Configurazione e installazione dello scanner di etichettatura unificata di Azure Information Protection (AIP)

Questo articolo descrive come configurare e installare lo scanner di etichettatura unificata di Azure Information Protection locale.

Suggerimento

Anche se la maggior parte dei clienti eseguirà queste procedure nell'area di Information Protection di Azure del portale di Azure, potrebbe essere necessario lavorare solo in PowerShell.

Ad esempio, se si lavora in un ambiente senza accesso al portale di Azure, ad esempio i server scanner di Azure Cina 21Vianet, seguire le istruzioni in Usare PowerShell per configurare lo scanner.

Panoramica

Prima di iniziare, verificare che il sistema sia conforme ai prerequisiti necessari.

Per usare il portale di Azure, seguire questa procedura:

  1. Configurare le impostazioni dello scanner

  2. Installare lo scanner

  3. Ottenere un token di Azure AD per lo scanner

  4. Configurare lo scanner per applicare la classificazione e la protezione

Eseguire quindi le procedure di configurazione seguenti in base alle esigenze del sistema:

Procedura Descrizione
Modificare i tipi di file da proteggere È possibile analizzare, classificare o proteggere tipi di file diversi rispetto all'impostazione predefinita. Per altre informazioni, vedere Processo di analisi AIP.
Aggiornamento dello scanner Aggiornare lo scanner per sfruttare le funzionalità e i miglioramenti più recenti.
Modifica delle impostazioni del repository dati in blocco Usare le opzioni di importazione ed esportazione per apportare modifiche in blocco per più repository di dati.
Usare lo scanner con configurazioni alternative Usare lo scanner senza configurare etichette con condizioni
Ottimizzare le prestazioni Linee guida per ottimizzare le prestazioni dello scanner

Se non si ha accesso alle pagine dello scanner nel portale di Azure, configurare le impostazioni dello scanner solo in PowerShell. Per altre informazioni, vedere Usare PowerShell per configurare lo scanner e i cmdlet di PowerShell supportati.

Configurare le impostazioni dello scanner

Prima di installare lo scanner o aggiornarlo da una versione di disponibilità generale precedente, configurare o verificare le impostazioni dello scanner.

Per configurare lo scanner nel portale di Azure:

  1. Accedere al portale di Azure con uno dei ruoli seguenti:

    • Amministratore di conformità
    • Amministratore dati di conformità
    • Amministratore della sicurezza
    • Amministratore globale

    Passare quindi al riquadro Information Protection di Azure.

    Ad esempio, nella casella di ricerca di risorse, servizi e documenti iniziare a digitare Information e selezionare Azure Information Protection.

  2. Creare un cluster dello scanner. Questo cluster definisce lo scanner e viene usato per identificare l'istanza dello scanner, ad esempio durante l'installazione, gli aggiornamenti e altri processi.

  3. Creare un processo di analisi del contenuto per definire i repository da analizzare.

Creare un cluster dello scanner

  1. Nel menu Scanner a sinistra selezionare l'icona Clusters clusters icon clusters

  2. Nel riquadro Azure Information Protection - Cluster selezionare Aggiungiicona.

  3. Nel riquadro Aggiungi un nuovo cluster immettere un nome significativo per lo scanner e una descrizione facoltativa.

    Il nome del cluster viene usato per identificare le configurazioni e i repository dello scanner. Ad esempio, è possibile immettere l'Europa per identificare le posizioni geografiche dei repository di dati da analizzare.

    Questo nome verrà usato più avanti per identificare la posizione in cui si vuole installare o aggiornare lo scanner.

  4. Selezionare Salvaicona Salva icona salva per salvare le modifiche.

Creare un processo di analisi di rete (anteprima pubblica)

Aggiungere uno o più repository trovati a un processo di analisi del contenuto per analizzarli per individuare contenuti sensibili.

Nota

A partire dal 18 marzo 2022, l'analisi di Azure Information Protection, con il ritiro completo è previsto per il 30 settembre 2022.

Inoltre, le funzionalità di individuazione di rete dello scanner sono in fase di tramonto nella stessa sequenza temporale. I processi di analisi di rete sono attualmente disponibili solo per i clienti che dispongono di aree di lavoro Log Analytics esistenti per archiviare i log di controllo AIP. Per altre informazioni, vedere Servizi rimossi e ritirati.

Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

La tabella seguente descrive i prerequisiti necessari per il servizio di individuazione di rete:

Prerequisito Descrizione
Installare il servizio di individuazione della rete Se lo scanner è stato aggiornato di recente, potrebbe essere necessario installare comunque il servizio individuazione di rete.

Eseguire il cmdlet Install-MIPNetworkDiscovery per abilitare i processi di analisi di rete.
Analisi di Azure Information Protection Assicurarsi di avere abilitato l'analisi di Azure Information Protection.

Nella portale di Azure passare ad Azure Information Protection > Gestisci > Configura analisi (anteprima) .

Per altre informazioni, vedere Creazione di report centrali per Azure Information Protection (anteprima pubblica).

Per creare un processo di analisi di rete

  1. Accedere al portale di Azure e passare ad Azure Information Protection. Nel menu Scanner a sinistra selezionare Processi di analisi di rete (anteprima)Processi di analisi di reteicona.

  2. Nel riquadro Azure Information Protection - Processi di analisi di rete selezionare Aggiungiicona Aggiungi.

  3. Nella pagina Aggiungi un nuovo processo di analisi di rete definire le impostazioni seguenti:

    Impostazione Descrizione
    Nome processo di analisi di rete Immettere un nome significativo per questo processo. Questo campo è obbligatorio.
    Descrizione Immettere una descrizione significativa.
    Selezionare il cluster Nell'elenco a discesa selezionare il cluster che si vuole usare per analizzare i percorsi di rete configurati.

    Suggerimento: quando si seleziona un cluster, assicurarsi che i nodi nel cluster assegnati possano accedere agli intervalli IP configurati tramite SMB.
    Configura gli intervalli IP da individuare Fare clic per definire un indirizzo IP o un intervallo.

    Nel riquadro Scegli intervalli IP immettere un nome facoltativo e quindi un indirizzo IP iniziale e un indirizzo IP finale per l'intervallo.

    Suggerimento: per analizzare solo un indirizzo IP specifico, immettere l'indirizzo IP identico nei campi IP iniziale e IP finale .
    Imposta la pianificazione Definire la frequenza di esecuzione del processo di analisi di rete.

    Se si seleziona Settimanale, viene visualizzato l'impostazione Esegui processo di analisi di rete. Selezionare i giorni della settimana in cui si vuole eseguire il processo di analisi di rete.
    Imposta l'ora di inizio (UTC) Definire la data e l'ora di avvio dell'esecuzione del processo di analisi di rete. Se si è scelto di eseguire il processo ogni giorno, ogni settimana o mensile, il processo verrà eseguito al momento definito, alla ricorrenza selezionata.

    Nota: prestare attenzione quando si imposta la data su qualsiasi giorno alla fine del mese. Se si seleziona 31, il processo di analisi di rete non verrà eseguito in alcun mese con un massimo di 30 giorni.
  4. Selezionare Salvaicona Salva icona salva per salvare le modifiche.

Suggerimento

Se si vuole eseguire la stessa analisi di rete usando uno scanner diverso, modificare il cluster definito nel processo di analisi di rete.

Tornare al riquadro Processi di analisi di rete e selezionare Assegna al cluster per selezionare un cluster diverso ora o Unssign cluster per apportare altre modifiche in un secondo momento.

Analizzare i repository a rischio trovati (anteprima pubblica)

I repository trovati, da un processo di analisi di rete, da un processo di analisi del contenuto o dall'accesso utente rilevato nei file di log, vengono aggregati e elencati nel > riquadro repository repository scanner.

Se è stato definito un processo di analisi di rete e lo si è impostato per l'esecuzione in una data e un'ora specifici, attendere fino al termine dell'esecuzione per verificare i risultati. È anche possibile restituire qui dopo l'esecuzione di un processo di analisi del contenuto per visualizzare i dati aggiornati.

Nota

La funzionalità Repository di Azure Information Protection è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

  1. Nel menu Scanner a sinistra selezionare Repositoryicona.

    I repository trovati sono visualizzati come segue:

    • Il grafico Repository in base allo stato mostra il numero di repository già configurati per un processo di analisi del contenuto e quanti non sono.
    • I primi 10 repository non gestiti dal grafico di accesso elencano i primi 10 repository attualmente assegnati a un processo di analisi del contenuto, nonché dettagli sui livelli di accesso. I livelli di accesso possono indicare come sono rischiosi i repository.
    • La tabella seguente elenca ogni repository trovato e i relativi dettagli.
  2. Eseguire una di queste operazioni:

    Opzione Descrizione
    icona colonne icona colonne Selezionare Colonne per modificare le colonne della tabella visualizzate.
    Icona di aggiornamento icona Se lo scanner ha eseguito di recente i risultati dell'analisi di rete, selezionare Aggiorna per aggiornare la pagina.
    Aggiungi icona aggiungi icona Selezionare uno o più repository elencati nella tabella e quindi selezionare Assegna elementi selezionati per assegnarli a un processo di analisi del contenuto.
    Filter La riga di filtro mostra tutti i criteri di filtro attualmente applicati. Selezionare uno dei criteri visualizzati per modificare le impostazioni oppure selezionare Aggiungi filtro per aggiungere nuovi criteri di filtro.

    Selezionare Filtro per applicare le modifiche e aggiornare la tabella con il filtro aggiornato.
    Icona Log Analytics Log Analytics Nell'angolo superiore destro del grafico dei repository non gestiti fare clic sull'icona Log Analytics per passare ai dati di Log Analytics per questi repository.

I repository in cui l'accesso pubblico viene trovato per avere funzionalità di lettura o scrittura possono avere contenuti sensibili che devono essere protetti. Se l'accesso pubblico è false, il repository non è accessibile dal pubblico.

L'accesso pubblico a un repository viene segnalato solo se è stato impostato un account debole nel parametro StandardDomainsUserAccount del cmdlet Install-MIPNetworkDiscovery o Set-MIPNetworkDiscoveryConfiguration.

  • Gli account definiti in questi parametri vengono usati per simulare l'accesso di un utente debole al repository. Se l'utente debole definito può accedere al repository, ciò significa che il repository può essere accessibile pubblicamente.

  • Per assicurarsi che l'accesso pubblico venga segnalato correttamente, assicurarsi che l'utente specificato in questi parametri sia membro solo del gruppo Utenti di dominio .

Creare un processo di analisi del contenuto

Approfondimento sul contenuto per analizzare repository specifici per contenuti sensibili.

È possibile eseguire questa operazione solo dopo aver eseguito un processo di analisi di rete per analizzare i repository nella rete, ma è anche possibile definire i repository autonomamente.

Per creare il processo di analisi del contenuto nel portale di Azure:

  1. Nel menu Scanner a sinistra selezionare Processi di analisi del contenuto.

  2. Nel riquadro Processi di analisi del contenuto del Information Protection di Azure selezionare Aggiungi icona.

  3. Per questa configurazione iniziale, configurare le impostazioni seguenti e quindi selezionare Salva ma non chiudere il riquadro.

    Impostazione Descrizione
    Impostazioni del processo di analisi del contenuto - Pianificazione: Mantenere l'impostazione predefinita manuale
    - Tipi di informazioni da individuare: Modificare solo criteri
    - Configurare i repository: non configurare in questo momento perché il processo di analisi del contenuto deve essere prima salvato.
    Criterio di prevenzione della perdita dei dati Se si usa un criterio di prevenzione della perdita di dati (DLP) di Microsoft 365, impostare Abilita regole DLP su Attiva. Per altre informazioni, vedere Usare un criterio DLP.
    Criteri di riservatezza - Applica: Seleziona disattivata
    - Etichettare i file in base al contenuto: Mantenere l'impostazione predefinita di On
    - Etichetta predefinita: Mantenere l'impostazione predefinita di Criteri predefinita
    - Rivalutare i file: Mantenere l'impostazione predefinita disattivata
    Configurare le impostazioni dei file - Mantenere "Data modificata", "Ultima modificata" e "Modificata": Mantenere l'impostazione predefinita di On
    - Tipi di file da analizzare: Mantenere i tipi di file predefiniti per Escludi
    - Proprietario predefinito: Mantenere l'impostazione predefinita dell'account scanner
    - Impostare il proprietario del repository: usare questa opzione solo quando si usa un criterio DLP.
  4. Dopo aver creato e salvato il processo di analisi del contenuto, è possibile tornare all'opzione Configura repository per specificare gli archivi dati da analizzare.

    Specificare percorsi UNC e URL di SharePoint Server per librerie e cartelle di documenti locali di SharePoint.

    Nota

    SharePoint Server 2019, SharePoint Server 2016 e SharePoint Server 2013 sono supportati per SharePoint.

    Per aggiungere il primo archivio dati, mentre nel riquadro Aggiungi un nuovo processo di analisi del contenutoselezionare Configura repository per aprire il riquadro Repository :

    Configurare i repository dati per lo scanner di Information Protection di Azure.

    1. Nel riquadro Repository selezionare Aggiungi:

      Aggiungere il repository dati per lo scanner di Information Protection di Azure.

    2. Nel riquadro Repository specificare il percorso del repository dati e quindi selezionare Salva.

      • Per una condivisione di rete, usare \\Server\Folder.
      • Per una raccolta di SharePoint, usare http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • Per un percorso locale: C:\Folder
      • Per un percorso UNC: \\Server\Folder

    Nota

    I caratteri jolly e i percorsi WebDav non sono supportati.

    Se si aggiunge un percorso di SharePoint per documenti condivisi:

    • Specificare Documenti condivisi nel percorso quando si vogliono analizzare tutti i documenti e tutte le cartelle da Documenti condivisi. ad esempio http://sp2013/SharedDocuments
    • Specificare Documenti nel percorso quando si vogliono analizzare tutti i documenti e tutte le cartelle da una sottocartella in Documenti condivisi. ad esempio http://sp2013/Documents/SalesReports
    • In alternativa, specificare solo il nome di dominio completo di Sharepoint, ad esempio http://sp2013 per individuare ed analizzare tutti i siti e i siti secondari di SharePoint in un URL e sottotitoli specifici in questo URL. Concedere ai revisori del sito dello scanner i diritti di abilitazione.

    Per le impostazioni rimanenti in questo riquadro, non modificarle per questa configurazione iniziale, ma mantenerle come impostazione predefinita del processo di analisi del contenuto. L'impostazione predefinita indica che il repository dati eredita le impostazioni dal processo di analisi del contenuto.

    Usare la sintassi seguente quando si aggiungono percorsi di SharePoint:

    Percorso Sintassi
    Percorso radice http://<SharePoint server name>

    Analizza tutti i siti, incluse le raccolte siti consentite per l'utente dello scanner.
    Richiede autorizzazioni aggiuntive per individuare automaticamente il contenuto radice
    Sito secondario o raccolta di SharePoint specifici I tipi validi sono:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Richiede autorizzazioni aggiuntive per individuare automaticamente il contenuto della raccolta siti
    Raccolta di SharePoint specifica I tipi validi sono:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Cartella SharePoint specifica http://<SharePoint server name>/.../<folder name>
  5. Ripetere i passaggi precedenti per aggiungere tutti i repository necessari.

    Al termine, chiudere sia i riquadri repository che i riquadri del processo di analisi del contenuto .

Tornare al riquadro del processo di analisi del contenuto Information Protection di Azure, viene visualizzato il nome dell'analisi del contenuto, insieme alla colonna SCHEDULE che mostra Manuale e la colonna ENFORCE è vuota.

È ora possibile installare lo scanner con il processo dello scanner di contenuto creato. Continuare con Installa lo scanner.

Installare lo scanner

Dopo aver configurato lo scanner di Azure Information Protection, seguire questa procedura per installare lo scanner. Questa procedura viene eseguita completamente in PowerShell.

  1. Accedere al computer Windows Server che eseguirà lo scanner. Usare un account con diritti di amministratore locale e con le autorizzazioni per scrivere nel database master di SQL Server.

    Importante

    È necessario che il client di etichettatura unificata AIP sia installato nel computer prima di installare lo scanner.

    Per altre informazioni, vedere Prerequisiti per l'installazione e la distribuzione dello scanner di Azure Information Protection.

  2. Aprire una sessione di Windows PowerShell con l'opzione Esegui come amministratore.

  3. Eseguire il cmdlet Install-AIPScanner, specificando l'istanza di SQL Server in cui creare un database per lo scanner di Information Protection di Azure e il nome del cluster scanner specificato nella sezione precedente:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Esempi, usando il nome del cluster scanner di Europa:

    • Per un'istanza predefinita: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Per un'istanza denominata: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • Per SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Quando viene richiesto, specificare le credenziali di Active Directory per l'account del servizio scanner.

    Usare la sintassi seguente: \<domain\user name>. ad esempio contoso\scanneraccount

  4. Verificare che il servizio sia ora installato usandoServizi strumenti >di amministrazione.

    Il servizio installato è denominato Azure Information Protection Scanner ed è configurato per l'esecuzione usando l'account del servizio scanner creato.

Dopo aver installato lo scanner, è necessario ottenere un token di Azure AD per l'autenticazione dell'account del servizio scanner, in modo che lo scanner possa eseguire automaticamente.

Ottenere un token di Azure AD per lo scanner

Un token di Azure AD consente allo scanner di eseguire l'autenticazione nel servizio Azure Information Protection, consentendo allo scanner di eseguire in modo non interattivo.

Per altre informazioni, vedere Come assegnare un'etichetta ai file in modo non interattivo per Azure Information Protection.

Per ottenere un token di Azure AD:

  1. Aprire il portale di Azure per creare un'applicazione Azure AD per specificare un token di accesso per l'autenticazione.

  2. Dal computer Windows Server, se l'account del servizio scanner è stato concesso il diritto di accesso in locale per l'installazione, accedere con questo account e avviare una sessione di PowerShell.

    Eseguire Set-AIPAuthentication specificando i valori copiati nel passaggio precedente:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Ad esempio:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Suggerimento

    Se l'account del servizio scanner non può essere concesso il diritto di accesso in locale per l'installazione, usare il parametro OnBehalfOf con Set-AIPAuthentication, come descritto in Come etichettare i file non interattivi per Azure Information Protection.

Lo scanner dispone ora di un token per l'autenticazione in Azure AD. Questo token è valido per un anno, due anni o mai, in base alla configurazione del segreto client dell'app Web /API in Azure AD. Al termine del token, è necessario ripetere questa procedura.

Continuare a usare uno dei passaggi seguenti, a seconda che si usi il portale di Azure per configurare lo scanner o solo PowerShell:

Si è ora pronti per eseguire la prima analisi in modalità di individuazione. Per altre informazioni, vedere Eseguire un ciclo di individuazione e visualizzare i report per lo scanner.

Dopo aver eseguito l'analisi iniziale dell'individuazione, continuare con Configurare lo scanner per applicare la classificazione e la protezione.

Configurare lo scanner per applicare la classificazione e la protezione

Le impostazioni predefinite configurano lo scanner per l'esecuzione una sola volta e in modalità di sola creazione di report. Per modificare queste impostazioni, modificare il processo di analisi del contenuto.

Per configurare lo scanner per applicare la classificazione e la protezione:

  1. Nel portale di Azure, nel riquadro Processi di analisi del contenuto Information Protection di Azure selezionare il processo di analisi del contenuto e del cluster per modificarlo.

  2. Nel riquadro Processo analisi contenuto modificare quanto segue e quindi selezionare Salva:

    • Nella sezione Processo analisi contenuto : Modificare la pianificazione in Always
    • Dalla sezione Criteri di riservatezza : Modifica applica a Attiva

    Suggerimento

    È possibile modificare altre impostazioni in questo riquadro, ad esempio se gli attributi dei file vengono modificati e se lo scanner può ribeltare i file. Usare la Guida con informazioni popup per altre informazioni sulle singole impostazioni di configurazione.

  3. Prendere nota dell'ora corrente e avviare di nuovo lo scanner dal riquadro Processi di analisi del contenuto Information Protection:

    Avviare l'analisi per lo scanner di azure Information Protection.

Lo scanner è ora pianificato per l'esecuzione continua. Quando lo scanner esegue il suo funzionamento attraverso tutti i file configurati, avvia automaticamente un nuovo ciclo in modo che tutti i file nuovi e modificati vengano individuati.

Usare un criterio DLP

L'uso di un criterio di prevenzione della perdita dei dati (DLP) di Microsoft 365 consente allo scanner di rilevare potenziali perdite di dati confrontando le regole DLP ai file archiviati in condivisioni file e SharePoint Server.

  • Abilitare le regole DLP nel processo di analisi del contenuto per ridurre l'esposizione di tutti i file che corrispondono ai criteri DLP. Quando le regole DLP sono abilitate, lo scanner può ridurre l'accesso ai file solo ai proprietari dei dati o ridurre l'esposizione a gruppi a livello di rete, ad esempio Tutti, Utenti autenticati o Utenti di dominio.

  • Nella Portale di conformità di Microsoft Purview determinare se si stanno solo testando i criteri DLP o se si desidera applicare le regole e le autorizzazioni dei file modificate in base a tali regole. Per altre informazioni, vedere Attivare un criterio DLP.

I criteri di prevenzione della perdita dei dati vengono configurati nella Portale di conformità di Microsoft Purview. Per altre informazioni sulle licenze DLP, vedere Introduzione allo scanner locale per la prevenzione della perdita dei dati.

Suggerimento

L'analisi dei file, anche quando si esegue il test dei criteri DLP, crea anche report sull'autorizzazione dei file. Eseguire query su questi report per analizzare specifiche esposizione di file o esplorare l'esposizione di un utente specifico ai file analizzati.

Per usare solo PowerShell, vedere Usare un criterio DLP con lo scanner - Solo PowerShell.

Per usare un criterio DLP con lo scanner:

  1. Nella portale di Azure passare al processo di analisi del contenuto. Per altre informazioni, vedere Creare un processo di analisi del contenuto.

  2. In Criteri DLP impostare Abilita regole DLP su Attiva.

    Importante

    Non impostare Abilita regole DLP su , a meno che non sia effettivamente configurato un criterio DLP in Microsoft 365.

    L'attivazione di questa funzionalità senza un criterio DLP causerà l'errore generato dallo scanner.

  3. (Facoltativo) In Configura impostazioni file impostare il proprietario del repository su Attivato e definire un utente specifico come proprietario del repository.

    Questa opzione consente allo scanner di ridurre l'esposizione di tutti i file trovati in questo repository, che corrispondono ai criteri DLP, al proprietario del repository definito.

Criteri di prevenzione della perdita dei dati e azioni private

Se si usa un criterio DLP con un'azione privata e si prevede anche di usare lo scanner per etichettare automaticamente i file, è consigliabile definire anche l'impostazione avanzata UseCopyAndPreserveNTFSOwner del client di etichettatura unificata.

Questa impostazione garantisce che i proprietari originali mantengano l'accesso ai propri file.

Per altre informazioni, vedere Creare un processo di analisi del contenuto e Applicare automaticamente un'etichetta di riservatezza al contenuto nella documentazione di Microsoft 365.

Modificare i tipi di file da proteggere

Per impostazione predefinita, lo scanner AIP protegge solo i tipi di file di Office e i file PDF.

Usare i comandi di PowerShell per modificare questo comportamento in base alle esigenze, ad esempio per configurare lo scanner per proteggere tutti i tipi di file, proprio come il client o per proteggere altri tipi di file specifici.

Per un criterio di etichetta che si applica all'account utente che scarica le etichette per lo scanner, specificare un'impostazione avanzata di PowerShell denominata PFileSupportedExtensions.

Per uno scanner che ha accesso a Internet, questo account utente è l'account specificato per il parametro DelegatedUser con il comando Set-AIPAuthentication.

Esempio 1: comando di PowerShell per lo scanner per proteggere tutti i tipi di file, in cui i criteri di etichetta sono denominati "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Esempio 2: comando di PowerShell per lo scanner per proteggere i file .xml e i file con estensione tiff oltre ai file di Office e ai file PDF, in cui i criteri di etichetta sono denominati "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Per altre informazioni, vedere Modificare i tipi di file da proteggere.

Aggiornare lo scanner

Se in precedenza è stato installato lo scanner e si vuole aggiornare, usare le istruzioni descritte in Aggiornamento dello scanner di Azure Information Protection.

Quindi , configurare e usare lo scanner come di consueto, ignorando i passaggi per installare lo scanner.

Modificare le impostazioni del repository dati in blocco

Usare i pulsanti Esporta e Importa per apportare modifiche per lo scanner in diversi repository.

In questo modo, non è necessario apportare le stesse modifiche più volte, manualmente, nel portale di Azure.

Ad esempio, se si dispone di un nuovo tipo di file in diversi repository di dati di SharePoint, è possibile aggiornare le impostazioni per tali repository in blocco.

Per apportare modifiche in blocco tra repository:

  1. Nel portale di Azure nel riquadro Repository selezionare l'opzione Esporta. Ad esempio:

    Esportazione delle impostazioni del repository dati per lo scanner Information Protection di Azure.

  2. Modificare manualmente il file esportato per apportare la modifica.

  3. Usare l'opzione Importa nella stessa pagina per importare nuovamente gli aggiornamenti nei repository.

Usare lo scanner con configurazioni alternative

Lo scanner di Azure Information Protection cerca in genere le condizioni specificate per le etichette per classificare e proteggere il contenuto in base alle esigenze.

Negli scenari seguenti, lo scanner Information Protection di Azure è anche in grado di analizzare il contenuto e gestire le etichette, senza alcuna condizione configurata:

Applicare un'etichetta predefinita a tutti i file in un repository di dati

In questa configurazione, tutti i file senza etichetta nel repository vengono etichettati con l'etichetta predefinita specificata per il repository o il processo di analisi del contenuto. I file vengono etichettati senza ispezione.

Configurare le seguenti impostazioni:

Impostazione Descrizione
Etichettare i file in base al contenuto Impostare su Disattivato
Etichetta predefinita Impostare su Personalizzato e quindi selezionare l'etichetta da usare
Applicare l'etichetta predefinita Selezionare questa opzione per applicare l'etichetta predefinita a tutti i file, anche se sono già etichettati.

Rimuovere le etichette esistenti da tutti i file in un repository di dati

In questa configurazione tutte le etichette esistenti vengono rimosse, inclusa la protezione, se è stata applicata la protezione con l'etichetta. La protezione applicata indipendentemente da un'etichetta viene mantenuta.

Configurare le seguenti impostazioni:

Impostazione Descrizione
Etichettare i file in base al contenuto Impostare su Disattivato
Etichetta predefinita Impostare su Nessuno
Etichettare nuovamente i file Impostare su Sì, con la casella di controllo Imponi etichetta predefinita selezionata

Identificare tutte le condizioni personalizzate e i tipi di informazioni sensibili noti

Questa configurazione consente di trovare informazioni riservate che potrebbero non rendersi conto di avere, a scapito delle frequenze di analisi per lo scanner.

Impostare i tipi di informazioni da individuare su Tutti.

Per identificare le condizioni e i tipi di informazioni per l'etichettatura, lo scanner usa tutti i tipi di informazioni sensibili personalizzati specificati e l'elenco dei tipi di informazioni sensibili predefiniti disponibili per la selezione, come definito nel Centro gestione etichette.

Ottimizzare le prestazioni dello scanner

Nota

Se si desidera migliorare la velocità di risposta del computer dello scanner anziché le prestazioni dello scanner, usare un'impostazione client avanzata per limitare il numero di thread usati dallo scanner.

Usare le opzioni e le indicazioni seguenti per ottimizzare le prestazioni dello scanner:

Opzione Descrizione
Disporre di una connessione di rete ad alta velocità e affidabile tra il computer dello scanner e l'archivio dei dati analizzati Ad esempio, posizionare il computer scanner nella stessa LAN o preferibilmente nello stesso segmento di rete dell'archivio dati analizzato.

La qualità della connessione di rete influisce sulle prestazioni dello scanner perché, per controllare i file, lo scanner trasferisce il contenuto dei file al computer che esegue il servizio scanner.

La riduzione o l'eliminazione degli hop di rete necessari per il trasferimento dei dati riduce anche il carico sulla rete.
Verificare che il computer dello scanner abbia risorse del processore disponibili L'ispezione del contenuto del file e la crittografia e la decrittografia dei file sono azioni a elevato utilizzo del processore.

Monitorare i cicli di analisi tipici per gli archivi dati specificati per identificare se la mancanza di risorse del processore influisce negativamente sulle prestazioni dello scanner.
Installare più istanze dello scanner Lo scanner di Azure Information Protection supporta più database di configurazione nella stessa istanza di SQL Server quando si specifica un nome cluster personalizzato per lo scanner.

Suggerimento: più scanner possono anche condividere lo stesso cluster, con tempi di analisi più rapidi. Se si prevede di installare lo scanner in più computer con la stessa istanza del database e si vuole che gli scanner vengano eseguiti in parallelo, è necessario installare tutti gli scanner usando lo stesso nome del cluster.
Controllare l'utilizzo alternativo della configurazione L'esecuzione dello scanner è più rapida quando si usa la configurazione alternativa per applicare un'etichetta predefinita a tutti i file in quanto lo scanner non esamina i contenuti del file.

L'esecuzione dello scanner è più lenta quando si usa la configurazione alternativa per identificare tutte le condizioni personalizzate e i tipi di informazioni riservate noti.

Fattori aggiuntivi che influiscono sulle prestazioni

Altri fattori che influiscono sulle prestazioni dello scanner includono:

Fattore Descrizione
Tempi di caricamento/risposta I tempi di caricamento e risposta correnti degli archivi dati che contengono i file da analizzare influiscono anche sulle prestazioni dello scanner.
Modalità scanner (individuazione/imposizione) La modalità di individuazione ha in genere una frequenza di analisi superiore rispetto alla modalità di imposizione.

L'individuazione richiede un'azione di lettura di un singolo file, mentre la modalità di imposizione richiede azioni di lettura e scrittura.
Modifiche dei criteri Le prestazioni dello scanner possono essere influenzate se sono state apportate modifiche allabeling automatico nei criteri di etichetta.

Il primo ciclo di analisi, quando lo scanner deve controllare ogni file, richiederà più tempo dei cicli di analisi successivi che per impostazione predefinita controllano solo i file nuovi e modificati.

Se si modificano le condizioni o le impostazioni di rilevamento automatico, tutti i file vengono analizzati di nuovo. Per altre informazioni, vedere Riesecuzione dei file.
Costruzioni regex Le prestazioni dello scanner sono influenzate dal modo in cui vengono costruite le espressioni regex per le condizioni personalizzate.

Per evitare un consumo intenso di memoria e il rischio di timeout (15 minuti per ogni file), rivedere le espressioni regex per assicurarsi che usino criteri di ricerca efficienti.

Ad esempio:
- Evitare quantificatori greedy
- Usare gruppi non di acquisizione, ad (?:expression) esempio invece di (expression)
Livello di log Le opzioni a livello di log includono Debug, Info, Errore e Disattivato per i report dello scanner.

- Off results in the best performance (Off results in the best performance)
- Il debug rallenta notevolmente lo scanner e deve essere usato solo per la risoluzione dei problemi.

Per altre informazioni, vedere il parametro ReportLevel del cmdlet Set-AIPScannerConfiguration.
File analizzati - Ad eccezione dei file di Excel, i file di Office vengono analizzati più rapidamente rispetto ai file PDF.

- I file non protetti sono più veloci da analizzare rispetto ai file protetti.

- I file di grandi dimensioni richiedono ovviamente più tempo per l'analisi rispetto ai file di piccole dimensioni.

Usare PowerShell per configurare lo scanner

Questa sezione descrive i passaggi necessari per configurare e installare lo scanner locale AIP quando non si ha accesso alle pagine dello scanner nel portale di Azure e deve usare solo PowerShell.

Importante

  • Alcuni passaggi richiedono PowerShell indipendentemente dal fatto che sia possibile accedere alle pagine dello scanner nel portale di Azure e siano identici. Per questi passaggi, vedere le istruzioni precedenti in questo articolo, come indicato.

  • Se si usa lo scanner per Azure China 21Vianet, sono necessari passaggi aggiuntivi oltre alle istruzioni descritte qui. Per altre informazioni, vedere Supporto di Azure Information Protection per Office 365 gestito da 21Vianet.

Per altre informazioni, vedere Cmdlet di PowerShell supportati.

Per configurare e installare lo scanner:

  1. Iniziare con PowerShell chiuso. Se il client e lo scanner AIP sono stati installati in precedenza, assicurarsi che il servizio AIPScanner sia stato arrestato.

  2. Aprire una sessione di Windows PowerShell con l'opzione Esegui come amministratore.

  3. Eseguire il comando Install-AIPScanner per installare lo scanner nell'istanza di SQL Server, con il parametro Cluster per definire il nome del cluster.

    Questo passaggio è identico indipendentemente dal fatto che sia possibile accedere alle pagine dello scanner nella portale di Azure. Per altre informazioni, vedere le istruzioni precedenti in questo articolo: Installare lo scanner

  4. Ottenere un token di Azure da usare con lo scanner e quindi ripetere l'autenticazione.

    Questo passaggio è identico indipendentemente dal fatto che sia possibile accedere alle pagine dello scanner nella portale di Azure. Per altre informazioni, vedere le istruzioni precedenti in questo articolo: Ottenere un token di Azure AD per lo scanner.

  5. Eseguire il cmdlet Set-AIPScannerConfiguration per impostare lo scanner per funzionare in modalità offline. Eseguire:

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  6. Eseguire il cmdlet Set-AIPScannerContentScanJob per creare un processo di analisi del contenuto predefinito.

    L'unico parametro obbligatorio nel cmdlet Set-AIPScannerContentScanJob è Enforce. Tuttavia, è possibile definire altre impostazioni per il processo di analisi del contenuto in questo momento. Ad esempio:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    La sintassi precedente configura le impostazioni seguenti mentre si continua la configurazione:

    • Mantiene manuale la pianificazione dell'esecuzione dello scanner
    • Imposta i tipi di informazioni da individuare in base ai criteri di etichettatura di riservatezza
    • Non applica criteri di etichettatura di riservatezza
    • Etichetta automaticamente i file in base al contenuto, usando l'etichetta predefinita definita per i criteri di etichettatura di riservatezza
    • Non consente la rilabazione dei file
    • Mantiene i dettagli del file durante l'analisi e l'etichettatura automatica, tra cui la data di modifica, l'ultima modifica e la modifica in base ai valori
    • Imposta lo scanner per escludere i file con estensione msg e tmp durante l'esecuzione
    • Imposta il proprietario predefinito sull'account da usare durante l'esecuzione dello scanner
  7. Usare il cmdlet Add-AIPScannerRepository per definire i repository da analizzare nel processo di analisi del contenuto. Ad esempio, eseguire:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Usare una delle sintassi seguenti, a seconda del tipo di repository che si sta aggiungendo:

    • Per una condivisione di rete, usare \\Server\Folder.
    • Per una raccolta di SharePoint, usare http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Per un percorso locale: C:\Folder
    • Per un percorso UNC: \\Server\Folder

    Nota

    I caratteri jolly e i percorsi WebDav non sono supportati.

    Per modificare il repository in un secondo momento, usare invece il cmdlet Set-AIPScannerRepository .

    Se si aggiunge un percorso di SharePoint per documenti condivisi:

    • Specificare Documenti condivisi nel percorso quando si vogliono analizzare tutti i documenti e tutte le cartelle da Documenti condivisi. ad esempio http://sp2013/SharedDocuments
    • Specificare Documenti nel percorso quando si vogliono analizzare tutti i documenti e tutte le cartelle da una sottocartella in Documenti condivisi. ad esempio http://sp2013/Documents/SalesReports
    • In alternativa, specificare solo il nome di dominio completo di SharePoint, ad esempio http://sp2013 per individuare e analizzare tutti i siti e i siti secondari di SharePoint in un URL e sottotitoli specifici in questo URL. Concedere ai revisori dell'agente di raccolta siti dello scanner i diritti di abilitazione.

    Usare la sintassi seguente quando si aggiungono percorsi di SharePoint:

    Percorso Sintassi
    Percorso radice http://<SharePoint server name>

    Analizza tutti i siti, incluse le raccolte siti consentite per l'utente dello scanner.
    Richiede autorizzazioni aggiuntive per individuare automaticamente il contenuto radice
    Sito secondario o raccolta di SharePoint specifici I tipi validi sono:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Richiede autorizzazioni aggiuntive per individuare automaticamente il contenuto della raccolta siti
    Raccolta specifica di SharePoint I tipi validi sono:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Cartella specifica di SharePoint http://<SharePoint server name>/.../<folder name>

Continuare con i passaggi seguenti in base alle esigenze:

Usare PowerShell per configurare lo scanner per applicare la classificazione e la protezione

  1. Eseguire il cmdlet Set-AIPScannerContentScanJob per aggiornare il processo di analisi del contenuto per impostare la pianificazione su sempre e applicare i criteri di riservatezza.

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On
    

    Suggerimento

    È possibile modificare altre impostazioni in questo riquadro, ad esempio se gli attributi del file vengono modificati e se lo scanner può riassegnare etichette ai file. Per altre informazioni sulle impostazioni disponibili, vedere la documentazione completa di PowerShell.

  2. Eseguire il cmdlet Start-AIPScan per eseguire il processo di analisi del contenuto:

    Start-AIPScan
    

Lo scanner è ora pianificato per l'esecuzione continua. Quando lo scanner funziona attraverso tutti i file configurati, avvia automaticamente un nuovo ciclo in modo che vengano individuati tutti i file nuovi e modificati.

Usare PowerShell per configurare un criterio di prevenzione della perdita dei dati con lo scanner

  1. Eseguire di nuovo il cmdlet Set-AIPScannerContentScanJob con il parametro -EnableDLP impostato su On e con un proprietario del repository specifico definito.

    Ad esempio:

    Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
    

Cmdlet di PowerShell supportati

Questa sezione elenca i cmdlet di PowerShell supportati per lo scanner di azure Information Protection e le istruzioni per la configurazione e l'installazione dello scanner solo con PowerShell.

I cmdlet supportati per lo scanner includono:

Passaggi successivi

Dopo aver installato e configurato lo scanner, avviare l'analisi dei file.

Vedere anche: Distribuzione dello scanner di Information Protection di Azure per classificare e proteggere automaticamente i file.

Altre informazioni: