Distribuera Azure Information Protection-skannern för att automatiskt klassificera och skydda filerDeploying the Azure Information Protection scanner to automatically classify and protect files

Gäller för: Azure information Protection, windows Server 2019, windows Server 2016, windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Anteckning

För att tillhandahålla en enhetlig och strömlinjeformad kund upplevelse är Azure information Protection-klienten (klassisk) och etikett hantering i Azure-portalen föråldrad den 31 mars 2021.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Med den här tids ramen kan alla nuvarande Azure Information Protection-kunder övergå till vår enhetliga etikett lösning med hjälp av Microsoft Information Protection Unified Labeling-plattformen.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Läs mer i det officiella utfasnings meddelandet.Learn more in the official deprecation notice.

Anteckning

Den här artikeln är för den aktuella allmänna tillgänglighets versionen av Azure Information Protection-skannern med Azure Information Protection-klienten (klassisk) och den allmänna tillgänglighets versionen av Azure Information Protection Unified Labeling-klienten.This article is for the current general availability version of the Azure Information Protection scanner with the Azure Information Protection client (classic), and the general availability version of the Azure Information Protection unified labeling client.

Om du tidigare har installerat skannern och vill uppgradera den, använder du följande uppgraderings anvisningar och följer sedan anvisningarna på den här sidan, utan steget för att installera skannern:If you have previously installed the scanner and want to upgrade it, use the following upgrade instructions and then use the instructions on this page, omitting the step to install the scanner:

Om du har en version av skannern som är äldre än 1.48.204.0 och du inte är redo att uppgradera den, se distribuera tidigare versioner av Azure information Protection-skannern för att automatiskt klassificera och skydda filer.If you have a version of the scanner that is older than 1.48.204.0 and you're not ready to upgrade it, see Deploying previous versions of the Azure Information Protection scanner to automatically classify and protect files.

Använd den här informationen om du vill veta mer om Azure Information Protection scanner och hur du installerar, konfigurerar, kör och vid behov, felsöker den.Use this information to learn about the Azure Information Protection scanner, and then how to successfully install, configure, run and if necessary, troubleshoot it.

Den här skannern körs som en tjänst på Windows Server och gör att du kan identifiera, klassificera och skydda filer i följande data lager:This scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

  • Lokala mappar på den Windows Server-dator som kör skannern.Local folders on the Windows Server computer that runs the scanner.

  • UNC-sökvägar för nätverks resurser som använder SMB-protokollet (Server Message Block).UNC paths for network shares that use the Server Message Block (SMB) protocol.

  • Dokument bibliotek och mappar för SharePoint Server 2019 via SharePoint Server 2013.Document libraries and folders for SharePoint Server 2019 through SharePoint Server 2013. SharePoint 2010 stöds även för kunder som har utökad support för den här versionen av SharePoint.SharePoint 2010 is also supported for customers who have extended support for this version of SharePoint.

Om du vill genomsöka och märka filer i moln lagrings platser använder du Cloud App Security i stället för skannern.To scan and label files on cloud repositories, use Cloud App Security instead of the scanner.

Översikt över Azure Information Protection-skannernOverview of the Azure Information Protection scanner

När du har konfigurerat etiketter som tillämpar automatisk klassificering, kan filer som den här skannern identifierar vara märkta.When you have configured labels that apply automatic classification, files that this scanner discovers can then be labeled. Etiketter tillämpar klassificering och alternativt, tillämpa skydd eller ta bort skydd:Labels apply classification, and optionally, apply protection or remove protection:

Översikt över Azure Information Protection skanner arkitektur

Skannern kan inspektera alla filer som Windows kan indexera genom att använda IFilters som är installerade på datorn.The scanner can inspect any files that Windows can index, by using IFilters that are installed on the computer. För att ta reda på om filerna behöver etiketter, använder skannern Office 365 inbyggd data förlust skydd (DLP), typ av känslig information och mönster identifiering, eller Office 365 regex-mönster.Then, to determine if the files need labeling, the scanner uses the Office 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Office 365 regex patterns. Eftersom skannern använder Azure Information Protection-klienten (den klassiska klienten eller Unified Labeling-klienten) kan skannern klassificera och skydda samma filtyper:Because the scanner uses the Azure Information Protection client (the classic client or unified labeling client), the scanner can classify and protect the same file types:

Du kan bara köra skannern i identifierings läge, där du använder rapporterna för att kontrol lera vad som skulle hända om filerna har märkts.You can run the scanner in discovery mode only, where you use the reports to check what would happen if the files were labeled. Du kan också köra skannern för att automatiskt tillämpa etiketterna.Or, you can run the scanner to automatically apply the labels. Du kan också köra skannern för att identifiera filer som innehåller känsliga informations typer, utan att konfigurera etiketter för villkor som tillämpar automatisk klassificering.You can also run the scanner to discover files that contain sensitive information types, without configuring labels for conditions that apply automatic classification.

Observera att skannern inte identifierar och märker i real tid.Note that the scanner does not discover and label in real time. Den crawlar systematiskt genom filer i data lager som du anger, och du kan konfigurera den här cykeln så att den körs en gång eller flera gånger.It systematically crawls through files on data stores that you specify, and you can configure this cycle to run once, or repeatedly.

Du kan ange vilka filtyper som ska genomsökas eller undantas från genomsökning genom att definiera en lista över filtyper som en del av skanner konfigurationen.You can specify which file types to scan, or exclude from scanning, by defining a file types list as part of the scanner configuration.

Krav för Azure Information Protection-skannernPrerequisites for the Azure Information Protection scanner

Kontrol lera att följande krav är på plats innan du installerar Azure Information Protection-skannern.Before you install the Azure Information Protection scanner, make sure that the following requirements are in place.

KravRequirement Mer informationMore information
Windows Server-dator för att köra skanner tjänsten:Windows Server computer to run the scanner service:

– 4 kärnor- 4 core processors

– 8 GB RAM-minne- 8 GB of RAM

– 10 GB ledigt utrymme (genomsnitt) för temporära filer- 10 GB free space (average) for temporary files
Windows Server 2019, Windows Server 2016 eller Windows Server 2012 R2.Windows Server 2019, Windows Server 2016, or Windows Server 2012 R2.

Obs! i testnings-eller utvärderings syfte i en miljö som inte är en produktions miljö kan du använda ett Windows-klient operativ system som stöds av den Azure information Protection klienten.Note: For testing or evaluation purposes in a non-production environment, you can use a Windows client operating system that is supported by the Azure Information Protection client.

Den här datorn kan vara en fysisk eller virtuell dator som har en snabb och tillförlitlig nätverks anslutning till de data lager som ska genomsökas.This computer can be a physical or virtual computer that has a fast and reliable network connection to the data stores to be scanned.

Skannern kräver tillräckligt med disk utrymme för att skapa temporära filer för varje fil som söks igenom, fyra filer per kärna.The scanner requires sufficient disk space to create temporary files for each file that it scans, four files per core. Det rekommenderade disk utrymmet på 10 GB gör att 4 kärnor genomsöker 16 filer som har en fil storlek på 625 MB.The recommended disk space of 10 GB allows for 4 core processors scanning 16 files that each have a file size of 625 MB.

Om det inte går att ansluta till Internet på grund av organisationens principer, se avsnittet distribuera skannern med alternativa konfigurationer .If internet connectivity is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section. Annars kontrollerar du att den här datorn har Internet anslutning som tillåter följande URL: er över HTTPS (port 443):Otherwise, make sure that this computer has internet connectivity that allows the following URLs over HTTPS (port 443):
*. aadrm.com*.aadrm.com
*. azurerms.com*.azurerms.com
*. informationprotection.azure.com*.informationprotection.azure.com
informationprotection.hosting.portal.azure.netinformationprotection.hosting.portal.azure.net
*. aria.microsoft.com*.aria.microsoft.com
*. protection.outlook.com (skanner från endast Unified Labeling-klienten)*.protection.outlook.com (scanner from the unified labeling client only)
Tjänst konto för att köra skanner tjänstenService account to run the scanner service Förutom att köra skanner tjänsten på Windows Server-datorn, autentiserar det här Windows-kontot Azure AD och laddar ned den Azure Information Protection principen.In addition to running the scanner service on the Windows Server computer, this Windows account authenticates to Azure AD and downloads the Azure Information Protection policy. Kontot måste vara ett Active Directory konto och synkroniserat med Azure AD.This account must be an Active Directory account and synchronized to Azure AD. Om du inte kan synkronisera det här kontot på grund av dina organisations principer, se avsnittet distribuera skannern med alternativa konfigurationer .If you cannot synchronize this account because of your organization policies, see the Deploying the scanner with alternative configurations section.

Det här tjänst kontot har följande krav:This service account has the following requirements:

- Logga in lokalt användar rättighets tilldelning.- Log on locally user right assignment. Den här behörigheten krävs för installation och konfiguration av skannern, men inte för åtgärd.This right is required for the installation and configuration of the scanner, but not for operation. Du måste ge den här behörigheten till tjänst kontot, men du kan ta bort den här direkt när du har bekräftat att skannern kan identifiera, klassificera och skydda filer.You must grant this right to the service account but you can remove this right after you have confirmed that the scanner can discover, classify, and protect files. Om det inte går att bevilja den här behörigheten även under en kort tids period, kan du se avsnittet distribuera skannern med alternativa konfigurationer .If granting this right even for a short period of time is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section.

- Logga in som en tjänst användar rättighets tilldelning.- Log on as a service user right assignment. Den här rättigheten beviljas automatiskt till tjänst kontot under skanner installationen och den här behörigheten krävs för installation, konfiguration och drift av skannern.This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.

-Behörigheter till data centralerna:- Permissions to the data repositories:

Fil resurser eller lokala filer: du måste bevilja Läs -och Skriv -och ändrings behörigheter för att genomsöka filerna och sedan tillämpa klassificering och skydd på filerna som uppfyller villkoren i Azure information Protections principen.File shares or local files: You must grant Read and Write and Modify permissions for scanning the files and then applying classification and protection to the files that meet the conditions in the Azure Information Protection policy.

SharePoint: du måste ge fullständig behörighet för att genomsöka filerna och sedan tillämpa klassificering och skydd på filerna som uppfyller villkoren i Azure information Protections principen.SharePoint: You must grant Full Control permissions for scanning the files, and then applying classification and protection to the files that meet the conditions in the Azure Information Protection policy.

Läs behörighet räcker bara för att köra skannern i identifierings läge.To run the scanner in discovery mode only, Read permission is sufficient.

– För etiketter som skyddar eller tar bort skydd: se till att skannern alltid har åtkomst till skyddade filer genom att göra det här kontot till en superanvändare för Azure information Protection och se till att funktionen Super User är aktive rad.- For labels that reprotect or remove protection: To ensure that the scanner always has access to protected files, make this account a super user for Azure Information Protection, and ensure that the super user feature is enabled. Om du har implementerat onboarding-kontroller för en stegvis distribution måste du dessutom se till att det här kontot ingår i dina onboarding-kontroller som du har konfigurerat.In addition, if you have implemented onboarding controls for a phased deployment, make sure that this account is included in your onboarding controls you've configured.
SQL Server att lagra skanner konfigurationen:SQL Server to store the scanner configuration:

-Lokal instans eller fjärrinstans- Local or remote instance

- Skift läges känslig sortering- Case insensitive collation

Sysadmin-roll för att installera skannernSysadmin role to install the scanner
SQL Server 2012 är den lägsta versionen för följande versioner:SQL Server 2012 is the minimum version for the following editions:

-SQL Server Enterprise- SQL Server Enterprise

-SQL Server Standard- SQL Server Standard

-SQL Server Express- SQL Server Express

Azure Information Protection-skannern stöder flera konfigurations databaser på samma SQL Server-instans när du anger ett anpassat kluster namn (profil) för skannern.The Azure Information Protection scanner supports multiple configuration databases on the same SQL server instance when you specify a custom cluster (profile) name for the scanner. När du använder för hands versionen av skannern från klienten för enhetlig märkning kan flera skannrar dela samma konfigurations databas.When you use the preview version of the scanner from the unified labeling client, multiple scanners can share the same configuration database.

När du installerar skannern och ditt konto har sysadmin-rollen skapar installations processen automatiskt skanner konfigurations databasen och tilldelar den nödvändiga db_owner rollen till det tjänst konto som kör skannern.When you install the scanner and your account has the Sysadmin role, the installation process automatically creates the scanner configuration database and grants the required db_owner role to the service account that runs the scanner. Om du inte kan beviljas sysadmin-rollen eller om dina organisations principer kräver att databaser skapas och konfigureras manuellt, se avsnittet distribuera skannern med alternativa konfigurationer .If you cannot be granted the Sysadmin role or your organization policies require databases to be created and configured manually, see the Deploying the scanner with alternative configurations section.

För kapacitets vägledning, se lagrings krav och kapacitets planering för SQL Server.For capacity guidance, see Storage requirements and capacity planning for SQL Server.
Någon av följande Azure Information Protection-klienter är installerade på Windows Server-datornEither of the following Azure Information Protection clients is installed on the Windows Server computer

– Klassisk klient- Classic client

– Enhetlig märknings klient (endast aktuell allmän tillgänglighets version)- Unified labeling client (current general availability version only)
Du måste installera den fullständiga klienten för skannern.You must install the full client for the scanner. Installera inte-klienten med bara PowerShell-modulen.Do not install the client with just the PowerShell module.

För installations-och uppgraderings instruktioner:For installation and upgrade instructions:
- Klassisk klient- Classic client
- Enhetlig märknings klient- Unified labeling client
Konfigurerade etiketter som tillämpar automatisk klassificering och eventuellt skyddConfigured labels that apply automatic classification, and optionally, protection Instruktioner för den klassiska klienten för att konfigurera en etikett för villkor och tillämpa skydd:For instructions for the classic client to configure a label for conditions and to apply protection:
- Konfigurera villkor för automatisk och Rekommenderad klassificering- How to configure conditions for automatic and recommended classification
- Konfigurera en etikett för Rights Management skydd- How to configure a label for Rights Management protection

Tips: du kan använda instruktionerna från självstudien för att testa skannern med en etikett som söker efter kreditkorts nummer i ett för berett Word-dokument.Tip: You can use the instructions from the tutorial to test the scanner with a label that looks for credit card numbers in a prepared Word document. Du måste dock ändra etikett konfigurationen så att alternativet Välj hur etiketten används är inställt på Automatisk, i stället för rekommenderade eller Hantera rekommenderade etiketter som automatiskt (finns i skanner version 2.7. x. x och senare).However, you will need to change the label configuration so that the option Select how this label is applied is set to Automatic, rather than Recommended or treat recommended labeling as automatic (available in scanner version 2.7.x.x and above). Ta sedan bort etiketten från dokumentet (om det används) och kopiera filen till ett data lager för skannern.Then remove the label from the document (if it is applied) and copy the file to a data repository for the scanner. För snabb testning kan detta vara en lokal mapp på skanner datorn.For quick testing, this could be a local folder on the scanner computer.

Instruktioner för den enhetliga märknings klienten för att konfigurera en etikett för automatisk märkning och tillämpa skydd:For instructions for the unified labeling client to configure a label for auto-labeling and to apply protection:
- Använda en känslighets etikett för innehåll automatiskt- Apply a sensitivity label to content automatically
- Begränsa åtkomsten till innehåll med hjälp av kryptering i känslighets etiketter- Restrict access to content by using encryption in sensitivity labels

Även om du kan köra skannern även om du inte har konfigurerat etiketter som tillämpar automatisk klassificering, omfattas det här scenariot inte av dessa instruktioner.Although you can run the scanner even if you haven't configured labels that apply automatic classification, this scenario is not covered with these instructions. Mer informationMore information
För SharePoint-dokumentbibliotek och mappar som ska genomsökas:For SharePoint document libraries and folders to be scanned:

– SharePoint 2019- SharePoint 2019

– SharePoint 2016- SharePoint 2016

– SharePoint 2013- SharePoint 2013

– SharePoint 2010- SharePoint 2010
Det finns inte stöd för andra versioner av SharePoint för skannern.Other versions of SharePoint are not supported for the scanner.

När du använder versions hanteringkontrollerar scannern och etiketter den senast publicerade versionen.When you use versioning, the scanner inspects and labels the last published version. Om skannern märker att en fil och innehålls godkännande krävs måste den märkta filen vara godkänd för att vara tillgänglig för användarna.If the scanner labels a file and content approval is required, that labeled file must be approved to be available for users.

För stora SharePoint-grupper kontrollerar du om du behöver öka tröskelvärdet för listvyn (som standard 5 000) för att få åtkomst till alla filer.For large SharePoint farms, check whether you need to increase the list view threshold (by default, 5,000) for the scanner to access all files. Mer information finns i följande SharePoint-dokumentation: hantera stora listor och bibliotek i SharePointFor more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint
För att Office-dokument ska genomsökas:For Office documents to be scanned:

– 97-2003 fil format och Office Open XML-format för Word, Excel och PowerPoint- 97-2003 file formats and Office Open XML formats for Word, Excel, and PowerPoint
Mer information om de filtyper som skannern stöder för dessa fil format finns i följande information:For more information about the file types that the scanner supports for these file formats, see the following information:
– Klassisk klient: filtyper som stöds av den Azure information Protection klienten- Classic client: File types supported by the Azure Information Protection client
– Enhetlig märknings klient: filtyper som stöds av Azure information Protection Unified Labeling-klienten- Unified labeling client: File types supported by the Azure Information Protection unified labeling client
För långa sökvägar:For long paths:

– Högst 260 tecken, om inte skannern är installerad på Windows 2016 och datorn har kon figurer ATS för att stödja långa sökvägar- Maximum of 260 characters, unless the scanner is installed on Windows 2016 and the computer is configured to support long paths
Sökvägen till Windows 10 och Windows Server 2016 har en längd på fler än 260 tecken med följande grup princip inställning: lokal dator princip > dator konfiguration > administrativa mallar > alla inställningar > Aktivera Win32 långa sökvägarWindows 10 and Windows Server 2016 support path lengths greater than 260 characters with the following group policy setting: Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Mer information om stöd för långa fil Sök vägar finns i avsnittet begränsning av Sök vägs längd från Windows 10 Developer-dokumentationen.For more information about supporting long file paths, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.
Användnings statistikUsage statistics Se till att antingen inaktivera alternativet att skicka användnings statistik till Microsoft genom att ange parametern AllowTelemetry till 0, eller se till att förbättra Azure information Protection genom att skicka användnings statistik till Microsoft alternativ är omarkerad under skanner installationen.Make sure to either disable the option of sending of usage statistics to Microsoft by setting the AllowTelemetry parameter to 0, or ensure the Help improve Azure Information Protection by sending usage statistics to Microsoft option remains unselected during the scanner installation process.

Om du inte kan uppfylla alla krav i tabellen eftersom de är förbjudna av dina organisations principer, se avsnittet alternativa konfigurationer .If you can't meet all the requirements in the table because they are prohibited by your organization policies, see the alternative configurations section.

När du distribuerar skannern i produktion, eller om du testar prestanda för flera skannrar, kan du läsa mer i nästa avsnitt för vägledning för kapacitets planering för SQL Server.When you deploy the scanner in production, or you're testing the performance for multiple scanners, see the next section for capacity planning guidance for SQL Server.

Men om du är redo att börja distribuera skannern går du direkt till Konfigurera skanner avsnittet.However, if you're ready to start deploying the scanner, go straight to configuring the scanner section.

Lagrings krav och kapacitets planering för SQL ServerStorage requirements and capacity planning for SQL Server

Mängden disk utrymme som krävs för skannerns konfigurations databas och specifikationen av datorn som kör SQL Server kan variera för varje miljö, så vi rekommenderar att du gör dina egna tester.The amount of disk space required for the scanner's configuration database and the specification of the computer running SQL Server can vary for each environment, so we encourage you to do your own testing. Du kan dock använda följande vägledning som utgångs punkt.However, you can use the following guidance as a starting point.

Mer information finns i avsnittet optimera prestanda för skannern .See the Optimizing the performance of the scanner section for additional information.

Skanner från den klassiska klienten:Scanner from the classic client:
  • Disk storlek: storleken på konfigurations databasen varierar för varje distribution, men vi rekommenderar att du allokerar 500 MB för varje 1 000 000-filer som du vill genomsöka.Disk size: The size of the configuration database will vary for each deployment but we recommend you allocate 500 MB for every 1,000,000 files that you want to scan.

  • För varje skanner: 4 kärnor-processorer; 8 GB RAM rekommenderas (minst 4 GB).For each scanner: 4 core processors; 8 GB RAM recommended (4 GB minimum).

Skanner från den enhetliga märknings klienten:Scanner from the unified labeling client:
  • Disk storlek: även om storleken på konfigurations databasen för skannern kommer att variera för varje distribution kan du använda följande ekvation som vägledning: 100 KB + <file count> *(1000 + 4*<average file name length>) .Disk size: Although the size of the scanner configuration database will vary for each deployment, you can use the following equation as guidance: 100 KB + <file count> *(1000 + 4*<average file name length>).

    Om du till exempel vill skanna 1 000 000-filer med en genomsnittlig fil namns längd på 250 byte, allokera 2 GB disk utrymme.For example, to scan 1 million files that have an average file name length of 250 bytes, allocate 2 GB disk space.

  • För flera skannrar, upp till 10: 4 kärnor, 8 GB RAM rekommenderas.For multiple scanners, up to 10: 4 core processors; 8 GB RAM recommended.

  • För flera skannrar över 10 (maximalt 40): 8 kärnor, 16 GB RAM rekommenderas.For multiple scanners more than 10 (maximum 40): 8 core processes; 16 GB RAM recommended.

Distribuera skannern med alternativa konfigurationerDeploying the scanner with alternative configurations

De krav som anges i tabellen är standard kraven för skannern och rekommenderas eftersom de är den enklaste konfigurationen för skanner distributionen.The prerequisites listed in the table are the default requirements for the scanner and recommended because they are the simplest configuration for the scanner deployment. De bör vara lämpliga för inledande testning, så att du kan kontrol lera skannerns funktioner.They should be suitable for initial testing, so that you can check the capabilities of the scanner. I en produkt miljö kan dock organisations principerna förhindra dessa standard krav på grund av en eller flera av följande begränsningar:However, in a product environment, your organization policies might prohibit these default requirements because of one or more of the following restrictions:

  • Servrar är inte tillåtna Internet anslutningarServers are not allowed internet connectivity

  • Du kan inte beviljas Sysadmin eller så måste databaser skapas och konfigureras manuelltYou cannot be granted Sysadmin or databases must be created and configured manually

  • Det går inte att bevilja tjänst konton behörigheten lokal inloggningService accounts cannot be granted the Log on locally right

  • Det går inte att synkronisera tjänst konton till Azure Active Directory men servrar har Internet anslutningService accounts cannot be synchronized to Azure Active Directory but servers have internet connectivity

Skannern kan hantera dessa begränsningar, men de kräver ytterligare konfiguration.The scanner can accommodate these restrictions but they require additional configuration.

Begränsning: skanner servern kan inte vara ansluten till InternetRestriction: The scanner server cannot have internet connectivity

Följ anvisningarna från administratörs guiderna för att stödja en frånkopplad dator:Follow the instructions from the admin guides to support a disconnected computer:

  • För den klassiska klienten: stöd för frånkopplade datorerFor the classic client: Support for disconnected computers

    I den här konfigurationen kan inte skannern från den klassiska klienten tillämpa skydd, ta bort skyddet eller granska skyddade filer med hjälp av organisationens molnbaserade nyckel.In this configuration, the scanner from the classic client cannot apply protection, remove protection, or inspect protected files by using your organization's cloud-based key. I stället är skannern begränsad till att använda etiketter som endast tillämpar klassificering, eller tillämpa skydd som använder HYOKInstead, the scanner is limited to using labels that apply classification only, or apply protection that uses HYOK

  • För den enhetliga märknings klienten: den enhetliga etikett klienten kan inte använda skydd utan en online-anslutning.For the unified labeling client: the unified labeling client cannot apply protection without an online connection.

    Skannern från den enhetliga märknings klienten kan använda etiketter baserade på principer som importer ATS med cmdleten import-AIPScannerConfiguration .The scanner from the unified labeling client can apply labels based on policies imported using Import-AIPScannerConfiguration cmdlet.

Gör sedan följande:Then, do the following:

  1. Konfigurera skannern i Azure Portal genom att skapa ett skanner kluster.Configure the scanner in the Azure portal, by creating a scanner cluster. Om du behöver hjälp med det här steget kan du läsa Konfigurera skannern i Azure Portal.If you need help with this step, see Configure the scanner in the Azure portal.

  2. Exportera ditt innehålls jobb från fönstret Azure information Protection-innehålls genomsöknings jobb med hjälp av alternativet Exportera .Export your content job from the Azure Information Protection - Content scan jobs pane, by using the Export option.

  3. I en PowerShell-session kör du slutligen import-AIPScannerConfiguration och anger den fil som innehåller de exporterade inställningarna.Finally, in a PowerShell session, run Import-AIPScannerConfiguration and specify the file that contains the exported settings.

Begränsning: du kan inte beviljas sysadmin eller databaser måste skapas och konfigureras manuelltRestriction: You cannot be granted Sysadmin or databases must be created and configured manually

Om du kan beviljas sysadmin-rollen temporärt för att installera skannern kan du ta bort rollen när skanner installationen är klar.If you can be granted the Sysadmin role temporarily to install the scanner, you can remove this role when the scanner installation is complete. När du använder den här konfigurationen skapas databasen automatiskt åt dig och tjänst kontot för skannern beviljas automatiskt de behörigheter som krävs.When you use this configuration, the database is automatically created for you and the service account for the scanner is automatically granted the required permissions. Det användar konto som konfigurerar skannern kräver dock att db_owner rollen för skanner konfigurations databasen, och du måste tilldela rollen till användar kontot manuellt.However, the user account that configures the scanner requires the db_owner role for the scanner configuration database, and you must manually grant this role to the user account.

Om du inte kan beviljas sysadmin-rollen temporärt måste du be en användare med sysadmin-behörighet att manuellt skapa en databas innan du installerar skannern.If you cannot be granted the Sysadmin role even temporarily, you must ask a user with Sysadmin rights to manually create a database before you install the scanner. För den här konfigurationen måste följande roller tilldelas:For this configuration, the following roles must be assigned:

KontoAccount Roll på databas nivåDatabase-level role
Tjänst konto för skannernService account for the scanner db_ownerdb_owner
Användar konto för installation av skannerUser account for scanner installation db_ownerdb_owner
Användar konto för skanner konfigurationUser account for scanner configuration db_ownerdb_owner

Normalt använder du samma användar konto för att installera och konfigurera skannern.Typically, you will use the same user account to install and configure the scanner. Men om du använder olika konton behöver båda båda db_owner rollen för skanner konfigurations databasen:But if you use different accounts, they both require the db_owner role for the scanner configuration database:

  • För den klassiska klienten:For the classic client:

    Om du inte anger ditt eget kluster namn (profil) för skannern heter konfigurations databasen **AIPScanner_ <computer_name> **(endast klassisk klient).If you do not specify your own cluster (profile) name for the scanner , the configuration database is named AIPScanner_<computer_name>(classic client only). Fortsätt till följande steg när du skapar en användare och beviljar db_owner behörighet för databasen.Continue to the following step of creating a user and granting db_owner rights on the database.

  • För den enhetliga märknings klienten:For the unified labeling client:

    Om du anger ett eget kluster namn (profil) heter konfigurations databasen AIPScannerUL_<cluster_name> (Unified Labeling-klienten).If you specify your own cluster (profile) name, the configuration database is named AIPScannerUL_<cluster_name> (unified labeling client).

    Fyll i databasen med följande skript:Populate the database using the following script:

    om det inte finns (Select * from Master. sys. server_principals där sid = SUSER_SID (' domän \ användare ')) börjar deklarera @T nvarchar (500) Set @T = ' Skapa inloggning ' + quotename (' domän \ användare ') + ' från slutet av Windows ' exec ( @T )if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

Om du vill skapa en användare och bevilja db_owner behörigheter för den här databasen ber du sysadmin att göra följande:To create a user and grant db_owner rights on this database, ask the Sysadmin to do the following:

  1. Skapa en databas för skanner:Create a DB for scanner:
    Skapa databas AIPScannerUL_ [kluster namn] Alter Database AIPScannerUL_ [kluster namn] set betrodd påCREATE DATABASE AIPScannerUL_[clustername] ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON

    • Det här steget är valfritt men ger support för att felsöka enklare om det behövs.This step is optional but allows support to troubleshoot more easily if needed.
  2. Bevilja behörighet till den användare som kör installations kommandot och som används för att köra kommandon för skanner hantering:Grant rights to the user that runs the install command and that is used to run scanner management commands:

SQL-skript:SQL script:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
  1. Ge behörighet till tjänst kontot för skannern:Grant rights to scanner service account:

SQL-skript:SQL script:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

Dessutom:Additionally:

  • Du måste vara lokal administratör på den server som ska köra skannernYou must be a local administrator on the server that will run the scanner

  • Det tjänst konto som ska köra skannern måste beviljas fullständig behörighet till följande register nycklar:The service account that will run the scanner must be granted Full Control permissions to the following registry keys:

    • HKEY_LOCAL_MACHINE \SOFTWARE\WOW6432Node\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Om du efter att ha konfigurerat de här behörigheterna visas ett fel när du installerar skannern, kan felet ignoreras och du kan starta skanner tjänsten manuellt.If, after configuring these permissions, you see an error when you install the scanner, the error can be ignored and you can manually start the scanner service.

Begränsning: tjänst kontot för skannern kan inte beviljas inloggning lokaltRestriction: The service account for the scanner cannot be granted the Log on locally right

Om dina organisations principer förbjuder inloggningen lokalt för tjänst konton, men tillåt inloggning som batch-jobb rätt, använder du följande instruktioner:If your organization policies prohibit the Log on locally right for service accounts but allow the Log on as a batch job right, use the following instructions:

Begränsning: det går inte att synkronisera skanner tjänst kontot till Azure Active Directory men servern är ansluten till InternetRestriction: The scanner service account cannot be synchronized to Azure Active Directory but the server has internet connectivity

Du kan ha ett konto för att köra skanner tjänsten och använda ett annat konto för att autentisera till Azure Active Directory:You can have one account to run the scanner service and use another account to authenticate to Azure Active Directory:

Konfigurera skannern i Azure PortalConfigure the scanner in the Azure portal

Innan du installerar skannern, eller uppgraderar den från en äldre version av skannern, skapar du ett kluster och ett innehålls skannings jobb för skannern i Azure Portal.Before you install the scanner, or upgrade it from an older general availability version of the scanner, create a cluster and content scan job for the scanner in the Azure portal. Du konfigurerar kluster och innehålls skannings jobb för skanner inställningar och data lagrings platser som ska genomsökas.You configure the cluster and content scan job for scanner settings, and the data repositories to scan.

  1. Om du inte redan gjort det loggar du in på Azure Portal.If you haven't already done so, open a new browser window and sign in to the Azure portal. Gå sedan till rutan Azure information Protection .Then navigate to the Azure Information Protection pane.

    Till exempel i sökrutan för resurser, tjänster och dokument: börja skriva information och välj Azure information Protection.For example, in the search box for resources, services, and docs: Start typing Information and select Azure Information Protection.

  2. Leta upp meny alternativen för skanner och välj kluster.Locate the Scanner menu options, and select Clusters.

  3. I fönstret Azure information Protection-kluster väljer du Lägg till:On the Azure Information Protection - Clusters pane, select Add:

    Lägg till innehålls skannings jobb för Azure Information Protection-skannern

  4. I fönstret Lägg till ett nytt kluster anger du ett namn för den skanner som används för att identifiera konfigurations inställningar och data lager som ska genomsökas.On the Add a new cluster pane, specify a name for the scanner that is used to identify its configuration settings and data repositories to scan. Du kan till exempel ange Europa för att identifiera den geografiska platsen för de data lager som ska gälla för din skanner.For example, you might specify Europe to identify the geographical location of the data repositories that your scanner will cover. När du senare installerar eller uppgraderar skannern måste du ange samma kluster namn.When you later install or upgrade the scanner, you will need to specify the same cluster name.

    Alternativt kan du ange en beskrivning för administrations syfte för att hjälpa dig att identifiera skannerns kluster namn.Optionally, specify a description for administrative purposes, to help you identify the scanner's cluster name.

    Välj Spara.Select Save.

  5. Leta upp meny alternativen för skanner och välj jobb för innehålls genomsökning.Locate the Scanner menu options, and select Content scan jobs.

  6. I fönstret Azure information Protection-innehålls skannings jobb väljer du Lägg till.On the Azure Information Protection - Content scan jobs pane, select Add.

  7. Konfigurera följande inställningar för den här inledande konfigurationen och välj Spara men Stäng inte fönstret:For this initial configuration, configure the following settings, and then select Save but do not close the pane:

    För avsnittet jobb inställningar för innehålls genomsökning :For the Content scan job settings section:

    • Schema: Behåll standardvärdet manuelltSchedule: Keep the default of Manual
    • Informations typer som ska identifieras: ändra till endast principInfo types to be discovered: Change to Policy only
    • Konfigurera databaser: Konfigurera inte just nu eftersom innehålls skannings jobbet måste sparas först.Configure repositories: Do not configure at this time because the content scan job must first be saved.

    För avsnittet princip tillämpning :For the Policy enforcement section:

    • Framtvinga: Välj avEnforce: Select Off
    • Etikettfiler baserat på innehåll: Behåll standardvärdet Label files based on content: Keep the default of On
    • Standard etikett: Behåll standard princip standardDefault label: Keep the default of Policy default
    • Ometikettering av filer: Behåll standardvärdetRelabel files: Keep the default of Off

    I avsnittet Konfigurera fil inställningar :For the Configure file settings section:

    • Bevara "ändrad den", "senast ändrad" och "ändrat av": Behåll standardvärdet Preserve "Date modified", "Last modified" and "Modified by": Keep the default of On
    • Filtyper som ska genomsökas: Behåll de standard fil typer som ska undantasFile types to scan: Keep the default file types for Exclude
    • Standard ägare: Behåll standard kontot för skannerDefault owner: Keep the default of Scanner Account
  8. Nu när jobbet för innehålls genomsökning skapas och sparas, är du redo att gå tillbaka till alternativet Konfigurera databaser för att ange de data lager som ska genomsökas.Now that the content scan job is created and saved, you're ready to return to the Configure repositories option to specify the data stores to be scanned. Du kan ange lokala mappar, UNC-sökvägar och SharePoint Server-URL: er för SharePoint-lokala dokument bibliotek och mappar.You can specify local folders, UNC paths, and SharePoint Server URLs for SharePoint on-premises document libraries and folders.

    SharePoint Server 2019, SharePoint Server 2016 och SharePoint Server 2013 stöds för SharePoint.SharePoint Server 2019, SharePoint Server 2016, and SharePoint Server 2013 are supported for SharePoint. SharePoint Server 2010 stöds också när du har utökat stöd för den här versionen av SharePoint.SharePoint Server 2010 is also supported when you have extended support for this version of SharePoint.

    Om du vill lägga till ditt första data lager går du till fönstret Lägg till ett nytt innehålls skannings jobb och väljer Konfigurera databaser för att öppna fönstret databaser :To add your first data store, while on the Add a new content scan job pane, select Configure repositories to open the Repositories pane:

    Konfigurera data centraler för Azure Information Protection-skannern

  9. I fönstret databaser väljer du Lägg till:On the Repositories pane, select Add:

    Lägg till data lagrings plats för Azure Information Protection-skannern

  10. I fönstret databas anger du sökvägen till data lagrings platsen.On the Repository pane, specify the path for the data repository.

    Jokertecken stöds inte och WebDav-platser stöds inte.Wildcards are not supported and WebDav locations are not supported.

    Exempel:Examples:

    • För en lokal sökväg:C:\FolderFor a local path: C:\Folder

    • För en nätverks resurs:C:\Folder\FilenameFor a network share: C:\Folder\Filename

    • För en UNC-sökväg:\\Server\FolderFor a UNC path:\\Server\Folder

    • För ett SharePoint-bibliotek:http://sharepoint.contoso.com/Shared%20Documents/FolderFor a SharePoint library: http://sharepoint.contoso.com/Shared%20Documents/Folder

    Tips

    Om du lägger till en SharePoint-sökväg för "delade dokument":If you add a SharePoint path for "Shared Documents":

    • Ange delade dokument i sökvägen när du vill genomsöka alla dokument och alla mappar från delade dokument.Specify Shared Documents in the path when you want to scan all documents and all folders from Shared Documents. Exempelvis: http://sp2013/Shared DocumentsFor example: http://sp2013/Shared Documents

    • Ange dokument i sökvägen när du vill genomsöka alla dokument och alla mappar från en undermapp under delade dokument.Specify Documents in the path when you want to scan all documents and all folders from a subfolder under Shared Documents. Exempelvis: http://sp2013/Documents/Sales ReportsFor example: http://sp2013/Documents/Sales Reports

    Ändra inte inställningarna för den här inledande konfigurationen för de återstående inställningarna i fönstret, men behåll dem som standard för innehålls genomsökning.For the remaining settings on this pane, do not change them for this initial configuration, but keep them as Content scan job default. Det innebär att data lagringen ärver inställningarna från innehålls skannings jobbet.This means that the data repository inherits the settings from the content scan job.

    Välj Spara.Select Save.

Viktigt

Även om det lokala fil systemet kan genomsökas, rekommenderas inte den här konfigurationen för produktions distributioner och kan bara användas i kluster med en nod.While the local file system can be scanned, this configuration is not recommended for production deployments and can only be used in single node clusters. Det finns inte stöd för genomsökning av lokala mappar i kluster med flera noder.Scanning of local folders by multi-node clusters is not supported. Om du behöver söka igenom en mapp i det lokala fil systemet rekommenderar vi att du skapar en resurs och skannar den med hjälp av en nätverks-URL.If you need to scan a folder on the local file system, we recommend creating a share, and scanning it using a network URL.

  1. Upprepa steg 8 och 9 om du vill lägga till ett annat data lager.If you want to add another data repository, repeat steps 8 and 9.

  2. Nu kan du stänga fönstret databaser och jobb fönstret innehålls genomsökning .You can now close the Repositories pane and the content scan job pane. I fönstret Azure information Protection-innehålls skannings jobb visas namnet på din innehålls skanning tillsammans med kolumnen schema med manuell och kolumnen Använd är tom.Back on the Azure Information Protection - Content scan job pane, your content scan name is displayed, together with the SCHEDULE column showing Manual and the ENFORCE column is blank.

Nu är du redo att installera skannern med det jobb för innehålls genomsökning som du precis har skapat.You're now ready to install the scanner with the content scanner job that you've just created.

Installera skannernInstall the scanner

  1. Logga in på den Windows Server-dator som ska köra skannern.Sign in to the Windows Server computer that will run the scanner. Använd ett konto som har lokal administratörs behörighet och som har behörighet att skriva till SQL Server Master-databasen.Use an account that has local administrator rights and that has permissions to write to the SQL Server master database.

  2. Öppna en Windows PowerShell-session med alternativet Kör som administratör .Open a Windows PowerShell session with the Run as an administrator option.

  3. Kör cmdleten install-AIPScanner och ange SQL Server-instansen där du vill skapa en databas för Azure information Protection-skannern och det namn på skanner kluster som du angav i föregående avsnitt:Run the Install-AIPScanner cmdlet, specifying your SQL Server instance on which to create a database for the Azure Information Protection scanner, and the scanner cluster name that you specified in the preceding section:

    Install-AIPScanner -SqlServerInstance <name> -Profile <cluster name>
    

    Exempel med profil namnet för Europa:Examples, using the profile name of Europe:

    • För en standard instans:Install-AIPScanner -SqlServerInstance SQLSERVER1 -Profile EuropeFor a default instance: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Profile Europe

    • För en namngiven instans:Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Profile EuropeFor a named instance: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Profile Europe

    • För SQL Server Express:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Profile EuropeFor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Profile Europe

    När du uppmanas till det anger du autentiseringsuppgifterna för tjänst kontot för skannern ( <domain\user name> ) och lösen ordet.When you are prompted, provide the credentials for the scanner service account (<domain\user name>) and password.

  4. Kontrol lera att tjänsten nu har installerats med hjälp av administrations verktyg > tjänster.Verify that the service is now installed by using Administrative Tools > Services.

    Den installerade tjänsten heter Azure information Protection Scanner och är konfigurerad att köras med hjälp av det tjänst konto för skanner som du har skapat.The installed service is named Azure Information Protection Scanner and is configured to run by using the scanner service account that you created.

Nu när du har installerat skannern måste du skaffa en Azure AD-token för skanner tjänst kontot för att kunna autentisera, så att skannern kan köras obevakad.Now that you have installed the scanner, you need to get an Azure AD token for the scanner service account to authenticate, so that the scanner can run unattended.

Hämta en Azure AD-token för skannernGet an Azure AD token for the scanner

Azure AD-token gör att skannern kan autentiseras för Azure Information Protection tjänsten.The Azure AD token lets the scanner authenticate to the Azure Information Protection service.

  1. Gå tillbaka till Azure Portal för att skapa två Azure AD-program (bara ett Azure AD-program för skannern från den enhetliga etikett klienten) som behövs för att ange en åtkomsttoken för autentisering.Return to the Azure portal to create two Azure AD applications (just one Azure AD application for the scanner from the unified labeling client) that are needed to specify an access token for authentication. Med den här token kan skannern köras icke-interaktivt.This token lets the scanner run non-interactively.

    Om du vill skapa dessa program följer du anvisningarna i administrations guiderna för relevanta klienter:To create these applications, follow the instructions in the admin guides for the relevant clients:

  2. Från Windows Server-datorn, om ditt tjänst konto för skannern har beviljats inloggnings rättigheter lokalt för installationen: Logga in med det här kontot och starta en PowerShell-session.From the Windows Server computer, if your scanner service account has been granted the Log on locally right for the installation: Sign in with this account and start a PowerShell session. Kör set-AIPAuthenticationoch ange de värden som du kopierade från föregående steg:Run Set-AIPAuthentication, specifying the values that you copied from the previous step:

    För den klassiska klienten:For the classic client:

    Set-AIPAuthentication -webAppId <ID of the "Web app / API" application> -webAppKey <key value generated in the "Web app / API" application> -nativeAppId <ID of the "Native" application>
    

    När du uppmanas till det anger du lösen ordet för ditt tjänst kontos autentiseringsuppgifter för Azure AD och klickar sedan på acceptera.When prompted, specify the password for your service account credentials for Azure AD, and then click Accept.

    Om tjänst kontot för skannern inte kan beviljas inloggnings rättigheten lokalt för installationen ser du Ange och använder parametern token för set-AIPAuthentication från klientens administratörs guide.If your scanner service account cannot be granted the Log on locally right for the installation see Specify and use the Token parameter for Set-AIPAuthentication from that client's admin guide.

    Exempel på klassiskt klient:Classic client example:

    Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "+LBkMvddz?WrlNCK5v0e6_=meM59sSAn" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip
    Acquired application access token on behalf of the user
    

    För den enhetliga märknings klienten:For the unified labeling client:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Om ditt tjänst konto för skannern inte kan beviljas inloggnings rättigheter lokalt för installationen, använder du parametern OnBehalfOf med set-AIPAuthentication, enligt beskrivningen i så här märks filer som inte interaktivt för Azure information Protection från klientens administratörs guide.If your scanner service account cannot be granted the Log on locally right for the installation, use the OnBehalfOf parameter with Set-AIPAuthentication, as described in How to label files non-interactively for Azure Information Protection from that client's admin guide.

    Exempel på enhetlig märkning av klient:Unified labeling client example:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

Skannern har nu en token för att autentisera till Azure AD, vilket är giltigt i ett år, två år eller aldrig upphör att gälla, enligt din konfiguration av /API (klassisk klient) eller klient hemlighet (Unified Labeling-klienten) i Azure AD.The scanner now has a token to authenticate to Azure AD, which is valid for one year, two years, or never expires, according to your configuration of the Web app /API (classic client) or client secret (unified labeling client) in Azure AD. När token går ut måste du upprepa steg 1 och 2.When the token expires, you must repeat steps 1 and 2.

Du är nu redo att köra din första genomsökning i identifierings läge.You're now ready to run your first scan in discovery mode.

Köra en identifieringscykel och visa rapporter för skannernRun a discovery cycle and view reports for the scanner

  1. I rutan Azure Portal går du till fönstret Azure information Protection-innehålls skannings jobb och väljer dina jobb för innehålls genomsökning och sedan alternativet Skanna nu :In the Azure portal, on the Azure Information Protection - Content scan jobs pane, select your content scan jobs, and then the Scan now option:

    Starta sökning efter Azure Information Protections läsaren

    Du kan också köra följande kommando i PowerShell-sessionen:Alternatively, in your PowerShell session, run the following command:

     Start-AIPScan
    
  2. Vänta tills skannern har slutfört cykeln.Wait for the scanner to complete its cycle. När skannern har crawlats genom alla filer i de data lager som du har angett, stoppas skannern även om skanner tjänsten fortfarande körs:When the scanner has crawled through all the files in the data stores that you specified, the scanner stops although the scanner service remains running:

    • I fönstret Azure information Protection-innehålls skannings jobb använder du alternativet Uppdatera och väntar tills du ser värdena för den senaste kolumnen för genomsöknings resultat och kolumnen senaste skanning (slut tid) .On the Azure Information Protection - Content scan jobs pane, use the Refresh option and wait until you see values for the LAST SCAN RESULTS column and the LAST SCAN (END TIME) column.

    • Med PowerShell kan du köra Get-AIPScannerStatus för att övervaka status ändringen.Using PowerShell, you can run Get-AIPScannerStatus to monitor the status change.

    • Skanner från den klassiska klienten: kontrol lera den lokala händelse loggen för Windows- program och-tjänster Azure information Protection.Scanner from the classic client only: Check the local Windows Applications and Services event log, Azure Information Protection. I den här loggen rapporteras även när genomsökningen har avslut ATS, med en sammanfattning av resultaten.This log also reports when the scanner has finished scanning, with a summary of results. Leta upp informations händelse-ID 911.Look for the informational event ID 911.

  3. Granska de rapporter som lagras i%localappdata% \ Microsoft\MSIP\Scanner\Reports.Review the reports that are stored in %localappdata%\Microsoft\MSIP\Scanner\Reports. I sammanfattnings filerna för. txt ingår den tid det tar att söka igenom, antalet genomsökta filer och hur många filer som hade en matchning för informations typerna.The .txt summary files include the time taken to scan, the number of scanned files, and how many files had a match for the information types. CSV-filerna innehåller mer information om varje fil.The .csv files have more details for each file. I den här mappen lagras upp till 60 rapporter för varje genomsöknings cykel, men den senaste rapporten komprimeras för att minimera det nödvändiga disk utrymmet.This folder stores up to 60 reports for each scanning cycle and all but the latest report is compressed to help minimize the required disk space.

    Anteckning

    Du kan ändra loggnings nivån med hjälp av parametern ReportLevel med set-AIPScannerConfiguration, men du kan inte ändra platsen eller namnet för rapportmappen.You can change the level of logging by using the ReportLevel parameter with Set-AIPScannerConfiguration, but you can't change the report folder location or name. Överväg att använda en katalog koppling för mappen om du vill lagra rapporterna på en annan volym eller partition.Consider using a directory junction for the folder if you want to store the reports on a different volume or partition.

    Till exempel använder du kommandot MKLINK :mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\ReportsFor example, using the Mklink command: mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\Reports

    Med vår inställning av princip endast för informations typer som ska identifieras, ingår endast filer som uppfyller de villkor som du har konfigurerat för automatisk klassificering i de detaljerade rapporterna.With our setting of Policy only for Info types to be discovered, only files that meet the conditions you've configured for automatic classification are included in the detailed reports. Om du inte ser några etiketter som används, kontrollerar du att etikett konfigurationen inkluderar automatisk i stället för Rekommenderad klassificering, eller aktiverar Hantera rekommenderade etiketter som automatiskt (tillgängligt i Scanner version 2.7. x. x och senare).If you don't see any labels applied, check that your label configuration includes automatic rather than recommended classification, or enable Treat recommended labeling as automatic (available in scanner version 2.7.x.x and above).

    Tips

    Skannrar skickar den här informationen till Azure Information Protection var femte minut, så att du kan visa resultaten nästan i real tid från Azure Portal.Scanners send this information to Azure Information Protection every five minutes, so that you can view the results in near real-time from the Azure portal. Mer information finns i rapportering för Azure information Protection.For more information, see Reporting for Azure Information Protection.

    Om resultatet inte är som du förväntar dig kan du behöva konfigurera om de villkor som du har angett för etiketter.If the results are not as you expect, you might need to reconfigure the conditions that you specified for you labels. Om så är fallet upprepar du steg 1 till 3 tills du är redo att ändra konfigurationen så att den använder klassificeringen och eventuellt skydd.If that's the case, repeat steps 1 through 3 until you are ready to change the configuration to apply the classification and optionally, protection.

Azure Portal visar bara information om den senaste genomsökningen.The Azure portal displays information about the last scan only. Om du behöver se resultatet av tidigare genomsökningar går du tillbaka till de rapporter som lagras på skanner datorn i mappen%localappdata% \ Microsoft\MSIP\Scanner\Reports.If you need to see the results of previous scans, return to the reports that are stored on the scanner computer, in the %localappdata%\Microsoft\MSIP\Scanner\Reports folder.

När du är redo att automatiskt etikettera de filer som skannern identifierar fortsätter du till nästa procedur.When you're ready to automatically label the files that the scanner discovers, continue to the next procedure.

Konfigurera skannern för att tillämpa klassificering och skyddConfigure the scanner to apply classification and protection

Om du följer dessa anvisningar körs skannern en gång och i läget endast rapportering.If you are following these instructions, the scanner runs one time and in the reporting-only mode. Redigera innehålls skannings jobbet om du vill ändra inställningarna:To change these settings, edit the content scan job:

  1. I fönstret Azure information Protection-innehålls skannings jobb väljer du det kluster och innehålls skannings jobb som ska redige ras.Back on the Azure Information Protection - Content scan jobs pane, select the cluster and content scan job to edit it.

  2. <content scan job name>Ändra följande två inställningar i fönstret och välj sedan Spara:On the <content scan job name> pane, change the following two settings, and then select Save:

    • Från avsnittet innehåll genomsöknings jobb : ändra schemat till alltidFrom the Content scan job section: Change the Schedule to Always

    • I avsnittet princip tillämpning : ändra tvinga till From the Policy enforcement section: Change Enforce to On

      Det finns andra konfigurations inställningar som du kanske vill ändra.There are other configuration settings that you might want to change. Till exempel om filattribut ändras och om skannern kan byta etikett på filer.For example, whether file attributes are changed and whether the scanner can relabel files. Använd popup-hjälpen för information om du vill ha mer information om varje konfigurations inställning.Use the information popup help to learn more information about each configuration setting.

  3. Anteckna aktuell tid och starta skannern igen från fönstret Azure information Protection-innehålls genomsöknings jobb :Make a note of the current time and start the scanner again from the Azure Information Protection - Content scan jobs pane:

    Starta sökning efter Azure Information Protections läsaren

    Du kan också köra följande kommando i PowerShell-sessionen:Alternatively, you can run the following command in your PowerShell session:

     Start-AIPScan
    
  4. Skanner från den klassiska klienten: övervaka händelse loggen för informations typen 911 igen, med en tidstämpel senare än när du startade genomsökningen i föregående steg.Scanner from the classic client only: Monitor the event log for the informational type 911 again, with a time stamp later than when you started the scan in the previous step.

    Kontrol lera sedan rapporterna för att se information om vilka filer som har märkts, vilken klassificering som tillämpades på varje fil och om skyddet tillämpades för dem.Then check the reports to see details of which files were labeled, what classification was applied to each file, and whether protection was applied to them. Du kan också använda Azure Portal för att lättare se den här informationen.Or, use the Azure portal to more easily see this information.

Eftersom vi konfigurerade schemat för att köras kontinuerligt, startar det automatiskt en ny cykel när skannern har arbetat med alla filer, så att alla nya och ändrade filer identifieras.Because we configured the schedule to run continuously, when the scanner has worked its way through all the files, it automatically starts a new cycle so that any new and changed files are discovered.

Fel sökning med verktyget för skanner diagnostikTroubleshooting using scanner diagnostic tool

Om du vill felsöka problem med Scanner kör du följande kommando i PowerShell-sessionen:To troubleshoot issues with scanner, run the following command in your PowerShell session:

    Start-AIPScannerDiagnostics
  1. Kör bara kommandot-onbehalf% scanner_account%Only execute the command -onbehalf %scanner_account%
  2. Observera att det här kommandot inte är ett krav kontroll verktyg.Take note that this command is not a prerequisite checking tool. Verktyget kontrollerar om den aktuella skanner distributionen är felfri.The tool checks if the current scanner deployment is healthy. Se till att endast köra det här kommandot när skanner distributionen är klar och att profil konfigurationen är klar.Make sure to only execute this command after scanner deployment is complete and your profile configuration is complete.

Verktyget Diagnostic scanning kommer att utföras och sedan exportera loggar i följande kontroller:The diagnostic scanning tool will perform and then export logs on the following checks:

MarkeraCheck Möjligt resultatPossible result
Databas kontrollDatabase check är uppdaterad, är tillgängligis up to date, is accessible
Nätverks kontrollNetwork check URL: er är tillgängligaURLs are accessible
Verifierings kontrollAuthentication check token, princip kan hämtastoken, policy can be acquired
Profil kontrollProfile check profilen anges i Azure Portalprofile is set in Azure portal
Konfigurations kontrollConfiguration check konfigurationen offline/online finns och kan hämtasoffline/online configuration exists and can be acquired
Regel kontrollRules check är giltigaare valid

Stoppa en sökningStop a scan

Om du vill stoppa en genomsökning som du tidigare startade innan den är klar använder du alternativet stoppa genomsökningen från gränssnittet ellerTo stop a scan you previously started before it is complete, use the Stop scan option from the interface, or

Stoppa en sökning efter Azure Information Protection-skannern

Du kan också köra följande kommando i PowerShell-sessionen:Alternatively, you can run the following command in your PowerShell session:

    Stop-AIPScan 

Hur filer genomsöksHow files are scanned

Skannern körs genom följande processer när filer genomsöks.The scanner runs through the following processes when it scans files.

1. kontrol lera om filer tas med eller undantas för genomsökning1. Determine whether files are included or excluded for scanning

Skannern hoppar automatiskt över filer som undantas från klassificering och skydd, till exempel körbara filer och systemfiler.The scanner automatically skips files that are excluded from classification and protection, such as executable files and system files. Mer information finns i följande administrations guider:For more information, see the following admin guides:

Du kan ändra det här beteendet genom att definiera en lista över filtyper som ska genomsökas eller undantas från genomsökning.You can change this behavior by defining a list of file types to scan, or exclude from scanning. Du kan ange en lista för skannern som ska gälla för alla data centraler som standard, och du kan ange en lista för varje data lager.You can specify this list for the scanner to apply to all data repositories by default, and you can specify a list for each data repository. Om du vill ange den här listan använder du filtyper för att söka igenom inställningen i innehålls skannings jobbet:To specify this list, use the Files types to scan setting in the content scan job:

Konfigurera filtyper för genomsökning av Azure Information Protection-skannern

2. granska och märk filer2. Inspect and label files

Skannern använder sedan filter för att genomsöka filtyper som stöds.The scanner then uses filters to scan supported file types. Samma filter används av operativ systemet för Windows Search och indexering.These same filters are used by the operating system for Windows Search and indexing. Utan ytterligare konfiguration används Windows IFilter för att genomsöka filtyper som används av Word, Excel, PowerPoint och för PDF-dokument och textfiler.Without any additional configuration, Windows IFilter is used to scan file types that are used by Word, Excel, PowerPoint, and for PDF documents and text files.

En fullständig lista över filtyper som stöds som standard och ytterligare information om hur du konfigurerar befintliga filter som inkluderar. zip-filer och. TIFF-filer finns i följande administratörs guider:For a full list of file types that are supported by default, and additional information how to configure existing filters that include .zip files and .tiff files, see the following admin guides:

Efter inspektionen kan dessa filtyper märkas med de villkor som du har angett för dina etiketter.After inspection, these file types can be labeled by using the conditions that you specified for your labels. Eller, om du använder identifierings läge, kan dessa filer rapporteras som innehåller de villkor som du har angett för dina etiketter eller alla kända känsliga informations typer.Or, if you're using discovery mode, these files can be reported to contain the conditions that you specified for your labels, or all known sensitive information types.

Skannern kan dock inte märka filerna under följande omständigheter:However, the scanner cannot label the files under the following circumstances:

  • Om etiketten använder klassificering och inte skydd, och filtypen inte stöder klassificering enbart av den klassiska klienten eller Unified Labeling-klienten.If the label applies classification and not protection, and the file type does not support classification only by the classic client or unified labeling client.

  • Om etiketten använder klassificering och skydd, men skannern inte skyddar filtypen.If the label applies classification and protection, but the scanner does not protect the file type.

    Som standard skyddar skannern endast Office-filtyper och PDF-filer när de skyddas med hjälp av ISO-standarden för PDF-kryptering.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. Andra filtyper kan skyddas när du ändrar vilka filtyper som skyddas enligt beskrivningen i följande avsnitt.Other file types can be protected when you change which file types are protected as described in a following section.

Efter att du har inspekterat filer som har fil namns tillägget. txt kan skannern till exempel inte tillämpa en etikett som har kon figurer ATS för klassificering men inte skydd, eftersom txt-filtypen inte stöder enbart klassificering.For example, after inspecting files that have a file name extension of .txt, the scanner can't apply a label that's configured for classification but not protection, because the .txt file type doesn't support classification-only. Om etiketten har kon figurer ATS för klassificering och skydd, och fil namns tillägget. txt ingår för att skydda skannern, kan skannern etikettera filen.If the label is configured for classification and protection, and the .txt file name extension is included for the scanner to protect, the scanner can label the file.

Tips

Om skannern stannar under den här processen och inte har slutfört skanningen av ett stort antal filer på en lagrings plats:During this process, if the scanner stops and doesn't complete scanning a large number of the files in a repository:

  • Du kan behöva öka antalet dynamiska portar för det operativ system som är värd för filerna.You might need to increase the number of dynamic ports for the operating system hosting the files. Server härdning för SharePoint kan vara en orsak till att skannern överskrider antalet tillåtna nätverks anslutningar och därför stoppas.Server hardening for SharePoint can be one reason why the scanner exceeds the number of allowed network connections, and therefore stops.

    Om du vill kontrol lera om det är orsaken till att skannern stoppas ser du efter om följande fel meddelande har loggats i%localappdata% \ Microsoft\MSIP\Logs\MSIPScanner.iplog (zippa om det finns flera loggar): det går inte att ansluta till fjärrservern---> system .net. Sockets. SocketException: endast en användning av varje socket-adress (protokoll/nätverks adress/port) är normalt tillåtenTo check whether this is the cause of the scanner stopping, look to see if the following error message is logged for the scanner in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped if there are multiple logs): Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

    Mer information om hur du visar det aktuella port intervallet och ökar intervallet finns i inställningar som kan ändras för att förbättra nätverks prestanda.For more information about how to view the current port range and increase the range, see Settings that can be Modified to Improve Network Performance.

  • För stora SharePoint-grupper kan du behöva öka tröskelvärdet för listvyn (som standard 5 000).For large SharePoint farms, you might need to increase the list view threshold (by default, 5,000). Mer information finns i följande SharePoint-dokumentation: hantera stora listor och bibliotek i SharePoint.For more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint.

3. Märk filer som inte kan granskas3. Label files that can't be inspected

För de filtyper som inte kan kontrol leras använder skannern standard etiketten i Azure Information Protection principen eller den standard etikett som du konfigurerar för skannern.For the file types that can't be inspected, the scanner applies the default label in the Azure Information Protection policy, or the default label that you configure for the scanner.

Som i föregående steg kan skannern inte märka filerna under följande omständigheter:As in the preceding step, the scanner cannot label the files under the following circumstances:

  • Om etiketten använder klassificering och inte skydd, och filtypen inte stöder klassificering enbart av den klassiska klienten eller Unified Labeling-klienten.If the label applies classification and not protection, and the file type does not support classification only by the classic client or unified labeling client.

  • Om etiketten använder klassificering och skydd, men skannern inte skyddar filtypen.If the label applies classification and protection, but the scanner does not protect the file type.

    Som standard skyddar skannern endast Office-filtyper och PDF-filer när de skyddas med hjälp av ISO-standarden för PDF-kryptering.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. Andra filtyper kan skyddas när du ändrar vilka filtyper som ska skyddas, enligt beskrivningen härnäst.Other file types can be protected when you change which file types to protect, as described next.

Ändra vilka filtyper som ska skyddasChange which file types to protect

Som standard skyddar skannern endast Office-filtyper och PDF-filer.By default, the scanner protects Office file types and PDF files only. Du kan ändra det här beteendet så att skannern till exempel skyddar alla filtyper, vilket är samma skydds beteende som klienten.You can change this behavior so that for example, the scanner protects all file types, which is the same protection behavior as the client. Eller så skyddar skannern Ytterligare filtyper som du anger, förutom Office-filtyper och PDF-filer.Or, the scanner protects additional file types that you specify, in addition to Office file types and PDF files.

Konfigurations anvisningar finns i följande avsnitt.For configuration instructions, see the following sections.

Skanner från den klassiska klienten: Använd registret för att ändra vilka filtyper som skyddasScanner from the classic client: Use the registry to change which file types are protected

Det här avsnittet gäller endast för skannern från den klassiska klienten.This section applies to the scanner from the classic client only.

Om du vill ändra standard skanner beteendet för att skydda andra filtyper än Office-filer och PDF-filer, måste du redigera registret och ange de Ytterligare filtyper som du vill ska skyddas och typen av skydd (internt eller allmänt).To change the default scanner behavior for protecting file types other than Office files and PDFs, you must edit the registry and specify the additional file types that you want to be protected, and the type of protection (native or generic). Instruktioner finns i fil-API-konfiguration från vägledningen för utvecklare.For instructions, see File API configuration from the developer guidance. I denna dokumentation för utvecklare kallas allmänt skydd för ”PFile”.In this documentation for developers, generic protection is referred to as "PFile". Dessutom är det särskilt för skannern:In addition, specific for the scanner:

  • Skannern har sitt eget standard beteende: endast Office-filformat och PDF-dokument skyddas som standard.The scanner has its own default behavior: Only Office file formats and PDF documents are protected by default. Om registret inte har ändrats får alla andra filtyper inte etiketter eller skyddas av skannern.If the registry is not modified, any other file types will not be labeled or protected by the scanner.

  • Om du vill ha samma standard skydds beteende som den Azure Information Protection klienten, där alla filer skyddas automatiskt med ursprungligt eller allmänt skydd: ange * jokertecknet som en register nyckel, Encryption som värde (REG_SZ) och Default som värde data.If you want the same default protection behavior as the Azure Information Protection client, where all files are automatically protected with native or generic protection: Specify the * wildcard as a registry key, Encryption as the value (REG_SZ), and Default as the value data.

När du redigerar registret skapar du manuellt MSIPC -nyckeln och FileProtection -nyckeln om de inte finns, samt en nyckel för varje fil namns tillägg.When you edit the registry, manually create the MSIPC key and FileProtection key if they do not exist, as well as a key for each file name extension.

Om till exempel skannern ska skydda TIFF-bilder förutom Office-filer och PDF-filer, ser registret ut när du har redigerat det, ser det ut ungefär som på följande bild.For example, for the scanner to protect TIFF images in addition to Office files and PDFs, the registry after you have edited it, will look similar to the following picture. Som en bildfil stöder TIFF-filer internt skydd och det resulterande fil namns tillägget är. ptiff.As an image file, TIFF files support native protection and the resulting file name extension is .ptiff.

Redigera registret för skannern för att tillämpa skydd

En lista över text-och bild fil typer som har stöd för internt skydd men som måste anges i registret, finns i filtyper som stöds för klassificering och skydd.For a list of text and images file types that similarly support native protection but must be specified in the registry, see Supported file types for classification and protection.

För filer som inte stöder internt skydd anger du fil namns tillägget som en ny nyckel och PFile för allmänt skydd.For files that don't support native protection, specify the file name extension as a new key, and PFile for generic protection. Det resulterande fil namns tillägget för den skyddade filen är. pfile.The resulting file name extension for the protected file is .pfile.

Skanner från den enhetliga märknings klienten: Använd PowerShell för att ändra vilka filtyper som skyddasScanner from the unified labeling client: Use PowerShell to change which file types are protected

Det här avsnittet gäller endast för skannern från den enhetligt märkta klienten.This section applies to the scanner from the unified labeling client only.

För en etikett princip som gäller för användar kontot hämtar etiketter för skannern anger du en avancerad PowerShell-inställning med namnet PFileSupportedExtensions.For a label policy that applies to the user account downloading labels for the scanner, specify a PowerShell advanced setting named PFileSupportedExtensions.

Anteckning

För en skanner som har åtkomst till Internet är det här användar kontot det konto som du anger för parametern DelegatedUser med kommandot Set-AIPAuthentication.For a scanner that has access to the internet, this user account is the account that you specify for the DelegatedUser parameter with the Set-AIPAuthentication command.

Exempel 1: PowerShell-kommando för skannern för att skydda alla filtyper, där etikett principen heter "scanner":Example 1: PowerShell command for the scanner to protect all file types, where your label policy is named "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Exempel 2: PowerShell-kommando för skannern för att skydda. XML-filer och. TIFF-filer förutom Office-filer och PDF-filer, där etikett principen heter "skanner":Example 2: PowerShell command for the scanner to protect .xml files and .tiff files in addition to Office files and PDF files, where your label policy is named "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Detaljerade anvisningar finns i ändra vilka filtyper som ska skyddas från administratörs guiden.For detailed instructions, see Change which file types to protect from the admin guide.

När filer genomsöks igenWhen files are rescanned

För den första skannings cykeln kontrollerar skannern alla filer i de konfigurerade data lager och sedan för efterföljande genomsökningar, kontrol leras bara nya eller ändrade filer.For the first scan cycle, the scanner inspects all files in the configured data stores and then for subsequent scans, only new or modified files are inspected.

Du kan tvinga skannern att inspektera alla filer igen från fönstret Azure information Protection-innehålls genomsöknings jobb i Azure Portal.You can force the scanner to inspect all files again from the Azure Information Protection - Content scan jobs pane in the Azure portal. Välj ditt innehålls skannings jobb i listan och välj sedan alternativet Genomsök om alla filer :Select your content scan job from the list, and then select the Rescan all files option:

Påbörja omsökning av Azure Information Protection-skannern

Att inspektera alla filer igen är användbart när du vill att rapporterna ska innehålla alla filer och det här konfigurations valet vanligt vis används när skannern körs i identifierings läge.Inspecting all files again is useful when you want the reports to include all files and this configuration choice is typically used when the scanner runs in discovery mode. När en fullständig genomsökning har slutförts ändras genomsöknings typen automatiskt till stegvis, så att endast nya eller ändrade filer genomsöks vid efterföljande genomsökningar.When a full scan is complete, the scan type automatically changes to incremental so that for subsequent scans, only new or modified files are scanned.

Dessutom inspekteras alla filer när skannern från den klassiska klienten laddar ned en Azure Information Protection princip som har nya eller ändrade villkor och skannern från den enhetliga etikett klienten har nya eller ändrade inställningar för automatisk och Rekommenderad etikettering.In addition, all files are inspected when the scanner from the classic client downloads an Azure Information Protection policy that has new or changed conditions and the scanner from the unified labeling client has new or changed settings for automatic and recommended labeling.

Skannern uppdaterar principen enligt följande utlösare:The scanner refreshes the policy according to the following triggers:

  • Skanner från den klassiska klienten: varje timme och när tjänsten startar och principen är äldre än en timme.Scanner from the classic client: Every hour and when the service starts and the policy is older than one hour.

  • Skanner från den enhetliga märknings klienten: var fjärde timme.Scanner from the unified labeling client: Every four hours.

Tips

Om du behöver uppdatera principen tidigare än standard intervallet, till exempel under en test period:If you need to refresh the policy sooner than the default interval, for example, during a testing period:

  • Skanner från den klassiska klienten: ta bort princip filen manuellt, princip. msip från %localappdata%\Microsoft\MSIP\Policy.msip.Scanner from the classic client: Manually delete the policy file, Policy.msip from %LocalAppData%\Microsoft\MSIP\Policy.msip.

  • Skanner från den enhetliga märknings klienten: ta bort innehållet manuellt från %localappdata%\Microsoft\MSIP\mip \ < processname> \mip.Scanner from the unified labeling client: Manually delete the contents from %LocalAppData%\Microsoft\MSIP\mip\<processname>\mip.

Starta sedan om tjänsten Azure information scanner.Then restart the Azure Information Scanner service. Om du har ändrat skydds inställningarna för dina etiketter, vänta också 15 minuter från när du sparade skydds inställningarna innan du startar om tjänsten.If you changed protection settings for your labels, also wait 15 minutes from when you saved the protection settings before you restart the service.

Redigering i bulk för data lagrings inställningarnaEditing in bulk for the data repository settings

För de data databaser som du har lagt till i ett innehålls skannings jobb kan du använda alternativen för export och import för att snabbt göra ändringar i inställningarna.For the data repositories that you've added to a content scan job, you can use the Export and Import options to quickly make changes to the settings. För dina SharePoint-dataarkiv vill du till exempel lägga till en ny filtyp som ska undantas från genomsökning.For example, for your SharePoint data repositories, you want to add a new file type to exclude from scanning.

I stället för att redigera varje data lager i Azure Portal använder du alternativet Exportera från fönstret databaser :Instead of editing each data repository in the Azure portal, use the Export option from the Repositories pane:

Exportera data lagrings inställningar för skannern

Redigera filen manuellt för att göra ändringen och Använd sedan alternativet Importera i samma fönster.Manually edit the file to make the change, and then use the Import option on the same pane.

Använda skannern med alternativa konfigurationerUsing the scanner with alternative configurations

Det finns tre alternativa scenarier som Azure Information Protection-skannern stöder där etiketter inte behöver konfigureras för något villkor:There are three alternative scenarios that the Azure Information Protection scanner supports where labels do not need to be configured for any conditions:

  • Använd en standard etikett för alla filer i ett data lager.Apply a default label to all files in a data repository.

    I den här konfigurationen ställer du in etikettfiler baserat på innehåll till av.For this configuration, set Label files based on content to Off. Ange sedan standard etiketten som anpassadoch välj den etikett som ska användas.Then set the Default label to Custom, and select the label to use.

    Innehållet i filerna kontrol leras inte och alla omärkta filer i data lagringen märks enligt standard etiketten som du anger för data lagringen eller innehålls skannings jobbet.The contents of the files are not inspected and all unlabeled files in the data repository are labeled according to the default label that you specify for the data repository or the content scan job.

    För skannern från den enhetliga märknings klienten kan du även välja Använd standard etikett om du vill att standard etiketten ska tillämpas på alla filer, även om de redan är märkta.For the scanner from the unified labeling client, you can also select Enforce default label if you want the default label to be applied on all files, even if they are already labeled.

  • Ta bort befintliga etiketter från alla filer i ett data lager.Remove existing labels from all files in a data repository.

    Med den här konfigurationen kan du ta bort befintliga etiketter som är tillämpligt för skannern från den enhetligt märkta klienten.Applicable to the scanner from the unified labeling client only, this configuration lets you remove existing labels, which includes protection if it was applied with that label. Skydd som tillämpas oberoende av en etikett behålls.Protection that was applied independently from a label is retained. Använd den här konfigurationen om du behöver ta bort alla etiketter från filer i en lagrings plats.Use this configuration if you need to remove all labels from files in a repository.

    Konfigurera följande inställningar:Configure the following settings:

    • Märk filer baserat på innehåll: avLabel files based on content: Off
    • Standard etikett: ingenDefault label: None
    • Ometikettering av filer: med kryss rutan Använd standard etikett markeradRelabel files: On with the Enforce default label checkbox selected
  • Identifiera alla anpassade villkor och kända känsliga informations typer.Identify all custom conditions and known sensitive information types.

    För den här konfigurationen ställer du in de informations typer som ska identifieras till alla.For this configuration, set the Info types to be discovered to All.

    För skannern från den klassiska klienten: skannern använder alla anpassade villkor som du har angett för etiketter i Azure Information Protection principen och listan med informations typer som är tillgängliga för att ange etiketter i Azure Information Protections principen.For the scanner from the classic client: The scanner uses any custom conditions that you have specified for labels in the Azure Information Protection policy, and the list of information types that are available to specify for labels in the Azure Information Protection policy.

    För skannern från Unified Labeling-klienten: skannern använder anpassade känsliga informations typer som du har angett och listan över inbyggda känsliga informations typer som är tillgängliga för val i din etikett hanterings Center.For the scanner from the unified labeling client: The scanner uses any custom sensitive info types that you have specified and the list of built-in sensitive info types that are available to select in your labeling management center.

    Med den här inställningen kan du hitta känslig information som du kanske inte har haft, men som kostnad för söknings takten för skannern.This setting helps you find sensitive information that you might not realize you had, but at the expense of scanning rates for the scanner.

    Följande snabb start för skannern använder den här konfigurationen: snabb start: hitta den känsliga information som du har.The following quickstart for the scanner uses this configuration: Quickstart: Find what sensitive information you have.

Optimera prestanda för skannernOptimizing the performance of the scanner

Använd följande vägledning för att optimera skannerns prestanda.Use the following guidance to help you optimize the performance of the scanner. Men om prioriteten är svars tiden för skanner datorn i stället för skannerns prestanda kan du använda en avancerad klient inställning för att begränsa antalet trådar som används av skannern:However, if your priority is the responsiveness of the scanner computer rather than the scanner performance, you can use an advanced client setting to limit the number of threads used by the scanner:

Ytterligare alternativ för att maximera skannerns prestanda:Additional options to maximize the scanner performance:

  • Har en snabb och tillförlitlig nätverks anslutning mellan skanner datorn och det genomsökta data lagretHave a high speed and reliable network connection between the scanner computer and the scanned data store

    Placera till exempel skanner datorn i samma lokala nätverk, eller (rekommenderas) i samma nätverks segment som det genomsökta data lagret.For example, place the scanner computer in the same LAN, or (preferred) in the same network segment as the scanned data store.

    Nätverks anslutningens kvalitet påverkar skannerns prestanda eftersom du kan kontrol lera filerna genom att överföra filens innehåll till datorn som kör skanner tjänsten.The quality of the network connection affects the scanner performance because to inspect the files, the scanner transfers the contents of the files to the computer running the scanner service. När du minskar (eller eliminerar) antalet nätverks hopp som dessa data måste färdas över, minskar du också belastningen på nätverket.When you reduce (or eliminate) the number of network hops this data has to travel, you also reduce the load on your network.

  • Kontrol lera att skanner datorn har tillgängliga processor resurserMake sure the scanner computer has available processor resources

    Att kontrol lera fil innehållet och kryptera och dekryptera filer är processor intensiva åtgärder.Inspecting the file contents, and encrypting and decrypting files are processor-intensive actions. Övervaka vanliga genomsöknings cykler för dina angivna data lager för att identifiera om brist på processor resurser påverkar skannerns prestanda negativt.Monitor typical scanning cycles for your specified data stores to identify whether a lack of processor resources is negatively affecting the scanner performance.

  • Sök inte igenom lokala mappar på datorn som kör skanner tjänstenDo not scan local folders on the computer running the scanner service

    Om du har mappar som ska genomsökas på en Windows-Server installerar du skannern på en annan dator och konfigurerar mapparna som nätverks resurser som ska genomsökas.If you have folders to scan on a Windows server, install the scanner on a different computer and configure those folders as network shares to scan. Genom att skilja de två funktionerna för att vara värd för filer och genomsöka filer innebär det att data behandlings resurserna för dessa tjänster inte konkurrerar med varandra.Separating the two functions of hosting files and scanning files means that the computing resources for these services are not competing with one another.

Installera vid behov flera instanser av skannern.If necessary, install multiple instances of the scanner. Azure Information Protection-skannern stöder flera konfigurations databaser på samma SQL Server-instans när du anger ett anpassat kluster namn (profil) för skannern.The Azure Information Protection scanner supports multiple configuration databases on the same SQL server instance when you specify a custom cluster (profile) name for the scanner. För skannern från den enhetliga märknings klienten kan flera skannrar dela samma kluster (profil), vilket resulterar i snabbare genomsöknings tider.For the scanner from the unified labeling client, multiple scanners can share the same cluster (profile), which results in quicker scanning times.

Andra faktorer som påverkar skannerns prestanda:Other factors that affect the scanner performance:

  • Aktuella belastnings-och svars tider för de data lager som innehåller filerna som ska genomsökasThe current load and response times of the data stores that contain the files to scan

  • Om skannern körs i identifierings läge eller tillämpa lägeWhether the scanner runs in discovery mode or enforce mode

    Identifierings läget har vanligt vis en högre skannings hastighet än tvingande läge eftersom identifieringen kräver en enda fil läsnings åtgärd, medan tvingande läge kräver Läs-och skriv åtgärder.Discovery mode typically has a higher scanning rate than enforce mode because discovery requires a single file read action, whereas enforce mode requires read and write actions.

  • Du ändrar villkoren i Azure Information Protection princip (klassisk klient) eller automatiskt etikett i etikett principen (Unified Labeling-klienten)You change the conditions in the Azure Information Protection policy (classic client) or auto-labeling in the label policy (unified labeling client)

    Din första genomsöknings cykel när skannern måste kontrol lera att alla filer tar längre tid än efterföljande genomsökningar som standard, granska endast nya och ändrade filer.Your first scan cycle when the scanner must inspect every file will take longer than subsequent scan cycles that by default, inspect only new and changed files. Men om du ändrar villkoren eller inställningarna för automatisk etikett, genomsöks alla filer igen, enligt beskrivningen i föregående avsnitt.However, if you change the conditions or auto-labeling settings, all files are scanned again, as described in the preceding section.

  • Konstruktion av regex-uttryck för anpassade villkorThe construction of regex expressions for custom conditions

    Om du vill undvika tung minnes användning och risken för timeout (15 minuter per fil) granskar du ditt regex-uttryck för effektiv mönster matchning.To avoid heavy memory consumption and the risk of timeouts (15 minutes per file), review your regex expressions for efficient pattern matching. Ett exempel:For example:

    • Undvik girig-kvantifierareAvoid greedy quantifiers

    • Använd icke-hämtade grupper, till exempel (?:expression) i stället för(expression)Use non-capturing groups such as (?:expression) instead of (expression)

  • Din valda loggnings nivåYour chosen logging level

    Du kan välja mellan fel sökning, information, fel och av skanner rapporter.You can choose between Debug, Info, Error and Off for the scanner reports. Av resulterar det i bästa prestanda. Fel sökning gör avsevärt saktar ned skannern och bör endast användas för fel sökning.Off results in the best performance; Debug considerably slows down the scanner and should be used only for troubleshooting. Mer information finns i ReportLevel -parametern för cmdleten set-AIPScannerConfiguration .For more information, see the ReportLevel parameter for the Set-AIPScannerConfiguration cmdlet.

  • Själva filerna:The files themselves:

    • Med undantag för Excel-filer är Office-filer snabbare att skanna än PDF-filer.With the exception of Excel files, Office files are more quickly scanned than PDF files.

    • Oskyddade filer går snabbare att söka igenom än skyddade filer.Unprotected files are quicker to scan than protected files.

    • Det tar naturligtvis längre tid att söka igenom stora filer än små filer.Large files obviously take longer to scan than small files.

  • Dessutom:Additionally:

    • Bekräfta att det tjänst konto som kör skannern bara har de rättigheter som dokumenteras i avsnittet för skanner krav och konfigurera sedan den avancerade klient inställningen för att inaktivera låg integritets nivå för skannern (endast den klassiska klienten).Confirm that the service account that runs the scanner has only the rights documented in the scanner prerequisites section, and then configure the advanced client setting to disable the low integrity level for the scanner (classic client only).

    • Skannern körs snabbare när du använder den alternativa konfigurationen för att tillämpa en standard etikett på alla filer, eftersom skannern inte kontrollerar fil innehållet.The scanner runs more quickly when you use the alternative configuration to apply a default label to all files because the scanner does not inspect the file contents.

    • Skannern körs långsammare om du använder den alternativa konfigurationen för att identifiera alla anpassade villkor och kända känsliga informations typer.The scanner runs more slowly when you use the alternative configuration to identify all custom conditions and known sensitive information types.

    • Du kan minska skannerns tids gränser (endast den klassiska klienten) med avancerade klient inställningar för bättre genomsöknings takt och lägre minnes förbrukning, men med bekräftelsen att vissa filer kan hoppas över.You can decrease the scanner timeouts (classic client only) with advanced client settings for better scanning rates and lower memory consumption, but with the acknowledgment that some files might be skipped.

Lista över cmdletar för skannernList of cmdlets for the scanner

Eftersom skannern nu har kon figurer ATS från Azure Portal, cmdletar från tidigare versioner som används för att konfigurera data lager och listan över genomsökta filtyper är nu föråldrade.Because the scanner is now configured from the Azure portal, cmdlets from previous versions used to configure data repositories, and the scanned file types list are now deprecated.

Cmdletarna som är kvar innehåller cmdletar som installerar och uppgraderar skannern, ändrar konfigurations databasen för skannern och klustret (profil), ändrar den lokala rapporterings nivån och importerar konfigurations inställningar för en frånkopplad dator.The cmdlets that remain include cmdlets that install and upgrade the scanner, change the scanner configuration database and cluster (profile), change the local reporting level, and import configuration settings for a disconnected computer.

En fullständig lista över cmdletar för skannern:The full list of cmdlets for the scanner:

Händelse loggs-ID: n och beskrivningar för skannernEvent log IDs and descriptions for the scanner

Använd följande avsnitt för att identifiera möjliga händelse-ID: n och beskrivningar för skannern.Use the following sections to identify the possible event IDs and descriptions for the scanner. Dessa händelser är inloggade på den server som kör skanner tjänsten, i händelse loggen för Windows- program och-tjänster Azure information Protection.These events are logged on the server that runs the scanner service, in the Windows Applications and Services event log, Azure Information Protection.

Anteckning

Det här avsnittet gäller endast för skannern från den klassiska klienten.This section applies to the scanner from the classic client only. Skannern från den enhetliga etikett klienten skriver för närvarande inte information till händelse loggen.Currently, the scanner from the unified labeling client doesn't write information to the event log.


Information 910Information 910

Skanner cykeln startades.Scanner cycle started.

Den här händelsen loggas när skanner tjänsten startas och börjar söka efter filer i data lagringen som du har angett.This event is logged when the scanner service is started and begins to scan for files in the data repositories that you specified.


Information 911Information 911

Skanner cykeln har slutförts.Scanner cycle finished.

Den här händelsen loggas när skannern har slutfört en manuell genomsökning eller om skannern har slutfört en cykel för ett kontinuerligt schema.This event is logged when the scanner has finished a manual scan, or the scanner has finished a cycle for a continuous schedule.

Om skannern har kon figurer ATS för att köras manuellt i stället för kontinuerligt, för att skanna filerna igen, anger du schemat till manuellt eller alltid i innehålls skannings jobbet och startar sedan om tjänsten.If the scanner was configured to run manually rather than continuously, to scan the files again, set the Schedule to Manual or Always in the content scan job, and then restart the service.


Nästa stegNext steps

Är du intresse rad av hur Core Services Engineering and Operations-teamet i Microsoft implementerade den här skannern?Interested in how the Core Services Engineering and Operations team in Microsoft implemented this scanner? Läs den tekniska fallstudien: Automatisera data skydd med Azure information Protection Scanner.Read the technical case study: Automating data protection with Azure Information Protection scanner.

Du kanske undrar: Vad är skillnaden mellan Windows Server FCI och Azure information Protection Scanner?You might be wondering: What's the difference between Windows Server FCI and the Azure Information Protection scanner?

Du kan också använda PowerShell för att interaktivt klassificera och skydda filer från din station ära dator.You can also use PowerShell to interactively classify and protect files from your desktop computer. Mer information om det här och andra scenarier som använder PowerShell finns i följande avsnitt från administratörs guider:For more information about this and other scenarios that use PowerShell, see the following sections from the admin guides: