Condividi tramite

Prerequisiti per l'installazione e la distribuzione dello scanner classico di Azure Information Protection

  • Articolo

Prima di installare lo scanner locale di Azure Information Protection, assicurarsi che il sistema sia conforme ai requisiti di base di Azure Information Protection, oltre ai requisiti seguenti specifici per lo scanner:

Se non è possibile soddisfare tutti i requisiti nella tabella perché non sono consentiti dai criteri dell'organizzazione, vedere la sezione Configurazioni alternative .

Quando si distribuisce lo scanner in produzione o si testano le prestazioni per più scanner, vedere requisiti di Archiviazione e pianificazione della capacità per SQL Server.

Quando si è pronti per iniziare a installare e distribuire lo scanner, continuare con Distribuzione dello scanner di Azure Information Protection per classificare e proteggere automaticamente i file.

requisiti di Windows Server

Per eseguire lo scanner, è necessario disporre di un computer Windows Server, con le specifiche di sistema seguenti:

Specifiche Dettagli
Processore Processori a 4 core
RAM 8 GB
Spazio su disco 10 GB di spazio disponibile (media) per i file temporanei.

Lo scanner richiede spazio su disco sufficiente per creare file temporanei per ogni file che analizza, quattro file per core.

Lo spazio su disco consigliato di 10 GB consente l'analisi di 4 processori core di 16 file con dimensioni di file pari a 625 MB.
Sistema operativo - Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2

Nota: per scopi di test o valutazione in un ambiente non di produzione, è anche possibile usare qualsiasi sistema operativo Windows supportato da Azure Information Protection client.
Connettività di rete Il computer scanner può essere un computer fisico o virtuale con una connessione di rete veloce e affidabile agli archivi dati da analizzare.

Se la connettività Internet non è possibile a causa dei criteri dell'organizzazione, vedere Distribuzione dello scanner con configurazioni alternative.

In caso contrario, assicurarsi che il computer disponga di connettività Internet che consenta gli URL seguenti su HTTPS (porta 443):

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com

Requisiti dell'account del servizio

È necessario avere un account del servizio per eseguire il servizio scanner nel computer Windows Server, nonché eseguire l'autenticazione in Azure AD e scaricare i criteri di Azure Information Protection.

L'account del servizio deve essere un account Active Directory e sincronizzato con Azure AD.

Se non è possibile sincronizzare questo account a causa dei criteri dell'organizzazione, vedere Distribuzione dello scanner con configurazioni alternative.

I requisiti di questo account del servizio sono i seguenti:

Requisito Dettagli
Accedere all'assegnazione dei diritti utente in locale Necessario per installare e configurare lo scanner, ma non per eseguire le analisi.

Dopo aver verificato che lo scanner può individuare, classificare e proteggere i file, è possibile rimuoverli direttamente dall'account del servizio.

Se la concessione di questo diritto anche per un breve periodo di tempo non è possibile a causa dei criteri dell'organizzazione, vedere Distribuzione dello scanner con configurazioni alternative.
Accedere come assegnazione del diritto utente del servizio. Questo diritto viene concesso automaticamente all'account del servizio durante l'installazione dello scanner ed è richiesto per l'installazione, la configurazione e il funzionamento dello scanner.
Autorizzazioni per i repository di dati - Condivisioni file o file locali: concedere autorizzazioni di lettura, scrittura e modifica per l'analisi dei file e quindi applicare la classificazione e la protezione come configurato.

- SharePoint: concedere autorizzazioni di controllo completo per l'analisi dei file e quindi applicare la classificazione e la protezione come configurato.

- Modalità di individuazione: per eseguire lo scanner solo in modalità di individuazione, l'autorizzazione di lettura è sufficiente.
Per le etichette che riproteggono o rimuovono la protezione Per assicurarsi che lo scanner abbia sempre accesso ai file protetti, impostare questo account come utente con privilegi avanzati per Azure Information Protection e assicurarsi che la funzionalità utente con privilegi avanzati sia abilitata.

Inoltre, se sono stati implementati controlli di onboarding per una distribuzione in più fasi, assicurarsi che l'account del servizio sia incluso nei controlli di onboarding configurati.

requisiti del server SQL

Per archiviare i dati di configurazione dello scanner, usare un server di SQL con i requisiti seguenti:

  • Istanza locale o remota.

    È consigliabile ospitare il server SQL e il servizio scanner in computer diversi, a meno che non si stia usando una distribuzione di piccole dimensioni. È inoltre consigliabile avere un'istanza di SQL dedicata che gestisce solo il database dello scanner e che non è condivisa con altre applicazioni.

    Se si usa un server condiviso, assicurarsi che il numero consigliato di core sia gratuito per il funzionamento del database dello scanner.

    SQL Server 2012 è la versione minima per le edizioni seguenti:

    • SQL Server Enterprise
    • SQL Server Standard
    • SQL Server Express (consigliato solo per gli ambienti di test)

  • Un account con ruolo Sysadmin per installare lo scanner.

    In questo modo il processo di installazione consente di creare automaticamente il database di configurazione dello scanner e concedere il ruolo di db_owner necessario all'account del servizio che esegue lo scanner.

    Se non è possibile concedere il ruolo Sysadmin o i criteri dell'organizzazione richiedono la creazione e la configurazione manuale dei database, vedere Distribuzione dello scanner con configurazioni alternative.

  • Capacità. Per indicazioni sulla capacità, vedere requisiti di Archiviazione e pianificazione della capacità per SQL Server.

  • Regole di confronto senza distinzione tra maiuscole e minuscole.

Nota

Sono supportati più database di configurazione nello stesso server SQL quando si specifica un nome di cluster (profilo) personalizzato per lo scanner.

Archiviazione requisiti e pianificazione della capacità per SQL Server

La quantità di spazio su disco necessaria per il database di configurazione dello scanner e la specifica del computer che esegue SQL Server possono variare per ogni ambiente, quindi è consigliabile eseguire test personalizzati. Usare le indicazioni seguenti come punto di partenza.

Per altre informazioni, vedere Ottimizzazione delle prestazioni dello scanner.

Le dimensioni del disco per il database di configurazione variano per ogni distribuzione. È consigliabile allocare 500 MB per ogni 1.000.000 file da analizzare.

Per ogni scanner, usare:

  • Processori a 4 core
  • 8 GB di RAM (minimo 4 GB)

Requisiti per il client di Azure Information Protection

È necessario che il client di Azure Information Protection sia installato nel computer Windows Server.

Per altre informazioni, vedere la guida dell'amministratore client classico.

Importante

È necessario installare il client completo per lo scanner. Non installare solo il modulo PowerShell del client.

Requisiti di configurazione delle etichette

È necessario che le etichette siano configurate per applicare automaticamente la classificazione e, facoltativamente, la protezione.

Se queste etichette non sono configurate, vedere Distribuzione dello scanner con configurazioni alternative.

Per altre informazioni, vedere:

Suggerimento

Usare le istruzioni dell'esercitazione per testare lo scanner con un'etichetta che cerca i numeri di carta di credito in un documento di Word preparato. È tuttavia necessario modificare la configurazione dell'etichetta in modo che l'opzione Selezionare la modalità di applicazione di questa etichetta sia automatica anzichéConsigliata o considerare l'etichettatura consigliata come automatica (disponibile nella versione dello scanner 2.7.x.x e successive).

Rimuovere quindi l'etichetta dal documento (se applicata) e copiare il file in un repository di dati per lo scanner.

requisiti di SharePoint

Per analizzare SharePoint raccolte documenti e cartelle, assicurarsi che il server SharePoint sia conforme ai requisiti seguenti:

  • Versioni supportate. Le versioni supportate includono: SharePoint 2019, SharePoint 2016 e SharePoint 2013. Altre versioni di SharePoint non sono supportate per lo scanner.

  • Controllo delle versioni. Quando si usa il controllo delle versioni, lo scanner controlla ed etichetta l'ultima versione pubblicata. Se lo scanner etichetta un file e l'approvazione del contenuto è necessario, tale file etichettato deve essere approvato per essere disponibile per gli utenti.

  • Grandi farm di SharePoint. Per le farm SharePoint di grandi dimensioni, controllare se è necessario aumentare la soglia della visualizzazione elenco (per impostazione predefinita, 5.000) per lo scanner al fine di accedere a tutti i file. Per altre informazioni, vedere Gestire elenchi e raccolte di grandi dimensioni in SharePoint.

requisiti di Microsoft Office

Per analizzare Office documenti, i documenti devono essere in uno dei formati seguenti:

  • Microsoft Office 97-2003
  • Office formati Open XML per Word, Excel e PowerPoint

Per altre informazioni, vedere Tipi di file supportati dal client azure Information Protection.

Requisiti del percorso file

Per analizzare i file, i percorsi dei file devono avere un massimo di 260 caratteri, a meno che lo scanner non sia installato in Windows 2016 e che il computer sia configurato per supportare percorsi lunghi

Windows 10 e Windows Server 2016 supportano la lunghezza del percorso superiore a 260 caratteri con l'impostazione di criteri di gruppo seguente:Configurazione>computer computer> localeModelli> amministrativiTutti i percorsi lunghi diWin32 Impostazioni> Enable Win32

Per altre informazioni sul supporto dei percorsi di file lunghi, vedere la sezione Maximum Path Length Limitation (Limite massimo lunghezza del percorso) nella documentazione per sviluppatori di Windows 10.

Distribuzione dello scanner con configurazioni alternative

I prerequisiti elencati in precedenza sono i requisiti predefiniti per la distribuzione dello scanner e consigliati perché supportano la configurazione dello scanner più semplice.

I requisiti predefiniti devono essere adatti per i test iniziali, in modo da poter controllare le funzionalità dello scanner.

Tuttavia, in un ambiente di produzione, i criteri dell'organizzazione potrebbero impedire questi requisiti predefiniti. Lo scanner può soddisfare le restrizioni seguenti con una configurazione aggiuntiva:

Restrizione: il server scanner non può avere connettività Internet

Per supportare un computer disconnesso, seguire questa procedura:

  1. Configurare le etichette che applicano solo la classificazione o applicare la protezione che usa la protezione HYOK.

    Senza una connessione Internet, lo scanner non può applicare protezione, rimuovere la protezione o controllare i file protetti usando la chiave basata sul cloud dell'organizzazione. Lo scanner è invece limitato all'uso di etichette che applicano solo la classificazione o applicano la protezione che usa la protezione HYOK.

    Per altre informazioni, vedere Supporto per i computer disconnessi.

  2. Configurare lo scanner nel portale di Azure creando un cluster dello scanner. Se occorre assistenza per questo passaggio, vedere Configurare lo scanner nel portale di Azure.

  3. Esportare il processo di contenuto dal riquadro Processi di analisi del contenuto di Azure Information Protection usando l'opzione Esporta.

  4. In una sessione di PowerShell eseguire Import-AIPScannerConfiguration e specificare il file contenente le impostazioni esportate.

Restrizione: non è possibile concedere all'utente il ruolo Sysadmin o i database devono essere creati e configurati manualmente

Se è possibile concedere il ruolo Sysadmin temporaneamente per installare lo scanner, è possibile rimuovere questo ruolo al termine dell'installazione dello scanner.

Eseguire una delle operazioni seguenti, a seconda dei requisiti dell'organizzazione:

  • È possibile avere il ruolo Sysadmin temporaneamente. Se si dispone temporaneamente del ruolo Sysadmin, il database viene creato automaticamente e all'account del servizio per lo scanner vengono concesse automaticamente le autorizzazioni necessarie.

    Tuttavia, l'account utente che configura lo scanner richiede comunque il ruolo db_owner per il database di configurazione dello scanner. Se si ha solo il ruolo Sysadmin fino al completamento dell'installazione dello scanner, concedere manualmente il ruolo di db_owner all'account utente.

  • Non è possibile avere il ruolo Sysadmin. Se non è possibile concedere il ruolo Sysadmin anche temporaneamente, è necessario chiedere a un utente con diritti sysadmin di creare manualmente un database prima di installare lo scanner.

    Per questa configurazione, il ruolo db_owner deve essere assegnato agli account seguenti:

    • Account del servizio per lo scanner

    • Account utente per l'installazione dello scanner

    • Account utente per la configurazione dello scanner

    In genere, si usa lo stesso account utente per installare e configurare lo scanner, Se si usano account diversi, entrambi richiedono il ruolo db_owner per il database di configurazione dello scanner. Creare questo utente e i diritti in base alle esigenze.

    Se non si specifica il nome del proprio cluster (profilo) per lo scanner, il database di configurazione viene denominato AIPScanner_<computer_name>.
    Continuare con la creazione di un utente e la concessione di diritti di db_owner nel database.

Inoltre:

  • È necessario essere un amministratore locale nel server che eseguirà lo scanner

  • All'account del servizio che eseguirà lo scanner devono essere concesse le autorizzazioni controllo completo per le chiavi del Registro di sistema seguenti:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Se, dopo aver configurato queste autorizzazioni, viene visualizzato un errore durante l'installazione dello scanner, l'errore può essere ignorato ed è possibile avviare manualmente il servizio scanner.

Popolare manualmente il database

Popolare il database usando lo script seguente:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

Creare un utente e concedere manualmente diritti di db_owner

Per creare un utente e concedere diritti di db_owner per questo database, chiedere all'amministratore di sistema di eseguire le operazioni seguenti:

  1. Creare un database per lo scanner:

    **CREATE DATABASE AIPScannerUL_[clustername]**

**ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**

  2. Concedere diritti all'utente che esegue il comando di installazione e viene usato per eseguire i comandi di gestione dello scanner.

    SQL script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

  3. Concedere diritti all'account del servizio scanner.

    SQL script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

Restrizione: all'account del servizio per lo scanner non può essere concesso il diritto Log on locally (Accesso locale)

Se i criteri dell'organizzazione impediscono l'accesso locale per gli account del servizio, ma consente il diritto Accesso come processo batch , vedere Specificare e usare il parametro Token per Set-AIPAuthentication.

Restrizione: l'account del servizio scanner non può essere sincronizzato con Azure Active Directory, ma il server dispone di connettività Internet

È possibile usare un account per eseguire il servizio dello scanner e un altro per l'autenticazione in Azure Active Directory:

Restrizione: le etichette non hanno condizioni di etichettatura automatica

Se le etichette non hanno condizioni di etichettatura automatica, pianificare l'uso di una delle opzioni seguenti durante la configurazione dello scanner:

Opzione Descrizione
Individuare tutti i tipi di informazioni Nel processo di analisi del contenuto impostare l'opzione Tipi di informazioni da individuare su Tutti.

Questa opzione imposta il processo di analisi del contenuto per analizzare il contenuto per tutti i tipi di informazioni riservate.
Definire un'etichetta predefinita Definire un'etichetta predefinita nei criteri, nelprocesso di analisi del contenuto o nel repository.

In questo caso lo scanner applica l'etichetta predefinita in tutti i file trovati.

Passaggi successivi

Dopo aver confermato che il sistema è conforme ai prerequisiti dello scanner, continuare con Distribuzione dello scanner di Azure Information Protection per classificare e proteggere automaticamente i file.

Per una panoramica dello scanner, vedere Distribuzione dello scanner di Azure Information Protection per classificare e proteggere automaticamente i file.

Altre informazioni:

Se si è interessati a scoprire come è stato implementato questo scanner dai team Microsoft Core Services Engineering e Operations, leggere il case study tecnico: Automating data protection with Azure Information Protection scanner (Automatizzazione della protezione dei dati con lo scanner di Azure Information Protection).

Ci si potrebbe chiedere: Qual è la differenza tra l'istanza del cluster di failover del server Windows e lo scanner di Azure Information Protection?

È anche possibile usare PowerShell per classificare e proteggere in modo interattivo i file dal computer desktop. Per altre informazioni su questo e altri scenari che usano PowerShell, vedere Uso di PowerShell con il client classico di Azure Information Protection