De scanner voor geïntegreerde Azure Information Protection (AIP) configureren en installeren

Van toepassing op: Azure Information Protection,Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Relevant voor: Alleen client voor eenduidige AIP-labels.

In dit artikel wordt beschreven hoe u de Azure Information Protection on-premises scanner configureert en installeert.

Overzicht

Controleer voordat u begint of uw systeem voldoet aan de vereiste vereisten.

Wanneer u klaar bent, gaat u verder met de volgende stappen:

  1. De scanner configureren in de Azure Portal

  2. De scanner installeren

  3. Een Azure AD-token voor de scanner op halen

  4. De scanner configureren om classificatie en beveiliging toe te passen

Voer vervolgens de volgende configuratieprocedures uit voor uw systeem:

Procedure Description
Wijzigen welke bestandstypen u wilt beveiligen Mogelijk wilt u verschillende bestandstypen scannen, classificeren of beveiligen dan de standaardinstelling. Zie AIP-scanproces voor meer informatie.
Uw scanner upgraden Upgrade uw scanner om gebruik te maken van de nieuwste functies en verbeteringen.
Instellingen voor gegevensopslagplaats bulksgewijs bewerken Gebruik import- en exportopties om bulksgewijs wijzigingen aan te brengen voor meerdere gegevens opslagplaatsen.
De scanner gebruiken met alternatieve configuraties Gebruik de scanner zonder labels met voorwaarden te configureren
Prestaties optimaliseren Richtlijnen voor het optimaliseren van de prestaties van uw scanner

Zie ook Ondersteunde PowerShell-cmdlets voor meer informatie.

De scanner configureren in de Azure Portal

Voordat u de scanner installeert of upgradet vanuit een oudere versie van algemene beschikbaarheid, configureert of verifieert u uw scannerinstellingen in het Azure Information Protection gebied van de Azure Portal.

Uw scanner configureren:

  1. Meld u aan bij Azure Portal met een van de volgende rollen:

    • Nalevingsbeheerder
    • Beheerder van nalevingsgegevens
    • Beveiligingsbeheerder
    • Globale beheerder

    Navigeer vervolgens naar Azure Information Protection deelvenster.

    Begin bijvoorbeeld in het zoekvak voor resources, services en documenten informatie te typen en selecteer Azure Information Protection.

  2. Maak een scannercluster. Dit cluster definieert uw scanner en wordt gebruikt om het scanner-exemplaar te identificeren, zoals tijdens de installatie, upgrades en andere processen.

  3. (Optioneel) Scan uw netwerk op riskante opslagplaatsen. Maak een netwerkscan om een opgegeven IP-adres of opgegeven bereik te scannen en geef een lijst met riskante opslagplaatsen op die mogelijk gevoelige inhoud bevatten die u wilt beveiligen.

    Voer uw netwerkscan job uit en analyseer vervolgens alle riskante opslagplaatsen die zijn gevonden.

  4. Maak een taak voor het scannen van inhoud om de opslagplaatsen te definiëren die u wilt scannen.

Een scannercluster maken

  1. Selecteer in het menu Scanner aan de linkerkant het pictogram Clustersclusters.

  2. Selecteer in Azure Information Protection deelvenster Clusters de optie Pictogram Toevoegen om toe te voegen.

  3. Voer in het deelvenster Een nieuw cluster toevoegen een beschrijvende naam voor de scanner en een optionele beschrijving in.

    De clusternaam wordt gebruikt om de configuraties en opslagplaatsen van de scanner te identificeren. U kunt bijvoorbeeld Europa invoeren om de geografische locaties te identificeren van de gegevens opslagplaatsen die u wilt scannen.

    U gebruikt deze naam later om te bepalen waar u de scanner wilt installeren of upgraden.

  4. Selecteer Het pictogram Opslaan opslaan om uw wijzigingen op te slaan.

Een netwerkscan taak maken (openbare preview)

Vanaf versie 2.8.85.0kunt u uw netwerk scannen op riskante opslagplaatsen. Voeg een of meer van de gevonden opslagplaatsen toe aan een inhoudsscan om ze te scannen op gevoelige inhoud.

Notitie

De Azure Information Protection functie voor netwerkdetectie is momenteel beschikbaar als preview-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

In de volgende tabel worden de vereisten beschreven die vereist zijn voor de netwerkdetectieservice:

Vereiste Description
De Network Discovery-service installeren Als u de scanner onlangs hebt bijgewerkt, moet u mogelijk nog steeds de netwerkdetectieservice installeren.

Voer de cmdlet Install-MIPNetworkDiscovery uit om netwerkscantaken in te stellen.
Azure Information Protection analytics Zorg ervoor dat u Azure Information Protection hebt ingeschakeld.

Ga in Azure Portal naar Azure Information Protection > Analyse > configureren (preview).

Zie Centrale rapportage voor Azure Information Protection (openbare preview) voor meer informatie.

Een netwerkscan job maken

  1. Meld u aan bij Azure Portal en ga naar Azure Information Protection. Selecteer in het menu Scanner aan de linkerkant het pictogram Netwerkscantaken (preview) voor netwerkscantaken.

  2. Selecteer in Azure Information Protection deelvenster Netwerkscantaken de optie Pictogram Toevoegen om toe te voegen.

  3. Definieer de volgende instellingen op de pagina Een nieuwe netwerkscan toevoegen:

    Instelling Beschrijving
    Taaknaam netwerkscan Voer een betekenisvolle naam in voor deze taak. Dit veld is vereist.
    Beschrijving Voer een duidelijke beschrijving in.
    Het cluster selecteren Selecteer in de vervolgkeuzeop de cluster die u wilt gebruiken om de geconfigureerde netwerklocaties te scannen.

    Tip: wanneer u een cluster selecteert, moet u ervoor zorgen dat de knooppunten in het cluster dat u toewijst, toegang hebben tot de geconfigureerde IP-bereiken via SMB.
    IP-adresbereiken configureren om te ontdekken Klik om een IP-adres of -bereik te definiëren.

    Voer in het deelvenster IP-adresbereiken kiezen een optionele naam in en geef vervolgens een begin-IP-adres en eind-IP-adres voor uw bereik op.

    Tip: als u alleen een specifiek IP-adres wilt scannen, voert u het identieke IP-adres in zowel de velden Begin-IP-adres als Eind-IP-adres in.
    Planning instellen Definieer hoe vaak u deze netwerkscan moet uitvoeren.

    Als u Wekelijks selecteert, wordt de instelling Netwerkscan uitvoeren weergegeven. Selecteer de dagen van de week waarop de netwerkscan moet worden uitgevoerd.
    Starttijd instellen (UTC) Definieer de datum en tijd waarop deze netwerkscan moet worden uitgevoerd. Als u hebt geselecteerd dat de taak dagelijks, wekelijks of maandelijks wordt uitgevoerd, wordt de taak uitgevoerd op het gedefinieerde tijdstip, op het terugkeerpatroon dat u hebt geselecteerd.

    Opmerking: wees voorzichtig bij het instellen van de datum op dagen aan het einde van de maand. Als u 31 selecteert, wordt de netwerkscan niet uitgevoerd in een maand die 30 dagen of minder heeft.
  4. Selecteer Het pictogram Opslaan opslaan om uw wijzigingen op te slaan.

Tip

Als u dezelfde netwerkscan wilt uitvoeren met behulp van een andere scanner, wijzigt u het cluster dat is gedefinieerd in de taak netwerkscan.

Ga terug naar het deelvenster Netwerkscantaken en selecteer Toewijzen aan cluster om nu een ander cluster te selecteren of Cluster toewijzen op te geven om later aanvullende wijzigingen aan te brengen.

Gevonden riskante opslagplaatsen analyseren (openbare preview)

Opslagplaatsen die zijn gevonden door een netwerkscan job, een taak voor het scannen van inhoud of door gebruikerstoegang gedetecteerd in logboekbestanden, worden geaggregeerd en weergegeven in het pictogramdeelvenster Scanner > Repositories.

Als u een netwerkscan taak hebt gedefinieerd en deze hebt ingesteld om te worden uitgevoerd op een specifieke datum en tijd, wacht u totdat deze is uitgevoerd om te controleren op resultaten. U kunt hier ook terugkeren na het uitvoeren van een taak voor het scannen van inhoud om bijgewerkte gegevens weer te geven.

Notitie

De functie Azure Information Protection opslagplaatsen is momenteel beschikbaar als preview-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

  1. Selecteer onder het menu Scanner aan de linkerkant het pictogram Opslagplaatsen.

    De gevonden opslagplaatsen worden als volgt weergegeven:

    • In de grafiek Opslagplaatsen per status ziet u hoeveel opslagplaatsen al zijn geconfigureerd voor een inhoudsscan en hoeveel niet.
    • In de grafiek Top 10 van niet-managede opslagplaatsen op toegangsgrafiek staan de top 10 van opslagplaatsen die momenteel niet zijn toegewezen aan een taak voor inhoudsscans, evenals details over de toegangsniveaus. Toegangsniveaus kunnen aangeven hoe riskant uw opslagplaatsen zijn.
    • In de tabel onder de grafieken worden alle gevonden opslagplaatsen en de details ervan weergegeven.
  2. Voer een van de volgende bewerkingen uit:

    Optie Beschrijving
    pictogram kolommen Selecteer Kolommen om de weergegeven tabelkolommen te wijzigen.
    pictogram vernieuwen Als de scanner onlangs netwerkscanresultaten heeft uitgevoerd, selecteert u Vernieuwen om de pagina te vernieuwen.
    pictogram toevoegen Selecteer een of meer opslagplaatsen die in de tabel worden vermeld en selecteer vervolgens Geselecteerde items toewijzen om ze toe te wijzen aan een inhoudsscan.
    Filter De filterrij toont alle filtercriteria die momenteel zijn toegepast. Selecteer een van de weergegeven criteria om de instellingen te wijzigen of selecteer Filter toevoegen om nieuwe filtercriteria toe te voegen.

    Selecteer Filteren om uw wijzigingen toe te passen en vernieuw de tabel met het bijgewerkte filter.
    Pictogram Log Analytics Klik in de rechterbovenhoek van de grafiek met niet-mande opslagplaatsen op het pictogram Log Analytics om naar Log Analytics-gegevens voor deze opslagplaatsen te gaan.

Opslagplaatsen waar openbare toegang over lees- of lees-/schrijfmogelijkheden blijkt te zijn, kunnen gevoelige inhoud bevatten die moet worden beveiligd. Als openbare toegang onwaar is, is de opslagplaats helemaal niet toegankelijk voor het publiek.

Openbare toegang tot een opslagplaats wordt alleen gerapporteerd als u een zwak account hebt ingesteld in de parameter StandardDomainsUserAccount van de cmdlets Install-MIPNetworkDiscovery of Set-MIPNetworkDiscoveryConfiguration.

  • De accounts die in deze parameters zijn gedefinieerd, worden gebruikt om de toegang van een zwakke gebruiker tot de opslagplaats te simuleren. Als de zwakke gebruiker die daar is gedefinieerd, toegang heeft tot de opslagplaats, betekent dit dat de opslagplaats openbaar toegankelijk is.

  • Om ervoor te zorgen dat openbare toegang correct wordt gerapporteerd, moet u ervoor zorgen dat de gebruiker die is opgegeven in deze parameters alleen lid is van de groep Domeingebruikers.

Een taak voor het scannen van inhoud maken

Dieper in uw inhoud om specifieke opslagplaatsen te scannen op gevoelige inhoud.

Mogelijk wilt u dit alleen doen nadat u een netwerkscan hebt uitgevoerd om de opslagplaatsen in uw netwerk te analyseren, maar u kunt ook uw opslagplaatsen zelf definiëren.

De taak voor het scannen van inhoud maken op de Azure Portal:

  1. Selecteer in het menu Scanner aan de linkerkant De scantaken voor inhoud.

  2. Selecteer in Azure Information Protection deelvenster Taken voor het scannen van inhoud de optie Pictogram Toevoegen om toe te voegen.

  3. Voor deze eerste configuratie configureert u de volgende instellingen en selecteert u Opslaan maar sluit u het deelvenster niet.

    Instelling Beschrijving
    Taakinstellingen voor inhoudsscans - Planning: laat de standaardwaarde Handmatig staan
    - Informatietypen die moeten worden ontdekt: alleen wijzigen in Beleid
    - Opslagplaatsen configureren: configureer op dit moment niet omdat de taak voor het scannen van inhoud eerst moet worden opgeslagen.
    DLP-beleid Als u een beleid voor Microsoft 365 preventie van gegevensverlies (DLP) gebruikt, stelt u DLP-regels inschakelen in op Aan. Zie Een DLP-beleid gebruiken voor meer informatie.
    Gevoeligheidsbeleid - Afdwingen: Selecteer Uit
    - Bestanden labelen op basis van inhoud: laat de standaardwaarde Aan staan
    - Standaardlabel: de standaardinstelling van Standaardbeleid behouden
    - Bestanden opnieuw labelen: laat de standaardwaarde Uit staan
    Bestandsinstellingen configureren - 'Datum gewijzigd', 'Laatst gewijzigd' en 'Gewijzigd door' behouden: behoud de standaardwaarde Aan
    - Te scannen bestandstypen: houd de standaardbestandstypen voor Uitsluiten
    - Standaardeigenaar: laat de standaardwaarde scanneraccount staan
    - Eigenaar van opslagplaats instellen: gebruik deze optie alleen wanneer u een DLP-beleid gebruikt.
  4. Nu de taak voor het scannen van inhoud is gemaakt en opgeslagen, kunt u terugkeren naar de optie Opslagplaatsen configureren om op te geven welke gegevensopslag moet worden gescand.

    Geef UNC-paden en SharePoint Server-URL's op voor on-premises SharePoint-documentbibliotheken en -mappen.

    Notitie

    SharePoint Server 2019, SharePoint Server 2016 en SharePoint Server 2013 worden ondersteund voor SharePoint. SharePoint Server 2010 wordt ook ondersteund wanneer u uitgebreide ondersteuning voor deze versie van SharePoint hebt.

    Als u uw eerste gegevensopslag wilt toevoegen, selecteert u in het deelvenster Een nieuwe inhoudsscan toevoegen de optie Opslagplaatsen configureren om het deelvenster Opslagplaatsen te openen:

    Configureer gegevens opslagplaatsen voor de Azure Information Protection scanner.

    1. Selecteer in het deelvenster Opslagplaatsen de optie Toevoegen:

      Voeg een gegevensopslagplaats toe voor Azure Information Protection scanner.

    2. Geef in het deelvenster Opslagplaats het pad voor de gegevensopslagplaats op en selecteer vervolgens Opslaan.

      • Gebruik voor een \\Server\Folder netwerkverbinding.
      • Gebruik voor een SharePoint-bibliotheek. http://sharepoint.contoso.com/Shared%20Documents/Folder
      • Voor een lokaal pad: C:\Folder
      • Voor een UNC-pad: \\Server\Folder

    Notitie

    Jokertekens worden niet ondersteund en WebDav-locaties worden niet ondersteund.

    Als u een SharePoint-pad voor gedeelde documenten toevoegt:

    • Geef Gedeelde documenten op in het pad wanneer u alle documenten en alle mappen van gedeelde documenten wilt scannen. Bijvoorbeeld: http://sp2013/SharedDocuments
    • Geef Documenten op in het pad wanneer u alle documenten en alle mappen uit een submap onder Gedeelde documenten wilt scannen. Bijvoorbeeld: http://sp2013/Documents/SalesReports
    • Of geef alleen de FQDN van uw Sharepoint op, bijvoorbeeld om alle http://sp2013 SharePoint-sites en -subsites onder een specifieke URL en subtitels onder deze URL te ontdekken en te scannen. Verleen scanner-siteverzamelaarauditorrechten om dit in te stellen.

    Voor de overige instellingen in dit deelvenster wijzigt u deze niet voor deze eerste configuratie, maar laat u deze staan als standaardinstelling voor de taak Inhoudsscan. De standaardinstelling betekent dat de gegevensopslagplaats de instellingen overgenomen van de taak voor het scannen van inhoud.

    Gebruik de volgende syntaxis bij het toevoegen van SharePoint-paden:

    Pad Syntax
    Hoofdpad http://<SharePoint server name>

    Scant alle sites, inclusief alle siteverzamelingen die zijn toegestaan voor de scannergebruiker.
    Vereist extra machtigingen voor het automatisch ontdekken van hoofdinhoud
    Specifieke SharePoint-subsite of -verzameling Een van de volgende producten:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Vereist extra machtigingen voor het automatisch ontdekken van inhoud van siteverzamelingen
    Specifieke SharePoint-bibliotheek Een van de volgende producten:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Specifieke SharePoint-map http://<SharePoint server name>/.../<folder name>
  5. Herhaal de vorige stappen om zoveel opslagplaatsen toe te voegen als nodig is.

    Wanneer u klaar bent, sluit u zowel de taakdeelvensters Opslagplaatsen als Inhoudsscan.

Terug in het Azure Information Protection taakvenster Inhoudsscan wordt de naam van de inhoudsscan weergegeven, samen met de kolom PLANNING waarin Handmatig wordt weergegeven en de kolom AFDWINGEN leeg is.

U bent nu klaar om de scanner te installeren met de inhoudsscanner die u hebt gemaakt. Ga door met De scanner installeren.

De scanner installeren

Nadat u de scanner hebt geconfigureerd Azure Information Protection inde Azure Portal, voert u de onderstaande stappen uit om de scanner te installeren:

  1. Meld u aan bij de Windows Server-computer met de scanner. Gebruik een account met lokale beheerdersrechten en machtigingen om naar de hoofddatabase SQL Server schrijven.

    Belangrijk

    U moet de client voor geïntegreerde AIP-labels op uw computer hebben geïnstalleerd voordat u de scanner installeert.

    Zie Prerequisites for installing and deployingthe Azure Information Protection scanner (Vereisten voor het installeren en implementeren van de Azure Information Protection scanner).

  2. Open een Windows PowerShell met de optie Als administrator uitvoeren.

  3. Voer de cmdlet Install-AIPScanner uit en geef uw SQL Server-exemplaar op waarop u een database voor de Azure Information Protection-scanner wilt maken en de clusternaam van de scanner die u inde vorige sectie hebt opgegeven:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Voorbeelden, met behulp van de clusternaam van de scanner Europa:

    • Voor een standaard exemplaar: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Voor een benoemd exemplaar: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • Voor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Wanneer u hier om wordt gevraagd, geeft u de Active Directory-referenties op voor het serviceaccount van de scanner.

    Gebruik de volgende syntaxis: \<domain\user name> . Bijvoorbeeld: contoso\scanneraccount

  4. Controleer of de service nu is geïnstalleerd met behulp van Beheerhulpprogramma's > Services.

    De geïnstalleerde service heet Azure Information Protection Scanner en is geconfigureerd om te worden uitgevoerd met behulp van het scannerserviceaccount dat u hebt gemaakt.

Nu u de scanner hebt geïnstalleerd, moet u een Azure AD-token voor de verificatie van het scannerserviceaccount krijgen, zodat de scanner zonder toezicht kan worden uitgevoerd.

Een Azure AD-token voor de scanner op halen

Met een Azure AD-token kan de scanner zich verifiëren bij de Azure Information Protection-service, waardoor de scanner niet-interactief kan worden uitgevoerd.

Zie How to label files non-interactively forAzure Information Protection (Bestanden labelen voor meer Azure Information Protection.

Een Azure AD-token op te halen:

  1. Ga terug naar de Azure Portal om een Azure AD-toepassing te maken om een toegang token voor verificatie op te geven.

  2. Meld u op de Windows Server-computer aan met dit account en start een PowerShell-sessie als aan uw scannerserviceaccount lokaal aanmelden is verleend voor de installatie.

    Voer Set-AIPAuthentication uiten geef de waarden op die u in de vorige stap hebt gekopieerd:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Bijvoorbeeld:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

Tip

Als aan uw scannerserviceaccount niet lokaal aanmelden kan worden verleend voor de installatie, gebruikt u de parameter OnBehalfOf met Set-AIPAuthentication,zoals beschreven in How to label files non-interactively for Azure Information Protection.

De scanner heeft nu een token voor verificatie bij Azure AD. Dit token is één jaar, twee jaar of nooit geldig volgens uw configuratie van het clientgeheim van de web-app/API in Azure AD.

Wanneer het token is verlopen, moet u deze procedure herhalen.

U bent nu klaar om uw eerste scan in de detectiemodus uit te voeren. Zie Een detectiecyclus uitvoeren en rapporten voor de scanner weergeven voor meer informatie.

Zodra u de initiële detectiescan hebt uitgevoerd, gaat u verder met De scanner configureren om classificatie en beveiliging toe te passen.

De scanner configureren om classificatie en beveiliging toe te passen

De standaardinstellingen configureren dat de scanner één keer wordt uitgevoerd en in de modus alleen-rapporteren.

Als u deze instellingen wilt wijzigen, bewerkt u de taak inhoudsscan:

  1. Selecteer in Azure Portal deelvenster Taken voor Azure Information Protection - Inhoudsscan het cluster en de taak voor het scannen van inhoud om deze te bewerken.

  2. Wijzig het volgende in het deelvenster Inhoudsscan en selecteer opslaan:

    • In de sectie Inhoud scannen: De planning wijzigen in Altijd
    • In de sectie Gevoeligheidsbeleid: Wijzig Afdwingen in Aan

    Tip

    Mogelijk wilt u andere instellingen in dit deelvenster wijzigen, zoals of bestandskenmerken worden gewijzigd en of de scanner bestanden opnieuw kan labelen. Gebruik de informatie pop-up help voor meer informatie over elke configuratie-instelling.

  3. Noteer de huidige tijd en start de scanner opnieuw vanuit het deelvenster taken Azure Information Protection inhoud scannen:

    Start de scan voor de Azure Information Protection scanner.

    U kunt ook de volgende opdracht uitvoeren in uw PowerShell-sessie:

    Start-AIPScan
    

De scanner is nu gepland om continu te worden uitgevoerd. Wanneer de scanner alle geconfigureerde bestanden doorwerkt, start deze automatisch een nieuwe cyclus, zodat nieuwe en gewijzigde bestanden worden ontdekt.

Een DLP-beleid gebruiken (openbare preview)

Met behulp van een Microsoft 365 DLP-beleid (Preventie van gegevensverlies) kan de scanner potentiële gegevenslekken detecteren door DLP-regels te koppelen aan bestanden die zijn opgeslagen in bestands shares en SharePoint Server.

  • Schakel DLP-regels in uw taak voor het scannen van inhoud in om de blootstelling van bestanden die overeenkomen met uw DLP-beleid te verminderen. Wanneer uw DLP-regels zijn ingeschakeld, kan de scanner de toegang tot bestanden beperken tot alleen gegevenseigenaren of de blootstelling aan netwerkbrede groepen verminderen, zoals Iedereen, Geverifieerde gebruikers of Domeingebruikers.

  • Bepaal in Microsoft 365-compliancecentrum of u alleen uw DLP-beleid wilt testen of dat uw regels moeten worden afgedwongen en of uw bestandsmachtigingen moeten worden gewijzigd volgens deze regels. Zie Een DLP-beleid in-/uit-zetten voor meer informatie.

Tip

Als u uw bestanden scant, zelfs wanneer u alleen het DLP-beleid test, worden er ook machtigingsrapporten voor bestanden gemaakt. Query's uitvoeren op deze rapporten om specifieke bestandsblootstelling te onderzoeken of de blootstelling van een specifieke gebruiker aan gescande bestanden te verkennen.

DLP-beleidsregels worden geconfigureerd in Microsoft 365-compliancecentrum en worden ondersteund in Azure Information Protection vanaf versie 2.10.43.0.

Zie Aan de slag met de on-premises scanner om gegevensverlies te voorkomen voor meer informatie over DLP-licenties.

Een DLP-beleid gebruiken met de scanner:

  1. Navigeer Azure Portal naar uw taak voor het scannen van inhoud. Zie Create a content scan job (Een taak voor het scannen van inhoud maken) voor meer informatie.

  2. Stel DLP-regels inschakelen onder DLP-beleid in op Aan.

    Belangrijk

    Stel DLP-regels inschakelen niet in op Aan, tenzij u daadwerkelijk een DLP-beleid hebt geconfigureerd in Microsoft 365.

    Als u deze functie in gebruik neemt zonder DLP-beleid, worden er fouten gegenereerd door de scanner.

  3. (Optioneel) Stel onder Bestandsinstellingen configureren de eigenaar van de opslagplaats instellen in op Aan en definieer een specifieke gebruiker als de eigenaar van de opslagplaats.

    Met deze optie kan de scanner de blootstelling van bestanden in deze opslagplaats die overeenkomen met het DLP-beleid, beperken tot de door de eigenaar van de opslagplaats gedefinieerde bestanden.

DLP-beleid en persoonlijke acties uitvoeren

Als u een DLP-beleid gebruikt met een persoonlijke actie maken en ook van plan bent om de scanner te gebruiken om uw bestanden automatisch te labelen, raden we u aan ook de geavanceerde instelling UseCopyAndPreserveNTFSOwner van de client voor unified labeling te definiëren.

Deze instelling zorgt ervoor dat de oorspronkelijke eigenaren toegang behouden tot hun bestanden.

Zie Create a content scan job (Een inhoudsscan-taak maken) en Apply a sensitivity label to content automatically (Een inhoudsscan-taak maken) en Apply a sensitivity label to content automatically (Een gevoeligheidslabel automatisch toepassen op inhoud) in Microsoft 365 documentatie.

Wijzigen welke bestandstypen u wilt beveiligen

Standaard bebeveiligen de AIP-scanner alleen Office-bestandstypen en PDF-bestanden.

Gebruik PowerShell-opdrachten om dit gedrag zo nodig te wijzigen, zoals de scanner zo configureren dat alle bestandstypen worden beschermd, net als de client, of om aanvullende, specifieke bestandstypen te beveiligen.

Voor een labelbeleid dat van toepassing is op het gebruikersaccount dat labels voor de scanner downloadt, geeft u een geavanceerde PowerShell-instelling op met de naam PFileSupportedExtensions.

Voor een scanner die toegang heeft tot internet, is dit gebruikersaccount het account dat u opgeeft voor de parameter DelegatedUser met de Set-AIPAuthentication opdracht.

Voorbeeld 1: PowerShell-opdracht voor de scanner om alle bestandstypen te beveiligen, waarbij uw labelbeleid scanner heet:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Voorbeeld 2: PowerShell-opdracht voor de scanner voor het beveiligen van XML-bestanden en .tiff-bestanden naast Office-bestanden en PDF-bestanden, waarbij uw labelbeleid scanner heet:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Zie Wijzigen welke bestandstypen u wilt beveiligen voor meer informatie.

Uw scanner upgraden

Als u de scanner eerder hebt geïnstalleerd en een upgrade wilt uitvoeren, volgt u de instructies in Upgrade uitvoeren van de Azure Information Protection scanner.

Configureer en gebruik vervolgens de scanner zoals u gewend bent, en u kunt de stappen voor het installeren van de scanner overslaan.

Instellingen voor gegevensopslagplaats bulksgewijs bewerken

Gebruik de knoppen Exporteren en Importeren om wijzigingen aan te brengen voor uw scanner in verschillende opslagplaatsen.

Op deze manier hoeft u niet meerdere keren dezelfde wijzigingen handmatig aan te brengen in de Azure Portal.

Als u bijvoorbeeld een nieuw bestandstype in verschillende SharePoint-gegevens opslagplaatsen hebt, kunt u de instellingen voor deze opslagplaatsen bulksgewijs bijwerken.

Bulksgewijs wijzigingen aanbrengen in opslagplaatsen:

  1. Selecteer in Azure Portal deelvenster Opslagplaatsen de optie Exporteren. Bijvoorbeeld:

    Instellingen voor de gegevensopslagplaats voor de Azure Information Protection exporteren.

  2. Bewerk het geëxporteerde bestand handmatig om de wijziging aan te brengen.

  3. Gebruik de optie Importeren op dezelfde pagina om de updates weer te importeren in uw opslagplaatsen.

De scanner gebruiken met alternatieve configuraties

De Azure Information Protection scanner zoekt doorgaans naar voorwaarden die zijn opgegeven voor uw labels om uw inhoud naar behoefte te classificeren en te beveiligen.

In de volgende scenario's kan Azure Information Protection scanner ook uw inhoud scannen en labels beheren, zonder dat er voorwaarden zijn geconfigureerd:

Een standaardlabel toepassen op alle bestanden in een gegevensopslagplaats

In deze configuratie worden alle niet-gelabelde bestanden in de opslagplaats gelabeld met het standaardlabel dat is opgegeven voor de opslagplaats of de taak voor het scannen van inhoud. Bestanden worden gelabeld zonder inspectie.

Configureer de volgende instellingen:

Instelling Beschrijving
Bestanden labelen op basis van inhoud Stel in op Uit
Standaardlabel Stel in op Aangepast en selecteer vervolgens het label dat u wilt gebruiken
Standaardlabel afdwingen Selecteer of het standaardlabel op alle bestanden is toegepast, zelfs als deze al zijn gelabeld.

Bestaande labels verwijderen uit alle bestanden in een gegevensopslagplaats

In deze configuratie worden alle bestaande labels verwijderd, inclusief beveiliging, als er beveiliging is toegepast met het label. Beveiliging die onafhankelijk van een label wordt toegepast, blijft behouden.

Configureer de volgende instellingen:

Instelling Beschrijving
Bestanden labelen op basis van inhoud Ingesteld op Uit
Standaardlabel Ingesteld op Geen
Bestanden opnieuw labelen Ingesteld op Aan, met het selectievakje Standaardlabel afdwingen ingeschakeld

Alle aangepaste voorwaarden en bekende gevoelige informatietypen identificeren

Met deze configuratie kunt u gevoelige informatie vinden die u mogelijk niet had, ten koste van scansnelheden voor de scanner.

Stel de infotypen die moeten worden ontdekt in op Alle.

Om voorwaarden en informatietypen voor labelen te identificeren, gebruikt de scanner alle aangepaste gevoelige informatietypen die zijn opgegeven en de lijst met ingebouwde gevoelige informatietypen die beschikbaar zijn om te selecteren, zoals gedefinieerd in uw beheercentrum voor labelen.

Scannerprestaties optimaliseren

Notitie

Als u de reactiesnelheid van de scannercomputer wilt verbeteren in plaats van de prestaties van de scanner, gebruikt u een geavanceerde clientinstelling om het aantal threads te beperken dat door de scanner wordt gebruikt.

Gebruik de volgende opties en richtlijnen om de prestaties van de scanner te optimaliseren:

Optie Beschrijving
Een snelle en betrouwbare netwerkverbinding hebben tussen de scannercomputer en het gescande gegevensopslag Plaats de scannercomputer bijvoorbeeld in hetzelfde LAN, of bij voorkeur, in hetzelfde netwerksegment als het gescande gegevensopslag.

De kwaliteit van de netwerkverbinding is van invloed op de prestaties van de scanner, omdat de scanner voor het inspecteren van de bestanden de inhoud van de bestanden over draagt naar de computer met de scannerservice.

Het verminderen of elimineren van de netwerkhops die nodig zijn om de gegevens te kunnen reizen, vermindert ook de belasting van uw netwerk.
Zorg ervoor dat de scannercomputer over beschikbare processorbronnen beschikt Het inspecteren van de bestandsinhoud en het versleutelen en ontsleutelen van bestanden zijn processorintensieve acties.

Controleer de gebruikelijke scancycli voor de opgegeven gegevensopslag om te bepalen of een gebrek aan processorbronnen de prestaties van de scanner negatief beïnvloedt.
Meerdere exemplaren van de scanner installeren De Azure Information Protection scanner ondersteunt meerdere configuratiedatabases op hetzelfde SQL Server-exemplaar wanneer u een aangepaste clusternaam voor de scanner opgeeft.

Meerdere scanners kunnen ook hetzelfde cluster delen, wat resulteert in snellere scantijden.
Uw alternatieve configuratiegebruik controleren De scanner wordt sneller uitgevoerd wanneer u de alternatieve configuratie gebruikt om een standaardlabel toe te passen op alle bestanden, omdat de scanner de inhoud van het bestand niet inspecteert.

De scanner wordt langzamer uitgevoerd wanneer u de alternatieve configuratie gebruikt om alle aangepaste voorwaarden en bekende gevoelige informatietypen te identificeren.

Aanvullende factoren die van invloed zijn op de prestaties

Aanvullende factoren die van invloed zijn op de prestaties van de scanner zijn onder andere:

Factor Description
Laad-/reactietijden De huidige laad- en reactietijden van de gegevensopslag die de te scannen bestanden bevatten, zijn ook van invloed op de prestaties van de scanner.
Scannermodus (detectie/afdwingen) De detectiemodus heeft doorgaans een hogere scansnelheid dan de modus Afdwingen.

Voor detectie is één actie voor het lezen van bestanden vereist, terwijl voor de afdwingingsmodus lees- en schrijfacties zijn vereist.
Beleidswijzigingen De prestaties van uw scanner kunnen worden beïnvloed als u wijzigingen hebt aangebracht in de automatische labels in het labelbeleid.

Uw eerste scancyclus, wanneer de scanner elk bestand moet inspecteren, duurt langer dan de volgende scancycli die standaard alleen nieuwe en gewijzigde bestanden inspecteren.

Als u de voorwaarden of instellingen voor automatisch labelen wijzigt, worden alle bestanden opnieuw gescand. Zie Rescanning files (Bestanden opnieuw cannen) voor meer informatie.
Regex constructies De prestaties van de scanner worden beïnvloed door de manier waarop uw regex-expressies voor aangepaste voorwaarden worden samengesteld.

Om intensief geheugengebruik en het risico op time-outs (15 minuten per bestand) te voorkomen, controleert u uw regex-expressies voor efficiënte patroonmatching.

Bijvoorbeeld:
- Vermijd veelbezorgde kwantifiers
- Niet-vastleggende groepen gebruiken, zoals (?:expression) in plaats van (expression)
Logboekniveau Opties voor logboekniveau omvatten Fouten opsporen, Info, Fout en Uit voor de scannerrapporten.

- Resultaten uit in de beste prestaties
- Foutopsporing vertraagt de scanner aanzienlijk en mag alleen worden gebruikt voor het oplossen van problemen.

Zie de parameter ReportLevel voor de cmdlet Set-AIPScannerConfiguration voor meer informatie.
Bestanden die worden gescand - Met uitzondering van Excel-bestanden worden Office-bestanden sneller gescand dan PDF-bestanden.

- Niet-beveiligde bestanden kunnen sneller worden gescand dan beveiligde bestanden.

- Het scannen van grote bestanden duurt natuurlijk langer dan kleine bestanden.

Ondersteunde PowerShell-cmdlets

In deze sectie worden PowerShell-cmdlets vermeld die worden ondersteund voor Azure Information Protection scanner.

Ondersteunde cmdlets voor de scanner zijn onder andere:

Volgende stappen

Nadat u de scanner hebt geïnstalleerd en geconfigureerd, begint u met het scannen van uw bestanden.

Zie ook: De Azure Information Protection scanner implementeren om bestanden automatisch te classificeren en te beveiligen.

Meer informatie: