Was ist der einheitliche Bezeichnungsscanner für Azure Information Protection?

Gilt für: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Relevant für:Nur einheitliche AIP-Beschriftungsclient.

Verwenden Sie die Informationen in diesem Abschnitt, um Informationen zum einheitlichen Bezeichnungsscanner für Azure Information Protection sowie zur erfolgreichen Installation, Konfiguration und Ausführung sowie gegebenenfalls zur Problembehandlung zu erhalten.

Der AIP-Scanner wird als Dienst auf Windows Server ausgeführt und ermöglicht das Ermitteln, Klassifizieren und Schützen von Dateien in den folgenden Datenspeichern:

  • UNC-Pfade für Netzwerkfreigaben, die die Protokolle SMB oder NFS (Preview) verwenden.

  • SharePoint Sie Dokumentbibliotheken und Ordner für Dokumente SharePoint Server 2019 bis SharePoint Server 2013. SharePoint 2010 wird auch für Kunden unterstützt, die erweiterten Support für diese Version von SharePoint.

Zum Klassifizieren und Schützen Ihrer Dateien verwendet der Scanner Vertraulichkeitsbeschriftungen, die in der Datei Microsoft 365 Compliance Center.

Übersicht über vereinheitlichte Bezeichnungsscanner in Azure Information Protection

Der AIP-Scanner kann alle Dateien prüfen, Windows indizieren können. Wenn Sie Vertraulichkeitsbezeichnungen für die Anwendung der automatischen Klassifizierung konfiguriert haben, kann der Scanner ermittelte Dateien beschriften, um diese Klassifizierung anzuwenden, und optional einen Schutz anwenden oder entfernen.

Die folgende Abbildung zeigt die AIP-Scannerarchitektur, bei der der Scanner Dateien lokal und auf SharePoint ermittelt.

Einheitliche Scannerarchitektur für Azure Information Protection

Um Ihre Dateien zu überprüfen, verwendet der Scanner auf dem Computer installierte IFilter. Um festzustellen, ob die Dateien beschriftet werden müssen, verwendet der Scanner die Microsoft 365 integrierten DLP-Vertraulichkeitsinformationstypen (Data Loss Prevention, Verhinderung von Datenverlust) und die Mustererkennung oder Microsoft 365 regex-Muster.

Der Scanner verwendet den Azure Information Protection-Client und kann die gleichen Dateitypen klassifizieren und schützen wie der Client. Weitere Informationen finden Sie unter Vom einheitlichen Azure Information Protection-Client unterstützte Dateitypen.

Gehen Sie wie folgt vor, um Die Scans nach Bedarf zu konfigurieren:

  • Führen Sie den Scanner nur im Erkennungsmodus aus, um Berichte zu erstellen, die überprüfen, was geschieht, wenn Ihre Dateien beschriftet sind.
  • Führen Sie den Scanner aus, um Dateien mit vertraulichen Informationen zu ermitteln,ohne Bezeichnungen zu konfigurieren, für die automatische Klassifizierung angewendet wird.
  • Führen Sie den Scanner automatisch aus, um die Bezeichnungen wie konfiguriert anzuwenden.
  • Definieren Sie eine Dateitypliste, um bestimmte Dateien anzugeben, die gescannt oder ausgeschlossen werden sollen.

Hinweis

Der Scanner findet und beschriftet nicht in Echtzeit. Sie durchforstet die Dateien in von Ihnen angegebenen Datenspeichern systematisch. Konfigurieren Sie diesen Zyklus so, dass er einmal oder wiederholt ausgeführt wird.

Tipp

Der einheitliche Beschriftungsscanner unterstützt Scannercluster mit mehreren Knoten, wodurch Ihre Organisation eine Skalierung durchführen und schnellere Scanzeiten und einen breiteren Umfang erzielen kann.

Stellen Sie gleich zu Beginn mehrere Knoten zur Seite, oder beginnen Sie mit einem Cluster mit einem einzelnen Knoten, und fügen Sie später, wenn Sie wachsen, weitere Knoten hinzu. Stellen Sie mehrere Knoten mithilfe desselben Clusternamens und derselben Datenbank für das Cmdlet Install-AIPScanner zur Bereitstellung.

AIP-Scanprozess

Beim Scannen von Dateien wird der AIP-Scanner mit den folgenden Schritten ausgeführt:

1. Bestimmen, ob Dateien zum Scannen einbezogen oder ausgeschlossen werden

2. Prüfen und Beschriften von Dateien

3. Beschriften von Dateien, die nicht überprüft werden können

Weitere Informationen finden Sie unter Dateien, die vom Scanner nicht beschriftet sind.

1. Bestimmen, ob Dateien zum Scannen einbezogen oder ausgeschlossen werden

Der Scanner überspringt automatisch Dateien, die von der Klassifizierung und dem Schutz ausgeschlossen sind, z. B. ausführbare Dateien und Systemdateien. Weitere Informationen finden Sie unter Dateitypen, die von der Klassifizierung und dem Schutz ausgeschlossen sind.

Der Scanner berücksichtigt auch alle Dateilisten, die explizit zum Scannen definiert sind, oder schließt sie aus dem Scanvorgang aus. Dateilisten gelten standardmäßig für alle Datenrepositorys und können auch nur für bestimmte Repositorys definiert werden.

Verwenden Sie zum Definieren von Dateilisten für den Scan oder Ausschluss die Einstellung Dateitypen zum Scannen im Inhaltssscanauftrag. Zum Beispiel:

Konfigurieren von Dateitypen für die Suche nach dem Azure Information Protection-Scanner

Weitere Informationen finden Sie unter Bereitstellen des Azure Information Protection-Scanners zum automatischen Klassifizieren und Schützen von Dateien.

2. Prüfen und Beschriften von Dateien

Nach dem Identifizieren der ausgeschlossenen Dateien filtert der Scanner erneut, um die für die Überprüfung unterstützten Dateien zu identifizieren.

Diese Filter werden vom Betriebssystem für Such- und indizierungs-Windows verwendet und erfordern keine zusätzliche Konfiguration. Windows IFilter wird auch zum Scannen von Dateitypen verwendet, die von Word, Excel und PowerPoint sowie für PDF-Dokumente und Textdateien verwendet werden.

Eine vollständige Liste der Dateitypen, die für Überprüfungen unterstützt werden, sowie weitere Anweisungen zum Konfigurieren von Filtern für .zip- und TIFF-Dateien finden Sie unter Dateitypen, die für Überprüfungen unterstützt werden.

Nach einer Überprüfung werden unterstützte Dateitypen mit den Bedingungen beschriftet, die für Ihre Etiketten angegeben sind. Wenn Sie den Erkennungsmodus verwenden, können diese Dateien entweder so gemeldet werden, dass sie die für Ihre Etiketten angegebenen Bedingungen enthalten, oder sie enthalten bekannte vertrauliche Informationstypen.

Beendete Scannerprozesse

Wenn der Scanner beendet und die Suche nach einer großen Anzahl von Dateien in Ihrem Repository nicht abgeschlossen, müssen Sie möglicherweise die Anzahl der dynamischen Ports für das Betriebssystem erhöhen, das die Dateien hosten soll.

Die Server hardening for SharePoint ist ein Grund, warum der Scanner die Anzahl der zulässigen Netzwerkverbindungen überschreiten und daher beenden würde.

Um zu überprüfen, ob die Server hardening for SharePoint die Ursache für das Beenden des Scanners ist, überprüfen Sie die folgende Fehlermeldung in den Scannerprotokollen %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (mehrere Protokolle werden in eine ZIP-Datei komprimiert):

Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

Weitere Informationen dazu, wie Sie den aktuellen Portbereich anzeigen und bei Bedarf vergrößern, finden Sie unter Einstellungen, die zur Verbesserung der Netzwerkleistung geändert werden können.

Tipp

Bei Farmen SharePoint Farmen müssen Sie möglicherweise den Schwellenwert für die Listenansicht erhöhen, der den Standardwert 5.000 hat.

Weitere Informationen finden Sie unter Verwalten großer Listen und Bibliotheken in SharePoint.

3. Beschriften von Dateien, die nicht überprüft werden können

Bei Dateitypen, die nicht überprüft werden können, wendet der AIP-Scanner die Standardbezeichnung in der Azure Information Protection-Richtlinie oder die für den Scanner konfigurierte Standardbezeichnung an.

Dateien, die vom Scanner nicht beschriftet sind

Unter folgenden Umständen kann der AIP-Scanner Dateien nicht beschriften:

  • Wenn durch die Bezeichnung die Klassifizierung, aber nicht der Schutz angewendet wird, und der Dateityp keine Ausschließliche Klassifizierung durch den Client unterstützt. Weitere Informationen finden Sie unter Einheitliches Beschriften von Clientdateitypen.

  • Wenn durch die Bezeichnung Klassifizierung und Schutz angewendet wird, der Scanner den Dateityp jedoch nicht unterstützt.

    Standardmäßig schützt der Scanner nur Office Dateitypen und PDF-Dateien, wenn sie mithilfe des ISO-Standards für die PDF-Verschlüsselung geschützt werden.

    Andere Dateitypen können zu Ihrem Schutz hinzugefügt werden, wenn Sie die Dateitypen ändern, die geschützt werden sollen.

Beispiel:Nach der .txt kann der Scanner keine Bezeichnung anwenden, die nur für die Klassifizierung konfiguriert ist, da der Dateityp .txt keine Klassifizierung unterstützt.

Wenn die Bezeichnung jedoch sowohl für Klassifizierung als auch für Schutz konfiguriert ist und der Dateityp .txt für den Scanner enthalten ist, kann der Scanner die Datei beschriften.

Nächste Schritte

Weitere Informationen zur Bereitstellung des Scanners finden Sie in den folgenden Artikeln:

Weitere Informationen: