Otomatik olarak sınıflandırmak ve dosyaları korumak için Azure Information Protection ilkesini dağıtmaDeploying the Azure Information Protection scanner to automatically classify and protect files

Uygulama hedefi: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2

Not

Bu makalede Azure Information Protection ilkesini geçerli genel kullanılabilirlik sürümü var.This article is for the current general availability version of the Azure Information Protection scanner.

Dağıtım yönergeleri içeren yapılandırma Azure portalında tarayıcının geçerli Önizleme arıyorsanız bkz önizleme sürümünü otomatik olarak sınıflandırmak için Azure Information Protection ilkesini dağıtma ve dosyaları korumaya.If you are looking for deployment instructions for the current preview of the scanner, which includes configuration from the Azure portal, see Deploying the preview version of the Azure Information Protection scanner to automatically classify and protect files.

Azure Information Protection ilkesini, ardından başarıyla yüklemek, yapılandırmak ve çalıştırmak nasıl hakkında bilgi edinmek için bu bilgileri kullanın.Use this information to learn about the Azure Information Protection scanner, and then how to successfully install, configure, and run it.

Bu tarayıcı, Windows Server ve bulma, sınıflandırmak ve aşağıdaki veri depolarını üzerindeki dosyaları koruma sağlar, bir hizmet olarak çalışır:This scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

  • Tarayıcı çalıştıran Windows Server bilgisayarı üzerinde yerel klasörleri.Local folders on the Windows Server computer that runs the scanner.

  • Sunucu İleti Bloğu (SMB) protokolünü kullanan ağ paylaşımları için UNC yolu.UNC paths for network shares that use the Server Message Block (SMB) protocol.

  • Siteleri ve kitaplıkları SharePoint Server 2016 ve SharePoint Server 2013.Sites and libraries for SharePoint Server 2016 and SharePoint Server 2013. SharePoint 2010 kullanan müşteriler ayrıca desteklenen SharePoint bu sürümü için destek Genişletilmiş.SharePoint 2010 is also supported for customers who have extended support for this version of SharePoint.

Tarama ve bulut depolarda dosyaları etiketlemek için kullandığınız Cloud App Security.To scan and label files on cloud repositories, use Cloud App Security.

Azure Information Protection ilkesini genel bakışOverview of the Azure Information Protection scanner

Yapılandırdığınızda, Azure Information Protection ilkesini otomatik sınıflandırma uygulayan etiketler için bu tarayıcı bulur dosyaları ardından etiketlenmesi.When you have configured your Azure Information Protection policy for labels that apply automatic classification, files that this scanner discovers can then be labeled. Etiketler, sınıflandırma uygulamak ve isteğe bağlı olarak, koruma uygulamak veya korumayı kaldırmak:Labels apply classification, and optionally, apply protection or remove protection:

Azure Information Protection tarayıcısı mimarisine genel bakış

Windows bilgisayarda yüklenen IFilters'ı kullanarak dizine ekleyebilir dosyalarla tarayıcı inceleyebilirsiniz.The scanner can inspect any files that Windows can index, by using IFilters that are installed on the computer. Ardından, dosyaları etiketleme gerekiyorsa belirlemek için tarayıcı Office 365 yerleşik veri kaybı önleme (DLP) duyarlılık bilgi türleri ve desen algılama veya Office 365 normal ifade desenleri kullanır.Then, to determine if the files need labeling, the scanner uses the Office 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Office 365 regex patterns. Tarayıcı Azure Information Protection istemcisini kullandığından, sınıflandırmak ve korumak aynı dosya türleri.Because the scanner uses the Azure Information Protection client, it can classify and protect the same file types.

Tarayıcı yalnızca bulma modunda çalıştırabilir, dosyaları etiketlenmiş, raporların ne denetlemek için kullandığınız olacağını.You can run the scanner in discovery mode only, where you use the reports to check what would happen if the files were labeled. Veya etiketlerin otomatik olarak uygulamak için tarayıcıyı çalıştırabilirsiniz.Or, you can run the scanner to automatically apply the labels. Otomatik Sınıflandırma geçerli koşullar için etiketleri yapılandırmadan hassas bilgi türlerini içeren dosyaları bulmak için tarayıcı da çalıştırabilirsiniz.You can also run the scanner to discover files that contain sensitive information types, without configuring labels for conditions that apply automatic classification.

Tarayıcı olmayan keşfedin ve gerçek zamanlı olarak etiket unutmayın.Note that the scanner does not discover and label in real time. Sistematik olarak dosyaları, belirttiğiniz veri depoları arasında gezinir ve bu döngü kere veya tekrar tekrar çalıştırmak için yapılandırabilirsiniz.It systematically crawls through files on data stores that you specify, and you can configure this cycle to run once, or repeatedly.

Tarama veya taramanın dışında hariç tutmak için hangi dosya türlerini belirtebilirsiniz.You can specify which file types to scan, or exclude from scanning. Hangi dosyaların tarayıcı kısıtlamak için inceler, dosya türleri listesini kullanarak tanımladığınız kümesi AIPScannerScannedFileTypes.To restrict which files the scanner inspects, define a file types list by using Set-AIPScannerScannedFileTypes.

Azure Information Protection tarayıcısı için ÖnkoşullarPrerequisites for the Azure Information Protection scanner

Azure Information Protection ilkesini yüklemeden önce aşağıdaki gereksinimlerin karşılandığından emin olun.Before you install the Azure Information Protection scanner, make sure that the following requirements are in place.

GereksinimRequirement Daha fazla bilgiMore information
Tarayıcı hizmeti çalıştırmak için Windows Server bilgisayarı:Windows Server computer to run the scanner service:

-4 çekirdek işlemcileri- 4 core processors

-8 GB RAM- 8 GB of RAM

-Geçici dosyalar için 10 GB boş alan (ortalama)- 10 GB free space (average) for temporary files
Windows Server 2016 veya Windows Server 2012 R2.Windows Server 2016 or Windows Server 2012 R2.

Not: Üretim dışı bir ortamda test veya değerlendirme amaçları için Windows istemci işletim sistemi kullanabilirsiniz Azure Information Protection istemcisi tarafından desteklenen.Note: For testing or evaluation purposes in a non-production environment, you can use a Windows client operating system that is supported by the Azure Information Protection client.

Bu bilgisayar, veri depolarında taranacak hızlı ve güvenilir ağ bağlantısı olan bir fiziksel veya sanal bir bilgisayar olabilir.This computer can be a physical or virtual computer that has a fast and reliable network connection to the data stores to be scanned.

Tarayıcı, tarar, her bir dosya için geçici dosyalar oluşturmak için yeterli disk alanı gerektirir. çekirdek başına dört dosyaları.The scanner requires sufficient disk space to create temporary files for each file that it scans, four files per core. 10 GB önerilen disk alanı, her bir 625 MB'lık dosya boyutu olan 16 dosyaları tarama 4 çekirdekli işlemciler sağlar.The recommended disk space of 10 GB allows for 4 core processors scanning 16 files that each have a file size of 625 MB.

Bu bilgisayar olduğundan emin olun Internet bağlantısı Azure Information Protection için gerekli.Make sure that this computer has the Internet connectivity that it needs for Azure Information Protection. Internet bağlantısı kuruluş ilkeleriniz nedeniyle mümkün değilse, bkz. alternatif yapılandırmaları tarayıcıyla dağıtma bölümü.If Internet connectivity is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section.
Tarayıcı yapılandırmasını depolamak için SQL Server:SQL Server to store the scanner configuration:

-Yerel veya uzak örneğine- Local or remote instance

-Sysadmin rolü tarayıcı yüklemek için- Sysadmin role to install the scanner
SQL Server 2012 aşağıdaki sürümleri için en düşük sürümü şöyledir:SQL Server 2012 is the minimum version for the following editions:

-SQL Server Enterprise- SQL Server Enterprise

-SQL Server standart- SQL Server Standard

-SQL Server Express- SQL Server Express

Tarayıcı birden fazla örneğini yüklerseniz, her bir tarayıcı örneğinin kendi SQL Server örneği gerektirir.If you install more than one instance of the scanner, each scanner instance requires its own SQL Server instance.

Tarayıcıyı yüklediğinizde ve hesabınızın Sysadmin rolüne sahip yükleme işlemi otomatik olarak AzInfoProtectionScanner veritabanı oluşturur ve tarayıcı çalışan hizmet hesabına gerekli db_owner rolü sağlar.When you install the scanner and your account has the Sysadmin role, the installation process automatically creates the AzInfoProtectionScanner database and grants the required db_owner role to the service account that runs the scanner. Sysadmin rolüne verilemez ya oluşturulması ve el ile yapılandırılan veritabanları kuruluş ilkeleriniz ihtiyacınız varsa alternatif yapılandırmaları tarayıcıyla dağıtma bölümü.If you cannot be granted the Sysadmin role or your organization policies require databases to be created and configured manually, see the Deploying the scanner with alternative configurations section.

Her dağıtım için yapılandırma veritabanının boyutu değişir ancak 500 MB, taramak istediğiniz her 1.000.000 dosyaları ayırmak önerilir.The size of the configuration database will vary for each deployment but we recommend you allocate 500 MB for every 1,000,000 files that you want to scan.
Tarayıcı hizmeti çalıştırmak için hizmet hesabıService account to run the scanner service Ek olarak Tarayıcı hizmeti çalışıyor, bu hesap, Azure AD'de kimlik doğrulaması ve Azure Information Protection ilkesini indirir.In addition to running the scanner service, this account authenticates to Azure AD and downloads the Azure Information Protection policy. Bu hesabın bir Active Directory hesabı olması ve Azure AD'ye eşitlenen.This account must be an Active Directory account and synchronized to Azure AD. Bu hesap kuruluş ilkeleriniz nedeniyle eşitlenemiyor olup alternatif yapılandırmaları tarayıcıyla dağıtma bölümü.If you cannot synchronize this account because of your organization policies, see the Deploying the scanner with alternative configurations section.

Bu hizmet hesabı aşağıdaki gereksinimlere sahiptir:This service account has the following requirements:

- Yerel oturum açma doğru.- Log on locally right. Bu hak, yükleme ve yapılandırma tarayıcının, ancak işlemi için gereklidir.This right is required for the installation and configuration of the scanner, but not for operation. Hizmet hesabı için bu hakkı vermeniz gerekir, ancak tarayıcı keşfetmek, dosyaları sınıflandırma ve koruma olduğunu onayladıktan sonra bu hak kaldırabilirsiniz.You must grant this right to the service account but you can remove this right after you have confirmed that the scanner can discover, classify, and protect files. Daha kısa bir süre kuruluş ilkeleriniz nedeniyle olası için bu hakkı verme olup alternatif yapılandırmaları tarayıcıyla dağıtma bölümü.If granting this right even for a short period of time is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section.

- Hizmet oturum açma doğru.- Log on as a service right. Bu hak tarayıcı yüklemesi sırasında otomatik olarak hizmet hesabına verilir ve bu hak, yükleme, yapılandırma ve tarayıcının işlemi için gereklidir.This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.

-Veri depolarına izinleri: Vermeniz gerekir okuma ve yazma dosyaları tarama ve sonra Azure Information Protection ilkesinde koşulları karşılayan dosyalara sınıflandırma ve koruma uygulamak için izinleri.- Permissions to the data repositories: You must grant Read and Write permissions for scanning the files and then applying classification and protection to the files that meet the conditions in the Azure Information Protection policy. Tarayıcı yalnızca bulma modunda çalışacak şekilde okuma yeterli izni yok.To run the scanner in discovery mode only, Read permission is sufficient.

-Yeniden koruma veya korumayı kaldırmak etiketleri için: Tarayıcı için korumalı dosyaları her zaman erişimi olduğundan emin olmak için bu hesabı olun bir süper kullanıcı Azure Rights Management hizmeti ve süper kullanıcı özelliği etkin olduğundan emin olun.- For labels that reprotect or remove protection: To ensure that the scanner always has access to protected files, make this account a super user for the Azure Rights Management service, and ensure that the super user feature is enabled. Koruma uygulamak için hesap gereksinimleri hakkında daha fazla bilgi için bkz. kullanıcıları ve grupları Azure Information Protection'a hazırlama.For more information about the account requirements for applying protection, see Preparing users and groups for Azure Information Protection. Ayrıca uyguladıysanız, ekleme denetimlerini aşamalı bir dağıtım için bu hesabı yapılandırdığınız ekleme denetimlerinde eklendiğinden emin olun.In addition, if you have implemented onboarding controls for a phased deployment, make sure that this account is included in your onboarding controls you've configured.
Windows Server bilgisayarında Azure Information Protection istemcisi yüklüThe Azure Information Protection client is installed on the Windows Server computer Tarayıcı için tam istemciyi yüklemeniz gerekir.You must install the full client for the scanner. İstemci ile yalnızca PowerShell modülünü yüklemeyin.Do not install the client with just the PowerShell module.

İstemci yükleme yönergeleri için bkz. yönetici kılavuzundaki.For client installation instructions, see the admin guide. Tarayıcı daha önce yüklediyseniz ve sonraki bir sürüme yükseltmek artık ihtiyacınız varsa, bkz. Azure Information Protection ilkesini yükseltme.If you have previously installed the scanner and now need to upgrade it to a later version, see Upgrading the Azure Information Protection scanner.
Otomatik Sınıflandırma ve isteğe bağlı olarak, koruma uygulayan yapılandırılan etiketlerConfigured labels that apply automatic classification, and optionally, protection Koşul için etiket yapılandırma ve koruma uygulamak için hakkında daha fazla bilgi için:For more information about how to configure a label for conditions and to apply protection:
- Otomatik ve önerilen sınıflandırma koşullarını yapılandırma- How to configure conditions for automatic and recommended classification
- Rights Management koruması için etiket yapılandırma- How to configure a label for Rights Management protection

İpucu: Yönergeleri kullanabilir öğretici hazırlanmış Word belgesindeki bir kredi kartı numaraları bakan bir etiketle tarayıcı test etmek için.Tip: You can use the instructions from the tutorial to test the scanner with a label that looks for credit card numbers in a prepared Word document. Ancak etiketin yapılandırmasını değiştirmek ihtiyacınız olacak şekilde bu etiketin nasıl uygulanacağını seçin ayarlanır otomatik yerine önerilen.However, you will need to change the label configuration so that Select how this label is applied is set to Automatic rather than Recommended. Ardından (uygulanırsa) belge etiketi kaldırmak ve bir veri deposu için tarayıcı dosyasını kopyalayın.Then remove the label from the document (if it is applied) and copy the file to a data repository for the scanner. Hızlı test etmek için bu tarayıcı bilgisayardaki yerel bir klasöre olabilir.For quick testing, this could be a local folder on the scanner computer.

Otomatik Sınıflandırma uygulayan etiketler yapılandırmadıysanız bile tarayıcı çalıştırabilirsiniz, ancak bu yönergeleri ile bu senaryoyu kapsamaz.Although you can run the scanner even if you haven't configured labels that apply automatic classification, this scenario is not covered with these instructions. Daha fazla bilgiMore information
Taranacak Office belgeleri için:For Office documents to be scanned:

-97-2003 dosya biçimlerini ve Word, Excel ve PowerPoint için Office Açık XML Biçimleri- 97-2003 file formats and Office Open XML formats for Word, Excel, and PowerPoint
Bu dosya biçimlerinde, tarayıcının desteklediğinden bakın dosya türleri hakkında daha fazla bilgi için Azure Information Protection istemcisi tarafından desteklenen dosya türleriFor more information about the file types that the scanner supports for these file formats, see File types supported by the Azure Information Protection client
Uzun yollar için:For long paths:

-En fazla 260 karakter tarayıcı Windows 2016 ve bilgisayara yüklenmediği sürece uzun yollar desteklemek üzere yapılandırılmış- Maximum of 260 characters, unless the scanner is installed on Windows 2016 and the computer is configured to support long paths
Windows 10 ve Windows Server 2016'yı destekleyen aşağıdaki 260 karakterden daha uzun yol uzunluğu Grup İlkesi ayarı: Yerel Bilgisayar İlkesi > Bilgisayar Yapılandırması > Yönetim Şablonları > tüm ayarlar > NTFS > etkinleştirme Win32 uzun yollarWindows 10 and Windows Server 2016 support path lengths greater than 260 characters with the following group policy setting: Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > NTFS > Enable Win32 long paths

Uzun dosya yollarını destekleme hakkında daha fazla bilgi için bkz. en yüksek yol uzunluğu kısıtlaması bölümünden Windows 10 Geliştirici belgeleri.For more information about supporting long file paths, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

Kuruluş ilkeleriniz prohibited tablodaki tüm gereksinimleri karşılayamazsanız alternatifleri için sonraki bölüme bakın.If you can't meet all the requirements in the table because they are prohibited by your organization policies, see the next section for alternatives.

Tüm gereksinimleri karşılanırsa, doğrudan Git yükleme bölümüne.If all the requirements are met, go straight to the installation section.

Alternatif yapılandırmalarla ilkesini dağıtmaDeploying the scanner with alternative configurations

Tabloda listelenen önkoşullar tarayıcı varsayılan gereksinimlerini ve çünkü bunlar en basit yapılandırmadır tarayıcı dağıtım için önerilir.The prerequisites listed in the table are the default requirements for the scanner and recommended because they are the simplest configuration for the scanner deployment. Böylece, tarayıcının yeteneklerini denetleyebilirsiniz ilk test için uygun olmalıdır.They should be suitable for initial testing, so that you can check the capabilities of the scanner. Ancak, bir ürün ortamında, kuruluş ilkeleriniz varsayılan gereksinimlerin bir veya daha fazla aşağıdaki kısıtlamalar nedeniyle yasaklayabilir:However, in a product environment, your organization policies might prohibit these default requirements because of one or more of the following restrictions:

  • Sunucular Internet bağlantısına izin verilmezServers are not allowed Internet connectivity

  • Sysadmin verilemez veya veritabanları oluşturuldu ve el ile yapılandırılmışYou cannot be granted Sysadmin or databases must be created and configured manually

  • Hizmet hesapları olamaz verilmesi oturum açabilmesi sağService accounts cannot be granted the Log on locally right

  • Hizmet hesapları Azure Active Directory'ye eşitlenemiyor ancak sunucuları Internet bağlantısına sahipService accounts cannot be synchronized to Azure Active Directory but servers have Internet connectivity

Bu kısıtlamalar tarayıcı uyum ancak ek yapılandırma gerektirir.The scanner can accommodate these restrictions but they require additional configuration.

Kısıtlaması: Tarayıcı sunucunun Internet bağlantısına sahip olamazRestriction: The scanner server cannot have Internet connectivity

Yönergeleri izleyerek bir bağlantısı kesik bilgisayar.Follow the instructions for a disconnected computer.

Bu yapılandırmada, tarayıcı geçerli olduğunu unutmayın, kuruluşunuzun bulut tabanlı anahtar kullanarak koruma (veya korumayı kaldırma).Note that in this configuration, the scanner cannot apply protection (or remove protection) by using your organization's cloud-based key. Bunun yerine tarayıcı yalnızca sınıflandırma uygulayan etiketler kullanmakla sınırlıdır veya koruma kullanan HYOK.Instead, the scanner is limited to using labels that apply classification only, or protection that uses HYOK.

Kısıtlaması: Sysadmin verilemez veya veritabanları oluşturuldu ve el ile yapılandırılmışRestriction: You cannot be granted Sysadmin or databases must be created and configured manually

Tarayıcı geçici olarak yüklemek için Sysadmin rolünün verilebilir, tarayıcı yüklemesi tamamlandıktan sonra bu rolü kaldırabilirsiniz.If you can be granted the Sysadmin role temporarily to install the scanner, you can remove this role when the scanner installation is complete. Bu yapılandırmayı kullandığınızda, veritabanı sizin için otomatik olarak oluşturulur ve tarayıcı için hizmet hesabının gerekli izinlere otomatik olarak verilir.When you use this configuration, the database is automatically created for you and the service account for the scanner is automatically granted the required permissions. Ancak, tarayıcı yapılandırdığı kullanıcı hesabının AzInfoProtectionScanner veritabanı için db_owner rolü gerektirir ve bu role kullanıcı hesabını el ile sağlamanız gerekir.However, the user account that configures the scanner requires the db_owner role for the AzInfoProtectionScanner database, and you must manually grant this role to the user account.

El ile hatta geçici olarak Sysadmin rolüne verilemez, tarayıcı yüklemeden önce AzInfoProtectionScanner adlı bir veritabanı oluşturmanız gerekir.If you cannot be granted the Sysadmin role even temporarily, you must manually create a database named AzInfoProtectionScanner before you install the scanner. Bu yapılandırmayı kullandığınızda, aşağıdaki rolleri atayın:When you use this configuration, assign the following roles:

HesapAccount Veritabanı düzeyindeki roleDatabase-level role
Tarayıcı için hizmet hesabıService account for the scanner db_ownerdb_owner
Kullanıcı hesabı için tarayıcı yüklemeUser account for scanner installation db_ownerdb_owner
Kullanıcı hesabı için tarayıcı yapılandırmaUser account for scanner configuration db_ownerdb_owner

Genellikle, yüklemek ve tarayıcı yapılandırmak için aynı kullanıcı hesabı kullanır.Typically, you will use the same user account to install and configure the scanner. Ancak farklı bir hesap kullanırsanız, her ikisi de db_owner rolünün AzInfoProtectionScanner veritabanı gerektirir.But if you use different accounts, they both require the db_owner role for the AzInfoProtectionScanner database.

Kısıtlaması: Tarayıcı için hizmet hesabı verilemez oturum açabilmesi sağRestriction: The service account for the scanner cannot be granted the Log on locally right

Kuruluş ilkeleriniz yasaklarsanız yerel oturum açma sağa için hizmet hesapları, ancak izin toplu iş olarak oturum sağ yönergelerini izleyin belirtin ve belirteci kullanın Set-aıpauthentication komutuna parametre yönetici kılavuzunun.If your organization policies prohibit the Log on locally right for service accounts but allow the Log on as a batch job right, follow the instructions for Specify and use the Token parameter for Set-AIPAuthentication from the admin guide.

Kısıtlaması: Sunucunun Internet bağlantısına sahip ancak tarayıcı hizmet hesabı, Azure Active Directory ile eşitlenemiyorRestriction: The scanner service account cannot be synchronized to Azure Active Directory but the server has Internet connectivity

Tarayıcı hizmeti çalıştırmak ve Azure Active Directory kimlik doğrulaması için başka bir hesap kullanmak için bir hesabın olabilir:You can have one account to run the scanner service and use another account to authenticate to Azure Active Directory:

Tarayıcı yükleyinInstall the scanner

  1. Tarayıcı çalıştırılan Windows Server bilgisayarında oturum açın.Sign in to the Windows Server computer that will run the scanner. SQL Server ana veritabanı için yazma izinleri olan ve yerel yönetici haklarına sahip bir hesap kullanın.Use an account that has local administrator rights and that has permissions to write to the SQL Server master database.

  2. Bir Windows PowerShell oturumu açın bir yönetici olarak çalıştır seçeneği.Open a Windows PowerShell session with the Run as an administrator option.

  3. Çalıştırma yükleme AIPScanner cmdlet'ini belirtme, SQL Server örneğinde bir veritabanı için Azure Information Protection ilkesini oluşturmak için:Run the Install-AIPScanner cmdlet, specifying your SQL Server instance on which to create a database for the Azure Information Protection scanner:

    Install-AIPScanner -SqlServerInstance <database name>
    

    Örnekler:Examples:

    Varsayılan örneği için: Install-AIPScanner -SqlServerInstance SQLSERVER1For a default instance: Install-AIPScanner -SqlServerInstance SQLSERVER1

    Adlandırılmış bir örnek için: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNERFor a named instance: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER

    SQL Server Express için: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESSFor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS

    Daha fazla gerekiyorsa, bu cmdlet'i için çevrimiçi yardıma kullanın ayrıntılı örnekler.Use the online help for this cmdlet if you need more detailed examples.

    İstendiğinde, tarayıcı hizmet hesabı için kimlik bilgilerini sağlayın (<etki alanı\kullanıcı adı >) ve parola.When you are prompted, provide the credentials for the scanner service account (<domain\user name>) and password.

  4. Kullanarak hizmet artık yüklendiğini doğrulayın Yönetimsel Araçlar > Hizmetleri.Verify that the service is now installed by using Administrative Tools > Services.

    Yüklü olan hizmet adlı Azure Information Protection ilkesini ve oluşturduğunuz Tarayıcı hizmeti hesabını çalıştırmak amacıyla kullanmak üzere yapılandırılır.The installed service is named Azure Information Protection Scanner and is configured to run by using the scanner service account that you created.

Tarayıcı yükledikten sonra Azure AD için tarayıcı hizmet hesabı katılımsız çalışabilir, böylece kimlik doğrulaması belirteç almanız gerekir.Now that you have installed the scanner, you need to get an Azure AD token for the scanner service account to authenticate so that it can run unattended.

Azure AD için tarayıcı belirteci almaGet an Azure AD token for the scanner

Azure AD belirteç tarayıcı hizmet hesabı, Azure Information Protection hizmetinde kimlik doğrulaması sağlar.The Azure AD token lets the scanner service account authenticate to the Azure Information Protection service.

  1. Aynı Windows Server bilgisayarının veya masaüstünden, Azure portalında kimlik doğrulaması için bir erişim belirteci belirtmek için gereken iki Azure AD uygulamaları oluşturmak için oturum açın.From the same Windows Server computer, or from your desktop, sign in to the Azure portal to create two Azure AD applications that are needed to specify an access token for authentication. Bir ilk etkileşimli oturum açma işleminden sonra bu belirteç, etkileşimli olmayan tarayıcı sağlar.After an initial interactive sign-in, this token lets the scanner run non-interactively.

    Bu uygulamaları oluşturmak için yönergeleri izleyin. Azure Information Protection için etkileşimli olmayan dosyaları etiketleme yönetici kılavuzunun.To create these applications, follow the instructions in How to label files non-interactively for Azure Information Protection from the admin guide.

  2. Windows Server bilgisayardan tarayıcı Hizmet hesabınızı verilmişse oturum açabilmesi sağ yüklemesi için: Bu hesapla oturum açın ve bir PowerShell oturumu başlatın.From the Windows Server computer, if your scanner service account has been granted the Log on locally right for the installation: Sign in with this account and start a PowerShell session. Çalıştırma Set-Aıpauthentication, önceki adımda kopyaladığınız değerleri belirtme:Run Set-AIPAuthentication, specifying the values that you copied from the previous step:

    Set-AIPAuthentication -webAppId <ID of the "Web app / API" application> -webAppKey <key value generated in the "Web app / API" application> -nativeAppId <ID of the "Native" application>
    

    İstendiğinde, Azure AD hizmet hesabı kimlik bilgilerinizi parolasını belirtin ve ardından kabul.When prompted, specify the password for your service account credentials for Azure AD, and then click Accept.

    Tarayıcı hizmet hesabınızı verilirse oturum açabilmesi sağ yüklemesi için: Bölümündeki yönergeleri belirtin ve Set-Aıpauthentication belirteci parametresi kullanılmak bölümü yönetici kılavuzunun.If your scanner service account cannot be granted the Log on locally right for the installation: Follow the instructions in the Specify and use the Token parameter for Set-AIPAuthentication section from the admin guide.

Tarayıcı, artık bir yıl boyunca, iki yıl geçerli veya hiçbir zaman süresi, kendi yapılandırmasına göre Azure AD kimlik doğrulaması için belirtece sahip Web uygulaması/API'si Azure AD'de.The scanner now has a token to authenticate to Azure AD, which is valid for one year, two years, or never expires, according to your configuration of the Web app /API in Azure AD. Belirtecin süresi dolduğunda, 1 ve 2. adımları yinelemeniz gerekir.When the token expires, you must repeat steps 1 and 2.

Tarama için veri depolarını belirtmek artık hazırsınız.You're now ready to specify the data stores to scan.

Veri depoları için tarayıcıyı belirtinSpecify data stores for the scanner

Kullanım Ekle AIPScannerRepository Azure Information Protection tarayıcı tarafından taranmasını verileri belirtmek için cmdlet depolar.Use the Add-AIPScannerRepository cmdlet to specify the data stores to be scanned by the Azure Information Protection scanner. SharePoint siteleri ve kitaplıkları için yerel klasör, UNC yollarını ve SharePoint sunucu URL'leri belirtebilirsiniz.You can specify local folders, UNC paths, and SharePoint Server URLs for SharePoint sites and libraries.

SharePoint için desteklenen sürümler: SharePoint Server 2016 ve SharePoint Server 2013'ü.Supported versions for SharePoint: SharePoint Server 2016 and SharePoint Server 2013. SharePoint Server 2010 kullanan müşteriler ayrıca desteklenen SharePoint bu sürümü için destek Genişletilmiş.SharePoint Server 2010 is also supported for customers who have extended support for this version of SharePoint.

  1. Aynı Windows Server bilgisayarında, aşağıdaki komutu çalıştırarak ilk verilerinizi depolamak PowerShell oturumunuzda ekleyin:From the same Windows Server computer, in your PowerShell session, add your first data store by running the following command:

     Add-AIPScannerRepository -Path <path>
    

    Örneğin, Add-AIPScannerRepository -Path \\NAS\DocumentsFor example: Add-AIPScannerRepository -Path \\NAS\Documents

    Diğer örnekler için bkz: çevrimiçi Yardım Bu cmdlet için.For other examples, see the online help for this cmdlet.

  2. Bu komut, taramak istediğiniz verileri depolayan tüm için yineleyin.Repeat this command for all the data stores that you want to scan. Eklediğiniz bir veri deposunu kaldırmak gerekiyorsa kullanın Remove-AIPScannerRepository cmdlet'i.If you need to remove a data store that you added, use the Remove-AIPScannerRepository cmdlet.

  3. Tüm veri depoları doğru çalıştırarak belirttiğinizi doğrulayın Get-AIPScannerRepository cmdlet:Confirm that you have specified all the data stores correctly, by running the Get-AIPScannerRepository cmdlet:

     Get-AIPScannerRepository
    

Tarayıcının varsayılan yapılandırma ile artık ilk taramanız bulma modunda çalışmaya hazırsınız.With the scanner's default configuration, you're now ready to run your first scan in discovery mode.

Bir keşif çevrimini çalıştırmanız ve tarayıcının raporlarını görüntülemeRun a discovery cycle and view reports for the scanner

  1. PowerShell oturumunuzda, yeniden Azure Information Protection ilkesini aşağıdaki komutu çalıştırarak service:In your PowerShell session, restart the Azure Information Protection Scanner service by running the following command:

     Start-AIPScan
    

    Alternatif olarak, tarayıcı Azure portalından başlatabilirsiniz.Alternatively, you can start the scanner from the Azure portal. Gelen Azure Information Protection - düğümleri dikey penceresinde, tarayıcı düğümünü seçin ve ardından Şimdi tara seçeneği:From the Azure Information Protection - Nodes blade, select your scanner node, and then the Scan now option:

    Azure Information Protection ilkesini taraması başlatma

  2. Tarayıcı aşağıdaki komutu çalıştırarak, döngü tamamlanması için bekleyin:Wait for the scanner to complete its cycle by running the following command:

     Get-AIPScannerStatus
    

    Alternatif olarak, durumunu görüntüleyebileceğiniz Azure Information Protection - düğümleri denetleyerek Azure portalındaki dikey penceresinde durumu sütun.Alternatively, you can view the status from the Azure Information Protection - Nodes blade in the Azure portal, by checking the STATUS column.

    Durumu göstermek konum boşta yerine tarama.Look for the status to show Idle rather than Scanning.

    Belirttiğiniz veri depolarında tüm dosyaları aracılığıyla tarayıcı tarafından gezinme, Tarayıcı hizmeti çalışan kalsa da tarayıcı durdurur.When the scanner has crawled through all the files in the data stores that you specified, the scanner stops although the scanner service remains running.

    Yerel Windows denetleyin uygulamaları ve Hizmetleri olay günlüğü Azure Information Protection.Check the local Windows Applications and Services event log, Azure Information Protection. Tarayıcı, tarama sonuçlarının bir özetini tamamlandığında bu günlük da bildirir.This log also reports when the scanner has finished scanning, with a summary of results. İçin bilgilendirici olay kimliği 911.Look for the informational event ID 911.

  3. % Depolanan raporları gözden geçirinlocalappdata% \Microsoft\MSIP\Scanner\Reports.Review the reports that are stored in %localappdata%\Microsoft\MSIP\Scanner\Reports. Özet .txt dosyaları taramak için taranan dosya sayısını ve kaç tane dosya bilgi türleri için bir eşleşme sahipti geçen süreyi içerir.The .txt summary files include the time taken to scan, the number of scanned files, and how many files had a match for the information types. .Csv dosyalarını daha fazla ayrıntı için her bir dosya var.The .csv files have more details for each file. Bu klasör en fazla 60 raporlar her tarama döngüsü ve tüm depolar, ancak en son rapor, gerekli disk alanını en aza indirmek için sıkıştırılır.This folder stores up to 60 reports for each scanning cycle and all but the latest report is compressed to help minimize the required disk space.

    Not

    Kullanarak günlük kaydı düzeyini değiştirebilirsiniz ReportLevel parametresiyle kümesi AIPScannerConfiguration, ancak rapor klasörü konumu veya adını değiştiremezsiniz.You can change the level of logging by using the ReportLevel parameter with Set-AIPScannerConfiguration, but you can't change the report folder location or name. Bir farklı birimi veya bölüm raporları depolamak istiyorsanız klasör için dizin birleşimi kullanmayı düşünün.Consider using a directory junction for the folder if you want to store the reports on a different volume or partition.

    Örneğin, kullanarak Mklink komutu: mklink /j C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\Reports D:\Scanner_reportsFor example, using the Mklink command: mklink /j C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\Reports D:\Scanner_reports

    Varsayılan ayar ile otomatik sınıflandırma için yapılandırdığınız koşulları karşılayan dosyalar ayrıntılı raporlarına dahil edilir.With the default setting, only files that meet the conditions you've configured for automatic classification are included in the detailed reports. Etiket yapılandırmanızı önerilen sınıflandırma yerine otomatik olarak içerir, bu raporlardaki uygulanan tüm etiketleri görmüyorsanız, kontrol edin.If you don't see any labels applied in these reports, check your label configuration includes automatic rather than recommended classification.

    İpucu

    Tarayıcılar bu bilgileri her beş dakikada Azure Information Protection'a göndermek, böylece görüntüleyebileceğiniz sonuçlarda neredeyse gerçek zamanlı Azure portalından.Scanners send this information to Azure Information Protection every five minutes, so that you can view the results in near real-time from the Azure portal. Daha fazla bilgi için Azure Information Protection için raporlama.For more information, see Reporting for Azure Information Protection.

    Değil beklediğiniz gibi sonuçları varsa, Azure Information Protection ilkesinde belirttiğiniz koşullara ince ayar gerekebilir.If the results are not as you expect, you might need to fine-tune the conditions that you specified in your Azure Information Protection policy. Bu durumda, Sınıflandırma ve isteğe bağlı olarak, korumayı uygulamak için yapılandırmayı değiştirmek hazır olana kadar 1-3 arası adımları yineleyin.If that's the case, repeat steps 1 through 3 until you are ready to change the configuration to apply the classification and optionally, protection.

Otomatik olarak bulur tarayıcı dosyaları etiketlemek hazır olduğunuzda, sonraki yordama devam edin.When you're ready to automatically label the files that the scanner discovers, continue to the next procedure.

Sınıflandırma ve koruma uygulamak için tarayıcı yapılandırmaConfigure the scanner to apply classification and protection

Varsayılan ayar olarak, tarayıcı zaman ve yalnızca raporlama modunda çalışır.In its default setting, the scanner runs one time and in the reporting-only mode. Bu ayarları değiştirmek için çalıştırın kümesi AIPScannerConfiguration cmdlet'i.To change these settings, run the Set-AIPScannerConfiguration cmdlet.

  1. Windows Server bilgisayarında, PowerShell oturumunda aşağıdaki komutu çalıştırın:On the Windows Server computer, in the PowerShell session, run the following command:

     Set-AIPScannerConfiguration -Enforce On -Schedule Always
    

    Değiştirmek isteyebileceğiniz diğer yapılandırma ayarları vardır.There are other configuration settings that you might want to change. Örneğin, dosya özniteliklerini değiştirilip ve raporlarda günlüğe kaydedilir.For example, whether file attributes are changed and what is logged in the reports. Ayrıca, Azure Information Protection ilkenizi sınıflandırma düzeyini düşürün veya korumayı kaldırmak için gerekçe ileti gerektiren ayarı içeriyorsa, bu ileti Bu cmdlet kullanarak belirtin.In addition, if your Azure Information Protection policy includes the setting that requires a justification message to lower the classification level or remove protection, specify that message by using this cmdlet. Kullanım çevrimiçi Yardım her bir yapılandırma ayarı hakkında daha fazla bilgi.Use the online help for more information about each configuration setting.

  2. Geçerli saati not edin ve aşağıdaki komutu çalıştırarak tarayıcıyı yeniden başlatın:Make a note of the current time and start the scanner again by running the following command:

     Start-AIPScan
    

    Alternatif olarak, tarayıcı Azure portalından başlatabilirsiniz.Alternatively, you can start the scanner from the Azure portal. Gelen Azure Information Protection - düğümleri dikey penceresinde, tarayıcı düğümünü seçin ve ardından Şimdi tara seçeneği:From the Azure Information Protection - Nodes blade, select your scanner node, and then the Scan now option:

    Azure Information Protection ilkesini taraması başlatma

  3. Bilgi türü için olay günlüğünü izleme 911 yeniden saat ile daha önceki adımda tarama başlatıldığında Damga.Monitor the event log for the informational type 911 again, with a time stamp later than when you started the scan in the previous step.

    Sonra hangi dosyaların etiketlenmiş, hangi sınıflandırma her dosyaya uygulanan ve olup koruma uygulanmış ayrıntılarını görmek için raporları olup olmadığını denetleyin.Then check the reports to see details of which files were labeled, what classification was applied to each file, and whether protection was applied to them. Veya bu bilgileri daha kolay görmek için Azure portalını kullanın.Or, use the Azure portal to more easily see this information.

Biz zamanlamayı tarayıcı tüm dosyaları yolu çalıştığında sürekli olarak çalışacak biçimde yapılandırılmış olduğundan, böylece yeni ve değiştirilen dosyaları bulunan yeni bir döngü başlatır.Because we configured the schedule to run continuously, when the scanner has worked its way through all the files, it starts a new cycle so that any new and changed files are discovered.

Dosyaları nasıl taranırHow files are scanned

Dosyaları taramasını tarayıcı aşağıdaki işlemleri çalıştırır.The scanner runs through the following processes when it scans files.

1. Dosyaları dahil veya tarama için dışarıda belirleme1. Determine whether files are included or excluded for scanning

Tarayıcı dosyaları otomatik olarak atlar sınıflandırma ve koruma işlemlerinden dışlananyürütülebilir dosyaları ve sistem dosyaları gibi.The scanner automatically skips files that are excluded from classification and protection, such as executable files and system files.

Tarama veya taramanın dışında tutun dosya türlerinin bir listesi tanımlayarak bu davranışı değiştirebilirsiniz.You can change this behavior by defining a list of file types to scan, or exclude from scanning. Bu liste belirttiğinizde ve bu nedenle bir veri deposu belirtmeyin listesi belirtilen kendi listesine sahip olmayan tüm verileri depolar için geçerlidir.When you specify this list and do not specify a data repository, the list applies to all data repositories that do not have their own list specified. Bu liste belirtmek için kullanın kümesi AIPScannerScannedFileTypes.To specify this list, use Set-AIPScannerScannedFileTypes.

Dosya türleri listenize belirttikten sonra yeni bir dosya türü listesine ekleyebilirsiniz Ekle AIPScannerScannedFileTypesve bir dosya türünü kullanarak listeden kaldırma Remove-AIPScannerScannedFileTypes.After you have specified your file types list, you can add a new file type to the list by using Add-AIPScannerScannedFileTypes, and remove a file type from the list by using Remove-AIPScannerScannedFileTypes.

2. İnceleyin ve dosyaları2. Inspect and label files

Tarayıcı, filtreleri sonra tarama desteklenen dosya türleri için kullanır.The scanner then uses filters to scan supported file types. Bu aynı filtreler, Windows Search ve dizin oluşturma için işletim sistemi tarafından kullanılır.These same filters are used by the operating system for Windows Search and indexing. Herhangi bir ek yapılandırma Windows IFilter tarama Word, Excel, PowerPoint ve PDF belgeleri ve metin dosyaları için kullanılan dosya türleri için kullanılır.Without any additional configuration, Windows IFilter is used to scan file types that are used by Word, Excel, PowerPoint, and for PDF documents and text files.

.Zip dosyalarını ve .tiff dosyalarına içerir, mevcut filtreleri yapılandırmak için varsayılan ve ek bilgiler nasıl desteklenen dosya türlerinin tam listesi için bkz. İnceleme için desteklenen dosya türleri.For a full list of file types that are supported by default, and additional information how to configure existing filters that include .zip files and .tiff files, see File types supported for inspection.

İnceleme sonra etiketler için belirtilen koşullar kullanarak bu dosya türlerini etiketli.After inspection, these file types can be labeled by using the conditions that you specified for your labels. Veya, etiketlerinizi veya tüm bilinen hassas bilgi türleri için belirtilen koşullar içerecek şekilde bulma modu kullanıyorsanız, bu dosyaları bildirilebilir.Or, if you're using discovery mode, these files can be reported to contain the conditions that you specified for your labels, or all known sensitive information types.

Ancak, tarayıcı, aşağıdaki koşullarda dosyaları etiketlemek olamaz:However, the scanner cannot label the files under the following circumstances:

  • Sınıflandırma ve koruma değil etiketi uygular ve dosya türü yenilenmez desteği yalnızca sınıflandırma.If the label applies classification and not protection, and the file type does not support classification only.

  • Sınıflandırma ve koruma etiketi uygular, ancak tarayıcı bir dosya türünü korumak değil ise.If the label applies classification and protection, but the scanner does not protect the file type.

    PDF şifreleme için ISO standart'ı kullanarak korumalı olduklarında varsayılan olarak, tarayıcı yalnızca Office dosya türlerine ve PDF dosyalarını korur.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. Diğer dosya türleri olabilir durumlarda korumalı, kayıt defterini düzenlemeniz aşağıdaki bölümde açıklandığı gibi.Other file types can be protected when you edit the registry as described in a following section.

.Txt dosya türü yalnızca sınıflandırma desteklemediğinden örneğin .txt dosya adı uzantısına sahip dosyalar inceleyerek sonra tarayıcıyı sınıflandırma ancak değil koruma için yapılandırılmış bir etiketi uygulayamıyor.For example, after inspecting files that have a file name extension of .txt, the scanner can't apply a label that's configured for classification but not protection, because the .txt file type doesn't support classification-only. Etiket, Sınıflandırma ve koruma için yapılandırıldığından ve .txt dosya türü için kayıt düzenlendiğinde, tarayıcı dosyayı etiketleyebilirsiniz.If the label is configured for classification and protection, and the registry is edited for the .txt file type, the scanner can label the file.

İpucu

Bu işlem sırasında tarayıcı durdurur ve çok sayıda bir deposundaki dosyaları tarama işlemini tamamlamazsa dosyalarını barındıran işletim sistemi için dinamik bağlantı noktaları sayısını artırmanız gerekebilir.During this process, if the scanner stops and doesn't complete scanning a large number of the files in a repository, you might need to increase the number of dynamic ports for the operating system hosting the files. SharePoint Server sağlamlaştırma neden tarayıcı izin verilen ağ bağlantıları aşıyor ve bu nedenle durdurur bir neden olabilir.Server hardening for SharePoint can be one reason why the scanner exceeds the number of allowed network connections, and therefore stops.

Durdurma tarayıcı nedeninin bu olup olmadığını denetlemek için aşağıdaki hata iletisini % tarayıcıda oturum varsa bakarlocalappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (birden fazla günlük yoksa daraltılmış): Uzak sunucuya bağlanılamıyor System.Net.Sockets.SocketException--->: Her bir yuva adresinin (protokolü/ağ adresini/bağlantı noktası) yalnızca bir kullanım normalde IP: BağlantıNoktası izin verilirTo check whether this is the cause of the scanner stopping, look to see if the following error message is logged for the scanner in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped if there are multiple logs): Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

Geçerli bağlantı noktası aralığını görüntülemek ve artırmak hakkında daha fazla bilgi için bkz. ağ performansı arttırmak için değiştirilebilir ayarları.For more information about how to view the current port range and increase the range, see Settings that can be Modified to Improve Network Performance.

3. İncelenemediği dosyaları etiketleme3. Label files that can't be inspected

İncelenemiyor. dosya türlerinde, tarayıcı varsayılan etiket Azure Information Protection ilkesinde veya tarayıcı için yapılandırdığınız varsayılan etiket uygulanır.For the file types that can't be inspected, the scanner applies the default label in the Azure Information Protection policy, or the default label that you configure for the scanner.

Önceki adımda olduğu gibi tarayıcı, aşağıdaki koşullarda dosyaları etiketlemek olamaz:As in the preceding step, the scanner cannot label the files under the following circumstances:

  • Sınıflandırma ve koruma değil etiketi uygular ve dosya türü yenilenmez desteği yalnızca sınıflandırma.If the label applies classification and not protection, and the file type does not support classification only.

  • Sınıflandırma ve koruma etiketi uygular, ancak tarayıcı bir dosya türünü korumak değil ise.If the label applies classification and protection, but the scanner does not protect the file type.

    PDF şifreleme için ISO standart'ı kullanarak korumalı olduklarında varsayılan olarak, tarayıcı yalnızca Office dosya türlerine ve PDF dosyalarını korur.By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. Diğer dosya türleri olabilir durumlarda korumalı, kayıt defterini düzenlemeniz sonraki bölümde açıklandığı gibi.Other file types can be protected when you edit the registry as described next.

Tarayıcı için kayıt defterini düzenlemeEditing the registry for the scanner

Office dosyaları ve PDF dışında dosya türlerini korumak için varsayılan tarayıcı davranışını değiştirmek için el ile kayıt defterini düzenlemek ve korunacak istediğiniz ek dosya türlerini ve koruma (yerel veya genel) türünü belirtmeniz gerekir.To change the default scanner behavior for protecting file types other than Office files and PDFs, you must manually edit the registry and specify the additional file types that you want to be protected, and the type of protection (native or generic). Yönergeler için dosya API'si Yapılandırması Geliştirici kılavuzundaki.For instructions, see File API configuration from the developer guidance. Geliştiricilere yönelik bu belgede genel korumadan "PFile" olarak bahsedilmektedir.In this documentation for developers, generic protection is referred to as "PFile". Ayrıca, belirli bir tarayıcı için:In addition, specific for the scanner:

  • Tarayıcı, kendi varsayılan davranışa sahiptir: Varsayılan olarak, yalnızca Office dosya biçimlerini ve PDF belgeleri korunur.The scanner has its own default behavior: Only Office file formats and PDF documents are protected by default. Kayıt defteri değiştirilmemişse, diğer dosya türleri etiketli veya tarayıcı tarafından korunan.If the registry is not modified, any other file types will not be labeled or protected by the scanner.

  • Burada tüm dosyaları yerel veya genel koruma ile otomatik olarak korunur, Azure Information Protection istemcisi aynı varsayılan koruma davranışını istiyorsanız: Belirtin * joker karakter olarak bir kayıt defteri anahtarı ve Default değer olarak.If you want the same default protection behavior of the Azure Information Protection client, where all files are automatically protected with native or generic protection: Specify the * wildcard as a registry key, and Default as the value data.

Kayıt defterini düzenleyerek el ile oluşturduğunuzda MSIPC anahtarı ve FileProtection anahtar mevcut değilse yanı sıra, her dosya adı uzantısı için bir anahtar.When you edit the registry, manually create the MSIPC key and FileProtection key if they do not exist, as well as a key for each file name extension.

Örneğin, tarayıcının yanı sıra Office dosyaları ve PDF, kayıt defteri, düzenledikten sonra TIFF görüntülerini korumak aşağıdaki resim gibi görünecektir.For example, for the scanner to protect TIFF images in addition to Office files and PDFs, the registry after you have edited it, will look like the following picture. Bir resim dosyası olarak TIFF dosyaları yerel koruma ve elde edilen dosya adı uzantısı .ptiff.As an image file, TIFF files support native protection and the resulting file name extension is .ptiff.

Korumayı uygulamak tarayıcı için kayıt defterini düzenleme

Benzer şekilde, yerel korumayı destekleyen ancak kayıt defterinde belirtilen metin ve görüntü dosya türleri listesi için bkz. sınıflandırma ve koruma için desteklenen dosya türleri yönetici kılavuzunun.For a list of text and images file types that similarly support native protection but must be specified in the registry, see Supported file types for classification and protection from the admin guide.

Yeni bir anahtar dosya adı uzantısı için yerel korumayı desteklemeyen dosyaları belirtin ve PFile için genel koruma.For files that don't support native protection, specify the file name extension as a new key, and PFile for generic protection. Korumalı dosya için oluşturulan dosya adı uzantısı .pfile ' dir.The resulting file name extension for the protected file is .pfile.

Ne zaman dosyaları yeniden taranıpWhen files are rescanned

İlk tarama döngüsü için yapılandırılmış veri depoları içindeki tüm dosyaları tarayıcı inceler ve ardından sonraki tarar, yalnızca yeni veya değiştirilmiş dosyaları incelenir.For the first scan cycle, the scanner inspects all files in the configured data stores and then for subsequent scans, only new or modified files are inspected.

Tüm dosyalar tekrar çalıştırarak incelemek için tarayıcı zorlayabilirsiniz başlangıç AIPScan ile -Reset parametresi.You can force the scanner to inspect all files again by running Start-AIPScan with the -Reset parameter. Tarayıcı gerektiren bir el ile zamanlama için yapılandırılmalıdır -Schedule ayarlamak için parametre el ile ile kümesi AIPScannerConfiguration.The scanner must be configured for a manual schedule, which requires the -Schedule parameter to be set to Manual with Set-AIPScannerConfiguration.

Alternatif olarak, tüm dosyaları yeniden denetlemek için tarayıcı zorlayabilirsiniz Azure Information Protection - düğümleri Azure portalındaki dikey penceresinde.Alternatively, you can force the scanner to inspect all files again from the Azure Information Protection - Nodes blade in the Azure portal. Tarayıcınız listeden seçin ve ardından tüm dosyaları tarayın seçeneği:Select your scanner from the list, and then select the Rescan all files option:

Azure Information Protection tarayıcısı için başlatılsın

Tüm dosyaları yeniden incelemek istediğiniz tüm dosyaları eklenip eklenmeyeceğini raporları ve tarayıcı bulma modunda çalıştırıldığında bu yapılandırma seçeneği genellikle kullanıldığında yararlıdır.Inspecting all files again is useful when you want the reports to include all files and this configuration choice is typically used when the scanner runs in discovery mode. Tam tarama tamamlandığında, böylece sonraki tarar, yalnızca yeni veya değiştirilmiş dosyaları taraması yapılan tarama türü otomatik olarak için artımlı değiştirir.When a full scan is complete, the scan type automatically changes to incremental so that for subsequent scans, only new or modified files are scanned.

Ayrıca, tarayıcı koşullar yeni veya değiştirilmiş olan bir Azure Information Protection ilkesini indirdiğinde tüm dosyaları olup olmadığı denetlenir.In addition, all files are inspected when the scanner downloads an Azure Information Protection policy that has new or changed conditions. Tarayıcı İlkesi saatte yeniler ve ne zaman hizmeti başladığında ve ilkeyi bir saatten daha eski.The scanner refreshes the policy every hour, and when the service starts and the policy is older than one hour.

İpucu

İlke, bu bir saatlik aralığı daha erken test bir süre boyunca yenilemek ihtiyacınız varsa: İlke dosyasını el ile silin %LocalAppData%\microsoft\msıp hem %LocalAppData%\Microsoft\MSIP\Policy.msip ve %LocalAppData%\Microsoft\MSIP\Scanner.If you need to refresh the policy sooner than this one hour interval, for example, during a testing period: Manually delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner. Azure bilgi Tarayıcı hizmetini durdurup yeniden başlatın.Then restart the Azure Information Scanner service.

Koruma İlkesi ayarlarına değiştirdiyseniz, hizmet yeniden başlatmadan önce koruma ayarlarını kaydedildiğinde da 15 dakika bekleyin.If you changed protection settings in the policy, also wait 15 minutes from when you saved the protection settings before you restart the service.

Tarayıcı yapılandırılmış hiçbir otomatik koşul olan bir ilke indirdiyseniz, tarayıcı klasöründe ilkesi dosyasının kopyasını güncelleştirmez.If the scanner downloaded a policy that had no automatic conditions configured, the copy of the policy file in the scanner folder does not update. Bu senaryoda, ilke dosyasını silmeniz gerekir %LocalAppData%\microsoft\msıp hem %LocalAppData%\Microsoft\MSIP\Policy.msip ve %LocalAppData%\Microsoft\MSIP\Scannertarayıcı, doğru otomatik koşulları verdi etiketleri olan yeni indirilen ilke dosyası kullanmadan önce.In this scenario, you must delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner before the scanner can use a newly downloaded policy file that has labels correctly figured for automatic conditions.

Tarayıcı alternatif yapılandırması ile kullanmaUsing the scanner with alternative configurations

Burada etiketler koşulları için yapılandırılmış olması gerekmez, Azure Information Protection ilkesini destekler, diğer iki senaryo vardır:There are two alternative scenarios that the Azure Information Protection scanner supports where labels do not need to be configured for any conditions:

  • Bir veri deposunda tüm dosyaları için varsayılan etiket uygulanır.Apply a default label to all files in a data repository.

    Bu yapılandırma için kullanacağınız kümesi AIPScannerRepository cmdlet'ini ayarlayın MatchPolicy parametresi kapalı.For this configuration, use the Set-AIPScannerRepository cmdlet, and set the MatchPolicy parameter to Off.

    Dosyaların içeriğini değil incelenir ve veri deposu tüm dosyalarda veri deposu için belirttiğiniz varsayılan etiket göre etiketlenir (ile SetDefaultLabel parametresi) veya bu değil belirtirseniz, bir ilke ayarı tarayıcısı hesabı için belirtilen varsayılan etiket.The contents of the files are not inspected and all files in the data repository are labeled according to the default label that you specify for the data repository (with the SetDefaultLabel parameter) or if this is not specify, the default label that is specified as a policy setting for the scanner account.

  • Tüm özel koşullar ve bilinen hassas bilgi türlerini tanımlar.Identify all custom conditions and known sensitive information types.

    Bu yapılandırma için kullanacağınız kümesi AIPScannerConfiguration cmdlet'ini ayarlayın DiscoverInformationTypes parametresi tüm.For this configuration, use the Set-AIPScannerConfiguration cmdlet, and set the DiscoverInformationTypes parameter to All.

    Tarayıcı etiketler Azure Information Protection ilkesini ve Azure Information Protection ilkesinde etiketleri belirtmek kullanılabilir olan bilgi türleri listesi için belirttiğiniz herhangi bir özel durumu kullanır.The scanner uses any custom conditions that you have specified for labels in the Azure Information Protection policy, and the list of information types that are available to specify for labels in the Azure Information Protection policy.

    Şu hızlı başlangıcı bu yapılandırmayı kullanır: Hızlı Başlangıç: Sahip olduğunuz hangi hassas bilgi.The following quickstart uses this configuration: Quickstart: Find what sensitive information you have.

Tarayıcı performansı en iyi duruma getirmeOptimizing the performance of the scanner

Tarayıcı performansı en üst düzeye çıkarmak için:To maximize the scanner performance:

  • Yüksek hızlı ve güvenilir ağ bağlantısı ve tarayıcı bilgisayar taranan veri deposu arasındaHave a high speed and reliable network connection between the scanner computer and the scanned data store

    Örneğin, aynı LAN tarayıcı bilgisayar yerleştirin veya (aynı ağ kesimindeki taranan veri deposu olarak tercih edilir).For example, place the scanner computer in the same LAN, or (preferred) in the same network segment as the scanned data store.

    Dosyaları incelemek için tarayıcı dosyaların içeriğini Tarayıcı hizmeti çalıştıran bilgisayara aktardığından ağ bağlantısı kalitesini tarayıcı performansı etkiler.The quality of the network connection affects the scanner performance because to inspect the files, the scanner transfers the contents of the files to the computer running the scanner service. Azaltmak (veya ortadan kaldırmak,) bu verileri, seyahat gereken ağ durak ağınızda ayrıca yükünü azaltın.When you reduce (or eliminate) the number of network hops this data has to travel, you also reduce the load on your network.

  • Tarayıcı bilgisayarda kullanılabilir işlemci kaynakları içerdiğinden emin olunMake sure the scanner computer has available processor resources

    Dosya içeriği, yapılandırılmış koşullara karşı eşleşmenin inceleyerek, şifreleme ve dosyaların şifrelerini çözme, yoğun işlemci eylemlerdir.Inspecting the file contents for a match against your configured conditions, and encrypting and decrypting files are processor-intensive actions. İşlemci kaynaklarının yetersizliği tarayıcı performansı olumsuz yönde etkilediğini belirlemek, belirtilen veri depoları için tipik tarama döngüsü izleyin.Monitor typical scanning cycles for your specified data stores to identify whether a lack of processor resources is negatively affecting the scanner performance.

  • Tarayıcı hizmetini çalıştıran bilgisayarın yerel klasörleri tarama yapmayacakDo not scan local folders on the computer running the scanner service

    Bir Windows sunucusuna taramak için klasörleri varsa, farklı bir bilgisayarda tarayıcı yükleyin ve bu klasörleri yapılandırma gibi ağ paylaşımlara taramak için.If you have folders to scan on a Windows server, install the scanner on a different computer and configure those folders as network shares to scan. Dosyaları barındırmak ve dosyaları tarama iki işlev ayırarak bu hizmetler için işlem kaynakları birbiriyle rekabet halinde olduğunuz değil, anlamına gelir.Separating the two functions of hosting files and scanning files means that the computing resources for these services are not competing with one another.

Gerekirse, tarayıcı birden çok örneğini yükleyin.If necessary, install multiple instances of the scanner. Her bir tarayıcı örneğinin kendi yapılandırma veritabanında farklı bir SQL Server örneği gerektirir.Each scanner instance requires its own configuration database in a different SQL Server instance.

Tarayıcı performansı etkileyen diğer faktörlere:Other factors that affect the scanner performance:

  • Geçerli yük ve yanıt sürelerini veri depolarının içeren dosyaları taramak içinThe current load and response times of the data stores that contain the files to scan

  • Tarayıcı bulma modunda çalışan veya zorlama modundaWhether the scanner runs in discovery mode or enforce mode

    Bulma modu genellikle olan daha yüksek bir bulma eylemi, tek bir dosyayı okuma gerektirirken çünkü zorlama modunda daha oranı tarama zorla modu, okuma ve yazma işlemleri gerektirir.Discovery mode typically has a higher scanning rate than enforce mode because discovery requires a single file read action, whereas enforce mode requires read and write actions.

  • Azure Information Protection koşul değiştirmeYou change the conditions in the Azure Information Protection

    Tarayıcı her dosya, inceleyin, ilk tarama döngüsü açıkça varsayılan olarak, yalnızca yeni ve değiştirilen dosyaları incelemesi sonraki tarama döngülerini uzun sürer.Your first scan cycle when the scanner must inspect every file will obviously take longer than subsequent scan cycles that by default, inspect only new and changed files. Azure Information Protection ilkesinde koşullar değiştirirseniz, ancak tüm dosyaları yeniden açıklandığı taranır önceki bölümde yer.However, if you change the conditions in the Azure Information Protection policy, all files are scanned again, as described in the preceding section.

  • Seçtiğiniz günlük düzeyiYour chosen logging level

    Arasından seçim yapabilirsiniz hata ayıklama, bilgisi, hata ve kapalı tarayıcı raporlar.You can choose between Debug, Info, Error and Off for the scanner reports. Kapalı sonuçları en iyi performansı; Hata ayıklama önemli ölçüde tarayıcı yavaşlatır ve yalnızca sorun giderme için kullanılmalıdır.Off results in the best performance; Debug considerably slows down the scanner and should be used only for troubleshooting. Daha fazla bilgi için ReportLevel parametresi için kümesi AIPScannerConfiguration cmdlet'i.For more information, see the ReportLevel parameter for the Set-AIPScannerConfiguration cmdlet.

  • Dosyaları kendilerinin:The files themselves:

    • Office dosyaları, PDF dosyaları daha hızlı bir şekilde taranan.Office files are more quickly scanned than PDF files.

    • Korumasız dosyaların korunan dosyalardan taramak üzere oluşturulurlar.Unprotected files are quicker to scan than protected files.

    • Büyük dosyaları açıkça küçük dosyalar tarama daha uzun sürer.Large files obviously take longer to scan than small files.

  • Ek olarak:Additionally:

    • Tarayıcı çalıştıran hizmet hesabının yalnızca belirtilmiştir hakları olduğundan emin olmak tarayıcı önkoşulları bölümüne ve ardından yapılandırma Gelişmiş istemci özellik düşük devre dışı bırakmak için tarayıcı için bütünlük düzeyi.Confirm that the service account that runs the scanner has only the rights documented in the scanner prerequisites section, and then configure the advanced client property to disable the low integrity level for the scanner.

    • Tarayıcı çalıştırır daha hızlı bir şekilde kullandığınızda alternatif yapılandırma tarayıcı dosya içeriğini inceler değil çünkü varsayılan etiket tüm dosyalara uygulanacak.The scanner runs more quickly when you use the alternative configuration to apply a default label to all files because the scanner does not inspect the file contents.

    • Tarayıcı çalıştırır daha yavaş kullandığınızda alternatif yapılandırma tüm özel koşullar ve bilinen hassas bilgi türleri tanımlamak için.The scanner runs more slowly when you use the alternative configuration to identify all custom conditions and known sensitive information types.

Tarayıcı için cmdlet'lerin listesiList of cmdlets for the scanner

Tarayıcı için diğer cmdlet'ler, hizmet hesabını ve tarayıcı için veritabanı değiştirme, tarayıcı geçerli ayarlarını alma ve Tarayıcı hizmeti kaldırmanız olanak tanır.Other cmdlets for the scanner let you change the service account and database for the scanner, get the current settings for the scanner, and uninstall the scanner service. Tarayıcı aşağıdaki cmdlet'leri kullanır:The scanner uses the following cmdlets:

Olay günlüğü kimlikleri ve açıklamaları için tarayıcıEvent log IDs and descriptions for the scanner

Olası olay kimlikleri ve açıklamaları için tarayıcı tanımlamak için aşağıdaki bölümleri kullanın.Use the following sections to identify the possible event IDs and descriptions for the scanner. Windows Tarayıcı Hizmeti'ni çalıştıran sunucuda bu olayları günlüğe uygulamaları ve Hizmetleri olay günlüğü Azure Information Protection.These events are logged on the server that runs the scanner service, in the Windows Applications and Services event log, Azure Information Protection.


Bilgi 910Information 910

Tarayıcı döngüsü başlatıldı.Scanner cycle started.

Tarayıcı hizmeti başlatıldı ve dosyaları, belirttiğiniz veri depoları için tarama başlar bu olay günlüğe kaydedilir.This event is logged when the scanner service is started and begins to scan for files in the data repositories that you specified.


Bilgi 911Information 911

Tarayıcı işlemi tamamlandı.Scanner cycle finished.

Tarayıcı el ile tarama tamamlandıktan veya tarayıcı sürekli bir zamanlama için bir döngü tamamlandı, bu olay günlüğe kaydedilir.This event is logged when the scanner has finished a manual scan, or the scanner has finished a cycle for a continuous schedule.

Tarayıcı yerine sürekli olarak el ile çalıştırmak için yapılandırıldıysa, yeni bir tarama çalıştırmak için kullanmak başlangıç AIPScan cmdlet'i.If the scanner was configured to run manually rather than continuously, to run a new scan, use the Start-AIPScan cmdlet. Zamanlamayı değiştirmek için kullanın kümesi AIPScannerConfiguration cmdlet'i ve zamanlama parametresi.To change the schedule, use the Set-AIPScannerConfiguration cmdlet and the Schedule parameter.


Sonraki adımlarNext steps

Microsoft Çekirdek Hizmetleri mühendislik ve işlemler takım bu tarayıcı nasıl uygulandığı ilgileniyor musunuz?Interested in how the Core Services Engineering and Operations team in Microsoft implemented this scanner? Teknik olay incelemesini okuyun: Azure Information Protection tarayıcısı ile veri korumayı otomatikleştirme.Read the technical case study: Automating data protection with Azure Information Protection scanner.

Merak ediyor: Windows Server FCI ile Azure Information Protection ilkesini arasındaki fark nedir?You might be wondering: What’s the difference between Windows Server FCI and the Azure Information Protection scanner?

Etkileşimli olarak sınıflandırmak ve masaüstü bilgisayarınızda dosyaları korumak için PowerShell de kullanabilirsiniz.You can also use PowerShell to interactively classify and protect files from your desktop computer. Bu ve PowerShell kullanan diğer senaryolar hakkında daha fazla bilgi için bkz. Azure Information Protection istemcisiyle PowerShell kullanma.For more information about this and other scenarios that use PowerShell, see Using PowerShell with the Azure Information Protection client.