設定及安裝 Azure 資訊保護 (AIP) 統一標籤掃描器

本文說明如何設定及安裝 Azure 資訊保護統一標籤內部部署掃描器。

秘訣

雖然大部分的客戶都會在Azure 入口網站的Azure 資訊保護區域中執行這些程式,但您可能只需要在 PowerShell 中工作。

例如,如果您在環境中工作而無法存取 Azure 入口網站,例如Azure China 21Vianet 掃描器伺服器,請遵循使用 PowerShell 來設定掃描器中的指示。

概述

開始之前,請確認您的系統符合 必要的必要條件

若要使用Azure 入口網站,請使用下列步驟:

  1. 設定掃描器設定

  2. 安裝掃描器

  3. 為掃描器取得 Azure AD 權杖

  4. 將掃描器設定為套用分類和保護

然後,視需要為您的系統執行下列組態程式:

程序 描述
變更要保護的檔案類型 您可能想要掃描、分類或保護與預設值不同的檔案類型。 如需詳細資訊,請參閱 AIP 掃描程式
升級掃描器 升級掃描器以運用最新的功能和改進功能。
大量編輯資料存放庫設定 使用匯入和匯出選項對多個資料存放庫進行大量變更。
搭配替代組態使用掃描器 不使用任何條件設定標籤的掃描器
效能最佳化 優化掃描器效能的指引

如果您沒有Azure 入口網站掃描器頁面的存取權,請只在 PowerShell 中設定任何掃描器設定。 如需詳細資訊,請參閱 使用 PowerShell 來設定掃描器 和支援 的 PowerShell Cmdlet

設定掃描器設定

安裝掃描器之前,或從較舊的正式運作版本升級掃描器,請設定或驗證掃描器設定。

若要在Azure 入口網站中設定掃描器:

  1. 使用下列其中一個角色登入Azure 入口網站

    • 合規性管理員
    • 合規性資料管理員
    • 安全性系統管理員
    • 全域管理員

    然後,流覽至[Azure 資訊保護] 窗格。

    例如,在資源、服務及文件的搜尋方塊中,輸入資訊,然後選取 [Azure 資訊保護]。

  2. 建立掃描器叢集。 此叢集會定義掃描器,並用於識別掃描器執行個體,例如在安裝、升級和其他程序期間。

  3. 建立內容掃描工作 ,以定義您想要掃描的存放庫。

建立掃描器叢集

  1. 從左側的[掃描器] 功能表中,選取 [集叢集]。

  2. [Azure 資訊保護 - 叢集]窗格中,選取 [新增新增圖示]

  3. 在 [ 新增叢集 ] 窗格中,輸入掃描器有意義的名稱,以及選擇性的描述。

    叢集名稱可用來識別掃描器的組態和存放庫。 例如,您可以輸入 歐洲 來識別您想要掃描之資料存放庫的地理位置。

    您稍後會使用此名稱來識別您要安裝或升級掃描器的位置。

  4. 選取[儲存儲存] 圖示儲存以儲存變更。

建立網路掃描作業 (公開預覽版)

新增一或多個找到至內容掃描工作的存放庫,以掃描這些存放庫是否有敏感性內容。

注意

從 2022 年 3 月 18 日起,我們終止了 Azure 資訊保護分析,並已排定 2022 年 9 月 30 日完整淘汰。

我們也會在相同的時間軸上終止掃描器的網路探索功能。 網路掃描作業目前僅適用于具有現有 Log Analytics 工作區來儲存 AIP 稽核記錄的客戶。 如需詳細資訊,請參閱已移除和已淘汰的服務

Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

下表說明網路探索服務所需的必要條件:

必要條件 描述
安裝網路探索服務 如果您最近升級掃描器,您可能需要仍安裝網路探索服務。

執行 Install-MIPNetworkDiscovery Cmdlet 以啟用網路掃描作業。
Azure 資訊保護分析 請確定您已啟用 Azure 資訊保護分析。

在Azure 入口網站中,移至Azure 資訊保護管理 > 設定分析 (> Preview)

如需詳細資訊,請參閱Azure 資訊保護 (公開預覽) 的中央報告

建立網路掃描作業

  1. 登入Azure 入口網站,然後移至Azure 資訊保護。 在左側的 [掃描器 ] 功能表中,選取 [網路掃描作業] ([預覽]) 網路掃描作業圖示

  2. [Azure 資訊保護 - 網路掃描作業] 窗格中,選取 [新增新增] 圖示

  3. 在 [ 新增網路掃描作業 ] 頁面上,定義下列設定:

    設定 描述
    網路掃描作業名稱 為此作業輸入有意義的名稱。 此為必要欄位。
    說明 輸入有意義的描述。
    選取叢集 從下拉式清單中,選取您想要用來掃描已設定網路位置的叢集。

    提示:選取叢集時,請確定您指派的叢集中的節點可以透過 SMB 存取已設定的 IP 範圍。
    [設定要探索的 IP 範圍] 按一下即可定義 IP 位址或範圍。

    在 [ 選擇 IP 範圍] 窗格中,輸入選擇性名稱,然後輸入範圍的起始 IP 位址和結束 IP 位址。

    提示:若要只掃描特定 IP 位址,請在 [開始 IP ] 和 [ 結束 IP ] 欄位中輸入相同的 IP 位址。
    [設定排程] 定義您希望此網路掃描作業執行的頻率。

    如果您選取 [每週],[ 執行網路掃描作業] 設定隨即出現。 選取您想要執行網路掃描作業的星期幾。
    [設定開始時間 (UTC)] 定義您希望此網路掃描作業開始執行的日期和時間。 如果您已選取每天、每週或每月執行作業,作業將會在定義的時間執行,而您選取的週期。

    注意:將日期設定為當月結束時的任何天數時,請小心。 如果您選取 31,網路掃描作業將不會在 30 天或更少月份執行。
  4. 選取[儲存儲存] 圖示儲存以儲存變更。

秘訣

如果您想要使用不同的掃描器執行相同的網路掃描,請變更網路掃描作業中定義的叢集。

返回 [ 網路掃描作業 ] 窗格,然後選取 [ 指派給叢集 ] 立即選取不同的叢集,或 [ 取消指派叢集 ] 以稍後進行其他變更。

分析 (公開預覽) 找到的風險存放庫

透過網路掃描作業、內容掃描工作或記錄檔中偵測到的使用者存取,找到的存放庫會匯總並列在 掃描器 >圖示 窗格上。

如果您已 定義網路掃描作業 ,並已將其設定為在特定日期和時間執行,請等到執行完成以檢查結果為止。 您也可以在執行 內容掃描工作 之後返回這裡,以檢視更新的資料。

注意

Azure 資訊保護存放庫功能目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。

  1. 在左側的 [掃描器] 功能表中,選取 [存放庫存放庫] 圖示

    找到的存放庫如下所示:

    • 依狀態圖表的存放庫顯示已針對內容掃描工作設定多少個存放庫,以及有多少個不是。
    • 存取圖的前 10 個非受控存放庫 會列出目前未指派給內容掃描工作的前 10 個存放庫,以及其存取層級的詳細資料。 存取層級可以指出您的存放庫有風險。
    • 下表列出每個找到的存放庫及其詳細資料。
  2. 執行下列任一項:

    選項 描述
    資料行圖示 選取 [ 資料行 ] 以變更顯示的資料表資料行。
    重新整理圖示重新 如果您的掃描器最近執行網路掃描結果,請選取 [ 重新 整理] 以重新整理頁面。
    新增圖示新增 選取資料表中列出的一或多個存放庫,然後選取 [ 指派選取的專案 ] 以將它們指派給內容掃描工作。
    Filter 篩選資料列會顯示目前套用的任何篩選準則。 選取任何顯示的準則以修改其設定,或選取 [ 新增篩選 ] 以新增篩選準則。

    選取 [篩選 ] 以套用您的變更,並使用更新的篩選準則重新整理資料表。
    Log Analytics 圖示 Log Analytics 在 Unmanaged 存放庫圖表右上角,按一下 Log Analytics 圖示以跳至這些存放庫的 Log Analytics 資料。

找到 公用存取 權具有 讀取讀取/寫入 功能的存放庫,可能會有必須保護的敏感性內容。 如果 公用存取 為 false,則公用完全無法存取存放庫。

只有在您已在Install-MIPNetworkDiscoverySet-MIPNetworkDiscoveryConfiguration Cmdlet 的StandardDomainsUserAccount參數中設定弱式帳戶時,才會報告存放庫的公用存取權。

  • 這些參數中定義的帳戶可用來模擬弱使用者對存放庫的存取。 如果定義該存放庫的弱使用者可以存取存放庫,這表示可以公開存取存放庫。

  • 若要確保正確回報公用存取權,請確定這些參數中指定的使用者僅是 網域使用者 群組的成員。

建立內容掃描工作

深入探討您的內容,以掃描特定存放庫是否有敏感性內容。

您只能在執行網路掃描作業以分析您網路中存放庫之後,才想要這麼做,但也可以自行定義您的存放庫。

若要在Azure 入口網站上建立內容掃描工作:

  1. 在左側的 [掃描器 ] 功能表中,選取 [內容掃描工作]。

  2. [Azure 資訊保護 - 內容掃描工作] 窗格中,選取 [新增新增] 圖示

  3. 針對此初始設定,請設定下列設定,然後選取 [ 儲存 ],但不關閉窗格。

    設定 描述
    內容掃描工作設定 - 排程:保留預設的 [手動]
    - 要探索的資訊類型:僅變更為 原則
    - 設定存放庫:此時請勿進行設定,因為必須先儲存內容掃描工作。
    DLP 原則 如果您使用 Microsoft 365 資料外泄防護 (DLP) 原則,請將 [啟用 DLP 規則 ] 設定為 [ 開啟]。 如需詳細資訊,請參閱 使用 DLP 原則
    敏感度原則 - 強制執行:選取 [關閉]
    - 根據內容標記檔案:保留預設值為[開啟]
    - 預設標籤:保留 [ 原則預設值] 的預設值
    - 重新標記檔案:保留預設值為 [關閉]
    設定檔案設定 - 保留 「Date modified」、「Last modified」 和 「Modified by」:保留預設值為[開啟]
    - 要掃描的檔案類型:保留 [排除] 的預設檔案類型
    - 預設擁有者:保留掃描器帳戶的預設
    - 設定存放庫擁有者:只有在 使用 DLP 原則時,才使用此選項。
  4. 現在,內容掃描工作已建立並儲存,您可以返回 [ 設定存放庫 ] 選項,以指定要掃描的資料存放區。

    指定 SharePoint 內部部署文件庫和資料夾的 UNC 路徑和 SharePoint Server URL。

    注意

    SharePoint 支援SharePoint Server 2019、SharePoint Server 2016 和 SharePoint Server 2013。

    若要新增您的第一個資料存放區,請在 [ 新增內容掃描工作 ] 窗格上,選取 [ 設定存放庫 ] 以開啟 [ 存放庫 ] 窗格:

    設定 Azure 資訊保護掃描器的資料存放庫。

    1. 在 [存放庫] 窗格上,選取 [新增]:

      新增 Azure 資訊保護掃描器的資料存放庫。

    2. 在 [ 存放庫] 窗格中,指定資料存放庫的路徑,然後選取 [ 儲存]。

      • 針對網路共用,請使用 \\Server\Folder
      • 針對 SharePoint 文件庫,請使用 http://sharepoint.contoso.com/Shared%20Documents/Folder
      • 針對本機路徑:C:\Folder
      • 針對 UNC 路徑: \\Server\Folder

    注意

    不支援萬用字元和 WebDav 位置。

    如果您為 共用檔新增 SharePoint 路徑:

    • 當您想要掃描 [Shared Documents] 中的所有文件和所有資料夾時,請在路徑中指定 Shared Documents。 例如: http://sp2013/SharedDocuments
    • 當您想要掃描 [Shared Documents] 下子資料夾中的所有文件和所有資料夾時,請在路徑中指定 Documents。 例如: http://sp2013/Documents/SalesReports
    • 或者,只指定 Sharepoint 的 FQDN ,例如 http://sp2013 ,若要探索 及掃描此 URL 下特定 URL 下的所有 SharePoint 網站和子網站和子網站 。 授與掃描器 網站收集器稽核員 啟用此功能的許可權。

    針對此窗格上的其餘設定,請勿針對此初始設定進行變更,而是保留為 內容掃描工作預設值。 預設設定表示資料存放庫會繼承內容掃描工作中的設定。

    新增 SharePoint 路徑時,請使用下列語法:

    路徑 Syntax
    根路徑 http://<SharePoint server name>

    掃描所有網站,包括掃描器使用者允許的任何網站集合。
    需要 額外的許可權 才能自動探索根內容
    特定 SharePoint 子網站或集合 下列其中之一:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    需要 額外的許可權 才能自動探索網站集合內容
    特定 SharePoint 文件庫 下列其中之一:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    特定 SharePoint 資料夾 http://<SharePoint server name>/.../<folder name>
  5. 重複上述步驟,視需要新增多個存放庫。

    完成時,請關閉 [ 存放庫 ] 和 [ 內容掃描] 作業 窗格。

回到Azure 資訊保護 - 內容掃描工作窗格,會顯示您的內容掃描名稱,以及顯示[手動] 且[強制執行] 資料行為空白的SCHEDULE資料行。

您現在已準備好使用您已建立的內容掃描器作業來安裝掃描器。 繼續 安裝掃描器

安裝掃描器

設定Azure 資訊保護掃描器之後,請執行下列步驟來安裝掃描器。 此程式會在 PowerShell 中完全執行。

  1. 登入會執行掃描器的 Windows Server 電腦。 使用具有本機系統管理員權限,且有 SQL Server Master 資料庫寫入權限的帳戶。

    重要

    您必須先在電腦上安裝 AIP 統一標籤用戶端,才能安裝掃描器。

    如需詳細資訊,請參閱安裝和部署 Azure 資訊保護掃描器的必要條件

  2. 使用 [以系統管理員身分執行] 選項來開啟 Windows PowerShell 工作階段。

  3. 執行Install-AIPScanner Cmdlet,指定要為其建立 Azure 資訊保護 掃描器資料庫的SQL Server實例,以及您在上一節中指定的掃描器叢集名稱:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    使用 歐洲掃描器叢集名稱的範例:

    • 預設執行個體:Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • 具名執行個體:Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • SQL Server Express:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    出現提示時,請提供掃描器服務帳戶的 Active Directory 認證。

    使用下列語法: \<domain\user name> 。 例如: contoso\scanneraccount

  4. 使用系統管理工具> 服務確認服務現在已安裝服務

    已安裝的服務名為Azure 資訊保護掃描器,並設定為使用您所建立的掃描器服務帳戶來執行。

現在您已安裝掃描器,您需要取得掃描器服務帳戶的 Azure AD 權杖 以進行驗證,讓掃描器可以自動執行。

為掃描器取得 Azure AD 權杖

Azure AD 權杖可讓掃描器向 Azure 資訊保護服務進行驗證,讓掃描器以非互動方式執行。

如需詳細資訊,請參閱如何針對 Azure 資訊保護以非互動方式為檔案加上標籤 (英文)。

若要取得 Azure AD 權杖

  1. 開啟Azure 入口網站以建立 Azure AD 應用程式,以指定用於驗證的存取權杖。

  2. 從 Windows Server 電腦,如果您的掃描器服務帳戶已獲授與本機 登入許可權以進行 安裝,請使用此帳戶登入,然後啟動 PowerShell 會話。

    執行 Set-AIPAuthentication,指定您從上一個步驟複製的值:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    例如:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    提示

    如果您的掃描器服務帳戶無法授與本機登入許可權以進行安裝,請使用OnBehalfOf參數搭配Set-AIPAuthentication,如如何以非互動方式為 Azure 資訊保護標籤檔案中所述。

掃描器現在已具有可向 Azure AD 驗證的權杖。 根據您在 Azure AD 中 Web 應用程式 /API 用戶端密碼的設定,此權杖有效期為一年、兩年或永不有效。 權杖到期時,您必須重複此程式。

視您使用Azure 入口網站來設定掃描器,或僅使用 PowerShell,繼續使用下列步驟之一:

您現在已準備好以探索模式執行第一次掃描。 如需詳細資訊,請參閱 執行探索週期並檢視掃描器的報告

執行初始探索掃描之後,請繼續進行設定 掃描器以套用分類和保護

注意

如需詳細資訊,請參閱如何以非互動方式為 Azure 資訊保護標記檔案

設定掃描器以套用分類和保護

預設設定會將掃描器設定為執行一次,並在僅限報告模式中執行。 若要變更這些設定,請編輯內容掃描工作。

秘訣

如果您只使用 PowerShell,請參閱設定 掃描器以套用分類和保護 - 僅限 PowerShell

若要設定掃描器以套用分類和保護

  1. 在Azure 入口網站的[Azure 資訊保護 - 內容掃描工作] 窗格中,選取叢集和內容掃描工作以編輯。

  2. 在 [內容掃描工作] 窗格中,變更下列內容,然後選取 [ 儲存]:

    • 從 [ 內容掃描工作 ] 區段:將 [排程 ] 變更為 [永遠]
    • [敏感度原則] 區段:將[強制執行] 變更為[開啟]

    秘訣

    您可能想要變更此窗格上的其他設定,例如檔案屬性是否已變更,以及掃描器是否可以重新標記檔案。 使用資訊快顯說明,深入了解每個組態設定的詳細資訊。

  3. 記下目前的時間,然後再次從Azure 資訊保護 - 內容掃描工作窗格啟動掃描器:

    起始 Azure 資訊保護掃描器的掃描。

掃描器現在已排定持續執行。 當掃描器透過所有已設定的檔案運作時,會自動啟動新的迴圈,以便探索任何新的和變更的檔案。

使用 DLP 原則

使用 Microsoft 365 資料外泄防護 (DLP) 原則可讓掃描器透過比對 DLP 規則與儲存在檔案共用和 SharePoint Server 中的檔案來偵測潛在的資料外泄。

  • 在您的內容掃描工作中啟用 DLP 規則 ,以減少任何符合 DLP 原則的檔案暴露。 啟用 DLP 規則時,掃描器可能會減少對資料擁有者的檔案存取,或減少對全網路群組的曝光,例如 「所有人」、 「已驗證的使用者」或 「網域使用者」

  • 在Microsoft Purview 合規性入口網站中,判斷您只是測試 DLP 原則,還是您想要強制執行規則,以及根據這些規則變更檔案許可權。 如需詳細資訊,請參閱 開啟 DLP 原則

DLP 原則是在Microsoft Purview 合規性入口網站中設定。 如需 DLP 授權的詳細資訊,請參閱 開始使用資料外泄防護內部部署掃描器

秘訣

掃描檔案,即使只測試 DLP 原則,也會建立檔案許可權報告。 查詢這些報告以調查特定檔案曝光,或探索特定使用者對掃描檔案的曝光。

若要僅使用 PowerShell,請參閱 僅搭配掃描器使用 DLP 原則 - 僅限 PowerShell

若要搭配掃描器使用 DLP 原則

  1. 在Azure 入口網站中,流覽至您的內容掃描工作。 如需詳細資訊,請參閱 建立內容掃描工作

  2. [DLP 原則] 下,將 [啟用 DLP 規則] 設定為 [開啟]。

    重要

    除非您實際上已在 Microsoft 365 中設定 DLP 原則,否則請勿將 [啟用 DLP 規則 ] 設定為 [ 開啟 ]。

    在沒有 DLP 原則的情況下開啟此功能會導致掃描器產生錯誤。

  3. ([選擇性]) [ 設定檔案設定] 底下,將存放 庫擁有者 設定為 [開啟],並將特定使用者定義為存放庫擁有者。

    此選項可讓掃描器減少此存放庫中找到的任何檔案暴露,此檔案符合 DLP 原則所定義的存放庫擁有者。

DLP 原則並 建立私人 動作

如果您使用 DLP 原則進行 私人 動作,也打算使用掃描器來自動標記您的檔案,建議您也定義統一標籤用戶端的 UseCopyAndPreserveNTFSOwner 進階設定。

此設定可確保原始擁有者會保留其檔案的存取權。

如需詳細資訊,請參閱 建立內容掃描工作 ,並將 敏感度標籤自動套用至 Microsoft 365 檔中的內容。

變更要保護的檔案類型

根據預設,AIP 掃描器只會保護 Office 檔案類型和 PDF 檔案。

使用 PowerShell 命令視需要變更此行為,例如設定掃描器來保護所有檔案類型,就像用戶端所做的一樣,或保護其他特定檔案類型。

針對適用于掃描器之使用者帳戶下載標籤的標籤原則,請指定名為 PFileSupportedExtensions 的 PowerShell 進階設定。

對於可存取網際網路的掃描器,此使用者帳戶是您使用 Set-AIPAuthentication 命令為 DelegatedUser 參數指定的帳號。

範例 1:掃描器的 PowerShell 命令可保護所有檔案類型,其中您的標籤原則命名為「掃描器」:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

範例 2:掃描器的 PowerShell 命令除了 Office 檔案和 PDF 檔案之外,還會保護.xml檔案和 .tiff 檔案,其中您的標籤原則名為 「Scanner」:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

如需詳細資訊,請參閱 變更要保護的檔案類型

升級掃描器

如果您先前已安裝掃描器並想要升級,請使用升級 Azure 資訊保護掃描器中所述的指示。

然後 ,如 往常設定並使用 掃描器 ,略過安裝掃描器的步驟。

大量編輯資料存放庫設定

使用 [ 匯出 ] 和 [ 入] 按鈕,針對數個存放庫的掃描器進行變更。

如此一來,您就不需要手動在Azure 入口網站中多次進行相同的變更。

例如,如果您在數個 SharePoint 資料存放庫上有新的檔案類型,您可能會想要大量更新這些存放庫的設定。

若要跨存放庫進行大量變更:

  1. 在 [存放] 窗格的 [Azure 入口網站] 窗格中,選取 [匯出] 選項。 例如:

    匯出 Azure 資訊保護掃描器的資料存放庫設定。

  2. 手動編輯匯出的檔案以進行變更。

  3. 使用相同頁面上的 [ 入] 選項,將更新匯回存放庫。

搭配替代組態使用掃描器

Azure 資訊保護掃描器通常會尋找為標籤指定的條件,以便視需要分類和保護您的內容。

在下列案例中,Azure 資訊保護掃描器也能夠掃描您的內容和管理標籤,而不需要設定任何條件:

將預設標籤套用至資料存放庫中的所有檔案

在此設定中,存放庫中所有未標記的檔案都會加上為存放庫或內容掃描工作指定的預設標籤。 檔案會加上標籤而不檢查。

進行下列設定:

設定 描述
根據內容標記檔案 設定為 關閉
預設標籤 設定為 [自訂],然後選取要使用的標籤
強制執行預設標籤 選取以將預設標籤套用至所有檔案,即使已加上標籤也一樣。

從資料存放庫中的所有檔案移除現有的標籤

在此設定中,如果標籤已套用保護,則會移除所有現有的標籤,包括保護。 會保留獨立于標籤套用的保護。

進行下列設定:

設定 描述
根據內容標記檔案 設定為 關閉
預設標籤 設定為 [無]
重新標記檔案 設定為 [開啟],並已選取 [ 強制執行預設標籤 ] 核取方塊

識別所有自訂條件和已知的敏感性資訊類型

此設定可讓您尋找可能不知道您擁有的敏感性資訊,但代價是掃描器的掃描速率。

將 [ 資訊類型 ] 設定為 [ 全部]。

若要識別標籤的條件和資訊類型,掃描器會使用任何指定的自訂敏感性資訊類型,以及可供選取的內建敏感性資訊類型清單,如標籤管理中心所定義。

優化掃描器效能

注意

如果您想要改善掃描器電腦的回應性,而不是掃描器效能,請使用進階用戶端設定來 限制掃描器所使用的執行緒數目

使用下列選項和指引來協助您優化掃描器效能:

選項 描述
請讓掃描器電腦與掃描的資料存放區之間有高速且可靠的網路連線 例如,將掃描器電腦放在相同的 LAN 中,或最好放在與掃描資料存放區相同的網路區段中。

網路連線的品質會影響掃描器效能,因為為了檢查檔案,掃描器會將檔案的內容傳輸到執行掃描器服務的電腦。

減少或消除資料移動所需的網路躍點,也會降低網路上的負載。
請確認掃描器電腦有可用的處理器資源 檢查檔案內容,以及加密和解密檔案是處理器密集的動作。

監視指定資料存放區的一般掃描週期,以識別缺少處理器資源是否對掃描器效能造成負面影響。
安裝掃描器的多個實例 當您為掃描器指定自訂叢集名稱時,Azure 資訊保護掃描器支援相同 SQL Server 實例上的多個設定資料庫。

提示:多個掃描器也可以共用相同的叢集,進而加快掃描時間。 如果您打算在同一個資料庫實例的多部電腦上安裝掃描器,而且希望掃描器以平行方式執行,則必須使用相同的叢集名稱安裝所有掃描器。
檢查您的替代組態使用方式 當您使用替代設定,將預設標籤套用至所有檔案時,掃描器的執行速度會加快,原因是掃描器沒有檢查檔案內容。

當您使用替代設定來找出所有自訂條件以及已知敏感資訊類型時,掃描器的執行速度變得更慢。

影響效能的其他因素

影響掃描器效能的其他因素包括:

因素 Description
載入/回應時間 包含要掃描之檔案的資料存放區的目前載入和回應時間也會影響掃描器效能。
掃描器模式 (探索/強制執行) 探索模式通常具有比強制模式更高的掃描速率。

探索需要單一檔案讀取動作,而強制模式則需要讀取和寫入動作。
原則變更 如果您已變更標籤原則中的自動標籤,您的掃描器效能可能會受到影響。

第一個掃描週期,當掃描器必須檢查每個檔案時,預設會花費比後續掃描週期更長的時間,只檢查新的和已變更的檔案。

如果您變更條件或自動標記設定,則會再次掃描所有檔案。 如需詳細資訊,請參閱 重新掃描檔案
Regex 建構 掃描器效能會受到建構自訂條件之 Regex 運算式的方式所影響。

為了避免大量記憶體耗用量和逾時的風險 (每個檔案 15 分鐘),請檢閱規則運算式以進行有效率的模式比對。

例如:
- 避免 窮盡數量詞
- 使用非擷取群組,例如 (?:expression) 而非 (expression)
記錄層級 記錄層級選項包括掃描器報告的 [偵錯]、 [資訊]、[ 錯誤 ] 和 [ 關閉 ]。

- 關閉 會產生最佳效能
- 錯會大幅降低掃描器的速度,而且只應該用於疑難排解。

如需詳細資訊,請查看 Set-AIPScannerConfigurationReportLevel 參數。
正在掃描的檔案 - 除了 Excel 檔案之外,Office 檔案會比 PDF 檔案更快掃描。

- 未受保護的檔案比受保護的檔案更快掃描。

- 大型檔案的掃描時間明顯比小型檔案長。

使用 PowerShell 設定掃描器

本節說明當您無法存取Azure 入口網站中的掃描器頁面,且只能使用 PowerShell 時,設定及安裝 AIP 內部部署掃描器所需的步驟。

重要

  • 不論您是否能夠存取Azure 入口網站中的掃描器頁面,某些步驟都需要 Powershell,而且完全相同。 如需這些步驟,請參閱本文先前所述的指示。

  • 如果您使用適用于 Azure China 21Vianet 的掃描器,除了此處詳述的指示之外,還需要額外的步驟。 如需詳細資訊,請參閱21Vianet 所操作Office 365的 Azure 資訊保護支援

如需詳細資訊,請參閱 支援的 PowerShell Cmdlet

若要設定並安裝掃描器

  1. 從 PowerShell 關閉開始。 如果您先前已安裝 AIP 用戶端和掃描器,請確定 AIPScanner 服務已停止。

  2. 使用 [以系統管理員身分執行] 選項來開啟 Windows PowerShell 工作階段。

  3. 執行 Install-AIPScanner 命令,以在 SQL Server 實例上安裝掃描器,並使用 Cluster 參數來定義您的叢集名稱。

    不論您是否能夠存取Azure 入口網站中的掃描器頁面,此步驟都相同。 如需詳細資訊,請參閱本文中的先前指示: 安裝掃描器

  4. 取得要與您的掃描器搭配使用的 Azure 權杖,然後重新驗證。

    不論您是否能夠存取Azure 入口網站中的掃描器頁面,此步驟都相同。 如需詳細資訊,請參閱本文中的先前指示: 取得掃描器的 Azure AD 權杖

  5. 執行 Set-AIPScannerConfiguration Cmdlet,將掃描器設定為在離線模式中運作。 請執行:

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  6. 執行 Set-AIPScannerContentScanJob Cmdlet 來建立預設的內容掃描工作。

    Set-AIPScannerContentScanJob Cmdlet 中唯一的必要參數是Enforce。 不過,您目前可能會想要定義內容掃描工作的其他設定。 例如:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    上述語法會在您繼續設定時設定下列設定:

    • 讓掃描器執行排程保持 手動
    • 設定要根據敏感度標籤原則探索的資訊類型
    • 不會強制執行敏感度標籤原則
    • 使用針對敏感度標籤原則定義的預設標籤,根據內容自動標記檔案
    • 不允許重新標記檔案
    • 掃描和自動套用標籤時保留檔案詳細資料,包括修改日期上次修改,以及由值修改
    • 設定掃描器在執行時排除 .msg 和 .tmp 檔案
    • 將預設擁有者設定為執行掃描器時所要使用的帳戶
  7. 使用 Add-AIPScannerRepository Cmdlet 來定義您想要在內容掃描工作中掃描的存放庫。 例如,執行:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    根據您要新增的存放庫類型,使用下列其中一個語法:

    • 針對網路共用,請使用 \\Server\Folder
    • 若為 SharePoint 文件庫,請使用 http://sharepoint.contoso.com/Shared%20Documents/Folder
    • 針對本機路徑:C:\Folder
    • 針對 UNC 路徑: \\Server\Folder

    注意

    不支援萬用字元和 WebDav 位置。

    若要稍後修改存放庫,請改用 Set-AIPScannerRepository Cmdlet。

    如果您新增 共用檔的SharePoint 路徑:

    • 當您想要掃描 [Shared Documents] 中的所有文件和所有資料夾時,請在路徑中指定 Shared Documents。 例如: http://sp2013/SharedDocuments
    • 當您想要掃描 [Shared Documents] 下子資料夾中的所有文件和所有資料夾時,請在路徑中指定 Documents。 例如: http://sp2013/Documents/SalesReports
    • 或者,只指定 Sharepoint 的 FQDN ,例如 http://sp2013 ,在此 URL 下探索和掃描特定 URL 下的所有 SharePoint 網站和子網站和子網站 。 授與掃描器 網站收集器稽核員 啟用此功能的許可權。

    新增 SharePoint 路徑時,請使用下列語法:

    路徑 Syntax
    根路徑 http://<SharePoint server name>

    掃描所有網站,包括掃描器使用者允許的任何網站集合。
    需要 額外的許可權 才能自動探索根內容
    特定 SharePoint 子網站或集合 下列其中之一:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    需要 額外的許可權 才能自動探索網站集合內容
    特定 SharePoint 文件庫 下列其中之一:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    特定 SharePoint 資料夾 http://<SharePoint server name>/.../<folder name>

視需要繼續進行下列步驟:

使用 PowerShell 設定掃描器以套用分類和保護

  1. 執行 Set-AIPScannerContentScanJob Cmdlet 來更新內容掃描工作,以將排程設定為一律並強制執行敏感度原則。

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On
    

    秘訣

    您可以變更此窗格上的其他設定,例如檔案屬性是否已變更,以及掃描器是否可以重新標記檔案。 如需可用設定的詳細資訊,請參閱完整的 PowerShell 檔

  2. 執行 Start-AIPScan Cmdlet 來執行內容掃描工作:

    Start-AIPScan
    

掃描器現在已排定持續執行。 當掃描器透過所有已設定的檔案運作時,會自動啟動新的迴圈,以便探索任何新的和變更的檔案。

使用 PowerShell 設定掃描器的 DLP 原則

  1. 再次執行 Set-AIPScannerContentScanJob Cmdlet,並將 -EnableDLP 參數設定為 On,並定義特定存放庫擁有者。

    例如:

    Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
    

支援的 PowerShell Cmdlet

本節列出 Azure 資訊保護掃描器支援的 PowerShell Cmdlet,以及僅使用 PowerShell 設定及安裝掃描器的指示。

掃描器支援的 Cmdlet 包括:

下一步

安裝並設定掃描器之後,請開始 掃描您的檔案

另請參閱:部署 Azure 資訊保護掃描器以自動分類和保護檔案

詳細資訊