Wat is de geïntegreerde labelscanner voor Azure Information Protection?
Van toepassing op: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Alleen relevant voor: AIP unified labeling client.
Gebruik de informatie in deze sectie om meer te weten te komen over de geïntegreerde labelingsscanner voor Azure Information Protection en hoe u deze kunt installeren, configureren, uitvoeren en zo nodig kunt oplossen.
De AIP-scanner wordt uitgevoerd als een service op Windows Server en laat u bestanden ontdekken, classificeren en beveiligen op de volgende gegevensopslag:
UNC-paden voor netwerkaandelen die gebruikmaken van de SMB- of NFS-protocollen (Preview).
SharePoint documentbibliotheken en map voor SharePoint Server 2019 tot SharePoint Server 2013. SharePoint 2010 wordt ook ondersteund voor klanten die uitgebreide ondersteuning hebben voor deze versie van SharePoint.
Als u uw bestanden wilt classificeren en beveiligen, gebruikt de scanner gevoeligheidslabels die zijn geconfigureerd in de Microsoft 365-compliancecentrum.
Overzicht van geïntegreerde labelingscanners voor Azure Information Protection
De AIP-scanner kan alle bestanden controleren die Windows kunnen indexeren. Als u gevoeligheidslabels hebt geconfigureerd om automatische classificatie toe te passen, kan de scanner gevonden bestanden labelen om deze classificatie toe te passen en desgewenst beveiliging toepassen of verwijderen.
In de volgende afbeelding ziet u de AIP-scannerarchitectuur, waarin de scanner bestanden op uw on-premises en SharePoint detecteert.
Als u uw bestanden wilt controleren, gebruikt de scanner IFilters die op de computer zijn geïnstalleerd. Om te bepalen of de bestanden labeling nodig hebben, gebruikt de scanner de Microsoft 365 ingebouwde gegevensverliespreventie (DLP) gevoeligheidsinformatietypen en patroondetectie, Microsoft 365 regex-patronen.
De scanner maakt gebruik van de Azure Information Protection-client en kan dezelfde typen bestanden classificeren en beveiligen als de client. Zie Bestandstypen die worden ondersteund door de geïntegreerde labelingclient van Azure Information Protection voor meer informatie.
Ga als volgt te werk om uw scans zo nodig te configureren:
- Voer de scanner alleen uit in de detectiemodus om rapporten te maken die controleren wat er gebeurt wanneer uw bestanden een label hebben.
- Voer de scanner uit om bestanden met gevoelige informatie te ontdekken,zonder labels te configureren die automatische classificatie toepassen.
- Voer de scanner automatisch uit om etiketten toe te passen zoals geconfigureerd.
- Definieer een lijst met bestandstypen om specifieke bestanden op te geven die u wilt scannen of uitsluiten.
Opmerking
De scanner detecteert en labelt niet in realtime. Het wordt systematisch verkend door bestanden in gegevensopslag die u opgeeft. Configureer deze cyclus om eenmaal of herhaaldelijk uit te voeren.
Tip
De geïntegreerde labelscanner ondersteunt scannerclusters met meerdere knooppunten, zodat uw organisatie kan opschalen, waardoor snellere scantijden en een breder bereik worden bereikt.
Implementeer meerdere knooppunten direct vanaf het begin of begin met een cluster met één knooppunt en voeg later extra knooppunten toe terwijl u groter wordt. Implementeer meerdere knooppunten met dezelfde clusternaam en dezelfde database voor de cmdlet Install-AIPScanner.
AIP-scanproces
Bij het scannen van bestanden voert de AIP-scanner de volgende stappen uit:
1. Bepalen of bestanden zijn opgenomen of uitgesloten voor scannen
2. Bestanden controleren en labelen
3. Labelbestanden die niet kunnen worden gecontroleerd
Zie Bestanden die niet zijn gelabeld door de scanner voor meer informatie.
1. Bepalen of bestanden zijn opgenomen of uitgesloten voor scannen
Met de scanner worden automatisch bestanden overgeslagen die zijn uitgesloten van classificatie en beveiliging, zoals uitvoerbare bestanden en systeembestanden. Zie Bestandstypen die zijn uitgesloten van classificatie en beveiliging voor meer informatie.
De scanner beschouwt ook alle bestandslijsten die expliciet zijn gedefinieerd om te scannen of uit te sluiten van scannen. Bestandslijsten zijn standaard van toepassing op alle gegevensrepresitories en kunnen ook alleen worden gedefinieerd voor specifieke opslagplaatsen.
Als u bestandslijsten wilt definiëren voor scannen of uitsluiten, gebruikt u de instelling Bestandstypen om de instelling te scannen in de inhoudsscan. Bijvoorbeeld:
Zie De Azure Information Protection-scannerimplementeren om bestanden automatisch te classificeren en te beveiligen voor meer informatie.
2. Bestanden controleren en labelen
Na het identificeren van uitgesloten bestanden, filtert de scanner opnieuw om bestanden te identificeren die worden ondersteund voor inspectie.
Deze filters zijn dezelfde filters die door het besturingssysteem worden gebruikt voor Windows zoeken en indexeren en vereisen geen extra configuratie. Windows IFilter wordt ook gebruikt om bestandstypen te scannen die worden gebruikt door Word, Excel en PowerPoint, en voor PDF-documenten en tekstbestanden.
Zie Bestandstypen die worden ondersteund voor inspectie voor een volledige lijst met bestandstypen en andere instructies voor het configureren van filters voor het opnemen van .zip en .tiff-bestanden.
Na controle worden ondersteunde bestandstypen gelabeld met de voorwaarden die zijn opgegeven voor uw etiketten. Als u de detectiemodus gebruikt, kunnen deze bestanden worden gerapporteerd met de voorwaarden die zijn opgegeven voor uw etiketten of worden gerapporteerd dat ze bekende gevoelige informatietypen bevatten.
Gestopte scannerprocessen
Als de scanner stopt en geen scan voltooit voor een groot aantal bestanden in uw opslagplaats, moet u mogelijk het aantal dynamische poorten voor het besturingssysteem dat de bestanden host, vergroten.
De harding van de server voor SharePoint is bijvoorbeeld een van de redenen waarom de scanner het aantal toegestane netwerkverbindingen overschrijdt en daarom stopt.
Als u wilt controleren of het uitharden van de server voor SharePoint de oorzaak is van het stoppen van de scanner, controleert u op het volgende foutbericht in de scannerlogboeken bij %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (meerdere logboeken worden gecomprimeerd in een zip-bestand):
Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port
Zie voor meer informatie over hoe u het huidige poortbereik kunt bekijken en indien nodig kunt vergroten, Instellingen die kunnen worden gewijzigd om de netwerkprestaties te verbeteren.
Tip
Voor grote SharePoint moet u mogelijk de drempelwaarde voor de lijstweergave verhogen, die een standaardwaarde van 5.000 heeft.
Zie Grote lijsten en bibliotheken beheren in SharePoint voor meer SharePoint.
3. Labelbestanden die niet kunnen worden gecontroleerd
Voor bestandstypen die niet kunnen worden gecontroleerd, past de AIP-scanner het standaardlabel toe in het Azure Information Protection-beleid of het standaardlabel dat is geconfigureerd voor de scanner.
Bestanden die niet zijn gelabeld door de scanner
De AIP-scanner kan geen bestanden labelen onder de volgende omstandigheden:
Wanneer het label classificatie van toepassing is, maar geen beveiliging, en het bestandstype geen ondersteuning biedt voor classificatie-alleen door de client. Zie Bestandstypen voor geïntegreerde labelingclient voor meer informatie.
Wanneer het label classificatie en beveiliging van toepassing is, maar de scanner het bestandstype niet ondersteunt.
Standaard beschermt de scanner alleen Office bestandstypen en PDF-bestanden wanneer deze zijn beveiligd met de ISO-standaard voor PDF-versleuteling.
Andere typen bestanden kunnen ter beveiliging worden toegevoegd wanneer u de typen bestanden wijzigt die u wilt beveiligen.
Voorbeeld:Nadat u .txt-bestanden hebt gecontroleerd, kan de scanner niet alleen een label toepassen dat is geconfigureerd voor classificatie, omdat het .txt-bestandstype niet alleen de classificatie ondersteunt.
Als het label echter is geconfigureerd voor zowel classificatie als beveiliging en het .txt bestandstype is opgenomen om de scanner te beveiligen, kan de scanner het bestand labelen.
Volgende stappen
Zie de volgende artikelen voor meer informatie over het implementeren van de scanner:
- Vereisten voor AIP-scannerimplementatie
- De AIP-scanner configureren en installeren
- Scans uitvoeren met de AIP-scanner
Meer informatie:
Bekijk onze end-to-end demovideo van de scanner! Bekijk een stapsgewijs overzicht van de architectuur, architectuur, aanbeveling, installatie en configuratie van de AIP-scanner.
Bekijk onze blog over best practices voor de geïntegreerde labelscanner: Best practices voor het implementeren en gebruiken van de AIP UL-scanner
Bent u geïnteresseerd in de manier waarop het Team Voor Technische en Bewerkingen van Core Services in Microsoft deze scanner heeft geïmplementeerd? Lees de technische case study: Gegevensbescherming automatiseren met Azure Information Protection scanner.
U kunt PowerShell ook gebruiken om bestanden interactief te classificeren en te beveiligen op uw desktopcomputer. Zie PowerShell gebruiken met de geïntegreerde labelingclient van Azure Information Protection voor meer informatie over deze en andere scenario's waarin PowerShell wordt gebruikt.