Pré-requisitos para instalar e implantar o Azure Information Protection scanner clássico

  • Artigo

Antes de instalar o scanner Azure Information Protection no local, certifique-se de que o seu sistema cumpre os requisitos básicos de Information Protection do Azure, bem como os seguintes requisitos específicos do scanner:

Se não conseguir cumprir todos os requisitos da tabela porque são proibidos pelas suas políticas de organização, consulte a secção de configurações alternativas .

Ao implementar o scanner na produção ou testar o desempenho de vários scanners, consulte Armazenamento requisitos e planeamento de capacidade para SQL Server.

Quando estiver pronto para começar a instalar e implantar o seu scanner, continue a implementar o Azure Information Protection scanner para classificar e proteger automaticamente ficheiros.

requisitos do servidor Windows

Tem de ter um Windows computador Server para executar o scanner, que tem as seguintes especificações do sistema:

Especificação Detalhes
Processador 4 processadores de núcleo
RAM 8 GB
Espaço em disco 10 GB de espaço livre (média) para ficheiros temporários.

O scanner requer espaço suficiente para criar ficheiros temporários para cada ficheiro que digitaliza, quatro ficheiros por núcleo.

O espaço recomendado em disco de 10 GB permite que 4 processadores core digitalizem 16 ficheiros que cada um tem um tamanho de ficheiro de 625 MB.
Sistema operativo - Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2

Nota: Para fins de teste ou avaliação em ambiente não produtivo, também pode utilizar qualquer sistema operativo Windows suportado pelo Azure Information Protection cliente.
Conectividade de rede O seu computador de scanner pode ser um computador físico ou virtual com uma ligação de rede rápida e fiável às lojas de dados a digitalizar.

Se a conectividade da Internet não for possível devido às suas políticas de organização, consulte implementar o scanner com configurações alternativas.

Caso contrário, certifique-se de que este computador tem conectividade com a internet que permite os seguintes URLs em HTTPS (porta 443):

- aadrm.com
- azurerms.com
- informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- aria.microsoft.com

Requisitos da conta de serviço

Tem de ter uma conta de serviço para executar o serviço de scanner no computador Windows Server, bem como autenticar para Azure AD e descarregar a Política de Information Protection Azure.

A sua conta de serviço deve ser uma conta ative diretório e sincronizada para Azure AD.

Se não conseguir sincronizar esta conta por causa das suas políticas de organização, consulte implementar o scanner com configurações alternativas.

Esta conta de serviço tem os seguintes requisitos:

Requisito Detalhes
Inicie sessão na atribuição do direito do utilizador local É necessário instalar e configurar o scanner, mas não é necessário fazer exames.

Uma vez confirmado que o scanner pode descobrir, classificar e proteger ficheiros, pode remover este direito da conta de serviço.

Se conceder este direito mesmo que por um curto período de tempo não for possível devido às suas políticas de organização, consulte implementar o scanner com configurações alternativas.
Inicie sessão como uma atribuição correta do utilizador de serviço. Este direito é automaticamente concedido à conta de serviço durante a instalação do scanner e este direito é necessário para a instalação, configuração e funcionamento do scanner.
Permissões aos repositórios de dados - Partilhas de ficheiros ou ficheiros locais: Grant Read, Write e Modificar permissões para digitalizar os ficheiros e, em seguida, aplicar classificação e proteção conforme configurado.

- SharePoint: Conceder permissões de Controlo Total para digitalizar os ficheiros e, em seguida, aplicar classificação e proteção conforme configurado.

- Modo de descoberta: Para executar o scanner apenas no modo de descoberta, a permissão de leitura é suficiente.
Para rótulos que reprotegem ou removam a proteção Para garantir que o scanner tem sempre acesso a ficheiros protegidos, faça desta conta um super utilizador para o Azure Information Protection e certifique-se de que a funcionalidade do super utilizador está ativada.

Além disso, se implementou controlos de embarque para uma implementação faseada, certifique-se de que a conta de serviço está incluída nos controlos de embarque que configura.

SQL requisitos do servidor

Para armazenar os dados de configuração do scanner, utilize um servidor SQL com os seguintes requisitos:

  • Um caso local ou remoto.

    Recomendamos hospedar o servidor SQL e o serviço de scanner em diferentes máquinas, a menos que esteja a trabalhar com uma pequena implantação. Além disso, recomendamos ter uma SQL instância dedicada que serve apenas a base de dados do scanner, e que não é partilhada com outras aplicações.

    Se estiver a trabalhar num servidor partilhado, certifique-se de que o número recomendado de núcleos é gratuito para que a base de dados do scanner funcione.

    SQL Server 2012 é a versão mínima para as seguintes edições:

    • SQL Server Enterprise
    • SQL Server Standard
    • SQL Server Express (recomendado apenas para ambientes de ensaio)

  • Uma conta com função Sysadmin para instalar o scanner.

    Isto permite que o processo de instalação crie automaticamente a base de dados de configuração do scanner e conceda a função db_owner necessária à conta de serviço que executa o scanner.

    Se não puder ser-lhe concedido o papel Sysadmin ou as suas políticas de organização requerem que as bases de dados sejam criadas e configuradas manualmente, consulte implementar o scanner com configurações alternativas.

  • Capacidade. Para orientação de capacidade, consulte Armazenamento requisitos e planeamento de capacidade para SQL Server.

  • Caso insensível.

Nota

Várias bases de dados de configuração no mesmo servidor SQL são suportadas quando especifica um nome de cluster personalizado (perfil) para o scanner.

Armazenamento requisitos e planeamento de capacidade para SQL Server

A quantidade de espaço em disco necessária para a base de dados de configuração do scanner e a especificação do computador em execução SQL Server podem variar para cada ambiente, pelo que o encorajamos a fazer o seu próprio teste. Utilize a seguinte orientação como ponto de partida.

Para obter mais informações, consulte Otimização do desempenho do scanner.

O tamanho do disco para a base de dados de configuração variará para cada implementação. Recomendamos que aloque 500 MB por cada 1.000.000 ficheiros que pretende digitalizar.

Para cada scanner, utilize:

  • 4 processadores de núcleo
  • 8 GB DE RAM (mínimo de 4 GB)

Requisitos do cliente do Azure Information Protection

Tem de ter o cliente Azure Information Protection instalado no computador Windows Server.

Para mais informações, consulte o guia de administração de clientes Clássicos.

Importante

Tem de instalar o cliente completo para o scanner. Não instale o cliente apenas com o módulo PowerShell.

Requisitos de configuração do rótulo

Deve ter etiquetas configuradas que aplicam automaticamente a classificação e, opcionalmente, a proteção.

Se não tiver estas etiquetas configuradas, consulte implementar o scanner com configurações alternativas.

Para obter mais informações, consulte:

Dica

Utilize as instruções do tutorial para testar o scanner com uma etiqueta que procura números de cartão de crédito num documento do Word preparado. No entanto, terá de alterar a configuração da etiqueta de modo a que a opção Selecione como esta etiqueta é aplicada para Automática, em vez de Recomendada ou tratar a rotulagem recomendada como automática (disponível na versão 2.7.x.x e acima do scanner).

Em seguida, retire a etiqueta do documento (se for aplicada) e copie o ficheiro para um repositório de dados para o scanner.

Requisitos do SharePoint

Para digitalizar bibliotecas e pastas de documentos SharePoint, certifique-se de que o seu servidor SharePoint cumpre os seguintes requisitos:

  • Versões suportadas. As versões suportadas incluem: SharePoint 2019, SharePoint 2016 e SharePoint 2013. Outras versões do SharePoint não são suportadas para o scanner.

  • A ver versão. Ao utilizar a versão, o scanner inspeciona e rotula a última versão publicada. Se o scanner rotular um ficheiro e a aprovação do conteúdo , esse ficheiro rotulado deve ser aprovado para estar disponível para os utilizadores.

  • Grandes quintas SharePoint. Para grandes explorações sharePoint, verifique se precisa de aumentar o limiar de visualização da lista (por padrão, 5.000) para que o scanner aceda a todos os ficheiros. Para obter mais informações, consulte Gerir grandes listas e bibliotecas no SharePoint.

requisitos Microsoft Office

Para digitalizar Office documentos, os seus documentos devem estar num dos seguintes formatos:

  • Microsoft Office 97-2003
  • Office formatos XML abertos para Word, Excel e PowerPoint

Para obter mais informações, consulte os tipos de ficheiros suportados pelo cliente Azure Information Protection.

Requisitos de caminho de arquivo

Para digitalizar ficheiros, os seus caminhos de ficheiro devem ter um máximo de 260 caracteres, a menos que o scanner seja instalado em Windows 2016 e o computador esteja configurado para suportar caminhos longos

Windows 10 e Windows Server 2016 suportam comprimentos de comprimento superior a 260 caracteres com a seguinte definição de política de grupo:Modelos administrativos> deconfiguração>de computador de computador> localTodos os Definições>Enable Win32 longos caminhos

Para obter mais informações sobre o suporte a longos percursos de ficheiros, consulte a secção de Limitação do Comprimento do Percurso Máximo a partir da documentação do Windows 10 programador.

Implantação do scanner com configurações alternativas

Os pré-requisitos listados acima são os requisitos predefinidos para a implementação do scanner, e recomendados porque suportam a configuração mais simples do scanner.

Os requisitos predefinidos devem ser adequados para testes iniciais, para que possa verificar as capacidades do scanner.

No entanto, num ambiente de produção, as políticas da sua organização podem proibir estes requisitos de incumprimento. O scanner pode acomodar as seguintes restrições com configuração adicional:

Restrição: O servidor do scanner não pode ter conectividade com a Internet

Para suportar um computador desligado, execute os seguintes passos:

  1. Configure as suas etiquetas que aplicam apenas a classificação, ou aplique proteção que utilize proteção HYOK.

    Sem uma ligação à Internet, o scanner não pode aplicar proteção, remover proteção ou inspecionar ficheiros protegidos utilizando a chave baseada na nuvem da sua organização. Em vez disso, o scanner limita-se a utilizar etiquetas que aplicam apenas classificação, ou aplica proteção que utilize proteção HYOK.

    Para obter mais informações, consulte Suporte para computadores desligados.

  2. Configure o scanner no portal do Azure, criando um cluster de scanner. Se precisar de ajuda com este passo, consulte o scanner no portal do Azure.

  3. Exporte o seu trabalho de conteúdo a partir do Azure Information Protection - Painel de trabalhos de digitalização de conteúdos utilizando a opção Exportação.

  4. Numa sessão PowerShell, executar Import-AIPScannerConfiguration e especificar o ficheiro que contém as definições exportadas.

Restrição: Não pode ser-lhe concedida sysadmin ou bases de dados devem ser criadas e configuradas manualmente

Se lhe for concedida a função Sysadmin temporariamente para instalar o scanner, pode remover esta função quando a instalação do scanner estiver concluída.

Faça um dos seguintes, dependendo dos requisitos da sua organização:

  • Podes ter o papel de Sysadmin temporariamente. Se tiver temporariamente a função Sysadmin, a base de dados é criada automaticamente para si e a conta de serviço do scanner recebe automaticamente as permissões necessárias.

    No entanto, a conta de utilizador que configura o scanner ainda requer a função db_owner para a base de dados de configuração do scanner. Se tiver apenas a função Sysadmin até que a instalação do scanner esteja concluída, conceda a db_owner papel manualmente à conta do utilizador.

  • Não podes ter o papel de Sysadmin. Se não puder ser-lhe concedida a função Sysadmin mesmo temporariamente, deve solicitar a um utilizador com direitos Sysadmin para criar manualmente uma base de dados antes de instalar o scanner.

    Para esta configuração, a função db_owner deve ser atribuída às seguintes contas:

    • Conta de serviço para o scanner

    • Conta do utilizador para a instalação do scanner

    • Conta do utilizador para configuração do scanner

    Normalmente, utilizará a mesma conta de utilizador para instalar e configurar o scanner. Se utilizar contas diferentes, ambas requerem a função db_owner para a base de dados de configuração do scanner. Crie este utilizador e os direitos conforme necessário.

    Se não especificar o nome do seu próprio cluster (perfil) para o scanner, a base de dados de configuração é nomeada AIPScanner_<computer_name>.
    Continue a criar um utilizador e a conceder db_owner direitos na base de dados.

Além disso,

  • Deve ser um administrador local no servidor que irá executar o scanner

  • A conta de serviço que irá executar o scanner deve ter permissões de Controlo Total às seguintes chaves de registo:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Se, depois de configurar estas permissões, vir um erro ao instalar o scanner, o erro pode ser ignorado e pode iniciar manualmente o serviço de scanner.

Povoar a base de dados manualmente

Povoar a base de dados utilizando o seguinte script:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

Criar um utilizador e conceder direitos de db_owner manualmente

Para criar um utilizador e conceder db_owner direitos nesta base de dados, peça à Sysadmin que faça o seguinte:

  1. Criar um DB para scanner:

    **CREATE DATABASE AIPScannerUL_[clustername]**

**ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**

  2. Conceder direitos ao utilizador que executa o comando de instalação e é utilizado para executar comandos de gestão de scanners.

    SQL guião:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

  3. Direitos de concessão à conta de serviço de scanner.

    SQL guião:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

Restrição: A conta de serviço do scanner não pode ser concedida ao Registo em direito local

Se as suas políticas de organização proibirem o Registo local para contas de serviço, mas permite que o Início de Sessão faça um trabalho de lote , consulte Especificar e utilizar o parâmetro Token para Set-AIPAuthentication.

Restrição: A conta de serviço do scanner não pode ser sincronizada para Azure Ative Directory mas o servidor tem conectividade com a Internet

Pode ter uma conta para executar o serviço de scanner e usar outra conta para autenticar para Azure Ative Directory:

Restrição: As suas etiquetas não têm condições de rotulagem automática

Se as suas etiquetas não tiverem condições de rotulagem automática, planeie utilizar uma das seguintes opções ao configurar o seu scanner:

Opção Descrição
Descubra todos os tipos de informações No seu trabalho de digitalização de conteúdo, desa essa a fonte do tipo de Informação para ser descoberto opção para Todos.

Esta opção define o trabalho de digitalização de conteúdo para digitalizar o seu conteúdo para todos os tipos de informação sensíveis.
Definir uma etiqueta padrão Defina um rótulo predefinido na sua política, trabalho de digitalização de conteúdos ou repositório.

Neste caso, o scanner aplica a etiqueta predefinida em todos os ficheiros encontrados.

Passos seguintes

Depois de confirmar que o seu sistema está em conformidade com os pré-requisitos do scanner, continue a implementar o Azure Information Protection scanner para classificar e proteger automaticamente ficheiros.

Para obter uma visão geral sobre o scanner, consulte a implementação do scanner Azure Information Protection para classificar e proteger automaticamente ficheiros.

Mais informações:

Interessado em como a equipa de Engenharia e Operações dos Serviços Core da Microsoft implementou este scanner? Leia o estudo de caso técnico: Automatizar a proteção de dados com o scanner Azure Information Protection.

Podem estar a perguntar-se: qual é a diferença entre Windows Server FCI e o scanner de Information Protection do Azure?

Também pode utilizar o PowerShell para classificar e proteger interativamente ficheiros do seu computador de secretária. Para obter mais informações sobre este e outros cenários que utilizam o PowerShell, consulte Usando o PowerShell com o Azure Information Protection cliente clássico