Conditions préalables à l’installation et au déploiement du scanneur d’étiquetage unifié Azure Information ProtectionPrerequisites for installing and deploying the Azure Information Protection unified labeling scanner

S’applique à : Azure information protection, windows server 2019, windows server 2016, windows server 2012 R2Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Avant d’installer le scanneur Azure Information Protection, assurez-vous que votre système est conforme aux exigences suivantes :Before you install the Azure Information Protection scanner, make sure that your system complies with the following requirements:

Si vous ne pouvez pas satisfaire à toutes les exigences du tableau parce qu’elles sont interdites par les stratégies de votre organisation, consultez la section autres configurations .If you can't meet all the requirements in the table because they are prohibited by your organization policies, see the alternative configurations section.

Lors du déploiement du scanneur en production ou du test des performances de plusieurs scanneurs, consultez exigences de stockage et planification de la capacité pour SQL Server.When deploying the scanner in production or testing the performance for multiple scanners, see Storage requirements and capacity planning for SQL Server.

Lorsque vous êtes prêt à commencer l’installation et le déploiement de votre scanneur, poursuivez le déploiement de l’analyseur de Azure information protection pour classifier et protéger automatiquement les fichiers.When you're ready to start installing and deploying your scanner, continue with Deploying the Azure Information Protection scanner to automatically classify and protect files.

Configuration requise pour Windows ServerWindows Server requirements

Vous devez disposer d’un ordinateur Windows Server pour exécuter le scanneur, qui présente les spécifications système suivantes :You must have a Windows Server computer to run the scanner, which has the following system specifications:

CaractéristiqueSpecification DétailsDetails
ProcesseurProcessor 4 processeurs principaux4 core processors
RAMRAM 8 Go8 GB
Espace disqueDisk space 10 Go d’espace libre (moyenne) pour les fichiers temporaires.10-GB free space (average) for temporary files.

Le scanneur nécessite suffisamment d’espace disque disponible pour créer des fichiers temporaires pour chaque fichier qu’il analyse, quatre fichiers par cœur.The scanner requires sufficient disk space to create temporary files for each file that it scans, four files per core.

L’espace disque recommandé de 10 Go permet de disposer de processeurs 4 cœurs analysant 16 fichiers qui ont chacun une taille de 625 Mo.The recommended disk space of 10 GB allows for 4 core processors scanning 16 files that each have a file size of 625 MB.
Système d’exploitationOperating system -Windows Server 2019- Windows Server 2019
- Windows Server 2016- Windows Server 2016
- Windows Server 2012 R2- Windows Server 2012 R2

Remarque : À des fins de test ou d’évaluation dans un environnement hors production, vous pouvez également utiliser n’importe quel système d’exploitation Windows pris en charge par le client Azure information protection.Note: For testing or evaluation purposes in a non-production environment, you can also use any Windows operating system that is supported by the Azure Information Protection client.
Connectivité réseauNetwork connectivity Votre ordinateur de scanneur peut être un ordinateur physique ou virtuel avec une connexion réseau rapide et fiable aux magasins de données à analyser.Your scanner computer can be a physical or virtual computer with a fast and reliable network connection to the data stores to be scanned.

Si la connexion Internet n’est pas possible en raison des stratégies de votre organisation, consultez déploiement du scanneur avec d’autres configurations.If internet connectivity is not possible because of your organization policies, see Deploying the scanner with alternative configurations.

Dans le cas contraire, assurez-vous que cet ordinateur dispose d’une connectivité Internet qui autorise les URL suivantes sur HTTPs (port 443) :Otherwise, make sure that this computer has internet connectivity that allows the following URLs over HTTPS (port 443):

- *. aadrm.com- *.aadrm.com
- *. azurerms.com- *.azurerms.com
- *. informationprotection.azure.com- *.informationprotection.azure.com
-informationprotection.hosting.portal.azure.net- informationprotection.hosting.portal.azure.net
- *. aria.microsoft.com- *.aria.microsoft.com
- *. protection.outlook.com- *.protection.outlook.com

Configuration requise pour les comptes de serviceService account requirements

Vous devez disposer d’un compte de service pour exécuter le service du scanneur sur l’ordinateur Windows Server, ainsi que pour vous authentifier auprès de Azure AD et télécharger la stratégie Azure Information Protection.You must have a service account to run the scanner service on the Windows Server computer, as well as authenticate to Azure AD and download the Azure Information Protection Policy.

Votre compte de service doit être un compte Active Directory et être synchronisé avec Azure AD.Your service account must be an Active Directory account and synchronized to Azure AD.

Si vous ne pouvez pas synchroniser ce compte en raison des stratégies de votre organisation, consultez déploiement du scanneur avec d’autres configurations.If you cannot synchronize this account because of your organization policies, see Deploying the scanner with alternative configurations.

Ce compte de service a la configuration suivante :This service account has the following requirements:

Condition requiseRequirement DétailsDetails
Attribution de droits d’utilisateur d’ouverture de session localeLog on locally user right assignment Requis pour installer et configurer le scanneur, mais pas pour exécuter des analyses.Required to install and configure the scanner, but not required to run scans.

Une fois que vous avez confirmé que le scanneur peut détecter, classer et protéger les fichiers, vous pouvez supprimer ce droit du compte de service.Once you've confirmed that the scanner can discover, classify, and protect files, you can remove this right from the service account.

S’il n’est pas possible d’accorder ce droit même pendant une brève période de temps en raison des stratégies de votre organisation, consultez déploiement du scanneur avec d’autres configurations.If granting this right even for a short period of time is not possible because of your organization policies, see Deploying the scanner with alternative configurations.
Ouvrir une session en tant que service, attribution des droits utilisateur.Log on as a service user right assignment. Ce droit est accordé automatiquement au compte de service pendant l’installation du scanneur et il est exigé pour l’installation, la configuration et le fonctionnement du scanneur.This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.
Autorisations pour les référentiels de donnéesPermissions to the data repositories - Partages de fichiers ou fichiers locaux : Accordez des autorisations de lecture, d' écritureet de modification pour analyser les fichiers, puis appliquez la classification et la protection conformément à la configuration.- File shares or local files: Grant Read, Write, and Modify permissions for scanning the files and then applying classification and protection as configured.

- SharePoint : Accordez des autorisations contrôle total pour analyser les fichiers, puis appliquez la classification et la protection conformément à la configuration.- SharePoint: Grant Full Control permissions for scanning the files and then applying classification and protection as configured.

- Mode de découverte : Pour exécuter le scanneur en mode détection uniquement, l’autorisation lecture est suffisante.- Discovery mode: To run the scanner in discovery mode only, Read permission is sufficient.
Pour les étiquettes qui reprotègent ou suppriment la protectionFor labels that reprotect or remove protection Pour vous assurer que le scanneur a toujours accès aux fichiers protégés, définissez ce compte comme super utilisateur pour Azure information protection et assurez-vous que la fonctionnalité de super utilisateur est activée.To ensure that the scanner always has access to protected files, make this account a super user for Azure Information Protection, and ensure that the super user feature is enabled.

En outre, si vous avez implémenté des contrôles d’intégration pour un déploiement échelonné, assurez-vous que le compte de service est inclus dans les contrôles d’intégration que vous avez configurés.Additionally, if you've implemented onboarding controls for a phased deployment, make sure that the service account is included in the onboarding controls you've configured.

Configuration requise pour SQL ServerSQL server requirements

Pour stocker les données de configuration de l’analyseur, utilisez un serveur SQL Server avec les spécifications suivantes :To store the scanner configuration data, use an SQL server with the following requirements:

  • Instance locale ou distante.A local or remote instance.

    Nous vous recommandons d’héberger les SQL Server et le service du scanneur sur des ordinateurs différents, sauf si vous travaillez avec un petit déploiement.We recommend hosting the SQL Server and scanner service on different machines, unless you're working with a small deployment.

    SQL Server 2012 est la version minimale pour les éditions suivantes :SQL Server 2012 is the minimum version for the following editions:

    • SQL Server EntrepriseSQL Server Enterprise
    • SQL Server StandardSQL Server Standard
    • SQL Server Express (recommandé pour les environnements de test uniquement)SQL Server Express (recommended for test environments only)
  • Un compte avec le rôle sysadmin pour installer le scanneur.An account with Sysadmin role to install the scanner.

    Le rôle sysadmin permet au processus d’installation de créer automatiquement la base de données de configuration du scanneur et d’accorder le rôle de db_owner requis au compte de service qui exécute le scanneur.The Sysadmin role enables the installation process to automatically create the scanner configuration database and grant the required db_owner role to the service account that runs the scanner.

    Si vous ne pouvez pas accorder le rôle sysadmin ou si les stratégies de votre organisation nécessitent la création et la configuration de bases de données manuellement, consultez déploiement du scanneur avec d’autres configurations.If you cannot be granted the Sysadmin role or your organization policies require databases to be created and configured manually, see Deploying the scanner with alternative configurations.

  • Capacité.Capacity. Pour obtenir des conseils sur la capacité, consultez exigences de stockage et planification de la capacité pour SQL Server.For capacity guidance, see Storage requirements and capacity planning for SQL Server.

  • Classement non sensible à la casseCase insensitive collation

Notes

Plusieurs bases de données de configuration sur le même serveur SQL Server sont prises en charge lorsque vous spécifiez un nom de cluster personnalisé (profil) pour le scanneur, ou lorsque vous utilisez la version préliminaire du scanneur.Multiple configuration databases on the same SQL server are supported when you specify a custom cluster (profile) name for the scanner, or when you use the preview version of the scanner.

Exigences de stockage et planification de la capacité pour SQL ServerStorage requirements and capacity planning for SQL Server

La quantité d’espace disque requise pour la base de données de configuration du scanneur et la spécification de l’ordinateur qui exécute SQL Server peuvent varier pour chaque environnement, nous vous encourageons donc à effectuer vos propres tests.The amount of disk space required for the scanner's configuration database and the specification of the computer running SQL Server can vary for each environment, so we encourage you to do your own testing. Utilisez les instructions suivantes comme point de départ.Use the following guidance as a starting point.

Pour plus d’informations, consultez optimisation des performances du scanneur.For more information, see Optimizing the performance of the scanner.

La taille du disque de la base de données de configuration de l’analyseur varie pour chaque déploiement.The disk size for the scanner configuration database will vary for each deployment. Utilisez l’équation suivante en guise d’aide :Use the following equation as guidance:

100 KB + <file count> *(1000 + 4* <average file name length>)

Par exemple, pour analyser les fichiers 1 million dont la longueur moyenne du nom de fichier est de 250 octets, allouez un espace disque de 2 Go.For example, to scan 1 million files that have an average file name length of 250 bytes, allocate 2-GB disk space.

Pour plusieurs Scanneurs :For multiple scanners:

  • Jusqu’à 10 scanneurs, utilisez :Up to 10 scanners, use:

    • 4 processeurs principaux4 core processors
    • 8 Go de RAM recommandés8-GB RAM recommended
  • Plus de 10 scanneurs (40 maximum), utilisez :More than 10 scanners (maximum 40), use:

    • 8 processus de base8 core processes
    • 16 Go de RAM recommandés16-GB RAM recommended

Configuration requise pour le client Azure Information ProtectionAzure Information Protection client requirements

Vous devez disposer de la version actuelle de la disponibilité générale du client Azure information Protection installé sur l’ordinateur Windows Server.You must have either the current general availability version of the Azure Information Protection client installed on the Windows Server computer.

Pour plus d’informations, consultez le Guide d’administration du client d’étiquetage unifié.For more information, see the Unified labeling client admin guide.

Important

Vous devez installer le client complet pour le scanneur.You must install the full client for the scanner. N’installez pas le client avec juste le module PowerShell.Do not install the client with just the PowerShell module.

Configuration requise pour l’étiquetteLabel configuration requirements

Vous devez configurer des étiquettes qui appliquent automatiquement la classification et, éventuellement, la protection.You must have labels configured that automatically apply classification, and optionally, protection.

Si vous n’avez pas configuré ces étiquettes, consultez déploiement du scanneur avec d’autres configurations.If you don't have these labels configured, see Deploying the scanner with alternative configurations.

Pour plus d'informations, consultez les pages suivantes :For more information, see:

Configuration requise pour SharePointSharePoint requirements

Pour analyser les dossiers et bibliothèques de documents SharePoint, assurez-vous que votre serveur SharePoint est conforme aux exigences suivantes :To scan SharePoint document libraries and folders, ensure that your SharePoint server complies with the following requirements:

  • Versions prises en charge.Supported versions. Les versions prises en charge sont les suivantes : SharePoint 2019, SharePoint 2016, SharePoint 2013 et SharePoint 2010.Supported versions include: SharePoint 2019, SharePoint 2016, SharePoint 2013, and SharePoint 2010. D’autres versions de SharePoint ne sont pas prises en charge pour le scanneur.Other versions of SharePoint are not supported for the scanner.

  • Version.Versioning. Lorsque vous utilisez le contrôle de version, le scanneur inspecte et étiquette la dernière version publiée.When you use versioning, the scanner inspects and labels the last published version. Si le scanneur étiquette une approbation de fichier et de contenu est requise, ce fichier doit être approuvé pour être disponible pour les utilisateurs.If the scanner labels a file and content approval is required, that labeled file must be approved to be available for users.

  • Batteries de serveurs SharePoint de grande taille.Large SharePoint farms. Pour les grandes batteries de serveurs SharePoint, regardez si vous devez augmenter le seuil d’affichage de liste (par défaut, 5 000) pour le scanneur pour accéder à tous les fichiers.For large SharePoint farms, check whether you need to increase the list view threshold (by default, 5,000) for the scanner to access all files. Pour plus d’informations, consultez gérer des listes et des bibliothèques de grande taille dans SharePoint.For more information, see Manage large lists and libraries in SharePoint.

Configuration requise pour la Microsoft OfficeMicrosoft Office requirements

Pour analyser les documents Office, vos documents doivent être dans l’un des formats suivants :To scan Office documents, your documents must be in one of the following formats:

  • Microsoft Office 97-2003Microsoft Office 97-2003
  • Formats Office Open XML pour Word, Excel et PowerPointOffice Open XML formats for Word, Excel, and PowerPoint

Pour plus d’informations, consultez types de fichiers pris en charge par le client d’étiquetage unifié Azure information protection.For more information, see File types supported by the Azure Information Protection unified labeling client.

Exigences relatives au chemin de fichierFile path requirements

Par défaut, pour analyser les fichiers, vos chemins d’accès aux fichiers doivent comporter jusqu’à 260 caractères.By default, to scan files, your file paths must have a maximum of 260 characters.

Pour analyser des fichiers avec des chemins d’accès de plus de 260 caractères, installez le scanneur sur un ordinateur avec l’une des versions suivantes de Windows et configurez l’ordinateur en fonction des besoins :To scan files with file paths of more than 260 characters, install the scanner on a computer with one of the following Windows versions, and configure the computer as needed:

Version de WindowsWindows version DescriptionDescription
Windows 2016 ou version ultérieureWindows 2016 or later Configurer l’ordinateur pour prendre en charge des chemins d’accès longsConfigure the computer to support long paths
Windows 10 ou Windows Server 2016Windows 10 or Windows Server 2016 Définissez le paramètre de stratégie de groupesuivant : stratégie de l' ordinateur local > Configuration ordinateur > modèles d’administration > tous les paramètres > activer les chemins d’accès longs Win32.Define the following group policy setting: Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths.

Pour plus d’informations sur la prise en charge des chemins de fichiers longs dans ces versions, consultez la section limitation de la longueur maximale du chemin d’accès dans la documentation du développeur Windows 10.For more information long file path support in these versions, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.
Windows 10, version 1607 ou ultérieureWindows 10, version 1607 or later Abonnez-vous à la fonctionnalité de MAX_PATH mise à jour.Opt in for the updated MAX_PATH functionality. Pour plus d’informations, consultez activer des chemins d’accès longs dans Windows 10 versions 1607 et ultérieures.For more information, see Enable Long Paths in Windows 10 versions 1607 and later.

Exigences relatives aux statistiques d’utilisationUsage statistics requirements

Désactivez les statistiques d’utilisation à l’aide de l’une des méthodes suivantes :Disable usage statistics using one of the following methods:

  • Affectation de la valeur 0 au paramètre AllowTelemetrySetting the AllowTelemetry parameter to 0

  • Assurez-vous que l’option contribuer à l’amélioration des Azure information protection en envoyant des statistiques d’utilisation à Microsoft reste désélectionnée pendant le processus d’installation du scanneur.Ensure that the Help improve Azure Information Protection by sending usage statistics to Microsoft option remains unselected during the scanner installation process.

Déploiement du scanneur avec d’autres configurationsDeploying the scanner with alternative configurations

Les conditions préalables répertoriées ci-dessus sont les conditions par défaut pour le déploiement de l’analyseur, et recommandées car elles prennent en charge la configuration d’analyseur la plus simple.The prerequisites listed above are the default requirements for the scanner deployment, and recommended because they support the simplest scanner configuration.

Les spécifications par défaut doivent être adaptées au test initial, afin que vous puissiez vérifier les fonctionnalités du scanneur.The default requirements should be suitable for initial testing, so that you can check the capabilities of the scanner.

Toutefois, dans un environnement de production, les stratégies de votre organisation peuvent interdire ces exigences par défaut.However, in a production environment, your organization's policies may prohibit these default requirements. Le scanneur peut prendre en charge les restrictions suivantes avec une configuration supplémentaire :The scanner can accommodate the following restrictions with additional configuration:

Restriction : le serveur de scanneur ne peut pas disposer d’une connexion InternetRestriction: The scanner server cannot have internet connectivity

Alors que le client d’étiquetage unifié ne peut pas appliquer la protection sans connexion Internet, le scanneur peut toujours appliquer des étiquettes basées sur des stratégies importées.While the unified labeling client cannot apply protection without an internet connection, the scanner can still apply labels based on imported policies.

Pour prendre en charge un ordinateur déconnecté, procédez comme suit :To support a disconnected computer, perform the following steps:

  1. Configurez des étiquettes dans votre stratégie, puis utilisez la procédure pour prendre en charge les ordinateurs déconnectés afin d’activer la classification et l’étiquetage hors connexion.Configure labels in your policy, and then use the procedure to support disconnected computers to enable offline classification and labeling.

  2. Activer la gestion hors connexion pour les travaux d’analyse de contenu :Enable offline management for content scan jobs:

    1. Configurez le scanneur pour qu’il fonctionne en mode hors connexion à l’aide de l’applet de commande Set-AIPScannerConfiguration .Set the scanner to function in offline mode, using the Set-AIPScannerConfiguration cmdlet.

    2. Configurez le scanneur dans le Portail Azure en créant un cluster de scanneur.Configure the scanner in the Azure portal by creating a scanner cluster. Pour plus d’informations, consultez configurer le scanneur dans le portail Azure.For more information, see Configure the scanner in the Azure portal.

    3. Exportez votre travail de contenu à partir du volet Azure information protection-travaux d’analyse de contenu à l’aide de l’option d' exportation .Export your content job from the Azure Information Protection - Content scan jobs pane using the Export option.

    4. Importez la stratégie à l’aide de l’applet de commande Import-AIPScannerConfiguration .Import the policy using the Import-AIPScannerConfiguration cmdlet.

    Les résultats des travaux d’analyse de contenu hors connexion se trouvent à l’emplacement suivant : %LocalAppData%\Microsoft\MSIP\Scanner\ReportsResults for offline content scan jobs are located at: %localappdata%\Microsoft\MSIP\Scanner\Reports

  3. Activer la gestion hors connexion des travaux d’analyse réseau :Enable offline management of network scan jobs:

    1. Configurez le service de découverte du réseau pour qu’il fonctionne en mode hors connexion à l’aide de l’applet de commande Set-MIPNetworkDiscoveryConfiguration .Set the Network Discovery service to function in offline mode using the Set-MIPNetworkDiscoveryConfiguration cmdlet.

    2. Configurez le travail Network Scan dans le Portail Azure.Configure the network scan job in the Azure portal. Pour plus d’informations, consultez création d’un travail d’analyse réseau.For more information, see Creating a network scan job.

    3. Exportez votre travail d’analyse réseau à partir du volet Azure information protection-tâches d’analyse réseau ( préversion) à l’aide de l’option d' exportation .Export your network scan job from the Azure Information Protection - Network scan jobs (Preview) pane using the Export option.

    4. Importez le travail d’analyse réseau à l’aide du fichier qui correspond à notre nom de cluster à l’aide de l’applet de commande Import-MIPNetworkDiscoveryConfiguration .Import the network scan job using the file that matches our cluster name using the Import-MIPNetworkDiscoveryConfiguration cmdlet.

    Les résultats des travaux d’analyse réseau hors connexion se trouvent à l’emplacement suivant : %LocalAppData%\Microsoft\MSIP\Scanner\ReportsResults for offline network scan jobs are located at: %localappdata%\Microsoft\MSIP\Scanner\Reports

Restriction : vous ne pouvez pas obtenir le rôle Sysadmin ou les bases de données doivent être créées et configurées manuellementRestriction: You cannot be granted Sysadmin or databases must be created and configured manually

Si le rôle sysadmin peut être accordé temporairement pour installer le scanneur, vous pouvez supprimer ce rôle une fois l’installation du scanneur terminée.If you can be granted the Sysadmin role temporarily to install the scanner, you can remove this role when the scanner installation is complete.

Effectuez l’une des opérations suivantes, selon les besoins de votre organisation :Do one of the following, depending on your organization's requirements:

  • Vous pouvez avoir le rôle sysadmin temporairement.You can have the Sysadmin role temporarily. Si vous avez temporairement le rôle sysadmin, la base de données est automatiquement créée pour vous et le compte de service du scanneur reçoit automatiquement les autorisations requises.If you temporarily have the Sysadmin role, the database is automatically created for you and the service account for the scanner is automatically granted the required permissions.

    Toutefois, le compte d’utilisateur qui configure le scanneur requiert toujours le rôle db_owner pour la base de données de configuration de l’analyseur.However, the user account that configures the scanner still requires the db_owner role for the scanner configuration database. Si vous avez uniquement le rôle sysadmin jusqu’à ce que l’installation du scanneur soit terminée, accordez manuellement le rôle db_owner au compte d’utilisateur.If you only have the Sysadmin role until the scanner installation is complete, grant the db_owner role to the user account manually.

  • Vous ne pouvez pas avoir le rôle sysadmin.You cannot have the Sysadmin role at all. Si vous ne pouvez pas recevoir le rôle sysadmin même temporairement, vous devez demander à un utilisateur disposant des droits d’administrateur système de créer manuellement une base de données avant d’installer le scanneur.If you cannot be granted the Sysadmin role even temporarily, you must ask a user with Sysadmin rights to manually create a database before you install the scanner.

    Pour cette configuration, le rôle de db_owner doit être affecté aux comptes suivants :For this configuration, the db_owner role must be assigned to the following accounts:

    • Compte de service pour le scanneurService account for the scanner
    • Compte d’utilisateur pour l’installation du scanneurUser account for the scanner installation
    • Compte utilisateur pour la configuration du scanneurUser account for scanner configuration

    En règle générale, vous utilisez le même compte utilisateur pour installer et configurer le scanneur.Typically, you will use the same user account to install and configure the scanner. Si vous utilisez des comptes différents, ils nécessitent tous deux le rôle db_owner pour la base de données de configuration de l’analyseur.If you use different accounts, they both require the db_owner role for the scanner configuration database. Créez cet utilisateur et les droits nécessaires.Create this user and rights as needed. Si vous spécifiez votre propre nom de cluster (profil), la base de données de configuration est nommée AIPScannerUL_<cluster_name>.If you specify your own cluster (profile) name, the configuration database is named AIPScannerUL_<cluster_name>.

En outre :Additionally:

  • Vous devez être un administrateur local sur le serveur qui exécutera le scanneur.You must be a local administrator on the server that will run the scanner

  • Le compte de service qui exécutera le scanneur doit disposer des autorisations contrôle total sur les clés de Registre suivantes :The service account that will run the scanner must be granted Full Control permissions to the following registry keys:

    • HKEY_LOCAL_MACHINE \SOFTWARE\WOW6432Node\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Si, après avoir configuré ces autorisations, vous voyez une erreur lors de l’installation du scanneur, l’erreur peut être ignorée et vous pouvez démarrer manuellement le service du scanneur.If, after configuring these permissions, you see an error when you install the scanner, the error can be ignored and you can manually start the scanner service.

Remplir la base de données manuellementPopulate the database manually

Remplissez la base de données à l’aide du script suivant :Populate the database using the following script:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END 

Créer un utilisateur et lui accorder des droits db_owner manuellementCreate a user and grant db_owner rights manually

Pour créer un utilisateur et accorder des droits de db_owner sur cette base de données, demandez à l’administrateur système d’effectuer les étapes suivantes :To create a user and grant db_owner rights on this database, ask the Sysadmin to perform the following steps:

  1. Créer une base de connaissances pour le scanneur :Create a DB for scanner:

    **CREATE DATABASE AIPScannerUL_[clustername]**
    
    **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
    
  2. Accordez des droits à l’utilisateur qui exécute la commande d’installation et qui est utilisé pour exécuter des commandes de gestion du scanneur.Grant rights to the user that runs the install command and is used to run scanner management commands.

    Script SQL :SQL script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. Accordez des droits au compte de service du scanneur.Grant rights to scanner service account.

    Script SQL :SQL script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

Restriction : le compte de service pour le scanneur ne peut pas obtenir le droit Ouvrir une session localementRestriction: The service account for the scanner cannot be granted the Log on locally right

Si les stratégies de votre organisation interdisent le droit ouvrir une session localement pour les comptes de service, mais autorise le droit ouvrir une session en tant que tâche , utilisez le paramètre OnBehalfOf avec set-AIPAuthentication.If your organization policies prohibit the Log on locally right for service accounts, but allows the Log on as a batch job right, use the OnBehalfOf parameter with Set-AIPAuthentication.

Pour plus d’informations, consultez Comment étiqueter des fichiers de manière non interactive pour Azure information protection.For more information, see How to label files non-interactively for Azure Information Protection.

Restriction : le compte de service du scanneur ne peut pas être synchronisé avec Azure Active Directory mais le serveur dispose d’une connexion InternetRestriction: The scanner service account cannot be synchronized to Azure Active Directory but the server has internet connectivity

Vous pouvez avoir un compte pour exécuter le service du scanneur et un autre compte pour l’authentification auprès d’Azure Active Directory :You can have one account to run the scanner service and use another account to authenticate to Azure Active Directory:

Restriction : vos étiquettes n’ont pas de conditions d’étiquetage automatiqueRestriction: Your labels do not have auto-labeling conditions

Si vos étiquettes n’ont pas de conditions d’étiquetage automatique, envisagez d’utiliser l’une des options suivantes lors de la configuration de votre scanneur :If your labels do not have any auto-labeling conditions, plan to use one of the following options when configuring your scanner:

OptionOption DescriptionDescription
Découvrir tous les types d’informationsDiscover all info types Dans votre travail d’analyse de contenu, définissez l’option types d’informations sur tous.In your content scan job, set the Info types to be discovered option to All.

Cette option définit le travail d’analyse de contenu pour analyser votre contenu pour tous les types d’informations sensibles.This option sets the content scan job to scan your content for all sensitive information types.
Utiliser l’étiquetage recommandéUse recommended labeling Dans votre travail d’analyse de contenu, affectez la valeur onà l’option considérer l’étiquetage recommandé comme automatique .In your content scan job, set the Treat recommended labeling as automatic option to On.

Ce paramètre configure le scanneur pour appliquer automatiquement toutes les étiquettes recommandées sur votre contenu.This setting configures the scanner to automatically apply all recommended labels on your content.
Définir une étiquette par défautDefine a default label Définissez une étiquette par défaut dans votre stratégie, le travail d’analyse de contenuou le référentiel.Define a default label in your policy, content scan job, or repository.

Dans ce cas, le scanner applique l’étiquette par défaut sur tous les fichiers trouvés.In this case the scanner applies the default label on all files found.

Étapes suivantesNext steps

Une fois que vous avez confirmé que votre système est conforme aux conditions préalables du scanneur, poursuivez le déploiement de l’analyseur de Azure information protection pour classifier et protéger automatiquement les fichiers.Once you've confirmed that your system complies with the scanner prerequisites, continue with Deploying the Azure Information Protection scanner to automatically classify and protect files.

Pour obtenir une vue d’ensemble du scanneur, consultez déploiement de l’analyseur de Azure information protection pour classifier et protéger automatiquement des fichiers.For an overview about the scanner, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

Plus d’informations :More information: