安裝和部署 Azure 資訊保護統一標籤掃描器的需求

安裝 Azure 資訊保護內部部署掃描器之前,請確定您的系統符合基本的Azure 資訊保護需求

此外,掃描器有下列特定需求:

如果您無法符合掃描器列出的所有需求,因為貴組織原則禁止這些需求,請參閱 替代組態 一節。

在生產環境中部署掃描器或測試多個掃描器的效能時,請參閱SQL Server的儲存體需求和容量規劃

當您準備好開始安裝和部署掃描器時,請繼續進行部署 Azure 資訊保護掃描器以自動分類和保護檔案

Windows Server 需求

您必須有 Windows Server 電腦才能執行掃描器,其具有下列系統規格:

規格 詳細資料
處理器 4 個核心處理器
RAM 8 GB
磁碟空間 10 GB 可用空間 (暫存檔的平均) 。

掃描器需要足夠的磁碟空間,才能為每個掃描的檔案建立暫存檔,每個核心有四個檔案。

建議的磁碟空間為 10 GB,可讓 4 個核心處理器掃描 16 個檔案,每個檔案的檔案大小為 625 MB。
作業系統 64 位版本的:

- Windows Server 2019
- Windows Server 2016 - Windows Server 2012
R2

注意:針對非生產環境中的測試或評估用途,您也可以使用Azure 資訊保護 用戶端支援的任何 Windows 作業系統。
網路連線 掃描器電腦可以是實體或虛擬電腦,且具有快速且可靠的網路連線,可掃描資料存放區。

如果因為您的組織原則而無法連線網際網路,請參閱 使用替代組態部署掃描器

否則,請確定這部電腦具有網際網路連線能力,允許透過 HTTPS (埠 443) 下列 URL:

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com
- *.protection.outlook.com
NFS 共用 若要支援 NFS 共用上的掃描,必須在掃描器電腦上部署 NFS 的服務。

在您的電腦上,流覽至 [Windows 功能] ([開啟或關閉 Windows 功能]) 設定對話方塊,然後選取下列專案:[NFS>系統管理工具] 和[用戶端 for NFS的服務]。
Microsoft Office iFilter 當您的掃描器安裝在 Windows Server 機器上時,您也必須安裝 Microsoft Office iFilter,才能掃描.zip檔案中的敏感性資訊類型。

如需詳細資訊,請參閱 Microsoft 下載網站

服務帳戶需求

您必須擁有服務帳戶,才能在 Windows Server 電腦上執行掃描器服務,以及向 Azure AD 進行驗證,並下載 Azure 資訊保護原則。

您的服務帳戶必須是 Active Directory 帳戶,並同步處理至 Azure AD。

如果您因為組織原則而無法同步處理此帳戶,請參閱 使用替代設定部署掃描器

此服務帳戶具備下列需求:

需求 詳細資料
登入本機 使用者權限指派 安裝和設定掃描器時需要,但執行掃描時不需要。

確認掃描器可以探索、分類及保護檔案之後,就可以從服務帳戶中移除此許可權。

如果因為您的組織原則而無法授與此許可權一段時間,請參閱 使用替代組態部署掃描器
以服務 使用者權限指派登入。 此權限會在掃描器安裝期間自動授與服務帳戶,而掃描器的安裝、設定和作業需要此權限。
資料存放庫的權限 - 檔案共用或本機檔案:授與 讀取寫入修改 掃描檔案的許可權,然後依設定套用分類和保護。

- SharePoint:您必須授與完整控制許可權,以掃描檔案,然後將分類和保護套用至符合 Azure 資訊保護 原則條件的檔案。

- 探索模式:若要只在探索模式中執行掃描器, 讀取 許可權就已足夠。
針對重新保護或移除保護的標籤 若要確保掃描器一律可以存取受保護的檔案,請將此帳戶設為 Azure 資訊保護的進階使用者,並確保已啟用進階使用者功能。

此外,如果您已實作階段式部署的 上線控制項 ,請確定服務帳戶包含在您已設定的上線控制項中。
特定 URL 層級掃描 若要掃描和探索 特定 URL 下的網站和子網站,請將 網站收集器稽核者 許可權授與伺服器陣列層級上的掃描器帳戶。
資訊保護的授權 需要提供檔案分類、標籤或保護功能給掃描器服務帳戶。

如需詳細資訊,請參閱 Azure 資訊保護部署藍圖Microsoft 365 安全性 & 合規性指引

SQL Server 需求

若要儲存掃描器組態資料,請使用具有下列需求的 SQL Server:

  • 本機或遠端實例。

    除非您使用小型部署,否則建議您在不同的機器上裝載 SQL Server 和掃描器服務。 此外,我們建議只提供掃描器資料庫的專用 SQL 實例,而不會與其他應用程式共用。

    如果您要在共用伺服器上工作,請確定掃描器資料庫可用的 建議核心數目

    SQL Server 2016 是下列版本的最低版本:

    • SQL Server Enterprise

    • SQL Server Standard

    • 僅針對測試環境建議SQL Server Express ()

  • 具有 Sysadmin 角色的帳戶,可安裝掃描器。

    Sysadmin 角色可讓安裝程式自動建立掃描器組態資料庫,並將必要的 db_owner 角色授與執行掃描器的服務帳戶。

    如果您無法獲授與系統管理員角色,或組織原則需要手動建立和設定資料庫,請參閱 使用替代設定部署掃描器

  • 能力。 如需容量指引,請參閱SQL Server的儲存體需求和容量規劃

  • 不區分大小寫的定序

注意

當您指定掃描器的自訂叢集名稱,或使用掃描器的預覽版本時,支援相同 SQL Server 上的多個組態資料庫。

SQL Server的儲存體需求和容量規劃

掃描器組態資料庫所需的磁碟空間量,以及執行SQL Server的電腦規格可能會因每個環境而有所不同,因此建議您自行進行測試。 使用下列指引作為起點。

如需詳細資訊,請參閱 優化掃描器的效能

掃描器組態資料庫的磁片大小會因每個部署而有所不同。 使用下列方程式作為指引:

100 KB + <file count> *(1000 + 4* <average file name length>)

例如,若要掃描平均檔案名長度為 250 個位元組的 1 百萬個檔案,請配置 2 GB 的磁碟空間。

針對多個掃描器:

  • 最多 10 部掃描器,請使用:

    • 4 個核心處理器
    • 建議使用 8 GB RAM
  • 超過 10 個掃描器 (最多 40 個) ,請使用:

    • 8 個核心程式
    • 建議使用 16 GB RAM

Azure 資訊保護用戶端需求

您必須在 Windows Server 電腦上安裝 Azure 資訊保護 用戶端的目前正式運作版本

如需詳細資訊,請參閱 統一標籤用戶端系統管理員指南

重要

您必須安裝掃描器的完整用戶端。 請不要安裝只有 PowerShell 模組的用戶端。

標籤設定需求

您必須在掃描器帳戶的Microsoft Purview 合規性入口網站中至少設定一個敏感度標籤,才能套用分類,並選擇性地套用保護。

掃描器帳戶是您將在Set-AIPAuthentication Cmdlet 的DelegatedUser參數中指定的帳號,在設定掃描器時執行。

如果您的標籤沒有自動套用標籤條件,請參閱下方 替代組態的指示

如需詳細資訊,請參閱

SharePoint 需求

若要掃描 SharePoint 文件庫和資料夾,請確定您的 SharePoint 伺服器符合下列需求:

需求 描述
支援版本 支援的版本包括:SharePoint 2019、SharePoint 2016 和 SharePoint 2013。
掃描器不支援其他版本的 SharePoint。
版本控制 當您使用 版本設定時,掃描器會檢查並標記最後一個已發佈的版本。

如果需要掃描器標籤檔案和 內容核准 ,則必須核准該標記的檔案,才能供使用者使用。
大型 SharePoint 伺服器陣列 若為大型 SharePoint 伺服器陣列,請檢查您是否需要增加清單檢視閾值 (預設為 5000),以便掃描器能存取所有檔案。

如需詳細資訊,請參閱 在 SharePoint 中管理大型清單和文件庫
長檔案路徑 如果您在 SharePoint 中有長檔案路徑,請確定 SharePoint 伺服器的 HTTPRuntime.maxUrlLength 值大於預設的 260 個字元。

如需詳細資訊,請參閱 避免 SharePoint 中的掃描器逾時

Microsoft Office 需求

若要掃描 Office 檔,您的檔必須是下列其中一種格式:

  • Microsoft Office 97-2003
  • Word、Excel 和 PowerPoint 的 Office Open XML 格式

如需詳細資訊,請參閱Azure 資訊保護統一標籤用戶端支援的檔案類型

檔案路徑需求

根據預設,若要掃描檔案,您的檔案路徑最多必須有 260 個字元。

若要掃描檔案路徑超過 260 個字元的檔案,請在具有下列其中一個 Windows 版本的電腦上安裝掃描器,並視需要設定電腦:

Windows 版本 描述
Windows 2016 或更新版本 設定電腦以支援長路徑
Windows 10或Windows Server 2016 定義下列群組原則設定:本機電腦原則>電腦> 設定系統管理範本>所有設定>啟用 Win32 長路徑

For more information long file path support in these versions, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.
Windows 10 1607 版或更新版本 加入宣告更新 MAX_PATH 功能。 如需詳細資訊,請參閱在 Windows 10 1607 版和更新版本中啟用長路徑

部署使用替代設定的掃描器

上述必要條件是掃描器部署的預設需求,建議使用,因為它們支援最簡單的掃描器設定。

預設需求應該適用于初始測試,以便您可以檢查掃描器的功能。

不過,在生產環境中,貴組織的原則可能與預設需求不同。 掃描器可以使用其他設定來容納下列變更:

探索及掃描特定 URL 下的所有 Sharepoint 網站和子網站

掃描器可以使用下列設定,探索及掃描特定 URL 下的所有 Sharepoint 網站和子網站:

  1. 啟動 SharePoint 管理中心

  2. SharePoint 管理中心 網站的 [ 應用程式管理 ] 區段中,按一下 [ 管理 Web 應用程式]。

  3. 按一下即可反白顯示您想要管理其許可權原則層級的 Web 應用程式。

  4. 選擇相關的伺服器陣列,然後選取 [ 管理許可權原則層級]。

  5. 在 [網站集合許可權] 選項中選取[網站集合稽核員],然後授與 [許可權] 清單中的 [檢視應用程式頁面],最後,將新的原則層級命名為AIP 掃描器網站集合稽核員和檢視器

  6. 將掃描器使用者新增至新的原則,並在 [許可權] 清單中授與 網站集合

  7. 新增裝載需要掃描之網站或子網站的 SharePoint URL。 如需詳細資訊,請參閱在Azure 入口網站中設定掃描器

若要深入瞭解如何管理 SharePoint 原則層級,請參閱 管理 Web 應用程式的許可權原則

限制:掃描器伺服器無法連線到網際網路

雖然統一標籤用戶端無法在沒有網際網路連線的情況下套用保護,但掃描器仍然可以根據匯入的原則套用標籤。

若要支援已中斷連線的電腦,請使用下列其中一種方法:

搭配已中斷連線的電腦使用Azure 入口網站

若要支援已中斷連線的電腦與Azure 入口網站,請執行下列步驟:

  1. 在您的原則中設定標籤,然後使用 程式來支援已中斷連線的電腦 ,以啟用離線分類和標籤。

  2. 啟用內容和網路掃描作業的離線管理,如下所示:

    啟用內容掃描工作的離線管理

    1. 使用Set-AIPScannerConfiguration Cmdlet,將掃描器設定為在離線模式中運作。

    2. 藉由建立掃描器叢集,在Azure 入口網站中設定掃描器。 如需詳細資訊,請參閱在Azure 入口網站中設定掃描器

    3. 使用 [匯出] 選項,從Azure 資訊保護 - 內容掃描工作窗格匯出內容作業

    4. 使用 Import-AIPScannerConfiguration Cmdlet 匯入原則。

    離線內容掃描工作的結果位於: %localappdata%\Microsoft\MSIP\Scanner\Reports

    啟用網路掃描作業的離線管理

    1. 使用 Set-MIPNetworkDiscoveryConfiguration Cmdlet,將網路探索服務 (公開預覽) 設定為在離線模式中運作。

    2. 在Azure 入口網站中設定網路掃描作業。 如需詳細資訊,請參閱 建立網路掃描作業

    3. 使用 [匯出] 選項,從Azure 資訊保護 - 網路掃描作業 (預覽) 窗格匯出網路掃描作業

    4. 使用與叢集名稱相符的檔案,使用 Import-MIPNetworkDiscoveryConfiguration Cmdlet 匯入網路掃描作業。

    離線網路掃描工作的結果位於: %localappdata%\Microsoft\MSIP\Scanner\Reports

搭配已中斷連線的電腦使用 PowerShell

執行下列程式,僅使用 PowerShell 支援已中斷連線的電腦。

重要

Azure China 21Vianet 掃描器伺服器的系統管理員必須使用此程式來管理其內容掃描工作。

僅使用 PowerShell 管理您的內容掃描工作

  1. 使用Set-AIPScannerConfiguration Cmdlet,將掃描器設定為在離線模式中運作。

  2. 使用 Set-AIPScannerContentScanJob Cmdlet 建立新的內容掃描工作,請務必使用強制 -Enforce On 參數。

  3. 使用 Add-AIPScannerRepository Cmdlet 新增存放庫,以及您要新增之存放庫的路徑。

    秘訣

    若要防止存放庫繼承內容掃描工作的設定,請新增 OverrideContentScanJob On 參數,以及其他設定的值。

    若要編輯現有存放庫的詳細資料,請使用 Set-AIPScannerRepository 命令。

  4. 使用 Get-AIPScannerContentScanJobGet-AIPScannerRepository Cmdlet 可傳回內容掃描工作目前設定的相關資訊。

  5. 使用 Set-AIPScannerRepository 命令來更新現有存放庫的詳細資料。

  6. 如有需要,請使用 Start-AIPScan Cmdlet 立即執行您的內容掃描工作。

    離線內容掃描工作的結果位於: %localappdata%\Microsoft\MSIP\Scanner\Reports

  7. 如果您需要移除存放庫或整個內容掃描工作,請使用下列 Cmdlet:

限制:您無法獲得授與系統管理員,或必須手動建立和設定資料庫

使用下列程式手動建立資料庫,並視需要授 與db_owner 角色。

如果您可以 暫時 將 Sysadmin 角色授與安裝掃描器,您可以在掃描器安裝完成時移除此角色。

根據您的組織需求執行下列其中一項操作:

限制 描述
您可以暫時擁有系統管理員角色 如果您暫時擁有 Sysadmin 角色,系統會自動為您建立資料庫,而且掃描器的服務帳戶會自動獲得所需的許可權。

不過,設定掃描器的使用者帳戶仍然需要掃描器設定資料庫的 db_owner 角色。 如果您只有 Sysadmin 角色,直到掃描器安裝完成為止,請手動將 db_owner 角色授與使用者帳戶。
您完全不能有 Sysadmin 角色 如果您無法暫時授與 Sysadmin 角色,您必須先要求具有系統管理員許可權的使用者手動建立資料庫,才能安裝掃描器。

針對此設定, db_owner 角色必須指派給下列帳戶:
- 掃描器的服務帳戶
- 掃描器安裝的使用者帳戶
- 掃描器設定的使用者帳戶

一般而言,您會使用相同的使用者帳戶來安裝和設定掃描器。 如果您使用不同的帳戶,它們都需要掃描器設定資料庫的 db_owner 角色。 視需要建立此使用者和許可權。 如果您指定自己的叢集名稱,組態資料庫會命名為 AIPScannerUL_ < cluster_name >

此外:

  • 您必須是將執行掃描器之伺服器上的本機系統管理員

  • 將執行掃描器的服務帳戶必須授與下列登錄機碼的完整控制許可權:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

如果在設定這些許可權之後,您會在安裝掃描器時看到錯誤,可以忽略此錯誤,而且您可以手動啟動掃描器服務。

手動建立掃描器的資料庫和使用者,並授與db_owner許可權

如果您需要手動建立掃描器資料庫和/或建立使用者並授與 資料庫db_owner 許可權,請要求 Sysadmin 執行下列步驟:

  1. 建立掃描器的資料庫:

    **CREATE DATABASE AIPScannerUL_[clustername]**
    
    **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
    
  2. 將許可權授與執行安裝命令的使用者,並用來執行掃描器管理命令。 使用下列指令碼:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. 授與掃描器服務帳戶的許可權。 使用下列指令碼:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

手動建立網路探索服務的資料庫和使用者,並授與db_owner許可權

如果您需要手動建立 網路探索 資料庫和/或建立使用者,並授與 資料庫db_owner 許可權,請要求 Sysadmin 執行下列步驟:

  1. 建立網路探索服務的資料庫:

    **CREATE DATABASE AIPNetworkDiscovery_[clustername]**
    
    **ALTER DATABASE AIPNetworkDiscovery_[clustername] SET TRUSTWORTHY ON**
    
  2. 將許可權授與執行安裝命令的使用者,並用來執行掃描器管理命令。 使用下列指令碼:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. 授與掃描器服務帳戶的許可權。 使用下列指令碼:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

限制:掃描器的服務帳戶無法獲得授與本機登入權限

如果您的組織原則禁止服務帳戶的 本機登入 ,請使用 OnBehalfOf 參數搭配 Set-AIPAuthentication。

如需詳細資訊,請參閱如何針對 Azure 資訊保護以非互動方式為檔案加上標籤 (英文)。

限制:掃描器服務帳戶無法同步處理至 Azure Active Directory,但伺服器具有網際網路連線

您能用一個帳戶執行掃描器服務,並使用另一個帳戶來向 Azure Active Directory 驗證:

  • 針對掃描器服務帳戶,請使用本機 Windows 帳戶或 Active Directory 帳戶。

  • 針對 Azure Active Directory 帳戶,在DelegatedUser參數的Set-AIPAuthentication Cmdlet 中指定 AAD 使用者。

    如果您是在掃描器帳戶以外的任何使用者下執行掃描,請務必在 OnBehalfOf 參數中指定掃描器帳戶。

    如需詳細資訊,請參閱如何針對 Azure 資訊保護以非互動方式為檔案加上標籤 (英文)。

限制:您的標籤沒有自動套用標籤條件

如果您的標籤沒有任何自動套用標籤條件,請規劃在設定掃描器時使用下列其中一個選項:

選項 描述
探索所有資訊類型 在您的 內容掃描工作中,將 [ 要探索的資訊類型 ] 選項設定為 [全部]。

此選項會設定內容掃描工作,以掃描所有敏感性資訊類型的內容。
使用建議的標籤 內容掃描工作中,將 [ 將建議標籤視為自動選項] 設定為 [ 開啟]。

此設定會將掃描器設定為在您的內容上自動套用所有建議標籤。
定義預設標籤 在您的 原則內容掃描工作存放庫中定義預設標籤。

在此情況下,掃描器會在找到的所有檔案上套用預設標籤。

下一步

確認系統符合掃描器必要條件之後,請繼續部署 Azure 資訊保護掃描器以自動分類和保護檔案

如需掃描器的概觀,請參閱部署 Azure 資訊保護掃描器以自動分類和保護檔案

詳細資訊