Configuration et installation du scanneur d’étiquettes unifié Azure Information Protection (AIP)

S’appliqueà : Azure Information Protection,Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Pertinente pour: client d’étiquetage unifié AIP uniquement.

Cet article explique comment configurer et installer le scanneur azure information protection unifié sur les étiquettes.

Conseil

Si la plupart des clients effectuent ces procédures dans la zone Azure Information Protection du portail Azure, vous devrez peut-être travailler uniquement dans PowerShell.

Par exemple, si vous travaillez dans un environnement qui n’a pas accès au portail Azure, par exemple, des serveurs de scanner Azure China 21Vianet,suivez les instructions dans Utiliser PowerShell pour configurer le scanner.

Vue d’ensemble

Avant de commencer, vérifiez que votre système est conforme aux conditions préalables requises.

Pour utiliser le portail Azure, utilisez la procédure suivante :

  1. Configurer les paramètres du scanneur

  2. Installer le scanneur

  3. Obtenir un jeton Azure AD pour le scanner

  4. Configurer le scanner pour appliquer la classification et la protection

Ensuite, selon les besoins, effectuez les procédures de configuration suivantes pour votre système :

Procédure Description
Modifier les types de fichiers à protéger Vous pouvez analyser, classer ou protéger des types de fichiers différents de ceux par défaut. Pour plus d’informations, voir processus d’analyse AIP.
Mise à niveau de votre scanneur Mettre à niveau votre scanneur pour tirer parti des dernières fonctionnalités et améliorations.
Modification des paramètres du référentiel de données en bloc Utilisez les options d’importation et d’exportation pour apporter des modifications en bloc à plusieurs référentiels de données.
Utiliser le scanneur avec d’autres configurations Utiliser le scanneur sans configurer d’étiquettes avec des conditions
Optimiser les performances Instructions pour optimiser les performances de votre scanneur

Si vous n’avez pas accès aux pages du scanneur dans le portail Azure, configurez les paramètres du scanneur uniquement dans PowerShell. Pour plus d’informations, voir Utiliser PowerShell pour configurer le scanner et les cmdlets PowerShell pris en charge.

Configurer les paramètres du scanneur

Avant d’installer le scanneur ou de le mettre à niveau à partir d’une version plus ancienne de disponibilité générale, configurez ou vérifiez les paramètres de votre scanneur.

Pour configurer votre scanneur dans le portail Azure :

  1. Connectez-vous au portail Azure avec l’un des rôles suivants :

    • Administrateur de conformité
    • Administrateur de données de conformité
    • Administrateur de la sécurité
    • Administrateur général

    Accédez ensuite au volet Azure Information Protection.

    Par exemple, dans la zone de recherche des ressources, services et documents, commencez à taper Informations, puis sélectionnez Azure Information Protection.

  2. Créez un cluster de scanneur. Ce cluster définit votre scanneur et est utilisé pour identifier l’instance du scanneur, par exemple lors de l’installation, des mises à niveau et d’autres processus.

  3. (Facultatif) Analysez votre réseau à la recherche de référentiels risqués. Créez une tâche d’analyse réseau pour analyser une adresse IP ou une plage IP spécifiée, et fournissez une liste de référentiels risqués qui peuvent contenir du contenu sensible que vous souhaiterez sécuriser.

    Exécutez le travail d’analyse de votre réseau, puis analysez les référentiels risqués trouvés.

  4. Créez un travail d’analyse de contenu pour définir les référentiels que vous voulez analyser.

Créer un cluster de scanneur

  1. Dans le menu Scanneur à gauche, sélectionnez l’icôneClusters clusters.

  2. Dans le volet Azure Information Protection - Clusters, sélectionnez Ajouter uneicône pour ajouter une

  3. Dans le volet Ajouter un nouveau cluster, entrez un nom significatif pour le scanneur et une description facultative.

    Le nom du cluster est utilisé pour identifier les configurations et référentiels du scanneur. Par exemple, vous pouvez entrer en Europe pour identifier les emplacements géographiques des référentiels de données que vous voulez analyser.

    Vous utiliserez ce nom ultérieurement pour identifier l’endroit où vous souhaitez installer ou mettre à niveau votre scanneur.

  4. Sélectionnez Enregistrerl’icône Enregistrer pour enregistrer vos modifications.

Créer une tâche d’analyse réseau (aperçu public)

Ajoutez un ou plusieurs référentiels trouvés à une tâche d’analyse de contenu pour les analyser afin de trouver du contenu sensible.

Remarque

La fonctionnalité de découverte du réseau Azure Information Protection est actuellement en prévisualisation. Les conditions supplémentaires d’Azure Preview incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en prévisualisation ou qui ne sont pas encore publiées dans la disponibilité générale.

Le tableau suivant décrit les conditions préalables requises pour le service de découverte de réseau :

Conditions préalables Description
Installer le service de découverte de réseau Si vous avez récemment mis à niveau votre scanneur, vous devrez peut-être encore installer le service de découverte de réseau.

Exécutez la cmdlet Install-MIPNetworkDiscovery pour activer les tâches d’analyse réseau.
Analyse de la protection des informations Azure Assurez-vous qu’Azure Information Protection Analytics est activé.

Dans le portail Azure, allez à Azure Information Protection Manage > Configure analytics (Preview).

Pour plus d’informations, voir Rapports centralisés pour Azure Information Protection (prévisualisation publique).

Pour créer une tâche d’analyse réseau

  1. Connectez-vous au portail Azure et allez à Azure Information Protection. Sous le menu Scanneur à gauche, sélectionnez l’icône Tâches d’analyse réseau (aperçu)de l’icône Tâches d’analyseréseau.

  2. Dans le volet Azure Information Protection - Tâches d’analyse réseau, sélectionnez Ajouterune

  3. Dans la page Ajouter un nouveau travail d’analyse du réseau, définissez les paramètres suivants :

    Paramètre Description
    Nom du travail d’analyse du réseau Entrez un nom significatif pour cette tâche. Ce champ est obligatoire.
    Description Entrez une description significative.
    Sélectionner le cluster Dans la dropdown, sélectionnez le cluster que vous voulez utiliser pour analyser les emplacements réseau configurés.

    Conseil: lors de la sélection d’un cluster, assurez-vous que les réseaux du cluster que vous affectez peuvent accéder aux plages d’adresses IP configurées via SMB.
    Configurer des plages d’adresses IP à découvrir Cliquez pour définir une adresse IP ou une plage.

    Dans le volet Choisir des plages d’adresses IP, entrez un nom facultatif, puis une adresse IP de début et une adresse IP de fin pour votre plage.

    Conseil: pour analyser une adresse IP spécifique uniquement, entrez l’adresse IP identique dans les champs IP de début et de fin.
    Définir une planification Définissez la fréquence d’exécuter ce travail d’analyse réseau.

    Si vous sélectionnez Hebdomadaire,le travail d’analyse réseau Exécuter le paramètre s’affiche. Sélectionnez les jours de la semaine dans lequel vous souhaitez exécuter la tâche d’analyse réseau.
    Définir l’heure de début (UTC) Définissez la date et l’heure d’exécution de ce travail d’analyse réseau. Si vous avez choisi d’exécuter le travail quotidienne, hebdomadaire ou mensuelle, le travail s’exécutera à l’heure définie, à la récurrence que vous avez sélectionnée.

    Remarque: soyez prudent lorsque vous définirez la date sur n’importe quel jour à la fin du mois. Si vous sélectionnez 31,la tâche d’analyse réseau ne s’exécutera pas dans un mois de moins de 30 jours.
  4. Sélectionnez Enregistrerl’icône Enregistrer pour enregistrer vos modifications.

Conseil

Si vous voulez exécuter la même analyse réseau à l’aide d’un autre scanneur, modifiez le cluster défini dans la tâche d’analyse réseau.

Revenir au volet Tâches d’analyse réseau, puis sélectionner Affecter au cluster pour sélectionner un autre cluster maintenant ou Désaffecter le cluster pour apporter d’autres modifications ultérieurement.

Analyser les référentiels risqués trouvés (aperçu public)

Les référentiels détectés, soit par une tâche d’analyse réseau, une tâche d’analyse de contenu, soit par l’accès des utilisateurs détectés dans les fichiers journaux, sont agrégés et répertoriés dans le volet des icônes du référentiel de référentiels de scanners.

Si vous avez défini une tâche d’analyse réseau et que vous l’avez définie pour s’exécuter à une date et une heure spécifiques, attendez qu’elle ne soit plus en cours d’exécution pour vérifier les résultats. Vous pouvez également revenir ici après avoir exécute une tâche d’analyse de contenu pour afficher les données mises à jour.

Remarque

La fonctionnalité Référentiels de protection des informations Azure est actuellement en prévisualisation. Les conditions supplémentaires d’Azure Preview incluent des conditions légales supplémentaires qui s’appliquent aux fonctionnalités Azure en version bêta, en prévisualisation ou qui ne sont pas encore publiées dans la disponibilité générale.

  1. Sous le menu Scanneur à gauche, sélectionnez l’icôneréférentiel de référentiels

    Les référentiels trouvés sont affichés comme suit :

    • Le référentiel par graphique d’état indique le nombre de référentiels déjà configurés pour une tâche d’analyse de contenu et le nombre de référentiels qui ne le sont pas.
    • Les 10 premiers référentiels nonmanagés par graphique Access répertorient les 10 principaux référentiels qui ne sont actuellement affectés à aucun travail d’analyse de contenu, ainsi que des détails sur leurs niveaux d’accès. Les niveaux d’accès peuvent indiquer le niveau de risque de votre référentiel.
    • Le tableau sous la liste des graphiques ré trouve chaque référentiel trouvé ainsi que ses détails.
  2. Pour ce faire, vous pouvez :

    Option Description
    Icône colonnes Sélectionnez Colonnes pour modifier les colonnes affichées.
    Actualiser l’icône Si votre scanneur a récemment exécuté des résultats d’analyse réseau, sélectionnez Actualiser pour actualiser la page.
    Icône Ajouter une Sélectionnez un ou plusieurs référentiels répertoriés dans le tableau, puis sélectionnez Affecter les éléments sélectionnés pour les affecter à une tâche d’analyse de contenu.
    Filtrer La ligne de filtre affiche les critères de filtrage actuellement appliqués. Sélectionnez un des critères affichés pour modifier ses paramètres, ou sélectionnez Ajouter un filtre pour ajouter de nouveaux critères de filtrage.

    Sélectionnez Filtrer pour appliquer vos modifications et actualiser le tableau avec le filtre mis à jour.
    Icône Analyse journal de l’icône Dans le coin supérieur droit du graphique des référentiels nonmanagés, cliquez sur l’icône Analyse journal pour passer aux données d’analyse journal pour ces référentielx.

Les référentiels où l’accès public est trouvé pour avoir des fonctionnalités de lecture ou de lecture/écriture peuvent avoir du contenu sensible qui doit être sécurisé. Si l’accès public est faux, le référentiel n’est pas accessible du tout par le public.

L’accès public à un référentiel n’est signalé que si vous avez configuré un compte faible dans le paramètre StandardDomainsUserAccount des cmdlets Install-MIPNetworkDiscovery ou Set-MIPNetworkDiscoveryConfiguration.

  • Les comptes définis dans ces paramètres servent à simuler l’accès d’un utilisateur faibles au référentiel. Si l’utilisateur le plus faible a défini celui-ci peut accéder au référentiel, cela signifie que le référentiel est accessible au public.

  • Pour vous assurer que l’accès public est signalé correctement, assurez-vous que l’utilisateur spécifié dans ces paramètres est membre du groupe Utilisateurs du domaine uniquement.

Créer une tâche d’analyse de contenu

Analysez en détail votre contenu afin d’analyser des référentiels spécifiques en matière de contenu sensible.

Vous ne pouvez le faire qu’après avoir exécutez un travail d’analyse réseau pour analyser les référentiels de votre réseau, mais vous pouvez également définir votre référentiel vous-même.

Pour créer votre travail d’analyse de contenu sur le portail Azure :

  1. Sous le menu Scanneur à gauche, sélectionnez Travaux de numérisation de contenu.

  2. Dans le volet Azure Information Protection - Travaux d’analyse de contenu, sélectionnez Ajouterl’icôned’enregistrer

  3. Pour cette configuration initiale, configurez les paramètres suivants, puis sélectionnez Enregistrer, mais ne fermez pas le volet.

    Paramètre Description
    Paramètres de travail d’analyse du contenu - - : conserver la valeur par défaut de Manuel
    - - : Changer en stratégie uniquement
    - - : Ne pas configurer pour le moment, car le travail d’analyse de contenu doit d’abord être enregistré.
    Stratégie DLP Si vous utilisez une stratégie Microsoft 365 de protection contre la perte de données (DLP), activez les règles DLP. Pour plus d’informations, voir Utiliser une stratégie DLP.
    Stratégie de confidentialité - - : Sélectionner off
    - - contenu : conserver la valeur par défaut Sur
    - - : conserver la valeur par défaut de la stratégie par défaut
    - - : conserver la valeur par défaut Off
    Configurer les paramètres du fichier - - et « Modifié par » : Conserver la valeur par défaut Sur
    - - : conserver les types de fichiers par défaut pour Exclure
    - - : conserver la valeur par défaut du compte scanneur
    - - : Utilisez cette option uniquement lors de l’utilisation d’une stratégie DLP.
  4. À présent que la tâche d’analyse de contenu est créée et enregistrée, vous êtes prêt à revenir à l’option Configurer des référentiels pour spécifier les magasins de données à analyser.

    Spécifiez des chemins d’accès UNC et SharePoint URL serveur pour les SharePoint documents et dossiers locaux.

    Remarque

    SharePoint Server 2019, SharePoint Server 2016 et SharePoint Server 2013 sont pris en charge pour SharePoint. SharePoint Server 2010 est également pris en charge lorsque vous avez étendu la prise en charge de cette version de SharePoint.

    Pour ajouter votre premier magasin de données, dans le volet Travail Ajouter un nouveau contenu d’analyse de contenu, sélectionnez Configurer des référentiels pour ouvrir le volet Référentiels :

    Configurez des référentiels de données pour le scanneur Azure Information Protection.

    1. Dans le volet Référentiels, sélectionnez Ajouter:

      Ajoutez un référentiel de données pour le scanneur Azure Information Protection.

    2. Dans le volet Référentiel, spécifiez le chemin d’accès du référentiel de données, puis sélectionnez Enregistrer.

      • Pour un partage réseau, \\Server\Folder utilisez.
      • Pour une bibliothèque SharePoint, http://sharepoint.contoso.com/Shared%20Documents/Folder utilisez.
      • Pour un chemin d’accès local : C:\Folder
      • Pour un chemin UNC (unc path) : \\Server\Folder

    Remarque

    Les caractères génériques ne sont pas pris en charge et les emplacements WebDav ne le sont pas.

    Si vous ajoutez un chemin d SharePoint pour les documents partagés:

    • Spécifiez Documents partagés dans le chemin d’accès lorsque vous voulez analyser tous les documents et tous les dossiers de Documents partagés. Par exemple : http://sp2013/SharedDocuments
    • Spécifiez Documents dans le chemin d’accès lorsque vous voulez analyser tous les documents et tous les dossiers d’un sous-dossier sous Documents partagés. Par exemple : http://sp2013/Documents/SalesReports
    • Vous pouvez également spécifier uniquement le nom de domaine domaine (FQDN) de votre Sharepoint, par exemple pour découvrir et analyser tous les sites et sous-sites SharePoint sous une URL et sous-titres spécifiques sous cette URL. Octroyez des droits d’auditeur de site collector à un scanneur pour l’activer.

    Pour les paramètres restants dans ce volet, ne les modifiez pas pour cette configuration initiale, mais conservez-les comme travail d’analyse de contenu par défaut. Le paramètre par défaut signifie que le référentiel de données hérite des paramètres de la tâche d’analyse de contenu.

    Utilisez la syntaxe suivante lors de l’ajout SharePoint chemins d’accès :

    Chemin d’accès Syntaxe
    Chemin racine http://<SharePoint server name>

    Analyse tous les sites, y compris les collections de sites autorisées pour l’utilisateur du scanneur.
    Nécessite des autorisations supplémentaires pour découvrir automatiquement le contenu racine
    Sous SharePoint site ou collection spécifiques L’une des suivantes :
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Nécessite des autorisations supplémentaires pour découvrir automatiquement le contenu de la collection de sites
    Bibliothèque SharePoint bibliothèque spécifique L’une des suivantes :
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Dossier SharePoint dossier spécifique http://<SharePoint server name>/.../<folder name>
  5. Répétez les étapes précédentes pour ajouter autant de référentiels que nécessaire.

    Lorsque vous avez terminé, fermez les volets Travail de référentiel et d’analyse de contenu.

Dans le volet Travail d’analyse de contenu Azure Information Protection - Azure Information Protection, le nom de votre analyse de contenu s’affiche, ainsi que la colonne PLANIFICATION indiquant Manuel et la colonne APPLIQUER vide.

Vous êtes maintenant prêt à installer le scanneur avec la tâche de scanneur de contenu que vous avez créée. Poursuivez l’installation du scanneur.

Installer le scanneur

Après avoir configuré le scanneur Azure Information Protection,effectuez les étapes ci-dessous pour installer le scanneur. Cette procédure est exécutée entièrement dans PowerShell.

  1. Connectez-vous à l Windows de serveur de données qui exécutera le scanneur. Utilisez un compte qui dispose de droits d’administrateur local et qui dispose des autorisations d’écriture dans SQL Server base de données maître.

    Important

    Avant d’installer le scanneur, vous devez avoir installé le client d’étiquetage unifié AIP sur votre ordinateur.

    Pour plus d’informations, consultez les conditions préalables à l’installation et au déploiement du scanneur Azure Information Protection.

  2. Ouvrez une session Windows PowerShell’administration avec l’option Exécuter en tant qu’administrateur.

  3. Exécutez la cmdlet Install-AIPS antivirus, en spécifiant votre instance SQL Server sur laquelle créer une base de données pour le scanneur Azure Information Protection, ainsi que le nom du cluster de scanneur que vous avez spécifié dans la sectionprécédente :

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Exemples utilisant le nom du cluster de scanneur d’Europe:

    • Pour une instance par défaut : Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Pour une instance nommée : Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • Pour SQL Server Express :Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Lorsque vous y êtes invité, fournissez les informations d’identification Active Directory pour le compte de service de scanneur.

    Utilisez la syntaxe suivante \<domain\user name> : . Par exemple : contoso\scanneraccount

  4. Vérifiez que le service est désormais installé à l’aide des Services des outils d’administration.

    Le service installé s’appelle Azure Information Protection Scanner et est configuré pour s’exécuter à l’aide du compte de service de scanneur que vous avez créé.

À présent que vous avez installé le scanneur, vous devez obtenir un jeton de Azure AD pour que le compte de service du scanneur s’authentifier afin que le scanner puisse fonctionner sans surveillance.

Obtenir un jeton Azure AD pour le scanner

Un jeton Azure AD authentifié permet au scanneur de s’authentifier au service Azure Information Protection, ce qui permet au scanneur de s’exécuter de manière non interactive.

Pour plus d’informations, voir Comment étiqueterdes fichiers de façon non interactive pour Azure Information Protection.

Pour obtenir un jeton Azure AD :

  1. Ouvrez le portail Azure pour créer une application Azure AD de spécifier un jeton d’accès pour l’authentification.

  2. Sur l’ordinateur Windows Server, si votre compte de service de scanneur vous a été accordé le journal localement directement pour l’installation, connectez-vous avec ce compte et démarrez une session PowerShell.

    Exécutez Set-AIPAuthentication,en spécifiant les valeurs que vous avez copiées à l’étape précédente :

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Par exemple :

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Conseil

    Si votre compte de service de scanneur ne peut pas se voir accorder le journal localement directement pour l’installation, utilisez le paramètre De la part de avec Set-AIPAuthentication,comme décrit dans la section Comment étiqueter des fichiers de façon non interactive pour Azure Information Protection.

Le scanneur dispose maintenant d’un jeton pour s’authentifier Azure AD. Ce jeton est valide pendant un an, deux ans ou jamais, selon votre configuration du client Web App /API client secret dans Azure AD. Lorsque le jeton arrive à expiration, vous devez répéter cette procédure.

Continuez d’utiliser l’une des étapes suivantes, selon que vous utilisez le portail Azure pour configurer votre scanneur ou Uniquement PowerShell :

Vous êtes maintenant prêt à exécuter votre première analyse en mode découverte. Pour plus d’informations, voir Exécuter un cycle de découverte et afficher les rapports pour le scanner.

Une fois que vous avez exécuté votre analyse initiale de découverte, continuez avec Configurer le scanneur pour appliquer la classification et la protection.

Remarque

Pour plus d’informations, voir Comment étiqueter des fichiers de façon non interactive pour Azure Information Protection

Configurer le scanner pour appliquer la classification et la protection

Les paramètres par défaut configurent le scanner pour qu’il s’exécute une seule fois et en mode création de rapports uniquement. Pour modifier ces paramètres, modifiez la tâche d’analyse de contenu.

Conseil

Si vous travaillez uniquement dans PowerShell, voir Configurer le scanneur pour appliquer la classification et la protection - PowerShell uniquement.

Pour configurer le scanner afin d’appliquer la classification et la protection:

  1. Dans le portail Azure, dans le volet Azure Information Protection - Outils d’analyse de contenu, sélectionnez le travail d’analyse de contenu et de cluster pour le modifier.

  2. Dans le volet Travail d’analyse de contenu, modifiez ce qui suit, puis sélectionnez Enregistrer:

    • Dans la section Travail d’analyse de contenu : Modifier l’échéancier sur Toujours
    • Dans la section Stratégie de confidentialité : Modifier l’applicationsur

    Conseil

    Vous pouvez modifier d’autres paramètres dans ce volet, par exemple, si les attributs du fichier sont modifiés ou si le scanneur peut relabeler les fichiers. Utilisez l’aide de la fenêtre d’information pour en savoir plus sur chaque paramètre de configuration.

  3. Notez l’heure actuelle et recommencez le scanneur à partir du volet Azure Information Protection - Travaux d’analyse de contenu :

    Lancez l’analyse du scanneur Azure Information Protection.

Le scanner est maintenant programmé pour s’exécuter en continu. Lorsque le scanneur fonctionne à travers tous les fichiers configurés, il démarre automatiquement un nouveau cycle de façon à ce que les fichiers nouveaux et modifiés soient découverts.

Utiliser une stratégie DLP

L’utilisation d’une stratégie Microsoft 365 de protection contre la perte de données (DLP) permet au scanneur de détecter les fuites de données potentielles en faisant correspondre les règles DLP aux fichiers stockés dans des partages de fichiers et SharePoint Server.

  • Activez les règles DLP dans votre travail d’analyse de contenu pour réduire l’exposition des fichiers qui correspondent à vos stratégies DLP. Lorsque vos règles DLP sont activées, le scanneur peut réduire l’accès au fichier uniquement aux propriétaires de données ou réduire l’exposition aux groupes à l’échelle du réseau, tels que Tout le monde,Utilisateurs authentifiés ou Utilisateurs du domaine.

  • Dans la Centre de conformité Microsoft 365,déterminez si vous testez simplement votre stratégie DLP ou si vous souhaitez que vos règles soient appliquées et que vos autorisations de fichier soient modifiées en fonction de ces règles. Pour plus d’informations, voir Activer une stratégie DLP.

Les stratégies DLP sont configurées dans le Centre de conformité Microsoft 365. Pour plus d’informations sur les licences DLP, voir Prendre en exemple le scanneur local de protection contre la perte de données.

Conseil

L’analyse de vos fichiers, même lors du test de la stratégie DLP, crée également des rapports d’autorisations de fichier. Interrogez ces rapports pour examiner les expositions spécifiques aux fichiers ou explorer l’exposition d’un utilisateur spécifique à des fichiers numérisés.

Pour utiliser PowerShell uniquement, voir Utiliser une stratégie DLP avec le scanner - PowerShell uniquement.

Pour utiliser une stratégie DLP avec le scanneur:

  1. Dans le portail Azure, accédez à votre travail d’analyse de contenu. Pour plus d’informations, voir Créer une tâche d’analyse de contenu.

  2. Sous la stratégie DLP,activez les règles DLP.

    Important

    Ne définissez pas les règles DLP sur Activé, sauf si une stratégie DLP est configurée dans Microsoft 365.

    L' élaboration de cette fonctionnalité sans stratégie DLP entraîne la générer des erreurs dans le scanneur.

  3. (Facultatif) Sous Configurer les paramètres du fichier,définissez le propriétaire du référentiel sur Onet définissez un utilisateur spécifique comme propriétaire du référentiel.

    Cette option permet au scanneur de réduire l’exposition des fichiers trouvés dans ce référentiel, qui correspondent à la stratégie DLP, au propriétaire du référentiel défini.

Stratégies DLP et actions privées

Si vous utilisez une stratégie DLP avec une action privée et que vous envisagez d’utiliser le scanneur pour étiqueter automatiquement vos fichiers, nous vous recommandons de définir également le paramètre avancé UseCopyAndPreserveNTFSOwner du client d’étiquetage unifié.

Ce paramètre garantit que les propriétaires d’origine conservent l’accès à leurs fichiers.

Pour plus d’informations, voir Créer une tâche d’analyse de contenu et Appliquer une étiquette de sensibilité au contenu de la Microsoft 365 contenu.

Modifier les types de fichiers à protéger

Par défaut, le scanneur AIP protège Office types de fichiers et fichiers PDF uniquement.

Utilisez les commandes PowerShell pour modifier ce comportement selon vos besoins, par exemple pour configurer le scanneur afin de protéger tous les types de fichiers, comme le fait le client, ou pour protéger d’autres types de fichiers spécifiques.

Pour une stratégie d’étiquette qui s’applique au compte d’utilisateur qui télécharge des étiquettes pour le scanneur, spécifiez un paramètre avancé de PowerShell nommé PFileSupportedExtensions.

Pour un scanneur ayant accès à Internet, ce compte d’utilisateur est le compte que vous spécifiez pour le paramètre DelegatedUser avec la commande Set-AIPAuthentication données.

Exemple 1: commande PowerShell du scanneur pour protéger tous les types de fichiers, pour lequel votre stratégie d’étiquette est nommée « Scanner » :

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Exemple 2: commande PowerShell du scanneur pour protéger les fichiers .xml et .tiff en plus des fichiers Office et PDF, pour lequel votre stratégie d’étiquette est nommée « Scanner » :

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Pour plus d’informations, voir Modifier les types de fichiers à protéger.

Mettre à niveau votre scanneur

Si vous avez précédemment installé le scanneur et que vous souhaitez mettre à niveau, utilisez les instructions décrites dans la mise à niveau du scanneur Azure Information Protection.

Ensuite, configurez et utilisez votre scanneur comme d’habitude, en ignoré les étapes d’installation de votre scanneur.

Modifier les paramètres du référentiel de données en bloc

Utilisez les boutons Exporter et Importer pour apporter des modifications à votre scanneur dans plusieurs référentiels.

Ainsi, vous n’avez pas besoin d’apporter les mêmes modifications plusieurs fois, manuellement, dans le portail Azure.

Par exemple, si vous avez un nouveau type de fichier sur plusieurs référentiels de données SharePoint, vous pouvez mettre à jour les paramètres de ces référentiels en bloc.

Pour apporter des modifications en bloc entre référentiels :

  1. Dans le portail Azure du volet Référentiels, sélectionnez l’option Exporter. Par exemple :

    Exportation des paramètres du référentiel de données pour le scanneur Azure Information Protection.

  2. Modifiez manuellement le fichier exporté pour apporter vos modifications.

  3. Utilisez l’option Importer sur la même page pour importer les mises à jour au sein de vos référentiels.

Utiliser le scanneur avec d’autres configurations

Le scanneur Azure Information Protection recherche généralement les conditions spécifiées pour vos étiquettes afin de classifier et protéger votre contenu selon vos besoins.

Dans les scénarios suivants, le scanneur Azure Information Protection est également en mesure d’analyser votre contenu et de gérer les étiquettes, sans aucune condition configurée :

Appliquer une étiquette par défaut à tous les fichiers d’un référentiel de données

Dans cette configuration, tous les fichiers sans étiquette du référentiel sont étiquetés avec l’étiquette par défaut spécifiée pour le référentiel ou la tâche d’analyse de contenu. Les fichiers sont étiquetés sans inspection.

Configurez les paramètres suivants :

Paramètre Description
Étiqueter des fichiers sur la base du contenu Définir sur Off
Étiquette par défaut Définir sur Personnalisé,puis sélectionner l’étiquette à utiliser
Appliquer l’étiquette par défaut Sélectionnez cette option pour que l’étiquette par défaut soit appliquée à tous les fichiers, même s’ils sont déjà étiquetés.

Supprimer les étiquettes existantes de tous les fichiers d’un référentiel de données

Dans cette configuration, toutes les étiquettes existantes sont supprimées, y compris la protection, si la protection a été appliquée avec l’étiquette. La protection appliquée indépendamment d’une étiquette est conservée.

Configurez les paramètres suivants :

Paramètre Description
Étiqueter des fichiers sur la base du contenu Définir sur Off
Étiquette par défaut Définir sur Aucun
Relabel files Option Définir sur Sur,avec la case à cocher Appliquer les étiquettes par défaut sélectionnée

Identifier toutes les conditions personnalisées et les types d’informations sensibles connus

Cette configuration vous permet de rechercher des informations sensibles que vous ne vous êtes peut-être pas rendu compte, aux frais de l’analyse du scanner.

Définissez les types d’informations à découvrir sur Tous.

Pour identifier les conditions et types d’informations pour l’étiquetage, le scanneur utilise les types d’informations sensibles personnalisés spécifiés, ainsi que la liste des types d’informations sensibles intégrés qui peuvent être sélectionnés, comme défini dans le centre de gestion des étiquettes.

Optimiser les performances du scanneur

Remarque

Si vous cherchez à améliorer la réactivité de l’ordinateur scanneur plutôt que les performances du scanneur, utilisez un paramètre client avancé pour limiter le nombre de threads utilisés par le scanneur.

Utilisez les options et instructions suivantes pour optimiser les performances du scanneur :

Option Description
Connexion réseau élevée et fiable entre l’ordinateur scanneur et le magasin de données analysé Par exemple, placez l’ordinateur scanneur dans le même réseau local, ou de préférence, dans le même segment réseau que le magasin de données numérisé.

La qualité de la connexion réseau affecte les performances du scanneur car, pour examiner les fichiers, le scanneur transfère le contenu des fichiers vers l’ordinateur exécutant le service de scanneur.

La réduction ou l’élimination des sauts de réseau requis pour les déplacements des données réduit également la charge sur votre réseau.
S’assurer que l’ordinateur scanneur dispose de ressources de processeur disponibles L’inspection du contenu des fichiers et le chiffrement et le déchiffrement des fichiers sont des actions qui demande beaucoup de processeur.

Surveillez les cycles d’analyse classiques de vos magasins de données spécifiés pour identifier si le manque de ressources processeur affecte négativement les performances du scanneur.
Installer plusieurs instances du scanneur Le scanneur Azure Information Protection prend en charge plusieurs bases de données de configuration sur la même instance SQL serveur lorsque vous spécifiez un nom de cluster personnalisé pour le scanneur.

Conseil: plusieurs scanneurs peuvent également partager le même cluster, ce qui permet d’accélérer les temps d’analyse. Si vous envisagez d’installer le scanneur sur plusieurs ordinateurs avec la même instance de base de données et que vous souhaitez que vos scanners s’exécutent en parallèle, vous devez installer tous vos scanneurs sous le même nom.
Vérifier votre utilisation alternative de la configuration Le scanneur s’exécute plus rapidement lorsque vous utilisez une autre configuration pour appliquer une étiquette par défaut à tous les fichiers, car le scanneur n’inspecte pas le contenu du fichier.

Le scanneur s’exécute plus lentement lorsque vous utilisez une autre configuration afin d’identifier toutes les conditions personnalisées et les types d’informations sensibles connus.

Facteurs supplémentaires qui affectent les performances

Les autres facteurs qui affectent les performances du scanneur sont les suivants :

Facteur Description
Temps de chargement/de réponse La charge actuelle et les temps de réponse des magasins de données contenant les fichiers à analyser affectent également les performances du scanneur.
Mode scanneur (Découverte/Application) En règle générale, le mode découverte présente un taux d’analyse plus élevé que le mode d’application.

La découverte nécessite une action de lecture de fichier unique, tandis que le mode Appliquer nécessite des actions de lecture et d’écriture.
Modifications des stratégies Les performances de votre scanneur peuvent être affectées si vous avez apporté des modifications à l’étiquette d’étiquette.

Votre premier cycle de balayage, où le scanner doit inspecter tous les fichiers, prendra plus de temps que les cycles de balayage suivants qui, par défaut, n’examinent que les fichiers nouveaux et modifiés.

Si vous modifiez les conditions ou les paramètres d’beling automatique, tous les fichiers sont de nouveau analysés. Pour plus d’informations, voir Res en savoir plus sur les fichiers.
Constructions Regex Les performances du scanneur sont affectées par la manière dont vos expressions regex pour des conditions personnalisées sont construite.

Pour éviter une consommation importante de mémoire et le risque de retards (15 minutes par fichier), examinez vos expressions regex pour obtenir une correspondance de modèle efficace.

Par exemple :
- Évitez les quant quantateurs inintérables
- Utiliser des groupes ne capturant pas, par (?:expression) exemple, au lieu de (expression)
Niveau de journal Les options de niveau de journal incluent Débogage,Informations,Erreur et Dés sont disponibles pour les rapports de scanneur.

- - non positifs pour des performances meilleures
- - ralentit sensiblement le scanneur et ne doit être utilisé que pour résoudre les problèmes.

Pour plus d’informations, voir le paramètre ReportLevel de l’cmdlet Set-AIPS parametererConfiguration.
Fichiers analysés - À l’exception de Excel, les Office sont numérisés plus rapidement que les fichiers PDF.

- Les fichiers non protégés sont plus rapides à analyser que les fichiers protégés.

- L’analyse des fichiers de grande taille prend évidemment plus de temps que celle des fichiers de petite taille.

Utiliser PowerShell pour configurer le scanner

Cette section décrit les étapes requises pour configurer et installer le scanneur AIP local lorsque vous n’avez pas accès aux pages du scanneur dans le portail Azure et doivent utiliser PowerShell uniquement.

Important

  • Certaines étapes nécessitent PowerShell si vous êtes ou non en mesure d’accéder aux pages du scanneur dans le portail Azure et sont identiques. Pour ces étapes, consultez les instructions précédentes de cet article comme indiqué.

  • Si vous travaillez avec le scanneur pour Azure China 21Vianet, des étapes supplémentaires sont requises en plus des instructions détaillées ici. Pour plus d’informations, consultez la prise en charge d’Azure Information Protection Office 365 par 21Vianet.

Pour plus d’informations, voir les cmdlets PowerShell pris en charge.

Pour configurer et installer votre scanneur:

  1. Commencez avec PowerShell fermé. Si vous avez précédemment installé le client et le scanneur AIP, assurez-vous que le service AIPS antivirus est arrêté.

  2. Ouvrez une session Windows PowerShell’administration avec l’option Exécuter en tant qu’administrateur.

  3. Exécutez la commande Install-AIPS proxy pour installer votre scanneur sur votre instance de serveur SQL, avec le paramètre Cluster pour définir le nom de votre cluster.

    Cette étape est identique que vous ne parniez pas accéder aux pages du scanneur dans le portail Azure. Pour plus d’informations, voir les instructions de cet article : Installer le scanneur

  4. Obtenez un jeton Azure à utiliser avec votre scanneur, puis ré-authentifier.

    Cette étape est identique que vous ne parniez pas accéder aux pages du scanneur dans le portail Azure. Pour plus d’informations, voir les instructions précédentes de cet article : Obtenez un jeton Azure AD pour le scanner.

  5. Exécutez la cmdlet pour configurer le scanneur de façon à ce qu’il fonctionne en mode hors connexion. Exécuter :

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  6. Exécutez la cmdlet Set-AIPSogrammeContentScanJob pour créer une tâche d’analyse de contenu par défaut.

    Le seul paramètre obligatoire dans la cmdlet Set-AIPScannerContentScanJob est Enforce. Toutefois, vous pouvez définir d’autres paramètres pour votre travail d’analyse de contenu pour le moment. Par exemple :

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    La syntaxe ci-dessus configure les paramètres suivants pendant que vous poursuivez la configuration :

    • Conserve la planification de l’utilisation du scanneur sur manuelle
    • Définit les types d’informations à découvrir en fonction de la stratégie d’étiquette de sensibilité.
    • Ne permet pas d’appliquer une stratégie d’étiquette de confidentialité
    • Étiquettes automatiques des fichiers en fonction du contenu, à l’aide de l’étiquette par défaut définie pour la stratégie d’étiquette de sensibilité
    • N’autorise pas les relabelings de fichiers
    • Conserve les détails du fichier lors de l’analyse et de l’étiquetage automatique, y compris la date de modification,la dernière modificationet la modification par valeurs
    • Définit le scanner pour exclure les fichiers .msg et .tmp lors de l’exécution
    • Définit le propriétaire par défaut sur le compte à utiliser lors de l’exécution du scanneur.
  7. Utilisez la cmdlet Add-AIPSitorerRepository pour définir les référentiels que vous voulez analyser dans votre travail d’analyse de contenu. Par exemple, exécutez :

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Utilisez l’une des syntaxes suivantes, selon le type de référentiel que vous ajoutez :

    • Pour un partage réseau, \\Server\Folder utilisez.
    • Pour une bibliothèque SharePoint, http://sharepoint.contoso.com/Shared%20Documents/Folder utilisez.
    • Pour un chemin d’accès local : C:\Folder
    • Pour un chemin UNC (unc path) : \\Server\Folder

    Remarque

    Les caractères génériques ne sont pas pris en charge et les emplacements WebDav ne le sont pas.

    Pour modifier le référentiel ultérieurement, utilisez plutôt l’cmdlet Set-AIPSitoryRepository.

    Si vous ajoutez un chemin d SharePoint pour les documents partagés:

    • Spécifiez Documents partagés dans le chemin d’accès lorsque vous voulez analyser tous les documents et tous les dossiers de Documents partagés. Par exemple : http://sp2013/SharedDocuments
    • Spécifiez Documents dans le chemin d’accès lorsque vous voulez analyser tous les documents et tous les dossiers d’un sous-dossier sous Documents partagés. Par exemple : http://sp2013/Documents/SalesReports
    • Vous pouvez également spécifier uniquement le nom de domaine domaine (FQDN) de votre Sharepoint, par exemple pour découvrir et analyser tous les sites et sous-sites SharePoint sous une URL et sous-titres spécifiques sous cette URL. Octroyez des droits d’auditeur de site collector à un scanneur pour l’activer.

    Utilisez la syntaxe suivante lors de l’ajout SharePoint chemins d’accès :

    Chemin d’accès Syntaxe
    Chemin racine http://<SharePoint server name>

    Analyse tous les sites, y compris les collections de sites autorisées pour l’utilisateur du scanneur.
    Nécessite des autorisations supplémentaires pour découvrir automatiquement le contenu racine
    Sous SharePoint site ou collection spécifiques L’une des suivantes :
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Nécessite des autorisations supplémentaires pour découvrir automatiquement le contenu de la collection de sites
    Bibliothèque SharePoint bibliothèque spécifique L’une des suivantes :
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Dossier SharePoint dossier spécifique http://<SharePoint server name>/.../<folder name>

Au besoin, continuez en suivant les étapes suivantes :

Utiliser PowerShell pour configurer le scanneur afin d’appliquer la classification et la protection

  1. Exécutez la cmdlet Set-AIPS programmerContentScanJob pour mettre à jour votre travail d’analyse de contenu afin de définir votre planification de façon à ce qu’elle soit toujours appliquée à votre stratégie de confidentialité.

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On
    

    Conseil

    Vous pouvez modifier d’autres paramètres dans ce volet, par exemple, si les attributs du fichier sont modifiés ou si le scanneur peut relabeler les fichiers. Pour plus d’informations sur les paramètres disponibles, consultez la documentation complète de PowerShell.

  2. Exécutez l’cmdlet Start-AIPScan pour exécuter votre travail d’analyse de contenu :

    Start-AIPScan
    

Le scanner est maintenant programmé pour s’exécuter en continu. Lorsque le scanneur fonctionne à travers tous les fichiers configurés, il démarre automatiquement un nouveau cycle de façon à ce que les fichiers nouveaux et modifiés soient découverts.

Utiliser PowerShell pour configurer une stratégie DLP avec le scanner

  1. Exécutez de nouveau l’cmdlet Set-AIPSliererContentScanJob avec le paramètre -EnableDLP défini sur Activé,et avec un propriétaire de référentiel spécifique défini.

    Par exemple :

    Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
    

Cmdlets PowerShell pris en charge

Cette section répertorie les cmdlets PowerShell pris en charge pour le scanneur Azure Information Protection et les instructions de configuration et d’installation du scanneur avec PowerShell uniquement.

Les cmdlets prise en charge pour le scanneur sont les suivantes :

Étapes suivantes

Une fois que vous avez installé et configuré votre scanneur, commencez à analyser vos fichiers.

Voir aussi : Déploiement du scanneur Azure Information Protection pour classeret protéger automatiquement des fichiers.

Informations supplémentaires:

  • Vous souhaitez savoir comment l’équipe d’ingénierie et des opérations principale de Microsoft a implémenté ce scanneur ? Lire l’étude de cas technique : Automatiser la protection des données avec un scanneur Azure Information Protection.

  • Utilisez PowerShell pour classifier et protéger interactivement les fichiers de votre ordinateur de bureau. Pour plus d’informations sur ce scénario et sur d’autres scénarios qui utilisent PowerShell, voir Utiliser PowerShell avec le client d’étiquetage unifié Azure Information Protection.