Bereitstellen vorheriger Versionen des Azure Information Protection ScannersDeploying previous versions of the Azure Information Protection scanner

Gilt für: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Anweisungen für: Azure Information Protection-Client für WindowsInstructions for: Azure Information Protection client for Windows

Hinweis

Um eine einheitliche und optimierte Kundenumgebung zu gewährleisten, werden Azure Information Protection-Client (klassisch) und Bezeichnungsverwaltung im Azure-Portal zum 31. März 2021 eingestellt.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Dieser Zeitrahmen ermöglicht allen aktuellen Azure Information Protection-Kunden den Umstieg auf die Microsoft Information Protection-Plattform für einheitliche Bezeichnungen.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Weitere Informationen erhalten Sie im offiziellen Hinweis zu veralteten Funktionen.Learn more in the official deprecation notice.

Hinweis

Dieser Artikel ist für Versionen der Azure Information Protection Scanner vorgesehen, die älter als die Version 1.48.204.0 sind, aber noch unterstützt werden.This article is for versions of the Azure Information Protection scanner that are earlier than version 1.48.204.0 but still in support. Informationen zum Aktualisieren früherer Versionen auf die aktuelle Version finden Sie unter Aktualisieren der Azure Information Protection Scanner.To upgrade earlier versions to the current version, see Upgrading the Azure Information Protection scanner.

Informationen zu den Bereitstellungs Anweisungen für die aktuelle Version der Überprüfung, die die Konfiguration der Azure-Portal enthält, finden Sie unter Bereitstellen des Azure Information Protection Scanners zum automatischen klassifizieren und schützen von Dateien.If you are looking for deployment instructions for the current version of the scanner, which includes configuration from the Azure portal, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

In diesem Artikel erfahren Sie mehr über die Azure Information Protection-Überprüfung und deren erfolgreiche Installation, Konfiguration und Ausführung.Use this information to learn about the Azure Information Protection scanner, and then how to successfully install, configure, and run it.

Diese Überprüfung wird als Dienst unter Windows Server ausgeführt und bietet Ihnen die Möglichkeit, Dateien auf den folgenden Datenspeichern zu suchen, zu klassifizieren und zu schützen:This scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

  • UNC-Pfade zu Netzwerkfreigaben mit dem Server Message Block (SMB)-Protokoll.UNC paths for network shares that use the Server Message Block (SMB) protocol.

  • Dokument Bibliotheken und Ordner für SharePoint Server 2019 über SharePoint Server 2013.Document libraries and folders for SharePoint Server 2019 through SharePoint Server 2013. SharePoint 2010 wird auch für Kunden unterstützt, die über erweiterten Support für diese Version von SharePoint verfügen.SharePoint 2010 is also supported for customers who have extended support for this version of SharePoint.

Verwenden Sie zum Überprüfen und Bezeichnen von Dateien auf Cloudrepositorys Cloud App Security anstelle des Scanners.To scan and label files on cloud repositories, use Cloud App Security instead of the scanner.

Übersicht über die Azure Information Protection-ÜberprüfungOverview of the Azure Information Protection scanner

Wenn Sie Ihre Azure Information Protection-Richtlinie für Bezeichnungen konfiguriert haben, die automatisch klassifizieren, können von der Überprüfung gefundene Dateien gekennzeichnet werden.When you have configured your Azure Information Protection policy for labels that apply automatic classification, files that this scanner discovers can then be labeled. Bezeichnungen wenden Klassifizierungen sowie optional Schutz an, der auch entfernt werden kann:Labels apply classification, and optionally, apply protection or remove protection:

Übersicht über die Architektur der Azure Information Protection-Überprüfung

Die Überprüfung kann jede Datei überprüfen, die von Windows indiziert werden kann. Dazu verwendet sie IFilters, die auf dem Computer installiert sind.The scanner can inspect any files that Windows can index, by using IFilters that are installed on the computer. Um zu bestimmen, ob die Dateien Bezeichnungen benötigen, verwendet die Überprüfung die vertraulichen Informationstypen und die Mustererkennung von Office 365 zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) oder Regex-Muster von Office 365.Then, to determine if the files need labeling, the scanner uses the Office 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Office 365 regex patterns. Da die Überprüfung den Azure Information Protection-Client verwendet, kann sie dieselben Dateitypen klassifizieren und schützen.Because the scanner uses the Azure Information Protection client, it can classify and protect the same file types.

Sie können die Überprüfung im Suchmodus ausführen. In diesem Modus überprüfen Sie anhand der Berichte, was geschähe, wenn die Dateien bezeichnet würden.You can run the scanner in discovery mode only, where you use the reports to check what would happen if the files were labeled. Alternativ können Sie die Bezeichnungen mit der Überprüfung automatisch anwenden.Or, you can run the scanner to automatically apply the labels. Sie können die Überprüfung auch zum Ermitteln von Dateien mit vertraulichen Informationstypen ausführen, ohne Bezeichnungen für Bedingungen zu konfigurieren, die die automatische Klassifizierung anwenden.You can also run the scanner to discover files that contain sensitive information types, without configuring labels for conditions that apply automatic classification.

Beachten Sie, dass die Überprüfung nicht in Echtzeit sucht und bezeichnet.Note that the scanner does not discover and label in real time. Sie durchforstet systematisch Dateien auf Datenspeichern, die Sie angeben, und Sie können konfigurieren, ob dieser Zyklus einmal oder mehrmals ausgeführt wird.It systematically crawls through files on data stores that you specify, and you can configure this cycle to run once, or repeatedly.

Sie können angeben, welche Dateitypen in die Überprüfung eingeschlossen oder von ihr ausgeschlossen werden sollen.You can specify which file types to scan, or exclude from scanning. Wenn Sie die Dateien einschränken möchten, die bei der Überprüfung untersucht werden sollen, definieren Sie mithilfe von Set-AIPScannerScannedFileTypes eine Liste mit Dateitypen.To restrict which files the scanner inspects, define a file types list by using Set-AIPScannerScannedFileTypes.

Voraussetzungen für die Azure Information Protection-ÜberprüfungPrerequisites for the Azure Information Protection scanner

Stellen Sie vor der Installation der Azure Information Protection-Überprüfung sicher, dass folgende Voraussetzungen erfüllt sind.Before you install the Azure Information Protection scanner, make sure that the following requirements are in place.

AnforderungRequirement Weitere InformationenMore information
Windows Server-Computer zum Ausführen des Überprüfungsdiensts:Windows Server computer to run the scanner service:

- Prozessoren mit 4 Kernen- 4 core processors

– 8 GB RAM- 8 GB of RAM

- 10 GB freier Speicherplatz (Durchschnitt) für temporäre Dateien- 10 GB free space (average) for temporary files
Windows Server 2019, Windows Server 2016 oder Windows Server 2012 R2Windows Server 2019, Windows Server 2016, or Windows Server 2012 R2.

Hinweis: zu Test-oder Evaluierungs Zwecken in einer nicht-Produktionsumgebung können Sie ein Windows-Client Betriebssystem verwenden, das vom Azure Information Protection-Client unterstütztwird.Note: For testing or evaluation purposes in a non-production environment, you can use a Windows client operating system that is supported by the Azure Information Protection client.

Dieser Computer kann ein physischer oder ein virtueller Computer mit einer schnellen und zuverlässigen Netzwerkverbindung zu den Datenspeichern sein, die überprüft werden sollen.This computer can be a physical or virtual computer that has a fast and reliable network connection to the data stores to be scanned.

Die Überprüfung erfordert ausreichend Speicherplatz, um für jede Datei, die überprüft wird, temporäre Dateien zu erstellen, d.h. vier Dateien pro Kern.The scanner requires sufficient disk space to create temporary files for each file that it scans, four files per core. Der empfohlene Speicherplatz von 10 GB ermöglicht Prozessoren mit 4 Kernen, 16 Dateien mit einer Dateigröße von jeweils 625 MB zu überprüfen.The recommended disk space of 10 GB allows for 4 core processors scanning 16 files that each have a file size of 625 MB.

Wenn die Internetverbindung aufgrund ihrer Organisations Richtlinien nicht möglich ist, finden Sie weitere Informationen im Abschnitt bereitstellen des Scanners mit alternativen Konfigurationen .If internet connectivity is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section. Stellen Sie andernfalls sicher, dass dieser Computer über eine Internetverbindung verfügt, die die folgenden URLs über HTTPS (Port 443) zulässt:Otherwise, make sure that this computer has internet connectivity that allows the following URLs over HTTPS (port 443):
*.aadrm.com*.aadrm.com
*.azurerms.com*.azurerms.com
*.informationprotection.azure.com*.informationprotection.azure.com
informationprotection.hosting.portal.azure.netinformationprotection.hosting.portal.azure.net
*.aria.microsoft.com*.aria.microsoft.com
Dienstkonto zum Ausführen der ÜberprüfungService account to run the scanner service Über das Ausführen des Überprüfungsdiensts auf dem Windows-Servercomputer hinaus wird dieses Windows-Konto auch bei Azure AD authentifiziert und lädt die Azure Information Protection-Richtlinie herunter.In addition to running the scanner service on the Windows Server computer, this Windows account authenticates to Azure AD and downloads the Azure Information Protection policy. Dieses Konto muss ein Active Directory-Konto sein und mit Azure AD synchronisiert werden.This account must be an Active Directory account and synchronized to Azure AD. Wenn Sie dieses Konto aufgrund Ihrer Organisationsrichtlinien nicht synchronisieren können, finden Sie weitere Informationen in Abschnitt Bereitstellen der Überprüfung mit alternative Konfigurationen.If you cannot synchronize this account because of your organization policies, see the Deploying the scanner with alternative configurations section.

Für dieses Dienstkonto gelten die folgenden Anforderungen:This service account has the following requirements:

- Lokale Anmeldung für die Zuweisung von Benutzerrechten.- Log on locally user right assignment. Diese Berechtigung ist für die Installation und Konfiguration der Überprüfung erforderlich, aber nicht für den Vorgang selbst.This right is required for the installation and configuration of the scanner, but not for operation. Sie müssen dem Dienstkonto diese Berechtigung gewähren und können sie wieder entfernen, nachdem Sie überprüft haben, dass die Überprüfung Dateien suchen, klassifizieren und schützen kann.You must grant this right to the service account but you can remove this right after you have confirmed that the scanner can discover, classify, and protect files. Wenn die Gewährung dieser Berechtigung selbst für einen kurzen Zeitraum aufgrund Ihrer Organisationsrichtlinien nicht möglich ist, finden Sie weitere Informationen in Abschnitt Bereitstellen der Überprüfung mit alternative Konfigurationen.If granting this right even for a short period of time is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section.

- Anmeldung als Dienst für die Zuweisung von Benutzerrechten.- Log on as a service user right assignment. Diese Berechtigung wird dem Dienstkonto während der Installation automatisch gewährt und ist für die Installation, Konfiguration und den Betrieb der Überprüfung erforderlich.This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.

-Berechtigungen für die Daten Depots: erteilen Sie für Datendepots auf lokalem SharePoint immer die Berechtigung " Bearbeiten ", wenn die Seite " Hinzufügen" und "anpassen " für die Website ausgewählt ist, oder erteilen Sie die Entwurfs Berechtigung.- Permissions to the data repositories: For data repositories on SharePoint on-premises, always grant the Edit permission if Add and Customize Pages is selected for the site, or grant the Design permission. Erteilen Sie für andere datenpositorys Lese-und Schreib Berechtigungen für das Scannen der Dateien, und wenden Sie dann die Klassifizierung und den Schutz auf die Dateien an, die die Bedingungen in der Azure Information Protection Richtlinie erfüllen.For other data repositories, grant Read and Write permissions for scanning the files and then applying classification and protection to the files that meet the conditions in the Azure Information Protection policy. Die Lese Berechtigung ist ausreichend, um die Überprüfung nur für diese anderen Datendepots im Ermittlungs Modus auszuführen.To run the scanner in discovery mode only for these other data repositories, Read permission is sufficient.

– Für Bezeichnungen, die Schutz erneut anwenden oder ihn entfernen: Um sicherzustellen, dass die Überprüfung immer Zugriff auf geschützte Dateien hat, muss dieses Konto in Azure Rights Management ein Administrator sein. Stellen Sie außerdem sicher, dass die Administratorfunktion aktiviert ist.- For labels that reprotect or remove protection: To ensure that the scanner always has access to protected files, make this account a super user for the Azure Rights Management service, and ensure that the super user feature is enabled. Weitere Informationen zu den Kontoanforderungen zum Anwenden von Schutz finden Sie unter Vorbereiten von Benutzern und Gruppen für Azure Information Protection.For more information about the account requirements for applying protection, see Preparing users and groups for Azure Information Protection. Wenn Sie darüber hinaus Onboarding-Steuerelemente für eine stufenweise Bereitstellung implementiert haben, stellen Sie sicher, dass dieses Konto in den von Ihnen konfigurierten Onboarding-Steuerelementen enthalten ist.In addition, if you have implemented onboarding controls for a phased deployment, make sure that this account is included in your onboarding controls you've configured.
SQL-Server, auf dem die Konfiguration der Überprüfung gespeichert wird:SQL Server to store the scanner configuration:

- Lokale oder Remoteinstanz- Local or remote instance

- Sortierung ohne Beachtung- Case insensitive collation

– Sysadmin-Rolle zum Installieren der Überprüfung- Sysadmin role to install the scanner
SQL Server 2012 ist die mindestens erforderliche Version für die folgenden Editionen:SQL Server 2012 is the minimum version for the following editions:

- SQL Server Enterprise- SQL Server Enterprise

- SQL Server Standard- SQL Server Standard

- SQL Server Express- SQL Server Express

Bei der Installation von mehreren Instanzen der Überprüfung erfordert jede Überprüfungsinstanz ihre eigene SQL Server-Instanz.If you install more than one instance of the scanner, each scanner instance requires its own SQL Server instance.

Wenn Sie die Überprüfung installieren und Ihr Konto über die Sysadmin-Rolle verfügt, wird während des Installationsprozesses automatisch die AzInfoProtectionScanner-Datenbank erstellt und dem Dienstkonto, das die Überprüfung ausführt, die erforderliche Db_owner-Rolle gewährt.When you install the scanner and your account has the Sysadmin role, the installation process automatically creates the AzInfoProtectionScanner database and grants the required db_owner role to the service account that runs the scanner. Wenn die Sysadmin-Rolle nicht gewährt wird oder aufgrund der Richtlinien Ihrer Organisation die manuelle Erstellung und Konfiguration von Datenbanken erforderlich ist, finden Sie weitere Informationen in Abschnitt Bereitstellen der Überprüfung mit alternative Konfigurationen.If you cannot be granted the Sysadmin role or your organization policies require databases to be created and configured manually, see the Deploying the scanner with alternative configurations section.

Die Größe der Konfigurationsdatenbank variiert je nach Bereitstellung. Allerdings empfehlen wir, 500 MB je 1.000.000 zu überprüfende Dateien zuzuordnen.The size of the configuration database will vary for each deployment but we recommend you allocate 500 MB for every 1,000,000 files that you want to scan.
Der Azure Information Protection-Client (klassisch) ist auf dem Windows Server-Computer installiert.The Azure Information Protection client (classic) is installed on the Windows Server computer Sie müssen den kompletten Client für die Überprüfung installieren.You must install the full client for the scanner. Installieren Sie den Client nicht nur mit dem PowerShell-Modul.Do not install the client with just the PowerShell module.

Eine Anleitung zum Installieren des Clients finden Sie im Administratorhandbuch.For client installation instructions, see the admin guide. Wenn Sie die Überprüfung bereits installiert haben und nun auf eine neuere Version aktualisieren müssen, finden Sie weitere Informationen hierzu unter Aktualisieren der Azure Information Protection-Überprüfung.If you have previously installed the scanner and now need to upgrade it to a later version, see Upgrading the Azure Information Protection scanner.
Konfigurierte Bezeichnungen, die automatische Klassifizierung und optional Schutz anwendenConfigured labels that apply automatic classification, and optionally, protection Informationen zum Konfigurieren einer Bezeichnung für Bedingungen und zum Anwenden von Schutz:For more information about how to configure a label for conditions and to apply protection:
- Konfigurieren von Bedingungen für die automatische und die empfohlene Klassifizierung für Azure Information Protection- How to configure conditions for automatic and recommended classification
- Konfigurieren einer Bezeichnung für den Schutz Rights Management- How to configure a label for Rights Management protection

Tipp: Sie können die Anweisungen aus dem Tutorial zum Testen des Scanners mit einer Bezeichnung verwenden, die in einem vorbereiteten Word-Dokument nach Kreditkartennummern sucht.Tip: You can use the instructions from the tutorial to test the scanner with a label that looks for credit card numbers in a prepared Word document. Sie müssen jedoch die Bezeichnungskonfiguration ändern, sodass Wählen Sie aus, wie diese Bezeichnung angewendet wird auf Automatisch und nicht auf als Empfehlung festgelegt wird.However, you will need to change the label configuration so that Select how this label is applied is set to Automatic rather than Recommended. Entfernen Sie anschließend die Bezeichnung vom Dokument (sofern angewendet), und kopieren Sie die Datei in ein Datenrepository für den Scanner.Then remove the label from the document (if it is applied) and copy the file to a data repository for the scanner.

Zwar können Sie die Überprüfung auch dann ausführen, wenn Sie über keine konfigurierten Bezeichnungen verfügen, die die automatische Klassifizierung anwenden, dieses Szenario wird in der vorliegenden Anleitung jedoch nicht behandelt.Although you can run the scanner even if you haven't configured labels that apply automatic classification, this scenario is not covered with these instructions. Weitere InformationenMore information
Für das Scannen von SharePoint-Dokument Bibliotheken und-Ordnern:For SharePoint document libraries and folders to be scanned:

-SharePoint 2019- SharePoint 2019

– SharePoint 2016- SharePoint 2016

– SharePoint 2013- SharePoint 2013

– SharePoint 2010- SharePoint 2010
Andere Versionen von SharePoint werden für die Überprüfung nicht unterstützt.Other versions of SharePoint are not supported for the scanner.

Wenn Sie die VersionsVerwaltung verwenden, wird die zuletzt veröffentlichte Version vom Scanner überprüft und beschriftet.When you use versioning, the scanner inspects and labels the last published version. Wenn die Überprüfung eine Datei und eine Genehmigung von Inhalten erfordert, muss die bezeichnete Datei als verfügbar für Benutzer verfügbar sein.If the scanner labels a file and content approval is required, that labeled file must be approved to be available for users.

Überprüfen Sie für große SharePoint-Farmen, ob Sie den Schwellwert der Listenansicht (standardmäßig 5.000) erhöhen müssen, damit der Scanner auf alle Dateien zugreifen kann.For large SharePoint farms, check whether you need to increase the list view threshold (by default, 5,000) for the scanner to access all files. Weitere Informationen finden Sie in der folgenden SharePoint-Dokumentation: Verwalten von großen Listen und Bibliotheken in SharePoint .For more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint
Für zu scannende Office-Dokumente:For Office documents to be scanned:

-97-2003-Dateiformate und die offene Office-XML-Formate für Word, Excel und PowerPoint- 97-2003 file formats and Office Open XML formats for Word, Excel, and PowerPoint
Weitere Informationen zu den Dateitypen, die vom Scanner für diese Dateiformate unterstützt werden, finden Sie unter Vom Azure Information Protection-Client unterstützte Dateitypen.For more information about the file types that the scanner supports for these file formats, see File types supported by the Azure Information Protection client
Für lange Pfade:For long paths:

– höchstens 260 Zeichen, es sei denn, der Scanner ist unter Windows 2016 installiert und der Computer ist für die Unterstützung von langen Pfaden konfiguriert- Maximum of 260 characters, unless the scanner is installed on Windows 2016 and the computer is configured to support long paths
Windows 10-und Windows Server 2016-Support Pfadlängen von mehr als 260 Zeichen mit der folgenden Gruppenrichtlinien Einstellung: lokale Computer Richtlinie > Computer Konfiguration > Administrative Vorlagen > alle Einstellungen > Aktivieren von Win32 Long-PfadenWindows 10 and Windows Server 2016 support path lengths greater than 260 characters with the following group policy setting: Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Weitere Informationen zur Unterstützung von langen Dateipfaden finden Sie im Abschnitt Maximum Path Length Limitation (Einschränkung der Pfadlänge) in der Entwicklerdokumentation für Windows 10.For more information about supporting long file paths, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

Wenn Sie nicht alle Anforderungen in der Tabelle erfüllen können, da sie aufgrund der Richtlinien Ihrer Organisation nicht zulässig sind, finden Sie im nächsten Abschnitt Alternativen.If you can't meet all the requirements in the table because they are prohibited by your organization policies, see the next section for alternatives.

Wenn alle Voraussetzungen erfüllt sind, wechseln Sie direkt zum Abschnitt „Installation“.If all the requirements are met, go straight to the installation section.

Bereitstellen der Überprüfung mit alternativen KonfigurationenDeploying the scanner with alternative configurations

Die in der Tabelle aufgeführten Voraussetzungen sind die Standardanforderungen für die Überprüfung und werden empfohlen, da sie die einfachste Konfiguration für die Bereitstellung der Überprüfung sind.The prerequisites listed in the table are the default requirements for the scanner and recommended because they are the simplest configuration for the scanner deployment. Sie sollten für die erste Testphase geeignet sein, damit Sie die Funktionen der Überprüfung überprüfen können.They should be suitable for initial testing, so that you can check the capabilities of the scanner. In einer Produktumgebung können aufgrund der Richtlinien Ihrer Organisation diese Standardanforderungen jedoch aufgrund einer oder mehrerer der folgenden Einschränkungen nicht zulässig sein:However, in a product environment, your organization policies might prohibit these default requirements because of one or more of the following restrictions:

  • Server sind keine Internet Konnektivität zulässig.Servers are not allowed internet connectivity

  • Ihnen können keine Systemadministratorrechte gewährt werden, oder Datenbanken müssen manuell erstellt und konfiguriert werden.You cannot be granted Sysadmin or databases must be created and configured manually

  • Dienst Konten kann das Recht " Lokal anmelden " nicht erteilt werden.Service accounts cannot be granted the Log on locally right

  • Dienst Konten können nicht mit Azure Active Directory synchronisiert werden, aber Server haben eine Internetverbindung.Service accounts cannot be synchronized to Azure Active Directory but servers have internet connectivity

Bei der Überprüfung können diese Einschränkungen zwar berücksichtigt werden, es ist jedoch eine zusätzliche Konfiguration erforderlich.The scanner can accommodate these restrictions but they require additional configuration.

Einschränkung: der Überprüfungs Server kann keine Internetverbindung haben.Restriction: The scanner server cannot have internet connectivity

Folgen Sie den Anweisungen für nicht verbundene Computer.Follow the instructions for a disconnected computer.

Beachten Sie, dass die Überprüfung in dieser Konfiguration keinen Schutz durch den cloudbasierten Schlüssel Ihrer Organisation anwenden (oder entfernen) kann.Note that in this configuration, the scanner cannot apply protection (or remove protection) by using your organization's cloud-based key. Stattdessen ist die Überprüfung auf die Verwendung von Bezeichnungen beschränkt, für die ausschließlich die Klassifizierung verwendet wird, oder auf den Schutz mit HYOK.Instead, the scanner is limited to using labels that apply classification only, or protection that uses HYOK.

Einschränkung: Die Sysadmin-Rolle kann nicht gewährt werden oder Datenbanken müssen manuell erstellt und konfiguriert werden.Restriction: You cannot be granted Sysadmin or databases must be created and configured manually

Wenn Ihnen die Sysadmin-Rolle zur vorübergehenden Installation der Überprüfung zugewiesen werden kann, können Sie diese Rolle nach der Installation der Überprüfung entfernen.If you can be granted the Sysadmin role temporarily to install the scanner, you can remove this role when the scanner installation is complete. Wenn Sie diese Konfiguration verwenden, wird die Datenbank automatisch für Sie erstellt, und das Dienstkonto für die Überprüfung erhält automatisch die erforderlichen Berechtigungen.When you use this configuration, the database is automatically created for you and the service account for the scanner is automatically granted the required permissions. Das Benutzerkonto, das die Überprüfung konfiguriert, benötigt jedoch die db_owner-Rolle für die AzInfoProtectionScanner-Datenbank, und Sie müssen diese Rolle dem Benutzerkonto manuell zuweisen.However, the user account that configures the scanner requires the db_owner role for the AzInfoProtectionScanner database, and you must manually grant this role to the user account.

Wenn Sie die sysadmin-Rolle nicht auch vorübergehend erhalten können, müssen Sie einen Benutzer mit sysadmin-Berechtigung bitten, vor der Installation des Scanners manuell eine Datenbank mit dem Namen "azinfoprotectionscanner" zu erstellen.If you cannot be granted the Sysadmin role even temporarily, you must ask a user with Sysadmin rights to manually create a database named AzInfoProtectionScanner before you install the scanner. Für diese Konfiguration müssen die folgenden Rollen zugewiesen werden:For this configuration, the following roles must be assigned:

KontoAccount Rolle auf DatenbankebeneDatabase-level role
Dienstkonto für die ÜberprüfungService account for the scanner db_ownerdb_owner
Benutzerkonto für die Installation der ÜberprüfungUser account for scanner installation db_ownerdb_owner
Benutzerkonto für die Konfiguration der ÜberprüfungUser account for scanner configuration db_ownerdb_owner

In der Regel verwenden Sie dasselbe Benutzerkonto, um die Überprüfung zu installieren und zu konfigurieren.Typically, you will use the same user account to install and configure the scanner. Wenn Sie jedoch unterschiedliche Konten verwenden, benötigen beide die db_owner-Rolle für die AzInfoProtectionScanner-Datenbank.But if you use different accounts, they both require the db_owner role for the AzInfoProtectionScanner database.

Um einen Benutzer zu erstellen und db_owner Rechte für diese Datenbank zu erteilen, bitten Sie den sysadmin, das folgende SQL-Skript zweimal auszuführen.To create a user and grant db_owner rights on this database, ask the Sysadmin to run the following SQL script twice. Beim ersten Mal für das Dienst Konto, mit dem die Überprüfung ausgeführt wird, und das zweite Mal zum Installieren und Verwalten des Scanners.The first time, for the service account that runs the scanner, and the second time for you to install and manage the scanner. Ersetzen Sie vor dem Ausführen des Skripts "Domäne \ Benutzer" durch den Domänen Namen und den Benutzerkonto Namen des Dienst Kontos bzw. des Benutzerkontos:Before running the script, replace domain\user with the domain name and user account name of the service account or user account:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE AzInfoProtectionScanner IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

Darüber hinaus gilt:Additionally:

  • Sie müssen ein lokaler Administrator auf dem Server sein, auf dem die Überprüfung ausgeführt wird.You must be a local administrator on the server that will run the scanner

  • Das Dienst Konto, unter dem der Scanner ausgeführt wird, muss über Vollzugriff auf die folgenden Registrierungsschlüssel verfügen:The service account that will run the scanner must be granted Full Control permissions to the following registry keys:

    • HKEY_LOCAL_MACHINE \software\wow6432node \microsoft\msipc\serverHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE \software\microsoft\msipc\serverHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Wenn nach dem Konfigurieren dieser Berechtigungen ein Fehler angezeigt wird, wenn Sie den Scanner installieren, kann der Fehler ignoriert werden, und Sie können den Überprüfungs Dienst manuell starten.If, after configuring these permissions, you see an error when you install the scanner, the error can be ignored and you can manually start the scanner service.

Einschränkung: Die Berechtigung zur lokalen Anmeldung kann nicht für das Dienstkonto gewährt werden.Restriction: The service account for the scanner cannot be granted the Log on locally right

Wenn aufgrund der Richtlinien Ihrer Organisation Dienstkonten keine Berechtigung für die lokale Anwendung nicht erteilt werden kann, jedoch das Anmelden als Batchauftrag zulässig ist, folgen Sie den Anweisungen im Abschnitt Angeben und Verwenden des Token-Parameters für „Set-AIPAuthentication“ im Administratorhandbuch.If your organization policies prohibit the Log on locally right for service accounts but allow the Log on as a batch job right, follow the instructions for Specify and use the Token parameter for Set-AIPAuthentication from the admin guide.

Einschränkung: das Überprüfungs Dienst Konto kann nicht mit Azure Active Directory synchronisiert werden, aber der Server verfügt über eine Internetverbindung.Restriction: The scanner service account cannot be synchronized to Azure Active Directory but the server has internet connectivity

Sie können ein Konto haben, um den Überprüfungsdienst auszuführen, und ein anderes Konto für die Authentifizierung bei Azure Active Directory verwenden:You can have one account to run the scanner service and use another account to authenticate to Azure Active Directory:

Installieren der ÜberprüfungInstall the scanner

  1. Melden Sie sich bei dem Windows Server-Computer an, auf dem die Überprüfung ausgeführt werden soll.Sign in to the Windows Server computer that will run the scanner. Verwenden Sie ein Konto mit lokalen Administratorrechten und den Berechtigungen zum Schreiben in die SQL Server-Masterdatenbank.Use an account that has local administrator rights and that has permissions to write to the SQL Server master database.

  2. Starten Sie eine Windows PowerShell-Sitzung mit der Option Als Administrator ausführen.Open a Windows PowerShell session with the Run as an administrator option.

  3. Führen Sie das Cmdlet install-aipscanner aus, und geben Sie dabei die SQL Server Instanz an, auf der eine Datenbank für den Azure Information Protection Scanner erstellt werden soll:Run the Install-AIPScanner cmdlet, specifying your SQL Server instance on which to create a database for the Azure Information Protection scanner:

    Install-AIPScanner -SqlServerInstance <name>
    

    Beispiel:For example:

    • Für eine Standardinstanz: Install-AIPScanner -SqlServerInstance SQLSERVER1For a default instance: Install-AIPScanner -SqlServerInstance SQLSERVER1

    • Für eine benannte Instanz: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNERFor a named instance: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER

    • Für SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESSFor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS

    Wenn Sie dazu aufgefordert werden, geben Sie die Anmelde Informationen für das Überprüfungs Dienst Konto ( <domain\user name> ) und das Kennwort an.When you are prompted, provide the credentials for the scanner service account (<domain\user name>) and password.

  4. Vergewissern Sie sich, dass der Dienst jetzt mithilfe der Dienste Verwaltunginstalliert ist > Services.Verify that the service is now installed by using Administrative Tools > Services.

    Der installierte Dienst heißt Azure Information Protection-Überprüfung und ist für die Ausführung mithilfe des von Ihnen erstellten Überprüfungsdienstkontos konfiguriert.The installed service is named Azure Information Protection Scanner and is configured to run by using the scanner service account that you created.

Nun, da Sie die Überprüfung installiert haben, müssen Sie ein Azure AD-Token abrufen, damit das Überprüfungsdienstkonto authentifiziert werden und unbeaufsichtigt ausgeführt werden kann.Now that you have installed the scanner, you need to get an Azure AD token for the scanner service account to authenticate so that it can run unattended.

Abrufen eines Azure AD-Tokens für die ÜberprüfungGet an Azure AD token for the scanner

Mithilfe des Azure AD-Tokens kann das Überprüfungsdienstkonto bei Azure Information Protection authentifiziert werden.The Azure AD token lets the scanner service account authenticate to the Azure Information Protection service.

  1. Melden Sie auf demselben Windows Server-Computer oder Ihrem Desktop beim Azure-Portal an, um zwei Azure AD-Anwendungen zu erstellen, die für die Angabe eines Zugriffstokens für die Authentifizierung erforderlich sind.From the same Windows Server computer, or from your desktop, sign in to the Azure portal to create two Azure AD applications that are needed to specify an access token for authentication. Nach einer ersten interaktiven Anmeldung wird die Überprüfung mit diesem Token ohne Benutzereingriff ausgeführt.After an initial interactive sign-in, this token lets the scanner run non-interactively.

    Um diese Anwendungen zu erstellen, folgen Sie der Anleitung unter Unbeaufsichtigtes Bezeichnen von Dateien für Azure Information Protection im Administratorhandbuch.To create these applications, follow the instructions in How to label files non-interactively for Azure Information Protection from the admin guide.

  2. Gehen Sie auf dem Windows Server-Computer folgendermaßen vor, wenn dem Überprüfungsdienstkonto für die Installation das Recht zur lokalen Anmeldung erteilt wurde: Melden Sie sich mit diesem Konto an, und starten Sie eine PowerShell-Sitzung.From the Windows Server computer, if your scanner service account has been granted the Log on locally right for the installation: Sign in with this account and start a PowerShell session. Führen Sie Set-AIPAuthentication aus, und geben Sie die Werte an, die Sie aus dem vorherigen Schritt kopiert haben:Run Set-AIPAuthentication, specifying the values that you copied from the previous step:

    Set-AIPAuthentication -webAppId <ID of the "Web app / API" application> -webAppKey <key value generated in the "Web app / API" application> -nativeAppId <ID of the "Native" application>
    

    Wenn Sie dazu aufgefordert werden, geben Sie das Kennwort für Ihr Azure AD-Dienstkonto an, und klicken Sie dann auf Akzeptieren.When prompted, specify the password for your service account credentials for Azure AD, and then click Accept.

    Wenn Ihrem Überprüfungsdienstkonto das Recht zur lokalen Anmeldung für die Installation nicht erteilt werden kann: Befolgen Sie die Anweisungen im Abschnitt Angeben und Verwenden des Token-Parameters für „Set-AIPAuthentication“ im Administratorhandbuch.If your scanner service account cannot be granted the Log on locally right for the installation: Follow the instructions in the Specify and use the Token parameter for Set-AIPAuthentication section from the admin guide.

Die Überprüfung verfügt jetzt über ein Token für die Authentifizierung bei Azure AD, die ein oder zwei Jahre gültig ist oder nie abläuft, je nach der Konfiguration der Web-App/API in Azure AD.The scanner now has a token to authenticate to Azure AD, which is valid for one year, two years, or never expires, according to your configuration of the Web app /API in Azure AD. Wenn das Token abgelaufen ist, müssen Sie die Schritte 1 und 2 wiederholen.When the token expires, you must repeat steps 1 and 2.

Sie können nun die zu überprüfenden Datenspeicher angeben.You're now ready to specify the data stores to scan.

Angeben von Datenspeichern für die ÜberprüfungSpecify data stores for the scanner

Verwenden Sie das Cmdlet Add-AIPScannerRepository, um die Datenspeicher anzugeben, die von der Azure Information Protection-Überprüfung gescannt werden sollen.Use the Add-AIPScannerRepository cmdlet to specify the data stores to be scanned by the Azure Information Protection scanner. Sie können UNC-Pfade und SharePoint-Server-URLs für SharePoint-Dokument Bibliotheken und-Ordner angeben.You can specify UNC paths and SharePoint Server URLs for SharePoint document libraries and folders.

Unterstützte Versionen für SharePoint: SharePoint Server 2019, SharePoint Server 2016 und SharePoint Server 2013.Supported versions for SharePoint: SharePoint Server 2019, SharePoint Server 2016, and SharePoint Server 2013. SharePoint Server 2010 wird außerdem für Kunden unterstützt, die über erweiterten Support für diese Version von SharePoint verfügen.SharePoint Server 2010 is also supported for customers who have extended support for this version of SharePoint.

  1. Fügen Sie in der PowerShell-Sitzung über denselben Windows Server-Computer den ersten Datenspeicher hinzu, indem Sie den folgenden Befehl ausführen:From the same Windows Server computer, in your PowerShell session, add your first data store by running the following command:

    Add-AIPScannerRepository -Path <path>
    

    Zum Beispiel, Add-AIPScannerRepository -Path \\NAS\DocumentsFor example, Add-AIPScannerRepository -Path \\NAS\Documents

    Verwenden Sie für dieses Cmdlet den PowerShell-Befehl "Help", um weitere Beispiele zu erhalten Get-Help Add-AIPScannerRepository -examples .For other examples, use the PowerShell help command Get-Help Add-AIPScannerRepository -examples for this cmdlet.

  2. Wiederholen Sie diesen Befehl für alle Datenspeicher, die Sie prüfen möchten.Repeat this command for all the data stores that you want to scan. Wenn Sie einen hinzugefügten Datenspeicher wieder entfernen möchten, verwenden Sie das Cmdlet Remove-AIPScannerRepository.If you need to remove a data store that you added, use the Remove-AIPScannerRepository cmdlet.

  3. Vergewissern Sie sich mithilfe des Cmdlets Get-AIPScannerRepository, dass Sie alle Datenspeicher richtig angegeben haben:Confirm that you have specified all the data stores correctly, by running the Get-AIPScannerRepository cmdlet:

    Get-AIPScannerRepository
    

Mit der Standardkonfiguration der Überprüfung können Sie nun die erste Überprüfung im Suchmodus ausführen.With the scanner's default configuration, you're now ready to run your first scan in discovery mode.

Ausführen eines Ermittlungszyklus und Anzeigen von Berichten für die ÜberprüfungRun a discovery cycle and view reports for the scanner

  1. Führen Sie in Ihrer PowerShell-Sitzung den folgenden Befehl aus, um die Überprüfung zu starten:In your PowerShell session, start the scanner by running the following command:

    Start-AIPScan
    

    Alternativ können Sie den Scanner über das Azure-Portal starten.Alternatively, you can start the scanner from the Azure portal. Wählen Sie im Bereich Azure Information Protection-Knoten Ihren Scanner-Knoten aus, und klicken Sie dann auf die Option jetzt überprüfen:From the Azure Information Protection - Nodes pane, select your scanner node, and then the Scan now option:

    Initiieren des Scanvorgangs für den Azure Information Protection-Scanner

  2. Warten Sie, bis die Überprüfung ihren Zyklus abgeschlossen hat, indem Sie den folgenden Befehl ausführen:Wait for the scanner to complete its cycle by running the following command:

    Get-AIPScannerStatus
    

    Alternativ können Sie den Status im Azure-Portal Azure Information Protection-Knoten anzeigen, indem Sie die Spalte Status überprüfen.Alternatively, you can view the status from the Azure Information Protection - Nodes pane in the Azure portal, by checking the STATUS column.

    Achten Sie darauf, dass der Status Im Leerlauf und nicht Wird überprüft angezeigt wird.Look for the status to show Idle rather than Scanning.

    Wenn die Überprüfung alle Dateien in den von Ihnen angegebenen Datenspeichern durchforstet hat, wird die Überprüfung beendet, obwohl der Überprüfungsdienst weiterhin ausgeführt wird.When the scanner has crawled through all the files in the data stores that you specified, the scanner stops although the scanner service remains running.

    Überprüfen Sie das lokale Ereignisprotokoll Anwendungen und Dienste, Azure Information Protection.Check the local Windows Applications and Services event log, Azure Information Protection. Dieses Protokoll gibt außerdem an, wann die Überprüfung abgeschlossen wurde, und zeigt eine Zusammenfassung der Ergebnisse an.This log also reports when the scanner has finished scanning, with a summary of results. Suchen Sie einfach nach der Ereignis-ID 911.Look for the informational event ID 911.

  3. Lesen Sie die Berichte, die unter %localappdata%\Microsoft\MSIP\Scanner\Reports gespeichert sind.Review the reports that are stored in %localappdata%\Microsoft\MSIP\Scanner\Reports. Die TXT-Zusammenfassungsdateien enthalten die zum Überprüfen benötigte Zeit, die Anzahl der überprüften Dateien sowie die Anzahl der Dateien mit übereinstimmenden Informationstypen.The .txt summary files include the time taken to scan, the number of scanned files, and how many files had a match for the information types. Die CSV-Dateien enthalten mehr Details zu den einzelnen Dateien.The .csv files have more details for each file. In diesem Ordner werden für jeden Scanzyklus bis zu 60 Berichte gespeichert, die bis auf den letzten alle komprimiert werden, um die Speicherplatzbelegung zu minimieren.This folder stores up to 60 reports for each scanning cycle and all but the latest report is compressed to help minimize the required disk space.

    Hinweis

    Mit dem Cmdlet Set-AIPScannerConfiguration können Sie mithilfe des Parameters ReportLevel den Protokolliergrad ändern, den Speicherort oder Namen des Berichtsordners jedoch nicht.You can change the level of logging by using the ReportLevel parameter with Set-AIPScannerConfiguration, but you can't change the report folder location or name. Wenn Sie die Berichte in einem anderen Volume oder in einer anderen Partition speichern möchten, sollten Sie eine Verzeichnisverbindung verwenden.Consider using a directory junction for the folder if you want to store the reports on a different volume or partition.

    Verwenden Sie hierzu beispielsweise den Befehl Mklink: mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\ReportsFor example, using the Mklink command: mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\Reports

    Aufgrund der Standardeinstellung sind nur die Dateien in den ausführlichen Berichten enthalten, die den Bedingungen entsprechen, die Sie für die automatische Klassifizierung konfiguriert haben.With the default setting, only files that meet the conditions you've configured for automatic classification are included in the detailed reports. Wenn keine von den in diesen Berichten angewendeten Bezeichnungen angezeigt werden, überprüfen Sie, ob die Bezeichnungskonfiguration anstelle der empfohlenen Klassifizierung die automatische Klassifizierung enthält.If you don't see any labels applied in these reports, check your label configuration includes automatic rather than recommended classification.

    Tipp

    Überprüfungen senden diese Informationen alle fünf Minuten an Azure Information Protection, so dass Sie die Ergebnisse nahezu in Echtzeit im Azure-Portal anzeigen können.Scanners send this information to Azure Information Protection every five minutes, so that you can view the results in near real-time from the Azure portal. Weitere Informationen finden Sie unter Berichterstellung für Azure Information Protection.For more information, see Reporting for Azure Information Protection.

    Wenn die Ergebnisse nicht wie erwartet ausfallen, müssen Sie die Bedingungen, die Sie in Ihrer Azure Information Protection-Richtlinie angegeben haben, möglicherweise optimieren.If the results are not as you expect, you might need to fine-tune the conditions that you specified in your Azure Information Protection policy. Wenn dies der Fall ist, wiederholen Sie die Schritte 1 bis 3, bis Sie die Konfiguration ändern können, um die Klassifizierung und optional den Schutz anzuwenden.If that's the case, repeat steps 1 through 3 until you are ready to change the configuration to apply the classification and optionally, protection.

Das Azure-Portal zeigt nur Informationen zur letzten Überprüfung an.The Azure portal displays information about the last scan only. Wenn Sie die Ergebnisse vorheriger Überprüfungen anzeigen müssen, sehen Sie sich die Berichte an, die auf dem Überprüfungscomputer im Ordner „%localappdata%\Microsoft\MSIP\Scanner\Reports“ gespeichert sind.If you need to see the results of previous scans, return to the reports that are stored on the scanner computer, in the %localappdata%\Microsoft\MSIP\Scanner\Reports folder.

Wenn Sie für das automatische Bezeichnen der Dateien, die die Überprüfung sucht, bereit sind, fahren Sie mit dem nächsten Abschnitt fort.When you're ready to automatically label the files that the scanner discovers, continue to the next procedure.

Konfigurieren der Überprüfung zum Anwenden von Klassifizierung und SchutzConfigure the scanner to apply classification and protection

In der Standardeinstellung wird die Überprüfung einmal und nur im Modus für die Berichterstattung aufgeführt.In its default setting, the scanner runs one time and in the reporting-only mode. Um diese Einstellungen zu ändern, verwenden Sie Set-aipscannerconfiguration:To change these settings, use the Set-AIPScannerConfiguration:

  1. Führen Sie auf dem Windows Server-Computer in der PowerShell-Sitzung den folgenden Befehl aus:On the Windows Server computer, in the PowerShell session, run the following command:

    Set-AIPScannerConfiguration -Enforce On -Schedule Always
    

    Es gibt andere Konfigurationseinstellungen, die Sie ggf. ändern sollten,There are other configuration settings that you might want to change. z.B. ob Dateiattribute geändert werden und was in Berichten protokolliert wird.For example, whether file attributes are changed and what is logged in the reports. Wenn Ihre Azure Information Protection-Richtlinie darüber hinaus die Einstellung enthält, die eine Begründungsnachricht erfordert, damit die Klassifizierungsstufe gesenkt oder der Schutz entfernt wird, geben Sie die Nachricht mit diesem Cmdlet an.In addition, if your Azure Information Protection policy includes the setting that requires a justification message to lower the classification level or remove protection, specify that message by using this cmdlet. Verwenden Sie den folgenden PowerShell-Hilfe Befehl, um weitere Informationen zu den einzelnen Konfigurationseinstellungen zu finden: Get-Help Set-AIPScannerConfiguration -detailedUse the following PowerShell help command for more information about each configuration setting: Get-Help Set-AIPScannerConfiguration -detailed

  2. Notieren Sie sich die aktuelle Uhrzeit, und starten Sie die Überprüfung erneut, indem Sie den folgenden Befehl ausführen:Make a note of the current time and start the scanner again by running the following command:

    Start-AIPScan
    

    Alternativ können Sie den Scanner über das Azure-Portal starten.Alternatively, you can start the scanner from the Azure portal. Wählen Sie im Bereich Azure Information Protection-Knoten Ihren Scanner-Knoten aus, und klicken Sie dann auf die Option jetzt überprüfen:From the Azure Information Protection - Nodes pane, select your scanner node, and then the Scan now option:

    Initiieren des Scanvorgangs für den Azure Information Protection-Scanner

  3. Überwachen Sie das Ereignisprotokoll erneut, und achten Sie auf den Informationstyp 911 mit einem Zeitstempel, der nach der im vorherigen Schritt notierten Startzeit der Überprüfung liegt.Monitor the event log for the informational type 911 again, with a time stamp later than when you started the scan in the previous step.

    Überprüfen Sie die Berichte, um festzustellen, welche Dateien eine Bezeichnung erhalten haben, welche Klassifizierung für die einzelnen Dateien vergeben wurde und ob Schutz angewendet wurde.Then check the reports to see details of which files were labeled, what classification was applied to each file, and whether protection was applied to them. Oder verwenden Sie das Azure-Portal, um diese Informationen einfacher anzuzeigen.Or, use the Azure portal to more easily see this information.

Da der Zeitplan als fortlaufend konfiguriert wurde, startet die Überprüfung einen neuen Zyklus, sobald der alte abgeschlossen wurde, damit neue und geänderte Dateien gefunden werden.Because we configured the schedule to run continuously, when the scanner has worked its way through all the files, it starts a new cycle so that any new and changed files are discovered.

So werden Dateien überprüftHow files are scanned

Der Scanner führt die folgenden Prozesse zur Überprüfung von Dateien aus.The scanner runs through the following processes when it scans files.

1. bestimmen Sie, ob Dateien für die Überprüfung eingeschlossen oder ausgeschlossen werden.1. Determine whether files are included or excluded for scanning

Bei der Überprüfung werden von der Klassifizierung und vom Schutz ausgeschlossene Dateien wie ausführbare Dateien und Systemdateien übersprungen.The scanner automatically skips files that are excluded from classification and protection, such as executable files and system files.

Sie können dieses Verhalten ändern, indem Sie eine Liste mit Dateitypen definieren, die überprüft oder von der Überprüfung ausgeschlossen werden sollen.You can change this behavior by defining a list of file types to scan, or exclude from scanning. Wenn Sie diese Liste angeben, aber kein Datenrepository, gilt die Liste für alle Datenrepositorys, für die keine eigene Liste angegeben wurde.When you specify this list and do not specify a data repository, the list applies to all data repositories that do not have their own list specified. Verwenden Sie zum Angeben der Liste Set-AIPScannerScannedFileTypes.To specify this list, use Set-AIPScannerScannedFileTypes.

Nachdem Sie die Liste mit Dateitypen angegeben haben, können Sie mithilfe von Add-AIPScannerScannedFileTypes einen neuen Dateityp zur Liste hinzufügen. Mit Remove-AIPScannerScannedFileTypes kann ein Dateityp aus der Liste entfernt werden.After you have specified your file types list, you can add a new file type to the list by using Add-AIPScannerScannedFileTypes, and remove a file type from the list by using Remove-AIPScannerScannedFileTypes.

2. überprüfen und bezeichnen von Dateien2. Inspect and label files

Anschließend verwendet der Scanner Filter, um unterstützte Dateitypen zu überprüfen.The scanner then uses filters to scan supported file types. Diese Filter werden auch vom Betriebssystem für Windows Search und die Indizierung verwendet.These same filters are used by the operating system for Windows Search and indexing. Wenn keine anderen Konfigurationen vorhanden sind, wird Windows-IFilter verwendet, um Dateitypen zu überprüfen, die nicht für Word-, Excel-, PowerPoint- und PDF-Dokumente sowie Textdateien verwendet werden.Without any additional configuration, Windows IFilter is used to scan file types that are used by Word, Excel, PowerPoint, and for PDF documents and text files.

Eine vollständige Liste der standardmäßig unterstützten Dateitypen und zusätzliche Informationen zum Konfigurieren vorhandener Filter, die ZIP- und TIFF-Dateien umfassen, finden Sie unter File types supported for inspection (Für die Überprüfung unterstützte Dateitypen).For a full list of file types that are supported by default, and additional information how to configure existing filters that include .zip files and .tiff files, see File types supported for inspection.

Nach der Überprüfung können diese Dateitypen mithilfe der Bedingungen bezeichnet werden, die Sie für Ihre Bezeichnungen angegeben haben.After inspection, these file types can be labeled by using the conditions that you specified for your labels. Wenn Sie den Suchmodus verwenden, ist für diese Dateien stattdessen festgelegt, dass sie die Bedingungen enthalten, die Sie für Ihre Bezeichnungen angegeben haben, oder dass sämtliche bekannten Typen von vertraulichen Informationen enthalten sind.Or, if you're using discovery mode, these files can be reported to contain the conditions that you specified for your labels, or all known sensitive information types.

Der Scanner kann die Dateien jedoch unter den folgenden Bedingungen nicht bezeichnen:However, the scanner cannot label the files under the following circumstances:

  • Wenn die Bezeichnung zwar die Klassifizierung, aber keinen Schutz anwendet und der Dateityp nicht ausschließlich die Klassifizierung unterstütztIf the label applies classification and not protection, and the file type does not support classification only.

  • Wenn die Bezeichnung zwar Klassifizierung und Schutz anwendet, aber der Scanner den Dateityp nicht schütztIf the label applies classification and protection, but the scanner does not protect the file type.

    Standardmäßig unterstützt der Scanner nur Office-Dateitypen und PDF-Dateien, wenn diese gemäß dem ISO-Standard für die PDF-Verschlüsselung geschützt werden.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. Sie können andere Dateitypen schützen, indem Sie wie im folgenden Abschnitt beschrieben die Registrierung bearbeiten.Other file types can be protected when you edit the registry as described in a following section.

Beispielsweise kann der Scanner, nachdem er TXT-Dateien überprüft hat, keine Bezeichnungen anwenden, die nur für die Klassifizierung und nicht für den Schutz konfiguriert sind, weil der TXT-Dateityp dies nicht unterstützt.For example, after inspecting files that have a file name extension of .txt, the scanner can't apply a label that's configured for classification but not protection, because the .txt file type doesn't support classification-only. Wenn die Bezeichnung für Klassifizierung und Schutz konfiguriert ist und die Registrierung für den TXT-Dateityp bearbeitet wird, kann der Scanner die Datei bezeichnen.If the label is configured for classification and protection, and the registry is edited for the .txt file type, the scanner can label the file.

Tipp

Wenn während dieses Vorgangs der Scanner stoppt und die Überprüfung einer großen Anzahl von Dateien in einem Repository nicht abgeschlossen wird:During this process, if the scanner stops and doesn't complete scanning a large number of the files in a repository:

  • Möglicherweise müssen Sie die Anzahl der dynamischen Ports für das Betriebssystem erhöhen, das die Dateien hostet.You might need to increase the number of dynamic ports for the operating system hosting the files. Ein Grund dafür, warum der Scanner die Anzahl an zulässigen Netzwerkverbindungen überschreitet und daher angehalten wird, ist die Serverhärtung für SharePoint.Server hardening for SharePoint can be one reason why the scanner exceeds the number of allowed network connections, and therefore stops.

    Um zu überprüfen, ob dies die Ursache für die Beendigung der Überprüfung ist, überprüfen Sie, ob die folgende Fehlermeldung für die Überprüfung in%LocalAppData% \ microsoft\msip\logs\msipscanner.iplog protokolliert wird (ZIP-Dateien, wenn mehrere Protokolle vorhanden sind): es kann keine Verbindung mit dem Remote Server hergestellt werden,---> System .net. Sockets. SocketException: Es ist normalerweise nur eine Verwendung der einzelnen Socketadressen (Protokoll/Netzwerkadresse/Port) zulässig. IP: PortTo check whether this is the cause of the scanner stopping, look to see if the following error message is logged for the scanner in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped if there are multiple logs): Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

    Weitere Informationen zum Abrufen des aktuellen Portbereichs und zu dessen Vergrößerung finden Sie unter Settings that can be Modified to Improve Network Performance (Einstellungen, die zur Verbesserung der Netzwerkleistung geändert werden können).For more information about how to view the current port range and increase the range, see Settings that can be Modified to Improve Network Performance.

  • Für große SharePoint-Farmen müssen Sie möglicherweise den Schwellenwert der Listenansicht (standardmäßig 5.000) erhöhen.For large SharePoint farms, you might need to increase the list view threshold (by default, 5,000). Weitere Informationen finden Sie in der folgenden SharePoint-Dokumentation: Verwalten von großen Listen und Bibliotheken in SharePoint.For more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint.

3. Bezeichnungs Dateien, die nicht überprüft werden können3. Label files that can't be inspected

Bei Dateitypen, die nicht überprüft werden können, wendet der Scanner die Standardbezeichnung in der Azure Information Protection-Richtlinie oder die von Ihnen für die Überprüfung konfigurierte Standardbezeichnung an.For the file types that can't be inspected, the scanner applies the default label in the Azure Information Protection policy, or the default label that you configure for the scanner.

Wie im vorherigen Schritt kann der Scanner die Dateien jedoch unter den folgenden Bedingungen nicht bezeichnen:As in the preceding step, the scanner cannot label the files under the following circumstances:

  • Wenn die Bezeichnung zwar die Klassifizierung, aber keinen Schutz anwendet und der Dateityp nicht ausschließlich die Klassifizierung unterstütztIf the label applies classification and not protection, and the file type does not support classification only.

  • Wenn die Bezeichnung zwar Klassifizierung und Schutz anwendet, aber der Scanner den Dateityp nicht schütztIf the label applies classification and protection, but the scanner does not protect the file type.

    Standardmäßig unterstützt der Scanner nur Office-Dateitypen und PDF-Dateien, wenn diese gemäß dem ISO-Standard für die PDF-Verschlüsselung geschützt werden.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. Sie können andere Dateitypen schützen, indem Sie wie im folgenden Abschnitt beschrieben die Registrierung bearbeiten.Other file types can be protected when you edit the registry as described next.

Bearbeiten der Registrierung für die ÜberprüfungEditing the registry for the scanner

Um das Standardverhalten der Überprüfung zum Schutz von Dateien zu ändern, bei denen es sich weder um Office- noch um PDF-Dateien handelt, müssen Sie die Registrierung manuell bearbeiten und die zusätzlichen Dateitypen angeben, die geschützt werden sollen, sowie den Typ des Schutzes (nativ oder generisch) festlegen.To change the default scanner behavior for protecting file types other than Office files and PDFs, you must manually edit the registry and specify the additional file types that you want to be protected, and the type of protection (native or generic). Weitere Informationen hierzu finden Sie in der Anleitung für Entwickler unter Datei-API-Konfiguration.For instructions, see File API configuration from the developer guidance. Allgemeiner Schutz wird in dieser Dokumentation für Entwickler als „PFile“ bezeichnet.In this documentation for developers, generic protection is referred to as "PFile". Folgendes gilt außerdem speziell für den Scanner:In addition, specific for the scanner:

  • Der Scanner verfügt über ein eigenes Standardverhalten: nur Office-Dateiformate und PDF-Dokumente werden standardmäßig geschützt.The scanner has its own default behavior: Only Office file formats and PDF documents are protected by default. Wenn die Registrierung nicht geändert wird, werden andere Dateitypen nicht vom Scanner bezeichnet oder geschützt.If the registry is not modified, any other file types will not be labeled or protected by the scanner.

  • Wenn Sie das gleiche Standardschutz Verhalten wie der Azure Information Protection-Client wünschen, bei dem alle Dateien automatisch durch systemeigenen oder generischen Schutz geschützt werden: Geben Sie den Platzhalter * als Registrierungsschlüssel, Encryption als Wert (REG_SZ) und Default als Wertdaten an.If you want the same default protection behavior as the Azure Information Protection client, where all files are automatically protected with native or generic protection: Specify the * wildcard as a registry key, Encryption as the value (REG_SZ), and Default as the value data.

Wenn Sie die Registrierung bearbeiten, erstellen Sie manuell die beiden Schlüssel MSIPC und FileProtection, falls noch nicht vorhanden, sowie einen Schlüssel für jede Erweiterung.When you edit the registry, manually create the MSIPC key and FileProtection key if they do not exist, as well as a key for each file name extension.

Damit die Überprüfung beispielsweise neben Office- und PDF-Dateien auch TIFF-Bilder schützt, sieht die Registrierung nach Ihrer Bearbeitung wie in der folgenden Abbildung aus.For example, for the scanner to protect TIFF images in addition to Office files and PDFs, the registry after you have edited it, will look like the following picture. TIFF-Dateien unterstützen als Bilddateien den nativen Schutz. Die entsprechende Erweiterung lautet „.ptiff“.As an image file, TIFF files support native protection and the resulting file name extension is .ptiff.

Bearbeiten der Registrierung für die Überprüfung zum Anwenden von Schutz

Eine Liste mit Text- und Bilddateitypen, die zwar ebenfalls den nativen Schutz unterstützen, aber in der Registrierung angegeben werden müssen, finden Sie im Administratorleitfaden unter Unterstützte Dateitypen für Klassifizierung und Schutz.For a list of text and images file types that similarly support native protection but must be specified in the registry, see Supported file types for classification and protection from the admin guide.

Geben Sie für Dateien, die den nativen Schutz nicht unterstützten, die Erweiterung als einen neuen Schlüssel und PFILE für den generischen Schutz an.For files that don't support native protection, specify the file name extension as a new key, and PFile for generic protection. Die Erweiterung für die geschützte Datei lautet dann „.pfile“.The resulting file name extension for the protected file is .pfile.

Wann Dateien überprüft werdenWhen files are rescanned

Im ersten Überprüfungszyklus untersucht die Überprüfung alle Dateien in den Datenspeichern. In den nachfolgenden Überprüfungen werden dann nur noch neue oder geänderte Dateien untersucht.For the first scan cycle, the scanner inspects all files in the configured data stores and then for subsequent scans, only new or modified files are inspected.

Sie können erzwingen, dass der Scanner alle Dateien erneut untersucht, indem Sie Start-aipscan mit dem Reset -Parameter ausführen.You can force the scanner to inspect all files again by running Start-AIPScan with the Reset parameter. Der Scanner muss für einen manuellen Zeitplan konfiguriert werden, der erfordert, dass der Zeit Plan Parameter mit " Set-aipscannerconfiguration" auf " Manual " festgelegt wird.The scanner must be configured for a manual schedule, which requires the Schedule parameter to be set to Manual with Set-AIPScannerConfiguration.

Alternativ können Sie die Überprüfung zwingen, alle Dateien erneut aus dem Bereich Azure Information Protection-Knoten in der Azure-Portal zu überprüfen.Alternatively, you can force the scanner to inspect all files again from the Azure Information Protection - Nodes pane in the Azure portal. Wählen Sie in der Liste den Scanner und dann die Option Rescan all files (Alle Dateien erneut überprüfen) aus:Select your scanner from the list, and then select the Rescan all files option:

Initiieren eines erneuten Scanvorgangs für den Azure Information Protection-Scanner

Das erneute Überprüfen aller Dateien ist nützlich, wenn Sie möchten, dass die Berichte alle Dateien enthalten. Diese Konfiguration wird in der Regel verwendet, wenn die Überprüfung im Ermittlungsmodus ausgeführt wird.Inspecting all files again is useful when you want the reports to include all files and this configuration choice is typically used when the scanner runs in discovery mode. Wenn eine vollständige Überprüfung abgeschlossen ist, ändert sich der Überprüfungstyp automatisch auf „inkrementell“, sodass bei nachfolgenden Überprüfungen nur noch neue oder geänderte Dateien untersucht werden.When a full scan is complete, the scan type automatically changes to incremental so that for subsequent scans, only new or modified files are scanned.

Außerdem werden alle Dateien untersucht, wenn die Überprüfung eine Azure Information Protection-Richtlinie herunterlädt, die über neue oder geänderte Bedingungen verfügt.In addition, all files are inspected when the scanner downloads an Azure Information Protection policy that has new or changed conditions. Die Überprüfung aktualisiert die Richtlinie entweder jede Stunde oder wenn der Dienst gestartet wird und die Richtlinie älter als eine Stunde ist.The scanner refreshes the policy every hour, and when the service starts and the policy is older than one hour.

Tipp

Wenn Sie die Richtlinie schon früher als dieses einstündige Intervall aktualisieren müssen, beispielsweise während einer Testphase, löschen Sie die Richtliniendatei Policy.msip von Hand aus %LocalAppData%\Microsoft\MSIP\Policy.msip und %LocalAppData%\Microsoft\MSIP\Scanner.If you need to refresh the policy sooner than this one hour interval, for example, during a testing period: Manually delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner. Starten Sie anschließend den Azure Information-Überprüfungsdienst neu.Then restart the Azure Information Scanner service.

Wenn Sie die Schutzeinstellungen in der Richtlinie geändert haben, warten Sie 15 Minuten ab dem Zeitpunkt, an dem Sie die Schutzeinstellungen gespeichert haben, bevor Sie den Dienst neu starten.If you changed protection settings in the policy, also wait 15 minutes from when you saved the protection settings before you restart the service.

Wenn die Überprüfung eine Richtlinie heruntergeladen hat, für die keine automatischen Bedingungen konfiguriert wurden, wird die Kopie der Richtliniendatei im Überprüfungsordner nicht aktualisiert.If the scanner downloaded a policy that had no automatic conditions configured, the copy of the policy file in the scanner folder does not update. In diesem Szenario müssen Sie die Richtliniendatei Policy.msip sowohl aus %LocalAppData%\Microsoft\MSIP\Policy.msip als auch aus %LocalAppData%\Microsoft\MSIP\Scanner löschen, damit die Überprüfung eine neu heruntergeladene Richtliniendatei verwenden kann, bei der die Bezeichnungen für automatische Bedingungen ordnungsgemäß konfiguriert sind.In this scenario, you must delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner before the scanner can use a newly downloaded policy file that has labels correctly figured for automatic conditions.

Verwenden der Überprüfung mit alternativen KonfigurationenUsing the scanner with alternative configurations

Für die Überprüfung stehen Ihnen zwei alternative Szenarios zur Verfügung, die von Azure Information Protection unterstützt werden, bei denen keine Bezeichnungen für Bedingungen konfiguriert werden müssen:There are two alternative scenarios that the Azure Information Protection scanner supports where labels do not need to be configured for any conditions:

  • Anwenden einer Standardbezeichnung auf alle Dateien in einem Datenrepository:Apply a default label to all files in a data repository.

    Verwenden Sie für diese Konfiguration das Cmdlet Set-AIPScannerRepository, und legen Sie den Parameter MatchPolicy auf Off fest.For this configuration, use the Set-AIPScannerRepository cmdlet, and set the MatchPolicy parameter to Off.

    Die Inhalte der Dateien werden nicht überprüft, und alle Dateien im Datenrepository werden entsprechend der Standardbezeichnung bezeichnet, die Sie für das Datenrepository (mithilfe des Parameters SetDefaultLabel) angeben. Andernfalls wird die Standardbezeichnung verwendet, die als Richtlinieneinstellung für das Konto für die Überprüfung angegeben ist.The contents of the files are not inspected and all files in the data repository are labeled according to the default label that you specify for the data repository (with the SetDefaultLabel parameter) or if this is not specify, the default label that is specified as a policy setting for the scanner account.

  • Identifizieren aller benutzerdefinierten Bedingungen und bekannten vertraulichen Informationstypen:Identify all custom conditions and known sensitive information types.

    Verwenden Sie für diese Konfiguration das Cmdlet Set-AIPScannerConfiguration, und legen Sie den Parameter DiscoverInformationTypes auf All fest.For this configuration, use the Set-AIPScannerConfiguration cmdlet, and set the DiscoverInformationTypes parameter to All.

    Bei der Überprüfung werden alle benutzerdefinierten Bedingungen verwendet, die Sie für Bezeichnungen in der Azure Information Protection-Richtlinie angegeben haben, sowie die Liste der Informationstypen, die zum Angeben von Bezeichnungen in der Azure Information Protection-Richtlinie verfügbar sind.The scanner uses any custom conditions that you have specified for labels in the Azure Information Protection policy, and the list of information types that are available to specify for labels in the Azure Information Protection policy.

    In der folgenden Schnellstartanleitung wird diese Konfiguration verwendet, obwohl Sie für die aktuelle Version der Überprüfung verwendet wird: Schnellstart: finden Sie heraus, welche sensiblen Informationen Sie besitzen.The following quickstart uses this configuration, although it's for the current version of the scanner: Quickstart: Find what sensitive information you have.

Optimieren der ÜberprüfungsleistungOptimizing the performance of the scanner

Nutzen Sie den folgenden Leitfaden, um die Leistung der Überprüfung zu optimieren.Use the following guidance to help you optimize the performance of the scanner. Wenn Sie jedoch die Reaktionsfähigkeit des Überprüfungs Computers anstelle der Überprüfungs Leistung haben, können Sie eine Erweiterte Client Einstellung verwenden, um die Anzahl der Threads einzuschränken, die von der Überprüfung verwendet werden.However, if your priority is the responsiveness of the scanner computer rather than the scanner performance, you can use an advanced client setting to limit the number of threads used by the scanner.

So maximieren Sie die Überprüfungsleistung:To maximize the scanner performance:

  • Verwenden Sie eine schnelle und zuverlässige Netzwerkverbindung zwischen dem Überprüfungscomputer und dem überprüften DatenspeicherHave a high speed and reliable network connection between the scanner computer and the scanned data store

    Platzieren Sie beispielsweise den überprüfenden Computer im gleichen LAN oder (vorzugsweise) im gleichen Netzwerksegment wie den überprüften Datenspeicher.For example, place the scanner computer in the same LAN, or (preferred) in the same network segment as the scanned data store.

    Die Qualität der Netzwerkverbindung wirkt sich auf die Überprüfungsleistung aus, da die Überprüfung die Dateien zur Untersuchung auf den Computer überträgt, auf dem der Überprüfungsdienst ausgeführt wird.The quality of the network connection affects the scanner performance because to inspect the files, the scanner transfers the contents of the files to the computer running the scanner service. Durch Reduzieren (oder Ausschalten) der Anzahl der Netzwerkhops, über die diese Daten transportiert werden, verringern Sie zugleich Ihre Netzwerkauslastung.When you reduce (or eliminate) the number of network hops this data has to travel, you also reduce the load on your network.

  • Achten Sie darauf, dass der überprüfende Computer verfügbare Prozessorressourcen aufweistMake sure the scanner computer has available processor resources

    Das Untersuchen der Dateiinhalte auf eine Übereinstimmung mit den von Ihnen konfigurierten Bedingungen sowie Ver- und Entschlüsseln der Dateien sind prozessorlastige Aktionen.Inspecting the file contents for a match against your configured conditions, and encrypting and decrypting files are processor-intensive actions. Überprüfen Sie typische Überprüfungszyklen für Ihre angegebenen Datenquellen, um zu bestimmen, ob ein Mangel an Prozessorressourcen sich negativ auf die Überprüfungsleistung auswirkt.Monitor typical scanning cycles for your specified data stores to identify whether a lack of processor resources is negatively affecting the scanner performance.

Weitere Faktoren, die sich auf die Überprüfungsleistung auswirken:Other factors that affect the scanner performance:

  • Die aktuelle Last und die Antwortzeiten der Datenspeicher, in denen die zu überprüfenden Dateien enthalten sindThe current load and response times of the data stores that contain the files to scan

  • Ob die Überprüfung im Suchmodus oder im Durchsetzungsmodus ausgeführt wirdWhether the scanner runs in discovery mode or enforce mode

    Im Suchmodus wird normalerweise eine höhere Überprüfungsrate als im Durchsetzungsmodus erreicht, da für die Ermittlung ein einzelner Dateilesevorgang erforderlich ist, während für den Durchsetzungsmodus Lese- und Schreibvorgänge erforderlich sind.Discovery mode typically has a higher scanning rate than enforce mode because discovery requires a single file read action, whereas enforce mode requires read and write actions.

  • Sie können die Bedingungen in Azure Information Protection ändernYou change the conditions in the Azure Information Protection

    Der erste Überprüfungszyklus, in dem die Überprüfung jede Datei untersuchen muss, benötigt naturgemäß mehr Zeit als die nachfolgenden Überprüfungszyklen, in denen standardmäßig nur neue und geänderte Dateien untersucht werden.Your first scan cycle when the scanner must inspect every file will obviously take longer than subsequent scan cycles that by default, inspect only new and changed files. Wenn Sie jedoch die Bedingungen in der Azure Information Protection-Richtlinie ändern, werden alle Dateien erneut untersucht, wie im vorhergehenden Abschnitt beschrieben.However, if you change the conditions in the Azure Information Protection policy, all files are scanned again, as described in the preceding section.

  • Die Erstellung von regulären Ausdrücken für benutzerdefinierte BedingungenThe construction of regex expressions for custom conditions

    Überprüfen Sie Ihre regulären Ausdrücke für einen effizienten Musterabgleich, um eine hohe Arbeitsspeichernutzung und das Risiko von Timeouts (15 Minuten pro Datei) zu vermeiden.To avoid heavy memory consumption and the risk of timeouts (15 minutes per file), review your regex expressions for efficient pattern matching. Beispiel:For example:

    • Vermeiden Sie gierige QuantifiziererAvoid greedy quantifiers

    • Verwenden Sie Gruppen ohne Erfassung wie (?:expression) anstelle von (expression)Use non-capturing groups such as (?:expression) instead of (expression)

  • Der ausgewählte ProtokolliergradYour chosen logging level

    Sie können für die Überprüfungsberichte zwischen Debuggen, Info, Fehler und Aus wählen.You can choose between Debug, Info, Error and Off for the scanner reports. Aus führt zur besten Leistung; Debuggen verlangsamt die Überprüfung erheblich und sollte nur zur Problembehebung verwendet werden.Off results in the best performance; Debug considerably slows down the scanner and should be used only for troubleshooting. Weitere Informationen finden Sie unter dem Report Level -Parameter für das Cmdlet "Set-aipscannerconfiguration", indem Sie Ausführen Get-Help Set-AIPScannerConfiguration -detailed .For more information, see the ReportLevel parameter for the Set-AIPScannerConfiguration cmdlet by running Get-Help Set-AIPScannerConfiguration -detailed.

  • Die Dateien selbst:The files themselves:

    • Mit Ausnahme von Excel-Dateien werden Office-Dateien schneller gescannt als PDF-Dateien.With the exception of Excel files, Office files are more quickly scanned than PDF files.

    • Ungeschützte Dateien sind schneller zu überprüfen als geschützte Dateien.Unprotected files are quicker to scan than protected files.

    • Das Überprüfen großer Dateien beansprucht naturgemäß mehr Zeit als das Überprüfen kleiner Dateien.Large files obviously take longer to scan than small files.

  • Darüber hinaus gilt:Additionally:

    • Vergewissern Sie sich, dass das Dienst Konto, unter dem die Überprüfung ausgeführt wird, nur über die im Abschnitt Überprüfungs Voraussetzungen beschriebenen Rechte verfügt, und konfigurieren Sie dann die Einstellung erweiterter Client , um die Ebene mit niedriger Integrität für den Scanner zu deaktivierenConfirm that the service account that runs the scanner has only the rights documented in the scanner prerequisites section, and then configure the advanced client setting to disable the low integrity level for the scanner.

    • Die Überprüfung wird schneller ausgeführt, wenn Sie die alternative Konfiguration verwenden, bei der eine Standardbezeichnung auf alle Dateien angewendet wird, ohne dass die Dateiinhalte überprüft werden.The scanner runs more quickly when you use the alternative configuration to apply a default label to all files because the scanner does not inspect the file contents.

    • Die Überprüfung wird langsamer ausgeführt, wenn Sie die alternative Konfiguration verwenden, bei der alle benutzerdefinierten Bedingungen und bekannten vertraulichen Informationstypen identifiziert werden.The scanner runs more slowly when you use the alternative configuration to identify all custom conditions and known sensitive information types.

    • Sie können die Überprüfungs Timeouts mit erweiterten Client Einstellungen verringern, um die Scan Raten zu verbessern und den Speicherverbrauch zu verringern, aber mit der Bestätigung, dass einige Dateien übersprungen werden.You can decrease the scanner timeouts with advanced client settings for better scanning rates and lower memory consumption, but with the acknowledgment that some files might be skipped.

Auflisten der Cmdlets für die ÜberprüfungList of cmdlets for the scanner

Mit anderen Cmdlets für die Überprüfung können Sie das Dienstkonto und die Datenbank für die Überprüfung ändern, die aktuellen Einstellungen für die Überprüfung abrufen und die Überprüfung deinstallieren.Other cmdlets for the scanner let you change the service account and database for the scanner, get the current settings for the scanner, and uninstall the scanner service. Die Überprüfung verwendet die folgenden Cmdlets:The scanner uses the following cmdlets:

  • Add-AIPScannerScannedFileTypesAdd-AIPScannerScannedFileTypes

  • Add-AIPScannerRepositoryAdd-AIPScannerRepository

  • Get-AIPScannerConfigurationGet-AIPScannerConfiguration

  • Get-AIPScannerRepositoryGet-AIPScannerRepository

  • Get-AIPScannerStatusGet-AIPScannerStatus

  • Install-AIPScannerInstall-AIPScanner

  • Remove-AIPScannerRepositoryRemove-AIPScannerRepository

  • Remove-AIPScannerScannedFileTypesRemove-AIPScannerScannedFileTypes

  • Set-AIPScannerSet-AIPScanner

  • Set-AIPScannerConfigurationSet-AIPScannerConfiguration

  • Set-AIPScannerScannedFileTypesSet-AIPScannerScannedFileTypes

  • Set-AIPScannerRepositorySet-AIPScannerRepository

  • Start-AIPScanStart-AIPScan

  • Uninstall-AIPScannerUninstall-AIPScanner

  • Update-AIPScannerUpdate-AIPScanner

Hinweis

Viele dieser Cmdlets sind jetzt in der aktuellen Version des Scanners veraltet, und die Online Hilfe für die Scanner-Cmdlets spiegelt diese Änderung wider.Many of these cmdlets are now deprecated in the current version of the scanner, and the online help for the scanner cmdlets reflects this change. Verwenden Sie für die Cmdlet-Hilfe vor Version 1.48.204.0 des Scanners den integrierten Get-Help <cmdlet name> Befehl in der PowerShell-Sitzung.For cmdlet help earlier than version 1.48.204.0 of the scanner, use the built-in Get-Help <cmdlet name> command in your PowerShell session.

Ereignisprotokoll-IDs und Beschreibungen für die ÜberprüfungEvent log IDs and descriptions for the scanner

Anhand der folgenden Abschnitte können Sie mögliche Ereignis-IDs und Beschreibungen für die Überprüfung ermitteln.Use the following sections to identify the possible event IDs and descriptions for the scanner. Diese Ereignisse werden im Windows-Ereignisprotokoll für Anwendungen und Dienste, Azure Information Protection, auf dem Server erfasst, auf dem der Überprüfungsdienst ausgeführt wird.These events are logged on the server that runs the scanner service, in the Windows Applications and Services event log, Azure Information Protection.


Information 910Information 910

Scanner cycle started. (Überprüfungszyklus wurde gestartet)Scanner cycle started.

Dieses Ereignis wird protokolliert, wenn die Überprüfung gestartet wird und beginnt, die Dateien in den Datenrepositorys zu prüfen, die Sie angegeben haben.This event is logged when the scanner service is started and begins to scan for files in the data repositories that you specified.


Information 911Information 911

Scanner cycle finished. (Überprüfungszyklus wurde abgeschlossen)Scanner cycle finished.

Dieses Ereignis wird protokolliert, wenn der Scanner eine manuelle Überprüfung oder eine Schleife mit kontinuierlichen Ausführungen beendet hat.This event is logged when the scanner has finished a manual scan, or the scanner has finished a cycle for a continuous schedule.

Wenn der Scanner so konfiguriert wurde, dass er manuell anstelle von fortlaufend ausgeführt wird, verwenden Sie das Start-AIPScan-Cmdlet, um eine erneute Überprüfung durchzuführen.If the scanner was configured to run manually rather than continuously, to run a new scan, use the Start-AIPScan cmdlet. Verwenden Sie zum Ändern des Zeitplans das Cmdlet Set-AIPScannerConfiguration und den Parameter Schedule.To change the schedule, use the Set-AIPScannerConfiguration cmdlet and the Schedule parameter.


Nächste SchritteNext steps

Interessiert es Sie, wie das Core Services Engineering and Operations-Team bei Microsoft diese Überprüfung implementiert hat?Interested in how the Core Services Engineering and Operations team in Microsoft implemented this scanner? Lesen Sie die technische Fallstudie Automatisieren des Datenschutzes mit der Azure Information Protection-Überprüfung.Read the technical case study: Automating data protection with Azure Information Protection scanner.

Vielleicht Fragen Sie sich: worin besteht der Unterschied zwischen der Windows Server-FCI und der Azure Information Protection Scanner?You might be wondering: What's the difference between Windows Server FCI and the Azure Information Protection scanner?

Sie können Dateien auch mit PowerShell interaktiv klassifizieren und von Ihrem Desktopcomputer aus schützen.You can also use PowerShell to interactively classify and protect files from your desktop computer. Weitere Informationen finden Sie unter Verwenden von PowerShell mit dem Azure Information Protection-Client.For more information about this and other scenarios that use PowerShell, see Using PowerShell with the Azure Information Protection client.