Was ist der Azure Information Protection Unified-Beschriftungs Scanner?What is the Azure Information Protection unified labeling scanner?

Gilt für: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Hinweis

Wenn Sie den klassischen Scanner verwenden, finden Sie weitere Informationen unter Was ist der Azure Information Protection klassische Scanner?.If you're using the classic scanner, see What is the Azure Information Protection classic scanner?.

Verwenden Sie zum Überprüfen und Bezeichnen von Dateien auf Cloudrepositorys Cloud App Security anstelle des Scanners.To scan and label files on cloud repositories, use Cloud App Security instead of the scanner.

Verwenden Sie die Informationen in diesem Abschnitt, um sich über den Azure Information Protection Unified-Bezeichnungs Scanner zu informieren und dann zu installieren, zu konfigurieren, auszuführen und ggf. Probleme zu beheben.Use the information in this section to learn about the Azure Information Protection unified labeling scanner, and then how to successfully install, configure, run and if necessary, troubleshoot it.

Der AIP-Scanner wird als Dienst unter Windows Server ausgeführt und ermöglicht das ermitteln, klassifizieren und schützen von Dateien in den folgenden Daten speichern:The AIP scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

  • UNC-Pfade für Netzwerkfreigaben, die das SMB-Protokoll (Server Message Block) verwenden.UNC paths for network shares that use the Server Message Block (SMB) protocol.

  • SharePoint-Dokument Bibliotheken und-Ordner für SharePoint Server 2019 über SharePoint Server 2013.SharePoint document libraries and folder for SharePoint Server 2019 through SharePoint Server 2013. SharePoint 2010 wird auch für Kunden unterstützt, die über erweiterten Support für diese Version von SharePoint verfügen.SharePoint 2010 is also supported for customers who have extended support for this version of SharePoint.

Übersicht über Azure Information Protection Unified-Beschriftungs ScannerAzure Information Protection unified labeling scanner overview

Der AIP-Scanner kann alle Dateien überprüfen, die von Windows indiziert werden können.The AIP scanner can inspect any files that Windows can index. Wenn Sie Bezeichnungen konfiguriert haben, die die automatische Klassifizierung anwenden, kann der Scanner ermittelte Dateien so bezeichnen, dass diese Klassifizierung angewendet wird, und optional den Schutz anwenden oder entfernen.If you've configured labels that apply automatic classification, the scanner can label discovered files to apply that classification, and optionally apply or remove protection.

Die folgende Abbildung zeigt die AIP-Überprüfungs Architektur, in der die Überprüfung Dateien auf Ihren lokalen und SharePoint-Servern ermittelt.The following image shows the AIP scanner architecture, where the scanner discovers files across your on-premises and SharePoint servers.

Azure Information Protection Unified Bezeichnung Scanner-Architektur

Zum Überprüfen der Dateien werden auf dem Computer installierte IFilters verwendet.To inspect your files, the scanner uses IFilters installed on the computer. Um zu ermitteln, ob die Dateien beschriftet werden müssen, verwendet die Überprüfung die vertraulichen Informationstypen und die Mustererkennung von Office 365 (Data Loss Prevention, DLP) oder Office 365 Regex-Muster.To determine whether the files need labeling, the scanner uses the Office 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Office 365 regex patterns.

Der Scanner verwendet den Azure Information Protection Client und kann dieselben Dateitypen wie der Client klassifizieren und schützen.The scanner uses the Azure Information Protection client, and can classify and protect the same types of files as the client. Weitere Informationen finden Sie unter vom Azure Information Protection Unified Bezeichnung-Client unterstützte Dateitypen.For more information, see File types supported by the Azure Information Protection unified labeling client.

Führen Sie eine der folgenden Aktionen aus, um Ihre Scans nach Bedarf zu konfigurieren:Do any of the following to configure your scans as needed:

  • Führen Sie die Überprüfung nur im Ermittlungs Modus aus , um Berichte zu erstellen, mit denen Sie überprüfen, was geschieht, wenn Ihre Dateien beschriftet werdenRun the scanner in discovery mode only to create reports that check to see what happens when your files are labeled.
  • Führen Sie den Scanner aus, um Dateien mit sensiblen Informationen zu ermitteln, ohne Bezeichnungen zu konfigurieren, die die automatische Klassifizierung anwenden.Run the scanner to discover files with sensitive information, without configuring labels that apply automatic classification.
  • Führen Sie den Scanner automatisch aus, um die Bezeichnungen wie konfiguriert anzuwenden.Run the scanner automatically to apply labels as configured.
  • Definieren Sie eine Liste der Dateitypen , um bestimmte Dateien anzugeben, die gescannt oder ausgeschlossen werden sollen.Define a file types list to specify specific files to scan or to exclude.

Hinweis

Der Scanner erkennt und Bezeichnungs nicht in Echtzeit.The scanner does not discover and label in real time. Die Dateien in den von Ihnen angegebenen Daten speichern werden systematisch durchsucht.It systematically crawls through files on data stores that you specify. Konfigurieren Sie diesen Zeitraum so, dass er einmal oder wiederholt ausgeführt wird.Configure this cycle to run once, or repeatedly.

Tipp

Der Unified-Beschriftungs Scanner unterstützt Scanner-Cluster mit mehreren Knoten, sodass Ihre Organisation horizontal hochskalieren, schnellere Überprüfungszeiten und einen umfassenderen Bereich erreichen kann.The unified labeling scanner supports scanner clusters with multiple nodes, enabling your organization to scale out, achieving faster scan times and broader scope.

Stellen Sie mehrere Knoten direkt von Anfang an bereit, oder starten Sie mit einem Cluster mit einem einzelnen Knoten, und fügen Sie später zusätzliche Knoten hinzu, wenn Sie wachsen.Deploy multiple nodes right from the start, or start with a single-node cluster and add additional nodes later on as you grow. Stellen Sie mehrere Knoten mithilfe des gleichen Cluster namens und der gleichen Datenbank für das Cmdlet install-aipscanner bereit.Deploy multiple nodes by using the same cluster name and database for the Install-AIPScanner cmdlet.

AIP-ScanvorgangAIP scanning process

Beim Scannen von Dateien führt der AIP-Scanner die folgenden Schritte aus:When scanning files, the AIP scanner runs through the following steps:

1. bestimmen Sie, ob Dateien für die Überprüfung eingeschlossen oder ausgeschlossen werden.1. Determine whether files are included or excluded for scanning

2. überprüfen und bezeichnen von Dateien2. Inspect and label files

3. Bezeichnungs Dateien, die nicht überprüft werden können3. Label files that can't be inspected

Weitere Informationen finden Sie unter Dateien, die nicht vom Scanner bezeichnetwerden.For more information, see Files not labeled by the scanner.

1. bestimmen Sie, ob Dateien für die Überprüfung eingeschlossen oder ausgeschlossen werden.1. Determine whether files are included or excluded for scanning

Bei der Überprüfung werden von der Klassifizierung und vom Schutz ausgeschlossene Dateien wie ausführbare Dateien und Systemdateien übersprungen.The scanner automatically skips files that are excluded from classification and protection, such as executable files and system files. Weitere Informationen finden Sie unter Dateitypen, die von der Klassifizierung und dem Schutz ausgeschlossen sind.For more information, see File types that are excluded from classification and protection.

Der Scanner berücksichtigt auch alle Dateilisten, die explizit für die Überprüfung definiert oder von der Überprüfung ausgeschlossen werden sollen.The scanner also considers any file lists explicitly defined to scan, or exclude from scanning. Dateilisten gelten standardmäßig für alle Daten Depots und können auch nur für bestimmte Depots definiert werden.File lists apply for all data repositories by default, and can also be defined for specific repositories only.

Zum Definieren von Dateilisten für das Scannen oder ausschließen verwenden Sie die Einstellung Dateitypen für die Überprüfung im Inhalts Überprüfungs Auftrag.To define file lists for scanning or exclusion, use the File types to scan setting in the content scan job. Zum Beispiel:For example:

Konfigurieren der zu überprüfenden Dateitypen für den Azure Information Protection-Scanner

Weitere Informationen finden Sie unter Bereitstellen des Azure Information Protection Scanners zum automatischen klassifizieren und schützen von Dateien.For more information, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

2. überprüfen und bezeichnen von Dateien2. Inspect and label files

Nach der Identifizierung ausgeschlossener Dateien filtert der Scanner erneut, um die für die Prüfung unterstützten Dateien zu identifizieren.After identifying excluded files, the scanner filters again to identify files supported for inspection.

Diese zusätzlichen Filter sind dieselben, die vom Betriebssystem für die Windows-Suche und-Indizierung verwendet werden, und es ist keine zusätzliche Konfiguration erforderlich.These additional filters are the same ones used by the operating system for Windows Search and indexing, and require no additional configuration. Windows IFilter wird auch zum Überprüfen von Dateitypen verwendet, die von Word, Excel und PowerPoint sowie von PDF-Dokumenten und Textdateien verwendet werden.Windows IFilter is also used to scan file types that are used by Word, Excel, and PowerPoint, and for PDF documents and text files.

Eine vollständige Liste der für die Überprüfung unterstützten Dateitypen sowie weitere Anweisungen zum Konfigurieren von Filtern, um Zip-und TIFF-Dateien einzuschließen, finden Sie unter Unterstützte Dateitypen für die Überprüfung.For a full list of file types supported for inspection, and additional instructions for configuring filters to include .zip and .tiff files, see File types supported for inspection.

Nach der Überprüfung werden die unterstützten Dateitypen unter Verwendung der für ihre Bezeichnungen angegebenen Bedingungen bezeichnet.After inspection, supported file types are labeled using the conditions specified for your labels. Wenn Sie den Ermittlungs Modus verwenden, können diese Dateien entweder so gemeldet werden, dass Sie die für ihre Bezeichnungen angegebenen Bedingungen enthalten, oder dass alle bekannten sensiblen Informationstypen enthalten sind.If you're using discovery mode, these files can either be reported to contain the conditions specified for your labels, or reported to contain any known sensitive information types.

3. Bezeichnungs Dateien, die nicht überprüft werden können3. Label files that can't be inspected

Für alle Dateitypen, die nicht überprüft werden können, wendet der AIP-Scanner die Standard Bezeichnung in der Azure Information Protection Richtlinie oder die für den Scanner konfigurierte Standard Bezeichnung an.For any file types that can't be inspected, the AIP scanner applies the default label in the Azure Information Protection policy, or the default label configured for the scanner.

Dateien, die nicht vom Scanner bezeichnet werdenFiles not labeled by the scanner

Der AIP-Scanner kann die Dateien unter den folgenden Umständen nicht bezeichnen:The AIP scanner cannot label files under the following circumstances:

  • Wenn die Bezeichnung die Klassifizierung, aber nicht den Schutz anwendet, und der Dateityp die Klassifizierung nur vom Client unterstützt.When the label applies classification, but not protection, and the file type does not support classification-only by the client. Weitere Informationen finden Sie unter Unified-Bezeichnung für Client Dateitypen.For more information, see Unified labeling client file types.

  • Wenn die Bezeichnung Klassifizierung und Schutz anwendet, wird der Dateityp vom Scanner nicht unterstützt.When the label applies classification and protection, but the scanner does not support the file type.

    Standardmäßig unterstützt der Scanner nur Office-Dateitypen und PDF-Dateien, wenn diese gemäß dem ISO-Standard für die PDF-Verschlüsselung geschützt werden.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption.

    Andere Dateitypen können zum Schutz hinzugefügt werden, wenn Sie die Typen der zu schützenden Dateien ändern.Other types of files can be added for protection when you change the types of files to protect.

Beispiel: Nach dem Überprüfen von txt-Dateien kann die Überprüfung keine Bezeichnung anwenden, die nur für die Klassifizierung konfiguriert ist, da der txt-Dateityp nur Klassifizierung unterstützt.Example: After inspecting .txt files, the scanner can't apply a label that's configured for classification only, because the .txt file type doesn't support classification only.

Wenn die Bezeichnung jedoch für die Klassifizierung und den Schutz konfiguriert ist und der txt-Dateityp für die Überprüfung enthalten ist, kann der Scanner die Datei bezeichnen.However, if the label is configured for both classification and protection, and the .txt file type is included for the scanner to protect, the scanner can label the file.

Nächste SchritteNext steps

Weitere Informationen zum Bereitstellen des Scanners finden Sie in den folgenden Artikeln:For more information about deploying the scanner, see the following articles:

Weitere Informationen:More information: