Distribuzione dello scanner di Azure Information Protection per classificare e proteggere automaticamente i fileDeploying the Azure Information Protection scanner to automatically classify and protect files

Si applica a: Azure Information Protection, windows server 2019, windows server 2016, windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Nota

Questo articolo è per la versione di disponibilità generale corrente dello scanner di Azure Information Protection con il client di Azure Information Protection (classico) e la versione di anteprima dello scanner per la versione di disponibilità generale corrente di Azure Information Protection client di etichetta unificata.This article is for the current general availability version of the Azure Information Protection scanner with the Azure Information Protection client (classic), and the preview version of the scanner for the current general availability version of the Azure Information Protection unified labeling client.

Se in precedenza è stato installato lo scanner e si vuole aggiornarlo, usare le istruzioni di aggiornamento seguenti e quindi usare le istruzioni in questa pagina, omettendo il passaggio per installare lo scanner:If you have previously installed the scanner and want to upgrade it, use the following upgrade instructions and then use the instructions on this page, omitting the step to install the scanner:

Se si dispone di una versione dello scanner precedente a 1.48.204.0 e non si è pronti per aggiornarla, vedere distribuzione di versioni precedenti dello scanner Azure Information Protection per classificare e proteggere automaticamente i file.If you have a version of the scanner that is older than 1.48.204.0 and you're not ready to upgrade it, see Deploying previous versions of the Azure Information Protection scanner to automatically classify and protect files.

Di seguito vengono illustrate le caratteristiche dello scanner di Azure Information Protection e le relative procedure per installarlo, configurarlo ed eseguirlo.Use this information to learn about the Azure Information Protection scanner, and then how to successfully install, configure, and run it.

Questo scanner viene eseguito come servizio in Windows Server e consente di individuare, classificare e proteggere i file negli archivi dati seguenti:This scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

  • Cartelle locali nel computer Windows Server che esegue lo scanner.Local folders on the Windows Server computer that runs the scanner.

  • Percorsi UNC delle condivisioni di rete che usano il protocollo SMB (Server Message Block).UNC paths for network shares that use the Server Message Block (SMB) protocol.

  • Raccolte documenti e cartelle per SharePoint Server 2019 tramite SharePoint Server 2013.Document libraries and folders for SharePoint Server 2019 through SharePoint Server 2013. SharePoint 2010 è supportato anche per i clienti che dispongono del supporto "Extended" per la versione corrente di SharePoint.SharePoint 2010 is also supported for customers who have extended support for this version of SharePoint.

Per analizzare ed etichettare i file nei repository cloud, usare Cloud App Security invece dello scanner.To scan and label files on cloud repositories, use Cloud App Security instead of the scanner.

Panoramica dello scanner di Azure Information ProtectionOverview of the Azure Information Protection scanner

Una volta configurate le etichette che applicano la classificazione automatica, i file individuati da questo scanner possono essere etichettati.When you have configured labels that apply automatic classification, files that this scanner discovers can then be labeled. Le etichette applicano la classificazione e, facoltativamente, applicano o rimuovono la protezione:Labels apply classification, and optionally, apply protection or remove protection:

Panoramica dell'architettura dello scanner di Azure Information Protection

Lo scanner può controllare tutti i file indicizzabili da Windows, tramite IFilter installati nel computer.The scanner can inspect any files that Windows can index, by using IFilters that are installed on the computer. In seguito, per stabilire se i file devono essere etichettati, lo scanner usa il rilevamento di modelli e di tipi di dati sensibili della prevenzione della perdita di dati (DLP) predefiniti in Office 365 o i modelli regex di Office 365.Then, to determine if the files need labeling, the scanner uses the Office 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Office 365 regex patterns. Poiché lo scanner usa il client di Azure Information Protection (il client classico o Unified Labeling client), lo scanner è in grado di classificare e proteggere gli stessi tipi di file:Because the scanner uses the Azure Information Protection client (the classic client or unified labeling client), the scanner can classify and protect the same file types:

È possibile eseguire lo scanner solo in modalità di individuazione, in cui si usano i report per verificare che cosa accadrebbe se i file fossero etichettati.You can run the scanner in discovery mode only, where you use the reports to check what would happen if the files were labeled. Oppure è possibile eseguire lo scanner per applicare automaticamente le etichette.Or, you can run the scanner to automatically apply the labels. È anche possibile eseguire lo scanner per individuare i file che contengono tipi di informazioni riservate, senza configurare le etichette per le condizioni per l'applicazione della classificazione automatica.You can also run the scanner to discover files that contain sensitive information types, without configuring labels for conditions that apply automatic classification.

Si noti che lo scanner non individua e non applica etichette in tempo reale.Note that the scanner does not discover and label in real time. Effettua sistematicamente una ricerca per indicizzazione nei file presenti negli archivi dati specificati ed è possibile configurare questo ciclo in modo da eseguirlo una o più volte.It systematically crawls through files on data stores that you specify, and you can configure this cycle to run once, or repeatedly.

È possibile specificare quali tipi di file analizzare o escludere dall'analisi, definendo un elenco di tipi di file come parte della configurazione dello scanner.You can specify which file types to scan, or exclude from scanning, by defining a file types list as part of the scanner configuration.

Prerequisiti per lo scanner di Azure Information ProtectionPrerequisites for the Azure Information Protection scanner

Prima di installare lo scanner di Azure Information Protection, verificare che i requisiti seguenti siano soddisfatti.Before you install the Azure Information Protection scanner, make sure that the following requirements are in place.

RequisitoRequirement Ulteriori informazioniMore information
Computer Windows Server per eseguire il servizio scanner:Windows Server computer to run the scanner service:

- 4 processori core- 4 core processors

- 8 GB di RAM- 8 GB of RAM

- 10 GB di spazio libero (media) per i file temporanei- 10 GB free space (average) for temporary files
Windows Server 2019, Windows Server 2016 o Windows Server 2012 R2.Windows Server 2019, Windows Server 2016, or Windows Server 2012 R2.

Nota: per scopi di test o valutazione in un ambiente non di produzione, è possibile usare un sistema operativo client Windows supportato dal client di Azure Information Protection.Note: For testing or evaluation purposes in a non-production environment, you can use a Windows client operating system that is supported by the Azure Information Protection client.

Il computer può essere un computer fisico o virtuale con una connessione di rete veloce e affidabile agli archivi dati da analizzare.This computer can be a physical or virtual computer that has a fast and reliable network connection to the data stores to be scanned.

Lo scanner richiede spazio su disco sufficiente a creare i file temporanei per ogni file analizzato, quattro file per core.The scanner requires sufficient disk space to create temporary files for each file that it scans, four files per core. Lo spazio su disco consigliato di 10 GB consente a 4 processori core di analizzare 16 file, ognuno con una dimensione di 625 MB.The recommended disk space of 10 GB allows for 4 core processors scanning 16 files that each have a file size of 625 MB.

Se la connettività Internet non è possibile a causa dei criteri dell'organizzazione, vedere la sezione Deploying the scanner with alternative Configurations .If internet connectivity is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section. In caso contrario, verificare che il computer disponga di connettività Internet che consenta gli URL seguenti tramite HTTPS (porta 443):Otherwise, make sure that this computer has internet connectivity that allows the following URLs over HTTPS (port 443):
*.aadrm.com*.aadrm.com
*.azurerms.com*.azurerms.com
*.informationprotection.azure.com*.informationprotection.azure.com
informationprotection.hosting.portal.azure.netinformationprotection.hosting.portal.azure.net
*.aria.microsoft.com*.aria.microsoft.com
*. protection.outlook.com (solo scanner dal client Unified Labeling)*.protection.outlook.com (scanner from the unified labeling client only)
Account del servizio per eseguire il servizio scannerService account to run the scanner service Oltre a eseguire il servizio scanner nel computer Windows Server, questo account di Windows esegue l'autenticazione in Azure AD e scarica i criteri di Azure Information Protection.In addition to running the scanner service on the Windows Server computer, this Windows account authenticates to Azure AD and downloads the Azure Information Protection policy. Questo account deve essere un account Active Directory ed essere sincronizzato con Azure AD.This account must be an Active Directory account and synchronized to Azure AD. Se non è possibile sincronizzare questo account a causa dei criteri dell'organizzazione, vedere la sezione Distribuzione dello scanner con configurazioni alternative.If you cannot synchronize this account because of your organization policies, see the Deploying the scanner with alternative configurations section.

I requisiti di questo account del servizio sono i seguenti:This service account has the following requirements:

Assegnazione dei diritti utente per l'- accesso locale.- Log on locally user right assignment. Questo diritto è richiesto per l'installazione e la configurazione dello scanner, ma non per il funzionamento.This right is required for the installation and configuration of the scanner, but not for operation. È necessario concedere questo diritto all'account del servizio, ma è possibile rimuoverlo dopo avere verificato che lo scanner è in grado di individuare, classificare e proteggere i file.You must grant this right to the service account but you can remove this right after you have confirmed that the scanner can discover, classify, and protect files. Se non è possibile concedere questo diritto neppure per un breve periodo a causa dei criteri dell'organizzazione, vedere la sezione Distribuzione dello scanner con configurazioni alternative.If granting this right even for a short period of time is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section.

Assegnazione dei diritti utente per l'- accesso come servizio.- Log on as a service user right assignment. Questo diritto viene concesso automaticamente all'account del servizio durante l'installazione dello scanner ed è richiesto per l'installazione, la configurazione e il funzionamento dello scanner.This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.

- Autorizzazioni per i repository di dati: è necessario concedere le autorizzazioni per la lettura e la scrittura per analizzare i file e quindi applicare la classificazione e la protezione ai file che soddisfano le condizioni indicate nei criteri di Azure Information Protection.- Permissions to the data repositories: You must grant Read and Write permissions for scanning the files and then applying classification and protection to the files that meet the conditions in the Azure Information Protection policy. Per eseguire lo scanner solo in modalità di individuazione, è sufficiente l'autorizzazione per la lettura.To run the scanner in discovery mode only, Read permission is sufficient.

-Per le etichette che riproteggono o rimuovono la protezione: per assicurarsi che lo scanner abbia sempre accesso ai file protetti, rendere questo account un utente con privilegi avanzati per Azure Information Protection e assicurarsi che la funzionalità per utenti con privilegi avanzati sia abilitata.- For labels that reprotect or remove protection: To ensure that the scanner always has access to protected files, make this account a super user for Azure Information Protection, and ensure that the super user feature is enabled. Se inoltre sono stati implementati i controlli di onboarding per una distribuzione a fasi, verificare che questo account sia incluso nei controlli di onboarding configurati.In addition, if you have implemented onboarding controls for a phased deployment, make sure that this account is included in your onboarding controls you've configured.
SQL Server per archiviare la configurazione dello scanner:SQL Server to store the scanner configuration:

- Istanza locale o remota- Local or remote instance

regole di confronto senza distinzione tra maiuscole e minuscole - - Case insensitive collation

- Ruolo Sysadmin per installare lo scanner- Sysadmin role to install the scanner
SQL Server 2012 è la versione minima per le edizioni seguenti:SQL Server 2012 is the minimum version for the following editions:

- SQL Server Enterprise- SQL Server Enterprise

- SQL Server Standard- SQL Server Standard

- SQL Server Express- SQL Server Express

Lo scanner di Azure Information Protection supporta più database di configurazione nella stessa istanza di SQL Server quando si specifica un nome di profilo personalizzato per lo scanner.The Azure Information Protection scanner supports multiple configuration databases on the same SQL server instance when you specify a custom profile name for the scanner. Quando si usa la versione di anteprima dello scanner dal client Unified Labeling, più scanner possono condividere lo stesso database di configurazione.When you use the preview version of the scanner from the unified labeling client, multiple scanners can share the same configuration database.

Quando si installa lo scanner e l'account ha il ruolo Sysadmin, il processo di installazione crea automaticamente il database di configurazione dello scanner e concede il ruolo db_owner necessario all'account del servizio che esegue lo scanner.When you install the scanner and your account has the Sysadmin role, the installation process automatically creates the scanner configuration database and grants the required db_owner role to the service account that runs the scanner. Se non è possibile ricevere il ruolo Sysadmin o se l'organizzazione richiede che i database vengano creati e configurati manualmente, vedere la sezione Distribuzione dello scanner con configurazioni alternative.If you cannot be granted the Sysadmin role or your organization policies require databases to be created and configured manually, see the Deploying the scanner with alternative configurations section.

Per informazioni aggiuntive sulla capacità, vedere requisiti di archiviazione e pianificazione della capacità per SQL Server.For capacity guidance, see Storage requirements and capacity planning for SQL Server.
Uno dei seguenti Azure Information Protection client viene installato nel computer Windows ServerEither of the following Azure Information Protection clients is installed on the Windows Server computer

-Client classico- Classic client

-Unified Labeling client (solo versione di disponibilità generale corrente)- Unified labeling client (current general availability version only)
È necessario installare il client completo per lo scanner.You must install the full client for the scanner. Non installare solo il modulo PowerShell del client.Do not install the client with just the PowerShell module.

Per istruzioni sull'installazione e l'aggiornamento:For installation and upgrade instructions:
- client classico- Classic client
- client di etichetta unificata- Unified labeling client
Etichette configurate che applicano la classificazione automatica e, facoltativamente, la protezioneConfigured labels that apply automatic classification, and optionally, protection Per istruzioni per il client classico per configurare un'etichetta per le condizioni e per applicare la protezione:For instructions for the classic client to configure a label for conditions and to apply protection:
- Come configurare le condizioni per la classificazione automatica e consigliata- How to configure conditions for automatic and recommended classification
- Come configurare un'etichetta per la protezione di Rights Management- How to configure a label for Rights Management protection

Suggerimento: è possibile usare le istruzioni dell' esercitazione per testare lo scanner con un'etichetta che cerca i numeri di carta di credito in un documento di Word preparato.Tip: You can use the instructions from the tutorial to test the scanner with a label that looks for credit card numbers in a prepared Word document. Tuttavia, sarà necessario modificare la configurazione dell'etichetta in modo che l'opzione Specificare se l'etichetta viene applicata automaticamente o se viene consigliata all'utente sia impostata su Automatico anziché su Consigliato.However, you will need to change the label configuration so that the option Select how this label is applied is set to Automatic, rather than Recommended. Rimuovere quindi l'etichetta dal documento (se applicata) e copiare il file in un repository di dati per lo scanner.Then remove the label from the document (if it is applied) and copy the file to a data repository for the scanner. Per eseguire test velocemente, è possibile copiare il file in una cartella locale nel computer dello scanner.For quick testing, this could be a local folder on the scanner computer.

Per istruzioni sul client Unified Labeling per configurare un'etichetta per l'etichettatura automatica e per applicare la protezione:For instructions for the unified labeling client to configure a label for auto-labeling and to apply protection:
- applicare automaticamente un'etichetta di riservatezza al contenuto- Apply a sensitivity label to content automatically
- limitare l'accesso al contenuto usando la crittografia in etichette di riservatezza- Restrict access to content by using encryption in sensitivity labels

nonostante sia possibile eseguire lo scanner anche se non sono state configurate etichette che applicano la classificazione automatica, questo scenario non è illustrato in queste istruzioni.Although you can run the scanner even if you haven't configured labels that apply automatic classification, this scenario is not covered with these instructions. Altre informazioniMore information
Per le cartelle e le raccolte documenti di SharePoint da analizzare:For SharePoint document libraries and folders to be scanned:

- SharePoint 2019- SharePoint 2019

- SharePoint 2016- SharePoint 2016

- SharePoint 2013- SharePoint 2013

- SharePoint 2010- SharePoint 2010
Altre versioni di SharePoint non sono supportate per lo scanner.Other versions of SharePoint are not supported for the scanner.

Quando si usa il controllo delle versioni, lo scanner controlla ed etichetta l'ultima versione pubblicata.When you use versioning, the scanner inspects and labels the last published version. Se le etichette dello scanner sono obbligatorie per un file e l' approvazione del contenuto , è necessario approvare il file con etichetta in modo che sia disponibile per gli utenti.If the scanner labels a file and content approval is required, that labeled file must be approved to be available for users.

Per le farm SharePoint di grandi dimensioni, controllare se è necessario aumentare la soglia della visualizzazione elenco (per impostazione predefinita, 5.000) per lo scanner al fine di accedere a tutti i file.For large SharePoint farms, check whether you need to increase the list view threshold (by default, 5,000) for the scanner to access all files. Per ulteriori informazioni, vedere la documentazione di SharePoint seguente: gestire elenchi e librerie di grandi dimensioni in SharePointFor more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint
Per i documenti di Office da analizzare:For Office documents to be scanned:

- Formati di file 97-2003 e formati Office Open XML per Word, Excel e PowerPoint- 97-2003 file formats and Office Open XML formats for Word, Excel, and PowerPoint
Per ulteriori informazioni sui tipi di file supportati dallo scanner per questi formati di file, vedere le seguenti informazioni:For more information about the file types that the scanner supports for these file formats, see the following information:
-Client classico: tipi di file supportati dal client di Azure Information Protection- Classic client: File types supported by the Azure Information Protection client
-Unified Labeling client: tipi di file supportati dal client di Azure Information Protection Unified Labeling- Unified labeling client: File types supported by the Azure Information Protection unified labeling client
Per i percorsi lunghi:For long paths:

- Massimo 260 caratteri, salvo se lo scanner è installato in Windows 2016 e il computer è configurato per il supporto dei percorsi lunghi- Maximum of 260 characters, unless the scanner is installed on Windows 2016 and the computer is configured to support long paths
Windows 10 e Windows Server 2016 supportano lunghezze maggiori di 260 caratteri con le seguenti impostazioni di criteri di gruppo: criteri del computer locale > Configurazione computer > modelli amministrativi > tutte le impostazioni > Abilita percorsi lunghi Win32Windows 10 and Windows Server 2016 support path lengths greater than 260 characters with the following group policy setting: Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Per altre informazioni sul supporto dei percorsi di file lunghi, vedere la sezione Maximum Path Length Limitation (Limite massimo lunghezza del percorso) nella documentazione per sviluppatori di Windows 10.For more information about supporting long file paths, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

Se non è possibile soddisfare tutti i requisiti della tabella perché non sono consentiti dai criteri dell'organizzazione, vedere la sezione configurazioni alternative .If you can't meet all the requirements in the table because they are prohibited by your organization policies, see the alternative configurations section.

Quando si distribuisce lo scanner in produzione o si sta testando le prestazioni per più scanner, vedere la sezione successiva per informazioni aggiuntive sulla pianificazione della capacità per SQL Server.When you deploy the scanner in production, or you're testing the performance for multiple scanners, see the next section for capacity planning guidance for SQL Server.

Tuttavia, se si è pronti per iniziare a distribuire lo scanner, passare direttamente alla sezione configurazione dello scanner.However, if you're ready to start deploying the scanner, go straight to configuring the scanner section.

Requisiti di archiviazione e pianificazione della capacità per SQL ServerStorage requirements and capacity planning for SQL Server

La quantità di spazio su disco necessaria per il database di configurazione dello scanner e la specifica del computer che esegue SQL Server possono variare per ogni ambiente, quindi si consiglia di eseguire i test personalizzati.The amount of disk space required for the scanner's configuration database and the specification of the computer running SQL Server can vary for each environment, so we encourage you to do your own testing. Tuttavia, è possibile usare le linee guida seguenti come punto di partenza.However, you can use the following guidance as a starting point.

Per ulteriori informazioni, vedere la sezione ottimizzazione delle prestazioni dello scanner .See the Optimizing the performance of the scanner section for additional information.

Scanner dal client classico:Scanner from the classic client:
  • Dimensioni del disco: le dimensioni del database di configurazione variano a seconda della distribuzione, ma è consigliabile allocare 500 MB per ogni file di 1 milione che si desidera analizzare.Disk size: The size of the configuration database will vary for each deployment but we recommend you allocate 500 MB for every 1,000,000 files that you want to scan.

  • Per ogni scanner: 4 processori Core; 8 GB di RAM consigliati (minimo 4 GB).For each scanner: 4 core processors; 8 GB RAM recommended (4 GB minimum).

Scanner dal client Unified Labeling:Scanner from the unified labeling client:
  • Dimensioni del disco: anche se le dimensioni del database di configurazione dello scanner variano per ogni distribuzione, è possibile usare l'equazione seguente come linee guida: 100 KB + <file count> *(1000 + 4*<average file name length>).Disk size: Although the size of the scanner configuration database will vary for each deployment, you can use the following equation as guidance: 100 KB + <file count> *(1000 + 4*<average file name length>).

    Ad esempio, per analizzare 1 milione file con una lunghezza media del nome file di 250 byte, allocare 2 GB di spazio su disco.For example, to scan 1 million files that have an average file name length of 250 bytes, allocate 2 GB disk space.

  • Per più scanner, fino a 12: 4 processori Core; 8 GB di RAM consigliati (minimo 4 GB).For multiple scanners, up to 12: 4 core processors; 8 GB RAM recommended (4 GB minimum).

  • Per più scanner più di 12 (massimo 40) : 8 processi principali; 16 GB di RAM consigliati (minimo 8 GB).For multiple scanners more than 12 (maximum 40): 8 core processes; 16 GB RAM recommended (8 GB minimum).

Distribuzione dello scanner con configurazioni alternativeDeploying the scanner with alternative configurations

I prerequisiti elencati nella tabella sono i requisiti predefiniti per lo scanner e sono consigliati perché costituiscono la configurazione più semplice per la distribuzione dello scanner.The prerequisites listed in the table are the default requirements for the scanner and recommended because they are the simplest configuration for the scanner deployment. Sono appropriati per il test iniziale, per poter controllare le funzionalità dello scanner.They should be suitable for initial testing, so that you can check the capabilities of the scanner. In un ambiente di produzione, tuttavia, i criteri dell'organizzazione potrebbero non consentire questi requisiti predefiniti a causa di una o più delle restrizioni seguenti:However, in a product environment, your organization policies might prohibit these default requirements because of one or more of the following restrictions:

  • La connettività Internet non è consentita per i serverServers are not allowed internet connectivity

  • Non è possibile concedere all'utente il ruolo Sysadmin o i database devono essere creati e configurati manualmenteYou cannot be granted Sysadmin or databases must be created and configured manually

  • Agli account del servizio non può essere concesso il diritto Log on locally (Accesso locale)Service accounts cannot be granted the Log on locally right

  • Gli account del servizio non possono essere sincronizzati con Azure Active Directory, ma i server dispongono di connettività InternetService accounts cannot be synchronized to Azure Active Directory but servers have internet connectivity

Lo scanner può soddisfare queste restrizioni, che tuttavia richiedono una configurazione aggiuntiva.The scanner can accommodate these restrictions but they require additional configuration.

Restrizione: il server scanner non può avere connettività InternetRestriction: The scanner server cannot have internet connectivity

Seguire le istruzioni riportate nelle guide di amministrazione per supportare un computer disconnesso:Follow the instructions from the admin guides to support a disconnected computer:

  • Per il client classico: supporto per i computer disconnessiFor the classic client: Support for disconnected computers

    In questa configurazione, lo scanner del client classico non può applicare la protezione, rimuovere la protezione o ispezionare i file protetti usando la chiave basata sul cloud dell'organizzazione.In this configuration, the scanner from the classic client cannot apply protection, remove protection, or inspect protected files by using your organization's cloud-based key. Lo scanner è invece limitato all'uso di etichette che applicano solo la classificazione o applicano la protezione che usa HYOKInstead, the scanner is limited to using labels that apply classification only, or apply protection that uses HYOK

  • Per il client Unified Labeling: supporto per i computer disconnessiFor the unified labeling client: Support for disconnected computers

    In questa configurazione, lo scanner dal client Unified Labeling può applicare la protezione, rimuovere la protezione ed esaminare i file protetti usando il parametro DelegatedUser con il cmdlet set-AIPAuthentication .In this configuration, the scanner from the unified labeling client can apply protection, remove protection, and inspect protected files by using the DelegatedUser parameter with the Set-AIPAuthentication cmdlet.

Procedere quindi come segue:Then, do the following:

  1. Configurare lo scanner nel portale di Azure, creando un profilo dello scanner.Configure the scanner in the Azure portal, by creating a scanner profile. Se occorre assistenza per questo passaggio, vedere Configurare lo scanner nel portale di Azure.If you need help with this step, see Configure the scanner in the Azure portal.

  2. Esportare il profilo dello scanner dal riquadro profili di Azure Information Protection , usando l'opzione Esporta .Export your scanner profile from the Azure Information Protection - Profiles pane, by using the Export option.

  3. Infine, in una sessione di PowerShell, eseguire Import-AIPScannerConfiguration e specificare il file che contiene le impostazioni esportate.Finally, in a PowerShell session, run Import-AIPScannerConfiguration and specify the file that contains the exported settings.

Restrizione: non è possibile concedere all'utente il ruolo Sysadmin o i database devono essere creati e configurati manualmenteRestriction: You cannot be granted Sysadmin or databases must be created and configured manually

Se è possibile concedere temporaneamente all'utente il ruolo Sysadmin per installare lo scanner, è possibile rimuovere questo ruolo al termine dell'installazione dello scanner.If you can be granted the Sysadmin role temporarily to install the scanner, you can remove this role when the scanner installation is complete. Quando si usa questa configurazione, il database viene creato automaticamente e all'account del servizio per lo scanner vengono concesse automaticamente le autorizzazioni necessarie.When you use this configuration, the database is automatically created for you and the service account for the scanner is automatically granted the required permissions. L'account utente che configura lo scanner richiede tuttavia il ruolo db_owner per il database di configurazione dello scanner ed è necessario concedere manualmente questo ruolo all'account utente.However, the user account that configures the scanner requires the db_owner role for the scanner configuration database, and you must manually grant this role to the user account.

Se non è possibile concedere il ruolo sysadmin anche temporaneamente, è necessario richiedere un utente con diritti sysadmin per creare manualmente un database prima di installare lo scanner.If you cannot be granted the Sysadmin role even temporarily, you must ask a user with Sysadmin rights to manually create a database before you install the scanner. Per questa configurazione è necessario assegnare i ruoli seguenti:For this configuration, the following roles must be assigned:

AccountAccount Ruolo a livello databaseDatabase-level role
Account del servizio per lo scannerService account for the scanner db_ownerdb_owner
Account utente per l'installazione dello scannerUser account for scanner installation db_ownerdb_owner
Account utente per la configurazione dello scannerUser account for scanner configuration db_ownerdb_owner

In genere, si usa lo stesso account utente per installare e configurare lo scanner,Typically, you will use the same user account to install and configure the scanner. ma, se si usano account diversi, entrambi richiedono il ruolo db_owner per il database di configurazione dello scanner:But if you use different accounts, they both require the db_owner role for the scanner configuration database:

  • Se non si specifica il nome del proprio profilo per lo scanner (solo client classico), il database di configurazione è denominato AIPScanner_<computer_name > .If you do not specify your own profile name for the scanner (classic client only), the configuration database is named AIPScanner_<computer_name>.

  • Se si specifica il nome del proprio profilo, il database di configurazione è denominato AIPScanner_<profile_name > (client classico ) o AIPScannerUL_<profile_name > (Unified Labeling client).If you specify your own profile name, the configuration database is named AIPScanner_<profile_name> (classic client) or AIPScannerUL_<profile_name> (unified labeling client).

Per creare un utente e concedere diritti di db_owner per questo database, rivolgersi al sysadmin per eseguire il seguente script SQL due volte.To create a user and grant db_owner rights on this database, ask the Sysadmin to run the following SQL script twice. La prima volta, per l'account del servizio che esegue lo scanner e per la seconda volta è necessario installare e gestire lo scanner.The first time, for the service account that runs the scanner, and the second time for you to install and manage the scanner. Prima di eseguire lo script:Before running the script:

  1. Sostituire dominio\utente con il nome di dominio e il nome dell'account utente dell'account del servizio o dell'account utente.Replace domain\user with the domain name and user account name of the service account or user account.
  2. Sostituire dbname con il nome del database di configurazione dello scanner.Replace DBName with the name of the scanner configuration database.

Script SQL:SQL script:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

Inoltre:Additionally:

  • È necessario essere un amministratore locale nel server che eseguirà lo scannerYou must be a local administrator on the server that will run the scanner

  • All'account del servizio che eseguirà lo scanner devono essere concesse le autorizzazioni controllo completo per le chiavi del registro di sistema seguenti:The service account that will run the scanner must be granted Full Control permissions to the following registry keys:

    • HKEY_LOCAL_MACHINE \SOFTWARE\WOW6432Node\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Se, dopo aver configurato queste autorizzazioni, viene visualizzato un errore durante l'installazione dello scanner, l'errore può essere ignorato ed è possibile avviare manualmente il servizio scanner.If, after configuring these permissions, you see an error when you install the scanner, the error can be ignored and you can manually start the scanner service.

Restrizione: all'account del servizio per lo scanner non può essere concesso il diritto Log on locally (Accesso locale)Restriction: The service account for the scanner cannot be granted the Log on locally right

Se i criteri dell'organizzazione proibiscono il diritto di accesso locale per gli account del servizio, ma consentono il diritto di accesso come processo batch , usare le istruzioni seguenti:If your organization policies prohibit the Log on locally right for service accounts but allow the Log on as a batch job right, use the following instructions:

Restrizione: l'account del servizio scanner non può essere sincronizzato con Azure Active Directory, ma il server ha connettività InternetRestriction: The scanner service account cannot be synchronized to Azure Active Directory but the server has internet connectivity

È possibile usare un account per eseguire il servizio dello scanner e un altro per l'autenticazione in Azure Active Directory:You can have one account to run the scanner service and use another account to authenticate to Azure Active Directory:

Configurare lo scanner nel portale di AzureConfigure the scanner in the Azure portal

Prima di installare lo scanner o aggiornarlo da una versione di disponibilità generale precedente dello scanner, creare un profilo per lo scanner nella portale di Azure.Before you install the scanner, or upgrade it from an older general availability version of the scanner, create a profile for the scanner in the Azure portal. Si configura il profilo per le impostazioni dello scanner e per i repository di dati da analizzare.You configure the profile for scanner settings, and the data repositories to scan.

  1. Se non è già stato fatto, aprire una nuova finestra del browser e accedere al portale di Azure.If you haven't already done so, open a new browser window and sign in to the Azure portal. Passare quindi al riquadro Azure Information Protection.Then navigate to the Azure Information Protection pane.

    Ad esempio, nella casella di ricerca per risorse, servizi e documenti: iniziare a digitare informazioni e selezionare Azure Information Protection.For example, in the search box for resources, services, and docs: Start typing Information and select Azure Information Protection.

  2. Individuare le opzioni del menu Scanner e selezionare Profili.Locate the Scanner menu options, and select Profiles.

  3. Nel riquadro Azure Information Protection - Profili selezionare Aggiungi:On the Azure Information Protection - Profiles pane, select Add:

    Aggiungere il profilo per lo scanner di Azure Information Protection

  4. Nel riquadro Aggiungi un nuovo profilo specificare un nome per lo scanner, usato per identificarne le impostazioni di configurazione e i repository di dati da analizzare.On the Add a new profile pane, specify a name for the scanner that is used to identify its configuration settings and data repositories to scan. Ad esempio, è possibile specificare Europa per identificare la posizione geografica dei repository di dati che verranno analizzati dallo scanner.For example, you might specify Europe to identify the geographical location of the data repositories that your scanner will cover. Quando in un secondo momento si installa o si aggiorna lo scanner, sarà necessario specificare lo stesso nome di profilo.When you later install or upgrade the scanner, you will need to specify the same profile name.

    Facoltativamente, specificare una descrizione per scopi amministrativi, per facilitare l'identificazione del nome di profilo dello scanner.Optionally, specify a description for administrative purposes, to help you identify the scanner's profile name.

  5. Per questa configurazione iniziale, configurare le impostazioni seguenti e quindi selezionare Salva senza chiudere il riquadro:For this initial configuration, configure the following settings, and then select Save but do not close the pane:

    Per la sezione delle impostazioni del profilo :For the Profile settings section:

    • Pianificazione: Mantieni il valore predefinito manualeSchedule: Keep the default of Manual
    • Tipi di informazioni daindividuare: modificare solo i criteriInfo types to be discovered: Change to Policy only
    • Configurare i repository: non configurare in questo momento perché il profilo deve essere prima salvato.Configure repositories: Do not configure at this time because the profile must first be saved.

    Per la sezione relativa all' applicazione dei criteri :For the Policy enforcement section:

    • Imponi: seleziona disattivatoEnforce: Select Off
    • Etichettare i file in base al contenuto: Mantieni il valore predefinito inLabel files based on content: Keep the default of On
    • Etichetta predefinita: Mantieni il valore predefinito dei criteri predefinitiDefault label: Keep the default of Policy default
    • Modifica etichette file: Mantieni il valore predefinito offRelabel files: Keep the default of Off

    Per la sezione configurare le impostazioni del file :For the Configure file settings section:

    • Mantieni "Data modifica", "Ultima modifica" e "modificato da" : Mantieni il valore predefinito inPreserve "Date modified", "Last modified" and "Modified by": Keep the default of On
    • Tipi di file da analizzare: Mantieni i tipi di file predefiniti per l' esclusioneFile types to scan: Keep the default file types for Exclude
    • Proprietario predefinito: Mantieni il valore predefinito dell' account scannerDefault owner: Keep the default of Scanner Account
  6. Dopo aver creato e salvato il profilo, si è pronti per tornare all'opzione Configura i repository per specificare gli archivi dati da analizzare.Now that the profile is created and saved, you're ready to return to the Configure repositories option to specify the data stores to be scanned. È possibile specificare le cartelle locali, i percorsi UNC e gli URL di SharePoint Server per le cartelle e le raccolte documenti locali di SharePoint.You can specify local folders, UNC paths, and SharePoint Server URLs for SharePoint on-premises document libraries and folders.

    SharePoint Server 2019, SharePoint Server 2016 e SharePoint Server 2013 sono supportati per SharePoint.SharePoint Server 2019, SharePoint Server 2016, and SharePoint Server 2013 are supported for SharePoint. Anche SharePoint Server 2010 è supportato quando è disponibile il supporto "Extended" per questa versione di SharePoint.SharePoint Server 2010 is also supported when you have extended support for this version of SharePoint.

    Per aggiungere il primo archivio dati, sempre nel riquadro Aggiungi un nuovo profilo selezionare Configura repository per aprire il riquadro repository :To add your first data store, still on the Add a new profile pane, select Configure repositories to open the Repositories pane:

    Configurare i repository di dati per lo scanner di Azure Information Protection

  7. Nel riquadro Repository selezionare Aggiungi:On the Repositories pane, select Add:

    Aggiungere il repository di dati per lo scanner di Azure Information Protection

  8. Nel riquadro repository specificare il percorso per il repository dei dati.On the Repository pane, specify the path for the data repository.

    I caratteri jolly e i percorsi WebDav non sono supportati.Wildcards are not supported and WebDav locations are not supported.

    Di seguito sono riportati alcuni esempi.Examples:

    • Per un percorso locale: C:\FolderFor a local path: C:\Folder

    • Per una condivisione di rete: C:\Folder\FilenameFor a network share: C:\Folder\Filename

    • Per un percorso UNC: \\Server\FolderFor a UNC path:\\Server\Folder

    • Per una raccolta di SharePoint: http://sharepoint.contoso.com/Shared%20Documents/FolderFor a SharePoint library: http://sharepoint.contoso.com/Shared%20Documents/Folder

    Suggerimento

    Se si aggiunge un percorso di SharePoint per "Documenti condivisi":If you add a SharePoint path for "Shared Documents":

    • Specificare Documenti condivisi nel percorso quando si vogliono analizzare tutti i documenti e tutte le cartelle da Documenti condivisi.Specify Shared Documents in the path when you want to scan all documents and all folders from Shared Documents. ad esempio http://sp2013/Shared DocumentsFor example: http://sp2013/Shared Documents

    • Specificare Documenti nel percorso quando si vogliono analizzare tutti i documenti e tutte le cartelle da una sottocartella in Documenti condivisi.Specify Documents in the path when you want to scan all documents and all folders from a subfolder under Shared Documents. ad esempio http://sp2013/Documents/Sales ReportsFor example: http://sp2013/Documents/Sales Reports

    Per le impostazioni rimanenti di questo riquadro, non modificarle per questa configurazione iniziale, ma mantenerle come predefinite del profilo.For the remaining settings on this pane, do not change them for this initial configuration, but keep them as Profile default. Questo significa che il repository dei dati eredita le impostazioni dal profilo dello scanner.This means that the data repository inherits the settings from the scanner profile.

    Selezionare Salva.Select Save.

  9. Se si vuole aggiungere un altro repository, ripetere i passaggi 7 e 8.If you want to add another data repository, repeat steps 7 and 8.

  10. È ora possibile chiudere il riquadro repository e il riquadro del profilo.You can now close Repositories pane and your profile pane. Tornando al riquadro Azure Information Protection profili , viene visualizzato il nome del profilo, insieme alla colonna Schedule che mostra Manual e la colonna Imponi è vuota.Back on the Azure Information Protection - Profiles pane, you see your profile name displayed, together with the SCHEDULE column showing Manual and the ENFORCE column is blank.

A questo punto si è pronti per installare lo scanner con il profilo di scanner appena creato.You're now ready to install the scanner with the scanner profile that you've just created.

Installare lo scannerInstall the scanner

  1. Accedere al computer Windows Server che eseguirà lo scanner.Sign in to the Windows Server computer that will run the scanner. Usare un account con diritti di amministratore locale e con le autorizzazioni per scrivere nel database master di SQL Server.Use an account that has local administrator rights and that has permissions to write to the SQL Server master database.

  2. Aprire una sessione di Windows PowerShell con l'opzione Esegui come amministratore.Open a Windows PowerShell session with the Run as an administrator option.

  3. Eseguire il cmdlet Install-AIPScanner, che specifica l'istanza di SQL Server in cui creare un database per lo scanner di Azure Information Protection e il nome del profilo di scanner specificato nella sezione precedente:Run the Install-AIPScanner cmdlet, specifying your SQL Server instance on which to create a database for the Azure Information Protection scanner, and the scanner profile name that you specified in the preceding section:

    Install-AIPScanner -SqlServerInstance <name> -Profile <profile name>
    

    Esempi, usando il nome di profilo Europe:Examples, using the profile name of Europe:

    • Per un'istanza predefinita: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Profile EuropeFor a default instance: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Profile Europe

    • Per un'istanza denominata: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Profile EuropeFor a named instance: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Profile Europe

    • Per SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Profile EuropeFor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Profile Europe

    Quando richiesto, specificare le credenziali per l'account del servizio scanner (<dominio\nome utente>) e la password.When you are prompted, provide the credentials for the scanner service account (<domain\user name>) and password.

  4. Verificare che il servizio è ora installato usando Strumenti di amministrazione > Servizi.Verify that the service is now installed by using Administrative Tools > Services.

    Il servizio installato è denominato Azure Information Protection Scanner ed è configurato per essere eseguito usando l'account del servizio scanner creato.The installed service is named Azure Information Protection Scanner and is configured to run by using the scanner service account that you created.

Ora che è stato installato lo scanner, è necessario ottenere un token di Azure AD per l'account del servizio scanner da autenticare, in modo che lo scanner possa essere eseguito automaticamente.Now that you have installed the scanner, you need to get an Azure AD token for the scanner service account to authenticate, so that the scanner can run unattended.

Ottenere un token di Azure AD per lo scannerGet an Azure AD token for the scanner

Il token Azure AD consente allo scanner di eseguire l'autenticazione al servizio Azure Information Protection.The Azure AD token lets the scanner authenticate to the Azure Information Protection service.

  1. Tornare alla portale di Azure per creare due applicazioni Azure AD (una sola Azure AD applicazione per lo scanner dal client Unified Labeling) necessarie per specificare un token di accesso per l'autenticazione.Return to the Azure portal to create two Azure AD applications (just one Azure AD application for the scanner from the unified labeling client) that are needed to specify an access token for authentication. Questo token consente di eseguire lo scanner in modo non interattivo.This token lets the scanner run non-interactively.

    Per creare queste applicazioni, seguire le istruzioni riportate nelle guide di amministrazione per i client pertinenti:To create these applications, follow the instructions in the admin guides for the relevant clients:

  2. Dal computer Windows Server, se all'account del servizio scanner è stato concesso il diritto di accesso locale per l'installazione: accedere con questo account e avviare una sessione di PowerShell.From the Windows Server computer, if your scanner service account has been granted the Log on locally right for the installation: Sign in with this account and start a PowerShell session. Eseguire Set-AIPAuthentication specificando i valori copiati nel passaggio precedente:Run Set-AIPAuthentication, specifying the values that you copied from the previous step:

    Per il client classico:For the classic client:

    Set-AIPAuthentication -webAppId <ID of the "Web app / API" application> -webAppKey <key value generated in the "Web app / API" application> -nativeAppId <ID of the "Native" application>
    

    Quando richiesto, specificare la password per le credenziali dell'account del servizio per Azure AD e quindi fare clic su Accetto.When prompted, specify the password for your service account credentials for Azure AD, and then click Accept.

    Se all'account del servizio di scanner non è possibile concedere il diritto di accesso locale per l'installazione , vedere specificare e usare il parametro token per set-AIPAuthentication dalla guida dell'amministratore di tale client.If your scanner service account cannot be granted the Log on locally right for the installation see Specify and use the Token parameter for Set-AIPAuthentication from that client's admin guide.

    Per il client Unified Labeling:For the unified labeling client:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Se all'account del servizio scanner non è possibile concedere il diritto di accesso locale per l'installazione, usare il parametro OnBehalfOf con set-AIPAuthentication, come descritto in come etichettare i file in modo non interattivo per Azure Information Protection dalla guida dell'amministratore di tale client.If your scanner service account cannot be granted the Log on locally right for the installation, use the OnBehalfOf parameter with Set-AIPAuthentication, as described in How to label files non-interactively for Azure Information Protection from that client's admin guide.

Lo scanner dispone ora di un token per l'autenticazione a Azure AD, valido per un anno, due anni o nessuna scadenza, in base alla configurazione dell' app Web/API (client classico) o al segreto client (Unified Labeling client) nel Azure ad.The scanner now has a token to authenticate to Azure AD, which is valid for one year, two years, or never expires, according to your configuration of the Web app /API (classic client) or client secret (unified labeling client) in Azure AD. Quando il token scade, è necessario ripetere i passaggi 1 e 2.When the token expires, you must repeat steps 1 and 2.

Si è ora pronti per eseguire la prima analisi in modalità di individuazione.You're now ready to run your first scan in discovery mode.

Eseguire un ciclo di individuazione e visualizzare i report per lo scannerRun a discovery cycle and view reports for the scanner

  1. Nel riquadro profili Azure Information Protection della portale di Azure selezionare il profilo dello scanner e quindi l'opzione Analizza ora :In the Azure portal, on the Azure Information Protection - Profiles pane, select your scanner's profile, and then the Scan now option:

    Avviare l'analisi per lo scanner di Azure Information Protection

    In alternativa, nella sessione di PowerShell, eseguire il comando seguente:Alternatively, in your PowerShell session, run the following command:

     Start-AIPScan
    
  2. Attendere che lo scanner completi il proprio ciclo.Wait for the scanner to complete its cycle. Quando lo scanner ha completato l'analisi per tutti i file negli archivi dati specificati, lo scanner viene arrestato anche se il servizio scanner rimane in esecuzione:When the scanner has crawled through all the files in the data stores that you specified, the scanner stops although the scanner service remains running:

    • Nel riquadro profili di Azure Information Protection usare l'opzione Aggiorna e attendere che vengano visualizzati i valori per la colonna Last SCAN results e Last Scan (End Time) .On the Azure Information Protection - Profiles pane, use the Refresh option and wait until you see values for the LAST SCAN RESULTS column and the LAST SCAN (END TIME) column.

    • Usando PowerShell è possibile eseguire Get-AIPScannerStatus per monitorare la modifica dello stato.Using PowerShell, you can run Get-AIPScannerStatus to monitor the status change.

    • Scanner solo dal client classico: controllare il registro eventi di Servizi e applicazioni Windows locale Azure Information Protection.Scanner from the classic client only: Check the local Windows Applications and Services event log, Azure Information Protection. Questo registro indica anche quando lo scanner ha completato l'analisi, con un riepilogo dei risultati.This log also reports when the scanner has finished scanning, with a summary of results. Cercare l'ID evento informativo 911.Look for the informational event ID 911.

  3. Esaminare i report archiviati in %localappdata%\Microsoft\MSIP\Scanner\Reports.Review the reports that are stored in %localappdata%\Microsoft\MSIP\Scanner\Reports. I file summary.txt includono il tempo impiegato per l'analisi, il numero di file analizzati e il numero di file con una corrispondenza per i tipi di informazioni.The .txt summary files include the time taken to scan, the number of scanned files, and how many files had a match for the information types. I file con estensione csv includono ulteriori dettagli per ogni file.The .csv files have more details for each file. In questa cartella vengono archiviati fino a 60 report per ogni ciclo di analisi e tutti i report tranne l'ultimo vengono compressi per ridurre al minimo lo spazio su disco necessario.This folder stores up to 60 reports for each scanning cycle and all but the latest report is compressed to help minimize the required disk space.

    Nota

    È possibile modificare il livello di registrazione usando il parametro ReportLevel con Set-AIPScannerConfiguration, ma non è possibile modificare il percorso della cartella o il nome del report.You can change the level of logging by using the ReportLevel parameter with Set-AIPScannerConfiguration, but you can't change the report folder location or name. Valutare la possibilità di usare una giunzione di directory per la cartella, se si vogliono archiviare i report in un volume o una partizione diversi.Consider using a directory junction for the folder if you want to store the reports on a different volume or partition.

    Ad esempio, usando il comando Mklink: mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\ReportsFor example, using the Mklink command: mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\Reports

    Con l'impostazione Solo criteri per Tipi di informazioni da individuare, solo i file che soddisfano le condizioni configurate per la classificazione automatica vengono inclusi nei report dettagliati.With our setting of Policy only for Info types to be discovered, only files that meet the conditions you've configured for automatic classification are included in the detailed reports. Se non si vedono etichette applicate, controllare che la configurazione delle etichette includa la classificazione automatica anziché consigliata.If you don't see any labels applied, check your label configuration includes automatic rather than recommended classification.

    Suggerimento

    Gli scanner inviano queste informazioni ad Azure Information Protection ogni cinque minuti, in modo che sia possibile visualizzare i risultati quasi in tempo reale dal portale di Azure.Scanners send this information to Azure Information Protection every five minutes, so that you can view the results in near real-time from the Azure portal. Per altre informazioni, vedere Reporting per Azure Information Protection.For more information, see Reporting for Azure Information Protection.

    Se i risultati non sono quelli previsti, potrebbe essere necessario riconfigurare le condizioni specificate per le etichette.If the results are not as you expect, you might need to reconfigure the conditions that you specified for you labels. In questo caso, ripetere i passaggi da 1 a 3 finché non si è pronti a modificare la configurazione per applicare la classificazione e, facoltativamente, la protezione.If that's the case, repeat steps 1 through 3 until you are ready to change the configuration to apply the classification and optionally, protection.

Il portale di Azure visualizza solo le informazioni sull'ultima analisi.The Azure portal displays information about the last scan only. Se è necessario visualizzare i risultati delle analisi precedenti, tornare ai report archiviati nel computer dello scanner, nella cartella %localappdata%\Microsoft\MSIP\Scanner\Reports.If you need to see the results of previous scans, return to the reports that are stored on the scanner computer, in the %localappdata%\Microsoft\MSIP\Scanner\Reports folder.

Quando si è pronti ad etichettare automaticamente i file individuati dallo scanner, passare alla procedura successiva.When you're ready to automatically label the files that the scanner discovers, continue to the next procedure.

Configurare lo scanner per applicare la classificazione e la protezioneConfigure the scanner to apply classification and protection

Se si seguono queste istruzioni, lo scanner viene eseguito una volta e solo ai fini della creazione di report.If you are following these instructions, the scanner runs one time and in the reporting-only mode. Per modificare queste impostazioni, modificare il profilo dello scanner:To change these settings, edit the scanner profile:

  1. Tornare al riquadro Azure Information Protection profili e selezionare il profilo dello scanner per modificarlo.Back on the Azure Information Protection - Profiles pane, select the scanner profile to edit it.

  2. Nel riquadro > nome profilo<modificare le due impostazioni seguenti e quindi selezionare Salva:On the <profile name> pane, change the following two settings, and then select Save:

    • Dalla sezione Impostazioni profilo : modificare la pianificazione in AlwaysFrom the Profile settings section: Change the Schedule to Always

    • Dalla sezione relativa all' applicazione dei criteri : modificare applica a attivatoFrom the Policy enforcement section: Change Enforce to On

      Esistono altre impostazioni di configurazione che è opportuno modificare.There are other configuration settings that you might want to change. Indicare ad esempio se gli attributi dei file vengono modificati e se lo scanner può rietichettare i file.For example, whether file attributes are changed and whether the scanner can relabel files. Usare la Guida con informazioni popup per altre informazioni sulle singole impostazioni di configurazione.Use the information popup help to learn more information about each configuration setting.

  3. Prendere nota dell'ora corrente e avviare di nuovo lo scanner dal riquadro profili Azure Information Protection :Make a note of the current time and start the scanner again from the Azure Information Protection - Profiles pane:

    Avviare l'analisi per lo scanner di Azure Information Protection

    In alternativa, è possibile eseguire il comando seguente nella sessione di PowerShell:Alternatively, you can run the following command in your PowerShell session:

     Start-AIPScan
    
  4. Scanner solo dal client classico: monitorare di nuovo il registro eventi per il tipo informativo 911 , con un timestamp successivo a quello in cui è stata avviata l'analisi nel passaggio precedente.Scanner from the classic client only: Monitor the event log for the informational type 911 again, with a time stamp later than when you started the scan in the previous step.

    Controllare quindi i report per visualizzare i dettagli dei file etichettati, la classificazione applicata a ogni file e se la protezione è stata applicata.Then check the reports to see details of which files were labeled, what classification was applied to each file, and whether protection was applied to them. In alternativa, usare il portale di Azure per visualizzare più facilmente queste informazioni.Or, use the Azure portal to more easily see this information.

Poiché la pianificazione è stata configurata in modo da essere eseguita continuamente, quando lo scanner ha completato l'analisi di tutti i file, avvia un nuovo ciclo automaticamente per individuare eventuali file nuovi e modificati.Because we configured the schedule to run continuously, when the scanner has worked its way through all the files, it automatically starts a new cycle so that any new and changed files are discovered.

Modalità di analisi dei fileHow files are scanned

Lo scanner esegue i processi seguenti per l'analisi di file.The scanner runs through the following processes when it scans files.

1. determinare se i file sono inclusi o esclusi per l'analisi1. Determine whether files are included or excluded for scanning

Lo scanner ignora automaticamente i file esclusi dalla classificazione e dalla protezione, ad esempio file eseguibili e file di sistema.The scanner automatically skips files that are excluded from classification and protection, such as executable files and system files. Per ulteriori informazioni, vedere le guide di amministrazione seguenti:For more information, see the following admin guides:

È possibile modificare questo comportamento definendo un elenco di tipi di file da includere o escludere dall'analisi.You can change this behavior by defining a list of file types to scan, or exclude from scanning. È possibile specificare questo elenco da applicare a tutti i repository di dati per impostazione predefinita ed è possibile specificare un elenco per ogni repository dei dati.You can specify this list for the scanner to apply to all data repositories by default, and you can specify a list for each data repository. Per specificare questo elenco, usare l'impostazione Tipi di file da analizzare nel profilo dello scanner:To specify this list, use the Files types to scan setting in the scanner profile:

Configurare i tipi di file da analizzare per lo scanner di Azure Information Protection

2. Ispezionare ed etichettare i file2. Inspect and label files

Lo scanner usa quindi i filtri per l'analisi dei tipi di file supportati.The scanner then uses filters to scan supported file types. Gli stessi filtri vengono usati dal sistema operativo per Windows Search e per l'indicizzazione.These same filters are used by the operating system for Windows Search and indexing. Windows IFilter viene usato senza alcuna configurazione aggiuntiva per l'analisi di file usati da Word, Excel e PowerPoint, nonché di documenti PDF e file di testo.Without any additional configuration, Windows IFilter is used to scan file types that are used by Word, Excel, PowerPoint, and for PDF documents and text files.

Per un elenco completo dei tipi di file supportati per impostazione predefinita e informazioni aggiuntive su come configurare i filtri esistenti che includono file con estensione zip e TIFF, vedere le guide di amministrazione seguenti:For a full list of file types that are supported by default, and additional information how to configure existing filters that include .zip files and .tiff files, see the following admin guides:

Dopo il controllo è possibile contrassegnare questi file mediante le condizioni specificate per le etichette.After inspection, these file types can be labeled by using the conditions that you specified for your labels. In alternativa, se si usa la modalità di individuazione, i file possono essere segnalati se contengono le condizioni specificate per le etichette o tutti i tipi di informazioni riservate noti.Or, if you're using discovery mode, these files can be reported to contain the conditions that you specified for your labels, or all known sensitive information types.

Tuttavia lo scanner non è in grado di contrassegnare i file nelle circostanze seguenti:However, the scanner cannot label the files under the following circumstances:

  • Se l'etichetta applica la classificazione e non la protezione e il tipo di file non supporta la classificazione solo dal client classico o dal client di etichettatura unificata.If the label applies classification and not protection, and the file type does not support classification only by the classic client or unified labeling client.

  • Se l'etichetta applica classificazione e protezione, ma lo scanner non protegge il tipo di file.If the label applies classification and protection, but the scanner does not protect the file type.

    Per impostazione predefinita lo scanner protegge solo i tipi di file di Office e i file PDF se questi sono protetti usando lo standard ISO per la crittografia dei file PDF.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. Gli altri tipi di file possono essere protetti quando si modificano i tipi di file protetti come descritto in una sezione successiva.Other file types can be protected when you change which file types are protected as described in a following section.

Ad esempio, dopo il controllo di file con estensione txt, lo scanner non può applicare un'etichetta configurata per la classificazione ma non per la protezione, perché il tipo di file con estensione txt non supporta la sola classificazione.For example, after inspecting files that have a file name extension of .txt, the scanner can't apply a label that's configured for classification but not protection, because the .txt file type doesn't support classification-only. Se l'etichetta è configurata per la classificazione e la protezione e l'estensione del nome file. txt è inclusa per la protezione dello scanner, lo scanner può etichettare il file.If the label is configured for classification and protection, and the .txt file name extension is included for the scanner to protect, the scanner can label the file.

Suggerimento

Durante questo processo, se lo scanner si arresta e non completa l'analisi di un numero elevato di file in un repository:During this process, if the scanner stops and doesn't complete scanning a large number of the files in a repository:

  • Potrebbe essere necessario aumentare il numero di porte dinamiche per il sistema operativo che ospita i file.You might need to increase the number of dynamic ports for the operating system hosting the files. Uno dei motivi per cui lo scanner supera il numero di connessioni di rete consentite e pertanto si arresta può essere la protezione avanzata dei server per SharePoint.Server hardening for SharePoint can be one reason why the scanner exceeds the number of allowed network connections, and therefore stops.

    Per verificare se questa è la provocazione dell'arresto dello scanner, verificare se il messaggio di errore seguente viene registrato per lo scanner in%LocalAppData% \ Microsoft\MSIP\Logs\MSIPScanner.Iplog (compresso se sono presenti più log): non è possibile connettersi al server remoto---> System .NET. Sockets. SocketException: solo un utilizzo di ogni indirizzo del socket (protocollo/indirizzo di rete/porta) è in genere consentito IP: portaTo check whether this is the cause of the scanner stopping, look to see if the following error message is logged for the scanner in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped if there are multiple logs): Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

    Per altre informazioni su come visualizzare l'intervallo di porte corrente e aumentarlo, vedere Impostazioni che possono essere modificate per migliorare le prestazioni di rete.For more information about how to view the current port range and increase the range, see Settings that can be Modified to Improve Network Performance.

  • Per le farm SharePoint di grandi dimensioni, potrebbe essere necessario aumentare la soglia della visualizzazione elenco (per impostazione predefinita, 5.000).For large SharePoint farms, you might need to increase the list view threshold (by default, 5,000). Per ulteriori informazioni, vedere la documentazione di SharePoint seguente: gestire elenchi di grandi dimensioni e librerie in SharePoint.For more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint.

3. etichettare i file che non possono essere controllati3. Label files that can't be inspected

Per i tipi di file che non possono essere controllati, lo scanner applica l'etichetta predefinita nei criteri di Azure Information Protection oppure l'etichetta predefinita configurata per lo scanner.For the file types that can't be inspected, the scanner applies the default label in the Azure Information Protection policy, or the default label that you configure for the scanner.

Come nel passaggio precedente, lo scanner non è in grado di contrassegnare i file nelle circostanze seguenti:As in the preceding step, the scanner cannot label the files under the following circumstances:

  • Se l'etichetta applica la classificazione e non la protezione e il tipo di file non supporta la classificazione solo dal client classico o dal client di etichettatura unificata.If the label applies classification and not protection, and the file type does not support classification only by the classic client or unified labeling client.

  • Se l'etichetta applica classificazione e protezione, ma lo scanner non protegge il tipo di file.If the label applies classification and protection, but the scanner does not protect the file type.

    Per impostazione predefinita lo scanner protegge solo i tipi di file di Office e i file PDF se questi sono protetti usando lo standard ISO per la crittografia dei file PDF.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. Gli altri tipi di file possono essere protetti quando si modificano i tipi di file da proteggere, come descritto di seguito.Other file types can be protected when you change which file types to protect, as described next.

Modificare i tipi di file da proteggereChange which file types to protect

Per impostazione predefinita, lo scanner protegge solo i tipi di file di Office e i file PDF.By default, the scanner protects Office file types and PDF files only. È possibile modificare questo comportamento in modo che, ad esempio, lo Scanner protegga tutti i tipi di file, ovvero lo stesso comportamento di protezione del client.You can change this behavior so that for example, the scanner protects all file types, which is the same protection behavior as the client. In alternativa, lo scanner protegge i tipi di file aggiuntivi specificati, oltre ai tipi di file di Office e ai file PDF.Or, the scanner protects additional file types that you specify, in addition to Office file types and PDF files.

Per istruzioni sulla configurazione, vedere le sezioni seguenti.For configuration instructions, see the following sections.

Scanner dal client classico: usare il registro di sistema per modificare i tipi di file protettiScanner from the classic client: Use the registry to change which file types are protected

Questa sezione si applica solo allo scanner dal client classico.This section applies to the scanner from the classic client only.

Per modificare il comportamento predefinito dello scanner per la protezione dei tipi di file diversi da file di Office e PDF, è necessario modificare il registro di sistema e specificare i tipi di file aggiuntivi che si desidera proteggere e il tipo di protezione (nativo o generico).To change the default scanner behavior for protecting file types other than Office files and PDFs, you must edit the registry and specify the additional file types that you want to be protected, and the type of protection (native or generic). Per informazioni, vedere Configurazione dell'API file nelle linee guida per sviluppatori.For instructions, see File API configuration from the developer guidance. Per fare riferimento alla protezione generica, questa documentazione per sviluppatori usa il termine "PFile".In this documentation for developers, generic protection is referred to as "PFile". Inoltre, specificatamente per lo scanner:In addition, specific for the scanner:

  • Lo scanner presenta un comportamento predefinito: solo i formati di file di Office e i documenti PDF sono protetti per impostazione predefinita.The scanner has its own default behavior: Only Office file formats and PDF documents are protected by default. Se il Registro di sistema non viene modificato, tutti gli altri tipi di file non verranno etichettati né protetti dallo scanner.If the registry is not modified, any other file types will not be labeled or protected by the scanner.

  • Se si desidera lo stesso comportamento di protezione predefinito del client di Azure Information Protection, in cui tutti i file vengono protetti automaticamente con la protezione nativa o generica: specificare il carattere jolly * come chiave del registro di sistema, Encryption come valore (REG_SZ) e Default come dati del valore.If you want the same default protection behavior as the Azure Information Protection client, where all files are automatically protected with native or generic protection: Specify the * wildcard as a registry key, Encryption as the value (REG_SZ), and Default as the value data.

Quando si modifica il Registro di sistema, creare manualmente la chiave MSIPC e la chiave FileProtection se non esistono, nonché una chiave per ogni estensione del nome file.When you edit the registry, manually create the MSIPC key and FileProtection key if they do not exist, as well as a key for each file name extension.

Ad esempio, per fare in modo che lo scanner protegga le immagini TIFF oltre ai file di Office e ai file PDF, il Registro di sistema dopo la modifica avrà un aspetto simile all'immagine seguente.For example, for the scanner to protect TIFF images in addition to Office files and PDFs, the registry after you have edited it, will look similar to the following picture. Dato che sono file immagine, i file con estensione tiff supportano la protezione nativa e l'estensione di file risultante è ptiff.As an image file, TIFF files support native protection and the resulting file name extension is .ptiff.

Modifica del Registro di sistema per l'applicazione della protezione con lo scanner

Per un elenco di tipi di file di testo e immagini che supportano la protezione nativa in modo analogo, ma che devono essere specificati nel registro di sistema, vedere tipi di file supportati per la classificazione e la protezione.For a list of text and images file types that similarly support native protection but must be specified in the registry, see Supported file types for classification and protection.

Per i file che non supportano la protezione nativa, specificare l'estensione del nome file come nuova chiave e PFile per la protezione generica.For files that don't support native protection, specify the file name extension as a new key, and PFile for generic protection. L'estensione del nome file risultante per il file protetto è pfile.The resulting file name extension for the protected file is .pfile.

Scanner dal client Unified Labeling: usare PowerShell per modificare i tipi di file protettiScanner from the unified labeling client: Use PowerShell to change which file types are protected

Questa sezione si applica solo allo scanner dal client Unified labeling.This section applies to the scanner from the unified labeling client only.

Per un criterio etichetta applicabile all'account utente che Scarica le etichette per lo scanner, specificare un'impostazione avanzata di PowerShell denominata PFileSupportedExtensions.For a label policy that applies to the user account downloading labels for the scanner, specify a PowerShell advanced setting named PFileSupportedExtensions.

Nota

Per uno scanner con accesso a Internet, questo account utente è l'account specificato per il parametro DelegatedUser con il comando set-AIPAuthentication.For a scanner that has access to the internet, this user account is the account that you specify for the DelegatedUser parameter with the Set-AIPAuthentication command.

Esempio 1: comando di PowerShell per lo scanner per proteggere tutti i tipi di file, in cui il criterio dell'etichetta è denominato "scanner":Example 1: PowerShell command for the scanner to protect all file types, where your label policy is named "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Esempio 2: comando di PowerShell per lo scanner per proteggere i file con estensione XML e TIFF oltre ai file di Office e PDF, in cui i criteri dell'etichetta sono denominati "scanner":Example 2: PowerShell command for the scanner to protect .xml files and .tiff files in addition to Office files and PDF files, where your label policy is named "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Per istruzioni dettagliate, vedere modificare i tipi di file da proteggere nella Guida dell'amministratore.For detailed instructions, see Change which file types to protect from the admin guide.

Ripetizione dell'analisi dei fileWhen files are rescanned

Per il primo ciclo di analisi, lo scanner analizza tutti i file negli archivi dati configurati e quindi per le analisi successive, vengono controllati solo i file nuovi o modificati.For the first scan cycle, the scanner inspects all files in the configured data stores and then for subsequent scans, only new or modified files are inspected.

È possibile forzare lo scanner a ispezionare nuovamente tutti i file dal riquadro profili Azure Information Protection nel portale di Azure.You can force the scanner to inspect all files again from the Azure Information Protection - Profiles pane in the Azure portal. Selezionare il profilo dello scanner dall'elenco e quindi selezionare l'opzione Ripeti analisi di tutti i file :Select your scanner profile from the list, and then select the Rescan all files option:

Avviare un'altra analisi per lo scanner di Azure Information Protection

È utile verificare nuovamente i file quando si vuole che i report includano tutti i file e questa configurazione viene in genere usata quando lo scanner viene eseguito in modalità di individuazione.Inspecting all files again is useful when you want the reports to include all files and this configuration choice is typically used when the scanner runs in discovery mode. Al termine di un'analisi completa, il tipo di analisi diventa automaticamente incrementale in modo che per le analisi successive vengono analizzati solo i file nuovi o modificati.When a full scan is complete, the scan type automatically changes to incremental so that for subsequent scans, only new or modified files are scanned.

Inoltre, tutti i file vengono controllati quando lo scanner dal client classico Scarica un criterio di Azure Information Protection con condizioni nuove o modificate e lo scanner dal client di etichetta unificata presenta impostazioni nuove o modificate per le impostazioni automatiche e etichettatura consigliata.In addition, all files are inspected when the scanner from the classic client downloads an Azure Information Protection policy that has new or changed conditions and the scanner from the unified labeling client has new or changed settings for automatic and recommended labeling.

Lo scanner aggiorna i criteri in base ai trigger seguenti:The scanner refreshes the policy according to the following triggers:

  • Scanner dal client classico: ogni ora e quando il servizio viene avviato e il criterio è più vecchio di un'ora.Scanner from the classic client: Every hour and when the service starts and the policy is older than one hour.

  • Scanner dal client Unified Labeling: ogni quattro ore.Scanner from the unified labeling client: Every four hours.

Suggerimento

Se è necessario aggiornare i criteri prima dell'intervallo predefinito, ad esempio durante un periodo di testing:If you need to refresh the policy sooner than the default interval, for example, during a testing period:

  • Scanner dal client classico: eliminare manualmente il file dei criteri, policy. MSIP da %LocalAppData%\Microsoft\MSIP\Policy.MSIP.Scanner from the classic client: Manually delete the policy file, Policy.msip from %LocalAppData%\Microsoft\MSIP\Policy.msip.

  • Scanner dal client Unified Labeling: eliminare manualmente il contenuto da %LocalAppData%\Microsoft\MSIP\mip\<processname> \mip.Scanner from the unified labeling client: Manually delete the contents from %LocalAppData%\Microsoft\MSIP\mip\<processname>\mip.

Riavviare il servizio scanner di Azure Information Protection.Then restart the Azure Information Scanner service. Se sono state modificate le impostazioni di protezione per le etichette, attendere anche 15 minuti dal momento in cui sono state salvate le impostazioni di protezione prima di riavviare il servizio.If you changed protection settings for your labels, also wait 15 minutes from when you saved the protection settings before you restart the service.

Modifica in blocco per le impostazioni dei repository di datiEditing in bulk for the data repository settings

Per i repository di dati aggiunti a un profilo dello scanner, è possibile usare le opzioni Esporta e Importa per modificare velocemente le impostazioni.For the data repositories that you've added to a scanner profile, you can use the Export and Import options to quickly make changes to the settings. Si supponga, ad esempio di volere aggiungere un nuovo tipo di file da escludere dall'analisi per i repository di dati di SharePoint.For example, for your SharePoint data repositories, you want to add a new file type to exclude from scanning.

Invece di modificare ogni repository di dati nel portale di Azure, usare l'opzione Esporta dal riquadro repository :Instead of editing each data repository in the Azure portal, use the Export option from the Repositories pane:

Esportazione delle impostazioni del repository dei dati per lo scanner

Modificare manualmente il file per apportare la modifica e quindi usare l'opzione di importazione nello stesso riquadro.Manually edit the file to make the change, and then use the Import option on the same pane.

Uso dello scanner con configurazioni alternativeUsing the scanner with alternative configurations

Esistono tre scenari alternativi che lo scanner di Azure Information Protection supporta dove non è necessario configurare le etichette per le condizioni:There are three alternative scenarios that the Azure Information Protection scanner supports where labels do not need to be configured for any conditions:

  • Applicare un'etichetta predefinita a tutti i file in un repository di dati.Apply a default label to all files in a data repository.

    Per questa configurazione, impostare i file delle etichette in base al contenuto su disattivato.For this configuration, set Label files based on content to Off. Impostare quindi l' etichetta predefinita su Custome selezionare l'etichetta da usare.Then set the Default label to Custom, and select the label to use.

    Il contenuto dei file non viene controllato e tutti i file senza etichetta nel repository dei dati sono contrassegnati in base all'etichetta predefinita specificata per il repository dei dati o il profilo dello scanner.The contents of the files are not inspected and all unlabeled files in the data repository are labeled according to the default label that you specify for the data repository or the scanner profile.

    Per lo scanner dal client Unified Labeling, è anche possibile selezionare Applica etichetta predefinita se si vuole che l'etichetta predefinita venga applicata a tutti i file, anche se è già etichettata.For the scanner from the unified labeling client, you can also select Enforce default label if you want the default label to be applied on all files, even if they are already labeled.

  • Rimuovere le etichette esistenti da tutti i file in un archivio dati.Remove existing labels from all files in a data repository.

    Applicabile allo scanner solo dal client Unified labeling. questa configurazione consente di rimuovere le etichette esistenti, che includono la protezione se è stata applicata con tale etichetta.Applicable to the scanner from the unified labeling client only, this configuration lets you remove existing labels, which includes protection if it was applied with that label. La protezione applicata indipendentemente da un'etichetta viene mantenuta.Protection that was applied independently from a label is retained. Usare questa configurazione se è necessario rimuovere tutte le etichette dai file in un repository.Use this configuration if you need to remove all labels from files in a repository.

    Configurare le impostazioni seguenti:Configure the following settings:

    • Etichettare i file in base al contenuto: disattivatoLabel files based on content: Off
    • Etichetta predefinita: NoneDefault label: None
    • Rietichettare i file: on con la casella di controllo Imponi etichetta predefinita selezionataRelabel files: On with the Enforce default label checkbox selected
  • Identificare tutte le condizioni personalizzate e i tipi di informazioni riservate noti.Identify all custom conditions and known sensitive information types.

    Per questa configurazione, impostare Tipi di informazioni da individuare su Tutti.For this configuration, set the Info types to be discovered to All.

    Per lo scanner dal client classico: lo scanner usa le condizioni personalizzate specificate per le etichette nei criteri di Azure Information Protection e l'elenco dei tipi di informazioni disponibili per specificare le etichette nelle informazioni di Azure Criteri di protezione.For the scanner from the classic client: The scanner uses any custom conditions that you have specified for labels in the Azure Information Protection policy, and the list of information types that are available to specify for labels in the Azure Information Protection policy.

    Per lo scanner dal client Unified Labeling: lo scanner usa i tipi di informazioni riservate personalizzate specificati e l'elenco dei tipi di informazioni riservate predefinite che è possibile selezionare nel centro di gestione delle etichette.For the scanner from the unified labeling client: The scanner uses any custom sensitive info types that you have specified and the list of built-in sensitive info types that are available to select in your labeling management center.

    Questa impostazione consente di trovare le informazioni sensibili di cui si potrebbe non essere a conoscenza, a scapito però della velocità di analisi per lo scanner.This setting helps you find sensitive information that you might not realize you had, but at the expense of scanning rates for the scanner.

    La Guida introduttiva seguente per lo scanner usa questa configurazione: Guida introduttiva: trovare le informazioni riservate.The following quickstart for the scanner uses this configuration: Quickstart: Find what sensitive information you have.

Ottimizzazione delle prestazioni dello scannerOptimizing the performance of the scanner

Usare le linee guida seguenti per ottimizzare le prestazioni dello scanner.Use the following guidance to help you optimize the performance of the scanner. Tuttavia, se la priorità è la velocità di risposta del computer dello scanner anziché le prestazioni dello scanner, è possibile usare un'impostazione client avanzata per limitare il numero di thread usati dallo scanner:However, if your priority is the responsiveness of the scanner computer rather than the scanner performance, you can use an advanced client setting to limit the number of threads used by the scanner:

Per ottimizzare le prestazioni dello scanner:To maximize the scanner performance:

  • Disporre di una connessione di rete ad alta velocità e affidabile tra il computer dello scanner e l'archivio dei dati analizzatiHave a high speed and reliable network connection between the scanner computer and the scanned data store

    Ad esempio, inserire il computer dello scanner nella stessa rete LAN o (scelta consigliata) nello stesso segmento di rete dell'archivio dei dati analizzati.For example, place the scanner computer in the same LAN, or (preferred) in the same network segment as the scanned data store.

    La qualità della connessione di rete influisce sulle prestazioni dello scanner perché per controllare i file lo scanner trasferisce il contenuto dei file nel computer che esegue il servizio di analisi.The quality of the network connection affects the scanner performance because to inspect the files, the scanner transfers the contents of the files to the computer running the scanner service. Quando si riduce o si elimina il numero di hop di rete per i dati, si riduce anche il carico sulla rete.When you reduce (or eliminate) the number of network hops this data has to travel, you also reduce the load on your network.

  • Verificare che il computer dello scanner abbia risorse del processore disponibiliMake sure the scanner computer has available processor resources

    La ricerca di una corrispondenza nel contenuto dei file e la crittografia e la decrittografia dei file sono operazioni che richiedono un uso intensivo del processore.Inspecting the file contents, and encrypting and decrypting files are processor-intensive actions. Monitorare i cicli di analisi tipici degli archivi dati specificati per identificare se una mancanza di risorse del processore influisce negativamente sulle prestazioni dello scanner.Monitor typical scanning cycles for your specified data stores to identify whether a lack of processor resources is negatively affecting the scanner performance.

  • Non eseguire l'analisi delle cartelle locali nel computer che esegue il servizio di analisiDo not scan local folders on the computer running the scanner service

    Se sono presenti cartelle da analizzare in un server di Windows, installare lo scanner in un computer diverso e configurare le cartelle come condivisioni di rete da analizzare.If you have folders to scan on a Windows server, install the scanner on a different computer and configure those folders as network shares to scan. La separazione delle due funzioni di hosting dei file e di analisi dei file fa in modo che le risorse di elaborazione di questi servizi non siano in competizione tra loro.Separating the two functions of hosting files and scanning files means that the computing resources for these services are not competing with one another.

Se necessario, installare più istanze dello scanner.If necessary, install multiple instances of the scanner. Lo scanner di Azure Information Protection supporta più database di configurazione nella stessa istanza di SQL Server quando si specifica un nome di profilo personalizzato per lo scanner.The Azure Information Protection scanner supports multiple configuration databases on the same SQL server instance when you specify a custom profile name for the scanner. Per lo scanner dal client di etichettatura unificata, più scanner possono condividere lo stesso profilo, il che comporta tempi di analisi più rapidi.For the scanner from the unified labeling client, multiple scanners can share the same profile, which results in quicker scanning times.

Altri fattori che influenzano le prestazioni dello scanner:Other factors that affect the scanner performance:

  • Carico corrente e tempi di risposta degli archivi dati che contengono i file da analizzareThe current load and response times of the data stores that contain the files to scan

  • Esecuzione dello scanner in modalità di individuazione o applicazioneWhether the scanner runs in discovery mode or enforce mode

    La modalità di individuazione ha in genere una velocità di analisi maggiore rispetto alla modalità di applicazione poiché l'individuazione richiede una sola azione di lettura dei file, mentre la modalità di applicazione richiede azioni di lettura e scrittura.Discovery mode typically has a higher scanning rate than enforce mode because discovery requires a single file read action, whereas enforce mode requires read and write actions.

  • È possibile modificare le condizioni nel criterio di Azure Information Protection (client classico) o etichettare automaticamente nei criteri etichetta (client di etichetta unificata)You change the conditions in the Azure Information Protection policy (classic client) or auto-labeling in the label policy (unified labeling client)

    Il primo ciclo di analisi nel quale lo scanner deve analizzare ogni file richiede più tempo rispetto ai cicli di analisi successivi in cui, per impostazione predefinita, vengono analizzati solo i file nuovi e modificati.Your first scan cycle when the scanner must inspect every file will take longer than subsequent scan cycles that by default, inspect only new and changed files. Tuttavia, se si modificano le condizioni o le impostazioni di etichetta automatica, tutti i file vengono nuovamente analizzati, come descritto nella sezione precedente.However, if you change the conditions or auto-labeling settings, all files are scanned again, as described in the preceding section.

  • La costruzione di espressioni regex per condizioni personalizzateThe construction of regex expressions for custom conditions

    Per evitare un consumo intenso di memoria e il rischio di timeout (15 minuti per ogni file), rivedere le espressioni regex per assicurarsi che usino criteri di ricerca efficienti.To avoid heavy memory consumption and the risk of timeouts (15 minutes per file), review your regex expressions for efficient pattern matching. Ad esempio:For example:

    • Evitare quantificatori greedyAvoid greedy quantifiers

    • Usare gruppi di non acquisizione, ad esempio (?:expression) invece di (expression)Use non-capturing groups such as (?:expression) instead of (expression)

  • Livello di registrazione selezionatoYour chosen logging level

    È possibile scegliere tra Debug, Info (Informazioni), Error (Errore) e Off (Disattivato) per i report dello scanner.You can choose between Debug, Info, Error and Off for the scanner reports. Off (Disattivato) offre le prestazioni migliori; Debug rallenta considerevolmente lo scanner ed è consigliabile usarlo solo per la ricerca e la risoluzione dei problemi.Off results in the best performance; Debug considerably slows down the scanner and should be used only for troubleshooting. Per altre informazioni, vedere il parametro ReportLevel del cmdlet Set-AIPScannerConfiguration.For more information, see the ReportLevel parameter for the Set-AIPScannerConfiguration cmdlet.

  • File:The files themselves:

    • Ad eccezione dei file di Excel, i file di Office vengono analizzati più rapidamente rispetto ai file PDF.With the exception of Excel files, Office files are more quickly scanned than PDF files.

    • I file non protetti sono più veloci da analizzare rispetto ai file protetti.Unprotected files are quicker to scan than protected files.

    • I file di grandi dimensioni richiedono più tempo per l'analisi rispetto ai file di piccole dimensioni.Large files obviously take longer to scan than small files.

  • Inoltre:Additionally:

    • Verificare che l'account di servizio che esegue lo scanner disponga solo dei diritti documentati nella sezione Prerequisiti dello scanner e quindi configurare l' impostazione client avanzata per disabilitare il livello di integrità basso per lo scanner (solo client classico).Confirm that the service account that runs the scanner has only the rights documented in the scanner prerequisites section, and then configure the advanced client setting to disable the low integrity level for the scanner (classic client only).

    • L'esecuzione dello scanner è più rapida quando si usa la configurazione alternativa per applicare un'etichetta predefinita a tutti i file in quanto lo scanner non esamina i contenuti del file.The scanner runs more quickly when you use the alternative configuration to apply a default label to all files because the scanner does not inspect the file contents.

    • L'esecuzione dello scanner è più lenta quando si usa la configurazione alternativa per identificare tutte le condizioni personalizzate e i tipi di informazioni riservate noti.The scanner runs more slowly when you use the alternative configuration to identify all custom conditions and known sensitive information types.

    • È possibile ridurre i timeout dello scanner (solo client classico) con Impostazioni client avanzate per ottimizzare le frequenze di analisi e ridurre il consumo di memoria, ma con il riconoscimento che alcuni file potrebbero essere ignorati.You can decrease the scanner timeouts (classic client only) with advanced client settings for better scanning rates and lower memory consumption, but with the acknowledgment that some files might be skipped.

Elenco dei cmdlet per lo scannerList of cmdlets for the scanner

Dato che è ora possibile configurare lo scanner dal portale di Azure, i cmdlet di versioni precedenti usati per la configurazione dei repository di dati e l'elenco dei tipi di file analizzati sono deprecati.Because you now configure the scanner from the Azure portal, cmdlets from previous versions that configured data repositories and the scanned file types list are now deprecated.

I cmdlet rimanenti includono i cmdlet per installare e aggiornare lo scanner, modificare il database di configurazione dello scanner e il profilo, modificare il livello di report locale e importare le impostazioni di configurazione per un computer disconnesso.The cmdlets that remain include cmdlets that install and upgrade the scanner, change the scanner configuration database and profile, change the local reporting level, and import configuration settings for a disconnected computer.

Elenco completo dei cmdlet per lo scanner:The full list of cmdlets for the scanner:

ID registro eventi e descrizioni per lo scannerEvent log IDs and descriptions for the scanner

Usare le sezioni seguenti per identificare gli ID evento e le descrizioni possibili per lo scanner.Use the following sections to identify the possible event IDs and descriptions for the scanner. Gli eventi vengono registrati nel server su cui viene seguito il servizio scanner, nel registro eventi di applicazioni e servizi di Windows, Azure Information Protection.These events are logged on the server that runs the scanner service, in the Windows Applications and Services event log, Azure Information Protection.

Nota

Questa sezione si applica solo allo scanner dal client classico.This section applies to the scanner from the classic client only. Attualmente, lo scanner dal client Unified Labeling non scrive informazioni nel registro eventi.Currently, the scanner from the unified labeling client doesn't write information to the event log.


Informazione 910Information 910

Ciclo dello scanner avviato.Scanner cycle started.

Questo evento viene registrato quando il servizio scanner viene avviato e inizia a cercare i file negli archivi dati specificati.This event is logged when the scanner service is started and begins to scan for files in the data repositories that you specified.


Informazione 911Information 911

Ciclo dello scanner completato.Scanner cycle finished.

Questo evento viene registrato quando lo scanner ha completato un'analisi manuale o un ciclo in caso di pianificazione continua.This event is logged when the scanner has finished a manual scan, or the scanner has finished a cycle for a continuous schedule.

Se lo scanner è stato configurato per l'esecuzione manuale anziché continuativa, per analizzare di nuovo i file impostare Pianificazione su Manuale o Sempre nel profilo dello scanner e quindi riavviare il servizio.If the scanner was configured to run manually rather than continuously, to scan the files again, set the Schedule to Manual or Always in the scanner profile, and then restart the service.


Passaggi successiviNext steps

Se si è interessati a scoprire come è stato implementato questo scanner dai team Microsoft Core Services Engineering e Operations,Interested in how the Core Services Engineering and Operations team in Microsoft implemented this scanner? leggere il case study tecnico: Automating data protection with Azure Information Protection scanner (Automatizzazione della protezione dei dati con lo scanner di Azure Information Protection).Read the technical case study: Automating data protection with Azure Information Protection scanner.

Scoprire Qual è la differenza tra Infrastruttura di classificazione file di Windows Server e lo scanner di Azure Information Protection.You might be wondering: What’s the difference between Windows Server FCI and the Azure Information Protection scanner?

È anche possibile usare PowerShell per classificare e proteggere in modo interattivo i file dal computer desktop.You can also use PowerShell to interactively classify and protect files from your desktop computer. Per ulteriori informazioni su questo e altri scenari in cui viene utilizzato PowerShell, vedere le sezioni seguenti dalle guide di amministrazione:For more information about this and other scenarios that use PowerShell, see the following sections from the admin guides: