Настройка и установка сканера защиты информации

  • Статья

Примечание.

Теперь в предварительной версии появилось новое средство проверки защиты информации. Дополнительные сведения см. в статье Обновление сканера Защита информации Microsoft Purview с клиента azure Information Protection.

В этой статье описывается настройка и установка сканера Защита информации Microsoft Purview, ранее именовавшийся Azure Information Protection унифицированный сканер меток, или локальный сканер.

Совет

Хотя большинство клиентов будут выполнять эти процедуры на портале администрирования, возможно, вам потребуется работать только в PowerShell.

Например, если вы работаете в среде без доступа к порталу администрирования, например на серверах сканера Azure для Китая 21Vianet, следуйте инструкциям в разделе Настройка сканера с помощью PowerShell.

Обзор

Перед началом работы убедитесь, что система соответствует необходимым требованиям.

Затем выполните следующие действия, чтобы настроить и установить сканер.

  1. Настройка параметров сканера

  2. Установка сканера

  3. Получение маркера Microsoft Entra для сканера

  4. Настройка сканера для применения классификации и защиты

Затем при необходимости выполните следующие процедуры настройки для системы:

Procedure Описание
Изменение типов файлов для защиты Может потребоваться сканировать, классифицировать или защищать файлы разных типов, отличных от типов по умолчанию. Дополнительные сведения см. в разделе Процесс сканирования.
Обновление сканера Обновите сканер, чтобы использовать последние функции и улучшения.
Массовое изменение параметров репозитория данных Используйте параметры импорта и экспорта для массового внесения изменений в несколько репозиториев данных.
Использование сканера с альтернативными конфигурациями Использование сканера без настройки меток с какими-либо условиями
Оптимизация производительности Руководство по оптимизации производительности сканера

Если у вас нет доступа к страницам проверки на портале соответствия требованиям, настройте все параметры сканера только в PowerShell. Дополнительные сведения см. в разделах Настройка сканера с помощью PowerShell и Поддерживаемые командлеты PowerShell.

Настройка параметров сканера

Перед установкой сканера или обновлением более старой общедоступной версии настройте или проверьте параметры сканера. Для этой конфигурации можно использовать портал Microsoft Purview или Портал соответствия требованиям Microsoft Purview.

Чтобы настроить сканер на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview, выполните следующие действия:

  1. Войдите, используя одну из следующих ролей:
  • Администратор соответствия
  • Администратор данных соответствия требованиям
  • Администратор безопасности
  • Управление организацией

  1. В зависимости от используемого портала перейдите в одно из следующих расположений:

  2. Создайте кластер сканера. Этот кластер определяет сканер и используется для идентификации экземпляра сканера, например во время установки, обновления и других процессов.

  3. Создайте задание проверки содержимого , чтобы определить репозитории, которые требуется сканировать.

Создание кластера сканера

Чтобы создать кластер сканера на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview:

  1. На вкладках на странице Сканер защиты информации выберите Кластеры.

  2. На вкладке Кластеры выберите Добавитьзначок добавления.

  3. На панели Новый кластер введите понятное имя средства проверки и необязательное описание.

    Имя кластера используется для идентификации конфигураций и репозиториев сканера. Например, вы можете войти в Европу , чтобы определить географическое расположение репозиториев данных, которые требуется сканировать.

    Это имя будет использоваться позже, чтобы определить, где вы хотите установить или обновить сканер.

  4. Нажмите кнопку Сохранить, чтобы сохранить изменения.

Создание задания проверки содержимого

Подробные сведения о содержимом, чтобы проверить определенные репозитории на наличие конфиденциального содержимого.

Чтобы создать задание проверки содержимого на портале Microsoft Purview Портал соответствия требованиям Microsoft Purview:

  1. На вкладках на странице Сканер защиты информации выберите Задания сканирования содержимого.

  2. На панели Задания проверки содержимого выберите Значок сохранения добавить.

  3. Для этой начальной конфигурации настройте следующие параметры и нажмите кнопку Сохранить.

    Setting Описание
    Параметры задания проверки содержимого - Расписание: оставьте значение по умолчанию Вручную.
    - Обнаруженные типы сведений: измените только на политику
    Политика защиты от потери данных Если вы используете политику защиты от потери данных, установите для параметра Включить правила защиты от потери данных значение Включено. Дополнительные сведения см. в разделе Использование политики защиты от потери данных.
    Политика конфиденциальности - Принудительное применение политики меток конфиденциальности: выберите Выкл.
    - Метка файлов на основе содержимого. Оставьте значение по умолчанию Включено.
    - Метка по умолчанию: оставьте значение по умолчанию Политика по умолчанию.
    - Повторная маркировка файлов: оставьте значение по умолчанию Выкл.
    Настройка параметров файла - Сохранение значений "Дата изменения", "Последнее изменение" и "Изменено". Оставьте значение по умолчанию Включено.
    - Типы файлов для сканирования: оставьте типы файлов по умолчанию для исключения.
    - Владелец по умолчанию: оставьте значение по умолчанию для учетной записи сканера.
    - Задать владельца репозитория. Используйте этот параметр только при использовании политики защиты от потери данных.

  4. Откройте сохраненное задание проверки содержимого и выберите вкладку Репозитории , чтобы указать хранилища данных для проверки.

    Укажите UNC-пути и URL-адреса SharePoint Server для локальных библиотек документов и папок SharePoint.

    Примечание.

    SharePoint Server 2019, SharePoint Server 2016 и SharePoint Server 2013 поддерживаются для SharePoint. SharePoint Server 2010 также поддерживается при расширенной поддержке этой версии SharePoint.

    Чтобы добавить первое хранилище данных на вкладке Репозитории :

    1. В области Репозитории выберите Добавить:

    2. В области Репозиторий укажите путь к репозиторию данных и нажмите кнопку Сохранить.

      • Для сетевого ресурса используйте .\\Server\Folder
      • Для библиотеки SharePoint используйте http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • Для локального пути: C:\Folder
      • Для UNC-пути: \\Server\Folder

    Примечание.

    Подстановочные знаки не поддерживаются, а расположения WebDav не поддерживаются. Сканирование расположений OneDrive в качестве репозиториев не поддерживается.

    Если добавить путь к SharePoint для общих документов:

    • Укажите общие документы в пути, если вы хотите сканировать все документы и все папки из общих документов. Пример: http://sp2013/SharedDocuments
    • Укажите документы в пути, если вы хотите сканировать все документы и все папки из вложенной папки в разделе Общие документы. Пример: http://sp2013/Documents/SalesReports
    • Или укажите только полное доменное имя sharePoint, например http://sp2013 для обнаружения и сканирования всех сайтов и дочерних сайтов SharePoint по определенному URL-адресу и субтитров в этом URL-адресе. Предоставьте сканеру права аудитора сборщика сайтов , чтобы включить это.

    Для остальных параметров на этой панели не изменяйте их для этой начальной конфигурации, но оставьте их в качестве задания проверки содержимого по умолчанию. Параметр по умолчанию означает, что репозиторий данных наследует параметры от задания проверки содержимого.

    При добавлении путей SharePoint используйте следующий синтаксис:

    Path Синтаксис
    Корневой путь http://<SharePoint server name>

    Сканирует все сайты, включая все семейства веб-сайтов, разрешенные для пользователя сканера.
    Требуются дополнительные разрешения для автоматического обнаружения корневого содержимого
    Определенный дочерний сайт или коллекция SharePoint Один из следующих продуктов:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Требуются дополнительные разрешения для автоматического обнаружения содержимого семейства веб-сайтов
    Конкретная библиотека SharePoint Один из следующих продуктов:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Конкретная папка SharePoint http://<SharePoint server name>/.../<folder name>

  5. Повторите предыдущие шаги, чтобы добавить столько репозиториев, сколько необходимо.

Теперь вы можете установить сканер с помощью созданного задания проверки содержимого. Перейдите к параметру Установка сканера.

Установка сканера

Настроив сканер, выполните следующие действия, чтобы установить сканер. Эта процедура полностью выполняется в PowerShell.

  1. Войдите на компьютер Windows Server, на который будет запущен сканер. Используйте учетную запись с правами локального администратора и с разрешениями на запись в базу данных SQL Server master.

    Важно!

    Перед установкой сканера на компьютере должен быть установлен клиент унифицированных меток AIP.

    Дополнительные сведения см. в разделе Предварительные требования для установки и развертывания сканера защиты информации.

  2. Откройте сеанс Windows PowerShell с параметром Запуск от имени администратора.

  3. Выполните командлет Install-AIPScanner, указав экземпляр SQL Server, на котором создается база данных для средства проверки защиты информации, и имя кластера сканера, указанное в предыдущем разделе:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>

    Примеры использования имени кластера сканера в Европе:

    • Для экземпляра по умолчанию: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Для именованного экземпляра: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • Для SQL Server Express:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    При появлении запроса укажите учетные данные Active Directory для учетной записи службы проверки.

    Используйте следующий синтаксис: \<domain\user name>. Пример: contoso\scanneraccount

  4. Убедитесь, что служба теперь установлена с помощью служб администрирования>.

    Установленная служба называется Azure Information Protection Scanner и настроена для запуска с помощью созданной учетной записи службы проверки.

Теперь, когда вы установили сканер, необходимо получить маркер Microsoft Entra для учетной записи службы проверки подлинности, чтобы средство проверки пустилось автоматически.

Получение маркера Microsoft Entra для сканера

Маркер Microsoft Entra позволяет сканеру проходить проверку подлинности в службе Information Protection Azure, что позволяет сканеру работать в неинтерактивном режиме.

Дополнительные сведения см. в статье How to label files non-interactively for Azure Information Protection.

Чтобы получить маркер Microsoft Entra:

  1. Откройте портал Azure, чтобы создать приложение Microsoft Entra для указания маркера доступа для проверки подлинности.

  2. На компьютере с Windows Server, если вашей учетной записи службы сканера предоставлено локальное право входа для установки, войдите с этой учетной записью и запустите сеанс PowerShell.

    Запустите Set-AIPAuthentication, указав значения, скопированные на предыдущем шаге:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    Например:

    $pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

    Совет

    Если вашей учетной записи службы проверки не удается предоставить локальное право входа в систему для установки, используйте параметр OnBehalfOf с Set-AIPAuthentication, как описано в разделе Как помечать файлы в неинтерактивном режиме для Azure Information Protection.

Сканер теперь имеет маркер для проверки подлинности для Microsoft Entra ID. Этот маркер действителен в течение одного года, двух лет или никогда в соответствии с конфигурацией секрета клиента веб-приложения /API в Microsoft Entra ID. По истечении срока действия маркера необходимо повторить эту процедуру.

Продолжайте выполнять одно из следующих действий в зависимости от того, используете ли вы портал соответствия требованиям для настройки сканера или только PowerShell.

Теперь вы можете запустить первую проверку в режиме обнаружения. Дополнительные сведения см. в разделе Запуск цикла обнаружения и просмотр отчетов для сканера.

После запуска начальной проверки обнаружения перейдите к параметру Настройка сканера для применения классификации и защиты.

Примечание.

Дополнительные сведения см. в статье Как помечать файлы в неинтерактивном режиме для Azure Information Protection

Настройка сканера для применения классификации и защиты

Параметры по умолчанию настраивают средство проверки для однократного запуска и в режиме только для отчетов. Чтобы изменить эти параметры, измените задание сканирования содержимого.

Совет

Если вы работаете только в PowerShell, см . статью Настройка сканера для применения классификации и защиты — только PowerShell.

Чтобы настроить сканер для применения классификации и защиты на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview:

  1. На портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview на вкладке Задания проверки содержимого выберите определенное задание сканирования содержимого, чтобы изменить его.

  2. Выберите задание проверки содержимого, измените следующее и нажмите кнопку Сохранить:

    • В разделе Задание сканирования содержимого : измените расписание на Always
    • В разделе Применить политику меток конфиденциальности: измените переключатель на Включено.

  3. Убедитесь, что узел для задания проверки содержимого находится в сети, а затем снова запустите задание сканирования содержимого, нажав кнопку Проверить сейчас. Кнопка "Проверить сейчас " отображается только в том случае, если узел для выбранного задания проверки содержимого находится в сети.

Теперь планируется непрерывное выполнение сканера. Когда средство проверки проходит через все настроенные файлы, он автоматически запускает новый цикл, чтобы обнаружить все новые и измененные файлы.

Использование политики защиты от потери данных

Использование политики защиты от потери данных позволяет сканеру обнаруживать потенциальные утечки данных, сопоставляя правила защиты от потери данных с файлами, хранящимися в общих папках и SharePoint Server.

  • Включите правила защиты от потери данных в задании сканирования содержимого , чтобы уменьшить уязвимость всех файлов, соответствующих политикам защиты от потери данных. Если правила защиты от потери данных включены, сканер может ограничить доступ к файлам только владельцам данных или уменьшить уязвимость к группам на уровне сети, таким как Все, Пользователи с проверкой подлинности или Пользователи домена.

  • На портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview определите, тестируете ли вы политику защиты от потери данных или хотите применить правила и изменить разрешения файлов в соответствии с этими правилами. Дополнительные сведения см. в статье Создание и развертывание политик защиты от потери данных.

Политики защиты от потери данных настраиваются на портале соответствия требованиям Microsoft Purview. Дополнительные сведения о лицензировании защиты от потери данных см. в статье Начало работы с локальным сканером защиты от потери данных.

Совет

При проверке файлов даже при простом тестировании политики защиты от потери данных также создаются отчеты о разрешениях файлов. Запросите эти отчеты, чтобы изучить уязвимость конкретных файлов или изучить уязвимость конкретного пользователя к сканируемым файлам.

Сведения о том, как использовать только PowerShell, см. в статье Использование политики защиты от потери данных с помощью сканера — только PowerShell.

Чтобы использовать политику защиты от потери данных со сканером на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview:

  1. На портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview перейдите на вкладку Задания проверки содержимого и выберите определенное задание проверки содержимого. Дополнительные сведения см. в разделе Создание задания проверки содержимого.

  2. В разделе Включить правила политики защиты от потери данных установите переключатель в значение Включено.

    Важно!

    Не устанавливайте для параметра Включить правила защиты от потери данных значение Включено , если в Microsoft 365 не настроена политика защиты от потери данных.

    Включение этой функции без политики защиты от потери данных приведет к возникновению ошибок сканера.

  3. (Необязательно) Задайте для параметра Настройка владельца репозитория значение Включено и определите конкретного пользователя в качестве владельца репозитория.

    Этот параметр позволяет сканеру уменьшить уязвимость всех файлов, найденных в этом репозитории, которые соответствуют политике защиты от потери данных, определенному владельцу репозитория.

Политики защиты от потери данных и выполнение частных действий

Если вы используете политику защиты от потери данных с частным действием и планируете использовать сканер для автоматической маркировки файлов, рекомендуется также определить расширенный параметр UseCopyAndPreserveNTFSOwner клиента унифицированных меток.

Этот параметр гарантирует, что исходные владельцы сохраняют доступ к своим файлам.

Дополнительные сведения см. в разделах Создание задания сканирования содержимого и Автоматическое применение метки конфиденциальности к содержимому.

Изменение типов файлов для защиты

По умолчанию средство проверки защищает только типы файлов Office и PDF-файлы.

Используйте команды PowerShell, чтобы изменить это поведение по мере необходимости, например настроить средство проверки для защиты файлов всех типов, как это делает клиент, или для защиты файлов дополнительных конкретных типов.

Для политики меток, применяемой к учетной записи пользователя, скачивающей метки для сканера, укажите дополнительный параметр PowerShell С именем PFileSupportedExtensions.

Для сканера, имеющего доступ к Интернету, эта учетная запись пользователя является учетной записью, указанной для параметра DelegatedUser с помощью команды Set-AIPAuthentication.

Пример 1. Команда PowerShell для сканера для защиты файлов всех типов, где политика меток называется "Сканер":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Пример 2. Команда PowerShell для средства проверки для защиты файлов .xml и .tiff файлов в дополнение к файлам Office и PDF-файлам, где политика меток называется "Сканер":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Дополнительные сведения см. в разделе Изменение типов файлов для защиты.

Обновление сканера

Если вы ранее установили сканер и хотите выполнить обновление, используйте инструкции, описанные в разделе Обновление сканера защиты информации.

Затем настройте и используйте сканер , как обычно, пропуская действия по установке сканера.

Массовое изменение параметров репозитория данных

Используйте кнопки Экспорт и Импорт , чтобы внести изменения в сканер в нескольких репозиториях.

Таким образом, вам не нужно вносить одни и те же изменения несколько раз вручную на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview.

Например, если у вас есть новый тип файла в нескольких репозиториях данных SharePoint, вам может потребоваться массово обновить параметры этих репозиториев.

Чтобы внести изменения в репозиториях на портале Microsoft Purview Портал соответствия требованиям Microsoft Purview:

  1. На портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview выберите определенное задание проверки содержимого и перейдите на вкладку Репозитории в области. Выберите параметр Экспорт .

  2. Вручную измените экспортированный файл, чтобы внести изменения.

  3. Используйте параметр Импорт на той же странице, чтобы импортировать обновления обратно в репозитории.

Использование сканера с альтернативными конфигурациями

Сканер обычно ищет условия, указанные для меток, чтобы классифицировать и защищать содержимое по мере необходимости.

В следующих сценариях сканер также может сканировать содержимое и управлять метками без настройки каких-либо условий:

Применение метки по умолчанию ко всем файлам в репозитории данных

В этой конфигурации все файлы без метки в репозитории помечаются меткой по умолчанию, указанной для репозитория или задания сканирования содержимого. Файлы помечаются без проверки.

Настройте указанные ниже параметры.

Setting Описание
Метки файлов на основе содержимого Установите значение Выкл.
Подпись по умолчанию Задайте для параметра Значение Настраиваемое, а затем выберите метку для использования.
Принудительное применение метки по умолчанию Выберите, чтобы метка по умолчанию применялась ко всем файлам, даже если они уже помечены путем включения повторной метки файлов и принудительного применения метки по умолчанию

Удаление существующих меток из всех файлов в репозитории данных

В этой конфигурации удаляются все существующие метки, включая защиту, если с меткой была применена защита. Защита, применяемая независимо от метки, сохраняется.

Настройте указанные ниже параметры.

Setting Описание
Метки файлов на основе содержимого Установите значение Выкл.
Подпись по умолчанию Задайте значение Нет.
Повторная маркировка файлов Установите значение Включено, а для параметра Применить по умолчаниюзадано значение Включено.

Определение всех настраиваемых условий и известных типов конфиденциальной информации

Эта конфигурация позволяет находить конфиденциальную информацию, которую вы, возможно, не знаете, за счет скорости сканирования для сканера.

Задайте для параметра Типы сведений для обнаружениязначение Все.

Чтобы определить условия и типы информации для маркировки, сканер использует все указанные настраиваемые типы конфиденциальной информации и список встроенных типов конфиденциальной информации, которые можно выбрать, как определено в центре управления метками.

Оптимизация производительности сканера

Примечание.

Если вы хотите повысить скорость реагирования компьютера сканера, а не производительность сканера, используйте расширенный параметр клиента, чтобы ограничить количество потоков, используемых сканером.

Используйте следующие параметры и рекомендации, чтобы оптимизировать производительность сканера.

Вариант Описание
Наличие высокоскоростного и надежного сетевого подключения между компьютером сканера и сканируемым хранилищем данных Например, поместите компьютер сканера в ту же локальную сеть или, желательно, в том же сегменте сети, что и сканированное хранилище данных.

Качество сетевого подключения влияет на производительность сканера, так как для проверки файлов сканер передает содержимое файлов на компьютер, на котором запущена служба проверки.

Уменьшение или устранение сетевых прыжков, необходимых для перемещения данных, также снижает нагрузку на сеть.
Убедитесь, что на компьютере сканера есть доступные ресурсы процессора Проверка содержимого файла, шифрование и расшифровка файлов являются интенсивными действиями процессора.

Отслеживайте типичные циклы сканирования для указанных хранилищ данных, чтобы определить, влияет ли нехватка ресурсов процессора на производительность сканера.
Установка нескольких экземпляров сканера Средство проверки поддерживает несколько баз данных конфигурации в одном экземпляре SQL Server при указании пользовательского имени кластера для сканера.

Совет. Несколько сканеров также могут совместно использовать один кластер, что ускоряет сканирование. Если вы планируете установить сканер на нескольких компьютерах с тем же экземпляром базы данных и хотите, чтобы сканеры выполнялись параллельно, необходимо установить все сканеры с одинаковым именем кластера.
Проверка использования альтернативной конфигурации Средство проверки выполняется быстрее при использовании альтернативной конфигурации для применения метки по умолчанию ко всем файлам, так как средство проверки не проверяет содержимое файла.

Сканер работает медленнее при использовании альтернативной конфигурации для определения всех настраиваемых условий и известных типов конфиденциальной информации.

Дополнительные факторы, влияющие на производительность

К дополнительным факторам, влияющим на производительность сканера, относятся:

Множитель Описание
Время загрузки и отклика Текущая загрузка и время отклика хранилищ данных, содержащих файлы для сканирования, также влияет на производительность сканера.
Режим проверки (обнаружение и принудительное применение) Режим обнаружения обычно имеет более высокую скорость сканирования, чем режим принудительного применения.

Для обнаружения требуется одно действие чтения файла, тогда как режим принудительного применения требует действий чтения и записи.
Изменения политики Производительность сканера может быть затронута, если вы внесли изменения в автоматическую маркировку в политике меток.

Первый цикл сканирования, когда сканер должен проверить каждый файл, займет больше времени, чем последующие циклы сканирования, которые по умолчанию проверяют только новые и измененные файлы.

При изменении условий или параметров автоматической маркировки все файлы сканируются снова. Дополнительные сведения см. в разделе Повторное сканирование файлов.
Регулярные конструкции Производительность сканера зависит от того, как создаются выражения регулярных выражений для пользовательских условий.

Чтобы избежать интенсивного потребления памяти и риска превышения времени ожидания (15 минут на файл), просмотрите выражения регулярных выражений для эффективного сопоставления шаблонов.

Например:
- Избегайте жадных квантификаторов
— используйте неухватные группы, (?:expression) например, вместо (expression)
Уровень журнала Параметры уровня журнала включают отладку, сведения, ошибку и выкл . для отчетов сканера.

- Выключение обеспечивает лучшую производительность
- Отладка значительно замедляет работу сканера и должна использоваться только для устранения неполадок.

Дополнительные сведения см. в параметре ReportLevel для командлета Set-AIPScannerConfiguration .
Файлы, которые проверяются — За исключением файлов Excel, файлы Office сканируются быстрее, чем PDF-файлы.

— Незащищенные файлы быстрее сканируются, чем защищенные файлы.

— Большие файлы, очевидно, занимают больше времени, чем небольшие файлы.

Настройка сканера с помощью PowerShell

В этом разделе описаны действия, необходимые для настройки и установки средства проверки, если у вас нет доступа к страницам проверки на портале Microsoft Purview или Портал соответствия требованиям Microsoft Purview, и необходимо использовать только PowerShell.

Важно!

  • Для некоторых действий требуется, чтобы PowerShell мог получить доступ к страницам проверки на портале соответствия требованиям, и они идентичны. Эти действия см. в предыдущих инструкциях в этой статье, как указано.

  • Если вы работаете со сканером для Azure 21Vianet для Китая, в дополнение к инструкциям, описанным здесь, потребуется выполнить дополнительные действия. Дополнительные сведения см. в статье Поддержка Information Protection Azure для Office 365, управляемых 21Vianet.

Дополнительные сведения см. в разделе Поддерживаемые командлеты PowerShell.

Чтобы настроить и установить сканер, выполните следующие действия.

  1. Начните с закрытой оболочки PowerShell. Если вы ранее установили клиент И сканер AIP, убедитесь, что служба AIPScanner остановлена.

  2. Откройте сеанс Windows PowerShell с параметром Запуск от имени администратора.

  3. Выполните команду Install-AIPScanner , чтобы установить сканер на экземпляре SQL Server с параметром Cluster , чтобы определить имя кластера.

    Этот шаг идентичен, если вы можете получить доступ к страницам сканера на портале соответствия требованиям. Дополнительные сведения см. в предыдущих инструкциях в этой статье : Установка сканера

  4. Получите маркер Azure для использования со сканером, а затем выполните повторную проверку подлинности.

    Этот шаг идентичен, если вы можете получить доступ к страницам сканера на портале соответствия требованиям. Дополнительные сведения см. в предыдущих инструкциях в этой статье: Получение маркера Microsoft Entra для сканера.

  5. Выполните командлет Set-AIPScannerConfiguration , чтобы настроить работу сканера в автономном режиме. Запустить:

    Set-AIPScannerConfiguration -OnlineConfiguration Off

  6. Запустите командлет Set-AIPScannerContentScanJob , чтобы создать задание проверки содержимого по умолчанию.

    Единственным обязательным параметром в командлете Set-AIPScannerContentScanJob является Принудительно. Однако в настоящее время может потребоваться определить другие параметры для задания проверки содержимого. Например:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>

    Приведенный выше синтаксис настраивает следующие параметры при продолжении настройки:

    • Позволяет вручную планировать выполнение сканера
    • Задает типы информации для обнаружения на основе политики меток конфиденциальности
    • Не применяет политику меток конфиденциальности
    • Автоматически помечает файлы на основе содержимого, используя метку по умолчанию, определенную для политики меток конфиденциальности.
    • Не допускает повторную маркировку файлов
    • Сохраняет сведения о файлах при проверке и автоматическом присвоении меток, включая дату изменения, последнего изменения и изменения значений
    • Задает средство проверки для исключения файлов .msg и .tmp при запуске
    • Задает владельца по умолчанию учетную запись, которую вы хотите использовать при запуске сканера

  7. Используйте командлет Add-AIPScannerRepository , чтобы определить репозитории, которые требуется сканировать в задании проверки содержимого. Например, выполните команду:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'

    Используйте один из следующих синтаксисов в зависимости от типа добавляемого репозитория:

    • Для сетевого ресурса используйте .\\Server\Folder
    • Для библиотеки SharePoint используйте http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Для локального пути: C:\Folder
    • Для UNC-пути: \\Server\Folder

    Примечание.

    Подстановочные знаки не поддерживаются, а расположения WebDav не поддерживаются.

    Чтобы изменить репозиторий позже, используйте командлет Set-AIPScannerRepository .

    Если добавить путь к SharePoint для общих документов:

    • Укажите общие документы в пути, если вы хотите сканировать все документы и все папки из общих документов. Пример: http://sp2013/SharedDocuments
    • Укажите документы в пути, если вы хотите сканировать все документы и все папки из вложенной папки в разделе Общие документы. Пример: http://sp2013/Documents/SalesReports
    • Или укажите только полное доменное имя sharePoint, например http://sp2013 для обнаружения и сканирования всех сайтов и дочерних сайтов SharePoint по определенному URL-адресу и субтитров в этом URL-адресе. Предоставьте сканеру права аудитора сборщика сайтов , чтобы включить это.

    При добавлении путей SharePoint используйте следующий синтаксис:

    Path Синтаксис
    Корневой путь http://<SharePoint server name>

    Сканирует все сайты, включая все семейства веб-сайтов, разрешенные для пользователя сканера.
    Требуются дополнительные разрешения для автоматического обнаружения корневого содержимого
    Определенный дочерний сайт или коллекция SharePoint Один из следующих продуктов:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Требуются дополнительные разрешения для автоматического обнаружения содержимого семейства веб-сайтов
    Конкретная библиотека SharePoint Один из следующих продуктов:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Конкретная папка SharePoint http://<SharePoint server name>/.../<folder name>

При необходимости выполните следующие действия.

Использование PowerShell для настройки сканера для применения классификации и защиты

  1. Запустите командлет Set-AIPScannerContentScanJob , чтобы обновить задание сканирования содержимого, чтобы настроить расписание на постоянное и принудительно применить политику конфиденциальности.

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On

    Совет

    Может потребоваться изменить другие параметры на этой панели, например, изменяются ли атрибуты файлов и может ли средство проверки повторно маркировать файлы. Дополнительные сведения о доступных параметрах см. в полной документации по PowerShell.

  2. Выполните командлет Start-AIPScan , чтобы выполнить задание проверки содержимого:

    Start-AIPScan

Теперь планируется непрерывное выполнение сканера. Когда средство проверки проходит через все настроенные файлы, он автоматически запускает новый цикл, чтобы обнаружить все новые и измененные файлы.

Настройка политики защиты от потери данных с помощью сканера с помощью PowerShell

Снова запустите командлет Set-AIPScannerContentScanJob с параметром -EnableDLP , равным Включено, и с определенным владельцем репозитория.

Например:

Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'

Поддерживаемые командлеты PowerShell

В этом разделе перечислены командлеты PowerShell, поддерживаемые сканером защиты информации, и инструкции по настройке и установке сканера только с помощью PowerShell.

Поддерживаемые командлеты для средства проверки:

Дальнейшие действия

После установки и настройки сканера начните сканирование файлов.