Krav för installation och distribution av en enhetlig azure Information Protection-skanner

Gäller för:Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Relevant för:Endast AIP Unified Labeling Client.

Innan du installerar den lokala Azure Information Protection-skannern kontrollerar du att systemet uppfyller grundläggande krav för Azure Information Protection.

Dessutom är följande krav specifika för skannern:

Om du inte kan uppfylla alla krav för skannern eftersom de är förbjudna enligt organisationens principer kan du gå till avsnittet om alternativa konfigurationer.

Vid distribution av skannern i produktion eller testning av prestanda för flera skannrar, se Storage krav och kapacitetsplanering för SQL Server.

När du är redo att börja installera och distribuera skannern fortsätter du med Distribuera Azure Information Protection-skannern för att automatiskt klassificera och skydda filer.

Windows serverkrav

Du måste ha en Windows serverdator för att köra skannern, som har följande systemspecifikationer:

Specifikation Information
Processor Fyra processorkärnor
RAM-minne 8 GB
Diskutrymme 10 GB ledigt utrymme (genomsnitt) för tillfälliga filer.

Skannern kräver tillräckligt med diskutrymme för att skapa tillfälliga filer för varje fil som genomsöks, fyra filer per kärnfil.

Det rekommenderade diskutrymmet på 10 GB ger 4 processorkärnor för skanning av 16 filer som var och en har en filstorlek på 625 MB.
Operativsystem 64-bitarsversioner av:

- Windows Server 2019 - Windows Server 2016 - Windows Server 2012 R2 Obs! För test- eller utvärderingssyften i icke-produktionsmiljöer kan du även använda alla Windows-operativsystem som stöds av

Azure Information



Nätverksanslutning Skannerdatorn kan vara en fysisk eller virtuell dator med en snabb och tillförlitlig nätverksanslutning till de datakällor som ska skannas.

Om internetanslutningen inte är möjlig på grund av organisationens principer, se


I annat fall kontrollerar du att datorn är ansluten till Internet och tillåter följande URL-adresser via HTTPS (port 443):

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com
- *.protection.outlook.com
NFS-delar Om du vill ha stöd för skanningar på NFS-resurser måste tjänster för NFS vara distribuerade på skannerns dator.

Navigera till dialogrutan Windows-funktioner (aktivera eller inaktivera Windows-funktioner) på datorn och välj följande objekt: Tjänster för NFSAdministrationsverktyg och Klient för NFS.
Microsoft Office iFilter När skannern är installerad Windows en serverdator måste du även installera Microsoft Office iFilter för att söka igenom .zip efter typer av känslig information.

Mer information finns på Microsofts nedladdningswebbplats.

Krav för tjänstkonto

Du måste ha ett tjänstkonto för att kunna köra skannertjänsten på Windows Server-datorn, samt autentisera till Azure AD och ladda ned Azure Information Protection Policy.

Tjänstkontot måste vara ett Active Directory-konto och synkroniserat med Azure AD.

Om du inte kan synkronisera det här kontot på grund av organisationens principer kan du gå till Distribuera skannern med alternativa konfigurationer.

Det här tjänstkontot har följande krav:

Krav Information
Logga in på lokalt användar höger tilldelning Krävs för att installera och konfigurera skannern, men krävs inte för att köra skanningar.

När du har bekräftat att skannern kan identifiera, klassificera och skydda filer kan du ta bort detta direkt från tjänstkontot.

Om det inte går att bevilja denna rättighet även under en kort tidsperiod på grund av organisationens principer kan du gå till Distribuera
Logga in som tjänstanvändare rätt tilldelning. Den här rättigheten beviljas automatiskt till tjänstkontot under skannerinstallationen och den här rättigheten krävs för installation, konfiguration och användning av skannern.
Behörigheter till datakällorna - - : Bevilja läs-,skriv-och ändringsbehörigheter för att söka igenom filerna och sedan tillämpa klassificering och skydd efter konfiguration.

- - Du måste ge fullständig behörighet för att söka igenom filerna och sedan tillämpa klassificering och skydd på de filer som uppfyller villkoren i Azure Information Protection-principen.

- - Om du bara vill köra skannern i identifieringsläge är läsbehörigheten tillräcklig.
För etiketter som skyddar eller tar bort skydd För att säkerställa att skannern alltid har åtkomst till skyddade filer gör du det här kontot till en superanvändare för Azure Information Protection och ser till att funktionen för superanvändare är aktiverad.

Om du dessutom har implementerat
för en fasad distribution kontrollerar du att tjänstkontot ingår i de onboarding-kontroller som du har konfigurerat.
Specifik genomsökning på URL-nivå Om du vill söka efter och upptäcka webbplatser och underwebbplatser underen viss URL beviljar du behörigheten Granskare för webbplatsinsamlare till skannerkontot på servergruppsnivån.
Licens för informationsskydd Krävs för att tillhandahålla filklassificering, etiketter eller skyddsfunktioner för skannertjänstens konto.

Mer information finns i distributionsöversikten för Azure Information Protection och i Microsoft 365 för säkerhetsefterlevnad.

SQL för servern

Om du vill lagra information om skannerns konfiguration ska du SQL en server med följande krav:

  • En lokal instans eller fjärrinstans.

    Vi rekommenderar att SQL server och skannertjänsten på olika datorer, såvida du inte arbetar med en liten distribution. Dessutom rekommenderar vi att ha en dedikerad SQL instans som bara fungerar för skannerdatabasen, och som inte delas med andra program.

    Om du arbetar på en delad server kontrollerar du att det rekommenderade antalet kärnor är kostnadsfritt för att skannerns databas ska fungera.

    SQL Server 2016 är minimiversionen för följande utgåvor:

    • SQL Server Enterprise

    • SQL Server Standard

    • SQL Server Express (rekommenderas endast för testmiljöer)

  • Ett konto med sysadmin-roll för att installera skannern.

    Med rollen Sysadmin kan installationsprocessen automatiskt skapa skannerns konfigurationsdatabas och tilldela den db_owner rollen till tjänstkontot som kör skannern.

    Om du inte kan tilldelas rollen Sysadmin eller om organisationens principer kräver att databaser skapas och konfigureras manuellt går du till Distribuera skannern med alternativa konfigurationer.

  • Kapacitet. Kapacitetsvägledning finns i Storage och kapacitetsplanering för SQL Server.

  • Case insensitive collation.

Obs!

Flera konfigurationsdatabaser på samma SQL server stöds när du anger ett anpassat klusternamn för skannern, eller när du använder en förhandsgranskningsversion av skannern.

Storage krav och kapacitetsplanering för SQL Server

Mängden diskutrymme som krävs för skannerns konfigurationsdatabas och specifikationen för den dator som kör SQL Server kan variera för varje miljö, så vi rekommenderar att du gör dina egna tester. Använd följande vägledning som utgångspunkt.

Mer information finns i Optimera prestanda för skannern.

Diskstorleken för databasen för skannerns konfiguration varierar för varje distribution. Använd följande ekvation som vägledning:

100 KB + <file count> *(1000 + 4* <average file name length>)

Om du till exempel vill söka igenom en miljon filer som har en genomsnittlig filnamnslängd på 250 byte, allokerar du 2 GB diskutrymme.

För flera skannrar:

  • Upp till 10 skannraranvänder:

    • Fyra processorkärnor
    • 8 GB RAM rekommenderas
  • Mer än 10 skannrar (högst 40) använder du:

    • Åtta kärnprocesser
    • 16 GB RAM rekommenderas

Azure Information Protection-klientkrav

Du måste ha antingen den aktuella allmänt tillgängliga versionen av Azure Information Protection-klienten installerad Windows Server-datorn.

Mer information finns i administratörsguiden för unified labeling client.

Viktigt

Du måste installera hela klienten för skannern. Installera inte klienten med bara PowerShell-modulen.

Krav för etikettkonfiguration

Du måste ha minst en känslighetsetikett konfigurerad i Microsoft 365 Efterlevnadscenter för skannerkontot för att använda klassificering och, om du vill, skydd.

Skannerkontot är det konto som du anger i parametern DelegatedUser för cmdleten Set-AIPAuthentication, som körs när skannern konfigureras.

Om etiketterna inte har villkor för automatisk märkning kan du läsa anvisningarna för alternativa konfigurationer nedan.

Mer information finns i:

SharePoint krav

Om du SharePoint dokumentbibliotek och mappar bör du kontrollera SharePoint att servern uppfyller följande krav:

Krav Beskrivning
Versioner som stöds Exempel på versioner som stöds är: SharePoint 2019, SharePoint 2016 SharePoint 2013.
Andra versioner av SharePoint stöds inte för skannern.
Versionshantering När du använder versionshanteringinspekteras och etiketteras den senast publicerade versionen av skannern.

Om skannern etiketterar en fil och godkännande av innehåll måste den etiketterade filen godkännas för att vara tillgänglig för användare.
Stora SharePoint grupper För stora SharePoint-grupper kontrollerar du om du behöver öka tröskelvärdet för listvyn (som standard 5 000) för att skannern ska komma åt alla filer.

Mer information finns i Hantera stora listor och bibliotek i SharePoint.
Långa filsökvägar Om du har långa sökvägar i SharePoint ska du kontrollera att httpRuntime.maxUrlLength-värdet för SharePoint-servern är större än standardvärdet på 260 tecken.

Mer information finns i Undvik timeout för skanner i SharePoint.

Microsoft Office krav

Om du Office igenom dokument måste dokumenten ha något av följande format:

  • Microsoft Office 97-2003
  • Office Open XML-format för Word, Excel och PowerPoint

Mer information finns i Filtyper som stöds av Azure Information Protection Unified Labeling Client.

Krav på sökväg

För att genomsöka filer måste sökvägarna som standard innehålla högst 260 tecken.

Om du vill söka igenom filer med filsökvägar som är längre än 260 tecken installerar du skannern på en dator med någon av följande Windows versioner och konfigurerar datorn efter behov:

Windows version Beskrivning
Windows 2016 eller senare Konfigurera datorn så att långa sökvägar kan stödjas
Windows 11, Windows 10 eller Windows Server 2016 Definiera följande grupprincipinställning: Administrativamallar för datorkonfigurationför lokala datorprinciperAlla Inställningar aktivera Win32-långa sökvägar.

Mer information om stöd för långa sökvägar i dessa versioner finns i avsnittet Maxlängdsbegränsning
sökvägar Windows 10 utvecklardokumentationen.
Windows 10, version 1607 eller senare Registrera dig för de MAX_PATH funktionerna. Mer information finns i Aktivera Långa sökvägar i Windows 10 version 1607 och senare.

Distribuera skannern med alternativa konfigurationer

Kraven som anges ovan är standardkraven för skannerdistributionen och rekommenderas eftersom de stöder den enklaste skannerkonfigurationen.

Standardkraven bör vara lämpliga för första testning, så att du kan kontrollera skannerns funktioner.

I en produktionsmiljö kan organisationens principer dock vara annorlunda än standardkraven. Skannern kan hantera följande ändringar med ytterligare konfiguration:

Upptäcka och söka igenom alla Sharepoint-webbplatser och underwebbplatser under en viss url

Skannern kan identifiera och skanna alla SharePoint-webbplatser och underwebbplatser under en viss URL med följande konfiguration:

  1. Starta SharePoint Central administration.

  2. Klicka SharePoint på Hantera webbprogram i avsnittet Programhantering på webbplatsen För central administration.

  3. Klicka här om du vill markera det webbprogram vars behörighetsprincipnivå du vill hantera.

  4. Välj relevant servergrupp och välj sedan Hantera principnivåer för behörigheter.

  5. Välj Granskare för webbplatssamling i alternativen för webbplatssamlingsbehörigheter, tilldela sedan Visa programsidor i behörighetslistan och ge den nya principnivån namnet AIP-granskareför skannerns webbplatssamling och visningsprogram på den nya principnivån.

  6. Lägg till skanneranvändaren i den nya principen och tilldela Webbplatssamling i listan Behörigheter.

  7. Lägg till en URL för SharePoint som är värd för webbplatser eller underwebbplatser som ska genomsökas. Mer information finns i Konfigurera skannern i Azure Portal.

Mer information om hur du hanterar dina SharePoint nivåer finns i Hantera behörighetsprinciper för ett webbprogram.

Begränsning: Skannerservern kan inte ha internetanslutning

Även om den enhetliga etikettklienten inte kan skydda utan Internetanslutning kan skannern fortfarande använda etiketter baserade på importerade principer.

Använd någon av följande metoder för att stödja en frånkopplad dator:

Använda Azure Portal med en frånkopplad dator

Så här stöder du en frånkopplad dator från Azure Portal:

  1. Konfigurera etiketter i principen och använd sedan proceduren för att stödja frånkopplade datorer för att aktivera offlineklassificering och etiketter.

  2. Aktivera offlinehantering för innehålls- och nätverkssökningsjobb på följande sätt:

    Aktivera offlinehantering för innehållssökningsjobb:

    1. Ställ in skannern på att fungera i offlineläge med hjälp av cmdleten Set-AIP ScannernerConfiguration.

    2. Konfigurera skannern i Azure Portal genom att skapa ett skannerkluster. Mer information finns i Konfigurera skannern i Azure Portal.

    3. Exportera innehållsjobbet från fönstret Azure Information Protection – Sök efter innehåll med alternativet Exportera.

    4. Importera principen med hjälp av cmdleten Import-AIPScannerConfiguration.

    Resultat för sökning efter offlineinnehåll finns i: %localappdata%\Microsoft\MSIP\Scanner\Reports

    Aktivera offlinehantering för nätverkssökningsjobb:

    1. Ställ in tjänsten Nätverksidentifiering (offentlig förhandsversion) så att den fungerar i offlineläge med cmdleten Set-MIPNetworkDiscoveryConfiguration.

    2. Konfigurera genomsökningsjobbet i Azure Portal. Mer information finns i Skapa ett genomsökningsjobb för nätverket.

    3. Exportera nätverkssökningsjobbet från Fönstret Azure Information Protection – Nätverkssökningsjobb (förhandsversion) med alternativet Exportera.

    4. Importera genomsökningsjobbet med den fil som matchar vårt klusternamn med hjälp av cmdleten Import-MIPNetworkDiscoveryConfiguration.

    Resultat för sökning efter offlinenätverk finns i: %localappdata%\Microsoft\MSIP\Scanner\Reports

Använda PowerShell med en frånkopplad dator

Utför följande procedur för att stödja en frånkopplad dator med endast PowerShell.

Viktigt

Administratörer för Azure China 21Vianet-skannerservrar måste använda den här proceduren för att hantera sina innehållssökningsjobb.

Hantera genomsökningsjobb med bara PowerShell:

  1. Ställ in skannern på att fungera i offlineläge med hjälp av cmdleten Set-AIP ScannernerConfiguration.

  2. Skapa ett nytt genomsökningsjobb med hjälp av cmdleten Set-AIPScannerContentJob, och se till att använda den obligatoriska parametern.

  3. Lägg till lagringsplatsen med hjälp av cmdleten Add-AIPScannerRepository, med sökvägen till lagringsplatsen som du vill lägga till.

    Tips!

    Du kan förhindra att lagringsplatsen ärver inställningar från genomsökningsjobbet för innehåll genom att lägga till OverrideContentScanJob On parametern samt värden för ytterligare inställningar.

    Om du vill redigera information om en befintlig lagringsplats använder du kommandot Set-AIPScannerRepository.

  4. Använd cmdletarna Get-AIPScannerContentJob OchGet-AIP ExplorerRepository för att returnera information om de aktuella inställningarna för genomsökningsjobbet.

  5. Använd kommandot Set-AIPScannerRepository för att uppdatera information om en befintlig lagringsplats.

  6. Kör genomsökningsjobbet för innehåll omedelbart om det behövs med hjälp av start-AIPScan-cmdleten.

    Resultat för sökning efter offlineinnehåll finns i: %localappdata%\Microsoft\MSIP\Scanner\Reports

  7. Om du behöver ta bort en lagringsplats eller ett helt genomsökningsjobb för innehåll kan du använda följande cmdlets:

Begränsning: Du kan inte beviljas Sysadmin eller databaser måste skapas och konfigureras manuellt

Använd följande procedurer för att skapa databaser manuellt och tilldela db_owner efter behov.

Om du tillfälligt kan tilldelas rollen Sysadmin för att installera skannern, kan du ta bort den här rollen när skannerns installation är klar.

Gör något av följande, beroende på organisationens krav:

Begränsning Beskrivning
Du kan ha sysadmin-rollen tillfälligt Om du tillfälligt har rollen Sysadmin skapas databasen automatiskt åt dig och tjänstkontot för skannern tilldelas automatiskt de behörigheter som krävs.

Men användarkontot som konfigurerar skannern måste fortfarande db_owner för skannerns konfigurationsdatabas. Om du bara har rollen Sysadmin tills installationen av skannern är klar, tills db_owner tilldela rollen till användarkontot manuellt.
Du kan inte ha rollen Sysadmin alls Om du inte kan tilldelas rollen Sysadmin ens tillfälligt måste du be en användare med Sysadmin-rättigheter att skapa en databas manuellt innan du installerar skannern.

För den här konfigurationen db_owner rollen tilldelas till följande konton:
- Tjänstkonto för skannern
- Användarkonto för skannerinstallationen
- Användarkonto för skannerkonfiguration

Vanligtvis använder du samma användarkonto för att installera och konfigurera skannern. Om du använder olika konton kräver de båda rollen db_owner skannerns konfigurationsdatabas. Skapa denna användare och rättigheter efter behov. Om du anger ett eget klusternamn får konfigurationsdatabasen namnet AIPScannerUL_ cluster_name >.

Dessutom:

  • Du måste vara lokal administratör på servern som kör skannern

  • Tjänstkontot som ska köra skannern måste ges fullständig behörighet till följande registernycklar:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Om du får ett felmeddelande när du har konfigurerat behörigheterna när du installerar skannern kan felet ignoreras och du kan starta skannertjänsten manuellt.

Skapa en databas och användare för skannern manuellt och tilldela db_owner rättigheter

Om du måste skapa en skannerdatabas manuellt och/eller skapa en användare och bevilja db_owner för databasen ber du Sysadmin att göra följande:

  1. Skapa en databas för skanner:

    **CREATE DATABASE AIPScannerUL_[clustername]**
    
    **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
    
  2. Tilldela behörighet till användaren som kör installationskommandot och används för att köra kommandon för skannerhantering. Använd följande skript:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. Bevilja rättigheter till skannertjänstkonto. Använd följande skript:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

Skapa en databas och användare manuellt för tjänsten Nätverksidentifiering och tilldela db_owner rättigheter

Om du måste skapa nätverksidentifieringsdatabasen manuellt och/eller skapa en användare och bevilja db_owner rättigheter för databasen ber du Sysadmin att utföra följande steg:

  1. Skapa en databas för tjänsten Nätverksidentifiering:

    **CREATE DATABASE AIPNetworkDiscovery_[clustername]**
    
    **ALTER DATABASE AIPNetworkDiscovery_[clustername] SET TRUSTWORTHY ON**
    
  2. Tilldela behörighet till användaren som kör installationskommandot och används för att köra kommandon för skannerhantering. Använd följande skript:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. Bevilja rättigheter till kontot för skannertjänsten. Använd följande skript:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

Begränsning: Tjänstkontot för skannern kan inte tilldelas Logga in lokalt direkt

Om organisationens principer förhindrar inloggningen lokalt för tjänstkonton ska du använda parametern OnBehalfOf med Set-AIPAuthentication.

Mer information finns i Så här märks filer icke-interaktivt för Azure Information Protection.

Begränsning: Skannertjänstkontot kan inte synkroniseras till Azure Active Directory men servern är ansluten till Internet

Du kan ha ett konto för att köra skannertjänsten och använda ett annat konto för att autentisera Azure Active Directory:

Begränsning: Etiketterna har inga villkor för automatisk märkning

Om etiketterna inte har några villkor för automatisk märkning ska du planera att använda något av följande alternativ när du konfigurerar skannern:

Alternativ Beskrivning
Upptäck alla informationstyper Ange att alternativet Infotyperska upptäckas till Alla i sökjobbet.

Med det här alternativet anges sökjobbet för innehåll för att söka efter alla typer av känslig information.
Använd rekommenderade etiketter I genomsökningsjobbetför innehåll anger du alternativet Behandla rekommenderade etiketter som automatiskt till .

Med den här inställningen konfigurerar du skannern att automatiskt tillämpa alla rekommenderade etiketter på innehållet.
Definiera en standardetikett Definiera en standardetikett i principen,jobbet för innehållssökningeller lagringsplats.

I det här fallet använder skannern standardetiketten på alla filer som hittas.

Nästa steg

När du har bekräftat att systemet uppfyller skannerns krav fortsätter du med Distribuera Azure Information Protection-skannern för att automatiskt klassificera och skydda filer.

En översikt över skannern finns i Distribuera Azure Information Protection-skannern för att automatiskt klassificera och skydda filer.

Mer information:

  • Vill du veta hur Core Services Engineering and Operations-teamet i Microsoft implementerade den här skannern? Läs den tekniska fallstudien: Automatisera dataskydd med Azure Information Protection-skanner.

  • Du kan också använda PowerShell till att interaktivt klassificera och skydda filer från den stationära datorn. Mer information om den här och andra scenarier som använder PowerShell finns i Använda PowerShell med den enhetliga etikettklienten Azure Information Protection.