De geïntegreerde labelingsscanner voor Azure Information Protection (AIP) configureren en installeren

Van toepassing op: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Alleen relevant voor: AIP unified labeling client.

In dit artikel wordt beschreven hoe u de geïntegreerde, on-premises scanner van Azure Information Protection configureert en installeert.

Overzicht

Controleer voordat u begint of uw systeem voldoet aan de vereiste vereisten.

Als u de Azure-portal wilt gebruiken, gebruikt u de volgende stappen:

1. De scannerinstellingen configureren

2. De scanner installeren

3. Een Azure AD-token voor de scanner krijgen

4. De scanner configureren om classificatie en beveiliging toe te passen

Voer vervolgens de volgende configuratieprocedures uit voor uw systeem:

Als u geen toegang hebt tot de scannerpagina's in de Azure-portal, configureert u alleen scannerinstellingen in PowerShell. Zie PowerShell gebruiken om de scanner en ondersteunde PowerShell-cmdlets te configurerenvoor meer informatie.

De scannerinstellingen configureren

Voordat u de scanner installeert of upgradet vanuit een oudere versie van algemene beschikbaarheid, configureert of controleert u de scannerinstellingen.

De scanner configureren in de Azure-portal:

1. Meld u aan bij de Azure-portal met een van de volgende rollen:

   • Compliancebeheerder
   • Beheerder van compliancegegevens
   • Beveiligingsbeheerder
   • Globale beheerder

   Ga vervolgens naar het deelvenster Azure Information Protection.

   Typ bijvoorbeeld in het zoekvak naar resources, services en documenten gegevens en selecteer Azure Information Protection.

2. Een scannercluster maken. Dit cluster definieert de scanner en wordt gebruikt om het scanner-exemplaar te identificeren, zoals tijdens de installatie, upgrades en andere processen.

3. (Optioneel) Scan uw netwerk op risicovolle opslagplaatsen. Maak een netwerkscan om een opgegeven IP-adres of bereik te scannen en geef een lijst op met risicovolle opslagplaatsen die mogelijk gevoelige inhoud bevatten die u wilt beveiligen.

   Voer uw netwerkscan uit en analyseer alle risicovolle opslagplaatsen die zijn gevonden.

4. Maak een inhoudsscan om de opslagplaatsen te definiëren die u wilt scannen.

Een scannercluster maken

1. Selecteer in het menu Scanner aan de linkerkant hetpictogramicon clusters

2. Selecteer pictogram toevoegen toevoegen in het deelvenster Azure Information Protection - Clusters.

3. Typ in het deelvenster Een nieuw cluster toevoegen een duidelijke naam voor de scanner en een optionele beschrijving.

   De clusternaam wordt gebruikt om de configuraties en opslagplaatsen van de scanner te identificeren. U kunt bijvoorbeeld Europa invoeren om de geografische locaties te identificeren van de gegevens repositories die u wilt scannen.

   U gebruikt deze naam later om te bepalen waar u de scanner wilt installeren of upgraden.

4. Selecteer Pictogramopslaan uw wijzigingen op te slaan.

Een netwerkscan maken (openbare preview)

Voeg een of meer van de gevonden opslagplaatsen toe aan een inhoudsscan om ze te scannen op gevoelige inhoud.

In de volgende tabel worden vereisten beschreven die nodig zijn voor de netwerkdetectieservice:

Een netwerkscan maken

1. Meld u aan bij de Azure-portal en ga naar Azure Information Protection. Selecteer onder het menu Scanner aan de linkerkant het pictogram Netwerkscantaken (Voorbeeld)van netwerkscantaken .

2. Selecteer pictogram toevoegen toevoegen in het deelvenster Azure Information Protection - Netwerkscantaken.

3. Definieer de volgende instellingen op de pagina Een nieuwe netwerkscan toevoegen:

   Instelling	Beschrijving
   Naam van netwerkscan	Voer een betekenisvolle naam in voor deze taak. Dit veld is vereist.
   Beschrijving	Voer een duidelijke beschrijving in.
   Het cluster selecteren	Selecteer in de vervolgkeuzekeuzegrafiek het cluster dat u wilt gebruiken om de geconfigureerde netwerklocaties te scannen. Tip:Wanneer u een cluster selecteert, moet u ervoor zorgen dat de knooppunten in het cluster dat u toewijst, toegang hebben tot de geconfigureerde IP-bereiken via SMB.
   IP-bereik configureren om te ontdekken	Klik om een IP-adres of bereik te definiëren. Voer in het deelvenster IP-bereik kiezen een optionele naam in en voer vervolgens een IP-adres voor begin- en eind-IP-adres voor uw bereik in. Tip:Als u alleen een specifiek IP-adres wilt scannen, voert u het identieke IP-adres in zowel de ip-velden Begin ip als IP-einde in.
   Planning instellen	Definieer hoe vaak u wilt dat deze netwerkscan wordt uitgevoerd. Als u Wekelijks selecteert,wordt de taak Netwerkscan uitvoeren bij instelling weergegeven. Selecteer de dagen van de week waarop u de netwerkscan wilt uitvoeren.
   Begintijd instellen (UTC)	Definieer de datum en tijd waarop deze netwerkscan moet worden uitgevoerd. Als u hebt geselecteerd om de taak dagelijks, wekelijks of maandelijks uit te voeren, wordt de taak uitgevoerd op het gedefinieerde tijdstip, bij het terugkeerpatroon dat u hebt geselecteerd. Opmerking:Wees voorzichtig bij het instellen van de datum op dagen aan het einde van de maand. Als u 31 selecteert,wordt de netwerkscan niet uitgevoerd in een maand die 30 dagen of minder heeft.

4. Selecteer Pictogramopslaan uw wijzigingen op te slaan.

Risicovolle opslagplaatsen analyseren (openbare preview)

Repositories die zijn gevonden door een netwerkscan, een inhoudsscan of door gebruikerstoegang die is gedetecteerd in logboekbestanden, worden samengevoegd en weergegeven in het pictogram van scanners.

Als u een netwerkscanbaan hebt gedefinieerd en deze hebt ingesteld op een bepaalde datum en tijd, wacht u totdat deze is uitgevoerd om te controleren op resultaten. U kunt hier ook terugkeren nadat u een inhoudsscan hebt uitgevoerd om bijgewerkte gegevens weer te geven.

1. Selecteer onder het menu Scanner aan de linkerkant het pictogram.

   De gevonden opslagplaatsen worden als volgt weergegeven:

   • In de grafiek Repositories by status wordt weergegeven hoeveel opslagplaatsen al zijn geconfigureerd voor een inhoudsscan en hoeveel niet.
   • In de top 10 niet-bemande opslagplaatsen door access graph worden de tien belangrijkste opslagplaatsen weergegeven die momenteel niet zijn toegewezen aan een inhoudsscan, evenals informatie over de toegangsniveaus. Access-niveaus kunnen aangeven hoe riskant uw opslagplaatsen zijn.
   • De tabel onder de grafieken vermeldt elke opslagplaats die is gevonden en de details ervan.

2. Ga als volgt te werk:

   Optie	Beschrijving
   	Selecteer Kolommen om de weergegeven tabelkolommen te wijzigen.
   	Als de scanner onlangs netwerkscanresultaten heeft uitgevoerd, selecteert u Vernieuwen om de pagina te vernieuwen.
   	Selecteer een of meer opslagplaatsen in de tabel en selecteer Geselecteerde items toewijzen om ze toe te wijzen aan een inhoudsscan.
   Filteren	De filterrij bevat alle filtercriteria die momenteel worden toegepast. Selecteer een van de criteria die worden weergegeven om de instellingen te wijzigen of selecteer Filter toevoegen om nieuwe filtercriteria toe te voegen. Selecteer Filteren om uw wijzigingen toe te passen en de tabel te vernieuwen met het bijgewerkte filter.
   	Klik in de rechterbovenhoek van de grafiek met niet-bemande opslagplaatsen op het pictogram Logboekanalyse om naar De analysegegevens voor deze opslagplaatsen te gaan.

Opslagplaatsen waar openbare toegang kan worden gebruikt voor lezen of schrijven, bevatten mogelijk gevoelige inhoud die moet worden beveiligd. Als openbare toegang onwaar is, is de opslagplaats helemaal niet toegankelijk voor het publiek.

Openbare toegang tot een opslagplaats wordt alleen gerapporteerd als u een zwak account hebt ingesteld in de parameter StandardDomainsUserAccount van de cmdlets Install-MIPNetworkDiscovery of Set-MIPNetworkDiscoveryConfiguration.

• De accounts die in deze parameters zijn gedefinieerd, worden gebruikt om de toegang van een zwakke gebruiker tot de opslagplaats te simuleren. Als de zwakke gebruiker die daar is gedefinieerd, toegang heeft tot de opslagplaats, betekent dit dat de opslagplaats openbaar toegankelijk is.

• Als u ervoor wilt zorgen dat openbare toegang correct wordt gerapporteerd, moet u ervoor zorgen dat de gebruiker die in deze parameters is opgegeven, alleen lid is van de groep Domeingebruikers.

Een inhoudsscan maken

Duik diep in uw inhoud om specifieke opslagplaatsen te scannen op gevoelige inhoud.

Mogelijk wilt u dit alleen doen nadat u een netwerkscan hebt uitgevoerd om de opslagplaatsen in uw netwerk te analyseren, maar u kunt uw opslagplaatsen ook zelf definiëren.

Uw inhoudsscan-taak maken in de Azure-portal:

1. Selecteer onder het menu Scanner aan de linkerkant de optie Inhoudsscantaken.

2. Selecteer in het deelvenster Azure Information Protection - Inhoudsscantaken het pictogramPictogram

3. Voor deze eerste configuratie configureert u de volgende instellingen en selecteert u Opslaan, maar sluit u het deelvenster niet.

   Instelling	Beschrijving
   Taakinstellingen voor inhoudsscan	- - De standaardinstelling van Handmatig behouden - - alleen wijzigen in beleid - - Configureer op dit moment niet omdat de taak voor het scannen van inhoud eerst moet worden opgeslagen.
   DLP-beleid	Als u een Microsoft 365 DLP-beleid (Data Loss Prevention) gebruikt, stelt u DLP-regels inschakelen in op Aan. Zie Een DLP-beleid gebruikenvoor meer informatie.
   Gevoeligheidsbeleid	- - Uit selecteren - - De standaardwaarde van Aan behouden - - de standaardinstelling van beleid behouden - - De standaardinstelling van Uit behouden
   Bestandsinstellingen configureren	- - De standaardwaarde van Aan behouden - - De standaardbestandstypen behouden voor Uitsluiten - - de standaardinstelling van scanneraccount behouden - - gebruik deze optie alleen wanneer u een DLP-beleid gebruikt.

4. Nu de taak inhoudsscan is gemaakt en opgeslagen, kunt u terugkeren naar de optie Repositories configureren om de gegevensopslag op te geven die moet worden gescand.

   Geef UNC-paden en SharePoint Server-URL's op voor SharePoint on-premises documentbibliotheken en -mappen.

   Opmerking

   SharePoint Server 2019, SharePoint Server 2016 en SharePoint Server 2013 worden ondersteund voor SharePoint. SharePoint Server 2010 wordt ook ondersteund wanneer u uitgebreide ondersteuning hebt voor deze versie van SharePoint.

   Als u uw eerste gegevensopslag wilt toevoegen, selecteert u in het taakvenster Nieuwe inhoudsscan toevoegen de optie Opslagplaatsen configureren om het deelvenster Repositories te openen:

   

   1. Selecteer in het deelvenster Opslagplaatsen de optie Toevoegen:

      

   2. Geef in het deelvenster Repository het pad voor de gegevensopslagplaats op en selecteer opslaan.

      • Gebruik voor een netwerk delen \\Server\Folder .
      • Gebruik voor SharePoint bibliotheek http://sharepoint.contoso.com/Shared%20Documents/Folder .
      • Voor een lokaal pad: C:\Folder
      • Voor een UNC-pad: \\Server\Folder

   Opmerking

   Jokertekens worden niet ondersteund en WebDav-locaties worden niet ondersteund.

   Als u een pad SharePoint gedeeldedocumenten:

   • Geef Gedeelde documenten op in het pad wanneer u alle documenten en alle mappen van gedeelde documenten wilt scannen. Bijvoorbeeld: http://sp2013/SharedDocuments
   • Geef Documenten op in het pad wanneer u alle documenten en alle mappen wilt scannen vanuit een submap onder Gedeelde documenten. Bijvoorbeeld: http://sp2013/Documents/SalesReports
   • Of geef alleen de FQDN van uw Sharepoint op, bijvoorbeeld om alle SharePoint-sites en subsites te ontdekken en te scannen onder een specifieke URL en ondertitels onder deze URL. Verleen scanner Site Collector Auditor-rechten om dit in te stellen.

   Voor de overige instellingen in dit deelvenster wijzigt u deze niet voor deze eerste configuratie, maar houdt u deze standaard als inhoudsscan. De standaardinstelling betekent dat de gegevensopslagplaats de instellingen over neemt van de inhoudsscan.

   Gebruik de volgende syntaxis bij het toevoegen SharePoint paden:

   Pad	Syntaxis
   Hoofdpad	http://<SharePoint server name> Scant alle sites, inclusief alle siteverzamelingen die zijn toegestaan voor de scannergebruiker. Extra machtigingen nodig om hoofdinhoud automatisch te ontdekken
   Specifieke SharePoint subsite of verzameling	Een van de volgende opties: - http://<SharePoint server name>/<subsite name> - http://SharePoint server name>/<site collection name>/<site name> Vereist extra machtigingen voor het automatisch ontdekken van inhoud van siteverzamelingen
   Specifieke SharePoint bibliotheek	Een van de volgende opties: - http://<SharePoint server name>/<library name> - http://SharePoint server name>/.../<library name>
   Specifieke SharePoint map	http://<SharePoint server name>/.../<folder name>

5. Herhaal de vorige stappen om zo veel mogelijk opslagplaatsen toe te voegen.

   Wanneer u klaar bent, sluit u zowel de taakvensters Repositories als Inhoudsscan.

Terug in het taakvenster Azure Information Protection - Inhoudsscan wordt de naam van de inhoudsscan weergegeven, samen met de kolom PLANNING waarin Handmatig wordt weergegeven en de kolom AFDWINGEN leeg is.

U bent nu klaar om de scanner te installeren met de inhoudsscanner die u hebt gemaakt. Ga verder met De scanner installeren.

De scanner installeren

Nadat u de Azure Information Protection-scannerhebt geconfigureerd, voert u de onderstaande stappen uit om de scanner te installeren. Deze procedure wordt volledig uitgevoerd in PowerShell.

1. Meld u aan bij de Windows servercomputer waarin de scanner wordt uitgevoerd. Gebruik een account met lokale beheerdersrechten en die machtigingen heeft om naar de hoofddatabase SQL Server schrijven.

   Belangrijk

   U moet de geïntegreerde AIP-labelingclient op uw computer hebben geïnstalleerd voordat u de scanner installeert.

   Zie Vereisten voor het installeren en implementeren van de Azure Information Protection-scannervoor meer informatie.

2. Open een Windows PowerShell sessie met de optie Uitvoeren als beheerder.

3. Voer de cmdlet Install-AIPScanner uit en geef uw SQL Server-exemplaar op waarop u een database wilt maken voor de Azure Information Protection-scanner en de naam van het scannercluster dat u hebt opgegeven inde vorige sectie:

   Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
   

   Voorbeelden, met de naam van het scannercluster van Europa:

   • Voor een standaard exemplaar: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

   • Voor een benoemd exemplaar: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

   • Voor SQL Server Express:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

   Wanneer u wordt gevraagd, geeft u de Active Directory-referenties op voor het scannerserviceaccount.

   Gebruik de volgende syntaxis: \<domain\user name> . Bijvoorbeeld: contoso\scanneraccount

4. Controleer of de service nu is geïnstalleerd met De services voor beheerhulpmiddelen.

   De geïnstalleerde service heeft de naam Azure Information Protection Scanner en is geconfigureerd voor gebruik met het scannerserviceaccount dat u hebt gemaakt.

Nu u de scanner hebt geïnstalleerd, moet u een Azure AD-token krijgen om het scannerserviceaccount te verifiëren, zodat de scanner onbeheerd kan worden uitgevoerd.

Een Azure AD-token voor de scanner krijgen

Met een Azure AD-token kan de scanner zich verifiëren bij de Azure Information Protection-service, zodat de scanner niet-interactief kan worden uitgevoerd.

Zie Bestanden op een niet-interactievemanier labelen voor Azure Information Protection voor meer informatie.

Een Azure AD-token krijgen:

1. Open de Azure-portal om een Azure AD-toepassing te maken om een toegangs token voor verificatie op te geven.

2. Meld Windows u aan met dit account en start een PowerShell-sessie als uw scannerserviceaccount lokaal is toegewezen voor de installatie, als uw scannerserviceaccount lokaal is toegewezen voor de installatie.

   Voer Set-AIPAuthentication uiten geef de waarden op die u hebt gekopieerd uit de vorige stap:

   Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
   

   Bijvoorbeeld:

   $pscreds = Get-Credential CONTOSO\scanner
   Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
   Acquired application access token on behalf of CONTOSO\scanner.
   

   Tip

   Als uw scannerserviceaccount niet kan worden verleend aan het lokaal aanmelden voor de installatie, gebruikt u de parameter OnBehalfOf met Set-AIPAuthentication, zoals wordt beschreven in Bestanden niet-interactieflabelen voor Azure Information Protection .

De scanner heeft nu een token om te verifiëren bij Azure AD. Dit token is geldig voor één jaar, twee jaar of nooit, volgens uw configuratie van de web-app /API-clientgeheim in Azure AD. Wanneer het token verloopt, moet u deze procedure herhalen.

Ga verder met een van de volgende stappen, afhankelijk van of u de Azure-portal gebruikt om de scanner te configureren, of alleen PowerShell:

De scanner configureren om classificatie en beveiliging toe te passen

De standaardinstellingen configureren de scanner om één keer te worden uitgevoerd en in de modus alleen voor rapportage. Als u deze instellingen wilt wijzigen, bewerkt u de taak inhoudsscan.

De scanner zodanig configureren dat classificatie en beveiliging worden toegepast:

1. Selecteer in de Azure-portal in het deelvenster Azure Information Protection - Inhoudsscantaken de taak cluster- en inhoudsscan om deze te bewerken.

2. Wijzig het volgende in het taakvenster Inhoudsscan en selecteer Opslaan:

   • Vanuit de sectie Inhoudsscan: De planning wijzigen inAltijd
   • Vanuit de sectie Gevoeligheidsbeleid:Afdwingen wijzigen inAan

   Tip

   Mogelijk wilt u andere instellingen in dit deelvenster wijzigen, zoals of bestandskenmerken worden gewijzigd en of de scanner bestanden opnieuw kan labelen. Gebruik de informatiepopuphulp voor meer informatie over elke configuratie-instelling.

3. Noteer de huidige tijd en start de scanner opnieuw vanuit het deelvenster Azure Information Protection - Inhoudsscantaken:

   

De scanner wordt nu continu uitgevoerd. Wanneer de scanner door alle geconfigureerde bestanden werkt, wordt er automatisch een nieuwe cyclus gestart, zodat nieuwe en gewijzigde bestanden worden gevonden.

Een DLP-beleid gebruiken

Met een Microsoft 365 DLP-beleid (Data Loss Prevention) kan de scanner mogelijke gegevenslekken detecteren door DLP-regels te koppelen aan bestanden die zijn opgeslagen in bestandsaandelen en SharePoint Server.

• Schakel DLP-regels in uw inhoudsscanbaan in om de blootstelling van bestanden die overeenkomen met uw DLP-beleid te verminderen. Wanneer uw DLP-regels zijn ingeschakeld, kan de scanner de bestandstoegang tot gegevenseigenaren beperken of de blootstelling aan netwerkbrede groepen verminderen, zoals Iedereen,Geverifieerde gebruikers ofDomeingebruikers.

• Bepaal in Microsoft 365-compliancecentrumof u alleen uw DLP-beleid wilt testen of dat uw regels moeten worden afgedwongen en of uw bestandsmachtigingen volgens deze regels moeten worden gewijzigd. Zie Een DLP-beleid in- en uit- zettenvoor meer informatie.

DLP-beleid wordt geconfigureerd in de Microsoft 365-compliancecentrum. Zie Aan de slag met de on-premises scanner voor preventie van gegevensverlies voor meer informatie over DLP-licenties.

Een DLP-beleid gebruiken met de scanner:

1. Navigeer in de Azure-portal naar uw inhoudsscan. Zie Een inhoudsscan maken voor meer informatie.

2. Stel onder DLP-beleidDLP-regels inschakelen in op Aan.

   Belangrijk

   Stel DLP-regels inschakelen niet in op Aan, tenzij u een DLP-beleid hebt geconfigureerd in Microsoft 365.

   Als u deze functie zonder DLP-beleid in- of uit- of in-/uitschakelen, kan de scanner fouten genereren.

3. (Optioneel) Stel onder Bestandsinstellingen configurerende eigenaar van de opslagplaats instellen in op Aanen definieert een specifieke gebruiker als de eigenaar van de opslagplaats.

   Met deze optie kan de scanner de blootstelling van bestanden in deze opslagplaats, die overeenkomen met het DLP-beleid, beperken tot de eigenaar van de opslagplaats die is gedefinieerd.

DLP-beleid en privéacties uitvoeren

Als u een DLP-beleid gebruikt met een persoonlijke actie en ook van plan bent om de scanner te gebruiken om uw bestanden automatisch te labelen, raden we u aan ook de geavanceerde instelling UseCopyAndPreserveNTFSOwner van de geïntegreerde labelingclient te definiëren.

Deze instelling zorgt ervoor dat de oorspronkelijke eigenaren toegang tot hun bestanden behouden.

Zie Een inhoudsscan maken en Een gevoeligheidslabel toepassen op inhoud automatisch in de documentatie Microsoft 365 inhoud.

Wijzigen welke bestandstypen u wilt beveiligen

De AIP-scanner beschermt standaard alleen Office bestandstypen en PDF-bestanden.

Gebruik PowerShell-opdrachten om dit gedrag zo nodig te wijzigen, zoals het configureren van de scanner om alle bestandstypen te beveiligen, net zoals de client, of om extra, specifieke bestandstypen te beveiligen.

Voor een labelbeleid dat van toepassing is op het gebruikersaccount dat etiketten voor de scanner downloadt, geeft u een geavanceerde PowerShell-instelling op met de naam PFileSupportedExtensions.

Voor een scanner die toegang heeft tot internet, is dit gebruikersaccount het account dat u opgeeft voor de parameter DelegatedUser met de Set-AIPAuthentication opdracht.

Voorbeeld 1:PowerShell-opdracht voor de scanner om alle bestandstypen te beveiligen, waarbij het labelbeleid de naam 'Scanner' heeft:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Voorbeeld 2: PowerShell- opdracht voor de scanner om .xml-bestanden en .tiff-bestanden te beveiligen, naast Office-bestanden en PDF-bestanden, waarbij uw labelbeleid de naam 'Scanner' krijgt:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Zie Welke bestandstypen u wilt beveiligen voor meer informatie.

Uw scanner upgraden

Als u de scanner eerder hebt geïnstalleerd en een upgrade wilt uitvoeren, gebruikt u de instructies die worden beschreven in De Azure Information Protection-scanner upgraden.

Vervolgens configureert engebruikt u de scanner zoals u gewend bent en kunt u de stappen voor het installeren van de scanner overslaan.

Instellingen voor gegevensopslag in bulk bewerken

Gebruik de knoppen Exporteren en importeren om wijzigingen aan te brengen voor de scanner in verschillende opslagplaatsen.

Op deze manier hoeft u niet meerdere keren handmatig dezelfde wijzigingen aan te brengen in de Azure-portal.

Als u bijvoorbeeld een nieuw bestandstype hebt op verschillende SharePoint gegevensrepresitories, kunt u de instellingen voor deze opslagplaatsen bulksgewijs bijwerken.

Als u bulksgewijs wijzigingen wilt aanbrengen in alle opslagplaatsen:

1. Selecteer in de Azure-portal in het deelvenster Repositories de optie Exporteren. Bijvoorbeeld:

   

2. Bewerk het geëxporteerde bestand handmatig om de wijziging aan te brengen.

3. Gebruik de optie Importeren op dezelfde pagina om de updates weer in de opslagplaatsen te importeren.

De scanner gebruiken met alternatieve configuraties

De Azure Information Protection-scanner zoekt meestal naar voorwaarden die zijn opgegeven voor uw etiketten om uw inhoud zo nodig te classificeren en te beveiligen.

In de volgende scenario's kan de Azure Information Protection-scanner ook uw inhoud scannen en etiketten beheren, zonder dat de voorwaarden zijn geconfigureerd:

• Een standaardlabel toepassen op alle bestanden in een gegevensopslagplaats
• Bestaande labels verwijderen uit alle bestanden in een gegevensopslagplaats
• Alle aangepaste voorwaarden en bekende gevoelige informatietypen identificeren

Een standaardlabel toepassen op alle bestanden in een gegevensopslagplaats

In deze configuratie worden alle niet-gelabelde bestanden in de opslagplaats voorzien van het standaardlabel dat is opgegeven voor de opslagplaats of de inhoudsscan. Bestanden worden zonder controle gelabeld.

Configureer de volgende instellingen:

Bestaande labels verwijderen uit alle bestanden in een gegevensopslagplaats

In deze configuratie worden alle bestaande etiketten verwijderd, inclusief beveiliging, als de beveiliging met het label is toegepast. Beveiliging die onafhankelijk van een label wordt toegepast, blijft behouden.

Configureer de volgende instellingen:

Alle aangepaste voorwaarden en bekende gevoelige informatietypen identificeren

Met deze configuratie kunt u gevoelige informatie vinden die u mogelijk niet had, ten koste van scantarieven voor de scanner.

Stel de gegevenstypen in op Alles.

Als u voorwaarden en informatietypen voor labeling wilt identificeren, gebruikt de scanner alle opgegeven aangepaste gevoelige informatietypen en de lijst met ingebouwde typen gevoelige informatie die beschikbaar zijn om te selecteren, zoals gedefinieerd in uw labelbeheercentrum.

Prestaties van scanners optimaliseren

Gebruik de volgende opties en richtlijnen om de prestaties van scanners te optimaliseren:

Extra factoren die van invloed zijn op de prestaties

Andere factoren die van invloed zijn op de prestaties van de scanner zijn:

PowerShell gebruiken om de scanner te configureren

In deze sectie worden de stappen beschreven die nodig zijn om de on-premises AIP-scanner te configureren en te installeren wanneer u geen toegang hebt tot de scannerpagina's in de Azure-portal en alleen PowerShell mag gebruiken.

Zie Ondersteunde PowerShell-cmdlets voormeer informatie.

Uw scanner configureren en installeren:

1. Begin met PowerShell gesloten. Als u eerder de AIP-client en -scanner hebt geïnstalleerd, moet u ervoor zorgen dat de AIPScanner-service is gestopt.

2. Open een Windows PowerShell sessie met de optie Uitvoeren als beheerder.

3. Voer de opdracht Installeren-AIPScanner uit om de scanner te installeren op SQL server-exemplaar, met de parameter Cluster om de clusternaam te definiëren.

   Deze stap is identiek, ongeacht of u toegang hebt tot de scannerpagina's in de Azure-portal. Zie de eerdere instructies in dit artikel voor meer informatie: De scanner installeren

4. U kunt een Azure-token gebruiken met uw scanner en vervolgens opnieuw verifiëren.

   Deze stap is identiek, ongeacht of u toegang hebt tot de scannerpagina's in de Azure-portal. Zie de eerdere instructies in dit artikel voor meer informatie: Een Azure AD-token voor de scanner verkrijgen.

5. Voer de uit om de scanner in te stellen op functie in de offlinemodus. Uitvoeren:

   Set-AIPScannerConfiguration -OnlineConfiguration Off
   

6. Voer de cmdlet Set-AIPScannerContentScanJob uit om een standaard taak voor inhoudsscans te maken.

   De enige vereiste parameter in de cmdlet Set-AIPScannerContentScanJob is Afdwingen. Het is echter mogelijk dat u op dit moment andere instellingen wilt definiëren voor uw inhoudsscan. Bijvoorbeeld:

   Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
   

   De syntaxis hierboven configureert de volgende instellingen terwijl u doorgaat met de configuratie:

   • De planning van de scanner wordt handmatig uitgevoerd
   • Hiermee stelt u de informatietypen in die moeten worden gevonden op basis van het beleid voor gevoeligheidslabels
   • Wordt een beleid voor het labelen van gevoeligheid niet afgedwongen
   • Bestanden automatisch labelen op basis van inhoud, met behulp van het standaardlabel dat is gedefinieerd voor het beleid voor gevoeligheidslabels
   • Het opnieuw labelen van bestanden is niet toegestaan
   • Behoudt bestandsdetails tijdens het scannen en automatisch labelen, inclusief datum gewijzigd,laatstgewijzigd en gewijzigd door waarden
   • Hiermee stelt u de scanner in om MSG- en TMP-bestanden uit te sluiten tijdens het uitvoeren
   • Stelt de standaardeigenaar in op het account dat u wilt gebruiken bij het uitvoeren van de scanner

7. Gebruik de cmdlet Add-AIPScannerRepository om de opslagplaatsen te definiëren die u wilt scannen in uw inhoudsscan. Voer bijvoorbeeld het volgende uit:

   Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
   

   Gebruik een van de volgende syntaxis, afhankelijk van het type opslagplaats dat u toevoegt:

   • Gebruik voor een netwerk delen \\Server\Folder .
   • Gebruik voor SharePoint bibliotheek http://sharepoint.contoso.com/Shared%20Documents/Folder .
   • Voor een lokaal pad: C:\Folder
   • Voor een UNC-pad: \\Server\Folder

   Opmerking

   Jokertekens worden niet ondersteund en WebDav-locaties worden niet ondersteund.

   Als u de opslagplaats later wilt wijzigen, gebruikt u in plaats daarvan de cmdlet Set-AIPScannerRepository.

   Als u een pad SharePoint gedeelde documenten:

   • Geef Gedeelde documenten op in het pad wanneer u alle documenten en alle mappen van gedeelde documenten wilt scannen. Bijvoorbeeld: http://sp2013/SharedDocuments
   • Geef Documenten op in het pad wanneer u alle documenten en alle mappen wilt scannen vanuit een submap onder Gedeelde documenten. Bijvoorbeeld: http://sp2013/Documents/SalesReports
   • Of geef alleen de FQDN van uw Sharepoint op, bijvoorbeeld om alle SharePoint-sites en subsites te ontdekken en te scannen onder een specifieke URL en ondertitels onder deze URL. Verleen scanner Site Collector Auditor-rechten om dit in te stellen.

   Gebruik de volgende syntaxis bij het toevoegen SharePoint paden:

   Pad	Syntaxis
   Hoofdpad	http://<SharePoint server name> Scant alle sites, inclusief alle siteverzamelingen die zijn toegestaan voor de scannergebruiker. Extra machtigingen nodig om hoofdinhoud automatisch te ontdekken
   Specifieke SharePoint subsite of verzameling	Een van de volgende opties: - http://<SharePoint server name>/<subsite name> - http://SharePoint server name>/<site collection name>/<site name> Vereist extra machtigingen voor het automatisch ontdekken van inhoud van siteverzamelingen
   Specifieke SharePoint bibliotheek	Een van de volgende opties: - http://<SharePoint server name>/<library name> - http://SharePoint server name>/.../<library name>
   Specifieke SharePoint map	http://<SharePoint server name>/.../<folder name>

Ga zo nodig verder met de volgende stappen:

• AIP configureren voor klanten in China
• Een detectiecyclus uitvoeren en rapporten voor de scanner weergeven
• PowerShell gebruiken om de scanner zo te configureren dat classificatie en beveiliging worden toegepast
• PowerShell gebruiken om een DLP-beleid met de scanner te configureren

PowerShell gebruiken om de scanner zo te configureren dat classificatie en beveiliging worden toegepast

1. Voer de cmdlet Set-AIPScannerContentScanJob uit om uw inhoudsscanbaan bij te werken, om uw planning in te stellen op altijd en uw gevoeligheidsbeleid af te dwingen.

   Set-AIPScannerContentScanJob -Schedule Always -Enforce On
   

   Tip

   Mogelijk wilt u andere instellingen in dit deelvenster wijzigen, zoals of bestandskenmerken worden gewijzigd en of de scanner bestanden opnieuw kan labelen. Zie de volledige PowerShell-documentatievoor meer informatie over de beschikbare instellingen.

2. Voer de cmdlet Start-AIPScan uit om uw inhoudsscan-taak uit te voeren:

   Start-AIPScan
   

De scanner wordt nu continu uitgevoerd. Wanneer de scanner door alle geconfigureerde bestanden werkt, wordt er automatisch een nieuwe cyclus gestart, zodat nieuwe en gewijzigde bestanden worden gevonden.

PowerShell gebruiken om een DLP-beleid met de scanner te configureren

1. Voer de cmdlet Set-AIPScannerContentScanJob opnieuw uit met de parameter -EnableDLP ingesteld op Aanen met een specifieke repository-eigenaar gedefinieerd.

   Bijvoorbeeld:

   Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
   

Ondersteunde PowerShell-cmdlets

Deze sectie bevat PowerShell-cmdlets die worden ondersteund voor de Azure Information Protection-scanner en instructies voor het configureren en installeren van de scanner met alleen PowerShell.

Ondersteunde cmdlets voor de scanner zijn:

• Add-AIPScannerRepository

• Export-AIPLogs

• Get-AIPScannerConfiguration

• Get-AIPScannerContentScanJob

• Get-AIPScannerRepository

• Get-AIPScannerStatus

• Get-MIPNetworkDiscoveryConfiguration

• Get-MIPNetworkDiscoveryJobs

• Get-MIPNetworkDiscoveryStatus

• Get-MIPScannerContentScanJob

• Get-MIPScannerRepository

• Import-AIPScannerConfiguration

• Set-MIPNetworkDiscovery

• Import-MIPNetworkDiscoveryConfiguration

• Install-AIPScanner

• Install-MIPNetworkDiscovery

• Remove-MIPScannerContentScanJob

• Remove-MIPScannerRepository

• Set-AIPScanner

• Set-AIPScannerConfiguration

• Set-AIPScannerContentScanJob

• Set-AIPScannerRepository

• Set-MIPNetworkDiscoveryConfiguration

• Set-MIPScannerContentScanJob

• Set-MIPScannerRepository

• Start-AIPScan

• Start-AIPScanDiagnostics

• Start-MIPNetworkDiscovery

• Stop-AIPScan

• Remove-AIPScannerContentScanJob

• Remove-AIPScannerRepository

• Verwijderen-AIPScanner

• Verwijderen-MIPNetworkDiscovery

• Update-AIPScanner

Volgende stappen

Nadat u de scanner hebt geïnstalleerd en geconfigureerd, kunt u uw bestanden gaan scannen.

Zie ook: De Azure Information Protection-scannerimplementeren om bestanden automatisch te classificeren en te beveiligen.

Meer informatie:

• Bent u geïnteresseerd in de manier waarop het Team Voor Technische en Bewerkingen van Core Services in Microsoft deze scanner heeft geïmplementeerd? Lees de technische case study: Gegevensbescherming automatiseren met Azure Information Protection scanner.

• Gebruik PowerShell om bestanden interactief te classificeren en te beveiligen op uw desktopcomputer. Zie PowerShell gebruiken met de geïntegreerde labelingclient van Azure Information Protection voor meer informatie over deze en andere scenario's waarin PowerShell wordt gebruikt.