Qu’est-ce que le scanneur d’étiquetage unifié Azure Information Protection ?

*s’applique à: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 *

*Concerne: client d’étiquetage unifié AIP uniquement. *

Utilisez les informations de cette section pour en savoir plus sur le Azure Information Protection scanneur d’étiquetage unifié, puis sur la façon d’installer, de configurer, d’exécuter et, le cas échéant, de le résoudre.

le scanneur AIP s’exécute en tant que service sur Windows Server et vous permet de découvrir, classer et protéger des fichiers sur les banques de données suivantes :

  • Chemins UNC pour les partages réseau qui utilisent les protocoles SMB ou NFS (version préliminaire).

  • SharePoint les bibliothèques de documents et le dossier pour SharePoint Server 2019 via SharePoint Server 2013. SharePoint 2010 est également pris en charge pour les clients disposant de la prise en charge étendue de cette version de SharePoint.

pour classifier et protéger vos fichiers, le scanneur utilise des étiquettes de sensibilité configurées dans le Centre de conformité Microsoft 365.

Vue d’ensemble du scanner d’étiquetage unifié Azure Information Protection

le scanneur AIP peut inspecter tous les fichiers que Windows peut indexer. Si vous avez configuré des étiquettes de sensibilité pour appliquer la classification automatique, le scanneur peut étiqueter les fichiers détectés pour appliquer cette classification et éventuellement appliquer ou supprimer la protection.

l’illustration suivante montre l’architecture du scanneur AIP, où le scanneur découvre des fichiers sur vos serveurs locaux et SharePoint.

Architecture du scanneur d’étiquetage unifiée Azure Information Protection

Pour inspecter vos fichiers, le scanneur utilise les IFilters installés sur l’ordinateur. pour déterminer si les fichiers doivent être étiquetés, le scanneur utilise Microsoft 365 les types d’informations de confidentialité intégrés de protection contre la perte de données (DLP) et la détection de modèle, ou Microsoft 365 des modèles regex.

Le scanneur utilise le client Azure Information Protection et peut classer et protéger les mêmes types de fichiers que le client. Pour plus d’informations, consultez types de fichiers pris en charge par le client d’étiquetage unifié Azure information protection.

Effectuez l’une des opérations suivantes pour configurer vos analyses en fonction des besoins :

  • Exécutez le scanneur en mode détection uniquement pour créer des rapports qui vérifient ce qui se produit lorsque vos fichiers sont étiquetés.
  • Exécutez le scanneur pour détecter les fichiers contenant des informations sensibles, sans configurer les étiquettes qui appliquent la classification automatique.
  • Exécutez le scanner automatiquement pour appliquer les étiquettes configurées.
  • Définissez une liste de types de fichiers pour spécifier des fichiers à analyser ou à exclure.

Notes

Le scanneur ne découvre pas et n’étiquette pas en temps réel. Il analyse systématiquement les fichiers des magasins de données que vous spécifiez. Configurez ce cycle pour qu’il s’exécute une seule fois, ou à plusieurs reprises.

Conseil

Le scanner d’étiquetage unifié prend en charge les clusters de scanneurs avec plusieurs nœuds, ce qui permet à votre organisation de monter en charge, ce qui permet des temps d’analyse plus rapides et une portée plus large.

Déployez plusieurs nœuds directement à partir du début, ou démarrez avec un cluster à nœud unique et ajoutez des nœuds supplémentaires plus tard au fur et à mesure que vous augmentez. Déployez plusieurs nœuds en utilisant les mêmes nom de cluster et base de données pour l’applet de commande install-AIPScanner .

Processus d’analyse AIP

Lors de l’analyse des fichiers, le scanneur AIP exécute les étapes suivantes :

1. déterminer si les fichiers sont inclus ou exclus pour l’analyse

2. Inspectez et étiquetez les fichiers

3. étiquetez les fichiers qui ne peuvent pas être inspectés

Pour plus d’informations, consultez fichiers non marqués par le scanneur.

1. déterminer si les fichiers sont inclus ou exclus pour l’analyse

Le scanneur ignore automatiquement les fichiers qui sont exclus de la classification et de la protection, comme les fichiers exécutables et les fichiers système. Pour plus d’informations, consultez types de fichiers exclus de la classification et de la protection.

Le scanneur prend également en compte toutes les listes de fichiers explicitement définies pour analyser ou exclure de l’analyse. Les listes de fichiers s’appliquent à tous les référentiels de données par défaut et peuvent également être définies pour des référentiels spécifiques.

Pour définir des listes de fichiers à des fins d’analyse ou d’exclusion, utilisez le paramètre types de fichiers à analyser du travail d’analyse du contenu. Par exemple :

Configurer les types de fichiers à analyser pour le scanneur Azure Information Protection

Pour plus d’informations, consultez déploiement de l’analyseur de Azure information protection pour classifier et protéger automatiquement des fichiers.

2. Inspectez et étiquetez les fichiers

Après avoir identifié les fichiers exclus, le scanneur filtre à nouveau pour identifier les fichiers pris en charge pour l’inspection.

ces filtres sont les mêmes que ceux utilisés par le système d’exploitation pour la recherche et l’indexation Windows et ne nécessitent aucune configuration supplémentaire. Windows IFilter est également utilisé pour analyser les types de fichiers utilisés par Word, Excel et PowerPoint, ainsi que pour les documents PDF et les fichiers texte.

Pour obtenir la liste complète des types de fichiers pris en charge pour l’inspection et d’autres instructions pour la configuration des filtres afin d’inclure des fichiers .zip et. TIFF, consultez types de fichiers pris en charge pour l’inspection.

Après l’inspection, les types de fichiers pris en charge sont étiquetés à l’aide des conditions spécifiées pour vos étiquettes. Si vous utilisez le mode détection, ces fichiers peuvent être consignés pour contenir les conditions spécifiées pour vos étiquettes, ou être signalés comme contenant des types d’informations sensibles connus.

Processus de scanneur arrêtés

Si le scanneur s’arrête et ne termine pas une analyse pour un grand nombre de fichiers dans votre référentiel, vous devrez peut-être augmenter le nombre de ports dynamiques pour le système d’exploitation hébergeant les fichiers.

par exemple, la sécurisation renforcée des serveurs pour SharePoint est l’une des raisons pour lesquelles le scanneur dépasserait le nombre de connexions réseau autorisées et, par conséquent, s’arrêter.

pour vérifier si le renforcement de serveur pour SharePoint est la cause de l’arrêt du scanneur, recherchez le message d’erreur suivant dans les journaux du scanneur sur %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (plusieurs journaux sont compressés dans un fichier zip) :

Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

pour plus d’informations sur l’affichage de la plage de ports actuelle et l’augmenter si nécessaire, consultez Paramètres qui peut être modifiée pour améliorer les performances du réseau.

Conseil

pour les batteries de SharePoint volumineuses, vous devrez peut-être augmenter le seuil d’affichage de liste, qui a une valeur par défaut de 5 000.

Pour plus d’informations, consultez gérer les grandes listes et les bibliothèques dans SharePoint.

3. étiquetez les fichiers qui ne peuvent pas être inspectés

Pour tous les types de fichiers qui ne peuvent pas être inspectés, le scanneur AIP applique l’étiquette par défaut dans la stratégie de Azure Information Protection ou l’étiquette par défaut configurée pour le scanneur.

Fichiers non marqués par le scanneur

Le scanneur AIP ne peut pas étiqueter les fichiers dans les circonstances suivantes :

  • Lorsque l’étiquette applique la classification, mais pas la protection, et que le type de fichier ne prend pas en charge la classification uniquement par le client. Pour plus d’informations, consultez types de fichiers du client d’étiquetage unifié.

  • Lorsque l’étiquette applique la classification et la protection, mais que le scanneur ne prend pas en charge le type de fichier.

    Par défaut, le scanneur protège uniquement les types de fichiers Office et PDF (si ces derniers sont protégés à l’aide de la norme ISO pour le chiffrement PDF).

    D’autres types de fichiers peuvent être ajoutés pour la protection lorsque vous Modifiez les types de fichiers à protéger.

Exemple: après l’inspection des fichiers .txt, le scanneur ne peut pas appliquer une étiquette qui est configurée pour la classification uniquement, car le type de fichier .txt ne prend pas en charge la classification uniquement.

Toutefois, si l’étiquette est configurée pour la classification et la protection, et si le type de fichier .txt est inclus pour le scanneur à protéger, le scanneur peut étiqueter le fichier.

Étapes suivantes

Pour plus d’informations sur le déploiement du scanneur, consultez les articles suivants :

Plus d’informations: