Wat is de Azure Information Protection Unified labeling scanner?What is the Azure Information Protection unified labeling scanner?

*Van toepassing op: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 **Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2*

*Relevant voor: alleen client voor het beheerders uniforme labelen. **Relevant for: AIP unified labeling client only.*

Notitie

Als u bestanden in Cloud opslagplaatsen wilt scannen en labelen, gebruikt u Cloud app Security in plaats van de scanner.To scan and label files on cloud repositories, use Cloud App Security instead of the scanner.

Gebruik de informatie in deze sectie voor meer informatie over de Azure Information Protection Unified labeling scanner, en hoe u deze kunt installeren, configureren, uitvoeren en zo nodig kunt oplossen.Use the information in this section to learn about the Azure Information Protection unified labeling scanner, and then how to successfully install, configure, run and if necessary, troubleshoot it.

De beheerders scanner wordt uitgevoerd als een service op Windows Server en stelt u in staat om bestanden in de volgende gegevens archieven te detecteren, classificeren en beveiligen:The AIP scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

  • UNC-paden voor netwerk shares die gebruikmaken van het SMB-of NFS-protocol (preview).UNC paths for network shares that use the SMB or NFS (Preview) protocols.

  • Share point-document bibliotheken en-map voor share point server 2019 tot en met share point server 2013.SharePoint document libraries and folder for SharePoint Server 2019 through SharePoint Server 2013. SharePoint 2010 wordt ook ondersteund voor klanten met uitgebreide ondersteuning voor deze versie van SharePoint.SharePoint 2010 is also supported for customers who have extended support for this version of SharePoint.

Om uw bestanden te classificeren en te beveiligen, gebruikt de scanner codelabels die zijn geconfigureerd in een van de Microsoft 365 labeling-beheer centrums, met inbegrip van de Microsoft 365 Security Center, het Microsoft 365 compliance Center en het Microsoft 365 Security and Compliance Center.To classify and protect your files, the scanner uses sensitivity labels configured in one of the Microsoft 365 labeling admin centers, including the Microsoft 365 Security Center, the Microsoft 365 Compliance Center, and the Microsoft 365 Security and Compliance Center.

Overzicht van Azure Information Protection Unified labeling-scannerAzure Information Protection unified labeling scanner overview

De beheerders scanner kan alle bestanden controleren die Windows kan indexeren.The AIP scanner can inspect any files that Windows can index. Als u gevoeligheids labels hebt geconfigureerd voor het Toep assen van automatische classificatie, kan de scanner de gedetecteerde bestanden labelen om die classificatie toe te passen en kunt u desgewenst beveiliging Toep assen of verwijderen.If you've configured sensitivity labels to apply automatic classification, the scanner can label discovered files to apply that classification, and optionally apply or remove protection.

In de volgende afbeelding ziet u de architectuur van de beheerders scanner, waarbij de scanner bestanden detecteert op uw lokale en share Point-servers.The following image shows the AIP scanner architecture, where the scanner discovers files across your on-premises and SharePoint servers.

Infra structuur voor het Azure Information Protection van uniforme labels

Om uw bestanden te controleren, gebruikt de scanner IFilters die zijn geïnstalleerd op de computer.To inspect your files, the scanner uses IFilters installed on the computer. Om te bepalen of de bestanden moeten worden gelabeld, gebruikt de scanner de Microsoft 365 ingebouwde gegevens verlies preventie (DLP) gevoeligheids gegevens typen en patronen detectie, of Microsoft 365 regex-patronen.To determine whether the files need labeling, the scanner uses the Microsoft 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Microsoft 365 regex patterns.

De scanner gebruikt de Azure Information Protection-client en kan dezelfde typen bestanden classificeren en beveiligen als de client.The scanner uses the Azure Information Protection client, and can classify and protect the same types of files as the client. Zie Bestands typen die worden ondersteund door de Azure Information Protection Unified labeling-clientvoor meer informatie.For more information, see File types supported by the Azure Information Protection unified labeling client.

Ga op een van de volgende manieren te werk om uw scans zo nodig te configureren:Do any of the following to configure your scans as needed:

  • Voer de scanner in detectie modus alleen uit om rapporten te maken die controleren wat er gebeurt wanneer uw bestanden worden gelabeld.Run the scanner in discovery mode only to create reports that check to see what happens when your files are labeled.
  • Voer de scanner uit om bestanden met gevoelige informatie te detecteren zonder labels te configureren die automatische classificatie Toep assen.Run the scanner to discover files with sensitive information, without configuring labels that apply automatic classification.
  • Voer de scanner automatisch uit om de geconfigureerde labels toe te passen.Run the scanner automatically to apply labels as configured.
  • Een lijst met bestands typen definiëren om specifieke bestanden op te geven die moeten worden gescand of moeten worden uitgesloten.Define a file types list to specify specific files to scan or to exclude.

Notitie

De scanner detecteert en label in realtime niet.The scanner does not discover and label in real time. De bestanden in de gegevens archieven die u opgeeft, worden systematisch verkend.It systematically crawls through files on data stores that you specify. Deze cyclus configureren om één keer of herhaaldelijk uit te voeren.Configure this cycle to run once, or repeatedly.

Tip

De Unified labeling scanner ondersteunt scanner clusters met meerdere knoop punten, waardoor uw organisatie kan uitschalen, snellere scan tijden en een breder bereik kan bereiken.The unified labeling scanner supports scanner clusters with multiple nodes, enabling your organization to scale out, achieving faster scan times and broader scope.

Implementeer vanaf het begin meerdere knoop punten, of begin met een cluster met één knoop punt en voeg later extra knoop punten toe wanneer u groeit.Deploy multiple nodes right from the start, or start with a single-node cluster and add additional nodes later on as you grow. Implementeer meerdere knoop punten met behulp van dezelfde cluster naam en Data Base voor de cmdlet install-AIPScanner .Deploy multiple nodes by using the same cluster name and database for the Install-AIPScanner cmdlet.

BEHEERDERS-scan procesAIP scanning process

Bij het scannen van bestanden voert de beheerders scanner de volgende stappen uit:When scanning files, the AIP scanner runs through the following steps:

1. bepalen of bestanden worden opgenomen of uitgesloten voor het scannen1. Determine whether files are included or excluded for scanning

2. bestanden controleren en labelen2. Inspect and label files

3. label bestanden die niet kunnen worden geïnspecteerd3. Label files that can't be inspected

Zie bestanden die niet zijn gelabeld door de scannervoor meer informatie.For more information, see Files not labeled by the scanner.

1. bepalen of bestanden worden opgenomen of uitgesloten voor het scannen1. Determine whether files are included or excluded for scanning

De scanner slaat automatisch bestanden over die zijn uitgesloten van classificatie en beveiliging, zoals uitvoer bare bestanden en systeem bestanden.The scanner automatically skips files that are excluded from classification and protection, such as executable files and system files. Zie bestands typen die zijn uitgesloten van classificatie en beveiligingvoor meer informatie.For more information, see File types excluded from classification and protection.

De scanner beschouwt ook alle bestands lijsten die expliciet zijn gedefinieerd om te scannen, of om te voor komen dat ze worden gescand.The scanner also considers any file lists explicitly defined to scan, or exclude from scanning. Bestands lijsten zijn standaard van toepassing op alle gegevens opslagplaatsen en kunnen ook alleen worden gedefinieerd voor specifieke opslag plaatsen.File lists apply for all data repositories by default, and can also be defined for specific repositories only.

Als u bestanden wilt definiëren voor scannen of uitsluiten, gebruikt u de Bestands typen om de instelling in de inhouds scan taak te scannen.To define file lists for scanning or exclusion, use the File types to scan setting in the content scan job. Bijvoorbeeld:For example:

Bestands typen configureren om te scannen op de Azure Information Protection scanner

Zie de Azure Information Protection scanner implementeren voor het automatisch classificeren en beveiligen van bestandenvoor meer informatie.For more information, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

2. bestanden controleren en labelen2. Inspect and label files

Na het identificeren van uitgesloten bestanden, worden de scanner filters opnieuw om bestanden te identificeren die voor inspectie worden ondersteund.After identifying excluded files, the scanner filters again to identify files supported for inspection.

Deze filters zijn dezelfde die worden gebruikt door het besturings systeem voor Windows Search en indexering, en vereisen geen extra configuratie.These filters are the same ones used by the operating system for Windows Search and indexing, and require no extra configuration. Windows IFilter wordt ook gebruikt voor het scannen van bestands typen die worden gebruikt door Word, Excel en Power Point, en voor PDF-documenten en tekst bestanden.Windows IFilter is also used to scan file types that are used by Word, Excel, and PowerPoint, and for PDF documents and text files.

Zie Bestands typen die worden ondersteund voor inspectievoor een volledige lijst met bestands typen die worden ondersteund voor inspectie en andere instructies voor het configureren van filters voor het opnemen van zip-en TIFF-bestanden.For a full list of file types supported for inspection, and other instructions for configuring filters to include .zip and .tiff files, see File types supported for inspection.

Na inspectie worden ondersteunde bestands typen aangeduid met de voor waarden die voor de labels zijn opgegeven.After inspection, supported file types are labeled using the conditions specified for your labels. Als u de detectie modus gebruikt, kunnen deze bestanden worden gerapporteerd met de voor waarden die zijn opgegeven voor uw labels of worden gerapporteerd om bekende gevoelige informatie typen te bevatten.If you're using discovery mode, these files can either be reported to contain the conditions specified for your labels, or reported to contain any known sensitive information types.

Scanner processen gestoptStopped scanner processes

Als de scanner stopt en geen scan voltooit voor een groot aantal bestanden in uw opslag plaats, moet u mogelijk het aantal dynamische poorten voor het besturings systeem dat als host fungeert voor de bestanden verhogen.If the scanner stops and doesn't complete a scan for a large number of files in your repository, you may need to increase the number of dynamic ports for the operating system hosting the files.

Server beveiliging voor share point is bijvoorbeeld een van de redenen waarom de scanner het aantal toegestane netwerk verbindingen overschrijdt, en daarom wordt gestopt.For example, server hardening for SharePoint is one reason why the scanner would exceed the number of allowed network connections, and therefore stop.

Als u wilt controleren of Server beveiliging voor share point de oorzaak is van het stoppen van de scanner, controleert u of het volgende fout bericht wordt weer gegeven in de scanner logboeken op %LocalAppData%\Microsoft\MSIP\Logs\MSIPScanner.iplog (er zijn meerdere logboeken gecomprimeerd in een zip-bestand):To check whether server hardening for SharePoint is the cause of the scanner stopping, check for the following error message in the scanner logs at %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (multiple logs are compressed into a zip file):

Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

Zie instellingen die kunnen worden gewijzigd om de netwerk prestaties te verbeterenvoor meer informatie over het weer geven van het huidige poort bereik en het verg Roten.For more information about how to view the current port range and increase it if needed, see Settings that can be modified to improve network performance.

Tip

Voor grote share point-Farms moet u mogelijk de drempel waarde voor de lijst weergave verhogen, met een standaard waarde van 5.000.For large SharePoint farms, you may need to increase the list view threshold, which has a default of 5,000.

Zie grote lijsten en bibliotheken beheren in share pointvoor meer informatie.For more information, see the Manage large lists and libraries in SharePoint.

3. label bestanden die niet kunnen worden geïnspecteerd3. Label files that can't be inspected

Voor bestands typen die niet kunnen worden geïnspecteerd, past de beheerders scanner het standaard label toe in het Azure Information Protection-beleid of het standaard label dat voor de scanner is geconfigureerd.For any file types that can't be inspected, the AIP scanner applies the default label in the Azure Information Protection policy, or the default label configured for the scanner.

Bestanden die niet zijn gelabeld door de scannerFiles not labeled by the scanner

De beheerders scanner kan geen label bestanden in de volgende omstandigheden:The AIP scanner cannot label files under the following circumstances:

  • Wanneer het label classificatie toepast, maar niet wordt beveiligd, en het bestands type geen classificatie ondersteunt door de client.When the label applies classification, but not protection, and the file type does not support classification-only by the client. Zie Unified labels client file typesvoor meer informatie.For more information, see Unified labeling client file types.

  • Wanneer het label classificatie en beveiliging toepast, maar de scanner het bestands type niet ondersteunt.When the label applies classification and protection, but the scanner does not support the file type.

    Standaard beveiligt de scanner alleen Office-bestands typen en PDF-bestanden wanneer ze worden beveiligd met de ISO-standaard voor PDF-versleuteling.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption.

    Andere typen bestanden kunnen worden toegevoegd voor beveiliging wanneer u de typen bestanden wijzigt die moeten worden beveiligd.Other types of files can be added for protection when you change the types of files to protect.

Voor beeld: na het inspecteren van. txt-bestanden kan de scanner geen label Toep assen dat alleen is geconfigureerd voor classificatie, omdat het bestands type. txt niet alleen ondersteuning biedt voor classificatie.Example: After inspecting .txt files, the scanner can't apply a label that's configured for classification only, because the .txt file type doesn't support classification only.

Als het label echter is geconfigureerd voor zowel classificatie als beveiliging en het bestands type txt is opgenomen voor de scanner, kan de scanner het bestand labelen.However, if the label is configured for both classification and protection, and the .txt file type is included for the scanner to protect, the scanner can label the file.

Volgende stappenNext steps

Raadpleeg de volgende artikelen voor meer informatie over het implementeren van de scanner:For more information about deploying the scanner, see the following articles:

Meer informatie:More information: