Was ist der klassische Azure Information Protection-Scanner?

Verwenden Sie die Informationen in diesem Abschnitt, um mehr über den klassischen Clientscanner von Azure Information Protection zu erfahren und dann erfolgreich zu installieren, zu konfigurieren, auszuführen und bei Bedarf zu beheben.

Der AIP-Scanner wird als Dienst auf Windows Server ausgeführt und ermöglicht das Erkennen, Klassifizieren und Schützen von Dateien in den folgenden Datenspeichern:

• UNC-Pfade für Netzwerkfreigaben, die das SMB-Protokoll (Server Message Block) verwenden.

• SharePoint-Dokumentenbibliotheken und Ordner für SharePoint Server 2019 bis SharePoint Server 2013.

Klassischer Azure Information Protection-Scanner - Übersicht

Der AIP-Scanner kann alle Dateien prüfen, die Windows indizieren kann. Wenn Sie Bezeichnungen konfiguriert haben, die die automatische Klassifizierung anwenden, kann der Scanner dateien bezeichnen, um diese Klassifizierung anzuwenden und optional den Schutz anzuwenden oder zu entfernen.

Die folgende Abbildung zeigt die Architektur des AIP-Scanners, bei der der Scanner Dateien auf Ihren lokalen und SharePoint-Servern erkennt.

Um Ihre Dateien zu überprüfen, verwendet der Scanner IFilter, die auf dem Computer installiert sind. Um festzustellen, ob die Dateien beschriftet werden müssen, verwendet der Scanner die in Microsoft 365 integrierte Data Loss Prevention (DLP) Vertraulichkeitsinformationstypen und Mustererkennung oder Microsoft 365 RegEx-Muster.

Der Scanner verwendet den Azure Information Protection-Client und kann dieselbe Art von Dateien wie der Client klassifizieren und schützen. Weitere Informationen finden Sie unter Vom Azure Information Protection-Client unterstützte Dateitypen.

Führen Sie eine der folgenden Aktionen aus, um Ihre Scans nach Bedarf zu konfigurieren:

• Betreiben Sie den Scanner nur im Erkennungsmodus, um Berichte zu erstellen, die prüfen, was passiert, wenn Ihre Dateien gekennzeichnet werden.
• Führen Sie den Scanner aus, um Dateien mit sensiblen Informationen zu entdecken, ohne Etiketten zu konfigurieren, die eine automatische Klassifizierung vornehmen.
• Der Scanner wird automatisch gestartet, um Etiketten wie konfiguriert aufzubringen.
• Definieren Sie eine Dateitypenliste, um bestimmte zu überprüfende oder auszuschließende Dateien anzugeben.

Hinweis

Der Scanner erkennt und kennzeichnet nicht in Echtzeit. Es durchsucht systematisch die Dateien in den von Ihnen angegebenen Datenspeichern. Konfigurieren Sie diesen Zyklus, um einmal oder wiederholt auszuführen.

AIP-Scanprozess

Beim Scannen von Dateien führt der AIP-Scanner die folgenden Schritte aus:

1. Festlegen, ob Dateien für die Überprüfung ein- oder ausgeschlossen werden sollen

2. Einsichtnahme und Bezeichnung von Dateien

3. Kennzeichnen Sie Dateien, die nicht eingesehen werden können

Hinweis

Weitere Informationen finden Sie unter Dateien, die vom Scanner nicht beschriftet wurden.

1. Festlegen, ob Dateien für die Überprüfung einbezogen oder ausgeschlossen werden sollen

Bei der Überprüfung werden von der Klassifizierung und vom Schutz ausgeschlossene Dateien wie ausführbare Dateien und Systemdateien übersprungen. Weitere Informationen finden Sie unter Dateitypen, die von der Klassifizierung und dem Schutz ausgeschlossen sind.

Der Scanner betrachtet auch alle dateilisten, die explizit zum Scannen definiert sind oder aus dem Scannen ausgeschlossen werden. Dateilisten gelten standardmäßig für alle Datenrepositorys und können auch nur für bestimmte Repositorys definiert werden.

Um Dateilisten für das Scannen oder den Ausschluss zu definieren, verwenden Sie die Einstellung zu scannende Dateitypen im Inhaltsscanauftrag. Beispiel:

Weitere Informationen finden Sie unter Einsatz des Azure Information Protection-Scanners zur automatischen Klassifizierung und zum Schutz von Dateien.

2. Einsichtnahme und Bezeichnung von Dateien

Nach der Identifizierung ausgeschlossener Dateien filtert der Scanner erneut, um Dateien zu identifizieren, die für die Überprüfung unterstützt werden.

Diese zusätzlichen Filter sind dieselben, die vom Betriebssystem für Windows Suche und Indizierung verwendet werden und keine zusätzliche Konfiguration erfordern. Windows IFilter wird auch zum Scannen von Dateitypen verwendet, die von Word, Excel und PowerPoint verwendet werden, sowie für PDF-Dokumente und Textdateien.

Eine vollständige Liste der für die Prüfung unterstützten Dateitypen und zusätzliche Anweisungen zur Konfiguration von Filtern zur Einbeziehung von .zip- und .tiff-Dateien finden Sie unter Für die Prüfung unterstützte Dateitypen.

Nach der Inspektion werden die unterstützten Dateitypen mit den für Ihre Etiketten festgelegten Bedingungen beschriftet. Wenn Sie den Erkennungsmodus verwenden, können diese Dateien entweder so gemeldet werden, dass sie die für Ihre Bezeichnungen angegebenen Bedingungen enthalten, oder so gemeldet werden, dass sie alle bekannten sensiblen Informationstypen enthalten.

3. Kennzeichnen von Dateien, die nicht geprüft werden können

Für alle Dateitypen, die nicht inspiziert werden können, wendet der AIP-Scanner die Standardbezeichnung in der Azure Information Protection-Richtlinie oder die für den Scanner konfigurierte Standardbezeichnung an.

Dateien, die nicht vom Scanner gekennzeichnet sind

Der AIP-Scanner kann unter den folgenden Umständen keine Dateien beschriften:

• Wenn die Bezeichnung Klassifizierungen anwendet, aber keinen Schutz, und der Dateityp unterstützt keine Klassifizierung nur vom Client. Weitere Informationen finden Sie unter Klassische Client-Dateitypen.

• Wenn das Etikett die Klassifizierung und den Schutz anwendet, aber der Scanner den Dateityp nicht unterstützt.

  Standardmäßig unterstützt der Scanner nur Office-Dateitypen und PDF-Dateien, wenn diese gemäß dem ISO-Standard für die PDF-Verschlüsselung geschützt werden.

  Andere Dateitypen können zum Schutz hinzugefügt werden, wenn Sie die zu schützenden Dateitypen ändern.

Beispiel: Nach der Inspektion von .txt-Dateien kann der Scanner kein Etikett anwenden, das nur für die Klassifizierung konfiguriert ist, da der .txt-Dateityp keine reine Klassifizierung unterstützt.

Wenn die Bezeichnung jedoch sowohl für Klassifizierung als auch für den Schutz konfiguriert ist, und der .txt Dateityp ist für den Scanner enthalten, um zu schützen, kann der Scanner die Datei beschriften.

Nächste Schritte

Weitere Informationen zum Einsatz des Scanners finden Sie in den folgenden Artikeln:

• Voraussetzungen für den Einsatz des AIP-Scanners
• Konfigurieren und Installieren des AIP-Scanners
• Scans mit dem AIP-Scanner durchführen

Weitere Informationen:

• Interessiert es Sie, wie das Core Services Engineering and Operations-Team bei Microsoft diese Überprüfung implementiert hat? Lesen Sie die technische Fallstudie Automatisieren des Datenschutzes mit der Azure Information Protection-Überprüfung.

• Vielleicht fragen Sie sich: Was ist der Unterschied zwischen der Windows Server-Dateiklassifizierungsinfrastruktur und der Azure Information Protection-Überprüfung?

• Sie können Dateien auch mit PowerShell interaktiv klassifizieren und von Ihrem Desktopcomputer aus schützen. Weitere Informationen finden Sie unter Verwenden von PowerShell mit dem Azure Information Protection-Client.