Implementación del analizador de Azure Information Protection para clasificar y proteger automáticamente los archivosDeploying the Azure Information Protection scanner to automatically classify and protect files

Se aplica a: Azure Information Protection, windows Server 2019, windows Server 2016, windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Nota

Este artículo es para la versión de disponibilidad general actual del escáner de Azure Information Protection con el cliente de Azure Information Protection (clásico) y la versión preliminar del escáner para la versión preliminar actual de la información de Azure. Cliente de etiquetado Unificado de protección.This article is for the current general availability version of the Azure Information Protection scanner with the Azure Information Protection client (classic), and the preview version of the scanner for the current preview version of the Azure Information Protection unified labeling client.

Si ha instalado previamente el analizador y desea actualizarlo, utilice las siguientes instrucciones de actualización y, a continuación, siga las instrucciones de esta página para omitir el paso para instalar el analizador:If you have previously installed the scanner and want to upgrade it, use the following upgrade instructions and then use the instructions on this page, omitting the step to install the scanner:

Si tiene una versión del escáner anterior a 1.48.204.0 y no está lista para actualizarla, consulte implementar versiones anteriores del escáner de Azure Information Protection para clasificar y proteger archivos automáticamente.If you have a version of the scanner that is older than 1.48.204.0 and you're not ready to upgrade it, see Deploying previous versions of the Azure Information Protection scanner to automatically classify and protect files.

Use esta información para obtener información sobre el analizador de Azure Information Protection y, a continuación, cómo instalarlo, configurarlo y ejecutarlo correctamente.Use this information to learn about the Azure Information Protection scanner, and then how to successfully install, configure, and run it.

Este analizador se ejecuta como un servicio en Windows Server y permite detectar, clasificar y proteger archivos en los almacenes de datos siguientes:This scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

  • Carpetas locales en el equipo de Windows Server en el que se ejecuta el analizador.Local folders on the Windows Server computer that runs the scanner.

  • Rutas de acceso UNC para recursos compartidos de red que usan el protocolo de Bloque de mensajes del servidor (SMB).UNC paths for network shares that use the Server Message Block (SMB) protocol.

  • Bibliotecas de documentos y carpetas para SharePoint Server 2019 a través de SharePoint Server 2013.Document libraries and folders for SharePoint Server 2019 through SharePoint Server 2013. SharePoint Server 2010 también se admite en clientes que tengan compatibilidad ampliada para esta versión de SharePoint.SharePoint 2010 is also supported for customers who have extended support for this version of SharePoint.

Para analizar y etiquetar los archivos en los repositorios en la nube, use Cloud App Security en lugar del escáner.To scan and label files on cloud repositories, use Cloud App Security instead of the scanner.

Información general del analizador de Azure Information ProtectionOverview of the Azure Information Protection scanner

Una vez configuradas las etiquetas que aplican la clasificación automática, se pueden etiquetar los archivos que detecta el analizador.When you have configured labels that apply automatic classification, files that this scanner discovers can then be labeled. Las etiquetas aplican la clasificación y, opcionalmente, aplican la protección o la quitan:Labels apply classification, and optionally, apply protection or remove protection:

Información general de la arquitectura del analizador de Azure Information Protection

El analizador puede inspeccionar cualquier archivo que Windows pueda indexar mediante los iFilters que están instalados en el equipo.The scanner can inspect any files that Windows can index, by using IFilters that are installed on the computer. Después, para determinar si los archivos necesitan etiquetas, el analizador usa los tipos de información confidencial de la prevención de pérdida de datos (DLP) y la detección de patrones integrados en Office 365, o bien los patrones de expresión regular de Office 365.Then, to determine if the files need labeling, the scanner uses the Office 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Office 365 regex patterns. Dado que el analizador usa el cliente de Azure Information Protection (el cliente clásico o el cliente de etiquetado unificado), el analizador puede clasificar y proteger los mismos tipos de archivo:Because the scanner uses the Azure Information Protection client (the classic client or unified labeling client), the scanner can classify and protect the same file types:

Puede ejecutar el analizador solo en modo de detección en los casos en los que los informes se usen para comprobar qué sucedería si los archivos se etiquetaran.You can run the scanner in discovery mode only, where you use the reports to check what would happen if the files were labeled. También puede ejecutar el analizador para aplicar automáticamente las etiquetas.Or, you can run the scanner to automatically apply the labels. También puede ejecutar el analizador para detectar los archivos que contienen tipos de información confidencial, sin configurar las etiquetas para las condiciones que aplican la clasificación automática.You can also run the scanner to discover files that contain sensitive information types, without configuring labels for conditions that apply automatic classification.

Tenga en cuenta que el analizador no detecta ni etiqueta contenido en tiempo real.Note that the scanner does not discover and label in real time. En su lugar, lo rastrea sistemáticamente en los archivos de los almacenes de datos que especifique, y se puede configurar este ciclo para que se ejecute una sola vez o de manera repetida.It systematically crawls through files on data stores that you specify, and you can configure this cycle to run once, or repeatedly.

Puede especificar qué tipos de archivo desea examinar o excluir del examen; para ello, defina una lista de tipos de archivo como parte de la configuración del analizador.You can specify which file types to scan, or exclude from scanning, by defining a file types list as part of the scanner configuration.

Requisitos previos del analizador de Azure Information ProtectionPrerequisites for the Azure Information Protection scanner

Antes de instalar el analizador de Azure Information Protection, asegúrese de que se cumplen los requisitos siguientes.Before you install the Azure Information Protection scanner, make sure that the following requirements are in place.

RequisitosRequirement Información adicionalMore information
Equipo con Windows Server en el que se ejecutará el servicio del analizador:Windows Server computer to run the scanner service:

-4 procesadores de núcleo- 4 core processors

- 8 GB de RAM- 8 GB of RAM

-10 GB de espacio libre (promedio) para los archivos temporales- 10 GB free space (average) for temporary files
Windows Server 2019, Windows Server 2016 o Windows Server 2012 R2.Windows Server 2019, Windows Server 2016, or Windows Server 2012 R2.

Nota: Para llevar a cabo pruebas o evaluaciones en un entorno que no sea de producción, puede usar un sistema operativo cliente de Windows que sea compatible con el cliente de Azure Information Protection.Note: For testing or evaluation purposes in a non-production environment, you can use a Windows client operating system that is supported by the Azure Information Protection client.

Este equipo puede ser un equipo físico o virtual que tenga una conexión de red rápida y confiable a los almacenes de datos que deban analizarse.This computer can be a physical or virtual computer that has a fast and reliable network connection to the data stores to be scanned.

El analizador requiere suficiente espacio en disco para crear archivos temporales para cada archivo que analiza, cuatro archivos por núcleo.The scanner requires sufficient disk space to create temporary files for each file that it scans, four files per core. El espacio en disco recomendado de 10 GB permite que 4 procesadores de núcleo examinen 16 archivos, cada uno con un tamaño de 625 MB.The recommended disk space of 10 GB allows for 4 core processors scanning 16 files that each have a file size of 625 MB.

Si no es posible la conectividad a Internet debido a las directivas de la organización, consulte la sección Implementación del analizador con configuraciones alternativas.If Internet connectivity is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section. En caso contrario, asegúrese de que este equipo tenga conectividad a Internet que permita las siguientes direcciones URL a través de HTTPS (puerto 443):Otherwise, make sure that this computer has Internet connectivity that allows the following URLs over HTTPS (port 443):
*.aadrm.com*.aadrm.com
*.azurerms.com*.azurerms.com
*.informationprotection.azure.com*.informationprotection.azure.com
informationprotection.hosting.portal.azure.netinformationprotection.hosting.portal.azure.net
*.aria.microsoft.com*.aria.microsoft.com
*.protection.outlook.com (escáner solo del cliente de etiquetado unificado)*.protection.outlook.com (scanner from the unified labeling client only)
Cuenta de servicio en la que se ejecutará el servicio del analizadorService account to run the scanner service Además de ejecutar el servicio de examen en el equipo con Windows Server, esta cuenta de Windows se autentica en Azure AD y descarga la directiva de Azure Information Protection.In addition to running the scanner service on the Windows Server computer, this Windows account authenticates to Azure AD and downloads the Azure Information Protection policy. Esta cuenta debe ser una cuenta de Active Directory y sincronizarse con Azure AD.This account must be an Active Directory account and synchronized to Azure AD. Si no puede sincronizar esta cuenta debido a las directivas de la organización, consulte la sección Implementación del analizador con configuraciones alternativas.If you cannot synchronize this account because of your organization policies, see the Deploying the scanner with alternative configurations section.

Esta cuenta de servicio tiene los siguientes requisitos:This service account has the following requirements:

- Asignación de derechos de usuario de inicio de sesión localmente.- Log on locally user right assignment. Este derecho es necesario para la instalación y configuración del analizador, pero no para la operación.This right is required for the installation and configuration of the scanner, but not for operation. Debe conceder este derecho a la cuenta de servicio, pero puede quitarlo después de haber confirmado que el analizador puede detectar, clasificar y proteger los archivos.You must grant this right to the service account but you can remove this right after you have confirmed that the scanner can discover, classify, and protect files. Si no es posible conceder este derecho ni siquiera durante un breve período de tiempo debido a las directivas de la organización, consulte la sección Implementación del analizador con configuraciones alternativas.If granting this right even for a short period of time is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section.

- Asignación de derechos de usuario de inicio de sesión como servicio.- Log on as a service user right assignment. Este derecho se concede automáticamente a la cuenta de servicio durante la instalación del analizador y es necesario para la instalación, la configuración y el funcionamiento del analizador.This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.

- Permisos a los repositorios de datos: debe conceder permisos de lectura y escritura para analizar los archivos y, a continuación, aplicar la clasificación y la protección a los archivos que cumplan las condiciones establecidas en la directiva de Azure Information Protection.- Permissions to the data repositories: You must grant Read and Write permissions for scanning the files and then applying classification and protection to the files that meet the conditions in the Azure Information Protection policy. Para ejecutar el analizador solo en modo de detección, el permiso de lectura es suficiente.To run the scanner in discovery mode only, Read permission is sufficient.

- Para las etiquetas que ofrecen una segunda protección o quitan la protección: para asegurarse de que el analizador siempre tenga acceso a los archivos protegidos, convierta esta cuenta en un superusuario para el servicio de Azure Rights Management y asegúrese de que la característica de superusuario esté habilitada.- For labels that reprotect or remove protection: To ensure that the scanner always has access to protected files, make this account a super user for the Azure Rights Management service, and ensure that the super user feature is enabled. Para obtener más información sobre los requisitos de la cuenta para aplicar la protección, consulte Preparación de usuarios y grupos para Azure Information Protection.For more information about the account requirements for applying protection, see Preparing users and groups for Azure Information Protection. Además, si ha implementado controles de incorporación para una implementación por fases, asegúrese de que esta cuenta se incluye en los controles de incorporación que ha configurado.In addition, if you have implemented onboarding controls for a phased deployment, make sure that this account is included in your onboarding controls you've configured.
SQL Server para almacenar la configuración del analizador:SQL Server to store the scanner configuration:

- Instancia local o remota- Local or remote instance

- Rol Sysadmin para instalar el escáner- Sysadmin role to install the scanner
SQL Server 2012 es la versión mínima para las siguientes ediciones:SQL Server 2012 is the minimum version for the following editions:

- SQL Server Enterprise- SQL Server Enterprise

- SQL Server Standard- SQL Server Standard

- SQL Server Express- SQL Server Express

El analizador de Azure Information Protection admite varias bases de datos de configuración en la misma instancia de SQL Server cuando se especifica un nombre de perfil personalizado para el analizador.The Azure Information Protection scanner supports multiple configuration databases on the same SQL server instance when you specify a custom profile name for the scanner. Cuando se usa la versión preliminar del analizador del cliente de etiquetado unificado, varios escáneres pueden compartir la misma base de datos de configuración.When you use the preview version of the scanner from the unified labeling client, multiple scanners can share the same configuration database.

Cuando instale el analizador y su cuenta tenga el rol de administrador del sistema, el proceso de instalación creará automáticamente la base de datos de configuración del analizador y concederá el rol db_owner necesario a la cuenta de servicio que ejecuta el analizador.When you install the scanner and your account has the Sysadmin role, the installation process automatically creates the scanner configuration database and grants the required db_owner role to the service account that runs the scanner. Si no puede conceder el rol de administrador del sistema o las directivas de la organización requieren la creación y la configuración manual de bases de datos, consulte la sección Implementación del analizador con configuraciones alternativas.If you cannot be granted the Sysadmin role or your organization policies require databases to be created and configured manually, see the Deploying the scanner with alternative configurations section.

El tamaño de la base de datos de configuración varía con cada implementación, pero se recomienda asignar 500 MB por cada 1 000 000 archivos que quiera examinar.The size of the configuration database will vary for each deployment but we recommend you allocate 500 MB for every 1,000,000 files that you want to scan.
Cualquiera de los siguientes Azure Information Protection clientes está instalado en el equipo con Windows ServerEither of the following Azure Information Protection clients is installed on the Windows Server computer

-Cliente clásico- Classic client

-Cliente de etiquetado unificado (solo versión preliminar)- Unified labeling client (preview version only)
Debe instalar el cliente completo para el analizador.You must install the full client for the scanner. No instale el cliente solo con el módulo de PowerShell.Do not install the client with just the PowerShell module.

Para obtener instrucciones de instalación y actualización:For installation and upgrade instructions:
cliente clásico - - Classic client
cliente de etiquetado unificado - - Unified labeling client
Etiquetas configuradas que aplican la clasificación automática y, opcionalmente, la protecciónConfigured labels that apply automatic classification, and optionally, protection Para obtener instrucciones sobre el cliente clásico para configurar una etiqueta para las condiciones y para aplicar la protección:For instructions for the classic client to configure a label for conditions and to apply protection:
- Configuración de las condiciones para la clasificación automática y recomendada- How to configure conditions for automatic and recommended classification
- Configuración de una etiqueta para la protección de Rights Management- How to configure a label for Rights Management protection

Sugerencia: puede usar las instrucciones del tutorial para probar el escáner con una etiqueta que busque números de tarjetas de crédito en un documento de Word preparado.Tip: You can use the instructions from the tutorial to test the scanner with a label that looks for credit card numbers in a prepared Word document. Sin embargo, deberá cambiar la configuración de etiqueta para que la opción Select how this label is applied (Seleccionar cómo se aplica esta etiqueta) se establezca en Automático en lugar de en Recomendado.However, you will need to change the label configuration so that the option Select how this label is applied is set to Automatic, rather than Recommended. A continuación, quite la etiqueta del documento (si está aplicada) y copie el archivo en un repositorio de datos para el analizador.Then remove the label from the document (if it is applied) and copy the file to a data repository for the scanner. Para pruebas rápidas, podría tratarse de una carpeta local en el equipo del analizador.For quick testing, this could be a local folder on the scanner computer.

Para obtener instrucciones sobre el cliente de etiquetado unificado para configurar una etiqueta para el etiquetado automático y aplicar la protección:For instructions for the unified labeling client to configure a label for auto-labeling and to apply protection:
- aplicar una etiqueta de confidencialidad al contenido automáticamente- Apply a sensitivity label to content automatically
- restringir el acceso al contenido mediante cifrado en etiquetas de confidencialidad- Restrict access to content by using encryption in sensitivity labels

Si bien puede ejecutar el analizador incluso si no ha configurado las etiquetas que aplican la clasificación automática, este escenario no se incluye en estas instrucciones.Although you can run the scanner even if you haven't configured labels that apply automatic classification, this scenario is not covered with these instructions. Más información.More information
En el caso de las bibliotecas de documentos de SharePoint y las carpetas que se van a examinar:For SharePoint document libraries and folders to be scanned:

-SharePoint 2019- SharePoint 2019

- SharePoint 2016- SharePoint 2016

- SharePoint 2013- SharePoint 2013

- SharePoint 2010- SharePoint 2010
El analizador no admite otras versiones de SharePoint.Other versions of SharePoint are not supported for the scanner.

Cuando se usa el control de versiones, el analizador inspecciona y etiqueta la última versión publicada.When you use versioning, the scanner inspects and labels the last published version. Si el analizador etiqueta un archivo y se requiere la aprobación del contenido , el archivo etiquetado debe estar aprobado para que esté disponible para los usuarios.If the scanner labels a file and content approval is required, that labeled file must be approved to be available for users.

Para grandes granjas de servidores de SharePoint, compruebe si necesita aumentar el umbral de vista de lista (de manera predeterminada, 5000) para que el analizador acceda a todos los archivos.For large SharePoint farms, check whether you need to increase the list view threshold (by default, 5,000) for the scanner to access all files. Para obtener más información, consulte la siguiente documentación de SharePoint: administrar listas y bibliotecas de gran tamaño en SharePoint .For more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint
Para los documentos de Office que se van a examinar:For Office documents to be scanned:

- Formatos de archivo 97-2003 y formatos Open XML de Office para Word, Excel y PowerPoint- 97-2003 file formats and Office Open XML formats for Word, Excel, and PowerPoint
Para obtener más información acerca de los tipos de archivo que admite el analizador para estos formatos de archivo, consulte la siguiente información:For more information about the file types that the scanner supports for these file formats, see the following information:
-Cliente clásico: tipos de archivo admitidos por el cliente de Azure Information Protection- Classic client: File types supported by the Azure Information Protection client
-Cliente de etiquetado unificado: tipos de archivo admitidos por el cliente de etiquetado Unificado de Azure Information Protection- Unified labeling client: File types supported by the Azure Information Protection unified labeling client
Para rutas de acceso largas:For long paths:

- Máximo de 260 caracteres, a menos que el analizador esté instalado en Windows 2016 y el equipo esté configurado para admitir rutas de acceso largas- Maximum of 260 characters, unless the scanner is installed on Windows 2016 and the computer is configured to support long paths
Windows 10 y Windows Server 2016 admiten una longitud de ruta de acceso superior a 260 caracteres con la siguiente configuración de directiva de grupo: Directiva de equipo local > configuración del equipo > plantillas administrativas@no_ _ t-6todos los valores > Habilitar rutas de acceso largas de Win32Windows 10 and Windows Server 2016 support path lengths greater than 260 characters with the following group policy setting: Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Para obtener más información, vea la sección Maximum Path Length Limitation (Limitación de longitud máxima de ruta de acceso) de la documentación para desarrolladores de Windows 10.For more information about supporting long file paths, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

Si no se cumplen todos los requisitos de la tabla porque están prohibidos por las directivas de la organización, consulte alternativas en la sección siguiente.If you can't meet all the requirements in the table because they are prohibited by your organization policies, see the next section for alternatives.

Si se cumplen todos los requisitos, vaya directamente a la sección de configuración del analizador.If all the requirements are met, go straight to configuring the scanner section.

Implementación del analizador con configuraciones alternativasDeploying the scanner with alternative configurations

Los requisitos previos descritos en la tabla son los requisitos predeterminados para el analizador y se recomiendan porque son la configuración más sencilla para la implementación del analizador.The prerequisites listed in the table are the default requirements for the scanner and recommended because they are the simplest configuration for the scanner deployment. Deben ser adecuados para las pruebas iniciales de manera que pueda comprobar la funcionalidad del analizador.They should be suitable for initial testing, so that you can check the capabilities of the scanner. Sin embargo, en un entorno de producción, las directivas de la organización podrían prohibir estos requisitos predeterminados debido a una o varias de las siguientes restricciones:However, in a product environment, your organization policies might prohibit these default requirements because of one or more of the following restrictions:

  • No se permite la conectividad a Internet en los servidoresServers are not allowed Internet connectivity

  • No se puede conceder el rol de administrador del sistema o las bases de datos deben crearse y configurarse manualmenteYou cannot be granted Sysadmin or databases must be created and configured manually

  • No se puede conceder a las cuentas de servicio el derecho Iniciar sesión localmenteService accounts cannot be granted the Log on locally right

  • No se pueden sincronizar las cuentas de servicio con Azure Active Directory, pero los servidores tienen conectividad a InternetService accounts cannot be synchronized to Azure Active Directory but servers have Internet connectivity

El analizador puede superar a estas restricciones, pero requieren una configuración adicional.The scanner can accommodate these restrictions but they require additional configuration.

Restricción: el servidor del analizador no tiene conectividad a InternetRestriction: The scanner server cannot have Internet connectivity

Solo compatible con el cliente clásico: siga las instrucciones para un equipo desconectado.Supported by the classic client only: Follow the instructions for a disconnected computer. Luego, haga lo siguiente:Then, do the following:

  1. Configure el analizador en Azure Portal mediante la creación de un perfil del analizador.Configure the scanner in the Azure portal, by creating a scanner profile. Si necesita ayuda con este paso, vea Configuración del analizador en Azure Portal.If you need help with this step, see Configure the scanner in the Azure portal.

  2. Exporte el perfil del escáner desde la hoja Azure Information protection-profiles , mediante la opción de exportación .Export your scanner profile from the Azure Information Protection - Profiles blade, by using the Export option.

  3. Por último, en una sesión de PowerShell, ejecute Import-AIPScannerConfiguration y especifique el archivo que contiene la configuración exportada.Finally, in a PowerShell session, run Import-AIPScannerConfiguration and specify the file that contains the exported settings.

Tenga en cuenta que, en esta configuración, el analizador no puede aplicar protección (o quitar protección) mediante el uso de la clave de su organización basada en la nube.Note that in this configuration, the scanner cannot apply protection (or remove protection) by using your organization's cloud-based key. En su lugar, el analizador está limitado al uso de etiquetas que aplican solo clasificación, o protección que usa HYOK.Instead, the scanner is limited to using labels that apply classification only, or protection that uses HYOK.

Restricción: no se le puede conceder el rol de administrador del sistema o las bases de datos deben crearse y configurarse manualmenteRestriction: You cannot be granted Sysadmin or databases must be created and configured manually

Si no se le puede conceder el rol de administrador del sistema para instalar el analizador, puede quitar este rol una vez completada la instalación del analizador.If you can be granted the Sysadmin role temporarily to install the scanner, you can remove this role when the scanner installation is complete. Cuando se usa esta configuración, la base de datos se crea automáticamente y se le conceden automáticamente los permisos necesarios a la cuenta de servicio para el analizador.When you use this configuration, the database is automatically created for you and the service account for the scanner is automatically granted the required permissions. Sin embargo, la cuenta de usuario que configura el analizador requiere el rol db_owner para la base de datos de configuración del analizador, y debe conceder manualmente este rol a la cuenta de usuario.However, the user account that configures the scanner requires the db_owner role for the scanner configuration database, and you must manually grant this role to the user account.

Si no se puede conceder el rol sysadmin incluso de forma temporal, debe pedir a un usuario que tenga derechos de administrador de base de datos que cree manualmente una base de datos antes de instalar el analizador.If you cannot be granted the Sysadmin role even temporarily, you must ask a user with Sysadmin rights to manually create a database before you install the scanner. Para esta configuración, se deben asignar los siguientes roles:For this configuration, the following roles must be assigned:

CuentaAccount Rol de nivel de base de datosDatabase-level role
Cuenta de servicio para el analizadorService account for the scanner db_ownerdb_owner
Cuenta de usuario para la instalación del analizadorUser account for scanner installation db_ownerdb_owner
Cuenta de usuario para la configuración del analizadorUser account for scanner configuration db_ownerdb_owner

Normalmente, usará la misma cuenta de usuario para instalar y configurar el analizador.Typically, you will use the same user account to install and configure the scanner. Pero si usa cuentas diferentes, ambas requieren el rol db_owner para la base de datos de configuración del analizador:But if you use different accounts, they both require the db_owner role for the scanner configuration database:

  • Si no especifica su propio nombre de perfil para el escáner (solo en el cliente clásico), la base de datos de configuración se denomina AIPScanner_ @ no__t-1computer_name > .If you do not specify your own profile name for the scanner (classic client only), the configuration database is named AIPScanner_<computer_name>.

  • Si especifica su propio nombre de perfil, la base de datos de configuración se denomina AIPScanner_ @ no__t-1profile_name > (cliente clásico) o AIPScannerUL_ @ no__t-3profile_name > (cliente de etiquetado unificado).If you specify your own profile name, the configuration database is named AIPScanner_<profile_name> (classic client) or AIPScannerUL_<profile_name> (unified labeling client).

Para crear un usuario y conceder derechos de db_owner en esta base de datos, pida al administrador del archivo que ejecute el siguiente script de SQL dos veces.To create a user and grant db_owner rights on this database, ask the Sysadmin to run the following SQL script twice. La primera vez, para la cuenta de servicio que ejecuta el analizador, y la segunda vez para instalar y administrar el escáner.The first time, for the service account that runs the scanner, and the second time for you to install and manage the scanner. Antes de ejecutar el script:Before running the script:

  1. Reemplace dominio\usuario con el nombre de dominio y el nombre de cuenta de usuario de la cuenta de servicio o la cuenta de usuario.Replace domain\user with the domain name and user account name of the service account or user account.
  2. Reemplace dbname por el nombre de la base de datos de configuración del analizador.Replace DBName with the name of the scanner configuration database.

Script SQL:SQL script:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

Adicionalmente:Additionally:

  • Debe ser un administrador local en el servidor en el que se ejecutará el analizador.You must be a local administrator on the server that will run the scanner

  • Se debe conceder a la cuenta de servicio que ejecutará el analizador permisos de control total para las siguientes claves del registro:The service account that will run the scanner must be granted Full Control permissions to the following registry keys:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Si, después de configurar estos permisos, aparece un error al instalar el escáner, el error puede omitirse y puede iniciar manualmente el servicio del analizador.If, after configuring these permissions, you see an error when you install the scanner, the error can be ignored and you can manually start the scanner service.

Restricción: no se puede conceder a la cuenta de servicio del analizador el derecho Iniciar sesión localmenteRestriction: The service account for the scanner cannot be granted the Log on locally right

Si las directivas de la organización prohíben el derecho de Inicio de sesión local para las cuentas de servicio pero permiten el derecho iniciar sesión como proceso por lotes , siga estas instrucciones:If your organization policies prohibit the Log on locally right for service accounts but allow the Log on as a batch job right, use the following instructions:

Restricción: no se puede sincronizar la cuenta de servicio del analizador con Azure Active Directory, pero el servidor tiene conectividad a InternetRestriction: The scanner service account cannot be synchronized to Azure Active Directory but the server has Internet connectivity

Puede tener una cuenta para ejecutar el servicio del analizador y usar otra cuenta para autenticarse en Azure Active Directory:You can have one account to run the scanner service and use another account to authenticate to Azure Active Directory:

Configuración del analizador en Azure PortalConfigure the scanner in the Azure portal

Antes de instalar el analizador, o actualizarlo a partir de una versión anterior de disponibilidad general del escáner, cree un perfil para el escáner en el Azure Portal.Before you install the scanner, or upgrade it from an older general availability version of the scanner, create a profile for the scanner in the Azure portal. Configure el perfil de configuración del analizador y los repositorios de datos que desea examinar.You configure the profile for scanner settings, and the data repositories to scan.

  1. Si aún no lo ha hecho, abra una nueva ventana del explorador e inicie sesión en Azure Portal.If you haven't already done so, open a new browser window and sign in to the Azure portal. Después, vaya a la hoja Azure Information Protection.Then navigate to the Azure Information Protection blade.

    Por ejemplo, en el menú del concentrador, haga clic en Todos los servicios y comience a escribir Information en el cuadro Filtro.For example, on the hub menu, click All services and start typing Information in the Filter box. Seleccione Azure Information Protection.Select Azure Information Protection.

  2. Busque las opciones de menú Analizador y seleccione Perfiles.Locate the Scanner menu options, and select Profiles.

  3. En la hoja Azure Information Protection: Perfiles, seleccione Agregar:On the Azure Information Protection - Profiles blade, select Add:

    Agregar un perfil para el analizador de Azure Information Protection

  4. En la hoja Agregar un nuevo perfil, especifique un nombre para el analizador que se use para identificar sus opciones de configuración y los repositorios de datos que desea examinar.On the Add a new profile blade, specify a name for the scanner that is used to identify its configuration settings and data repositories to scan. Por ejemplo, podría especificar Europa para identificar la ubicación geográfica de los repositorios de datos que abarcará el analizador.For example, you might specify Europe to identify the geographical location of the data repositories that your scanner will cover. Al instalar o actualizar el analizador más adelante, deberá especificar el mismo nombre de perfil.When you later install or upgrade the scanner, you will need to specify the same profile name.

    Si lo desea, especifique una descripción para fines administrativos, a fin de facilitar la identificación del nombre de perfil del analizador.Optionally, specify a description for administrative purposes, to help you identify the scanner's profile name.

  5. Para esta configuración inicial, defina las opciones siguientes y, a continuación, seleccione Guardar pero no cierre la hoja:For this initial configuration, configure the following settings, and then select Save but do not close the blade:

    En la sección configuración del perfil :For the Profile settings section:

    • Programación: mantener el valor predeterminado de manualSchedule: Keep the default of Manual
    • Tipos de información que se van a detectar: cambiar solo a DirectivaInfo types to be discovered: Change to Policy only
    • Configure los repositorios: no configure en este momento porque primero se debe guardar el perfil.Configure repositories: Do not configure at this time because the profile must first be saved.

    Para la sección aplicación de directivas :For the Policy enforcement section:

    • Aplicar: seleccione desactivado .Enforce: Select Off
    • Etiquetar archivos en función del contenido: Mantenga el valor predeterminado de activadoLabel files based on content: Keep the default of On
    • Etiqueta predeterminada: mantener el valor predeterminado de la Directiva predeterminadaDefault label: Keep the default of Policy default
    • Cambiar etiquetas de archivos: Mantenga el valor predeterminado de desactivadoRelabel files: Keep the default of Off

    Para la sección configurar archivos :For the Configure file settings section:

    • Conservar "fecha de modificación", "última modificación" y "modificado por" : mantener el valor predeterminado de activadoPreserve "Date modified", "Last modified" and "Modified by": Keep the default of On
    • Tipos de archivo que se van a examinar: Mantenga los tipos de archivo predeterminados para excluirFile types to scan: Keep the default file types for Exclude
    • Propietario predeterminado: mantener el valor predeterminado de la cuenta de escánerDefault owner: Keep the default of Scanner Account
  6. Ahora que el perfil está creado y guardado, puede volver a la opción Configuración de repositorios para especificar los almacenes de datos que se van a examinar.Now that the profile is created and saved, you're ready to return to the Configure repositories option to specify the data stores to be scanned. Puede especificar carpetas locales, rutas de acceso UNC y direcciones URL de SharePoint Server para las bibliotecas de documentos y carpetas locales de SharePoint.You can specify local folders, UNC paths, and SharePoint Server URLs for SharePoint on-premises document libraries and folders.

    SharePoint Server 2019, SharePoint Server 2016 y SharePoint Server 2013 son compatibles con SharePoint.SharePoint Server 2019, SharePoint Server 2016, and SharePoint Server 2013 are supported for SharePoint. SharePoint Server 2010 también se admite con la compatibilidad ampliada para esta versión de SharePoint.SharePoint Server 2010 is also supported when you have extended support for this version of SharePoint.

    Para agregar el primer almacén de datos, en la hoja Agregar un nuevo perfil, seleccione Configuración de repositorios para abrir la hoja Repositorios:To add your first data store, still on the Add a new profile blade, select Configure repositories to open the Repositories blade:

    Configuración de repositorios de datos para el analizador de Azure Information Protection

  7. En la hoja Repositorios, seleccione Agregar:On the Repositories blade, select Add:

    Agregar repositorio de datos para el analizador de Azure Information Protection

  8. En la hoja Repositorio, especifique la ruta del repositorio de datos.On the Repository blade, specify the path for the data repository.

    No se admiten los caracteres comodín ni las ubicaciones de WebDAV.Wildcards are not supported and WebDav locations are not supported.

    Ejemplos:Examples:

    • Para una ruta de acceso local: C:\FolderFor a local path: C:\Folder

    • Para un recurso compartido de red: C:\Folder\FilenameFor a network share: C:\Folder\Filename

    • Par una ruta de acceso UNC:\\Server\FolderFor a UNC path:\\Server\Folder

    • Para una biblioteca de SharePoint: http://sharepoint.contoso.com/Shared%20Documents/FolderFor a SharePoint library: http://sharepoint.contoso.com/Shared%20Documents/Folder

    Sugerencia

    Si agrega una ruta de acceso de SharePoint para "Documentos compartidos":If you add a SharePoint path for "Shared Documents":

    • Especifique Documentos compartidos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de los documentos compartidos.Specify Shared Documents in the path when you want to scan all documents and all folders from Shared Documents. Por ejemplo: http://sp2013/Shared DocumentsFor example: http://sp2013/Shared Documents

    • Especifique Documentos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de una subcarpeta de documentos compartidos.Specify Documents in the path when you want to scan all documents and all folders from a subfolder under Shared Documents. Por ejemplo: http://sp2013/Documents/Sales ReportsFor example: http://sp2013/Documents/Sales Reports

    Para el resto de las opciones de esta hoja, no las cambie en esta configuración inicial, sino que debe mantenerlas como Perfil predeterminado.For the remaining settings on this blade, do not change them for this initial configuration, but keep them as Profile default. Esto significa que el repositorio de datos hereda la configuración del perfil del analizador.This means that the data repository inherits the settings from the scanner profile.

    Seleccione Guardar.Select Save.

  9. Si desea agregar otro repositorio de datos, repita los pasos 7 y 8.If you want to add another data repository, repeat steps 7 and 8.

  10. Ahora puede cerrar la hoja repositorios y su hoja de perfil.You can now close Repositories blade and your profile blade. De nuevo en la hoja Azure Information protection-profiles , verá que aparece el nombre del perfil, junto con la columna Schedule que muestra manual y que la columna imponer está en blanco.Back on the Azure Information Protection - Profiles blade, you see your profile name displayed, together with the SCHEDULE column showing Manual and the ENFORCE column is blank.

Ahora está listo para instalar el analizador con el perfil de analizador que acaba de crear.You're now ready to install the scanner with the scanner profile that you've just created.

Instalación del escánerInstall the scanner

  1. Inicie sesión en el equipo de Windows Server en el que se ejecutará el analizador.Sign in to the Windows Server computer that will run the scanner. Use una cuenta que tenga derechos de administrador local y que tenga permisos para escribir en la base de datos maestra de SQL Server.Use an account that has local administrator rights and that has permissions to write to the SQL Server master database.

  2. Inicie una sesión de Windows PowerShell con la opción Ejecutar como administrador.Open a Windows PowerShell session with the Run as an administrator option.

  3. Ejecute el cmdlet Install-AIPScanner, para lo que debe especificar la instancia de SQL Server en la que se va a crear una base de datos para el analizador de Azure Information Protection y el nombre de perfil del analizador que especificó en la sección anterior:Run the Install-AIPScanner cmdlet, specifying your SQL Server instance on which to create a database for the Azure Information Protection scanner, and the scanner profile name that you specified in the preceding section:

    Install-AIPScanner -SqlServerInstance <name> -Profile <profile name>
    

    Ejemplos con el nombre de perfil Europa:Examples, using the profile name of Europe:

    • Para una instancia predeterminada: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Profile EuropeFor a default instance: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Profile Europe

    • Para una instancia con nombre: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Profile EuropeFor a named instance: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Profile Europe

    • Para SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Profile EuropeFor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Profile Europe

    Cuando se le pida, proporcione las credenciales de la cuenta de servicio del analizador (<dominio\nombre de usuario>) y la contraseña.When you are prompted, provide the credentials for the scanner service account (<domain\user name>) and password.

  4. Compruebe que el servicio esté ahora instalado mediante Herramientas administrativas > Servicios.Verify that the service is now installed by using Administrative Tools > Services.

    El servicio instalado se denomina Analizador de Azure Information Protection y está configurado para ejecutarse con la cuenta de servicio del analizador que ha creado.The installed service is named Azure Information Protection Scanner and is configured to run by using the scanner service account that you created.

Ahora que ha instalado el analizador, debe obtener un token de Azure AD para que la cuenta de servicio del analizador se autentique, a fin de que el analizador se pueda ejecutar en modo desatendido.Now that you have installed the scanner, you need to get an Azure AD token for the scanner service account to authenticate, so that the scanner can run unattended.

Obtención de un token de Azure AD para el escánerGet an Azure AD token for the scanner

El token de Azure AD permite la autenticación de la cuenta de servicio del escáner en el servicio Azure Information Protection.The Azure AD token lets the scanner service account authenticate to the Azure Information Protection service.

  1. Vuelva a la Azure Portal para crear dos aplicaciones de Azure AD (solo una Azure AD aplicación para el analizador desde el cliente de etiquetado unificado) que son necesarias para especificar un token de acceso para la autenticación.Return to the Azure portal to create two Azure AD applications (just one Azure AD application for the scanner from the unified labeling client) that are needed to specify an access token for authentication. Este token permite que el analizador se ejecute de forma no interactiva.This token lets the scanner run non-interactively.

    Para crear estas aplicaciones, siga las instrucciones de las guías de administración de los clientes pertinentes:To create these applications, follow the instructions in the admin guides for the relevant clients:

  2. En el equipo de Windows Server, si se ha concedido el derecho de iniciar sesión localmente al la cuenta del servicio de analizador: inicie sesión con esta cuenta e inicie una sesión de PowerShell.From the Windows Server computer, if your scanner service account has been granted the Log on locally right for the installation: Sign in with this account and start a PowerShell session. Ejecute AIPAuthentication conjunto, especificando los valores que ha copiado en el paso anterior:Run Set-AIPAuthentication, specifying the values that you copied from the previous step:

    Para el cliente clásico:For the classic client:

    Set-AIPAuthentication -webAppId <ID of the "Web app / API" application> -webAppKey <key value generated in the "Web app / API" application> -nativeAppId <ID of the "Native" application>
    

    Para el cliente de etiquetado unificado en la versión preliminar:For the unified labeling client in preview:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID>
    

    Cuando se le solicite, especifique la contraseña de las credenciales de la cuenta de servicio para Azure AD y, a continuación, haga clic en Aceptar.When prompted, specify the password for your service account credentials for Azure AD, and then click Accept.

    Si no se puede conceder el derecho Iniciar sesión localmente a su cuenta de servicio del analizador:If your scanner service account cannot be granted the Log on locally right for the installation:

El escáner ahora tiene un token para autenticarse en Azure AD, que es válido durante un año, dos años, o nunca expira, según la configuración del /API de aplicación web (cliente clásico) o el secreto de cliente (cliente de etiquetado unificado) en Azure ad.The scanner now has a token to authenticate to Azure AD, which is valid for one year, two years, or never expires, according to your configuration of the Web app /API (classic client) or client secret (unified labeling client) in Azure AD. Cuando expire el token, deberá repetir los pasos 1 y 2.When the token expires, you must repeat steps 1 and 2.

Ahora está listo para ejecutar el primer examen en modo de detección.You're now ready to run your first scan in discovery mode.

Ejecución de un ciclo de detección y visualización de informes del escánerRun a discovery cycle and view reports for the scanner

  1. En el Azure Portal, en la hoja Azure Information protection-profiles , seleccione el perfil del escáner y, a continuación, la opción examinar ahora :In the Azure portal, on the Azure Information Protection - Profiles blade, select your scanner's profile, and then the Scan now option:

    Inicio del examen con el analizador de Azure Information Protection

    Como alternativa, en la sesión de PowerShell, ejecute el comando siguiente:Alternatively, in your PowerShell session, run the following command:

     Start-AIPScan
    
  2. Espere a que el analizador complete su ciclo.Wait for the scanner to complete its cycle. Cuando el analizador haya rastreado todos los archivos de los almacenes de datos que ha especificado, el analizador se detendrá, aunque el servicio del analizador sigue ejecutándose:When the scanner has crawled through all the files in the data stores that you specified, the scanner stops although the scanner service remains running:

    • En la hoja Azure Information protection-profiles , use la opción Actualizar y espere hasta que vea los valores de la columna últimos resultados del análisis y la columna último examen (hora de finalización) .On the Azure Information Protection - Profiles blade, use the Refresh option and wait until you see values for the LAST SCAN RESULTS column and the LAST SCAN (END TIME) column.

    • Con PowerShell puede ejecutar Get-AIPScannerStatus para supervisar el cambio del estado.Using PowerShell, you can run Get-AIPScannerStatus to monitor the status change.

    • Compruebe el registro de eventos local de Windows Aplicaciones y servicios, Azure Information Protection.Check the local Windows Applications and Services event log, Azure Information Protection. Este registro también informa cuando el escáner ha terminado de examinar, con un resumen de los resultados.This log also reports when the scanner has finished scanning, with a summary of results. Busque el id. de evento informativo 911.Look for the informational event ID 911.

  3. Revise los informes almacenados en %localappdata%\Microsoft\MSIP\Scanner\Reports.Review the reports that are stored in %localappdata%\Microsoft\MSIP\Scanner\Reports. Los archivos .txt de resumen incluyen el tiempo invertido en analizar, el número de archivos examinados y cuántos archivos tenían una coincidencia para los tipos de información.The .txt summary files include the time taken to scan, the number of scanned files, and how many files had a match for the information types. Los archivos .csv contienen más detalles para cada archivo.The .csv files have more details for each file. Esta carpeta contiene hasta 60 informes de cada ciclo de examen y, todos, menos el último, se comprimen para ayudar a minimizar el espacio en disco necesario.This folder stores up to 60 reports for each scanning cycle and all but the latest report is compressed to help minimize the required disk space.

    Nota

    Puede cambiar el nivel de registro con el parámetro ReportLevel mediante Set-AIPScannerConfiguration, pero no puede cambiar el nombre ni la ubicación de la carpeta del informe.You can change the level of logging by using the ReportLevel parameter with Set-AIPScannerConfiguration, but you can't change the report folder location or name. Considere la posibilidad de utilizar una unión de directorio para la carpeta si desea almacenar los informes en una partición o un volumen diferentes.Consider using a directory junction for the folder if you want to store the reports on a different volume or partition.

    Por ejemplo, con el comando Mklink: mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\ReportsFor example, using the Mklink command: mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\Reports

    Con la opción Solo la directiva para Tipos de información que detectar, solo los archivos que cumplen las condiciones configuradas para la clasificación automática se incluyen en los informes detallados.With our setting of Policy only for Info types to be discovered, only files that meet the conditions you've configured for automatic classification are included in the detailed reports. Si no ve ninguna etiqueta aplicada, compruebe que la configuración de etiquetas incluye la clasificación automática en lugar de la recomendada.If you don't see any labels applied, check your label configuration includes automatic rather than recommended classification.

    Sugerencia

    Los escáneres envían esta información a Azure Information Protection cada cinco minutos para que pueda ver los resultados casi en tiempo real desde Azure Portal.Scanners send this information to Azure Information Protection every five minutes, so that you can view the results in near real-time from the Azure portal. Para más información, consulte Reporting for Azure Information Protection (Informes para Azure Information Protection).For more information, see Reporting for Azure Information Protection.

    Si los resultados no son los esperados, puede que tenga que volver a configurar las condiciones que especificó para las etiquetas.If the results are not as you expect, you might need to reconfigure the conditions that you specified for you labels. Si es así, repita los pasos del 1 al 3 hasta que esté listo para cambiar la configuración para aplicar la clasificación y, opcionalmente, la protección.If that's the case, repeat steps 1 through 3 until you are ready to change the configuration to apply the classification and optionally, protection.

En Azure Portal solo se muestra información sobre el último examen.The Azure portal displays information about the last scan only. Si necesita ver los resultados de anteriores exámenes, vuelva a los informes que se almacenan en el equipo del analizador, en la carpeta %localappdata%\Microsoft\MSIP\Scanner\Reports.If you need to see the results of previous scans, return to the reports that are stored on the scanner computer, in the %localappdata%\Microsoft\MSIP\Scanner\Reports folder.

Cuando esté listo para etiquetar automáticamente los archivos que el analizador detecta, continúe con el procedimiento siguiente.When you're ready to automatically label the files that the scanner discovers, continue to the next procedure.

Configuración del escáner para aplicar la clasificación y protecciónConfigure the scanner to apply classification and protection

Si sigue estas instrucciones, el analizador se ejecuta una vez y en el modo de solo informe.If you are following these instructions, the scanner runs one time and in the reporting-only mode. Para cambiar esta configuración, edite el perfil del analizador:To change these settings, edit the scanner profile:

  1. De nuevo en la hoja Azure Information protection-profiles , seleccione el perfil del escáner para editarlo.Back on the Azure Information Protection - Profiles blade, select the scanner profile to edit it.

  2. En la hoja <nombre de perfil>, cambie las dos opciones siguientes y después seleccione Guardar:On the <profile name> blade, change the following two settings, and then select Save:

    • En la sección configuración del perfil : cambie la programación a siempreFrom the Profile settings section: Change the Schedule to Always

    • En la sección aplicación de directivas : cambiar exigir a activadoFrom the Policy enforcement section: Change Enforce to On

      Hay otras opciones de configuración que tal vez quiera cambiar.There are other configuration settings that you might want to change. Por ejemplo, si los atributos de archivo se modifican y si el analizador puede volver a etiquetar los archivos.For example, whether file attributes are changed and whether the scanner can relabel files. Use la ayuda informativa emergente para obtener más información sobre cada opción de configuración.Use the information popup help to learn more information about each configuration setting.

  3. Anote la hora actual y vuelva a iniciar el analizador desde la hoja Azure Information protection-profiles :Make a note of the current time and start the scanner again from the Azure Information Protection - Profiles blade:

    Inicio del examen con el analizador de Azure Information Protection

    Como alternativa, puede ejecutar el siguiente comando en la sesión de PowerShell:Alternatively, you can run the following command in your PowerShell session:

     Start-AIPScan
    
  4. Vuelva a supervisar el registro de eventos para el tipo informativo 911, con una marca de tiempo posterior a cuando se inició el examen en el paso anterior.Monitor the event log for the informational type 911 again, with a time stamp later than when you started the scan in the previous step.

    Después, compruebe los informes para ver qué archivos se han etiquetado, qué clasificación se ha aplicado a cada archivo y si se les ha aplicado la protección.Then check the reports to see details of which files were labeled, what classification was applied to each file, and whether protection was applied to them. O bien, utilice Azure Portal para ver más fácilmente esta información.Or, use the Azure portal to more easily see this information.

Dado que hemos configurado la programación para que se ejecute continuamente, cuando el analizador haya completado el examen de todos los archivos, iniciará un nuevo ciclo automáticamente para detectar cualquier archivo nuevo y modificado.Because we configured the schedule to run continuously, when the scanner has worked its way through all the files, it automatically starts a new cycle so that any new and changed files are discovered.

¿Cómo se examinan los archivos?How files are scanned

El analizador pasar por los siguientes procesos cuando examina los archivos.The scanner runs through the following processes when it scans files.

1. determinar si los archivos se incluyen o excluyen para el análisis1. Determine whether files are included or excluded for scanning

El analizador omite automáticamente los archivos que se excluyen de la clasificación y la protección, como archivos ejecutables y archivos del sistema.The scanner automatically skips files that are excluded from classification and protection, such as executable files and system files. Para obtener más información, consulte las siguientes guías de administración:For more information, see the following admin guides:

Puede cambiar este comportamiento mediante la definición de una lista de tipos de archivo para examinar o excluir del análisis.You can change this behavior by defining a list of file types to scan, or exclude from scanning. Puede especificar esta lista para que el analizador la aplique a todos los repositorios de datos de forma predeterminada y, además, puede especificar una lista para cada repositorio de datos.You can specify this list for the scanner to apply to all data repositories by default, and you can specify a list for each data repository. Para especificar esta lista, use la opción Files types to scan (Tipos de archivo para examinar) en el perfil del analizador:To specify this list, use the Files types to scan setting in the scanner profile:

Configuración de tipos de archivo para examinar para el analizador de Azure Information Protection

2. inspeccionar y etiquetar archivos2. Inspect and label files

Después el analizador usa filtros para buscar tipos de archivo admitidos.The scanner then uses filters to scan supported file types. El sistema operativo usa estos mismos filtros para Windows Search y la indización.These same filters are used by the operating system for Windows Search and indexing. Sin ninguna configuración adicional, se usa Windows IFilter se usa para analizar los tipos de archivo que usan Word, Excel, PowerPoint y para documentos PDF y archivos de texto.Without any additional configuration, Windows IFilter is used to scan file types that are used by Word, Excel, PowerPoint, and for PDF documents and text files.

Para obtener una lista completa de los tipos de archivo que se admiten de forma predeterminada e información adicional sobre cómo configurar filtros existentes que incluyan archivos. zip y. TIFF, consulte las siguientes guías de administración:For a full list of file types that are supported by default, and additional information how to configure existing filters that include .zip files and .tiff files, see the following admin guides:

Después de la inspección, estos tipos de archivo pueden etiquetarse mediante las condiciones que ha especificado para las etiquetas.After inspection, these file types can be labeled by using the conditions that you specified for your labels. O bien, si está utilizando el modo de detección, se pueden notificar que estos archivos contienen las condiciones que ha especificado para las etiquetas, o todos los tipos conocidos de información confidencial.Or, if you're using discovery mode, these files can be reported to contain the conditions that you specified for your labels, or all known sensitive information types.

Con todo, el analizador no puede etiquetar los archivos en las siguientes circunstancias:However, the scanner cannot label the files under the following circumstances:

  • Si la etiqueta aplica la clasificación y no la protección, y el tipo de archivo no admite la clasificación solo por el cliente clásico o el cliente de etiquetado unificado.If the label applies classification and not protection, and the file type does not support classification only by the classic client or unified labeling client.

  • Si la etiqueta aplica clasificación y protección, pero el analizador no protege el tipo de archivo.If the label applies classification and protection, but the scanner does not protect the file type.

    De forma predeterminada, el analizador protege solo tipos de archivos de Office y archivos PDF cuando están protegidos mediante el estándar ISO para el cifrado de archivos PDF.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. En el caso del analizador del cliente clásico, se pueden proteger otros tipos de archivos al editar el registro , como se describe en la sección siguiente.For the scanner from the classic client, other file types can be protected when you edit the registry as described in a following section.

Por ejemplo, después de inspeccionar los archivos que tienen una extensión .txt, el analizador no puede aplicar una etiqueta que está configurada para la clasificación, pero no la protección, porque el tipo de archivo .txt no admite solo clasificación.For example, after inspecting files that have a file name extension of .txt, the scanner can't apply a label that's configured for classification but not protection, because the .txt file type doesn't support classification-only. Si la etiqueta está configurada para protección y clasificación y se modifica el registro para el tipo de archivo .txt, el analizador puede etiquetar el archivo.If the label is configured for classification and protection, and the registry is edited for the .txt file type, the scanner can label the file.

Sugerencia

Durante este proceso, si el analizador se detiene y no completa el examen de un gran número de archivos en un repositorio:During this process, if the scanner stops and doesn't complete scanning a large number of the files in a repository:

  • Es posible que tenga que aumentar el número de puertos dinámicos del sistema operativo que hospeda los archivos.You might need to increase the number of dynamic ports for the operating system hosting the files. Refuerzo de los servidores de SharePoint puede ser uno de los motivos por los que el analizador supera el número de conexiones de red permitido y, por tanto, se detiene.Server hardening for SharePoint can be one reason why the scanner exceeds the number of allowed network connections, and therefore stops.

    Para comprobar si esta es la causa del análisis del escáner, consulte si se ha registrado el siguiente mensaje de error del escáner en%LocalAppData% \ Microsoft\MSIP\Logs\MSIPScanner.iplog (comprimido si hay varios registros): no se puede conectar con el servidor remoto---> System .net. Sockets. SocketException: por lo general, solo se permite un uso de cada dirección de socket (protocolo/dirección de red/puerto) IP: puerto.To check whether this is the cause of the scanner stopping, look to see if the following error message is logged for the scanner in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped if there are multiple logs): Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

    Para obtener más información sobre cómo ver el intervalo de puerto actual y aumentar el intervalo, vea Configuración que puede modificarse para mejorar el rendimiento de red.For more information about how to view the current port range and increase the range, see Settings that can be Modified to Improve Network Performance.

  • Para grandes granjas de servidores de SharePoint, es posible que tenga que aumentar el umbral de vista de lista (de manera predeterminada, 5000).For large SharePoint farms, you might need to increase the list view threshold (by default, 5,000). Para obtener más información, vea la siguiente documentación de SharePoint: administrar listas y bibliotecas de gran tamaño en SharePoint.For more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint.

3. etiquetar archivos que no se pueden inspeccionar3. Label files that can't be inspected

Para los tipos de archivo que no se pueden inspeccionar, el analizador aplica la etiqueta predeterminada en la directiva de Azure Information Protection, o la etiqueta predeterminada que configure para el analizador.For the file types that can't be inspected, the scanner applies the default label in the Azure Information Protection policy, or the default label that you configure for the scanner.

Como en el paso anterior, el analizador no puede etiquetar los archivos en las siguientes circunstancias:As in the preceding step, the scanner cannot label the files under the following circumstances:

  • Si la etiqueta aplica la clasificación y no la protección, y el tipo de archivo no admite la clasificación solo por el cliente clásico o el cliente de etiquetado unificado.If the label applies classification and not protection, and the file type does not support classification only by the classic client or unified labeling client.

  • Si la etiqueta aplica clasificación y protección, pero el analizador no protege el tipo de archivo.If the label applies classification and protection, but the scanner does not protect the file type.

    De forma predeterminada, el analizador protege solo tipos de archivos de Office y archivos PDF cuando están protegidos mediante el estándar ISO para el cifrado de archivos PDF.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. En el caso del analizador del cliente clásico, se pueden proteger otros tipos de archivos al editar el registro como se describe a continuación.For the scanner from the classic client, other file types can be protected when you edit the registry as described next.

Edición del registro para el analizadorEditing the registry for the scanner

Esta sección solo se aplica al escáner desde el cliente clásico.This section applies to the scanner from the classic client only.

Para cambiar este comportamiento predeterminado del analizador para proteger otros tipos de archivo que no sean de Office y PDF, debe editar el registro manualmente y especificar los tipos de archivo adicionales que quiere que estén protegidos, y el tipo de protección (nativa o genérica).To change the default scanner behavior for protecting file types other than Office files and PDFs, you must manually edit the registry and specify the additional file types that you want to be protected, and the type of protection (native or generic). Para obtener instrucciones, vea Configuración de la API de archivo en la guía del desarrollador.For instructions, see File API configuration from the developer guidance. En esta documentación para desarrolladores, se hace referencia a la protección genérica como "PFile".In this documentation for developers, generic protection is referred to as "PFile". Además, establezca lo siguiente para el analizador:In addition, specific for the scanner:

  • El escáner tiene su propio comportamiento predeterminado: solo los formatos de archivo de Office y los documentos PDF están protegidos de forma predeterminada.The scanner has its own default behavior: Only Office file formats and PDF documents are protected by default. Si no se modifica el registro, el analizador no protegerá ni etiquetará ningún otro tipo de archivo.If the registry is not modified, any other file types will not be labeled or protected by the scanner.

  • Si desea el mismo comportamiento de protección predeterminado que el cliente de Azure Information Protection, donde todos los archivos se protegen automáticamente con protección nativa o genérica: especifique el carácter comodín * como una clave del registro, Encryption como valor (REG_SZ) y @no__ t-2 como datos del valor.If you want the same default protection behavior as the Azure Information Protection client, where all files are automatically protected with native or generic protection: Specify the * wildcard as a registry key, Encryption as the value (REG_SZ), and Default as the value data.

Cuando edite el registro, cree manualmente la clave MSIPC y la clave FileProtection si no existen, así como una clave para cada extensión de nombre de archivo.When you edit the registry, manually create the MSIPC key and FileProtection key if they do not exist, as well as a key for each file name extension.

Por ejemplo, para que el analizador proteja las imágenes TIFF además de los archivos de Office y PDF, el registro después de que se haya editado tendrá un aspecto similar al de la siguiente ilustración.For example, for the scanner to protect TIFF images in addition to Office files and PDFs, the registry after you have edited it, will look similar to the following picture. Como un archivo de imagen, los archivos TIFF admiten la protección nativa y la extensión de nombre de archivo resultante es .ptiff.As an image file, TIFF files support native protection and the resulting file name extension is .ptiff.

Edición del registro para que el analizador aplique la protección

Para obtener una lista de tipos de archivo de texto e imágenes que admiten la protección nativa, pero que se deben especificar en el registro, consulte tipos de archivo compatibles para la clasificación y la protección.For a list of text and images file types that similarly support native protection but must be specified in the registry, see Supported file types for classification and protection.

Para los archivos que no son compatibles con la protección nativa, especifique la extensión de nombre de archivo como una nueva clave y PFile para protección genérica.For files that don't support native protection, specify the file name extension as a new key, and PFile for generic protection. La extensión de nombre de archivo resultante para el archivo protegido es .pfile.The resulting file name extension for the protected file is .pfile.

¿Cuándo se vuelven a examinan los archivos?When files are rescanned

En el primer ciclo de examen, el analizador inspecciona todos los archivos de los almacenes de datos configurados y, después, en los exámenes posteriores, solo inspecciona los archivos nuevos o modificados.For the first scan cycle, the scanner inspects all files in the configured data stores and then for subsequent scans, only new or modified files are inspected.

Puede forzar que el analizador Revise todos los archivos de nuevo desde la hoja Azure Information protection-profiles del Azure portal.You can force the scanner to inspect all files again from the Azure Information Protection - Profiles blade in the Azure portal. Seleccione el perfil del escáner en la lista y, a continuación, seleccione la opción volver a examinar todos los archivos :Select your scanner profile from the list, and then select the Rescan all files option:

Volver a examinar con al analizador de Azure Information Protection

Volver a inspeccionar todos los archivos resulta útil si quiere que los informes incluyan todos los archivos. Esta opción de configuración suele usarse cuando el analizador se ejecuta en modo de detección.Inspecting all files again is useful when you want the reports to include all files and this configuration choice is typically used when the scanner runs in discovery mode. Cuando finaliza el examen completo, el tipo de examen cambia automáticamente a incremental para que en los análisis posteriores solo se examinen los archivos nuevos o modificados.When a full scan is complete, the scan type automatically changes to incremental so that for subsequent scans, only new or modified files are scanned.

Además, todos los archivos se inspeccionan cuando el analizador del cliente clásico descarga una directiva de Azure Information Protection que tiene condiciones nuevas o modificadas y el analizador del cliente de etiquetado unificado tiene una configuración nueva o modificada para automática y etiquetado recomendado.In addition, all files are inspected when the scanner from the classic client downloads an Azure Information Protection policy that has new or changed conditions and the scanner from the unified labeling client has new or changed settings for automatic and recommended labeling.

El analizador actualiza la Directiva de acuerdo con los siguientes desencadenadores:The scanner refreshes the policy according to the following triggers:

  • Analizador del cliente clásico: cada hora y cuando se inicia el servicio y la Directiva es anterior a una hora.Scanner from the classic client: Every hour and when the service starts and the policy is older than one hour.

  • Analizador del cliente de etiquetado unificado: cada cuatro horas y cuando se inicia el servicio.Scanner from the unified labeling client: Every four hours and when the service starts.

Sugerencia

Si necesita actualizar la Directiva antes del intervalo predeterminado, por ejemplo, durante un período de prueba:If you need to refresh the policy sooner than the default interval, for example, during a testing period:

  • Analizador del cliente clásico: elimine manualmente el archivo de directiva Policy. MSIP de %LocalAppData%\Microsoft\MSIP\Policy.MSIP.Scanner from the classic client: Manually delete the policy file, Policy.msip from %LocalAppData%\Microsoft\MSIP\Policy.msip.

  • Analizador del cliente de etiquetado unificado: elimine manualmente el contenido de %LocalAppData%\Microsoft\MSIP\mip @ no__t-1 @ no__t-2processname> \mip.Scanner from the unified labeling client: Manually delete the contents from %LocalAppData%\Microsoft\MSIP\mip\<processname>\mip.

Después, reinicie el servicio Analizador de Azure Information Protection.Then restart the Azure Information Scanner service. Si cambió la configuración de protección para las etiquetas, espere también 15 minutos desde el momento en que guardó la configuración de protección antes de reiniciar el servicio.If you changed protection settings for your labels, also wait 15 minutes from when you saved the protection settings before you restart the service.

Edición en masa de la configuración del repositorio de datosEditing in bulk for the data repository settings

Para los repositorios de datos agregados a un perfil de analizador, puede usar las opciones Exportar e Importar para realizar cambios rápidos a la configuración.For the data repositories that you've added to a scanner profile, you can use the Export and Import options to quickly make changes to the settings. Por ejemplo, para los repositorios de datos de SharePoint, desea agregar un nuevo tipo de archivo para excluirlo del examen.For example, for your SharePoint data repositories, you want to add a new file type to exclude from scanning.

En lugar de editar cada repositorio de datos en Azure Portal, use la opción Exportar de la hoja Repositorios:Instead of editing each data repository in the Azure portal, use the Export option from the Repositories blade:

Exportación de la configuración del repositorio de datos para el analizador

Edite manualmente el archivo para realizar los cambios y, a continuación, use la opción Importar en la misma hoja.Manually edit the file to make the change, and then use the Import option on the same blade.

Uso del analizador con configuraciones alternativasUsing the scanner with alternative configurations

Hay tres escenarios alternativos que admite el analizador de Azure Information Protection, donde no es necesario configurar las etiquetas para las condiciones:There are three alternative scenarios that the Azure Information Protection scanner supports where labels do not need to be configured for any conditions:

  • Aplique una etiqueta predeterminada a todos los archivos en un repositorio de datos.Apply a default label to all files in a data repository.

    Para esta configuración, establezca los archivos de etiquetas basados en el contenido en OFF.For this configuration, set Label files based on content to Off. A continuación, establezca la etiqueta predeterminada en personalizadoy seleccione la etiqueta que se va a usar.Then set the Default label to Custom, and select the label to use.

    No se inspecciona el contenido de los archivos y todos los archivos sin etiqueta del repositorio de datos se etiquetan según la etiqueta predeterminada que especifique para el repositorio de datos o el perfil del escáner.The contents of the files are not inspected and all unlabeled files in the data repository are labeled according to the default label that you specify for the data repository or the scanner profile.

    En el caso del analizador del cliente de etiquetado unificado, también puede seleccionar Aplicar etiqueta predeterminada si desea que la etiqueta predeterminada se aplique en todos los archivos, aunque ya estén etiquetadas.For the scanner from the unified labeling client, you can also select Enforce default label if you want the default label to be applied on all files, even if they are already labeled.

  • Quitar las etiquetas existentes de todos los archivos de un repositorio de datos.Remove existing labels from all files in a data repository.

    Aplicable al escáner solo desde el cliente de etiquetado unificado, esta configuración permite quitar las etiquetas existentes, lo que incluye protección si se aplicó con esa etiqueta.Applicable to the scanner from the unified labeling client only, this configuration lets you remove existing labels, which includes protection if it was applied with that label. Se conserva la protección que se aplicó independientemente de una etiqueta.Protection that was applied independently from a label is retained. Use esta configuración si tiene que quitar todas las etiquetas de los archivos de un repositorio.Use this configuration if you need to remove all labels from files in a repository.

    Configura los siguientes ajustes:Configure the following settings:

    • Etiquetar archivos basados en contenido: desactivadoLabel files based on content: Off
    • Etiqueta predeterminada: ningunaDefault label: None
    • Cambiar etiquetas de archivos: activado con la casilla Aplicar etiqueta predeterminada seleccionadaRelabel files: On with the Enforce default label checkbox selected
  • Identifique todas las condiciones personalizadas y los tipos conocidos de información confidencial.Identify all custom conditions and known sensitive information types.

    Para esta configuración, establezca Tipos de información que detectar en Todos.For this configuration, set the Info types to be discovered to All.

    Para el analizador del cliente clásico: el analizador usa las condiciones personalizadas que haya especificado para las etiquetas en la Directiva de Azure Information Protection y la lista de tipos de información que están disponibles para especificar para las etiquetas en la información de Azure. Directiva de protección.For the scanner from the classic client: The scanner uses any custom conditions that you have specified for labels in the Azure Information Protection policy, and the list of information types that are available to specify for labels in the Azure Information Protection policy.

    Para el analizador del cliente de etiquetado unificado: el analizador usa cualquier tipo de información confidencial personalizada que haya especificado y la lista de tipos de información confidencial integrados que están disponibles para seleccionar en el centro de administración de etiquetas.For the scanner from the unified labeling client: The scanner uses any custom sensitive info types that you have specified and the list of built-in sensitive info types that are available to select in your labeling management center.

    Esta configuración ayuda a encontrar información confidencial que posiblemente no se había percatado que tenía, pero a costa de las tarifas de examen del analizador.This setting helps you find sensitive information that you might not realize you had, but at the expense of scanning rates for the scanner.

    La siguiente guía de inicio rápido para el analizador usa esta configuración: Inicio rápido: buscar información confidencial.The following quickstart for the scanner uses this configuration: Quickstart: Find what sensitive information you have.

Optimización del rendimiento del escánerOptimizing the performance of the scanner

Use las instrucciones siguientes para optimizar el rendimiento del analizador.Use the following guidance to help you optimize the performance of the scanner. Sin embargo, si su prioridad es la capacidad de respuesta del equipo del escáner en lugar del rendimiento del escáner, puede usar una configuración de cliente avanzada para limitar el número de subprocesos utilizados por el escáner (solo en el cliente clásico).However, if your priority is the responsiveness of the scanner computer rather than the scanner performance, you can use an advanced client setting to limit the number of threads used by the scanner (classic client only).

Para maximizar el rendimiento del analizador:To maximize the scanner performance:

  • Use una conexión de red de alta velocidad y estable entre el equipo que actúa como analizador y el almacén para los datos examinados.Have a high speed and reliable network connection between the scanner computer and the scanned data store

    Por ejemplo, conecte el equipo que actúa como analizador a la misma red LAN o al mismo segmento de red que el almacén de datos examinados (se prefiere la segunda opción).For example, place the scanner computer in the same LAN, or (preferred) in the same network segment as the scanned data store.

    La calidad de la conexión de red afecta al rendimiento del analizador, ya que, al inspeccionar archivos, el analizador transfiere el contenido de los archivos al equipo que ejecuta el servicio de examen.The quality of the network connection affects the scanner performance because to inspect the files, the scanner transfers the contents of the files to the computer running the scanner service. Al reducir (o eliminar) el número de saltos de red que los datos deben realizar, también se reduce la carga de la red.When you reduce (or eliminate) the number of network hops this data has to travel, you also reduce the load on your network.

  • Asegúrese de que el equipo que actúa como analizador tenga recursos del procesador disponibles.Make sure the scanner computer has available processor resources

    La inspección del contenido de los archivos y el cifrado y descifrado de archivos son acciones que suponen una carga elevada para el procesador.Inspecting the file contents, and encrypting and decrypting files are processor-intensive actions. Supervise los ciclos de examen típicos de los almacenes de datos que haya especificado para identificar si la falta de recursos del procesador afecta negativamente al rendimiento del analizador.Monitor typical scanning cycles for your specified data stores to identify whether a lack of processor resources is negatively affecting the scanner performance.

  • No examine carpetas locales del equipo que ejecute el servicio de analizador.Do not scan local folders on the computer running the scanner service

    Si tiene carpetas para examinar en un servidor Windows, instale el analizador en otro equipo y configure las carpetas como recursos compartidos de red para realizar el examen.If you have folders to scan on a Windows server, install the scanner on a different computer and configure those folders as network shares to scan. Al separar ambas funciones de los archivos de hospedaje y de examen, los recursos de cálculo de esos servicios no interferirán entre sí.Separating the two functions of hosting files and scanning files means that the computing resources for these services are not competing with one another.

Si es necesario, instale varias instancias del analizador.If necessary, install multiple instances of the scanner. El analizador de Azure Information Protection admite varias bases de datos de configuración en la misma instancia de SQL Server cuando se especifica un nombre de perfil personalizado para el analizador.The Azure Information Protection scanner supports multiple configuration databases on the same SQL server instance when you specify a custom profile name for the scanner. En el caso del analizador del cliente de etiquetado unificado, varios escáneres pueden compartir el mismo perfil, lo que resulta en tiempos de análisis más rápidos.For the scanner from the unified labeling client, multiple scanners can share the same profile, which results in quicker scanning times.

Otros factores que influyen en el rendimiento del analizador:Other factors that affect the scanner performance:

  • La carga actual y los tiempos de respuesta de los almacenes de datos que contienen los archivos para examinar.The current load and response times of the data stores that contain the files to scan

  • Ejecución del analizador en modo de detección o aplicaciónWhether the scanner runs in discovery mode or enforce mode

    El modo de detección suele tener un ritmo de examen superior en comparación con el modo de aplicación, ya que la detección requiere una única acción de lectura de archivo, mientras que el modo de aplicación requiere acciones de lectura y escritura.Discovery mode typically has a higher scanning rate than enforce mode because discovery requires a single file read action, whereas enforce mode requires read and write actions.

  • Puede cambiar las condiciones de la Directiva de Azure Information Protection (cliente clásico) o el etiquetado automático en la Directiva de etiqueta (cliente de etiquetado unificado).You change the conditions in the Azure Information Protection policy (classic client) or auto-labeling in the label policy (unified labeling client)

    El primer ciclo de examen, que se produce cuando el analizador inspecciona todos los archivos, requerirá más tiempo que los siguientes ciclos de examen, ya que, de forma predeterminada, solo se examinan los archivos nuevos o modificados.Your first scan cycle when the scanner must inspect every file will take longer than subsequent scan cycles that by default, inspect only new and changed files. Sin embargo, si cambia las condiciones o la configuración de etiquetado automático, se volverán a examinar todos los archivos, tal y como se describe en la sección anterior.However, if you change the conditions or auto-labeling settings, all files are scanned again, as described in the preceding section.

  • Construcción de expresiones regex para condiciones personalizadasThe construction of regex expressions for custom conditions

    A fin de evitar un gran consumo de memoria y el riesgo de tiempos de espera (15 minutos por archivo), revise las expresiones regex para garantizar una coincidencia de patrones eficaz.To avoid heavy memory consumption and the risk of timeouts (15 minutes per file), review your regex expressions for efficient pattern matching. Por ejemplo:For example:

  • Elección del nivel de registroYour chosen logging level

    Puede elegir entre Depurar, Información, Error y Desactivado para los informes del analizador.You can choose between Debug, Info, Error and Off for the scanner reports. Desactivado da como resultado un rendimiento óptimo; Depurar ralentiza considerablemente el analizador y debe usarse solo para solucionar problemas.Off results in the best performance; Debug considerably slows down the scanner and should be used only for troubleshooting. Para obtener más información, consulte el parámetro ReportLevel del cmdlet Set-AIPScannerConfiguration.For more information, see the ReportLevel parameter for the Set-AIPScannerConfiguration cmdlet.

  • En cuanto a los archivos:The files themselves:

    • A excepción de los archivos de Excel, los archivos de Office se examinan más rápidamente que los archivos PDF.With the exception of Excel files, Office files are more quickly scanned than PDF files.

    • Los desprotegidos se examinan más rápido que los protegidos.Unprotected files are quicker to scan than protected files.

    • Obviamente, los archivos de gran tamaño se examinan más lentamente que aquellos más pequeños.Large files obviously take longer to scan than small files.

  • Adicionalmente:Additionally:

    • Confirme que la cuenta de servicio que ejecuta el analizador solo tiene los derechos documentados en la sección de requisitos previos de análisis y, a continuación, configure la configuración de cliente avanzada para deshabilitar el nivel de integridad baja del escáner (solo cliente clásico).Confirm that the service account that runs the scanner has only the rights documented in the scanner prerequisites section, and then configure the advanced client setting to disable the low integrity level for the scanner (classic client only).

    • El analizador se ejecuta más rápidamente cuando se usa la configuración alternativa para aplicar una etiqueta predeterminada a todos los archivos porque el analizador no inspecciona el contenido del archivo.The scanner runs more quickly when you use the alternative configuration to apply a default label to all files because the scanner does not inspect the file contents.

    • El analizador se ejecuta más lentamente cuando se usa la configuración alternativa para identificar todas las condiciones personalizadas y los tipos conocidos de información confidencial.The scanner runs more slowly when you use the alternative configuration to identify all custom conditions and known sensitive information types.

    • Puede reducir los tiempos de espera del analizador (solo en el cliente clásico) con la Configuración avanzada de cliente para obtener mejores tasas de análisis y un menor consumo de memoria, pero con la confirmación de que se podrían omitir algunos archivos.You can decrease the scanner timeouts (classic client only) with advanced client settings for better scanning rates and lower memory consumption, but with the acknowledgment that some files might be skipped.

Lista de cmdlets para el escánerList of cmdlets for the scanner

Como ahora el analizador se configura en Azure Portal, los cmdlets de las versiones anteriores que configuraban repositorios de datos y la lista de tipos de archivo examinada ahora están en desuso.Because you now configure the scanner from the Azure portal, cmdlets from previous versions that configured data repositories and the scanned file types list are now deprecated.

Los cmdlets que se conservan son aquellos que instalan y actualizan el analizador, cambian el perfil y la base de datos de configuración del analizador, cambian el nivel de informe local e importan las opciones de configuración de un equipo desconectado.The cmdlets that remain include cmdlets that install and upgrade the scanner, change the scanner configuration database and profile, change the local reporting level, and import configuration settings for a disconnected computer.

Lista completa de cmdlets para el analizador:The full list of cmdlets for the scanner:

Identificadores de registro de eventos y descripciones para el escánerEvent log IDs and descriptions for the scanner

Use las siguientes secciones para identificar los id. de eventos y las descripciones posibles para el analizador.Use the following sections to identify the possible event IDs and descriptions for the scanner. Estos eventos se registran en el servidor que ejecuta el servicio analizador, en el registro de eventos de aplicaciones y servicios de Windows, Azure Information Protection.These events are logged on the server that runs the scanner service, in the Windows Applications and Services event log, Azure Information Protection.


Información 910Information 910

Se ha iniciado el ciclo del analizador.Scanner cycle started.

Este evento se registra cuando el servicio del analizador se inicia y comienza a examinar los archivos en los repositorios de datos que ha especificado.This event is logged when the scanner service is started and begins to scan for files in the data repositories that you specified.


Información 911Information 911

Ha finalizado el ciclo del analizador.Scanner cycle finished.

Este evento se registra cuando el analizador ha terminado un examen manual o el analizador ha terminado un ciclo para una programación continua.This event is logged when the scanner has finished a manual scan, or the scanner has finished a cycle for a continuous schedule.

Si el analizador se configuró para ejecutarse manualmente en lugar de continuamente para volver a examinar los archivos, establezca Programación en Manual o Siempre en el perfil del analizador y después reinicie el servicio.If the scanner was configured to run manually rather than continuously, to scan the files again, set the Schedule to Manual or Always in the scanner profile, and then restart the service.


Pasos siguientesNext steps

¿Está interesado en cómo el equipo de ingeniería y operaciones de servicios centrales de Microsoft ha implementado este escáner?Interested in how the Core Services Engineering and Operations team in Microsoft implemented this scanner? Consulte el caso práctico técnico: Automating data protection with Azure Information Protection scanner (Automatización de la protección de datos con el escáner de Azure Information Protection).Read the technical case study: Automating data protection with Azure Information Protection scanner.

Es posible que se pregunte: ¿Cuál es la diferencia entre FCI de Windows Server y el analizador de Azure Information Protection?You might be wondering: What’s the difference between Windows Server FCI and the Azure Information Protection scanner?

También puede usar PowerShell para clasificar y proteger los archivos de forma interactiva desde el equipo de escritorio.You can also use PowerShell to interactively classify and protect files from your desktop computer. Para obtener más información sobre este y otros escenarios en los que se usa PowerShell, vea las siguientes secciones de las guías de administración:For more information about this and other scenarios that use PowerShell, see the following sections from the admin guides: