套用分類,但不支援保護,而且檔案類型不支援用戶端僅分類。 如需詳細資訊,請參閱 統一標籤用戶端檔案類型

  • 當標籤套用分類和保護時,掃描器不支援檔案類型。

    根據預設,掃描器只會保護 Office 檔案類型,以及使用 ISO 標準進行 PDF 加密而受到保護的 PDF 檔案。

    當您 變更要保護的檔案類型時,可以新增其他類型的檔案以進行保護。

範例:在檢查.txt檔案之後,掃描器無法套用僅針對分類設定的標籤,因為.txt檔案類型不支援分類。

不過,如果標籤設定為分類和保護,而且掃描器會包含.txt檔案類型來保護,掃描器可以標記檔案。

後續步驟

如需部署掃描器的詳細資訊,請參閱下列文章:

詳細資訊