開始使用資訊保護掃描器
注意事項
現在處於預覽狀態,有新版本的資訊保護掃描器。 如需詳細資訊,請參閱從 Azure 資訊保護 客戶端升級 Microsoft Purview 資訊保護 掃描器。
從 Microsoft Purview 資訊保護 安裝掃描器之前,請確定您的系統符合基本的 Azure 資訊保護 需求。
此外,掃描器有下列特定需求:
- Windows Server 需求
- 服務帳戶需求
- SQL Server 需求
- Azure 資訊保護 用戶端需求
- 標籤設定需求
- SharePoint 需求
- Microsoft Office 需求
- 檔案路徑需求
如果您無法滿足掃描器所列的所有需求,因為您的組織原則禁止這些需求,請參閱 替代組態一 節。
在生產環境中部署掃描器或測試多個掃描器的效能時,請參閱 SQL Server的記憶體需求和容量規劃。
當您準備好開始安裝和部署掃描器時,請繼續設定 和安裝資訊保護掃描器。
Windows Server 需求
您必須有 Windows Server 電腦才能執行掃描器,具有下列系統規格:
| 規範 | 詳細資料 |
|---|---|
| 處理器 | 4 個核心處理器 |
| RAM | 8 GB |
| 磁碟空間 | 暫存盤的平均) (10 GB 可用空間。 掃描器需要足夠的磁碟空間,才能為掃描的每個檔案建立暫存盤,每個核心四個檔案。 建議的磁碟空間為 10 GB,可讓 4 個核心處理器掃描 16 個檔案,每個檔案的檔案大小為 625 MB。 |
| 作業系統 | 64 位版本的: - Windows Server 2022 - Windows Server 2019 - Windows Server 2016 - Windows Server 2012 R2 注意:針對非生產環境中的測試或評估用途,您也可以使用 Azure 資訊保護 客戶端支援的任何 Windows 操作系統。 |
| - 網路連線能力 | 您的掃描儀計算機可以是實體或虛擬計算機,可快速且可靠的網路連線到要掃描的數據存放區。 如果因組織原則而無法連線到因特網,請參閱 使用替代設定部署掃描器。 否則,請確定此計算機具有因特網連線能力,可透過 HTTPS (埠 443) 允許下列 URL: - *.aadrm.com - *.azurerms.com - *.informationprotection.azure.com - informationprotection.hosting.portal.azure.net - *.aria.microsoft.com - *.protection.outlook.com |
| NFS 共用 | 若要支援 NFS 共用上的掃描,NFS 的服務必須部署在掃描器電腦上。 在您的計算機上,流覽至 [Windows 功能] ([開啟或關閉 Windows 功能) 設定] 對話框,然後選取下列專案:NFS> 系統管理工具的服務和適用於 NFS 的用戶端。 |
| Microsoft Office iFilter | 當您的掃描器安裝在 Windows 伺服器電腦上時,您也必須安裝 Microsoft Office iFilter,才能掃描 .zip 檔案是否有敏感性資訊類型。 如需詳細資訊,請參閱 Microsoft 下載網站。 |
服務帳戶需求
您必須有服務帳戶,才能在 Windows Server 計算機上執行掃描器服務,以及驗證以 Microsoft Entra ID 並下載掃描器的原則。
您的服務帳戶必須是Active Directory 帳戶,並同步至 Microsoft Entra ID。
如果您因為組織原則而無法同步處理此帳戶,請參閱 使用替代設定部署掃描器。
此服務帳戶具有下列需求:
| 需求 | 詳細資料 |
|---|---|
| 登入本機 用戶權力指派 | 需要安裝和設定掃描器,但不需要執行掃描。 確認掃描器可以探索、分類及保護檔案之後,您可以從服務帳戶中移除此許可權。 如果因為組織原則而無法在短時間內授與此許可權,請參閱 使用替代設定部署掃描器。 |
| 以服務 用戶權力指派登入。 | 此許可權會在掃描器安裝期間自動授與服務帳戶,而且掃描器的安裝、設定和作業需要此許可權。 |
| 數據存放庫的許可權 | - 檔案共用或本機檔案:授與 讀取、 寫入和 修改 掃描檔案的許可權,然後依照設定套用分類和保護。 - SharePoint:您必須授與 [完全控制] 許可權,以掃描檔案,然後將分類和保護套用至符合 Azure 資訊保護 原則中條件的檔案。 - 探索模式:若只要在探索模式中執行掃描器, 讀 取許可權就已足夠。 |
| 針對重新保護或移除保護的標籤 | 若要確保掃描器一律能夠存取加密的檔案,請將此帳戶設為 Azure 資訊保護 的進階使用者,並確保已啟用進階使用者功能。 此外,如果您已針對階段式部署實作 上線控 件,請確定服務帳戶包含在您已設定的上線控件中。 |
| 特定 URL 層級掃描 | 若要掃描及探索 特定 URL 下的網站和子網站,請將 網站收集器稽核員 許可權授與伺服器數位級上的掃描儀帳戶。 |
| 信息保護的授權 | 必須提供檔案分類、標籤或保護功能給掃描器服務帳戶。 如需詳細資訊,請參閱 Microsoft 365 安全性 & 合規性指引。 |
SQL Server 需求
若要儲存掃描器設定數據,請使用具有下列需求的 SQL Server:
本機或遠程實例。
除非您使用小型部署,否則建議您在不同的計算機上裝載 SQL Server 和掃描器服務。 此外,我們建議您使用專用的 SQL 實例,僅供掃描器資料庫使用,且不會與其他應用程式共用。
如果您正在共享伺服器上工作,請確定 建議的核心數目 免費供掃描器資料庫運作。
SQL Server 2016 是下列版本的最低版本:
SQL Server Enterprise
SQL Server Standard
SQL Server Express (建議僅針對測試環境)
具有 Sysadmin 角色以安裝掃描器的帳戶。
Sysadmin 角色可讓安裝程式自動建立掃描器設定資料庫,並將必要的 db_owner 角色授與執行掃描器的服務帳戶。
如果您無法獲得系統管理員角色,或組織原則需要手動建立和設定資料庫,請參閱 使用替代設定部署掃描器。
能力。 如需容量指引,請參閱記憶體需求和 SQL Server 容量規劃。
注意事項
當您為掃描器指定自定義叢集名稱,或使用掃描器的預覽版本時,支援相同 SQL Server 上的多個設定資料庫。
SQL Server的記憶體需求和容量規劃
掃描器設定資料庫所需的磁碟空間量,以及執行 SQL Server 的計算機規格,可能會因每個環境而有所不同,因此我們鼓勵您自行進行測試。 請使用下列指引作為起點。
如需詳細資訊,請參閱 優化掃描器的效能。
掃描器設定資料庫的磁碟大小會因每個部署而有所不同。 使用下列方程式作為指引:
100 KB + <file count> *(1000 + 4* <average file name length>)
例如,若要掃描平均檔名長度為 250 個字節的 1 百萬個檔案,請配置 2 GB 的磁碟空間。
針對多個掃描器:
最多 10 個掃描器,請使用:
- 4 個核心處理器
- 建議使用 8 GB RAM
超過 10 個掃描器 (最多 40 個) ,請使用:
- 8 個核心進程
- 建議使用 16 GB RAM
Azure 資訊保護 用戶端需求
針對生產網路,您必須在 Windows Server 計算機上安裝目前正式運作的 Azure 資訊保護 用戶端版本。
如需詳細資訊,請參閱 Azure 資訊保護 統一卷標客戶端系統管理員指南。
重要事項
您必須安裝掃描器的完整用戶端。 請勿只使用PowerShell模組來安裝用戶端。
標籤設定需求
您必須在 Microsoft Purview 入口網站中設定至少一個敏感度標籤,或 Microsoft Purview 合規性入口網站 掃描儀帳戶的敏感度標籤,才能套用分類和選擇性加密。
掃描儀帳戶是您將在 Set-AIPAuthentication Cmdlet 的 DelegatedUser 參數中指定的帳戶,在設定掃描儀時執行。
如果您的標籤沒有自動套用標籤條件,請參閱下列 替代設定的指示 。
如需詳細資訊,請參閱:
SharePoint 需求
若要掃描 SharePoint 文件庫和資料夾,請確定您的 SharePoint 伺服器符合下列需求:
| 需求 | 描述 |
|---|---|
| 支援的版本: | 支援的版本包括:SharePoint 2019、SharePoint 2016 和 SharePoint 2013。 掃描器不支援其他版本的 SharePoint。 |
| 版本設定 | 當您使用 版本設定時,掃描器會檢查並標示上次發佈的版本。 如果掃描儀為檔案加上標籤,且需要 內容核准 ,則必須核准已加上標籤的檔案才能供使用者使用。 |
| 大型 SharePoint 伺服器陣列 | 針對大型 SharePoint 伺服器數位,請檢查您是否需要根據預設增加清單檢視閾值 (,5,000) 掃描器才能存取所有檔案。 如需詳細資訊,請 參閱在 SharePoint 中管理大型清單和文檔庫。 |
| 長檔案路徑 | 如果您在 SharePoint 中有很長的檔案路徑,請確定 SharePoint 伺服器的 HTTPRuntime.maxUrlLength 值大於預設的 260 個字元。 如需詳細資訊,請參閱下一節: 避免 SharePoint 中的掃描器逾時。 |
避免 SharePoint 中的掃描器逾時
如果您在 SharePoint 2013 版或更高版本中有很長的檔案路徑,請確定 SharePoint 伺服器的 httpRuntime.maxUrlLength 值大於預設的 260 個字符。
此值定義於組態的 HttpRuntimeSection 類別中 ASP.NET 。
若要更新 HttpRuntimeSection 類別:
備份您的 web.config 組態。
視需要更新 maxUrlLength 值。 例如:
<httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000" />重新啟動您的 SharePoint Web 伺服器,並確認其載入正確。
例如,在 Windows Internet Information Servers (IIS) Manager 中,選取您的網站,然後在 [ 管理網站] 底下,選取 [ 重新啟動]。
Microsoft Office 需求
若要掃描 Office 檔,您的文件必須是下列其中一種格式:
- Microsoft Office 97-2003
- 適用於 Word、Excel 和 PowerPoint 的 Office Open XML 格式
如需詳細資訊,請參閱 Azure 資訊保護 統一卷標用戶端支援的文件類型。
檔案路徑需求
根據預設,若要掃描檔案,您的檔案路徑最多必須有 260 個字元。
若要掃描檔案的檔案路徑超過 260 個字元,請在具有下列其中一個 Windows 版本的電腦上安裝掃描器,並視需要設定電腦:
| Windows 版本 | 描述 |
|---|---|
| Windows 2016 或更新版本 | 設定計算機以支持長路徑 |
| Windows 10 或 Windows Server 2016 | 定義下列組策略設定:本機計算機原則>計算機設定>系統管理>範本所有設定>啟用Win32 長路徑。 For more information long file path support in these versions, see the Maximum Path Length Limitation section from the Windows 10 developer documentation. |
| Windows 10 1607 版或更新版本 | 選擇加入更新的 MAX_PATH 功能。 如需詳細資訊,請參閱在 Windows 10 1607 版和更新版本中啟用長路徑。 |
使用替代組態部署掃描器
以上所列的必要條件是掃描器部署的預設需求,建議使用,因為它們支援最簡單的掃描器設定。
默認需求應適用於初始測試,以便您檢查掃描器的功能。
不過,在生產環境中,貴組織的原則可能會與預設需求不同。 掃描器可以透過其他設定來容納下列變更:
探索並掃描特定 URL 下的所有 SharePoint 網站和子網站
掃描器可以使用下列設定,探索並掃描特定 URL 下的所有 SharePoint 網站和子網站:
啟動 SharePoint 管理中心。
在 SharePoint 管理中心 網站上的 [應用程式 管理] 區段中,按兩下 [ 管理 Web 應用程式]。
按兩下即可反白顯示您想要管理其許可權原則層級的 Web 應用程式。
選擇相關的伺服器陣列,然後選取 [管理許可權原則層級]。
在 [網站集合 許可權] 選項中選取 [ 網站集合 稽核員],然後在 [許可權] 清單中授與 [ 檢視應用程式頁面 ],最後將新的原則層級命名為 掃描儀網站集合稽核員和查看器。
將掃描器使用者新增至新原則,並在 [許可權] 清單中授與 網站集合 。
新增裝載需要掃描之網站或子網站的 SharePoint URL。 如需詳細資訊, 請參閱設定掃描器設定。
若要深入瞭解如何管理 SharePoint 原則層級,請參閱 管理 Web 應用程式的許可權原則。
限制:掃描儀伺服器不能有因特網連線
雖然統一卷標客戶端無法在沒有因特網連線的情況下套用加密,但掃描器仍然可以根據匯入的原則套用標籤。
若要支援中斷連線的計算機,請使用下列其中一種方法:
請盡可能使用 (建議的合規性入口網站)
使用 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 與中斷連線的電腦
若要支持無法連線到 Microsoft Purview 入口網站或 Microsoft Purview 合規性入口網站 的電腦,請執行下列步驟:
在原則中設定標籤,然後使用 程式來支援中斷連線的計算機 ,以啟用離線分類和標籤。
啟用內容作業的離線管理,如下所示:
開啟內容掃描作業的離線管理:
使用 Set-AIPScannerConfiguration Cmdlet,將掃描器設定為在離線模式下運作。
藉由建立掃描儀叢集,在合規性入口網站中設定掃描器。 如需詳細資訊, 請參閱設定掃描器設定。
使用 [匯出] 選項,從 [信息保護 - 內容掃描工作] 窗格匯出您的內容作業。
使用 Import-AIPScannerConfiguration Cmdlet 匯入原則。
離線內容掃描工作的結果位於: %localappdata%\Microsoft\MSIP\Scanner\Reports
使用 PowerShell 搭配已中斷連線的電腦
執行下列程式,僅使用PowerShell支援中斷連線的電腦。
重要事項
Azure China 21Vianet 掃描儀伺服器的系統管理員必須使用此程式來管理其內容掃描作業。
僅使用 PowerShell 管理您的內容掃描作業:
使用 Set-AIPScannerConfiguration Cmdlet,將掃描器設定為在離線模式下運作。
使用 Set-AIPScannerContentScanJob Cmdlet 建立新的內容掃描作業,請務必使用強制
-Enforce On參數。使用 Add-AIPScannerRepository Cmdlet,以及您想要新增之存放庫的路徑,新增您的存放庫。
提示
若要防止存放庫繼承內容掃描作業中的設定,請新增
OverrideContentScanJob On參數,以及其他設定的值。若要編輯現有存放庫的詳細數據,請使用 Set-AIPScannerRepository 命令。
使用 Get-AIPScannerContentScanJob 和 Get-AIPScannerRepository Cmdlet 可傳回內容掃描作業目前設定的相關信息。
使用 Set-AIPScannerRepository 命令來更新現有存放庫的詳細數據。
視需要使用 Start-AIPScan Cmdlet,立即執行您的內容掃描作業。
離線內容掃描工作的結果位於: %localappdata%\Microsoft\MSIP\Scanner\Reports
如果您需要移除存放庫或整個內容掃描作業,請使用下列 Cmdlet:
限制:您無法被授與 Sysadmin,或必須手動建立和設定資料庫
使用下列程式手動建立資料庫,並視需要授 與db_owner 角色。
如果您可以 暫時 獲得 Sysadmin 角色以安裝掃描器,您可以在掃描器安裝完成時移除此角色。
視貴組織的需求而定,執行下列其中一項:
| Restriction | 描述 |
|---|---|
| 您可以暫時擁有 Sysadmin 角色 | 如果您暫時擁有 Sysadmin 角色,系統會自動為您建立資料庫,而且掃描器的服務帳戶會自動獲得必要的許可權。 不過,設定掃描器的用戶帳戶仍然需要掃描器設定資料庫 的db_owner 角色。 如果您在掃描器安裝完成之前只有 Sysadmin 角色,請手動將 db_owner 角色授與用戶帳戶。 |
| 您完全不能有 Sysadmin 角色 | 如果您甚至暫時無法被授與 Sysadmin 角色,您必須要求具有 Sysadmin 許可權的使用者在安裝掃描器之前手動建立資料庫。 針對此設定, 必須將db_owner 角色指派給下列帳戶: - 掃描器的服務帳戶 - 掃描器安裝的用戶帳戶 - 掃描器設定的用戶帳戶 一般而言,您會使用相同的用戶帳戶來安裝和設定掃描器。 如果您使用不同的帳戶,兩者都需要掃描器設定資料庫 的db_owner 角色。 視需要建立此用戶和許可權。 如果您指定自己的叢集名稱,設定資料庫會命名 為 AIPScannerUL_<cluster_name>。 |
此外:
您必須是伺服器上將執行掃描器的本機系統管理員
將執行掃描器的服務帳戶必須被授與下列登入機碼的完全控制權限:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server
如果在設定這些許可權之後,您在安裝掃描器時看到錯誤,則可以忽略錯誤,而且您可以手動啟動掃描器服務。
手動建立掃描器的資料庫和使用者,並授與db_owner許可權
如果您需要手動建立掃描儀資料庫和/或建立使用者,並在資料庫上授 與db_owner 許可權,請要求 Sysadmin 執行下列步驟:
建立掃描器的資料庫:
**CREATE DATABASE AIPScannerUL_[clustername]** **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**將許可權授與執行安裝命令並用來執行掃描器管理命令的使用者。 使用下列文稿:
if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END授與掃描器服務帳戶的許可權。 使用下列文稿:
if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
限制:掃描器的服務帳戶無法授與 本機登 入許可權
如果您的組織原則禁止服務帳戶 在 本機登入,請使用 OnBehalfOf 參數搭配 Set-AIPAuthentication。
如需詳細資訊,請參閱如何為 Azure 資訊保護 以非互動方式標記檔案。
限制:掃描器服務帳戶無法同步處理至 Microsoft Entra ID 但伺服器具有因特網連線能力
您可以有一個帳戶來執行掃描器服務,並使用另一個帳戶來驗證以 Microsoft Entra ID:
針對掃描儀服務帳戶,請使用本機 Windows 帳戶或 Active Directory 帳戶。
針對 Microsoft Entra 帳戶,請在 DelegatedUser 參數的 Set-AIPAuthentication Cmdlet 中指定 Microsoft Entra 使用者。
如果您是在掃描儀帳戶以外的任何用戶下執行掃描,請務必同時在 OnBehalfOf 參數中指定掃描儀帳戶。
如需詳細資訊,請參閱如何為 Azure 資訊保護 以非互動方式標記檔案。
限制:您的標籤沒有自動套用標籤條件
如果您的標籤沒有任何自動套用標籤條件,請規劃在設定掃描器時使用下列其中一個選項:
| 選項 | 描述 |
|---|---|
| 探索所有信息類型 | 在 您的內容掃描作業中,將 [ 要探索的信息類型 ] 選項設定為 [ 全部]。 此選項會設定內容掃描作業,以掃描所有敏感性資訊類型的內容。 |
| 使用建議的標籤 | 在 您的內容掃描作業中,將 [ 將建議的標籤視為自動 ] 選項設定為 [ 開啟]。 此設定會設定掃描器自動在您的內容上套用所有建議的標籤。 |
| 定義預設標籤 | 在原則、內容掃描作業或存放庫中定義預設標籤。 在此情況下,掃描器會在找到的所有檔案上套用默認標籤。 |
後續步驟
確認您的系統符合掃描器必要條件之後,請繼續設定 和安裝資訊保護掃描器。
如需掃描器的概觀,請參閱 瞭解資訊保護掃描器。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應