Conditions préalables à l’installation et au déploiement du scanneur Azure Information Protection ClassicPrerequisites for installing and deploying the Azure Information Protection classic scanner

S’applique à : Azure information protection, windows server 2019, windows server 2016, windows server 2012 R2Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Notes

Pour fournir une expérience client unifiée et rationalisée, Azure Information Protection client (Classic) et Gestion des étiquettes dans le Portail Azure sont dépréciées à compter du 31 mars 2021.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Ce laps de temps permet à tous les clients Azure Information Protection actuels de passer à notre solution d’étiquetage unifiée à l’aide de la plateforme d’étiquetage unifiée de Microsoft Information Protection.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. En savoir plus en consultant la notice de dépréciation officielle.Learn more in the official deprecation notice.

Si vous utilisez le scanneur d’étiquetage unifié, consultez Configuration requise pour l’installation et le déploiement du scanneur d’étiquetage unifié Azure information protection.If you're working with the unified labeling scanner, see Prerequisites for installing and deploying the Azure Information Protection unified labeling scanner.

Avant d’installer le scanneur Azure Information Protection, assurez-vous que votre système est conforme aux exigences suivantes :Before you install the Azure Information Protection scanner, make sure that your system complies with the following requirements:

Si vous ne pouvez pas satisfaire à toutes les exigences du tableau parce qu’elles sont interdites par les stratégies de votre organisation, consultez la section autres configurations .If you can't meet all the requirements in the table because they are prohibited by your organization policies, see the alternative configurations section.

Lors du déploiement du scanneur en production ou du test des performances de plusieurs scanneurs, consultez exigences de stockage et planification de la capacité pour SQL Server.When deploying the scanner in production or testing the performance for multiple scanners, see Storage requirements and capacity planning for SQL Server.

Lorsque vous êtes prêt à commencer l’installation et le déploiement de votre scanneur, poursuivez le déploiement de l’analyseur de Azure information protection pour classifier et protéger automatiquement les fichiers.When you're ready to start installing and deploying your scanner, continue with Deploying the Azure Information Protection scanner to automatically classify and protect files.

Configuration requise pour Windows ServerWindows Server requirements

Vous devez disposer d’un ordinateur Windows Server pour exécuter le scanneur, qui présente les spécifications système suivantes :You must have a Windows Server computer to run the scanner, which has the following system specifications:

CaractéristiqueSpecification DétailsDetails
ProcesseurProcessor 4 processeurs principaux4 core processors
RAMRAM 8 Go8 GB
Espace disqueDisk space 10 Go d’espace libre (moyenne) pour les fichiers temporaires.10 GB free space (average) for temporary files.

Le scanneur nécessite suffisamment d’espace disque disponible pour créer des fichiers temporaires pour chaque fichier qu’il analyse, quatre fichiers par cœur.The scanner requires sufficient disk space to create temporary files for each file that it scans, four files per core.

L’espace disque recommandé de 10 Go permet de disposer de processeurs 4 cœurs analysant 16 fichiers qui ont chacun une taille de 625 Mo.The recommended disk space of 10 GB allows for 4 core processors scanning 16 files that each have a file size of 625 MB.
Système d’exploitationOperating system -Windows Server 2019- Windows Server 2019
- Windows Server 2016- Windows Server 2016
- Windows Server 2012 R2- Windows Server 2012 R2

Remarque : À des fins de test ou d’évaluation dans un environnement hors production, vous pouvez également utiliser n’importe quel système d’exploitation Windows pris en charge par le client Azure information protection.Note: For testing or evaluation purposes in a non-production environment, you can also use any Windows operating system that is supported by the Azure Information Protection client.
Connectivité réseauNetwork connectivity Votre ordinateur de scanneur peut être un ordinateur physique ou virtuel avec une connexion réseau rapide et fiable aux magasins de données à analyser.Your scanner computer can be a physical or virtual computer with a fast and reliable network connection to the data stores to be scanned.

Si la connexion Internet n’est pas possible en raison des stratégies de votre organisation, consultez déploiement du scanneur avec d’autres configurations.If internet connectivity is not possible because of your organization policies, see Deploying the scanner with alternative configurations.

Dans le cas contraire, assurez-vous que cet ordinateur dispose d’une connectivité Internet qui autorise les URL suivantes sur HTTPs (port 443) :Otherwise, make sure that this computer has internet connectivity that allows the following URLs over HTTPS (port 443):

- *. aadrm.com- *.aadrm.com
- *. azurerms.com- *.azurerms.com
- *. informationprotection.azure.com- *.informationprotection.azure.com
-informationprotection.hosting.portal.azure.net- informationprotection.hosting.portal.azure.net
- *. aria.microsoft.com- *.aria.microsoft.com

Configuration requise pour les comptes de serviceService account requirements

Vous devez disposer d’un compte de service pour exécuter le service du scanneur sur l’ordinateur Windows Server, ainsi que pour vous authentifier auprès de Azure AD et télécharger la stratégie Azure Information Protection.You must have a service account to run the scanner service on the Windows Server computer, as well as authenticate to Azure AD and download the Azure Information Protection Policy.

Votre compte de service doit être un compte Active Directory et être synchronisé avec Azure AD.Your service account must be an Active Directory account and synchronized to Azure AD.

Si vous ne pouvez pas synchroniser ce compte en raison des stratégies de votre organisation, consultez déploiement du scanneur avec d’autres configurations.If you cannot synchronize this account because of your organization policies, see Deploying the scanner with alternative configurations.

Ce compte de service a la configuration suivante :This service account has the following requirements:

Condition requiseRequirement DétailsDetails
Attribution de droits d’utilisateur d’ouverture de session localeLog on locally user right assignment Requis pour installer et configurer le scanneur, mais pas pour exécuter des analyses.Required to install and configure the scanner, but not required to run scans.

Une fois que vous avez confirmé que le scanneur peut détecter, classer et protéger les fichiers, vous pouvez supprimer ce droit du compte de service.Once you've confirmed that the scanner can discover, classify, and protect files, you can remove this right from the service account.

S’il n’est pas possible d’accorder ce droit même pendant une brève période de temps en raison des stratégies de votre organisation, consultez déploiement du scanneur avec d’autres configurations.If granting this right even for a short period of time is not possible because of your organization policies, see Deploying the scanner with alternative configurations.
Ouvrir une session en tant que service, attribution des droits utilisateur.Log on as a service user right assignment. Ce droit est accordé automatiquement au compte de service pendant l’installation du scanneur et il est exigé pour l’installation, la configuration et le fonctionnement du scanneur.This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.
Autorisations pour les référentiels de donnéesPermissions to the data repositories - Partages de fichiers ou fichiers locaux : Accordez des autorisations de lecture, d' écritureet de modification pour analyser les fichiers, puis appliquez la classification et la protection conformément à la configuration.- File shares or local files: Grant Read, Write, and Modify permissions for scanning the files and then applying classification and protection as configured.

- SharePoint : Accordez des autorisations contrôle total pour analyser les fichiers, puis appliquez la classification et la protection conformément à la configuration.- SharePoint: Grant Full Control permissions for scanning the files and then applying classification and protection as configured.

- Mode de découverte : Pour exécuter le scanneur en mode détection uniquement, l’autorisation lecture est suffisante.- Discovery mode: To run the scanner in discovery mode only, Read permission is sufficient.
Pour les étiquettes qui reprotègent ou suppriment la protectionFor labels that reprotect or remove protection Pour vous assurer que le scanneur a toujours accès aux fichiers protégés, définissez ce compte comme super utilisateur pour Azure information protection et assurez-vous que la fonctionnalité de super utilisateur est activée.To ensure that the scanner always has access to protected files, make this account a super user for Azure Information Protection, and ensure that the super user feature is enabled.

En outre, si vous avez implémenté des contrôles d’intégration pour un déploiement échelonné, assurez-vous que le compte de service est inclus dans les contrôles d’intégration que vous avez configurés.Additionally, if you've implemented onboarding controls for a phased deployment, make sure that the service account is included in the onboarding controls you've configured.

Configuration requise pour SQL ServerSQL server requirements

Pour stocker les données de configuration de l’analyseur, utilisez un serveur SQL Server avec les spécifications suivantes :To store the scanner configuration data, use an SQL server with the following requirements:

  • Instance locale ou distante.A local or remote instance.

    Nous vous recommandons d’héberger les SQL Server et le service du scanneur sur des ordinateurs différents, sauf si vous travaillez avec un petit déploiement.We recommend hosting the SQL Server and scanner service on different machines, unless you're working with a small deployment.

    SQL Server 2012 est la version minimale pour les éditions suivantes :SQL Server 2012 is the minimum version for the following editions:

    • SQL Server EntrepriseSQL Server Enterprise
    • SQL Server StandardSQL Server Standard
    • SQL Server Express (recommandé pour les environnements de test uniquement)SQL Server Express (recommended for test environments only)
  • Un compte avec le rôle sysadmin pour installer le scanneur.An account with Sysadmin role to install the scanner.

    Cela permet au processus d’installation de créer automatiquement la base de données de configuration de l’analyseur et d’accorder le rôle de db_owner requis au compte de service qui exécute le scanneur.This enables the installation process to automatically create the scanner configuration database and grant the required db_owner role to the service account that runs the scanner.

    Si vous ne pouvez pas accorder le rôle sysadmin ou si les stratégies de votre organisation nécessitent la création et la configuration de bases de données manuellement, consultez déploiement du scanneur avec d’autres configurations.If you cannot be granted the Sysadmin role or your organization policies require databases to be created and configured manually, see Deploying the scanner with alternative configurations.

  • Capacité.Capacity. Pour obtenir des conseils sur la capacité, consultez exigences de stockage et planification de la capacité pour SQL Server.For capacity guidance, see Storage requirements and capacity planning for SQL Server.

  • Classement non sensible à la casseCase insensitive collation

Notes

Plusieurs bases de données de configuration sur le même serveur SQL Server sont prises en charge lorsque vous spécifiez un nom de cluster personnalisé (profil) pour le scanneur.Multiple configuration databases on the same SQL server are supported when you specify a custom cluster (profile) name for the scanner.

Exigences de stockage et planification de la capacité pour SQL ServerStorage requirements and capacity planning for SQL Server

La quantité d’espace disque requise pour la base de données de configuration du scanneur et la spécification de l’ordinateur qui exécute SQL Server peuvent varier pour chaque environnement, nous vous encourageons donc à effectuer vos propres tests.The amount of disk space required for the scanner's configuration database and the specification of the computer running SQL Server can vary for each environment, so we encourage you to do your own testing. Utilisez les instructions suivantes comme point de départ.Use the following guidance as a starting point.

Pour plus d’informations, consultez optimisation des performances du scanneur.For more information, see Optimizing the performance of the scanner.

La taille du disque de la base de données de configuration varie pour chaque déploiement.The disk size for the configuration database will vary for each deployment. Nous vous recommandons d’allouer 500 Mo pour chaque 1 million fichiers que vous souhaitez analyser.We recommend that you allocate 500 MB for every 1,000,000 files that you want to scan.

Pour chaque scanneur, utilisez :For each scanner, use:

  • 4 processeurs principaux4 core processors
  • 8 Go de RAM (4 Go minimum)8 GB RAM (4 GB minimum)

Configuration requise pour le client Azure Information ProtectionAzure Information Protection client requirements

Le client de Azure Information Protection doit être installé sur l’ordinateur Windows Server.You must have the Azure Information Protection client installed on the Windows Server computer.

Pour plus d’informations, consultez le Guide d’administration du client classique.For more information, see the Classic client admin guide.

Important

Vous devez installer le client complet pour le scanneur.You must install the full client for the scanner. N’installez pas le client avec juste le module PowerShell.Do not install the client with just the PowerShell module.

Configuration requise pour l’étiquetteLabel configuration requirements

Vous devez configurer des étiquettes qui appliquent automatiquement la classification et, éventuellement, la protection.You must have labels configured that automatically apply classification, and optionally, protection.

Si vous n’avez pas configuré ces étiquettes, consultez déploiement du scanneur avec d’autres configurations.If you don't have these labels configured, see Deploying the scanner with alternative configurations.

Pour plus d'informations, consultez les pages suivantes :For more information, see:

Conseil

Utilisez les instructions du didacticiel pour tester le scanneur avec une étiquette qui recherche des numéros de carte de crédit dans un document Word préparé.Use the instructions from the tutorial to test the scanner with a label that looks for credit card numbers in a prepared Word document. Toutefois, vous devez modifier la configuration de l’étiquette pour que l’option Sélectionner la manière dont cette étiquette est appliquée soit définie sur automatique, plutôt que sur recommandé ou traiter l’étiquetage recommandé comme automatique (disponible dans la version 2.7 du scanneur. x. x et versions ultérieures).However, you will need to change the label configuration so that the option Select how this label is applied is set to Automatic, rather than Recommended or treat recommended labeling as automatic (available in scanner version 2.7.x.x and above).

Supprimez ensuite l’étiquette du document (si elle est appliquée), puis copiez le fichier dans un référentiel de données pour le scanneur.Then remove the label from the document (if it is applied) and copy the file to a data repository for the scanner.

Configuration requise pour SharePointSharePoint requirements

Pour analyser les dossiers et bibliothèques de documents SharePoint, assurez-vous que votre serveur SharePoint est conforme aux exigences suivantes :To scan SharePoint document libraries and folders, ensure that your SharePoint server complies with the following requirements:

  • Versions prises en charge.Supported versions. Les versions prises en charge sont les suivantes : SharePoint 2019, SharePoint 2016, SharePoint 2013 et SharePoint 2010.Supported versions include: SharePoint 2019, SharePoint 2016, SharePoint 2013, and SharePoint 2010. D’autres versions de SharePoint ne sont pas prises en charge pour le scanneur.Other versions of SharePoint are not supported for the scanner.

  • Version.Versioning. Lorsque vous utilisez le contrôle de version, le scanneur inspecte et étiquette la dernière version publiée.When you use versioning, the scanner inspects and labels the last published version. Si le scanneur étiquette une approbation de fichier et de contenu est requise, ce fichier doit être approuvé pour être disponible pour les utilisateurs.If the scanner labels a file and content approval is required, that labeled file must be approved to be available for users.

  • Batteries de serveurs SharePoint de grande taille.Large SharePoint farms. Pour les grandes batteries de serveurs SharePoint, regardez si vous devez augmenter le seuil d’affichage de liste (par défaut, 5 000) pour le scanneur pour accéder à tous les fichiers.For large SharePoint farms, check whether you need to increase the list view threshold (by default, 5,000) for the scanner to access all files. Pour plus d’informations, consultez gérer des listes et des bibliothèques de grande taille dans SharePoint.For more information, see Manage large lists and libraries in SharePoint.

Configuration requise pour la Microsoft OfficeMicrosoft Office requirements

Pour analyser les documents Office, vos documents doivent être dans l’un des formats suivants :To scan Office documents, your documents must be in one of the following formats:

  • Microsoft Office 97-2003Microsoft Office 97-2003
  • Formats Office Open XML pour Word, Excel et PowerPointOffice Open XML formats for Word, Excel, and PowerPoint

Pour plus d’informations, consultez types de fichiers pris en charge par le client Azure information protection.For more information, see File types supported by the Azure Information Protection client.

Exigences relatives au chemin de fichierFile path requirements

Pour analyser les fichiers, vos chemins d’accès aux fichiers doivent comporter 260 caractères au maximum, sauf si le scanneur est installé sur Windows 2016 et que l’ordinateur est configuré pour prendre en charge des chemins d’accès longs.To scan files, your file paths must have a maximum of 260 characters, unless the scanner is installed on Windows 2016 and the computer is configured to support long paths

Windows 10 et Windows Server 2016 prennent en charge des longueurs de chemin de plus de 260 caractères avec le paramètre de stratégie de groupesuivant : stratégie de l' ordinateur local > Configuration ordinateur > modèles d’administration > tous les paramètres > activer les chemins longs Win32Windows 10 and Windows Server 2016 support path lengths greater than 260 characters with the following group policy setting: Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Pour plus d’informations sur la prise en charge des chemins de fichiers longs, consultez la section consacrée à la longueur maximale des chemins dans la documentation pour développeurs Windows 10.For more information about supporting long file paths, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

Exigences relatives aux statistiques d’utilisationUsage statistics requirements

Désactivez les statistiques d’utilisation à l’aide de l’une des méthodes suivantes :Disable usage statistics using one of the following methods:

  • Affectation de la valeur 0 au paramètre AllowTelemetrySetting the AllowTelemetry parameter to 0

  • Assurez-vous que l’option contribuer à l’amélioration des Azure information protection en envoyant des statistiques d’utilisation à Microsoft reste désélectionnée pendant le processus d’installation du scanneur.Ensure that the Help improve Azure Information Protection by sending usage statistics to Microsoft option remains unselected during the scanner installation process.

Déploiement du scanneur avec d’autres configurationsDeploying the scanner with alternative configurations

Les conditions préalables répertoriées ci-dessus sont les conditions par défaut pour le déploiement de l’analyseur, et recommandées car elles prennent en charge la configuration d’analyseur la plus simple.The prerequisites listed above are the default requirements for the scanner deployment, and recommended because they support the simplest scanner configuration.

Les spécifications par défaut doivent être adaptées au test initial, afin que vous puissiez vérifier les fonctionnalités du scanneur.The default requirements should be suitable for initial testing, so that you can check the capabilities of the scanner.

Toutefois, dans un environnement de production, les stratégies de votre organisation peuvent interdire ces exigences par défaut.However, in a production environment, your organization's policies may prohibit these default requirements. Le scanneur peut prendre en charge les restrictions suivantes avec une configuration supplémentaire :The scanner can accommodate the following restrictions with additional configuration:

Restriction : le serveur de scanneur ne peut pas disposer d’une connexion InternetRestriction: The scanner server cannot have internet connectivity

Pour prendre en charge un ordinateur déconnecté, procédez comme suit :To support a disconnected computer, perform the following steps:

  1. Configurez vos étiquettes qui appliquent uniquement la classification ou appliquez la protection qui utilise la protection hyok.Configure your labels that apply classification only, or apply protection that uses HYOK protection.

    Sans connexion Internet, le scanneur ne peut pas appliquer la protection, supprimer la protection ou inspecter les fichiers protégés à l’aide de la clé Cloud de votre organisation.Without an internet connection, the scanner cannot apply protection, remove protection, or inspect protected files by using your organization's cloud-based key. Au lieu de cela, le scanneur est limité à l’utilisation d’étiquettes qui appliquent uniquement la classification, ou appliquez la protection qui utilise la protection HYOK.Instead, the scanner is limited to using labels that apply classification only, or apply protection that uses HYOK protection.

    Pour plus d’informations, consultez prise en charge des ordinateurs déconnectés.For more information, see Support for disconnected computers.

  2. Configurez le scanneur dans le Portail Azure en créant un cluster de scanneur.Configure the scanner in the Azure portal, by creating a scanner cluster. Si vous avez besoin d’aide pour cette étape, consultez Configurer le scanneur dans le portail Azure.If you need help with this step, see Configure the scanner in the Azure portal.

  3. Exportez votre travail de contenu à partir du volet Azure information protection-travaux d’analyse de contenu à l’aide de l’option d' exportation .Export your content job from the Azure Information Protection - Content scan jobs pane using the Export option.

  4. Dans une session PowerShell, exécutez Import-AIPScannerConfiguration et spécifiez le fichier contenant les paramètres exportés.In a PowerShell session, run Import-AIPScannerConfiguration and specify the file that contains the exported settings.

Restriction : vous ne pouvez pas obtenir le rôle Sysadmin ou les bases de données doivent être créées et configurées manuellementRestriction: You cannot be granted Sysadmin or databases must be created and configured manually

Si le rôle sysadmin peut être accordé temporairement pour installer le scanneur, vous pouvez supprimer ce rôle une fois l’installation du scanneur terminée.If you can be granted the Sysadmin role temporarily to install the scanner, you can remove this role when the scanner installation is complete.

Effectuez l’une des opérations suivantes, selon les besoins de votre organisation :Do one of the following, depending on your organization's requirements:

  • Vous pouvez avoir le rôle sysadmin temporairement.You can have the Sysadmin role temporarily. Si vous avez temporairement le rôle sysadmin, la base de données est automatiquement créée pour vous et le compte de service du scanneur reçoit automatiquement les autorisations requises.If you temporarily have the Sysadmin role, the database is automatically created for you and the service account for the scanner is automatically granted the required permissions.

    Toutefois, le compte d’utilisateur qui configure le scanneur requiert toujours le rôle db_owner pour la base de données de configuration de l’analyseur.However, the user account that configures the scanner still requires the db_owner role for the scanner configuration database. Si vous avez uniquement le rôle sysadmin jusqu’à ce que l’installation du scanneur soit terminée, accordez manuellement le rôle db_owner au compte d’utilisateur.If you only have the Sysadmin role until the scanner installation is complete, grant the db_owner role to the user account manually.

  • Vous ne pouvez pas avoir le rôle sysadmin.You cannot have the Sysadmin role at all. Si vous ne pouvez pas recevoir le rôle sysadmin même temporairement, vous devez demander à un utilisateur disposant des droits d’administrateur système de créer manuellement une base de données avant d’installer le scanneur.If you cannot be granted the Sysadmin role even temporarily, you must ask a user with Sysadmin rights to manually create a database before you install the scanner.

    Pour cette configuration, le rôle de db_owner doit être affecté aux comptes suivants :For this configuration, the db_owner role must be assigned to the following accounts:

    • Compte de service pour le scanneurService account for the scanner

    • Compte d’utilisateur pour l’installation du scanneurUser account for the scanner installation

    • Compte utilisateur pour la configuration du scanneurUser account for scanner configuration

    En règle générale, vous utilisez le même compte utilisateur pour installer et configurer le scanneur.Typically, you will use the same user account to install and configure the scanner. Si vous utilisez des comptes différents, ils nécessitent tous deux le rôle db_owner pour la base de données de configuration de l’analyseur.If you use different accounts, they both require the db_owner role for the scanner configuration database. Créez cet utilisateur et les droits nécessaires.Create this user and rights as needed.

    Si vous ne spécifiez pas votre propre nom de cluster (profil) pour le scanneur, la base de données de configuration est nommée **AIPScanner_ <computer_name> **.If you do not specify your own cluster (profile) name for the scanner, the configuration database is named AIPScanner_<computer_name>.
    Poursuivez avec la création d’un utilisateur et en accordant des droits de db_owner sur la base de données.Continue with creating a user and granting db_owner rights on the database.

En outre :Additionally:

  • Vous devez être un administrateur local sur le serveur qui exécutera le scanneur.You must be a local administrator on the server that will run the scanner

  • Le compte de service qui exécutera le scanneur doit disposer des autorisations contrôle total sur les clés de Registre suivantes :The service account that will run the scanner must be granted Full Control permissions to the following registry keys:

    • HKEY_LOCAL_MACHINE \SOFTWARE\WOW6432Node\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Si, après avoir configuré ces autorisations, vous voyez une erreur lors de l’installation du scanneur, l’erreur peut être ignorée et vous pouvez démarrer manuellement le service du scanneur.If, after configuring these permissions, you see an error when you install the scanner, the error can be ignored and you can manually start the scanner service.

Remplir la base de données manuellementPopulate the database manually

Remplissez la base de données à l’aide du script suivant :Populate the database using the following script:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END 

Créer un utilisateur et lui accorder des droits db_owner manuellementCreate a user and grant db_owner rights manually

Pour créer un utilisateur et accorder des droits de db_owner sur cette base de données, demandez à l’administrateur système d’effectuer les opérations suivantes :To create a user and grant db_owner rights on this database, ask the Sysadmin to do the following:

  1. Créer une base de connaissances pour le scanneur :Create a DB for scanner:

    **CREATE DATABASE AIPScannerUL_[clustername]**
    
    **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
    
  2. Accordez des droits à l’utilisateur qui exécute la commande d’installation et qui est utilisé pour exécuter des commandes de gestion du scanneur.Grant rights to the user that runs the install command and is used to run scanner management commands.

    Script SQL :SQL script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. Accordez des droits au compte de service du scanneur.Grant rights to scanner service account.

    Script SQL :SQL script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

Restriction : le compte de service pour le scanneur ne peut pas obtenir le droit Ouvrir une session localementRestriction: The service account for the scanner cannot be granted the Log on locally right

Si les stratégies de votre organisation interdisent le droit ouvrir une session localement pour les comptes de service, mais autorise le droit ouvrir une session en tant que tâche , consultez spécifier et utiliser le paramètre de jeton pour Set-AIPAuthentication.If your organization policies prohibit the Log on locally right for service accounts, but allows the Log on as a batch job right, see Specify and use the Token parameter for Set-AIPAuthentication.

Restriction : le compte de service du scanneur ne peut pas être synchronisé avec Azure Active Directory mais le serveur dispose d’une connexion InternetRestriction: The scanner service account cannot be synchronized to Azure Active Directory but the server has internet connectivity

Vous pouvez avoir un compte pour exécuter le service du scanneur et un autre compte pour l’authentification auprès d’Azure Active Directory :You can have one account to run the scanner service and use another account to authenticate to Azure Active Directory:

Restriction : vos étiquettes n’ont pas de conditions d’étiquetage automatiqueRestriction: Your labels do not have auto-labeling conditions

Si vos étiquettes n’ont pas de conditions d’étiquetage automatique, envisagez d’utiliser l’une des options suivantes lors de la configuration de votre scanneur :If your labels do not have any auto-labeling conditions, plan to use one of the following options when configuring your scanner:

OptionOption DescriptionDescription
Découvrir tous les types d’informationsDiscover all info types Dans votre travail d’analyse de contenu, définissez l’option types d’informations sur tous.In your content scan job, set the Info types to be discovered option to All.

Cette option définit le travail d’analyse de contenu pour analyser votre contenu pour tous les types d’informations sensibles.This option sets the content scan job to scan your content for all sensitive information types.
Définir une étiquette par défautDefine a default label Définissez une étiquette par défaut dans votre stratégie, le travail d’analyse de contenuou le référentiel.Define a default label in your policy, content scan job, or repository.

Dans ce cas, le scanner applique l’étiquette par défaut sur tous les fichiers trouvés.In this case the scanner applies the default label on all files found.

Étapes suivantesNext steps

Une fois que vous avez confirmé que votre système est conforme aux conditions préalables du scanneur, poursuivez le déploiement de l’analyseur de Azure information protection pour classifier et protéger automatiquement les fichiers.Once you've confirmed that your system complies with the scanner prerequisites, continue with Deploying the Azure Information Protection scanner to automatically classify and protect files.

Pour obtenir une vue d’ensemble du scanneur, consultez déploiement de l’analyseur de Azure information protection pour classifier et protéger automatiquement des fichiers.For an overview about the scanner, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

Plus d’informations :More information:

Comment l’équipe Core Services Engineering and Operations de Microsoft a-t-elle implémenté ce scanneur ?Interested in how the Core Services Engineering and Operations team in Microsoft implemented this scanner? Lisez l’étude de cas technique : Automatiser la protection des données avec le scanneur Azure Information Protection.Read the technical case study: Automating data protection with Azure Information Protection scanner.

Vous vous posez peut-être la différence entre Windows Server FCI et le scanneur Azure information protection ?You might be wondering: What's the difference between Windows Server FCI and the Azure Information Protection scanner?

Vous pouvez également utiliser PowerShell pour classifier et protéger des fichiers de manière interactive à partir de votre ordinateur de bureau.You can also use PowerShell to interactively classify and protect files from your desktop computer. Pour plus d’informations sur ce scénario et d’autres scénarios qui utilisent PowerShell, consultez utilisation de PowerShell avec le client Azure information protection Classic .For more information about this and other scenarios that use PowerShell, see Using PowerShell with the Azure Information Protection classic client