Implementar o scanner do Azure Information Protection para classificar e proteger ficheiros automaticamenteDeploying the Azure Information Protection scanner to automatically classify and protect files

Aplica-se a: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2

Nota

Este artigo é para a versão atual da disponibilidade geral do scanner do Azure Information Protection.This article is for the current general availability version of the Azure Information Protection scanner.

Se estiver à procura para obter instruções de implementação para a pré-visualização atual do scanner, que inclui a configuração do portal do Azure, veja implantar a versão de pré-visualização do scanner do Azure Information Protection para classificar automaticamente e proteger ficheiros.If you are looking for deployment instructions for the current preview of the scanner, which includes configuration from the Azure portal, see Deploying the preview version of the Azure Information Protection scanner to automatically classify and protect files.

Utilize estas informações para saber mais sobre o scanner do Azure Information Protection e, em seguida, como instalar, configurar e executá-lo com êxito.Use this information to learn about the Azure Information Protection scanner, and then how to successfully install, configure, and run it.

Este scanner é executado como um serviço no Windows Server e permite-lhe Deteta, classifica e proteger ficheiros em arquivos de dados seguintes:This scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

  • Pastas locais no computador Windows Server que executa a deteção de impressão.Local folders on the Windows Server computer that runs the scanner.

  • Caminhos UNC para partilhas de rede que utilizam o protocolo de bloco de mensagem de servidor (SMB).UNC paths for network shares that use the Server Message Block (SMB) protocol.

  • Os sites e bibliotecas para o SharePoint Server 2016 e o SharePoint Server 2013.Sites and libraries for SharePoint Server 2016 and SharePoint Server 2013. SharePoint 2010 também é suportada para os clientes que tenham suporte para esta versão do SharePoint estendido.SharePoint 2010 is also supported for customers who have extended support for this version of SharePoint.

Para analisar e ficheiros no repositório de nuvem da etiqueta, utilize Cloud App Security.To scan and label files on cloud repositories, use Cloud App Security.

Descrição geral do scanner do Azure Information ProtectionOverview of the Azure Information Protection scanner

Quando tiver configurado a sua política do Azure Information Protection para etiquetas que aplicam classificação automática, ficheiros que Deteta esta scanner, em seguida, podem ser rotulados.When you have configured your Azure Information Protection policy for labels that apply automatic classification, files that this scanner discovers can then be labeled. Etiquetas de aplicam a classificação e, opcionalmente, aplicarem a proteção ou removam a proteção:Labels apply classification, and optionally, apply protection or remove protection:

Proteção de informações scanner arquitetura descrição geral do Azure

O scanner pode inspecionar a todos os ficheiros que o Windows podem indexar, utilizando os IFilters que estão instalados no computador.The scanner can inspect any files that Windows can index, by using IFilters that are installed on the computer. Em seguida, para determinar se os arquivos precisam de etiquetagem, o scanner usa a tipos de informações de sensibilidade perda prevenção (DLP) do Office 365 dados internos e deteção de padrão ou padrões de regex do Office 365.Then, to determine if the files need labeling, the scanner uses the Office 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Office 365 regex patterns. Uma vez que o scanner utiliza o cliente do Azure Information Protection, pode classificar e proteger os mesmos tipos de ficheiro.Because the scanner uses the Azure Information Protection client, it can classify and protect the same file types.

Pode executar a deteção de impressão no modo de deteção apenas, em que usar os relatórios para verificar o que aconteceria se os ficheiros foram etiquetados.You can run the scanner in discovery mode only, where you use the reports to check what would happen if the files were labeled. Em alternativa, pode executar a deteção de impressão para aplicar automaticamente as etiquetas.Or, you can run the scanner to automatically apply the labels. Também pode executar a deteção de impressão para detetar ficheiros que contenham tipos de informações confidenciais, sem configurar etiquetas para condições que se aplicam a classificação automática.You can also run the scanner to discover files that contain sensitive information types, without configuring labels for conditions that apply automatic classification.

Tenha em atenção que o scanner não Deteta e etiqueta em tempo real.Note that the scanner does not discover and label in real time. Sistematicamente rastreia o por meio de arquivos em arquivos de dados que especificar e pode configurar este ciclo para executar uma vez ou repetidamente.It systematically crawls through files on data stores that you specify, and you can configure this cycle to run once, or repeatedly.

Pode especificar os tipos de qual é o ficheiro de analisar ou excluir da análise.You can specify which file types to scan, or exclude from scanning. Para restringir quais os ficheiros que o scanner inspeciona, definir uma lista de tipos de ficheiros utilizando Set-AIPScannerScannedFileTypes.To restrict which files the scanner inspects, define a file types list by using Set-AIPScannerScannedFileTypes.

Pré-requisitos para o scanner do Azure Information ProtectionPrerequisites for the Azure Information Protection scanner

Antes de instalar o scanner do Azure Information Protection, certifique-se de que os seguintes requisitos são cumpridos.Before you install the Azure Information Protection scanner, make sure that the following requirements are in place.

RequisitoRequirement Mais informaçõesMore information
Computador Windows Server para executar o serviço de scanner:Windows Server computer to run the scanner service:

-4 processadores de núcleo- 4 core processors

-8 GB de RAM- 8 GB of RAM

-10 GB de espaço livre (média) para ficheiros temporários- 10 GB free space (average) for temporary files
Windows Server 2016 ou Windows Server 2012 R2.Windows Server 2016 or Windows Server 2012 R2.

Nota: Para fins de teste ou avaliação num ambiente de não produção, pode usar um sistema de operativo de cliente Windows que está suportados pelo cliente do Azure Information Protection.Note: For testing or evaluation purposes in a non-production environment, you can use a Windows client operating system that is supported by the Azure Information Protection client.

Este computador pode ser um computador físico ou virtual que tenha uma ligação de rede rápida e fiável para os arquivos de dados deve ser verificado.This computer can be a physical or virtual computer that has a fast and reliable network connection to the data stores to be scanned.

O scanner requer espaço em disco suficiente para criar ficheiros temporários para cada ficheiro que verifica a, quatro arquivos por núcleo.The scanner requires sufficient disk space to create temporary files for each file that it scans, four files per core. Permite que o espaço em disco recomendado de 10 GB para 4 processadores de núcleo de análise de 16 ficheiros que tenham, cada um tamanho de ficheiro de 625 MB.The recommended disk space of 10 GB allows for 4 core processors scanning 16 files that each have a file size of 625 MB.

Certifique-se de que este computador tem o conectividade à Internet que necessita para o Azure Information Protection.Make sure that this computer has the Internet connectivity that it needs for Azure Information Protection. Se a conectividade com a Internet não é possível devido às políticas de sua organização, consulte a Implantando o scanner com configurações alternativos secção.If Internet connectivity is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section.
SQL Server para armazenar a configuração de scanner:SQL Server to store the scanner configuration:

-Instância local ou remota- Local or remote instance

-Função de administrador do sistema para instalar o scanner- Sysadmin role to install the scanner
SQL Server 2012 é a versão mínima para as seguintes edições:SQL Server 2012 is the minimum version for the following editions:

- SQL Server Enterprise- SQL Server Enterprise

-SQL Server Standard- SQL Server Standard

- SQL Server Express- SQL Server Express

Se instalar mais de uma instância do scanner, cada instância do scanner requer sua própria instância do SQL Server.If you install more than one instance of the scanner, each scanner instance requires its own SQL Server instance.

Quando instala o scanner e a sua conta com a função de administrador do sistema, o processo de instalação cria a base de dados AzInfoProtectionScanner automaticamente e atribui a função db_owner necessária para a conta de serviço que executa a deteção de impressão.When you install the scanner and your account has the Sysadmin role, the installation process automatically creates the AzInfoProtectionScanner database and grants the required db_owner role to the service account that runs the scanner. Se não é possível conceder a função de administrador do sistema ou as políticas de sua organização necessitam bases de dados a ser criado e configurado manualmente, consulte a Implantando o scanner com configurações alternativos secção.If you cannot be granted the Sysadmin role or your organization policies require databases to be created and configured manually, see the Deploying the scanner with alternative configurations section.

O tamanho da base de dados de configuração irá variar para cada implementação, mas recomendamos que alocar o 500 MB para cada 1 000 000 ficheiros que pretende analisar.The size of the configuration database will vary for each deployment but we recommend you allocate 500 MB for every 1,000,000 files that you want to scan.
Conta de serviço para executar o serviço de scannerService account to run the scanner service Além de executar o serviço de scanner, esta conta autentica para o Azure AD e transfere a política do Azure Information Protection.In addition to running the scanner service, this account authenticates to Azure AD and downloads the Azure Information Protection policy. Esta conta tem de ser uma conta do Active Directory e sincronizado com o Azure AD.This account must be an Active Directory account and synchronized to Azure AD. Se não é possível sincronizar esta conta devido às políticas de sua organização, consulte a Implantando o scanner com configurações alternativos secção.If you cannot synchronize this account because of your organization policies, see the Deploying the scanner with alternative configurations section.

Esta conta de serviço tem os seguintes requisitos:This service account has the following requirements:

- Iniciar sessão localmente certo.- Log on locally right. Este direito é necessário para a instalação e configuração do scanner, mas não para a operação.This right is required for the installation and configuration of the scanner, but not for operation. Tem de conceder este direito para a conta de serviço, mas é possível remover este direito após a confirmação de que a deteção de impressão pode detetar, classificar e proteger ficheiros.You must grant this right to the service account but you can remove this right after you have confirmed that the scanner can discover, classify, and protect files. Se conceder este direito até mesmo para um curto período de tempo não é possível devido às políticas de sua organização, consulte a Implantando o scanner com configurações alternativos secção.If granting this right even for a short period of time is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section.

- Iniciar sessão como um serviço certo.- Log on as a service right. Este direito é concedido automaticamente para a conta de serviço durante a instalação de scanner e este direito é necessário para a instalação, configuração e operação do scanner.This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.

-Permissões para os repositórios de dados: Tem de conceder leitura e escrever permissões para verificar os ficheiros e, em seguida, a aplicar a classificação e proteção para os ficheiros que cumprem as condições na política do Azure Information Protection.- Permissions to the data repositories: You must grant Read and Write permissions for scanning the files and then applying classification and protection to the files that meet the conditions in the Azure Information Protection policy. Para executar a deteção de impressão no modo de deteção apenas leitura permissão é suficiente.To run the scanner in discovery mode only, Read permission is sufficient.

-Para etiquetas que voltar a proteger ou remover a proteção: Para garantir que a deteção de impressão tem sempre acesso aos ficheiros protegidos, tornar esta conta uma Superutilizador para o Azure Rights Management service e certifique-se de que a funcionalidade de Superutilizador é ativada.- For labels that reprotect or remove protection: To ensure that the scanner always has access to protected files, make this account a super user for the Azure Rights Management service, and ensure that the super user feature is enabled. Para obter mais informações sobre os requisitos de conta para a aplicação de proteção, consulte preparar utilizadores e grupos do Azure Information Protection.For more information about the account requirements for applying protection, see Preparing users and groups for Azure Information Protection. Além disso, se tiver implementado controlos de inclusão para uma implementação faseada, certifique-se de que esta conta está incluída na sua controlos de inclusão que configurou.In addition, if you have implemented onboarding controls for a phased deployment, make sure that this account is included in your onboarding controls you've configured.
O cliente do Azure Information Protection está instalado no computador do servidor do WindowsThe Azure Information Protection client is installed on the Windows Server computer Tem de instalar o cliente completo para a deteção de impressão.You must install the full client for the scanner. Não instale o cliente com apenas o módulo do PowerShell.Do not install the client with just the PowerShell module.

Para obter instruções de instalação do cliente, consulte a Guia do administrador.For client installation instructions, see the admin guide. Se tiver instalado anteriormente o scanner e agora tem de atualizá-lo para uma versão posterior, veja atualizar o scanner do Azure Information Protection.If you have previously installed the scanner and now need to upgrade it to a later version, see Upgrading the Azure Information Protection scanner.
Configurado etiquetas que aplicam a classificação automática e, opcionalmente, proteçãoConfigured labels that apply automatic classification, and optionally, protection Para obter mais informações sobre como configurar uma etiqueta para condições de e para aplicar a proteção:For more information about how to configure a label for conditions and to apply protection:
- Como configurar condições para classificação automática e recomendada- How to configure conditions for automatic and recommended classification
- Como configurar uma etiqueta para proteção do Rights Management- How to configure a label for Rights Management protection

Sugestão: Pode utilizar as instruções a partir da tutorial para testar o scanner com uma etiqueta que procura por números de cartão de crédito num documento do Word preparado.Tip: You can use the instructions from the tutorial to test the scanner with a label that looks for credit card numbers in a prepared Word document. No entanto, terá de alterar a configuração de etiqueta, para que selecione a forma como esta etiqueta é aplicada está definida como automática vez recomendado.However, you will need to change the label configuration so that Select how this label is applied is set to Automatic rather than Recommended. Em seguida, remover a etiqueta do documento (se é aplicada) e copie o ficheiro para um repositório de dados para a deteção de impressão.Then remove the label from the document (if it is applied) and copy the file to a data repository for the scanner. Para um teste rápido, isso pode ser uma pasta local no computador do scanner.For quick testing, this could be a local folder on the scanner computer.

Embora seja possível executar a deteção de impressão, mesmo que ainda não tiver configurado as etiquetas que aplicam classificação automática, este cenário não é abrangido com estas instruções.Although you can run the scanner even if you haven't configured labels that apply automatic classification, this scenario is not covered with these instructions. Mais informaçõesMore information
Para documentos do Office ser analisado:For Office documents to be scanned:

-formatos de arquivo 97-2003 e formatos XML abertos do Office para Word, Excel e PowerPoint- 97-2003 file formats and Office Open XML formats for Word, Excel, and PowerPoint
Para obter mais informações sobre os tipos de ficheiro que o suporta o scanner para estes formatos de ficheiros Consulte tipos de ficheiro suportados pelo cliente do Azure Information ProtectionFor more information about the file types that the scanner supports for these file formats, see File types supported by the Azure Information Protection client
Para os caminhos longos:For long paths:

-Máximo de 260 carateres, a menos que o scanner é instalado no Windows 2016 e o computador está configurado para suportar os caminhos longos- Maximum of 260 characters, unless the scanner is installed on Windows 2016 and the computer is configured to support long paths
Comprimentos de caminhos superiores a 260 carateres com o seguinte de suporte do Windows 10 e Windows Server 2016 definição de política de grupo: Política de computador local > configuração do computador > modelos administrativos > todas as definições > NTFS > caminhos longos do Win32 ativarWindows 10 and Windows Server 2016 support path lengths greater than 260 characters with the following group policy setting: Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > NTFS > Enable Win32 long paths

Para obter mais informações sobre o suporte de caminhos de ficheiro longos, consulte a limitação de comprimento máximo do caminho secção da documentação do desenvolvedor do Windows 10.For more information about supporting long file paths, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

Se não é possível cumprir todos os requisitos na tabela porque eles são proibidos pelas suas diretivas da organização, consulte a secção seguinte para alternativas.If you can't meet all the requirements in the table because they are prohibited by your organization policies, see the next section for alternatives.

Se todos os requisitos são cumpridos, avance diretamente para o oddíl instalace.If all the requirements are met, go straight to the installation section.

Implementar o scanner com configurações alternativosDeploying the scanner with alternative configurations

Os pré-requisitos indicados na tabela são os requisitos de padrão para a deteção de impressão e recomendado porque eles são a configuração mais simples para a implementação do scanner.The prerequisites listed in the table are the default requirements for the scanner and recommended because they are the simplest configuration for the scanner deployment. Eles devem ser adequados para teste inicial, para que pode verificar as capacidades do scanner.They should be suitable for initial testing, so that you can check the capabilities of the scanner. No entanto, num ambiente de produto, as políticas de sua organização podem proibir esses requisitos de predefinição devido a uma ou mais das seguintes restrições:However, in a product environment, your organization policies might prohibit these default requirements because of one or more of the following restrictions:

  • Servidores não são permitidos a conectividade à InternetServers are not allowed Internet connectivity

  • Não é possível conceder Sysadmin ou bases de dados tem de ser criados e configurados manualmenteYou cannot be granted Sysadmin or databases must be created and configured manually

  • Contas de serviço não não possível conceder a iniciar sessão localmente certoService accounts cannot be granted the Log on locally right

  • Contas de serviço não podem ser sincronizadas para o Azure Active Directory, mas servidores têm conectividade com a InternetService accounts cannot be synchronized to Azure Active Directory but servers have Internet connectivity

O scanner pode acomodar essas restrições, mas que requerem configuração adicional.The scanner can accommodate these restrictions but they require additional configuration.

Restrição: O servidor de scanner não pode ter conectividade à InternetRestriction: The scanner server cannot have Internet connectivity

Siga as instruções para uma computadores desligados.Follow the instructions for a disconnected computer.

Tenha em atenção que esta configuração, o scanner não é possível aplicar proteção (ou remover proteção), utilizando a chave de com base na cloud da sua organização.Note that in this configuration, the scanner cannot apply protection (or remove protection) by using your organization's cloud-based key. Em vez disso, o scanner é limitado a utilizar as etiquetas que aplicam apenas a classificação ou proteção que utiliza HYOK.Instead, the scanner is limited to using labels that apply classification only, or protection that uses HYOK.

Restrição: Não é possível conceder Sysadmin ou bases de dados tem de ser criados e configurados manualmenteRestriction: You cannot be granted Sysadmin or databases must be created and configured manually

Se pode ser concedida a função de administrador do sistema temporariamente para instalar o scanner, pode remover esta função quando a instalação de scanner estiver concluída.If you can be granted the Sysadmin role temporarily to install the scanner, you can remove this role when the scanner installation is complete. Quando utiliza esta configuração, a base de dados é criado automaticamente para e a conta de serviço para o scanner é concedida automaticamente as permissões necessárias.When you use this configuration, the database is automatically created for you and the service account for the scanner is automatically granted the required permissions. No entanto, a conta de utilizador que configura o scanner requer a função db_owner da base de dados AzInfoProtectionScanner e tem de conceder manualmente esta função para a conta de utilizador.However, the user account that configures the scanner requires the db_owner role for the AzInfoProtectionScanner database, and you must manually grant this role to the user account.

Se não é possível conceder a função de administrador do sistema até mesmo temporariamente, tem de criar manualmente uma base de dados com o nome AzInfoProtectionScanner antes de instalar o scanner.If you cannot be granted the Sysadmin role even temporarily, you must manually create a database named AzInfoProtectionScanner before you install the scanner. Quando utiliza esta configuração, atribua as seguintes funções:When you use this configuration, assign the following roles:

ContaAccount Função de nível de base de dadosDatabase-level role
Conta de serviço para a deteção de impressãoService account for the scanner db_ownerdb_owner
Conta de utilizador para a instalação de scannerUser account for scanner installation db_ownerdb_owner
Conta de utilizador para configuração de scannerUser account for scanner configuration db_ownerdb_owner

Normalmente, irá utilizar a mesma conta de utilizador para instalar e configurar a deteção de impressão.Typically, you will use the same user account to install and configure the scanner. Mas se utilizar contas diferentes, ambos requerem a função db_owner da base de dados AzInfoProtectionScanner.But if you use different accounts, they both require the db_owner role for the AzInfoProtectionScanner database.

Restrição: A conta de serviço para a deteção de impressão não é possível conceder a iniciar sessão localmente certoRestriction: The service account for the scanner cannot be granted the Log on locally right

Se as políticas de organização proíbem o iniciar sessão localmente com o botão direito para contas de serviço, mas permite que o iniciar sessão como uma tarefa do batch certo, siga as instruções para especificar e utilizar o Token o parâmetro de Set-AIPAuthentication no Guia do administrador.If your organization policies prohibit the Log on locally right for service accounts but allow the Log on as a batch job right, follow the instructions for Specify and use the Token parameter for Set-AIPAuthentication from the admin guide.

Restrição: A conta de serviço do scanner não pode ser sincronizada para o Azure Active Directory, mas o servidor tem conectividade à InternetRestriction: The scanner service account cannot be synchronized to Azure Active Directory but the server has Internet connectivity

Pode ter uma conta para executar o serviço de scanner e utilizar outra conta para autenticar no Azure Active Directory:You can have one account to run the scanner service and use another account to authenticate to Azure Active Directory:

Instalar o scannerInstall the scanner

  1. Inicie sessão no computador Windows Server que executará a deteção de impressão.Sign in to the Windows Server computer that will run the scanner. Utilizar uma conta que tenha direitos de administrador local e que tenha permissões para escrever na base de dados mestra do SQL Server.Use an account that has local administrator rights and that has permissions to write to the SQL Server master database.

  2. Abra uma sessão do Windows PowerShell com o executar como administrador opção.Open a Windows PowerShell session with the Run as an administrator option.

  3. Executar o Install-AIPScanner cmdlet, especificando sua instância do SQL Server em que pretende criar uma base de dados para o scanner do Azure Information Protection:Run the Install-AIPScanner cmdlet, specifying your SQL Server instance on which to create a database for the Azure Information Protection scanner:

    Install-AIPScanner -SqlServerInstance <database name>
    

    Exemplos:Examples:

    Para uma instância predefinida: Install-AIPScanner -SqlServerInstance SQLSERVER1For a default instance: Install-AIPScanner -SqlServerInstance SQLSERVER1

    Para uma instância nomeada: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNERFor a named instance: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER

    Para o SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESSFor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS

    Utilize a ajuda online para este cmdlet, se precisar de mais obter exemplos detalhados.Use the online help for this cmdlet if you need more detailed examples.

    Quando lhe for pedido, forneça as credenciais para a conta de serviço do scanner (<nome de domínio \ utilizador >) e palavra-passe.When you are prompted, provide the credentials for the scanner service account (<domain\user name>) and password.

  4. Certifique-se de que o serviço está agora instalado usando ferramentas administrativas > serviços.Verify that the service is now installed by using Administrative Tools > Services.

    O serviço instalado com o nome do Azure Information Protection Scanner e está configurado para ser executado com a conta de serviço do scanner que criou.The installed service is named Azure Information Protection Scanner and is configured to run by using the scanner service account that you created.

Agora que instalou o scanner, terá de obter o token para a conta de serviço do scanner autenticar, para que ele pode executar sem supervisão de um Azure AD.Now that you have installed the scanner, you need to get an Azure AD token for the scanner service account to authenticate so that it can run unattended.

Obter um Azure AD token para a deteção de impressãoGet an Azure AD token for the scanner

O token do Azure AD permite que a conta de serviço do scanner autenticar para o serviço Azure Information Protection.The Azure AD token lets the scanner service account authenticate to the Azure Information Protection service.

  1. No mesmo computador Windows Server ou do ambiente de trabalho, inicie sessão no portal do Azure para criar duas aplicações do Azure AD que são necessários para especificar um token de acesso para a autenticação.From the same Windows Server computer, or from your desktop, sign in to the Azure portal to create two Azure AD applications that are needed to specify an access token for authentication. Após um inicial interativo início de sessão, este token permite o scanner executar de forma não interativa.After an initial interactive sign-in, this token lets the scanner run non-interactively.

    Para criar esses aplicativos, siga as instruções em como Etiquetar ficheiros de forma não interativa para o Azure Information Protection no Guia do administrador.To create these applications, follow the instructions in How to label files non-interactively for Azure Information Protection from the admin guide.

  2. Do computador Windows Server, se a sua conta de serviço do scanner recebeu o iniciar sessão localmente diretamente para a instalação: Inicie sessão com esta conta e iniciar uma sessão do PowerShell.From the Windows Server computer, if your scanner service account has been granted the Log on locally right for the installation: Sign in with this account and start a PowerShell session. Execute Set-AIPAuthentication, especificar os valores que copiou no passo anterior:Run Set-AIPAuthentication, specifying the values that you copied from the previous step:

    Set-AIPAuthentication -webAppId <ID of the "Web app / API" application> -webAppKey <key value generated in the "Web app / API" application> -nativeAppId <ID of the "Native" application>
    

    Quando lhe for pedido, especifique a palavra-passe para as credenciais da conta de serviço para o Azure AD e, em seguida, clique em Accept.When prompted, specify the password for your service account credentials for Azure AD, and then click Accept.

    Se a sua conta de serviço do scanner não é possível conceder a iniciar sessão localmente diretamente para a instalação: Siga as instruções no especificar e utilize o parâmetro de Token para Set-AIPAuthentication secção no Guia do administrador.If your scanner service account cannot be granted the Log on locally right for the installation: Follow the instructions in the Specify and use the Token parameter for Set-AIPAuthentication section from the admin guide.

O scanner agora tem um token para autenticar para o Azure AD, que é válido durante um ano, dois anos, ou nunca expira, de acordo com a configuração da a aplicação Web/API no Azure AD.The scanner now has a token to authenticate to Azure AD, which is valid for one year, two years, or never expires, according to your configuration of the Web app /API in Azure AD. Quando o token expira, terá de repetir os passos 1 e 2.When the token expires, you must repeat steps 1 and 2.

Agora, está pronto para especificar os arquivos de dados para análise.You're now ready to specify the data stores to scan.

Especificar os arquivos de dados para a deteção de impressãoSpecify data stores for the scanner

Utilize o Add-AIPScannerRepository armazena do cmdlet para especificar os dados a serem examinados pelo scanner do Azure Information Protection.Use the Add-AIPScannerRepository cmdlet to specify the data stores to be scanned by the Azure Information Protection scanner. Pode especificar pastas locais, caminhos UNC e URLs do servidor SharePoint para sites do SharePoint e bibliotecas.You can specify local folders, UNC paths, and SharePoint Server URLs for SharePoint sites and libraries.

Versões suportadas do SharePoint: SharePoint Server 2016 e o SharePoint Server 2013.Supported versions for SharePoint: SharePoint Server 2016 and SharePoint Server 2013. SharePoint Server 2010 também é suportada para os clientes que tenham suporte para esta versão do SharePoint estendido.SharePoint Server 2010 is also supported for customers who have extended support for this version of SharePoint.

  1. No mesmo computador do Windows Server, na sessão do PowerShell, adicione que os primeiros dados da loja, executando o seguinte comando:From the same Windows Server computer, in your PowerShell session, add your first data store by running the following command:

     Add-AIPScannerRepository -Path <path>
    

    Por exemplo: Add-AIPScannerRepository -Path \\NAS\DocumentsFor example: Add-AIPScannerRepository -Path \\NAS\Documents

    Para obter outros exemplos, consulte a ajuda online para este cmdlet.For other examples, see the online help for this cmdlet.

  2. Repita este comando para todos os arquivos de dados que pretende analisar.Repeat this command for all the data stores that you want to scan. Se tiver de remover um arquivo de dados que adicionou, utilize o Remove-AIPScannerRepository cmdlet.If you need to remove a data store that you added, use the Remove-AIPScannerRepository cmdlet.

  3. Confirmar que especificou todos os arquivos de dados corretamente, ao executar o Get-AIPScannerRepository cmdlet:Confirm that you have specified all the data stores correctly, by running the Get-AIPScannerRepository cmdlet:

     Get-AIPScannerRepository
    

Com a configuração predefinida do scanner, agora, está pronto para executar a sua primeira análise no modo de deteção.With the scanner's default configuration, you're now ready to run your first scan in discovery mode.

Executar um ciclo de deteção e ver relatórios para a deteção de impressãoRun a discovery cycle and view reports for the scanner

  1. Na sessão do PowerShell, reinicie o do Azure Information Protection Scanner service ao executar o seguinte comando:In your PowerShell session, restart the Azure Information Protection Scanner service by running the following command:

     Start-AIPScan
    

    Em alternativa, pode iniciar o scanner do portal do Azure.Alternatively, you can start the scanner from the Azure portal. Do do Azure Information Protection – nós painel, selecione o nó de scanner e, em seguida, o analisar agora opção:From the Azure Information Protection - Nodes blade, select your scanner node, and then the Scan now option:

    Iniciar verificação para o scanner do Azure Information Protection

  2. Aguarde que o scanner concluir o seu ciclo, executando o seguinte comando:Wait for the scanner to complete its cycle by running the following command:

     Get-AIPScannerStatus
    

    Em alternativa, pode ver o estado do do Azure Information Protection – nós painel no portal do Azure, verificando a estado coluna.Alternatively, you can view the status from the Azure Information Protection - Nodes blade in the Azure portal, by checking the STATUS column.

    Procure o estado Mostrar inativa vez digitalização.Look for the status to show Idle rather than Scanning.

    Quando a deteção de impressão tem rastreadas por meio de todos os arquivos nos arquivos de dados que especificou, o scanner para apesar do serviço de scanner permanece em execução.When the scanner has crawled through all the files in the data stores that you specified, the scanner stops although the scanner service remains running.

    Verifique o Windows local aplicativos e serviços registo de eventos do Azure Information Protection.Check the local Windows Applications and Services event log, Azure Information Protection. Este registo também relata quando o scanner concluir a verificação, com um resumo dos resultados.This log also reports when the scanner has finished scanning, with a summary of results. Procure o ID de evento informativo 911.Look for the informational event ID 911.

  3. Rever os relatórios que são armazenados em %localappdata% \Microsoft\MSIP\Scanner\Reports.Review the reports that are stored in %localappdata%\Microsoft\MSIP\Scanner\Reports. Os ficheiros de resumo. txt incluem o tempo necessário para analisar, o número de ficheiros e o número de ficheiros tinha uma correspondência para os tipos de informações.The .txt summary files include the time taken to scan, the number of scanned files, and how many files had a match for the information types. Os ficheiros. csv tem de obter mais detalhes para cada ficheiro.The .csv files have more details for each file. Esta pasta armazena até 60 relatórios para cada ciclo de análise e todos, mas o relatório mais recente é compactado para ajudar a minimizar o espaço em disco necessário.This folder stores up to 60 reports for each scanning cycle and all but the latest report is compressed to help minimize the required disk space.

    Nota

    Pode alterar o nível de registo utilizando o ReportLevel parâmetro com conjunto AIPScannerConfiguration, mas não é possível alterar a localização da pasta de relatório ou o nome.You can change the level of logging by using the ReportLevel parameter with Set-AIPScannerConfiguration, but you can't change the report folder location or name. Considere utilizar uma junção de diretório para a pasta se pretende armazenar os relatórios num volume diferente ou partição.Consider using a directory junction for the folder if you want to store the reports on a different volume or partition.

    Por exemplo, utilizando o Mklink comando: mklink /j C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\Reports D:\Scanner_reportsFor example, using the Mklink command: mklink /j C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\Reports D:\Scanner_reports

    Com a configuração padrão, apenas os ficheiros que cumprem as condições que configurou para classificação automática são incluídos nos relatórios detalhados.With the default setting, only files that meet the conditions you've configured for automatic classification are included in the detailed reports. Se não vir quaisquer etiquetas aplicadas nestes relatórios, verifique a configuração de etiqueta incluir automática em vez de classificação recomendada.If you don't see any labels applied in these reports, check your label configuration includes automatic rather than recommended classification.

    Dica

    Scanners de enviam estas informações para o Azure Information Protection a cada cinco minutos, para que possa visualizar os resultados em tempo quase real do portal do Azure.Scanners send this information to Azure Information Protection every five minutes, so that you can view the results in near real-time from the Azure portal. Para obter mais informações, consulte de relatórios do Azure Information Protection.For more information, see Reporting for Azure Information Protection.

    Se os resultados são não conforme o esperado, poderá ter de ajustar as condições que especificou na política do Azure Information Protection.If the results are not as you expect, you might need to fine-tune the conditions that you specified in your Azure Information Protection policy. Se for esse o caso, repita os passos 1 a 3 até estar pronto para alterar a configuração para aplicar a classificação e, opcionalmente, a proteção.If that's the case, repeat steps 1 through 3 until you are ready to change the configuration to apply the classification and optionally, protection.

Quando estiver pronto para etiquetar automaticamente os ficheiros que Deteta o scanner, avance para o procedimento seguinte.When you're ready to automatically label the files that the scanner discovers, continue to the next procedure.

Configurar a deteção de impressão para aplicar a classificação e proteçãoConfigure the scanner to apply classification and protection

Em sua configuração padrão, o scanner é executado um tempo e no modo só de relatórios.In its default setting, the scanner runs one time and in the reporting-only mode. Para alterar estas definições, execute o Set-AIPScannerConfiguration cmdlet.To change these settings, run the Set-AIPScannerConfiguration cmdlet.

  1. No computador do servidor do Windows, na sessão do PowerShell, execute o seguinte comando:On the Windows Server computer, in the PowerShell session, run the following command:

     Set-AIPScannerConfiguration -Enforce On -Schedule Always
    

    Existem outras definições de configuração que talvez queira alterar.There are other configuration settings that you might want to change. Por exemplo, se os atributos de ficheiro são alterados e o que é registado nos relatórios.For example, whether file attributes are changed and what is logged in the reports. Além disso, se a política do Azure Information Protection inclui a definição que necessita de uma mensagem de justificação para reduzir o nível de classificação ou remover a proteção, especifique que a mensagem utilizando este cmdlet.In addition, if your Azure Information Protection policy includes the setting that requires a justification message to lower the classification level or remove protection, specify that message by using this cmdlet. Utilize o ajuda online para obter mais informações sobre cada definição de configuração.Use the online help for more information about each configuration setting.

  2. Tome nota do tempo atual e iniciar o scanner novamente executando o seguinte comando:Make a note of the current time and start the scanner again by running the following command:

     Start-AIPScan
    

    Em alternativa, pode iniciar o scanner do portal do Azure.Alternatively, you can start the scanner from the Azure portal. Do do Azure Information Protection – nós painel, selecione o nó de scanner e, em seguida, o analisar agora opção:From the Azure Information Protection - Nodes blade, select your scanner node, and then the Scan now option:

    Iniciar verificação para o scanner do Azure Information Protection

  3. Monitorizar o registo de eventos para o tipo de informativo 911 novamente, com um tempo de carimbo posterior quando iniciou a análise no passo anterior.Monitor the event log for the informational type 911 again, with a time stamp later than when you started the scan in the previous step.

    Em seguida, verifique os relatórios para ver os detalhes de quais arquivos foram etiquetados, classificação de que foi aplicada a cada ficheiro e, se a proteção foi aplicada aos mesmos.Then check the reports to see details of which files were labeled, what classification was applied to each file, and whether protection was applied to them. Em alternativa, utilize o portal do Azure para ver mais facilmente essas informações.Or, use the Azure portal to more easily see this information.

Porque, configurámos o agendamento para ser executada continuamente, quando o scanner trilhou seu caminho através de todos os ficheiros, inicia um ciclo de novo para que todos os ficheiros novos e alterados são detetados.Because we configured the schedule to run continuously, when the scanner has worked its way through all the files, it starts a new cycle so that any new and changed files are discovered.

Como os ficheiros são analisadosHow files are scanned

O scanner percorre os seguintes processos quando ele analisa os ficheiros.The scanner runs through the following processes when it scans files.

1. Determinar se os ficheiros são incluídos ou excluídos para verificação1. Determine whether files are included or excluded for scanning

O scanner ignora automaticamente ficheiros que estão excluídos da classificação e proteção, como arquivos executáveis e arquivos do sistema.The scanner automatically skips files that are excluded from classification and protection, such as executable files and system files.

Pode alterar este comportamento ao definir uma lista dos tipos de ficheiro de analisar ou excluir da análise.You can change this behavior by defining a list of file types to scan, or exclude from scanning. Quando especifica esta lista e não especificar um repositório de dados, a lista se aplica a todos os repositórios de dados que não tem sua própria lista especificada.When you specify this list and do not specify a data repository, the list applies to all data repositories that do not have their own list specified. Para especificar esta lista, utilize Set-AIPScannerScannedFileTypes.To specify this list, use Set-AIPScannerScannedFileTypes.

Depois de especificar a lista de tipos de ficheiro, pode adicionar um novo tipo de ficheiro à lista utilizando Add-AIPScannerScannedFileTypese remover um tipo de ficheiro da lista com Remove-AIPScannerScannedFileTypes.After you have specified your file types list, you can add a new file type to the list by using Add-AIPScannerScannedFileTypes, and remove a file type from the list by using Remove-AIPScannerScannedFileTypes.

2. Inspecione e etiquetar ficheiros2. Inspect and label files

O scanner, em seguida, utiliza filtros para analisar os tipos de ficheiro suportados.The scanner then uses filters to scan supported file types. Estes filtros mesmo são utilizados pelo sistema operativo para o Windows Search e a indexação.These same filters are used by the operating system for Windows Search and indexing. Sem qualquer configuração adicional, o Windows IFilter é utilizado para analisar os tipos de ficheiro que são utilizados pelo Word, Excel, PowerPoint e para documentos PDF e arquivos de texto.Without any additional configuration, Windows IFilter is used to scan file types that are used by Word, Excel, PowerPoint, and for PDF documents and text files.

Para obter uma lista completa dos tipos de ficheiros que são suportadas por padrão e informações adicionais como para configurar os filtros existentes que incluem ficheiros. zip e ficheiros. TIFF, consulte tipos de ficheiro suportados para inspeção.For a full list of file types that are supported by default, and additional information how to configure existing filters that include .zip files and .tiff files, see File types supported for inspection.

Após a inspeção, estes tipos de ficheiro podem ser rotulados utilizando as condições que especificou para as etiquetas.After inspection, these file types can be labeled by using the conditions that you specified for your labels. Em alternativa, se estiver a utilizar o modo de deteção, estes ficheiros podem ser comunicados para conter as condições que especificou para as etiquetas ou todos os tipos conhecidos de informações confidenciais.Or, if you're using discovery mode, these files can be reported to contain the conditions that you specified for your labels, or all known sensitive information types.

No entanto, o scanner não é possível etiquetar os ficheiros nas seguintes circunstâncias:However, the scanner cannot label the files under the following circumstances:

  • Se aplica-se a etiqueta de classificação e proteção não e o tipo de ficheiro não existir suportará a classificação apenas.If the label applies classification and not protection, and the file type does not support classification only.

  • Se aplica-se a etiqueta de classificação e proteção, mas o scanner não protege o tipo de ficheiro.If the label applies classification and protection, but the scanner does not protect the file type.

    Por predefinição, o scanner protege apenas os tipos de ficheiro do Office e os ficheiros PDF que estejam protegidos utilizando a norma ISO para a encriptação de PDF.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. Outros tipos de ficheiro podem ser protegido quando editar o registo conforme descrito na seção a seguir.Other file types can be protected when you edit the registry as described in a following section.

Por exemplo, depois de inspecionar ficheiros que tenham uma extensão de nome de ficheiro de. txt, o scanner não é possível aplicar uma etiqueta que está configurada para classificação, mas não a proteção, porque o tipo de ficheiro. txt não suporta apenas a classificação.For example, after inspecting files that have a file name extension of .txt, the scanner can't apply a label that's configured for classification but not protection, because the .txt file type doesn't support classification-only. Se a etiqueta é configurada para classificação e proteção, e o Registro é editado para o tipo de ficheiro. txt, o scanner pode Etiquetar o ficheiro.If the label is configured for classification and protection, and the registry is edited for the .txt file type, the scanner can label the file.

Dica

Durante este processo, se o scanner interrompe e não concluir a verificação de um grande número de ficheiros num repositório, poderá ter de aumentar o número de portas dinâmicas para o sistema operativo que aloja os ficheiros.During this process, if the scanner stops and doesn't complete scanning a large number of the files in a repository, you might need to increase the number of dynamic ports for the operating system hosting the files. Sistema de proteção do servidor para o SharePoint pode ser um dos motivos por que o scanner excede o número de ligações de rede permitidos e, portanto, deixa.Server hardening for SharePoint can be one reason why the scanner exceeds the number of allowed network connections, and therefore stops.

Para verificar se esta é a causa do scanner a parar, dê uma olhada para ver se a seguinte mensagem de erro é registada para a deteção de impressão em %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (comprimido se existirem vários registos): Não é possível ligar ao servidor remoto---> System.Net.Sockets.SocketException: Utilização de apenas um de cada endereço de soquete (endereço de rede/protocolo/porta) normalmente é permitida IP: portaTo check whether this is the cause of the scanner stopping, look to see if the following error message is logged for the scanner in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped if there are multiple logs): Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

Para obter mais informações sobre como visualizar o intervalo de portas atual e aumentar o leque de mensagens em fila, consulte as definições que podem ser modificadas para melhorar o desempenho de rede.For more information about how to view the current port range and increase the range, see Settings that can be Modified to Improve Network Performance.

3. Ficheiros de etiqueta que não não possível inspecioná-lo3. Label files that can't be inspected

Para os tipos de ficheiro que não não possível inspecioná-lo, o scanner aplica-se a etiqueta predefinida na política do Azure Information Protection ou a etiqueta predefinida que configurou para a deteção de impressão.For the file types that can't be inspected, the scanner applies the default label in the Azure Information Protection policy, or the default label that you configure for the scanner.

Como no passo anterior, o scanner não é possível etiquetar os ficheiros nas seguintes circunstâncias:As in the preceding step, the scanner cannot label the files under the following circumstances:

  • Se aplica-se a etiqueta de classificação e proteção não e o tipo de ficheiro não existir suportará a classificação apenas.If the label applies classification and not protection, and the file type does not support classification only.

  • Se aplica-se a etiqueta de classificação e proteção, mas o scanner não protege o tipo de ficheiro.If the label applies classification and protection, but the scanner does not protect the file type.

    Por predefinição, o scanner protege apenas os tipos de ficheiro do Office e os ficheiros PDF que estejam protegidos utilizando a norma ISO para a encriptação de PDF.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. Outros tipos de ficheiro podem ser protegido quando editar o registo conforme descrito a seguir.Other file types can be protected when you edit the registry as described next.

Editar o registo para a deteção de impressãoEditing the registry for the scanner

Para alterar o comportamento de scanner de padrão para proteger os tipos de ficheiro diferentes arquivos do Office e de PDFs, tem de editar o registo e especificar os tipos de ficheiro adicionais que pretende proteger e o tipo de proteção (nativo ou genérico) manualmente.To change the default scanner behavior for protecting file types other than Office files and PDFs, you must manually edit the registry and specify the additional file types that you want to be protected, and the type of protection (native or generic). Para obter instruções, consulte configuração da API de ficheiros de orientação para programadores.For instructions, see File API configuration from the developer guidance. Nesta documentação para programadores, a proteção genérica é referida como "PFile".In this documentation for developers, generic protection is referred to as "PFile". Além disso, específico para a deteção de impressão:In addition, specific for the scanner:

  • O scanner tem seu próprio comportamento padrão: Apenas os formatos de arquivo do Office e os documentos PDF protegidos por padrão.The scanner has its own default behavior: Only Office file formats and PDF documents are protected by default. Se o registo não for modificado, outros tipos de ficheiro não serão etiquetados ou protegidos pelo leitor.If the registry is not modified, any other file types will not be labeled or protected by the scanner.

  • Se pretender que o mesmo comportamento de proteção de predefinição do cliente do Azure Information Protection, onde todos os ficheiros são automaticamente protegidos com a proteção nativa ou genérica: Especifique a * universais como uma chave de registo e Default como os dados do valor.If you want the same default protection behavior of the Azure Information Protection client, where all files are automatically protected with native or generic protection: Specify the * wildcard as a registry key, and Default as the value data.

Ao editar o registro, criar manualmente a MSIPC chave e FileProtection chave se não existirem, bem como uma chave para cada extensão de nome de ficheiro.When you edit the registry, manually create the MSIPC key and FileProtection key if they do not exist, as well as a key for each file name extension.

Por exemplo, para a deteção de impressão proteger as imagens TIFF, além de ficheiros do Office e de PDFs, o registo após editou, será semelhante a imagem seguinte.For example, for the scanner to protect TIFF images in addition to Office files and PDFs, the registry after you have edited it, will look like the following picture. Como um ficheiro de imagem, ficheiros TIFF suportam a proteção nativa e a extensão de nome de ficheiro resultante,. ptiff.As an image file, TIFF files support native protection and the resulting file name extension is .ptiff.

Editar o registo para o scanner aplicar a proteção

Para obter uma lista de texto e imagens de tipos de ficheiro que da mesma forma suportam a proteção nativa, mas tem de ser especificado no registo, consulte tipos de ficheiros suportados para classificação e proteção no Guia do administrador.For a list of text and images file types that similarly support native protection but must be specified in the registry, see Supported file types for classification and protection from the admin guide.

Para ficheiros que não suportam a proteção nativa, especifique a extensão de nome de ficheiro, como uma nova chave, e PFile para proteção genérica.For files that don't support native protection, specify the file name extension as a new key, and PFile for generic protection. A extensão de nome de ficheiro resultante para o ficheiro protegido é. pfile.The resulting file name extension for the protected file is .pfile.

Quando ficheiros estão a ser reanalisadosWhen files are rescanned

Para o primeiro ciclo de análise, o scanner inspeciona todos os ficheiros nos arquivos de dados configurada e, em seguida, para análises subsequentes, apenas novos ou modificados arquivos são inspecionados.For the first scan cycle, the scanner inspects all files in the configured data stores and then for subsequent scans, only new or modified files are inspected.

Pode forçar a deteção de impressão para inspecionar todos os ficheiros novamente, executando Start-AIPScan com o -Reset parâmetro.You can force the scanner to inspect all files again by running Start-AIPScan with the -Reset parameter. A deteção de impressão tem de ser configurada para um agendamento manual, o que requer o -Schedule parâmetro ser definida como Manual com conjunto AIPScannerConfiguration.The scanner must be configured for a manual schedule, which requires the -Schedule parameter to be set to Manual with Set-AIPScannerConfiguration.

Em alternativa, pode forçar a deteção de impressão para inspecionar todos os ficheiros novamente a partir da do Azure Information Protection – nós painel no portal do Azure.Alternatively, you can force the scanner to inspect all files again from the Azure Information Protection - Nodes blade in the Azure portal. Selecione o scanner da lista e, em seguida, selecione o reanalisar todos os ficheiros opção:Select your scanner from the list, and then select the Rescan all files option:

Iniciar a reanálise para o scanner do Azure Information Protection

Inspecionar todos os ficheiros novamente é útil quando pretende que os relatórios para incluir todos os ficheiros e esta opção de configuração é normalmente utilizada quando o scanner é executado no modo de deteção.Inspecting all files again is useful when you want the reports to include all files and this configuration choice is typically used when the scanner runs in discovery mode. Quando uma análise completa estiver concluída, o tipo de análise muda automaticamente para incremental, de modo que para análises subsequentes, os ficheiros novos ou modificados só são analisados.When a full scan is complete, the scan type automatically changes to incremental so that for subsequent scans, only new or modified files are scanned.

Além disso, todos os arquivos são inspecionados quando o scanner transfere uma política do Azure Information Protection que tem condições novas ou alteradas.In addition, all files are inspected when the scanner downloads an Azure Information Protection policy that has new or changed conditions. O scanner é atualizada a política para cada hora, e quando é iniciado o serviço e a política é mais antigo do que uma hora.The scanner refreshes the policy every hour, and when the service starts and the policy is older than one hour.

Dica

Se precisar de atualizar a política mais cedo do que este intervalo de uma hora, por exemplo, durante um período de teste: Elimine manualmente o ficheiro de política msip tanto %LocalAppData%\Microsoft\MSIP\Policy.msip e %LocalAppData%\Microsoft\MSIP\Scanner.If you need to refresh the policy sooner than this one hour interval, for example, during a testing period: Manually delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner. Em seguida, reinicie o serviço de Scanner de informações do Azure.Then restart the Azure Information Scanner service.

Se tiver alterado as definições de proteção na política, aguarde também a 15 minutos de quando guardar as definições de proteção antes de reiniciar o serviço.If you changed protection settings in the policy, also wait 15 minutes from when you saved the protection settings before you restart the service.

Se o scanner transferido uma política que não tinha nenhuma condição automática configurada, a cópia do ficheiro de política na pasta scanner não é atualizada.If the scanner downloaded a policy that had no automatic conditions configured, the copy of the policy file in the scanner folder does not update. Neste cenário, tem de eliminar o ficheiro de política msip tanto %LocalAppData%\Microsoft\MSIP\Policy.msip e %LocalAppData%\Microsoft\MSIP\Scannerantes do scanner pode utilizar um ficheiro de política recentemente transferida com etiquetas corretamente imaginei condições automática.In this scenario, you must delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner before the scanner can use a newly downloaded policy file that has labels correctly figured for automatic conditions.

Utilizar o Verificador de com configurações alternativasUsing the scanner with alternative configurations

Existem dois cenários alternativos que o scanner do Azure Information Protection suporta onde as etiquetas não precisa de ser configurado para todas as condições:There are two alternative scenarios that the Azure Information Protection scanner supports where labels do not need to be configured for any conditions:

  • Aplicam-se uma etiqueta predefinida para todos os arquivos num repositório de dados.Apply a default label to all files in a data repository.

    Para esta configuração, utilize o conjunto AIPScannerRepository cmdlet e defina a MatchPolicy parâmetro desativar.For this configuration, use the Set-AIPScannerRepository cmdlet, and set the MatchPolicy parameter to Off.

    O conteúdo dos ficheiros não é inspecionado e todos os ficheiros no repositório de dados são o nome, de acordo com a etiqueta predefinida que especificou para o repositório de dados (com o SetDefaultLabel parâmetro) ou se não for especificado, o etiqueta predefinida que é especificada como uma definição de política para a conta do scanner.The contents of the files are not inspected and all files in the data repository are labeled according to the default label that you specify for the data repository (with the SetDefaultLabel parameter) or if this is not specify, the default label that is specified as a policy setting for the scanner account.

  • Identifique todas as condições personalizadas e tipos de informações confidenciais conhecidos.Identify all custom conditions and known sensitive information types.

    Para esta configuração, utilize o Set-AIPScannerConfiguration cmdlet e defina a DiscoverInformationTypes parâmetro todos os.For this configuration, use the Set-AIPScannerConfiguration cmdlet, and set the DiscoverInformationTypes parameter to All.

    O scanner utiliza quaisquer condições personalizadas que tenha especificado para as etiquetas na política do Azure Information Protection e a lista de tipos de informações que estão disponíveis para especificar para etiquetas na política do Azure Information Protection.The scanner uses any custom conditions that you have specified for labels in the Azure Information Protection policy, and the list of information types that are available to specify for labels in the Azure Information Protection policy.

    Início rápido seguinte utiliza esta configuração: Início rápido: Encontrar as informações confidenciais que tiver.The following quickstart uses this configuration: Quickstart: Find what sensitive information you have.

Otimizar o desempenho do scannerOptimizing the performance of the scanner

Para maximizar o desempenho de scanner:To maximize the scanner performance:

  • Ter uma alta velocidade e a conexão de rede confiável entre o computador de scanner e o arquivo de dados digitalizadosHave a high speed and reliable network connection between the scanner computer and the scanned data store

    Por exemplo, colocar o computador do scanner no mesmo LAN ou (preferencial) no mesmo segmento de rede como o arquivo de dados digitalizados.For example, place the scanner computer in the same LAN, or (preferred) in the same network segment as the scanned data store.

    A qualidade da ligação de rede afeta o desempenho de scanner porque para inspecionar os ficheiros, o scanner transfere o conteúdo dos ficheiros para o computador que executa o serviço de scanner.The quality of the network connection affects the scanner performance because to inspect the files, the scanner transfers the contents of the files to the computer running the scanner service. Quando reduzir (ou eliminar) o número de saltos de rede que tem destes dados de viagens, também reduzir a carga na sua rede.When you reduce (or eliminate) the number of network hops this data has to travel, you also reduce the load on your network.

  • Certifique-se de que o computador de scanner possui recursos de processador disponíveisMake sure the scanner computer has available processor resources

    Inspecionar os conteúdos do ficheiro para uma correspondência com as condições configuradas e encriptar e desencriptar ficheiros são ações de uso intenso do processador.Inspecting the file contents for a match against your configured conditions, and encrypting and decrypting files are processor-intensive actions. Monitor típico de análise de ciclos para os arquivos de dados especificado para identificar se a falta de recursos do processador é afetar negativamente o desempenho do scanner.Monitor typical scanning cycles for your specified data stores to identify whether a lack of processor resources is negatively affecting the scanner performance.

  • Não verificar pastas locais no computador que executa o serviço de scannerDo not scan local folders on the computer running the scanner service

    Se tiver pastas para verificar num servidor Windows, instale o scanner num computador diferente e configurar essas pastas como compartilhamentos para análise de rede.If you have folders to scan on a Windows server, install the scanner on a different computer and configure those folders as network shares to scan. Separar as duas funções de que alojem ficheiros e análise de ficheiros, significa que os recursos de computação para estes serviços não estejam competindo entre si.Separating the two functions of hosting files and scanning files means that the computing resources for these services are not competing with one another.

Se necessário, instale várias instâncias do scanner.If necessary, install multiple instances of the scanner. Cada instância do scanner requer seu próprio banco de dados de configuração numa instância diferente do SQL Server.Each scanner instance requires its own configuration database in a different SQL Server instance.

Outros fatores que afetam o desempenho de scanner:Other factors that affect the scanner performance:

  • A carga atual e os tempos de resposta de arquivos de dados que contêm os ficheiros para analisarThe current load and response times of the data stores that contain the files to scan

  • Se o scanner é executado no modo de deteção ou modo de imposiçãoWhether the scanner runs in discovery mode or enforce mode

    Modo de deteção, normalmente tem um maior impor a taxa de verificação que o modo de imposição, como deteção requer um único arquivo ler ação, ao passo que necessita de modo de leitura e escrita de ações.Discovery mode typically has a higher scanning rate than enforce mode because discovery requires a single file read action, whereas enforce mode requires read and write actions.

  • Alterar as condições no Azure Information ProtectionYou change the conditions in the Azure Information Protection

    O primeiro ciclo de análise quando o scanner deve inspecionar todos os ficheiros, obviamente, irá demorar mais de ciclos de análise subsequentes que, por predefinição, inspecionar os ficheiros apenas novos e alterados.Your first scan cycle when the scanner must inspect every file will obviously take longer than subsequent scan cycles that by default, inspect only new and changed files. No entanto, se alterar as condições na política do Azure Information Protection, todos os ficheiros são analisados mais uma vez, conforme descrito no secção anterior.However, if you change the conditions in the Azure Information Protection policy, all files are scanned again, as described in the preceding section.

  • O nível de registo escolhidoYour chosen logging level

    Pode escolher entre depurar, informações, erro e desativar para os relatórios de scanner.You can choose between Debug, Info, Error and Off for the scanner reports. Desativar resulta em melhor desempenho; Depurar consideravelmente mais lento o scanner e deve ser usado apenas para resolução de problemas.Off results in the best performance; Debug considerably slows down the scanner and should be used only for troubleshooting. Para obter mais informações, consulte a ReportLevel parâmetro para o conjunto AIPScannerConfiguration cmdlet.For more information, see the ReportLevel parameter for the Set-AIPScannerConfiguration cmdlet.

  • Os próprios arquivos:The files themselves:

    • Ficheiros do Office são mais rapidamente digitalizados que ficheiros PDF.Office files are more quickly scanned than PDF files.

    • Ficheiros desprotegidos são mais rápidos de análise de ficheiros protegidos.Unprotected files are quicker to scan than protected files.

    • Ficheiros grandes, obviamente, demoram mais tempo a análise de ficheiros pequenos.Large files obviously take longer to scan than small files.

  • Além disso,Additionally:

    • Confirme que a conta de serviço que executa a deteção de impressão tem apenas os direitos documentados no pré-requisitos do scanner secção e, em seguida, configure a propriedade de cliente avançada para desativar a baixa nível de integridade para a deteção de impressão.Confirm that the service account that runs the scanner has only the rights documented in the scanner prerequisites section, and then configure the advanced client property to disable the low integrity level for the scanner.

    • O scanner é executado mais rapidamente ao utilizar o configuração alternativa para aplicar uma etiqueta predefinida para todos os ficheiros porque o scanner não inspeciona o conteúdo do ficheiro.The scanner runs more quickly when you use the alternative configuration to apply a default label to all files because the scanner does not inspect the file contents.

    • O scanner é executado mais lentamente quando utiliza a configuração alternativa para identificar todas as condições personalizadas e tipos de informações confidenciais conhecidos.The scanner runs more slowly when you use the alternative configuration to identify all custom conditions and known sensitive information types.

Lista de cmdlets para a deteção de impressãoList of cmdlets for the scanner

Outros cmdlets para a deteção de impressão permitem-lhe alterar a conta de serviço e a base de dados para o scanner, obter as definições atuais para a deteção de impressão e desinstale o serviço de scanner.Other cmdlets for the scanner let you change the service account and database for the scanner, get the current settings for the scanner, and uninstall the scanner service. O scanner utiliza os seguintes cmdlets:The scanner uses the following cmdlets:

IDs de registo de eventos e descrições para a deteção de impressãoEvent log IDs and descriptions for the scanner

Utilize as secções seguintes para identificar os IDs de eventos possíveis e descrições para a deteção de impressão.Use the following sections to identify the possible event IDs and descriptions for the scanner. Estes eventos são registados no servidor que executa o serviço de scanner, em que o Windows aplicativos e serviços registo de eventos do Azure Information Protection.These events are logged on the server that runs the scanner service, in the Windows Applications and Services event log, Azure Information Protection.


Informações 910Information 910

Ciclo de scanner iniciado.Scanner cycle started.

Este evento é registado quando o serviço de scanner é iniciado e começa a procurar ficheiros nos repositórios de dados que especificou.This event is logged when the scanner service is started and begins to scan for files in the data repositories that you specified.


Informações 911Information 911

Ciclo de scanner foi concluída.Scanner cycle finished.

Este evento é registado quando o scanner foi concluída uma análise manual ou o scanner concluir um ciclo numa base contínua.This event is logged when the scanner has finished a manual scan, or the scanner has finished a cycle for a continuous schedule.

Se o scanner foi configurado para executar manualmente em vez de forma contínua, para executar uma nova análise, utilize o Start-AIPScan cmdlet.If the scanner was configured to run manually rather than continuously, to run a new scan, use the Start-AIPScan cmdlet. Para alterar a agenda, utilize o Set-AIPScannerConfiguration cmdlet e o agenda parâmetro.To change the schedule, use the Set-AIPScannerConfiguration cmdlet and the Schedule parameter.


Passos SeguintesNext steps

Interessado em como a equipe principal Services engenharia e operações no Microsoft implementado este scanner?Interested in how the Core Services Engineering and Operations team in Microsoft implemented this scanner? Leia o caso prático técnico: Automatizar a proteção de dados com o scanner do Azure Information Protection.Read the technical case study: Automating data protection with Azure Information Protection scanner.

Deve estar pensando: O que é a diferença entre a FCI do Windows Server e o scanner do Azure Information Protection?You might be wondering: What’s the difference between Windows Server FCI and the Azure Information Protection scanner?

Também pode utilizar o PowerShell para classificar e proteger ficheiros a partir de seu computador desktop de interativamente.You can also use PowerShell to interactively classify and protect files from your desktop computer. Para obter mais informações sobre este e outros cenários que utilizam o PowerShell, consulte utilizar o PowerShell com o cliente do Azure Information Protection.For more information about this and other scenarios that use PowerShell, see Using PowerShell with the Azure Information Protection client.