Introduzione allo scanner di protezione delle informazioni

  • Articolo

Nota

Ora in anteprima è disponibile una nuova versione dello scanner di protezione delle informazioni. Per altre informazioni, vedere Aggiornare lo scanner Microsoft Purview Information Protection dal client Information Protection di Azure.

Prima di installare lo scanner da Microsoft Purview Information Protection, assicurarsi che il sistema sia conforme ai requisiti di base di Azure Information Protection.

Inoltre, i requisiti seguenti sono specifici per lo scanner:

Se non è possibile soddisfare tutti i requisiti elencati per lo scanner perché non sono consentiti dai criteri dell'organizzazione, vedere la sezione configurazioni alternative .

Quando si distribuisce lo scanner nell'ambiente di produzione o si testano le prestazioni per più scanner, vedere Requisiti di archiviazione e pianificazione della capacità per SQL Server.

Quando si è pronti per iniziare a installare e distribuire lo scanner, continuare con la configurazione e l'installazione dello scanner di protezione delle informazioni.

Requisiti di Windows Server

È necessario disporre di un computer Windows Server per eseguire lo scanner, con le specifiche di sistema seguenti:

Specifica Dettagli
Processore 4 processori core
RAM 8 GB
Spazio su disco Spazio disponibile di 10 GB (media) per i file temporanei.

Lo scanner richiede spazio su disco sufficiente per creare file temporanei per ogni file che analizza, quattro file per core.

Lo spazio su disco consigliato di 10 GB consente a 4 processori core di analizzare 16 file con dimensioni di file pari a 625 MB.
Sistema operativo Versioni a 64 bit di:

- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2

Nota: per scopi di test o valutazione in un ambiente non di produzione, è anche possibile usare qualsiasi sistema operativo Windows supportato dal client azure Information Protection.

Server Core e Nano Server non sono supportati.
- Connettività di rete Il computer scanner può essere un computer fisico o virtuale con una connessione di rete veloce e affidabile agli archivi dati da analizzare.

Se la connettività Internet non è possibile a causa dei criteri dell'organizzazione, vedere Distribuzione dello scanner con configurazioni alternative.

In caso contrario, assicurarsi che il computer disponga della connettività Internet che consente gli URL seguenti su HTTPS (porta 443):

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com
- *.protection.outlook.com
Condivisioni NFS Per supportare le analisi nelle condivisioni NFS, è necessario distribuire i servizi per NFS nel computer scanner.

Nel computer passare alla finestra di dialogo Funzionalità di Windows (Attivare o disattivare le funzionalità di Windows) e selezionare gli elementi seguenti: Servizi perstrumenti di amministrazioneNFS> e Client per NFS.
Microsoft Office iFilter Quando lo scanner è installato in un computer server Windows, è necessario installare anche Microsoft Office iFilter per analizzare i file di .zip alla ricerca di tipi di informazioni sensibili.

Per altre informazioni, vedere il sito di download Microsoft.

Requisiti dell'account di servizio

È necessario disporre di un account di servizio per eseguire il servizio scanner nel computer Windows Server, nonché eseguire l'autenticazione per Microsoft Entra ID e scaricare i criteri dello scanner.

L'account del servizio deve essere un account Active Directory e sincronizzato con Microsoft Entra ID.

Se non è possibile sincronizzare questo account a causa dei criteri dell'organizzazione, vedere Distribuzione dello scanner con configurazioni alternative.

Questo account del servizio presenta i requisiti seguenti:

Requisito Dettagli
Assegnazione dei diritti utente per l'accesso locale Necessario per installare e configurare lo scanner, ma non è necessario per eseguire le analisi.

Dopo aver confermato che lo scanner può individuare, classificare e proteggere i file, è possibile rimuovere questo diritto dall'account del servizio.

Se la concessione di questo diritto anche per un breve periodo di tempo non è possibile a causa dei criteri dell'organizzazione, vedere Distribuzione dello scanner con configurazioni alternative.
Accedere come assegnazione dei diritti utente del servizio. Questo diritto viene concesso automaticamente all'account del servizio durante l'installazione dello scanner e questo diritto è necessario per l'installazione, la configurazione e il funzionamento dello scanner.
Autorizzazioni per i repository di dati - Condivisioni file o file locali: concedere autorizzazioni di lettura, scrittura e modifica per l'analisi dei file e quindi l'applicazione della classificazione e della protezione come configurato.

- SharePoint: è necessario concedere autorizzazioni di controllo completo per l'analisi dei file e quindi l'applicazione della classificazione e della protezione ai file che soddisfano le condizioni nei criteri di Information Protection di Azure.

- Modalità di individuazione: per eseguire lo scanner solo in modalità di individuazione, l'autorizzazione di lettura è sufficiente.
Per le etichette che riproteggono o rimuovono la protezione Per assicurarsi che lo scanner abbia sempre accesso ai file crittografati, rendere questo account un utente con privilegi avanzati per Azure Information Protection e assicurarsi che la funzionalità utente con privilegi avanzati sia abilitata.

Inoltre, se sono stati implementati controlli di onboarding per una distribuzione in più fasi, assicurarsi che l'account del servizio sia incluso nei controlli di onboarding configurati.
Analisi a livello di URL specifico Per analizzare e individuare siti e siti secondari in un URL specifico, concedere i diritti di revisore dell'agente di raccolta siti all'account scanner a livello di farm.
Licenza per la protezione delle informazioni Necessario per fornire funzionalità di classificazione, etichettatura o protezione dei file all'account del servizio scanner.

Per altre informazioni, vedere le linee guida di Microsoft 365 per la sicurezza & conformità.

Requisiti di SQL Server

Per archiviare i dati di configurazione dello scanner, usare un server SQL con i requisiti seguenti:

  • Istanza locale o remota.

    È consigliabile ospitare SQL Server e il servizio scanner in computer diversi, a meno che non si stia lavorando con una distribuzione di piccole dimensioni. Inoltre, è consigliabile avere un'istanza SQL dedicata che serve solo il database dello scanner e che non è condivisa con altre applicazioni.

    Se si lavora su un server condiviso, assicurarsi che il numero consigliato di core sia gratuito per il funzionamento del database dello scanner.

    SQL Server 2016 è la versione minima per le edizioni seguenti:

    • SQL Server Enterprise

    • SQL Server Standard

    • SQL Server Express (consigliato solo per ambienti di test)

  • Un account con ruolo Sysadmin per installare lo scanner.

    Il ruolo Sysadmin consente al processo di installazione di creare automaticamente il database di configurazione dello scanner e concedere il ruolo di db_owner necessario all'account del servizio che esegue lo scanner.

    Se non è possibile concedere il ruolo Sysadmin o i criteri dell'organizzazione richiedono la creazione e la configurazione manuale dei database, vedere Distribuzione dello scanner con configurazioni alternative.

  • Capacità. Per indicazioni sulla capacità, vedere Requisiti di archiviazione e pianificazione della capacità per SQL Server.

  • Regole di confronto senza distinzione tra maiuscole e minuscole.

Nota

Più database di configurazione nello stesso server SQL sono supportati quando si specifica un nome di cluster personalizzato per lo scanner o quando si usa la versione di anteprima dello scanner.

Requisiti di archiviazione e pianificazione della capacità per SQL Server

La quantità di spazio su disco necessaria per il database di configurazione dello scanner e la specifica del computer in esecuzione SQL Server possono variare per ogni ambiente, pertanto è consigliabile eseguire test personalizzati. Usare le indicazioni seguenti come punto di partenza.

Per altre informazioni, vedere Ottimizzazione delle prestazioni dello scanner.

Le dimensioni del disco per il database di configurazione dello scanner variano per ogni distribuzione. Usare l'equazione seguente come indicazioni:

100 KB + <file count> *(1000 + 4* <average file name length>)

Ad esempio, per analizzare 1 milione di file con una lunghezza media del nome file di 250 byte, allocare 2 GB di spazio su disco.

Per più scanner:

  • Fino a 10 scanner, usare:

    • 4 processori core
    • Consigliato 8 GB di RAM

  • Più di 10 scanner (massimo 40), usare:

    • 8 processi principali
    • Consigliato 16 GB di RAM

Requisiti client di Azure Information Protection

Per una rete di produzione, è necessario che nel computer Windows Server sia installata la versione di disponibilità generale corrente del client azure Information Protection.

Per altre informazioni, vedere la guida dell'amministratore client di etichettatura unificata di Azure Information Protection.

Importante

È necessario installare il client completo per lo scanner. Non installare il client solo con il modulo PowerShell.

Requisiti di configurazione delle etichette

È necessario avere almeno un'etichetta di riservatezza configurata nel portale di Microsoft Purview o Portale di conformità di Microsoft Purview per l'account dello scanner, per applicare la classificazione e, facoltativamente, la crittografia.

L'account dello scanner è l'account che verrà specificato nel parametro DelegatedUser del cmdlet Set-AIPAuthentication, eseguito durante la configurazione dello scanner.

Se le etichette non hanno condizioni di etichettatura automatica, vedere le istruzioni per le configurazioni alternative riportate di seguito.

Per ulteriori informazioni, vedere:

Requisiti di SharePoint

Per analizzare raccolte documenti e cartelle di SharePoint, assicurarsi che il server SharePoint sia conforme ai requisiti seguenti:

Requisito Descrizione
Versioni supportate Le versioni supportate includono: SharePoint 2019, SharePoint 2016 e SharePoint 2013.
Altre versioni di SharePoint non sono supportate per lo scanner.
Controllo delle versioni Quando si usa il controllo delle versioni, lo scanner controlla ed etichetta l'ultima versione pubblicata.

Se lo scanner etichetta un file e l'approvazione del contenuto è necessario, tale file etichettato deve essere approvato per essere disponibile per gli utenti.
Farm di SharePoint di grandi dimensioni Per le farm di SharePoint di grandi dimensioni, verificare se è necessario aumentare la soglia di visualizzazione elenco (per impostazione predefinita, 5.000) per consentire allo scanner di accedere a tutti i file.

Per altre informazioni, vedere Gestire elenchi e raccolte di grandi dimensioni in SharePoint.
Percorsi di file lunghi Se in SharePoint sono presenti percorsi di file lunghi, assicurarsi che il valore httpRuntime.maxUrlLength del server SharePoint sia maggiore dei 260 caratteri predefiniti.

Per altre informazioni, vedere la sezione successiva Evitare timeout dello scanner in SharePoint.

Evitare timeout dello scanner in SharePoint

Se sono presenti percorsi di file lunghi in SharePoint versione 2013 o successiva, assicurarsi che il valore httpRuntime.maxUrlLength del server SharePoint sia maggiore dei 260 caratteri predefiniti.

Questo valore è definito nella classe HttpRuntimeSection della ASP.NET configurazione.

Per aggiornare la classe HttpRuntimeSection:

  1. Eseguire il backup della configurazione web.config .

  2. Aggiornare il valore maxUrlLength in base alle esigenze. Ad esempio:

    <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />

  3. Riavviare il server Web SharePoint e verificare che venga caricato correttamente.

    Ad esempio, in Gestione Windows Internet Information Server (IIS) selezionare il sito e quindi in Gestisci sito Web selezionare Riavvia.

Requisiti di Microsoft Office

Per analizzare i documenti di Office, i documenti devono essere in uno dei formati seguenti:

  • Microsoft Office 97-2003
  • Formati Office Open XML per Word, Excel e PowerPoint

Per altre informazioni, vedere Tipi di file supportati dal client di etichettatura unificata di Azure Information Protection.

Requisiti del percorso file

Per impostazione predefinita, per analizzare i file, i percorsi di file devono avere un massimo di 260 caratteri.

Per analizzare i file con percorsi di file di più di 260 caratteri, installare lo scanner in un computer con una delle seguenti versioni di Windows e configurare il computer in base alle esigenze:

Versione di Windows Descrizione
Windows 2016 o versione successiva Configurare il computer per supportare percorsi lunghi
Windows 10 o Windows Server 2016 Definire l'impostazione di criteri di gruppo seguente: Configurazione computer> localeConfigurazione> computerModelli> amministrativiTutte le impostazioni>Abilitano i percorsi lunghi Win32.

Per altre informazioni sul supporto del percorso di file lungo in queste versioni, vedere la sezione Limitazione della lunghezza massima del percorso nella documentazione per sviluppatori Windows 10.
Windows 10 versione 1607 o successiva Acconsentire esplicitamente alla funzionalità di MAX_PATH aggiornata. Per altre informazioni, vedere Abilitare percorsi lunghi in Windows 10 versioni 1607 e successive.

Distribuzione dello scanner con configurazioni alternative

I prerequisiti elencati in precedenza sono i requisiti predefiniti per la distribuzione dello scanner e sono consigliati perché supportano la configurazione dello scanner più semplice.

I requisiti predefiniti devono essere adatti per i test iniziali, in modo da poter controllare le funzionalità dello scanner.

Tuttavia, in un ambiente di produzione, i criteri dell'organizzazione possono essere diversi dai requisiti predefiniti. Lo scanner può supportare le modifiche seguenti con una configurazione aggiuntiva:

Individuare ed analizzare tutti i siti e i siti secondari di SharePoint in un URL specifico

Lo scanner può individuare ed analizzare tutti i siti e i siti secondari di SharePoint in un URL specifico con la configurazione seguente:

  1. Avviare Amministrazione centrale SharePoint.

  2. Nella sezione Gestione applicazioni del sito Web Amministrazione centrale SharePoint fare clic su Gestisci applicazioni Web.

  3. Fare clic per evidenziare l'applicazione Web di cui si vuole gestire il livello di criteri di autorizzazione.

  4. Scegliere la farm pertinente e quindi selezionare Gestisci livelli di criteri di autorizzazioni.

  5. Selezionare Revisore raccolta siti nelle opzioni Autorizzazioni raccolta siti , quindi concedere Visualizza pagine applicazione nell'elenco Autorizzazioni e infine assegnare al nuovo livello di criteri il revisore e il visualizzatore della raccolta siti scanner.

  6. Aggiungere l'utente dello scanner ai nuovi criteri e concedere Raccolta siti nell'elenco Autorizzazioni.

  7. Aggiungere un URL di SharePoint che ospita siti o siti secondari che devono essere analizzati. Per altre informazioni, vedere Configurare le impostazioni dello scanner.

Per altre informazioni su come gestire i livelli di criteri di SharePoint, vedere Gestire i criteri di autorizzazione per un'applicazione Web.

Restrizione: il server scanner non può avere connettività Internet

Anche se il client di etichettatura unificata non può applicare la crittografia senza una connessione Internet, lo scanner può comunque applicare etichette in base ai criteri importati.

Per supportare un computer disconnesso, usare uno dei metodi seguenti:

Usare il portale di Microsoft Purview o Portale di conformità di Microsoft Purview con un computer disconnesso

Per supportare un computer che non è in grado di connettersi al portale di Microsoft Purview o Portale di conformità di Microsoft Purview, seguire questa procedura:

  1. Configurare le etichette nei criteri e quindi usare la procedura per supportare i computer disconnessi per abilitare la classificazione e l'etichettatura offline.

  2. Abilitare la gestione offline per i processi di contenuto come indicato di seguito:

    Abilitare la gestione offline per i processi di analisi del contenuto:

    1. Impostare lo scanner in modo che funzioni in modalità offline usando il cmdlet Set-AIPScannerConfiguration .

    2. Configurare lo scanner nel portale di conformità creando un cluster di scanner. Per altre informazioni, vedere Configurare le impostazioni dello scanner.

    3. Esportare il processo di contenuto dal riquadro Information Protection - Processi di analisi del contenuto usando l'opzione Esporta .

    4. Importare i criteri usando il cmdlet Import-AIPScannerConfiguration .

    I risultati per i processi di analisi del contenuto offline si trovano in: %localappdata%\Microsoft\MSIP\Scanner\Reports

Usare PowerShell con un computer disconnesso

Eseguire la procedura seguente per supportare un computer disconnesso usando solo PowerShell.

Importante

Gli amministratori dei server scanner Azure China 21Vianetdevono usare questa procedura per gestire i processi di analisi del contenuto.

Gestire i processi di analisi del contenuto solo con PowerShell:

  1. Impostare lo scanner in modo che funzioni in modalità offline usando il cmdlet Set-AIPScannerConfiguration .

  2. Create un nuovo processo di analisi del contenuto usando il cmdlet Set-AIPScannerContentScanJob, assicurandosi di usare il parametro obbligatorio-Enforce On.

  3. Aggiungere i repository usando il cmdlet Add-AIPScannerRepository , con il percorso del repository da aggiungere.

    Consiglio

    Per impedire al repository di ereditare le impostazioni dal processo di analisi del contenuto, aggiungere il OverrideContentScanJob On parametro e i valori per impostazioni aggiuntive.

    Per modificare i dettagli per un repository esistente, usare il comando Set-AIPScannerRepository .

  4. Usare i cmdlet Get-AIPScannerContentScanJob e Get-AIPScannerRepository per restituire informazioni sulle impostazioni correnti del processo di analisi del contenuto.

  5. Usare il comando Set-AIPScannerRepository per aggiornare i dettagli per un repository esistente.

  6. Eseguire immediatamente il processo di analisi del contenuto, se necessario, usando il cmdlet Start-AIPScan .

    I risultati per i processi di analisi del contenuto offline si trovano in: %localappdata%\Microsoft\MSIP\Scanner\Reports

  7. Se è necessario rimuovere un repository o un intero processo di analisi del contenuto, usare i cmdlet seguenti:

Restrizione: non è possibile concedere Sysadmin o i database devono essere creati e configurati manualmente

Usare le procedure seguenti per creare manualmente i database e concedere il ruolo db_owner , in base alle esigenze.

Se è possibile concedere temporaneamente il ruolo Sysadmin per installare lo scanner, è possibile rimuovere questo ruolo al termine dell'installazione dello scanner.

Eseguire una delle operazioni seguenti, a seconda dei requisiti dell'organizzazione:

Restrizione Descrizione
È possibile disporre temporaneamente del ruolo Sysadmin Se si dispone temporaneamente del ruolo Sysadmin, il database viene creato automaticamente e all'account del servizio per lo scanner vengono concesse automaticamente le autorizzazioni necessarie.

Tuttavia, l'account utente che configura lo scanner richiede ancora il ruolo db_owner per il database di configurazione dello scanner. Se si dispone solo del ruolo Sysadmin fino al completamento dell'installazione dello scanner, concedere manualmente il ruolo db_owner all'account utente.
Non è possibile avere il ruolo Sysadmin Se non è possibile concedere il ruolo Sysadmin anche temporaneamente, è necessario chiedere a un utente con diritti Sysadmin di creare manualmente un database prima di installare lo scanner.

Per questa configurazione, il ruolo db_owner deve essere assegnato agli account seguenti:
- Account del servizio per lo scanner
- Account utente per l'installazione dello scanner
- Account utente per la configurazione dello scanner

In genere, si userà lo stesso account utente per installare e configurare lo scanner. Se si usano account diversi, entrambi richiedono il ruolo db_owner per il database di configurazione dello scanner. Create l'utente e i diritti in base alle esigenze. Se si specifica il nome del cluster, il database di configurazione viene denominato AIPScannerUL_<cluster_name>.

Inoltre:

  • È necessario essere un amministratore locale nel server che eseguirà lo scanner

  • All'account del servizio che eseguirà lo scanner devono essere concesse autorizzazioni di controllo completo per le chiavi del Registro di sistema seguenti:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Se, dopo aver configurato queste autorizzazioni, viene visualizzato un errore durante l'installazione dello scanner, l'errore può essere ignorato ed è possibile avviare manualmente il servizio scanner.

Creare manualmente un database e un utente per lo scanner e concedere db_owner diritti

Se è necessario creare manualmente il database dello scanner e/o creare un utente e concedere diritti di db_owner sul database, chiedere al amministratore di sistema di eseguire la procedura seguente:

  1. Create un database per lo scanner:

    **CREATE DATABASE AIPScannerUL_[clustername]**

**ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**

  2. Concedere diritti all'utente che esegue il comando di installazione e viene usato per eseguire i comandi di gestione dello scanner. Usare lo script seguente:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

  3. Concedere diritti all'account del servizio scanner. Usare lo script seguente:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

Restrizione: all'account del servizio per lo scanner non è possibile concedere il diritto di accesso locale

Se i criteri dell'organizzazione impediscono l'accesso locale per gli account del servizio, usare il parametro OnBehalfOf con Set-AIPAuthentication.

Per altre informazioni, vedere Come etichettare i file in modo non interattivo per Azure Information Protection.

Restrizione: l'account del servizio scanner non può essere sincronizzato con Microsoft Entra ID ma il server dispone di connettività Internet

È possibile avere un account per eseguire il servizio scanner e usare un altro account per eseguire l'autenticazione a Microsoft Entra ID:

  • Per l'account del servizio scanner, usare un account Windows locale o un account di Active Directory.

  • Per l'account Microsoft Entra, specificare l'utente Microsoft Entra nel cmdlet Set-AIPAuthentication nel parametro DelegatedUser.

    Se si esegue l'analisi con qualsiasi utente diverso dall'account dello scanner, assicurarsi di specificare anche l'account dello scanner nel parametro OnBehalfOf .

    Per altre informazioni, vedere Come etichettare i file in modo non interattivo per Azure Information Protection.

Restrizione: le etichette non hanno condizioni di etichettatura automatica

Se le etichette non hanno condizioni di etichettatura automatica, pianificare l'uso di una delle opzioni seguenti durante la configurazione dello scanner:

Opzione Descrizione
Individuare tutti i tipi di informazioni Nel processo di analisi del contenuto impostare l'opzione Tipi di informazioni da individuare su Tutto.

Questa opzione imposta il processo di analisi del contenuto per analizzare il contenuto alla ricerca di tutti i tipi di informazioni sensibili.
Usare l'etichettatura consigliata Nel processo di analisi del contenuto impostare l'opzione Considera l'etichettatura consigliata come automatica su .

Questa impostazione configura lo scanner per applicare automaticamente tutte le etichette consigliate al contenuto.
Definire un'etichetta predefinita Definire un'etichetta predefinita nei criteri, nel processo di analisi del contenuto o nel repository.

In questo caso lo scanner applica l'etichetta predefinita su tutti i file trovati.

Passaggi successivi

Dopo aver confermato che il sistema è conforme ai prerequisiti dello scanner, continuare con la configurazione e l'installazione dello scanner di protezione delle informazioni.

Per una panoramica sullo scanner, vedere Informazioni sullo scanner di protezione delle informazioni.