瞭解資訊保護掃描器

注意事項

現在處於預覽狀態，有新版本的資訊保護掃描器。 如需詳細資訊，請參閱從 Azure 資訊保護 客戶端升級 Microsoft Purview 資訊保護 掃描器。

使用本節中的資訊來瞭解 Microsoft Purview 資訊保護 掃描器，然後瞭解如何成功安裝、設定、執行，並在必要時進行疑難解答。

此掃描器在 Windows Server 上以服務方式執行，可讓您探索、分類及保護下列資料存放區上的檔案：

• 使用SMB或NFS (預覽) 通訊協定之網路共用的 UNC 路徑。

• 透過 SharePoint Server 2013 SharePoint Server 2019 的 SharePoint 文檔庫和資料夾。

為了分類及保護您的檔案，掃描器會使用 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 中設定的敏感度標籤。

掃描器概觀

信息保護掃描器可以檢查 Windows 可以編製索引的任何檔案。 如果您將敏感度標籤設定為套用自動分類，掃描器可以標記探索到的檔案以套用該分類，並選擇性地套用或移除保護。 如需資訊保護掃描器所支援 (SIT) 敏感性資訊類型的相關信息，請參閱 Microsoft Purview 資訊保護 掃描器支援的敏感性資訊類型。

下圖顯示掃描器架構，掃描器會在其中探索內部部署和 SharePoint 伺服器上的檔案。

若要檢查您的檔案，掃描器會使用安裝在電腦上的IFilters。 為了判斷檔案是否需要加上標籤，掃描器會使用敏感性資訊類型和模式偵測，或 regex 模式。

掃描儀會使用 Azure 資訊保護 用戶端，並可分類及保護與用戶端相同的檔案類型。 如需詳細資訊，請參閱 Azure 資訊保護 統一卷標用戶端支援的文件類型。

請視需要執行下列任一動作來設定掃描：

• 僅在探索模式中執行掃描器 ，以建立報告，以查看當您的檔案加上標籤時會發生什麼情況。
• 執行掃描器以探索具有敏感性資訊的檔案，而不設定套用自動分類的標籤。
• 自動執行掃描器 以套用已設定的標籤。
• 定義檔案類型清單 ，以指定要掃描或排除的特定檔案。

注意事項

掃描器不會即時探索和標記。 它會有系統地在您指定的數據存放區上編目檔案。 將此週期設定為執行一次，或重複執行一次。

提示

掃描器支援具有多個節點的掃描器叢集，可讓您的組織相應放大、達到更快速的掃描時間和更廣泛的範圍。

從頭開始部署多個節點，或從單一節點叢集開始，並在稍後隨著您成長而新增其他節點。 使用 Install-AIPScanner Cmdlet 的相同叢集名稱和資料庫來部署多個節點。

掃描程式

掃描檔案時，資訊保護掃描器會執行下列步驟：

1.判斷檔案是否包含或排除以進行掃描。

2.檢查檔案並標記檔案。

3.標記無法檢查的檔案。

如需詳細資訊，請參閱 掃描器未標示的檔案。

1.判斷檔案是否包含或排除以進行掃描

掃描器會自動略過從分類和保護中排除的檔案，例如可執行檔和系統檔案。 如需詳細資訊，請 參閱從分類和保護中排除的文件類型。

掃描器也會考慮明確定義要掃描或排除掃描的任何檔案清單。 檔案清單預設適用於所有數據存放庫，也可以只針對特定存放庫定義。

若要定義要掃描或排除的檔案清單，請使用 檔案類型來掃描內容掃描 作業中的設定。 例如：

如需詳細資訊，請 參閱部署掃描器來自動分類和保護檔案。

2.檢查檔案並標記檔案

識別排除的檔案之後，資訊保護掃描器會再次篩選以識別支援檢查的檔案。

這些篩選條件與操作系統用於 Windows 搜尋 和編製索引的篩選相同，不需要額外的設定。 Windows IFilter 也可用來掃描 Word、Excel 和 PowerPoint 所使用的文件類型，以及 PDF 檔和文本檔。

如需支援檢查的檔類型完整清單，以及設定篩選以包含 .zip 和.tiff檔案的其他指示，請參閱 支援檢查的檔類型。

檢查之後，支援的檔類型會使用為標籤指定的條件來標記。 如果您使用探索模式，這些檔案可以報告為包含為標籤指定的條件，或報告為包含任何已知的敏感性資訊類型。

已停止的掃描器進程

如果掃描器在完成存放庫中大量檔案的掃描之前停止，您可能需要增加裝載檔案之操作系統的動態埠數目。

例如，SharePoint 的伺服器強化是掃描器超過允許的網路連線數目，因而停止的原因之一。

若要檢查 SharePoint 的伺服器強化是否為掃描器停止的原因，請在 %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog 掃描儀記錄中檢查下列錯誤訊息 (將多個記錄壓縮成 zip 檔案) ：

Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

如需如何檢視目前埠範圍並視需要增加它的詳細資訊，請參閱 可修改以改善網路效能的設定。

提示

對於大型 SharePoint 伺服器陣列，您可能需要增加清單檢視閾值，其預設值為 5,000。

如需詳細資訊，請 參閱在 SharePoint 中管理大型清單和文檔庫。

3.標記無法檢查的檔案

對於無法檢查的任何檔類型，掃描器會從其敏感度標籤原則或為掃描器設定的默認標籤套用預設標籤。

掃描器未標示的檔案

掃描器無法在下列情況下為檔案加上標籤：

• 當標籤套用分類，但不套用保護時，且檔類型不支援僅由客戶端分類。 如需詳細資訊，請參閱 僅支援分類的檔類型。

• 當標籤套用分類和保護，但掃描器不支援檔類型時。

  根據預設，掃描器只會保護 Office 檔案類型，以及使用 PDF 加密的 ISO 標準來保護 PDF 檔案。

  當您 變更要保護的檔類型時，可以新增其他類型的檔案來進行保護。

範例：檢查 .txt 檔案之後，掃描器無法套用僅針對分類設定的標籤，因為 .txt 檔類型不支持分類。

不過，如果標籤已設定為分類 和 保護，且掃描器包含 .txt 檔類型來保護，掃描器就可以為檔案加上標籤。

後續步驟

如需部署掃描器的詳細資訊，請參閱下列文章：

• 掃描器部署必要條件
• 設定和安裝掃描器
• 使用掃描器執行掃描

詳細資訊：

• 觀看我們的掃描儀端對端示範影片！ 觀看掃描器架構、架構、建議、安裝和設定的逐步檢閱。

• 請參閱我們的部落格，了解掃描器的最佳做法： 部署和使用 AIP UL 掃描器的最佳做法。

• 對 Microsoft 中 Core Services 工程與作業小組如何實作此掃描器有興趣嗎？ 閱讀技術案例研究：使用 Azure 資訊保護 掃描器自動化數據保護。

• 您也可以使用PowerShell以互動方式分類及保護傳統型電腦中的檔案。 如需此案例和其他使用PowerShell案例的詳細資訊，請參閱搭配 Azure 資訊保護 統一卷標用戶端使用PowerShell。