使用统一的标签扫描程序 (和) Azure 信息保护

适用于:Azure信息保护、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2

相关:仅 AIP 统一标签客户端

本文介绍如何配置和安装 Azure 信息保护统一标签本地扫描仪。

提示

尽管大多数客户将在 Azure 门户的 "Azure 信息保护"区域中执行这些过程,但可能只需使用 PowerShell。

例如,如果在无法访问 Azure 门户的环境中工作,例如 Azure 中国世纪网扫描程序服务器,请按照使用 PowerShell 配置扫描程序 中的说明进行操作

概述

在启动之前,请验证系统是否符合 所需的先决条件

若要使用 Azure 门户,请使用以下步骤:

  1. 配置扫描仪设置

  2. 安装扫描仪

  3. 获取Azure AD的令牌

  4. 配置扫描仪以应用分类和保护

然后,根据需要为系统执行以下配置过程:

过程 说明
更改要保护的文件类型 可能需要扫描、分类或保护与默认文件类型不同的文件类型。 有关详细信息,请参阅 AIP 扫描过程
升级扫描仪 升级扫描仪以利用最新功能和改进。
批量编辑数据存储库设置 使用导入和导出选项批量更改多个数据存储库。
将扫描仪与备用配置一同使用 使用扫描仪而不配置带任何条件的标签
优化性能 优化扫描仪性能指南

如果无法访问 Azure 门户中的扫描程序页面,请仅在 PowerShell 中配置任何扫描程序设置。 有关详细信息,请参阅使用PowerShell 配置扫描程序和支持的 PowerShell cmdlet。

配置扫描仪设置

在安装扫描仪或从较早的常规版本升级之前,请配置或验证扫描仪设置。

若要在 Azure 门户中配置扫描仪,请执行以下操作:

  1. 使用以下 角色之 一登录到 Azure 门户:

    • 合规性管理员
    • 符合性数据管理员
    • 安全管理员
    • 全局管理员

    然后,导航到 "Azure 信息保护" 窗格。

    例如,在资源、服务和文档搜索框中,开始键入"信息"并选择"Azure 信息保护"。

  2. 创建扫描仪群集。 此群集定义扫描仪,用于标识扫描仪实例,例如安装、升级和其他过程。

  3. (可选) 扫描网络以寻找风险存储库。 创建网络扫描作业以扫描指定的 IP 地址或范围,并提供可能包含要保护的敏感内容的风险存储库列表。

    运行网络扫描作业, 然后分析找到的任何风险存储库

  4. 创建内容扫描作业 ,定义要扫描的存储库。

创建扫描仪群集

  1. 在左侧 的" 扫描程序"菜单中,选择" 群集群集

  2. "Azure 信息保护 - 群集"窗格中,选择"添加添加图标

  3. 在" 添加新群集"窗格中 ,输入扫描仪的有意义名称和可选说明。

    群集名称用于标识扫描程序的配置和存储库。 例如,可以输入 "欧洲 "来标识要扫描的数据存储库的地理位置。

    稍后将使用此名称来确定要安装或升级扫描仪的地方。

  4. 选择 "保存 图标以保存更改。

使用公共预览版 (网络扫描)

将找到的一个或多个存储库添加到内容扫描作业,以扫描这些存储库的敏感内容。

注意

Azure 信息保护网络发现功能目前以预览版提供。 Azure 预览版补充条款包括适用于以 beta 版、预览版或尚未正式版发布的 Azure 功能的其他法律条款。

下表描述了网络发现服务所需的先决条件:

先决条件 说明
安装网络发现服务 如果最近已升级扫描仪,可能仍然需要安装网络发现服务。

运行 Install-MIPNetworkDiscovery cmdlet 以启用网络扫描作业。
Azure 信息保护分析 确保已启用 Azure 信息保护分析。

在 Azure 门户中,转到"Azure 信息保护管理 > ""配置分析 (预览) "。

有关详细信息,请参阅 Azure 信息保护中心报告 (公共预览版) 。

创建网络扫描作业

  1. 登录到 Azure 门户,并转到"Azure 信息保护"。 在左侧的"扫描程序"菜单下,选择"网络扫描作业" (") "网络扫描作业"图标 。

  2. "Azure 信息保护 - 网络扫描作业"窗格中,选择"添加添加图标

  3. "添加新的网络扫描作业"页上 ,定义以下设置:

    设置 说明
    网络扫描作业名称 为此作业输入有意义的名称。 此字段是必需的。
    说明 输入有意义的说明。
    选择群集 从下拉列表中,选择要用于扫描已配置网络位置的群集。

    提示:选择群集时,请确保分配的群集中的节点可以通过 SMB 访问配置的 IP 范围。
    配置要发现的 IP 范围 单击 以定义 IP 地址或范围。

    在" 选择 IP 范围 "窗格中,输入可选名称,然后输入范围的起始 IP 地址和结束 IP 地址。

    提示:若要仅扫描特定的 IP 地址,请在"起始 IP" 和"结束 IP"字段中输入 相同的 IP 地址。
    设置计划 定义希望此网络扫描作业运行多久一次。

    如果选择"每周 ",将显示 "运行网络扫描作业时 "设置。 选择要运行网络扫描作业的星期日期。
    设置开始时间 (UTC) 定义希望此网络扫描作业开始运行的日期和时间。 如果选择每天、每周或每月运行作业,则作业将在所选重复周期的已定义时间运行。

    注意:将日期设置为月底的任何日期时请小心。 如果选择 "31",网络扫描作业将不会在有 30 天或更少的任何月份运行。
  4. 选择 "保存 图标以保存更改。

提示

如果要使用不同的扫描程序运行同一网络扫描,请更改网络扫描作业中定义的群集。

返回到"网络扫描作业"窗格,选择"立即分配到群集"以选择其他群集,或选择"取消分配群集",稍后进行其他更改。

分析公共预览版 (的风险存储库)

通过网络扫描作业、内容扫描作业或日志文件中检测到的用户访问找到的存储库将聚合并列在"扫描程序 存储库"存储库图标"存储库"图标窗格中。

如果已 定义网络扫描 作业,并且已设置为在特定的日期和时间运行,请等待它完成运行以检查结果。 运行内容扫描作业以查看更新 的数据后, 还可以返回此处。

注意

Azure 信息保护 存储库功能 目前以预览版提供。 Azure 预览版补充条款包括适用于以 beta 版、预览版或尚未正式版发布的 Azure 功能的其他法律条款。

  1. 在左侧的"扫描程序"菜单下,选择"存储库存储库

    找到的存储库如下所示:

    • " 按状态显示存储库 "图显示已针对内容扫描作业配置的存储库数,以及未配置的存储库数。
    • 访问 图表前 10 个非托管存储库列出了当前未分配给内容扫描作业的前 10 个存储库,以及有关其访问级别的详细信息。 访问级别可以指示存储库的风险程度。
    • 图表下方的表列出了找到的每个存储库及其详细信息。
  2. 执行下列任一操作:

    Option 说明
    列图标 选择 " 列"可更改显示的表列。
    刷新图标 如果扫描仪最近运行了网络扫描结果,请选择 "刷新 "以刷新页面。
    选择表中列出的一个或多个存储库,然后选择"分配 所选 项目"以将其分配到内容扫描作业。
    筛选器 筛选行显示当前应用的任何筛选条件。 选择显示的任何条件以修改其设置,或选择" 添加筛选器 "以添加新的筛选条件。

    选择 " 筛选"以应用更改,然后使用更新的筛选器刷新表。
    Log Analytics 图标 在非托管存储库图的右上角,单击 Log Analytics 图标,跳转到这些存储库的 Log Analytics 数据。

发现公共访问具有读取或读取/写入功能的存储库可能包含必须保护的敏感内容。 如果 "公共 访问"为 false,则公众完全无法访问存储库。

只有在Install-MIPNetworkDiscoverySet-MIPNetworkDiscoveryConfiguration cmdlet 的StandardDomainsUserAccount参数中设置了弱帐户时,才报告对存储库的公共访问。

  • 这些参数中定义的帐户用于模拟弱用户访问存储库。 如果在那里定义的弱用户可以访问存储库,这意味着可以公开访问存储库。

  • 若要确保正确报告公共访问,请确保这些参数中指定的用户是"域用户"组的成员。

创建内容扫描作业

深入了解内容,扫描特定存储库中的敏感内容。

你可能希望仅在运行网络扫描作业来分析网络中存储库之后才能这样做,但也可以自己定义存储库。

若要在 Azure 门户上创建内容扫描作业,请执行以下操作:

  1. 在左侧的"扫描仪"菜单下,选择"内容扫描作业"。

  2. "Azure 信息保护 - 内容扫描作业"窗格中,选择"添加添加图标

  3. 对于此初始配置,请配置以下设置,然后选择" 保存 "但不关闭窗格。

    设置 说明
    内容扫描作业设置 - - :保留"手动" 的默认值
    - - :仅更改为 策略
    - - :目前不要配置,因为必须先保存内容扫描作业。
    DLP 策略 如果使用 DLP Microsoft 365数据丢失防护 (DLP) ,将"启用 DLP规则"设置为"打开"。 有关详细信息,请参阅使用 DLP 策略
    敏感度策略 - - 选择" 关闭"
    - - :保留默认值 "打开"
    - - :保留策略 默认值
    - - :保留默认值"关闭 "
    配置文件设置 - - 上次修改日期"和"修改者":保留默认值 "打开"
    - - :保留排除的默认 文件类型
    - - :保留扫描 程序帐户的默认值
    - - :仅在使用 DLP 策略 时使用此选项
  4. 创建并保存内容扫描作业后,可以返回到"配置存储库"选项,指定要扫描的数据存储。

    为本地文档库SharePoint指定 UNC SharePoint服务器 URL。

    注意

    SharePoint Server 2019 SharePoint 支持 SharePoint Server 2016 和 SharePoint Server 2013。 如果SharePoint此版本的扩展支持,也支持SharePoint。

    若要添加第一个数据存储,请在"添加新内容扫描作业"窗格中,选择"配置存储库"打开"存储库"窗格:

    配置 Azure 信息保护扫描程序的数据存储库。

    1. 在"存储库"窗格中,选择"添加":

      为 Azure 信息保护扫描程序添加数据存储库。

    2. 在"存储库"窗格中,指定数据存储库的路径,然后选择"保存"。

      • 对于网络共享,请使用 \\Server\Folder
      • 对于 SharePoint 库,请使用 http://sharepoint.contoso.com/Shared%20Documents/Folder
      • 对于本地路径: C:\Folder
      • 对于 UNC 路径: \\Server\Folder

    注意

    不支持通配符,也不支持 WebDav 位置。

    如果为共享文档SharePoint路径:

    • 若要 扫描" 共享文档"中的所有文档和所有文件夹,请指定路径中的"共享文档"。 例如: http://sp2013/SharedDocuments
    • 若要 扫描 "共享文档"下子文件夹中的所有文档和所有文件夹,请指定路径中的"文档"。 例如: http://sp2013/Documents/SalesReports
    • 或者,仅指定 Sharepoint 的FQDN,例如,发现并扫描SharePoint URL 和子网站下的所有网站 和子网站。 授予扫描 程序网站收集器审核 员权限以启用此功能。

    对于此窗格上的剩余设置,不要更改此初始配置的设置,但请将其保留为"内容扫描作业默认值"。 默认设置意味着数据存储库从内容扫描作业继承设置。

    添加路径时,请使用SharePoint语法:

    路径 语法
    根路径 http://<SharePoint server name>

    扫描所有网站,包括允许扫描程序用户的任何网站集。
    需要 其他权限才能 自动发现根内容
    特定SharePoint子网站或集合 下列其中一项:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    需要 其他权限才能 自动发现网站集内容
    特定SharePoint库 下列其中一项:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    特定SharePoint文件夹 http://<SharePoint server name>/.../<folder name>
  5. 重复上述步骤,根据需要添加多个存储库。

    完成后,关闭"存储库"和"内容扫描作业"窗格。

返回"Azure 信息保护 - 内容扫描作业"窗格,将显示内容扫描名称,以及显示"手动"和"强制"列的SCHEDULE列为空。

现在,可以使用已创建的内容扫描程序作业安装扫描仪。 继续安装 扫描仪

安装扫描仪

配置 Azure 信息保护扫描程序后,请执行以下步骤来安装扫描仪。 此过程在 PowerShell 中完全执行。

  1. 登录到将Windows扫描程序的服务器计算机。 使用具有本地管理员权限且有权写入主数据库SQL Server帐户。

    重要

    在安装扫描仪之前,必须在计算机上安装 AIP 统一标签客户端。

    有关详细信息,请参阅 安装和部署 Azure 信息保护扫描程序的先决条件

  2. 使用"Windows PowerShell"选项打开一个会话

  3. 运行Install-AIPScanner cmdlet,指定要创建 Azure 信息保护扫描程序数据库的 SQL Server 实例,以及上一部分中指定的扫描程序群集名称

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    使用欧洲扫描程序群集名称 的示例

    • 对于默认实例: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • 对于命名实例: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • 对于SQL Server Express:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    系统提示时,请提供扫描程序服务帐户的 Active Directory 凭据。

    使用以下语法 \<domain\user name> :。 例如: contoso\scanneraccount

  4. 使用管理工具服务 验证服务现已安装

    已安装的服务名为 Azure 信息保护 扫描程序,配置为使用创建的扫描程序服务帐户运行。

安装扫描仪后,需要获取扫描Azure AD帐户的令牌进行身份验证,以便扫描程序可以无人参与运行。

获取Azure AD的令牌

使用Azure AD令牌,扫描程序可以通过 Azure 信息保护服务进行身份验证,使扫描程序能够以非交互方式运行。

有关详细信息,请参阅如何为 Azure 信息保护以非交互方式 标记文件

若要获取Azure AD令牌

  1. 打开 Azure 门户创建一个Azure AD应用程序,以指定用于身份验证的访问令牌。

  2. 在 Windows 服务器计算机中,如果扫描程序服务帐户已被授予用于安装的本地登录权限,请通过此帐户登录并启动 PowerShell 会话。

    运行 Set-AIPAuthentication,指定从上一步复制的值:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    例如:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    提示

    如果无法为扫描程序服务帐户授予用于安装的本地登录权限,请使用OnBehalfOf参数和Set-AIPAuthentication,如如何为Azure信息保护以非交互方式标记文件中所述。

现在,扫描程序具有一个令牌,用于Azure AD。 此令牌的有效期为 1 年、2 年或从不,其有效期为 1 年或 2 年,其有效期Azure AD。 令牌过期时,必须重复此过程。

继续使用以下步骤之一,具体取决于是使用 Azure 门户配置扫描仪,还是仅使用 PowerShell:

现在可以在发现模式下运行第一次扫描了。 有关详细信息,请参阅 运行发现周期并查看扫描程序的报告

运行初始发现扫描后,请继续配置 扫描程序以应用分类和保护

注意

有关详细信息,请参阅如何以非交互方式为 Azure 信息 保护标记文件

配置扫描仪以应用分类和保护

默认设置将扫描程序配置为在仅报告模式下运行一次。 若要更改这些设置,请编辑内容扫描作业。

提示

如果仅在 PowerShell 中工作,请参阅将扫描程序配置为应用分类和保护 - 仅 PowerShell。

将扫描仪配置为应用分类和保护

  1. 在 Azure 门户中的 "Azure 信息 保护 - 内容扫描作业"窗格中,选择群集和内容扫描作业进行编辑。

  2. 在"内容扫描作业"窗格中,更改以下内容,然后选择"保存":

    • 从"内容扫描作业"部分:将"计划"更改为"始终"
    • 从"敏感度策略"部分:将"强制"更改为"打开"

    提示

    可能需要更改此窗格上的其他设置,例如文件属性是否已更改,以及扫描仪是否可以重新标记文件。 使用信息弹出帮助了解有关每个配置设置的信息。

  3. 记下当前时间,然后从 "Azure 信息保护 - 内容扫描作业"窗格再次启动扫描程序:

    启动 Azure 信息保护扫描程序扫描。

扫描仪现在计划连续运行。 当扫描程序在所有配置的文件之间正常工作时,它会自动启动一个新周期,以便发现任何新的和已更改的文件。

使用 DLP 策略

使用 Microsoft 365 DLP (DLP) 策略,扫描程序能够将 DLP 规则与文件共享和 SharePoint 服务器中存储的文件匹配,从而检测潜在的数据泄漏。

  • 在内容扫描作业中启用 DLP 规则 ,以减少与 DLP 策略匹配的任何文件的曝光。 启用 DLP 规则后,扫描程序可能会仅减少对数据所有者的文件访问,或减少网络范围内组(如"每个人"、"经过身份验证的用户"或"域用户")的公开

  • 在 Microsoft 365 合规中心中,确定是否只是测试 DLP 策略,或者是否希望强制实施规则,以及文件权限是否根据这些规则进行更改。 有关详细信息,请参阅启用 DLP 策略

DLP 策略在 Microsoft 365 合规中心。 有关 DLP 许可详细信息,请参阅本地扫描 程序数据丢失防护入门

提示

扫描文件(即使只是测试 DLP 策略)也会创建文件权限报告。 查询这些报告以调查特定文件泄露情况,或探索特定用户对扫描文件的风险。

若要仅使用 PowerShell,请参阅将 DLP 策略与扫描程序一起使用 - 仅 PowerShell。

将 DLP 策略与扫描程序一同使用:

  1. 在 Azure 门户中,导航到内容扫描作业。 有关详细信息,请参阅 创建内容扫描作业

  2. DLP 策略下,将"启用 DLP 规则"设置为"启用"。

    重要

    不要将"启用 DLP 规则"设置为"启用",除非实际上在 Microsoft 365 中配置了 DLP 策略。

    在没有 DLP 策略的情况下启用此功能将导致扫描程序生成错误。

  3. (可选) "配置文件设置"下,将"设置存储库所有者"设置为"打开",将特定用户定义为存储库所有者。

    此选项使扫描程序能够减少在此存储库中找到的任何文件(与 DLP 策略匹配)向定义的存储库所有者公开。

DLP 策略 和专用 操作

如果将 DLP 策略与"创建专用"操作一起使用,并且还计划使用扫描仪自动标记文件,则建议同时定义统一标签客户端的UseCopyAndPreserveNTFSOwner高级设置。

此设置可确保原始所有者保留对文件的访问权限。

有关详细信息,请参阅创建内容扫描作业和自动将敏感度标签应用到Microsoft 365 文档中。

更改要保护的文件类型

默认情况下,AIP 扫描程序仅Office文件类型和 PDF 文件。

使用 PowerShell 命令根据需要更改此行为,例如,将扫描程序配置为像客户端一样保护所有文件类型,或保护其他特定文件类型。

对于适用于用户帐户下载扫描仪标签的标签策略,请指定名为 PFileSupportedExtensions的 PowerShell 高级设置。

对于有权访问 Internet 的扫描仪,此用户帐户是使用 Set-AIPAuthentication 命令 为 DelegatedUser 参数指定的帐户。

示例 1:用于扫描程序保护所有文件类型的 PowerShell 命令,其中标签策略名为"Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

示例 2:用于保护 .xml 文件和 .tiff 文件的扫描程序 PowerShell 命令,以及 Office 文件和 PDF 文件,其中标签策略名为"Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

有关详细信息,请参阅 更改要保护的文件类型

升级扫描仪

如果以前已安装扫描仪并想要升级,请使用升级 Azure 信息保护扫描 程序中所述的说明

然后,像往常一样配置和使用扫描仪,跳过安装扫描仪的步骤。

批量编辑数据存储库设置

使用"导出和导入"按钮可跨多个存储库对扫描仪进行更改。

这样,无需在 Azure 门户中手动多次进行相同的更改。

例如,如果多个数据库数据存储库中SharePoint新的文件类型,可能需要批量更新这些存储库的设置。

若要跨存储库批量进行更改,请执行:

  1. 在 Azure 门户的" 存储库"窗格中 ,选择" 导出" 选项。 例如:

    导出 Azure 信息保护扫描程序的数据存储库设置。

  2. 手动编辑导出的文件以更改。

  3. 使用 同一 页上的"导入"选项将更新导入回存储库。

将扫描仪与备用配置一同使用

Azure 信息保护扫描程序通常查找为标签指定的条件,以便根据需要对内容进行分类和保护。

在以下情况中,Azure 信息保护扫描程序还可以扫描内容和管理标签,而无需配置任何条件:

对数据存储库中的所有文件应用默认标签

在此配置中,存储库中所有未标记的文件都标有为存储库或内容扫描作业指定的默认标签。 标记文件时不进行检查。

配置以下设置:

设置 说明
基于内容标记文件 设置为" 关闭"
默认标签 设置为 "自定义",然后选择使用的标签
强制实施默认标签 选择 以将默认标签应用到所有文件,即使它们已标记。

从数据存储库中的所有文件中删除现有标签

在此配置中,如果对标签应用了保护,则删除所有现有标签,包括保护。 将保留独立于标签应用的保护。

配置以下设置:

设置 说明
基于内容标记文件 设置为" 关闭"
默认标签 设置为"无 "
重新标记文件 设置为"打开",选中"强制实施默认标签"复选框

识别所有自定义条件和已知的敏感信息类型

通过此配置,可以查找可能未意识到的敏感信息,但代价是扫描程序的费用。

将要发现的"信息类型"设置为"所有"。

为了标识标签的条件和信息类型,扫描仪将使用指定的任何自定义敏感信息类型,以及可供选择的内置敏感信息类型列表,如标签管理中心中的定义。

优化扫描仪性能

注意

如果要提高扫描仪计算机的响应能力而不是扫描仪性能,请使用高级客户端设置来限制扫描仪 使用的线程数

使用以下选项和指导来帮助优化扫描仪性能:

Option 说明
在扫描仪计算机与扫描数据存储之间具有高速可靠的网络连接 例如,将扫描仪计算机放在同一 LAN 中,或者最好与扫描的数据存储位于同一网段。

网络连接的质量会影响扫描仪性能,因为为了检查文件,扫描仪将文件的内容转移到运行扫描仪服务的计算机。

减少或消除数据传输所需的网络跃点也会降低网络负载。
确保扫描仪计算机具有可用的处理器资源 检查文件内容以及加密和解密文件是处理器密集型操作。

监视指定数据存储的典型扫描周期,以确定缺少处理器资源是否对扫描仪性能造成负面影响。
安装扫描仪的多个实例 为扫描程序指定自定义群集名称时,SQL保护扫描程序支持同一服务器实例上的多个配置数据库。

提示:多个扫描程序还可以共享同一群集,从而加快扫描时间。 如果计划在同一数据库实例的多个计算机上安装扫描仪,并且希望扫描仪并行运行,则必须使用相同的群集名称安装所有扫描仪。
检查备用配置使用情况 使用备用配置将默认标签应用到所有文件时,扫描仪运行速度会更快,因为扫描仪不会检查文件内容。

使用备用配置识别所有自定义条件和已知敏感信息类型时,扫描仪运行速度较慢。

影响性能的其他因素

影响扫描仪性能的其他因素包括:

因子 说明
加载/响应时间 包含要扫描的文件的数据存储的当前加载和响应时间也会影响扫描程序性能。
扫描程序模式 (发现/强制) 发现模式通常比强制模式具有更高的扫描率。

发现需要单个文件读取操作,而强制模式需要读取和写入操作。
策略更改 如果更改了标签策略中的自动标记,扫描仪性能可能会受到影响。

当扫描仪必须检查每个文件时,第一个扫描周期将比默认仅检查新文件和已更改文件的后续扫描周期长。

如果更改条件或自动标记设置,将再次扫描所有文件。 有关详细信息,请参阅 重新扫描文件
正则表达式构造 扫描程序性能受自定义条件的正则表达式构造方式的影响。

若要避免大量内存消耗和每个文件 (超时 15 分钟) ,请查看正则表达式,实现高效的模式匹配。

例如:
- 避免贪婪量化器
- 使用非捕获组,例如 (?:expression) ,而不是 (expression)
日志级别 日志级别选项包括扫描程序报表调试、信息、错误和关闭。

- - 可获得最佳性能
- - 大大减慢了扫描程序的速度,应仅用于故障排除。

有关详细信息,请参阅Set-AIPScannerConfiguration cmdlet 的ReportLevel参数。
正在扫描的文件 - 除了 PDF 文件Excel,Office扫描速度比 PDF 文件快。

- 未受保护的文件比受保护文件的扫描更快。

- 扫描大型文件所花的时间显然比小文件长。

使用 PowerShell 配置扫描仪

本部分介绍在无法访问 Azure 门户中的扫描程序页面且只能使用 PowerShell 时配置和安装 AIP 本地扫描仪所需的步骤。

重要

  • 某些步骤要求 Powershell 是否能够访问 Azure 门户中的扫描程序页面,并且完全相同。 有关这些步骤,请参阅本文中的前面说明,如上所述。

  • 如果使用适用于 Azure 中国世纪网的扫描仪,除了此处详述的说明外,还需要执行其他步骤。 有关详细信息,请参阅 Azure 信息保护对世纪Office 365的 Azure信息保护支持

有关详细信息,请参阅支持的PowerShell cmdlet。

配置和安装扫描仪

  1. 从关闭 PowerShell 开始。 如果以前已安装 AIP 客户端和扫描仪,请确保 AIPScanner 服务已停止。

  2. 使用"Windows PowerShell"选项打开一个会话

  3. 运行Install-AIPScanner命令,使用 Cluster 参数在 SQL 服务器实例上安装扫描仪,以定义群集名称。

    无论是否可以在 Azure 门户中访问扫描程序页面,此步骤都是相同的。 有关详细信息,请参阅本文中的前面说明: 安装扫描仪

  4. 获取用于扫描程序的 Azure 令牌,然后重新进行身份验证。

    无论是否可以在 Azure 门户中访问扫描程序页面,此步骤都是相同的。 有关详细信息,请参阅本文中的前面说明:获取扫描Azure AD令牌

  5. 运行 cmdlet,将扫描仪设置为在脱机模式下运行。 运行:

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  6. 运行 Set-AIPScannerContentScanJob cmdlet 以创建默认的内容扫描作业。

    Set-AIPScannerContentScanJob cmdlet 中唯一必需的参数是"强制"。 但是,此时可能需要为内容扫描作业定义其他设置。 例如:

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    在继续配置时,上述语法将配置以下设置:

    • 使扫描仪运行计划 保持手动
    • 根据敏感度标签策略设置要发现的信息类型
    • 强制实施敏感度标签策略
    • 使用为敏感度标签策略定义的默认标签,根据内容自动标记文件
    • 不允许重新标记文件
    • 在扫描和自动标记时保留文件详细信息,包括修改日期、上次修改时间以及按值修改
    • 设置扫描程序以在运行时排除 .msg 和 .tmp 文件
    • 将默认所有者设置为运行扫描仪时想要使用的帐户
  7. 使用 Add-AIPScannerRepository cmdlet 定义想要在内容扫描作业中扫描的存储库。 例如,运行:

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    根据要添加的存储库类型,使用以下语法之一:

    • 对于网络共享,请使用 \\Server\Folder
    • 对于 SharePoint 库,请使用 http://sharepoint.contoso.com/Shared%20Documents/Folder
    • 对于本地路径: C:\Folder
    • 对于 UNC 路径: \\Server\Folder

    注意

    不支持通配符,也不支持 WebDav 位置。

    若要稍后修改存储库,请改为使用 Set-AIPScannerRepository cmdlet。

    如果为共享文档SharePoint路径:

    • 若要 扫描" 共享文档"中的所有文档和所有文件夹,请指定路径中的"共享文档"。 例如: http://sp2013/SharedDocuments
    • 若要 扫描 "共享文档"下子文件夹中的所有文档和所有文件夹,请指定路径中的"文档"。 例如: http://sp2013/Documents/SalesReports
    • 或者,仅指定 Sharepoint 的FQDN,例如,发现并扫描SharePoint URL 和子网站下的所有网站 和子网站。 授予扫描 程序网站收集器审核 员权限以启用此功能。

    添加路径时,请使用SharePoint语法:

    路径 语法
    根路径 http://<SharePoint server name>

    扫描所有网站,包括允许扫描程序用户的任何网站集。
    需要 其他权限才能 自动发现根内容
    特定SharePoint子网站或集合 下列其中一项:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    需要 其他权限才能 自动发现网站集内容
    特定SharePoint库 下列其中一项:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    特定SharePoint文件夹 http://<SharePoint server name>/.../<folder name>

根据需要继续执行以下步骤:

使用 PowerShell 配置扫描程序以应用分类和保护

  1. 运行 Set-AIPScannerContentScanJob cmdlet 更新内容扫描作业,将计划设置为始终,并强制实施敏感度策略。

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On
    

    提示

    可能需要更改此窗格上的其他设置,例如文件属性是否已更改,以及扫描仪是否可以重新标记文件。 有关可用设置详细信息,请参阅完整的 PowerShell 文档

  2. 运行 Start-AIPScan cmdlet 以运行内容扫描作业:

    Start-AIPScan
    

扫描仪现在计划连续运行。 当扫描程序在所有配置的文件之间正常工作时,它会自动启动一个新周期,以便发现任何新的和已更改的文件。

使用 PowerShell 通过扫描程序配置 DLP 策略

  1. 再次运行 Set-AIPScannerContentScanJob cmdlet,将 -EnableDLP 参数设置为 "开",并定义特定的存储库所有者。

    例如:

    Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'
    

支持的 PowerShell cmdlet

本部分列出了 Azure 信息保护扫描程序支持的 PowerShell cmdlet,以及仅通过 PowerShell 配置和安装扫描程序的说明。

扫描仪支持的 cmdlet 包括:

下一步

安装并配置扫描仪后,开始 扫描文件

另请参阅 :部署 Azure 信息保护扫描程序以自动对文件进行分类和保护

详细信息