Distribuera tidigare versioner av Azure Information Protection-skannernDeploying previous versions of the Azure Information Protection scanner

Gäller för: Azure information Protection, windows Server 2019, windows Server 2016, windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Instruktioner för: Azure information Protection-klient för WindowsInstructions for: Azure Information Protection client for Windows

Anteckning

För att tillhandahålla en enhetlig och strömlinjeformad kund upplevelse är Azure information Protection-klienten (klassisk) och etikett hantering i Azure-portalen föråldrad den 31 mars 2021.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Med den här tids ramen kan alla nuvarande Azure Information Protection-kunder övergå till vår enhetliga etikett lösning med hjälp av Microsoft Information Protection Unified Labeling-plattformen.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Läs mer i det officiella utfasnings meddelandet.Learn more in the official deprecation notice.

Anteckning

Den här artikeln är för versioner av Azure Information Protection-skannern som är äldre än version 1.48.204.0 men som fortfarande stöds.This article is for versions of the Azure Information Protection scanner that are earlier than version 1.48.204.0 but still in support. Information om hur du uppgraderar tidigare versioner till den aktuella versionen finns i uppgradera Azure information Protection Scanner.To upgrade earlier versions to the current version, see Upgrading the Azure Information Protection scanner.

Om du letar efter distributions anvisningar för den aktuella versionen av skannern, som innehåller konfiguration från Azure Portal, se distribuera Azure information Protection-skannern för att automatiskt klassificera och skydda filer.If you are looking for deployment instructions for the current version of the scanner, which includes configuration from the Azure portal, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

Använd den här informationen om du vill veta mer om Azure Information Protection scanner och hur du installerar, konfigurerar och kör den.Use this information to learn about the Azure Information Protection scanner, and then how to successfully install, configure, and run it.

Den här skannern körs som en tjänst på Windows Server och gör att du kan identifiera, klassificera och skydda filer i följande data lager:This scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

  • UNC-sökvägar för nätverks resurser som använder SMB-protokollet (Server Message Block).UNC paths for network shares that use the Server Message Block (SMB) protocol.

  • Dokument bibliotek och mappar för SharePoint Server 2019 via SharePoint Server 2013.Document libraries and folders for SharePoint Server 2019 through SharePoint Server 2013. SharePoint 2010 stöds även för kunder som har utökad support för den här versionen av SharePoint.SharePoint 2010 is also supported for customers who have extended support for this version of SharePoint.

Om du vill genomsöka och märka filer i moln lagrings platser använder du Cloud App Security i stället för skannern.To scan and label files on cloud repositories, use Cloud App Security instead of the scanner.

Översikt över Azure Information Protection-skannernOverview of the Azure Information Protection scanner

När du har konfigurerat din Azure information Protection-princip för etiketter som tillämpar automatisk klassificering, kan filer som den här skannern upptäcker vara märkta.When you have configured your Azure Information Protection policy for labels that apply automatic classification, files that this scanner discovers can then be labeled. Etiketter tillämpar klassificering och alternativt, tillämpa skydd eller ta bort skydd:Labels apply classification, and optionally, apply protection or remove protection:

Översikt över Azure Information Protection skanner arkitektur

Skannern kan inspektera alla filer som Windows kan indexera genom att använda IFilters som är installerade på datorn.The scanner can inspect any files that Windows can index, by using IFilters that are installed on the computer. För att ta reda på om filerna behöver etiketter, använder skannern Office 365 inbyggd data förlust skydd (DLP), typ av känslig information och mönster identifiering, eller Office 365 regex-mönster.Then, to determine if the files need labeling, the scanner uses the Office 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Office 365 regex patterns. Eftersom skannern använder Azure Information Protection-klienten, kan den klassificera och skydda samma filtyper.Because the scanner uses the Azure Information Protection client, it can classify and protect the same file types.

Du kan bara köra skannern i identifierings läge, där du använder rapporterna för att kontrol lera vad som skulle hända om filerna har märkts.You can run the scanner in discovery mode only, where you use the reports to check what would happen if the files were labeled. Du kan också köra skannern för att automatiskt tillämpa etiketterna.Or, you can run the scanner to automatically apply the labels. Du kan också köra skannern för att identifiera filer som innehåller känsliga informations typer, utan att konfigurera etiketter för villkor som tillämpar automatisk klassificering.You can also run the scanner to discover files that contain sensitive information types, without configuring labels for conditions that apply automatic classification.

Observera att skannern inte identifierar och märker i real tid.Note that the scanner does not discover and label in real time. Den crawlar systematiskt genom filer i data lager som du anger, och du kan konfigurera den här cykeln så att den körs en gång eller flera gånger.It systematically crawls through files on data stores that you specify, and you can configure this cycle to run once, or repeatedly.

Du kan ange vilka filtyper som ska genomsökas eller undantas från genomsökning.You can specify which file types to scan, or exclude from scanning. Om du vill begränsa vilka filer som ska genomsökas definierar du en lista med filtyper med hjälp av set-AIPScannerScannedFileTypes.To restrict which files the scanner inspects, define a file types list by using Set-AIPScannerScannedFileTypes.

Krav för Azure Information Protection-skannernPrerequisites for the Azure Information Protection scanner

Kontrol lera att följande krav är på plats innan du installerar Azure Information Protection-skannern.Before you install the Azure Information Protection scanner, make sure that the following requirements are in place.

KravRequirement Mer informationMore information
Windows Server-dator för att köra skanner tjänsten:Windows Server computer to run the scanner service:

– 4 kärnor- 4 core processors

– 8 GB RAM-minne- 8 GB of RAM

– 10 GB ledigt utrymme (genomsnitt) för temporära filer- 10 GB free space (average) for temporary files
Windows Server 2019, Windows Server 2016 eller Windows Server 2012 R2.Windows Server 2019, Windows Server 2016, or Windows Server 2012 R2.

Obs! i testnings-eller utvärderings syfte i en miljö som inte är en produktions miljö kan du använda ett Windows-klient operativ system som stöds av den Azure information Protection klienten.Note: For testing or evaluation purposes in a non-production environment, you can use a Windows client operating system that is supported by the Azure Information Protection client.

Den här datorn kan vara en fysisk eller virtuell dator som har en snabb och tillförlitlig nätverks anslutning till de data lager som ska genomsökas.This computer can be a physical or virtual computer that has a fast and reliable network connection to the data stores to be scanned.

Skannern kräver tillräckligt med disk utrymme för att skapa temporära filer för varje fil som söks igenom, fyra filer per kärna.The scanner requires sufficient disk space to create temporary files for each file that it scans, four files per core. Det rekommenderade disk utrymmet på 10 GB gör att 4 kärnor genomsöker 16 filer som har en fil storlek på 625 MB.The recommended disk space of 10 GB allows for 4 core processors scanning 16 files that each have a file size of 625 MB.

Om det inte går att ansluta till Internet på grund av organisationens principer, se avsnittet distribuera skannern med alternativa konfigurationer .If internet connectivity is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section. Annars kontrollerar du att den här datorn har Internet anslutning som tillåter följande URL: er över HTTPS (port 443):Otherwise, make sure that this computer has internet connectivity that allows the following URLs over HTTPS (port 443):
*. aadrm.com*.aadrm.com
*. azurerms.com*.azurerms.com
*. informationprotection.azure.com*.informationprotection.azure.com
informationprotection.hosting.portal.azure.netinformationprotection.hosting.portal.azure.net
*. aria.microsoft.com*.aria.microsoft.com
Tjänst konto för att köra skanner tjänstenService account to run the scanner service Förutom att köra skanner tjänsten på Windows Server-datorn, autentiserar det här Windows-kontot Azure AD och laddar ned den Azure Information Protection principen.In addition to running the scanner service on the Windows Server computer, this Windows account authenticates to Azure AD and downloads the Azure Information Protection policy. Kontot måste vara ett Active Directory konto och synkroniserat med Azure AD.This account must be an Active Directory account and synchronized to Azure AD. Om du inte kan synkronisera det här kontot på grund av dina organisations principer, se avsnittet distribuera skannern med alternativa konfigurationer .If you cannot synchronize this account because of your organization policies, see the Deploying the scanner with alternative configurations section.

Det här tjänst kontot har följande krav:This service account has the following requirements:

- Logga in lokalt användar rättighets tilldelning.- Log on locally user right assignment. Den här behörigheten krävs för installation och konfiguration av skannern, men inte för åtgärd.This right is required for the installation and configuration of the scanner, but not for operation. Du måste ge den här behörigheten till tjänst kontot, men du kan ta bort den här direkt när du har bekräftat att skannern kan identifiera, klassificera och skydda filer.You must grant this right to the service account but you can remove this right after you have confirmed that the scanner can discover, classify, and protect files. Om det inte går att bevilja den här behörigheten även under en kort tids period, kan du se avsnittet distribuera skannern med alternativa konfigurationer .If granting this right even for a short period of time is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section.

- Logga in som en tjänst användar rättighets tilldelning.- Log on as a service user right assignment. Den här rättigheten beviljas automatiskt till tjänst kontot under skanner installationen och den här behörigheten krävs för installation, konfiguration och drift av skannern.This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.

– Behörigheter till data lagrings platsen: för data lager på SharePoint lokalt, beviljar du alltid behörigheten redigera om Lägg till och anpassa sidor har valts för platsen eller ger design behörigheten.- Permissions to the data repositories: For data repositories on SharePoint on-premises, always grant the Edit permission if Add and Customize Pages is selected for the site, or grant the Design permission. För andra data centraler ger du Läs -och Skriv behörighet för att genomsöka filerna och sedan tillämpa klassificering och skydd på filerna som uppfyller villkoren i Azure information Protections principen.For other data repositories, grant Read and Write permissions for scanning the files and then applying classification and protection to the files that meet the conditions in the Azure Information Protection policy. Om du bara vill köra skannern i identifierings läge för dessa andra data centraler räcker det med Läs behörighet.To run the scanner in discovery mode only for these other data repositories, Read permission is sufficient.

– För etiketter som skyddar eller tar bort skydd: se till att skannern alltid har åtkomst till skyddade filer genom att göra det här kontot till en superanvändare för Azure Rights Management-tjänsten och se till att funktionen Super User är aktive rad.- For labels that reprotect or remove protection: To ensure that the scanner always has access to protected files, make this account a super user for the Azure Rights Management service, and ensure that the super user feature is enabled. Mer information om konto kraven för att använda skydd finns i förbereda användare och grupper för Azure information Protection.For more information about the account requirements for applying protection, see Preparing users and groups for Azure Information Protection. Om du har implementerat onboarding-kontroller för en stegvis distribution måste du dessutom se till att det här kontot ingår i dina onboarding-kontroller som du har konfigurerat.In addition, if you have implemented onboarding controls for a phased deployment, make sure that this account is included in your onboarding controls you've configured.
SQL Server att lagra skanner konfigurationen:SQL Server to store the scanner configuration:

-Lokal instans eller fjärrinstans- Local or remote instance

- Skift läges känslig sortering- Case insensitive collation

-Sysadmin-roll för att installera skannern- Sysadmin role to install the scanner
SQL Server 2012 är den lägsta versionen för följande versioner:SQL Server 2012 is the minimum version for the following editions:

-SQL Server Enterprise- SQL Server Enterprise

-SQL Server Standard- SQL Server Standard

-SQL Server Express- SQL Server Express

Om du installerar fler än en instans av skannern kräver varje skanner instans en egen SQL Server instans.If you install more than one instance of the scanner, each scanner instance requires its own SQL Server instance.

När du installerar skannern och ditt konto har rollen sysadmin skapar installations processen automatiskt AzInfoProtectionScanner-databasen och tilldelar den nödvändiga db_owner rollen till det tjänst konto som kör skannern.When you install the scanner and your account has the Sysadmin role, the installation process automatically creates the AzInfoProtectionScanner database and grants the required db_owner role to the service account that runs the scanner. Om du inte kan beviljas sysadmin-rollen eller om dina organisations principer kräver att databaser skapas och konfigureras manuellt, se avsnittet distribuera skannern med alternativa konfigurationer .If you cannot be granted the Sysadmin role or your organization policies require databases to be created and configured manually, see the Deploying the scanner with alternative configurations section.

Storleken på konfigurations databasen varierar för varje distribution, men vi rekommenderar att du allokerar 500 MB för varje 1 000 000-filer som du vill genomsöka.The size of the configuration database will vary for each deployment but we recommend you allocate 500 MB for every 1,000,000 files that you want to scan.
Azure Information Protection-klienten (klassisk) är installerad på Windows Server-datornThe Azure Information Protection client (classic) is installed on the Windows Server computer Du måste installera den fullständiga klienten för skannern.You must install the full client for the scanner. Installera inte-klienten med bara PowerShell-modulen.Do not install the client with just the PowerShell module.

Anvisningar för klient installation finns i Administratörs guidenför.For client installation instructions, see the admin guide. Om du tidigare har installerat skannern och nu behöver uppgradera den till en senare version kan du läsa mer i uppgradera Azure information Protection Scanner.If you have previously installed the scanner and now need to upgrade it to a later version, see Upgrading the Azure Information Protection scanner.
Konfigurerade etiketter som tillämpar automatisk klassificering och eventuellt skyddConfigured labels that apply automatic classification, and optionally, protection Mer information om hur du konfigurerar en etikett för villkor och tillämpar skydd:For more information about how to configure a label for conditions and to apply protection:
- Konfigurera villkor för automatisk och Rekommenderad klassificering- How to configure conditions for automatic and recommended classification
- Konfigurera en etikett för Rights Management skydd- How to configure a label for Rights Management protection

Tips: du kan använda instruktionerna från självstudien för att testa skannern med en etikett som söker efter kreditkorts nummer i ett för berett Word-dokument.Tip: You can use the instructions from the tutorial to test the scanner with a label that looks for credit card numbers in a prepared Word document. Du måste dock ändra etikett konfigurationen så att Välj hur den här etiketten ska användas är inställd på automatiskt i stället för Rekommenderad.However, you will need to change the label configuration so that Select how this label is applied is set to Automatic rather than Recommended. Ta sedan bort etiketten från dokumentet (om det används) och kopiera filen till ett data lager för skannern.Then remove the label from the document (if it is applied) and copy the file to a data repository for the scanner.

Även om du kan köra skannern även om du inte har konfigurerat etiketter som tillämpar automatisk klassificering, omfattas det här scenariot inte av dessa instruktioner.Although you can run the scanner even if you haven't configured labels that apply automatic classification, this scenario is not covered with these instructions. Mer informationMore information
För SharePoint-dokumentbibliotek och mappar som ska genomsökas:For SharePoint document libraries and folders to be scanned:

– SharePoint 2019- SharePoint 2019

– SharePoint 2016- SharePoint 2016

– SharePoint 2013- SharePoint 2013

– SharePoint 2010- SharePoint 2010
Det finns inte stöd för andra versioner av SharePoint för skannern.Other versions of SharePoint are not supported for the scanner.

När du använder versions hanteringkontrollerar scannern och etiketter den senast publicerade versionen.When you use versioning, the scanner inspects and labels the last published version. Om skannern märker att en fil och innehålls godkännande krävs måste den märkta filen vara godkänd för att vara tillgänglig för användarna.If the scanner labels a file and content approval is required, that labeled file must be approved to be available for users.

För stora SharePoint-grupper kontrollerar du om du behöver öka tröskelvärdet för listvyn (som standard 5 000) för att få åtkomst till alla filer.For large SharePoint farms, check whether you need to increase the list view threshold (by default, 5,000) for the scanner to access all files. Mer information finns i följande SharePoint-dokumentation: hantera stora listor och bibliotek i SharePointFor more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint
För att Office-dokument ska genomsökas:For Office documents to be scanned:

– 97-2003 fil format och Office Open XML-format för Word, Excel och PowerPoint- 97-2003 file formats and Office Open XML formats for Word, Excel, and PowerPoint
Mer information om de filtyper som skannern stöder för dessa fil format finns i filtyper som stöds av den Azure information Protection klientenFor more information about the file types that the scanner supports for these file formats, see File types supported by the Azure Information Protection client
För långa sökvägar:For long paths:

– Högst 260 tecken, om inte skannern är installerad på Windows 2016 och datorn har kon figurer ATS för att stödja långa sökvägar- Maximum of 260 characters, unless the scanner is installed on Windows 2016 and the computer is configured to support long paths
Sökvägen till Windows 10 och Windows Server 2016 har en längd på fler än 260 tecken med följande grup princip inställning: lokal dator princip > dator konfiguration > administrativa mallar > alla inställningar > Aktivera Win32 långa sökvägarWindows 10 and Windows Server 2016 support path lengths greater than 260 characters with the following group policy setting: Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

Mer information om stöd för långa fil Sök vägar finns i avsnittet begränsning av Sök vägs längd från Windows 10 Developer-dokumentationen.For more information about supporting long file paths, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

Om du inte uppfyller alla krav i tabellen, eftersom de inte är tillåtna av organisationens principer, kan du läsa mer i nästa avsnitt.If you can't meet all the requirements in the table because they are prohibited by your organization policies, see the next section for alternatives.

Om alla krav är uppfyllda går du direkt till installations avsnittet.If all the requirements are met, go straight to the installation section.

Distribuera skannern med alternativa konfigurationerDeploying the scanner with alternative configurations

De krav som anges i tabellen är standard kraven för skannern och rekommenderas eftersom de är den enklaste konfigurationen för skanner distributionen.The prerequisites listed in the table are the default requirements for the scanner and recommended because they are the simplest configuration for the scanner deployment. De bör vara lämpliga för inledande testning, så att du kan kontrol lera skannerns funktioner.They should be suitable for initial testing, so that you can check the capabilities of the scanner. I en produkt miljö kan dock organisations principerna förhindra dessa standard krav på grund av en eller flera av följande begränsningar:However, in a product environment, your organization policies might prohibit these default requirements because of one or more of the following restrictions:

  • Servrar är inte tillåtna Internet anslutningarServers are not allowed internet connectivity

  • Du kan inte beviljas Sysadmin eller så måste databaser skapas och konfigureras manuelltYou cannot be granted Sysadmin or databases must be created and configured manually

  • Det går inte att bevilja tjänst konton behörigheten lokal inloggningService accounts cannot be granted the Log on locally right

  • Det går inte att synkronisera tjänst konton till Azure Active Directory men servrar har Internet anslutningService accounts cannot be synchronized to Azure Active Directory but servers have internet connectivity

Skannern kan hantera dessa begränsningar, men de kräver ytterligare konfiguration.The scanner can accommodate these restrictions but they require additional configuration.

Begränsning: skanner servern kan inte vara ansluten till InternetRestriction: The scanner server cannot have internet connectivity

Följ anvisningarna för en frånkopplad dator.Follow the instructions for a disconnected computer.

Observera att i den här konfigurationen kan inte skannern tillämpa skydd (eller ta bort skydd) med hjälp av organisationens molnbaserade nyckel.Note that in this configuration, the scanner cannot apply protection (or remove protection) by using your organization's cloud-based key. I stället är skannern begränsad till att använda etiketter som endast tillämpar klassificering, eller skydd som använder HYOK.Instead, the scanner is limited to using labels that apply classification only, or protection that uses HYOK.

Begränsning: du kan inte beviljas sysadmin eller databaser måste skapas och konfigureras manuelltRestriction: You cannot be granted Sysadmin or databases must be created and configured manually

Om du kan beviljas sysadmin-rollen temporärt för att installera skannern kan du ta bort rollen när skanner installationen är klar.If you can be granted the Sysadmin role temporarily to install the scanner, you can remove this role when the scanner installation is complete. När du använder den här konfigurationen skapas databasen automatiskt åt dig och tjänst kontot för skannern beviljas automatiskt de behörigheter som krävs.When you use this configuration, the database is automatically created for you and the service account for the scanner is automatically granted the required permissions. Men det användar konto som konfigurerar skannern kräver db_owner-rollen för AzInfoProtectionScanner-databasen och du måste tilldela rollen till användar kontot manuellt.However, the user account that configures the scanner requires the db_owner role for the AzInfoProtectionScanner database, and you must manually grant this role to the user account.

Om du inte kan beviljas sysadmin-rollen temporärt måste du be en användare med sysadmin-behörighet att manuellt skapa en databas med namnet AzInfoProtectionScanner innan du installerar skannern.If you cannot be granted the Sysadmin role even temporarily, you must ask a user with Sysadmin rights to manually create a database named AzInfoProtectionScanner before you install the scanner. För den här konfigurationen måste följande roller tilldelas:For this configuration, the following roles must be assigned:

KontoAccount Roll på databas nivåDatabase-level role
Tjänst konto för skannernService account for the scanner db_ownerdb_owner
Användar konto för installation av skannerUser account for scanner installation db_ownerdb_owner
Användar konto för skanner konfigurationUser account for scanner configuration db_ownerdb_owner

Normalt använder du samma användar konto för att installera och konfigurera skannern.Typically, you will use the same user account to install and configure the scanner. Men om du använder olika konton behöver de båda db_owner-rollen för AzInfoProtectionScanner-databasen.But if you use different accounts, they both require the db_owner role for the AzInfoProtectionScanner database.

Om du vill skapa en användare och bevilja db_owner behörigheter för den här databasen ber du sysadmin att köra följande SQL-skript två gånger.To create a user and grant db_owner rights on this database, ask the Sysadmin to run the following SQL script twice. Första gången, för det tjänst konto som kör skannern, och den andra gången så att du kan installera och hantera skannern.The first time, for the service account that runs the scanner, and the second time for you to install and manage the scanner. Innan du kör skriptet ersätter du domän \ användare med domän namnet och användar konto namnet för tjänst kontot eller användar kontot:Before running the script, replace domain\user with the domain name and user account name of the service account or user account:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE AzInfoProtectionScanner IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

Dessutom:Additionally:

  • Du måste vara lokal administratör på den server som ska köra skannernYou must be a local administrator on the server that will run the scanner

  • Det tjänst konto som ska köra skannern måste beviljas fullständig behörighet till följande register nycklar:The service account that will run the scanner must be granted Full Control permissions to the following registry keys:

    • HKEY_LOCAL_MACHINE \SOFTWARE\WOW6432Node\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

Om du efter att ha konfigurerat de här behörigheterna visas ett fel när du installerar skannern, kan felet ignoreras och du kan starta skanner tjänsten manuellt.If, after configuring these permissions, you see an error when you install the scanner, the error can be ignored and you can manually start the scanner service.

Begränsning: tjänst kontot för skannern kan inte beviljas inloggning lokaltRestriction: The service account for the scanner cannot be granted the Log on locally right

Om dina organisations principer förbjuder inloggningen lokalt för tjänst konton, men tillåt inloggning som batch-jobb rätt, följer du anvisningarna för att Ange och använda parametern token för set-AIPAuthentication från administratörs guiden.If your organization policies prohibit the Log on locally right for service accounts but allow the Log on as a batch job right, follow the instructions for Specify and use the Token parameter for Set-AIPAuthentication from the admin guide.

Begränsning: det går inte att synkronisera skanner tjänst kontot till Azure Active Directory men servern är ansluten till InternetRestriction: The scanner service account cannot be synchronized to Azure Active Directory but the server has internet connectivity

Du kan ha ett konto för att köra skanner tjänsten och använda ett annat konto för att autentisera till Azure Active Directory:You can have one account to run the scanner service and use another account to authenticate to Azure Active Directory:

Installera skannernInstall the scanner

  1. Logga in på den Windows Server-dator som ska köra skannern.Sign in to the Windows Server computer that will run the scanner. Använd ett konto som har lokal administratörs behörighet och som har behörighet att skriva till SQL Server Master-databasen.Use an account that has local administrator rights and that has permissions to write to the SQL Server master database.

  2. Öppna en Windows PowerShell-session med alternativet Kör som administratör .Open a Windows PowerShell session with the Run as an administrator option.

  3. Kör cmdleten install-AIPScanner och ange SQL Server-instansen för vilken du vill skapa en databas för Azure information Protection-skannern:Run the Install-AIPScanner cmdlet, specifying your SQL Server instance on which to create a database for the Azure Information Protection scanner:

    Install-AIPScanner -SqlServerInstance <name>
    

    Ett exempel:For example:

    • För en standard instans:Install-AIPScanner -SqlServerInstance SQLSERVER1For a default instance: Install-AIPScanner -SqlServerInstance SQLSERVER1

    • För en namngiven instans:Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNERFor a named instance: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER

    • För SQL Server Express:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESSFor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS

    När du uppmanas till det anger du autentiseringsuppgifterna för tjänst kontot för skannern ( <domain\user name> ) och lösen ordet.When you are prompted, provide the credentials for the scanner service account (<domain\user name>) and password.

  4. Kontrol lera att tjänsten nu har installerats med hjälp av administrations verktyg > tjänster.Verify that the service is now installed by using Administrative Tools > Services.

    Den installerade tjänsten heter Azure information Protection Scanner och är konfigurerad att köras med hjälp av det tjänst konto för skanner som du har skapat.The installed service is named Azure Information Protection Scanner and is configured to run by using the scanner service account that you created.

Nu när du har installerat skannern måste du skaffa en Azure AD-token för att kunna autentisera tjänst kontot för skannern så att det kan köras obevakat.Now that you have installed the scanner, you need to get an Azure AD token for the scanner service account to authenticate so that it can run unattended.

Hämta en Azure AD-token för skannernGet an Azure AD token for the scanner

Med Azure AD-token kan tjänst kontot för skanner autentiseras för Azure Information Protection-tjänsten.The Azure AD token lets the scanner service account authenticate to the Azure Information Protection service.

  1. Från samma Windows Server-dator eller från Skriv bordet loggar du in på Azure Portal för att skapa två Azure AD-program som behövs för att ange en åtkomsttoken för autentisering.From the same Windows Server computer, or from your desktop, sign in to the Azure portal to create two Azure AD applications that are needed to specify an access token for authentication. Efter en inledande interaktiv inloggning tillåter denna token att skannern körs icke-interaktivt.After an initial interactive sign-in, this token lets the scanner run non-interactively.

    Om du vill skapa dessa program följer du anvisningarna i så här etiketterar du filer icke-interaktivt för Azure information Protection från administratörs guiden.To create these applications, follow the instructions in How to label files non-interactively for Azure Information Protection from the admin guide.

  2. Från Windows Server-datorn, om ditt tjänst konto för skannern har beviljats inloggnings rättigheter lokalt för installationen: Logga in med det här kontot och starta en PowerShell-session.From the Windows Server computer, if your scanner service account has been granted the Log on locally right for the installation: Sign in with this account and start a PowerShell session. Kör set-AIPAuthenticationoch ange de värden som du kopierade från föregående steg:Run Set-AIPAuthentication, specifying the values that you copied from the previous step:

    Set-AIPAuthentication -webAppId <ID of the "Web app / API" application> -webAppKey <key value generated in the "Web app / API" application> -nativeAppId <ID of the "Native" application>
    

    När du uppmanas till det anger du lösen ordet för ditt tjänst kontos autentiseringsuppgifter för Azure AD och klickar sedan på acceptera.When prompted, specify the password for your service account credentials for Azure AD, and then click Accept.

    Om tjänst kontot för skannern inte kan beviljas inloggnings rättigheter lokalt för installationen: Följ anvisningarna i avsnittet Ange och Använd parametern token för set-AIPAuthentication i administratörs guiden.If your scanner service account cannot be granted the Log on locally right for the installation: Follow the instructions in the Specify and use the Token parameter for Set-AIPAuthentication section from the admin guide.

Skannern har nu en token för att autentisera till Azure AD, vilket är giltigt i ett år, två år eller aldrig upphör att gälla, enligt din konfiguration av webbappens/API i Azure AD.The scanner now has a token to authenticate to Azure AD, which is valid for one year, two years, or never expires, according to your configuration of the Web app /API in Azure AD. När token går ut måste du upprepa steg 1 och 2.When the token expires, you must repeat steps 1 and 2.

Du är nu redo att ange de data lager som ska genomsökas.You're now ready to specify the data stores to scan.

Ange data lager för skannernSpecify data stores for the scanner

Använd cmdleten Add-AIPScannerRepository för att ange de data lager som ska genomsökas av Azure information Protection scanner.Use the Add-AIPScannerRepository cmdlet to specify the data stores to be scanned by the Azure Information Protection scanner. Du kan ange UNC-sökvägar och SharePoint Server-URL: er för SharePoint-dokumentbibliotek och-mappar.You can specify UNC paths and SharePoint Server URLs for SharePoint document libraries and folders.

Versioner som stöds för SharePoint: SharePoint Server 2019, SharePoint Server 2016 och SharePoint Server 2013.Supported versions for SharePoint: SharePoint Server 2019, SharePoint Server 2016, and SharePoint Server 2013. SharePoint Server 2010 stöds också för kunder som har utökat stöd för den här versionen av SharePoint.SharePoint Server 2010 is also supported for customers who have extended support for this version of SharePoint.

  1. Lägg till ditt första data lager från samma Windows Server-dator i PowerShell-sessionen genom att köra följande kommando:From the same Windows Server computer, in your PowerShell session, add your first data store by running the following command:

    Add-AIPScannerRepository -Path <path>
    

    Till exempel, Add-AIPScannerRepository -Path \\NAS\DocumentsFor example, Add-AIPScannerRepository -Path \\NAS\Documents

    För andra exempel använder du PowerShell Help-kommandot Get-Help Add-AIPScannerRepository -examples för denna cmdlet.For other examples, use the PowerShell help command Get-Help Add-AIPScannerRepository -examples for this cmdlet.

  2. Upprepa det här kommandot för alla data lager som du vill genomsöka.Repeat this command for all the data stores that you want to scan. Använd cmdleten Remove-AIPScannerRepository om du behöver ta bort ett data lager som du har lagt till.If you need to remove a data store that you added, use the Remove-AIPScannerRepository cmdlet.

  3. Bekräfta att du har angett alla data lager korrekt genom att köra cmdleten Get-AIPScannerRepository :Confirm that you have specified all the data stores correctly, by running the Get-AIPScannerRepository cmdlet:

    Get-AIPScannerRepository
    

Med skannerns standard konfiguration är du nu redo att köra din första genomsökning i identifierings läge.With the scanner's default configuration, you're now ready to run your first scan in discovery mode.

Köra en identifieringscykel och visa rapporter för skannernRun a discovery cycle and view reports for the scanner

  1. I PowerShell-sessionen startar du skannern genom att köra följande kommando:In your PowerShell session, start the scanner by running the following command:

    Start-AIPScan
    

    Du kan också starta scannern från Azure Portal.Alternatively, you can start the scanner from the Azure portal. I fönstret Azure information Protection-noder väljer du din skanner-nod och sedan alternativet Skanna nu :From the Azure Information Protection - Nodes pane, select your scanner node, and then the Scan now option:

    Starta sökning efter Azure Information Protections läsaren

  2. Vänta tills skannern har slutfört cykeln genom att köra följande kommando:Wait for the scanner to complete its cycle by running the following command:

    Get-AIPScannerStatus
    

    Du kan också visa status från fönstret Azure information Protection-noder i Azure Portal genom att kontrol lera kolumnen status .Alternatively, you can view the status from the Azure Information Protection - Nodes pane in the Azure portal, by checking the STATUS column.

    Sök efter status för att visa inaktivitet i stället för genomsökning.Look for the status to show Idle rather than Scanning.

    När skannern har crawlats genom alla filer i de data lager som du har angett, stoppas skannern även om skanner tjänsten fortfarande körs.When the scanner has crawled through all the files in the data stores that you specified, the scanner stops although the scanner service remains running.

    Kontrol lera händelse loggen för lokala Windows- program och tjänster Azure information Protection.Check the local Windows Applications and Services event log, Azure Information Protection. I den här loggen rapporteras även när genomsökningen har avslut ATS, med en sammanfattning av resultaten.This log also reports when the scanner has finished scanning, with a summary of results. Leta upp informations händelse-ID 911.Look for the informational event ID 911.

  3. Granska de rapporter som lagras i%localappdata% \ Microsoft\MSIP\Scanner\Reports.Review the reports that are stored in %localappdata%\Microsoft\MSIP\Scanner\Reports. I sammanfattnings filerna för. txt ingår den tid det tar att söka igenom, antalet genomsökta filer och hur många filer som hade en matchning för informations typerna.The .txt summary files include the time taken to scan, the number of scanned files, and how many files had a match for the information types. CSV-filerna innehåller mer information om varje fil.The .csv files have more details for each file. I den här mappen lagras upp till 60 rapporter för varje genomsöknings cykel, men den senaste rapporten komprimeras för att minimera det nödvändiga disk utrymmet.This folder stores up to 60 reports for each scanning cycle and all but the latest report is compressed to help minimize the required disk space.

    Anteckning

    Du kan ändra loggnings nivån med hjälp av parametern ReportLevel med set-AIPScannerConfiguration, men du kan inte ändra platsen eller namnet för rapportmappen.You can change the level of logging by using the ReportLevel parameter with Set-AIPScannerConfiguration, but you can't change the report folder location or name. Överväg att använda en katalog koppling för mappen om du vill lagra rapporterna på en annan volym eller partition.Consider using a directory junction for the folder if you want to store the reports on a different volume or partition.

    Till exempel använder du kommandot MKLINK :mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\ReportsFor example, using the Mklink command: mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\Reports

    Med standardinställningen är det bara filer som uppfyller de villkor som du har konfigurerat för automatisk klassificering ingår i de detaljerade rapporterna.With the default setting, only files that meet the conditions you've configured for automatic classification are included in the detailed reports. Om du inte ser några etiketter som används i de här rapporterna kan du kontrol lera att etikett konfigurationen inkluderar automatisk snarare än rekommenderad klassificering.If you don't see any labels applied in these reports, check your label configuration includes automatic rather than recommended classification.

    Tips

    Skannrar skickar den här informationen till Azure Information Protection var femte minut, så att du kan visa resultaten nästan i real tid från Azure Portal.Scanners send this information to Azure Information Protection every five minutes, so that you can view the results in near real-time from the Azure portal. Mer information finns i rapportering för Azure information Protection.For more information, see Reporting for Azure Information Protection.

    Om resultatet inte är som du förväntar dig kan du behöva finjustera de villkor som du har angett i Azure Information Protection principen.If the results are not as you expect, you might need to fine-tune the conditions that you specified in your Azure Information Protection policy. Om så är fallet upprepar du steg 1 till 3 tills du är redo att ändra konfigurationen så att den använder klassificeringen och eventuellt skydd.If that's the case, repeat steps 1 through 3 until you are ready to change the configuration to apply the classification and optionally, protection.

Azure Portal visar bara information om den senaste genomsökningen.The Azure portal displays information about the last scan only. Om du behöver se resultatet av tidigare genomsökningar går du tillbaka till de rapporter som lagras på skanner datorn i mappen%localappdata% \ Microsoft\MSIP\Scanner\Reports.If you need to see the results of previous scans, return to the reports that are stored on the scanner computer, in the %localappdata%\Microsoft\MSIP\Scanner\Reports folder.

När du är redo att automatiskt etikettera de filer som skannern identifierar fortsätter du till nästa procedur.When you're ready to automatically label the files that the scanner discovers, continue to the next procedure.

Konfigurera skannern att tillämpa klassificering och skyddConfigure the scanner to apply classification and protection

I standardvärdet kör skannern en gång och i läget endast rapportering.In its default setting, the scanner runs one time and in the reporting-only mode. Använd kommandot set-AIPScannerConfigurationför att ändra inställningarna:To change these settings, use the Set-AIPScannerConfiguration:

  1. Kör följande kommando i PowerShell-sessionen på Windows Server-datorn:On the Windows Server computer, in the PowerShell session, run the following command:

    Set-AIPScannerConfiguration -Enforce On -Schedule Always
    

    Det finns andra konfigurations inställningar som du kanske vill ändra.There are other configuration settings that you might want to change. Till exempel om filattribut ändras och vad som loggas i rapporterna.For example, whether file attributes are changed and what is logged in the reports. Om din Azure Information Protection princip innehåller inställningen som kräver ett justerings meddelande för att sänka klassificerings nivån eller ta bort skyddet, anger du det meddelandet med hjälp av denna cmdlet.In addition, if your Azure Information Protection policy includes the setting that requires a justification message to lower the classification level or remove protection, specify that message by using this cmdlet. Använd följande PowerShell-hjälp kommando om du vill ha mer information om varje konfigurations inställning:Get-Help Set-AIPScannerConfiguration -detailedUse the following PowerShell help command for more information about each configuration setting: Get-Help Set-AIPScannerConfiguration -detailed

  2. Anteckna aktuell tid och starta skannern igen genom att köra följande kommando:Make a note of the current time and start the scanner again by running the following command:

    Start-AIPScan
    

    Du kan också starta scannern från Azure Portal.Alternatively, you can start the scanner from the Azure portal. I fönstret Azure information Protection-noder väljer du din skanner-nod och sedan alternativet Skanna nu :From the Azure Information Protection - Nodes pane, select your scanner node, and then the Scan now option:

    Starta sökning efter Azure Information Protections läsaren

  3. Övervaka händelse loggen för informations typen 911 igen, med en tidstämpel senare än när du startade genomsökningen i föregående steg.Monitor the event log for the informational type 911 again, with a time stamp later than when you started the scan in the previous step.

    Kontrol lera sedan rapporterna för att se information om vilka filer som har märkts, vilken klassificering som tillämpades på varje fil och om skyddet tillämpades för dem.Then check the reports to see details of which files were labeled, what classification was applied to each file, and whether protection was applied to them. Du kan också använda Azure Portal för att lättare se den här informationen.Or, use the Azure portal to more easily see this information.

Eftersom vi konfigurerade schemat för att köras kontinuerligt, startar en ny cykel när skannern har arbetat över alla filer, så att nya och ändrade filer identifieras.Because we configured the schedule to run continuously, when the scanner has worked its way through all the files, it starts a new cycle so that any new and changed files are discovered.

Hur filer genomsöksHow files are scanned

Skannern körs genom följande processer när filer genomsöks.The scanner runs through the following processes when it scans files.

1. kontrol lera om filer tas med eller undantas för genomsökning1. Determine whether files are included or excluded for scanning

Skannern hoppar automatiskt över filer som undantas från klassificering och skydd, till exempel körbara filer och systemfiler.The scanner automatically skips files that are excluded from classification and protection, such as executable files and system files.

Du kan ändra det här beteendet genom att definiera en lista över filtyper som ska genomsökas eller undantas från genomsökning.You can change this behavior by defining a list of file types to scan, or exclude from scanning. Om du anger den här listan och inte anger något data lager, gäller listan för alla data lager som inte har en egen lista angiven.When you specify this list and do not specify a data repository, the list applies to all data repositories that do not have their own list specified. Använd set-AIPScannerScannedFileTypesför att ange den här listan.To specify this list, use Set-AIPScannerScannedFileTypes.

När du har angett fil typs listan kan du lägga till en ny filtyp i listan med hjälp av Add-AIPScannerScannedFileTypesoch ta bort en filtyp från listan med hjälp av Remove-AIPScannerScannedFileTypes.After you have specified your file types list, you can add a new file type to the list by using Add-AIPScannerScannedFileTypes, and remove a file type from the list by using Remove-AIPScannerScannedFileTypes.

2. granska och märk filer2. Inspect and label files

Skannern använder sedan filter för att genomsöka filtyper som stöds.The scanner then uses filters to scan supported file types. Samma filter används av operativ systemet för Windows Search och indexering.These same filters are used by the operating system for Windows Search and indexing. Utan ytterligare konfiguration används Windows IFilter för att genomsöka filtyper som används av Word, Excel, PowerPoint och för PDF-dokument och textfiler.Without any additional configuration, Windows IFilter is used to scan file types that are used by Word, Excel, PowerPoint, and for PDF documents and text files.

En fullständig lista över filtyper som stöds som standard och ytterligare information om hur du konfigurerar befintliga filter som inkluderar. zip-filer och. TIFF-filer finns i filtyper som stöds för granskning.For a full list of file types that are supported by default, and additional information how to configure existing filters that include .zip files and .tiff files, see File types supported for inspection.

Efter inspektionen kan dessa filtyper märkas med de villkor som du har angett för dina etiketter.After inspection, these file types can be labeled by using the conditions that you specified for your labels. Eller, om du använder identifierings läge, kan dessa filer rapporteras som innehåller de villkor som du har angett för dina etiketter eller alla kända känsliga informations typer.Or, if you're using discovery mode, these files can be reported to contain the conditions that you specified for your labels, or all known sensitive information types.

Skannern kan dock inte märka filerna under följande omständigheter:However, the scanner cannot label the files under the following circumstances:

  • Om etiketten använder klassificering och inte skydd, och filtypen inte stöder enbart klassificering.If the label applies classification and not protection, and the file type does not support classification only.

  • Om etiketten använder klassificering och skydd, men skannern inte skyddar filtypen.If the label applies classification and protection, but the scanner does not protect the file type.

    Som standard skyddar skannern endast Office-filtyper och PDF-filer när de skyddas med hjälp av ISO-standarden för PDF-kryptering.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. Andra filtyper kan skyddas när du redigerar registret enligt beskrivningen i följande avsnitt.Other file types can be protected when you edit the registry as described in a following section.

Efter att du har inspekterat filer som har fil namns tillägget. txt kan skannern till exempel inte tillämpa en etikett som har kon figurer ATS för klassificering men inte skydd, eftersom txt-filtypen inte stöder enbart klassificering.For example, after inspecting files that have a file name extension of .txt, the scanner can't apply a label that's configured for classification but not protection, because the .txt file type doesn't support classification-only. Om etiketten har kon figurer ATS för klassificering och skydd, och registret redige ras för fil typen. txt, kan skannern etikettera filen.If the label is configured for classification and protection, and the registry is edited for the .txt file type, the scanner can label the file.

Tips

Om skannern stannar under den här processen och inte har slutfört skanningen av ett stort antal filer på en lagrings plats:During this process, if the scanner stops and doesn't complete scanning a large number of the files in a repository:

  • Du kan behöva öka antalet dynamiska portar för det operativ system som är värd för filerna.You might need to increase the number of dynamic ports for the operating system hosting the files. Server härdning för SharePoint kan vara en orsak till att skannern överskrider antalet tillåtna nätverks anslutningar och därför stoppas.Server hardening for SharePoint can be one reason why the scanner exceeds the number of allowed network connections, and therefore stops.

    Om du vill kontrol lera om det är orsaken till att skannern stoppas ser du efter om följande fel meddelande har loggats i%localappdata% \ Microsoft\MSIP\Logs\MSIPScanner.iplog (zippa om det finns flera loggar): det går inte att ansluta till fjärrservern---> system .net. Sockets. SocketException: endast en användning av varje socket-adress (protokoll/nätverks adress/port) är normalt tillåtenTo check whether this is the cause of the scanner stopping, look to see if the following error message is logged for the scanner in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped if there are multiple logs): Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

    Mer information om hur du visar det aktuella port intervallet och ökar intervallet finns i inställningar som kan ändras för att förbättra nätverks prestanda.For more information about how to view the current port range and increase the range, see Settings that can be Modified to Improve Network Performance.

  • För stora SharePoint-grupper kan du behöva öka tröskelvärdet för listvyn (som standard 5 000).For large SharePoint farms, you might need to increase the list view threshold (by default, 5,000). Mer information finns i följande SharePoint-dokumentation: hantera stora listor och bibliotek i SharePoint.For more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint.

3. Märk filer som inte kan granskas3. Label files that can't be inspected

För de filtyper som inte kan kontrol leras använder skannern standard etiketten i Azure Information Protection principen eller den standard etikett som du konfigurerar för skannern.For the file types that can't be inspected, the scanner applies the default label in the Azure Information Protection policy, or the default label that you configure for the scanner.

Som i föregående steg kan skannern inte märka filerna under följande omständigheter:As in the preceding step, the scanner cannot label the files under the following circumstances:

  • Om etiketten använder klassificering och inte skydd, och filtypen inte stöder enbart klassificering.If the label applies classification and not protection, and the file type does not support classification only.

  • Om etiketten använder klassificering och skydd, men skannern inte skyddar filtypen.If the label applies classification and protection, but the scanner does not protect the file type.

    Som standard skyddar skannern endast Office-filtyper och PDF-filer när de skyddas med hjälp av ISO-standarden för PDF-kryptering.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. Andra filtyper kan skyddas när du redigerar registret enligt beskrivningen härnäst.Other file types can be protected when you edit the registry as described next.

Redigera registret för skannernEditing the registry for the scanner

Om du vill ändra standard skanner beteendet för att skydda andra filtyper än Office-filer och PDF-filer, måste du redigera registret manuellt och ange de Ytterligare filtyper som du vill ska skyddas och typen av skydd (internt eller allmänt).To change the default scanner behavior for protecting file types other than Office files and PDFs, you must manually edit the registry and specify the additional file types that you want to be protected, and the type of protection (native or generic). Instruktioner finns i fil-API-konfiguration från vägledningen för utvecklare.For instructions, see File API configuration from the developer guidance. I denna dokumentation för utvecklare kallas allmänt skydd för ”PFile”.In this documentation for developers, generic protection is referred to as "PFile". Dessutom är det särskilt för skannern:In addition, specific for the scanner:

  • Skannern har sitt eget standard beteende: endast Office-filformat och PDF-dokument skyddas som standard.The scanner has its own default behavior: Only Office file formats and PDF documents are protected by default. Om registret inte har ändrats får alla andra filtyper inte etiketter eller skyddas av skannern.If the registry is not modified, any other file types will not be labeled or protected by the scanner.

  • Om du vill ha samma standard skydds beteende som den Azure Information Protection klienten, där alla filer skyddas automatiskt med ursprungligt eller allmänt skydd: ange * jokertecknet som en register nyckel, Encryption som värde (REG_SZ) och Default som värde data.If you want the same default protection behavior as the Azure Information Protection client, where all files are automatically protected with native or generic protection: Specify the * wildcard as a registry key, Encryption as the value (REG_SZ), and Default as the value data.

När du redigerar registret skapar du manuellt MSIPC -nyckeln och FileProtection -nyckeln om de inte finns, samt en nyckel för varje fil namns tillägg.When you edit the registry, manually create the MSIPC key and FileProtection key if they do not exist, as well as a key for each file name extension.

Om till exempel skannern ska skydda TIFF-bilder förutom Office-filer och PDF-filer, ser registret ut när du har redigerat det och ser ut som på följande bild.For example, for the scanner to protect TIFF images in addition to Office files and PDFs, the registry after you have edited it, will look like the following picture. Som en bildfil stöder TIFF-filer internt skydd och det resulterande fil namns tillägget är. ptiff.As an image file, TIFF files support native protection and the resulting file name extension is .ptiff.

Redigera registret för skannern för att tillämpa skydd

För en lista över text-och bild fil typer som har stöd för internt skydd men som måste anges i registret, se filtyper som stöds för klassificering och skydd från administratörs guiden.For a list of text and images file types that similarly support native protection but must be specified in the registry, see Supported file types for classification and protection from the admin guide.

För filer som inte stöder internt skydd anger du fil namns tillägget som en ny nyckel och PFile för allmänt skydd.For files that don't support native protection, specify the file name extension as a new key, and PFile for generic protection. Det resulterande fil namns tillägget för den skyddade filen är. pfile.The resulting file name extension for the protected file is .pfile.

När filer genomsöks igenWhen files are rescanned

För den första skannings cykeln kontrollerar skannern alla filer i de konfigurerade data lager och sedan för efterföljande genomsökningar, kontrol leras bara nya eller ändrade filer.For the first scan cycle, the scanner inspects all files in the configured data stores and then for subsequent scans, only new or modified files are inspected.

Du kan tvinga skannern att inspektera alla filer igen genom att köra Start-AIPScan med parametern Reset .You can force the scanner to inspect all files again by running Start-AIPScan with the Reset parameter. Skannern måste konfigureras för ett manuellt schema, vilket kräver att schema parametern anges till manuell med set-AIPScannerConfiguration.The scanner must be configured for a manual schedule, which requires the Schedule parameter to be set to Manual with Set-AIPScannerConfiguration.

Du kan också tvinga skannern att inspektera alla filer igen från fönstret Azure information Protection-noder i Azure Portal.Alternatively, you can force the scanner to inspect all files again from the Azure Information Protection - Nodes pane in the Azure portal. Välj din skanner i listan och välj sedan alternativet Genomsök om alla filer :Select your scanner from the list, and then select the Rescan all files option:

Påbörja omsökning av Azure Information Protection-skannern

Att inspektera alla filer igen är användbart när du vill att rapporterna ska innehålla alla filer och det här konfigurations valet vanligt vis används när skannern körs i identifierings läge.Inspecting all files again is useful when you want the reports to include all files and this configuration choice is typically used when the scanner runs in discovery mode. När en fullständig genomsökning har slutförts ändras genomsöknings typen automatiskt till stegvis, så att endast nya eller ändrade filer genomsöks vid efterföljande genomsökningar.When a full scan is complete, the scan type automatically changes to incremental so that for subsequent scans, only new or modified files are scanned.

Dessutom inspekteras alla filer när skannern laddar ned en Azure Information Protection-princip som har nya eller ändrade villkor.In addition, all files are inspected when the scanner downloads an Azure Information Protection policy that has new or changed conditions. Skannern uppdaterar principen varje timme och när tjänsten startas och principen är äldre än en timme.The scanner refreshes the policy every hour, and when the service starts and the policy is older than one hour.

Tips

Om du behöver uppdatera principen tidigare än ett Tim intervall, till exempel under en test period: ta bort princip filen manuellt Policy.msip från både % localappdata% \Microsoft\MSIP\Policy.msip och %localappdata%\Microsoft\MSIP\Scanner.If you need to refresh the policy sooner than this one hour interval, for example, during a testing period: Manually delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner. Starta sedan om tjänsten Azure information scanner.Then restart the Azure Information Scanner service.

Om du har ändrat skydds inställningarna i principen, vänta också 15 minuter från när du sparade skydds inställningarna innan du startar om tjänsten.If you changed protection settings in the policy, also wait 15 minutes from when you saved the protection settings before you restart the service.

Om skannern laddade ned en princip som inte hade något automatiskt konfigurerat, uppdateras inte kopian av princip filen i skanner-mappen.If the scanner downloaded a policy that had no automatic conditions configured, the copy of the policy file in the scanner folder does not update. I det här scenariot måste du ta bort princip filen Policy.msip från både % localappdata% \Microsoft\MSIP\Policy.msip och %localappdata%\Microsoft\MSIP\Scanner innan skannern kan använda en nyligen Hämtad princip fil som har etiketter som är korrekt inräknade för automatiska villkor.In this scenario, you must delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner before the scanner can use a newly downloaded policy file that has labels correctly figured for automatic conditions.

Använda skannern med alternativa konfigurationerUsing the scanner with alternative configurations

Det finns två alternativa scenarier som Azure Information Protection-skannern stöder där etiketter inte behöver konfigureras för något villkor:There are two alternative scenarios that the Azure Information Protection scanner supports where labels do not need to be configured for any conditions:

  • Använd en standard etikett för alla filer i ett data lager.Apply a default label to all files in a data repository.

    För den här konfigurationen använder du cmdleten set-AIPScannerRepository och anger parametern MatchPolicy till off.For this configuration, use the Set-AIPScannerRepository cmdlet, and set the MatchPolicy parameter to Off.

    Innehållet i filerna kontrol leras inte och alla filer i data lagringen märks enligt standard etiketten som du anger för data lagringen (med parametern SetDefaultLabel ) eller om detta inte anges används standard etiketten som anges som en princip inställning för skanner kontot.The contents of the files are not inspected and all files in the data repository are labeled according to the default label that you specify for the data repository (with the SetDefaultLabel parameter) or if this is not specify, the default label that is specified as a policy setting for the scanner account.

  • Identifiera alla anpassade villkor och kända känsliga informations typer.Identify all custom conditions and known sensitive information types.

    För den här konfigurationen använder du cmdleten set-AIPScannerConfiguration och anger parametern DiscoverInformationTypes till all.For this configuration, use the Set-AIPScannerConfiguration cmdlet, and set the DiscoverInformationTypes parameter to All.

    Skannern använder alla anpassade villkor som du har angett för etiketter i Azure Information Protection principen och listan med informations typer som är tillgängliga för att ange för etiketter i Azure Information Protections principen.The scanner uses any custom conditions that you have specified for labels in the Azure Information Protection policy, and the list of information types that are available to specify for labels in the Azure Information Protection policy.

    Följande snabb start använder den här konfigurationen, även om den är för den aktuella versionen av scannern: snabb start: hitta den känsliga information som du har.The following quickstart uses this configuration, although it's for the current version of the scanner: Quickstart: Find what sensitive information you have.

Optimera prestanda för skannernOptimizing the performance of the scanner

Använd följande vägledning för att optimera skannerns prestanda.Use the following guidance to help you optimize the performance of the scanner. Men om prioriteten är svars tiden för skanner datorn i stället för skannerns prestanda kan du använda en Avancerad klient inställning för att begränsa antalet trådar som används av skannern.However, if your priority is the responsiveness of the scanner computer rather than the scanner performance, you can use an advanced client setting to limit the number of threads used by the scanner.

Maximera skanner prestandan:To maximize the scanner performance:

  • Har en snabb och tillförlitlig nätverks anslutning mellan skanner datorn och det genomsökta data lagretHave a high speed and reliable network connection between the scanner computer and the scanned data store

    Placera till exempel skanner datorn i samma lokala nätverk, eller (rekommenderas) i samma nätverks segment som det genomsökta data lagret.For example, place the scanner computer in the same LAN, or (preferred) in the same network segment as the scanned data store.

    Nätverks anslutningens kvalitet påverkar skannerns prestanda eftersom du kan kontrol lera filerna genom att överföra filens innehåll till datorn som kör skanner tjänsten.The quality of the network connection affects the scanner performance because to inspect the files, the scanner transfers the contents of the files to the computer running the scanner service. När du minskar (eller eliminerar) antalet nätverks hopp som dessa data måste färdas över, minskar du också belastningen på nätverket.When you reduce (or eliminate) the number of network hops this data has to travel, you also reduce the load on your network.

  • Kontrol lera att skanner datorn har tillgängliga processor resurserMake sure the scanner computer has available processor resources

    Att kontrol lera fil innehållet för en matchning mot de konfigurerade villkoren och kryptera och dekryptera filer är processor intensiva åtgärder.Inspecting the file contents for a match against your configured conditions, and encrypting and decrypting files are processor-intensive actions. Övervaka vanliga genomsöknings cykler för dina angivna data lager för att identifiera om brist på processor resurser påverkar skannerns prestanda negativt.Monitor typical scanning cycles for your specified data stores to identify whether a lack of processor resources is negatively affecting the scanner performance.

Andra faktorer som påverkar skannerns prestanda:Other factors that affect the scanner performance:

  • Aktuella belastnings-och svars tider för de data lager som innehåller filerna som ska genomsökasThe current load and response times of the data stores that contain the files to scan

  • Om skannern körs i identifierings läge eller tillämpa lägeWhether the scanner runs in discovery mode or enforce mode

    Identifierings läget har vanligt vis en högre skannings hastighet än tvingande läge eftersom identifieringen kräver en enda fil läsnings åtgärd, medan tvingande läge kräver Läs-och skriv åtgärder.Discovery mode typically has a higher scanning rate than enforce mode because discovery requires a single file read action, whereas enforce mode requires read and write actions.

  • Du ändrar villkoren i Azure Information ProtectionYou change the conditions in the Azure Information Protection

    Din första genomsöknings cykel när skannern måste kontrol lera varje fil tar det uppenbart längre tid än efterföljande genomsöknings cykler som standard, och endast de nya och ändrade filerna granskas.Your first scan cycle when the scanner must inspect every file will obviously take longer than subsequent scan cycles that by default, inspect only new and changed files. Men om du ändrar villkoren i Azure Information Protection principen genomsöks alla filer igen, enligt beskrivningen i föregående avsnitt.However, if you change the conditions in the Azure Information Protection policy, all files are scanned again, as described in the preceding section.

  • Konstruktion av regex-uttryck för anpassade villkorThe construction of regex expressions for custom conditions

    Om du vill undvika tung minnes användning och risken för timeout (15 minuter per fil) granskar du ditt regex-uttryck för effektiv mönster matchning.To avoid heavy memory consumption and the risk of timeouts (15 minutes per file), review your regex expressions for efficient pattern matching. Ett exempel:For example:

    • Undvik girig-kvantifierareAvoid greedy quantifiers

    • Använd icke-hämtade grupper, till exempel (?:expression) i stället för(expression)Use non-capturing groups such as (?:expression) instead of (expression)

  • Din valda loggnings nivåYour chosen logging level

    Du kan välja mellan fel sökning, information, fel och av skanner rapporter.You can choose between Debug, Info, Error and Off for the scanner reports. Av resulterar det i bästa prestanda. Fel sökning gör avsevärt saktar ned skannern och bör endast användas för fel sökning.Off results in the best performance; Debug considerably slows down the scanner and should be used only for troubleshooting. Mer information finns i ReportLevel -parametern för cmdleten Set-AIPScannerConfiguration genom att köra Get-Help Set-AIPScannerConfiguration -detailed .For more information, see the ReportLevel parameter for the Set-AIPScannerConfiguration cmdlet by running Get-Help Set-AIPScannerConfiguration -detailed.

  • Själva filerna:The files themselves:

    • Med undantag för Excel-filer är Office-filer snabbare att skanna än PDF-filer.With the exception of Excel files, Office files are more quickly scanned than PDF files.

    • Oskyddade filer går snabbare att söka igenom än skyddade filer.Unprotected files are quicker to scan than protected files.

    • Det tar naturligtvis längre tid att söka igenom stora filer än små filer.Large files obviously take longer to scan than small files.

  • Dessutom:Additionally:

    • Bekräfta att det tjänst konto som kör skannern bara har de rättigheter som dokumenteras i avsnittet för skanner krav och konfigurera sedan den avancerade klient inställningen för att inaktivera låg integritets nivå för skannern.Confirm that the service account that runs the scanner has only the rights documented in the scanner prerequisites section, and then configure the advanced client setting to disable the low integrity level for the scanner.

    • Skannern körs snabbare när du använder den alternativa konfigurationen för att tillämpa en standard etikett på alla filer, eftersom skannern inte kontrollerar fil innehållet.The scanner runs more quickly when you use the alternative configuration to apply a default label to all files because the scanner does not inspect the file contents.

    • Skannern körs långsammare om du använder den alternativa konfigurationen för att identifiera alla anpassade villkor och kända känsliga informations typer.The scanner runs more slowly when you use the alternative configuration to identify all custom conditions and known sensitive information types.

    • Du kan minska skannerns tids gränser med avancerade klient inställningar för bättre genomsöknings takt och lägre minnes förbrukning, men med bekräftelse på att vissa filer kan hoppas över.You can decrease the scanner timeouts with advanced client settings for better scanning rates and lower memory consumption, but with the acknowledgment that some files might be skipped.

Lista över cmdletar för skannernList of cmdlets for the scanner

Andra cmdletar för skannern låter dig ändra tjänst kontot och databasen för skannern, hämta de aktuella inställningarna för skannern och avinstallera skanner tjänsten.Other cmdlets for the scanner let you change the service account and database for the scanner, get the current settings for the scanner, and uninstall the scanner service. Skannern använder följande cmdletar:The scanner uses the following cmdlets:

  • Add-AIPScannerScannedFileTypesAdd-AIPScannerScannedFileTypes

  • Add-AIPScannerRepositoryAdd-AIPScannerRepository

  • Get-AIPScannerConfigurationGet-AIPScannerConfiguration

  • Get-AIPScannerRepositoryGet-AIPScannerRepository

  • Get-AIPScannerStatusGet-AIPScannerStatus

  • Installera-AIPScannerInstall-AIPScanner

  • Remove-AIPScannerRepositoryRemove-AIPScannerRepository

  • Remove-AIPScannerScannedFileTypesRemove-AIPScannerScannedFileTypes

  • Set-AIPScannerSet-AIPScanner

  • Set-AIPScannerConfigurationSet-AIPScannerConfiguration

  • Set-AIPScannerScannedFileTypesSet-AIPScannerScannedFileTypes

  • Set-AIPScannerRepositorySet-AIPScannerRepository

  • Start-AIPScanStart-AIPScan

  • Avinstallera-AIPScannerUninstall-AIPScanner

  • Uppdatera – AIPScannerUpdate-AIPScanner

Anteckning

Många av dessa cmdletar är nu föråldrade i den aktuella versionen av skannern och direkt hjälpen för skannerns cmdlets återspeglar den här ändringen.Many of these cmdlets are now deprecated in the current version of the scanner, and the online help for the scanner cmdlets reflects this change. För cmdlet-hjälpen tidigare än version 1.48.204.0 av skannern använder du det inbyggda Get-Help <cmdlet name> kommandot i PowerShell-sessionen.For cmdlet help earlier than version 1.48.204.0 of the scanner, use the built-in Get-Help <cmdlet name> command in your PowerShell session.

Händelse loggs-ID: n och beskrivningar för skannernEvent log IDs and descriptions for the scanner

Använd följande avsnitt för att identifiera möjliga händelse-ID: n och beskrivningar för skannern.Use the following sections to identify the possible event IDs and descriptions for the scanner. Dessa händelser är inloggade på den server som kör skanner tjänsten, i händelse loggen för Windows- program och-tjänster Azure information Protection.These events are logged on the server that runs the scanner service, in the Windows Applications and Services event log, Azure Information Protection.


Information 910Information 910

Skanner cykeln startades.Scanner cycle started.

Den här händelsen loggas när skanner tjänsten startas och börjar söka efter filer i data lagringen som du har angett.This event is logged when the scanner service is started and begins to scan for files in the data repositories that you specified.


Information 911Information 911

Skanner cykeln har slutförts.Scanner cycle finished.

Den här händelsen loggas när skannern har slutfört en manuell genomsökning eller om skannern har slutfört en cykel för ett kontinuerligt schema.This event is logged when the scanner has finished a manual scan, or the scanner has finished a cycle for a continuous schedule.

Om skannern har kon figurer ATS för att köras manuellt i stället för kontinuerligt, ska du använda cmdleten Start-AIPScan för att köra en ny sökning.If the scanner was configured to run manually rather than continuously, to run a new scan, use the Start-AIPScan cmdlet. Om du vill ändra schemat använder du cmdleten set-AIPScannerConfiguration och parametern schema .To change the schedule, use the Set-AIPScannerConfiguration cmdlet and the Schedule parameter.


Nästa stegNext steps

Är du intresse rad av hur Core Services Engineering and Operations-teamet i Microsoft implementerade den här skannern?Interested in how the Core Services Engineering and Operations team in Microsoft implemented this scanner? Läs den tekniska fallstudien: Automatisera data skydd med Azure information Protection Scanner.Read the technical case study: Automating data protection with Azure Information Protection scanner.

Du kanske undrar: Vad är skillnaden mellan Windows Server FCI och Azure information Protection Scanner?You might be wondering: What's the difference between Windows Server FCI and the Azure Information Protection scanner?

Du kan också använda PowerShell för att interaktivt klassificera och skydda filer från din station ära dator.You can also use PowerShell to interactively classify and protect files from your desktop computer. Mer information om det här och andra scenarier som använder PowerShell finns i använda PowerShell med Azure information Protection-klienten.For more information about this and other scenarios that use PowerShell, see Using PowerShell with the Azure Information Protection client.