Qu’est-ce que le scanneur Azure Information Protection classique ?

Utilisez les informations de cette section pour en savoir plus sur azure Information Protection scanneur client classique, puis sur l’installation, la configuration, l’exécution et, si nécessaire, la résolution des problèmes.

Le scanneur AIP s’exécute en tant que service sur Windows Server et vous permet de découvrir, classifier et protéger des fichiers sur les magasins de données suivants :

• Chemins UNC pour les partages réseau qui utilisent le protocole SMB (Server Message Block).

• SharePoint bibliothèques de documents et dossiers pour SharePoint Server 2019 via SharePoint Server 2013.

Vue d’ensemble du scanneur azure Information Protection classique

Le scanneur AIP peut inspecter tous les fichiers que Windows pouvez indexer. Si vous avez configuré des étiquettes qui appliquent la classification automatique, le scanneur peut étiqueter les fichiers découverts pour appliquer cette classification, et éventuellement appliquer ou supprimer la protection.

L’image suivante montre l’architecture du scanneur AIP, où le scanneur détecte des fichiers sur vos serveurs locaux et SharePoint.

Pour inspecter vos fichiers, le scanneur utilise des IFilters installés sur l’ordinateur. Pour déterminer si les fichiers ont besoin d’étiquetage, le scanneur utilise le Microsoft 365 types d’informations de confidentialité intégrés de protection contre la perte de données (DLP) et la détection de modèles, ou Microsoft 365 modèles d’expression régulière.

Le scanneur utilise le client Azure Information Protection et peut classifier et protéger les mêmes types de fichiers que le client. Pour plus d’informations, consultez Types de fichiers pris en charge par le client Azure Information Protection.

Effectuez l’une des opérations suivantes pour configurer vos analyses en fonction des besoins :

• Exécutez le scanneur en mode de découverte uniquement pour créer des rapports qui vérifient ce qui se passe lorsque vos fichiers sont étiquetés.
• Exécutez le scanneur pour découvrir des fichiers avec des informations sensibles, sans configurer d’étiquettes qui appliquent la classification automatique.
• Exécutez automatiquement le scanneur pour appliquer des étiquettes comme configurées.
• Définissez une liste de types de fichiers pour spécifier des fichiers spécifiques à analyser ou à exclure.

Notes

Le scanneur ne découvre pas et n’étiquette pas en temps réel. Il analyse systématiquement les fichiers sur les magasins de données que vous spécifiez. Configurez ce cycle pour qu’il s’exécute une seule fois ou plusieurs fois.

Processus d’analyse AIP

Lors de l’analyse des fichiers, le scanneur AIP effectue les étapes suivantes :

1. Déterminer si les fichiers sont inclus ou exclus pour l’analyse

2. Inspecter et étiqueter les fichiers

3. Étiqueter les fichiers qui ne peuvent pas être inspectés

Notes

Pour plus d’informations, consultez Fichiers non étiquetés par le scanneur.

1. Déterminer si les fichiers sont inclus ou exclus pour l’analyse

Le scanneur ignore automatiquement les fichiers qui sont exclus de la classification et de la protection, comme les fichiers exécutables et les fichiers système. Pour plus d’informations, consultez Types de fichiers exclus de la classification et de la protection.

Le scanneur considère également les listes de fichiers explicitement définies pour analyser ou exclure de l’analyse. Les listes de fichiers s’appliquent à tous les référentiels de données par défaut et peuvent également être définies uniquement pour des référentiels spécifiques.

Pour définir des listes de fichiers pour l’analyse ou l’exclusion, utilisez les types de fichiers pour analyser le paramètre dans le travail d’analyse de contenu. Par exemple :

Pour plus d’informations, consultez Déploiement du scanneur Azure Information Protection pour classifier et protéger automatiquement les fichiers.

2. Inspecter et étiqueter les fichiers

Après avoir identifié les fichiers exclus, le scanneur filtre à nouveau pour identifier les fichiers pris en charge pour l’inspection.

Ces filtres supplémentaires sont les mêmes que ceux utilisés par le système d’exploitation pour Windows Recherche et indexation, et ne nécessitent aucune configuration supplémentaire. Windows IFilter est également utilisé pour analyser les types de fichiers utilisés par Word, Excel et PowerPoint, ainsi que pour les documents PDF et les fichiers texte.

Pour obtenir la liste complète des types de fichiers pris en charge pour l’inspection, ainsi que des instructions supplémentaires sur la configuration des filtres pour inclure des fichiers .zip et .tiff, consultez types de fichiers pris en charge pour l’inspection.

Après inspection, les types de fichiers pris en charge sont étiquetés à l’aide des conditions spécifiées pour vos étiquettes. Si vous utilisez le mode de découverte, ces fichiers peuvent être signalés pour contenir les conditions spécifiées pour vos étiquettes ou pour contenir tous les types d’informations sensibles connus.

3. Étiqueter les fichiers qui ne peuvent pas être inspectés

Pour tous les types de fichiers qui ne peuvent pas être inspectés, le scanneur AIP applique l’étiquette par défaut dans la stratégie Azure Information Protection ou l’étiquette par défaut configurée pour le scanneur.

Fichiers non étiquetés par le scanneur

Le scanneur AIP ne peut pas étiqueter les fichiers dans les circonstances suivantes :

• Lorsque l’étiquette applique la classification, mais pas la protection, et que le type de fichier ne prend pas en charge la classification uniquement par le client. Pour plus d’informations, consultez types de fichiers clients classiques.

• Lorsque l’étiquette applique la classification et la protection, mais que le scanneur ne prend pas en charge le type de fichier.

  Par défaut, le scanneur protège uniquement les types de fichiers Office et PDF (si ces derniers sont protégés à l’aide de la norme ISO pour le chiffrement PDF).

  D’autres types de fichiers peuvent être ajoutés pour la protection lorsque vous modifiez les types de fichiers à protéger.

Exemple : après avoir inspecté .txt fichiers, le scanneur ne peut pas appliquer une étiquette configurée pour la classification uniquement, car le type de fichier .txt ne prend pas en charge la classification uniquement.

Toutefois, si l’étiquette est configurée à la fois pour la classification et la protection, et que le type de fichier .txt est inclus pour le scanneur à protéger, le scanneur peut étiqueter le fichier.

Étapes suivantes

Pour plus d’informations sur le déploiement du scanneur, consultez les articles suivants :

• Conditions préalables au déploiement du scanneur AIP
• Configuration et installation du scanneur AIP
• Exécution d’analyses à l’aide du scanneur AIP

Plus d’informations :

• Comment l’équipe Core Services Engineering and Operations de Microsoft a-t-elle implémenté ce scanneur ? Lisez l’étude de cas technique : Automatiser la protection des données avec le scanneur Azure Information Protection.

• Vous vous demandez peut-être : Quelle est la différence entre Windows server FCI et le scanneur Azure Information Protection ?

• Vous pouvez également utiliser PowerShell pour classifier et protéger des fichiers de manière interactive à partir de votre ordinateur de bureau. Pour plus d’informations sur tous les scénarios qui utilisent PowerShell, consultez Utiliser PowerShell avec le client Azure Information Protection.