Az Azure Information Protection (AIP) egyesített címkeolvasó konfigurálása és telepítése

A következőre vonatkozik:Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Fontos:Csak az AIP egyesített címkéző ügyfélalkalmazása.

Ez a cikk azt ismerteti, hogy miként konfigurálható és telepíthető az Azure Information Protection egységes feliratozási helyszíni képolvasója.

Tipp

Bár a legtöbb ügyfél ezeket az eljárásokat az Azure Portal Azure Information Protection területén végzi el, előfordulhat, hogy csak a PowerShell használatával kell dolgoznia.

Ha például olyan környezetben dolgozik, amely nem fér hozzá az Azure Portalhoz ,például az Azure China 21Vianetszkennerkiszolgálói, kövesse A PowerShell használata a képolvasó beállításának utasításait.

Áttekintés

Mielőtt neki kezd, győződjön meg arról, hogy a rendszer megfelel a szükséges előfeltételeknek.

Az Azure Portal az alábbi lépésekkel használható:

  1. Az képolvasó beállításainak megadása

  2. A képolvasó telepítése

  3. Azure AD-jogkivonat beszerzése a képolvasóhoz

  4. A képolvasó konfigurálása a besorolás és a védelem alkalmazására

Ezután végezze el az alábbi konfigurációs eljárásokat a rendszeréhez:

Eljárás Leírás
A védeni kívánt fájltípusok módosítása Előfordulhat, hogy az alapértelmezettnél különböző fájltípusokat szeretne átolvasni, osztályozni vagy védelem alá sorolni. További információ: AIP-beolvasási folyamat.
A képolvasó frissítése Frissítse a képolvasót, hogy kihasználja a legújabb funkciókat és fejlesztéseket.
Adattár beállításainak szerkesztése tömegesen Az importálási és exportálási beállításokat tömegesen is használhatja több adattárban.
A képolvasó használata alternatív konfigurációk esetén A képolvasó használata a feliratok bármilyen feltételhez való konfigurálása nélkül
Teljesítmény optimalizálása Útmutató a képolvasó teljesítményének optimalizálásához

Ha nem fér hozzá az Azure Portal képolvasó lapjaihoz, csak a PowerShellben adja meg a képolvasók beállításait. További információ: A képolvasó és a támogatott PowerShell-parancsmagok konfigurálása a PowerShell használatával.

Az képolvasó beállításainak megadása

Mielőtt telepítheti a képolvasót, vagy egy régebbi, általánosan elérhető verzióról frissítheti azt, konfigurálja vagy ellenőrizze a képolvasó beállításait.

A képolvasó konfigurálása az Azure Portalon:

  1. Jelentkezzen be az Azure Portalra az alábbi szerepkörök egyikével:

    • Megfelelőségi rendszergazda
    • Megfelelőségi adatok adminisztrátora
    • Biztonsági rendszergazda
    • Globális rendszergazda

    Ezután nyissa meg az Azure Information Protection ablaktáblát.

    Erőforrások, szolgáltatások és dokumentumok keresésével például kezdje el beírni az Információ szöveget, és válassza az Azure Information Protection lehetőséget.

  2. Képolvasócsoport létrehozása Ez a fürt határozza meg a képolvasót, és a program a képolvasó példányának azonosítására, például a telepítés, a frissítések és más folyamatok során használatos.

  3. (Nem kötelező) Ellenőrizze, hogy a hálózatában vannak-e kockázatos tárházak. Létrehozhat egy hálózati ellenőrzési feladatot egy adott IP-cím vagy -tartomány átolvasásához, és felsorolhatja azokat a kockázatos adattárakat, amelyekben biztonságosnak szeretne lenni a bizalmas tartalmak.

    Futtassa a hálózati ellenőrzési feladatot, majd elemezze a talált kockázatos tárházakat.

  4. Hozzon létre egy tartalomvizsgálati feladatot az átolvasni kívánt tárház definiálhoz.

Képolvasócsoport létrehozása

  1. A bal oldali Képolvasó menüben válassza aFürtcsoportokikoncsoport ikont.

  2. Az Azure Information Protection – Fürtök ablaktáblában válassza az Add add icon add icon (Hozzáadásikon hozzáadása)

  3. Az Új fürt hozzáadása ablaktáblában adjon meg egy jól érthető nevet a képolvasónak, és ha szeretne, adjon meg egy leírást.

    A fürt neve a képolvasó konfigurációjának és tárházának azonosítására használható. Beírhatja például a Europe (Európa) adatokat az átszkennelni kívánt adattárak földrajzi helyének azonosításához.

    Később ezt a nevet fogja használni a képolvasó telepítésének vagy frissítésének helyének azonosításához.

  4. A módosítások mentéshezválassza a Mentés ikon mentés ikont.

Hálózati ellenőrzési feladat létrehozása (nyilvános előzetes verzió)

A tartalomkeresési feladathoz egy vagy több tárházat hozzáadva megkeresi a bizalmas tartalmakat.

Megjegyzés

Az Azure Information Protection hálózatfeltárási funkciója jelenleg előzetes verzióban érhető el. Az Azure Preview kiegészítő feltételei kiegészítő feltételeket tartalmaznak, amelyek a béta- vagy előzetes verziójú, illetve egyéb általánosan elérhető Azure-szolgáltatásokra vonatkoznak.

Az alábbi táblázat a hálózatfeltárási szolgáltatás előfeltételeit ismerteti:

Előfeltételek Leírás
A Hálózatfeltárás szolgáltatás telepítése Ha nemrég frissítette a képolvasót, előfordulhat, hogy továbbra is telepítenie kell a Network Discovery szolgáltatást.

Futtassa a Install-MIPNetworkDiscovery parancsmagot a hálózati ellenőrzési feladatok engedélyezéséhez.
Azure Information Protection-statisztika Győződjön meg arról, hogy engedélyezve van az Azure Information Protection-statisztika.

Az Azure Portalon tekintse meg az Azure Information Protection Konfigurálás konfigurálása analitikát > (előzetes verzió) panelt.

További információ: Központi jelentéskészítés az Azure Information Protection szolgáltatáshoz (nyilvános előzetes verzió).

Hálózati ellenőrzési feladat létrehozása

  1. Jelentkezzen be az Azure Portalra, és lépjen az Azure Information Protection webhelyre. A bal oldali Képolvasó menüben válassza a Hálózati szkennelés állások (előzetes verzió)hálózati szkennelés állásokikon

  2. Az Azure Information Protection – Network scan jobs (Hálózati beolvasási feladatok) panelen válassza az Add add icon add icon (Hozzáadásikon hozzáadása)

  3. Az Új hálózati ellenőrzési feladat hozzáadása lapon adja meg az alábbi beállításokat:

    Beállítás Leírás
    Hálózati ellenőrzési feladat neve Adjon meg egy jól érthető nevet a feladathoz. Ezt a mezőt kötelező megadni.
    Leírás Adjon meg egy jól érthető leírást.
    A fürt kijelölése A legördülő menüből válassza ki a konfigurált hálózati helyek vizsgálatához használni kívánt fürtöt.

    Tipp:Amikor kijelöl egy fürtöt, győződjön meg arról, hogy a fürthöz hozzárendelt csomópontok hozzáférhetnek a konfigurált IP-tartományokhoz az SMB-n keresztül.
    IP-tartományok konfigurálása a felfedezéshez Kattintással adja meg az IP-címet vagy -tartományt.

    Az IP-tartományok kiválasztása ablaktáblában adjon meg egy tetszőleges nevet, majd a tartomány kezdő IP-címét és záró IP-címét.

    Tipp:Ha csak egy adott IP-címet vizsgál, adja meg az azonos IP-címet a Kezdő IP és a Záró IP mezőben is.
    Ütemezés beállítása Adja meg, hogy milyen gyakran fusson a hálózati ellenőrzési feladat.

    Ha a Hetente lehetőséget választja,megjelenik a Hálózati vizsgálat futtatása beállítás. Adja meg, hogy a hétnek azokat a napjait, amelyekben futtatni szeretné a hálózati ellenőrzési feladatot.
    Kezdési idő beállítása (UTC) Adja meg, hogy a hálózati ellenőrzési feladat mikor és mikor kezdjen el futni. Ha napi, heti vagy havi rendszerességgel futtatja a feladatot, akkor a megadott időben, a kiválasztott ismétlődéskor fog futni.

    Megjegyzés:Legyen óvatos, amikor a dátumokat a hónap végén bármelyik napra be van napján. Ha a 31-etválasztja, a hálózati ellenőrzési feladat nem fog futni 30 napnál rövidebb időszak alatt.
  4. A módosítások mentéshezválassza a Mentés ikon mentés ikont.

Tipp

Ha ugyanezt a hálózati vizsgálatot egy másik képolvasóval szeretné futtatni, módosítsa a hálózati ellenőrzési feladatban definiált fürtöt.

Térjen vissza a Hálózati beolvasási feladatok munkaablakba, és válassza a Hozzárendelés fürthöz lehetőséget egy másik fürt kiválasztásához most, vagy a Fürt hozzárendelésének a hozzárendelése lehetőséget, ha további módosításokat szeretne később tenni.

A talált kockázatok elemzése (nyilvános előzetes verzió)

A hálózati ellenőrzési feladat, a tartalomvizsgálati feladat vagy a naplófájlok által észlelt felhasználói hozzáférés által talált tárakat a program összesíti, és felsorolja a Scanner-tártárakikontárakat tartalmazó ikontárakat tartalmazóablaktáblában.

Ha definiált egy hálózati ellenőrzési feladatot, és azt egy adott dátumra és időpontra beállította, várjon, amíg a futás futása be nem fejeződik, és ellenőrizze az eredményeket. A frissített adatok megtekintéséhez a tartalomvizsgálati feladat futtatása után is visszatérhet ide.

Megjegyzés

Az Azure Information Protection tárház funkciója jelenleg előzetes verzióban érhető el. Az Azure Preview kiegészítő feltételei kiegészítő feltételeket tartalmaznak, amelyek a béta- vagy előzetes verziójú, illetve egyéb általánosan elérhető Azure-szolgáltatásokra vonatkoznak.

  1. A bal oldali Képolvasó menüben válassza a Tárház-tárház .

    A talált tárház az alábbiak szerint jelenik meg:

    • Az állapotdiagram által tártárakban látható, hogy hány tár van már beállítva a tartalomvizsgálati feladathoz, és hány nincs.
    • Az Access Graph által a 10 legfontosabb nem által nem használt tárház felsorolja azokat a 10 tárat, amelyek jelenleg nincsenek tartalomvizsgálati feladathoz rendelve, valamint a hozzáférési szintek részleteit. Az Access szintjei jelzik, hogy milyen kockázatot jelentek az adattárak.
    • A grafikonok alatti táblázat felsorolja az egyes tárházat és azok részleteit.
  2. Az alábbi lehetőségek közül választhat:

    Beállítás Leírás
    Columns icon Az Oszlopok lehetőséget választva módosíthatja a megjelenített táblázatoszlopokat.
    Refresh icon Ha a képolvasó nemrégiben futtatta a hálózati beolvasás eredményeit, a Frissítés gombot választva frissítse a lapot.
    add icon Jelöljön ki egy vagy több tárat a táblázatban, majd a Kijelölt elemek hozzárendelése elemet választva rendelje hozzá őket a tartalomvizsgálati feladathoz.
    Szűrés A szűrősor megjeleníti az aktuálisan alkalmazott szűrési feltételeket. A megjelenő feltételek bármelyikét választva módosíthatja a beállításait, vagy a Szűrő hozzáadása lehetőséget választva új szűrési feltételeket adhat hozzá.

    Válassza a Szűrő lehetőséget a módosítások alkalmazásához, és frissítse a táblázatot a frissített szűrővel.
    Log Analytics icon A nem általam nemmaned repositories graph jobb felső sarkában kattintson a Log Analytics ikonra az ilyen tárházi naplók naplózási adataira ugráshoz.

Az olyan adattárak, amelyekben a nyilvános hozzáférés olvasási és írási/olvasási funkciókat tartalmaz, biztonságosnak kell lennie a bizalmas tartalmaknak. Ha a Nyilvános hozzáférés hamis, a tárház egyáltalán nem érhető el a nyilvános számára.

A tárházhoz való nyilvános hozzáférést csak akkor jelenti a rendszer, ha beállított egy gyenge fiókot a StandardDomainsUserAccount paraméterben a Install-MIPNetworkDiscovery vagy a Set-MIPNetworkDiscoveryConfiguration parancsmagban.

  • Az ezekben a paraméterekben definiált fiókok a gyenge felhasználó adattárhoz való hozzáférésének szimulálására használhatók. Ha a gyenge felhasználó definiálta, hogy hozzáfér a tárházhoz, az azt jelenti, hogy a tárház nyilvánosan elérhető.

  • A nyilvános hozzáférés megfelelő jelentésének biztosítása érdekében győződjön meg arról, hogy az ezekben a paraméterekben megadott felhasználó csak a Tartományfelhasználók csoport tagja.

Tartalomvizsgálati feladat létrehozása

Ha mélyebben elmerül a tartalmaiban, konkrét tárházakat keres a bizalmas tartalmak után.

Előfordulhat, hogy ezt csak egy hálózati ellenőrzési feladat futtatását követően szeretné elemezni a hálózat tárházát, de saját maga is meghatározhatja a tárakat.

Tartalomvizsgálati feladat létrehozása az Azure Portalon:

  1. A bal oldali Képolvasó menüben válassza a Tartalomolvasási feladatok lehetőséget.

  2. Az Azure Information Protection – Content scan jobs (Tartalomvizsgálati feladatok) panelen válassza az Add add icon save icon (Hozzáadásikon mentése ikonhozzáadása)

  3. Ehhez a kezdeti konfigurációhoz adja meg az alábbi beállításokat, majd válassza a Mentés, de ne zárja be az ablaktáblát lehetőséget.

    Beállítás Leírás
    Tartalomvizsgálati feladat beállításai - - A Kézi beállítás alapértelmezett beállítása
    - - Módosítás csak házirendre
    - - Jelenleg ne konfigurálja, mert a tartalomvizsgálati feladatot először menteni kell.
    DLP-házirend Ha adatveszteség-megelőzési (DLP-) házirendet Microsoft 365, a DLP-szabályok engedélyezése beállítás be van állítva. További információ: DLP-házirend használata.
    Bizalmasságra vonatkozó házirend - - Válassza a Kikapcsolva lehetőséget.
    - - Az alapértelmezett beállítás legyen Be
    - - A Házirend alapértelmezett beállítása
    - - Az alapértelmezett beállítás legyen Kikapcsolva
    Fájlbeállítások megadása - - és a "Módosító" megőrzése: Az alapértelmezett beállítás be legyen kapcsolva
    - - Az alapértelmezett kizárni kívánt fájltípusok
    - - Az scanner-fiók alapértelmezett beállításának beállítása
    - - beállítása: Ezt a beállítást csak DLP-házirend használata esetén használja.
  4. Most, hogy létrehozta és mentette a tartalomkeresési feladatot, visszatérhet a Tárházak konfigurálása beállításhoz, és megadhatja a beolvasandó adattárakat.

    Adja meg az UNC elérési SharePoint és a kiszolgáló URL-SharePoint a helyszíni dokumentumtárakhoz és -mappákhoz.

    Megjegyzés

    SharePoint Server 2019, SharePoint Server 2016 és SharePoint Server 2013 is SharePoint. SharePoint Server 2010 akkor is támogatott, ha kiterjesztette a SharePoint.

    Az első adattár hozzáadásához az Add a new content scan (Új tartalomvizsgálat hozzáadása) munkaablakban válassza a Tárkönyvtárak konfigurálása lehetőséget a Tárhelyek ablaktábla megnyitásához:

    Konfigurálja az adattárakat az Azure Information Protection szkennerhez.

    1. Az Adattárak ablaktáblán válassza a Hozzáadás lehetőséget:

      Vegyen fel adattárat az Azure Information Protection szkennerhez.

    2. A Tárház ablaktáblában adja meg az adattár elérési útját, majd válassza a Mentés lehetőséget.

      • Hálózati megosztáshoz használja a \\Server\Folder .
      • Ha tárat SharePoint, használja a http://sharepoint.contoso.com/Shared%20Documents/Folder .
      • Helyi elérési út: C:\Folder
      • UNC elérési úthoz: \\Server\Folder

    Megjegyzés

    A helyettesítő karakterek és a WebDav-helyek nem támogatottak.

    Ha új elérési utat ad SharePoint Megosztott dokumentumok mappához:

    • Adja meg a Megosztott dokumentumok adhatja meg az elérési útban, ha az összes dokumentumot és mappát át szeretné olvasni a Megosztott dokumentumok mappából. Például: http://sp2013/SharedDocuments
    • Adja meg az elérési út Dokumentumok beállítását, ha a Megosztott dokumentumok csoportban lévő almappákban található összes dokumentumot és mappát át szeretné olvasni. Például: http://sp2013/Documents/SalesReports
    • Vagy adjon meg csak a SharePoint teljes tartomány teljes tartományát, például hogy felderítsen és beolvassa az összes SharePoint webhelyet és alwebhelyet az url-cím alatt található adott URL-cím és alwebhelyek alatt. Engedélyezze ezt a jogosultságot a lapolvasó webhely auditorának.

    Az ablaktábla fennmaradó beállításai esetén ne módosítsa őket a kezdeti konfigurációra, de tartsa őket alapértelmezett tartalomvizsgálati feladatként. Az alapértelmezett beállítás azt jelenti, hogy az adattár a tartalomvizsgálati feladattól örökli a beállításokat.

    A következő szintaxist használja SharePoint hozzáadásakor:

    Elérési út Szintaxis
    Gyökér elérési útja http://<SharePoint server name>

    Megvizsgálja az összes webhelyet, beleértve a képolvasót használó összes webhelycsoportot is.
    További engedélyeket igényel a gyökértartalom automatikus felderítéséhez
    Adott SharePoint vagy gyűjtemény Az alábbiak egyike:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    További engedélyekre van szükség a webhelycsoport tartalmának automatikus felderítéséhez
    Adott SharePoint tár Az alábbiak egyike:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Adott SharePoint mappa http://<SharePoint server name>/.../<folder name>
  5. Az előző lépéseket megismételve vegyen fel annyi tárat, amennyit csak szeretne.

    Ha végzett, zárja be a Tárházat és a Tartalomvizsgálat munkaablakot is.

Vissza az Azure Information Protection – Tartalomvizsgálat munkaablakba, megjelenik a tartalomvizsgálat neve a SCHEDULE oszloppal együtt, rajta a Kézi beállítással, a KÉNYSZERÍTÉS oszlop pedig üres.

Most már készen áll a létrehozott tartalomolvasó-feladat képolvasóval való telepítésére. Folytassa A képolvasó telepítése gombra.

A képolvasó telepítése

Miután konfigurálta az Azure Information Protection szkennert, végezze el az alábbi lépéseket a képolvasó telepítéséhez. Ezt az eljárást teljesen végre kell hajtanunk a PowerShellben.

  1. Jelentkezzen be a Windows a képolvasót futtatnió kiszolgálóra. Használjon olyan fiókot, amely helyi rendszergazdai jogosultsággal rendelkezik, és rendelkezik a főadatbázisba SQL Server írási engedéllyel.

    Fontos

    A képolvasó telepítése előtt telepítve kell lennie az AIP egységes címkéző ügyfélprogramnak a számítógépre.

    További információ: Az Azure Information Protection szkenner telepítésének és telepítésének előfeltételei.

  2. Nyisson Windows PowerShell a Futtatás rendszergazdaként lehetőséggel.

  3. Futtassa az Install-AIPScanner parancsmagot, megadva azt az SQL Server-példányt, amelyen létre kell hoznia az Azure Information Protection scanner adatbázisát, valamint az előző szakaszban megadott képolvasócsoport nevét:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Példák a Europe képolvasó-fürt nevének használatára:

    • Alapértelmezett példány esetén: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Névvel elnevezett példányhoz: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • További SQL Server Express:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Amikor a rendszer kéri, adja meg az Active Directory-nak a képolvasó szolgáltatásfiókhoz szükséges hitelesítő adatait.

    Használja a következő szintaxist: \<domain\user name> . Például: contoso\scanneraccount

  4. Ellenőrizze, hogy a szolgáltatás már telepítve van-e a Felügyeleti eszközökszolgáltatásaival.

    A telepített szolgáltatás neve Azure Information Protection Scanner, és a létrehozott képolvasó szolgáltatásfiók használatával van konfigurálva.

Most, hogy telepítette a képolvasót, be kell szereznie egy Azure AD-jogkivonatot a képolvasó szolgáltatásfiókhoz a hitelesítéshez, hogy a képolvasó felügyelet nélkül fusson.

Azure AD-jogkivonat beszerzése a képolvasóhoz

Az Azure AD-jogkivonat lehetővé teszi a képolvasónak az Azure Information Protection szolgáltatásban való hitelesítését, lehetővé téve a képolvasó nem interaktív futtatását.

További információt a Fájlok címkézése nem interaktív módon az Azure Information Protection szolgáltatásban.

Azure AD-jogkivonat beszerzése:

  1. Nyissa meg az Azure Portalot, és hozzon létre egy Azure AD-alkalmazást a hitelesítéshez szükséges hozzáférési jogkivonat megadásához.

  2. Ha a Windows Server számítógépen a képolvasó szolgáltatásfiókja helyileg is be van jelentkezve a telepítéshez, jelentkezzen be ezzel a fiókkal, és indítsa el a PowerShell-munkamenetet.

    Futtassa a Set-AIPAuthenticationfuttatása az előző lépésből másolt értékeket:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Például:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Tipp

    Ha a képolvasó szolgáltatásfiókja nem adható meg a Bejelentkezés helyileg a telepítéshez, használja az OnBehalfOf paramétert a Set-AIPAuthenticationparaméterrel, a Fájlok nem interaktív címkézése az Azure Information Protectionszámára leírásban leírtak szerint.

A képolvasónak most már van egy jogkivonata az Azure AD-hez való hitelesítéshez. Ez a jogkivonat egy évig, két évig vagy soha, az Azure AD-ban a webalkalmazás /API-ügyfélkódot konfigurálva érvényes. A jogkivonat lejárata után meg kell ismételnie ezt az eljárást.

Folytassa az alábbi lépések egyikét attól függően, hogy az Azure Portal webhelyen konfigurálja-e a képolvasót, vagy csak a PowerShellt:

Most már készen áll arra, hogy feltárási módban futtassa az első beolvasást. További információt a Feltárási ciklus futtatása és a képolvasó jelentésének megtekintése.

Miután futtatta a kezdeti feltárási vizsgálatot, folytassa A képolvasó konfigurálása a besorolás és a védelem alkalmazásával.

Megjegyzés

További információt a Fájlok címkézése nem interaktív módon az Azure Information Protection szolgáltatásban

A képolvasó konfigurálása a besorolás és a védelem alkalmazására

Az alapértelmezett beállításokkal úgy konfigurálhatja a képolvasót, hogy csak egyszer fusson, és csak jelentéskészítési módban fusson. A beállítások módosításához szerkessze a tartalomvizsgálati feladatot.

Tipp

Ha csak a PowerShellben dolgozik, tekintse meg A képolvasó konfigurálása besorolás és védelem alkalmazására – csak PowerShell.

A képolvasó beállítása besorolás és védelem alkalmazására:

  1. Az Azure Portal Azure Information Protection – Tartalomvizsgálati feladatok ablaktábláján válassza ki a fürt- és tartalomvizsgálati feladatot a szerkesztéséhez.

  2. A Tartalomvizsgálat munkaablakban módosítsa az alábbiakat, majd válassza a Mentés lehetőséget:

    • A Tartalomvizsgálati feladat csoportban: Az ütemezés módosítása mindig állásra
    • A Bizalmasság-házirend szakaszból:Kényszerítés beállítás be- vagy beállításra

    Tipp

    Előfordulhat, hogy más beállításokat is módosítani szeretne ezen az ablaktáblán, például hogy módosulnak-e a fájlattribútumok, illetve hogy a képolvasó képes-e fájlok újracímkélése. Az információs előugró súgóban további információt olvashat az egyes konfigurációs beállításokról.

  3. Jegyezze fel az aktuális időt, és indítsa el újra a képolvasót az Azure Information Protection – Tartalomvizsgálati feladatok ablaktáblából:

    Indítsa el az Azure Information Protection szkenner keresését.

A képolvasó mostantól folyamatos futtatásra van ütemezve. Amikor a képolvasó az összes konfigurált fájlon keresztül működik, automatikusan egy új ciklust kezd el, hogy az esetleges új és módosított fájlokat is felderítse.

DLP-házirend használata

Adatveszteség Microsoft 365-megelőzési (DLP-) házirend használatával az olvasó képes észlelni a lehetséges adatszivárgásokat azáltal, hogy DLP-szabályokat egyeztet a fájlmegosztások és a SharePoint fájlokhoz.

  • Engedélyezze a DLP-szabályokat a tartalomvizsgálati feladatban, hogy csökkentse a DLP-házirendnek megfelelő fájlok expozícióját. Ha engedélyezve vannak a DLP-szabályok, a képolvasó csökkentheti a fájlelérést csak az adattulajdonosokhoz, illetve csökkentheti a hálózat egészére kiterjedő csoportok , például a Mindenki,a Hitelesítettfelhasználók vagy a Tartományfelhasználók expozícióját.

  • A Microsoft 365 Megfelelőségi központmeg, hogy csak teszteli-e a DLP-házirendet, vagy hogy kényszeríti-e a szabályokat, és a fájlengedélyek a szabályoknak megfelelően módosulnak-e. További információt a DLP-házirendek be- és bekapcsolásában található.

A DLP-házirendek a Microsoft 365 Megfelelőségi központ. A DLP-licencelésről további információt Az adatveszteség-megelőzési helyszíni szkenner – első lépések.

Tipp

A fájlok vizsgálata még akkor is, ha a DLP-házirendet teszteli, fájlengedély-jelentéseket is készít. Ezeket a jelentéseket lekérdezve megvizsgálható a fájl konkrét expozíciója, illetve megvizsgálható, hogy egy adott felhasználó ki van-e téve a beolvasott fájloknak.

Ha csak a PowerShellt használna, lásd: DLP-házirend használata a képolvasóval – Csak PowerShell.

DLP-házirend használata a képolvasóval:

  1. Az Azure Portalon keresse meg a tartalomvizsgálati feladatot. További információ: Tartalomvizsgálati feladat létrehozása.

  2. A DLP-házirend alattállítsa a DLP-szabályok engedélyezése Be beállításra.

    Fontos

    A DLP-szabályok engedélyezése beállítás csak akkor legyen beállítva, ha valójában be van állítva egy DLP-házirend a Microsoft 365.

    Ha a funkciót DLP-házirend nélkül bekapcsolja, a képolvasó hibákat generál.

  3. (Nem kötelező) A Fájlbeállítások megadása csoportbanállítsa a Tártulajdonos beállítása beállítást Bebeállításra, és állítson be egy adott felhasználót a tár tulajdonosaként.

    Ezzel a beállítással a képolvasó csökkentheti az ebben a tárban található fájlok expozícióját, amelyek megfelelnek a DLP-házirendnek, és megfelelnek a tártulajdonos által megadott adattárnak.

DLP-házirendek és privát műveletek végrehajtása

Ha személyes műveletet használó DLP-házirendet használ, és a képolvasóval tervezi automatikusan címkézni a fájlokat, javasoljuk, hogy az egységes címkéző ügyfélalkalmazás UseCopyAndPreserveNTFSOwner speciális beállítását is definiálja.

Ezzel a beállítással biztosíthatja, hogy az eredeti tulajdonosok továbbra is hozzáférjenek a fájljaikhoz.

További információt a Tartalomvizsgálati feladat létrehozása és a Tartalomfelirat automatikus alkalmazása tartalomra a tartalomra a Microsoft 365 tartalmaz.

A védeni kívánt fájltípusok módosítása

Az AIP-képolvasó alapértelmezés szerint csak Office és PDF-fájlokat véd.

A PowerShell-parancsokkal szükség szerint módosíthatja ezt a viselkedést, például úgy konfigurálhatja a képolvasót, hogy minden fájltípust védjen, ahogyan az ügyfél teszi, vagy további, adott fájltípusokat.

Ha olyan címke-házirendet alkalmaz, amely a felhasználói fiók képolvasó címkéinek letöltésére vonatkozik, adjon meg egy PFileSupportedExtensionsnevű speciális PowerShell-beállítást.

Az internethez hozzáféréssel elérhető képolvasók esetén ez a felhasználói fiók az a fiók, amely a DelegatedUser paraméterhez a Set-AIPAuthentication paranccsal adható meg.

1. példa:Az összes fájltípus védelmére a képolvasó PowerShell-parancsa, ahol a címke-házirend neve "Képolvasó":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

2. példa:A .xml és .tiff fájlok védelmére a Office-fájlokon és PDF-fájlokon kívül a képolvasó PowerShell-parancsa, ahol a címke-házirend neve "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

További információ: A védeni kívánt fájltípusok módosítása.

A képolvasó frissítése

Ha korábban már telepítette a képolvasót, és frissíteni szeretne, kövesse Az Azure Information Protection scannerfrissítése .

Ezután a szokásos módon konfigurálja és használja a képolvasót, és hagyja ki a képolvasó telepítésének lépéseit.

Adattár beállításainak szerkesztése tömegesen

Az Exportálás és az Importálás gombbal számos tárban módosíthatja a képolvasót.

Ily módon nem kell többször elvégeznie ugyanezeket a módosításokat manuálisan az Azure Portalon.

Ha például több tárban is új fájltípussal SharePoint, akkor ezeknek az adattáraknak a beállításait tömegesen is frissítheti.

Módosítások tömegesen több tárban:

  1. Az Azure Portal Tárak ablaktábláján válassza az Exportálás lehetőséget. Például:

    Az Azure Information Protection képolvasó adattárbeállításának exportálása.

  2. A módosításhoz manuálisan szerkessze az exportált fájlt.

  3. Az ugyanazon a lapon található Importálás lehetőséggel újra importálhatja a frissítéseket az összes tárban.

A képolvasó használata alternatív konfigurációk esetén

Az Azure Information Protection szkenner általában a címkékhez megadott feltételeket keres a tartalom szükség szerinti osztályozása és védelme érdekében.

A következő esetekben az Azure Information Protection scanner képes a tartalom átvizsgálása és a címkék kezelése is, anélkül, hogy bármilyen feltételt konfiguráltak volna:

Alapértelmezett címke alkalmazása az adattárban lévő összes fájlra

Ebben a konfigurációban a tárház minden címkézetlen fájlja a tárházhoz vagy a tartalomvizsgálati feladathoz megadott alapértelmezett címkével van megcímkézve. A fájlokat vizsgálat nélkül címkézték meg.

Adja meg az alábbi beállításokat:

Beállítás Leírás
Fájlok címkézése tartalom alapján Beállítás Kikapcsolva
Alapértelmezett címke Állítsa egyénire ,majd válassza ki a használni kívánt címkét
Alapértelmezett címke érvényesítése Jelölje be ezt a jelölőnégyzetet, ha azt választja, hogy az alapértelmezett felirat minden fájlra vonatkozik, még akkor is, ha azok már meg vannak címkézve.

Meglévő címkék eltávolítása az adattárban lévő összes fájlból

Ebben a konfigurációban az összes meglévő címkét eltávolítja a rendszer, beleértve a védelmet is, ha a címkére védelmet alkalmaztak. A címkéktől függetlenül alkalmazott védelem megmarad.

Adja meg az alábbi beállításokat:

Beállítás Leírás
Fájlok címkézése tartalom alapján Beállítás Kikapcsolva
Alapértelmezett címke Nincs beállítás
Fájlok újracímkéése A Beállítás be van kapcsolva,és az Alapértelmezett címke érvényesítése jelölőnégyzet be van jelölve

Az összes egyéni feltétel és ismert bizalmas adattípus azonosítása

Ezzel a konfigurációval megkereshet olyan bizalmas információkat, amelyekről nem is tudja, hogy ott volt, a képolvasó beolvasási sebességének a rovására.

Állítsa az összes információtípust a Mind beállításra.

A feliratozás feltételeinek és adattípusának azonosításához a képolvasó a megadott egyéni bizalmas információtípusokat és a címkekezelési központban meghatározott beépített bizalmas információtípusok listáját használja.

A képolvasó teljesítményének optimalizálása

Megjegyzés

Ha a képolvasó teljesítménye helyett a képolvasó teljesítményét javítja, használjon speciális ügyfélprogram-beállítást a képolvasó által használt szálak számának korlátozására.

Az alábbi beállításokkal és útmutatással optimalizálhatja a képolvasó teljesítményét:

Beállítás Leírás
Nagy sebességű és megbízható hálózati kapcsolattal létesítsen kapcsolatot a képolvasót tároló számítógép és a beolvasott adattár között Helyezze például a képolvasó számítógépét ugyanannak a hálózati szegmensnek a hálózati szegmensbe, ahol a beolvasott adattár található.

A hálózati kapcsolat minősége befolyásolja a képolvasó teljesítményét, mivel a fájlok vizsgálata érdekében a képolvasó átiszi a fájlok tartalmát a képolvasó szolgáltatást futtató számítógépre.

Az adatok utazásához szükséges hálózati ugrások számának csökkentése vagy kiküszöbölése szintén csökkenti a hálózat terhelését.
Ellenőrizze, hogy a képolvasó számítógépe rendelkezik-e a rendelkezésre álló processzorerőforrásokkal A fájlok tartalmának vizsgálata, valamint a fájlok titkosítása és visszafejtése nagy teljesítményű művelet.

A megadott adattárak tipikus beolvasási ciklusainak figyelése annak azonosításához, hogy a processzorerőforrások hiánya hátrányosan befolyásolja-e a képolvasó teljesítményét.
A képolvasó több példányának telepítése Az Azure Information Protection scanner több konfigurációs adatbázist támogat ugyanazon SQL kiszolgálón, amikor egyéni fürtnevet ad meg a képolvasónak.

Tipp:Több képolvasóval is megoszthatja ugyanazt a fürtöt, ami gyorsabb beolvasási időt eredményez. Ha a képolvasót több, azonos adatbázis-példányú gépre tervezi telepíteni, és azt szeretné, hogy a képolvasók párhuzamosan futtassanak, az összes képolvasót ugyanazokkal a fürtnévvel kell telepítenie.
Az alternatív konfigurációs használat ellenőrzése A képolvasó gyorsabban fut, ha az alternatív konfigurációval alapértelmezett címkét alkalmaz az összes fájlra, mivel a képolvasó nem vizsgálja meg a fájl tartalmát.

A képolvasó lassabban fut, ha az alternatív konfigurációval azonosít minden egyéni feltételt és ismert bizalmas információtípust.

A teljesítményt befolyásoló további tényezők

A képolvasó teljesítményét befolyásoló további tényezők:

Faktor Leírás
Betöltési/válaszidők A beolvasni szükséges fájlokat tartalmazó adattárak aktuális betöltési és válaszidei szintén hatással vannak a képolvasó teljesítményére.
Scanner mode (Discovery / Enforce) A feltárási mód általában magasabb beolvasási sebességet tartalmaz, mint a kényszerítési mód.

A feltáráshoz egyetlen fájl olvasási művelet szükséges, míg a kényszerítés mód olvasási és írási műveleteket igényel.
Házirend-módosítások A képolvasó teljesítményét befolyásolhatja, ha módosítja az automatikus címkecímkét a címkeházi házirendben.

Ha a képolvasónak minden fájlt meg kell vizsgálnia, az első ellenőrzési ciklus tovább tart, mint az alapértelmezés szerint csak az új és a módosított fájlok.

Ha módosítja a feltételeket vagy az automatikus címkebeállításokat, a program ismét beolvassa az összes fájlt. További információt a Fájlok átszkedődésében található.
Regex-szerkezetek Az egyéni feltételek regex-kifejezései a képolvasó teljesítményét befolyásolják.

A nagy memóriafelhasználás és az időtúllépések (fájlonként 15 perc) kockázatának elkerülése érdekében ellenőrizze a regex-kifejezéseket a hatékony mintaegyeztetés érdekében.

Például:
- Kerülje a kapzsi mennyiségben való értéket
– Ne használjon rögzítésre nem alkalmas csoportokat, (?:expression) például ne (expression)
Naplózási szint A naplószintű beállítások közé tartozik a Hibakeresés,az Információ,a Hiba és a Ki beállítás az képolvasó jelentéseiben.

- - a legjobb teljesítményt eredményező eredmény
- - jelentősen lassítja a képolvasót, és csak hibaelhárítási használatra érdemes használni.

További információt a Set-AIPScannerConfiguration parancsmag ReportLevel paramétere tartalmaz.
Fájlok beolvasása – A fájlok Excel kivételével a Office a PDF-fájloknál gyorsabban lehet őket beolvasni.

– A nem védett fájlok gyorsabbak az átvizsgálásban, mint a védett fájlok.

- A nagy fájlok átvizsgálása egyértelműen tovább tart, mint a kis méretű fájlok.

A képolvasó konfigurálása a PowerShell használatával

Ez a szakasz azokat a lépéseket ismerteti, amelyek az AIP helyszíni képolvasójának konfigurálását és telepítését ismertetik, ha nem fér hozzá az Azure Portal képolvasó lapjaihoz, és csak a PowerShellt kell használnia.

Fontos

  • Bizonyos lépésekhez PowerShell szükséges, függetlenül attól, hogy hozzáfér-e az Azure Portal szkenner lapjaihoz, és megegyeznek-e. Ezekről a lépésekről a cikkben korábban említett utasításokban olvashat.

  • Ha az Azure China 21Vianet képolvasójával dolgozik, az itt részletezett utasításokon kívül további lépésekre is szükség van. További információ: A 21Vianetáltal üzemeltetett Office 365 Azure Information Protection támogatása.

További információt a Támogatott PowerShell-parancsmagok .

A képolvasó konfigurálása és telepítése:

  1. Kezdje a PowerShell bezárva. Ha korábban már telepítette az AIP-ügyfélprogramot és -szkennert, győződjön meg arról, hogy az AIPScanner szolgáltatás leállt.

  2. Nyisson Windows PowerShell Futtatás rendszergazdaként lehetőséggel.

  3. Az Install-AIPScanner parancsot futtatva telepítse a képolvasót a SQL-kiszolgálói példányra úgy, hogy a Cluster paraméter definiálja a fürt nevét.

    Ez a lépés azonos, függetlenül attól, hogy hozzáfér-e az Azure Portal szkenner lapjaihoz. További információért olvassa el a következő cikk korábbi utasításait: A képolvasó telepítése

  4. Szerezze be az Azure-jogkivonatot a képolvasóhoz való használathoz, majd hitelesítse újra.

    Ez a lépés azonos, függetlenül attól, hogy hozzáfér-e az Azure Portal szkenner lapjaihoz. További információért olvassa el a következő cikk korábbi utasításait: Azure AD-jogkivonat beszerzése a képolvasóhoz.

  5. A futtatásával állítsa be a képolvasót offline módban való működésre. Futtassa a következőt:

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  6. A Set-AIPScannerContentScan Job parancsmag futtatásával hozzon létre egy alapértelmezett tartalomvizsgálati feladatot.

    A Set-AIPScannerContentScanJob parancsmagban az egyetlen kötelező paraméter a Kényszerítés. Előfordulhat azonban, hogy a tartalomvizsgálati feladathoz más beállításokat is meg szeretne határozni. Például:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    A fenti szintaxis a következő beállításokat adja meg a konfiguráció folytatása során:

    • A képolvasó futásának ütemezése manuálisan
    • A bizalmasság-címkézési házirend alapján felderített adattípusok beállítja.
    • Nem érvényesít bizalmasság-címkézési házirendet
    • A tartalom alapján automatikusan címkézi meg a fájlokat a tartalmi címke házirendhez definiált alapértelmezett címkével.
    • Nem engedélyezi a fájlok újracímkézását
    • Megőrzi a fájladatokat a beolvasás és automatikus címkézés során, beleértve a módosítás dátumát,az utoljára módosítottatés az értékek által módosított adatokat.
    • A .msg és .tmp fájlok kizárására állítja be a képolvasót a futtatáskor
    • A képolvasó futtatásakor használni kívánt fiók alapértelmezett tulajdonosának beállítása
  7. Az Add-AIPScannerRepository parancsmag használatával definiálhatja a tartalomvizsgálati feladatban vizsgálni kívánt tárházakat. Futtassa például a következőt:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Használja az alábbi szintaxisok egyikét attól függően, hogy milyen típusú tárat ad hozzá:

    • Hálózati megosztáshoz használja a \\Server\Folder .
    • Ha tárat SharePoint, használja a http://sharepoint.contoso.com/Shared%20Documents/Folder .
    • Helyi elérési út: C:\Folder
    • UNC elérési úthoz: \\Server\Folder

    Megjegyzés

    A helyettesítő karakterek és a WebDav-helyek nem támogatottak.

    Ha később módosítani szeretné a tárházat, használja helyette a Set-AIPScannerRepository parancsmagot.

    Ha hozzáad egy SharePoint megosztott dokumentumok elérési útját:

    • Adja meg a Megosztott dokumentumok adhatja meg az elérési útban, ha az összes dokumentumot és mappát át szeretné olvasni a Megosztott dokumentumok mappából. Például: http://sp2013/SharedDocuments
    • Adja meg az elérési út Dokumentumok beállítását, ha a Megosztott dokumentumok csoportban lévő almappákban található összes dokumentumot és mappát át szeretné olvasni. Például: http://sp2013/Documents/SalesReports
    • Vagy adjon meg csak a SharePoint teljes tartomány teljes tartományát, például hogy felderítsen és beolvasson minden webhelyet SharePoint alwebhelyeket az URL-cím alatt található adott URL-cím és alwebhelyek alapján. Engedélyezze ezt a jogosultságot a lapolvasó webhely auditorának.

    A következő szintaxist használja SharePoint hozzáadásakor:

    Elérési út Szintaxis
    Gyökér elérési útja http://<SharePoint server name>

    Megvizsgálja az összes webhelyet, beleértve a képolvasót használó összes webhelycsoportot is.
    További engedélyeket igényel a gyökértartalom automatikus felderítéséhez
    Adott SharePoint vagy gyűjtemény Az alábbiak egyike:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    További engedélyekre van szükség a webhelycsoport tartalmának automatikus felderítéséhez
    Adott SharePoint tár Az alábbiak egyike:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Adott SharePoint mappa http://<SharePoint server name>/.../<folder name>

Szükség szerint folytassa az alábbi lépésekkel:

A besorolás és védelem alkalmazására konfigurálja a képolvasót a PowerShell használatával

  1. A Set-AIPScannerContentScanJob parancsmag futtatásával frissítse a tartalomvizsgálati feladatot, és állítsa be az ütemezést úgy, hogy az mindig betartsa a bizalmasság-házirendet.

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On
    

    Tipp

    Előfordulhat, hogy más beállításokat is módosítani szeretne ezen az ablaktáblán, például hogy módosulnak-e a fájlattribútumok, illetve hogy a képolvasó képes-e fájlok újracímkélése. Az elérhető beállításokról további információt a PowerShell teljes dokumentációjában talál.

  2. A tartalomvizsgálati feladat futtatásához futtassa a Start-AIPScan parancsmagot:

    Start-AIPScan
    

A képolvasó mostantól folyamatos futtatásra van ütemezve. Amikor a képolvasó az összes konfigurált fájlon keresztül működik, automatikusan egy új ciklust kezd el, hogy az esetleges új és módosított fájlokat is felderítse.

DLP-házirend beállítása a képolvasóval a PowerShell használatával

  1. Futtassa ismét a Set-AIPScannerContentScanJob parancsmagot úgy, hogy az -EnableDLP paraméter értéke Be,és meghatározott tártártulajdonos mellett.

    Például:

    Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
    

Támogatott PowerShell-parancsmagok

Ez a szakasz felsorolja az Azure Information Protection scannerben támogatott PowerShell-parancsmagokat, valamint a képolvasó csak PowerShell-parancsmaggal való konfigurálásához és telepítéséhez szükséges utasításokat.

A képolvasó által támogatott parancsmagok a következők:

További lépések

Miután telepítette és beállította a képolvasót, indítsa el a fájlok beolvasását.

Lásd még: Az Azure Information Protection scanner telepítése a fájlok automatikus osztályozásához és védelméhez.

További információ:

  • Érdekli, hogy a Microsoft Core Services Engineering and Operations csapata hogyan hajtotta végre ezt a képolvasót? Olvassa el a műszaki esettanulmányt: Az adatvédelem automatizálása az Azure Information Protection szkennerrel.

  • A PowerShell használatával interaktív módon osztályozhatja és megvédheti a fájlokat az asztali számítógépéről. Erről és a PowerShellt használó egyéb esetekről további információt A PowerShell használata az Azure Information Protection egyesített címkéző ügyfélalkalmazásával.