Nasazení Azure Information Protection skeneru automaticky klasifikovat a chránit souboryDeploying the Azure Information Protection scanner to automatically classify and protect files

Platí pro: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2

Tyto informace slouží k další informace o skeneru Azure Information Protection a poté jak úspěšně nainstalovat, nakonfigurovat a spustit ho.Use this information to learn about the Azure Information Protection scanner, and then how to successfully install, configure, and run it.

Tento skener spuštěn jako služba na Windows Server a umožňuje zjistit, klasifikovat a chránit soubory v následujícím úložišti dat:This scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

  • Místní složky v počítači Windows serveru, který spouští skeneru.Local folders on the Windows Server computer that runs the scanner.

  • Cesty UNC pro sdílené síťové složky, které používají protokol Server Message Block (SMB).UNC paths for network shares that use the Server Message Block (SMB) protocol.

  • Weby a knihovny pro SharePoint Server 2016 a SharePoint Server 2013.Sites and libraries for SharePoint Server 2016 and SharePoint Server 2013.

Přehled skeneru Azure Information ProtectionOverview of the Azure Information Protection scanner

Pokud jste nakonfigurovali vaše zásady Azure Information Protection pro popisky, které se vztahují automatické klasifikace, můžete pak označené soubory, které zjistí Tento skener.When you have configured your Azure Information Protection policy for labels that apply automatic classification, files that this scanner discovers can then be labeled. Popisky klasifikaci portu a v případě potřeby aplikovat ochranu nebo odeberte ochranu:Labels apply classification, and optionally, apply protection or remove protection:

Přehled architektury skener služby Azure Information Protection

Skeneru můžete kontrolovat všechny soubory, které Windows může indexovat pomocí filtry IFilter, zda jsou nainstalovány v počítači.The scanner can inspect any files that Windows can index, by using iFilters that are installed on the computer. Pak lze zjistit, zda soubory nutné označování, skeneru používá Office 365 předdefinované datové ztráty ochrany před únikem informací velkých a malých písmen informace typy a detekce vzor nebo vzory regex Office 365.Then, to determine if the files need labeling, the scanner uses the Office 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Office 365 regex patterns. Protože skeneru používá klienta Azure Information Protection, můžete klasifikovat a chránit stejné typy souborů.Because the scanner uses the Azure Information Protection client, it can classify and protect the same file types.

Skeneru můžete spustit zjišťování pouze v režimu, kde používáte sestavy zkontrolujte, co by se stalo, pokud soubory nebyly podvodné.You can run the scanner in discovery mode only, where you use the reports to check what would happen if the files were labeled. Nebo můžete spustit skeneru pro automatické použití popisků.Or, you can run the scanner to automatically apply the labels. Pro verzi preview pouze můžete také spustit skeneru chcete zjistit, soubory, které obsahují typy citlivé informace, bez konfigurace popisky podmínky, které se vztahují automatické klasifikace.For the preview version only, you can also run the scanner to discover files that contain sensitive information types, without configuring labels for conditions that apply automatic classification.

Všimněte si, že nevyhledává skeneru a název v reálném čase.Note that the scanner does not discover and label in real time. Systematičtěji procházení v souborech na úložiště dat, která určíte, a můžete nakonfigurovat tento cyklus se spustit jednou nebo opakovaně.It systematically crawls through files on data stores that you specify, and you can configure this cycle to run once, or repeatedly.

Specifické pro verzi preview skeneru:Specific to the preview version of the scanner:

  • Ve výchozím nastavení jsou pouze dokumenty Office chráněné místo všechny typy souborů.By default, only Office documents are protected rather than all file types. Úplný seznam podporované typy souborů Office je uvedena ve Příručka správcev typy podporované systémem Office souborů tabulky.The full list of Office file types supported is listed in the admin guide, in the File types supported by Office table.

    Chcete-li změnit toto výchozí chování, například pro obecné ochraně jiné typy souborů, musíte ručně upravit registr a zadat typy dalších souborů, které chcete chránit.To change this default behavior, for example, to generically protect other file types, you must manually edit the registry and specify the additional file types that you want to be protected. Pokyny najdete v tématu konfigurace rozhraní File API z Průvodce pro vývojáře.For instructions, see File API configuration from the developer guidance. V této dokumentaci pro vývojáře se obecná ochrana označuje jako PFile.In this documentation for developers, generic protection is referred to as "PFile".

  • Můžete určit, které typy souborů se kontrola nebo vyloučit z prohledávání.You can specify which file types to scan, or exclude from scanning. Omezit, které soubory skeneru zkontroluje, definovat seznam typů souborů pomocí Set-AIPScannerScannedFileType.To restrict which files the scanner inspects, define a file types list by using Set-AIPScannerScannedFileType.

  • Můžete nakonfigurovat skeneru zkontrolovat soubory pro všechny typy citlivé informace, nebo použít výchozí štítek bez jakékoli kontroly souboru.You can configure the scanner to inspect files for all sensitive information types, or apply a default label without any file inspection. Další informaceMore information

Požadavky pro Azure Information Protection skeneruPrerequisites for the Azure Information Protection scanner

Než nainstalujete skeneru Azure Information Protection, ujistěte se, že jsou splněné následující požadavky.Before you install the Azure Information Protection scanner, make sure that the following requirements are in place.

PožadavekRequirement Další informaceMore information
Počítače Windows serveru ke spouštění služby skener:Windows Server computer to run the scanner service:

-4 procesory- 4 processors

-4 GB paměti RAM- 4 GB of RAM
Windows Server 2016 nebo Windows Server 2012 R2.Windows Server 2016 or Windows Server 2012 R2.

Poznámka: Pro účely testování a vyhodnocení v testovacím prostředí, můžete použít operační systém klienta Windows, který je klient Azure Information Protection podporuje.Note: For testing or evaluation purposes in a non-production environment, you can use a Windows client operating system that is supported by the Azure Information Protection client.

Tento počítač může být fyzický nebo virtuální počítač, který má rychlé a spolehlivé síťové připojení k úložištím dat. Chcete-li být kontrolována.This computer can be a physical or virtual computer that has a fast and reliable network connection to the data stores to be scanned.

Ujistěte se, zda má tento počítač připojení k Internetu vyžadující pro Azure Information Protection.Make sure that this computer has the Internet connectivity that it needs for Azure Information Protection. Nebo, je nutné ho jako nakonfigurovat odpojené počítače.Or, you must configure it as a disconnected computer.
SQL Server k uložení konfigurace programu pro prohledávání:SQL Server to store the scanner configuration:

– Místní nebo vzdálené instanci- Local or remote instance

-Členem role správce systému pro instalaci skeneru- Sysadmin role to install the scanner
SQL Server 2012 je minimální verze pro tyto edice:SQL Server 2012 is the minimum version for the following editions:

-SQL Server Enterprise- SQL Server Enterprise

-SQL Server Standard- SQL Server Standard

-SQL Server Express.- SQL Server Express

Účet, který instaluje skeneru musí mít oprávnění zapisovat do hlavní databáze (musí být členem db_datawriter role).The account that installs the scanner requires permissions to write to the master database (must be a member of the db_datawriter role). Proces instalace uděluje roli vlastníka databáze tak, aby účet služby, který spouští skeneru.The installation process grants the db-owner role to the service account that runs the scanner. Alternativně můžete ručně vytvořit databázi AzInfoProtectionScanner před instalací skeneru a přiřadit účet služby skener roli vlastníka databáze.Alternately, you can manually create the AzInfoProtectionScanner database before you install the scanner, and assign the db-owner role to the scanner service account.
Účet služby ke spouštění služby skenerService account to run the scanner service Kromě spuštěná služba skener, tento účet se ověřuje na Azure AD a stažení zásad Azure Information Protection.In addition to running the scanner service, this account authenticates to Azure AD and downloads the Azure Information Protection policy. Tento účet musí být proto účet služby Active Directory, který je synchronizován se do služby Azure AD, s následující další požadavky:This account must therefore be an Active Directory account that is synchronized to Azure AD, with the following additional requirements:

- Přihlásit se místně správné.- Log on locally right. Toto právo je vyžadována pro instalaci a konfiguraci skeneru, ale ne pro operaci.This right is required for the installation and configuration of the scanner, but not for operation. Toto právo k účtu služby, musíte povolit ale můžete odebrat tato práva, pokud jste ověřili, že skeneru můžete zjistit, klasifikovat a chránit soubory.You must grant this right to the service account but you can remove this right after you have confirmed that the scanner can discover, classify, and protect files.

Poznámka: Pokud interní zásady neumožňují účty služeb tak, aby měl tento správné, ale služba účty lze udělit přihlásit jako dávkovou úlohu práva, můžete tento požadavek s další konfigurací splňují.Note: If internal policies do not allow service accounts to have this right, but service accounts can be granted the Log on as a batch job right, you can meet this requirement with additional configuration. Pokyny najdete v tématu zadejte a použijte parametr Token pro sadu AIPAuthentication z příručky jsou správce.For instructions, see Specify and use the Token parameter for Set-AIPAuthentication from the admin guide.

- Přihlaste se jako služba správné.- Log on as a service right. Tato práva je nutné pro instalaci, konfiguraci a operace skeneru a jsou během instalace skener automaticky udělena tato práva účtu služby.This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.

-Oprávnění úložišť dat: musíte poskytnout čtení a zápisu oprávnění pro prohledávání souborů a potom se použijí klasifikaci a ochranu souborů, které splňují podmínky v Zásady Azure Information Protection.- Permissions to the data repositories: You must grant Read and Write permissions for scanning the files and then applying classification and protection to the files that meet the conditions in the Azure Information Protection policy. Spusťte skener zjišťování pouze v režimu, čtení je dostatečná oprávnění.To run the scanner in discovery mode only, Read permission is sufficient.

-Pro popisky, které znovu nastavte ochranu nebo odeberte ochranu: K zajištění, že skeneru vždy má přístup ke chráněné soubory, ujistěte se, tento účet superuživatele pro Azure Rights Management service a ujistěte se, že je povolena funkce superuživatele .- For labels that reprotect or remove protection: To ensure that the scanner always has access to protected files, make this account a super user for the Azure Rights Management service, and ensure that the super user feature is enabled. Další informace o požadavcích na účet pro použití ochrany najdete v tématu Příprava uživatelů a skupin pro Azure Information Protection.For more information about the account requirements for applying protection, see Preparing users and groups for Azure Information Protection.
Klient Azure Information Protection je nainstalován na počítač s Windows serveremThe Azure Information Protection client is installed on the Windows Server computer Je nutné nainstalovat úplnou klienta pro skeneru.You must install the full client for the scanner. Neinstalujte klienta s právě modul prostředí PowerShell.Do not install the client with just the PowerShell module.

Pokyny k instalaci klienta, najdete v článku Příručka správce.For client installation instructions, see the admin guide.

Poznámka: Je teď ve verzi preview, kterou můžete nainstalovat skeneru pro účely testování.Note: There is now a preview version of the scanner that you can install for testing purposes. Pokud chcete nainstalovat tuto verzi preview, stáhněte a nainstalujte verzi preview klienta z webu Microsoft Download Center.To install this preview, download and install the preview version of the client from the Microsoft Download Center.
Nakonfigurované štítků, které nastavují automatické klasifikace a volitelně ochranyConfigured labels that apply automatic classification, and optionally, protection Další informace o tom, jak konfigurovat podmínky zásad Azure Information Protection najdete v tématu jak nakonfigurovat podmínky pro automatickou a doporučenou klasifikaci pro službu Azure Information Protection.For more information about how to configure the conditions in the Azure Information Protection policy, see How to configure conditions for automatic and recommended classification for Azure Information Protection.

Další informace o tom, jak nakonfigurovat popisky pro použití ochrany souborů najdete v tématu jak konfigurovat štítek pro ochranu Rights Management.For more information about how to configure labels to apply protection to files, see How to configure a label for Rights Management protection.

Tyto popisky může být v globální zásady nebo jedné nebo více obor zásady.These labels can be in the global policy, or one or more scoped policies.

Poznámka: Pro verzi preview, můžete nyní spustit skeneru i v případě, že jste nenakonfigurovali popisky, které se vztahují automatické klasifikace, ale tento scénář nepopisuje pomocí těchto pokynů.Note: For the preview version, you can now run the scanner even if you haven't configured labels that apply automatic classification but this scenario is not covered with these instructions. Další informaceMore information
Pokud všechny soubory v jedné nebo více datových úložišť musí mít štítek:If all files in one or more data repositories must have a label:

-A výchozí štítek, který je nakonfigurovaný jako nastavení zásad- A default label configured as a policy setting
Další informace o tom, jak nakonfigurovat výchozí nastavení popisek najdete v tématu postup konfigurace nastavení zásad pro Azure Information Protection.For more information about how to configure the default label setting, see How to configure the policy settings for Azure Information Protection.

Toto výchozí nastavení popisku musí být v globální zásady nebo oboru zásadu skeneru.This default label setting must be in the global policy or a scoped policy for the scanner. Toto výchozí nastavení popisek však mohou být přepsány různé výchozí štítek, který nakonfigurujete na úrovni úložiště data.However, this default label setting can be overridden by a different default label that you configure at the data repository level.

Poznámka: Pro verzi preview už musíte v zásadách konfigurovat výchozí štítek.Note: For the preview version, you no longer need to configure a default label in the policy.

Instalace skeneru Azure Information ProtectionInstall the Azure Information Protection scanner

  1. Přihlaste se k počítači systému Windows Server, který se spustí skeneru.Sign in to the Windows Server computer that will run the scanner. Použít účet, který má oprávnění místního správce a který má oprávnění k zápisu do hlavní databáze systému SQL Server.Use an account that has local administrator rights and that has permissions to write to the SQL Server master database.

  2. Otevřete relaci prostředí Windows PowerShell s spustit jako správce možnost.Open a Windows PowerShell session with the Run as an administrator option.

  3. Spustit instalace AIPScanner rutiny zadání vaší instanci systému SQL Server, na kterém chcete vytvořit databázi pro Azure Information Protection skeneru:Run the Install-AIPScanner cmdlet, specifying your SQL Server instance on which to create a database for the Azure Information Protection scanner:

    Install-AIPScanner -SqlServerInstance <database name>
    

    Příklady:Examples:

    Pro výchozí instanci: Install-AIPScanner -SqlServerInstance SQLSERVER1For a default instance: Install-AIPScanner -SqlServerInstance SQLSERVER1

    Pro pojmenovanou instanci: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNERFor a named instance: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER

    Pro systém SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESSFor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS

    Použití online nápovědy pro tuto rutinu, pokud potřebujete více podrobné příklady.Use the online help for this cmdlet if you need more detailed examples.

    Po zobrazení výzvy zadejte přihlašovací údaje pro účet služby skener (<doména\uživatelské jméno >) a heslo.When you are prompted, provide the credentials for the scanner service account (<domain\user name>) and password.

  4. Ověřte, zda služba je nyní nainstalován pomocí nástroje pro správu > služby.Verify that the service is now installed by using Administrative Tools > Services.

    Nainstalovaná služba název Azure informace ochrany skener a je nakonfigurován na spuštění pomocí účtu služby skener, který jste vytvořili.The installed service is named Azure Information Protection Scanner and is configured to run by using the scanner service account that you created.

Teď, když jste nainstalovali skeneru, potřebujete získat token pro účet služby skener k ověření, aby se může spustit bezobslužné Azure AD.Now that you have installed the scanner, you need to get an Azure AD token for the scanner service account to authenticate so that it can run unattended.

Získání tokenu pro účet služby skener k ověření služby Azure Information Protection Azure ADGet an Azure AD token for the scanner service account to authenticate to the Azure Information Protection service

  1. Ze stejného počítače Windows serveru nebo z plochy Přihlaste se k portálu Azure vytvořit dvě aplikace Azure AD, které jsou potřeba k určení tokenu přístupu pro ověřování.From the same Windows Server computer, or from your desktop, sign in to the Azure portal to create two Azure AD applications that are needed to specify an access token for authentication. Po počáteční interaktivní přihlášení tento token umožňuje skeneru spustit interaktivně.After an initial interactive sign-in, this token lets the scanner run non-interactively.

    Chcete-li vytvořit tyto aplikace, postupujte podle pokynů v jak popisek soubory neinteraktivně pro Azure Information Protection z příručky jsou správce.To create these applications, follow the instructions in How to label files non-interactively for Azure Information Protection from the admin guide.

  2. Z počítače systému Windows Server, pokud byla udělena účtu služby skeneru přihlásit se místně práva pro instalaci: Přihlaste se pomocí tohoto účtu a spustit relaci prostředí PowerShell.From the Windows Server computer, if your scanner service account has been granted the Log on locally right for the installation: Sign in with this account and start a PowerShell session. Spustit Set-AIPAuthentication, zadání hodnoty, které jste zkopírovali v předchozím kroku:Run Set-AIPAuthentication, specifying the values that you copied from the previous step:

    Set-AIPAuthentication -webAppId <ID of the "Web app / API" application>  -webAppKey <key value generated in the "Web app / API" application> -nativeAppId <ID of the "Native" application >
    

    Po zobrazení výzvy zadejte heslo pro přihlašovací údaje účtu služby pro Azure AD a pak klikněte na tlačítko přijmout.When prompted, specify the password for your service account credentials for Azure AD, and then click Accept.

    Pokud účet služby skener nelze udělit přihlásit se místně práva pro instalaci: postupujte podle pokynů v zadejte a použijte parametr Token pro sadu AIPAuthentication části z příručky jsou správce.If your scanner service account cannot be granted the Log on locally right for the installation: Follow the instructions in the Specify and use the Token parameter for Set-AIPAuthentication section from the admin guide.

Skeneru nyní obsahuje token k ověření do služby Azure AD, která mají platnost jeden rok, dva roky, nebo nikdy nevyprší podle konfiguraci webové aplikace /API ve službě Azure AD.The scanner now has a token to authenticate to Azure AD, which is valid for one year, two years, or never expires, according to your configuration of the Web app /API in Azure AD. Když vyprší platnost tokenu, musí opakujte kroky 1 a 2.When the token expires, you must repeat steps 1 and 2.

Nyní jste připraveni zadejte datová úložiště ke kontrole.You're now ready to specify the data stores to scan.

Zadejte úložiště dat pro Azure Information Protection skeneruSpecify data stores for the Azure Information Protection scanner

Použití přidat AIPScannerRepository rutiny určete data, ukládá ke skenování pomocí skeneru Azure Information Protection.Use the Add-AIPScannerRepository cmdlet to specify the data stores to be scanned by the Azure Information Protection scanner. Pro weby služby SharePoint a knihovny, můžete zadat místní složky, cesty UNC a adresy URL serveru SharePoint.You can specify local folders, UNC paths, and SharePoint Server URLs for SharePoint sites and libraries.

Podporované verze pro službu SharePoint: SharePoint Server 2016 a SharePoint Server 2013.Supported versions for SharePoint: SharePoint Server 2016 and SharePoint Server 2013.

  1. Ze stejného počítače Windows serveru přidejte v relaci prostředí PowerShell, že vaše první data uložit tak, že spustíte následující příkaz:From the same Windows Server computer, in your PowerShell session, add your first data store by running the following command:

     Add-AIPScannerRepository -Path <path>
    

    Příklad: Add-AIPScannerRepository -Path \\NAS\DocumentsFor example: Add-AIPScannerRepository -Path \\NAS\Documents

    Další příklady najdete v tématu online nápovědy pro tuto rutinu.For other examples, see the online help for this cmdlet.

  2. Tento příkaz opakujte pro všechny ukládá data chcete zkontrolovat.Repeat this command for all the data stores that you want to scan. Pokud je potřeba odebrat datové úložiště, které jste přidali, použijte odebrat AIPScannerRepository rutiny.If you need to remove a data store that you added, use the Remove-AIPScannerRepository cmdlet.

  3. Zkontrolujte, zda jste zadali všechna úložiště dat správně, spuštěním Get-AIPScannerRepository rutiny:Confirm that you have specified all the data stores correctly, by running the Get-AIPScannerRepository cmdlet:

     Get-AIPScannerRepository
    

S výchozí konfigurací je skener jste nyní připraven ke spuštění vaší první kontrola v režimu zjišťování.With the scanner's default configuration, you're now ready to run your first scan in discovery mode.

Spustit cyklus zjišťování a zobrazovat sestavy pro Azure Information Protection skeneruRun a discovery cycle and view reports for the Azure Information Protection scanner

  1. Pomocí nástroje pro správu > služby, spusťte Azure informace ochrany skener služby.Using Administrative Tools > Services, start the Azure Information Protection Scanner service.

  2. Počkejte skeneru k dokončení jeho cyklu.Wait for the scanner to complete its cycle. Když má skeneru procházení prostřednictvím všechny soubory v úložištích dat, které jste zadali, služba se zastaví.When the scanner has crawled through all the files in the data stores that you specified, the service stops. Můžete použít místní Windows aplikacím a službám protokolu událostí, Azure Information Protection, aby potvrdil, když je služba zastavená.You can use the local Windows Applications and Services event log, Azure Information Protection, to confirm when the service is stopped. Vyhledejte informační událost ID 911.Look for the informational event ID 911.

  3. Zkontrolujte sestavy, které jsou uloženy v %localappdata%\Microsoft\MSIP\Scanner\Reports a mají souboru ve formátu CSV.Review the reports that are stored in %localappdata%\Microsoft\MSIP\Scanner\Reports and that have a .csv file format. U výchozí konfigurace skeneru jsou zahrnuty pouze soubory, které splňují podmínky pro automatickou klasifikaci v těchto sestavách.With the default configuration of the scanner, only files that meet the conditions for automatic classification are included in these reports.

    Pokud výsledky nejsou podle očekávání, můžete doladit podmínky, které jste zadali v zásad služby Azure Information Protection.If the results are not as you expect, you might need to fine-tune the conditions that you specified in your Azure Information Protection policy. Pokud je to tento případ, opakujte kroky 1 až 3, dokud nebudete připraveni změnit konfiguraci použít klasifikaci a volitelně ochranu.If that's the case, repeat steps 1 through 3 until you are ready to change the configuration to apply the classification and optionally, protection. Pokaždé, když opakováním těchto kroků, nejdřív spusťte následující příkaz prostředí PowerShell v počítači Windows serveru:Each time you repeat these steps, first run the following PowerShell command on the Windows Server computer:

     Set-AIPScannerConfiguration -Schedule OneTime
    

Až budete připraveni pro automaticky označení souborů, které zjistí skeneru, pokračujte v dalším postupu.When you're ready to automatically label the files that the scanner discovers, continue to the next procedure.

Konfigurace Azure Information Protection skeneru použití klasifikaci a ochranu na zjištěné souboryConfigure the Azure Information Protection scanner to apply classification and protection to discovered files

V jeho výchozí nastavení, používá skeneru jednu čas a v režimu jen pro vytváření sestav.In its default setting, the scanner runs one time and in the reporting-only mode. Chcete-li změnit tato nastavení, spusťte Set-AIPScannerConfiguration rutiny.To change these settings, run the Set-AIPScannerConfiguration cmdlet.

  1. Na počítač s Windows serverem v relaci prostředí PowerShell, spusťte následující příkaz:On the Windows Server computer, in the PowerShell session, run the following command:

    Obecné availabilty verze:For the general availabilty version:

     Set-AIPScannerConfiguration -ScanMode Enforce -Schedule Continuous
    

    Pro verzi preview:For the preview version:

     Set-AIPScannerConfiguration -Enforce On -Schedule Continuous
    

    Existují další nastavení konfigurace, které chcete změnit.There are other configuration settings that you might want to change. Například jestli se změní atributy souboru a co je protokolováno v sestavách.For example, whether file attributes are changed and what is logged in the reports. Kromě toho pokud vaše zásady Azure Information Protection obsahuje nastavení, které vyžaduje zprávu zarovnání do bloku na nižší úroveň klasifikace nebo odeberte ochranu, zadejte tuto zprávu pomocí této rutiny.In addition, if your Azure Information Protection policy includes the setting that requires a justification message to lower the classification level or remove protection, specify that message by using this cmdlet. Použití online nápovědy Další informace o každém nastavení konfigurace.Use the online help for more information about each configuration setting.

  2. Pomocí nástroje pro správu > služby, restartujte Azure informace ochrany skener služby.Using Administrative Tools > Services, restart the Azure Information Protection Scanner service.

  3. Jako předtím sledujte v protokolu událostí a sestavy zobrazíte soubory, které nebyly podvodné, jaké klasifikace byla použita a zda byla použita ochrana.As before, monitor the event log and the reports to see which files were labeled, what classification was applied, and whether protection was applied.

Protože jsme nakonfigurovali plán pro spouštět nepřetržitě, jestliže skeneru pracoval cestě prostřednictvím všechny soubory, spustí cyklus nového tak, aby byly nalezeny nové a změněné soubory.Because we configured the schedule to run continuously, when the scanner has worked its way through all the files, it starts a new cycle so that new and changed files are discovered.

Jak jsou soubory skenovalo skeneru Azure Information ProtectionHow files are scanned by the Azure Information Protection scanner

Skeneru automaticky přeskočí soubory, které jsou vyloučené z klasifikace a ochrana, jako jsou například spustitelné soubory a systému souborů.The scanner automatically skips files that are excluded from classification and protection, such as executables and system files.

Pro verzi preview můžete změnit toto chování definováním seznam typy souborů pro skenování nebo vyloučit z prohledávání.For the preview version, you can change this behavior by defining a list of file types to scan, or exclude from scanning. Když zadáte tento seznam a nezadávejte úložiště dat, seznam se vztahuje na všechny úložiště dat, které nemají své vlastní zadán seznam.When you specify this list and do not specify a data repository, the list applies to all data repositories that do not have their own list specified. Pokud chcete zadat tohoto seznamu, použijte Set-AIPScannerScannedFileType.To specify this list, use Set-AIPScannerScannedFileType. Po zadání vaší seznam typů souborů, můžete přidat nový typ souboru do seznamu pomocí přidat AIPScannerScannedFileTypea odeberte typ souboru ze seznamu pomocí Remove-AIPScannerScannedFileType.After you have specified your file types list, you can add a new file type to the list by using Add-AIPScannerScannedFileType, and remove a file type from the list by using Remove-AIPScannerScannedFileType.

Potom skeneru používá Windows iFilter ke kontrole následujících typů souborů.Then the scanner uses Windows iFilter to scan the following file types. U těchto typů souborů se s označením dokumentu s použitím podmínky, které jste zadali pro štítky.For these file types, the document will be labeled by using the conditions that you specified for your labels.

Typ aplikaceApplication type Typ souboruFile type
WordWord .docx, DOCM, dotm, DOTX.docx; .docm; .dotm; .dotx
ExcelExcel XLS, XLT, XLSX; XLTX; XLTM; XLSM, XLSB.xls; .xlt; .xlsx; .xltx; .xltm; .xlsm; .xlsb
PowerPointPowerPoint .ppt; .pps; .pot; .pptx; .ppsx; .pptm; .ppsm; .potx; .potm.ppt; .pps; .pot; .pptx; .ppsx; .pptm; .ppsm; .potx; .potm
ProjektProject .mpp; .mpt.mpp; .mpt
PDFPDF .pdf.pdf
TextText .txt; .xml; .csv.txt; .xml; .csv

Pro ostatní typy souborů, nakonec skeneru použije výchozí štítek zásad Azure Information Protection nebo výchozí štítek, který jste nakonfigurovali pro skeneru.Finally, for the remaining file types, the scanner applies the default label in the Azure Information Protection policy, or the default label that you configure for the scanner.

Typ aplikaceApplication type Typ souboruFile type
ProjektProject .mpp; .mpt.mpp; .mpt
VydavatelPublisher .pub.pub
Aplikace VisioVisio .vsd; .vdw; .vst; .vss; .vsdx; .vsdm; .vssx; .vssm; .vstx; .vstm.vsd; .vdw; .vst; .vss; .vsdx; .vsdm; .vssx; .vssm; .vstx; .vstm
XPSXPS XPS; .oxps; .dwfx.xps; .oxps; .dwfx
SolidWorksSolidworks .sldprt; .slddrw; .sldasm.sldprt; .slddrw; .sldasm
JPEGJpeg JPG, JPEG, JPE; .jif; JFIF, .jfi.jpg; .jpeg; .jpe; .jif; .jfif; .jfi
PNGPng .png.png
GIFGif .gif.gif
Rastrový obrázekBitmap .bmp; .giff.bmp; .giff
TIFFTiff .tif; .tiff.tif; .tiff
PhotoshopPhotoshop .psdv.psdv
DigitalNegativeDigitalNegative .DNG.dng
PfilePfile příponu .pfile.pfile

Všimněte si, že při štítek použije obecnou ochranu pro dokumenty, příponu názvu souboru se změní na .pfile.Note that when a label applies generic protection to documents, the file name extension changes to .pfile. Soubor navíc stane jen pro čtení, dokud je oprávněný uživatel otevřít a uložit v nativním formátu.In addition, the file becomes read-only until it is opened by an authorized user and saved in its native format. Textu a obrázků soubory můžete také změnit přípony názvu souboru a jen pro čtení.Text and images files can also change their file name extension and become read-only. Pokud nechcete, aby toto chování, abyste zabránili soubory, které mají určitý soubor typu z chráněn.If you do not want this behavior, you can prevent files that have a specific file type from being protected. Například soubor PDF zabránit vzniku chráněný soubor PDF (.ppdf) a soubor s příponou .txt zabránit vzniku (.ptxt) chráněného textového souboru.For example, prevent a PDF file from becoming a protected PDF (.ppdf) file, and prevent a .txt file from becoming a protected text (.ptxt) file.

Další informace o různých úrovních ochrany pro různé typy souborů a jak můžete řídit chování ochrany pomocí úpravy registru najdete v tématu typy podporované pro ochranu souborů v příručce správce.For more information about the different levels of protection for different file types, and how to control the protection behavior by editing the registry, see the File types supported for protection section in the admin guide.

Verze obecné dostupnosti skeneru:For the general availability version of the scanner:

  • Ve výchozím nastavení jsou chráněny všechny typy souborů.By default, all file types are protected.

Verze preview skeneru:For the preview version of the scanner:

  • Ve výchozím nastavení jsou chráněny pouze typy souborů Office.By default, only Office file types are protected.

Když jsou soubory prohledávání pomocí skeneru Azure Information ProtectionWhen files are rescanned by the Azure Information Protection scanner

Pro první cyklus vyhledávání Skener zkontroluje všechny soubory v úložištích dat nakonfigurovaný, a pak pro následné kontroly, jsou prověřovány pouze nové nebo upravení soubory.For the first scan cycle, the scanner inspects all files in the configured data stores and then for subsequent scans, only new or modified files are inspected.

Můžete vynutit skeneru zkontrolovat všechny soubory, opakujte spuštěním Set-AIPScannerConfiguration s -Type parametr nastaven na úplné.You can force the scanner to inspect all files again by running Set-AIPScannerConfiguration with the -Type parameter set to Full. Tato konfigurace je užitečná, když chcete sestavy zahrnout všechny soubory a obvykle se používá při skeneru se spustí v režimu zjišťování.This configuration is useful when you want the reports to include all files and it is typically used when the scanner runs in discovery mode. Po dokončení úplné prohledávání, změní na přírůstkové automaticky typ kontroly tak, aby pro následné kontroly, jsou prohledávány pouze nové nebo upravení soubory.When a full scan is complete, the scan type automatically changes to incremental so that for subsequent scans, only new or modified files are scanned.

Kromě toho jsou všechny soubory prozkoumá při skeneru stažení zásady služby Azure Information Protection, který má nové nebo změněné podmínek.In addition, all files are inspected when the scanner downloads an Azure Information Protection policy that has new or changed conditions. Skeneru aktualizuje zásady každou hodinu a spuštěním služby a zásady je starší než jednu hodinu.The scanner refreshes the policy every hour, and when the service starts and the policy is older than one hour.

Tip

Pokud je potřeba aktualizovat zásady dříve než toto hodinový interval, například během testování období: ručně odstraňte soubor zásad Policy.msip z obou %LocalAppData%\Microsoft\MSIP\Policy.msip a %LocalAppData%\Microsoft\MSIP\Scanner.If you need to refresh the policy sooner than this one hour interval, for example, during a testing period: Manually delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner. Potom restartujte službu Azure informace skener.Then restart the Azure Information Scanner service.

Pokud jste změnili nastavení ochrany v zásadách, také 15 minut, než z při uložení nastavení ochrany před restartováním služby.If you changed protection settings in the policy, also wait 15 minutes from when you saved the protection settings before you restart the service.

Pokud skeneru stáhli zásady, který měl žádné automatické podmínky nakonfigurované, kopii souboru zásad ve složce skener neaktualizuje.If the scanner downloaded a policy that had no automatic conditions configured, the copy of the policy file in the scanner folder does not update. V tomto scénáři je nutné odstranit soubor zásad Policy.msip z obou %LocalAppData%\Microsoft\MSIP\Policy.msip a %LocalAppData%\Microsoft\MSIP\Scannerskeneru mohli používat zásady nově stažený soubor, který má popisky správně započítáno automatické podmínky.In this scenario, you must delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner before the scanner can use a newly downloaded policy file that has labels correctly figured for automatic conditions.

Pomocí skeneru s alternativní konfiguracíUsing the scanner with alternative configurations

Pokud používáte verzi preview skeneru, existují dva alternativní scénáře, které skeneru podporuje, kde popisky není nutné nakonfigurovat pro jakékoliv podmínky:When you use the preview version of the scanner, there are two alternative scenarios that the scanner supports where labels do not need to be configured for any conditions:

  • Použít výchozí štítek pro všechny soubory v úložišti data.Apply a default label to all files in a data repository.

    Pro tuto konfiguraci, použijte Set-AIPScannerRepository rutiny a nastavte MatchPolicy parametru vypnout.For this configuration, use the Set-AIPScannerRepository cmdlet, and set the MatchPolicy parameter to Off.

    Nejsou prověřovány obsah souborů a všechny soubory v úložišti dat jsou označeny podle výchozí štítek, který zadáte pro úložiště dat (s SetDefaultLabel parametr) nebo pokud to není zadat, Výchozí štítek, který je zadaný jako nastavení zásad pro účet kontroly.The contents of the files are not inspected and all files in the data repository are labeled according to the default label that you specify for the data repository (with the SetDefaultLabel parameter) or if this is not specify, the default label that is specified as a policy setting for the scanner account.

  • Identifikujte všechny vlastní podmínky a typy známé citlivé informace.Identify all custom conditions and known sensitive information types.

    Pro tuto konfiguraci, použijte Set-AIPScannerConfiguration rutiny a nastavte DiscoverInformationTypes parametru všechny.For this configuration, use the Set-AIPScannerConfiguration cmdlet, and set the DiscoverInformationTypes parameter to All.

    Skeneru používá jakékoliv vlastní podmínky, které jste zadali pro popisky v zásad Azure Information Protection a seznam typů informace, které je možné zadat pro popisky zásad Azure Information Protection.The scanner uses any custom conditions that you have specified for labels in the Azure Information Protection policy, and the list of information types that are available to specify for labels in the Azure Information Protection policy.

Optimalizace výkonu skeneru Azure Information ProtectionOptimizing the performance of the Azure Information Protection scanner

Chcete-li maximalizovat výkon skener:To maximize the scanner performance:

  • Mají vysokou rychlostí a spolehlivé síťové připojení mezi počítači skeneru a úložišti naskenované dat.Have a high speed and reliable network connection between the scanner computer and the scanned data store

    Například umístit skener počítače ve stejné síti LAN nebo (doporučeno) ve stejném síťovém jako úložiště dat naskenované.For example, place the scanner computer in the same LAN, or (preferred) in the same network segment as the scanned data store.

    Kvality síťového připojení ovlivňuje výkon skener, protože zkontrolovat soubory, skeneru přenese obsah souborů počítači je spuštěna služba skener.The quality of the network connection affects the scanner performance because to inspect the files, the scanner transfers the contents of the files to the computer running the scanner service. Při snížení (nebo vyloučit) počet segmentů směrování sítě, které tato data musí cestují, také snížit zatížení v síti.When you reduce (or eliminate) the number of network hops this data has to travel, you also reduce the load on your network.

  • Ujistěte se, že má počítač skener prostředků procesoru k dispoziciMake sure the scanner computer has available processor resources

    Zkontrolujte obsah souboru pro shodu nakonfigurované podmínky a šifrování a dešifrování souborů jsou náročná na výkon procesoru akce.Inspecting the file contents for a match against your configured conditions, and encrypting and decrypting files are processor-intensive actions. Monitorování typické kontrolu cyklů pro zadaný datová úložiště a zjistit, jestli nedostatek prostředků procesoru je negativním dopadem na výkon skener.Monitor typical scanning cycles for your specified data stores to identify whether a lack of processor resources is negatively affecting the scanner performance.

  • Nekontrolovat místní složky v počítači spuštěna služba skenerDo not scan local folders on the computer running the scanner service

    Pokud máte složky vyhledávání v systému Windows server, nainstalujte skeneru do jiného počítače a konfigurace těchto složek jako sdílených síťových složek, které chcete kontrolovat.If you have folders to scan on a Windows server, install the scanner on a different computer and configure those folders as network shares to scan. Oddělení dvě funkce hostování souborů a kontrolu souborů znamená, že nejsou vzájemně neslučitelných výpočetních prostředků pro tyto služby.Separating the two functions of hosting files and scanning files means that the computing resources for these services are not competing with one another.

Dalších faktorů, které ovlivňují výkon skener:Other factors that affect the scanner performance:

  • Aktuální zatížení a časy odezvy z úložiště dat, které obsahují soubory ke kontroleThe current load and response times of the data stores that contain the files to scan

  • Jestli skeneru se spustí v režimu zjišťování nebo vynutit režimuWhether the scanner runs in discovery mode or enforce mode

    Zjišťování režim má obvykle a vyšší rychlost prohledávání, než vynutit režimu, protože zjišťování vyžaduje jeden soubor číst akce, zatímco vynutit režim vyžaduje, aby pro čtení a zápis akce.Discovery mode typically has a higher scanning rate than enforce mode because discovery requires a single file read action, whereas enforce mode requires read and write actions.

  • Změnit podmínky v Azure Information ProtectionYou change the conditions in the Azure Information Protection

    Vaše první cyklus vyhledávání, když skeneru musí kontrolovat každý soubor samozřejmě trvá déle než cykly další kontroly, které ve výchozím nastavení, zkontrolujte pouze nové a změněné soubory.Your first scan cycle when the scanner must inspect every file will obviously take longer than subsequent scan cycles that by default, inspect only new and changed files. Nicméně pokud změníte podmínky zásad Azure Information Protection, všechny soubory budou zkontrolovány znovu, jak je popsáno v předcházející části.However, if you change the conditions in the Azure Information Protection policy, all files are scanned again, as described in the preceding section.

  • Vaši vybranou úroveň protokolováníYour chosen logging level

    Můžete si vybrat mezi ladění, informace, chyba a vypnout pro skener sestavy.You can choose between Debug, Info, Error and Off for the scanner reports. Vypnout výsledkem nejlepšího výkonu dosáhnete; Ladění výrazně zpomalí skeneru a slouží pouze pro řešení potíží.Off results in the best performance; Debug considerably slows down the scanner and should be used only for troubleshooting. Další informace najdete v tématu ReportLevel parametr pro Set-AIPScannerConfiguration rutiny.For more information, see the ReportLevel parameter for the Set-AIPScannerConfiguration cmdlet.

  • Soubory sami:The files themselves:

    • Soubory Office jsou naskenované rychleji než soubory PDF.Office files are more quickly scanned than PDF files.

    • Nechráněné soubory jsou rychlejší ke kontrole než chráněné soubory.Unprotected files are quicker to scan than protected files.

    • Velkých souborů samozřejmě skenování trvat déle než malé soubory.Large files obviously take longer to scan than small files.

  • Verze preview skeneru:For the preview version of the scanner:

    • Zkontrolujte, jestli účet služby, který spouští skeneru má pouze oprávnění, které jsou dokumentovány v článku skener požadavky a pak proveďte konfiguraci rozšířené vlastnosti klienta zakázat nízkou úroveň skeneru integrity.Confirm that the service account that runs the scanner has only the rights documented in the scanner prerequisites section, and then configure the advanced client property to disable the low integrity level for the scanner.

    • Skeneru běží rychleji při použití alternativní konfiguraci chcete použít výchozí štítek pro všechny soubory, protože skeneru není zkontrolujte obsah souboru.The scanner runs more quickly when you use the alternative configuration to apply a default label to all files because the scanner does not inspect the file contents.

    • Skeneru spustí další zpomalení při použití alternativní konfiguraci identifikovat všechny vlastní podmínky a typy známé citlivé informace.The scanner runs more slowing when you use the alternative configuration to identify all custom conditions and known sensitive information types.

Seznam rutin pro Azure Information Protection skeneruList of cmdlets for the Azure Information Protection scanner

Další rutiny pro skeneru umožňují změnit účet služby a databáze pro skeneru, získání aktuální nastavení pro skeneru a odinstalujte službu skener.Other cmdlets for the scanner let you change the service account and database for the scanner, get the current settings for the scanner, and uninstall the scanner service. Skeneru používá následující rutiny:The scanner uses the following cmdlets:

Další rutiny ve verzi preview skeneru:Additional cmdlets in the preview version of the scanner:

ID protokolu událostí a jejich popisyEvent log IDs and descriptions

V následujících částech použijte k identifikaci ID možných událostí a popisy pro skeneru.Use the following sections to identify the possible event IDs and descriptions for the scanner. Tyto události se protokolují na serveru, který spouští službu skener v systému Windows aplikacím a službám protokolu událostí, Azure Information Protection.These events are logged on the server that runs the scanner service, in the Windows Applications and Services event log, Azure Information Protection.


Informace o 910Information 910

Skener cyklus spustit.Scanner cycle started.

Tato událost je protokolována při spuštění služby skeneru a začne kontrolovala soubory v úložiště dat, které jste zadali.This event is logged when the scanner service is started and begins to scan for files in the data repositories that you specified.


Informace o 911Information 911

Skener cyklus bylo dokončeno.Scanner cycle finished.

Tato událost je protokolována po dokončení její jednorázovou kontrolu skeneru, od okamžiku spuštění serveru nebo skeneru dokončil cyklus průběžné plánu.This event is logged when the scanner has finished its one-time scan since the server started, or the scanner has finished a cycle for a continuous schedule.


Informace o 913Information 913

Skener je zastavena, protože skener je nastavena na hodnotu Nikdy.Scanner is stopped because scanner is set to Never.

Tato událost je protokolována při skeneru je nakonfigurovaná pro spuštění jeden čas místo neustále, a službu Azure Information Protection skener ručně restartován od spuštění počítače.This event is logged when the scanner is configured to run one time rather than continuously, and the Azure Information Protection scanner service has been manually restarted since the computer started.

Kontrolovat soubory znovu, musíte nastavit plán na OneTime nebo souvislýa pak proveďte ruční restartování služby.To scan the files again, you must set the schedule to OneTime or Continuous, and then manually restart the service. Chcete-li změnit plán, použijte Set-AIPScannerConfiguration rutiny a plán parametr.To change the schedule, use the Set-AIPScannerConfiguration cmdlet and the Schedule parameter.


Chyba 912Error 912

Došlo k neznámé chybě.Unknown error has occurred.

Další informace se protokolují v podrobnou zprávu, která je uložená v % localappdata%\Microsoft\MSIP\Scanner\Reports\DetailedReport_YYYY_MM_DD_HH_MM.csv.More information is logged in the detailed report that is stored in %localappdata%\Microsoft\MSIP\Scanner\Reports\DetailedReport_YYYY_MM_DD_HH_MM.csv.

Obraťte se na Microsoft Support Pokud této události pokračuje zaznamenávat do protokolu.Contact Microsoft Support if this event continues to be logged.


Chyba 914Error 914

Služba se automaticky zastavila z důvodu chybné konfigurace: soubor zásad je chybí nebo je poškozený.Service was automatically stopped due to bad configuration: policy file is missing or corrupted.

Tato událost je protokolována, když klient Azure Information Protection nemá soubor platné zásady pro skener, který chcete spustit.This event is logged when the Azure Information Protection client does not have a valid policy file for the scanner to run.

Zásady služby Azure Information Protection je uložen v %localappdata%\Microsoft\MSIP a musí být nakonfigurované štítků, které se mají podmínky použití automatické klasifikace.The Azure Information Protection policy is stored in %localappdata%\Microsoft\MSIP and it must be configured with labels that have conditions to apply automatic classification. Nebo zásady musí být nakonfigurován pro výchozí štítek.Or, the policy must be configured for a default label.

Ujistěte se, že brány firewall neblokují vyžaduje připojení k Internetu.Make sure that firewalls are not blocking the required connectivity to the Internet. Další informace najdete v tématu brány firewall a síťová infrastruktura požadavky pro Azure Information Protection.For more information, see the Firewalls and network infrastructure requirements for Azure Information Protection. Pokud není možné připojení k Internetu, postupujte podle pokynů pro podporu počítačů.If Internet connectivity is not possible, follow the instructions for supporting disconnected computers.

Další krokyNext steps

Možná se ptáte: jaký je rozdíl mezi systému Windows Server FCI a Azure Information Protection skeneru?You might be wondering: What’s the difference between Windows Server FCI and the Azure Information Protection scanner?

Můžete také použít PowerShell interaktivně klasifikovat a chránit soubory ze stolního počítače.You can also use PowerShell to interactively classify and protect files from your desktop computer. Další informace o tomto a dalších scénářů, které pomocí prostředí PowerShell najdete v tématu pomocí prostředí PowerShell pomocí klienta Azure Information Protection.For more information about this and other scenarios that use PowerShell, see Using PowerShell with the Azure Information Protection client.

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.