Krav för att installera och distribuera den klassiska Azure Information Protection-skannern

  • Artikel

Innan du installerar Azure Information Protection lokal skanner kontrollerar du att systemet uppfyller grundläggande krav för Azure Information Protection samt följande krav som är specifika för skannern:

Om du inte kan uppfylla alla krav i tabellen eftersom de är förbjudna enligt organisationens principer kan du läsa avsnittet alternativa konfigurationer .

När du distribuerar skannern i produktion eller testar prestanda för flera skannrar kan du läsa Storage krav och kapacitetsplanering för SQL Server.

När du är redo att börja installera och distribuera skannern fortsätter du med Distribuera Azure Information Protection-skannern för att automatiskt klassificera och skydda filer.

Windows Server-krav

Du måste ha en Windows Server-dator för att köra skannern, som har följande systemspecifikationer:

Specifikation Information
Processor Processorer med 4 kärnor
RAM 8 GB
Diskutrymme 10 GB ledigt utrymme (genomsnitt) för temporära filer.

Skannern kräver tillräckligt med diskutrymme för att skapa temporära filer för varje fil som genomsöks, fyra filer per kärna.

Det rekommenderade diskutrymmet på 10 GB gör det möjligt för 4 kärnprocessorer att skanna 16 filer som var och en har en filstorlek på 625 MB.
Operativsystem – Windows Server 2019
– Windows Server 2016
– Windows Server 2012 R2

Obs! För testnings- eller utvärderingsändamål i en icke-produktionsmiljö kan du även använda alla Windows operativsystem som stöds av Azure Information Protection klient.
Nätverksanslutningar Skannerdatorn kan vara en fysisk eller virtuell dator med en snabb och tillförlitlig nätverksanslutning till de datalager som ska genomsökas.

Om internetanslutningen inte är möjlig på grund av organisationens principer kan du läsa Distribuera skannern med alternativa konfigurationer.

I annat fall kontrollerar du att datorn har internetanslutning som tillåter följande URL:er via HTTPS (port 443):

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com

Krav på tjänstkonto

Du måste ha ett tjänstkonto för att köra skannertjänsten på Windows Server-datorn, samt autentisera för att Azure AD och ladda ned Azure Information Protection Policy.

Ditt tjänstkonto måste vara ett Active Directory-konto och synkroniserat för att Azure AD.

Om du inte kan synkronisera det här kontot på grund av dina organisationsprinciper kan du läsa Distribuera skannern med alternativa konfigurationer.

Det här tjänstkontot har följande krav:

Krav Information
Logga in på tilldelning av användarrättvis Krävs för att installera och konfigurera skannern, men krävs inte för att köra genomsökningar.

När du har bekräftat att skannern kan identifiera, klassificera och skydda filer kan du ta bort den här rättigheten från tjänstkontot.

Om det inte går att bevilja den här rättigheten ens under en kort tidsperiod på grund av organisationens principer kan du läsa Distribuera skannern med alternativa konfigurationer.
Logga in som en tjänstanvändares rättighetstilldelning. Den här behörigheten beviljas automatiskt till tjänstkontot under skannerinstallationen och den här behörigheten krävs för installation, konfiguration och drift av skannern.
Behörigheter till datalagringsplatserna - Filresurser eller lokala filer: Bevilja läs-, skriv- och ändringsbehörigheter för genomsökning av filerna och tillämpa sedan klassificering och skydd enligt konfigurationen.

- SharePoint: Bevilja fullständig behörighet för genomsökning av filerna och tillämpa sedan klassificering och skydd enligt konfigurationen.

- Identifieringsläge: Om du bara vill köra skannern i identifieringsläge räcker det med läsbehörighet .
För etiketter som återaktivera eller ta bort skydd För att säkerställa att skannern alltid har åtkomst till skyddade filer gör du kontot till en superanvändare för Azure Information Protection och ser till att superanvändarfunktionen är aktiverad.

Om du har implementerat onboarding-kontroller för en stegvis distribution kontrollerar du dessutom att tjänstkontot ingår i de onboarding-kontroller som du har konfigurerat.

SQL serverkrav

Om du vill lagra konfigurationsdata för skannern använder du en SQL-server med följande krav:

  • En lokal instans eller fjärrinstans.

    Vi rekommenderar att du är värd för SQL-servern och skannertjänsten på olika datorer, såvida du inte arbetar med en liten distribution. Dessutom rekommenderar vi att du har en dedikerad SQL-instans som endast hanterar skannerdatabasen och som inte delas med andra program.

    Om du arbetar på en delad server kontrollerar du att det rekommenderade antalet kärnor är kostnadsfritt så att skannerdatabasen fungerar.

    SQL Server 2012 är den lägsta versionen för följande utgåvor:

    • SQL Server Enterprise
    • SQL Server Standard
    • SQL Server Express (rekommenderas endast för testmiljöer)

  • Ett konto med sysadmin-rollen för att installera skannern.

    Detta gör att installationsprocessen automatiskt skapar skannerkonfigurationsdatabasen och beviljar den nödvändiga db_owner rollen till tjänstkontot som kör skannern.

    Om du inte kan beviljas Sysadmin-rollen eller om organisationens principer kräver att databaser skapas och konfigureras manuellt kan du läsa Distribuera skannern med alternativa konfigurationer.

  • Kapacitet. Mer information om kapacitet finns i Storage krav och kapacitetsplanering för SQL Server.

  • Skiftlägesokänslig sortering.

Anteckning

Flera konfigurationsdatabaser på samma SQL server stöds när du anger ett anpassat klusternamn (profil) för skannern.

Storage krav och kapacitetsplanering för SQL Server

Mängden diskutrymme som krävs för skannerns konfigurationsdatabas och specifikationen för den dator som kör SQL Server kan variera för varje miljö, så vi rekommenderar att du gör din egen testning. Använd följande vägledning som utgångspunkt.

Mer information finns i Optimera skannerns prestanda.

Diskstorleken för konfigurationsdatabasen varierar för varje distribution. Vi rekommenderar att du allokerar 500 MB för varje 1 000 000 filer som du vill genomsöka.

För varje skanner använder du:

  • Processorer med 4 kärnor
  • 8 GB RAM -minne (minst 4 GB)

Förutsättningar för Azure Information Protection-klienten

Du måste ha Azure Information Protection-klienten installerad på Windows Server-datorn.

Mer information finns i den klassiska klientadministratörsguiden.

Viktigt

Du måste installera den fullständiga klienten för skannern. Installera inte klienten med bara PowerShell-modulen.

Krav för etikettkonfiguration

Du måste ha etiketter konfigurerade som automatiskt tillämpar klassificering och eventuellt skydd.

Om du inte har konfigurerat dessa etiketter kan du läsa Distribuera skannern med alternativa konfigurationer.

Mer information finns i:

Tips

Använd instruktionerna från självstudien för att testa skannern med en etikett som söker efter kreditkortsnummer i ett förberett Word-dokument. Du måste dock ändra etikettkonfigurationen så att alternativet Välj hur den här etiketten ska tillämpas är inställt på Automatisk i stället för Rekommenderad eller behandla rekommenderad etikettering som automatisk (finns i skannerversion 2.7.x.x och senare).

Ta sedan bort etiketten från dokumentet (om den används) och kopiera filen till en datalagringsplats för skannern.

SharePoint krav

Om du vill genomsöka SharePoint dokumentbibliotek och mappar kontrollerar du att din SharePoint-server uppfyller följande krav:

  • Versioner som stöds. Versioner som stöds är: SharePoint 2019, SharePoint 2016 och SharePoint 2013. Andra versioner av SharePoint stöds inte för skannern.

  • Versionshantering. När du använder versionshantering inspekterar och etiketterar skannern den senast publicerade versionen. Om skannern etiketterar en fil och ett innehållsgodkännande krävs måste den märkta filen godkännas för att vara tillgänglig för användare.

  • Stora SharePoint gårdar. För stora SharePoint grupper kontrollerar du om du behöver öka tröskelvärdet för listvyn (som standard 5 000) för att skannern ska få åtkomst till alla filer. Mer information finns i Hantera stora listor och bibliotek i SharePoint.

Microsoft Office krav

Om du vill söka igenom Office dokument måste dina dokument ha något av följande format:

  • Microsoft Office 97-2003
  • Office Open XML-format för Word, Excel och PowerPoint

Mer information finns i Filtyper som stöds av Azure Information Protection-klienten.

Krav för filsökväg

Om du vill söka igenom filer måste sökvägarna innehålla högst 260 tecken, såvida inte skannern är installerad på Windows 2016 och datorn har konfigurerats för att stödja långa sökvägar

Windows 10 och Windows Server 2016 har stöd för sökvägslängder som är längre än 260 tecken med följande grupprincipinställning: Administrativamallar> fördatorkonfiguration> på lokal dator>Alla Inställningar>Aktivera Win32-långa sökvägar

Mer information om stöd för långa filsökvägar finns i avsnittet Maximal begränsning av sökvägslängd i dokumentationen för Windows 10 utvecklare.

Distribuera skannern med alternativa konfigurationer

Kraven ovan är standardkraven för skannerdistributionen och rekommenderas eftersom de stöder den enklaste skannerkonfigurationen.

Standardkraven bör vara lämpliga för inledande testning, så att du kan kontrollera skannerns funktioner.

Men i en produktionsmiljö kan organisationens principer förbjuda dessa standardkrav. Skannern kan hantera följande begränsningar med ytterligare konfiguration:

Begränsning: Skannerservern kan inte ha internetanslutning

Utför följande steg för att stödja en frånkopplad dator:

  1. Konfigurera etiketter som endast tillämpar klassificering eller tillämpa skydd som använder HYOK-skydd.

    Utan internetanslutning kan skannern inte använda skydd, ta bort skydd eller inspektera skyddade filer med hjälp av organisationens molnbaserade nyckel. I stället är skannern begränsad till att använda etiketter som endast tillämpar klassificering eller tillämpar skydd som använder HYOK-skydd.

    Mer information finns i Stöd för frånkopplade datorer.

  2. Konfigurera skannern i Azure Portal genom att skapa ett skannerkluster. Om du behöver hjälp med det här steget kan du läsa Konfigurera skannern i Azure Portal.

  3. Exportera innehållsjobbet från fönstret Azure Information Protection – Innehållssökningsjobb med hjälp av alternativet Exportera.

  4. I en PowerShell-session kör du Import-AIPScannerConfiguration och anger filen som innehåller de exporterade inställningarna.

Begränsning: Du kan inte beviljas Sysadmin eller så måste databaser skapas och konfigureras manuellt

Om du kan beviljas sysadmin-rollen tillfälligt för att installera skannern kan du ta bort den här rollen när skannerinstallationen är klar.

Gör något av följande, beroende på organisationens krav:

  • Du kan ha sysadmin-rollen tillfälligt. Om du tillfälligt har sysadmin-rollen skapas databasen automatiskt åt dig och tjänstkontot för skannern beviljas automatiskt de behörigheter som krävs.

    Användarkontot som konfigurerar skannern kräver dock fortfarande db_owner roll för skannerkonfigurationsdatabasen. Om du bara har sysadmin-rollen tills skannerinstallationen är klar beviljar du db_owner rollen till användarkontot manuellt.

  • Du kan inte ha sysadmin-rollen alls. Om du inte kan beviljas Sysadmin-rollen ens tillfälligt måste du be en användare med Sysadmin-behörighet att manuellt skapa en databas innan du installerar skannern.

    För den här konfigurationen måste db_owner-rollen tilldelas till följande konton:

    • Tjänstkonto för skannern

    • Användarkonto för skannerinstallationen

    • Användarkonto för skannerkonfiguration

    Normalt använder du samma användarkonto för att installera och konfigurera skannern. Om du använder olika konton kräver båda db_owner rollen för skannerkonfigurationsdatabasen. Skapa den här användaren och rättigheter efter behov.

    Om du inte anger ett eget klusternamn (profil) för skannern får konfigurationsdatabasen namnet AIPScanner_<computer_name>.
    Fortsätt med att skapa en användare och bevilja db_owner behörigheter för databasen.

Dessutom:

  • Du måste vara lokal administratör på servern som ska köra skannern

  • Tjänstkontot som ska köra skannern måste beviljas fullständig behörighet till följande registernycklar:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Om du efter att ha konfigurerat dessa behörigheter ser ett fel när du installerar skannern kan felet ignoreras och du kan starta skannertjänsten manuellt.

Fyll i databasen manuellt

Fyll i databasen med följande skript:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

Skapa en användare och bevilja db_owner rättigheter manuellt

Om du vill skapa en användare och bevilja db_owner behörigheter för den här databasen ber du Sysadmin att göra följande:

  1. Skapa en databas för skanner:

    **CREATE DATABASE AIPScannerUL_[clustername]**

**ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**

  2. Bevilja behörighet till den användare som kör installationskommandot och som används för att köra skannerhanteringskommandon.

    SQL skript:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

  3. Bevilja behörighet till skannertjänstkontot.

    SQL skript:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

Begränsning: Tjänstkontot för skannern kan inte beviljas lokal inloggningsbehörighet

Om organisationens principer förbjuder lokal inloggning för tjänstkonton, men tillåter behörigheten Logga in som batchjobb , läser du Ange och använda tokenparametern för Set-AIPAuthentication.

Begränsning: Skannertjänstkontot kan inte synkroniseras till Azure Active Directory men servern har internetanslutning

Du kan ha ett konto för att köra skannertjänsten och använda ett annat konto för att autentisera för att Azure Active Directory:

Begränsning: Etiketterna har inte villkor för automatisk etikettering

Om etiketterna inte har några villkor för automatisk etikettering planerar du att använda något av följande alternativ när du konfigurerar skannern:

Alternativ Beskrivning
Identifiera alla informationstyper I innehållssökningsjobbet anger du alternativet Informationstyper som ska identifieras till Alla.

Det här alternativet ställer in innehållssökningsjobbet för att söka igenom innehållet efter alla typer av känslig information.
Definiera en standardetikett Definiera en standardetikett i principen, innehållssökningsjobbet eller lagringsplatsen.

I det här fallet tillämpar skannern standardetiketten på alla filer som hittas.

Nästa steg

När du har bekräftat att systemet uppfyller kraven för skannern fortsätter du med Att distribuera Azure Information Protection-skannern för att automatiskt klassificera och skydda filer.

En översikt över skannern finns i Distribuera Azure Information Protection-skannern för att automatiskt klassificera och skydda filer.

Mer information:

Är du intresserad av hur Core Services Engineering and Operations-teamet i Microsoft implementerade den här skannern? Läs den tekniska fallstudien: Automatisera dataskydd med Azure Information Protection-skanner.

Du kanske undrar: Vad är skillnaden mellan Windows Server FCI och Azure Information Protection-skannern?

Du kan också använda PowerShell för att interaktivt klassificera och skydda filer från din stationära dator. Mer information om detta och andra scenarier som använder PowerShell finns i Använda PowerShell med den klassiska Azure Information Protection-klienten