Pré-requisitos para a instalação e implantação do scanner unificado de rotulagem unificado da Proteção de Informação AzurePrerequisites for installing and deploying the Azure Information Protection unified labeling scanner

Aplica-se a: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Antes de instalar o scanner Azure Information Protection no local, certifique-se de que o seu sistema cumpre os requisitos básicos de Proteção de Informação Azure,bem como os seguintes requisitos específicos do scanner:Before installing the Azure Information Protection on-premises scanner, make sure that your system complies with basic Azure Information Protection requirements, as well as the following requirements specific to the scanner:

Se não conseguir cumprir todos os requisitos da tabela porque são proibidos pelas suas políticas de organização, consulte a secção de configurações alternativas.If you can't meet all the requirements in the table because they are prohibited by your organization policies, see the alternative configurations section.

Ao implementar o scanner na produção ou testar o desempenho de vários scanners, consulte os requisitos de Armazenamento e o planeamento da capacidade para o SQL Server.When deploying the scanner in production or testing the performance for multiple scanners, see Storage requirements and capacity planning for SQL Server.

Quando estiver pronto para começar a instalar e implantar o seu scanner, continue a implementar o scanner de Proteção de Informação Azure para classificar e proteger automaticamente ficheiros.When you're ready to start installing and deploying your scanner, continue with Deploying the Azure Information Protection scanner to automatically classify and protect files.

Requisitos do Servidor do WindowsWindows Server requirements

Tem de ter um computador Windows Server para executar o scanner, que tem as seguintes especificações do sistema:You must have a Windows Server computer to run the scanner, which has the following system specifications:

EspecificaçãoSpecification DetalhesDetails
ProcessadorProcessor 4 processadores de núcleo4 core processors
RAMRAM 8 GB8 GB
Espaço em discoDisk space Espaço livre de 10 GB (média) para ficheiros temporários.10-GB free space (average) for temporary files.

O scanner requer espaço suficiente em disco para criar ficheiros temporários para cada ficheiro que digitaliza, quatro ficheiros por núcleo.The scanner requires sufficient disk space to create temporary files for each file that it scans, four files per core.

O espaço recomendado em disco de 10 GB permite que 4 processadores core digitalizem 16 ficheiros que cada um tem um tamanho de ficheiro de 625 MB.The recommended disk space of 10 GB allows for 4 core processors scanning 16 files that each have a file size of 625 MB.
Sistema operativoOperating system - Windows Server 2019- Windows Server 2019
- Windows Server 2016- Windows Server 2016
- Windows Server 2012 R2- Windows Server 2012 R2

Nota: Para fins de teste ou avaliação num ambiente não produtivo, também pode utilizar qualquer sistema operativo Windows que seja suportado pelo cliente Azure Information Protection.Note: For testing or evaluation purposes in a non-production environment, you can also use any Windows operating system that is supported by the Azure Information Protection client.
Conectividade de redeNetwork connectivity O seu computador de scanner pode ser um computador físico ou virtual com uma ligação de rede rápida e fiável às lojas de dados a serem digitalizadas.Your scanner computer can be a physical or virtual computer with a fast and reliable network connection to the data stores to be scanned.

Se a conectividade da Internet não for possível devido às suas políticas de organização, consulte implementar o scanner com configurações alternativas.If internet connectivity is not possible because of your organization policies, see Deploying the scanner with alternative configurations.

Caso contrário, certifique-se de que este computador tem conectividade de internet que permite os seguintes URLs em HTTPS (porta 443):Otherwise, make sure that this computer has internet connectivity that allows the following URLs over HTTPS (port 443):

- *.aadrm.com- *.aadrm.com
- *.azurerms.com- *.azurerms.com
- *.informationprotection.azure.com- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com- *.aria.microsoft.com
- *.protection.outlook.com- *.protection.outlook.com

Requisitos da conta de serviçoService account requirements

Tem de ter uma conta de serviço para executar o serviço de scanner no computador Windows Server, bem como autenticar para Azure AD e descarregar a Política de Proteção de Informação Azure.You must have a service account to run the scanner service on the Windows Server computer, as well as authenticate to Azure AD and download the Azure Information Protection Policy.

A sua conta de serviço deve ser uma conta ative diretório e sincronizada com a Azure AD.Your service account must be an Active Directory account and synchronized to Azure AD.

Se não conseguir sincronizar esta conta por causa das suas políticas de organização, consulte implementar o scanner com configurações alternativas.If you cannot synchronize this account because of your organization policies, see Deploying the scanner with alternative configurations.

Esta conta de serviço tem os seguintes requisitos:This service account has the following requirements:

RequisitoRequirement DetalhesDetails
Inicie sessão na atribuição do direito do utilizador localLog on locally user right assignment Necessário para instalar e configurar o scanner, mas não é necessário fazer exames.Required to install and configure the scanner, but not required to run scans.

Uma vez confirmado que o scanner pode descobrir, classificar e proteger ficheiros, pode remover este direito da conta de serviço.Once you've confirmed that the scanner can discover, classify, and protect files, you can remove this right from the service account.

Se conceder este direito mesmo que por um curto período de tempo não for possível devido às suas políticas de organização, consulte implementar o scanner com configurações alternativas.If granting this right even for a short period of time is not possible because of your organization policies, see Deploying the scanner with alternative configurations.
Inicie sessão como uma atribuição correta do utilizador de serviço.Log on as a service user right assignment. Este direito é automaticamente concedido à conta de serviço durante a instalação do scanner e este direito é necessário para a instalação, configuração e funcionamento do scanner.This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.
Permissões aos repositórios de dadosPermissions to the data repositories - Partilhas de ficheiros ou ficheiros locais: Grant Read, Escreva e modifique permissões para digitalizar os ficheiros e, em seguida, aplicar classificação e proteção conforme configurado.- File shares or local files: Grant Read, Write, and Modify permissions for scanning the files and then applying classification and protection as configured.

- SharePoint: Tem de conceder permissões de Controlo Total para digitalizar os ficheiros e, em seguida, aplicar classificação e proteção aos ficheiros que satisfaçam as condições da política de Proteção de Informação Azure.- SharePoint: You must grant Full Control permissions for scanning the files and then applying classification and protection to the files that meet the conditions in the Azure Information Protection policy.

- Modo de descoberta: Para executar o scanner apenas no modo de descoberta, a permissão de leitura é suficiente.- Discovery mode: To run the scanner in discovery mode only, Read permission is sufficient.
Para rótulos que reprotegem ou removam a proteçãoFor labels that reprotect or remove protection Para garantir que o scanner tem sempre acesso a ficheiros protegidos, faça desta conta um super utilizador para a Azure Information Protection e certifique-se de que a funcionalidade super utilizador está ativada.To ensure that the scanner always has access to protected files, make this account a super user for Azure Information Protection, and ensure that the super user feature is enabled.

Além disso, se implementou controlos de embarque para uma implementação faseada, certifique-se de que a conta de serviço está incluída nos controlos de embarque que configura.Additionally, if you've implemented onboarding controls for a phased deployment, make sure that the service account is included in the onboarding controls you've configured.
Digitalização específica do nível de URL:Specific URL level scanning: Para digitalizar e descobrir sites e subsites sob um URL específico,conceda direitos de Auditor de Colecionador de Locais à conta do scanner a nível da exploração.To scan and discover sites and subsites under a specific URL, grant Site Collector Auditor rights to the scanner account on the farm level.

Requisitos do servidor SQLSQL server requirements

Para armazenar os dados de configuração do scanner, utilize um servidor SQL com os seguintes requisitos:To store the scanner configuration data, use an SQL server with the following requirements:

  • Um caso local ou remoto.A local or remote instance.

    Recomendamos hospedar o servidor SQL e o serviço de scanner em diferentes máquinas, a menos que esteja a trabalhar com uma pequena implantação.We recommend hosting the SQL server and the scanner service on different machines, unless you're working with a small deployment. Além disso, recomendamos ter uma instância SQL dedicada que sirva apenas a base de dados do scanner, e que não seja partilhada com outras aplicações.Additionally, we recommend having a dedicated SQL instance that serves the scanner database only, and that is not shared with other applications.

    Se estiver a trabalhar num servidor partilhado, certifique-se de que o número recomendado de núcleos é gratuito para que a base de dados do scanner funcione.If you're working on a shared server, make sure that the recommended number of cores are free for the scanner database to work.

    SQL Server 2016 é a versão mínima para as seguintes edições:SQL Server 2016 is the minimum version for the following editions:

    • Empresa de servidores SQLSQL Server Enterprise

    • Padrão do servidor SQLSQL Server Standard

    • SQL Server Express (recomendado apenas para ambientes de teste)SQL Server Express (recommended for test environments only)

  • Uma conta com função Sysadmin para instalar o scanner.An account with Sysadmin role to install the scanner.

    A função Sysadmin permite que o processo de instalação crie automaticamente a base de dados de configuração do scanner e conceda a função db_owner necessária à conta de serviço que executa o scanner.The Sysadmin role enables the installation process to automatically create the scanner configuration database and grant the required db_owner role to the service account that runs the scanner.

    Se não puder ser-lhe concedida a função Sysadmin ou as suas políticas de organização requerem que as bases de dados sejam criadas e configuradas manualmente, consulte implementar o scanner com configurações alternativas.If you cannot be granted the Sysadmin role or your organization policies require databases to be created and configured manually, see Deploying the scanner with alternative configurations.

  • Capacidade.Capacity. Para obter orientação de capacidade, consulte os requisitos de Armazenamento e o planeamento da capacidade para o SQL Server.For capacity guidance, see Storage requirements and capacity planning for SQL Server.

  • Colagem insensível a casoCase insensitive collation

Nota

Várias bases de dados de configuração no mesmo servidor SQL são suportadas quando especifica um nome de cluster personalizado (perfil) para o scanner, ou quando utiliza a versão de pré-visualização do scanner.Multiple configuration databases on the same SQL server are supported when you specify a custom cluster (profile) name for the scanner, or when you use the preview version of the scanner.

Requisitos de armazenamento e planeamento de capacidade para o SQL ServerStorage requirements and capacity planning for SQL Server

A quantidade de espaço em disco necessária para a base de dados de configuração do scanner e a especificação do computador que executa o SQL Server podem variar para cada ambiente, pelo que o encorajamos a fazer o seu próprio teste.The amount of disk space required for the scanner's configuration database and the specification of the computer running SQL Server can vary for each environment, so we encourage you to do your own testing. Utilize a seguinte orientação como ponto de partida.Use the following guidance as a starting point.

Para obter mais informações, consulte Otimização do desempenho do scanner.For more information, see Optimizing the performance of the scanner.

O tamanho do disco para a base de dados de configuração do scanner variará para cada implementação.The disk size for the scanner configuration database will vary for each deployment. Utilize a seguinte equação como orientação:Use the following equation as guidance:

100 KB + <file count> *(1000 + 4* <average file name length>)

Por exemplo, para digitalizar 1 milhão de ficheiros que tenham um comprimento médio de nome de ficheiro de 250 bytes, aloque espaço de disco de 2 GB.For example, to scan 1 million files that have an average file name length of 250 bytes, allocate 2-GB disk space.

Para vários scanners:For multiple scanners:

  • Até 10 scanners, use:Up to 10 scanners, use:

    • 4 processadores de núcleo4 core processors
    • RAM de 8 GB recomendado8-GB RAM recommended
  • Mais de 10 scanners (máximo 40), utilização:More than 10 scanners (maximum 40), use:

    • 8 processos centrais8 core processes
    • RAM de 16 GB recomendado16-GB RAM recommended

Requisitos do cliente da Azure Information ProtectionAzure Information Protection client requirements

Deve ter a versão geral atual do cliente Azure Information Protection instalada no computador Windows Server.You must have either the current general availability version of the Azure Information Protection client installed on the Windows Server computer.

Para mais informações, consulte o guia de administração do cliente de rotulagem Unificada.For more information, see the Unified labeling client admin guide.

Importante

Tem de instalar o cliente completo para o scanner.You must install the full client for the scanner. Não instale o cliente apenas com o módulo PowerShell.Do not install the client with just the PowerShell module.

Requisitos de configuração do rótuloLabel configuration requirements

Deve ter pelo menos uma etiqueta de sensibilidade configurada num dos centros de administração de rotulagem microsoft 365 para a conta do scanner, para aplicar a classificação e, opcionalmente, a proteção.You must have at least one sensitivity label configured in one of the Microsoft 365 labeling admin centers for the scanner account, to apply classification and, optionally, protection.

Os centros de administração de rotulagem microsoft 365 incluem o Microsoft 365 Security Center, o Microsoft 365 Compliance Center e o Microsoft 365 Security and Compliance Center.Microsoft 365 labeling admin centers include the Microsoft 365 Security Center, the Microsoft 365 Compliance Center, and the Microsoft 365 Security and Compliance Center.

A conta do scanner é a conta que irá especificar no parâmetro DelegadoUser do cmdlet Set-AIPAuthentication, executado ao configurar o seu scanner.The scanner account is the account that you'll specify in the DelegatedUser parameter of the Set-AIPAuthentication cmdlet, run when configuring your scanner.

Se as suas etiquetas não tiverem condições de rotulagem automática, consulte as instruções para configurações alternativas abaixo.If your labels don't have auto-labeling conditions, see the instructions for alternative configurations below.

Para obter mais informações, consulte:For more information, see:

Requisitos do SharePointSharePoint requirements

Para digitalizar bibliotecas e pastas de documentos SharePoint, certifique-se de que o seu servidor SharePoint cumpre os seguintes requisitos:To scan SharePoint document libraries and folders, ensure that your SharePoint server complies with the following requirements:

RequisitoRequirement DescriptionDescription
Versões suportadasSupported versions As versões suportadas incluem: SharePoint 2019, SharePoint 2016 e SharePoint 2013.Supported versions include: SharePoint 2019, SharePoint 2016, and SharePoint 2013.
Outras versões do SharePoint não são suportadas para o scanner.Other versions of SharePoint are not supported for the scanner.
Controlo de versõesVersioning Ao utilizar a versão,o scanner inspeciona e rotula a última versão publicada.When you use versioning, the scanner inspects and labels the last published version.

Se o scanner rotular um ficheiro e a aprovação do conteúdo, esse ficheiro rotulado deve ser aprovado para estar disponível para os utilizadores.If the scanner labels a file and content approval is required, that labeled file must be approved to be available for users.
Grandes fazendas SharePointLarge SharePoint farms Para grandes explorações sharePoint, verifique se precisa de aumentar o limiar de visualização da lista (por padrão, 5.000) para que o scanner aceda a todos os ficheiros.For large SharePoint farms, check whether you need to increase the list view threshold (by default, 5,000) for the scanner to access all files.

Para obter mais informações, consulte Gerir grandes listas e bibliotecas no SharePoint.For more information, see Manage large lists and libraries in SharePoint.
Caminhos de arquivo longoLong file paths Se tiver longos percursos de ficheiro no SharePoint, certifique-se de que o valor httpRuntime.maxUrlength do seu servidor SharePoint é maior do que os 260 caracteres predefinidos.If you have long file paths in SharePoint, ensure that your SharePoint server's httpRuntime.maxUrlLength value is larger than the default 260 characters.

Para obter mais informações, consulte Evitar os intervalos de tempo do scanner no SharePoint.For more information, see Avoid scanner timeouts in SharePoint.

Requisitos do Microsoft OfficeMicrosoft Office requirements

Para digitalizar documentos do Office, os seus documentos devem estar num dos seguintes formatos:To scan Office documents, your documents must be in one of the following formats:

  • Microsoft Office 97-2003Microsoft Office 97-2003
  • Formatos XML abertos do Office para Word, Excel e PowerPointOffice Open XML formats for Word, Excel, and PowerPoint

Para obter mais informações, consulte os tipos de ficheiros suportados pelo cliente unificado de rotulagem Azure Information Protection.For more information, see File types supported by the Azure Information Protection unified labeling client.

Requisitos de caminho de arquivoFile path requirements

Por predefinição, para digitalizar ficheiros, os seus caminhos de ficheiro devem ter um máximo de 260 caracteres.By default, to scan files, your file paths must have a maximum of 260 characters.

Para digitalizar ficheiros com caminhos de ficheiro de mais de 260 caracteres, instale o scanner num computador com uma das seguintes versões do Windows e configuure o computador conforme necessário:To scan files with file paths of more than 260 characters, install the scanner on a computer with one of the following Windows versions, and configure the computer as needed:

Versão do WindowsWindows version DescriçãoDescription
Windows 2016 ou mais tardeWindows 2016 or later Configure o computador para suportar caminhos longosConfigure the computer to support long paths
Windows 10 ou Windows Server 2016Windows 10 or Windows Server 2016 Defina a seguinte definição de política de grupo: Modelos administrativos de configuração de computador de política local todas as > Computer Configuration > Administrative Templates > definições permitem a vitória > 32 longos caminhos.Define the following group policy setting: Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths.

Para obter mais informações sobre o suporte a longos ficheiros nestas versões, consulte a secção de Limitação do Comprimento do Percurso Máximo a partir da documentação do desenvolvedor do Windows 10.For more information long file path support in these versions, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.
Windows 10, versão 1607 ou mais tardeWindows 10, version 1607 or later Opte pela funcionalidade MAX_PATH atualizada.Opt in for the updated MAX_PATH functionality. Para obter mais informações, consulte Enable Long Paths nas versões 1607 do Windows 10 e posteriormente.For more information, see Enable Long Paths in Windows 10 versions 1607 and later.

Requisitos de estatísticas de utilizaçãoUsage statistics requirements

Desativar as estatísticas de utilização utilizando um dos seguintes métodos:Disable usage statistics using one of the following methods:

  • Definição do parâmetro AllowTelemetry para 0Setting the AllowTelemetry parameter to 0

  • Certifique-se de que a Ajuda melhora a Proteção de Informações do Azure, enviando estatísticas de utilização para a opção Microsoft, permanece não selecionado durante o processo de instalação do scanner.Ensure that the Help improve Azure Information Protection by sending usage statistics to Microsoft option remains unselected during the scanner installation process.

Implantação do scanner com configurações alternativasDeploying the scanner with alternative configurations

Os pré-requisitos listados acima são os requisitos predefinidos para a implementação do scanner, e recomendados porque suportam a configuração mais simples do scanner.The prerequisites listed above are the default requirements for the scanner deployment, and recommended because they support the simplest scanner configuration.

Os requisitos predefinidos devem ser adequados para testes iniciais, para que possa verificar as capacidades do scanner.The default requirements should be suitable for initial testing, so that you can check the capabilities of the scanner.

No entanto, num ambiente de produção, as políticas da sua organização podem ser diferentes dos requisitos padrão.However, in a production environment, your organization's policies may be different than the default requirements. O scanner pode acomodar as seguintes alterações com configuração adicional:The scanner can accommodate the following changes with additional configuration:

Descubra e digitalize todos os sites e subsites sharepoint sob um URL específicoDiscover and scan all Sharepoint sites and subsites under a specific URL

O scanner pode descobrir e digitalizar todos os sites e subsites do Sharepoint sob um URL específico com a seguinte configuração:The scanner can discover and scan all Sharepoint sites and subsites under a specific URL with the following configuration:

  1. Iniciar a Administração Central do SharePoint.Start SharePoint Central Administration.

  2. No site da Administração Central do SharePoint, na secção Gestão de Aplicações, clique em Gerir aplicações web.On the SharePoint Central Administration website, in the Application Management section, click Manage web applications.

  3. Clique para destacar a aplicação web cujo nível de política de permissão pretende gerir.Click to highlight the web application whose permission policy level you want to manage.

  4. Escolha a quinta relevante e, em seguida, selecione Gerir os Níveis de Política de Permissões.Choose the relevant farm and then select Manage Permissions Policy Levels.

  5. Selecione o Auditor de Recolha de Sítios nas opções de Permissões de Recolha de Sítios, em seguida, conceda páginas de aplicação de visualização na lista de Permissões e, finalmente, nomeie o novo auditor de recolha e espectador do site do scanner AIP de nível de política.Select Site Collection Auditor in the Site Collection Permissions options, then grant View Application Pages in the Permissions list, and finally, name the new policy level AIP scanner site collection auditor and viewer.

  6. Adicione o seu utilizador de scanner à nova política e conceda a recolha do Site na lista de Permissões.Add your scanner user to the new policy and grant Site collection in the Permissions list.

  7. Adicione um URL do SharePoint que acolhe sites ou subsites que precisam de ser digitalizados.Add a URL of the SharePoint that hosts sites or subsites that need to be scanned. Para mais informações, consulte o scanner no portal Azure.For more information, see Configure the scanner in the Azure portal.

Para saber mais sobre como gerir os níveis de política do SharePoint, gerencie as políticas de permissão para uma aplicação web.To learn more about how to manage your SharePoint policy levels see, manage permission policies for a web application.

Restrição: O servidor do scanner não pode ter conectividade com a InternetRestriction: The scanner server cannot have internet connectivity

Embora o cliente de rotulagem unificado não possa aplicar proteção sem uma ligação à Internet, o scanner ainda pode aplicar rótulos baseados em políticas importadas.While the unified labeling client cannot apply protection without an internet connection, the scanner can still apply labels based on imported policies.

Para suportar um computador desligado, utilize um dos seguintes métodos:To support a disconnected computer, use one of the following methods:

Utilize o portal Azure com um computador desligadoUse the Azure portal with a disconnected computer

Para suportar um computador desligado a partir do portal Azure, execute os seguintes passos:To support a disconnected computer from the Azure portal, perform the following steps:

  1. Configure as etiquetas na sua política e, em seguida, utilize o procedimento para suportar computadores desligados para permitir a classificação e rotulagem offline.Configure labels in your policy, and then use the procedure to support disconnected computers to enable offline classification and labeling.

  2. Permitir a gestão offline para trabalhos de verificação de conteúdos e de rede da seguinte forma:Enable offline management for content and network scan jobs as follows:

    Permitir a gestão offline para trabalhos de digitalização de conteúdos:Enable offline management for content scan jobs:

    1. Desaperte o scanner para funcionar em modo offline, utilizando o cmdlet Set-AIPScannerConfiguration.Set the scanner to function in offline mode, using the Set-AIPScannerConfiguration cmdlet.

    2. Configure o scanner no portal Azure criando um cluster de scanner.Configure the scanner in the Azure portal by creating a scanner cluster. Para mais informações, consulte o scanner no portal Azure.For more information, see Configure the scanner in the Azure portal.

    3. Exporte o seu trabalho de conteúdo a partir da Proteção de Informação Azure - O painel de trabalhos de digitalização de conteúdos utilizando a opção Exportação.Export your content job from the Azure Information Protection - Content scan jobs pane using the Export option.

    4. Importar a política utilizando o cmdlet import-AIPScannerConfiguration.Import the policy using the Import-AIPScannerConfiguration cmdlet.

    Os resultados dos trabalhos de digitalização de conteúdo offline situam-se em: %localappdata%\Microsoft\MSIP\Scanner\ReportsResults for offline content scan jobs are located at: %localappdata%\Microsoft\MSIP\Scanner\Reports

    Permitir a gestão offline de trabalhos de verificação de rede:Enable offline management of network scan jobs:

    1. Desfita o serviço Deteção de Rede para funcionar em modo offline utilizando o cmdlet Set-MIPNetworkDiscoveryConfiguration.Set the Network Discovery service to function in offline mode using the Set-MIPNetworkDiscoveryConfiguration cmdlet.

    2. Configurar o trabalho de digitalização da rede no portal Azure.Configure the network scan job in the Azure portal. Para obter mais informações, consulte criar um trabalho de digitalização de rede.For more information, see Creating a network scan job.

    3. Exporte o seu trabalho de digitalização de rede a partir do painel Azure Information Protection - Trabalhos de verificação de rede (Pré-visualização) utilizando a opção Exportação.Export your network scan job from the Azure Information Protection - Network scan jobs (Preview) pane using the Export option.

    4. Importe o trabalho de digitalização da rede usando o ficheiro que corresponde ao nosso nome de cluster usando o cmdlet Import-MIPNetworkDiscoveryConfiguration.Import the network scan job using the file that matches our cluster name using the Import-MIPNetworkDiscoveryConfiguration cmdlet.

    Os resultados dos trabalhos de digitalização da rede offline situam-se em: %localappdata%\Microsoft\MSIP\Scanner\ReportsResults for offline network scan jobs are located at: %localappdata%\Microsoft\MSIP\Scanner\Reports

Use PowerShell com um computador desligadoUse PowerShell with a disconnected computer

Para suportar um computador desligado utilizando apenas o PowerShell, execute os seguintes passos:To support a disconnected computer using PowerShell only, perform the following steps:

Gerencie os seus trabalhos de digitalização de conteúdos usando apenas o PowerShell:Manage your content scan jobs using PowerShell only:

  1. Desaperte o scanner para funcionar em modo offline, utilizando o cmdlet Set-AIPScannerConfiguration.Set the scanner to function in offline mode, using the Set-AIPScannerConfiguration cmdlet.

  2. Crie um novo trabalho de digitalização de conteúdo utilizando o set-AIPScannerContentScanJob cmdlet, certificando-se de que utiliza o -Enforce On parâmetro obrigatório.Create a new content scan job using the Set-AIPScannerContentScanJob cmdlet, making sure to use the mandatory -Enforce On parameter.

  3. Adicione os seus repositórios utilizando o cmdlet Add-AIPScannerRepository, com o caminho para o repositório que pretende adicionar.Add your repositories using the Add-AIPScannerRepository cmdlet, with the path to the repository you want to add.

    Dica

    Para evitar que o repositório herda as definições do seu trabalho de digitalização de conteúdo, adicione o OverrideContentScanJob On parâmetro, bem como valores para configurações adicionais.To prevent the repository from inheriting settings from your content scan job, add the OverrideContentScanJob On parameter, as well as values for additional settings.

    Para editar detalhes para um repositório existente, utilize o comando Set-AIPScannerRepository.To edit details for an existing repository, use the Set-AIPScannerRepository command.

  4. Utilize os cmdlets Get-AIPScannerContentScanJob e Get-AIPScannerRepository para retornar informações sobre as definições atuais do seu trabalho de digitalização de conteúdos.Use the Get-AIPScannerContentScanJob and Get-AIPScannerRepository cmdlets to return information about your content scan job's current settings.

  5. Utilize o comando Set-AIPScannerRepository para atualizar detalhes para um repositório existente.Use the Set-AIPScannerRepository command to update details for an existing repository.

  6. Executar o seu trabalho de digitalização de conteúdo imediatamente, se necessário, utilizando o cmdlet Start-AIPScan.Run your content scan job immediately if needed, using the Start-AIPScan cmdlet.

    Os resultados dos trabalhos de digitalização de conteúdo offline situam-se em: %localappdata%\Microsoft\MSIP\Scanner\ReportsResults for offline content scan jobs are located at: %localappdata%\Microsoft\MSIP\Scanner\Reports

  7. Se precisar de remover um repositório ou um trabalho de digitalização de conteúdo, utilize os seguintes cmdlets:If you need to remove a repository or an entire content scan job, use the following cmdlets:

Restrição: Não é possível que a Sysadmin ou bases de dados sejam criadas e configuradas manualmenteRestriction: You cannot be granted Sysadmin or databases must be created and configured manually

Se lhe for concedida a função Sysadmin temporariamente para instalar o scanner, pode remover esta função quando a instalação do scanner estiver concluída.If you can be granted the Sysadmin role temporarily to install the scanner, you can remove this role when the scanner installation is complete.

Faça um dos seguintes, dependendo dos requisitos da sua organização:Do one of the following, depending on your organization's requirements:

  • Podes ter o papel de Sysadmin temporariamente.You can have the Sysadmin role temporarily. Se tiver temporariamente a função Sysadmin, a base de dados é criada automaticamente para si e a conta de serviço do scanner recebe automaticamente as permissões necessárias.If you temporarily have the Sysadmin role, the database is automatically created for you and the service account for the scanner is automatically granted the required permissions.

    No entanto, a conta de utilizador que configura o scanner ainda requer a função db_owner para a base de dados de configuração do scanner.However, the user account that configures the scanner still requires the db_owner role for the scanner configuration database. Se tiver apenas a função Sysadmin até que a instalação do scanner esteja concluída, conceda manualmente a função db_owner à conta do utilizador.If you only have the Sysadmin role until the scanner installation is complete, grant the db_owner role to the user account manually.

  • Não pode ter o papel de Sysadmin.You cannot have the Sysadmin role at all. Se não puder ser-lhe concedida a função Sysadmin mesmo temporariamente, deve solicitar a um utilizador com direitos Sysadmin para criar manualmente uma base de dados antes de instalar o scanner.If you cannot be granted the Sysadmin role even temporarily, you must ask a user with Sysadmin rights to manually create a database before you install the scanner.

    Para esta configuração, a função db_owner deve ser atribuída às seguintes contas:For this configuration, the db_owner role must be assigned to the following accounts:

    • Conta de serviço para o scannerService account for the scanner
    • Conta do utilizador para a instalação do scannerUser account for the scanner installation
    • Conta do utilizador para configuração do scannerUser account for scanner configuration

    Normalmente, utilizará a mesma conta de utilizador para instalar e configurar o scanner.Typically, you will use the same user account to install and configure the scanner. Se utilizar contas diferentes, ambas requerem a função db_owner para a base de dados de configuração do scanner.If you use different accounts, they both require the db_owner role for the scanner configuration database. Crie este utilizador e os direitos conforme necessário.Create this user and rights as needed. Se especificar o seu próprio nome de cluster (perfil), a base de dados de configuração é nomeada AIPScannerUL_<cluster_name>.If you specify your own cluster (profile) name, the configuration database is named AIPScannerUL_<cluster_name>.

Além disso,Additionally:

  • Você deve ser um administrador local no servidor que irá executar o scannerYou must be a local administrator on the server that will run the scanner

  • A conta de serviço que irá executar o scanner deve ter permissões de Controlo Total às seguintes chaves de registo:The service account that will run the scanner must be granted Full Control permissions to the following registry keys:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Se, depois de configurar estas permissões, vir um erro quando instalar o scanner, o erro pode ser ignorado e pode iniciar manualmente o serviço de scanner.If, after configuring these permissions, you see an error when you install the scanner, the error can be ignored and you can manually start the scanner service.

Criar um utilizador e conceder direitos db_owner manualmenteCreate a user and grant db_owner rights manually

Para criar um utilizador e conceder db_owner direitos nesta base de dados, peça à Sysadmin que execute os seguintes passos:To create a user and grant db_owner rights on this database, ask the Sysadmin to perform the following steps:

  1. Criar um DB para scanner:Create a DB for scanner:

    **CREATE DATABASE AIPScannerUL_[clustername]**
    
    **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
    
  2. Conceder direitos ao utilizador que executa o comando de instalação e é utilizado para executar comandos de gestão de scanners.Grant rights to the user that runs the install command and is used to run scanner management commands.

    Script SQL:SQL script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. Conceder direitos à conta de serviço de scanner.Grant rights to scanner service account.

    Script SQL:SQL script:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

Restrição: A conta de serviço do scanner não pode ser concedida ao Registo em direito localRestriction: The service account for the scanner cannot be granted the Log on locally right

Se as suas políticas de organização proibirem o Registo local para contas de serviço, utilize o parâmetro OnBehalfOf com Set-AIPAuthentication.If your organization policies prohibit the Log on locally right for service accounts, use the OnBehalfOf parameter with Set-AIPAuthentication.

Para obter mais informações, consulte Como rotular ficheiros não interactivamente para a Proteção de Informação do Azure.For more information, see How to label files non-interactively for Azure Information Protection.

Restrição: A conta de serviço do scanner não pode ser sincronizada com o Azure Ative Directory, mas o servidor tem conectividade com a InternetRestriction: The scanner service account cannot be synchronized to Azure Active Directory but the server has internet connectivity

Pode ter uma conta para executar o serviço de scanner e utilizar outra conta para autenticar o Azure Ative Directory:You can have one account to run the scanner service and use another account to authenticate to Azure Active Directory:

Restrição: As suas etiquetas não têm condições de rotulagem automáticaRestriction: Your labels do not have auto-labeling conditions

Se as suas etiquetas não tiverem condições de rotulagem automática, planeie utilizar uma das seguintes opções ao configurar o seu scanner:If your labels do not have any auto-labeling conditions, plan to use one of the following options when configuring your scanner:

OpçãoOption DescriçãoDescription
Descubra todos os tipos de informaçõesDiscover all info types No seu trabalho de digitalização de conteúdo,desa um tipo de Info para ser descoberto opção para Todos.In your content scan job, set the Info types to be discovered option to All.

Esta opção define o trabalho de digitalização de conteúdo para digitalizar o seu conteúdo para todos os tipos de informação sensíveis.This option sets the content scan job to scan your content for all sensitive information types.
Utilizar a rotulagem recomendadaUse recommended labeling No seu trabalho de digitalização de conteúdo,deite a etiqueta recomendada para tratar como opção automática para On.In your content scan job, set the Treat recommended labeling as automatic option to On.

Esta definição configura o scanner para aplicar automaticamente todas as etiquetas recomendadas no seu conteúdo.This setting configures the scanner to automatically apply all recommended labels on your content.
Definir uma etiqueta padrãoDefine a default label Defina uma etiqueta predefinitiva na sua política, trabalho de digitalizaçãode conteúdos, ou repositório.Define a default label in your policy, content scan job, or repository.

Neste caso, o scanner aplica a etiqueta predefinida em todos os ficheiros encontrados.In this case the scanner applies the default label on all files found.

Passos seguintesNext steps

Depois de confirmar que o seu sistema está em conformidade com os pré-requisitos do scanner, continue a implementar o scanner Azure Information Protection para classificar e proteger automaticamente ficheiros.Once you've confirmed that your system complies with the scanner prerequisites, continue with Deploying the Azure Information Protection scanner to automatically classify and protect files.

Para obter uma visão geral sobre o scanner, consulte implementar o scanner de Proteção de Informação Azure para classificar e proteger automaticamente ficheiros.For an overview about the scanner, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

Mais informações:More information: