Konfigurieren und Installieren des Azure Information Protection klassischen ScannerConfiguring and installing the Azure Information Protection classic scanner

Gilt für: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Hinweis

Um eine einheitliche und optimierte Kundenumgebung zu gewährleisten, werden Azure Information Protection-Client (klassisch) und Bezeichnungsverwaltung im Azure-Portal zum 31. März 2021 eingestellt.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Dieser Zeitrahmen ermöglicht allen aktuellen Azure Information Protection-Kunden den Umstieg auf die Microsoft Information Protection-Plattform für einheitliche Bezeichnungen.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Weitere Informationen erhalten Sie im offiziellen Hinweis zu veralteten Funktionen.Learn more in the official deprecation notice.

Wenn Sie den Unified-Beschriftungs Scanner verwenden, finden Sie weitere Informationen unter Installieren und Konfigurieren des Azure Information Protection Unified-Beschriftungs Scanner.If you're using the unified labeling scanner, see Installing and configuring the Azure Information Protection unified labeling scanner.

Vergewissern Sie sich vor dem Konfigurieren und Installieren des Azure Information Protection Scanners, dass Ihr System die erforderlichen Voraussetzungenerfüllt.Before you start configuring and installing the Azure Information Protection scanner, verify that your system complies with the required prerequisites.

Wenn Sie fertig sind, fahren Sie mit den folgenden Schritten fort:When you're ready, continue with the following steps:

  1. Konfigurieren des Scanners im Azure-PortalConfigure the scanner in the Azure portal

  2. Installieren der ÜberprüfungInstall the scanner

  3. Abrufen eines Azure AD-Tokens für die ÜberprüfungGet an Azure AD token for the scanner

  4. Konfigurieren der Überprüfung zum Anwenden von Klassifizierung und SchutzConfigure the scanner to apply classification and protection

Führen Sie die folgenden zusätzlichen Konfigurationsverfahren aus, die für Ihr System erforderlich sind:Perform the following additional configuration procedures as needed for your system:

VerfahrenProcedure BESCHREIBUNGDescription
Ändern der zu schützenden DateitypenChange which file types to protect Möglicherweise möchten Sie verschiedene Dateitypen Scannen, klassifizieren oder schützen als die Standardwerte.You may want to scan, classify, or protect different file types than the default. Weitere Informationen finden Sie unter AIP-Scanvorgang.For more information, see AIP scanning process.
Aktualisieren Ihres ScannersUpgrading your scanner Aktualisieren Sie Ihren Scanner, um die neuesten Features und Verbesserungen zu nutzen.Upgrade your scanner to leverage the latest features and improvements.
Bearbeiten von Datenrepository-Einstellungen in einem Massen VorgangEditing data repository settings in bulk Verwenden Sie Import-und Exportoptionen, um für mehrere Daten Depots Massen Änderungen vorzunehmen.Use import and export options to make changes in bulk for multiple data repositories.
Verwenden des Scanners mit alternativen KonfigurationenUse the scanner with alternative configurations Verwenden Sie den Scanner, ohne Bezeichnungen mit Bedingungen zu konfigurieren.Use the scanner without configuring labels with any conditions
Optimieren der LeistungOptimize performance Leitfaden zur Optimierung der Leistung des ScannersGuidance to optimize your scanner performance

Weitere Informationen finden Sie auch in der Liste der Cmdlets für den Scanner.For more information, see also List of cmdlets for the scanner.

Konfigurieren des Scanners im Azure-PortalConfigure the scanner in the Azure portal

Bevor Sie die Überprüfung installieren oder von einer älteren Version der Überprüfung mit allgemeiner Verfügbarkeit aktualisieren, erstellen Sie einen Cluster-und Inhalts Scanauftrag für die Überprüfung in der Azure-Portal.Before you install the scanner, or upgrade it from an older general availability version of the scanner, create a cluster and content scan job for the scanner in the Azure portal.

Konfigurieren Sie anschließend den Auftrag für Cluster-und Inhalts Scans mit den Überprüfungs Einstellungen und den zu überprüfenden Daten Depots.Then, configure the cluster and content scan job with scanner settings and the data repositories to scan.

So konfigurieren Sie Ihren Scanner:To configure your scanner:

  1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zum Bereich Azure Information Protection .Sign in to the Azure portal, and navigate to the Azure Information Protection pane.

    Geben Sie im Suchfeld für Ressourcen, Dienste und Dokumente zunächst Information ein, und klicken Sie dann auf Azure Information Protection.For example, in the search box for resources, services, and docs: Start typing Information and select Azure Information Protection.

  2. Suchen Sie die Menü Optionen Scanner , und wählen Sie Clusteraus.Locate the Scanner menu options, and select Clusters.

  3. Wählen Sie im Bereich Azure Information Protection-Cluster die Option Hinzufügenaus:On the Azure Information Protection - Clusters pane, select Add:

    Inhalts Überprüfungs Auftrag zum Azure Information Protection Scanner hinzufügen

  4. Im Bereich neuen Cluster hinzufügen :On the Add a new cluster pane:

    1. Geben Sie einen aussagekräftigen Namen für die Überprüfung an.Specify a meaningful name for the scanner. Dieser Name wird verwendet, um die Konfigurationseinstellungen des Scanners und die zu überprüfenden Daten Depots zu identifizieren.This name is used to identify the scanner's configuration settings and the data repositories to scan.

      Sie können beispielsweise Europa angeben, um den geografischen Standort der Datenrepositorys anzugeben, für die Ihr Scanner zuständig ist.For example, you might specify Europe to identify the geographical location of the data repositories that your scanner will cover. Wenn Sie den Scanner später installieren oder aktualisieren, müssen Sie denselben Cluster Namen angeben.When you later install or upgrade the scanner, you will need to specify the same cluster name.

    2. Optional können Sie eine Beschreibung für administrative Zwecke angeben, damit Sie den Cluster Namen des Scanners leichter identifizieren können.Optionally, specify a description for administrative purposes, to help you identify the scanner's cluster name.

    3. Wählen Sie Speichern aus.Select Save.

  5. Suchen Sie die Menü Optionen Scanner , und wählen Sie Inhalts Scanaufträgeaus.Locate the Scanner menu options, and select Content scan jobs.

  6. Wählen Sie im Bereich Azure Information Protection-Inhalts Scanaufträge die Option Hinzufügenaus.On the Azure Information Protection - Content scan jobs pane, select Add.

  7. Konfigurieren Sie für diese Erstkonfiguration die folgenden Einstellungen, und wählen Sie dann Speichern aus, aber schließen Sie den Bereich nicht:For this initial configuration, configure the following settings, and then select Save but do not close the pane:

    SectionSection EinstellungenSettings
    Einstellungen für den Content Scan-AuftragContent scan job settings - Zeitplan: behalten Sie den Standardwert manuell bei.- Schedule: Keep the default of Manual
    - Zu ermittelnde Informationstypen: nur in Richtlinie ändern- Info types to be discovered: Change to Policy only
    - Repository konfigurieren: Konfigurieren Sie zu diesem Zeitpunkt nicht, da der Inhalts Überprüfungs Auftrag zuerst gespeichert werden muss.- Configure repositories: Do not configure at this time because the content scan job must first be saved.
    RichtlinienerzwingungPolicy enforcement - Erzwingen: SELECT Off- Enforce: Select Off
    - Bezeichnungs Dateien basierend auf dem Inhalt: behalten Sie die Standardeinstellung bei .- Label files based on content: Keep the default of On
    - Standard Bezeichnung: Standardwert der Standard Richtlinie für Richtlinie beibehalten- Default label: Keep the default of Policy default
    - Dateienneu bezeichnen: Standardwert " aus " beibehalten- Relabel files: Keep the default of Off
    Konfigurieren von Datei EinstellungenConfigure file settings - "Datum geändert", "zuletzt geändert" und "geändert von" beibehalten: behalten Sie die Standardeinstellung bei .- Preserve "Date modified", "Last modified" and "Modified by": Keep the default of On
    - Zu überprüfende Dateitypen: Standard Dateitypen für Ausschluss beibehalten- File types to scan: Keep the default file types for Exclude
    - Standard Besitzer: behalten Sie die Standardeinstellung Scanner-Konto bei.- Default owner: Keep the default of Scanner Account
  8. Nachdem der Auftrag für die Inhalts Überprüfung erstellt und gespeichert wurde, können Sie zur Option " Depots konfigurieren " zurückkehren, um die Datenspeicher anzugeben, die gescannt werden sollen.Now that the content scan job is created and saved, you're ready to return to the Configure repositories option to specify the data stores to be scanned.

    Geben Sie UNC-Pfade und SharePoint-Server-URLs für lokale SharePoint-Dokument Bibliotheken und-Ordner an.Specify UNC paths, and SharePoint Server URLs for SharePoint on-premises document libraries and folders.

    Hinweis

    SharePoint Server 2019, SharePoint Server 2016 und SharePoint Server 2013 werden für SharePoint unterstützt.SharePoint Server 2019, SharePoint Server 2016, and SharePoint Server 2013 are supported for SharePoint. Ferner wird SharePoint Server 2010 unterstützt, wenn Sie über erweiterten Support für diese Version von SharePoint verfügen.SharePoint Server 2010 is also supported when you have extended support for this version of SharePoint.

    Wenn Sie den ersten Datenspeicher hinzufügen möchten, wählen Sie im Bereich neuen Inhalts Überprüfungs Auftrag hinzufügen die Option Repository konfigurieren aus, um den Bereich Depots zu öffnen:To add your first data store, while on the Add a new content scan job pane, select Configure repositories to open the Repositories pane:

    Konfigurieren von Datenrepositorys für den Azure Information Protection-Scanner

  9. Klicken Sie im Bereich Repositorys auf die Option Hinzufügen:On the Repositories pane, select Add:

    Hinzufügen von Data Repository für den Azure Information Protection Scanner

  10. Geben Sie im Bereich Repository den Pfad für das Datenrepository an, und klicken Sie dann auf Speichern.On the Repository pane, specify the path for the data repository, and then select Save.

    Beispiel:For example:

    • Verwenden Sie für eine Netzwerkfreigabe \\Server\Folder .For a network share, use \\Server\Folder.
    • Verwenden Sie für eine SharePoint-Bibliothek http://sharepoint.contoso.com/Shared%20Documents/Folder .For a SharePoint library, use http://sharepoint.contoso.com/Shared%20Documents/Folder.

    Hinweis

    Platzhalter und WebDav-Speicherorte werden nicht unterstützt.Wildcards are not supported and WebDav locations are not supported.

    Verwenden Sie die folgende Syntax, wenn Sie SharePoint-Pfade hinzufügen:Use the following syntax when adding SharePoint paths:

    PfadPath SyntaxSyntax
    StammpfadRoot path http://<SharePoint server name>

    Scannt alle Websites, einschließlich sämtlicher Site Sammlungen, die für den scannerbenutzer zulässig sind.Scans all sites, including any site collections allowed for the scanner user.
    Erfordert zusätzliche Berechtigungen zum automatischen ermitteln von Stamm InhaltenRequires additional permissions to automatically discover root content
    Bestimmte SharePoint-unter Website oder-SammlungSpecific SharePoint subsite or collection Einer der folgenden:One of the following:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Erfordert zusätzliche Berechtigungen zum automatischen ermitteln von Website Sammlungs InhaltenRequires additional permissions to automatically discover site collection content
    Bestimmte SharePoint-BibliothekSpecific SharePoint library Einer der folgenden:One of the following:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Bestimmter SharePoint-OrdnerSpecific SharePoint folder http://<SharePoint server name>/.../<folder name>

    Für die restlichen Einstellungen in diesem Bereich sollten Sie diese nicht für diese anfängliche Konfiguration ändern, sondern als Standardwert für den inhaltscanauftragbeibehalten.For the remaining settings on this pane, do not change them for this initial configuration, but keep them as Content scan job default. Die Standardeinstellung bedeutet, dass das Datenrepository die Einstellungen vom Inhalts Überprüfungs Auftrag erbt.The default setting means that the data repository inherits the settings from the content scan job.

  11. Wenn Sie ein weiteres Datenrepository hinzufügen möchten, wiederholen Sie die Schritte 8 und 9.If you want to add another data repository, repeat steps 8 and 9.

  12. Schließen Sie den Bereich " Depots " und den Bereich " Inhalts Überprüfungs Auftrag ".Close the Repositories pane and the content scan job pane.

Im Bereich Azure Information Protection Inhalts Überprüfung wird der Name Ihres Inhalts Scans angezeigt, und die Spalte " Zeitplan " zeigt " manuell " an, und die Spalte " erzwingen " ist leer.Back on the Azure Information Protection - Content scan job pane, your content scan name is displayed, together with the SCHEDULE column showing Manual and the ENFORCE column is blank.

Nun können Sie den Scanner mit dem von Ihnen erstellten Inhalts Überprüfungs Auftrag installieren.You're now ready to install the scanner with the content scanner job that you've created. Fahren Sie mit der Installation des Scannersfort.Continue with Install the scanner.

Installieren der ÜberprüfungInstall the scanner

Nachdem Sie den Azure Information Protection Scanner im Azure-Portal konfigurierthaben, führen Sie die folgenden Schritte aus, um die Überprüfung zu installieren:After you've configured the Azure Information Protection scanner in the Azure portal, perform the steps below to install the scanner:

  1. Melden Sie sich bei dem Windows Server-Computer an, auf dem die Überprüfung ausgeführt werden soll.Sign in to the Windows Server computer that will run the scanner. Verwenden Sie ein Konto mit lokalen Administratorrechten und den Berechtigungen zum Schreiben in die SQL Server-Masterdatenbank.Use an account that has local administrator rights and that has permissions to write to the SQL Server master database.

  2. Starten Sie eine Windows PowerShell-Sitzung mit der Option Als Administrator ausführen.Open a Windows PowerShell session with the Run as an administrator option.

  3. Führen Sie das Cmdlet install-aipscanner aus, und geben Sie dabei die SQL Server Instanz an, auf der eine Datenbank für den Azure Information Protection Scanner erstellt werden soll, und den Namen des scannerclusters, den Sie im vorherigen Abschnitt angegeben haben:Run the Install-AIPScanner cmdlet, specifying your SQL Server instance on which to create a database for the Azure Information Protection scanner, and the scanner cluster name that you specified in the preceding section:

    Install-AIPScanner -SqlServerInstance <name> -Profile <cluster name>
    

    Beispiele, in denen der Profilname Europa verwendet wird:Examples, using the profile name of Europe:

    • Für eine Standardinstanz: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Profile EuropeFor a default instance: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Profile Europe

    • Für eine benannte Instanz: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Profile EuropeFor a named instance: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Profile Europe

    • Für SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Profile EuropeFor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Profile Europe

    Wenn Sie dazu aufgefordert werden, geben Sie die Anmelde Informationen für das Überprüfungs Dienst Konto ( \<domain\user name> ) und das Kennwort an.When you are prompted, provide the credentials for the scanner service account (\<domain\user name>) and password.

  4. Vergewissern Sie sich, dass der Dienst jetzt mithilfe der Dienste Verwaltunginstalliert ist > Services.Verify that the service is now installed by using Administrative Tools > Services.

    Der installierte Dienst heißt Azure Information Protection-Überprüfung und ist für die Ausführung mithilfe des von Ihnen erstellten Überprüfungsdienstkontos konfiguriert.The installed service is named Azure Information Protection Scanner and is configured to run by using the scanner service account that you created.

Nachdem Sie den Scanner installiert haben, müssen Sie ein Azure AD Token für das Überprüfungs Dienst Konto für die Authentifizierung erhalten, damit die Überprüfung unbeaufsichtigt ausgeführt werden kann.Now that you have installed the scanner, you need to get an Azure AD token for the scanner service account to authenticate, so that the scanner can run unattended.

Abrufen eines Azure AD-Tokens für die ÜberprüfungGet an Azure AD token for the scanner

Ein Azure AD Token ermöglicht es dem Scanner, sich beim Azure Information Protection-Dienst zu authentifizieren.An Azure AD token allows the scanner to authenticate to the Azure Information Protection service.

So erhalten Sie ein Azure AD Token:To get an Azure AD token:

  1. Kehren Sie zum Azure-Portal zurück, um zwei Azure AD Anwendungen zu erstellen und ein Zugriffs Token für die Authentifizierung anzugeben.Return to the Azure portal to create two Azure AD applications to specify an access token for authentication. Mit diesem Token kann der Scanner nicht interaktiv ausgeführt werden.This token lets the scanner run non-interactively.

    Weitere Informationen finden Sie unter Vorgehens Weise beim nicht interaktiven bezeichnen von Dateien für Azure Information Protection.For more information, see How to label files non-interactively for Azure Information Protection.

  2. Wenn Ihrem Überprüfungs Dienst Konto auf dem Windows Server-Computer die Berechtigung zum lokalen anmelden für die Installation erteilt wurde, melden Sie sich mit diesem Konto an, und starten Sie eine PowerShell-Sitzung.From the Windows Server computer, if your scanner service account has been granted the Log on locally right for the installation, sign in with this account and start a PowerShell session.

    Führen Sie Set-AIPAuthentication aus, und geben Sie die Werte an, die Sie aus dem vorherigen Schritt kopiert haben:Run Set-AIPAuthentication, specifying the values that you copied from the previous step:

    Set-AIPAuthentication -webAppId <ID of the "Web app / API" application> -webAppKey <key value generated in the "Web app / API" application> -nativeAppId <ID of the "Native" application>
    

    Wenn Sie dazu aufgefordert werden, geben Sie das Kennwort für Ihr Azure AD-Dienstkonto an, und klicken Sie dann auf Akzeptieren.When prompted, specify the password for your service account credentials for Azure AD, and then click Accept.

    Beispiel:For example:

    Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "+LBkMvddz?WrlNCK5v0e6_=meM59sSAn" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip
    Acquired application access token on behalf of the user
    

Tipp

Wenn Ihrem Überprüfungs Dienst Konto die Berechtigung " Lokal anmelden " nicht erteilt werden kann, Geben Sie an, und verwenden Sie den tokenparameter für "Set-aipauthentication".If your scanner service account cannot be granted the Log on locally right, Specify and use the Token parameter for Set-AIPAuthentication.

Der Scanner verfügt jetzt über ein Token zum Authentifizieren bei Azure AD, das ein Jahr, zwei Jahre oder nie ist, gemäß ihrer Konfiguration der Web-App/API in Azure AD.The scanner now has a token to authenticate to Azure AD, which is valid for one year, two years, or never, according to your configuration of the Web app /API in Azure AD.

Wenn das Token abgelaufen ist, müssen Sie die Schritte 1 und 2 wiederholen.When the token expires, you must repeat steps 1 and 2.

Nun können Sie den ersten Scanvorgang im Ermittlungsmodus ausführen.You're now ready to run your first scan in discovery mode. Weitere Informationen finden Sie unter Ausführen eines Ermittlungs Zyklen und Anzeigen von Berichten für dieÜberprüfung.For more information, see Run a discovery cycle and view reports for the scanner.

Wenn Sie bereits eine Ermittlungs Überprüfung ausgeführt haben, fahren Sie mit Konfigurieren des Scanners zum Anwenden der Klassifizierung und des Schutzesfort.If you've already run a discovery scan, continue with Configure the scanner to apply classification and protection.

Konfigurieren der Überprüfung zum Anwenden von Klassifizierung und SchutzConfigure the scanner to apply classification and protection

Mit den Standardeinstellungen wird die Überprüfung so konfiguriert, dass Sie einmalig ausgeführt wird, und im Bericht Erstellungs Modus.The default settings configure the scanner to run once, and in reporting-only mode.

Um diese Einstellungen zu ändern, bearbeiten Sie den Auftrag für die Inhalts Überprüfung:To change these settings, edit the content scan job:

  1. Wählen Sie im Azure-Portal im Bereich Azure Information Protection-Inhalts Scanaufträge den Auftrag Cluster und Inhalts Überprüfung aus, um ihn zu bearbeiten.In the Azure portal, on the Azure Information Protection - Content scan jobs pane, select the cluster and content scan job to edit it.

  2. Ändern Sie im Bereich Inhalts Überprüfungs Auftrag die folgenden Einstellungen, und wählen Sie dann Speichernaus:On the Content scan job pane, change the following, and then select Save:

    • Im Abschnitt Content Scan Job : Ändern des Zeitplans in AlwaysFrom the Content scan job section: Change the Schedule to Always
    • Aus dem Abschnitt zur Richtlinien Erzwingung: Ändern von erzwingen in einFrom the Policy enforcement section: Change Enforce to On

    Tipp

    Möglicherweise möchten Sie andere Einstellungen in diesem Bereich ändern, z. b. ob Dateiattribute geändert werden und ob der Scanner Dateien neu bezeichnen kann.You may want to change other settings on this pane, such as whether file attributes are changed and whether the scanner can relabel files. Weitere Informationen zu den einzelnen Konfigurationseinstellungen finden Sie in der Popuphilfe mit Informationen.Use the information popup help to learn more information about each configuration setting.

  3. Notieren Sie sich die aktuelle Uhrzeit, und starten Sie die Überprüfung erneut über den Bereich Azure Information Protection-Inhalts Scanaufträge :Make a note of the current time and start the scanner again from the Azure Information Protection - Content scan jobs pane:

    Initiieren des Scanvorgangs für den Azure Information Protection-Scanner

    Alternativ können Sie den folgenden Befehl in der PowerShell-Sitzung ausführen:Alternatively, run the following command in your PowerShell session:

    Start-AIPScan
    
  4. Überwachen Sie das Ereignisprotokoll auf den Informationstyp 911 und den letzten Zeitstempel, um Berichte zu den gekennzeichneten Dateien anzuzeigen, welche Klassifizierung angewendet wurde und ob der Schutz angewendet wurde.To view reports of files labeled, what classification was applied, and whether protection was applied, monitor the event log for the informational type 911 and the most recent time stamp.

    Überprüfen Sie die Berichte auf Details, oder verwenden Sie die Azure-Portal, um diese Informationen zu finden.Check reports for details, or use the Azure portal to find this information.

Der Scanner ist jetzt für die kontinuierliche Ausführung geplant.The scanner is now scheduled to run continuously. Wenn die Überprüfung alle konfigurierten Dateien durchläuft, wird automatisch ein neuer Zeitraum gestartet, sodass neue und geänderte Dateien ermittelt werden.When the scanner works its way through all configured files, it automatically starts a new cycle so that any new and changed files are discovered.

Ändern der zu schützenden DateitypenChange which file types to protect

Standardmäßig schützt der AIP-Scanner nur Office-Dateitypen und PDF-Dateien.By default, the AIP scanner protects Office file types and PDF files only. Bearbeiten Sie die Registrierung wie folgt, um dieses Verhalten zu ändern, z. b. zum Konfigurieren der Überprüfung, um alle Dateitypen zu schützen, ebenso wie der Client, oder um bestimmte zusätzliche Dateitypen zu schützen:To change this behavior, such as to configure the scanner to protect all file types, just as the client does, or to protect specific additional file types, edit the registry as follows:

  • Geben Sie die zusätzlichen Dateitypen an, die Sie schützen möchten.Specify the additional file types that you want to be protected
  • Geben Sie den Typ des Schutzes an, den Sie anwenden möchten (System eigen oder generisch).Specify the type of protection you want to apply (native or generic)

Weitere Informationen finden Sie in der Anleitung für Entwickler unter Datei-API-Konfiguration.For more information, see File API configuration from the developer guidance. Allgemeiner Schutz wird in dieser Dokumentation für Entwickler als „PFile“ bezeichnet.In this documentation for developers, generic protection is referred to as "PFile".

So richten Sie die unterstützten Dateitypen mit dem Client aus, wobei alle Dateien automatisch durch nativen oder generischen Schutz geschützt werden:To align the supported file types with the client, where all files are automatically protected with native or generic protection:

  1. Angeben:Specify:

    • Der Platzhalter * als Registrierungsschlüssel.The * wildcard as a registry key
    • Encryption als Wert (REG_SZ)Encryption as the value (REG_SZ)
    • Default als WertdatenDefault as the value data
  2. Überprüfen Sie, ob die Schlüssel msipc und File Protection vorhanden sind.Verify whether the MSIPC and FileProtection keys exist. Erstellen Sie Sie manuell, wenn dies nicht der Fall ist, und erstellen Sie dann einen Unterschlüssel für jede Dateinamenerweiterung.Create them manually if they don't, and then create a subkey for each file name extension.

    Damit der Scanner z. b. TIFF-Bilder zusätzlich zu Office-Dateien und-PDF-Dateien schützen kann, sieht die Registrierung in etwa wie folgt aus, nachdem Sie sie bearbeitet haben:For example, for the scanner to protect TIFF images in addition to Office files and PDFs, the registry will look similar to the following after you've edited it:

    Bearbeiten der Registrierung für die Überprüfung zum Anwenden von Schutz

    Hinweis

    Als Bilddatei unterstützen TIFF-Dateien den systemeigenen Schutz und die resultierende Dateinamenerweiterung . ptiff.As an image file, TIFF files support native protection and the resulting file name extension is .ptiff.

    Geben Sie für Dateien, die den nativen Schutz nicht unterstützten, die Erweiterung als einen neuen Schlüssel und PFILE für den generischen Schutz an.For files that don't support native protection, specify the file name extension as a new key, and PFile for generic protection. Die resultierende Dateinamenerweiterung für die geschützte Datei lautet " Pfile".The resulting file name extension for the protected file is .pfile.

Eine Liste mit Text-und Bild Dateitypen, die auf ähnliche Weise systemeigenen Schutz unterstützen, aber in der Registrierung angegeben werden müssen, finden Sie unter Unterstützte Dateitypen für Klassifizierung und Schutz.For a list of text and images file types that similarly support native protection but must be specified in the registry, see Supported file types for classification and protection.

Aktualisieren Ihres ScannersUpgrading your scanner

Wenn Sie den Scanner bereits installiert haben und ein Upgrade durchführen möchten, finden Sie weitere Informationen unter Aktualisieren der Azure Information Protection Scanner.If you have previously installed the scanner and want to upgrade, see Upgrading the Azure Information Protection scanner.

Konfigurieren und verwenden Sie dann wie gewohnt Ihren Scanner , und überspringen Sie die Schritte zur Installation des Scanners.Then, configure and use your scanner as usual, skipping the steps to install your scanner.

Hinweis

Wenn Sie über eine Version des Scanners verfügen, die älter als 1.48.204.0 ist und Sie nicht zur Aktualisierung bereit sind, finden Sie weitere Informationen unter Bereitstellen vorheriger Versionen des Azure Information Protection Scanners zum automatischen klassifizieren und schützen von Dateien.If you have a version of the scanner that is older than 1.48.204.0 and you're not ready to upgrade it, see Deploying previous versions of the Azure Information Protection scanner to automatically classify and protect files.

Bearbeiten von Datenrepository-Einstellungen in einem Massen VorgangEditing data repository settings in bulk

Verwenden Sie die Schaltflächen exportieren und importieren , um Änderungen für Ihren Scanner in mehreren Depots durchführen zu können.Use the Export and Import buttons to make changes for your scanner across several repositories.

Auf diese Weise müssen Sie die gleichen Änderungen nicht mehrmals manuell im Azure-Portal vornehmen.This way, you don't need to make the same changes several times, manually, in the Azure portal.

Wenn Sie z. b. einen neuen Dateityp in mehreren SharePoint-Daten Depots haben, können Sie die Einstellungen für diese Depots in einem Massen Vorgang aktualisieren.For example, if you have a new file type on several SharePoint data repositories, you may want to update the settings for those repositories in bulk.

So führen Sie Massen Änderungen in mehreren Depots durch:To make changes in bulk across repositories:

  1. Wählen Sie im Bereich für die Azure-Portal im Bereich " Depots " die Option exportieren aus.In the Azure portal on the Repositories pane, select the Export option. Beispiel:For example:

    Exportieren der Datenrepositoryeinstellungen für den Scanner

  2. Bearbeiten Sie die exportierte Datei manuell, um die Änderung vorzunehmen.Manually edit the exported file to make your change.

  3. Verwenden Sie die Import -Option auf der gleichen Seite, um die Aktualisierungen in ihren Depots wieder zu importieren.Use the Import option on the same page to import the updates back across your repositories.

Verwenden der Überprüfung mit alternativen KonfigurationenUsing the scanner with alternative configurations

Der Azure Information Protection Scanner sucht in der Regel nach Bedingungen, die für ihre Bezeichnungen angegeben sind, um Ihre Inhalte nach Bedarf zu klassifizieren und zu schützen.The Azure Information Protection scanner usually looks for conditions specified for your labels in order to classify and protect your content as needed.

In den folgenden Szenarien kann der Azure Information Protection Scanner auch Ihre Inhalte Scannen und Bezeichnungen verwalten, ohne dass Bedingungen konfiguriert sind:In the following scenarios, the Azure Information Protection scanner is also able to scan your content and manage labels, without any conditions configured:

Anwenden einer Standard Bezeichnung auf alle Dateien in einem DatenrepositoryApply a default label to all files in a data repository

In dieser Konfiguration werden alle nicht gekennzeichneten Dateien im Repository mit der Standard Bezeichnung gekennzeichnet, die für das Repository oder den Inhaltsüberprüfungs Auftrag angegeben ist.In this configuration, all unlabeled files in the repository are labeled with the default label specified for the repository or the content scan job. Dateien werden ohne Untersuchung bezeichnet.Files are labeled without inspection.

Konfigurieren Sie die folgenden Einstellungen:Configure the following settings:

  • Bezeichnungs Dateien basierend auf dem Inhalt: Auf Off festgelegtLabel files based on content: Set to Off
  • Standard Bezeichnung: Legen Sie auf Customfest, und wählen Sie die zu verwendende Bezeichnung aus.Default label: Set to Custom, and then select the label to use

Alle benutzerdefinierten Bedingungen und bekannten sensiblen Informationstypen identifizierenIdentify all custom conditions and known sensitive information types

Mit dieser Konfiguration können Sie vertrauliche Informationen, die Sie möglicherweise nicht bemerkt haben, auf Kosten der Scan Raten für den Scanner finden.This configuration enables you to find sensitive information that you might not realize you had, at the expense of scanning rates for the scanner.

Legen Sie die zu ermittelnden Informationstypen auf allefest.Set the Info types to be discovered to All.

Zum Identifizieren von Bedingungen und Informationstypen für die Bezeichnung verwendet der Scanner benutzerdefinierte Bedingungen, die für Bezeichnungen angegeben sind, sowie die Liste der Informationstypen, die zur Angabe für Bezeichnungen verfügbar sind, wie in der Azure Information Protection Richtlinie aufgeführt.To identify conditions and information types for labeling, the scanner uses custom conditions specified for labels, and the list of information types available to specify for labels, as listed in the Azure Information Protection policy.

Weitere Informationen finden Sie unter Schnellstart: finden Sie heraus, welche sensiblen Informationen Sie besitzen.For more information, see Quickstart: Find what sensitive information you have.

Optimieren der Scanner-LeistungOptimizing scanner performance

Hinweis

Wenn Sie die Reaktionsfähigkeit des Scanner-Computers anstelle der Überprüfungs Leistung verbessern möchten, verwenden Sie eine erweiterte Client Einstellung, um die Anzahl der von der Überprüfung verwendeten Threads einzuschränken.If you are looking to improve the responsiveness of the scanner computer rather than the scanner performance, use an advanced client setting to limit the number of threads used by the scanner.

Verwenden Sie die folgenden Optionen und Anleitungen, um die Leistung der Scanner zu optimieren:Use the following options and guidance to help you optimize scanner performance:

OptionOption BeschreibungDescription
Verwenden Sie eine schnelle und zuverlässige Netzwerkverbindung zwischen dem Überprüfungscomputer und dem überprüften DatenspeicherHave a high speed and reliable network connection between the scanner computer and the scanned data store Platzieren Sie z. b. den Überprüfungs Computer im selben LAN oder vorzugsweise im selben Netzwerksegment wie der gescannte Datenspeicher.For example, place the scanner computer in the same LAN, or preferably, in the same network segment as the scanned data store.

Die Qualität der Netzwerkverbindung wirkt sich auf die Überprüfungs Leistung aus, da der Scanner zum Überprüfen der Dateien den Inhalt der Dateien auf den Computer überträgt, auf dem der Überprüfungs Dienst ausgeführt wird.The quality of the network connection affects the scanner performance because, to inspect the files, the scanner transfers the contents of the files to the computer running the scanner service.

Durch das reduzieren oder eliminieren der Netzwerk Hops, die für die zu übertragenden Daten erforderlich sind, wird auch die Auslastung Ihres Netzwerks reduziert.Reducing or eliminating the network hops required for the data to travel also reduces the load on your network.
Achten Sie darauf, dass der überprüfende Computer verfügbare Prozessorressourcen aufweistMake sure the scanner computer has available processor resources Die Untersuchung der Dateiinhalte und das Verschlüsseln und Entschlüsseln von Dateien sind prozessorintensive Aktionen.Inspecting the file contents and encrypting and decrypting files are processor-intensive actions.

Überwachen Sie die üblichen Überprüfungszyklen für die angegebenen Datenspeicher, um zu ermitteln, ob sich die Leistung der Überprüfung durch fehlende Prozessorressourcen beeinträchtigt.Monitor the typical scanning cycles for your specified data stores to identify whether a lack of processor resources is negatively affecting the scanner performance.
Installieren mehrerer Instanzen des ScannersInstall multiple instances of the scanner Der Azure Information Protection Scanner unterstützt mehrere Konfigurations Datenbanken auf derselben SQL Server-Instanz, wenn Sie einen benutzerdefinierten Cluster Namen (Profil) für die Überprüfung angeben.The Azure Information Protection scanner supports multiple configuration databases on the same SQL server instance when you specify a custom cluster (profile) name for the scanner.
Erteilen spezifischer Rechte und Deaktivieren der Ebene mit niedriger IntegritätGrant specific rights and disable low integrity level Vergewissern Sie sich, dass das Dienst Konto, unter dem die Überprüfung ausgeführt wird, nur über die unter Dienst Kontoanforderungendokumentierten Rechte verfügtConfirm that the service account that runs the scanner has only the rights documented in Service account requirements.

Konfigurieren Sie dann die Erweiterte Client Einstellung , um die Ebene mit niedriger Integrität für die Überprüfung zu deaktivieren.Then, configure the advanced client setting to disable the low integrity level for the scanner.
Überprüfen Sie Ihre alternative Konfigurations VerwendungCheck your alternative configuration usage Die Überprüfung wird schneller ausgeführt, wenn Sie die alternative Konfiguration verwenden, bei der eine Standardbezeichnung auf alle Dateien angewendet wird, ohne dass die Dateiinhalte überprüft werden.The scanner runs more quickly when you use the alternative configuration to apply a default label to all files because the scanner does not inspect the file contents.

Die Überprüfung wird langsamer ausgeführt, wenn Sie die alternative Konfiguration verwenden, bei der alle benutzerdefinierten Bedingungen und bekannten vertraulichen Informationstypen identifiziert werden.The scanner runs more slowly when you use the alternative configuration to identify all custom conditions and known sensitive information types.
Überprüfungs Timeouts verringernDecrease scanner timeouts Verringern Sie die Überprüfungs Timeouts mit erweiterten Client Einstellungen. Reduzierte Überprüfungs Timeouts bieten bessere Scan Raten und einen geringeren Speicherverbrauch.Decrease the scanner timeouts with advanced client settings.Decreased scanner timeouts provide better scanning rates and lower memory consumption.

Hinweis: Das Verringern der Überprüfungs Timeouts bedeutet, dass einige Dateien möglicherweise ausgelassen werden.Note: Decreasing scanner timeouts means that some files may be skipped.

Weitere Faktoren, die die Leistung beeinträchtigenAdditional factors that affect performance

Weitere Faktoren, die sich auf die Scanner-Leistung auswirken, sind:Additional factors that affect the scanner performance include:

FaktorFactor BESCHREIBUNGDescription
Lade-/Antwort-ZeitenLoad/response times Die aktuellen Lade-und Antwortzeiten der Datenspeicher, die die zu überprüfenden Dateien enthalten, wirken sich auch auf die Leistung des Scanners aus.The current load and response times of the data stores that contain the files to scan will also affect scanner performance.
Scanmodus (Ermittlung/erzwingen)Scanner mode (Discovery / Enforce) Der Ermittlungs Modus hat normalerweise eine höhere Scanrate als der Erzwingungs Modus.Discovery mode typically has a higher scanning rate than enforce mode.

Die Ermittlung erfordert eine einzelne Datei Leseaktion, während der Erzwingungs Modus Lese-und Schreib Aktionen erfordert.Discovery requires a single file read action, whereas enforce mode requires read and write actions.
RichtlinienänderungenPolicy changes Die Leistung Ihres Scanners kann beeinträchtigt werden, wenn Sie Änderungen an den Bedingungen in der Azure Information Protection Richtlinie vorgenommen haben.Your scanner performance may be affected if you've made changes to the conditions in the Azure Information Protection policy .

Der erste Scan Zyklus, bei dem der Scanner jede Datei überprüfen muss, dauert länger als nachfolgende Überprüfungszyklen, die standardmäßig nur neue und geänderte Dateien untersuchen.Your first scan cycle, when the scanner must inspect every file, will take longer than subsequent scan cycles that by default, inspect only new and changed files.

Wenn Sie die Bedingungen ändern, werden alle Dateien erneut gescannt.If you change the conditions, all files are scanned again. Weitere Informationen finden Sie unter erneutanup von Dateien.For more information, see Rescanning files.
Regex-KonstruktionenRegex constructions Die Leistung des Scanners ist von der Erstellung der Regex-Ausdrücke für benutzerdefinierte Bedingungen betroffen.Scanner performance is affected by how your regex expressions for custom conditions are constructed.

Überprüfen Sie Ihre regulären Ausdrücke für einen effizienten Musterabgleich, um eine hohe Arbeitsspeichernutzung und das Risiko von Timeouts (15 Minuten pro Datei) zu vermeiden.To avoid heavy memory consumption and the risk of timeouts (15 minutes per file), review your regex expressions for efficient pattern matching.

Beispiel:For example:
-Vermeiden gieriger quantifiziererer- Avoid greedy quantifiers
-Verwenden Sie nicht Erfassungs Gruppen wie z. b. (?:expression) anstelle von. (expression)- Use non-capturing groups such as (?:expression) instead of (expression)
ProtokollebeneLog level Optionen auf Protokollebene umfassen Debug, Info, Error und Off für die scannerberichte.Log level options include Debug, Info, Error and Off for the scanner reports.

- Off führt zu einer optimalen Leistung.- Off results in the best performance
- Das Debuggen verlangsamt den Scanner erheblich und sollte nur zur Problembehandlung verwendet werden.- Debug considerably slows down the scanner and should be used only for troubleshooting.

Weitere Informationen finden Sie beim Parameter ReportLevel für das Cmdlet Set-AIPScannerConfiguration.For more information, see the ReportLevel parameter for the Set-AIPScannerConfiguration cmdlet.
Dateien, die gescannt werdenFiles being scanned -Mit Ausnahme von Excel-Dateien werden Office-Dateien schneller gescannt als PDF-Dateien.- With the exception of Excel files, Office files are more quickly scanned than PDF files.

-Ungeschützte Dateien sind schneller zu scannen als geschützte Dateien.- Unprotected files are quicker to scan than protected files.

-Die Überprüfung großer Dateien dauert offensichtlich länger als bei kleinen Dateien.- Large files obviously take longer to scan than small files.

Auflisten der Cmdlets für die ÜberprüfungList of cmdlets for the scanner

In diesem Abschnitt werden die für den Azure Information Protection Scanner unterstützten PowerShell-Cmdlets aufgeführt.This section lists PowerShell cmdlets supported for the Azure Information Protection scanner.

Hinweis

Der Azure Information Protection Scanner wird vom Azure-Portal konfiguriert.The Azure Information Protection scanner is configured from the Azure portal. Aus diesem Grund sind Cmdlets, die in früheren Versionen verwendet wurden, um Daten Depots und die Liste der überprüften Dateitypen zu konfigurieren, mittlerweile veraltet.Therefore, cmdlets used in previous versions to configure data repositories and the scanned file types list are now deprecated.

Zu den unterstützten Cmdlets für den Scanner gehören:Supported cmdlets for the scanner include:

Nächste SchritteNext steps

Nachdem Sie Ihren Scanner installiert und konfiguriert haben, können Sie mit dem Scannen der Dateienbeginnen.Once you've installed and configured your scanner, start scanning your files.

Siehe auch: bereitstellen des Azure Information Protection Scanners zum automatischen klassifizieren und schützen von Dateien.See also: Deploying the Azure Information Protection scanner to automatically classify and protect files.

Weitere Informationen:More information:

Interessiert es Sie, wie das Core Services Engineering and Operations-Team bei Microsoft diese Überprüfung implementiert hat?Interested in how the Core Services Engineering and Operations team in Microsoft implemented this scanner? Lesen Sie die technische Fallstudie Automatisieren des Datenschutzes mit der Azure Information Protection-Überprüfung.Read the technical case study: Automating data protection with Azure Information Protection scanner.

Vielleicht Fragen Sie sich: worin besteht der Unterschied zwischen der Windows Server-FCI und der Azure Information Protection Scanner?You might be wondering: What's the difference between Windows Server FCI and the Azure Information Protection scanner?

Sie können Dateien auch mit PowerShell interaktiv klassifizieren und von Ihrem Desktopcomputer aus schützen.You can also use PowerShell to interactively classify and protect files from your desktop computer. Weitere Informationen finden Sie unter Verwenden von PowerShell mit dem Azure Information Protection-Client.For more information about this and other scenarios that use PowerShell, see Using PowerShell with the Azure Information Protection client.