Configuration et installation du scanneur d’étiquetage unifié Azure Information ProtectionConfiguring and installing the Azure Information Protection unified labeling scanner

S’applique à : Azure information protection, windows server 2019, windows server 2016, windows server 2012 R2Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Notes

Si vous utilisez le scanneur classique AIP, consultez installation et configuration du Azure information protection scanneur classique.If you're working with the AIP classic scanner, see Installing and configuring the Azure Information Protection classic scanner.

Avant de commencer à configurer et à installer le scanneur Azure Information Protection, vérifiez que votre système est conforme aux conditions préalables requises.Before you start configuring and installing the Azure Information Protection scanner, verify that your system complies with the required prerequisites.

Lorsque vous êtes prêt, passez aux étapes suivantes :When you're ready, continue with the following steps:

  1. Configurer le scanneur dans le portail AzureConfigure the scanner in the Azure portal

  2. Installer le scanneurInstall the scanner

  3. Obtenir un jeton Azure AD pour le scanneurGet an Azure AD token for the scanner

  4. Configurer le scanneur pour appliquer la classification et la protectionConfigure the scanner to apply classification and protection

Effectuez les procédures de configuration supplémentaires suivantes selon les besoins de votre système :Perform the following additional configuration procedures as needed for your system:

ProcédureProcedure DescriptionDescription
Changer les types de fichiers à protégerChange which file types to protect Vous souhaiterez peut-être analyser, classer ou protéger différents types de fichiers par rapport à la valeur par défaut.You may want to scan, classify, or protect different file types than the default. Pour plus d’informations, consultez processus d’analyse AIP.For more information, see AIP scanning process.
Mise à niveau de votre scanneurUpgrading your scanner Mettez à niveau votre scanneur pour tirer parti des dernières fonctionnalités et améliorations.Upgrade your scanner to leverage the latest features and improvements.
Modification des paramètres du référentiel de données en blocEditing data repository settings in bulk Utilisez les options d’importation et d’exportation pour apporter des modifications en bloc pour plusieurs référentiels de données.Use import and export options to make changes in bulk for multiple data repositories.
Utiliser le scanneur avec d’autres configurationsUse the scanner with alternative configurations Utiliser le scanneur sans configurer d’étiquettes avec des conditionsUse the scanner without configuring labels with any conditions
Optimiser les performancesOptimize performance Conseils pour optimiser les performances de votre scanneurGuidance to optimize your scanner performance

Pour plus d’informations, consultez également la liste des applets de commande pour le scanneur.For more information, see also List of cmdlets for the scanner.

Configurer le scanneur dans le portail AzureConfigure the scanner in the Azure portal

Avant d’installer le scanneur ou de le mettre à niveau à partir d’une ancienne version de disponibilité générale, configurez ou vérifiez les paramètres de votre scanneur dans la zone Azure Information Protection du Portail Azure.Before you install the scanner, or upgrade it from an older general availability version, configure or verify your scanner settings in the Azure Information Protection area of the Azure portal.

Pour configurer votre scanneur :To configure your scanner:

  1. Connectez-vous au portail Azure avec l’un des rôles suivants :Sign in to the Azure portal with one of the following roles:

    • Administrateur de conformitéCompliance administrator
    • Administrateur des données de conformitéCompliance data administrator
    • Administrateur de sécuritéSecurity administrator
    • Administrateur généralGlobal administrator

    Ensuite, accédez au volet Azure information protection .Then, navigate to the Azure Information Protection pane.

    Par exemple, dans la zone de recherche des ressources, services et documents, commencez à taper Information et sélectionnez Azure Information Protection.For example, in the search box for resources, services, and docs, start typing Information and select Azure Information Protection.

  2. Créez un cluster de scanneur.Create a scanner cluster. Ce cluster définit votre scanneur et est utilisé pour identifier l’instance de l’analyseur, par exemple lors de l’installation, des mises à niveau et d’autres processus.This cluster defines your scanner and is used to identify the scanner instance, such as during installation, upgrades, and other processes.

  3. Facultatif Analysez votre réseau à la recherche de référentiels risqués.(Optional) Scan your network for risky repositories. Créer un travail d’analyse réseau pour analyser une adresse IP ou une plage spécifiée, et fournir une liste des dépôts risqués pouvant contenir du contenu sensible que vous souhaitez sécuriser.Create a network scan job to scan a specified IP address or range, and provide a list of risky repositories that may contain sensitive content you'll want to secure.

    Exécutez votre travail d’analyse réseau, puis Analysez tous les dépôts risqués détectés.Run your network scan job and then analyze any risky repositories found.

  4. Créez un travail d’analyse de contenu pour définir les référentiels que vous souhaitez analyser.Create a content scan job to define the repositories you want to scan.

Créer un cluster de scanneurCreate a scanner cluster

  1. Dans le menu du scanneur situé à gauche, sélectionnez clusters clusters icône.From the Scanner menu on the left, select Clusters clusters icon.

  2. Dans le volet Azure information protection-clusters , sélectionnez Ajouter une icône.On the Azure Information Protection - Clusters pane, select Add add icon.

  3. Dans le volet Ajouter un nouveau cluster , entrez un nom explicite pour le scanneur et une description facultative.On the Add a new cluster pane, enter a meaningful name for the scanner, and an optional description.

    Le nom du cluster est utilisé pour identifier les configurations et les référentiels du scanneur.The cluster name is used to identify the scanner's configurations and repositories. Par exemple, vous pouvez entrer en Europe pour identifier les emplacements géographiques des référentiels de données que vous souhaitez analyser.For example, you might enter Europe to identify the geographical locations of the data repositories you want to scan.

    Vous utiliserez ce nom ultérieurement pour identifier l’emplacement où vous souhaitez installer ou mettre à niveau votre scanneur.You'll use this name later on to identify where you want to install or upgrade your scanner.

  4. Sélectionnez Enregistrer l' icône Enregistrer pour enregistrer vos modifications.Select Save save icon to save your changes.

Créer un travail d’analyse réseau (préversion publique)Create a network scan job (public preview)

À partir de la version 2.8.85, vous pouvez analyser votre réseau à la recherche de référentiels risqués.Starting in version 2.8.85, you can scan your network for risky repositories. Ajoutez un ou plusieurs référentiels trouvés à un travail d’analyse de contenu pour les analyser à la recherche de contenu sensible.Add one or more of the repositories found to a content scan job to scan them for sensitive content.

Notes

L’interface de découverte du réseau est actuellement en cours de déploiement progressif et sera disponible dans toutes les régions du 15 septembre 2020.The network discovery interface is currently in gradual deployment and will be available in all regions by September 15, 2020.

Conditions préalables pour la découverte du réseauNetwork discovery prerequisites

Configuration requisePrerequisite DescriptionDescription
Installation du service de découverte du réseauInstall the Network Discovery service Si vous avez récemment mis à niveau votre scanneur, vous devrez peut-être tout de même installer le service de découverte du réseau.If you've recently upgraded your scanner, you may need to still install the Network Discovery service.

Exécutez l’applet de commande install-MIPNetworkDiscovery pour activer les travaux d’analyse réseau.Run the Install-MIPNetworkDiscovery cmdlet to enable network scan jobs.
Azure Information Protection AnalyticsAzure Information Protection analytics Assurez-vous que Azure Information Protection Analytics est activé.Make sure that you have Azure Information Protection analytics enabled.

Dans la Portail Azure, accédez à Azure Information Protection > gérer > configurer Analytics ( préversion).In the Azure portal, go to Azure Information Protection > Manage > Configure analytics (Preview).

Pour plus d’informations, consultez central Reporting for Azure information protection (version préliminaire publique).For more information, see Central reporting for Azure Information Protection (public preview).

Création d’un travail d’analyse réseauCreating a network scan job

  1. Connectez-vous au Portail Azure et accédez à Azure information protection.Log in to the Azure portal, and go to Azure Information Protection. Dans le menu du scanneur situé à gauche, sélectionnez travaux d’analyse réseau ( préversion) icône travaux d’analyse réseau.Under the Scanner menu on the left, select Network scan jobs (Preview) network scan jobs icon.

  2. Dans le volet Azure information protection-travaux d’analyse réseau , sélectionnez Ajouter une icône.On the Azure Information Protection - Network scan jobs pane, select Add add icon.

  3. Sur la page Ajouter un nouveau travail d’analyse réseau , définissez les paramètres suivants :On the Add a new network scan job page, define the following settings:

    ParamètreSetting DescriptionDescription
    Nom du travail d’analyse réseauNetwork scan job name Entrez un nom explicite pour ce travail.Enter a meaningful name for this job. Ce champ est obligatoire.This field is required.
    DescriptionDescription Entrez une description explicite.Enter a meaningful description.
    Sélectionner le cluster.Select the cluster Dans la liste déroulante, sélectionnez le cluster que vous souhaitez utiliser pour analyser les emplacements réseau configurés.From the dropdown, select the cluster you want to use to scan the configured network locations.

    Conseil : Lorsque vous sélectionnez un cluster, assurez-vous que les nœuds du cluster que vous affectez peuvent accéder aux plages d’adresses IP configurées via SMB.Tip: When selecting a cluster, make sure that the nodes in the cluster you assign can access the configured IP ranges via SMB.
    Configurer des plages d’adresses IP à découvrirConfigure IP ranges to discover Cliquez pour définir une adresse IP ou une plage.Click to define an IP address or range.

    Dans le volet choisir des plages d’adresses IP, entrez un nom facultatif, puis une adresse IP de début et une adresse IP de fin pour votre plage.In the Choose IP ranges pane, enter an optional name, and then a start IP address and end IP address for your range.

    Conseil : Pour analyser uniquement une adresse IP spécifique, entrez l’adresse IP identique dans les champs adresse IP de début et adresse IP de fin .Tip: To scan a specific IP address only, enter the identical IP address in both the Start IP and End IP fields.
    Définir la planificationSet schedule Définissez la fréquence à laquelle vous souhaitez que ce travail d’analyse de réseau s’exécute.Define how often you want this network scan job to run.

    Si vous sélectionnez hebdomadaire, le paramètre exécuter le travail d’analyse du réseau sur s’affiche.If you select Weekly, the Run network scan job on setting appears. Sélectionnez les jours de la semaine où vous souhaitez que le travail d’analyse du réseau s’exécute.Select the days of the week where you want the network scan job to run.
    Définir l’heure de début (UTC)Set start time (UTC) Définissez la date et l’heure de début de l’exécution de ce travail d’analyse de réseau.Define the date and time that you want this network scan job to start running. Si vous avez choisi d’exécuter le travail tous les jours, toutes les semaines ou tous les mois, le travail s’exécutera à l’heure définie, à la périodicité que vous avez sélectionnée.If you've selected to run the job daily, weekly, or monthly, the job will run at the defined time, at the recurrence you've selected.

    Remarque: Soyez prudent lors de la définition de la date sur un jour à la fin du mois.Note: Be careful when setting the date to any days at the end of the month. Si vous sélectionnez 31, le travail d’analyse du réseau ne s’exécutera pas dans un mois de 30 jours ou moins.If you select 31, the network scan job will not run in any month that has 30 days or fewer.
  4. Sélectionnez Enregistrer l' icône Enregistrer pour enregistrer vos modifications.Select Save save icon to save your changes.

Conseil

Si vous souhaitez exécuter la même analyse réseau à l’aide d’un autre scanneur, modifiez le cluster défini dans le travail d’analyse réseau.If you want to run the same network scan using a different scanner, change the cluster defined in the network scan job.

Revenez au volet travaux d’analyse réseau et sélectionnez attribuer au cluster pour sélectionner un autre cluster maintenant, ou annuler l' affectation du cluster pour apporter des modifications ultérieures.Return to the Network scan jobs pane, and select Assign to cluster to select a different cluster now, or Unassign cluster to make additional changes later.

Analyser les référentiels à risque trouvés (version préliminaire publique)Analyze risky repositories found (public preview)

Les référentiels trouvés, par un travail d’analyse réseau, un travail d’analyse de contenu ou un accès utilisateur détecté dans les fichiers journaux, sont agrégés et répertoriés dans le volet de l' icône du scanneur > référentiels dépôts.Repositories found, either by a network scan job, a content scan job, or by user access detected in log files, are aggregated and listed on the Scanner > Repositories repositories icon pane.

Si vous avez défini un travail d’analyse réseau et que vous l’avez configuré pour qu’il s’exécute à une date et une heure spécifiques, patientez jusqu’à la fin de l’exécution pour vérifier les résultats.If you've defined a network scan job and have set it to run at a specific date and time, wait until it's finished running to check for results. Vous pouvez également revenir ici après avoir exécuté un travail d’analyse de contenu pour afficher les données mises à jour.You can also return here after running a content scan job to view updated data.

  1. Dans le menu du scanneur situé à gauche, sélectionnez référentiels dépôts icône.Under the Scanner menu on the left, select Repositories repositories icon.

    Les référentiels trouvés sont présentés comme suit :The repositories found are shown as follows:

    • Le graphique des dépôts par État indique le nombre de référentiels déjà configurés pour un travail d’analyse de contenu, ainsi que le nombre de référentiels non.The Repositories by status graph shows how many repositories are already configured for a content scan job, and how many are not.
    • Les 10 principaux dépôts non gérés par Access Graph répertorient les 10 principaux dépôts qui ne sont pas actuellement affectés à un travail d’analyse de contenu, ainsi que des détails sur leur niveau d’accès.The Top 10 unmanaged repositories by access graph lists the top 10 repositories that are not currently assigned to a content scan job, as well as details about their access levels. Les niveaux d’accès peuvent indiquer le niveau de risque de vos référentiels.Access levels can indicate how risky your repositories are.
    • Le tableau sous les graphiques répertorie chaque référentiel trouvé et les détails correspondants.The table below the graphs list each repository found and their details.
  2. Faites ce qui suit :Do any of the following:

    OptionOption DescriptionDescription
    icône colonnescolumns icon Sélectionnez colonnes pour modifier les colonnes de table affichées.Select Columns to change the table columns displayed.
    icône d’actualisationrefresh icon Si votre scanneur a récemment exécuté des résultats d’analyse réseau, sélectionnez Actualiser pour actualiser la page.If your scanner has recently run network scan results, select Refresh to refresh the page.
    icône d’ajoutadd icon Sélectionnez un ou plusieurs référentiels listés dans le tableau, puis sélectionnez assigner les éléments sélectionnés pour les affecter à un travail d’analyse de contenu.Select one or more repositories listed in the table, and then select Assign Selected Items to assign them to a content scan job.
    FilterFilter La ligne de filtre indique les critères de filtrage actuellement appliqués.The filter row shows any filtering criteria currently applied. Sélectionnez l’un des critères affichés pour modifier ses paramètres, ou sélectionnez Ajouter un filtre pour ajouter de nouveaux critères de filtrage.Select any of the criteria shown to modify its settings, or select Add Filter to add new filtering criteria.

    Sélectionnez filtre pour appliquer vos modifications et actualiser la table avec le filtre mis à jour.Select Filter to apply your changes and refresh the table with the updated filter.
    Icône Log AnalyticsLog Analytics icon Dans le coin supérieur droit du graphique dépôts non managés, cliquez sur l’icône log Analytics pour accéder à log Analytics données de ces dépôts.In the top-right corner of the unmanaged repositories graph, click the Log Analytics icon to jump to Log Analytics data for these repositories.

Dépôts avec accès publicRepositories with public access

Les référentiels pour lesquels un accès public est accessible en lecture ou en lecture/écriture peuvent avoir un contenu sensible qui doit être sécurisé.Repositories where Public access is found to have read or read/write capabilities may have sensitive content that must be secured. Si l' accès public a la valeur false, le référentiel n’est pas accessible par le public.If Public access is false, the repository not accessible by the public at all.

L’accès public à un référentiel est signalé uniquement si vous avez défini un compte faible dans le paramètre StandardDomainsUserAccount des applets de commande install-MIPNetworkDiscovery ou Set-MIPNetworkDiscovery .Public access to a repository is only reported if you've set a weak account in the StandardDomainsUserAccount parameter of the Install-MIPNetworkDiscovery or Set-MIPNetworkDiscovery cmdlets.

  • Les comptes définis dans ces paramètres sont utilisés pour simuler l’accès d’un utilisateur faible au référentiel.The accounts defined in these parameters are used to simulate the access of a weak user to the repository. Si l’utilisateur faible défini peut accéder au référentiel, cela signifie que le référentiel est accessible publiquement.If the weak user defined there can access the repository, this means that the repository can be accessed publicly.

  • Pour vous assurer que l’accès public est correctement signalé, assurez-vous que l’utilisateur spécifié dans ces paramètres est membre du groupe utilisateurs du domaine uniquement.To ensure that public access is reported correctly, make sure that the user specified in these parameters is a member of the Domain Users group only.

Créer un travail d’analyse de contenuCreate a content scan job

Explorez en profondeur votre contenu pour analyser des référentiels spécifiques pour obtenir du contenu sensible.Deep dive into your content to scan specific repositories for sensitive content.

Vous pouvez effectuer cette opération uniquement après avoir exécuté un travail d’analyse réseau pour analyser les référentiels de votre réseau, mais vous pouvez également définir vos référentiels vous-même.You may want to do this only after running a network scan job to analyze the repositories in your network, but can also define your repositories yourself.

  1. Dans le menu du scanneur situé à gauche, sélectionnez travaux d’analyse du contenu.Under the Scanner menu on the left, select Content scan jobs.

  2. Dans le volet Azure information protection-travaux d’analyse de contenu , sélectionnez Ajouter une icône.On the Azure Information Protection - Content scan jobs pane, select Add add icon.

  3. Pour cette configuration initiale, configurez les paramètres suivants, puis sélectionnez Enregistrer sans fermer le volet.For this initial configuration, configure the following settings, and then select Save but do not close the pane.

    ParamètreSetting DescriptionDescription
    Paramètres du travail d’analyse du contenuContent scan job settings - Planifier: conserver la valeur par défaut manuelle- Schedule: Keep the default of Manual
    - Types d’informations à découvrir: changer en stratégie uniquement- Info types to be discovered: Change to Policy only
    - Configurer les référentiels: ne pas configurer pour l’instant, car le travail d’analyse de contenu doit d’abord être enregistré.- Configure repositories: Do not configure at this time because the content scan job must first be saved.
    Application de la stratégiePolicy enforcement - Appliquer: sélectionner désactivé- Enforce: Select Off
    - Étiqueter les fichiers en fonction du contenu: conservez la valeur par défaut activée- Label files based on content: Keep the default of On
    - Étiquette pardéfaut : conserver la valeur par défaut de la stratégie par défaut- Default label: Keep the default of Policy default
    - Réétiqueter les fichiers: conserver la valeur par défaut désactivé- Relabel files: Keep the default of Off
    Configurer les paramètres du fichierConfigure file settings - Conserver les valeurs « date de modification », « dernière modification » et « modifié par »: conserver la valeur par défaut activée- Preserve "Date modified", "Last modified" and "Modified by": Keep the default of On
    - Types de fichiers à analyser: conserver les types de fichiers par défaut pour l' exclusion- File types to scan: Keep the default file types for Exclude
    - Propriétaire par défaut: conserver la valeur par défaut du compte de scanneur- Default owner: Keep the default of Scanner Account
  4. Maintenant que le travail d’analyse de contenu est créé et enregistré, vous êtes prêt à revenir à l’option configurer les référentiels pour spécifier les magasins de données à analyser.Now that the content scan job is created and saved, you're ready to return to the Configure repositories option to specify the data stores to be scanned.

    Spécifiez les chemins d’accès UNC et les URL du serveur SharePoint pour les dossiers et bibliothèques de documents locaux SharePoint.Specify UNC paths, and SharePoint Server URLs for SharePoint on-premises document libraries and folders.

    Notes

    SharePoint Server 2019, SharePoint Server 2016 et SharePoint Server 2013 sont pris en charge pour SharePoint.SharePoint Server 2019, SharePoint Server 2016, and SharePoint Server 2013 are supported for SharePoint. SharePoint Server 2010 est également pris en charge lorsque vous bénéficiez d’un support étendu pour cette version de SharePoint.SharePoint Server 2010 is also supported when you have extended support for this version of SharePoint.

    Pour ajouter votre premier magasin de données, dans le volet Ajouter un nouveau travail d’analyse de contenu , sélectionnez configurer les référentiels pour ouvrir le volet dépôts :To add your first data store, while on the Add a new content scan job pane, select Configure repositories to open the Repositories pane:

    Configuration de référentiels de données pour le scanneur Azure Information Protection

    1. Dans le volet Référentiels, sélectionnez Ajouter :On the Repositories pane, select Add:

      Ajout d’un référentiel de données pour le scanneur Azure Information Protection

    2. Dans le volet référentiel , spécifiez le chemin d’accès du référentiel de données, puis sélectionnez Enregistrer.On the Repository pane, specify the path for the data repository, and then select Save.

      Par exemple :For example:

      • Pour un partage réseau, utilisez \\Server\Folder .For a network share, use \\Server\Folder.
      • Pour une bibliothèque SharePoint, utilisez http://sharepoint.contoso.com/Shared%20Documents/Folder .For a SharePoint library, use http://sharepoint.contoso.com/Shared%20Documents/Folder.

      Notes

      Les caractères génériques ne sont pas pris en charge, ni les emplacements WebDav.Wildcards are not supported and WebDav locations are not supported.

      Pour les autres paramètres de ce volet, ne les modifiez pas pour cette configuration initiale, mais conservez-les en tant que travail d’analyse du contenu par défaut.For the remaining settings on this pane, do not change them for this initial configuration, but keep them as Content scan job default. Le paramètre par défaut signifie que le référentiel de données hérite des paramètres du travail d’analyse de contenu.The default setting means that the data repository inherits the settings from the content scan job.

      Pour ajouter des chemins d’accès SharePoint, utilisez la syntaxe ci-après :Use the following syntax when adding SharePoint paths:

      PathPath SyntaxeSyntax
      Chemin d’accès racineRoot path http://<SharePoint server name>

      Analyse tous les sites, y compris les collections de sites autorisées pour l’utilisateur du scanneur.Scans all sites, including any site collections allowed for the scanner user.
      Nécessite des autorisations supplémentaires pour découvrir automatiquement le contenu racineRequires additional permissions to automatically discover root content
      Sous-site ou regroupement SharePoint spécifiqueSpecific SharePoint subsite or collection Celui-ci peut avoir l'une des valeurs suivantes :One of the following:
      - http://<SharePoint server name>/<subsite name>
      - http://SharePoint server name>/<site collection name>/<site name>

      Nécessite des autorisations supplémentaires pour découvrir automatiquement le contenu de la collection de sitesRequires additional permissions to automatically discover site collection content
      Bibliothèque SharePoint spécifiqueSpecific SharePoint library Celui-ci peut avoir l'une des valeurs suivantes :One of the following:
      - http://<SharePoint server name>/<library name>
      - http://SharePoint server name>/.../<library name>
      Dossier SharePoint spécifiqueSpecific SharePoint folder http://<SharePoint server name>/.../<folder name>
  5. Répétez les étapes précédentes pour ajouter autant de référentiels que nécessaire.Repeat the previous steps to add as many repositories as needed.

    Lorsque vous avez terminé, fermez les volets du travail référentiels et analyse du contenu .When you're done, close both the Repositories and Content scan job panes.

De retour dans le volet du travail analyse du contenu Azure information protection , le nom de votre analyse de contenu s’affiche, ainsi que la colonne planification qui indique Manuel et la colonne appliquer est vide.Back on the Azure Information Protection - Content scan job pane, your content scan name is displayed, together with the SCHEDULE column showing Manual and the ENFORCE column is blank.

Vous êtes maintenant prêt à installer le scanneur avec la tâche d’analyse de contenu que vous avez créée.You're now ready to install the scanner with the content scanner job that you've created. Continuez l’installation du scanneur.Continue with Install the scanner.

Installer le scanneurInstall the scanner

Une fois que vous avez configuré le scanneur Azure information protection dans le portail Azure, effectuez les étapes ci-dessous pour installer le scanneur :After you've configured the Azure Information Protection scanner in the Azure portal, perform the steps below to install the scanner:

  1. Connectez-vous à l’ordinateur Windows Server qui exécutera le scanneur.Sign in to the Windows Server computer that will run the scanner. Utilisez un compte disposant de droits d’administrateur local et qui est autorisé à écrire dans la base de données principale SQL Server.Use an account that has local administrator rights and that has permissions to write to the SQL Server master database.

  2. Ouvrez une session Windows PowerShell avec l’option Exécuter en tant qu’administrateur.Open a Windows PowerShell session with the Run as an administrator option.

  3. Exécutez l’applet de commande install-AIPScanner , en spécifiant votre SQL Server instance sur laquelle créer une base de données pour le scanneur de Azure information protection, et le nom du cluster du scanneur que vous avez spécifié dans la section précédente :Run the Install-AIPScanner cmdlet, specifying your SQL Server instance on which to create a database for the Azure Information Protection scanner, and the scanner cluster name that you specified in the preceding section:

    Install-AIPScanner -SqlServerInstance <name> -Profile <cluster name>
    

    Exemples utilisant le nom de profil Europe :Examples, using the profile name of Europe:

    • Pour une instance par défaut : Install-AIPScanner -SqlServerInstance SQLSERVER1 -Profile EuropeFor a default instance: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Profile Europe

    • Pour une instance nommée : Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Profile EuropeFor a named instance: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Profile Europe

    • Pour SQL Server Express : Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Profile EuropeFor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Profile Europe

    Lorsque vous y êtes invité, fournissez les informations d’identification du compte de service du scanneur ( <domain\user name> ) et du mot de passe.When you are prompted, provide the credentials for the scanner service account (<domain\user name>) and password.

  4. Vérifiez que le service est maintenant installé à l’aide des Outils d’administration > services.Verify that the service is now installed by using Administrative Tools > Services.

    Le service installé est nommé Scanneur Azure Information Protection et il est configuré pour s’exécuter en utilisant le compte de service du scanneur que vous avez créé.The installed service is named Azure Information Protection Scanner and is configured to run by using the scanner service account that you created.

Maintenant que vous avez installé le scanneur, vous devez obtenir un jeton de Azure AD pour que le compte de service du scanneur s’authentifie, afin que le scanneur puisse s’exécuter sans assistance.Now that you have installed the scanner, you need to get an Azure AD token for the scanner service account to authenticate, so that the scanner can run unattended.

Obtenir un jeton Azure AD pour le scanneurGet an Azure AD token for the scanner

Un jeton de Azure AD permet à l’analyseur de s’authentifier auprès du service Azure Information Protection, ce qui permet à l’analyseur de s’exécuter de manière non interactive.An Azure AD token allows the scanner to authenticate to the Azure Information Protection service, enabling the scanner to run non-interactively.

Pour plus d’informations, consultez Comment étiqueter des fichiers de manière non interactive pour Azure information protection.For more information, see How to label files non-interactively for Azure Information Protection.

Pour recevoir un jeton de Azure AD :To get an Azure AD token:

  1. Revenez à la Portail Azure pour créer une application Azure AD afin de spécifier un jeton d’accès pour l’authentification.Return to the Azure portal to create an Azure AD application to specify an access token for authentication.

  2. À partir de l’ordinateur Windows Server, si votre compte de service de scanneur a reçu le droit ouvrir une session localement pour l’installation, connectez-vous avec ce compte et démarrez une session PowerShell.From the Windows Server computer, if your scanner service account has been granted the Log on locally right for the installation, sign in with this account and start a PowerShell session.

    Exécutez Set-AIPAuthentication, en spécifiant les valeurs copiées à partir de l’étape précédente :Run Set-AIPAuthentication, specifying the values that you copied from the previous step:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Par exemple :For example:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

Conseil

Si votre compte de service de scanneur ne peut pas se voir accorder le droit ouvrir une session localement pour l’installation, utilisez le paramètre OnBehalfOf avec Set-AIPAuthentication, comme décrit dans Comment étiqueter des fichiers de manière non interactive pour Azure information protection.If your scanner service account cannot be granted the Log on locally right for the installation, use the OnBehalfOf parameter with Set-AIPAuthentication, as described in How to label files non-interactively for Azure Information Protection.

Le scanneur dispose désormais d’un jeton pour s’authentifier auprès de Azure AD.The scanner now has a token to authenticate to Azure AD. Ce jeton est valide pendant un an, deux ans ou jamais, en fonction de votre configuration de la clé secrète client de l' application Web/API dans Azure ad.This token is valid for one year, two years, or never, according to your configuration of the Web app /API client secret in Azure AD.

Lorsque le jeton expire, vous devez répéter cette procédure.When the token expires, you must repeat this procedure.

Vous pouvez maintenant exécuter votre première analyse en mode découverte.You're now ready to run your first scan in discovery mode. Pour plus d’informations, consultez exécuter un cycle de découverte et afficher les rapports du scanneur.For more information, see Run a discovery cycle and view reports for the scanner.

Une fois que vous avez exécuté votre analyse de découverte initiale, poursuivez la configuration du scanneur pour appliquer la classification et la protection.Once you've run your initial discovery scan, continue with Configure the scanner to apply classification and protection.

Configurer le scanneur pour appliquer la classification et la protectionConfigure the scanner to apply classification and protection

Les paramètres par défaut configurent le scanneur pour qu’il s’exécute une seule fois et en mode rapport uniquement.The default settings configure the scanner to run once, and in reporting-only mode.

Pour modifier ces paramètres, modifiez le travail d’analyse du contenu :To change these settings, edit the content scan job:

  1. Dans le Portail Azure, dans le volet Azure information protection de travaux d’analyse de contenu , sélectionnez le travail de cluster et d’analyse de contenu pour le modifier.In the Azure portal, on the Azure Information Protection - Content scan jobs pane, select the cluster and content scan job to edit it.

  2. Dans le volet du travail analyse du contenu, modifiez les éléments suivants, puis sélectionnez Enregistrer:On the Content scan job pane, change the following, and then select Save:

    • Dans la section travail d’analyse du contenu : modifiez la planification pour toujoursFrom the Content scan job section: Change the Schedule to Always
    • À partir de la section application de la stratégie : modifier appliquer la valeur activéFrom the Policy enforcement section: Change Enforce to On

    Conseil

    Vous pouvez modifier d’autres paramètres dans ce volet, par exemple si les attributs de fichier sont modifiés et si le scanneur peut réétiqueter les fichiers.You may want to change other settings on this pane, such as whether file attributes are changed and whether the scanner can relabel files. Utilisez l’aide contextuelle des informations pour plus d’informations sur chaque paramètre de configuration.Use the information popup help to learn more information about each configuration setting.

  3. Prenez note de l’heure actuelle et redémarrez le scanneur à partir du volet travaux d’analyse de contenu Azure information protection :Make a note of the current time and start the scanner again from the Azure Information Protection - Content scan jobs pane:

    Lancement de l’analyse du scanneur Azure Information Protection

    Vous pouvez également exécuter la commande suivante dans votre session PowerShell :Alternatively, run the following command in your PowerShell session:

    Start-AIPScan
    

Le scanneur est maintenant programmé pour s’exécuter en continu.The scanner is now scheduled to run continuously. Lorsque le scanneur fonctionne dans tous les fichiers configurés, il démarre automatiquement un nouveau cycle afin que tous les fichiers nouveaux et modifiés soient découverts.When the scanner works its way through all configured files, it automatically starts a new cycle so that any new and changed files are discovered.

Changer les types de fichiers à protégerChange which file types to protect

Par défaut, le scanneur AIP protège les types de fichiers Office et les fichiers PDF uniquement.By default the AIP scanner protects Office file types and PDF files only.

Utilisez les commandes PowerShell pour modifier ce comportement en fonction des besoins, par exemple pour configurer le scanneur afin de protéger tous les types de fichiers, tout comme le fait le client, ou pour protéger des types de fichiers supplémentaires spécifiques.Use PowerShell commands to change this behavior as needed, such as to configure the scanner to protect all file types, just as the client does, or to protect additional, specific file types.

Pour une stratégie d’étiquette qui s’applique au compte d’utilisateur qui télécharge des étiquettes pour le scanneur, spécifiez un paramètre avancé PowerShell nommé PFileSupportedExtensions.For a label policy that applies to the user account downloading labels for the scanner, specify a PowerShell advanced setting named PFileSupportedExtensions.

Pour un scanneur qui a accès à Internet, ce compte d’utilisateur est le compte que vous spécifiez pour le paramètre DelegatedUser avec la commande Set-AIPAuthentication.For a scanner that has access to the internet, this user account is the account that you specify for the DelegatedUser parameter with the Set-AIPAuthentication command.

Exemple 1 : Commande PowerShell pour que le scanneur protège tous les types de fichiers, où votre stratégie d’étiquette est nommée « scanner » :Example 1: PowerShell command for the scanner to protect all file types, where your label policy is named "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Exemple 2 : Commande PowerShell permettant au scanneur de protéger les fichiers. xml et. TIFF en plus des fichiers Office et des fichiers PDF, où votre stratégie d’étiquette est nommée « scanner » :Example 2: PowerShell command for the scanner to protect .xml files and .tiff files in addition to Office files and PDF files, where your label policy is named "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Pour plus d’informations, consultez modifier les types de fichiers à protéger.For more information, see Change which file types to protect.

Mise à niveau de votre scanneurUpgrading your scanner

Si vous avez déjà installé le scanneur et que vous souhaitez effectuer une mise à niveau, suivez les instructions décrites dans mise à niveau de l’analyseur de Azure information protection.If you have previously installed the scanner and want to upgrade, use the instructions described in Upgrading the Azure Information Protection scanner.

Ensuite, configurez et Utilisez votre scanneur comme d’habitude, en ignorant les étapes d’installation de votre scanneur.Then, configure and use your scanner as usual, skipping the steps to install your scanner.

Modification des paramètres du référentiel de données en blocEditing data repository settings in bulk

Utilisez les boutons Exporter et Importer pour apporter des modifications à votre scanneur sur plusieurs dépôts.Use the Export and Import buttons to make changes for your scanner across several repositories.

De cette façon, vous n’avez pas besoin d’effectuer plusieurs fois les mêmes modifications, manuellement, dans le Portail Azure.This way, you don't need to make the same changes several times, manually, in the Azure portal.

Par exemple, si vous avez un nouveau type de fichier dans plusieurs référentiels de données SharePoint, vous souhaiterez peut-être mettre à jour les paramètres de ces dépôts en bloc.For example, if you have a new file type on several SharePoint data repositories, you may want to update the settings for those repositories in bulk.

Pour apporter des modifications en bloc dans les référentiels :To make changes in bulk across repositories:

  1. Dans le Portail Azure du volet référentiels , sélectionnez l’option d' exportation .In the Azure portal on the Repositories pane, select the Export option. Par exemple :For example:

    Exportation des paramètres du référentiel de données pour le scanneur de Azure Information Protection

  2. Modifiez manuellement le fichier exporté pour effectuer votre modification.Manually edit the exported file to make your change.

  3. Utilisez l’option d' importation sur la même page pour réimporter les mises à jour dans vos référentiels.Use the Import option on the same page to import the updates back across your repositories.

Utilisation du scanneur avec d’autres configurationsUsing the scanner with alternative configurations

Le scanneur de Azure Information Protection recherche généralement des conditions spécifiées pour vos étiquettes afin de classer et de protéger votre contenu si nécessaire.The Azure Information Protection scanner usually looks for conditions specified for your labels in order to classify and protect your content as needed.

Dans les scénarios suivants, le Azure Information Protection scanner est également en mesure d’analyser votre contenu et de gérer des étiquettes, sans aucune condition configurée :In the following scenarios, the Azure Information Protection scanner is also able to scan your content and manage labels, without any conditions configured:

Appliquer une étiquette par défaut à tous les fichiers d’un référentiel de donnéesApply a default label to all files in a data repository

Dans cette configuration, tous les fichiers sans étiquette du référentiel sont étiquetés avec l’étiquette par défaut spécifiée pour le référentiel ou le travail d’analyse du contenu.In this configuration, all unlabeled files in the repository are labeled with the default label specified for the repository or the content scan job. Les fichiers sont étiquetés sans inspection.Files are labeled without inspection.

Configurez les paramètres suivants :Configure the following settings:

ParamètreSetting DescriptionDescription
Étiqueter les fichiers en fonction du contenuLabel files based on content DésactivéeSet to Off
Étiquette par défautDefault label Définissez sur personnalisé, puis sélectionnez l’étiquette à utiliser.Set to Custom, and then select the label to use
Appliquer l’étiquette par défautEnforce default label Sélectionnez cette option pour appliquer l’étiquette par défaut à tous les fichiers, même s’ils sont déjà étiquetés.Select to have the default label applied to all files, even if they are already labeled.

Supprimer des étiquettes existantes de tous les fichiers d’un référentiel de donnéesRemove existing labels from all files in a data repository

Dans cette configuration, toutes les étiquettes existantes sont supprimées, y compris la protection, si la protection a été appliquée avec l’étiquette.In this configuration, all existing labels are removed, including protection, if protection was applied with the label. La protection appliquée indépendamment d’une étiquette est conservée.Protection applied independently of a label is retained.

Configurez les paramètres suivants :Configure the following settings:

ParamètreSetting DescriptionDescription
Étiqueter les fichiers en fonction du contenuLabel files based on content DésactivéeSet to Off
Étiquette par défautDefault label Définir sur aucunSet to None
Réétiqueter les fichiersRelabel files Affectez la valeur onà la case à cocher appliquer l’étiquette par défaut activéeSet to On, with the Enforce default label checkbox selected

Identifiez toutes les conditions personnalisées et les types d’informations sensibles connusIdentify all custom conditions and known sensitive information types

Cette configuration vous permet de trouver des informations sensibles que vous n’avez pas pu constater, aux dépens des taux de numérisation pour le scanneur.This configuration enables you to find sensitive information that you might not realize you had, at the expense of scanning rates for the scanner.

Définissez les types d’informations à découvrir pour tous.Set the Info types to be discovered to All.

Pour identifier les conditions et les types d’informations pour l’étiquetage, le scanneur utilise tous les types d’informations sensibles personnalisés spécifiés, ainsi que la liste des types d’informations sensibles intégrés disponibles à sélectionner, tels que définis dans le centre de gestion des étiquettes.To identify conditions and information types for labeling, the scanner uses any custom sensitive information types specified, and the list of built-in sensitive information types that are available to select, as defined in your labeling management center.

Optimisation des performances de l’analyseurOptimizing scanner performance

Notes

Si vous cherchez à améliorer la réactivité de l’ordinateur du scanneur plutôt que les performances de l’analyseur, utilisez un paramètre client avancé pour limiter le nombre de threads utilisés par le scanneur.If you are looking to improve the responsiveness of the scanner computer rather than the scanner performance, use an advanced client setting to limit the number of threads used by the scanner.

Utilisez les options et les conseils suivants pour vous aider à optimiser les performances de l’analyseur :Use the following options and guidance to help you optimize scanner performance:

OptionOption DescriptionDescription
Veillez à avoir une connexion haut débit fiable entre l’ordinateur de l’analyseur et le magasin de données analyséHave a high speed and reliable network connection between the scanner computer and the scanned data store Par exemple, placez l’ordinateur du scanneur sur le même réseau local, ou de préférence, dans le même segment de réseau que le magasin de données analysé.For example, place the scanner computer in the same LAN, or preferably, in the same network segment as the scanned data store.

La qualité de la connexion réseau affecte les performances de l’analyseur car, pour inspecter les fichiers, l’analyseur transfère le contenu des fichiers sur l’ordinateur exécutant le service du scanneur.The quality of the network connection affects the scanner performance because, to inspect the files, the scanner transfers the contents of the files to the computer running the scanner service.

La réduction ou l’élimination des sauts réseau requis pour le déplacement des données réduit également la charge sur votre réseau.Reducing or eliminating the network hops required for the data to travel also reduces the load on your network.
Assurez-vous que l’ordinateur de l’analyseur dispose de ressources processeurMake sure the scanner computer has available processor resources L’inspection du contenu du fichier et le chiffrement et le déchiffrement des fichiers sont des actions nécessitant beaucoup de ressources du processeur.Inspecting the file contents and encrypting and decrypting files are processor-intensive actions.

Surveillez les cycles d’analyse typiques pour les magasins de données spécifiés pour déterminer si un manque de ressources du processeur affecte les performances de l’analyseur.Monitor the typical scanning cycles for your specified data stores to identify whether a lack of processor resources is negatively affecting the scanner performance.
Installer plusieurs instances du scanneurInstall multiple instances of the scanner Le scanneur Azure Information Protection prend en charge plusieurs bases de données de configuration sur la même instance de SQL Server lorsque vous spécifiez un nom de cluster personnalisé (profil) pour le scanneur.The Azure Information Protection scanner supports multiple configuration databases on the same SQL server instance when you specify a custom cluster (profile) name for the scanner.

Plusieurs analyseurs peuvent également partager le même cluster (profil), ce qui permet des temps d’analyse plus rapides.Multiple scanners can also share the same cluster (profile), resulting in quicker scanning times.
Vérifier l’utilisation de la configuration de remplacementCheck your alternative configuration usage Le scanneur s’exécute plus rapidement lorsque vous utilisez la configuration de remplacement pour appliquer une étiquette par défaut à tous les fichiers, car le scanneur n’inspecte pas le contenu du fichier.The scanner runs more quickly when you use the alternative configuration to apply a default label to all files because the scanner does not inspect the file contents.

Le scanneur s’exécute plus lentement lorsque la configuration de remplacement est utilisée pour identifier toutes les conditions personnalisées et tous les types d’informations sensibles connus.The scanner runs more slowly when you use the alternative configuration to identify all custom conditions and known sensitive information types.

Facteurs supplémentaires qui affectent les performancesAdditional factors that affect performance

Les facteurs supplémentaires qui affectent les performances du scanneur sont les suivants :Additional factors that affect the scanner performance include:

FactorFactor DescriptionDescription
Temps de chargement/réponseLoad/response times Les temps de chargement et de réponse actuels des magasins de données qui contiennent les fichiers à analyser affectent également les performances du scanneur.The current load and response times of the data stores that contain the files to scan will also affect scanner performance.
Mode scanneur (détection/application)Scanner mode (Discovery / Enforce) Le mode de détection a généralement un taux d’analyse plus élevé que le mode d’application.Discovery mode typically has a higher scanning rate than enforce mode.

La découverte requiert une seule action de lecture de fichier, tandis que le mode d’application requiert des actions de lecture et d’écriture.Discovery requires a single file read action, whereas enforce mode requires read and write actions.
Modifications de stratégiePolicy changes Les performances de votre scanneur peuvent être affectées si vous avez apporté des modifications à l’étiquetage automatique dans la stratégie d’étiquette.Your scanner performance may be affected if you've made changes to the autolabeling in the label policy.

Votre premier cycle d’analyse, lorsque le scanneur doit inspecter chaque fichier, prend plus de temps que les cycles d’analyse suivants qui, par défaut, inspectent uniquement les fichiers nouveaux et modifiés.Your first scan cycle, when the scanner must inspect every file, will take longer than subsequent scan cycles that by default, inspect only new and changed files.

Si vous modifiez les conditions ou les paramètres d’étiquetage automatique, tous les fichiers sont analysés à nouveau.If you change the conditions or autolabeling settings, all files are scanned again. Pour plus d’informations, consultez rescaning Files.For more information, see Rescanning files.
Constructions RegexRegex constructions Les performances de l’analyseur sont affectées par la manière dont vos expressions Regex pour les conditions personnalisées sont construites.Scanner performance is affected by how your regex expressions for custom conditions are constructed.

Pour éviter une consommation de mémoire importante et le risque de dépassements du délai d’expiration (15 minutes par fichier), passez en revue vos expressions regex pour vérifier que la correspondance des modèles est efficace.To avoid heavy memory consumption and the risk of timeouts (15 minutes per file), review your regex expressions for efficient pattern matching.

Par exemple :For example:
-Évitez les quantificateurs gourmands- Avoid greedy quantifiers
-Utiliser des groupes sans capture comme (?:expression) au lieu de (expression)- Use non-capturing groups such as (?:expression) instead of (expression)
Niveau de journalisationLog level Les options de niveau de journalisation sont Debug, info, Error et off pour les rapports du scanneur.Log level options include Debug, Info, Error and Off for the scanner reports.

- La valeur off permet d’obtenir des performances optimales- Off results in the best performance
- Le débogage ralentit considérablement le scanneur et doit être utilisé uniquement pour la résolution des problèmes.- Debug considerably slows down the scanner and should be used only for troubleshooting.

Pour plus d’informations, consultez le paramètre ReportLevel de l’applet de commande Set-AIPScannerConfiguration.For more information, see the ReportLevel parameter for the Set-AIPScannerConfiguration cmdlet.
Fichiers en cours d’analyseFiles being scanned -À l’exception des fichiers Excel, les fichiers Office sont analysés plus rapidement que les fichiers PDF.- With the exception of Excel files, Office files are more quickly scanned than PDF files.

-Les fichiers non protégés sont plus rapides à analyser que les fichiers protégés.- Unprotected files are quicker to scan than protected files.

-Les fichiers volumineux sont évidemment plus longs à analyser que les petits fichiers.- Large files obviously take longer to scan than small files.

Liste des cmdlets pour le scanneurList of cmdlets for the scanner

Cette section répertorie les applets de commande PowerShell prises en charge pour le scanneur Azure Information Protection.This section lists PowerShell cmdlets supported for the Azure Information Protection scanner.

Notes

Le scanneur de Azure Information Protection est configuré à partir de la Portail Azure.The Azure Information Protection scanner is configured from the Azure portal. Par conséquent, les applets de commande utilisées dans les versions précédentes pour configurer les référentiels de données et la liste des types de fichiers analysés sont désormais dépréciées.Therefore, cmdlets used in previous versions to configure data repositories and the scanned file types list are now deprecated.

Les applets de commande prises en charge pour le scanneur sont les suivantes :Supported cmdlets for the scanner include:

Étapes suivantesNext steps

Une fois que vous avez installé et configuré votre scanneur, commencez à analyser vos fichiers.Once you've installed and configured your scanner, start scanning your files.

Voir aussi : déploiement de l’analyseur de Azure information protection pour classifier et protéger automatiquement les fichiers.See also: Deploying the Azure Information Protection scanner to automatically classify and protect files.

Plus d’informations :More information: