Konfigurera och installera en enhetlig AIP-skanner (Azure Information Protection)

Gäller för:Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Relevant för:Endast AIP Unified Labeling Client.

I den här artikeln beskrivs hur du konfigurerar och installerar den lokala skannern Azure Information Protection unified labeling.

Tips!

Även om de flesta kunder utför de här procedurerna i området Azure Information Protection i Azure-portalen kanske du endast behöver arbeta i PowerShell.

Om du till exempel arbetar i en miljö utan åtkomst till Azure-portalen, till exempel Azure China 21Vianet-skannerservrar,följer du anvisningarna i Använd PowerShell för att konfigurera skannern.

Översikt

Innan du börjar kontrollerar du att systemet uppfyller de krav som krävs.

Använd följande steg för att använda Azure Portal:

  1. Konfigurera skannerns inställningar

  2. Installera skannern

  3. Hämta en Azure AD-token för skannern

  4. Konfigurera skannern för klassificering och skydd

Utför sedan följande konfigurationsprocedurer efter behov för ditt system:

Procedur Beskrivning
Ändra vilka filtyper som ska skyddas Du kanske vill söka igenom, klassificera eller skydda olika filtyper än standardfiltyperna. Mer information finns i AIP-skanningsprocessen.
Uppgradera din skanner Uppgradera skannern om du vill dra nytta av de senaste funktionerna och förbättringarna.
Massredigering av inställningar för datadatabas Använd import- och exportalternativ för att göra ändringar i grupp för flera datakällor.
Använda skannern med alternativa konfigurationer Använda skannern utan att konfigurera etiketter med några villkor
Optimera prestanda Vägledning för att optimera skannerns prestanda

Om du inte har tillgång till skannersidorna i Azure Portal konfigurerar du eventuella skannerinställningar endast i PowerShell. Mer information finns i Använda PowerShell för att konfigurera skannern ochPowerShell-cmdlets som stöds.

Konfigurera skannerns inställningar

Innan du installerar skannern, eller uppgraderar den från en äldre version av allmän tillgänglighet, konfigurerar eller verifierar skannerinställningarna.

Så här konfigurerar du en skanner i Azure Portal:

  1. Logga in på Azure Portal med någon av följande roller:

    • Efterlevnadsadministratör
    • Efterlevnadsdataadministratör
    • Säkerhetsadministratör
    • Global administratör

    Gå sedan till fönstret Azure Information Protection.

    I sökrutan för resurser, tjänster och dokument kan du till exempel börja skriva Information och välja Azure Information Protection.

  2. Skapa ett skannerkluster. Det här klustret definierar skannern och används för att identifiera skannerinstansen, till exempel under installation, uppgraderingar och andra processer.

  3. (Valfritt) Sök igenom nätverket efter riskfyllda lagringsningar. Skapa ett genomsökningsjobb för att söka igenom en specifik IP-adress eller ett intervall och ange en lista med riskfyllda lagringsningar som kan innehålla känsligt innehåll som du vill skydda.

    Kör genomsökningsjobbet för nätverket och analysera sedan de riskfyllda lagringsplatsen som hittas.

  4. Skapa ett genomsökningsjobb för innehåll och definiera lagringsplatsen som du vill söka igenom.

Skapa ett skannerkluster

  1. På menyn Skanner till vänster väljer du ikon förklusterkluster.

  2. I fönstret Azure Information Protection – Kluster väljer du Lägg till lägg till ikonläggtill.

  3. I fönstret Lägg till ett nytt kluster anger du ett beskrivande namn för skannern och en valfri beskrivning.

    Klusternamnet används för att identifiera skannerns konfigurationer och lagringsgränser. Du kan till exempel ange Europa för att identifiera de geografiska platserna för de dataplatser du vill söka igenom.

    Du kommer att använda det här namnet senare för att identifiera var du vill installera eller uppgradera skannern.

  4. Välj Sparaspara-ikon spara ändringar.

Skapa ett genomsökningsjobb för nätverk (offentlig förhandsgranskning)

Lägg till en eller flera av lagringsplatsen som finns i ett genomsökningsjobb för att söka igenom dem efter känsligt innehåll.

Obs!

Nätverksidentifieringsfunktionen för Azure Information Protection är för närvarande i FÖRHANDSVERSION. Tilläggsvillkor för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är beta, förhandsversion eller på annat sätt ännu inte har släppts till allmän tillgänglighet.

I följande tabell beskrivs förutsättningar som krävs för tjänsten för nätverksidentifiering:

Krav Beskrivning
Installera tjänsten nätverksidentifiering Om du nyligen har uppgraderat skannern kan du behöva installera tjänsten Nätverksidentifiering.

Kör cmdleten Install-MIPNetworkDiscovery för att aktivera nätverkssökningsjobb.
Azure Information Protection-analyser Kontrollera att du har Azure Information Protection Analytics aktiverat.

Gå till Azure Information Protection Manage Configure Analytics > (förhandsversion) iAzure Portal.

Mer information finns i Central rapportering för Azure Information Protection (offentlig förhandsversion).

Så här skapar du ett genomsökningsjobb för nätverket

  1. Logga in på Azure Portal och gå till Azure Information Protection. Under skannermenyn till vänster väljer du ikonen nätverkssökningsjobb (förhandsversion)nätverkssökningsjobb ikon för.

  2. I fönstret Azure Information Protection – Nätverkssökningsjobb väljer du Lägg till lägg tillikonläggtill.

  3. Definiera följande inställningar på sidan Lägg till ett nytt genomsökningsjobb:

    Inställning Beskrivning
    Namn på nätverkssökningsjobb Ge jobbet ett beskrivande namn. Det här fältet är obligatoriskt.
    Beskrivning Ange ett beskrivande namn.
    Markera klustret I listrutan väljer du det kluster du vill använda för att söka igenom de konfigurerade nätverksplatserna.

    Tips!När du väljer ett kluster kontrollerar du att noderna i klustret som du tilldelar kan komma åt de konfigurerade IP-intervallen via SMB.
    Konfigurera ATT IP-intervall upptäcks Klicka för att definiera en IP-adress eller ett IP-intervall.

    I fönstret Välj IP-intervall anger du ett valfritt namn och sedan en start-IP-adress och slut-IP-adress för intervallet.

    Tips:Om du bara vill söka efter en specifik IP-adress anger du den identiska IP-adressen i båda fälten Start IP och End IP.
    Ange schema Definiera hur ofta du vill att det här nätverkssökningsjobbet ska köras.

    Om du väljer Varjevecka visas inställningen Kör genomsökningsjobbet för nätverket på. Välj de veckodagar där du vill att genomsökningsjobbet ska köras.
    Ange starttid (UTC) Definiera det datum och den tid som du vill att det här genomsökningsjobbet ska starta. Om du har valt att köra jobbet dagligen, veckovis eller månadsvis körs jobbet vid den angivna tidpunkten vid den återkommande du har valt.

    Obs!Var försiktig när du anger datumet till några dagar i slutet av månaden. Om du väljer 31körs inte sökjobbet för nätverket under en månad som har 30 dagar eller färre.
  4. Välj Sparaspara-ikon spara ändringar.

Tips!

Om du vill köra samma nätverkssökning med en annan skanner ändrar du det kluster som definierats i genomsökningsjobbet.

Gå tillbaka till fönstret Nätverkssökningsjobb och välj Tilldela till kluster om du vill välja ett annat kluster nu, eller Ta bort tilldelningskluster om du vill göra ytterligare ändringar senare.

Analysera riskfyllda lagringsplatsen hittades (offentlig förhandsversion)

Lagringsplatsen som hittas, antingen med ett genomsökningsjobb i nätverket, ett genomsökningsjobb eller av användaråtkomst somupptäckts i loggfiler, sammanställs och visas på ikonplatsen för skanner från lagringsplatsen.

Om du har definierat ett nätverkssökningsjobb och ställt in att det ska köras vid ett visst datum och tid väntar du tills det har körts klart för att kontrollera resultaten. Du kan också gå tillbaka hit när du har kört ett genomsökningsjobb för innehåll för att visa uppdaterade data.

Obs!

Funktionen för Azure Information Protection Återlagringsplatsen är för närvarande i FÖRHANDSVERSION. Tilläggsvillkor för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är beta, förhandsversion eller på annat sätt ännu inte har släppts till allmän tillgänglighet.

  1. Under menyn Skanner till vänster väljer du Lagringsplatsendär ikonen för

    Lagringsplatsen som hittas visas så här:

    • I diagrammet Lagringsgränser per status visas hur många lagringsböcker som redan är konfigurerade för ett genomsökningsjobb för innehåll, och hur många som inte är det.
    • I de 10 topp ohanterade lagringsplatsen med access-diagrammet visas de 10 översta lagringsplatsen som för närvarande inte är tilldelade till ett genomsökningsjobb med innehåll, samt information om deras åtkomstnivåer. Åtkomstnivåer kan ange hur riskfyllda lagringsplatsen är.
    • I tabellen under diagrammen visas varje lagringsplats som hittas och deras information.
  2. Gör något av följande:

    Alternativ Beskrivning
    Ikon för kolumner-ikon Välj Kolumner om du vill ändra vilka tabellkolumner som visas.
    uppdatera ikon för Om skannern nyligen har kört sökresultat för nätverkssökning väljer du Uppdatera för att uppdatera sidan.
    lägg till ikon lägg Välj en eller flera lagringsförteckningar som visas i tabellen och välj sedan Tilldela markerade objekt för att tilldela dem till ett genomsökningsjobb för innehåll.
    Filter På filterraden visas alla filtreringskriterier som används för närvarande. Välj något av villkoren som visas för att ändra dess inställningar eller välj Lägg till filter för att lägga till nya filtreringskriterier.

    Välj Filter för att tillämpa ändringarna och uppdatera tabellen med det uppdaterade filtret.
    Logganalysikonen I det övre högra hörnet i diagrammet med ohanterade lagringsplatsen klickar du på ikonen Logganalys för att hoppa till Logganalysdata för dessa lagringskällor.

Lagringsplatsen där den offentliga åtkomsten har läs- och skrivbehörigheter kan innehålla känsligt innehåll som måste skyddas. Om den offentliga åtkomsten är falsk kan inte lagringsplatsen nås alls av den offentliga.

Offentlig åtkomst till en lagringsplats rapporteras endast om du har ställt in ett svagt konto i parametern StandardDomainsUserAccount i cmdletarna Install-MIPNetworkDiscovery eller Set-MIPNetworkDiscoveryConfiguration.

  • De konton som definierats i dessa parametrar används för att simulera åtkomsten för en svag användare till lagringsplatsen. Om den svaga användaren som definierats där har åtkomst till lagringsplatsen innebär det att lagringsplatsen kan nås offentligt.

  • För att säkerställa att offentlig åtkomst rapporteras korrekt kontrollerar du att användaren som angetts i dessa parametrar endast är medlem i gruppen Domänanvändare.

Skapa ett genomsökningsjobb för innehåll

Djupdykning i innehållet för att söka igenom specifika lagringsplatser efter känsligt innehåll.

Det kan vara bra att göra det först när du har kört ett genomsökningsjobb för nätverket för att analysera lagringsplatsen i nätverket, men du kan även definiera dina lagringsgränser själv.

Så här skapar du ett genomsökningsjobb för innehåll på Azure Portal:

  1. Under menyn Skanner till vänster väljer du Genomsökningsjobb för innehåll.

  2. I fönstret Azure Information Protection – Jobb för innehållssökning väljer du Lägg till ikon föratt

  3. För den här första konfigurationen konfigurerar du följande inställningar och väljer sedan Spara men stäng inte fönstret.

    Inställning Beskrivning
    Inställningar för genomsökningsjobb för innehåll - - Behåll standardinställningarna för Manuell
    - - Endast ändring av princip
    - - Konfigurera inte just nu eftersom genomsökningsjobbet måste sparas först.
    DLP-princip Om du använder en Microsoft 365 DLP-princip (Data Loss Prevention) anger du Aktivera DLP-regler till På. Mer information finns i Använda en DLP-princip.
    Känslighetsprincip - - Välj Av
    - - Behåll standardinställningen för
    - - Behåll standardinställningen för principen
    - - Behåll standardvärdet för Av
    Konfigurera filinställningar - - Behåll standardvärdet för
    - - Behåll standardfiltyperna för exkludera
    - - Behåll standardkontot för skanner
    - - Använd bara det här alternativet när du använder en DLP-princip.
  4. Nu när jobbet för innehållssökning har skapats och sparats är du redo att gå tillbaka till alternativet Konfigurera lagringslager och ange vilka datakällor som ska genomsökas.

    Ange UNC-sökvägar SharePoint server-URL:er för SharePoint för lokala dokumentbibliotek och mappar.

    Obs!

    SharePoint Server 2019, SharePoint Server 2016 och SharePoint Server 2013 stöds för SharePoint. SharePoint Server 2010 stöds också om du har utökat stöd för den här versionen av SharePoint.

    Om du vill lägga till din första datakälla i fönstret Lägg till ett nytt genomsökningsjobb väljer du Konfigurera lagringslager för att öppna fönstret Lagringskällor:

    Konfigurera datalagringsplatsen för Azure Information Protection-skannern.

    1. I fönstret Lagringsböcker väljer du Lägg till:

      Lägg till datalagringsplats för Azure Information Protection-skannern.

    2. I fönstret Lagringsplats anger du sökvägen till datadatabasen och väljer sedan Spara.

      • För en nätverksresurs använder du \\Server\Folder .
      • För ett SharePoint använder du http://sharepoint.contoso.com/Shared%20Documents/Folder .
      • För en lokal sökväg: C:\Folder
      • För en UNC-sökväg: \\Server\Folder

    Obs!

    Jokertecken stöds inte och WebDav-platser stöds inte.

    Om du lägger till SharePoint sökväg för Delade dokument:

    • Ange Delade dokument i sökvägen när du vill söka igenom alla dokument och alla mappar från Delade dokument. Till exempel: http://sp2013/SharedDocuments
    • Ange Dokument i sökvägen när du vill söka igenom alla dokument och alla mappar från en undermapp under Delade dokument. Till exempel: http://sp2013/Documents/SalesReports
    • Eller ange bara FQDN för sharepoint, till exempel för att upptäcka och skanna alla SharePoint-webbplatser och underwebbplatser under en viss URL och undertexter under denna URL. Bevilja behörighet som granskare för skanner för webbplatsinsamlare för att aktivera detta.

    För övriga inställningar i det här fönstret ska du inte ändra dem för den här första konfigurationen, utan behålla dem som standardjobb för innehållssökning. Standardinställningen innebär att datadatabasen ärver inställningarna från genomsökningsjobbet.

    Använd följande syntax när du lägger SharePoint sökvägar:

    Sökväg Syntax
    Rotsökväg http://<SharePoint server name>

    Söker igenom alla webbplatser, inklusive webbplatssamlingar som är tillåtna för skanneranvändaren.
    Kräver ytterligare behörigheter för att automatiskt identifiera rotinnehåll
    Specifik SharePoint underwebbplats eller samling Något av följande:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Kräver ytterligare behörigheter för att automatiskt upptäcka webbplatssamlingsinnehåll
    Specifikt SharePoint bibliotek Något av följande:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Specifik SharePoint mapp http://<SharePoint server name>/.../<folder name>
  5. Upprepa föregående steg för att lägga till så många lagringsningar som behövs.

    När du är klar stänger du både fönsterrutorna för lagringsplatsen och jobb för innehållssökning.

I fönstret Azure Information Protection – Job för innehållssökning visas namnet på innehållssökning, tillsammans med kolumnen SCHEMA med kolumnen SCHEMA manuellt och kolumnen FRAMTvinga är tom.

Du är nu redo att installera skannern med det innehållsskannerjobb som du har skapat. Fortsätt med Installera skannern.

Installera skannern

När du har konfigurerat Azure Information Protection-skannernutför du stegen nedan för att installera skannern. Den här proceduren utförs helt och hållet i PowerShell.

  1. Logga in på Windows Server-datorn som kör skannern. Använd ett konto som har lokala administratörsrättigheter och som har behörighet att skriva till SQL Server huvuddatabasen.

    Viktigt

    Du måste ha AIP unified labeling-klienten installerad på datorn innan du installerar skannern.

    Mer information finns i Krav för installation och distribution av Azure Information Protection-skannern.

  2. Öppna Windows PowerShell en session med alternativet Kör som administratör.

  3. Kör cmdleten Install-AIP Scannerner, ange din SQL Server-instans som du vill skapa en databas för Azure Information Protection-skannern för samt det skannerklusternamn som du angav i föregående avsnitt:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Exempel med namnet på skannerkluster i Europa:

    • För en standardinstans: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • För en namngiven instans: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • För SQL Server Express:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Ange Active Directory-autentiseringsuppgifterna för skannertjänstens konto när du uppmanas att göra det.

    Använd följande syntax: \<domain\user name> . Till exempel: contoso\scanneraccount

  4. Kontrollera att tjänsten nu är installerad med administrationsverktygstjänster.

    Den installerade tjänsten heter Azure Information Protection Scanner och är konfigurerad att köras med hjälp av det skannertjänstkonto som du har skapat.

Nu när du har installerat skannern måste du få en Azure AD-token för autentisering i skannertjänsten, så att skannern kan köras utan uppläsning.

Hämta en Azure AD-token för skannern

Med en Azure AD-token kan skannern autentiseras i Azure Information Protection-tjänsten, vilket gör att skannern kan köras icke-interaktivt.

Mer information finns i Så här märks filer icke-interaktivt för Azure Information Protection.

Så här hämtar du en Azure AD-token:

  1. Öppna Azure Portal för att skapa ett Azure AD-program för att ange en åtkomsttoken för autentisering.

  2. Från Windows-serverdatorn loggar du in med det här kontot och startar en PowerShell-session om ditt skannertjänstkonto har beviljats loggen lokalt direkt för installationen.

    Kör Set-AIPAuthentication, och ange de värden som du kopierade från föregående steg:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Till exempel:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    Tips!

    Om ditt skannertjänstkonto inte kan beviljas logga in lokalt direkt för installationen använder du parametern OnBehalfOf med Set-AIPAuthenticationenligt beskrivningen i Så här etiketterar du filer icke-interaktivt för Azure Information Protection.

Skannern har nu en token som autentiseras i Azure AD. Den här tokenen är giltig i ett år, två år eller aldrig enligt konfigurationen av webbappen /API-klienthemligheten i Azure AD. När token går ut måste du upprepa den här proceduren.

Fortsätt använda något av följande steg, beroende på om du använder Azure Portal för att konfigurera skannern, eller endast PowerShell:

Nu kan du köra den första genomsökningen i identifieringsläge. Mer information finns i Köra en identifieringscykel och visa rapporter för skannern.

När du har kört den första identifieringssökningen fortsätter du med Konfigurera skannern att tillämpa klassificering och skydd.

Obs!

Mer information finns i Märka filer icke-interaktivt för Azure Information Protection

Konfigurera skannern för klassificering och skydd

Standardinställningarna konfigurerar skannern att köras en gång och i rapportläge. Om du vill ändra de här inställningarna redigerar du genomsökningsjobbet för innehåll.

Tips!

Om du bara arbetar i PowerShell kan du gå till Konfigurera skannern att tillämpa klassificering och skydd – endast PowerShell.

Så här konfigurerar du skannern att tillämpa klassificering och skydd:

  1. I Azure-portalen, i fönstret Azure Information Protection – Innehållssökningsjobb, väljer du klustret och innehållssökningsjobbet för att redigera det.

  2. I fönstret Genomsökning av innehåll ändrar du följande och väljer sedan Spara:

    • Från avsnittet Innehållssökningsjobb: Ändra schemat tillAlltid
    • Från avsnittet Känslighetsprincip: Ändra tillämpa till

    Tips!

    Du kanske vill ändra andra inställningar i det här fönstret, till exempel om filattribut ändras och om skannern kan ange filer igen. Använd popup-hjälpen för information om du vill veta mer om de olika konfigurationsinställningarna.

  3. Anteckna den aktuella tiden och starta skannern igen från fönstret Azure Information Protection – Jobb för innehållssökning:

    Starta genomsökningen efter Azure Information Protection-skannern.

Skannern är nu schemalagd att köras kontinuerligt. När skannern arbetar sig igenom alla konfigurerade filer startar den automatiskt en ny cykel så att nya och ändrade filer upptäcks.

Använda en DLP-princip

Med hjälp av Microsoft 365 DLP-princip (Data Loss Prevention) kan skannern identifiera potentiella dataläckor genom att matcha DLP-regler med filer som lagrats i filresurser och SharePoint Server.

  • Aktivera DLP-regler i genomsökningsjobbet för innehåll för att minska exponeringen för filer som matchar dina DLP-principer. När dina DLP-regler är aktiverade kan skannern minska filåtkomsten till endast dataägare eller minska exponering för nätverksomfattande grupper, till exempel Alla, Autentiseradeanvändare eller Domänanvändare.

  • I Microsoft 365 Efterlevnadscenteravgör du om du bara testar din DLP-princip eller om du vill att reglerna ska tillämpas och om filbehörigheterna ska ändras i enlighet med dessa regler. Mer information finns i Aktivera en DLP-princip.

DLP-principer konfigureras i Microsoft 365 Efterlevnadscenter. Mer information om DLP-licensiering finns i Kom igång med skydd mot dataförlust i lokala skannern.

Tips!

Genomsökning av dina filer, även när du bara testar DLP-principen, skapar även filbehörighetsrapporter. Fråga de här rapporterna om du vill undersöka specifik exponering av filer eller utforska exponering av en viss användare för genomsökta filer.

Information om hur du endast använder PowerShell finns i Använda en DLP-princip med skannern – endast PowerShell.

Så här använder du en DLP-princip med skannern:

  1. Gå till ditt genomsökningsjobb i Azure Portal. Mer information finns i Skapa ett genomsökningsjobb för innehåll.

  2. Ställ in Aktivera DLP-regler på På under DLP-princip.

    Viktigt

    Ställ inte in Aktivera DLP-regler på om du inte har en DLP-princip konfigurerad Microsoft 365.

    Om du slår på den här funktionen utan en DLP-princip genereras fel i skannern.

  3. (Valfritt) Under Konfigurera filinställningarställer du in På som ägare av lagringsplatsen och definierar en viss användare som lagringsägare.

    Med det här alternativet kan skannern minska exponering av alla filer som hittades på den här lagringsplatsen, som matchar DLP-principen, mot den definierade lagringsägaren.

DLP-principer och göra privata åtgärder

Om du använder en DLP-princip för att göra privata åtgärder och även planerar att använda skannern för att automatiskt märka dina filer rekommenderar vi att du även definierar den enhetliga etikettklientens avancerade inställning UseCopyAndP reserveNTFSOwner.

Den här inställningen säkerställer att de ursprungliga ägarna behåller åtkomsten till sina filer.

Mer information finns i Skapa ett genomsökningsjobb för innehåll och Använd en känslighetsetikett på innehåll automatiskt i Microsoft 365 dokumentation.

Ändra vilka filtyper som ska skyddas

Som standard skyddar AIP-skannern endast Office pdf-filer och filtyper.

Använd PowerShell-kommandon för att ändra beteendet efter behov, till exempel för att konfigurera skannern för att skydda alla filtyper, precis som klienten gör, eller för att skydda ytterligare, specifika filtyper.

Om det gäller en etikettprincip som gäller för användarkontots hämtningsetiketter för skannern anger du en avancerad PowerShell-inställning med namnet PFileSupportedExtensions.

För en skanner som har åtkomst till Internet är det här användarkontot det konto som du anger för parametern DelegatedUser med kommandot Set-AIPAuthentication Användare.

Exempel 1:PowerShell-kommandot för skannern för att skydda alla filtyper, där etikettprincipen heter "skanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Exempel 2:PowerShell-kommandot för skannern för att skydda .xml-filer och .tiff-filer utöver Office-filer och PDF-filer, där etikettprincipen heter "skanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Mer information finns i Ändra vilka filtyper som ska skyddas.

Uppgradera skannern

Om du har installerat skannern tidigare och vill uppgradera följer du anvisningarna i Uppgradera Azure Information Protection-skannern.

Konfigurera sedan skannern och använd den som vanligt genom att hoppa över stegen för att installera skannern.

Massredigera inställningar för datadatabasen

Använd knapparna Exporteraoch Importera för att göra ändringar för skannern på flera lagringsplatsen.

På så sätt behöver du inte göra samma ändringar flera gånger manuellt i Azure Portal.

Om du till exempel har en ny filtyp på flera SharePoint-datakällor kanske du vill uppdatera inställningarna för dessa lagringsplatsen i grupp.

Så här gör du stora ändringar på flera lagringsplatsen:

  1. I Azure-portalen i fönstret Lagringslagringar väljer du alternativet Exportera. Till exempel:

    Exportera inställningarna för datalagringsplatsen för Azure Information Protection-skannern.

  2. Redigera den exporterade filen manuellt för att göra ändringen.

  3. Använd alternativet Importera på samma sida om du vill importera uppdateringarna tillbaka till lagringsplatsen.

Använda skannern med alternativa konfigurationer

Azure Information Protection-skannern söker vanligtvis efter villkor som har angetts för dina etiketter för att klassificera och skydda innehållet efter behov.

I följande scenarier kan Azure Information Protection-skannern även söka igenom innehållet och hantera etiketter, utan att några villkor har konfigurerats:

Använda en standardetikett för alla filer på en datadatabas

I den här konfigurationen märks alla oetiketterade filer på lagringsplatsen med den standardetikett som angetts för lagringsplatsen eller genomsökningsjobbet för innehåll. Filer märks utan kontroll.

Konfigurera följande inställningar:

Inställning Beskrivning
Märka filer baserat på innehåll Ange som Av
Standardetikett Ställ in påEgen och välj sedan den etikett du vill använda
Framtvinga standardetikett Välj det här alternativet om du vill att standardetiketten ska tillämpas på alla filer, även om de redan har etiketter.

Ta bort befintliga etiketter från alla filer på en datadatabas

I den här konfigurationen tas alla befintliga etiketter bort, inklusive skydd, om skydd har använts med etiketten. Skydd som tillämpas oberoende av en etikett bevaras.

Konfigurera följande inställningar:

Inställning Beskrivning
Märka filer baserat på innehåll Ange som Av
Standardetikett Ange som Ingen
Relabel-filer Ange som med kryssrutan Tillämpa standardetikett markerad

Identifiera alla anpassade villkor och kända typer av känslig information

Med den här konfigurationen kan du hitta känslig information som du kanske inte skulle inse, på bekostnad av skanningshastigheter för skannern.

Ange att infotyperna ska upptäckas för alla.

För att identifiera villkor och informationstyper för märkning använder skannern alla anpassade typer av känslig information som anges samt en lista över inbyggda typer av känslig information som är tillgängliga att välja, enligt beskrivningen i märkningscenter.

Optimera skannerprestanda

Obs!

Om du vill förbättra skannerdatorns svarstid i stället för skannerns prestanda bör du använda en avancerad klientinställning för att begränsa antalet trådar som används av skannern.

Använd följande alternativ och vägledning för att optimera skannerprestanda:

Alternativ Beskrivning
Ha en snabb och tillförlitlig nätverksanslutning mellan skannerns dator och den skannade datakällan Placera till exempel skannerdatorn i samma LAN, eller helst i samma nätverkssegment som den skannade datakällan.

Nätverksanslutningens kvalitet påverkar skannerns prestanda eftersom skannern överför innehållet i filerna till datorn med skannertjänsten för att kontrollera filerna.

Att minska eller ta bort de nätverkshopp som krävs för att data ska färdas minskar också belastningen på nätverket.
Kontrollera att skannerns dator har tillgängliga processorresurser Att kontrollera filinnehållet och kryptera och dekryptera filer är processorintensiva åtgärder.

Övervaka de vanliga genomsökningscyklerna för angivna datakällor för att identifiera om brist på processorresurser negativt påverkar skannerns prestanda.
Installera flera instanser av skannern Azure Information Protection-skannern har stöd för flera konfigurationsdatabaser på samma SQL serverinstans när du anger ett anpassat klusternamn för skannern.

Tips:Flera skannrar kan också dela samma kluster, vilket ger snabbare skanningstid. Om du tänker installera skannern på flera datorer med samma databasinstans och vill att skannrar ska köras parallellt måste du installera alla skannrar med samma klusternamn.
Kontrollera alternativ konfigurationsanvändning Skannern körs snabbare när du använder den alternativa konfigurationen för att använda en standardetikett för alla filer eftersom skannern inte kontrollerar filinnehållet.

Skannern går långsammare när du använder alternativkonfigurationen för att identifiera alla anpassade villkor och typer av känslig information.

Ytterligare faktorer som påverkar prestanda

Ytterligare faktorer som påverkar skannerns prestanda är:

Faktor Beskrivning
Inläsnings-/svarstider De aktuella inläsnings- och svarstiderna för datakällorna som innehåller genomsökningsfilerna påverkar även skannerns prestanda.
Skannerläge (identifiering/framtvinga) Identifieringsläget har vanligtvis en högre genomsökningshastighet än genomsökningsläge.

För identifiering krävs en enda läsåtgärd, medan skrivningsläget kräver läs- och skrivåtgärder.
Principändringar Skannerns prestanda kan påverkas om du har gjort ändringar av autolabeling i etikettprincipen.

Din första genomsökningscykel, när skannern måste kontrollera varje fil, tar längre tid än efterföljande genomsökningscykler som standard genomsök bara nya och ändrade filer genomsöks.

Om du ändrar villkoren eller inställningarna för automatisk etikett sökers alla filer igenom igen. Mer information finns i Rescanning av filer.
Regex-konstruktioner Skannerprestandan påverkas av hur regex-uttrycken för anpassade villkor skapas.

Granska dina regex-uttryck för effektiv mönstermatchning för att undvika tung minnesanvändning och risken för timeouts (15 minuter per fil).

Till exempel:
– undvik osorterade mätbara medel
- Använd icke-inspelningsgrupper, till exempel (?:expression) i stället för (expression)
Loggnivå Bland alternativen för loggnivå finns Felsökning, Info, Fel och Av för skannerns rapporter.

- - resultat för bästa prestanda
- - går avsevärt långsammare för skannern och ska bara användas för felsökning.

Mer information finns i ReportLevel-parametern för cmdleten Set-AIPScannerConfiguration.
Filer genomsöks - Förutom att spara Excel, Office filer snabbare genomsöks än PDF-filer.

- Oskyddade filer går snabbare att söka igenom än skyddade filer.

- Stora filer tar förstås längre tid att söka igenom än små filer.

Använda PowerShell för att konfigurera skannern

I det här avsnittet beskrivs de steg som krävs för att konfigurera och installera den lokala AIP-skannern när du inte har åtkomst till skannersidorna i Azure-portalen, och endast måste använda PowerShell.

Viktigt

  • Vissa steg kräver Powershell oavsett om du har åtkomst till skannersidorna i Azure-portalen eller inte och är identiska. För de här stegen, se de tidigare instruktionerna i den här artikeln som anges.

  • Om du arbetar med skannern för Azure China 21Vianet krävs ytterligare steg utöver instruktionerna som beskrivs här. Mer information finns i Support för Azure Information Protection för Office 365 som drivs av 21Vianet.

Mer information finns i PowerShell-cmdlets som stöds.

Konfigurera och installera skannern:

  1. Börja med att stänga PowerShell. Om du tidigare har installerat AIP-klienten och skannern ska du kontrollera att AIP Scannerner-tjänsten stoppas.

  2. Öppna Windows PowerShell en session med alternativet Kör som administratör.

  3. Kör kommandot Install-AIP Scannerner för att installera skannern på SQL-serverinstansen, med parametern Cluster som definierar klusternamnet.

    Det här steget är identiskt oavsett om du har åtkomst till skannersidorna i Azure Portal eller inte. Mer information finns i de tidigare anvisningarna i den här artikeln: Installera skannern

  4. Hämta en Azure-token som du vill använda med skannern och autentisera den sedan en ny.

    Det här steget är identiskt oavsett om du har åtkomst till skannersidorna i Azure Portal eller inte. Mer information finns i tidigare anvisningar i den här artikeln: Hämta en Azure AD-token för skannern.

  5. Kör för att ställa in skannern så att den fungerar i offlineläge. Kör:

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  6. Kör cmdleten Set-AIPScannerContentScanJob för att skapa ett standardjobb för innehållssökning.

    Den enda obligatoriska parametern i cmdleten Set-AIPScannerContentJob ärEnforce. Men du kanske vill definiera andra inställningar för genomsökningsjobbet för innehåll just nu. Till exempel:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    Syntaxen ovan konfigurerar följande inställningar när du fortsätter konfigurationen:

    • Gör så att schemaläggningen av skannern körs manuellt
    • Anger vilka informationstyper som ska identifieras utifrån känslighetsetiketts princip
    • Tillämpar inte en princip för känslighetsetiketter
    • Automatiskt etiketterar filer baserat på innehåll med hjälp av standardetiketten som definierats för känslighetsetikettsprincipen
    • Tillåter inte att filer relabels
    • Bevarar filinformation vid genomsökning och automatisk etikettering, inklusive senast ändrad,senast ändradoch ändrad av värden
    • Ställer in skannern till att utesluta .msg- och .tmp-filer när den körs
    • Anger standardägaren till det konto som du vill använda när skannern körs
  7. Använd cmdleten Add-AIPScannerRepository till att definiera de lagringsgränser du vill söka igenom i innehållssökningsjobbet. Kör till exempel:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Använd någon av följande syntaxer, beroende på vilken typ av lagringsplats du lägger till:

    • För en nätverksresurs använder du \\Server\Folder .
    • För ett SharePoint använder du http://sharepoint.contoso.com/Shared%20Documents/Folder .
    • För en lokal sökväg: C:\Folder
    • För en UNC-sökväg: \\Server\Folder

    Obs!

    Jokertecken stöds inte och WebDav-platser stöds inte.

    Om du vill ändra lagringsplatsen senare använder du cmdleten Set-AIPScannerRepository i stället.

    Om du lägger till SharePoint sökväg för Delade dokument:

    • Ange Delade dokument i sökvägen när du vill söka igenom alla dokument och alla mappar från Delade dokument. Till exempel: http://sp2013/SharedDocuments
    • Ange Dokument i sökvägen när du vill söka igenom alla dokument och alla mappar från en undermapp under Delade dokument. Till exempel: http://sp2013/Documents/SalesReports
    • Eller ange bara FQDN för sharepoint, till exempel för att upptäcka och skanna alla SharePoint-webbplatser och underwebbplatser under en viss URL och undertexter under denna URL. Bevilja behörighet som granskare för skanner för webbplatsinsamlare för att aktivera detta.

    Använd följande syntax när du lägger SharePoint sökvägar:

    Sökväg Syntax
    Rotsökväg http://<SharePoint server name>

    Söker igenom alla webbplatser, inklusive webbplatssamlingar som är tillåtna för skanneranvändaren.
    Kräver ytterligare behörigheter för att automatiskt identifiera rotinnehåll
    Specifik SharePoint underwebbplats eller samling Något av följande:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Kräver ytterligare behörigheter för att automatiskt upptäcka webbplatssamlingsinnehåll
    Specifikt SharePoint bibliotek Något av följande:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Specifik SharePoint mapp http://<SharePoint server name>/.../<folder name>

Fortsätt med följande steg efter behov:

Använda PowerShell för att konfigurera skannern att tillämpa klassificering och skydd

  1. Kör cmdleten Set-AIPScannerContentScanJob för att uppdatera ditt genomsökningsjobb för att ställa in schemaläggningen så att den alltid och framtvinga din känslighetsprincip.

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On
    

    Tips!

    Du kanske vill ändra andra inställningar i det här fönstret, till exempel om filattribut ändras och om skannern kan ange filer igen. Mer information om tillgängliga inställningar finns i den fullständiga PowerShell-dokumentationen.

  2. Kör cmdleten Start-AIPScan för att köra innehållssökningsjobbet:

    Start-AIPScan
    

Skannern är nu schemalagd att köras kontinuerligt. När skannern arbetar sig igenom alla konfigurerade filer startar den automatiskt en ny cykel så att nya och ändrade filer upptäcks.

Använda PowerShell för att konfigurera en DLP-princip med skannern

  1. Kör cmdleten Set-AIPScannerContentScanJob igen med parametern -EnableDLP inställd på och med en viss databasägare definierad.

    Till exempel:

    Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
    

PowerShell-cmdlets som stöds

Det här avsnittet innehåller PowerShell-cmdlets som stöds för Azure Information Protection-skannern och instruktioner för konfigurering och installation av skannern endast med PowerShell.

Cmdlets som stöds för skannern är bland annat:

Nästa steg

När du har installerat och konfigurerat skannern börjar du skanna filerna.

Se även: Distribuera Azure Information Protection-skannern för att automatiskt klassificera och skydda filer.

Mer information:

  • Vill du veta hur Core Services Engineering and Operations-teamet i Microsoft implementerade den här skannern? Läs den tekniska fallstudien: Automatisera dataskydd med Azure Information Protection-skanner.

  • Använd PowerShell för att interaktivt klassificera och skydda filer från din stationära dator. Mer information om den här och andra scenarier som använder PowerShell finns i Använda PowerShell med den enhetliga etikettklienten Azure Information Protection.