Поделиться через

Развертывание предыдущих версий классического сканера клиента Azure Information Protection

  • Статья

Эта статья предназначена для версий сканера Azure Information Protection, которые более ранние версии 1.48.204.0, но по-прежнему поддерживаются. Сведения об обновлении более ранних версий до текущей версии см. в статье "Обновление сканера Information Protection Azure".

Эти сведения позволят узнать о назначении средства проверки Azure Information Protection, а также о том, как установить, настроить и запустить его.

Это средство проверки работает как служба в Windows Server и используется для обнаружения, классификации и защиты файлов в следующих хранилищах данных:

  • UNC-путь для общих сетевых ресурсов, использующих протокол SMB

  • Библиотеки документов и папки для SharePoint Server 2019 до SharePoint Server 2013. Для клиентов с расширенной поддержкой SharePoint 2010 также поддерживается эта версия SharePoint.

Чтобы проверить файлы в облачных репозиториях и присвоить им метки, используйте Cloud App Security (а не средство проверки).

Обзор средства проверки Azure Information Protection

Если вы настроили политику Azure Information Protection для меток, которые применяют автоматическую классификацию, можно применить метки к файлам, которые обнаружит средство проверки. Метки применяют классификацию и, если это необходимо, применяют или снимают защиту:

Azure Information Protection scanner architecture overview

Средство проверки может проанализировать любые индексируемые Windows файлы с помощью фильтров IFilter, установленных на компьютере. Затем, чтобы определить, требуются ли файлы маркировки, сканер использует Microsoft 365 встроенные типы конфиденциальной информации о защите от потери данных (DLP) и обнаружение шаблонов или Microsoft 365 шаблонов регулярных выражений. Поскольку сканер использует клиент Azure Information Protection, он может классифицировать и защищать же типы файлов.

Средство проверки можно запускать только в режиме обнаружения. В этом случае вы будете использовать отчеты, чтобы узнать, что могло бы произойти, если бы файлы были помечены. Или средство проверки можно запускать для автоматического применения меток. Вы также можете запустить средство проверки для обнаружения файлов, которые содержат конфиденциальные типы сведений, не настраивая метки для условий, которые применяют автоматическую классификацию.

Обратите внимание, что средство проверки выполняет обнаружение и применяет метки не в режиме реального времени. Оно регулярно обходит файлы в указанных хранилищах данных. Можно настроить однократное или многократное выполнение этого цикла.

Можно указать, какие типы файлов нужно проверить и какие исключить из проверки. Чтобы указать, какие файлы будет обрабатывать средство проверки, определите список типов файлов с помощью командлета Set-AIPScannerScannedFileTypes.

Предварительные требования для средства проверки Azure Information Protection

Перед установкой средства проверки соединителя Azure Information Protection убедитесь, что соблюдаются следующие требования.

Требование Дополнительные сведения
Компьютер Windows Server для запуска службы проверки:

— 4-ядерный процессор;

— 8 ГБ ОЗУ;

— 10 ГБ свободного места (в среднем) для хранения временных файлов.		 Windows Server 2019, Windows Server 2016 или Windows Server 2012 R2.

Примечание. Для тестирования или оценки в нерабочей среде можно использовать Windows клиентская операционная система, поддерживаемая клиентом Information Protection Azure.

Компьютер может быть физическим или виртуальным, и у него должно быть быстрое и надежное сетевое подключение к подлежащим проверке хранилищам данных.

Средству проверки требуется место на диске, достаточное для создания временных файлов для каждого проверяемого файла, по четыре файла на каждое ядро. Рекомендуемый объем 10 ГБ дискового пространства достаточен для работы 4 ядер процессора, сканирующих 16 файлов объемом по 625 МБ каждый.

Если подключение к Интернету невозможно из-за политик организации, см. раздел "Развертывание сканера с альтернативными конфигурациями ". В противном случае убедитесь, что у этого компьютера есть подключение к Интернету, разрешающее следующие URL-адреса по протоколу HTTPS (порт 443):
*.aadrm.com
*.azurerms.com
*.informationprotection.azure.com
informationprotection.hosting.portal.azure.net;
*.aria.microsoft.com
Учетная запись службы для запуска службы проверки Помимо запуска службы проверки на компьютере Windows Server, эта учетная запись Windows проходит аутентификацию в Azure AD и скачивает политику Azure Information Protection. Это должна быть учетная запись Azure Active Directory, синхронизируемая с AAD. Если синхронизация этой учетной записи невозможна из-за политик вашей организации, см. раздел Развертывание средства проверки с альтернативными конфигурациями.

Эта учетная запись должна соответствовать следующим требованиям.

- Войдите в локальное назначение прав пользователя. Это право требуется для установки и настройки средства проверки, но не для его работы. Это право необходимо предоставить учетной записи службы, но после того, как вы убедитесь, что средство проверки может обнаруживать, классифицировать и защищать файлы, это право можно удалить. Если предоставление таких прав даже на короткий срок невозможно из-за политик вашей организации, см. раздел Развертывание средства проверки с альтернативными конфигурациями.

- Войдите в систему как назначение прав пользователя службы. Это право автоматически предоставляется учетной записи службы во время установки средства проверки. Оно требуется для установки, настройки и работы средства.

— Разрешения для репозиториев данных. Для репозиториев данных в SharePoint локальной среде всегда предоставьте разрешение "Изменить", если для сайта выбран параметр "Добавить и настроить страницы" или предоставьте разрешение "Конструктор". Для других репозиториев данных предоставьте разрешения на чтение и запись для сканирования файлов, а затем применения классификации и защиты к файлам, которые соответствуют условиям в политике Information Protection Azure. Чтобы запустить сканер в режиме обнаружения только для этих других репозиториев данных, достаточно разрешения на чтение .

— Для меток, которые повторно включают или снимают защиту: чтобы средство проверки всегда имело доступ к защищенным файлам, сделайте эту учетную запись суперпользователем службы Azure Rights Management и включите функцию суперпользователя. Дополнительные сведения о требованиях к учетным записям для применения защиты см. в статье Подготовка пользователей и групп к использованию в Azure Information Protection. Кроме того, если вы реализовали элементы управления переносом для поэтапного развертывания, обязательно включите в эти элементы управления настроенную здесь учетную запись.
SQL Server для хранения конфигурации средства проверки.

— Локальный или удаленный экземпляр

- Параметры сортировки без учета регистра

— Роль администратора для установки сканера		 SQL Server 2012 является минимальной версией для следующих выпусков.

— SQL Server Enterprise

— SQL Server Standard

— SQL Server Express

Если установить более одного экземпляра средства проверки, то каждому экземпляру средства проверки потребуется собственный экземпляр SQL Server.

Если вы устанавливаете средство проверки, и вашей учетной записи присвоена роль Sysadmin, процесс установки автоматически создает базу данных AzInfoProtectionScanner и предоставляет обязательную роль db_owner той учетной записи службы, от имени которой запускается средство проверки. Если роль Sysadmin не может быть назначена или корпоративные политики требуют создавать и настраивать базы данных вручную, см. раздел Развертывание средства проверки с альтернативными конфигурациями.

Размер базы данных конфигурации будет отличаться при каждом развертывании, но мы рекомендуем выделить 500 МБ для каждого миллиона файлов, которые требуется проверить.
Классический клиент Azure Information Protection установлен на компьютере сервера Windows Чтобы использовать средство проверки, установите полную версию клиента. Не устанавливайте клиент только с модулем PowerShell.

Инструкции по установке клиента см. в руководстве администратора. Если вы ранее установили средство проверки и теперь намерены обновить его до более поздней версии, см. раздел об обновлении средства проверки безопасности Azure Information Protection.
Настроенные метки, применяющие автоматическую классификацию и, если это необходимо, защиту См. дополнительные сведения о том, как настроить метку для условий и применить защиту:
- Настройка условий автоматической и рекомендуемой классификации
- Настройка метки для защиты Rights Management

Совет. Инструкции из учебника можно использовать для проверки сканера с меткой, которая ищет номера кредитных карт в подготовленном документе Word. При этом необходимо изменить конфигурацию метки, чтобы назначить параметру Выберите способ применения метки значение Автоматически, а не Рекомендуется. Затем удалите метку из документа (если она применена) и скопируйте файл в репозиторий данных для средства проверки.

Вы можете запустить средство проверки, даже если еще не настроили метки, применяющие автоматическую классификацию, но такой сценарий не описан в этой инструкции. Дополнительные сведения
Для SharePoint библиотек документов и папок для проверки:

- SharePoint 2019 г.

- SharePoint 2016

– SharePoint 2013

- SharePoint 2010		 Другие версии SharePoint не поддерживают средство проверки.

При использовании управления версиями средство проверки проверяет и помечает последнюю опубликованную версию. Если сканер помечает файл и требуется утверждение содержимого , этот помеченный файл должен быть утвержден для пользователей.

В случае больших ферм SharePoint проверьте, нужно ли вам увеличить порог представления списка (по умолчанию — 5000), чтобы средство проверки могло обращаться ко всем файлам. Дополнительные сведения см. в следующей SharePoint документации: управление большими списками и библиотеками в SharePoint
Для проверяемых документов Office:

форматы файлов 97—2003 и форматы Office Open XML для Word, Excel и PowerPoint.		 Дополнительные сведения о типах файлов, поддерживаемых сканером для этих форматов файлов, см. в разделе "Типы файлов", поддерживаемые клиентом Azure Information Protection
Для длинных путей:

не более 260 символов, если средство проверки не установлено в Windows 2016 и компьютер не настроен для поддержки длинных путей.		 Windows 10 и Windows Server 2016 поддерживают длину пути больше 260 символов со следующим параметром групповой политики:административные шаблоны>конфигурации компьютера локальной> политики компьютеров>все Параметры>Enable Win32 long paths

Дополнительные сведения о поддержке длинных путей к файлам см. в разделе об ограничении максимальной длины пути в документации разработчика Windows 10.

Если вы не можете выполнить все требования в этой таблице из-за ограничений корпоративной политики, воспользуйтесь другими вариантами, которые описаны в следующем разделе.

Если все требования выполняются, сразу переходите к разделу с инструкцией по установке.

Развертывание средства проверки с альтернативными конфигурациями

Перечисленные в таблице предварительные условия составляют стандартные требования для средства проверки. Мы рекомендуем всегда придерживаться их, чтобы упростить настройку для развертывания средства проверки. Этот вариант отлично подходит для начального тестирования, которое позволяет оценить возможности средства проверки. Тем не менее, в производственной среде корпоративные политики могут противоречить описанным здесь требованиям по одной или нескольким из следующих причин:

  • Серверы не допускают подключение к Интернету

  • Вы не можете получить права администратора, или базы данных необходимо создавать и настраивать вручную.

  • Учетные записи служб не могут быть предоставлены локальному входу

  • Учетные записи служб не могут быть синхронизированы с Azure Active Directory но серверы имеют подключение к Интернету

Средство проверки может работать и в таких условиях, но для этого потребуется дополнительная настройка.

Ограничение. Сервер сканера не может иметь подключение к Интернету

Следуйте инструкциям для отключенного компьютера.

Обратите внимание, что в этой конфигурации средство проверки не сможет применить или удалить защиту с помощью облачного ключа организации. Средство проверки сможет использовать метки только для классификации или защиты через HYOK.

Ограничение. Вы не можете получить роль Sysadmin или базы данных необходимо создавать и настраивать только вручную

Если есть возможность временно предоставить роль Sysadmin для установки средства проверки, сделайте это и затем удалите роль после завершения установки. В такой конфигурации база данных создается для вас автоматически, а учетной записи службы для средства проверки предоставляются необходимые разрешения. Но кроме того, учетной записи пользователя, от имени которой настраивается средство проверки, требуется роль db_owner для базы данных AzInfoProtectionScanner, которую ей необходимо предоставить вручную.

Если роль Sysadmin не может быть предоставлена даже временно, перед установкой средства проверки необходимо попросить пользователя с правами Sysadmin вручную создать базу данных с именем AzInfoProtectionScanner. Для этой конфигурации необходимо назначить следующие роли:

Учетная запись Роль уровня базы данных
Учетная запись службы для средства проверки db_owner
Учетная запись пользователя для установки средства проверки db_owner
Учетная запись пользователя для настройки средства проверки db_owner

Обычно для установки и настройки средства проверки используется одна и та же учетная запись. Но если вы решите использовать разные учетные записи, им обеим нужно назначить роль db_owner для базы данных AzInfoProtectionScanner.

Чтобы создать пользователя и предоставить db_owner права на эту базу данных, попросите sysadmin выполнить следующий сценарий SQL дважды. В первый раз для учетной записи службы, которая запускает сканер, и во второй раз для установки сканера и управления ею. Перед выполнением скрипта замените домен\пользователя именем домена и учетной записью пользователя учетной записи службы или учетной записью пользователя:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE AzInfoProtectionScanner IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

Дополнительно:

  • Вы должны быть локальным администратором на сервере, на котором будет запущен сканер.

  • Учетной записи службы, которая запустит сканер, необходимо предоставить разрешения на полный доступ к следующим разделам реестра:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Если после настройки этих разрешений при установке сканера появится сообщение об ошибке, ошибка может быть проигнорирована, и вы можете запустить службу сканера вручную.

Ограничение. Учетная запись службы для средства проверки не может получить право Локальный вход в систему

Если политики организации запрещают локальный вход для учетных записей служб, но разрешают вход в качестве пакетного задания , следуйте инструкциям по указанию и использованию параметра token для Set-AIPAuthentication из руководства администратора.

Ограничение. Учетная запись службы сканера не может быть синхронизирована с Azure Active Directory но сервер имеет подключение к Интернету

Вы можете использовать разные учетные записи: одну для запуска службы средства проверки и вторую для аутентификации в Azure Active Directory:

Установка средства проверки

  1. Войдите на компьютер Windows Server, на котором будет запущено средство проверки. Используйте учетную запись с правами локального администратора, у которой есть разрешения на запись в базе данных master SQL Server.

  2. Откройте сеанс Windows PowerShell с параметром Запуск от имени администратора.

  3. Запустите командлет Install-AIPScanner, указав экземпляр SQL Server, на котором создается база данных для сканера Information Protection Azure:

    Install-AIPScanner -SqlServerInstance <name>

    Пример:

    • Для экземпляра по умолчанию: Install-AIPScanner -SqlServerInstance SQLSERVER1

    • Для именованного экземпляра: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER

    • Для SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS

    При появлении запроса укажите учетные данные для учетной записи службы сканера (<домен\имя> пользователя) и пароля.

  4. Убедитесь, что служба установлена с помощьюслужбадминистрирования>.

    Установленная служба называется azure Information Protection Сканер и настроена для запуска с помощью созданной учетной записи службы проверки.

Теперь, когда вы установили средство проверки, необходимо получить маркер Azure AD для проверки подлинности учетной записи службы проверки в целях автоматического запуска службы.

Получение маркера Azure AD для средства проверки

Маркер Azure AD позволяет учетной записи службы проверки выполнять проверку подлинности в службе Azure Information Protection.

  1. С того же компьютера Windows Server или настольной системы войдите на портал Azure, чтобы создать два приложения Azure AD, которые необходимы для указания маркера доступа для проверки подлинности. После первоначального интерактивного входа в систему этот маркер позволяет средству проверки работать в неинтерактивном режиме.

    Чтобы создать эти приложения, следуйте инструкциям в разделе Как пометить файлы в неинтерактивном режиме для Azure Information Protection руководства администратора.

  2. Если учетной записи службы проверки предоставлено право локального входа для установки, на компьютере Windows Server выполните вход с помощью этой учетной записи и запустите сеанс PowerShell. Выполите командлет Set-AIPAuthentication, указав значения, скопированные на предыдущем шаге:

    Set-AIPAuthentication -webAppId <ID of the "Web app / API" application> -webAppKey <key value generated in the "Web app / API" application> -nativeAppId <ID of the "Native" application>

    При появлении запроса укажите пароль для учетных данных учетной записи службы для Azure AD и нажмите кнопку Принять.

    Если учетной записи службы средства проверки нельзя предоставить право локального входа для установки, следуйте инструкциям в разделе Указание и использование параметра Token для командлета Set-AIPAuthentication руководства администратора.

Теперь у средства проверки есть маркер для проверки подлинности в Azure AD, который действителен в течение одного года, двух лет или является бессрочным согласно конфигурации веб-приложения и API в Azure AD. Когда срок действия токена истечет, повторите шаги с 1 по 2.

Теперь можно указать хранилища данных для проверки.

Указание хранилищ данных для средства проверки

С помощью командлета Add-AIPScannerRepository укажите хранилища данных, подлежащие проверке с помощью средства проверки Azure Information Protection. Можно указать UNC-пути и URL-адреса сервера SharePoint для SharePoint библиотек документов и папок.

Поддерживаемые версии для SharePoint: SharePoint Server 2019, SharePoint Server 2016 и SharePoint Server 2013. SharePoint Server 2010 также поддерживается для клиентов, у которых есть расширенная поддержка для этой версии SharePoint.

  1. На том же компьютере Windows Server в сеансе PowerShell добавьте первое хранилище данных, выполнив следующую команду:

    Add-AIPScannerRepository -Path <path>

    Например Add-AIPScannerRepository -Path \\NAS\Documents.

    В других примерах используйте команду Get-Help Add-AIPScannerRepository -examples справки PowerShell для этого командлета.

  2. Повторите эту команду для всех хранилищ данных, которые требуется проверить. Чтобы удалить добавленное хранилище данных, выполните командлет Remove-AIPScannerRepository.

  3. Убедитесь, что все хранилища данных указаны правильно, выполнив командлет Get-AIPScannerRepository:

    Get-AIPScannerRepository

Используя конфигурацию средства проверки по умолчанию, вы можете выполнить первую проверку в режиме обнаружения.

Выполнение цикла обнаружения и просмотр отчетов для средства проверки

  1. В сеансе PowerShell введите следующую команду, чтобы запустить средство проверки:

    Start-AIPScan

    Также можно запустить средство проверки на портале Azure. В области "Information Protection Azure — узлы" выберите узел сканера, а затем выберите параметр "Сканировать".

    Initiate scan for the Azure Information Protection scanner

  2. Дождитесь, пока завершится цикл средства проверки. Выполните следующую команду:

    Get-AIPScannerStatus

    Кроме того, можно просмотреть состояние из области "Information Protection Azure " Узлы" в портал Azure, проверив столбец STATUS.

    Состояние Сканирование должно смениться состоянием Бездействие.

    После того как средство проверки выполнит обход всех файлов в указанных хранилищах данных, оно остановится, а служба проверки продолжит работу.

    Просмотрите локальный журнал событий приложений и служб Windows под названием Azure Information Protection. В этом журнале также создаются отчеты, когда средство проверки завершает сканирование, и приводится сводка результатов. Найдите информационное событие с кодом 911.

  3. Просмотрите отчеты, которые хранятся в папке %localappdata%\Microsoft\MSIP\Scanner\Reports. TXT-файлы сводки включают время, затраченное на выполнение проверки, число проверенных файлов и число файлов, сопоставленных с типами сведений. CSV-файлы содержат более подробные сведения о каждом файле. В этой папке хранится до 60 отчетов о каждом цикле проверки. При этом все отчеты, кроме последнего, сжимаются для экономии места на диске.

    Примечание

    Можно изменить уровень ведения журнала с помощью параметра ReportLevel и командлета Set-AIPScannerConfiguration, но изменить имя или расположение папки отчетов нельзя. Вы можете использовать соединение каталогов для папки, чтобы хранить отчеты в другом томе или разделе.

    Например, выполните команду Mklink: mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\Reports.

    Если используется заданный по умолчанию параметр, в эти отчеты включаются только те файлы, которые удовлетворяют настроенным условиям для автоматической классификации. Если вы не видите примененные метки в этих отчетах, убедитесь, что для конфигурации метки настроена автоматическая, а не рекомендуемая классификация.

    Совет

    Средство проверки отправляет эти сведения в Azure Information Protection каждые пять минут, чтобы вы могли просмотреть результаты практически в реальном времени на портале Azure. Дополнительные сведения см. в статье Центр отчетов для Microsoft Azure Information Protection.

    Если результаты не соответствуют ожидаемым, может потребоваться выполнить точную настройку условий, указанных в политике Azure Information Protection. В этом случае повторяйте шаги с 1 по 3, пока вы не измените конфигурацию для применения классификации и, если это необходимо, защиты.

Портал Azure отображает сведения только о последнем сканировании. Если требуется просмотреть результаты предыдущих проверок, вернитесь к отчетам, которые хранятся на компьютере со средством проверки в папке %localappdata%\Microsoft\MSIP\Scanner\Reports.

Когда вы будете готовы автоматически применять метки к файлам, обнаруженным средством проверки, перейдите к следующей процедуре.

Настройка средства проверки для применения классификации и защиты

Средство проверки с заданной по умолчанию конфигурацией выполняется один раз и в режиме только для создания отчетов. Чтобы изменить эти параметры, используйте Set-AIPScannerConfiguration:

  1. На компьютере с Windows Server в сеансе PowerShell выполните следующую команду:

    Set-AIPScannerConfiguration -Enforce On -Schedule Always

    Может потребоваться изменить ряд других параметров конфигурации. Например, необходимость изменения атрибутов файла и какие данные заносятся в отчеты. Кроме того, если политика Azure Information Protection содержит параметр, который требует сообщение с обоснованием снижения уровня классификации или удаления защиты, укажите это сообщение с помощью данного командлета. Для получения дополнительных сведений о каждом параметре конфигурации используйте следующую команду справки PowerShell: Get-Help Set-AIPScannerConfiguration -detailed

  2. Запишите текущее время и снова запустите средство проверки. Для этого выполните следующую команду:

    Start-AIPScan

    Также можно запустить средство проверки на портале Azure. В области "Information Protection Azure — узлы" выберите узел сканера, а затем выберите параметр "Сканировать".

    Initiate scan for the Azure Information Protection scanner

  3. Отследите в журнале событий тип информации 911 с более поздней меткой времени, чем время начала сканирования, выполненного на предыдущем этапе.

    Затем просмотрите отчеты, чтобы узнать, какие файлы помечены, какая применена классификация и была ли применена защита. Или же вы без труда можете просмотреть эти сведения на портале Azure.

Так как настроен непрерывный режим работы, то, когда средство проверки обойдет все файлы, начинается новый цикл обнаружения любых новых и измененных файлов.

Проверка файлов

При проверке файлов средство проверки выполняет следующие процессы.

1. Определите, включены ли или исключены файлы для сканирования.

Средство проверки автоматически пропускает файлы, исключенные из классификации и защиты (например, исполняемые и системные файлы).

Вы можете изменить это поведение, определив список типов файлов для проверки или исключения из проверки. Если определить этот список, но не указать репозиторий данных, список будет применен ко всем репозиториям данных, для которых не задан собственный список. Чтобы указать этот список, используйте командлет Set-AIPScannerScannedFileTypes.

Указав список типов файлов, вы можете добавить в него или удалить из него тип файла с помощью командлетов Add-AIPScannerScannedFileTypes и Remove-AIPScannerScannedFileTypes соответственно.

2. Проверка и добавление меток в файлы

Затем средство проверяет поддерживаемые типы файлов с помощью фильтров. Эти же фильтры используются операционной системой для Поиска Windows и индексирования. Не требуя дополнительной настройки, фильтр Windows IFilter применяется для проверки типов файлов, которые используются в приложениях Word, Excel, PowerPoint, а также для документов PDF и текстовых файлов.

Полный список типов файлов, которые поддерживаются по умолчанию, а также дополнительные сведения о настройке существующие фильтров, которые содержат ZIP- и TIFF-файлы, см. в разделе Типы файлов, поддерживающие проверку.

После проверки эти типы файлов можно пометить с учетом условий, указанных для меток. Или, если вы используете режим обнаружения, можно сообщить, что эти файлы содержат условия, указанные для меток, или все известные типы конфиденциальной информации.

Однако средство проверки не может применять метки к файлам в следующих условиях:

  • если применяется метка классификации, но не защиты, и тип файла не поддерживает только классификацию;

  • если применяется метка классификации и защиты, но средство проверки не защищает тип файла.

    По умолчанию средство проверки защищает только типы файлов Office и PDF-файлы, если они защищены с помощью стандарта ISO для шифрования формата PDF. Чтобы защитить файлы других типов, внесите изменения в реестр, как описано в следующем разделе.

Например, после проверки файлов с расширением TXT средство проверки не может применить метку, настроенную для классификации, но не для защиты, так как TXT-файл не поддерживает только классификацию. Если метка настроена для классификации и защиты и в реестр внесены изменения для TXT-файла, средство проверки может пометить файл.

Совет

Если во время этого процесса средство проверки останавливается и не завершает сканирование большого количества файлов в репозитории:

  • может потребоваться увеличить число динамических портов для операционной системы, в которой размещаются файлы. Одной из причин, по которой средство проверки превышает число разрешенных сетевых подключений и в результате останавливается, может быть усиление защиты сервера для SharePoint.

    Чтобы проверить, является ли это причиной остановки сканера, проверьте, зарегистрировано ли следующее сообщение об ошибке для средства проверки в папке %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (при наличии нескольких журналов): не удается подключиться к удаленному серверу ---> System.Net.Sockets.SocketException: обычно разрешен только одно использование каждого адреса сокета (ip-адрес/сетевой адрес/порт): Порт

    Дополнительные сведения о том, как просмотреть и расширить текущий диапазон портов, см. в описании параметров, которые можно изменить для повышения производительности сети.

  • Для больших ферм SharePoint может потребоваться увеличить порог представления списка (по умолчанию — 5000). Дополнительные сведения см. в следующей SharePoint документации: управление большими списками и библиотеками в SharePoint.

3. Метка файлов, которые не могут быть проверены

Для типов файлов, которые невозможно проверить, средство проверки применяет метку по умолчанию в политике Azure Information Protection или метку по умолчанию, настроенную для средства проверки.

Как на предыдущем шаге, средство проверки не может применять метки к файлам в следующих условиях:

  • если применяется метка классификации, но не защиты, и тип файла не поддерживает только классификацию;

  • если применяется метка классификации и защиты, но средство проверки не защищает тип файла.

    По умолчанию средство проверки защищает только типы файлов Office и PDF-файлы, если они защищены с помощью стандарта ISO для шифрования формата PDF. Чтобы защитить файлы других типов, внесите изменения в реестр, как описано далее.

Изменение реестра для средства проверки

Чтобы средство проверки, помимо файлов Office и PDF, по умолчанию защищало файлы других типов, необходимо вручную внести изменения в реестр, указать дополнительные типы файлов, которые необходимо защитить, а также указать тип защиты (собственная или универсальная). В этой документации для разработчиков универсальная защита обозначается как PFile. Кроме того, при работе со средством проверки нужно учесть следующее:

  • Средство проверки имеет собственное поведение по умолчанию: по умолчанию защищаются только Office форматы файлов и PDF-документы. Другие форматы файлов не будут помечены и защищены средством проверки, если не изменить реестр.

  • Если требуется такое же поведение защиты по умолчанию, что и клиент Azure Information Protection, где все файлы автоматически защищены с помощью собственной или универсальной защиты: укажите * подстановочный знак в качестве раздела реестра, Encryption в качестве значения (REG_SZ) и Default в качестве данных значения.

При правке реестра вручную создайте ключ MSIPC и ключ FileProtection, если они не существуют, а также ключ для каждого расширения имени файла.

Например, чтобы средство проверки защищало TIFF-файлы дополнительно к файлам Office и PDF, реестр после правки должен выглядеть примерно как на следующем рисунке. Являясь файлами изображений, TIFF-файлы поддерживают собственную защиту и имеют итоговое расширение имени файла PTIFF.

Editing the registry for the scanner to apply protection

Список типов текстовых файлов и файлов изображений, которые аналогичным образом поддерживают собственную защиту, но должны быть указаны в реестре, см. в разделе Поддерживаемые типы файлов для классификации и защиты руководства администратора.

Для файлов, которые не поддерживают собственную защиту, укажите расширение имени файла в качестве нового ключа и PFile для применения универсальной защиты. Защищаемый файл будет иметь итоговое расширение имени файла PFILE.

Повторная проверка файлов

В ходе первого цикла проверки средство проверки просматривает все файлы в настроенных хранилищах данных. Затем при последующих проверках исследуются только новые или измененные файлы.

Средство проверки можно принудительно проверить все файлы снова, запустив Start-AIPScan с параметром Reset . Средство проверки должно быть настроено для расписания вручную, для которого параметр Schedule должен иметь значение Manual с set-AIPScannerConfiguration.

Кроме того, средство проверки можно принудительно проверить все файлы из области "Узлы" в портал Azure Azure Information Protection. Выберите в списке средство проверки и щелкните Повторно проверить все файлы.

Initiate rescan for the Azure Information Protection scanner

Повторная проверка удобна в том случае, когда нужно включить в отчеты все файлы. Обычно этот вариант конфигурации используется при работе средства проверки в режиме обнаружения. После завершения полной проверки тип проверки автоматически изменится на добавочный, чтобы при последующих проверках просматривались только новые или измененные файлы.

Кроме того, все файлы проверяются, когда средство проверки загружает политику Azure Information Protection с новыми или измененными условиями. Если политика старше часа, средство проверки обновляет ее каждый час и при запуске службы.

Совет

Если вам нужно обновить политику раньше указанного часового интервала, например во время тестирования, удалите вручную файл политики Policy.msip из %LocalAppData%\Microsoft\MSIP\Policy.msip и %LocalAppData%\Microsoft\MSIP\Scanner. Затем перезапустите службу проверки Azure Information Protection.

Если вы изменили в политике параметры защиты, подождите 15 минут после их сохранения, прежде чем перезапускать службу.

Если средство проверки скачало политику, в которой не настроены автоматические условия, копия файла политики в папке средства проверки не обновится. В этом случае нужно предварительно удалить файл политики Policy.msip из папок %LocalAppData%\Microsoft\MSIP\Policy.msip и %LocalAppData%\Microsoft\MSIP\Scanner, чтобы средство проверки могло использовать скачанный файл политики с правильными метками для автоматических условий.

Использование средства проверки с альтернативными конфигурациями

Средство проверки Azure Information Protection поддерживает два альтернативных сценария, в которых не обязательно настраивать метки для условий.

  • Применение метки по умолчанию ко всем файлам в репозитории данных.

    Для этой конфигурации используйте командлет Set-AIPScannerRepository и задайте для параметра MatchPolicy значение Off.

    Содержимое файлов не проверяется, и ко всем файлам в репозитории данных будет применена метка по умолчанию, которую вы задали для репозитория данных (с помощью параметра SetDefaultLabel). Если такая метка не указана, используется метка по умолчанию, заданная в качестве параметра политики для учетной записи средства проверки.

  • Определение всех пользовательских условий и известных типов конфиденциальных сведений.

    Для этой конфигурации используйте командлет Set-AIPScannerConfiguration и задайте для параметра DiscoverInformationTypes значение All.

    Средство проверки будет использовать все пользовательские условия, которые вы указали для меток в политике Azure Information Protection, и список типов сведений, которые можно указать для меток в политике Azure Information Protection.

    В следующем кратком руководстве используется эта конфигурация, хотя она используется для текущей версии средства проверки: краткое руководство. Поиск конфиденциальной информации, которую у вас есть.

Оптимизация производительности средства проверки

Следуйте инструкциям ниже, чтобы оптимизировать производительность средства проверки. Однако если приоритетом является скорость реагирования компьютера сканера, а не производительность сканера, можно использовать расширенный параметр клиента , чтобы ограничить количество потоков, используемых сканером.

Как получить максимальную производительность сканера

  • Обеспечьте высокоскоростное и надежное сетевое подключение между компьютером сканера и сканируемым хранилищем данных

    Например, поместите компьютер сканера в той же локальной сети или (желательно) в том же сетевом сегменте, что и сканируемое хранилище данных.

    Качество сетевого подключения влияет на производительность сканера, так как для проверки файлов сканер передает содержимое файлов на компьютер, где работает служба сканера. При уменьшении количества (или устранении) прыжков в сети, которые проходят данные, вы также снижаете нагрузку на сеть.

  • Убедитесь, что на компьютере сканера достаточно процессорных ресурсов

    Проверка содержимого файлов на соответствие настроенным условиям, а также шифрование и расшифровка файлов — это действия, оказывающие большую нагрузку на процессор. Проследите типичные циклы сканирования выбранных вами хранилищ данных, чтобы узнать, снижается ли производительность сканера из-за нехватки ресурсов процессора.

Другие факторы, влияющие на производительность сканера

  • Текущая нагрузка и время отклика хранилищ данных, содержащих сканируемые файлы

  • Режим работы сканера: обнаружение или принудительное применение

    Как правило, в режиме обнаружения сканирование выполняется чаще, чем в режиме принудительного применения, так как для обнаружения требуется только действие чтения файла, а для принудительного выполнения — действия чтения и записи.

  • Изменение условий в Azure Information Protection

    Первый цикл сканирования, когда сканер должен проверить каждый файл, очевидно, занимает больше времени, чем последующие, когда по умолчанию проверяются только новые и измененные файлы. Однако если изменить условия политики Azure Information Protection, все файлы будут сканироваться заново, как описано в предыдущем разделе.

  • Конструкция регулярных выражений для настраиваемых условий

    Чтобы избежать значительного потребления памяти и риска превышения времени ожидания (15 минут на файл), обеспечьте эффективное сопоставление шаблонов в своих регулярных выражениях. Пример:

  • Выбранный уровень ведения журнала

    Вы можете выбрать для отчетов сканера следующие режимы: Отладка, Информация, Ошибка и Выключено. Режим Выключено обеспечивает самую высокую производительность, а Отладка существенно замедляет сканер: этот режим следует использовать только для устранения неполадок. Дополнительные сведения см. в параметре ReportLevel для командлета Set-AIPScannerConfiguration, выполнив команду Get-Help Set-AIPScannerConfiguration -detailed.

  • Сами файлы:

    • За исключением Excel файлов, Office файлы быстрее сканируются, чем PDF-файлы.

    • незащищенные файлы сканируются быстрее, чем защищенные;

    • чем больше размер файлов, тем, очевидно, дольше длится сканирование.

  • Дополнительно:

    • Убедитесь, что учетная запись службы, на которой запущен сканер, имеет только права, указанные в разделе предварительных требований для сканера , а затем настройте расширенный параметр клиента , чтобы отключить низкий уровень целостности для сканера.

    • Средство проверки работает быстрее, если используется альтернативная конфигурация для применения метки по умолчанию ко всем файлам, так как это средство не проверяет содержимое файлов.

    • Если же вы используете альтернативную конфигурацию, чтобы определить все пользовательские условия и известные типы конфиденциальных сведений, средство проверки работает медленнее.

    • Вы можете уменьшить время ожидания сканера с расширенными параметрами клиента для повышения скорости сканирования и снижения потребления памяти, но с подтверждением того, что некоторые файлы могут быть пропущены.

Список командлетов для средства проверки

Другие командлеты позволяют изменять учетную запись службы и базу данных для средства проверки, получать текущие параметры для средства проверки, а также удалять службу проверки. Средство проверки использует следующие командлеты:

  • Add-AIPScannerScannedFileTypes;

  • Add-AIPScannerRepository;

  • Get-AIPScannerConfiguration

  • Get-AIPScannerRepository;

  • Get-AIPScannerStatus.

  • Install-AIPScanner

  • Remove-AIPScannerRepository;

  • Remove-AIPScannerScannedFileTypes;

  • Set-AIPScanner

  • Set-AIPScannerConfiguration

  • Set-AIPScannerScannedFileTypes.

  • Set-AIPScannerRepository;

  • Start-AIPScan

  • Uninstall-AIPScanner

  • Update-AIPScanner

Примечание

Многие из этих командлетов теперь устарели в текущей версии сканера, а веб-справка по командлетам сканера отражает это изменение. Для справки по командлету, предшествующей версии 1.48.204.0 средства проверки, используйте встроенную Get-Help <cmdlet name> команду в сеансе PowerShell.

Идентификаторы журнала событий и описания для средства проверки

Используйте следующие разделы для определения возможных идентификаторов событий и описаний для средства проверки. Эти события регистрируются на сервере, где работает служба средства проверки. Они регистрируются в журнале Azure Information Protection из журналов событий Приложений и служб Windows.

Информация 910

Запущен цикл средства проверки.

Это событие регистрируется при запуске средства проверки и в начале поиска файлов в указанных хранилищах данных.

Информация 911

Завершен цикл средства проверки.

Это событие регистрируется, когда средство проверки завершило проверку вручную или завершило цикл непрерывной проверки.

Если средство было настроено на проверку вручную, а не на непрерывную проверку, запустите новую операцию сканирования с помощью командлета Start-AIPScan. Чтобы изменить расписание, используйте командлет Set-AIPScannerConfiguration и параметр Schedule (Расписание).

Дальнейшие действия

Вам интересно, как основная команда разработки служб и операций в Майкрософт реализовала это средство проверки? Ознакомьтесь с техническим примером, иллюстрирующимавтоматизацию защиты данных с помощью средства проверки Azure Information Protection.

Возможно, вам интересно: В чем разница между FCI сервера Windows и сканером Azure Information Protection?

PowerShell позволяет в интерактивном режиме классифицировать и защищать файлы с настольного компьютера. Дополнительные сведения об этом сценарии и других, где используется PowerShell, см. в статье Управление клиентом Azure Information Protection с помощью PowerShell.