Déploiement des versions précédentes du scanneur Azure Information ProtectionDeploying previous versions of the Azure Information Protection scanner

S’applique à : Azure information protection, windows server 2019, windows server 2016, windows server 2012 R2Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Instructions pour : Client Azure Information Protection pour WindowsInstructions for: Azure Information Protection client for Windows

Notes

Pour fournir une expérience client unifiée et rationalisée, Azure Information Protection client (Classic) et Gestion des étiquettes dans le Portail Azure sont dépréciées à compter du 31 mars 2021.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Ce laps de temps permet à tous les clients Azure Information Protection actuels de passer à notre solution d’étiquetage unifiée à l’aide de la plateforme d’étiquetage unifiée de Microsoft Information Protection.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. En savoir plus en consultant la notice de dépréciation officielle.Learn more in the official deprecation notice.

Notes

Cet article est destiné aux versions du Azure Information Protection scanner antérieures à la version 1.48.204.0 , mais qui sont toujours prises en charge.This article is for versions of the Azure Information Protection scanner that are earlier than version 1.48.204.0 but still in support. Pour mettre à niveau des versions antérieures vers la version actuelle, consultez mise à niveau de l’analyseur de Azure information protection.To upgrade earlier versions to the current version, see Upgrading the Azure Information Protection scanner.

Si vous recherchez des instructions de déploiement pour la version actuelle du scanneur, qui comprend la configuration du Portail Azure, consultez déploiement de l’analyseur Azure information protection pour classifier et protéger automatiquement des fichiers.If you are looking for deployment instructions for the current version of the scanner, which includes configuration from the Azure portal, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

Utilisez ces informations pour en savoir plus sur le scanneur Azure Information Protection, puis sur la manière de l’installer, de le configurer et de l’exécuter correctement.Use this information to learn about the Azure Information Protection scanner, and then how to successfully install, configure, and run it.

Ce scanneur s’exécute en tant que service sur Windows Server et vous permet de découvrir, classifier et protéger des fichiers sur les magasins de données suivants :This scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

  • Chemins UNC pour les partages réseau qui utilisent le protocole SMB (Server Message Block).UNC paths for network shares that use the Server Message Block (SMB) protocol.

  • Bibliothèques de documents et dossiers pour SharePoint Server 2019 via SharePoint Server 2013.Document libraries and folders for SharePoint Server 2019 through SharePoint Server 2013. SharePoint 2010 est également pris en charge pour les clients disposant de la prise en charge étendue de cette version de SharePoint.SharePoint 2010 is also supported for customers who have extended support for this version of SharePoint.

Pour analyser et étiqueter des fichiers sur des référentiels cloud, utilisez Cloud App Security au lieu du scanneur.To scan and label files on cloud repositories, use Cloud App Security instead of the scanner.

Présentation du scanneur Azure Information ProtectionOverview of the Azure Information Protection scanner

Quand vous avez configuré votre stratégie Azure Information Protection pour les étiquettes qui appliquent une classification automatique, vous pouvez étiqueter les fichiers découverts par ce scanneur.When you have configured your Azure Information Protection policy for labels that apply automatic classification, files that this scanner discovers can then be labeled. Les étiquettes appliquent une classification et elles appliquent ou suppriment éventuellement la protection :Labels apply classification, and optionally, apply protection or remove protection:

Présentation de l’architecture du scanneur Azure Information Protection

Le scanneur peut inspecter tous les fichiers que Windows est capable d’indexer à l’aide de filtres IFilter installés sur l’ordinateur.The scanner can inspect any files that Windows can index, by using IFilters that are installed on the computer. Ensuite, pour déterminer si les fichiers doivent être étiquetés, le scanneur utilise la détection de modèles et les types d’informations sensibles de protection contre la perte de données intégrée à Office 365 ou les modèles regex Office 365.Then, to determine if the files need labeling, the scanner uses the Office 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Office 365 regex patterns. Étant donné que le scanneur utilise le client Azure Information Protection, il peut classifier et protéger les mêmes types de fichiers.Because the scanner uses the Azure Information Protection client, it can classify and protect the same file types.

Vous pouvez exécuter le scanneur en mode découverte uniquement, dans lequel vous utilisez les rapports pour vérifier ce qui se passerait si les fichiers étaient étiquetés.You can run the scanner in discovery mode only, where you use the reports to check what would happen if the files were labeled. Ou bien, vous pouvez exécuter le scanneur pour appliquer automatiquement les étiquettes.Or, you can run the scanner to automatically apply the labels. Vous pouvez également exécuter le scanneur pour découvrir les fichiers contenant des types d’informations sensibles, sans configurer d’étiquettes pour les conditions qui appliquent la classification automatique.You can also run the scanner to discover files that contain sensitive information types, without configuring labels for conditions that apply automatic classification.

Notez que le scanneur ne découvre pas et n’étiquette pas en temps réel.Note that the scanner does not discover and label in real time. Il analyse systématiquement les fichiers dans les magasins de données que vous spécifiez. Vous pouvez configurer ce cycle pour s’exécuter une ou plusieurs fois.It systematically crawls through files on data stores that you specify, and you can configure this cycle to run once, or repeatedly.

Vous pouvez indiquer quels types de fichiers analyser ou exclure de l’analyse.You can specify which file types to scan, or exclude from scanning. Pour limiter les fichiers inspectés par le scanneur, définissez une liste de types de fichiers à l’aide de l’applet de commande Set-AIPScannerScannedFileTypes.To restrict which files the scanner inspects, define a file types list by using Set-AIPScannerScannedFileTypes.

Prérequis pour le scanneur Azure Information ProtectionPrerequisites for the Azure Information Protection scanner

Avant d’installer le scanneur Azure Information Protection, vérifiez que les conditions suivantes sont respectées.Before you install the Azure Information Protection scanner, make sure that the following requirements are in place.

Condition requiseRequirement Informations complémentairesMore information
Ordinateur Windows Server pour exécuter le service du scanneur :Windows Server computer to run the scanner service:

- Processeurs 4 cœurs- 4 core processors

- 8 Go de RAM- 8 GB of RAM

- 10 Go d’espace libre (en moyenne) pour les fichiers temporaires- 10 GB free space (average) for temporary files
Windows Server 2019, Windows Server 2016 ou Windows Server 2012 R2.Windows Server 2019, Windows Server 2016, or Windows Server 2012 R2.

Remarque: à des fins de test ou d’évaluation dans un environnement hors production, vous pouvez utiliser un système d’exploitation client Windows pris en charge par le client Azure information protection.Note: For testing or evaluation purposes in a non-production environment, you can use a Windows client operating system that is supported by the Azure Information Protection client.

Il peut s’agir d’un ordinateur physique ou virtuel doté d’une connexion réseau rapide et fiable aux magasins de données à scanner.This computer can be a physical or virtual computer that has a fast and reliable network connection to the data stores to be scanned.

Le scanneur nécessite suffisamment d’espace disque disponible pour créer des fichiers temporaires pour chaque fichier qu’il analyse, quatre fichiers par cœur.The scanner requires sufficient disk space to create temporary files for each file that it scans, four files per core. L’espace disque recommandé de 10 Go permet de disposer de processeurs 4 cœurs analysant 16 fichiers qui ont chacun une taille de 625 Mo.The recommended disk space of 10 GB allows for 4 core processors scanning 16 files that each have a file size of 625 MB.

Si la connexion Internet n’est pas possible en raison des stratégies de votre organisation, consultez la section déploiement du scanneur avec d’autres configurations .If internet connectivity is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section. Dans le cas contraire, assurez-vous que cet ordinateur dispose d’une connectivité Internet qui autorise les URL suivantes sur HTTPs (port 443) :Otherwise, make sure that this computer has internet connectivity that allows the following URLs over HTTPS (port 443):
*.aadrm.com*.aadrm.com
*.azurerms.com*.azurerms.com
*.informationprotection.azure.com*.informationprotection.azure.com
informationprotection.hosting.portal.azure.netinformationprotection.hosting.portal.azure.net
*.aria.microsoft.com*.aria.microsoft.com
Compte de service pour exécuter le service du scanneurService account to run the scanner service En plus d’exécuter le service du scanneur sur l’ordinateur Windows Server, ce compte Windows s’authentifie auprès d’Azure AD, puis télécharge la stratégie Azure Information Protection.In addition to running the scanner service on the Windows Server computer, this Windows account authenticates to Azure AD and downloads the Azure Information Protection policy. Ce compte doit être un compte Active Directory et synchronisé avec Azure AD.This account must be an Active Directory account and synchronized to Azure AD. Si vous ne pouvez pas synchroniser ce compte en raison des stratégies de votre organisation, consultez la section Déploiement du scanneur avec d’autres configurations.If you cannot synchronize this account because of your organization policies, see the Deploying the scanner with alternative configurations section.

Ce compte de service a la configuration suivante :This service account has the following requirements:

- Ouvrir une session localement, attribution des droits utilisateur.- Log on locally user right assignment. Ce droit est exigé pour l’installation et la configuration du scanneur, mais pas pour son fonctionnement.This right is required for the installation and configuration of the scanner, but not for operation. Vous devez accorder ce droit au compte de service, mais vous pouvez le supprimer après avoir vérifié que le scanneur peut détecter, classifier et protéger des fichiers.You must grant this right to the service account but you can remove this right after you have confirmed that the scanner can discover, classify, and protect files. Si l’attribution de ce droit, même pendant une courte période, n’est pas possible en raison des stratégies de votre organisation, consultez la section Déploiement du scanneur avec d’autres configurations.If granting this right even for a short period of time is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section.

- Ouvrir une session en tant que service, attribution des droits utilisateur.- Log on as a service user right assignment. Ce droit est accordé automatiquement au compte de service pendant l’installation du scanneur et il est exigé pour l’installation, la configuration et le fonctionnement du scanneur.This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.

-Autorisations sur les référentiels de données : pour les référentiels de données sur SharePoint en local, accordez toujours l’autorisation modifier si l’option Ajouter et personnaliser des pages est sélectionnée pour le site, ou accordez l’autorisation concevoir .- Permissions to the data repositories: For data repositories on SharePoint on-premises, always grant the Edit permission if Add and Customize Pages is selected for the site, or grant the Design permission. Pour les autres référentiels de données, accordez des autorisations en lecture et en écriture pour analyser les fichiers, puis appliquez la classification et la protection aux fichiers qui remplissent les conditions de la stratégie de Azure information protection.For other data repositories, grant Read and Write permissions for scanning the files and then applying classification and protection to the files that meet the conditions in the Azure Information Protection policy. Pour exécuter le scanneur en mode détection uniquement pour les autres référentiels de données, l’autorisation de lecture est suffisante.To run the scanner in discovery mode only for these other data repositories, Read permission is sufficient.

- Pour les étiquettes qui reprotègent ou retire la protection : pour veiller à ce que le scanneur ait toujours accès aux fichiers protégés, faites de ce compte un super utilisateur du service Azure Rights Management et vérifiez que la fonctionnalité de super utilisateur est activée.- For labels that reprotect or remove protection: To ensure that the scanner always has access to protected files, make this account a super user for the Azure Rights Management service, and ensure that the super user feature is enabled. Pour plus d’informations sur la configuration requise des comptes pour appliquer la protection, consultez Préparation des utilisateurs et groupes pour Azure Information Protection.For more information about the account requirements for applying protection, see Preparing users and groups for Azure Information Protection. En outre, si vous avez implémenté des contrôles d’intégration pour un déploiement échelonné, assurez-vous que ce compte est inclus dans les contrôles d’intégration que vous avez configurés.In addition, if you have implemented onboarding controls for a phased deployment, make sure that this account is included in your onboarding controls you've configured.
SQL Server pour stocker la configuration du scanneur :SQL Server to store the scanner configuration:

- Instance locale ou distante- Local or remote instance

- Classement non sensible à la casse- Case insensitive collation

-Rôle sysadmin pour installer le scanneur- Sysadmin role to install the scanner
SQL Server 2012 est la version minimale pour les éditions suivantes :SQL Server 2012 is the minimum version for the following editions:

- SQL Server Entreprise- SQL Server Enterprise

- SQL Server Standard- SQL Server Standard

- SQL Server Express- SQL Server Express

Si vous installez plusieurs instances du scanneur, chacune nécessite sa propre instance SQL Server.If you install more than one instance of the scanner, each scanner instance requires its own SQL Server instance.

Lorsque vous installez le scanneur et si votre compte a le rôle Sysadmin, le processus d’installation crée automatiquement la base de données AzInfoProtectionScanner et accorde le rôle db_owner requis au compte de service qui exécute le scanneur.When you install the scanner and your account has the Sysadmin role, the installation process automatically creates the AzInfoProtectionScanner database and grants the required db_owner role to the service account that runs the scanner. Si vous ne pouvez pas disposer du rôle Sysadmin ou si les stratégies de votre organisation requièrent que les bases de données soient créées et configurées manuellement, consultez la section Déploiement du scanneur avec d’autres configurations.If you cannot be granted the Sysadmin role or your organization policies require databases to be created and configured manually, see the Deploying the scanner with alternative configurations section.

La taille de la base de données de configuration varie pour chaque déploiement, mais nous vous recommandons d’allouer 500 Mo pour chaque lot de 1 000 000 fichiers que vous souhaitez analyser.The size of the configuration database will vary for each deployment but we recommend you allocate 500 MB for every 1,000,000 files that you want to scan.
Le client Azure Information Protection (Classic) est installé sur l’ordinateur Windows ServerThe Azure Information Protection client (classic) is installed on the Windows Server computer Vous devez installer le client complet pour le scanneur.You must install the full client for the scanner. N’installez pas le client avec juste le module PowerShell.Do not install the client with just the PowerShell module.

Pour obtenir des instructions d’installation du client, consultez le guide de l’administrateur.For client installation instructions, see the admin guide. Si vous avez déjà installé le scanneur et que vous devez maintenant le mettre à niveau vers une version ultérieure, consultez Mise à niveau du scanneur Azure Information Protection.If you have previously installed the scanner and now need to upgrade it to a later version, see Upgrading the Azure Information Protection scanner.
Étiquettes configurées qui appliquent une classification automatique et éventuellement une protectionConfigured labels that apply automatic classification, and optionally, protection Pour plus d’informations sur la configuration d’une étiquette de conditions et pour appliquer la protection :For more information about how to configure a label for conditions and to apply protection:
- Comment configurer des conditions pour la classification automatique et recommandée- How to configure conditions for automatic and recommended classification
- Comment configurer une étiquette pour la protection de Rights Management- How to configure a label for Rights Management protection

Conseil: vous pouvez utiliser les instructions du didacticiel pour tester le scanneur avec une étiquette qui recherche des numéros de carte de crédit dans un document Word préparé.Tip: You can use the instructions from the tutorial to test the scanner with a label that looks for credit card numbers in a prepared Word document. Vous devez toutefois modifier la configuration de l’étiquette afin que Sélectionner comment cette étiquette est appliquée soit défini sur Automatique plutôt que sur Recommandé.However, you will need to change the label configuration so that Select how this label is applied is set to Automatic rather than Recommended. Supprimez ensuite l’étiquette du document (si elle est appliquée), puis copiez le fichier dans un référentiel de données pour le scanneur.Then remove the label from the document (if it is applied) and copy the file to a data repository for the scanner.

Bien que vous puissiez exécuter le scanneur même si vous n’avez pas configuré les étiquettes qui appliquent la classification automatique, ce scénario n’est pas abordé dans ces instructions.Although you can run the scanner even if you haven't configured labels that apply automatic classification, this scenario is not covered with these instructions. Plus d’informationsMore information
Pour les bibliothèques de documents et les dossiers SharePoint à analyser :For SharePoint document libraries and folders to be scanned:

-SharePoint 2019- SharePoint 2019

- SharePoint 2016- SharePoint 2016

- SharePoint 2013- SharePoint 2013

- SharePoint 2010- SharePoint 2010
D’autres versions de SharePoint ne sont pas prises en charge pour le scanneur.Other versions of SharePoint are not supported for the scanner.

Lorsque vous utilisez le contrôle de version, le scanneur inspecte et étiquette la dernière version publiée.When you use versioning, the scanner inspects and labels the last published version. Si le scanneur étiquette une approbation de fichier et de contenu est requise, ce fichier doit être approuvé pour être disponible pour les utilisateurs.If the scanner labels a file and content approval is required, that labeled file must be approved to be available for users.

Pour les grandes batteries de serveurs SharePoint, regardez si vous devez augmenter le seuil d’affichage de liste (par défaut, 5 000) pour le scanneur pour accéder à tous les fichiers.For large SharePoint farms, check whether you need to increase the list view threshold (by default, 5,000) for the scanner to access all files. Pour plus d’informations, consultez la documentation SharePoint suivante : gérer les grandes listes et les bibliothèques dans SharePointFor more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint
Pour scanner des documents Office :For Office documents to be scanned:

- formats de fichier 97-2003 et formats Office Open XML pour Word, Excel et PowerPoint- 97-2003 file formats and Office Open XML formats for Word, Excel, and PowerPoint
Pour plus d’informations sur les types de fichiers pris en charge par le scanneur pour ces formats de fichiers, consultez Types de fichiers pris en charge par le client Azure Information Protection.For more information about the file types that the scanner supports for these file formats, see File types supported by the Azure Information Protection client
Pour les chemins longs :For long paths:

- 260 caractères maximum, sauf si le scanneur est installé sur Windows 2016 et que l’ordinateur est configuré pour prendre en charge les chemins longs.- Maximum of 260 characters, unless the scanner is installed on Windows 2016 and the computer is configured to support long paths
Windows 10 et Windows Server 2016 prennent en charge des longueurs de chemin de plus de 260 caractères avec le paramètre de stratégie de groupesuivant : stratégie de l' ordinateur local > Configuration ordinateur > modèles d’administration > tous les paramètres > activer les chemins longs Win32Windows 10 and Windows Server 2016 support path lengths greater than 260 characters with the following group policy setting: Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Pour plus d’informations sur la prise en charge des chemins de fichiers longs, consultez la section consacrée à la longueur maximale des chemins dans la documentation pour développeurs Windows 10.For more information about supporting long file paths, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

Si vous ne pouvez pas respecter toutes les conditions dans la table, car votre organisation l’interdit, consultez la section suivante pour obtenir des alternatives.If you can't meet all the requirements in the table because they are prohibited by your organization policies, see the next section for alternatives.

Si toutes les conditions requises sont remplies, passez directement à la section sur l’installation.If all the requirements are met, go straight to the installation section.

Déploiement du scanneur avec d’autres configurationsDeploying the scanner with alternative configurations

Les prérequis répertoriés dans la table correspondent aux exigences par défaut pour le scanneur et sont recommandés pour obtenir la configuration la plus simple pour le déploiement du scanneur.The prerequisites listed in the table are the default requirements for the scanner and recommended because they are the simplest configuration for the scanner deployment. Ils doivent être adaptés aux tests initiaux, afin que vous puissiez vérifier les fonctionnalités du scanneur.They should be suitable for initial testing, so that you can check the capabilities of the scanner. Toutefois, dans un environnement de produit, les stratégies de votre organisation peuvent interdire ces exigences par défaut en raison d’une ou plusieurs des restrictions suivantes :However, in a product environment, your organization policies might prohibit these default requirements because of one or more of the following restrictions:

  • Les serveurs ne sont pas autorisés à se connecter à InternetServers are not allowed internet connectivity

  • Sysadmin ne peut pas vous être accordé ou vous devez créer des bases de données et les configurer manuellementYou cannot be granted Sysadmin or databases must be created and configured manually

  • Les comptes de service ne peuvent pas se voir accorder le droit ouvrir une session localementService accounts cannot be granted the Log on locally right

  • Les comptes de service ne peuvent pas être synchronisés avec Azure Active Directory mais les serveurs ont une connectivité InternetService accounts cannot be synchronized to Azure Active Directory but servers have internet connectivity

Le scanneur peut prendre en charge ces restrictions, mais celles-ci nécessitent une configuration supplémentaire.The scanner can accommodate these restrictions but they require additional configuration.

Restriction : le serveur de scanneur ne peut pas disposer d’une connexion InternetRestriction: The scanner server cannot have internet connectivity

Suivez les instructions pour un ordinateur déconnecté.Follow the instructions for a disconnected computer.

Notez que dans cette configuration, le scanneur ne peut pas appliquer la protection (ou supprimer la protection) à l’aide de la clé cloud de votre organisation.Note that in this configuration, the scanner cannot apply protection (or remove protection) by using your organization's cloud-based key. Au lieu de cela, le scanneur est limité à l’utilisation d’étiquettes qui appliquent la classification uniquement, ou la protection qui utilise HYOK.Instead, the scanner is limited to using labels that apply classification only, or protection that uses HYOK.

Restriction : vous ne pouvez pas obtenir le rôle Sysadmin ou les bases de données doivent être créées et configurées manuellementRestriction: You cannot be granted Sysadmin or databases must be created and configured manually

Si le rôle Sysadmin peut vous être attribué temporairement pour installer le scanneur, vous pouvez supprimer ce rôle lorsque l’installation du scanneur est terminée.If you can be granted the Sysadmin role temporarily to install the scanner, you can remove this role when the scanner installation is complete. Lorsque vous utilisez cette configuration, la base de données est automatiquement créée pour vous et le compte de service du scanneur obtient automatiquement les autorisations nécessaires.When you use this configuration, the database is automatically created for you and the service account for the scanner is automatically granted the required permissions. Toutefois, le compte utilisateur qui configure le scanneur nécessite le rôle db_owner pour la base de données AzInfoProtectionScanner, et vous devez attribuer manuellement ce rôle au compte utilisateur.However, the user account that configures the scanner requires the db_owner role for the AzInfoProtectionScanner database, and you must manually grant this role to the user account.

Si vous ne pouvez pas recevoir le rôle sysadmin même temporairement, vous devez demander à un utilisateur disposant des droits d’administrateur système de créer manuellement une base de données nommée AzInfoProtectionScanner avant d’installer le scanneur.If you cannot be granted the Sysadmin role even temporarily, you must ask a user with Sysadmin rights to manually create a database named AzInfoProtectionScanner before you install the scanner. Pour cette configuration, les rôles suivants doivent être attribués :For this configuration, the following roles must be assigned:

CompteAccount Rôle au niveau de la base de donnéesDatabase-level role
Compte de service pour le scanneurService account for the scanner db_ownerdb_owner
Compte utilisateur pour l’installation du scanneurUser account for scanner installation db_ownerdb_owner
Compte utilisateur pour la configuration du scanneurUser account for scanner configuration db_ownerdb_owner

En règle générale, vous utilisez le même compte utilisateur pour installer et configurer le scanneur.Typically, you will use the same user account to install and configure the scanner. Mais si vous utilisez des comptes différents, ils ont tous les deux besoin du rôle db_owner pour la base de données AzInfoProtectionScanner.But if you use different accounts, they both require the db_owner role for the AzInfoProtectionScanner database.

Pour créer un utilisateur et accorder des droits de db_owner sur cette base de données, demandez à l’administrateur système d’exécuter le script SQL suivant deux fois.To create a user and grant db_owner rights on this database, ask the Sysadmin to run the following SQL script twice. La première fois, pour le compte de service qui exécute le scanneur, et la seconde fois pour installer et gérer le scanneur.The first time, for the service account that runs the scanner, and the second time for you to install and manage the scanner. Avant d’exécuter le script, remplacez domaine\utilisateur par le nom de domaine et le nom de compte d’utilisateur du compte de service ou du compte d’utilisateur :Before running the script, replace domain\user with the domain name and user account name of the service account or user account:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE AzInfoProtectionScanner IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

En outre :Additionally:

  • Vous devez être un administrateur local sur le serveur qui exécutera le scanneur.You must be a local administrator on the server that will run the scanner

  • Le compte de service qui exécutera le scanneur doit disposer des autorisations contrôle total sur les clés de Registre suivantes :The service account that will run the scanner must be granted Full Control permissions to the following registry keys:

    • HKEY_LOCAL_MACHINE \SOFTWARE\WOW6432Node\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Si, après avoir configuré ces autorisations, vous voyez une erreur lors de l’installation du scanneur, l’erreur peut être ignorée et vous pouvez démarrer manuellement le service du scanneur.If, after configuring these permissions, you see an error when you install the scanner, the error can be ignored and you can manually start the scanner service.

Restriction : le compte de service pour le scanneur ne peut pas obtenir le droit Ouvrir une session localementRestriction: The service account for the scanner cannot be granted the Log on locally right

Si les stratégies de votre organisation interdisent le droit Ouvrir une session localement pour les comptes de service, mais autorisent le droit Se connecter en tant que traitement par lots, suivez les instructions sous Spécifier et utiliser le paramètre Jeton pour Set-AIPAuthentication dans le guide de l’administrateur.If your organization policies prohibit the Log on locally right for service accounts but allow the Log on as a batch job right, follow the instructions for Specify and use the Token parameter for Set-AIPAuthentication from the admin guide.

Restriction : le compte de service du scanneur ne peut pas être synchronisé avec Azure Active Directory mais le serveur dispose d’une connexion InternetRestriction: The scanner service account cannot be synchronized to Azure Active Directory but the server has internet connectivity

Vous pouvez avoir un compte pour exécuter le service du scanneur et un autre compte pour l’authentification auprès d’Azure Active Directory :You can have one account to run the scanner service and use another account to authenticate to Azure Active Directory:

Installer le scanneurInstall the scanner

  1. Connectez-vous à l’ordinateur Windows Server qui exécutera le scanneur.Sign in to the Windows Server computer that will run the scanner. Utilisez un compte disposant de droits d’administrateur local et qui est autorisé à écrire dans la base de données principale SQL Server.Use an account that has local administrator rights and that has permissions to write to the SQL Server master database.

  2. Ouvrez une session Windows PowerShell avec l’option Exécuter en tant qu’administrateur.Open a Windows PowerShell session with the Run as an administrator option.

  3. Exécutez l’applet de commande install-AIPScanner , en spécifiant votre SQL Server instance sur laquelle créer une base de données pour le scanneur de Azure information protection :Run the Install-AIPScanner cmdlet, specifying your SQL Server instance on which to create a database for the Azure Information Protection scanner:

    Install-AIPScanner -SqlServerInstance <name>
    

    Par exemple :For example:

    • Pour une instance par défaut : Install-AIPScanner -SqlServerInstance SQLSERVER1For a default instance: Install-AIPScanner -SqlServerInstance SQLSERVER1

    • Pour une instance nommée : Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNERFor a named instance: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER

    • Pour SQL Server Express : Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESSFor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS

    Lorsque vous y êtes invité, fournissez les informations d’identification du compte de service du scanneur ( <domain\user name> ) et du mot de passe.When you are prompted, provide the credentials for the scanner service account (<domain\user name>) and password.

  4. Vérifiez que le service est maintenant installé à l’aide des Outils d’administration > services.Verify that the service is now installed by using Administrative Tools > Services.

    Le service installé est nommé Scanneur Azure Information Protection et il est configuré pour s’exécuter en utilisant le compte de service du scanneur que vous avez créé.The installed service is named Azure Information Protection Scanner and is configured to run by using the scanner service account that you created.

Maintenant que vous avez installé le scanneur, vous devez obtenir un jeton Azure AD pour que le compte de service du scanneur s’authentifie afin de pouvoir s’exécuter sans assistance.Now that you have installed the scanner, you need to get an Azure AD token for the scanner service account to authenticate so that it can run unattended.

Obtenir un jeton Azure AD pour le scanneurGet an Azure AD token for the scanner

Le jeton Azure AD permet au compte de service du scanneur de s’authentifier auprès du service Azure Information Protection.The Azure AD token lets the scanner service account authenticate to the Azure Information Protection service.

  1. À partir du même ordinateur Windows Server ou à partir de votre bureau, connectez-vous au portail Azure pour créer deux applications Azure AD nécessaires pour spécifier un jeton d’accès à des fins d’authentification.From the same Windows Server computer, or from your desktop, sign in to the Azure portal to create two Azure AD applications that are needed to specify an access token for authentication. Après une connexion interactive initiale, ce jeton permet au scanneur de s’exécuter de manière non interactive.After an initial interactive sign-in, this token lets the scanner run non-interactively.

    Pour créer ces applications, suivez les instructions données dans Guide pratique pour étiqueter des fichiers de manière non interactive pour Azure Information Protection dans le guide de l’administrateur.To create these applications, follow the instructions in How to label files non-interactively for Azure Information Protection from the admin guide.

  2. À partir de l’ordinateur Windows Server, si votre compte de service de scanneur a reçu l’autorisation Ouvrir une session localement pour l’installation : connectez-vous avec ce compte et démarrez une session PowerShell.From the Windows Server computer, if your scanner service account has been granted the Log on locally right for the installation: Sign in with this account and start a PowerShell session. Exécutez Set-AIPAuthentication, en spécifiant les valeurs copiées à partir de l’étape précédente :Run Set-AIPAuthentication, specifying the values that you copied from the previous step:

    Set-AIPAuthentication -webAppId <ID of the "Web app / API" application> -webAppKey <key value generated in the "Web app / API" application> -nativeAppId <ID of the "Native" application>
    

    Lorsque vous y êtes invité, spécifiez le mot de passe des informations d’identification de votre compte de service pour Azure AD, puis cliquez sur Accepter.When prompted, specify the password for your service account credentials for Azure AD, and then click Accept.

    Si l’autorisation Ouvrir une session localement ne peut pas être accordée à votre compte de service de scanneur pour l’installation : suivez les instructions de la section Spécifier et utiliser le paramètre Jeton pour Set-AIPAuthentication du guide de l’administrateur.If your scanner service account cannot be granted the Log on locally right for the installation: Follow the instructions in the Specify and use the Token parameter for Set-AIPAuthentication section from the admin guide.

Le scanneur a maintenant un jeton pour s’authentifier auprès d’Azure AD, lequel jeton est valide pendant un an, deux ans, ou définitivement (il n’expire jamais), selon votre configuration de l’application web/API dans Azure AD.The scanner now has a token to authenticate to Azure AD, which is valid for one year, two years, or never expires, according to your configuration of the Web app /API in Azure AD. Quand le jeton expire, vous devez répéter les étapes 1 et 2.When the token expires, you must repeat steps 1 and 2.

Vous êtes maintenant prêt à spécifier les magasins de données à analyser.You're now ready to specify the data stores to scan.

Spécifier les magasins de données pour le scanneurSpecify data stores for the scanner

Utilisez l’applet de commande Add-AIPScannerRepository pour spécifier les magasins de données à analyser à l’aide du scanneur Azure Information Protection.Use the Add-AIPScannerRepository cmdlet to specify the data stores to be scanned by the Azure Information Protection scanner. Vous pouvez spécifier des chemins d’accès UNC et des URL de serveur SharePoint pour les dossiers et bibliothèques de documents SharePoint.You can specify UNC paths and SharePoint Server URLs for SharePoint document libraries and folders.

Versions prises en charge pour SharePoint : SharePoint Server 2019, SharePoint Server 2016 et SharePoint Server 2013.Supported versions for SharePoint: SharePoint Server 2019, SharePoint Server 2016, and SharePoint Server 2013. SharePoint Server 2010 est également pris en charge pour les clients qui bénéficient d’un support étendu pour cette version de SharePoint.SharePoint Server 2010 is also supported for customers who have extended support for this version of SharePoint.

  1. À partir du même ordinateur Windows Server, dans votre session PowerShell, ajoutez votre premier magasin de données en exécutant la commande suivante :From the same Windows Server computer, in your PowerShell session, add your first data store by running the following command:

    Add-AIPScannerRepository -Path <path>
    

    Par exemple : Add-AIPScannerRepository -Path \\NAS\DocumentsFor example, Add-AIPScannerRepository -Path \\NAS\Documents

    Pour obtenir d’autres exemples, utilisez la commande PowerShell Help Get-Help Add-AIPScannerRepository -examples pour cette applet de commande.For other examples, use the PowerShell help command Get-Help Add-AIPScannerRepository -examples for this cmdlet.

  2. Répétez cette commande pour tous les magasins de données à analyser.Repeat this command for all the data stores that you want to scan. Si vous avez besoin de supprimer un magasin de données que vous avez ajouté, utilisez l’applet de commande Remove-AIPScannerRepository.If you need to remove a data store that you added, use the Remove-AIPScannerRepository cmdlet.

  3. Vérifiez que vous avez spécifié tous les magasins de données correctement en exécutant l’applet de commande Get-AIPScannerRepository :Confirm that you have specified all the data stores correctly, by running the Get-AIPScannerRepository cmdlet:

    Get-AIPScannerRepository
    

Avec la configuration par défaut du scanneur, vous êtes maintenant prêt à exécuter votre première analyse en mode découverte.With the scanner's default configuration, you're now ready to run your first scan in discovery mode.

Exécuter un cycle de découverte et afficher les rapports pour le scanneurRun a discovery cycle and view reports for the scanner

  1. Dans votre session PowerShell, démarrez le scanneur en exécutant la commande suivante :In your PowerShell session, start the scanner by running the following command:

    Start-AIPScan
    

    Vous pouvez également démarrer le scanneur à partir du portail Azure.Alternatively, you can start the scanner from the Azure portal. Dans le volet Azure information protection-nœuds , sélectionnez le nœud de votre scanneur, puis l’option Analyser maintenant :From the Azure Information Protection - Nodes pane, select your scanner node, and then the Scan now option:

    Lancer l’analyse pour le scanneur Azure Information Protection

  2. Attendez que le scanneur termine son cycle en exécutant la commande suivante :Wait for the scanner to complete its cycle by running the following command:

    Get-AIPScannerStatus
    

    Vous pouvez également afficher l’État à partir du volet Azure information protection-Nodes dans le portail Azure, en vérifiant la colonne État .Alternatively, you can view the status from the Azure Information Protection - Nodes pane in the Azure portal, by checking the STATUS column.

    Recherchez l’état pour afficher Idle (Inactif) plutôt que Scanning (Analyse).Look for the status to show Idle rather than Scanning.

    Une fois que le scanneur a parcouru tous les fichiers inclus dans les magasins de données que vous avez spécifiés, le service s’arrête alors que le service du scanneur continue de s’exécuter.When the scanner has crawled through all the files in the data stores that you specified, the scanner stops although the scanner service remains running.

    Consultez le journal des événements Applications et services Windows local, Azure Information Protection.Check the local Windows Applications and Services event log, Azure Information Protection. Ce journal indique également lorsque le scanneur a terminé l’analyse, avec un résumé des résultats.This log also reports when the scanner has finished scanning, with a summary of results. Recherchez l’ID d’événement d’information 911.Look for the informational event ID 911.

  3. Passez en revue les rapports stockés dans %localappdata%\Microsoft\MSIP\Scanner\Reports.Review the reports that are stored in %localappdata%\Microsoft\MSIP\Scanner\Reports. Les fichiers de résumé .txt incluent la durée de l’analyse, le nombre de fichiers analysés et le nombre de fichiers correspondants aux types d’informations.The .txt summary files include the time taken to scan, the number of scanned files, and how many files had a match for the information types. Les fichiers .csv offrent plus de détails pour chaque fichier.The .csv files have more details for each file. Ce dossier stocke jusqu’à 60 rapports pour chaque cycle d’analyse et tous, sauf le dernier rapport, sont compressés afin de réduire l’espace disque requis.This folder stores up to 60 reports for each scanning cycle and all but the latest report is compressed to help minimize the required disk space.

    Notes

    Vous pouvez modifier le niveau de journalisation à l’aide du paramètre ReportLevel avec Set-AIPScannerConfiguration, mais vous ne pouvez pas modifier l’emplacement ou le nom du dossier de rapport.You can change the level of logging by using the ReportLevel parameter with Set-AIPScannerConfiguration, but you can't change the report folder location or name. Envisagez d’utiliser une jointure de répertoire pour le dossier si vous souhaitez stocker les rapports sur un autre volume ou une autre partition.Consider using a directory junction for the folder if you want to store the reports on a different volume or partition.

    Par exemple, à l’aide de la commande Mklink : mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\ReportsFor example, using the Mklink command: mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\Reports

    Avec le paramètre par défaut, seuls les fichiers qui remplissent les conditions que vous avez configurées pour la classification automatique sont inclus dans les rapports détaillés.With the default setting, only files that meet the conditions you've configured for automatic classification are included in the detailed reports. Si vous ne voyez pas les étiquettes appliquées dans ces rapports, vérifiez que la configuration de votre étiquette inclut la classification automatique au lieu de la classification recommandée.If you don't see any labels applied in these reports, check your label configuration includes automatic rather than recommended classification.

    Conseil

    Les scanneurs envoient ces informations à Azure Information Protection toutes les cinq minutes, ce qui permet de voir les résultats en quasi temps quasi réel sur le Portail Azure.Scanners send this information to Azure Information Protection every five minutes, so that you can view the results in near real-time from the Azure portal. Pour plus d’informations, consultez Création de rapports pour Azure Information Protection.For more information, see Reporting for Azure Information Protection.

    Si les résultats ne correspondent pas à ce que vous attendez, vous devez peut-être ajuster les conditions que vous avez spécifiées dans votre stratégie Azure Information Protection.If the results are not as you expect, you might need to fine-tune the conditions that you specified in your Azure Information Protection policy. Si tel est le cas, répétez les étapes 1 à 3 jusqu’à ce que vous soyez prêt à modifier la configuration pour appliquer la classification et éventuellement la protection.If that's the case, repeat steps 1 through 3 until you are ready to change the configuration to apply the classification and optionally, protection.

Le portail Azure affiche des informations portant uniquement sur la dernière analyse.The Azure portal displays information about the last scan only. Si vous devez consulter les résultats des analyses précédentes, accédez aux rapports qui sont stockés sur l’ordinateur du scanneur, dans le dossier %localappdata%\Microsoft\MSIP\Scanner\Reports.If you need to see the results of previous scans, return to the reports that are stored on the scanner computer, in the %localappdata%\Microsoft\MSIP\Scanner\Reports folder.

Quand vous êtes prêt à étiqueter automatiquement les fichiers que le scanneur découvre, passez à la procédure suivante.When you're ready to automatically label the files that the scanner discovers, continue to the next procedure.

Configurer le scanneur pour appliquer la classification et la protectionConfigure the scanner to apply classification and protection

Dans son paramétrage par défaut, le scanneur s’exécute une seule fois en mode création de rapports uniquement.In its default setting, the scanner runs one time and in the reporting-only mode. Pour modifier ces paramètres, utilisez Set-AIPScannerConfiguration:To change these settings, use the Set-AIPScannerConfiguration:

  1. Sur l’ordinateur Windows Server, dans la session PowerShell, exécutez la commande suivante :On the Windows Server computer, in the PowerShell session, run the following command:

    Set-AIPScannerConfiguration -Enforce On -Schedule Always
    

    Il existe d’autres paramètres de configuration que vous pouvez modifier.There are other configuration settings that you might want to change. Par exemple, si les attributs de fichier sont modifiés et ce qui est enregistré dans les rapports.For example, whether file attributes are changed and what is logged in the reports. De plus, si votre stratégie Azure Information Protection inclut le paramètre qui exige un message de justification pour diminuer le niveau de classification ou supprimer la protection, spécifiez ce message à l’aide de cette applet de commande.In addition, if your Azure Information Protection policy includes the setting that requires a justification message to lower the classification level or remove protection, specify that message by using this cmdlet. Pour plus d’informations sur chaque paramètre de configuration, utilisez la commande d’aide PowerShell suivante : Get-Help Set-AIPScannerConfiguration -detailedUse the following PowerShell help command for more information about each configuration setting: Get-Help Set-AIPScannerConfiguration -detailed

  2. Notez l’heure actuelle et redémarrez le scanneur en exécutant la commande suivante :Make a note of the current time and start the scanner again by running the following command:

    Start-AIPScan
    

    Vous pouvez également démarrer le scanneur à partir du portail Azure.Alternatively, you can start the scanner from the Azure portal. Dans le volet Azure information protection-nœuds , sélectionnez le nœud de votre scanneur, puis l’option Analyser maintenant :From the Azure Information Protection - Nodes pane, select your scanner node, and then the Scan now option:

    Lancer l’analyse pour le scanneur Azure Information Protection

  3. Recherchez dans le journal des événements le type d’information 911 dont l’heure horodatée est ultérieure à l’heure du démarrage du scanneur à l’étape précédente.Monitor the event log for the informational type 911 again, with a time stamp later than when you started the scan in the previous step.

    Puis examinez les rapports pour déterminer quels fichiers ont été étiquetés, quelle classification a été appliquée et si une protection a été appliquée.Then check the reports to see details of which files were labeled, what classification was applied to each file, and whether protection was applied to them. Ou bien, utilisez le portail Azure pour consulter plus facilement ces informations.Or, use the Azure portal to more easily see this information.

Puisque nous avons configuré la planification pour qu’elle s’exécute en continu, quand le scanneur a parcouru tous les fichiers, il démarre un nouveau cycle pour découvrir les fichiers nouveaux et modifiés.Because we configured the schedule to run continuously, when the scanner has worked its way through all the files, it starts a new cycle so that any new and changed files are discovered.

Procédure d’analyse des fichiersHow files are scanned

Lors de l’analyse de fichiers, le scanneur effectue les processus suivants.The scanner runs through the following processes when it scans files.

1. déterminer si les fichiers sont inclus ou exclus pour l’analyse1. Determine whether files are included or excluded for scanning

Le scanneur ignore automatiquement les fichiers qui sont exclus de la classification et de la protection, comme les fichiers exécutables et les fichiers système.The scanner automatically skips files that are excluded from classification and protection, such as executable files and system files.

Vous pouvez modifier ce comportement en définissant une liste de types de fichiers à analyser ou à exclure de l’analyse.You can change this behavior by defining a list of file types to scan, or exclude from scanning. Lorsque vous définissez cette liste sans spécifier de référentiel de données, la liste s’applique à tous les référentiels de données qui n’ont pas leur propre liste spécifiée.When you specify this list and do not specify a data repository, the list applies to all data repositories that do not have their own list specified. Pour établir cette liste, utilisez Set-AIPScannerScannedFileTypes.To specify this list, use Set-AIPScannerScannedFileTypes.

Après avoir spécifié votre liste de types de fichiers, vous pouvez ajouter un nouveau type de fichier à l’aide de Add-AIPScannerScannedFileTypes et en supprimer un à l’aide de Remove-AIPScannerScannedFileTypes.After you have specified your file types list, you can add a new file type to the list by using Add-AIPScannerScannedFileTypes, and remove a file type from the list by using Remove-AIPScannerScannedFileTypes.

2. Inspectez et étiquetez les fichiers2. Inspect and label files

Le scanneur utilise ensuite des filtres pour analyser les types de fichiers pris en charge.The scanner then uses filters to scan supported file types. Ces mêmes filtres sont utilisés par le système d’exploitation pour Windows Search et l’indexation.These same filters are used by the operating system for Windows Search and indexing. Sans configuration supplémentaire, Windows IFilter permet d’analyser les types de fichiers utilisés par Word, Excel, PowerPoint ansi que les documents PDF et les fichiers texte.Without any additional configuration, Windows IFilter is used to scan file types that are used by Word, Excel, PowerPoint, and for PDF documents and text files.

Pour obtenir la liste complète des types de fichiers pris en charge par défaut et des informations supplémentaires sur la configuration de filtres existants qui incluent les fichiers .zip et .tiff, consultez Types de fichiers pris en charge pour l’inspection.For a full list of file types that are supported by default, and additional information how to configure existing filters that include .zip files and .tiff files, see File types supported for inspection.

Après inspection, ces types de fichiers peuvent être étiquetés à l’aide des conditions que vous avez spécifiées pour vos étiquettes.After inspection, these file types can be labeled by using the conditions that you specified for your labels. Ou, si vous utilisez le mode de découverte, ces fichiers peuvent être signalés comme contenant les conditions que vous avez spécifiées pour vos étiquettes ou tous les types d’informations sensibles connus.Or, if you're using discovery mode, these files can be reported to contain the conditions that you specified for your labels, or all known sensitive information types.

Toutefois, le scanneur ne peut pas étiqueter les fichiers dans les cas suivants :However, the scanner cannot label the files under the following circumstances:

  • L’étiquette applique la classification mais pas la protection, et le type de fichier ne prend pas en charge la classification uniquement.If the label applies classification and not protection, and the file type does not support classification only.

  • L’étiquette applique la classification et la protection, mais le scanneur ne protège pas le type de fichier.If the label applies classification and protection, but the scanner does not protect the file type.

    Par défaut, le scanneur protège uniquement les types de fichiers Office et PDF (si ces derniers sont protégés à l’aide de la norme ISO pour le chiffrement PDF).By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. Il est possible de protéger d’autres types de fichiers quand vous modifiez le Registre, comme décrit dans la section suivante.Other file types can be protected when you edit the registry as described in a following section.

Par exemple, après inspection des fichiers portant l’extension .txt, le scanneur ne peut pas appliquer une étiquette configurée pour la classification mais pas pour la protection, car le type de fichier .txt ne prend pas en charge la classification uniquement.For example, after inspecting files that have a file name extension of .txt, the scanner can't apply a label that's configured for classification but not protection, because the .txt file type doesn't support classification-only. Si l’étiquette est configurée pour la classification et la protection et que le Registre est modifié pour le type de fichier .txt, le scanneur peut étiqueter le fichier.If the label is configured for classification and protection, and the registry is edited for the .txt file type, the scanner can label the file.

Conseil

Pendant ce processus, si le scanneur s’arrête et ne termine pas l’analyse d’un grand nombre de fichiers dans un référentiel :During this process, if the scanner stops and doesn't complete scanning a large number of the files in a repository:

  • Vous devrez peut-être augmenter le nombre de ports dynamiques pour le système d’exploitation hébergeant les fichiers.You might need to increase the number of dynamic ports for the operating system hosting the files. Le renforcement du serveur pour SharePoint peut être l’une des raisons expliquant pourquoi le scanneur dépasse le nombre de connexions réseau autorisées et s’arrête.Server hardening for SharePoint can be one reason why the scanner exceeds the number of allowed network connections, and therefore stops.

    Pour vérifier s’il s’agit de la cause de l’arrêt du scanneur, regardez si le message d’erreur suivant est enregistré pour le scanneur dans%LocalAppData% \ Microsoft\MSIP\Logs\MSIPScanner.Iplog (zippé s’il y a plusieurs journaux) : Impossible de se connecter au serveur distant---> System .net. Sockets. SocketException : une seule utilisation de chaque adresse de socketTo check whether this is the cause of the scanner stopping, look to see if the following error message is logged for the scanner in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped if there are multiple logs): Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

    Pour plus d’informations sur l’affichage de la plage de ports actuelle et l’augmentation de la plage, consultez Paramètres modifiables pour améliorer les performances du réseau.For more information about how to view the current port range and increase the range, see Settings that can be Modified to Improve Network Performance.

  • Pour les grandes batteries de serveurs SharePoint, vous devrez peut-être augmenter le seuil d’affichage de liste (par défaut, 5 000).For large SharePoint farms, you might need to increase the list view threshold (by default, 5,000). Pour plus d’informations, consultez la documentation SharePoint suivante : gérer les grandes listes et les bibliothèques dans SharePoint.For more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint.

3. étiquetez les fichiers qui ne peuvent pas être inspectés3. Label files that can't be inspected

Pour les types de fichiers qui ne peuvent pas être inspectés, le scanneur applique l’étiquette par défaut dans la stratégie Azure Information Protection ou l’étiquette par défaut que vous configurez pour le scanneur.For the file types that can't be inspected, the scanner applies the default label in the Azure Information Protection policy, or the default label that you configure for the scanner.

Comme dans l’étape précédente, le scanneur ne peut pas étiqueter les fichiers dans les cas suivants :As in the preceding step, the scanner cannot label the files under the following circumstances:

  • L’étiquette applique la classification mais pas la protection, et le type de fichier ne prend pas en charge la classification uniquement.If the label applies classification and not protection, and the file type does not support classification only.

  • L’étiquette applique la classification et la protection, mais le scanneur ne protège pas le type de fichier.If the label applies classification and protection, but the scanner does not protect the file type.

    Par défaut, le scanneur protège uniquement les types de fichiers Office et PDF (si ces derniers sont protégés à l’aide de la norme ISO pour le chiffrement PDF).By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. Il est possible de protéger d’autres types de fichiers quand vous modifiez le Registre, comme décrit ci-après.Other file types can be protected when you edit the registry as described next.

Modification du Registre pour le scanneurEditing the registry for the scanner

Pour changer le comportement par défaut du scanneur pour protéger d’autres types de fichiers que les fichiers Office et PDF, vous devez modifier manuellement le Registre et indiquer les types de fichiers supplémentaires qui doivent être protégés ainsi que le type de protection (native ou générique).To change the default scanner behavior for protecting file types other than Office files and PDFs, you must manually edit the registry and specify the additional file types that you want to be protected, and the type of protection (native or generic). Pour obtenir des instructions, consultez Configuration de l’API de fichier dans le Guide du développeur.For instructions, see File API configuration from the developer guidance. Dans cette documentation pour les développeurs, la protection générique est appelée « PFile ».In this documentation for developers, generic protection is referred to as "PFile". En outre, spécifiquement pour le scanneur :In addition, specific for the scanner:

  • Le scanneur a son propre comportement par défaut : seuls les formats de fichier Office et les documents PDF sont protégés par défaut.The scanner has its own default behavior: Only Office file formats and PDF documents are protected by default. Si le Registre n’est pas modifié, aucun des autres types de fichiers ne sera étiqueté ou protégé par le scanneur.If the registry is not modified, any other file types will not be labeled or protected by the scanner.

  • Si vous souhaitez utiliser le même comportement de protection par défaut que le client Azure Information Protection, où tous les fichiers sont automatiquement protégés par une protection native ou générique : spécifiez le * caractère générique comme clé de Registre, Encryption comme valeur (REG_SZ) et Default comme données de valeur.If you want the same default protection behavior as the Azure Information Protection client, where all files are automatically protected with native or generic protection: Specify the * wildcard as a registry key, Encryption as the value (REG_SZ), and Default as the value data.

Lorsque vous modifiez le Registre, créez manuellement la clé MSIPC et la clé FileProtection si elles n’existent pas, ainsi qu’une clé pour chaque extension de nom de fichier.When you edit the registry, manually create the MSIPC key and FileProtection key if they do not exist, as well as a key for each file name extension.

Par exemple, pour que le scanneur protège les fichiers TIFF en plus des fichiers Office et PDF, le Registre devrait se présenter comme dans l’image suivante, une fois que vous l’avez modifié.For example, for the scanner to protect TIFF images in addition to Office files and PDFs, the registry after you have edited it, will look like the following picture. Les fichiers TIFF, qui sont des fichiers image, prennent en charge la protection native et l’extension de nom de fichier résultante est .ptiff.As an image file, TIFF files support native protection and the resulting file name extension is .ptiff.

Modification du Registre pour que le scanneur applique une protection

Pour obtenir la liste des types de fichiers texte et image qui prennent en charge de manière similaire la protection native mais qui doivent être spécifiés dans le Registre, consultez Types de fichiers pris en charge pour la classification et la protection dans le guide de l’administrateur.For a list of text and images file types that similarly support native protection but must be specified in the registry, see Supported file types for classification and protection from the admin guide.

Pour les fichiers ne prenant pas en charge la protection native, indiquez l’extension de nom de fichier comme nouvelle clé et PFile pour la protection générique.For files that don't support native protection, specify the file name extension as a new key, and PFile for generic protection. L’extension de nom de fichier résultante pour le fichier protégé est .pfile.The resulting file name extension for the protected file is .pfile.

Lorsque les fichiers sont réanalysésWhen files are rescanned

Pour le premier cycle d’analyse, le scanneur inspecte tous les fichiers des magasins de données configurés. Pour les analyses suivantes, il inspecte uniquement les fichiers nouveaux ou modifiés.For the first scan cycle, the scanner inspects all files in the configured data stores and then for subsequent scans, only new or modified files are inspected.

Vous pouvez forcer le scanneur à inspecter à nouveau tous les fichiers en exécutant Start-AIPScan avec le paramètre Reset .You can force the scanner to inspect all files again by running Start-AIPScan with the Reset parameter. Le scanneur doit être configuré pour une planification manuelle, ce qui nécessite que le paramètre de planification soit défini sur Manuel avec Set-AIPScannerConfiguration.The scanner must be configured for a manual schedule, which requires the Schedule parameter to be set to Manual with Set-AIPScannerConfiguration.

Vous pouvez également forcer le scanneur à inspecter à nouveau tous les fichiers à partir du volet Azure information protection-nœuds du portail Azure.Alternatively, you can force the scanner to inspect all files again from the Azure Information Protection - Nodes pane in the Azure portal. Sélectionnez votre scanneur dans la liste, puis l’option Rescan all files (Relancer l’analyse de tous les fichiers) :Select your scanner from the list, and then select the Rescan all files option:

Relancer l’analyse pour le scanneur Azure Information Protection

La réinspection de tous les fichiers est utile quand vous voulez que les rapports contiennent tous les fichiers. Ce choix de configuration est généralement utilisé lorsque le scanneur s’exécute en mode découverte.Inspecting all files again is useful when you want the reports to include all files and this configuration choice is typically used when the scanner runs in discovery mode. Lorsqu’une analyse complète est terminée, le scanneur passe automatiquement en mode incrémentiel pour inspecter uniquement les fichiers nouveaux ou modifiés lors des analyses suivantes.When a full scan is complete, the scan type automatically changes to incremental so that for subsequent scans, only new or modified files are scanned.

De plus, tous les fichiers sont inspectés quand le scanneur télécharge une stratégie Azure Information Protection qui présente des conditions nouvelles ou modifiées.In addition, all files are inspected when the scanner downloads an Azure Information Protection policy that has new or changed conditions. Le scanneur actualise la stratégie toutes les heures, quand le service démarre et que la stratégie remonte à plus d’une heure.The scanner refreshes the policy every hour, and when the service starts and the policy is older than one hour.

Conseil

Si vous avez besoin d’actualiser la stratégie avant cet intervalle d’une heure, par exemple, pendant une période de test : supprimez manuellement le fichier de stratégie Policy.msip de %LocalAppData%\Microsoft\MSIP\Policy.msip et de %LocalAppData%\Microsoft\MSIP\Scanner.If you need to refresh the policy sooner than this one hour interval, for example, during a testing period: Manually delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner. Ensuite, redémarrez le service du scanneur Azure Information Protection.Then restart the Azure Information Scanner service.

Si vous avez changé les paramètres de protection de la stratégie, attendez 15 minutes après l’enregistrement des paramètres de protection avant de redémarrer le service.If you changed protection settings in the policy, also wait 15 minutes from when you saved the protection settings before you restart the service.

Si le scanneur a téléchargé une stratégie sans conditions automatiques, la copie du fichier de stratégie dans le dossier du scanneur n’est pas mise à jour.If the scanner downloaded a policy that had no automatic conditions configured, the copy of the policy file in the scanner folder does not update. Dans ce scénario, vous devez supprimer le fichier de stratégie Policy.msip dans %LocalAppData%\Microsoft\MSIP\Policy.msip et dans %LocalAppData%\Microsoft\MSIP\Scanner pour que le scanneur puisse utiliser un fichier de stratégie récemment téléchargé avec des étiquettes correctement configurées pour les conditions automatiques.In this scenario, you must delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner before the scanner can use a newly downloaded policy file that has labels correctly figured for automatic conditions.

Utilisation du scanneur avec d’autres configurationsUsing the scanner with alternative configurations

Il existe deux scénarios pris en charge par le scanneur Azure Information Protection dans lesquels il n’est pas nécessaire que des étiquettes soient configurées pour des conditions quelles qu’elles soient :There are two alternative scenarios that the Azure Information Protection scanner supports where labels do not need to be configured for any conditions:

  • Appliquer une étiquette par défaut à tous les fichiers dans un référentiel de données.Apply a default label to all files in a data repository.

    Pour cette configuration, utilisez l’applet de commande Set-AIPScannerRepository et définissez le paramètre MatchPolicy sur Off.For this configuration, use the Set-AIPScannerRepository cmdlet, and set the MatchPolicy parameter to Off.

    Le contenu des fichiers n’est pas inspecté et tous les fichiers du référentiel de données sont étiquetés avec l’étiquette par défaut que vous spécifiez pour le référentiel de données (avec le paramètre SetDefaultLabel) ou si celle-ci n’est pas spécifié, l’étiquette par défaut qui est spécifiée comme paramètre de stratégie pour le compte d’analyse.The contents of the files are not inspected and all files in the data repository are labeled according to the default label that you specify for the data repository (with the SetDefaultLabel parameter) or if this is not specify, the default label that is specified as a policy setting for the scanner account.

  • Identifier toutes les conditions personnalisées et tous les types d’informations sensibles connus.Identify all custom conditions and known sensitive information types.

    Pour cette configuration, utilisez l’applet de commande Set-AIPScannerConfiguration et définissez le paramètre DiscoverInformationTypes sur All.For this configuration, use the Set-AIPScannerConfiguration cmdlet, and set the DiscoverInformationTypes parameter to All.

    Le scanneur utilise toute condition personnalisée que vous avez spécifiée pour les étiquettes dans la stratégie Azure Information Protection et la liste des types d’informations qui sont disponibles pour les étiquettes dans la stratégie Azure Information Protection.The scanner uses any custom conditions that you have specified for labels in the Azure Information Protection policy, and the list of information types that are available to specify for labels in the Azure Information Protection policy.

    Le démarrage rapide suivant utilise cette configuration, bien qu’il s’agisse de la version actuelle du scanneur : démarrage rapide : Découvrez les informations sensibles dont vous disposez.The following quickstart uses this configuration, although it's for the current version of the scanner: Quickstart: Find what sensitive information you have.

Optimisation des performances du scanneurOptimizing the performance of the scanner

Utilisez les instructions suivantes pour vous aider à optimiser les performances du scanneur.Use the following guidance to help you optimize the performance of the scanner. Toutefois, si votre priorité est la réactivité de l’ordinateur du scanneur plutôt que les performances de l’analyseur, vous pouvez utiliser un paramètre client avancé pour limiter le nombre de threads utilisés par le scanneur.However, if your priority is the responsiveness of the scanner computer rather than the scanner performance, you can use an advanced client setting to limit the number of threads used by the scanner.

Pour optimiser les performances de l’analyseur :To maximize the scanner performance:

  • Veillez à avoir une connexion haut débit fiable entre l’ordinateur de l’analyseur et le magasin de données analyséHave a high speed and reliable network connection between the scanner computer and the scanned data store

    Par exemple, placez l’ordinateur de l’analyseur dans le même réseau local ou (de préférence) dans le même segment réseau que le magasin de données analysé.For example, place the scanner computer in the same LAN, or (preferred) in the same network segment as the scanned data store.

    La qualité de la connexion réseau affecte les performances de l’analyseur parce que pour examiner les fichiers, celui-ci transfère le contenu des fichiers à l’ordinateur exécutant son service.The quality of the network connection affects the scanner performance because to inspect the files, the scanner transfers the contents of the files to the computer running the scanner service. Quand vous réduisez (ou supprimez) le nombre de tronçons réseau que ces données doivent traverser, vous réduisez également la charge sur votre réseau.When you reduce (or eliminate) the number of network hops this data has to travel, you also reduce the load on your network.

  • Assurez-vous que l’ordinateur de l’analyseur dispose de ressources processeurMake sure the scanner computer has available processor resources

    L’inspection du contenu des fichiers à la recherche d’une correspondance avec vos conditions de configuration ainsi que le chiffrement et le déchiffrement des fichiers sont des actions qui sollicitent le processeur de manière intense.Inspecting the file contents for a match against your configured conditions, and encrypting and decrypting files are processor-intensive actions. Surveillez les cycles d’analyse standard de vos magasins de données spécifiés pour déterminer si un manque de ressources processeur affecte les performances de l’analyseur.Monitor typical scanning cycles for your specified data stores to identify whether a lack of processor resources is negatively affecting the scanner performance.

Autres facteurs qui affectent les performances de l’analyseur :Other factors that affect the scanner performance:

  • La charge actuelle et les temps de réponse des magasins de données qui contiennent les fichiers à analyserThe current load and response times of the data stores that contain the files to scan

  • Si l’analyseur s’exécute en mode découverte ou en mode d’applicationWhether the scanner runs in discovery mode or enforce mode

    Le mode découverte a généralement un taux d’analyse plus élevé que le mode d’application, car la découverte nécessite une seule action de lecture de fichier tandis que le mode d’application nécessite des actions de lecture et d’écriture.Discovery mode typically has a higher scanning rate than enforce mode because discovery requires a single file read action, whereas enforce mode requires read and write actions.

  • Le changement des conditions d’Azure Information ProtectionYou change the conditions in the Azure Information Protection

    Votre premier cycle d’analyse quand l’analyseur doit inspecter chaque fichier prend bien évidemment plus temps que les cycles d’analyse suivants qui, par défaut, inspectent uniquement les fichiers nouveaux et modifiés.Your first scan cycle when the scanner must inspect every file will obviously take longer than subsequent scan cycles that by default, inspect only new and changed files. Toutefois, si vous changez les conditions dans la stratégie Azure Information Protection, tous les fichiers sont réanalysés, comme décrit dans la section précédente.However, if you change the conditions in the Azure Information Protection policy, all files are scanned again, as described in the preceding section.

  • La construction d’expressions regex pour des conditions personnaliséesThe construction of regex expressions for custom conditions

    Pour éviter une consommation de mémoire importante et le risque de dépassements du délai d’expiration (15 minutes par fichier), passez en revue vos expressions regex pour vérifier que la correspondance des modèles est efficace.To avoid heavy memory consumption and the risk of timeouts (15 minutes per file), review your regex expressions for efficient pattern matching. Par exemple :For example:

  • Le niveau de journalisation que vous avez choisiYour chosen logging level

    Vous pouvez choisir entre Déboguer, Information, Erreur et Désactivé pour les rapports de l’analyseur.You can choose between Debug, Info, Error and Off for the scanner reports. Avec Désactivé, vous bénéficiez des meilleures performances alors qu’avec Déboguer, l’analyseur est considérablement ralenti et doit être utilisé uniquement pour le dépannage.Off results in the best performance; Debug considerably slows down the scanner and should be used only for troubleshooting. Pour plus d’informations, consultez le paramètre ReportLevel pour l’applet de commande Set-AIPScannerConfiguration en exécutant Get-Help Set-AIPScannerConfiguration -detailed .For more information, see the ReportLevel parameter for the Set-AIPScannerConfiguration cmdlet by running Get-Help Set-AIPScannerConfiguration -detailed.

  • Les fichiers eux-mêmes :The files themselves:

    • À l’exception des fichiers Excel, les fichiers Office sont analysés plus rapidement que les fichiers PDF.With the exception of Excel files, Office files are more quickly scanned than PDF files.

    • Les fichiers non protégés sont plus rapides à analyser que les fichiers protégés.Unprotected files are quicker to scan than protected files.

    • Les gros fichiers prennent évidemment plus de temps à analyser que les petits fichiers.Large files obviously take longer to scan than small files.

  • En outre :Additionally:

    • Vérifiez que le compte de service qui exécute le scanneur dispose uniquement des droits décrits dans la section conditions préalables du scanneur , puis configurez le paramètre client avancé pour désactiver le niveau d’intégrité faible du scanneur.Confirm that the service account that runs the scanner has only the rights documented in the scanner prerequisites section, and then configure the advanced client setting to disable the low integrity level for the scanner.

    • Le scanneur s’exécute plus rapidement lorsque vous utilisez la configuration de remplacement pour appliquer une étiquette par défaut à tous les fichiers, car le scanneur n’inspecte pas le contenu du fichier.The scanner runs more quickly when you use the alternative configuration to apply a default label to all files because the scanner does not inspect the file contents.

    • Le scanneur s’exécute plus lentement lorsque la configuration de remplacement est utilisée pour identifier toutes les conditions personnalisées et tous les types d’informations sensibles connus.The scanner runs more slowly when you use the alternative configuration to identify all custom conditions and known sensitive information types.

    • Vous pouvez diminuer les délais d’attente du scanneur avec les Paramètres avancés du client pour obtenir des taux d’analyse et une consommation de mémoire inférieurs, mais avec l’accusé de réception que certains fichiers peuvent être ignorés.You can decrease the scanner timeouts with advanced client settings for better scanning rates and lower memory consumption, but with the acknowledgment that some files might be skipped.

Liste des cmdlets pour le scanneurList of cmdlets for the scanner

D’autres applets de commande propres au scanneur vous permettent de modifier son compte de service et sa base de données, d’obtenir ses paramètres actuels et de désinstaller son service.Other cmdlets for the scanner let you change the service account and database for the scanner, get the current settings for the scanner, and uninstall the scanner service. Le scanneur utilise les applets de commande suivantes :The scanner uses the following cmdlets:

  • Add-AIPScannerScannedFileTypesAdd-AIPScannerScannedFileTypes

  • Add-AIPScannerRepositoryAdd-AIPScannerRepository

  • Get-AIPScannerConfigurationGet-AIPScannerConfiguration

  • Get-AIPScannerRepositoryGet-AIPScannerRepository

  • Get-AIPScannerStatusGet-AIPScannerStatus

  • Install-AIPScannerInstall-AIPScanner

  • Remove-AIPScannerRepositoryRemove-AIPScannerRepository

  • Remove-AIPScannerScannedFileTypesRemove-AIPScannerScannedFileTypes

  • Set-AIPScannerSet-AIPScanner

  • Set-AIPScannerConfigurationSet-AIPScannerConfiguration

  • Set-AIPScannerScannedFileTypesSet-AIPScannerScannedFileTypes

  • Set-AIPScannerRepositorySet-AIPScannerRepository

  • Start-AIPScanStart-AIPScan

  • Uninstall-AIPScannerUninstall-AIPScanner

  • Update-AIPScannerUpdate-AIPScanner

Notes

La plupart de ces applets de commande sont désormais dépréciées dans la version actuelle du scanneur, et l’aide en ligne pour les applets de commande du scanneur reflète cette modification.Many of these cmdlets are now deprecated in the current version of the scanner, and the online help for the scanner cmdlets reflects this change. Pour obtenir une aide sur les applets de commande antérieures à la version 1.48.204.0 du scanneur, utilisez la Get-Help <cmdlet name> commande intégrée dans votre session PowerShell.For cmdlet help earlier than version 1.48.204.0 of the scanner, use the built-in Get-Help <cmdlet name> command in your PowerShell session.

ID du journal des événements et descriptions pour le scanneurEvent log IDs and descriptions for the scanner

Utilisez les sections suivantes pour identifier les ID d’événement possibles et les descriptions du scanneur.Use the following sections to identify the possible event IDs and descriptions for the scanner. Ces événements sont journalisés sur le serveur qui exécute le service de scanneur, dans le journal des événements Applications et services Windows, Azure Information Protection.These events are logged on the server that runs the scanner service, in the Windows Applications and Services event log, Azure Information Protection.


Informations 910Information 910

Cycle du scanneur démarré.Scanner cycle started.

Cet événement est enregistré lorsque le service du scanneur est démarré et qu’il commence à analyser les fichiers inclus dans les dépôts de données que vous avez spécifiés.This event is logged when the scanner service is started and begins to scan for files in the data repositories that you specified.


Informations 911Information 911

Cycle du scanneur terminé.Scanner cycle finished.

Cet événement est journalisé quand le scanneur termine une analyse manuelle ou un cycle dans le cadre d’une planification continue.This event is logged when the scanner has finished a manual scan, or the scanner has finished a cycle for a continuous schedule.

Si le scanneur a été configuré pour une exécution manuelle et non continue, utilisez l’applet de commande Start-AIPScan pour exécuter une nouvelle analyse.If the scanner was configured to run manually rather than continuously, to run a new scan, use the Start-AIPScan cmdlet. Pour changer la planification, utilisez l’applet de commande Set-AIPScannerConfiguration et le paramètre Schedule.To change the schedule, use the Set-AIPScannerConfiguration cmdlet and the Schedule parameter.


Étapes suivantesNext steps

Comment l’équipe Core Services Engineering and Operations de Microsoft a-t-elle implémenté ce scanneur ?Interested in how the Core Services Engineering and Operations team in Microsoft implemented this scanner? Lisez l’étude de cas technique : Automatiser la protection des données avec le scanneur Azure Information Protection.Read the technical case study: Automating data protection with Azure Information Protection scanner.

Vous vous posez peut-être la différence entre Windows Server FCI et le scanneur Azure information protection ?You might be wondering: What's the difference between Windows Server FCI and the Azure Information Protection scanner?

Vous pouvez également utiliser PowerShell pour classifier et protéger des fichiers de manière interactive à partir de votre ordinateur de bureau.You can also use PowerShell to interactively classify and protect files from your desktop computer. Pour plus d’informations sur tous les scénarios qui utilisent PowerShell, consultez Utiliser PowerShell avec le client Azure Information Protection.For more information about this and other scenarios that use PowerShell, see Using PowerShell with the Azure Information Protection client.