Erste Schritte mit dem Information Protection-Scanner

  • Artikel

Hinweis

Jetzt in der Vorschauphase gibt es eine neue Version des Informationsschutzscanners. Weitere Informationen finden Sie unter Aktualisieren des Microsoft Purview Information Protection-Scanners vom Azure Information Protection-Client.

Stellen Sie vor der Installation des Scanners aus Microsoft Purview Information Protection sicher, dass Ihr System die grundlegenden Anforderungen von Azure Information Protection erfüllt.

Darüber hinaus gelten die folgenden Anforderungen für den Scanner:

Wenn Sie nicht alle für den Scanner aufgeführten Anforderungen erfüllen können, weil sie durch Ihre organization-Richtlinien verboten sind, lesen Sie den Abschnitt alternative Konfigurationen.

Wenn Sie den Scanner in der Produktion bereitstellen oder die Leistung für mehrere Scanner testen, lesen Sie Speicheranforderungen und Kapazitätsplanung für SQL Server.

Wenn Sie bereit sind, mit der Installation und Bereitstellung Ihres Scanners zu beginnen, fahren Sie mit Konfigurieren und Installieren des Informationsschutzscanners fort.

Windows Server-Anforderungen

Sie benötigen einen Windows Server-Computer, um den Scanner ausführen zu können, der über die folgenden Systemspezifikationen verfügt:

Spezifikation Details
Prozessor 4-Kern-Prozessoren
RAM 8 GB
Speicherplatz Durchschnittlich 10 GB freier Speicherplatz für temporäre Dateien.

Der Scanner benötigt ausreichend Speicherplatz, um temporäre Dateien für jede Datei zu erstellen, die überprüft wird, vier Dateien pro Kern.

Der empfohlene Speicherplatz von 10 GB ermöglicht es 4-Kernprozessoren, 16 Dateien mit einer Dateigröße von jeweils 625 MB zu überprüfen.
Betriebssystem 64-Bit-Versionen von:

– Windows Server 2022
– Windows Server 2019
– Windows Server 2016
– Windows Server 2012 R2

Hinweis: Zu Test- oder Evaluierungszwecken in einer Nicht-Produktionsumgebung können Sie auch jedes Windows-Betriebssystem verwenden, das vom Azure Information Protection-Client unterstützt wird.
– Netzwerkkonnektivität Ihr Scannercomputer kann ein physischer oder virtueller Computer mit einer schnellen und zuverlässigen Netzwerkverbindung mit den zu scannenden Datenspeichern sein.

Wenn aufgrund Ihrer organization Richtlinien keine Internetverbindung möglich ist, finden Sie weitere Informationen unter Bereitstellen des Scanners mit alternativen Konfigurationen.

Stellen Sie andernfalls sicher, dass dieser Computer über eine Internetverbindung verfügt, die die folgenden URLs über HTTPS (Port 443) zulässt:

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com
- *.protection.outlook.com
NFS-Freigaben Um Überprüfungen auf NFS-Freigaben zu unterstützen, müssen Dienste für NFS auf dem Scannercomputer bereitgestellt werden.

Navigieren Sie auf Ihrem Computer zum Einstellungsdialogfeld Windows-Features (Windows-Features aktivieren oder deaktivieren), und wählen Sie die folgenden Elemente aus: Dienste für NFS-Verwaltungstools> und Client für NFS.
Microsoft Office iFilter Wenn Der Scanner auf einem Windows Server-Computer installiert ist, müssen Sie auch den Microsoft Office iFilter installieren, um .zip Dateien auf vertrauliche Informationstypen zu überprüfen.

Weitere Informationen finden Sie auf der Microsoft-Downloadwebsite.

Dienstkontoanforderungen

Sie müssen über ein Dienstkonto verfügen, um den Scannerdienst auf dem Windows Server-Computer auszuführen, sich bei Microsoft Entra ID authentifizieren und die Richtlinie des Scanners herunterladen zu können.

Ihr Dienstkonto muss ein Active Directory-Konto sein und mit Microsoft Entra ID synchronisiert werden.

Wenn Sie dieses Konto aufgrund Ihrer organization Richtlinien nicht synchronisieren können, finden Sie weitere Informationen unter Bereitstellen des Scanners mit alternativen Konfigurationen.

Für dieses Dienstkonto gelten die folgenden Anforderungen:

Anforderung Details
Lokale Zuweisung von Benutzerrechten anmelden Erforderlich zum Installieren und Konfigurieren des Scanners, aber nicht zum Ausführen von Überprüfungen.

Nachdem Sie bestätigt haben, dass der Scanner Dateien ermitteln, klassifizieren und schützen kann, können Sie diese direkt aus dem Dienstkonto entfernen.

Wenn die Gewährung dieses Rechts auch für einen kurzen Zeitraum aufgrund Ihrer organization Richtlinien nicht möglich ist, lesen Sie Bereitstellen des Scanners mit alternativen Konfigurationen.
Melden Sie sich als Dienst an , Zuweisung von Benutzerrechten. Dieses Recht wird dem Dienstkonto während der Installation des Scanners automatisch gewährt, und dieses Recht ist für die Installation, Konfiguration und den Betrieb des Scanners erforderlich.
Berechtigungen für die Datenrepositorys - Dateifreigaben oder lokale Dateien: Erteilen Sie Lese-, Schreib- und Änderungsberechtigungen zum Überprüfen der Dateien und anschließendes Anwenden der Klassifizierung und des Schutzes wie konfiguriert.

- SharePoint: Sie müssen Vollzugriffsberechtigungen zum Überprüfen der Dateien und anschließendes Anwenden von Klassifizierung und Schutz auf die Dateien erteilen, die die Bedingungen in der Azure Information Protection-Richtlinie erfüllen.

- Ermittlungsmodus: Um den Scanner nur im Ermittlungsmodus auszuführen, ist die Leseberechtigung ausreichend.
Für Bezeichnungen, die den Schutz erneut schützen oder entfernen Um sicherzustellen, dass der Scanner immer Zugriff auf verschlüsselte Dateien hat, machen Sie dieses Konto zu einem Superbenutzer für Azure Information Protection, und stellen Sie sicher, dass die Funktion "Superuser" aktiviert ist.

Wenn Sie onboarding-Steuerelemente für eine stufenweise Bereitstellung implementiert haben, stellen Sie außerdem sicher, dass das Dienstkonto in den von Ihnen konfigurierten Onboardingsteuerelementen enthalten ist.
Spezifische Überprüfung auf URL-Ebene Um Websites und Unterwebsites unter einer bestimmten URL zu überprüfen und zu ermitteln, gewähren Sie dem Scannerkonto auf Farmebene Die Rechte des Websitesammlerprüfers .
Lizenz für Information Protection Erforderlich, um dem Scannerdienstkonto Dateiklassifizierungs-, Bezeichnungs- oder Schutzfunktionen bereitzustellen.

Weitere Informationen finden Sie im Microsoft 365-Leitfaden für Sicherheit & Compliance.

SQL Server-Anforderungen

Verwenden Sie zum Speichern der Scannerkonfigurationsdaten eine SQL Server-Instanz mit den folgenden Anforderungen:

  • Eine lokale oder remote instance.

    Es wird empfohlen, den SQL Server und den Scannerdienst auf verschiedenen Computern zu hosten, es sei denn, Sie arbeiten mit einer kleinen Bereitstellung. Darüber hinaus wird empfohlen, eine dedizierte SQL-instance zu verwenden, die nur für die Scannerdatenbank dient und nicht für andere Anwendungen freigegeben wird.

    Wenn Sie auf einem freigegebenen Server arbeiten, stellen Sie sicher, dass die empfohlene Anzahl von Kernen kostenlos ist, damit die Scannerdatenbank funktioniert.

    SQL Server 2016 ist die Mindestversion für die folgenden Editionen:

    • SQL Server Enterprise

    • SQL Server Standard

    • SQL Server Express (nur für Testumgebungen empfohlen)

  • Ein Konto mit der Sysadmin-Rolle zum Installieren des Scanners.

    Die Sysadmin-Rolle ermöglicht es dem Installationsprozess, automatisch die Scannerkonfigurationsdatenbank zu erstellen und dem Dienstkonto, das den Scanner ausführt, die erforderliche db_owner Rolle zuzuweisen.

    Wenn Ihnen die Sysadmin-Rolle nicht zugewiesen werden kann oder Ihre organization Richtlinien die manuelle Erstellung und Konfiguration von Datenbanken erfordern, finden Sie weitere Informationen unter Bereitstellen des Scanners mit alternativen Konfigurationen.

  • Kapazität. Eine Anleitung zur Kapazität finden Sie unter Speicheranforderungen und Kapazitätsplanung für SQL Server.

  • Sortierung ohne Berücksichtigung der Groß-/Kleinschreibung.

Hinweis

Mehrere Konfigurationsdatenbanken auf demselben SQL Server werden unterstützt, wenn Sie einen benutzerdefinierten Clusternamen für den Scanner angeben oder die Vorschauversion des Scanners verwenden.

Speicheranforderungen und Kapazitätsplanung für SQL Server

Die Menge an Speicherplatz, der für die Konfigurationsdatenbank des Scanners erforderlich ist, und die Spezifikation des Computers, auf dem SQL Server ausgeführt wird, kann je nach Umgebung variieren. Daher empfehlen wir Ihnen, eigene Tests durchzuführen. Verwenden Sie die folgende Anleitung als Ausgangspunkt.

Weitere Informationen finden Sie unter Optimieren der Leistung des Scanners.

Die Datenträgergröße für die Scannerkonfigurationsdatenbank variiert je nach Bereitstellung. Verwenden Sie die folgende Formel als Anleitung:

100 KB + <file count> *(1000 + 4* <average file name length>)

Um beispielsweise 1 Million Dateien mit einer durchschnittlichen Dateinamenlänge von 250 Bytes zu überprüfen, weisen Sie 2 GB Speicherplatz zu.

Für mehrere Scanner:

  • Verwenden Sie bis zu 10 Scanner:

    • 4-Kern-Prozessoren
    • 8 GB RAM empfohlen

  • Mehr als 10 Scanner (maximal 40), verwenden Sie:

    • 8 Kernprozesse
    • 16 GB RAM empfohlen

Azure Information Protection-Clientanforderungen

Für ein Produktionsnetzwerk muss die aktuelle allgemeine Verfügbarkeitsversion des Azure Information Protection-Clients auf dem Windows Server-Computer installiert sein.

Weitere Informationen finden Sie im Administratorhandbuch zum Azure Information Protection Unified Labeling-Client.

Wichtig

Sie müssen den vollständigen Client für den Scanner installieren. Installieren Sie den Client nicht nur mit dem PowerShell-Modul.

Konfigurationsanforderungen für Bezeichnungen

Sie müssen mindestens eine Vertraulichkeitsbezeichnung im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal für das Scannerkonto konfiguriert haben, um die Klassifizierung und optional die Verschlüsselung anwenden zu können.

Das Scannerkonto ist das Konto, das Sie im Parameter DelegatedUser des Cmdlets Set-AIPAuthentication angeben und beim Konfigurieren Des Scanners ausführen.

Wenn Ihre Bezeichnungen keine Bedingungen für die automatische Bezeichnung aufweisen, lesen Sie die Anweisungen für alternative Konfigurationen weiter unten.

Weitere Informationen finden Sie unter:

SharePoint-Anforderungen

Stellen Sie zum Überprüfen von SharePoint-Dokumentbibliotheken und -Ordnern sicher, dass Ihr SharePoint-Server die folgenden Anforderungen erfüllt:

Anforderung Beschreibung
Unterstützte Versionen Unterstützte Versionen sind: SharePoint 2019, SharePoint 2016 und SharePoint 2013.
Andere Versionen von SharePoint werden für den Scanner nicht unterstützt.
Versionsverwaltung Wenn Sie die Versionsverwaltung verwenden, überprüft und bezeichnet der Scanner die zuletzt veröffentlichte Version.

Wenn der Scanner eine Datei beschriftet und eine Inhaltsgenehmigung erforderlich ist, muss diese bezeichnete Datei genehmigt werden, damit sie für Benutzer verfügbar ist.
Große SharePoint-Farmen Überprüfen Sie bei großen SharePoint-Farmen, ob Sie den Schwellenwert für die Listenansicht (standardmäßig 5.000) erhöhen müssen, damit der Scanner auf alle Dateien zugreifen kann.

Weitere Informationen finden Sie unter Verwalten großer Listen und Bibliotheken in SharePoint.
Lange Dateipfade Wenn Sie über lange Dateipfade in SharePoint verfügen, stellen Sie sicher, dass der HttpRuntime.maxUrlLength-Wert Ihres SharePoint-Servers größer als die standardmäßigen 260 Zeichen ist.

Weitere Informationen finden Sie im nächsten Abschnitt Vermeiden von Scannertimeouts in SharePoint.

Vermeiden von Scannertimeouts in SharePoint

Wenn Sie über lange Dateipfade in SharePoint Version 2013 oder höher verfügen, stellen Sie sicher, dass der HttpRuntime.maxUrlLength-Wert Ihres SharePoint-Servers größer als die standardmäßigen 260 Zeichen ist.

Dieser Wert wird in der HttpRuntimeSection-Klasse der ASP.NET Konfiguration definiert.

So aktualisieren Sie die HttpRuntimeSection-Klasse:

  1. Sichern Sie Ihre web.config-Konfiguration .

  2. Aktualisieren Sie den maxUrlLength-Wert nach Bedarf. Zum Beispiel:

    <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />

  3. Starten Sie Den SharePoint-Webserver neu, und überprüfen Sie, ob er ordnungsgemäß geladen wird.

    Wählen Sie beispielsweise im Internetinformationsserver-Manager (IIS) von Windows Ihren Standort aus, und wählen Sie dann unter Website verwaltendie Option Neu starten aus.

Microsoft Office-Anforderungen

Zum Scannen von Office-Dokumenten müssen Ihre Dokumente in einem der folgenden Formate vorliegen:

  • Microsoft Office 97-2003
  • Office Open XML-Formate für Word, Excel und PowerPoint

Weitere Informationen finden Sie unter Vom Azure Information Protection Unified Labeling Client unterstützte Dateitypen.

Dateipfadanforderungen

Zum Überprüfen von Dateien müssen Ihre Dateipfade standardmäßig maximal 260 Zeichen enthalten.

Um Dateien mit Dateipfaden mit mehr als 260 Zeichen zu scannen, installieren Sie den Scanner auf einem Computer mit einer der folgenden Windows-Versionen, und konfigurieren Sie den Computer nach Bedarf:

Windows-Version Beschreibung
Windows 2016 oder höher Konfigurieren des Computers für die Unterstützung langer Pfade
Windows 10 oder Windows Server 2016 Definieren Sie die folgende Gruppenrichtlinieneinstellung: Lokale Computerrichtlinie>Computerkonfiguration>Administrative Vorlagen>Alle Einstellungen>Aktivieren Sie lange Win32-Pfade.

Weitere Informationen zur Unterstützung von langen Dateipfaden in diesen Versionen finden Sie im Abschnitt Maximale Pfadlängenbeschränkung in der Windows 10 Entwicklerdokumentation.
Windows 10, Version 1607 oder höher Melden Sie sich für die aktualisierte MAX_PATH-Funktionalität an. Weitere Informationen finden Sie unter Aktivieren von langen Pfaden in Windows 10 Versionen 1607 und höher.

Bereitstellen des Scanners mit alternativen Konfigurationen

Die oben aufgeführten Voraussetzungen sind die Standardanforderungen für die Scannerbereitstellung und werden empfohlen, da sie die einfachste Scannerkonfiguration unterstützen.

Die Standardanforderungen sollten für erste Tests geeignet sein, damit Sie die Funktionen des Scanners überprüfen können.

In einer Produktionsumgebung können sich die Richtlinien Ihrer organization jedoch von den Standardanforderungen unterscheiden. Der Scanner kann die folgenden Änderungen mit zusätzlicher Konfiguration übernehmen:

Ermitteln und Überprüfen aller SharePoint-Websites und Unterwebsites unter einer bestimmten URL

Der Scanner kann alle SharePoint-Websites und Unterwebsites unter einer bestimmten URL mit der folgenden Konfiguration ermitteln und überprüfen:

  1. Starten Sie die SharePoint-Zentraladministration.

  2. Klicken Sie auf der Website der SharePoint-Zentraladministration im Abschnitt Anwendungsverwaltung auf Webanwendungen verwalten.

  3. Klicken Sie auf diese Option, um die Webanwendung hervorzuheben, deren Berechtigungsrichtlinienebene Sie verwalten möchten.

  4. Wählen Sie die relevante Farm und dann Berechtigungsrichtlinienebenen verwalten aus.

  5. Wählen Sie in den Optionen für Websitesammlungsberechtigungen die Option Websitesammlungsprüfer aus, gewähren Sie dann in der Liste Berechtigungen die Option Anwendungsseiten anzeigen, und benennen Sie schließlich die neue Richtlinienebene Scanner websitesammlung Auditor und Viewer.

  6. Fügen Sie Ihren Scannerbenutzer zur neuen Richtlinie hinzu, und gewähren Sie die Websitesammlung in der Liste Berechtigungen.

  7. Fügen Sie eine URL der SharePoint-Instanz hinzu, die Websites oder Unterwebsites hostet, die überprüft werden müssen. Weitere Informationen finden Sie unter Konfigurieren der Scannereinstellungen.

Weitere Informationen zum Verwalten Ihrer SharePoint-Richtlinienebenen finden Sie unter Verwalten von Berechtigungsrichtlinien für eine Webanwendung.

Einschränkung: Der Scannerserver kann keine Internetverbindung haben.

Während der Client für einheitliche Bezeichnungen keine Verschlüsselung ohne Internetverbindung anwenden kann, kann der Scanner weiterhin Bezeichnungen basierend auf importierten Richtlinien anwenden.

Um einen getrennten Computer zu unterstützen, verwenden Sie eine der folgenden Methoden:

Verwenden des Microsoft Purview-Portals oder Microsoft Purview-Complianceportal mit einem nicht verbundenen Computer

Führen Sie die folgenden Schritte aus, um einen Computer zu unterstützen, der keine Verbindung mit dem Microsoft Purview-Portal oder Microsoft Purview-Complianceportal herstellen kann:

  1. Konfigurieren Sie Bezeichnungen in Ihrer Richtlinie, und verwenden Sie dann das Verfahren, um getrennte Computer zu unterstützen , um die Offlineklassifizierung und Bezeichnung zu aktivieren.

  2. Aktivieren Sie die Offlineverwaltung für Inhaltsaufträge wie folgt:

    Aktivieren der Offlineverwaltung für Aufträge zur Inhaltsüberprüfung:

    1. Legen Sie mit dem Cmdlet Set-AIPScannerConfiguration fest, dass der Scanner im Offlinemodus funktioniert.

    2. Konfigurieren Sie den Scanner im Complianceportal, indem Sie einen Scannercluster erstellen. Weitere Informationen finden Sie unter Konfigurieren der Scannereinstellungen.

    3. Exportieren Sie Ihren Inhaltsauftrag aus dem Bereich Informationsschutz – Aufträge zur Inhaltsüberprüfung mithilfe der Option Exportieren .

    4. Importieren Sie die Richtlinie mithilfe des Cmdlets Import-AIPScannerConfiguration .

    Ergebnisse für Aufträge zur Überprüfung von Offlineinhalten befinden sich unter: %localappdata%\Microsoft\MSIP\Scanner\Reports

Verwenden von PowerShell mit einem getrennten Computer

Führen Sie das folgende Verfahren aus, um einen getrennten Computer nur mithilfe von PowerShell zu unterstützen.

Wichtig

Administratoren von Azure China 21Vianet-Scannerservernmüssen dieses Verfahren verwenden, um ihre Aufträge zur Inhaltsüberprüfung zu verwalten.

Verwalten Sie Ihre Aufträge zur Inhaltsüberprüfung nur mithilfe von PowerShell:

  1. Legen Sie mit dem Cmdlet Set-AIPScannerConfiguration fest, dass der Scanner im Offlinemodus funktioniert.

  2. Erstellen Sie mithilfe des Cmdlets Set-AIPScannerContentScanJob einen neuen Auftrag zur Inhaltsüberprüfung, und stellen Sie sicher, dass Sie den obligatorischen -Enforce On Parameter verwenden.

  3. Fügen Sie Ihre Repositorys mithilfe des Cmdlets Add-AIPScannerRepository mit dem Pfad zum Repository hinzu, das Sie hinzufügen möchten.

    Tipp

    Um zu verhindern, dass das Repository Einstellungen von Ihrem Inhaltsüberprüfungsauftrag erbt, fügen Sie den OverrideContentScanJob On Parameter sowie Werte für zusätzliche Einstellungen hinzu.

    Um Details für ein vorhandenes Repository zu bearbeiten, verwenden Sie den Befehl Set-AIPScannerRepository .

  4. Verwenden Sie die Cmdlets Get-AIPScannerContentScanJob und Get-AIPScannerRepository , um Informationen zu den aktuellen Einstellungen Ihres Inhaltsüberprüfungsauftrags zurückzugeben.

  5. Verwenden Sie den Befehl Set-AIPScannerRepository , um Details für ein vorhandenes Repository zu aktualisieren.

  6. Führen Sie den Auftrag zur Inhaltsüberprüfung bei Bedarf sofort mit dem Cmdlet Start-AIPScan aus.

    Ergebnisse für Aufträge zur Überprüfung von Offlineinhalten befinden sich unter: %localappdata%\Microsoft\MSIP\Scanner\Reports

  7. Wenn Sie ein Repository oder einen gesamten Auftrag zur Inhaltsüberprüfung entfernen müssen, verwenden Sie die folgenden Cmdlets:

Einschränkung: Sysadmin kann nicht gewährt werden, oder Datenbanken müssen manuell erstellt und konfiguriert werden.

Verwenden Sie die folgenden Verfahren, um Datenbanken manuell zu erstellen und bei Bedarf die rolle db_owner zu gewähren.

Wenn Ihnen die Sysadmin-Rolle für die Installation des Scanners vorübergehend zugewiesen werden kann, können Sie diese Rolle nach Abschluss der Scannerinstallation entfernen.

Führen Sie abhängig von den Anforderungen Ihrer organization eine der folgenden Aktionen aus:

Einschränkung Beschreibung
Sie können vorübergehend über die Sysadmin-Rolle verfügen. Wenn Sie vorübergehend über die Sysadmin-Rolle verfügen, wird die Datenbank automatisch für Sie erstellt, und dem Dienstkonto für den Scanner werden automatisch die erforderlichen Berechtigungen erteilt.

Für das Benutzerkonto, das den Scanner konfiguriert, ist jedoch weiterhin die rolle db_owner für die Scannerkonfigurationsdatenbank erforderlich. Wenn Sie nur über die Sysadmin-Rolle verfügen, bis die Scannerinstallation abgeschlossen ist, weisen Sie dem Benutzerkonto die rolle db_owner manuell zu.
Sie können überhaupt nicht über die Sysadmin-Rolle verfügen. Wenn Ihnen die Sysadmin-Rolle nicht einmal vorübergehend zugewiesen werden kann, müssen Sie einen Benutzer mit Sysadmin-Rechten bitten, eine Datenbank manuell zu erstellen, bevor Sie den Scanner installieren.

Für diese Konfiguration muss die rolle db_owner den folgenden Konten zugewiesen werden:
– Dienstkonto für den Scanner
- Benutzerkonto für die Scannerinstallation
– Benutzerkonto für die Scannerkonfiguration

In der Regel verwenden Sie dasselbe Benutzerkonto, um den Scanner zu installieren und zu konfigurieren. Wenn Sie unterschiedliche Konten verwenden, benötigen beide die db_owner Rolle für die Scannerkonfigurationsdatenbank. Erstellen Sie diesen Benutzer und die Rechte nach Bedarf. Wenn Sie Ihren eigenen Clusternamen angeben, erhält die Konfigurationsdatenbank den Namen AIPScannerUL_<cluster_name>.

Außerdem:

  • Sie müssen ein lokaler Administrator auf dem Server sein, auf dem die Überprüfung ausgeführt wird.

  • Dem Dienstkonto, das den Scanner ausführen soll, muss die Berechtigung Vollzugriff für die folgenden Registrierungsschlüssel erteilt werden:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Wenn nach dem Konfigurieren dieser Berechtigungen bei der Installation des Scanners ein Fehler angezeigt wird, kann der Fehler ignoriert werden, und Sie können den Scannerdienst manuell starten.

Manuelles Erstellen einer Datenbank und eines Benutzers für den Scanner und Gewähren db_owner Rechte

Wenn Sie Ihre Scannerdatenbank und/oder einen Benutzer manuell erstellen und db_owner Rechte für die Datenbank gewähren müssen, bitten Sie Ihren Sysadmin, die folgenden Schritte auszuführen:

  1. Erstellen Sie eine Datenbank für die Überprüfung:

    **CREATE DATABASE AIPScannerUL_[clustername]**

**ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**

  2. Erteilen Sie dem Benutzer, der den Installationsbefehl ausführt und zum Ausführen von Scannerverwaltungsbefehlen verwendet wird, Rechte. Verwenden Sie das folgende Skript:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

  3. Gewähren von Rechten für das Scannerdienstkonto. Verwenden Sie das folgende Skript:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

Einschränkung: Dem Dienstkonto für den Scanner kann das Recht "Lokal anmelden" nicht gewährt werden.

Wenn Ihre organization Richtlinien das Recht lokal anmelden für Dienstkonten verbieten, verwenden Sie den Parameter OnBehalfOf mit Set-AIPAuthentication.

Weitere Informationen finden Sie unter So bezeichnen Sie Dateien nicht interaktiv für Azure Information Protection.

Einschränkung: Das Scannerdienstkonto kann nicht mit Microsoft Entra ID synchronisiert werden, aber der Server verfügt über eine Internetverbindung.

Sie können über ein Konto verfügen, um den Scannerdienst auszuführen, und ein anderes Konto verwenden, um sich bei Microsoft Entra ID zu authentifizieren:

  • Verwenden Sie für das Scannerdienstkonto ein lokales Windows-Konto oder ein Active Directory-Konto.

  • Geben Sie für das Microsoft Entra-Konto den Microsoft Entra Benutzer im Cmdlet Set-AIPAuthentication im Parameter DelegatedUser an.

    Wenn Sie die Überprüfung unter einem anderen Benutzer als dem Scannerkonto ausführen, stellen Sie sicher, dass Sie das Scannerkonto auch im Parameter OnBehalfOf angeben.

    Weitere Informationen finden Sie unter So bezeichnen Sie Dateien nicht interaktiv für Azure Information Protection.

Einschränkung: Ihre Bezeichnungen verfügen nicht über Bedingungen für die automatische Bezeichnung

Wenn ihre Bezeichnungen keine Bedingungen für die automatische Bezeichnung aufweisen, sollten Sie beim Konfigurieren des Scanners eine der folgenden Optionen verwenden:

Option Beschreibung
Ermitteln aller Informationstypen Legen Sie in Ihrem Inhaltsüberprüfungsauftrag die Option Zu ermittelnde Infotypen auf Alle fest.

Mit dieser Option wird festgelegt, dass der Auftrag für die Inhaltsüberprüfung Ihre Inhalte auf alle Typen vertraulicher Informationen überprüft.
Empfohlene Bezeichnung verwenden Legen Sie in Ihrem Inhaltsscanauftrag die Option Empfohlene Bezeichnung als automatisch behandeln auf Ein fest.

Mit dieser Einstellung wird der Scanner so konfiguriert, dass alle empfohlenen Bezeichnungen automatisch auf Ihre Inhalte angewendet werden.
Definieren einer Standardbezeichnung Definieren Sie eine Standardbezeichnung in Ihrer Richtlinie, Ihrem Inhaltsüberprüfungsauftrag oder Repository.

In diesem Fall wendet der Scanner die Standardbezeichnung auf alle gefundenen Dateien an.

Nächste Schritte

Nachdem Sie bestätigt haben, dass Ihr System die Voraussetzungen für die Überprüfung erfüllt, fahren Sie mit Konfigurieren und Installieren des Informationsschutzscanners fort.

Eine Übersicht über den Scanner finden Sie unter Informationen zum Informationsschutzscanner.