Configuración e instalación del analizador de etiquetado Azure Information Protection (AIP)

Se aplica a: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Relevante para: solo cliente de etiquetado unificado de AIP.

En este artículo se describe cómo configurar e instalar el Azure Information Protection de etiquetado unificado, analizador local.

Sugerencia

Aunque la mayoría de los clientes realizarán estos procedimientos en el Azure Information Protection de la Azure Portal, es posible que solo tenga que trabajar en PowerShell.

Por ejemplo, si está trabajando en un entorno sin acceso a la Azure Portal, como los servidores de analizadores de Azure China 21Vianet, siga las instrucciones de Uso de PowerShellpara configurar el analizador .

Información general

Antes de empezar, compruebe que el sistema cumple los requisitos previos necesarios.

Para usar el Azure Portal, siga estos pasos:

  1. Configuración de los valores del analizador

  2. Instalación del analizador

  3. Obtener un token Azure AD para el analizador

  4. Configuración del analizador para aplicar la clasificación y protección

A continuación, realice los siguientes procedimientos de configuración según sea necesario para el sistema:

Procedimiento Descripción
Cambiar los tipos de archivo que se protegerán Es posible que desee examinar, clasificar o proteger tipos de archivo diferentes de los predeterminados. Para obtener más información, vea Proceso de examen de AIP.
Actualización del analizador Actualice el analizador para aprovechar las características y mejoras más recientes.
Edición de la configuración del repositorio de datos de forma masiva Use las opciones de importación y exportación para realizar cambios de forma masiva en varios repositorios de datos.
Uso del analizador con configuraciones alternativas Usar el analizador sin configurar etiquetas con ninguna condición
Optimización del rendimiento Guía para optimizar el rendimiento del analizador

Si no tiene acceso a las páginas del analizador en la Azure Portal, configure cualquier configuración del analizador solo en PowerShell. Para más información, consulte Uso de PowerShell para configurar el analizador y Cmdlets de PowerShell admitidos.

Configuración de los valores del analizador

Antes de instalar el analizador o actualizarlo desde una versión de disponibilidad general anterior, configure o compruebe la configuración del analizador.

Para configurar el analizador en el Azure Portal:

  1. Inicie sesión en el Azure Portal con uno de los roles siguientes:

    • Administrador de cumplimiento
    • Administrador de datos de cumplimiento
    • Administrador de seguridad
    • Administrador global

    A continuación, vaya al panel Azure Information Protection datos.

    Por ejemplo, en el cuadro de búsqueda de recursos, servicios y documentos, empiece a escribir Information y seleccione Azure Information Protection.

  2. Cree un clúster de analizadores. Este clúster define el escáner y se usa para identificar la instancia del escáner, por ejemplo, durante la instalación, las actualizaciones y otros procesos.

  3. (Opcional) Busque repositorios de riesgo enla red. Cree un trabajo de examen de red para examinar una dirección IP o un intervalo especificados y proporcione una lista de repositorios de riesgo que pueden contener contenido confidencial que desea proteger.

    Ejecute el trabajo de examen de red y, a continuación, analice los repositorios de riesgo encontrados.

  4. Cree un trabajo de examen de contenido para definir los repositorios que desea examinar.

Creación de un clúster de analizadores

  1. En el menú Escáner de la izquierda, seleccione el icono Clústeres de clústeres.

  2. En el panel Azure Information Protection - Clústeres, seleccione Agregar icono de agregar.

  3. En el panel Agregar un nuevo clúster, escriba un nombre descriptivo para el analizador y una descripción opcional.

    El nombre del clúster se usa para identificar las configuraciones y repositorios del analizador. Por ejemplo, podría entrar en Europa para identificar las ubicaciones geográficas de los repositorios de datos que desea examinar.

    Usará este nombre más adelante para identificar dónde desea instalar o actualizar el analizador.

  4. Seleccione el icono Guardar guardar para guardar los cambios.

Creación de un trabajo de examen de red (versión preliminar pública)

A partir de la versión 2.8.85.0,puede examinar la red en busca de repositorios de riesgo. Agregue uno o varios de los repositorios encontrados a un trabajo de análisis de contenido para buscar contenido confidencial.

Nota

La Azure Information Protection de detección de redes está actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

En la tabla siguiente se describen los requisitos previos necesarios para el servicio de detección de redes:

Requisito previo Descripción
Instalación del servicio Detección de redes Si ha actualizado recientemente el analizador, es posible que deba instalar el servicio de detección de redes.

Ejecute el cmdlet Install-MIPNetworkDiscovery para habilitar los trabajos de examen de red.
Azure Information Protection analytics Asegúrese de que tiene habilitado Azure Information Protection analytics.

En la Azure Portal, vaya a Azure Information Protection > Administrar > configurar análisis (versión preliminar).

Para obtener más información, vea Informes centrales para Azure Information Protection (versión preliminar pública).

Para crear un trabajo de examen de red

  1. Inicie sesión en el Azure Portal y vaya a Azure Information Protection. En el menú Escáner de la izquierda, seleccione el icono Trabajos de examen de red (versión preliminar) trabajos de examen de red.

  2. En el panel Azure Information Protection - Trabajos de examen de red, seleccione Agregar icono agregar.

  3. En la página Agregar un nuevo trabajo de examen de red, defina la siguiente configuración:

    Configuración Descripción
    Nombre del trabajo de examen de red Escriba un nombre descriptivo para este trabajo. Este campo es obligatorio.
    Descripción Escriba una descripción significativa.
    Seleccione el clúster. En la lista desplegable, seleccione el clúster que desea usar para examinar las ubicaciones de red configuradas.

    Sugerencia: Al seleccionar un clúster, asegúrese de que los nodos del clúster que asigne puedan acceder a los intervalos IP configurados a través de SMB.
    Configuración de intervalos IP para descubrir Haga clic para definir una dirección IP o un intervalo.

    En el panel Elegir intervalos IP, escriba un nombre opcional y, a continuación, una dirección IP inicial y una dirección IP final para el intervalo.

    Sugerencia: Para examinar solo una dirección IP específica, escriba la dirección IP idéntica en los campos Ip inicial e IP final.
    Establecer programación Defina la frecuencia con la que desea que se ejecute este trabajo de examen de red.

    Si selecciona Semanalmente, aparece la opción Ejecutar trabajo de examen de red en . Seleccione los días de la semana en los que desea que se ejecute el trabajo de examen de red.
    Establecer hora de inicio (UTC) Defina la fecha y hora en que desea que este trabajo de examen de red empiece a ejecutarse. Si ha seleccionado ejecutar el trabajo diariamente, semanal o mensualmente, el trabajo se ejecutará en el momento definido, en la periodicidad que haya seleccionado.

    Nota: Tenga cuidado al establecer la fecha en cualquier día del final del mes. Si selecciona 31, el trabajo de examen de red no se ejecutará en ningún mes que tenga 30 días o menos.
  4. Seleccione el icono Guardar guardar para guardar los cambios.

Sugerencia

Si desea ejecutar el mismo examen de red con otro analizador, cambie el clúster definido en el trabajo de examen de red.

Vuelva al panel Trabajos de examen de red y seleccione Asignar al clúster para seleccionar un clúster diferente ahora o Desasigne el clúster para realizar cambios adicionales más adelante.

Análisis de repositorios de riesgo encontrados (versión preliminar pública)

Los repositorios encontrados, ya sea por un trabajo de examen de red, un trabajo de examen de contenido o por el acceso de usuario detectado en los archivos de registro, se agregan y se enumeran en el panel de iconos de repositorios de repositorios de Scanner >.

Si ha definido un trabajo de examen de red y lo ha configurado para que se ejecute en una fecha y hora específicas, espere hasta que termine de ejecutarse para comprobar los resultados. También puede volver aquí después de ejecutar un trabajo de análisis de contenido para ver los datos actualizados.

Nota

La característica Azure Information Protection repositorios está actualmente en versión preliminar. En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

  1. En el menú Escáner de la izquierda, seleccione el icono Repositorios de repositorios.

    Los repositorios encontrados se muestran de la siguiente manera:

    • El gráfico Repositorios por estado muestra cuántos repositorios ya están configurados para un trabajo de examen de contenido y cuántos no.
    • En el gráfico Top 10 unmanaged repositories by access (Diez repositorios no administrados principales por acceso) se enumeran los 10 repositorios principales que no están asignados actualmente a un trabajo de examen de contenido, así como detalles sobre sus niveles de acceso. Los niveles de acceso pueden indicar el riesgo de los repositorios.
    • En la tabla debajo de los gráficos se muestra cada repositorio encontrado y sus detalles.
  2. Realice alguna de las acciones siguientes:

    Opción Descripción
    icono de columnas Seleccione Columnas para cambiar las columnas de tabla que se muestran.
    icono de actualización Si el analizador ha ejecutado recientemente los resultados del examen de red, seleccione Actualizar para actualizar la página.
    icono agregar Seleccione uno o varios repositorios enumerados en la tabla y, a continuación, seleccione Asignar elementos seleccionados para asignarlos a un trabajo de examen de contenido.
    Filter La fila de filtro muestra los criterios de filtrado aplicados actualmente. Seleccione cualquiera de los criterios que se muestran para modificar su configuración o seleccione Agregar filtro para agregar nuevos criterios de filtrado.

    Seleccione Filtrar para aplicar los cambios y actualizar la tabla con el filtro actualizado.
    Icono de Log Analytics En la esquina superior derecha del gráfico de repositorios no administrados, haga clic en el icono de Log Analytics para ir a los datos de Log Analytics de estos repositorios.

Los repositorios en los que se encuentra que el acceso público tiene funcionalidades de lectura, lectura y escritura pueden tener contenido confidencial que debe protegerse. Si el acceso público es false, el público no puede acceder al repositorio.

El acceso público a un repositorio solo se notifica si ha establecido una cuenta débil en el parámetro StandardDomainsUserAccount de los cmdlets Install-MIPNetworkDiscovery o Set-MIPNetworkDiscoveryConfiguration.

  • Las cuentas definidas en estos parámetros se usan para simular el acceso de un usuario débil al repositorio. Si el usuario débil definido allí puede acceder al repositorio, significa que se puede acceder al repositorio públicamente.

  • Para asegurarse de que el acceso público se notifica correctamente, asegúrese de que el usuario especificado en estos parámetros sea miembro solo del grupo Usuarios del dominio.

Creación de un trabajo de examen de contenido

Prométese en el contenido para examinar repositorios específicos en busca de contenido confidencial.

Puede que desee hacerlo solo después de ejecutar un trabajo de examen de red para analizar los repositorios de la red, pero también puede definir los repositorios usted mismo.

Para crear el trabajo de examen de contenido en el Azure Portal:

  1. En el menú Escáner de la izquierda, seleccione Trabajos de análisis de contenido.

  2. En el panel Azure Information Protection - Trabajos de examen de contenido, seleccione Agregar icono agregar.

  3. Para esta configuración inicial, configure las siguientes opciones y, a continuación, seleccione Guardar, pero no cierre el panel.

    Configuración Descripción
    Configuración del trabajo de examen de contenido - Programación: mantenga el valor predeterminado de Manual.
    - Tipos de información que se detectarán: cambiar solo a Directiva
    - Configurar repositorios: no configure en este momento porque primero se debe guardar el trabajo de examen de contenido.
    Directiva DLP Si usa una directiva de prevención Microsoft 365 pérdida de datos (DLP), establezca Habilitar reglas DLP en En. Para obtener más información, vea Usar una directiva DLP.
    Directiva de confidencialidad - Aplicar: seleccione Desactivado
    - Etiquetar archivos en función del contenido: mantenga el valor predeterminado de On (En).
    - Etiqueta predeterminada: mantenga el valor predeterminado de Policy default (Directiva predeterminada).
    - Volver a etiquetar los archivos: mantenga el valor predeterminado de Desactivado.
    Configuración de los valores de archivo - Conservar "Fecha de modificación", "Última modificación" y "Modificado por": mantenga el valor predeterminado de On
    - Tipos de archivo que se examinarán: mantenga los tipos de archivo predeterminados para Excluir.
    - Propietario predeterminado: mantenga el valor predeterminado de Cuenta de analizador.
    - Establecer propietario del repositorio: use esta opción solo cuando use una directiva DLP.
  4. Ahora que el trabajo de examen de contenido se ha creado y guardado, está listo para volver a la opción Configurar repositorios para especificar los almacenes de datos que se van a examinar.

    Especifique rutas de acceso UNC y direcciones URL de SharePoint Server para carpetas y bibliotecas de documentos locales de SharePoint.

    Nota

    SharePoint Server 2019, SharePoint Server 2016 y SharePoint Server 2013 son compatibles con SharePoint. SharePoint Server 2010 también se admite con la compatibilidad ampliada para esta versión de SharePoint.

    Para agregar el primer almacén de datos, mientras que en el panel Agregar un nuevo trabajo de examen de contenido, seleccione Configurar repositorios para abrir el panel Repositorios:

    Configure repositorios de datos para el Azure Information Protection de datos.

    1. En el panel Repositorios, seleccione Agregar:

      Agregue el repositorio de datos para Azure Information Protection analizador.

    2. En el panel Repositorio, especifique la ruta de acceso del repositorio de datos y, a continuación, seleccione Guardar.

      • Para un recurso compartido de red, use \\Server\Folder .
      • Para una biblioteca de SharePoint, use http://sharepoint.contoso.com/Shared%20Documents/Folder .
      • Para una ruta de acceso local: C:\Folder
      • Para una ruta de acceso UNC: \\Server\Folder

    Nota

    No se admiten los caracteres comodín ni las ubicaciones de WebDAV.

    Si agrega una ruta de acceso de SharePoint para documentos compartidos:

    • Especifique Documentos compartidos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de los documentos compartidos. Por ejemplo: http://sp2013/SharedDocuments
    • Especifique Documentos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de una subcarpeta de documentos compartidos. Por ejemplo: http://sp2013/Documents/SalesReports
    • O bien, especifique solo el FQDN de sharepoint, por ejemplo, para detectar y examinar todos los sitios y subsitios de SharePoint en una dirección URL específica y subtítulos en http://sp2013 esta dirección URL. Conceda derechos de auditor del recopilador de sitios del analizador para habilitarlo.

    En el caso de las opciones restantes de este panel, no las cambie para esta configuración inicial, pero conséctelas como trabajo de examen de contenido predeterminado. La configuración predeterminada significa que el repositorio de datos hereda la configuración del trabajo de examen de contenido.

    Use la sintaxis siguiente al agregar rutas de acceso de SharePoint:

    Ruta Sintaxis
    Ruta de acceso raíz http://<SharePoint server name>

    Examina todos los sitios, incluidas las colecciones de sitios permitidas para el usuario del analizador.
    Requiere permisos adicionales para detectar automáticamente el contenido raíz
    Subsitio o colección específicos de SharePoint Uno de los siguientes:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Requiere permisos adicionales para detectar automáticamente el contenido de la colección de sitios
    Biblioteca específica de SharePoint Uno de los siguientes:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Carpeta específica de SharePoint http://<SharePoint server name>/.../<folder name>
  5. Repita los pasos anteriores para agregar tantos repositorios como sea necesario.

    Cuando haya terminado, cierre los paneles de trabajo Repositorios y Examen de contenido.

De nuevo en el panel Azure Information Protection trabajo de examen de contenido, se muestra el nombre del examen de contenido, junto con la columna SCHEDULE que muestra Manual y la columna ENFORCE está en blanco.

Ya está listo para instalar el analizador con el trabajo del analizador de contenido que ha creado. Continúe con Instalar el analizador.

Instalación del escáner

Después de configurar el analizador Azure Information Protection, realice los pasos siguientes para instalar el analizador. Este procedimiento se realiza por completo en PowerShell.

  1. Inicie sesión en el equipo de Windows Server en el que se ejecutará el analizador. Use una cuenta que tenga derechos de administrador local y que tenga permisos para escribir en la base de datos maestra de SQL Server.

    Importante

    Debe tener el cliente de etiquetado unificado de AIP instalado en la máquina antes de instalar el analizador.

    Para obtener más información, vea Requisitos previos parainstalar e implementar el analizador de Azure Information Protection .

  2. Inicie una sesión de Windows PowerShell con la opción Ejecutar como administrador.

  3. Ejecute el cmdlet Install-AIPScanner, especificando la instancia de SQL Server en la que se va a crear una base de datos para el analizador de Azure Information Protection y el nombre del clúster del analizador que especificó en la sección anterior:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Ejemplos, mediante el nombre del clúster del analizador de Europa:

    • Para una instancia predeterminada: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Para una instancia con nombre: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • Para SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Cuando se le solicite, proporcione las credenciales Active Directory para la cuenta de servicio del analizador.

    Use la sintaxis siguiente: \<domain\user name> . Por ejemplo: contoso\scanneraccount

  4. Compruebe que el servicio ya está instalado mediante servicios de herramientas > administrativas.

    El servicio instalado se denomina Azure Information Protection Scanner y está configurado para ejecutarse mediante la cuenta de servicio del analizador que creó.

Ahora que ha instalado el analizador, debe obtener un token de Azure AD para que la cuenta de servicio del analizador se autentique, de modo que el analizador pueda ejecutarse desatendidamente.

Obtención de un token de Azure AD para el escáner

Un Azure AD token permite que el analizador se autentique en el servicio Azure Information Protection, lo que permite que el analizador se ejecute de forma no interactiva.

Para obtener más información, vea Cómo etiquetar archivos de manera no interactiva para Azure Information Protection.

Para obtener un token Azure AD :

  1. Abra el Azure Portal para crear una aplicación Azure AD para especificar un token de acceso para la autenticación.

  2. Desde el equipo con Windows Server, si a la cuenta de servicio del analizador se le ha concedido el derecho Iniciar sesión localmente para la instalación, inicie sesión con esta cuenta e inicie una sesión de PowerShell.

    Ejecute AIPAuthentication conjunto, especificando los valores que ha copiado en el paso anterior:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Por ejemplo:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Sugerencia

    Si no se puede conceder a la cuenta de servicio del analizador el derecho Iniciar sesión localmente para la instalación, use el parámetro OnBehalfOf con Set-AIPAuthentication, como se describe en Cómo etiquetar archivos de forma no interactiva para Azure Information Protection.

Ahora el escáner tiene un token para autenticarse en Azure AD. Este token es válido durante un año, dos años o nunca, según la configuración del secreto de cliente de la aplicación web /API en Azure AD. Cuando expire el token, debe repetir este procedimiento.

Siga usando uno de los pasos siguientes, en función de si usa la Azure Portal para configurar el analizador o solo PowerShell:

Ahora está listo para ejecutar el primer examen en modo de detección. Para más información, consulte Ejecución de un ciclo de detección y visualización de informes para el analizador.

Una vez que haya ejecutado el examen de detección inicial, continúe con Configurar el analizador para aplicar la clasificación y la protección.

Nota

Para obtener más información, vea Cómo etiquetar archivos de forma no interactiva para Azure Information Protection

Configuración del escáner para aplicar la clasificación y protección

La configuración predeterminada configura el analizador para que se ejecute una vez y en modo de solo informes. Para cambiar esta configuración, edite el trabajo de examen de contenido.

Sugerencia

Si solo está trabajando en PowerShell, consulte Configuración del analizador para aplicar la clasificación y la protección: solo PowerShell.

Para configurar el analizador para aplicar la clasificación y la protección:

  1. En la Azure Portal, en el panel Azure Information Protection- Trabajos de examen de contenido, seleccione el clúster y el trabajo de examen de contenido para editarlo.

  2. En el panel Trabajo de examen de contenido, cambie lo siguiente y, a continuación, seleccione Guardar:

    • En la sección Trabajo de examen de contenido: Cambie la programación a Siempre.
    • En la sección Directiva de confidencialidad: Cambiar Aplicar a On

    Sugerencia

    Es posible que quiera cambiar otras opciones de configuración en este panel, como si se cambian los atributos de archivo y si el analizador puede volver a etiquetar los archivos. Use la ayuda informativa emergente para obtener más información sobre cada opción de configuración.

  3. Tome nota de la hora actual e inicie el analizador de nuevo desde el panel Azure Information Protection - Trabajos de examen de contenido:

    Inicie el examen del Azure Information Protection analizador.

El analizador está programado para ejecutarse continuamente. Cuando el analizador funciona a través de todos los archivos configurados, inicia automáticamente un nuevo ciclo para que se descubran los archivos nuevos y modificados.

Uso de una directiva DLP (versión preliminar pública)

El uso de una Microsoft 365 prevención de pérdida de datos (DLP) permite al analizador detectar posibles pérdidas de datos mediante la coincidencia de reglas DLP con archivos almacenados en recursos compartidos de archivos y SharePoint Server.

  • Habilite las reglas DLP en el trabajo de examen de contenido para reducir la exposición de los archivos que coincidan con las directivas DLP. Cuando las reglas DLP están habilitadas, el analizador puede reducir el acceso a archivos solo a los propietarios de datos o reducir la exposición a grupos de toda la red, como Todos los usuarios, Usuarios autenticados o Usuarios de dominio.

  • En la Centro de cumplimiento de Microsoft 365, determine si solo está probando la directiva DLP o si quiere que se apliquen las reglas y los permisos de archivo cambien según esas reglas. Para obtener más información, vea Activar una directiva DLP.

Las directivas DLP se configuran en el Centro de cumplimiento de Microsoft 365 y se admiten en Azure Information Protection a partir de la versión 2.10.43.0.

Para obtener más información sobre las licencias DLP, consulte Introducción al analizador local de prevención de pérdida de datos.

Sugerencia

El examen de los archivos, incluso cuando se prueba la directiva DLP, también crea informes de permisos de archivo. Consulte estos informes para investigar las exposiciónes de archivos específicas o explorar la exposición de un usuario específico a los archivos analizados.

Para usar solo PowerShell, consulte Uso de una directiva DLP con el analizador: solo PowerShell.

Para usar una directiva DLP con el analizador:

  1. En la Azure Portal, vaya al trabajo de análisis de contenido. Para obtener más información, consulte Creación de un trabajo de examen de contenido.

  2. En Directiva DLP, establezca Habilitar reglas DLP en En.

    Importante

    No establezca Habilitar reglas DLP en Activar a menos que realmente tenga una directiva DLP configurada en Microsoft 365.

    Al activar esta característica sin una directiva DLP, el analizador generará errores.

  3. (Opcional) En Configurar opciones de archivo, establezca Establecer propietario del repositorio en En y defina un usuario específico como propietario del repositorio.

    Esta opción permite al analizador reducir la exposición de los archivos que se encuentran en este repositorio, que coinciden con la directiva DLP, al propietario del repositorio definido.

Directivas DLP y realización de acciones privadas

Si usa una directiva DLP con una acción privada make y también planea usar el analizador para etiquetar automáticamente los archivos, se recomienda definir también la configuración avanzada UseCopyAndPreserveNTFSOwner del cliente de etiquetado unificado.

Esta configuración garantiza que los propietarios originales conservan el acceso a sus archivos.

Para más información, consulte Creación de un trabajo de examen de contenido y Aplicación automática de una etiqueta de confidencialidad al contenido en la Microsoft 365 contenido.

Cambiar los tipos de archivo que se protegerán

De forma predeterminada, el analizador de AIP solo protege los tipos de archivo de Office y los archivos PDF.

Use comandos de PowerShell para cambiar este comportamiento según sea necesario, como configurar el analizador para proteger todos los tipos de archivo, igual que el cliente, o para proteger tipos de archivo adicionales y específicos.

Para una directiva de etiquetas que se aplica a la cuenta de usuario que descarga etiquetas para el analizador, especifique una configuración avanzada de PowerShell denominada PFileSupportedExtensions.

Para un analizador que tiene acceso a Internet, esta cuenta de usuario es la cuenta que se especifica para el parámetro DelegatedUser con el comando Set-AIPAuthentication usuario.

Ejemplo 1: comando de PowerShell para que el analizador proteja todos los tipos de archivo, donde la directiva de etiqueta se denomina "Escáner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Ejemplo 2: comando de PowerShell para que el analizador proteja archivos .xml y archivos .tiff además de archivos de Office y archivos PDF, donde la directiva de etiqueta se denomina "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Para obtener más información, vea Cambiar los tipos de archivo que se protegerán.

Actualización del analizador

Si ha instalado previamente el analizador y desea actualizarlo, siga las instrucciones que se describen en Actualización de Azure Information Protection analizador.

A continuación, configure y use el analizador como de costumbre, omitiendo los pasos para instalar el analizador.

Edición de la configuración del repositorio de datos de forma masiva

Use los botones Exportar e Importar para realizar cambios para el analizador en varios repositorios.

De este modo, no es necesario realizar los mismos cambios varias veces, manualmente, en el Azure Portal.

Por ejemplo, si tiene un nuevo tipo de archivo en varios repositorios de datos de SharePoint, puede que desee actualizar la configuración de esos repositorios de forma masiva.

Para realizar cambios de forma masiva entre repositorios:

  1. En la Azure Portal del panel Repositorios, seleccione la opción Exportar. Por ejemplo:

    Exportación de la configuración del repositorio de datos para Azure Information Protection escáner.

  2. Edite manualmente el archivo exportado para realizar el cambio.

  3. Use la opción Importar de la misma página para volver a importar las actualizaciones en los repositorios.

Uso del analizador con configuraciones alternativas

El Azure Information Protection busca normalmente las condiciones especificadas para las etiquetas con el fin de clasificar y proteger el contenido según sea necesario.

En los escenarios siguientes, el analizador Azure Information Protection también puede examinar el contenido y administrar etiquetas, sin ninguna condición configurada:

Aplicar una etiqueta predeterminada a todos los archivos de un repositorio de datos

En esta configuración, todos los archivos sin etiquetar del repositorio se etiquetan con la etiqueta predeterminada especificada para el repositorio o el trabajo de análisis de contenido. Los archivos se etiquetan sin inspección.

Configure las siguientes opciones:

Configuración Descripción
Etiquetar archivos en función del contenido Establecido en Desactivado
Etiqueta predeterminada Establezca en Personalizado y, a continuación, seleccione la etiqueta que se usará.
Aplicación de la etiqueta predeterminada Seleccione esta opción para que la etiqueta predeterminada se aplique a todos los archivos, incluso si ya están etiquetados.

Eliminación de etiquetas existentes de todos los archivos de un repositorio de datos

En esta configuración, se quitan todas las etiquetas existentes, incluida la protección, si la protección se aplicó con la etiqueta. Se conserva la protección aplicada independientemente de una etiqueta.

Configure las siguientes opciones:

Configuración Descripción
Etiquetar archivos en función del contenido Establecido en Desactivado
Etiqueta predeterminada Se establece en Ninguno
Volver a etiquetar archivos Establezca en En , con la casilla Aplicar etiqueta predeterminada activada

Identificar todas las condiciones personalizadas y los tipos de información confidencial conocidos

Esta configuración le permite encontrar información confidencial que es posible que no se dé cuenta de que tenía, a costa de las tasas de examen del analizador.

Establezca los tipos de información que se detectarán en Todos.

Para identificar las condiciones y los tipos de información para el etiquetado, el analizador usa los tipos de información confidencial personalizados especificados y la lista de tipos de información confidencial integrados que están disponibles para seleccionar, tal como se define en el centro de administración de etiquetado.

Optimización del rendimiento del analizador

Nota

Si desea mejorar la capacidad de respuesta del equipo del analizador en lugar del rendimiento del analizador, use una configuración de cliente avanzada para limitar el número de subprocesos utilizados por el analizador.

Use las siguientes opciones e instrucciones para ayudarle a optimizar el rendimiento del analizador:

Opción Descripción
Use una conexión de red de alta velocidad y estable entre el equipo que actúa como analizador y el almacén para los datos examinados. Por ejemplo, coloque el equipo del analizador en la misma LAN, o preferiblemente, en el mismo segmento de red que el almacén de datos analizado.

La calidad de la conexión de red afecta al rendimiento del analizador porque, para inspeccionar los archivos, el analizador transfiere el contenido de los archivos al equipo que ejecuta el servicio de analizador.

La reducción o eliminación de los saltos de red necesarios para que los datos viajen también reduce la carga en la red.
Asegúrese de que el equipo que actúa como analizador tenga recursos del procesador disponibles. Inspeccionar el contenido del archivo y cifrar y descifrar archivos son acciones que consumen muchos procesadores.

Supervise los ciclos de examen típicos de los almacenes de datos especificados para identificar si una falta de recursos de procesador afecta negativamente al rendimiento del analizador.
Instalación de varias instancias del analizador El Azure Information Protection admite varias bases de datos de configuración en la misma instancia de SQL Server cuando se especifica un nombre de clúster personalizado para el analizador.

Sugerencia: Varios escáneres también pueden compartir el mismo clúster, lo que da lugar a tiempos de examen más rápidos. Si tiene previsto instalar el analizador en varias máquinas con la misma instancia de base de datos y desea que los analizadores se ejecuten en paralelo, debe instalar todos los analizadores con el mismo nombre de clúster.
Comprobación del uso de la configuración alternativa El analizador se ejecuta más rápidamente cuando se usa la configuración alternativa para aplicar una etiqueta predeterminada a todos los archivos porque el analizador no inspecciona el contenido del archivo.

El analizador se ejecuta más lentamente cuando se usa la configuración alternativa para identificar todas las condiciones personalizadas y los tipos conocidos de información confidencial.

Factores adicionales que afectan al rendimiento

Entre los factores adicionales que afectan al rendimiento del analizador se incluyen:

Factor Descripción
Tiempos de carga y respuesta Los tiempos actuales de carga y respuesta de los almacenes de datos que contienen los archivos que se van a examinar también afectarán al rendimiento del analizador.
Modo de escáner (detección/aplicación) Normalmente, el modo de detección tiene una velocidad de examen mayor que el modo de aplicación.

La detección requiere una única acción de lectura de archivo, mientras que el modo de aplicación requiere acciones de lectura y escritura.
Cambios de directiva El rendimiento del analizador puede verse afectado si ha realizado cambios en la etiqueta automática en la directiva de etiquetas.

El primer ciclo de examen, cuando el analizador debe inspeccionar todos los archivos, tarda más que los ciclos de examen posteriores que, de forma predeterminada, solo inspeccionan los archivos nuevos y modificados.

Si cambia las condiciones o la configuración de etiquetado automático, todos los archivos se examinan de nuevo. Para obtener más información, vea Volver a examinar archivos.
Construcciones regex El rendimiento del analizador se ve afectado por cómo se construyen las expresiones regex para condiciones personalizadas.

A fin de evitar un gran consumo de memoria y el riesgo de tiempos de espera (15 minutos por archivo), revise las expresiones regex para garantizar una coincidencia de patrones eficaz.

Por ejemplo:
- Evitar cuantificadores expansivos
- Use grupos que no capturan, como (?:expression) en lugar de (expression)
Nivel de registro Las opciones de nivel de registro incluyen Depurar, Información, Error y Desactivado para los informes del analizador.

- Desactivar da como resultado el mejor rendimiento
- La depuración ralentiza considerablemente el analizador y solo se debe usar para solucionar problemas.

Para obtener más información, consulte el parámetro ReportLevel del cmdlet Set-AIPScannerConfiguration.
Archivos que se están analizando - A excepción de los archivos de Excel, los archivos de Office se examinan más rápidamente que los archivos PDF.

- Los archivos no protegidos son más rápidos de examinar que los archivos protegidos.

- Obviamente, los archivos grandes tardan más tiempo en examinarse que los archivos pequeños.

Uso de PowerShell para configurar el analizador

En esta sección se describen los pasos necesarios para configurar e instalar el analizador local de AIP cuando no tiene acceso a las páginas del analizador en el Azure Portal y solo debe usar PowerShell.

Importante

  • Algunos pasos requieren PowerShell independientemente de si puede acceder o no a las páginas del analizador en el Azure Portal y son idénticos. Para estos pasos, consulte las instrucciones anteriores de este artículo como se indica.

  • Si está trabajando con el analizador para Azure China 21Vianet, se requieren pasos adicionales además de las instrucciones que se detallan aquí. Para obtener más información, Azure Information Protection compatibilidad con Office 365 operado por 21Vianet.

Para más información, consulte Cmdlets de PowerShell admitidos.

Para configurar e instalar el analizador:

  1. Comience con PowerShell cerrado. Si ha instalado previamente el cliente y el analizador de AIP, asegúrese de que el servicio AIPScanner está detenido.

  2. Inicie una sesión de Windows PowerShell con la opción Ejecutar como administrador.

  3. Ejecute el comando Install-AIPScanner para instalar el analizador en la instancia de SQL Server, con el parámetro Cluster para definir el nombre del clúster.

    Este paso es idéntico independientemente de si puede o no acceder a las páginas del analizador en el Azure Portal. Para más información, consulte las instrucciones anteriores de este artículo: Instalación del analizador

  4. Obtenga un token de Azure para usarlo con el analizador y, a continuación, vuelva a autenticarse.

    Este paso es idéntico independientemente de si puede o no acceder a las páginas del analizador en el Azure Portal. Para obtener más información, vea las instrucciones anteriores de este artículo: Obtener un token Azure AD para el analizador.

  5. Ejecute el cmdlet Set-AIPScannerConfiguration para establecer el analizador para que funcione en modo sin conexión. Ejecute:

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  6. Ejecute el cmdlet Set-AIPScannerContentScanJob para crear un trabajo de examen de contenido predeterminado.

    El único parámetro necesario en el cmdlet Set-AIPScannerContentScanJob es Enforce. Sin embargo, es posible que quiera definir otras opciones para el trabajo de examen de contenido en este momento. Por ejemplo:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    La sintaxis anterior configura las siguientes opciones mientras continúa la configuración:

    • Mantiene la programación de la ejecución del analizador en manual.
    • Establece los tipos de información que se detectarán en función de la directiva de etiquetado de confidencialidad.
    • No aplica una directiva de etiquetado de confidencialidad
    • Etiqueta automáticamente los archivos en función del contenido, usando la etiqueta predeterminada definida para la directiva de etiquetado de confidencialidad
    • No permite la reetiquetación de archivos
    • Conserva los detalles del archivo durante el examen y el etiquetado automático, incluida la fecha de modificación, la última modificación y la modificación por valores
    • Establece que el analizador excluya los archivos .msg y .tmp al ejecutar
    • Establece el propietario predeterminado en la cuenta que desea usar al ejecutar el analizador.
  7. Use el cmdlet Add-AIPScannerRepository para definir los repositorios que desea examinar en el trabajo de examen de contenido. Por ejemplo, ejecute:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Use una de las sintaxis siguientes, en función del tipo de repositorio que agregue:

    • Para un recurso compartido de red, use \\Server\Folder .
    • Para una biblioteca de SharePoint, use http://sharepoint.contoso.com/Shared%20Documents/Folder .
    • Para una ruta de acceso local: C:\Folder
    • Para una ruta de acceso UNC: \\Server\Folder

    Nota

    No se admiten los caracteres comodín ni las ubicaciones de WebDAV.

    Para modificar el repositorio más adelante, use el cmdlet Set-AIPScannerRepository en su lugar.

    Si agrega una ruta de acceso de SharePoint para documentos compartidos:

    • Especifique Documentos compartidos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de los documentos compartidos. Por ejemplo: http://sp2013/SharedDocuments
    • Especifique Documentos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de una subcarpeta de documentos compartidos. Por ejemplo: http://sp2013/Documents/SalesReports
    • O bien, especifique solo el FQDN de sharepoint, por ejemplo, para detectar y examinar todos los sitios y subsitios de SharePoint en una dirección URL específica y subtítulos en http://sp2013 esta dirección URL. Conceda derechos de auditor del recopilador de sitios del analizador para habilitarlo.

    Use la sintaxis siguiente al agregar rutas de acceso de SharePoint:

    Ruta Sintaxis
    Ruta de acceso raíz http://<SharePoint server name>

    Examina todos los sitios, incluidas las colecciones de sitios permitidas para el usuario del analizador.
    Requiere permisos adicionales para detectar automáticamente el contenido raíz
    Subsitio o colección específicos de SharePoint Uno de los siguientes:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Requiere permisos adicionales para detectar automáticamente el contenido de la colección de sitios
    Biblioteca específica de SharePoint Uno de los siguientes:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Carpeta específica de SharePoint http://<SharePoint server name>/.../<folder name>

Continúe con los pasos siguientes según sea necesario:

Uso de PowerShell para configurar el analizador para aplicar la clasificación y la protección

  1. Ejecute el cmdlet Set-AIPScannerContentScanJob para actualizar el trabajo de examen de contenido para establecer la programación en siempre y aplicar la directiva de confidencialidad.

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On
    

    Sugerencia

    Es posible que desee cambiar otras configuraciones en este panel, como si se cambian los atributos de archivo y si el analizador puede volver a etiquetar los archivos. Para obtener más información sobre la configuración disponible, consulte la documentación completa de PowerShell.

  2. Ejecute el cmdlet Start-AIPScan para ejecutar el trabajo de análisis de contenido:

    Start-AIPScan
    

El analizador está programado para ejecutarse continuamente. Cuando el analizador funciona a través de todos los archivos configurados, inicia automáticamente un nuevo ciclo para que se descubran los archivos nuevos y modificados.

Uso de PowerShell para configurar una directiva DLP con el analizador

  1. Vuelva a ejecutar el cmdlet Set-AIPScannerContentScanJob con el parámetro -EnableDLP establecido en On y con un propietario de repositorio específico definido.

    Por ejemplo:

    Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
    

Cmdlets de PowerShell admitidos

En esta sección se enumeran los cmdlets de PowerShell compatibles con el analizador de Azure Information Protection e instrucciones para configurar e instalar el analizador solo con PowerShell.

Los cmdlets admitidos para el analizador incluyen:

Pasos siguientes

Una vez que haya instalado y configurado el analizador, comience a examinar los archivos.

Vea también: Implementación del analizador de Azure Information Protection para clasificar y protegerautomáticamente los archivos .

Más información:

  • ¿Está interesado en cómo el equipo de ingeniería y operaciones de servicios centrales de Microsoft ha implementado este escáner? Consulte el caso práctico técnico: Automating data protection with Azure Information Protection scanner (Automatización de la protección de datos con el escáner de Azure Information Protection).

  • Use PowerShell para clasificar y proteger archivos de forma interactiva desde el equipo de escritorio. Para obtener más información sobre este y otros escenarios que usan PowerShell, consulte Uso de PowerShell con Azure Information Protection cliente de etiquetado unificado.