Konfigurieren und Installieren des einheitlichen Azure Information Protection (AIP)-Scanners

Gilt für: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Relevant für:Nur einheitliche AIP-Beschriftungsclient.

In diesem Artikel wird beschrieben, wie Sie den einheitlichen, lokalen Azure Information Protection-Scanner konfigurieren und installieren.

Tipp

Während die meisten Kunden diese Verfahren im Azure Information Protection-Bereich des Azure-Portals ausführen, müssen Sie möglicherweise nur in PowerShell arbeiten.

Wenn Sie beispielsweise in einer Umgebung ohne Zugriff auf das Azure-Portal arbeiten, z. B. Azure China 21Vianet-Scannerserver,folgen Sie den Anweisungen unter Verwenden von PowerShellzum Konfigurieren des Scanners.

Übersicht

Bevor Sie beginnen, stellen Sie sicher, dass Ihr System die erforderlichen Voraussetzungen erfüllt.

Um das Azure-Portal zu verwenden, verwenden Sie die folgenden Schritte:

  1. Konfigurieren der Scannereinstellungen

  2. Installieren des Scanners

  3. Erhalten eines Azure AD für den Scanner

  4. Konfigurieren des Scanners zum Anwenden von Klassifizierung und Schutz

Führen Sie dann nach Bedarf die folgenden Konfigurationsverfahren für Ihr System aus:

Vorgehensweise Beschreibung
Ändern der zu schützende Dateitypen Möglicherweise möchten Sie andere Dateitypen als die Standarddateitypen scannen, klassifizieren oder schützen. Weitere Informationen finden Sie unter AIP-Scanprozess.
Aktualisieren Ihres Scanners Aktualisieren Sie Ihren Scanner, um die neuesten Features und Verbesserungen zu nutzen.
Massenbearbeitung von Datenrepositoryeinstellungen Verwenden Sie Import- und Exportoptionen, um Massenänderungen für mehrere Datenrepositorys vorzunehmen.
Verwenden des Scanners mit alternativen Konfigurationen Verwenden des Scanners ohne Konfigurieren von Etiketten unter bestimmten Bedingungen
Optimieren der Leistung Leitfaden zur Optimierung der Scannerleistung

Wenn Sie keinen Zugriff auf die Scannerseiten im Azure-Portal haben, konfigurieren Sie alle Scannereinstellungen nur in PowerShell. Weitere Informationen finden Sie unter Verwenden von PowerShell zum Konfigurieren des Scanners und unter Unterstützte PowerShell-Cmdlets.

Konfigurieren der Scannereinstellungen

Bevor Sie den Scanner installieren oder ein Upgrade von einer älteren allgemeinen Verfügbarkeitsversion durchführen, konfigurieren oder überprüfen Sie die Scannereinstellungen.

So konfigurieren Sie Ihren Scanner im Azure-Portal:

  1. Melden Sie sich mit einer der folgenden Rollen beim Azure-Portal an:

    • Complianceadministrator
    • Compliancedatenadministrator
    • Sicherheitsadministrator
    • Globaler Administrator

    Navigieren Sie dann zum Bereich Azure Information Protection.

    Beginnen Sie beispielsweise im Suchfeld für Ressourcen, Dienste und Dokumente mit der Eingabe von Informationen, und wählen Sie Azure Information Protection aus.

  2. Erstellen Sie einen Scannercluster. Dieser Cluster definiert Ihren Scanner und wird verwendet, um die Scannerinstanz zu identifizieren, z. B. bei der Installation, bei Upgrades und anderen Prozessen.

  3. (Optional) Durchsuchen Sie Ihr Netzwerk nach riskanten Repositorys. Erstellen Sie einen Netzwerkscanauftrag, um eine angegebene IP-Adresse oder einen angegebenen Bereich zu scannen, und stellen Sie eine Liste riskanter Repositorys mit vertraulichen Inhalten zur Verfügung, die Sie schützen möchten.

    Führen Sie Den Netzwerkscanauftrag aus, und analysieren Sie dann alle riskanten Repositorys, die gefunden wurden.

  4. Erstellen Sie einen Inhaltsscanauftrag, um die Repositorys zu definieren, die Sie scannen möchten.

Erstellen eines Scannerclusters

  1. Wählen Sie im Menü Scanner auf der linken Seite Clusterclustersymbolsymbol

  2. Wählen Sie im Bereich Azure Information Protection – Cluster die Option SymbolhinzufügenSymbol

  3. Geben Sie im Bereich Neuen Cluster hinzufügen einen aussagekräftigen Namen für den Scanner und optional eine Beschreibung ein.

    Der Clustername wird verwendet, um die Konfigurationen und Repositorys des Scanners zu identifizieren. Sie können z. B. "Europa" eingeben, um die geografischen Standorte der Datenrepositorys zu identifizieren, die Sie durchsuchen möchten.

    Sie verwenden diesen Namen später, um zu ermitteln, wo Sie Ihren Scanner installieren oder aktualisieren möchten.

  4. Wählen Sie Savesave iconsave aus, um Ihre Änderungen zu speichern.

Erstellen eines Netzwerkscanauftrags (öffentliche Vorschau)

Fügen Sie einem Inhaltssscanauftrag mindestens eines der Repositorys hinzu, um diese nach vertraulichen Inhalten zu durchsuchen.

Hinweis

Das Netzwerkermittlungsfeature von Azure Information Protection befindet sich derzeit in preview. Die ergänzenden Bedingungen für Azure Preview enthalten zusätzliche gesetzliche Bedingungen, die für Azure-Features gelten, die in der Betaversion, in der Vorschau oder auf andere Weise noch nicht zur allgemeinen Verfügbarkeit veröffentlicht wurden.

In der folgenden Tabelle werden die Voraussetzungen beschrieben, die für den Netzwerkermittlungsdienst erforderlich sind:

Voraussetzung Beschreibung
Installieren des Network Discovery-Diensts Wenn Sie Ihren Scanner vor Kurzem aktualisiert haben, müssen Sie den Netzwerkermittlungsdienst möglicherweise noch installieren.

Führen Sie das Cmdlet Install-MIPNetworkDiscovery aus, um Netzwerkscanaufträge zu aktivieren.
Azure Information Protection-Analysen Stellen Sie sicher, dass Azure Information Protection-Analysen aktiviert sind.

Wechseln Sie im Azure-Portal zu Azure Information Protection Manage Configure analytics > (Preview).

Weitere Informationen finden Sie unter Zentrale Berichterstellung für Azure Information Protection (public preview).

So erstellen Sie einen Netzwerkscanauftrag

  1. Melden Sie sich beim Azure-Portal an, und wechseln Sie zu Azure Information Protection. Wählen Sie im Menü Scanner auf der linken Seite Netzwerkscanaufträge (Vorschau)Symbol

  2. Wählen Sie im Bereich Azure Information Protection – Netzwerk-Überprüfungsaufträge die Option Symbolhinzufügen Symbol

  3. Definieren Sie auf der Seite Neuen Netzwerkscanauftrag hinzufügen die folgenden Einstellungen:

    Einstellung Beschreibung
    Name des Netzwerkscanauftrags Geben Sie einen aussagekräftigen Namen für diese Aufgabe ein. Dieses Feld ist erforderlich.
    Beschreibung Geben Sie eine aussagekräftige Beschreibung ein.
    Auswählen des Clusters Wählen Sie in der Dropdownliste den Cluster aus, den Sie zum Überprüfen der konfigurierten Netzwerkpositionen verwenden möchten.

    Tipp:Stellen Sie beim Auswählen eines Clusters sicher, dass die Knoten in dem Cluster, den Sie zuweisen, über SMB auf die konfigurierten IP-Bereiche zugreifen können.
    Konfigurieren der zu ermittelnde IP-Bereiche Klicken Sie, um eine IP-Adresse oder einen Bereich zu definieren.

    Geben Sie im Bereich IP-Bereiche auswählen einen optionalen Namen und dann eine START-IP-Adresse und eine End-IP-Adresse für Ihren Bereich ein.

    Tipp:Wenn Sie nur eine bestimmte IP-Adresse scannen möchten, geben Sie die identische IP-Adresse in die Felder Start-IP und End IP ein.
    Festlegen des Zeitplans Legen Sie fest, wie oft dieser Netzwerkscanauftrag ausgeführt werden soll.

    Wenn Sie Wöchentlich auswählen,wird die Einstellung Netzwerkscanauftrag ausführen für angezeigt. Wählen Sie die Wochentage aus, an denen der Netzwerkscanauftrag ausgeführt werden soll.
    Festlegen der Startzeit (UTC) Definieren Sie das Datum und die Uhrzeit, zu dem der Netzwerkscanauftrag gestartet werden soll. Wenn Sie ausgewählt haben, dass der Auftrag täglich, wöchentlich oder monatlich ausgeführt werden soll, wird der Auftrag zum definierten Zeitpunkt und zu der von Ihnen ausgewählten Serie ausgeführt.

    Hinweis:Achten Sie beim Festlegen des Datums auf beliebige Tage am Ende des Monats. Wenn Sie 31 auswählen,wird der Netzwerkscanauftrag in keinem Monat ausgeführt, der mindestens 30 Tage hat.
  4. Wählen Sie Savesave iconsave aus, um Ihre Änderungen zu speichern.

Tipp

Wenn Sie dieselbe Netzwerksuche mit einem anderen Scanner ausführen möchten, ändern Sie den im Netzwerkscanauftrag definierten Cluster.

Kehren Sie zum Bereich Netzwerkscanaufträge zurück, und wählen Sie Zu Cluster zuweisen aus, um jetzt einen anderen Cluster auszuwählen, oder wählen Sie Cluster zuweisen aus, um später weitere Änderungen vorzunehmen.

Analysieren riskanter Repositorys (öffentliche Vorschau)

Repositorys, die entweder von einem Netzwerkscanauftrag, einem Inhaltsscanauftrag oder vom in Protokolldateien erkannten Benutzerzugriff gefunden wurden, werden im Symbolbereich Symbol für Scanner-Repositorys-Repositoryszusammengefasst und aufgelistet.

Wenn Sie einen Netzwerküberprüfungsauftrag definiert haben und festgelegt haben, dass er zu einem bestimmten Datum und einer bestimmten Uhrzeit ausgeführt werden soll, warten Sie, bis die Ausführung abgeschlossen ist, um die Ergebnisse zu überprüfen. Sie können hier auch nach dem Ausführen eines Inhaltsscanauftrags zum Anzeigen aktualisierter Daten zurückkehren.

Hinweis

Das Feature Azure Information Protection-Repositorys befindet sich derzeit in der VORSCHAU. Die ergänzenden Bedingungen für Azure Preview enthalten zusätzliche gesetzliche Bedingungen, die für Azure-Features gelten, die in der Betaversion, in der Vorschau oder auf andere Weise noch nicht zur allgemeinen Verfügbarkeit veröffentlicht wurden.

  1. Wählen Sie im Menü Scanner auf der linken Seite Symbol fürRepositorys-Repositorys-Symbol

    Die gefundenen Repositorys werden wie folgt angezeigt:

    • Das Statusdiagramm Repositorys nach zeigt, wie viele Repositorys bereits für einen Inhaltsscanauftrag konfiguriert sind und wie viele nicht.
    • In dem Diagramm Top 10 nicht verwaltete Repositorys nach Access werden die 10 Obersten Repositorys, die derzeit keinem Inhaltsscanauftrag zugewiesen sind, sowie Details zu deren Zugriffsebenen aufgeführt. Access-Ebenen können angeben, wie riskant Ihre Repositorys sind.
    • In der Tabelle unter den Diagrammen sind die gefundenen Repositorys und deren Details aufgelistet.
  2. Gehen Sie wie folgt vor:

    Option Beschreibung
    Symbol für Spaltensymbolspalten Wählen Sie Spalten aus, um die angezeigten Tabellenspalten zu ändern.
    Aktualisierungssymbol Wenn Ihr Scanner kürzlich Netzwerkscanergebnisse ausgeführt hat, wählen Sie Aktualisieren aus, um die Seite zu aktualisieren.
    Symbol Wählen Sie ein oder mehrere Repositorys aus, die in der Tabelle aufgelistet sind, und wählen Sie dann Ausgewählte Elemente zuweisen aus, um sie einem Inhaltsscanauftrag zuzuordnen.
    Filter In der Filterzeile werden alle aktuell angewendeten Filterkriterien angezeigt. Wählen Sie eines der angezeigten Kriterien aus, um die Einstellungen zu ändern, oder wählen Sie Filter hinzufügen aus, um neue Filterkriterien hinzuzufügen.

    Wählen Sie Filter aus, um die Änderungen anzuwenden und die Tabelle mit dem aktualisierten Filter zu aktualisieren.
    Log Analytics icon Klicken Sie in der oberen rechten Ecke des Diagramms nicht verwaltete Repositorys auf das Symbol Protokollanalyse, um zu den Protokollanalysedaten für diese Repositorys zu springen.

Repositorys, bei denen der öffentliche Zugriff als Lese- oder Lese-/Schreibzugriff entdeckt wird, verfügen möglicherweise über vertrauliche Inhalte, die gesichert werden müssen. Wenn der öffentliche Zugriff falsch ist, kann überhaupt kein Benutzer auf das Repository zugreifen.

Der öffentliche Zugriff auf ein Repository wird nur gemeldet, wenn Sie ein schwaches Konto im Parameter StandardDomainsUserAccount der Cmdlets Install-MIPNetworkDiscovery oder Set-MIPNetworkDiscoveryConfiguration festgelegt haben.

  • Die in diesen Parametern definierten Konten werden verwendet, um den Zugriff eines schwachen Benutzers auf das Repository zu simulieren. Wenn der dort definierte schwache Benutzer auf das Repository zugreifen kann, bedeutet dies, dass öffentlich auf das Repository zugegriffen werden kann.

  • Um sicherzustellen, dass der öffentliche Zugriff ordnungsgemäß gemeldet wird, stellen Sie sicher, dass der in diesen Parametern angegebene Benutzer nur ein Mitglied der Gruppe "Domänenbenutzer" ist.

Erstellen eines Inhaltsscanauftrags

Tauchen Sie tief in Ihre Inhalte ein, um bestimmte Repositorys nach vertraulichen Inhalten zu durchsuchen.

Dies kann nur nach dem Ausführen eines Netzwerkscanauftrags zum Analysieren der Repositorys im Netzwerk der Sie tun, aber Sie können die Repositorys auch selbst definieren.

So erstellen Sie Ihren Inhaltsscanauftrag im Azure-Portal:

  1. Wählen Sie links im Menü Scanner die Option Inhaltsscanaufträge aus.

  2. Wählen Sie im Bereich Azure Information Protection – Inhaltsscanaufträge die Option SymbolzumSpeichern hinzufügen

  3. Konfigurieren Sie für diese Anfangskonfiguration die folgenden Einstellungen, und wählen Sie dann Speichern aus, aber schließen Sie den Bereich nicht.

    Einstellung Beschreibung
    Einstellungen für Den Inhaltsscanauftrag - - Die Standardeinstellung "Manuell" behalten
    - - Nur in Richtlinie ändern
    - - Konfigurieren Sie es zu diesem Zeitpunkt nicht, da der Inhaltssscanauftrag zuerst gespeichert werden muss.
    DLP-Richtlinie Wenn Sie eine Richtlinie zur Microsoft 365 (Data Loss Prevention, DLP) verwenden, legen Sie DLP-Regeln aktivieren auf Ein. Weitere Informationen finden Sie unter Verwenden einer DLP-Richtlinie.
    Vertraulichkeitsrichtlinie - - Wählen Sie Aus aus.
    - - Behalten Sie den Standardwert Ein bei.
    - - Die Standardbezeichnung "Policy default" (Standardrichtlinie) behalten
    - - Standard auf Aus be lassen
    Konfigurieren von Dateieinstellungen - - Die Standardeinstellung "Ein" beibehalten
    - - Behalten Sie die standardmäßigen Dateitypen für "Exclude" bei.
    - - Behalten Sie die Standardeinstellung für Scannerkonto bei.
    - - Verwenden Sie diese Option nur bei Verwendung einer DLP-Richtlinie.
  4. Nachdem der Inhaltsscanauftrag erstellt und gespeichert wurde, können Sie zur Option Repositorys konfigurieren zurückkehren, um die Datenspeicher anzugeben, die durchsucht werden sollen.

    Geben Sie UNC-Pfade und SharePoint Server-URLs für SharePoint lokalen Dokumentbibliotheken und Ordner an.

    Hinweis

    SharePoint Server 2019, SharePoint Server 2016 und SharePoint Server 2013 werden für SharePoint. SharePoint Server 2010 wird auch unterstützt, wenn Sie über erweiterten Support für diese Version von SharePoint.

    Wenn Sie Ihren ersten Datenspeicher hinzufügen möchten, wählen Sie im Bereich Neuen Inhaltsscanauftrag hinzufügen die Option Repositorys konfigurieren aus, um den Bereich Repositorys zu öffnen:

    Konfigurieren Sie Datenrepositorys für den Azure Information Protection-Scanner.

    1. Wählen Sie im Bereich Repositorys die Option Hinzufügen aus:

      Fügen Sie ein Datenrepository für den Azure Information Protection-Scanner hinzu.

    2. Geben Sie im Bereich Repository den Pfad für das Datenrepository an, und wählen Sie dann Speichern aus.

      • Verwenden Sie für eine Netzwerkfreigabe \\Server\Folder .
      • Verwenden Sie für SharePoint Bibliothek http://sharepoint.contoso.com/Shared%20Documents/Folder .
      • Für einen lokalen Pfad: C:\Folder
      • Für einen UNC-Pfad: \\Server\Folder

    Hinweis

    Platzhalter werden nicht unterstützt, und WebDav-Speicherorte werden nicht unterstützt.

    Wenn Sie einen Pfad SharePoint für freigegebene Dokumente hinzufügen:

    • Geben Sie Freigegebene Dokumente im Pfad an, wenn Sie alle Dokumente und Ordner aus freigegebenen Dokumenten durchsuchen möchten. Zum Beispiel: http://sp2013/SharedDocuments
    • Geben Sie Dokumente im Pfad an, wenn Sie alle Dokumente und Ordner aus einem Unterordner unter Freigegebene Dokumente durchsuchen möchten. Zum Beispiel: http://sp2013/Documents/SalesReports
    • Oder geben Sie nur den FQDN Ihrer SharePoint-Website an, um beispielsweise alle SharePoint-Websites und -Unterwebsites unter einer bestimmten URL und Untertitel unter dieser URL zu ermitteln und zu scannen. Erteilen Sie Scanner Site Collector Auditor das Recht, dies zu aktivieren.

    Ändern Sie sie für die verbleibenden Einstellungen in diesem Bereich für diese Anfangskonfiguration nicht, behalten Sie sie aber als Standard für inhaltssuche-Auftrag bei. Die Standardeinstellung bedeutet, dass das Datenrepository die Einstellungen vom Inhaltsscanauftrag erbt.

    Verwenden Sie die folgende Syntax, wenn Sie SharePoint hinzufügen:

    Pfad Syntax
    Stammpfad http://<SharePoint server name>

    Überprüft alle Websites, einschließlich aller websitesammlungen, die für den Scannerbenutzer zulässig sind.
    Erfordert zusätzliche Berechtigungen, um Stamminhalte automatisch zu ermitteln
    Spezifische SharePoint Unterwebsite oder -sammlung Eine der folgenden Optionen:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Erfordert zusätzliche Berechtigungen zum automatischen Ermitteln von Websitesammlungsinhalten
    Spezifische SharePoint Eine der folgenden Optionen:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Bestimmter SharePoint ordner http://<SharePoint server name>/.../<folder name>
  5. Wiederholen Sie die vorherigen Schritte, um nach Bedarf so viele Repositorys hinzuzufügen.

    Wenn Sie fertig sind, schließen Sie die Stellenbereiche Repositorys und Inhaltssuche.

Zurück zum Bereich Azure Information Protection – Inhaltsscanauftrag wird der Name Ihres Inhaltsscans zusammen mit der Spalte ZEITPLAN mit Manuell angezeigt, und die Spalte ENFORCE ist leer.

Jetzt können Sie den Scanner mit dem von Ihnen erstellten Inhaltsscannerauftrag installieren. Fahren Sie mit Installieren des Scanners fort.

Installieren des Scanners

Nachdem Sie den Azure Information Protection-Scannerkonfiguriert haben, führen Sie die folgenden Schritte zum Installieren des Scanners aus. Dieses Verfahren wird in PowerShell vollständig ausgeführt.

  1. Melden Sie sich bei dem Windows-Server an, auf dem der Scanner ausgeführt wird. Verwenden Sie ein Konto mit lokalen Administratorrechten und Berechtigungen zum Schreiben in die SQL Server Masterdatenbank.

    Wichtig

    Sie müssen den einheitlichen AIP-Beschriftungsclient auf Ihrem Computer installiert haben, bevor Sie den Scanner installieren.

    Weitere Informationen finden Sie unter Voraussetzungen für die Installation und Bereitstellung des Azure Information Protection-Scanners.

  2. Öffnen Sie Windows PowerShell Sitzung mit der Option Als Administrator ausführen.

  3. Führen Sie das Cmdlet Install-AIPScanner aus, und geben Sie die SQL Server-Instanz an, für die eine Datenbank für den Azure Information Protection-Scanner erstellt werden soll, sowie den Namen des Scannerclusters, den Sie im vorherigen Abschnitt angegeben haben:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Beispiele für die Verwendung des Scannerclusternamens von Europa:

    • Für eine Standardinstanz: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Für eine benannte Instanz: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • Weitere SQL Server Express:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Wenn Sie dazu aufgefordert werden, geben Sie die Active Directory-Anmeldeinformationen für das Scannerdienstkonto an.

    Verwenden Sie die folgende Syntax: \<domain\user name> . Zum Beispiel: contoso\scanneraccount

  4. Vergewissern Sie sich, dass der Dienst jetzt mit den Verwaltungstools installiertwurde.

    Der installierte Dienst hat den Namen Azure Information Protection Scanner und ist für die Ausführung mit dem von Ihnen erstellten Scannerdienstkonto konfiguriert.

Nachdem Sie den Scanner installiert haben, müssen Sie ein Azure AD-Token für das Scannerdienstkonto zur Authentifizierung erhalten, damit der Scanner unbeaufsichtigt ausgeführt werden kann.

Erhalten eines Azure AD für den Scanner

Ein Azure AD ermöglicht es dem Scanner, sich beim Azure Information Protection-Dienst zu authentifizieren, sodass der Scanner nicht interaktiv ausgeführt werden kann.

Weitere Informationen finden Sie unter So wird's machen: Nicht interaktive Bezeichnungen für Dateien in Azure Information Protection.

So erhalten Sie ein Azure AD Token:

  1. Öffnen Sie das Azure-Portal, um Azure AD,um ein Zugriffstoken für die Authentifizierung anzugeben.

  2. Wenn auf dem Windows-Servercomputer das lokale Anmelden für die Installation dem Scannerdienstkonto gewährt wurde, melden Sie sich mit diesem Konto an, und starten Sie eine PowerShell-Sitzung.

    Führen Sie Set-AIPAuthentication aus,und geben Sie dabei die Werte an, die Sie aus dem vorherigen Schritt kopiert haben:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Zum Beispiel:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Tipp

    Wenn ihrem Scannerdienstkonto das lokale Anmelden für die Installation nicht gewährt werden kann, verwenden Sie den Parameter OnBehalfOf mit Set-AIPAuthentication, wie unter So wird's gemacht: Beschriften von nicht interaktiven Dateien für Azure Information Protectionbeschrieben.

Der Scanner verfügt jetzt über ein Token zum Authentifizieren Azure AD. Dieses Token ist je nach Konfiguration des geheimen Web App-/API-Client-Schlüssels in der App für ein Jahr, zwei Jahre oder nie Azure AD. Wenn das Token abläuft, müssen Sie dieses Verfahren wiederholen.

Verwenden Sie einen der folgenden Schritte, je nachdem, ob Sie Ihren Scanner über das Azure-Portal oder nur PowerShell konfigurieren:

Jetzt können Sie Ihren ersten Scan im Erkennungsmodus ausführen. Weitere Informationen finden Sie unter Ausführen eines Erkennungszyklus und Anzeigen von Berichten für den Scanner.

Fahren Sie nach dem Ausführen Ihrer ersten Suche mit Konfigurieren des Scanners fort, um Klassifizierung und Schutz anzuwenden.

Hinweis

Weitere Informationen finden Sie unter So wird's mit der Bezeichnung von Dateien, die nicht interaktiv für Azure Information Protection sind

Konfigurieren des Scanners zum Anwenden von Klassifizierung und Schutz

Mit den Standardeinstellungen wird der Scanner so konfiguriert, dass er nur einmal ausgeführt wird und nur im Berichtsmodus ausgeführt wird. Um diese Einstellungen zu ändern, bearbeiten Sie den Inhaltssscanauftrag.

Tipp

Wenn Sie nur in PowerShell arbeiten, lesen Sie Konfigurieren des Scanners zum Anwenden von Klassifizierung und Schutz – nur PowerShell.

So konfigurieren Sie den Scanner für die Anwendung von Klassifizierung und Schutz:

  1. Wählen Sie im Azure-Portal im Bereich Azure Information Protection – Inhaltsscanaufträge den Cluster- und Inhaltsscanauftrag aus, um ihn zu bearbeiten.

  2. Ändern Sie im Aufgabenbereich Inhaltssuche Folgendes, und wählen Sie dann Speichern aus:

    • Aus dem Abschnitt "Inhaltsscanauftrag": Ändern des Zeitplans in "Immer"
    • Aus dem Abschnitt "Vertraulichkeitsrichtlinie": Ändern von "Erzwingen" in "Ein"

    Tipp

    Möglicherweise möchten Sie in diesem Bereich andere Einstellungen ändern, z. B. ob Dateiattribute geändert werden und ob der Scanner Dateien neu beschriften kann. In der Popuphilfe finden Sie weitere Informationen zu den einzelnen Konfigurationseinstellungen.

  3. Notieren Sie sich die aktuelle Uhrzeit, und starten Sie den Scanner erneut über den Bereich Azure Information Protection – Aufträge für Inhaltsscans:

    Starten Sie die Suche nach dem Azure Information Protection-Scanner.

Der Scanner wird jetzt so geplant, dass er kontinuierlich ausgeführt wird. Wenn der Scanner alle konfigurierten Dateien durchgeht, startet er automatisch einen neuen Zyklus, sodass alle neuen und geänderten Dateien erkannt werden.

Verwenden einer DLP-Richtlinie

Die Verwendung Microsoft 365 Richtlinie zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) ermöglicht es Scannern, potenzielle Datenverluste zu erkennen, indem DLP-Regeln mit Dateien in Dateifreigaben und auf ihrem Server SharePoint werden.

  • Aktivieren Sie DLP-Regeln in Ihrem Inhaltsscanauftrag, um die Anzahl von Dateien zu verringern, die Ihren DLP-Richtlinien entsprechen. Wenn Ihre DLP-Regeln aktiviert sind, kann der Scanner den Dateizugriff nur auf Datenbesitzer verringern oder die Gefährdung für netzwerkweite Gruppen verringern, z. B. Jeder,Authentifizierte Benutzer oder Domänenbenutzer.

  • Ermitteln Sie Microsoft 365 Compliance Centerder Datei , ob Sie ihre DLP-Richtlinie nur testen oder ob Ihre Regeln erzwungen und Ihre Dateiberechtigungen entsprechend diesen Regeln geändert werden sollen. Weitere Informationen finden Sie unter Aktivieren einer DLP-Richtlinie.

DLP-Richtlinien werden im Microsoft 365 Compliance Center. Weitere Informationen zur DLP-Lizenzierung finden Sie unter Erste Schritte mit der Verhinderung von Datenverlust (On-Premises Scanner).

Tipp

Auch wenn Sie die DLP-Richtlinie nur testen, werden beim Scannen Ihrer Dateien auch Dateiberechtigungsberichte erstellt. Fragen Sie diese Berichte ab, um bestimmte Dateibelichtungen zu untersuchen oder die Belichtung eines bestimmten Benutzers für gescannte Dateien zu untersuchen.

Wenn Sie nur PowerShell verwenden möchten, lesen Sie Verwenden einer DLP-Richtlinie mit dem Scanner – nur PowerShell.

So verwenden Sie eine DLP-Richtlinie mit dem Scanner:

  1. Navigieren Sie im Azure-Portal zu Ihrem Inhaltssscanauftrag. Weitere Informationen finden Sie unter Erstellen eines Inhaltsscanauftrags.

  2. Legen Sie unter DLP-Richtliniedie Option DLP-Regeln aktivieren aufEin.

    Wichtig

    Legen Sie DLP-Regeln aktivieren nur dann auf Ein, wenn Sie tatsächlich eine DLP-Richtlinie in ihrer Microsoft 365.

    Wenn sie dieses Feature ohne DLP-Richtlinie aktivieren, generiert der Scanner Fehler.

  3. (Optional) Legen Sie unter Dateieinstellungen konfigurierenden Repositorybesitzer auf Einfest, und definieren Sie einen bestimmten Benutzer als Repositorybesitzer.

    Mit dieser Option kann der Scanner die Gefährdung aller in diesem Repository gefundenen Dateien, die der DLP-Richtlinie entsprechen, für den definierten Repositorybesitzer verringern.

DLP-Richtlinien und private Aktionen

Wenn Sie eine DLP-Richtlinie mit einer privaten Aktion verwenden und planen, den Scanner zum automatischen Beschriften Ihrer Dateien zu verwenden, sollten Sie auch die erweiterte Einstellung UseCopyAndPreserveNTFSOwner des einheitlichen Clients definieren.

Durch diese Einstellung wird sichergestellt, dass die ursprünglichen Besitzer den Zugriff auf ihre Dateien behalten.

Weitere Informationen finden Sie unter Erstellen eines Inhaltsscanauftrags und Automatisches Anwenden einer Vertraulichkeitsbezeichnung auf Inhalte in der Microsoft 365 Dokumentation.

Ändern der zu schützende Dateitypen

Standardmäßig schützt der AIP-Scanner Office Dateitypen und PDF-Dateien.

Verwenden Sie PowerShell-Befehle, um dieses Verhalten bei Bedarf zu ändern, z. B. um den Scanner so zu konfigurieren, dass alle Dateitypen wie vom Client geschützt werden, oder um zusätzliche, spezifische Dateitypen zu schützen.

Geben Sie für eine Bezeichnungsrichtlinie, die für das Benutzerkonto gilt, die Bezeichnungen für den Scanner herunterläd, eine erweiterte PowerShell-Einstellung mit dem Namen PFileSupportedExtensions an.

Bei einem Scanner mit Zugriff auf das Internet ist dieses Benutzerkonto das Konto, das Sie für den Parameter DelegatedUser mit dem Befehl Set-AIPAuthentication haben.

Beispiel 1:PowerShell-Befehl für den Scanner zum Schützen aller Dateitypen, bei denen Ihre Bezeichnungsrichtlinie den Namen "Scanner" hat:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Beispiel 2:PowerShell-Befehl für den Scanner, um .xml- und TIFF-Dateien zusätzlich zu Office- und PDF-Dateien zu schützen, wobei Ihre Bezeichnungsrichtlinie den Namen "Scanner" hat:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Weitere Informationen finden Sie unter Ändern der zu schützende Dateitypen.

Aktualisieren Ihres Scanners

Wenn Sie den Scanner zuvor installiert haben und ein Upgrade durchführen möchten, befolgen Sie die Anweisungen unter Upgrade des Azure Information Protection-Scanners.

Konfigurieren Und verwenden Sie Ihren Scanner dann wie gewohnt, und überspringen Sie die Schritte zum Installieren Ihres Scanners.

Massenbearbeitung von Datenrepositoryeinstellungen

Verwenden Sie die SchaltflächenExportieren und Importieren, um Änderungen für Ihren Scanner über mehrere Repositorys hinweg vorzunehmen.

Auf diese Weise müssen Sie dieselben Änderungen nicht mehrmals manuell im Azure-Portal vornehmen.

Wenn Sie z. B. über einen neuen Dateityp für mehrere SharePoint-Datenrepositorys verfügen, sollten Sie die Einstellungen für diese Repositorys in Massen aktualisieren.

So nehmen Sie Massenänderungen über Repositorys hinweg vor:

  1. Wählen Sie im Azure-Portal im Bereich Repositorys die Option Exportieren aus. Zum Beispiel:

    Exportieren von Datenrepositoryeinstellungen für den Azure Information Protection-Scanner.

  2. Bearbeiten Sie die exportierte Datei manuell, um die Änderung vornehmen zu können.

  3. Verwenden Sie die Option Importieren auf derselben Seite, um die Aktualisierungen wieder über die Repositorys hinweg zu importieren.

Verwenden des Scanners mit alternativen Konfigurationen

Der Azure Information Protection-Scanner sucht in der Regel nach Bedingungen, die für Ihre Bezeichnungen angegeben sind, um Ihre Inhalte nach Bedarf zu klassifizieren und zu schützen.

In den folgenden Szenarien kann der Azure Information Protection-Scanner auch Ihre Inhalte scannen und Bezeichnungen verwalten, ohne dass Bedingungen konfiguriert sind:

Anwenden einer Standardbezeichnung auf alle Dateien in einem Datenrepository

In dieser Konfiguration werden alle unbeschrifteten Dateien im Repository mit der Standardbezeichnung beschriftet, die für das Repository oder den Inhaltssscanauftrag angegeben ist. Dateien werden ohne Überprüfung beschriftet.

Konfigurieren Sie die folgenden Einstellungen:

Einstellung Beschreibung
Beschriften von Dateien basierend auf Inhalten Auf Aus festlegen
Standardbeschriftung Legen Sie auf Benutzerdefiniert, und wählen Sie dann die zu verwendende Bezeichnung aus.
Standardbezeichnung erzwingen Wählen Sie diese Option aus, damit die Standardbezeichnung auf alle Dateien angewendet wird, auch wenn diese bereits beschriftet sind.

Entfernen vorhandener Bezeichnungen aus allen Dateien in einem Datenrepository

In dieser Konfiguration werden alle vorhandenen Bezeichnungen einschließlich Schutz entfernt, wenn der Schutz mit der Bezeichnung angewendet wurde. Der unabhängig von einer Bezeichnung angewendete Schutz wird beibehalten.

Konfigurieren Sie die folgenden Einstellungen:

Einstellung Beschreibung
Beschriften von Dateien basierend auf Inhalten Auf Aus festlegen
Standardbeschriftung Auf "Keine" festgelegt
Dateien neu beschriften Auf "Ein"festgelegt, mit aktivierten Kontrollkästchen "Standardbezeichnung erzwingen"

Identifizieren aller benutzerdefinierten Bedingungen und bekannten vertraulichen Informationstypen

Diese Konfiguration ermöglicht es Ihnen, vertrauliche Informationen zu finden, die Sie möglicherweise nicht erkannt haben, und zwar auf Kosten der Scanraten für den Scanner.

Legen Sie die info-Typen fest, die ermittelt werden sollen, auf Alle.

Um Bedingungen und Informationstypen für die Bezeichnung zu identifizieren, verwendet der Scanner jeden angegebenen benutzerdefinierten vertraulichen Informationstyp sowie die Liste der integrierten Typen vertraulicher Informationen, die ausgewählt werden können, wie im Bezeichnungsverwaltungscenter definiert.

Optimieren der Scannerleistung

Hinweis

Wenn Sie die Reaktionsfähigkeit des Scannercomputers anstelle der Scannerleistung verbessern möchten, verwenden Sie eine erweiterte Clienteinstellung, um die Anzahl der vom Scanner verwendeten Threads zu beschränken.

Verwenden Sie die folgenden Optionen und Richtlinien, um die Scannerleistung zu optimieren:

Option Beschreibung
Schnelle und zuverlässige Netzwerkverbindung zwischen dem Scannercomputer und dem gescannten Datenspeicher Platzieren Sie den Scannercomputer z. B. im selben LAN oder vorzugsweise in demselben Netzwerksegment wie der gescannte Datenspeicher.

Die Qualität der Netzwerkverbindung wirkt sich auf die Scannerleistung aus, da der Scanner zum Prüfen der Dateien die Inhalte der Dateien an den Computer überträgt, auf dem der Scannerdienst ausgeführt wird.

Durch die Verringerung oder Entfernung der Netzwerkhops, die für die Datenreise erforderlich sind, wird auch die Auslastung des Netzwerks verringert.
Stellen Sie sicher, dass der Scannercomputer über verfügbare Prozessorressourcen verfügt Das Prüfen des Dateiinhalts sowie das Verschlüsseln und Entschlüsseln von Dateien sind prozessorintensive Aktionen.

Überwachen Sie die typischen Scanzyklen für die angegebenen Datenspeicher, um festzustellen, ob sich ein Mangel an Prozessorressourcen negativ auf die Scannerleistung auswirken kann.
Installieren mehrerer Instanzen des Scanners Der Azure Information Protection-Scanner unterstützt mehrere Konfigurationsdatenbanken auf derselben SQL Serverinstanz, wenn Sie einen benutzerdefinierten Clusternamen für den Scanner angeben.

Tipp:Mehrere Scanner können auch den gleichen Cluster gemeinsam verwenden, was zu schnelleren Scanzeiten führt. Wenn Sie den Scanner auf mehreren Computern mit derselben Datenbankinstanz installieren möchten und die Scanner parallel ausgeführt werden sollen, müssen Sie alle Scanner mit demselben Clusternamen installieren.
Überprüfen der alternativen Konfigurationsnutzung Der Scanner wird schneller ausgeführt, wenn Sie die alternative Konfiguration verwenden, um eine Standardbezeichnung auf alle Dateien anzuwenden, da der Scanner den Dateiinhalt nicht überprüft.

Der Scanner wird langsamer ausgeführt, wenn Sie die alternative Konfiguration verwenden, um alle benutzerdefinierten Bedingungen und bekannten vertraulichen Informationstypen zu identifizieren.

Zusätzliche Faktoren, die sich auf die Leistung auswirken

Weitere Faktoren, die sich auf die Scannerleistung auswirken, sind:

Faktor Beschreibung
Lade-/Antwortzeiten Die aktuelle Lade- und Antwortzeit der Datenspeicher, die die zu scannende Datei enthalten, wirkt sich ebenfalls auf die Scannerleistung aus.
Scannermodus (Ermittlung/Erzwingen) Der Erkennungsmodus hat in der Regel eine höhere Scanrate als der Erzwingungsmodus.

Die Erkennung erfordert eine einzelne Leseaktion für eine Datei, während der Erzwingungsmodus Lese- und Schreibaktionen erfordert.
Richtlinienänderungen Ihre Scannerleistung kann beeinträchtigt werden, wenn Sie Änderungen an der Automatischbezeichnung in der Bezeichnungsrichtlinie vorgenommen haben.

Der erste Scanzyklus dauert, wenn der Scanner jede Datei prüfen muss, länger als nachfolgende Überprüfungszyklen, die standardmäßig nur neue und geänderte Dateien prüfen.

Wenn Sie die Bedingungen oder die Einstellungen für die Automatische Kennzeichnung ändern, werden alle Dateien erneut überprüft. Weitere Informationen finden Sie unter Erneutes Scannen von Dateien.
Regex-Konstruktionen Die Scannerleistung wird durch die Art und Weise beeinträchtigt, wie Ihre regex-Ausdrücke für benutzerdefinierte Bedingungen konstruiert werden.

Um hohen Speicherverbrauch und das Risiko von Timeouts (15 Minuten pro Datei) zu vermeiden, überprüfen Sie ihre regex-Ausdrücke, um einen effizienten Musterabgleich zu erreichen.

Zum Beispiel:
- Vermeiden Sie Quantizierer
– Verwenden Sie nicht erfasste Gruppen wie z. B. (?:expression) anstelle von (expression)
Protokollstufe Zu den Optionen auf Protokollebene gehören Debuggen,Info,Fehler und Aus für die Scannerberichte.

- - aus, um die beste Leistung zu erzielen
- - kann den Scanner erheblich verlangsamen und sollte nur zur Problembehandlung verwendet werden.

Weitere Informationen finden Sie im Parameter ReportLevel für das Cmdlet Set-AIPScannerConfiguration.
Dateien, die gescannt werden – Mit Ausnahme Excel Dateien werden Office Dateien schneller gescannt als PDF-Dateien.

– Nicht geschützte Dateien können schneller gescannt werden als geschützte Dateien.

– Große Dateien nehmen offensichtlich länger zum Scannen als kleine Dateien.

Verwenden von PowerShell zum Konfigurieren des Scanners

In diesem Abschnitt werden die Schritte beschrieben, die zum Konfigurieren und Installieren des lokalen AIP-Scanners erforderlich sind, wenn Sie keinen Zugriff auf die Scannerseiten im Azure-Portal haben und nur PowerShell verwenden dürfen.

Wichtig

  • Für einige Schritte ist Powershell erforderlich, unabhängig davon, ob Sie auf die Scannerseiten im Azure-Portal zugreifen können und identisch sind. Diese Schritte finden Sie in den weiter oben in diesem Artikel angegebenen Anweisungen.

  • Wenn Sie mit dem Scanner für Azure China 21Vianet arbeiten, sind zusätzlich zu den hier detaillierten Anweisungen zusätzliche Schritte erforderlich. Weitere Informationen finden Sie unter Azure Information Protection-Unterstützung für Office 365 von 21Vianet.

Weitere Informationen finden Sie unter Unterstützte PowerShell-Cmdlets.

So konfigurieren und installieren Sie Ihren Scanner:

  1. Starten Sie mit geschlossener PowerShell. Wenn Sie den AIP-Client und den Scanner zuvor installiert haben, stellen Sie sicher, dass der AIPScanner-Dienst beendet wurde.

  2. Öffnen Sie Windows PowerShell Sitzung mit der Option Als Administrator ausführen.

  3. Führen Sie den Befehl Install-AIPScanner aus, um Ihren Scanner auf ihrer SQL-Serverinstanz zu installieren, und verwenden Sie dazu den Parameter Cluster, um den Clusternamen zu definieren.

    Dieser Schritt ist unabhängig davon identisch, ob Sie auf die Scannerseiten im Azure-Portal zugreifen können oder nicht. Weitere Informationen finden Sie in den früheren Anweisungen in diesem Artikel: Installieren des Scanners.

  4. Holen Sie sich ein Azure-Token für die Verwendung mit Ihrem Scanner, und authentifizieren Sie sich dann erneut.

    Dieser Schritt ist unabhängig davon identisch, ob Sie auf die Scannerseiten im Azure-Portal zugreifen können oder nicht. Weitere Informationen finden Sie in den früheren Anweisungen in diesem Artikel: Azure AD Des Scanners.

  5. Führen Sie aus, um den Scanner im Offlinemodus auf die Funktion zu setzen. Ausführen:

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  6. Führen Sie das Cmdlet Set-AIPScannerContentScanJob aus, um einen Standardauftrag für die Inhaltssuche zu erstellen.

    Der einzige erforderliche Parameter im Cmdlet Set-AIPScannerContentScanJob ist Enforce. Es kann jedoch sein, dass Sie zu diesem Zeitpunkt andere Einstellungen für Ihren Inhaltsscanauftrag definieren möchten. Zum Beispiel:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    Mit der oben angegebenen Syntax werden die folgenden Einstellungen konfiguriert, während Sie die Konfiguration fortsetzen:

    • Sorgt dafür, dass die Scanner die Planung manuell ausführen
    • Legt die Informationstypen fest, die basierend auf der Vertraulichkeitsbezeichnungsrichtlinie ermittelt werden sollen.
    • Erzwingt keine Vertraulichkeits-Bezeichnungsrichtlinie
    • Automatische Bezeichnung von Dateien basierend auf Inhalten unter Verwendung der für die Vertraulichkeitsbezeichnungsrichtlinie definierten Standardbezeichnung
    • Es ist nicht möglich, Dateien neu zu beschriften
    • Beim Scannen und beim automatischen Beschriften werden Dateidetails beibehalten, einschließlich des Änderungsdatums, der letzten Änderung und der Änderung durch Werte.
    • Legt fest, dass der Scanner MSG- und TMP-Dateien bei der Ausführung ausschließt.
    • Legt den Standardbesitzer auf das Konto fest, das Sie beim Ausführen des Scanners verwenden möchten.
  7. Verwenden Sie das Cmdlet Add-AIPScannerRepository, um die Repositorys zu definieren, die Sie in Ihrem Inhaltsscanauftrag scannen möchten. Führen Sie beispielsweise folgende Ausführung aus:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Verwenden Sie je nach Typ des Repositorys, das Sie hinzufügen möchten, eine der folgenden Syntaxen:

    • Verwenden Sie für eine Netzwerkfreigabe \\Server\Folder .
    • Verwenden Sie für SharePoint Bibliothek http://sharepoint.contoso.com/Shared%20Documents/Folder .
    • Für einen lokalen Pfad: C:\Folder
    • Für einen UNC-Pfad: \\Server\Folder

    Hinweis

    Platzhalter werden nicht unterstützt, und WebDav-Speicherorte werden nicht unterstützt.

    Wenn Sie das Repository später ändern möchten, verwenden Sie stattdessen das Set-AIPScannerRepository-Cmdlet.

    Wenn Sie einen Pfad SharePoint für freigegebene Dokumente hinzufügen:

    • Geben Sie Freigegebene Dokumente im Pfad an, wenn Sie alle Dokumente und Ordner aus freigegebenen Dokumenten durchsuchen möchten. Zum Beispiel: http://sp2013/SharedDocuments
    • Geben Sie Dokumente im Pfad an, wenn Sie alle Dokumente und Ordner aus einem Unterordner unter Freigegebene Dokumente durchsuchen möchten. Zum Beispiel: http://sp2013/Documents/SalesReports
    • Oder geben Sie nur den FQDN Ihrer SharePoint-Website an, um beispielsweise alle SharePoint-Websites und -Unterwebsites unter einer bestimmten URL und Untertitel unter dieser URL zu ermitteln und zu scannen. Erteilen Sie Scanner Site Collector Auditor das Recht, dies zu aktivieren.

    Verwenden Sie die folgende Syntax, wenn Sie SharePoint hinzufügen:

    Pfad Syntax
    Stammpfad http://<SharePoint server name>

    Überprüft alle Websites, einschließlich aller websitesammlungen, die für den Scannerbenutzer zulässig sind.
    Erfordert zusätzliche Berechtigungen, um Stamminhalte automatisch zu ermitteln
    Spezifische SharePoint Unterwebsite oder -sammlung Eine der folgenden Optionen:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Erfordert zusätzliche Berechtigungen zum automatischen Ermitteln von Websitesammlungsinhalten
    Spezifische SharePoint Eine der folgenden Optionen:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Bestimmter SharePoint ordner http://<SharePoint server name>/.../<folder name>

Fahren Sie nach Bedarf mit den folgenden Schritten fort:

Verwenden von PowerShell zum Konfigurieren des Scanners zum Anwenden von Klassifizierung und Schutz

  1. Führen Sie das Cmdlet Set-AIPScannerContentScanJob aus, um Ihren Inhaltsscanauftrag so zu aktualisieren, dass Ihre Terminplanung immer festgelegt und Ihre Vertraulichkeitsrichtlinie erzwungen wird.

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On
    

    Tipp

    Möglicherweise möchten Sie in diesem Bereich andere Einstellungen ändern, z. B. ob Dateiattribute geändert werden und ob der Scanner Dateien neu beschriften kann. Weitere Informationen zu den verfügbaren Einstellungen finden Sie in der vollständigen PowerShell-Dokumentation.

  2. Führen Sie das Cmdlet "Start-AIPScan" aus, um den Inhaltsscanauftrag ausführen:

    Start-AIPScan
    

Der Scanner wird jetzt so geplant, dass er kontinuierlich ausgeführt wird. Wenn der Scanner alle konfigurierten Dateien durchgeht, startet er automatisch einen neuen Zyklus, sodass alle neuen und geänderten Dateien erkannt werden.

Verwenden von PowerShell zum Konfigurieren einer DLP-Richtlinie mit dem Scanner

  1. Führen Sie das Cmdlet Set-AIPScannerContentScanJob erneut aus, und legen Sie den Parameter -EnableDLP auf Einfest, und legen Sie einen bestimmten Repositorybesitzer fest.

    Zum Beispiel:

    Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
    

Unterstützte PowerShell-Cmdlets

In diesem Abschnitt werden die für den Azure Information Protection-Scanner unterstützten PowerShell-Cmdlets sowie Anweisungen zum Konfigurieren und Installieren des Scanners nur mit PowerShell aufgeführt.

Zu den unterstützten Cmdlets für den Scanner gehören:

Nächste Schritte

Nachdem Sie Ihren Scanner installiert und konfiguriert haben, beginnen Sie mit dem Scannen Ihrer Dateien.

Siehe auch: Bereitstellen des Azure Information Protection-Scanners zum automatischen Klassifizieren und Schützen von Dateien.

Weitere Informationen: