Voraussetzungen für die Installation und Bereitstellung der Azure Information Protection Unified-Beschriftungs ScannerPrerequisites for installing and deploying the Azure Information Protection unified labeling scanner

Gilt für: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Hinweis

Wenn Sie mit dem klassischen Scanner arbeiten, finden Sie weitere Informationen unter Voraussetzungen für die Installation und Bereitstellung des Azure Information Protection klassischen Scanner.If you're working with the classic scanner, see Prerequisites for installing and deploying the Azure Information Protection classic scanner.

Vergewissern Sie sich vor der Installation des Azure Information Protection Scanners, dass Ihr System die folgenden Anforderungen erfüllt:Before you install the Azure Information Protection scanner, make sure that your system complies with the following requirements:

Wenn Sie nicht alle Anforderungen in der Tabelle erfüllen können, weil Sie von ihren Organisations Richtlinien nicht zugelassen werden, lesen Sie den Abschnitt Alternative Konfigurationen .If you can't meet all the requirements in the table because they are prohibited by your organization policies, see the alternative configurations section.

Wenn Sie den Scanner in der Produktionsumgebung bereitstellen oder die Leistung mehrerer Scanner testen, finden Sie weitere Informationen unter Speicheranforderungen und Kapazitätsplanung für SQL Server.When deploying the scanner in production or testing the performance for multiple scanners, see Storage requirements and capacity planning for SQL Server.

Wenn Sie bereit sind, mit der Installation und Bereitstellung Ihres Scanners zu beginnen, können Sie mit der Bereitstellung des Azure Information Protection Scanners fortfahren, um Dateien automatisch zu klassifizierenWhen you're ready to start installing and deploying your scanner, continue with Deploying the Azure Information Protection scanner to automatically classify and protect files.

Windows Server-AnforderungenWindows Server requirements

Sie müssen über einen Windows Server-Computer verfügen, auf dem die Überprüfung ausgeführt werden kann. diese verfügt über die folgenden Systemspezifikationen:You must have a Windows Server computer to run the scanner, which has the following system specifications:

SpezifikationSpecification DetailsDetails
ProzessorProcessor 4-Kern Prozessoren4 core processors
RAMRAM 8 GB8 GB
SpeicherplatzDisk space 10 GB freier Speicherplatz (Durchschnitt) für temporäre Dateien.10-GB free space (average) for temporary files.

Die Überprüfung erfordert ausreichend Speicherplatz, um für jede Datei, die überprüft wird, temporäre Dateien zu erstellen, d.h. vier Dateien pro Kern.The scanner requires sufficient disk space to create temporary files for each file that it scans, four files per core.

Der empfohlene Speicherplatz von 10 GB ermöglicht Prozessoren mit 4 Kernen, 16 Dateien mit einer Dateigröße von jeweils 625 MB zu überprüfen.The recommended disk space of 10 GB allows for 4 core processors scanning 16 files that each have a file size of 625 MB.
BetriebssystemOperating system -Windows Server 2019- Windows Server 2019
- Windows Server 2016- Windows Server 2016
Windows Server 2012 R2- Windows Server 2012 R2

Hinweis: Zu Test-oder Evaluierungs Zwecken in einer nicht-Produktionsumgebung können Sie auch ein beliebiges Windows-Betriebssystem verwenden, das vom Azure Information Protection-Client unterstütztwird.Note: For testing or evaluation purposes in a non-production environment, you can also use any Windows operating system that is supported by the Azure Information Protection client.
NetzwerkverbindungenNetwork connectivity Bei dem Überprüfungs Computer kann es sich um einen physischen oder virtuellen Computer mit einer schnellen und zuverlässigen Netzwerkverbindung mit den zu überprüfenden Daten speichern handeln.Your scanner computer can be a physical or virtual computer with a fast and reliable network connection to the data stores to be scanned.

Wenn die Internetverbindung aufgrund ihrer Organisations Richtlinien nicht möglich ist, finden Sie weitere Informationen unter Bereitstellen des Scanners mit alternativen Konfigurationen.If internet connectivity is not possible because of your organization policies, see Deploying the scanner with alternative configurations.

Stellen Sie andernfalls sicher, dass dieser Computer über eine Internetverbindung verfügt, die die folgenden URLs über HTTPS (Port 443) zulässt:Otherwise, make sure that this computer has internet connectivity that allows the following URLs over HTTPS (port 443):

- *. aadrm.com- *.aadrm.com
- *. azurerms.com- *.azurerms.com
- *. informationprotection.Azure.com- *.informationprotection.azure.com
-informationprotection.Hosting.Portal.Azure.net- informationprotection.hosting.portal.azure.net
- *. Aria.Microsoft.com- *.aria.microsoft.com
- *. Protection.Outlook.com- *.protection.outlook.com

DienstkontenanforderungenService account requirements

Sie müssen über ein Dienst Konto verfügen, um den Überprüfungs Dienst auf dem Windows Server-Computer auszuführen. Außerdem müssen Sie sich bei Azure AD authentifizieren und die Azure Information Protection-Richtlinie herunterladen.You must have a service account to run the scanner service on the Windows Server computer, as well as authenticate to Azure AD and download the Azure Information Protection Policy.

Ihr Dienst Konto muss ein Active Directory Konto sein und mit Azure AD synchronisiert werden.Your service account must be an Active Directory account and synchronized to Azure AD.

Wenn Sie dieses Konto aufgrund ihrer Organisations Richtlinien nicht synchronisieren können, finden Sie weitere Informationen unter Bereitstellen des Scanners mit alternativen Konfigurationen.If you cannot synchronize this account because of your organization policies, see Deploying the scanner with alternative configurations.

Für dieses Dienstkonto gelten die folgenden Anforderungen:This service account has the following requirements:

AnforderungRequirement DetailsDetails
Lokale Benutzerrechte Zuweisung anmeldenLog on locally user right assignment Erforderlich, um die Überprüfung zu installieren und zu konfigurieren, aber nicht zum Ausführen von Scans erforderlich.Required to install and configure the scanner, but not required to run scans.

Nachdem Sie sich vergewissert haben, dass die Überprüfung Dateien ermitteln, klassifizieren und schützen kann, können Sie diese direkt aus dem Dienst Konto entfernen.Once you've confirmed that the scanner can discover, classify, and protect files, you can remove this right from the service account.

Wenn diese Berechtigung auch für kurze Zeit nicht möglich ist, ist dies aufgrund ihrer Organisations Richtlinien nicht möglich. Weitere Informationen hierzu finden Sie unter Bereitstellen des Scanners mit alternativen Konfigurationen.If granting this right even for a short period of time is not possible because of your organization policies, see Deploying the scanner with alternative configurations.
Anmeldung als Dienst für die Zuweisung von Benutzerrechten.Log on as a service user right assignment. Diese Berechtigung wird dem Dienstkonto während der Installation automatisch gewährt und ist für die Installation, Konfiguration und den Betrieb der Überprüfung erforderlich.This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.
Berechtigungen für die Daten DepotsPermissions to the data repositories - Dateifreigaben oder lokale Dateien: Erteilen Sie Lese-, Schreib-und Änderungs Berechtigungen zum Scannen der Dateien und zum anschließenden anwenden der Klassifizierung und des Schutzes entsprechend der Konfiguration.- File shares or local files: Grant Read, Write, and Modify permissions for scanning the files and then applying classification and protection as configured.

- SharePoint: Erteilen Sie voll Zugriffsberechtigungen für das Scannen der Dateien, und wenden Sie dann die Klassifizierung und den Schutz wie konfiguriert an.- SharePoint: Grant Full Control permissions for scanning the files and then applying classification and protection as configured.

- Ermittlungs Modus: Die Lese Berechtigung ist ausreichend, um die Überprüfung nur im Ermittlungs Modus auszuführen.- Discovery mode: To run the scanner in discovery mode only, Read permission is sufficient.
Für Bezeichnungen, die den Schutz erneut schützen oder entfernenFor labels that reprotect or remove protection Um sicherzustellen, dass die Überprüfung stets Zugriff auf geschützte Dateien hat, machen Sie dieses Konto als Administrator für Azure Information Protection , und stellen Sie sicher, dass die Administrator Funktion aktiviert ist.To ensure that the scanner always has access to protected files, make this account a super user for Azure Information Protection, and ensure that the super user feature is enabled.

Wenn Sie Onboarding -Steuerelemente für eine stufenweise Bereitstellung implementiert haben, stellen Sie außerdem sicher, dass das Dienst Konto in den Onboarding-Steuerelementen enthalten ist, die Sie konfiguriert haben.Additionally, if you've implemented onboarding controls for a phased deployment, make sure that the service account is included in the onboarding controls you've configured.

SQL Server-AnforderungenSQL server requirements

Verwenden Sie zum Speichern der Überprüfungs Konfigurationsdaten einen SQL-Server mit den folgenden Anforderungen:To store the scanner configuration data, use an SQL server with the following requirements:

  • Eine lokale Instanz oder eine Remote Instanz.A local or remote instance.

    Es wird empfohlen, den SQL Server-und Scanner-Dienst auf verschiedenen Computern zu verwenden, es sei denn, Sie arbeiten mit einer kleinen Bereitstellung.We recommend hosting the SQL Server and scanner service on different machines, unless you're working with a small deployment.

    SQL Server 2012 ist die mindestens erforderliche Version für die folgenden Editionen:SQL Server 2012 is the minimum version for the following editions:

    • SQL Server EnterpriseSQL Server Enterprise
    • SQL Server StandardSQL Server Standard
    • SQL Server Express (nur für Testumgebungen empfohlen)SQL Server Express (recommended for test environments only)
  • Ein Konto mit der sysadmin-Rolle zum Installieren des Scanners.An account with Sysadmin role to install the scanner.

    Die sysadmin-Rolle ermöglicht dem Installationsvorgang das automatische Erstellen der Überprüfungs Konfigurationsdatenbank und das Erteilen der erforderlichen db_owner Rolle für das Dienst Konto, von dem die Überprüfung ausgeführt wird.The Sysadmin role enables the installation process to automatically create the scanner configuration database and grant the required db_owner role to the service account that runs the scanner.

    Wenn Ihnen die sysadmin-Rolle nicht gewährt werden kann oder wenn Ihre Organisations Richtlinien erfordern, dass Datenbanken manuell erstellt und konfiguriert werden, finden Sie weitere Informationen unter Bereitstellen des Scanners mit alternativen Konfigurationen.If you cannot be granted the Sysadmin role or your organization policies require databases to be created and configured manually, see Deploying the scanner with alternative configurations.

  • Capacity (Kapazität):Capacity. Informationen zur Kapazitäts Orientierung finden Sie unter Speicheranforderungen und Kapazitätsplanung für SQL Server.For capacity guidance, see Storage requirements and capacity planning for SQL Server.

  • Sortierung ohne BeachtungCase insensitive collation

Hinweis

Mehrere Konfigurations Datenbanken auf demselben SQL Server werden unterstützt, wenn Sie einen benutzerdefinierten Cluster Namen (Profil) für die Überprüfung angeben oder wenn Sie die Vorschauversion der Überprüfung verwenden.Multiple configuration databases on the same SQL server are supported when you specify a custom cluster (profile) name for the scanner, or when you use the preview version of the scanner.

Speicheranforderungen und Kapazitätsplanung für SQL ServerStorage requirements and capacity planning for SQL Server

Der erforderliche Speicherplatz für die Konfigurations Datenbank des Scanners und die Angabe des Computers, auf dem SQL Server ausgeführt wird, kann je nach Umgebung variieren. Daher empfehlen wir Ihnen, ihre eigenen Tests durchzuführen.The amount of disk space required for the scanner's configuration database and the specification of the computer running SQL Server can vary for each environment, so we encourage you to do your own testing. Verwenden Sie die folgende Anleitung als Ausgangspunkt.Use the following guidance as a starting point.

Weitere Informationen finden Sie unter Optimieren der Leistung des Scanners.For more information, see Optimizing the performance of the scanner.

Die Datenträger Größe für die scannerkonfigurationsdatenbank variiert für jede Bereitstellung.The disk size for the scanner configuration database will vary for each deployment. Verwenden Sie die folgende Gleichung als Leitfaden:Use the following equation as guidance:

100 KB + <file count> *(1000 + 4* <average file name length>)

Um z. b. 1 Million Dateien mit einer durchschnittlichen Dateinamen Länge von 250 Bytes zu scannen, müssen Sie 2 GB Speicherplatz zuweisen.For example, to scan 1 million files that have an average file name length of 250 bytes, allocate 2-GB disk space.

Für mehrere Scanner:For multiple scanners:

  • Bis zu 10 Scanner, verwenden Sie Folgendes:Up to 10 scanners, use:

    • 4-Kern Prozessoren4 core processors
    • 8 GB RAM empfohlen8-GB RAM recommended
  • Mehr als 10 Scanner (max. 40), verwenden Sie Folgendes:More than 10 scanners (maximum 40), use:

    • 8-Kern-Prozesse8 core processes
    • 16 GB RAM empfohlen16-GB RAM recommended

Azure Information Protection Client AnforderungenAzure Information Protection client requirements

Auf dem Windows Server-Computer muss entweder die aktuelle Version der allgemeinen Verfügbarkeit des Azure Information Protection-Clients installiert sein.You must have either the current general availability version of the Azure Information Protection client installed on the Windows Server computer.

Weitere Informationen finden Sie unter Unified Bezeichnung Client Admin Guide.For more information, see the Unified labeling client admin guide.

Wichtig

Sie müssen den kompletten Client für die Überprüfung installieren.You must install the full client for the scanner. Installieren Sie den Client nicht nur mit dem PowerShell-Modul.Do not install the client with just the PowerShell module.

Bezeichnungs Konfigurations AnforderungenLabel configuration requirements

Sie müssen Bezeichnungen konfiguriert haben, die automatisch Klassifizierung und optional Schutz anwenden.You must have labels configured that automatically apply classification, and optionally, protection.

Wenn Sie diese Bezeichnungen nicht konfiguriert haben, finden Sie weitere Informationen unter Bereitstellen des Scanners mit alternativen Konfigurationen.If you don't have these labels configured, see Deploying the scanner with alternative configurations.

Weitere Informationen finden Sie unter:For more information, see:

SharePoint-AnforderungenSharePoint requirements

Stellen Sie sicher, dass Ihr SharePoint-Server die folgenden Anforderungen erfüllt, um SharePoint-Dokument Bibliotheken und-Ordner zu überprüfen:To scan SharePoint document libraries and folders, ensure that your SharePoint server complies with the following requirements:

  • Unterstützte Versionen.Supported versions. Folgende Versionen werden unterstützt: SharePoint 2019, SharePoint 2016, SharePoint 2013 und SharePoint 2010.Supported versions include: SharePoint 2019, SharePoint 2016, SharePoint 2013, and SharePoint 2010. Andere Versionen von SharePoint werden für die Überprüfung nicht unterstützt.Other versions of SharePoint are not supported for the scanner.

  • Versionsverwaltung.Versioning. Wenn Sie die VersionsVerwaltung verwenden, wird die zuletzt veröffentlichte Version vom Scanner überprüft und beschriftet.When you use versioning, the scanner inspects and labels the last published version. Wenn die Überprüfung eine Datei und eine Genehmigung von Inhalten erfordert, muss die bezeichnete Datei als verfügbar für Benutzer verfügbar sein.If the scanner labels a file and content approval is required, that labeled file must be approved to be available for users.

  • Große SharePoint-Farmen.Large SharePoint farms. Überprüfen Sie für große SharePoint-Farmen, ob Sie den Schwellwert der Listenansicht (standardmäßig 5.000) erhöhen müssen, damit der Scanner auf alle Dateien zugreifen kann.For large SharePoint farms, check whether you need to increase the list view threshold (by default, 5,000) for the scanner to access all files. Weitere Informationen finden Sie unter Verwalten von großen Listen und Bibliotheken in SharePoint.For more information, see Manage large lists and libraries in SharePoint.

Microsoft Office AnforderungenMicrosoft Office requirements

Zum Scannen von Office-Dokumenten müssen Ihre Dokumente in einem der folgenden Formate vorliegen:To scan Office documents, your documents must be in one of the following formats:

  • Microsoft Office 97-2003Microsoft Office 97-2003
  • Office Open XML-Formate für Word, Excel und PowerPointOffice Open XML formats for Word, Excel, and PowerPoint

Weitere Informationen finden Sie unter vom Azure Information Protection Unified Bezeichnung-Client unterstützte Dateitypen.For more information, see File types supported by the Azure Information Protection unified labeling client.

Dateipfad-AnforderungenFile path requirements

Zum Scannen von Dateien müssen standardmäßig die Dateipfade maximal 260 Zeichen enthalten.By default, to scan files, your file paths must have a maximum of 260 characters.

Zum Überprüfen von Dateien mit Dateipfaden mit mehr als 260 Zeichen installieren Sie die Überprüfung auf einem Computer mit einer der folgenden Windows-Versionen, und konfigurieren Sie den Computer nach Bedarf:To scan files with file paths of more than 260 characters, install the scanner on a computer with one of the following Windows versions, and configure the computer as needed:

Windows-VersionWindows version BeschreibungDescription
Windows 2016 oder höherWindows 2016 or later Konfigurieren des Computers zur Unterstützung von langen PfadenConfigure the computer to support long paths
Windows 10 oder Windows Server 2016Windows 10 or Windows Server 2016 Definieren Sie die folgende Gruppenrichtlinien Einstellung: lokale Computer Richtlinie > Computerkonfiguration > Administrative Vorlagen > alle Einstellungen > aktivieren Win32 Long-Pfade.Define the following group policy setting: Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths.

Weitere Informationen zur Unterstützung von langen Dateipfaden in diesen Versionen finden Sie im Abschnitt Maximale Pfadlängen Beschränkung in der Windows 10-Entwicklerdokumentation.For more information long file path support in these versions, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.
Windows 10, Version 1607 oder höherWindows 10, version 1607 or later Entscheiden Sie sich für die aktualisierten MAX_PATH Funktionen.Opt in for the updated MAX_PATH functionality. Weitere Informationen finden Sie unter Aktivieren von langen Pfaden in Windows 10, Version 1607 undhöher.For more information, see Enable Long Paths in Windows 10 versions 1607 and later.

Anforderungen an die NutzungsstatistikUsage statistics requirements

Deaktivieren Sie Verwendungs Statistiken mithilfe einer der folgenden Methoden:Disable usage statistics using one of the following methods:

  • Festlegen des allowtelemetry -Parameters auf 0Setting the AllowTelemetry parameter to 0

  • Stellen Sie sicher, dass die Option zur Verbesserung der Azure Information Protection durch das Senden von Nutzungsstatistiken an Microsoft während der Überprüfung der Installation nicht ausgewählt ist.Ensure that the Help improve Azure Information Protection by sending usage statistics to Microsoft option remains unselected during the scanner installation process.

Bereitstellen der Überprüfung mit alternativen KonfigurationenDeploying the scanner with alternative configurations

Die oben aufgeführten Voraussetzungen sind die Standardanforderungen für die Scanner-Bereitstellung und werden empfohlen, da Sie die einfachste Überprüfungs Konfiguration unterstützen.The prerequisites listed above are the default requirements for the scanner deployment, and recommended because they support the simplest scanner configuration.

Die Standardanforderungen sollten für die ersten Tests geeignet sein, damit Sie die Funktionen des Scanners überprüfen können.The default requirements should be suitable for initial testing, so that you can check the capabilities of the scanner.

In einer Produktionsumgebung können diese Standardanforderungen in den Richtlinien Ihrer Organisation jedoch untersagt werden.However, in a production environment, your organization's policies may prohibit these default requirements. Der Scanner kann die folgenden Einschränkungen mit zusätzlicher Konfiguration erfüllen:The scanner can accommodate the following restrictions with additional configuration:

Einschränkung: der Überprüfungs Server kann keine Internetverbindung haben.Restriction: The scanner server cannot have internet connectivity

Obwohl der Unified Label-Client keinen Schutz ohne Internetverbindung anwenden kann, kann der Scanner weiterhin Bezeichnungen auf der Grundlage importierter Richtlinien anwenden.While the unified labeling client cannot apply protection without an internet connection, the scanner can still apply labels based on imported policies.

Führen Sie die folgenden Schritte aus, um einen getrennten Computer zu unterstützen:To support a disconnected computer, perform the following steps:

  1. Konfigurieren Sie Bezeichnungen in der Richtlinie, und verwenden Sie dann das Verfahren zur Unterstützung von getrennten Computern , um die Offline Klassifizierung und-Bezeichnung zu aktivierenConfigure labels in your policy, and then use the procedure to support disconnected computers to enable offline classification and labeling.

  2. Aktivieren Sie die Offline Verwaltung für Inhalts Scanaufträge:Enable offline management for content scan jobs:

    1. Legen Sie den Scanner mithilfe des Cmdlets Set-aipscannerconfiguration im Offline Modus fest.Set the scanner to function in offline mode, using the Set-AIPScannerConfiguration cmdlet.

    2. Konfigurieren Sie die Überprüfung in der Azure-Portal, indem Sie einen Scanner-Cluster erstellen.Configure the scanner in the Azure portal by creating a scanner cluster. Weitere Informationen finden Sie unter configure the Scanner in the Azure-Portal.For more information, see Configure the scanner in the Azure portal.

    3. Exportieren Sie den Inhalts Auftrag aus dem Bereich Azure Information Protection-Inhalts Scanaufträge mithilfe der Export Option.Export your content job from the Azure Information Protection - Content scan jobs pane using the Export option.

    4. Importieren Sie die Richtlinie mithilfe des Import-aipscannerconfiguration- Cmdlets.Import the policy using the Import-AIPScannerConfiguration cmdlet.

    Die Ergebnisse für Offline-Inhalts Scanaufträge befinden sich unter: %LocalAppData%\microsoft\msip\scanner\reports .Results for offline content scan jobs are located at: %localappdata%\Microsoft\MSIP\Scanner\Reports

  3. Offline Verwaltung von Netzwerk Scan Aufträgen aktivieren:Enable offline management of network scan jobs:

    1. Legen Sie mithilfe des Cmdlets Set-mipnetworkdiscoveryconfiguration den Netzwerk Ermittlungsdienst für die Funktion im Offline Modus fest.Set the Network Discovery service to function in offline mode using the Set-MIPNetworkDiscoveryConfiguration cmdlet.

    2. Konfigurieren Sie den Netzwerk Scanauftrag in der Azure-Portal.Configure the network scan job in the Azure portal. Weitere Informationen finden Sie unter Erstellen eines Netzwerk Scan Auftrags.For more information, see Creating a network scan job.

    3. Exportieren Sie den Netzwerküberprüfungs-Auftrag mithilfe der Export Option aus dem Bereich Azure Information Protection-Netzwerk Scanaufträge (Vorschau) .Export your network scan job from the Azure Information Protection - Network scan jobs (Preview) pane using the Export option.

    4. Importieren Sie den Netzwerk Scanauftrag mithilfe der Datei, die mit dem Cluster Namen übereinstimmt, mithilfe des Import-mipnetworkdiscoveryconfiguration -Cmdlets.Import the network scan job using the file that matches our cluster name using the Import-MIPNetworkDiscoveryConfiguration cmdlet.

    Die Ergebnisse für Offline-Netzwerk Scanaufträge befinden sich unter: %LocalAppData%\microsoft\msip\scanner\reports .Results for offline network scan jobs are located at: %localappdata%\Microsoft\MSIP\Scanner\Reports

Einschränkung: Die Sysadmin-Rolle kann nicht gewährt werden oder Datenbanken müssen manuell erstellt und konfiguriert werden.Restriction: You cannot be granted Sysadmin or databases must be created and configured manually

Wenn Sie die sysadmin-Rolle vorübergehend zur Installation der Überprüfung erhalten können, können Sie diese Rolle entfernen, wenn die Überprüfung des Scanners beendet ist.If you can be granted the Sysadmin role temporarily to install the scanner, you can remove this role when the scanner installation is complete.

Führen Sie je nach den Anforderungen Ihrer Organisation einen der folgenden Schritte aus:Do one of the following, depending on your organization's requirements:

  • Die sysadmin-Rolle kann vorübergehend vorhanden sein.You can have the Sysadmin role temporarily. Wenn Sie vorübergehend über die sysadmin-Rolle verfügen, wird die Datenbank automatisch für Sie erstellt, und dem Dienst Konto für den Scanner werden automatisch die erforderlichen Berechtigungen erteilt.If you temporarily have the Sysadmin role, the database is automatically created for you and the service account for the scanner is automatically granted the required permissions.

    Das Benutzerkonto, das die Überprüfung konfiguriert, erfordert jedoch weiterhin die db_owner Rolle für die scannerkonfigurationsdatenbank.However, the user account that configures the scanner still requires the db_owner role for the scanner configuration database. Wenn Sie nur über die sysadmin-Rolle verfügen, bis die Überprüfung des Scanners fertiggestellt ist, erteilen Sie dem Benutzerkonto die db_owner Rolle manuell.If you only have the Sysadmin role until the scanner installation is complete, grant the db_owner role to the user account manually.

  • Sie können nicht über die sysadmin-Rolle verfügen.You cannot have the Sysadmin role at all. Wenn Sie die sysadmin-Rolle nicht auch vorübergehend erhalten können, müssen Sie einen Benutzer mit sysadmin-Berechtigung bitten, vor der Installation des Scanners manuell eine Datenbank zu erstellen.If you cannot be granted the Sysadmin role even temporarily, you must ask a user with Sysadmin rights to manually create a database before you install the scanner.

    Für diese Konfiguration muss die db_owner Rolle den folgenden Konten zugewiesen werden:For this configuration, the db_owner role must be assigned to the following accounts:

    • Dienstkonto für die ÜberprüfungService account for the scanner
    • Benutzerkonto für die ScannerinstallationUser account for the scanner installation
    • Benutzerkonto für die Konfiguration der ÜberprüfungUser account for scanner configuration

    In der Regel verwenden Sie dasselbe Benutzerkonto, um die Überprüfung zu installieren und zu konfigurieren.Typically, you will use the same user account to install and configure the scanner. Wenn Sie unterschiedliche Konten verwenden, benötigen beide die db_owner Rolle für die scannerkonfigurationsdatenbank.If you use different accounts, they both require the db_owner role for the scanner configuration database. Erstellen Sie diesen Benutzer und die Rechte bei Bedarf.Create this user and rights as needed. Wenn Sie einen eigenen Cluster Namen (Profilnamen) angeben, wird die Konfigurations Datenbank AIPScannerUL_<cluster_name> benannt.If you specify your own cluster (profile) name, the configuration database is named AIPScannerUL_<cluster_name>.

Darüber hinaus gilt:Additionally:

  • Sie müssen ein lokaler Administrator auf dem Server sein, auf dem die Überprüfung ausgeführt wird.You must be a local administrator on the server that will run the scanner

  • Das Dienst Konto, unter dem der Scanner ausgeführt wird, muss über Vollzugriff auf die folgenden Registrierungsschlüssel verfügen:The service account that will run the scanner must be granted Full Control permissions to the following registry keys:

    • HKEY_LOCAL_MACHINE \software\wow6432node \microsoft\msipc\serverHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE \software\microsoft\msipc\serverHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Wenn nach dem Konfigurieren dieser Berechtigungen ein Fehler angezeigt wird, wenn Sie den Scanner installieren, kann der Fehler ignoriert werden, und Sie können den Überprüfungs Dienst manuell starten.If, after configuring these permissions, you see an error when you install the scanner, the error can be ignored and you can manually start the scanner service.

Manuelles Auffüllen der DatenbankPopulate the database manually

Füllen Sie die Datenbank mit dem folgenden Skript auf:Populate the database using the following script:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END 

Erstellen Sie einen Benutzer, und erteilen Sie db_owner Rechte manuell.Create a user and grant db_owner rights manually

Um einen Benutzer zu erstellen und db_owner Berechtigungen für diese Datenbank zu erteilen, bitten Sie den sysadmin, die folgenden Schritte auszuführen:To create a user and grant db_owner rights on this database, ask the Sysadmin to perform the following steps:

  1. Erstellen Sie eine Datenbank für Scanner:Create a DB for scanner:

    **CREATE DATABASE AIPScannerUL_[clustername]**
    
    **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
    
  2. Erteilen Sie dem Benutzer, der den Installations Befehl ausführt, Rechte, und wird zum Ausführen von Überprüfungs Verwaltungs Befehlen verwendet.Grant rights to the user that runs the install command and is used to run scanner management commands.

    SQL-Skript:SQL script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. Erteilen Sie die Rechte für das Scanner-Dienst Konto.Grant rights to scanner service account.

    SQL-Skript:SQL script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

Einschränkung: Die Berechtigung zur lokalen Anmeldung kann nicht für das Dienstkonto gewährt werden.Restriction: The service account for the scanner cannot be granted the Log on locally right

Wenn Ihre Organisations Richtlinien das Recht " Lokal anmelden " für Dienst Konten nicht zulassen, aber das Recht " Anmelden als Batch Auftrag " zulassen, verwenden Sie den Parameter " onbehalfof " mit "Set-aipauthentication".If your organization policies prohibit the Log on locally right for service accounts, but allows the Log on as a batch job right, use the OnBehalfOf parameter with Set-AIPAuthentication.

Weitere Informationen finden Sie unter Vorgehens Weise beim nicht interaktiven bezeichnen von Dateien für Azure Information Protection.For more information, see How to label files non-interactively for Azure Information Protection.

Einschränkung: das Überprüfungs Dienst Konto kann nicht mit Azure Active Directory synchronisiert werden, aber der Server verfügt über eine Internetverbindung.Restriction: The scanner service account cannot be synchronized to Azure Active Directory but the server has internet connectivity

Sie können ein Konto haben, um den Überprüfungsdienst auszuführen, und ein anderes Konto für die Authentifizierung bei Azure Active Directory verwenden:You can have one account to run the scanner service and use another account to authenticate to Azure Active Directory:

Einschränkung: ihre Bezeichnungen haben keine automatischen Beschriftungs Bedingungen.Restriction: Your labels do not have auto-labeling conditions

Wenn Ihre Bezeichnungen keine automatischen Bezeichnungen aufweisen, sollten Sie beim Konfigurieren Ihres Scanners eine der folgenden Optionen verwenden:If your labels do not have any auto-labeling conditions, plan to use one of the following options when configuring your scanner:

OptionOption BeschreibungDescription
Alle Informationstypen ermittelnDiscover all info types Legen Sie in Ihrem inhaltscanauftragdie Option zu ermittelnde Informationstypen auf allefest.In your content scan job, set the Info types to be discovered option to All.

Mit dieser Option wird der Inhalts Überprüfungs Auftrag so festgelegt, dass der Inhalt auf alle sensiblen Informationstypen überprüft wird.This option sets the content scan job to scan your content for all sensitive information types.
Empfohlene Bezeichnung verwendenUse recommended labeling Legen Sie im Inhalts Überprüfungs Auftragdie Option Empfohlene Bezeichnung als automatisch behandeln auf ein fest.In your content scan job, set the Treat recommended labeling as automatic option to On.

Mit dieser Einstellung wird der Scanner so konfiguriert, dass alle empfohlenen Bezeichnungen automatisch auf ihren Inhalt angewendet werden.This setting configures the scanner to automatically apply all recommended labels on your content.
Definieren einer Standard BezeichnungDefine a default label Definieren Sie eine Standard Bezeichnung in der Richtlinie, im Inhalts Scanauftragoder im Repository.Define a default label in your policy, content scan job, or repository.

In diesem Fall wendet der Scanner die Standard Bezeichnung auf alle gefundenen Dateien an.In this case the scanner applies the default label on all files found.

Nächste SchritteNext steps

Wenn Sie sich vergewissert haben, dass Ihr System die Überprüfungs Voraussetzungen erfüllt, fahren Sie mit dem bereitstellen des Azure Information Protection Scanners fort, um Dateien automatisch zu klassifizieren und zu schützenOnce you've confirmed that your system complies with the scanner prerequisites, continue with Deploying the Azure Information Protection scanner to automatically classify and protect files.

Eine Übersicht über den Scanner finden Sie unter Bereitstellen des Azure Information Protection Scanners zum automatischen klassifizieren und schützen von Dateien.For an overview about the scanner, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

Weitere Informationen:More information: