Implementar versiones anteriores del escáner de Azure Information ProtectionDeploying previous versions of the Azure Information Protection scanner

Se aplica a: Azure Information Protection, windows Server 2019, windows Server 2016, windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Instrucciones para: Azure Information Protection cliente para WindowsInstructions for: Azure Information Protection client for Windows

Nota

Este artículo está destinado a las versiones del escáner Azure Information Protection anteriores a la versión 1.48.204.0 , pero que todavía se admiten.This article is for versions of the Azure Information Protection scanner that are earlier than version 1.48.204.0 but still in support. Para actualizar versiones anteriores a la versión actual, consulte actualización del escáner de Azure Information Protection.To upgrade earlier versions to the current version, see Upgrading the Azure Information Protection scanner.

Si busca instrucciones de implementación para la versión actual del escáner, que incluye la configuración de la Azure Portal, consulte implementación del escáner de Azure Information Protection para clasificar y proteger archivos automáticamente.If you are looking for deployment instructions for the current version of the scanner, which includes configuration from the Azure portal, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

Use esta información para obtener información sobre el analizador de Azure Information Protection y, a continuación, cómo instalarlo, configurarlo y ejecutarlo correctamente.Use this information to learn about the Azure Information Protection scanner, and then how to successfully install, configure, and run it.

Este analizador se ejecuta como un servicio en Windows Server y permite detectar, clasificar y proteger archivos en los almacenes de datos siguientes:This scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

  • Carpetas locales en el equipo de Windows Server en el que se ejecuta el analizador.Local folders on the Windows Server computer that runs the scanner.

  • Rutas de acceso UNC para recursos compartidos de red que usan el protocolo de Bloque de mensajes del servidor (SMB).UNC paths for network shares that use the Server Message Block (SMB) protocol.

  • Bibliotecas de documentos y carpetas para SharePoint Server 2019 a través de SharePoint Server 2013.Document libraries and folders for SharePoint Server 2019 through SharePoint Server 2013. SharePoint Server 2010 también se admite en clientes que tengan compatibilidad ampliada para esta versión de SharePoint.SharePoint 2010 is also supported for customers who have extended support for this version of SharePoint.

Para analizar y etiquetar los archivos en los repositorios en la nube, use Cloud App Security en lugar del escáner.To scan and label files on cloud repositories, use Cloud App Security instead of the scanner.

Información general del analizador de Azure Information ProtectionOverview of the Azure Information Protection scanner

Cuando haya configurado la directiva de Azure Information Protection para etiquetas que aplican la clasificación automática, a continuación, se pueden etiquetar los archivos que este analizador detecta.When you have configured your Azure Information Protection policy for labels that apply automatic classification, files that this scanner discovers can then be labeled. Las etiquetas aplican la clasificación y, opcionalmente, aplican la protección o la quitan:Labels apply classification, and optionally, apply protection or remove protection:

Información general de la arquitectura del analizador de Azure Information Protection

El analizador puede inspeccionar cualquier archivo que Windows pueda indexar mediante los iFilters que están instalados en el equipo.The scanner can inspect any files that Windows can index, by using IFilters that are installed on the computer. Después, para determinar si los archivos necesitan etiquetas, el analizador usa los tipos de información confidencial de la prevención de pérdida de datos (DLP) y la detección de patrones integrados en Office 365, o bien los patrones de expresión regular de Office 365.Then, to determine if the files need labeling, the scanner uses the Office 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Office 365 regex patterns. Dado que el analizador utiliza el cliente de Azure Information Protection, puede clasificar y proteger los mismos tipos de archivo.Because the scanner uses the Azure Information Protection client, it can classify and protect the same file types.

Puede ejecutar el analizador solo en modo de detección en los casos en los que los informes se usen para comprobar qué sucedería si los archivos se etiquetaran.You can run the scanner in discovery mode only, where you use the reports to check what would happen if the files were labeled. También puede ejecutar el analizador para aplicar automáticamente las etiquetas.Or, you can run the scanner to automatically apply the labels. También puede ejecutar el analizador para detectar los archivos que contienen tipos de información confidencial, sin configurar las etiquetas para las condiciones que aplican la clasificación automática.You can also run the scanner to discover files that contain sensitive information types, without configuring labels for conditions that apply automatic classification.

Tenga en cuenta que el analizador no detecta ni etiqueta contenido en tiempo real.Note that the scanner does not discover and label in real time. En su lugar, lo rastrea sistemáticamente en los archivos de los almacenes de datos que especifique, y se puede configurar este ciclo para que se ejecute una sola vez o de manera repetida.It systematically crawls through files on data stores that you specify, and you can configure this cycle to run once, or repeatedly.

Puede especificar los tipos de archivo desea examinar, o incluso excluirlos del examen.You can specify which file types to scan, or exclude from scanning. Para restringir los archivos que inspecciona el analizador, defina una lista de tipos de archivo mediante el uso de Set-AIPScannerScannedFileTypes.To restrict which files the scanner inspects, define a file types list by using Set-AIPScannerScannedFileTypes.

Requisitos previos del analizador de Azure Information ProtectionPrerequisites for the Azure Information Protection scanner

Antes de instalar el analizador de Azure Information Protection, asegúrese de que se cumplen los requisitos siguientes.Before you install the Azure Information Protection scanner, make sure that the following requirements are in place.

RequisitosRequirement Información adicionalMore information
Equipo con Windows Server en el que se ejecutará el servicio del analizador:Windows Server computer to run the scanner service:

-4 procesadores de núcleo- 4 core processors

- 8 GB de RAM- 8 GB of RAM

-10 GB de espacio libre (promedio) para los archivos temporales- 10 GB free space (average) for temporary files
Windows Server 2019, Windows Server 2016 o Windows Server 2012 R2.Windows Server 2019, Windows Server 2016, or Windows Server 2012 R2.

Nota: para fines de prueba o evaluación en un entorno que no sea de producción, puede usar un sistema operativo de cliente de Windows que sea compatible con el cliente de Azure Information Protection.Note: For testing or evaluation purposes in a non-production environment, you can use a Windows client operating system that is supported by the Azure Information Protection client.

Este equipo puede ser un equipo físico o virtual que tenga una conexión de red rápida y confiable a los almacenes de datos que deban analizarse.This computer can be a physical or virtual computer that has a fast and reliable network connection to the data stores to be scanned.

El analizador requiere suficiente espacio en disco para crear archivos temporales para cada archivo que analiza, cuatro archivos por núcleo.The scanner requires sufficient disk space to create temporary files for each file that it scans, four files per core. El espacio en disco recomendado de 10 GB permite que 4 procesadores de núcleo examinen 16 archivos, cada uno con un tamaño de 625 MB.The recommended disk space of 10 GB allows for 4 core processors scanning 16 files that each have a file size of 625 MB.

Si la conectividad a Internet no es posible debido a las directivas de la organización, consulte la sección implementación del analizador con configuraciones alternativas .If internet connectivity is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section. De lo contrario, asegúrese de que este equipo tenga conectividad a Internet que permita las siguientes direcciones URL a través de HTTPS (puerto 443):Otherwise, make sure that this computer has internet connectivity that allows the following URLs over HTTPS (port 443):
*.aadrm.com*.aadrm.com
*.azurerms.com*.azurerms.com
*.informationprotection.azure.com*.informationprotection.azure.com
informationprotection.hosting.portal.azure.netinformationprotection.hosting.portal.azure.net
*.aria.microsoft.com*.aria.microsoft.com
Cuenta de servicio en la que se ejecutará el servicio del analizadorService account to run the scanner service Además de ejecutar el servicio de examen en el equipo con Windows Server, esta cuenta de Windows se autentica en Azure AD y descarga la directiva de Azure Information Protection.In addition to running the scanner service on the Windows Server computer, this Windows account authenticates to Azure AD and downloads the Azure Information Protection policy. Esta cuenta debe ser una cuenta de Active Directory y sincronizarse con Azure AD.This account must be an Active Directory account and synchronized to Azure AD. Si no puede sincronizar esta cuenta debido a las directivas de la organización, consulte la sección Implementación del analizador con configuraciones alternativas.If you cannot synchronize this account because of your organization policies, see the Deploying the scanner with alternative configurations section.

Esta cuenta de servicio tiene los siguientes requisitos:This service account has the following requirements:

- Asignación de derechos de usuario de inicio de sesión localmente.- Log on locally user right assignment. Este derecho es necesario para la instalación y configuración del analizador, pero no para la operación.This right is required for the installation and configuration of the scanner, but not for operation. Debe conceder este derecho a la cuenta de servicio, pero puede quitarlo después de haber confirmado que el analizador puede detectar, clasificar y proteger los archivos.You must grant this right to the service account but you can remove this right after you have confirmed that the scanner can discover, classify, and protect files. Si no es posible conceder este derecho ni siquiera durante un breve período de tiempo debido a las directivas de la organización, consulte la sección Implementación del analizador con configuraciones alternativas.If granting this right even for a short period of time is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section.

- Asignación de derechos de usuario de inicio de sesión como servicio.- Log on as a service user right assignment. Este derecho se concede automáticamente a la cuenta de servicio durante la instalación del analizador y es necesario para la instalación, la configuración y el funcionamiento del analizador.This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.

-Permisos para los repositorios de datos: para los repositorios de datos en SharePoint local, conceda siempre el permiso Editar si está seleccionada la opción Agregar y personalizar páginas para el sitio, o bien conceda el permiso diseño .- Permissions to the data repositories: For data repositories on SharePoint on-premises, always grant the Edit permission if Add and Customize Pages is selected for the site, or grant the Design permission. Para otros repositorios de datos, conceda permisos de lectura y escritura para examinar los archivos y, a continuación, aplique la clasificación y la protección a los archivos que cumplan las condiciones de la Directiva de Azure Information Protection.For other data repositories, grant Read and Write permissions for scanning the files and then applying classification and protection to the files that meet the conditions in the Azure Information Protection policy. Para ejecutar el analizador en modo de detección solo para estos otros repositorios de datos, el permiso de lectura es suficiente.To run the scanner in discovery mode only for these other data repositories, Read permission is sufficient.

- Para las etiquetas que ofrecen una segunda protección o quitan la protección: para asegurarse de que el analizador siempre tenga acceso a los archivos protegidos, convierta esta cuenta en un superusuario para el servicio de Azure Rights Management y asegúrese de que la característica de superusuario esté habilitada.- For labels that reprotect or remove protection: To ensure that the scanner always has access to protected files, make this account a super user for the Azure Rights Management service, and ensure that the super user feature is enabled. Para obtener más información sobre los requisitos de la cuenta para aplicar la protección, consulte Preparación de usuarios y grupos para Azure Information Protection.For more information about the account requirements for applying protection, see Preparing users and groups for Azure Information Protection. Además, si ha implementado controles de incorporación para una implementación por fases, asegúrese de que esta cuenta se incluye en los controles de incorporación que ha configurado.In addition, if you have implemented onboarding controls for a phased deployment, make sure that this account is included in your onboarding controls you've configured.
SQL Server para almacenar la configuración del analizador:SQL Server to store the scanner configuration:

- Instancia local o remota- Local or remote instance

- Rol Sysadmin para instalar el escáner- Sysadmin role to install the scanner
SQL Server 2012 es la versión mínima para las siguientes ediciones:SQL Server 2012 is the minimum version for the following editions:

- SQL Server Enterprise- SQL Server Enterprise

- SQL Server Standard- SQL Server Standard

- SQL Server Express- SQL Server Express

Si instala más de una instancia del analizador, cada una requerirá su propia base de datos de SQL Server.If you install more than one instance of the scanner, each scanner instance requires its own SQL Server instance.

Cuando instale el analizador y su cuenta tenga el rol de administrador del sistema, el proceso de instalación creará automáticamente la base de datos AzInfoProtectionScanner y concederá el rol db_owner necesario a la cuenta de servicio que ejecuta el analizador.When you install the scanner and your account has the Sysadmin role, the installation process automatically creates the AzInfoProtectionScanner database and grants the required db_owner role to the service account that runs the scanner. Si no puede conceder el rol de administrador del sistema o las directivas de la organización requieren la creación y la configuración manual de bases de datos, consulte la sección Implementación del analizador con configuraciones alternativas.If you cannot be granted the Sysadmin role or your organization policies require databases to be created and configured manually, see the Deploying the scanner with alternative configurations section.

El tamaño de la base de datos de configuración varía con cada implementación, pero se recomienda asignar 500 MB por cada 1 000 000 archivos que quiera examinar.The size of the configuration database will vary for each deployment but we recommend you allocate 500 MB for every 1,000,000 files that you want to scan.
El cliente de Azure Information Protection (clásico) está instalado en el equipo con Windows ServerThe Azure Information Protection client (classic) is installed on the Windows Server computer Debe instalar el cliente completo para el analizador.You must install the full client for the scanner. No instale el cliente solo con el módulo de PowerShell.Do not install the client with just the PowerShell module.

Para obtener instrucciones de instalación del cliente, consulte la guía del administrador.For client installation instructions, see the admin guide. Si ha instalado previamente el analizador y ahora debe actualizarlo a una versión posterior, consulte Upgrading the Azure Information Protection scanner (Actualización del analizador Azure Information Protection).If you have previously installed the scanner and now need to upgrade it to a later version, see Upgrading the Azure Information Protection scanner.
Etiquetas configuradas que aplican la clasificación automática y, opcionalmente, la protecciónConfigured labels that apply automatic classification, and optionally, protection Para más información sobre cómo configurar una etiqueta de condiciones y cómo aplicar protección:For more information about how to configure a label for conditions and to apply protection:
- Configuración de las condiciones para la clasificación automática y recomendada- How to configure conditions for automatic and recommended classification
- Configuración de una etiqueta para la protección de Rights Management- How to configure a label for Rights Management protection

Sugerencia: puede usar las instrucciones del tutorial para probar el escáner con una etiqueta que busque números de tarjetas de crédito en un documento de Word preparado.Tip: You can use the instructions from the tutorial to test the scanner with a label that looks for credit card numbers in a prepared Word document. Sin embargo, deberá cambiar la configuración de etiqueta para que Select how this label is applied (Seleccionar cómo se aplica esta etiqueta) se establezca en Automático en lugar de en Recomendado.However, you will need to change the label configuration so that Select how this label is applied is set to Automatic rather than Recommended. A continuación, quite la etiqueta del documento (si está aplicada) y copie el archivo en un repositorio de datos para el analizador.Then remove the label from the document (if it is applied) and copy the file to a data repository for the scanner. Para pruebas rápidas, podría tratarse de una carpeta local en el equipo del analizador.For quick testing, this could be a local folder on the scanner computer.

Si bien puede ejecutar el analizador incluso si no ha configurado las etiquetas que aplican la clasificación automática, este escenario no se incluye en estas instrucciones.Although you can run the scanner even if you haven't configured labels that apply automatic classification, this scenario is not covered with these instructions. Más información.More information
En el caso de las bibliotecas de documentos de SharePoint y las carpetas que se van a examinar:For SharePoint document libraries and folders to be scanned:

-SharePoint 2019- SharePoint 2019

- SharePoint 2016- SharePoint 2016

- SharePoint 2013- SharePoint 2013

- SharePoint 2010- SharePoint 2010
El analizador no admite otras versiones de SharePoint.Other versions of SharePoint are not supported for the scanner.

Cuando se usa el control de versiones, el analizador inspecciona y etiqueta la última versión publicada.When you use versioning, the scanner inspects and labels the last published version. Si el analizador etiqueta un archivo y se requiere la aprobación del contenido , el archivo etiquetado debe estar aprobado para que esté disponible para los usuarios.If the scanner labels a file and content approval is required, that labeled file must be approved to be available for users.

Para grandes granjas de servidores de SharePoint, compruebe si necesita aumentar el umbral de vista de lista (de manera predeterminada, 5000) para que el analizador acceda a todos los archivos.For large SharePoint farms, check whether you need to increase the list view threshold (by default, 5,000) for the scanner to access all files. Para obtener más información, consulte la siguiente documentación de SharePoint: administrar listas y bibliotecas de gran tamaño en SharePoint .For more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint
Para los documentos de Office que se van a examinar:For Office documents to be scanned:

- Formatos de archivo 97-2003 y formatos Open XML de Office para Word, Excel y PowerPoint- 97-2003 file formats and Office Open XML formats for Word, Excel, and PowerPoint
Para obtener más información sobre los tipos de archivo que el analizador admite para estos formatos de archivo, vea Tipos de archivos compatibles con el cliente de Azure Information ProtectionFor more information about the file types that the scanner supports for these file formats, see File types supported by the Azure Information Protection client
Para rutas de acceso largas:For long paths:

- Máximo de 260 caracteres, a menos que el analizador esté instalado en Windows 2016 y el equipo esté configurado para admitir rutas de acceso largas- Maximum of 260 characters, unless the scanner is installed on Windows 2016 and the computer is configured to support long paths
Windows 10 y Windows Server 2016 admiten una longitud de ruta de acceso superior a 260 caracteres con la siguiente configuración de directiva de grupo: Directiva de equipo local > configuración del equipo > plantillas administrativas@no_ _ t-6todos los valores > Habilitar rutas de acceso largas de Win32Windows 10 and Windows Server 2016 support path lengths greater than 260 characters with the following group policy setting: Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Para obtener más información, vea la sección Maximum Path Length Limitation (Limitación de longitud máxima de ruta de acceso) de la documentación para desarrolladores de Windows 10.For more information about supporting long file paths, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

Si no se cumplen todos los requisitos de la tabla porque están prohibidos por las directivas de la organización, consulte alternativas en la sección siguiente.If you can't meet all the requirements in the table because they are prohibited by your organization policies, see the next section for alternatives.

Si se cumplen todos los requisitos, vaya directamente a la sección de instalación.If all the requirements are met, go straight to the installation section.

Implementación del analizador con configuraciones alternativasDeploying the scanner with alternative configurations

Los requisitos previos descritos en la tabla son los requisitos predeterminados para el analizador y se recomiendan porque son la configuración más sencilla para la implementación del analizador.The prerequisites listed in the table are the default requirements for the scanner and recommended because they are the simplest configuration for the scanner deployment. Deben ser adecuados para las pruebas iniciales de manera que pueda comprobar la funcionalidad del analizador.They should be suitable for initial testing, so that you can check the capabilities of the scanner. Sin embargo, en un entorno de producción, las directivas de la organización podrían prohibir estos requisitos predeterminados debido a una o varias de las siguientes restricciones:However, in a product environment, your organization policies might prohibit these default requirements because of one or more of the following restrictions:

  • No se permite la conectividad a Internet de los servidoresServers are not allowed internet connectivity

  • No se puede conceder el rol de administrador del sistema o las bases de datos deben crearse y configurarse manualmenteYou cannot be granted Sysadmin or databases must be created and configured manually

  • No se puede conceder a las cuentas de servicio el derecho Iniciar sesión localmenteService accounts cannot be granted the Log on locally right

  • Las cuentas de servicio no se pueden sincronizar con Azure Active Directory pero los servidores tienen conectividad a InternetService accounts cannot be synchronized to Azure Active Directory but servers have internet connectivity

El analizador puede superar a estas restricciones, pero requieren una configuración adicional.The scanner can accommodate these restrictions but they require additional configuration.

Restricción: el servidor del analizador no puede tener conectividad a InternetRestriction: The scanner server cannot have internet connectivity

Siga las instrucciones para un equipo desconectado.Follow the instructions for a disconnected computer.

Tenga en cuenta que, en esta configuración, el analizador no puede aplicar protección (o quitar protección) mediante el uso de la clave de su organización basada en la nube.Note that in this configuration, the scanner cannot apply protection (or remove protection) by using your organization's cloud-based key. En su lugar, el analizador está limitado al uso de etiquetas que aplican solo clasificación, o protección que usa HYOK.Instead, the scanner is limited to using labels that apply classification only, or protection that uses HYOK.

Restricción: no se le puede conceder el rol de administrador del sistema o las bases de datos deben crearse y configurarse manualmenteRestriction: You cannot be granted Sysadmin or databases must be created and configured manually

Si no se le puede conceder el rol de administrador del sistema para instalar el analizador, puede quitar este rol una vez completada la instalación del analizador.If you can be granted the Sysadmin role temporarily to install the scanner, you can remove this role when the scanner installation is complete. Cuando se usa esta configuración, la base de datos se crea automáticamente y se le conceden automáticamente los permisos necesarios a la cuenta de servicio para el analizador.When you use this configuration, the database is automatically created for you and the service account for the scanner is automatically granted the required permissions. Sin embargo, la cuenta de usuario que configura el analizador requiere el rol db_owner para la base de datos AzInfoProtectionScanner, y debe conceder manualmente este rol a la cuenta de usuario.However, the user account that configures the scanner requires the db_owner role for the AzInfoProtectionScanner database, and you must manually grant this role to the user account.

Si no se puede conceder el rol sysadmin incluso de forma temporal, debe pedir a un usuario que tenga derechos de administrador de eventos que cree manualmente una base de datos denominada AzInfoProtectionScanner antes de instalar el escáner.If you cannot be granted the Sysadmin role even temporarily, you must ask a user with Sysadmin rights to manually create a database named AzInfoProtectionScanner before you install the scanner. Para esta configuración, se deben asignar los siguientes roles:For this configuration, the following roles must be assigned:

CuentaAccount Rol de nivel de base de datosDatabase-level role
Cuenta de servicio para el analizadorService account for the scanner db_ownerdb_owner
Cuenta de usuario para la instalación del analizadorUser account for scanner installation db_ownerdb_owner
Cuenta de usuario para la configuración del analizadorUser account for scanner configuration db_ownerdb_owner

Normalmente, usará la misma cuenta de usuario para instalar y configurar el analizador.Typically, you will use the same user account to install and configure the scanner. Pero si usa cuentas diferentes, ambas requieren el rol db_owner para la base de datos AzInfoProtectionScanner.But if you use different accounts, they both require the db_owner role for the AzInfoProtectionScanner database.

Para crear un usuario y conceder derechos de db_owner en esta base de datos, pida al administrador del archivo que ejecute el siguiente script de SQL dos veces.To create a user and grant db_owner rights on this database, ask the Sysadmin to run the following SQL script twice. La primera vez, para la cuenta de servicio que ejecuta el analizador, y la segunda vez para instalar y administrar el escáner.The first time, for the service account that runs the scanner, and the second time for you to install and manage the scanner. Antes de ejecutar el script, reemplace dominio\usuario por el nombre de dominio y el nombre de cuenta de usuario de la cuenta de servicio o la cuenta de usuario:Before running the script, replace domain\user with the domain name and user account name of the service account or user account:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE AzInfoProtectionScanner IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

Adicionalmente:Additionally:

  • Debe ser un administrador local en el servidor en el que se ejecutará el analizador.You must be a local administrator on the server that will run the scanner

  • Se debe conceder a la cuenta de servicio que ejecutará el analizador permisos de control total para las siguientes claves del registro:The service account that will run the scanner must be granted Full Control permissions to the following registry keys:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Si, después de configurar estos permisos, aparece un error al instalar el escáner, el error puede omitirse y puede iniciar manualmente el servicio del analizador.If, after configuring these permissions, you see an error when you install the scanner, the error can be ignored and you can manually start the scanner service.

Restricción: no se puede conceder a la cuenta de servicio del analizador el derecho Iniciar sesión localmenteRestriction: The service account for the scanner cannot be granted the Log on locally right

Si las directivas de la organización prohíben el derecho Iniciar sesión localmente, pero permiten el derecho Iniciar sesión como proceso por lotes, siga las instrucciones de Especificación y uso del parámetro Token en Set-AIPAuthentication en la guía del administrador.If your organization policies prohibit the Log on locally right for service accounts but allow the Log on as a batch job right, follow the instructions for Specify and use the Token parameter for Set-AIPAuthentication from the admin guide.

Restricción: la cuenta de servicio del analizador no se puede sincronizar con Azure Active Directory pero el servidor tiene conectividad a InternetRestriction: The scanner service account cannot be synchronized to Azure Active Directory but the server has internet connectivity

Puede tener una cuenta para ejecutar el servicio del analizador y usar otra cuenta para autenticarse en Azure Active Directory:You can have one account to run the scanner service and use another account to authenticate to Azure Active Directory:

Instalación del escánerInstall the scanner

  1. Inicie sesión en el equipo de Windows Server en el que se ejecutará el analizador.Sign in to the Windows Server computer that will run the scanner. Use una cuenta que tenga derechos de administrador local y que tenga permisos para escribir en la base de datos maestra de SQL Server.Use an account that has local administrator rights and that has permissions to write to the SQL Server master database.

  2. Inicie una sesión de Windows PowerShell con la opción Ejecutar como administrador.Open a Windows PowerShell session with the Run as an administrator option.

  3. Ejecute el cmdlet AIPScanner Install y especifique la instancia de SQL Server en la que se va a crear una base de datos para el analizador de Azure Information Protection:Run the Install-AIPScanner cmdlet, specifying your SQL Server instance on which to create a database for the Azure Information Protection scanner:

    Install-AIPScanner -SqlServerInstance <name>
    

    Ejemplos:Examples:

    Para una instancia predeterminada: Install-AIPScanner -SqlServerInstance SQLSERVER1For a default instance: Install-AIPScanner -SqlServerInstance SQLSERVER1

    Para una instancia con nombre: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNERFor a named instance: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER

    Para SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESSFor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS

    Cuando se le pida, proporcione las credenciales de la cuenta de servicio del analizador (<dominio\nombre de usuario>) y la contraseña.When you are prompted, provide the credentials for the scanner service account (<domain\user name>) and password.

  4. Compruebe que el servicio esté ahora instalado mediante Herramientas administrativas > Servicios.Verify that the service is now installed by using Administrative Tools > Services.

    El servicio instalado se denomina Analizador de Azure Information Protection y está configurado para ejecutarse con la cuenta de servicio del analizador que ha creado.The installed service is named Azure Information Protection Scanner and is configured to run by using the scanner service account that you created.

Ahora que ha instalado el analizador, debe obtener un token de Azure AD para que la cuenta de servicio del analizador se autentique y se pueda ejecutar en modo desatendido.Now that you have installed the scanner, you need to get an Azure AD token for the scanner service account to authenticate so that it can run unattended.

Obtención de un token de Azure AD para el escánerGet an Azure AD token for the scanner

El token de Azure AD permite la autenticación de la cuenta de servicio del escáner en el servicio Azure Information Protection.The Azure AD token lets the scanner service account authenticate to the Azure Information Protection service.

  1. Desde el mismo equipo con Windows Server, o desde el escritorio, inicie sesión en Azure Portal para crear dos aplicaciones de Azure AD que son necesarias para especificar un token de acceso para la autenticación.From the same Windows Server computer, or from your desktop, sign in to the Azure portal to create two Azure AD applications that are needed to specify an access token for authentication. Después de un inicio de sesión interactivo inicial, este token permite que el analizador se ejecute de forma no interactiva.After an initial interactive sign-in, this token lets the scanner run non-interactively.

    Para crear estas aplicaciones, siga las instrucciones de Cómo etiquetar archivos de manera no interactiva para Azure Information Protection de la guía del administrador.To create these applications, follow the instructions in How to label files non-interactively for Azure Information Protection from the admin guide.

  2. En el equipo de Windows Server, si se ha concedido el derecho de iniciar sesión localmente al la cuenta del servicio de analizador: inicie sesión con esta cuenta e inicie una sesión de PowerShell.From the Windows Server computer, if your scanner service account has been granted the Log on locally right for the installation: Sign in with this account and start a PowerShell session. Ejecute AIPAuthentication conjunto, especificando los valores que ha copiado en el paso anterior:Run Set-AIPAuthentication, specifying the values that you copied from the previous step:

    Set-AIPAuthentication -webAppId <ID of the "Web app / API" application> -webAppKey <key value generated in the "Web app / API" application> -nativeAppId <ID of the "Native" application>
    

    Cuando se le solicite, especifique la contraseña de las credenciales de la cuenta de servicio para Azure AD y, a continuación, haga clic en Aceptar.When prompted, specify the password for your service account credentials for Azure AD, and then click Accept.

    Si se ha concedido el derecho de iniciar sesión localmente a la cuenta del servicio de analizador: siga las instrucciones de la sección Especificación y uso del parámetro Token en Set-AIPAuthentication de la guía de administración.If your scanner service account cannot be granted the Log on locally right for the installation: Follow the instructions in the Specify and use the Token parameter for Set-AIPAuthentication section from the admin guide.

El analizador tiene ahora un token para autenticarse en Azure AD, que es válido durante un año, dos años, o nunca expira, según la configuración de la aplicación web/API en Azure AD.The scanner now has a token to authenticate to Azure AD, which is valid for one year, two years, or never expires, according to your configuration of the Web app /API in Azure AD. Cuando expire el token, deberá repetir los pasos 1 y 2.When the token expires, you must repeat steps 1 and 2.

Ahora está listo para especificar los almacenes de datos que se deben analizar.You're now ready to specify the data stores to scan.

Especificación de los almacenes de datos para el escánerSpecify data stores for the scanner

Use el cmdlet Add-AIPScannerRepository para especificar los almacenes de datos que el analizador de Azure Information Protection debe analizar.Use the Add-AIPScannerRepository cmdlet to specify the data stores to be scanned by the Azure Information Protection scanner. Puede especificar carpetas locales, rutas de acceso UNC y direcciones URL de SharePoint Server para las bibliotecas de documentos y carpetas de SharePoint.You can specify local folders, UNC paths, and SharePoint Server URLs for SharePoint document libraries and folders.

Versiones compatibles para SharePoint: SharePoint Server 2019, SharePoint Server 2016 y SharePoint Server 2013.Supported versions for SharePoint: SharePoint Server 2019, SharePoint Server 2016, and SharePoint Server 2013. SharePoint Server 2010 también se admite en clientes que tengan compatibilidad ampliada para esta versión de SharePoint.SharePoint Server 2010 is also supported for customers who have extended support for this version of SharePoint.

  1. Desde el mismo equipo con Windows Server, en la sesión de PowerShell, ejecute el comando siguiente para agregar el primer almacén de datos:From the same Windows Server computer, in your PowerShell session, add your first data store by running the following command:

     Add-AIPScannerRepository -Path <path>
    

    Por ejemplo: Add-AIPScannerRepository -Path \\NAS\DocumentsFor example: Add-AIPScannerRepository -Path \\NAS\Documents

    Para ver otros ejemplos, use el comando de ayuda de PowerShell Get-Help Add-AIPScannerRepository -examples para este cmdlet.For other examples, use the PowerShell help command Get-Help Add-AIPScannerRepository -examples for this cmdlet.

  2. Repita este comando para todos los almacenes de datos que quiera analizar.Repeat this command for all the data stores that you want to scan. Si necesita eliminar un almacén de datos que ha agregado, use el cmdlet Remove-AIPScannerRepository.If you need to remove a data store that you added, use the Remove-AIPScannerRepository cmdlet.

  3. Ejecute el cmdlet Get-AIPScannerRepository para confirmar que ha especificado correctamente todos los almacenes de datos:Confirm that you have specified all the data stores correctly, by running the Get-AIPScannerRepository cmdlet:

     Get-AIPScannerRepository
    

Con la configuración predeterminada del analizador, ahora está listo para ejecutar el primer examen en modo de detección.With the scanner's default configuration, you're now ready to run your first scan in discovery mode.

Ejecución de un ciclo de detección y visualización de informes del escánerRun a discovery cycle and view reports for the scanner

  1. En la sesión de PowerShell, inicie el analizador ejecutando el comando siguiente:In your PowerShell session, start the scanner by running the following command:

     Start-AIPScan
    

    Como alternativa, puede iniciar el analizador desde Azure Portal.Alternatively, you can start the scanner from the Azure portal. En el panel Azure Information Protection-nodos , seleccione el nodo del escáner y, a continuación, la opción examinar ahora :From the Azure Information Protection - Nodes pane, select your scanner node, and then the Scan now option:

    Inicio del examen con el analizador de Azure Information Protection

  2. Espere a que el escáner complete su ciclo y ejecute el comando siguiente:Wait for the scanner to complete its cycle by running the following command:

     Get-AIPScannerStatus
    

    Como alternativa, puede ver el estado en el panel Azure Information Protection-nodos del Azure portal, comprobando la columna Estado .Alternatively, you can view the status from the Azure Information Protection - Nodes pane in the Azure portal, by checking the STATUS column.

    Busque el estado para mostrar Inactivo en lugar de Examinando.Look for the status to show Idle rather than Scanning.

    Cuando el analizador haya rastreado todos los archivos de los almacenes de datos que ha especificado, el analizador se detendrá, aunque el servicio del analizador sigue ejecutándose.When the scanner has crawled through all the files in the data stores that you specified, the scanner stops although the scanner service remains running.

    Compruebe el registro de eventos local de Windows Aplicaciones y servicios, Azure Information Protection.Check the local Windows Applications and Services event log, Azure Information Protection. Este registro también informa cuando el escáner ha terminado de examinar, con un resumen de los resultados.This log also reports when the scanner has finished scanning, with a summary of results. Busque el id. de evento informativo 911.Look for the informational event ID 911.

  3. Revise los informes almacenados en %localappdata%\Microsoft\MSIP\Scanner\Reports.Review the reports that are stored in %localappdata%\Microsoft\MSIP\Scanner\Reports. Los archivos .txt de resumen incluyen el tiempo invertido en analizar, el número de archivos examinados y cuántos archivos tenían una coincidencia para los tipos de información.The .txt summary files include the time taken to scan, the number of scanned files, and how many files had a match for the information types. Los archivos .csv contienen más detalles para cada archivo.The .csv files have more details for each file. Esta carpeta contiene hasta 60 informes de cada ciclo de examen y, todos, menos el último, se comprimen para ayudar a minimizar el espacio en disco necesario.This folder stores up to 60 reports for each scanning cycle and all but the latest report is compressed to help minimize the required disk space.

    Nota

    Puede cambiar el nivel de registro con el parámetro ReportLevel mediante Set-AIPScannerConfiguration, pero no puede cambiar el nombre ni la ubicación de la carpeta del informe.You can change the level of logging by using the ReportLevel parameter with Set-AIPScannerConfiguration, but you can't change the report folder location or name. Considere la posibilidad de utilizar una unión de directorio para la carpeta si desea almacenar los informes en una partición o un volumen diferentes.Consider using a directory junction for the folder if you want to store the reports on a different volume or partition.

    Por ejemplo, con el comando Mklink: mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\ReportsFor example, using the Mklink command: mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\Reports

    Con la configuración predeterminada, solo los archivos que cumplen las condiciones configuradas para la clasificación automática se incluyen en los informes detallados.With the default setting, only files that meet the conditions you've configured for automatic classification are included in the detailed reports. Si no ve ninguna etiqueta aplicada en estos informes, compruebe que la configuración de etiquetas incluye la clasificación automática en lugar de la recomendada.If you don't see any labels applied in these reports, check your label configuration includes automatic rather than recommended classification.

    Sugerencia

    Los escáneres envían esta información a Azure Information Protection cada cinco minutos para que pueda ver los resultados casi en tiempo real desde Azure Portal.Scanners send this information to Azure Information Protection every five minutes, so that you can view the results in near real-time from the Azure portal. Para más información, consulte Reporting for Azure Information Protection (Informes para Azure Information Protection).For more information, see Reporting for Azure Information Protection.

    Si los resultados no son los esperados, tendrá que ajustar las condiciones que ha especificado en la directiva de Azure Information Protection.If the results are not as you expect, you might need to fine-tune the conditions that you specified in your Azure Information Protection policy. Si es así, repita los pasos del 1 al 3 hasta que esté listo para cambiar la configuración para aplicar la clasificación y, opcionalmente, la protección.If that's the case, repeat steps 1 through 3 until you are ready to change the configuration to apply the classification and optionally, protection.

En Azure Portal solo se muestra información sobre el último examen.The Azure portal displays information about the last scan only. Si necesita ver los resultados de anteriores exámenes, vuelva a los informes que se almacenan en el equipo del analizador, en la carpeta %localappdata%\Microsoft\MSIP\Scanner\Reports.If you need to see the results of previous scans, return to the reports that are stored on the scanner computer, in the %localappdata%\Microsoft\MSIP\Scanner\Reports folder.

Cuando esté listo para etiquetar automáticamente los archivos que el analizador detecta, continúe con el procedimiento siguiente.When you're ready to automatically label the files that the scanner discovers, continue to the next procedure.

Configuración del escáner para aplicar la clasificación y protecciónConfigure the scanner to apply classification and protection

En su configuración predeterminada, el analizador se ejecuta una vez y en el modo solo informe.In its default setting, the scanner runs one time and in the reporting-only mode. Para cambiar esta configuración, use el valor de set-AIPScannerConfiguration:To change these settings, use the Set-AIPScannerConfiguration:

  1. En el equipo con Windows Server, en la sesión de PowerShell, ejecute el siguiente comando:On the Windows Server computer, in the PowerShell session, run the following command:

     Set-AIPScannerConfiguration -Enforce On -Schedule Always
    

    Hay otras opciones de configuración que tal vez quiera cambiar.There are other configuration settings that you might want to change. Por ejemplo, si se cambian los atributos de archivo y lo que se registra en los informes.For example, whether file attributes are changed and what is logged in the reports. Además, si la directiva de Azure Information Protection incluye la configuración que requiere un mensaje de justificación para bajar el nivel de clasificación o quitar la protección, especifique ese mensaje mediante el uso de este cmdlet.In addition, if your Azure Information Protection policy includes the setting that requires a justification message to lower the classification level or remove protection, specify that message by using this cmdlet. Use el siguiente comando de ayuda de PowerShell para obtener más información acerca de cada opción de configuración: Get-Help Set-AIPScannerConfiguration -detailedUse the following PowerShell help command for more information about each configuration setting: Get-Help Set-AIPScannerConfiguration -detailed

  2. Tome nota de la hora actual y vuelva a iniciar el escáner mediante la ejecución del comando siguiente:Make a note of the current time and start the scanner again by running the following command:

     Start-AIPScan
    

    Como alternativa, puede iniciar el analizador desde Azure Portal.Alternatively, you can start the scanner from the Azure portal. En el panel Azure Information Protection-nodos , seleccione el nodo del escáner y, a continuación, la opción examinar ahora :From the Azure Information Protection - Nodes pane, select your scanner node, and then the Scan now option:

    Inicio del examen con el analizador de Azure Information Protection

  3. Vuelva a supervisar el registro de eventos para el tipo informativo 911, con una marca de tiempo posterior a cuando se inició el examen en el paso anterior.Monitor the event log for the informational type 911 again, with a time stamp later than when you started the scan in the previous step.

    Después, compruebe los informes para ver qué archivos se han etiquetado, qué clasificación se ha aplicado a cada archivo y si se les ha aplicado la protección.Then check the reports to see details of which files were labeled, what classification was applied to each file, and whether protection was applied to them. O bien, utilice Azure Portal para ver más fácilmente esta información.Or, use the Azure portal to more easily see this information.

Dado que hemos configurado la programación para que se ejecute continuamente, cuando el escáner haya completado el examen de todos los archivos, iniciará un nuevo ciclo para detectar cualquier archivo nuevo y modificado.Because we configured the schedule to run continuously, when the scanner has worked its way through all the files, it starts a new cycle so that any new and changed files are discovered.

¿Cómo se examinan los archivos?How files are scanned

El analizador pasar por los siguientes procesos cuando examina los archivos.The scanner runs through the following processes when it scans files.

1. determinar si los archivos se incluyen o excluyen para el análisis1. Determine whether files are included or excluded for scanning

El analizador omite automáticamente los archivos que se excluyen de la clasificación y la protección, como los archivos ejecutables y los archivos del sistema.The scanner automatically skips files that are excluded from classification and protection, such as executable files and system files.

Puede cambiar este comportamiento mediante la definición de una lista de tipos de archivo para examinar o excluir del análisis.You can change this behavior by defining a list of file types to scan, or exclude from scanning. Al especificar esta lista y no especificar un repositorio de datos, la lista se aplica a todos los repositorios de datos que no tienen su propia lista especificada.When you specify this list and do not specify a data repository, the list applies to all data repositories that do not have their own list specified. Para especificar esta lista, use Set-AIPScannerScannedFileTypes.To specify this list, use Set-AIPScannerScannedFileTypes.

Después de haber especificado la lista de tipos de archivo, puede agregar un nuevo tipo de archivo a la lista mediante Add-AIPScannerScannedFileTypes, y quitar un tipo de archivo de la lista mediante Remove-AIPScannerScannedFileTypes.After you have specified your file types list, you can add a new file type to the list by using Add-AIPScannerScannedFileTypes, and remove a file type from the list by using Remove-AIPScannerScannedFileTypes.

2. inspeccionar y etiquetar archivos2. Inspect and label files

Después el analizador usa filtros para buscar tipos de archivo admitidos.The scanner then uses filters to scan supported file types. El sistema operativo usa estos mismos filtros para Windows Search y la indización.These same filters are used by the operating system for Windows Search and indexing. Sin ninguna configuración adicional, se usa Windows IFilter se usa para analizar los tipos de archivo que usan Word, Excel, PowerPoint y para documentos PDF y archivos de texto.Without any additional configuration, Windows IFilter is used to scan file types that are used by Word, Excel, PowerPoint, and for PDF documents and text files.

Para obtener una lista completa de tipos de archivo que se admiten de forma predeterminada e información adicional sobre cómo configurar los filtros existentes que incluyan archivos .tiff y archivos .zip, vea Tipos de archivo compatibles para inspección.For a full list of file types that are supported by default, and additional information how to configure existing filters that include .zip files and .tiff files, see File types supported for inspection.

Después de la inspección, estos tipos de archivo pueden etiquetarse mediante las condiciones que ha especificado para las etiquetas.After inspection, these file types can be labeled by using the conditions that you specified for your labels. O bien, si está utilizando el modo de detección, se pueden notificar que estos archivos contienen las condiciones que ha especificado para las etiquetas, o todos los tipos conocidos de información confidencial.Or, if you're using discovery mode, these files can be reported to contain the conditions that you specified for your labels, or all known sensitive information types.

Con todo, el analizador no puede etiquetar los archivos en las siguientes circunstancias:However, the scanner cannot label the files under the following circumstances:

  • Si la etiqueta aplica clasificación pero no protección, y el tipo de archivo no admiten la clasificación solo.If the label applies classification and not protection, and the file type does not support classification only.

  • Si la etiqueta aplica clasificación y protección, pero el analizador no protege el tipo de archivo.If the label applies classification and protection, but the scanner does not protect the file type.

    De forma predeterminada, el analizador protege solo tipos de archivos de Office y archivos PDF cuando están protegidos mediante el estándar ISO para el cifrado de archivos PDF.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. Pueden protegerse otros tipos de archivos cuando se edita el registro tal como se describe en la siguiente sección.Other file types can be protected when you edit the registry as described in a following section.

Por ejemplo, después de inspeccionar los archivos que tienen una extensión .txt, el analizador no puede aplicar una etiqueta que está configurada para la clasificación, pero no la protección, porque el tipo de archivo .txt no admite solo clasificación.For example, after inspecting files that have a file name extension of .txt, the scanner can't apply a label that's configured for classification but not protection, because the .txt file type doesn't support classification-only. Si la etiqueta está configurada para protección y clasificación y se modifica el registro para el tipo de archivo .txt, el analizador puede etiquetar el archivo.If the label is configured for classification and protection, and the registry is edited for the .txt file type, the scanner can label the file.

Sugerencia

Durante este proceso, si el analizador se detiene y no completa el examen de un gran número de archivos en un repositorio:During this process, if the scanner stops and doesn't complete scanning a large number of the files in a repository:

  • Es posible que tenga que aumentar el número de puertos dinámicos del sistema operativo que hospeda los archivos.You might need to increase the number of dynamic ports for the operating system hosting the files. Refuerzo de los servidores de SharePoint puede ser uno de los motivos por los que el analizador supera el número de conexiones de red permitido y, por tanto, se detiene.Server hardening for SharePoint can be one reason why the scanner exceeds the number of allowed network connections, and therefore stops.

    Para comprobar si esta es la causa del análisis del escáner, consulte si se ha registrado el siguiente mensaje de error del escáner en%LocalAppData% \ Microsoft\MSIP\Logs\MSIPScanner.iplog (comprimido si hay varios registros): no se puede conectar con el servidor remoto---> System .net. Sockets. SocketException: por lo general, solo se permite un uso de cada dirección de socket (protocolo/dirección de red/puerto) IP: puerto.To check whether this is the cause of the scanner stopping, look to see if the following error message is logged for the scanner in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped if there are multiple logs): Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

    Para obtener más información sobre cómo ver el intervalo de puerto actual y aumentar el intervalo, vea Configuración que puede modificarse para mejorar el rendimiento de red.For more information about how to view the current port range and increase the range, see Settings that can be Modified to Improve Network Performance.

  • Para grandes granjas de servidores de SharePoint, es posible que tenga que aumentar el umbral de vista de lista (de manera predeterminada, 5000).For large SharePoint farms, you might need to increase the list view threshold (by default, 5,000). Para obtener más información, vea la siguiente documentación de SharePoint: administrar listas y bibliotecas de gran tamaño en SharePoint.For more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint.

3. etiquetar archivos que no se pueden inspeccionar3. Label files that can't be inspected

Para los tipos de archivo que no se pueden inspeccionar, el analizador aplica la etiqueta predeterminada en la directiva de Azure Information Protection, o la etiqueta predeterminada que configure para el analizador.For the file types that can't be inspected, the scanner applies the default label in the Azure Information Protection policy, or the default label that you configure for the scanner.

Como en el paso anterior, el analizador no puede etiquetar los archivos en las siguientes circunstancias:As in the preceding step, the scanner cannot label the files under the following circumstances:

  • Si la etiqueta aplica clasificación pero no protección, y el tipo de archivo no admiten la clasificación solo.If the label applies classification and not protection, and the file type does not support classification only.

  • Si la etiqueta aplica clasificación y protección, pero el analizador no protege el tipo de archivo.If the label applies classification and protection, but the scanner does not protect the file type.

    De forma predeterminada, el analizador protege solo tipos de archivos de Office y archivos PDF cuando están protegidos mediante el estándar ISO para el cifrado de archivos PDF.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. Pueden protegerse otros tipos de archivos cuando se edita el registro tal como se describe a continuación.Other file types can be protected when you edit the registry as described next.

Edición del registro para el analizadorEditing the registry for the scanner

Para cambiar este comportamiento predeterminado del analizador para proteger otros tipos de archivo que no sean de Office y PDF, debe editar el registro manualmente y especificar los tipos de archivo adicionales que quiere que estén protegidos, y el tipo de protección (nativa o genérica).To change the default scanner behavior for protecting file types other than Office files and PDFs, you must manually edit the registry and specify the additional file types that you want to be protected, and the type of protection (native or generic). Para obtener instrucciones, vea Configuración de la API de archivo en la guía del desarrollador.For instructions, see File API configuration from the developer guidance. En esta documentación para desarrolladores, se hace referencia a la protección genérica como "PFile".In this documentation for developers, generic protection is referred to as "PFile". Además, establezca lo siguiente para el analizador:In addition, specific for the scanner:

  • El escáner tiene su propio comportamiento predeterminado: solo los formatos de archivo de Office y los documentos PDF están protegidos de forma predeterminada.The scanner has its own default behavior: Only Office file formats and PDF documents are protected by default. Si no se modifica el registro, el analizador no protegerá ni etiquetará ningún otro tipo de archivo.If the registry is not modified, any other file types will not be labeled or protected by the scanner.

  • Si desea tener el mismo comportamiento de protección predeterminado que el cliente de Azure Information Protection, donde todos los archivos se protegen automáticamente con protección nativa o genérica: especifique el carácter comodín * como una clave del registro, Encryption como valor (REG_SZ) y @no__ t_2_ como datos del valor.If you want the same default protection behavior as the Azure Information Protection client, where all files are automatically protected with native or generic protection: Specify the * wildcard as a registry key, Encryption as the value (REG_SZ), and Default as the value data.

Cuando edite el registro, cree manualmente la clave MSIPC y la clave FileProtection si no existen, así como una clave para cada extensión de nombre de archivo.When you edit the registry, manually create the MSIPC key and FileProtection key if they do not exist, as well as a key for each file name extension.

Por ejemplo, para que el escáner proteja las imágenes TIFF además de los archivos de Office y PDF, el registro después de que se haya editado tendrá un aspecto similar al de la siguiente ilustración.For example, for the scanner to protect TIFF images in addition to Office files and PDFs, the registry after you have edited it, will look like the following picture. Como un archivo de imagen, los archivos TIFF admiten la protección nativa y la extensión de nombre de archivo resultante es .ptiff.As an image file, TIFF files support native protection and the resulting file name extension is .ptiff.

Edición del registro para que el analizador aplique la protección

Para obtener una lista de tipos de archivo de texto e imágenes que admiten la protección nativa de forma similar pero deben especificarse en el registro, vea Tipos de archivos compatibles para protección y clasificación en la Guía del administrador.For a list of text and images file types that similarly support native protection but must be specified in the registry, see Supported file types for classification and protection from the admin guide.

Para los archivos que no son compatibles con la protección nativa, especifique la extensión de nombre de archivo como una nueva clave y PFile para protección genérica.For files that don't support native protection, specify the file name extension as a new key, and PFile for generic protection. La extensión de nombre de archivo resultante para el archivo protegido es .pfile.The resulting file name extension for the protected file is .pfile.

¿Cuándo se vuelven a examinan los archivos?When files are rescanned

En el primer ciclo de examen, el analizador inspecciona todos los archivos de los almacenes de datos configurados y, después, en los exámenes posteriores, solo inspecciona los archivos nuevos o modificados.For the first scan cycle, the scanner inspects all files in the configured data stores and then for subsequent scans, only new or modified files are inspected.

Puede forzar que el analizador Revise todos los archivos de nuevo ejecutando Start-AIPScan con el parámetro RESET .You can force the scanner to inspect all files again by running Start-AIPScan with the Reset parameter. El escáner debe estar configurado para una programación manual, que requiere que el parámetro Schedule se establezca en manual con set-AIPScannerConfiguration.The scanner must be configured for a manual schedule, which requires the Schedule parameter to be set to Manual with Set-AIPScannerConfiguration.

Como alternativa, puede forzar que el analizador Revise todos los archivos de nuevo desde el panel Azure Information Protection-Nodes en el Azure portal.Alternatively, you can force the scanner to inspect all files again from the Azure Information Protection - Nodes pane in the Azure portal. Seleccione el analizador en la lista y, a continuación, seleccione la opción Rescan all files (Volver a examinar todos los archivos):Select your scanner from the list, and then select the Rescan all files option:

Volver a examinar con al analizador de Azure Information Protection

Volver a inspeccionar todos los archivos resulta útil si quiere que los informes incluyan todos los archivos. Esta opción de configuración suele usarse cuando el analizador se ejecuta en modo de detección.Inspecting all files again is useful when you want the reports to include all files and this configuration choice is typically used when the scanner runs in discovery mode. Cuando finaliza el examen completo, el tipo de examen cambia automáticamente a incremental para que en los análisis posteriores solo se examinen los archivos nuevos o modificados.When a full scan is complete, the scan type automatically changes to incremental so that for subsequent scans, only new or modified files are scanned.

Además, se inspeccionan todos los archivos cuando el analizador descarga una directiva de Azure Information Protection con condiciones nuevas o modificadas.In addition, all files are inspected when the scanner downloads an Azure Information Protection policy that has new or changed conditions. El analizador actualiza la directiva cada hora y cuando se inicia el servicio y la directiva es anterior a una hora.The scanner refreshes the policy every hour, and when the service starts and the policy is older than one hour.

Sugerencia

Si necesita actualizar la directiva antes de este intervalo de una hora, por ejemplo, durante un período de prueba, elimine manualmente el archivo de directiva, Policy.msip, tanto en %LocalAppData%\Microsoft\MSIP\Policy.msip como en %LocalAppData%\Microsoft\MSIP\Scanner.If you need to refresh the policy sooner than this one hour interval, for example, during a testing period: Manually delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner. Después, reinicie el servicio Analizador de Azure Information Protection.Then restart the Azure Information Scanner service.

Si ha cambiado la configuración de protección de la directiva, también deberá esperar 15 minutos desde el guardado de la configuración de protección para reiniciar el servicio.If you changed protection settings in the policy, also wait 15 minutes from when you saved the protection settings before you restart the service.

Si el analizador ha descargado una directiva sin ninguna condición automática configurada, la copia del archivo de la directiva que esté en la carpeta del analizador no se actualizará.If the scanner downloaded a policy that had no automatic conditions configured, the copy of the policy file in the scanner folder does not update. En tal caso, deberá eliminar el archivo de directiva, Policy.msip, de %LocalAppData%\Microsoft\MSIP\Policy.msip y %LocalAppData%\Microsoft\MSIP\Scanner para que el analizador pueda usar un archivo de directiva recientemente descargado que contenga etiquetas configuradas correctamente para las condiciones automáticas.In this scenario, you must delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner before the scanner can use a newly downloaded policy file that has labels correctly figured for automatic conditions.

Uso del analizador con configuraciones alternativasUsing the scanner with alternative configurations

Existen dos escenarios alternativos que el escáner de Azure Information Protection admite donde no es necesario que las etiquetas se configuren para ninguna condición:There are two alternative scenarios that the Azure Information Protection scanner supports where labels do not need to be configured for any conditions:

  • Aplique una etiqueta predeterminada a todos los archivos en un repositorio de datos.Apply a default label to all files in a data repository.

    Para esta configuración, utilice el cmdlet Set-AIPScannerRepository y establezca el parámetro MatchPolicy en Off.For this configuration, use the Set-AIPScannerRepository cmdlet, and set the MatchPolicy parameter to Off.

    El contenido de los archivos no se inspecciona y todos los archivos del repositorio de datos se etiquetan con arreglo a la etiqueta predeterminada que especifique para el repositorio de datos (con el parámetro SetDefaultLabel) o, si esto no se especifica, la etiqueta predeterminada que se determine como valor de directiva para la cuenta del analizador.The contents of the files are not inspected and all files in the data repository are labeled according to the default label that you specify for the data repository (with the SetDefaultLabel parameter) or if this is not specify, the default label that is specified as a policy setting for the scanner account.

  • Identifique todas las condiciones personalizadas y los tipos conocidos de información confidencial.Identify all custom conditions and known sensitive information types.

    Para esta configuración, utilice el cmdlet Set-AIPScannerConfiguration y establezca el parámetro DiscoverInformationTypes en All.For this configuration, use the Set-AIPScannerConfiguration cmdlet, and set the DiscoverInformationTypes parameter to All.

    El analizador utiliza cualquier condición personalizada que haya especificado para las etiquetas en la directiva de Azure Information Protection, y la lista de tipos de información que están disponibles para especificar para las etiquetas en la directiva de Azure Information Protection.The scanner uses any custom conditions that you have specified for labels in the Azure Information Protection policy, and the list of information types that are available to specify for labels in the Azure Information Protection policy.

    La siguiente guía de inicio rápido usa esta configuración, aunque es para la versión actual del analizador: Inicio rápido: Busque información confidencial que tenga.The following quickstart uses this configuration, although it's for the current version of the scanner: Quickstart: Find what sensitive information you have.

Optimización del rendimiento del escánerOptimizing the performance of the scanner

Use las instrucciones siguientes para optimizar el rendimiento del analizador.Use the following guidance to help you optimize the performance of the scanner. Sin embargo, si su prioridad es la capacidad de respuesta del equipo del escáner en lugar del rendimiento del escáner, puede usar una configuración de cliente avanzada para limitar el número de subprocesos utilizados por el escáner.However, if your priority is the responsiveness of the scanner computer rather than the scanner performance, you can use an advanced client setting to limit the number of threads used by the scanner.

Para maximizar el rendimiento del analizador:To maximize the scanner performance:

  • Use una conexión de red de alta velocidad y estable entre el equipo que actúa como analizador y el almacén para los datos examinados.Have a high speed and reliable network connection between the scanner computer and the scanned data store

    Por ejemplo, conecte el equipo que actúa como analizador a la misma red LAN o al mismo segmento de red que el almacén de datos examinados (se prefiere la segunda opción).For example, place the scanner computer in the same LAN, or (preferred) in the same network segment as the scanned data store.

    La calidad de la conexión de red afecta al rendimiento del analizador, ya que, al inspeccionar archivos, el analizador transfiere el contenido de los archivos al equipo que ejecuta el servicio de examen.The quality of the network connection affects the scanner performance because to inspect the files, the scanner transfers the contents of the files to the computer running the scanner service. Al reducir (o eliminar) el número de saltos de red que los datos deben realizar, también se reduce la carga de la red.When you reduce (or eliminate) the number of network hops this data has to travel, you also reduce the load on your network.

  • Asegúrese de que el equipo que actúa como analizador tenga recursos del procesador disponibles.Make sure the scanner computer has available processor resources

    Inspeccione el contenido de los archivos para obtener una coincidencia según las condiciones que haya configurado. Las acciones de cifrado y descifrado de archivos suponen una carga elevada para el procesador.Inspecting the file contents for a match against your configured conditions, and encrypting and decrypting files are processor-intensive actions. Supervise los ciclos de examen típicos de los almacenes de datos que haya especificado para identificar si la falta de recursos del procesador afecta negativamente al rendimiento del analizador.Monitor typical scanning cycles for your specified data stores to identify whether a lack of processor resources is negatively affecting the scanner performance.

  • No examine carpetas locales del equipo que ejecute el servicio de analizador.Do not scan local folders on the computer running the scanner service

    Si tiene carpetas para examinar en un servidor Windows, instale el analizador en otro equipo y configure las carpetas como recursos compartidos de red para realizar el examen.If you have folders to scan on a Windows server, install the scanner on a different computer and configure those folders as network shares to scan. Al separar ambas funciones de los archivos de hospedaje y de examen, los recursos de cálculo de esos servicios no interferirán entre sí.Separating the two functions of hosting files and scanning files means that the computing resources for these services are not competing with one another.

Si es necesario, instale varias instancias del analizador.If necessary, install multiple instances of the scanner. Cada instancia del analizador requiere su propia base de datos de configuración en otra instancia de SQL Server.Each scanner instance requires its own configuration database in a different SQL Server instance.

Otros factores que influyen en el rendimiento del analizador:Other factors that affect the scanner performance:

  • La carga actual y los tiempos de respuesta de los almacenes de datos que contienen los archivos para examinar.The current load and response times of the data stores that contain the files to scan

  • Ejecución del analizador en modo de detección o aplicaciónWhether the scanner runs in discovery mode or enforce mode

    El modo de detección suele tener un ritmo de examen superior en comparación con el modo de aplicación, ya que la detección requiere una única acción de lectura de archivo, mientras que el modo de aplicación requiere acciones de lectura y escritura.Discovery mode typically has a higher scanning rate than enforce mode because discovery requires a single file read action, whereas enforce mode requires read and write actions.

  • Cambio de las condiciones de Azure Information ProtectionYou change the conditions in the Azure Information Protection

    Obviamente, el primer ciclo de examen, que se produce cuando el analizador inspecciona todos los archivos, requerirá más tiempo que los siguientes ciclos de examen, ya que, de forma predeterminada, solo se examinan los archivos nuevos o modificados.Your first scan cycle when the scanner must inspect every file will obviously take longer than subsequent scan cycles that by default, inspect only new and changed files. Sin embargo, si cambia las condiciones de la directiva de Azure Information Protection, todos los archivos se examinarán una vez más, tal como se describe en la sección anterior.However, if you change the conditions in the Azure Information Protection policy, all files are scanned again, as described in the preceding section.

  • Construcción de expresiones regex para condiciones personalizadasThe construction of regex expressions for custom conditions

    A fin de evitar un gran consumo de memoria y el riesgo de tiempos de espera (15 minutos por archivo), revise las expresiones regex para garantizar una coincidencia de patrones eficaz.To avoid heavy memory consumption and the risk of timeouts (15 minutes per file), review your regex expressions for efficient pattern matching. Por ejemplo:For example:

  • Elección del nivel de registroYour chosen logging level

    Puede elegir entre Depurar, Información, Error y Desactivado para los informes del analizador.You can choose between Debug, Info, Error and Off for the scanner reports. Desactivado da como resultado un rendimiento óptimo; Depurar ralentiza considerablemente el analizador y debe usarse solo para solucionar problemas.Off results in the best performance; Debug considerably slows down the scanner and should be used only for troubleshooting. Para obtener más información, consulte el parámetro ReportLevel para el cmdlet Set-AIPScannerConfiguration mediante la ejecución de Get-Help Set-AIPScannerConfiguration -detailed.For more information, see the ReportLevel parameter for the Set-AIPScannerConfiguration cmdlet by running Get-Help Set-AIPScannerConfiguration -detailed.

  • En cuanto a los archivos:The files themselves:

    • A excepción de los archivos de Excel, los archivos de Office se examinan más rápidamente que los archivos PDF.With the exception of Excel files, Office files are more quickly scanned than PDF files.

    • Los desprotegidos se examinan más rápido que los protegidos.Unprotected files are quicker to scan than protected files.

    • Obviamente, los archivos de gran tamaño se examinan más lentamente que aquellos más pequeños.Large files obviously take longer to scan than small files.

  • Adicionalmente:Additionally:

    • Confirme que la cuenta de servicio que ejecuta el analizador solo tiene los derechos documentados en la sección de requisitos previos de análisis y, a continuación, configure la configuración de cliente avanzada para deshabilitar el nivel de integridad baja del escáner.Confirm that the service account that runs the scanner has only the rights documented in the scanner prerequisites section, and then configure the advanced client setting to disable the low integrity level for the scanner.

    • El analizador se ejecuta más rápidamente cuando se usa la configuración alternativa para aplicar una etiqueta predeterminada a todos los archivos porque el analizador no inspecciona el contenido del archivo.The scanner runs more quickly when you use the alternative configuration to apply a default label to all files because the scanner does not inspect the file contents.

    • El analizador se ejecuta más lentamente cuando se usa la configuración alternativa para identificar todas las condiciones personalizadas y los tipos conocidos de información confidencial.The scanner runs more slowly when you use the alternative configuration to identify all custom conditions and known sensitive information types.

    • Puede reducir los tiempos de espera del analizador con la configuración de cliente avanzada para obtener mejores tasas de análisis y reducir el consumo de memoria, pero con la confirmación de que se podrían omitir algunos archivos.You can decrease the scanner timeouts with advanced client settings for better scanning rates and lower memory consumption, but with the acknowledgment that some files might be skipped.

Lista de cmdlets para el escánerList of cmdlets for the scanner

Otros cmdlets del analizador le permiten cambiar la cuenta de servicio y la base de datos del analizador, obtener la configuración actual del analizador y desinstalar el servicio del analizador.Other cmdlets for the scanner let you change the service account and database for the scanner, get the current settings for the scanner, and uninstall the scanner service. El analizador utiliza los siguientes cmdlets:The scanner uses the following cmdlets:

  • Add-AIPScannerScannedFileTypesAdd-AIPScannerScannedFileTypes

  • Add-AIPScannerRepositoryAdd-AIPScannerRepository

  • Get-AIPScannerConfigurationGet-AIPScannerConfiguration

  • Get-AIPScannerRepositoryGet-AIPScannerRepository

  • Get-AIPScannerStatusGet-AIPScannerStatus

  • Install-Aipscanner installInstall-AIPScanner

  • Remove-AIPScannerRepositoryRemove-AIPScannerRepository

  • Remove-AIPScannerScannedFileTypesRemove-AIPScannerScannedFileTypes

  • Set-Aipscanner installSet-AIPScanner

  • Set-AIPScannerConfigurationSet-AIPScannerConfiguration

  • Set-AIPScannerScannedFileTypesSet-AIPScannerScannedFileTypes

  • Set-AIPScannerRepositorySet-AIPScannerRepository

  • Start-AIPScanStart-AIPScan

  • Uninstall-Aipscanner installUninstall-AIPScanner

  • Actualización: Aipscanner installUpdate-AIPScanner

Nota

Muchos de estos cmdlets ahora están en desuso en la versión actual del analizador y la ayuda en línea para los cmdlets del analizador refleja este cambio.Many of these cmdlets are now deprecated in the current version of the scanner, and the online help for the scanner cmdlets reflects this change. Para obtener ayuda sobre los cmdlets anteriores a la versión 1.48.204.0 del escáner, use el comando integrado Get-Help <cmdlet name> en la sesión de PowerShell.For cmdlet help earlier than version 1.48.204.0 of the scanner, use the built-in Get-Help <cmdlet name> command in your PowerShell session.

Identificadores de registro de eventos y descripciones para el escánerEvent log IDs and descriptions for the scanner

Use las siguientes secciones para identificar los id. de eventos y las descripciones posibles para el analizador.Use the following sections to identify the possible event IDs and descriptions for the scanner. Estos eventos se registran en el servidor que ejecuta el servicio analizador, en el registro de eventos de aplicaciones y servicios de Windows, Azure Information Protection.These events are logged on the server that runs the scanner service, in the Windows Applications and Services event log, Azure Information Protection.


Información 910Information 910

Se ha iniciado el ciclo del analizador.Scanner cycle started.

Este evento se registra cuando el servicio del analizador se inicia y comienza a examinar los archivos en los repositorios de datos que ha especificado.This event is logged when the scanner service is started and begins to scan for files in the data repositories that you specified.


Información 911Information 911

Ha finalizado el ciclo del analizador.Scanner cycle finished.

Este evento se registra cuando el analizador ha terminado un examen manual o el analizador ha terminado un ciclo para una programación continua.This event is logged when the scanner has finished a manual scan, or the scanner has finished a cycle for a continuous schedule.

Si el analizador se ha configurado para ejecutarse manualmente en lugar de continuamente, use el cmdlet Start-AIPScan para ejecutar un nuevo examen.If the scanner was configured to run manually rather than continuously, to run a new scan, use the Start-AIPScan cmdlet. Para cambiar la programación, use el cmdlet Set-AIPScannerConfiguration y el parámetro Schedule.To change the schedule, use the Set-AIPScannerConfiguration cmdlet and the Schedule parameter.


Pasos siguientesNext steps

¿Está interesado en cómo el equipo de ingeniería y operaciones de servicios centrales de Microsoft ha implementado este escáner?Interested in how the Core Services Engineering and Operations team in Microsoft implemented this scanner? Consulte el caso práctico técnico: Automating data protection with Azure Information Protection scanner (Automatización de la protección de datos con el escáner de Azure Information Protection).Read the technical case study: Automating data protection with Azure Information Protection scanner.

Es posible que se pregunte: ¿Cuál es la diferencia entre FCI de Windows Server y el analizador de Azure Information Protection?You might be wondering: What’s the difference between Windows Server FCI and the Azure Information Protection scanner?

También puede usar PowerShell para clasificar y proteger los archivos de forma interactiva desde el equipo de escritorio.You can also use PowerShell to interactively classify and protect files from your desktop computer. Para obtener más información sobre este y otros escenarios en que se utiliza PowerShell, consulte Uso de PowerShell con el cliente de Azure Information Protection.For more information about this and other scenarios that use PowerShell, see Using PowerShell with the Azure Information Protection client.