Anforderungen für die Installation und Bereitstellung des einheitlichen Bezeichnungsscanners für Azure Information Protection

Gilt für: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Relevant für:Nur einheitliche AIP-Beschriftungsclient.

Stellen Sie vor der Installation des lokalen Azure Information Protection-Scanners sicher, dass Ihr System die grundlegenden Anforderungen von Azure Information Protection erfüllt.

Darüber hinaus gelten die folgenden Anforderungen speziell für den Scanner:

Wenn Sie nicht alle Anforderungen erfüllen können, die für den Scanner aufgeführt sind, da diese in den Organisationsrichtlinien nicht zulässig sind, finden Sie Informationen dazu im Abschnitt alternative Konfigurationen.

Informationen zum Bereitstellen des Scanners in der Produktion oder zum Testen der Leistung für mehrere Scanner finden Sie unter Storage und Kapazitätsplanung für SQL Server.

Wenn Sie mit der Installation und Bereitstellung Ihres Scanners beginnen möchten, fahren Sie mit Bereitstellen des Azure Information Protection-Scannersfort, um Dateien automatisch zu klassifizieren und zu schützen.

Windows Serveranforderungen

Sie müssen über einen Windows Server verfügen, um den Scanner ausführen zu können, der über die folgenden Systemspezifikationen verfügt:

Spezifikation Details
Prozessor 4-Core-Prozessoren
RAM 8 GB
Speicherplatz 10 GB freier Speicherplatz (Durchschnitt) für temporäre Dateien.

Der Scanner benötigt ausreichend Speicherplatz, um temporäre Dateien für jede überprüfte Datei zu erstellen, d. h. vier Dateien pro Kern.

Der empfohlene Speicherplatz von 10 GB ermöglicht das Scannen von 16 Dateien mit jeweils 625 MB mit vier Kernprozessoren.
Betriebssystem 64-Bit-Versionen von:

- Windows Server 2019 - Windows Server 2016 - Windows Server 2012 R2 Hinweis: Für Test- oder Auswertungszwecke in einer Nicht-Produktionsumgebung können Sie auch jedes




Windows-Betriebssystem verwenden, das vom
unterstützt wird.
Netzwerkkonnektivität Ihr Scannercomputer kann ein physischer oder virtueller Computer mit einer schnellen und zuverlässigen Netzwerkverbindung zu den Datenspeichern sein, die gescannt werden sollen.

Wenn die Internetverbindung aufgrund von Organisationsrichtlinien nicht möglich ist, lesen Sie Bereitstellen des


Stellen Sie andernfalls sicher, dass dieser Computer über eine Internetverbindung verfügt, die folgende URLs über HTTPS (Port 443) zulässt:

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com
- *.protection.outlook.com
NFS-Freigaben Um Scans auf NFS-Freigaben zu unterstützen, müssen Dienste für NFS auf dem Scannercomputer bereitgestellt werden.

Navigieren Sie auf Ihrem Computer zum Einstellungsdialogfeld Windows-Features (Windows-Features aktivieren oder deaktivieren), und wählen Sie die folgenden Elemente aus: Dienste für NFS-Verwaltungstoolsund Client für NFS.
Microsoft Office iFilter Wenn Ihr Scanner auf einem Windows-Servercomputer installiert ist, müssen Sie auch den Microsoft Office iFilter installieren, um .zip Dateien auf vertrauliche Informationstypen zu überprüfen.

Weitere Informationen finden Sie auf der Microsoft-Downloadwebsite.

Anforderungen an das Dienstkonto

Sie müssen über ein Dienstkonto verfügen, um den Scannerdienst auf dem Windows Server-Computer ausführen zu können. Außerdem müssen Sie sich bei Azure AD authentifizieren und die Azure Information Protection-Richtlinie herunterladen.

Ihr Dienstkonto muss ein Active Directory-Konto sein und mit ihrem Azure AD.

Wenn Sie dieses Konto aufgrund ihrer Organisationsrichtlinien nicht synchronisieren können, lesen Sie Bereitstellen des Scanners mit alternativen Konfigurationen.

Für dieses Dienstkonto gelten die folgenden Anforderungen:

Anforderung Details
Lokale Benutzerzuweisung anmelden Erforderlich zum Installieren und Konfigurieren des Scanners, jedoch nicht zum Ausführen von Scans.

Nachdem Sie sich bestätigt haben, dass der Scanner Dateien entdecken, klassifizieren und schützen kann, können Sie dies direkt aus dem Dienstkonto entfernen.

Wenn das Gewähren dieses Rechts auch für einen kurzen Zeitraum aufgrund von Organisationsrichtlinien nicht möglich ist, lesen Sie Bereitstellen des
Melden Sie sich als Rechtezuweisung für einen Dienstbenutzer an. Dieses Recht wird dem Dienstkonto während der Scannerinstallation automatisch gewährt, und dieses Recht ist für die Installation, Konfiguration und den Betrieb des Scanners erforderlich.
Berechtigungen für die Datenrepositorys - - Erteilen Sie Leseberechtigungen, Schreibenund Ändern, um die Dateien zu scannen und anschließend die Klassifizierung und den Schutz wie konfiguriert zu verwenden.

- - Sie müssen vollzugriffsberechtigungen für das Scannen der Dateien erteilen und dann die Dateien, die den Bedingungen in der Azure Information Protection-Richtlinie entsprechen, klassifizierung und schutz anwenden.

- - Wenn Sie den Scanner nur im Erkennungsmodus ausführen können, ist die Berechtigung Lesen ausreichend.
Für Bezeichnungen, die Schutz wieder schützen oder entfernen Um sicherzustellen, dass der Scanner immer Zugriff auf geschützte Dateien hat, machen Sie dieses Konto zu einem Superbenutzer für Azure Information Protection, und stellen Sie sicher, dass das Feature "Super-Benutzer" aktiviert ist.

Wenn Sie
für eine phasenweise Bereitstellung implementiert haben, stellen Sie außerdem sicher, dass das Dienstkonto in den onboarding-Steuerelementen enthalten ist, die Sie konfiguriert haben.
Spezifische Überprüfung auf URL-Ebene Um Websites und Unterwebsites unter einer bestimmten URLzu überprüfen und zu entdecken, erteilen Sie dem Scannerkonto auf Farmebene die Berechtigung "Site Collector Auditor".
Lizenz für Den Schutz von Informationen Erforderlich zum Bereitstellen von Dateiklassifizierung, -bezeichnung oder -schutzfunktionen für das Scannerdienstkonto.

Weitere Informationen finden Sie im Bereitstellungsplan für Azure Information Protection und im Microsoft 365 zur Compliance mit Sicherheit.

SQL Serveranforderungen

Verwenden Sie zum Speichern der Scannerkonfigurationsdaten einen SQL Server mit den folgenden Anforderungen:

  • Eine lokale Instanz oder Remoteinstanz.

    Wir empfehlen, den SQL und den Scannerdienst auf verschiedenen Computern zu hosten, es sei denn, Sie arbeiten mit einer kleinen Bereitstellung. Darüber hinaus empfehlen wir die Verwendung einer dedizierten SQL-Instanz, die nur die Scannerdatenbank verwendet und nicht für andere Anwendungen freigegeben ist.

    Wenn Sie auf einem freigegebenen Server arbeiten, stellen Sie sicher, dass die empfohlene Anzahl kernfreier Kerne für die Scannerdatenbank verfügbar ist.

    SQL Server 2016 ist die Mindestversion für die folgenden Editionen:

    • SQL Server Enterprise

    • SQL Server Standard

    • SQL Server Express (nur für Testumgebungen empfohlen)

  • Ein Konto mit der Sysadmin-Rolle zum Installieren des Scanners.

    Die Sysadmin-Rolle ermöglicht es dem Installationsprozess, die Scannerkonfigurationsdatenbank automatisch zu erstellen und die erforderliche db_owner-Rolle dem Dienstkonto zu gewähren, mit dem der Scanner ausgeführt wird.

    Wenn Ihnen die Rolle "Sysadmin" nicht erteilt werden kann oder ihre Organisationsrichtlinien das Erstellen und manuelle Konfigurieren von Datenbanken erfordern, lesen Sie Bereitstellen des Scanners mit alternativen Konfigurationen.

  • Kapazität. Richtlinien zu Kapazität finden Sie unter Storage und Kapazitätsplanung für SQL Server.

  • Sortierung ohne Unterscheidung der Groß-/Kleinschreibung.

Hinweis

Mehrere Konfigurationsdatenbanken auf demselben SQL-Server werden unterstützt, wenn Sie einen benutzerdefinierten Clusternamen für den Scanner angeben oder die Vorschauversion des Scanners verwenden.

Storage anforderungen und Kapazitätsplanung für SQL Server

Da der für die Konfigurationsdatenbank des Scanners erforderliche Speicherplatz und die Spezifikation des Computers, auf dem SQL Server ausgeführt wird, je nach Umgebung variieren können, sollten Sie eigene Tests durchführen. Verwenden Sie die folgenden Anleitungen als Ausgangspunkt.

Weitere Informationen finden Sie unter Optimieren der Leistung des Scanners.

Die Datenträgergröße für die Scannerkonfigurationsdatenbank variiert je nach Bereitstellung. Verwenden Sie die folgende Gleichung als Orientierungshilfe:

100 KB + <file count> *(1000 + 4* <average file name length>)

Wenn Sie beispielsweise 1 Million Dateien mit einer durchschnittlichen Dateinamenlänge von 250 Bytes durchsuchen möchten, weisen Sie 2 GB Speicherplatz zu.

Bei mehreren Scannern:

  • Bis zu 10 Scanner verwenden:

    • 4-Core-Prozessoren
    • 8 GB RAM empfohlen
  • Verwenden Sie für mehr als 10 Scanner (maximal 40):

    • 8 Kernprozesse
    • 16 GB RAM empfohlen

Clientanforderungen für Azure Information Protection

Sie müssen entweder die aktuelle Version der allgemeinen Verfügbarkeit des Azure Information Protection-Clients auf dem Windows Server-Computer installiert haben.

Weitere Informationen finden Sie im Handbuch "Vereinheitlichte Bezeichnung von Clientadministratoren".

Wichtig

Sie müssen den vollständigen Client für den Scanner installieren. Installieren Sie den Client nicht nur mit dem PowerShell-Modul.

Anforderungen an die Bezeichnungskonfiguration

Sie müssen in der Microsoft 365 Compliance Center für das Scannerkonto mindestens eine Vertraulichkeitsbezeichnung konfiguriert haben, damit die Klassifizierung und optional auch der Schutz angewendet werden kann.

Das Scannerkonto ist das Konto, das Sie beim Konfigurieren Ihres Scanners im Parameter DelegatedUser des Cmdlets Set-AIPAuthentication angeben.

Wenn ihre Etiketten keine Bedingungen für die automatische Beschriftung enthalten, lesen Sie die Anweisungen für alternative Konfigurationen weiter unten.

Weitere Informationen finden Sie unter:

SharePoint Anforderungen

Um SharePoint Dokumentbibliotheken und -ordner zu überprüfen, stellen Sie sicher, dass SharePoint Server die folgenden Anforderungen erfüllt:

Anforderung Beschreibung
Unterstützte Versionen Unterstützte Versionen sind: SharePoint 2019, SharePoint 2016 und SharePoint 2013.
Andere Versionen SharePoint Scanner nicht unterstützt.
Versionsierung Wenn Sie die Versionsansicht verwenden,überprüft und beschriftiert der Scanner die zuletzt veröffentlichte Version.

Wenn der Scanner eine Datei- und Inhaltsgenehmigung erfordert, muss diese beschriftet Datei genehmigt werden, damit sie für Benutzer verfügbar ist.
Große Farmen SharePoint Farmen Überprüfen Sie bei SharePoint Farmen, ob der Schwellenwert für die Listenansicht (standardmäßig 5.000) erhöht werden muss, damit der Scanner auf alle Dateien zugreifen kann.

Weitere Informationen finden Sie unter Verwalten großer Listen und Bibliotheken in SharePoint.
Lange Dateipfade Wenn in SharePoint lange Dateipfade vorhanden sind, stellen Sie sicher, dass der Wert "httpRuntime.maxUrlLength" Ihres SharePoint-Servers größer als die standardmäßigen 260 Zeichen ist.

Weitere Informationen finden Sie unter Vermeiden von Scannertimeouts in SharePoint.

Microsoft Office Anforderungen

Um Dokumente Office scannen zu können, müssen Ihre Dokumente eines der folgenden Formate haben:

  • Microsoft Office 97-2003
  • Office Open XML-Formate für Word, Excel und PowerPoint

Weitere Informationen finden Sie unter Vom einheitlichen Azure Information Protection-Client unterstützte Dateitypen.

Dateipfadanforderungen

Standardmäßig müssen die Dateipfade maximal 260 Zeichen umfassen, um Dateien scannen zu können.

Zum Scannen von Dateien mit Dateipfaden von mehr als 260 Zeichen installieren Sie den Scanner auf einem Computer mit einer der folgenden Windows-Versionen, und konfigurieren Sie den Computer nach Bedarf:

Windows-Version Beschreibung
Windows 2016 oder höher Konfigurieren des Computers zur Unterstützung langer Pfade
Windows 11, Windows 10 oder Windows Server 2016 Definieren Sie die folgende Gruppenrichtlinieneinstellung:Administrative Vorlagen für die Computerkonfiguration lokaler Computer Alle Einstellungen Win32-Pfade aktivieren.

Weitere Informationen zur Unterstützung des langen Dateipfads in diesen Versionen finden Sie in der Dokumentation zu Windows 10 im Abschnitt maximale Länge von Pfaden.
Windows 10, Version 1607 oder höher Melden Sie sich für die aktualisierte MAX_PATH an. Weitere Informationen finden Sie unter Aktivieren langer Pfade in Windows 10 1607 und höher.

Bereitstellen des Scanners mit alternativen Konfigurationen

Die oben aufgeführten Voraussetzungen sind die Standardanforderungen für die Scannerbereitstellung und werden empfohlen, da sie die einfachste Scannerkonfiguration unterstützen.

Die Standardanforderungen sollten für erste Tests geeignet sein, damit Sie die Funktionen des Scanners überprüfen können.

In einer Produktionsumgebung unterscheiden sich die Richtlinien Ihrer Organisation jedoch möglicherweise von den Standardanforderungen. Der Scanner kann die folgenden Änderungen mit zusätzlicher Konfiguration aufnehmen:

Ermitteln und Scannen aller SharePoint-Websites und -Unterwebsites unter einer bestimmten URL

Der Scanner kann alle SharePoint-Websites und -Unterwebsites unter einer bestimmten URL mit der folgenden Konfiguration ermitteln und scannen:

  1. Starten SharePoint der Zentraladministration.

  2. Klicken Sie SharePoint der Website für die Zentraladministration im Abschnitt Anwendungsverwaltung auf Webanwendungen verwalten.

  3. Klicken Sie, um die Webanwendung zu markieren, deren Berechtigungsrichtlinienebene Sie verwalten möchten.

  4. Wählen Sie die relevante Farm und dann Berechtigungsrichtlinienstufen verwalten aus.

  5. Wählen Sie in den Optionen für Websitesammlungsberechtigungen die Option "Websitesammlungsprüfer" aus, erteilen Sie "Anwendungsseiten anzeigen" in der Liste Berechtigungen, und nennen Sie schließlich den neuen AIP-Scannerauf Richtlinienebene als Auditor und Viewer für die Websitesammlung.

  6. Fügen Sie den Scannerbenutzer zur neuen Richtlinie hinzu, und gewähren Sie Websitesammlung in der Liste Berechtigungen.

  7. Fügen Sie eine URL des SharePoint, das Websites oder Unterwebsites hostet, die durchsucht werden müssen. Weitere Informationen finden Sie unter Konfigurieren des Scanners im Azure-Portal.

Weitere Informationen zum Verwalten Ihrer SharePoint Richtlinienebenen finden Sie unter Verwalten von Berechtigungsrichtlinien für eine Webanwendung.

Einschränkung: Der Scannerserver kann keine Internetverbindung herstellen

Obwohl der einheitliche Beschriftungsclient keinen Schutz ohne Internetverbindung anwenden kann, kann der Scanner weiterhin Bezeichnungen basierend auf importierten Richtlinien anwenden.

Verwenden Sie eine der folgenden Methoden, um einen nicht angeschlossenen Computer zu unterstützen:

Verwenden des Azure-Portals mit einem getrennten Computer

Führen Sie die folgenden Schritte aus, um einen vom Azure-Portal getrennten Computer zu unterstützen:

  1. Konfigurieren Sie Bezeichnungen in Ihrer Richtlinie, und verwenden Sie dann das Verfahren, um getrennte Computer zu unterstützen, um die Offlineklassifizierung und -bezeichnung zu aktivieren.

  2. Aktivieren Sie die Offlineverwaltung für Inhalts- und Netzwerk-Scanaufträge wie folgt:

    Aktivieren der Offlineverwaltung für Inhaltsscanaufträge:

    1. Legen Sie den Scanner mithilfe des Cmdlets Set-AIPScannerConfiguration auf die Funktion im Offlinemodus festgelegt.

    2. Konfigurieren Sie den Scanner im Azure-Portal, indem Sie einen Scannercluster erstellen. Weitere Informationen finden Sie unter Konfigurieren des Scanners im Azure-Portal.

    3. Exportieren Sie Ihren Inhaltsauftrag aus dem Bereich Azure Information Protection – Inhaltsscanaufträge mithilfe der Option Exportieren.

    4. Importieren Sie die Richtlinie mit dem Cmdlet Import-AIPScannerConfiguration.

    Die Ergebnisse für Überprüfungsaufträge für Offlineinhalte befinden sich unter: %localappdata%\Microsoft\MSIP\Scanner\Reports

    Aktivieren der Offlineverwaltung von Netzwerkscanaufträgen:

    1. Legen Sie mithilfe des Cmdlets Set-MIPNetworkDiscoveryConfiguration den Netzwerkermittlungsdienst (Public Preview) auf die Funktion im Offlinemodus festgelegt.

    2. Konfigurieren Sie den Netzwerkscanauftrag im Azure-Portal. Weitere Informationen finden Sie unter Erstellen eines Netzwerkscanauftrags.

    3. Exportieren Sie Ihren Netzwerkscanauftrag aus dem Bereich Azure Information Protection – Netzwerkscanaufträge (Vorschau) mithilfe der Option Exportieren.

    4. Importieren Sie den Netzwerkscanauftrag mithilfe der Datei, die unserem Clusternamen entspricht, mithilfe des Cmdlets Import-MIPNetworkDiscoveryConfiguration.

    Die Ergebnisse für Offline-Netzwerkscanaufträge befinden sich unter: %localappdata%\Microsoft\MSIP\Scanner\Reports

Verwenden von PowerShell mit einem getrennten Computer

Führen Sie das folgende Verfahren aus, um einen getrennten Computer nur mit PowerShell zu unterstützen.

Wichtig

Administratoren von Azure China 21Vianet-Scannerservern müssen dieses Verfahren verwenden, um ihre Aufträge für Inhaltsscans zu verwalten.

Verwalten Sie Ihre Inhaltsscanaufträge nur mit PowerShell:

  1. Legen Sie den Scanner mithilfe des Cmdlets Set-AIPScannerConfiguration auf die Funktion im Offlinemodus festgelegt.

  2. Erstellen Sie mit dem Cmdlet Set-AIPScannerContentScanJob einen neuen Inhaltsscanauftrag, und stellen Sie sicher, dass der obligatorische Parameter verwendet wird.

  3. Fügen Sie Ihre Repositorys mithilfe des Cmdlets Add-AIPScannerRepository mit dem Pfad zum Repository hinzu, das Sie hinzufügen möchten.

    Tipp

    Um zu verhindern, dass das Repository Einstellungen von Ihrem Inhaltsscanauftrag erbt, fügen Sie den -Parameter sowie Werte OverrideContentScanJob On für zusätzliche Einstellungen hinzu.

    Zum Bearbeiten von Details für ein vorhandenes Repository verwenden Sie den Befehl Set-AIPScannerRepository.

  4. Verwenden Sie die Cmdlets Get-AIPScannerContentScanJob und Get-AIPScannerRepository, um Informationen zu den aktuellen Einstellungen Ihres Inhaltsscanauftrags zurückzukehren.

  5. Verwenden Sie den Befehl Set-AIPScannerRepository, um die Details für ein vorhandenes Repository zu aktualisieren.

  6. Führen Sie ihren Inhaltsscanauftrag bei Bedarf sofort aus, indem Sie das Cmdlet Start-AIPScan verwenden.

    Die Ergebnisse für Überprüfungsaufträge für Offlineinhalte befinden sich unter: %localappdata%\Microsoft\MSIP\Scanner\Reports

  7. Wenn Sie ein Repository oder einen gesamten Inhaltssscanauftrag entfernen müssen, verwenden Sie die folgenden Cmdlets:

Einschränkung: Sysadmin kann nicht gewährt werden, oder Datenbanken müssen manuell erstellt und konfiguriert werden.

Verwenden Sie die folgenden Verfahren, um Datenbanken manuell zu erstellen und db_owner Datenbankrolle zu gewähren.

Wenn Ihnen die Sysadmin-Rolle vorübergehend zum Installieren des Scanners gewährt werden kann, können Sie diese Rolle entfernen, wenn die Scannerinstallation abgeschlossen ist.

Je nach Anforderungen Ihrer Organisation können Sie eine der folgenden Schritte unternehmen:

Einschränkung Beschreibung
Sie können die Sysadmin-Rolle vorübergehend Wenn Sie vorübergehend über die Rolle "Sysadmin" verfügen, wird die Datenbank automatisch für Sie erstellt, und dem Dienstkonto für den Scanner werden automatisch die erforderlichen Berechtigungen erteilt.

Für das Benutzerkonto, mit dem der Scanner konfiguriert wird, ist jedoch weiterhin db_owner Scannerkonfigurationsdatenbank erforderlich. Wenn Sie nur über die Sysadmin-Rolle verfügen, bis die Scannerinstallation abgeschlossen ist, geben Sie db_owner Benutzerkonto die Rolle "Sysadmin".
Sie können die Sysadmin-Rolle überhaupt nicht haben. Wenn die Sysadmin-Rolle nicht einmal vorübergehend gewährt werden kann, müssen Sie einen Benutzer mit Sysadmin-Berechtigungen bitten, vor der Installation des Scanners eine Datenbank manuell zu erstellen.

Für diese Konfiguration muss die db_owner den folgenden Konten zugewiesen sein:
- Dienstkonto für den Scanner
- Benutzerkonto für die Scannerinstallation
- Benutzerkonto für die Scannerkonfiguration

In der Regel verwenden Sie dasselbe Benutzerkonto zum Installieren und Konfigurieren des Scanners. Wenn Sie unterschiedliche Konten verwenden, ist für beide die db_owner Für die Scannerkonfigurationsdatenbank erforderlich. Erstellen Sie diesen Benutzer und die Rechte nach Bedarf. Wenn Sie Ihren eigenen Clusternamen angeben, wird die Konfigurationsdatenbank AIPScannerUL_ cluster_name. >

Darüber hinaus:

  • Sie müssen ein lokaler Administrator auf dem Server sein, auf dem der Scanner ausgeführt wird.

  • Dem Dienstkonto, mit dem der Scanner ausgeführt wird, müssen Vollzugriffsberechtigungen für die folgenden Registrierungsschlüssel erteilt werden:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Wenn nach dem Konfigurieren dieser Berechtigungen bei der Installation des Scanners ein Fehler angezeigt wird, kann der Fehler ignoriert werden, und Sie können den Scannerdienst manuell starten.

Manuelles Erstellen einer Datenbank und eines Benutzers für den Scanner und Gewähren db_owner Rechte

Wenn Sie Ihre Scannerdatenbank manuell erstellen und/oder einen Benutzer erstellen und db_owner-Rechte für die Datenbank gewähren müssen, bitten Sie Ihr Sysadmin, die folgenden Schritte durchzuführen:

  1. Erstellen einer Datenbank für Scanner:

    **CREATE DATABASE AIPScannerUL_[clustername]**
    
    **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
    
  2. Gewähren Sie dem Benutzer, der den Installationsbefehl ausgeführt hat, Rechte, die zum Ausführen von Scannerverwaltungsbefehlen verwendet werden. Verwenden Sie das folgende Skript:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. Gewähren Sie dem Scannerdienstkonto Rechte. Verwenden Sie das folgende Skript:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

Manuelles Erstellen einer Datenbank und eines Benutzers für den Netzwerkermittlungsdienst und Gewähren db_owner Rechte

Wenn Sie Ihre Network Discovery-Datenbank manuell erstellen und/oder einen Benutzer erstellen und db_owner-Rechte für die Datenbank gewähren müssen, bitten Sie Ihr Sysadmin, die folgenden Schritte durchzuführen:

  1. Erstellen sie eine Datenbank für den Netzwerkermittlungsdienst:

    **CREATE DATABASE AIPNetworkDiscovery_[clustername]**
    
    **ALTER DATABASE AIPNetworkDiscovery_[clustername] SET TRUSTWORTHY ON**
    
  2. Gewähren Sie dem Benutzer, der den Installationsbefehl ausgeführt hat, Rechte, die zum Ausführen von Scannerverwaltungsbefehlen verwendet werden. Verwenden Sie das folgende Skript:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. Gewähren Sie dem Scannerdienstkonto Rechte. Verwenden Sie das folgende Skript:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

Einschränkung: Dem Dienstkonto für den Scanner kann die lokale Anmeldung nicht erteilt werden

Wenn die Richtlinien Ihrer Organisation die lokale Anmeldung für Dienstkonten untersagen, verwenden Sie den Parameter OnBehalfOf mit Set-AIPAuthentication.

Weitere Informationen finden Sie unter So wird's machen: Nicht interaktive Bezeichnungen für Dateien in Azure Information Protection.

Einschränkung: Das Konto des Scannerdiensts kann nicht mit ihrem Azure Active Directory aber der Server verfügt über eine Internetverbindung.

Sie können über ein Konto verfügen, um den Scannerdienst ausführen und ein anderes Konto zum Authentifizieren bei Azure Active Directory:

Einschränkung: Für Ihre Etiketten gibt es keine Bedingungen für die automatische Beschriftung.

Wenn die Etiketten keine Bedingungen für die automatische Beschriftung enthalten, sollten Sie beim Konfigurieren Ihres Scanners eine der folgenden Optionen verwenden:

Option Beschreibung
Alle Informationstypen entdecken Legen Sie in Ihrem Inhaltsscanauftragdie Option Zu entdeckende Infotypen auf Alle fest.

Mit dieser Option wird der Inhaltssscanauftrag so definiert, dass der Inhalt auf alle Typen vertraulicher Informationen gescannt wird.
Verwenden der empfohlenen Bezeichnung Legen Sie in Ihrem Inhaltsscanauftragdie Option Empfohlene Bezeichnung als automatische Bezeichnung behandeln auf Ein.

Mit dieser Einstellung wird der Scanner so konfiguriert, dass alle empfohlenen Bezeichnungen automatisch auf den Inhalt angewendet werden.
Definieren einer Standardbezeichnung Definieren Sie eine Standardbezeichnung in Ihrer Richtlinie, dem Inhaltsscanauftragoder dem Repository.

In diesem Fall wendet der Scanner die Standardbezeichnung auf alle gefundenen Dateien an.

Nächste Schritte

Nachdem Sie sich bestätigt haben, dass Ihr System die Scannervoraussetzungen erfüllt, fahren Sie mit Bereitstellen des Azure Information Protection-Scanners fort, um Dateien automatisch zu klassifizieren und zu schützen.

Eine Übersicht über den Scanner finden Sie unter Bereitstellen des Azure Information Protection-Scanners zum automatischen Klassifizieren und Schützen von Dateien.

Weitere Informationen: