Co je jednotný skener štítků Azure Information Protection?

  • Článek
  • 5 min ke čtení

Platí pro:Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Relevantní pouze pro:AIP unified labeling client only.

Informace v této části vám posouou informace o jednotném skeneru štítků Azure Information Protection a o tom, jak ho úspěšně nainstalovat, nakonfigurovat, spustit a v případě potřeby vyřešit.

Skener AIP běží jako služba na Windows Serveru a umožňuje zjišťovat, klasifikovat a zamknout soubory v následujících úložišť dat:

  • Cesty UNC pro sdílené síťové složky, které používají protokoly SMB nebo NFS (Preview).

  • SharePoint knihovny dokumentů a složky pro SharePoint Server 2019 až SharePoint Server 2013. SharePoint 2010 je podporován také pro zákazníky, kteří mají rozšířenoupodporu pro tuto verzi SharePoint .

Pokud chcete soubory klasifikovat a chránit, skener používá popisky citlivosti nakonfigurované v Centrum dodržování předpisů Microsoftu 365.

Přehled jednotného skeneru štítků Azure Information Protection

Skener AIP může zkontrolovat všechny soubory, které Windows indexovat. Pokud jste nakonfigurovali popisky citlivosti pro použití automatické klasifikace, může skener označit zjištěné soubory a použít tuto klasifikaci a volitelně použít nebo odebrat ochranu.

Na následujícím obrázku je znázorněná architektura skeneru AIP, ve které skener zjišťuje soubory na místních a SharePoint serverech.

Architektura jednotného štítkovací skeneru Azure Information Protection

Pokud chcete zkontrolovat soubory, skener používá na počítači nainstalované filtry IFilters. Pokud chcete zjistit, jestli soubory potřebují popisky, skener používá Microsoft 365 předdefinované typy informací o ochraně před únikem dat (DLP) a zjišťování vzorců nebo Microsoft 365 regex.

Skener používá klienta Azure Information Protection a může klasifikovat a chránit stejné typy souborů jako klient. Další informace najdete v tématu Typy souborů podporované jednotnýmklientem popisků Azure Information Protection .

Pokud chcete naskenování nakonfigurovat podle potřeby, proveďte některý z následujících kroků:

  • Spusťte skener jenom v režimu zjišťování a vytvořte sestavy, které kontrolujou, co se stane, když jsou vaše soubory označené popiskem.
  • Spusťte skener a zjišťujte soubory s citlivými informacemibez konfigurace štítků, které použijí automatickou klasifikaci.
  • Spuštěním skeneru automaticky použijete štítky podle konfigurace.
  • Definujte seznam typů souborů a určete konkrétní soubory, které chcete zkontrolovat nebo vyloučit.

Poznámka:

Skener v reálném čase nezjišťuje a neoznačuje. Systematicky prochází soubory v datových úložišťch, které zadáte. Nakonfigurujte tento cyklus tak, aby se spouštěl jednou nebo opakovaně.

Tip

Sjednocený skener štítků podporuje clustery skenerů s více uzly, které vaší organizaci umožňují škálovat se, dosahovat rychlejších časů kontroly a širšího rozsahu.

Nasaďte několik uzlů hned od začátku nebo začněte s clusterem s jedním uzlem a přidejte další uzly později, jak budete rozšiřovat. Nasaďte více uzlů pomocí stejného názvu a databáze clusteru pro rutinu Install-AIPScanner.

Proces kontroly AIP

Při skenování souborů projde skener AIP následujícími kroky:

1. Zjistěte, jestli jsou soubory zahrnuté nebo vyloučené pro skenování.

2. Kontrola a označení souborů

3. Označte soubory štítků, které nelze zkontrolovat.

Další informace najdete v tématu Soubory, kteréskener nenaznačuje .

1. Zjistěte, jestli jsou soubory zahrnuté nebo vyloučené pro skenování.

Skener automaticky vynechá soubory, které jsou vyloučené z klasifikace a ochrany, jako jsou spustitelné soubory a systémové soubory. Další informace najdete v tématu Typy souborů vyloučené z klasifikace a ochrany.

Skener také bere v úvahu všechny seznamy souborů, které jsou explicitně definované ke kontrole nebo k vyloučení z kontroly. Seznamy souborů se ve výchozím nastavení vztahují na všechna úložiště dat a lze je také definovat jenom pro konkrétní úložiště.

Pokud chcete definovat seznamy souborů pro skenování nebo vyloučení, použijte nastavení Typy souborů ke kontrole v úlohu kontroly obsahu. Příklad:

Konfigurace typů souborů pro vyhledávání skeneru Azure Information Protection

Další informace najdete v tématu Nasazení skeneru Azure Information Protection, který automaticky klasifikujea chrání soubory .

2. Kontrola a označení souborů

Po identifikaci vyloučených souborů skener znovu filtruje a identifikuje soubory podporované pro kontrolu.

Tyto filtry jsou stejné jako ty, které používá operační systém pro Windows a indexování a nevyžadují žádnou další konfiguraci. Windows IFilter se také používá k prohledávání typů souborů, které používají Word, Excel a PowerPoint a pro dokumenty PDF a textové soubory.

Úplný seznam typů souborů podporovaných pro kontrolu a další pokyny pro konfiguraci filtrů tak, aby zahrnovaly soubory .zip a .tiff, najdete v tématu Typy souborů podporované pro kontrolu.

Po kontrole jsou podporované typy souborů označené podmínkami zadanými pro štítky. Pokud používáte režim zjišťování, můžete tyto soubory buď vykazovat tak, aby obsahovaly podmínky zadané pro štítky, nebo hlásit, že obsahují všechny známé typy citlivých informací.

Zastavené procesy skeneru

Pokud skener zastaví a neukončí kontrolu velkého počtu souborů v úložišti, bude možná potřeba zvýšit počet dynamických portů pro operační systém, který soubory hostuje.

Například vytvrdení serveru pro SharePoint je jedním z důvodů, proč by skener překročil počet povolených síťových připojení, a proto přestal.

Pokud chcete zkontrolovat, jestli příčinou zastavení skeneru je vytvrzení serveru pro SharePoint, zkontrolujte následující chybovou zprávu v protokolech skeneru v %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (do souboru ZIP se komprimuje víc protokolů):

Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

Další informace o tom, jak zobrazit aktuální rozsah portů a v případě potřeby ho zvětšit, najdete v tématu Nastavení, které je možné upravit, aby se zvýšil výkon sítě.

Tip

U velkých SharePoint může být potřeba zvýšit mezní hodnotu zobrazení seznamu, která má výchozí hodnotu 5 000.

Další informace najdete v tématu Správa rozsáhlých seznamů a knihoven v SharePoint.

3. Označte soubory štítků, které nelze zkontrolovat.

U všech typů souborů, které nelze zkontrolovat, použije skener AIP výchozí popisek v zásadách Azure Information Protection nebo výchozí popisek nakonfigurovaný pro skener.

Soubory, které skener nenaznačil

Skener AIP nemůže označovat soubory za následujících okolností:

  • Když popisek použije klasifikaci, ale ne ochranu a typ souboru nepodporuje klasifikaci jenom klientem. Další informace najdete v tématu Typy souborů klienta s jednotným popiskem.

  • Když popisek použije klasifikaci a ochranu, ale skener nepodporuje typ souboru.

    Ve výchozím nastavení skener chrání soubory Office a soubory PDF, pokud jsou chráněné pomocí standardu ISO pro šifrování PDF.

    Pokud změníte typy souborů, které chcete chránit, můžete k ochraně přidat další typy souborů.

Příklad:Po kontrole .txt souborů skener nemůže použít popisek, který je nakonfigurovaný jenom pro klasifikaci, protože typ souboru .txt nepodporuje jenom klasifikaci.

Pokud je ale popisek nakonfigurovaný pro klasifikaci i ochranu a typ souboru .txt, který skener chrání, může skener soubor označit popiskem.

Další kroky

Další informace o nasazení skeneru najdete v následujících článcích:

Další informace:

  • Podívejte se na naše ukázkové video o konci skeneru. Podívejte se na podrobný přehled architektury skeneru AIP, architektury, doporučení, instalace a konfigurace.

  • Podívejte se na náš blog o osvědčených postupech pro jednotný skener štítků: Doporučené postupy pro nasazení a používání skeneru AIP UL

  • Zajímá vás, jak tým Core Services Engineering and Operations v Microsoftu tento skener implementoval? Přečtěte si technickou případovou studii: Automatizace ochrany dat pomocí skeneru Azure Information Protection.

  • Pomocí PowerShellu můžete interaktivně klasifikovat a zamknout soubory ze stolního počítače. Další informace o tomto a dalších scénářích, které používají PowerShell, najdete v tématu Použití PowerShellu sjednotným klientem označování Azure Information Protection .