安装和部署 Azure 信息保护统一标签扫描程序的要求

适用于:Azure信息保护、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2

相关:仅 AIP 统一标签客户端

在安装 Azure 信息保护本地扫描程序之前,请确保系统符合基本的 Azure 信息保护要求

此外,以下要求特定于扫描仪:

如果因组织策略禁止扫描程序而不符合列出的所有要求,请参阅备用 配置 部分。

在生产环境中部署扫描仪或测试多个扫描仪的性能时,请参阅 存储的要求和容量SQL Server。

准备好开始安装和部署扫描程序后,请继续部署 Azure 信息保护扫描程序以 自动对文件进行分类和保护

Windows服务器要求

必须具有一台Windows服务器计算机,以运行具有以下系统规范的扫描仪:

规范 详细信息
处理器 4 核处理器
RAM 8 GB
磁盘空间 临时文件平均 (10 GB) 空间。

扫描程序需要足够的磁盘空间来为扫描的每个文件创建临时文件,每个核心四个文件。

建议的磁盘空间为 10 GB,允许 4 个核心处理器扫描 16 个文件,每个文件的文件大小为 625 MB。
操作系统 64 位版本的:

- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2



在非生产环境中进行测试或评估时,还可使用 Azure 信息保护客户端支持的任何 Windows 操作系统。
网络连接 扫描仪计算机可以是物理计算机或虚拟计算机,与要扫描的数据存储建立快速可靠的网络连接。

如果由于组织策略而无法建立 Internet 连接,请参阅


否则,请确保此计算机具有 Internet 连接,允许通过 HTTPS 和端口 443 (URL) :

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com
- *.protection.outlook.com
NFS 共享 若要支持 NFS 共享上的扫描,必须在扫描程序计算机上部署 NFS 服务。

在你的计算机上,导航到"Windows 功能" (打开或关闭Windows) 设置对话框,然后选择以下项:NFS管理工具的服务和 NFS的客户端。
Microsoft Office iFilter 当扫描仪安装在 Windows 服务器上时,还必须安装 Microsoft Office iFilter 才能扫描.zip文件的敏感信息类型。

有关详细信息,请参阅 Microsoft 下载网站

服务帐户要求

必须具有一个服务帐户,以在 Windows Server 计算机上运行扫描程序服务,并进行身份验证Azure AD并下载 Azure 信息保护策略。

服务帐户必须是 Active Directory 帐户并同步到Azure AD。

如果由于组织策略而无法同步此帐户,请参阅使用备用 配置部署扫描仪

此服务帐户具有以下要求:

要求 详细信息
登录本地用户 权限分配 需要安装和配置扫描程序,但运行扫描时不需要。

确认扫描程序可以发现、分类和保护文件后,可以从服务帐户中删除此功能。

如果由于组织策略而在短时间内无法授予此权限,请参阅使用备用配置
以服务用户权限分配 登录。 在安装扫描仪期间,会自动向服务帐户授予此权限,安装、配置和操作扫描程序需要此权限。
对数据存储库的权限 - - :授予读取、写入修改权限,用于扫描文件,然后按配置应用分类和保护。

- - 必须授予完全控制权限,用于扫描文件,然后对满足 Azure 信息保护策略中的条件的文件应用分类和保护。

- - :若要仅在发现模式下运行扫描程序 ,"读取" 权限已足够。
用于重新保护或删除保护的标签 若要确保扫描程序始终有权访问受保护的文件,请使此帐户成为 Azure信息保护的超级用户,并确保启用超级用户功能。

此外,如果已实现分阶段部署的
载入控件,请确保服务帐户包含在配置的载入控件中。
特定 URL 级别扫描 若要扫描和发现特定 URL下的站点和子网站,请授予 站点收集 器审核员对场级别的扫描程序帐户的权限。
信息保护许可证 需要向扫描程序服务帐户提供文件分类、标签或保护功能。

有关详细信息,请参阅 Azure 信息保护部署路线图Microsoft 365安全符合性指南

SQL服务器要求

若要存储扫描程序配置数据,请使用SQL具有以下要求的服务器:

  • 本地或远程实例。

    我们建议在不同的计算机上SQL服务器和扫描程序服务,除非使用小型部署。 此外,我们建议使用一个SQL应用程序实例,该实例只为扫描程序数据库服务,并且不会与其他应用程序共享。

    如果正在共享服务器上工作,请确保扫描程序数据库可以免费使用建议的核心数。

    SQL Server 2016 是以下版本的最低版本:

    • SQL Server Enterprise

    • SQL Server Standard

    • SQL Server Express (仅建议用于测试环境)

  • 具有 Sysadmin 角色的帐户,用于安装扫描仪。

    Sysadmin 角色使安装过程能够自动创建扫描程序配置数据库,db_owner运行扫描程序的服务帐户授予所需的角色。

    如果无法授予 Sysadmin 角色或组织策略要求手动创建和配置数据库,请参阅使用备用配置 部署扫描程序

  • 容量。 有关容量指南,请参阅 存储 的要求和容量SQL Server。

  • 不区分大小写的排序规则

注意

为扫描程序指定自定义群集名称或使用扫描程序预览版时,支持同一台 SQL 服务器上多个配置数据库。

存储服务的要求和容量SQL Server

扫描程序配置数据库所需的磁盘空间量和运行 SQL Server 的计算机的规范可能因环境而异,因此建议执行自己的测试。 请使用以下指南作为起点。

有关详细信息,请参阅 优化扫描仪的性能

扫描程序配置数据库的磁盘大小因部署而异。 使用以下公式作为指南:

100 KB + <file count> *(1000 + 4* <average file name length>)

例如,若要扫描平均文件名长度为 250 字节的 100 万个文件,请分配 2 GB 磁盘空间。

对于多个扫描仪:

  • 最多 10 个扫描仪,请使用:

    • 4 核处理器
    • 建议 8 GB RAM
  • 超过 10 个扫描仪 ( 40) ,请使用:

    • 8 个核心进程
    • 建议 16 GB RAM

Azure 信息保护客户端要求

必须在 Windows Server计算机上安装 Azure 信息保护客户端的当前Windows版本。

有关详细信息,请参阅统一 标签客户端管理员指南

重要

必须安装扫描仪的完整客户端。 不要仅使用 PowerShell 模块安装客户端。

标签配置要求

必须在扫描程序帐户的扫描Microsoft 365 合规中心至少配置一个敏感度标签,以应用分类和保护(可选)。

扫描程序帐户是在配置扫描仪时运行的Set-AIPAuthentication cmdlet的 DelegatedUser参数中指定的帐户。

如果标签没有自动标记条件,请参阅 下面的备用配置 说明。

有关详细信息,请参阅:

SharePoint要求

若要SharePoint文档库和文件夹,请确保SharePoint服务器符合以下要求:

要求 说明
支持的版本 支持的版本包括:SharePoint 2019、SharePoint 2016 和 SharePoint 2013。
扫描程序SharePoint其他版本。
版本控制 使用版本 控制时,扫描仪会检查并标记上次发布的版本。

如果扫描仪标记文件和内容需要审批,则必须批准该标签文件才能供用户使用。
大型SharePoint场 对于大型 SharePoint 场,请检查是否需要将列表视图阈值 (默认情况下为 5,000) ,以便扫描程序访问所有文件。

有关详细信息,请参阅管理库中的大型列表SharePoint。
长文件路径 如果文件中具有长文件SharePoint,请确保 SharePoint 服务器的httpRuntime.maxUrlLength值大于默认 260 个字符。

有关详细信息,请参阅避免扫描程序在 SharePoint。

Microsoft Office要求

若要Office文档,文档必须采用以下格式之一:

  • Microsoft Office 97-2003
  • Office Word、Excel 和 PowerPoint 的 Open XML 格式

有关详细信息,请参阅 Azure 信息保护统一标签客户端 支持的文件类型

文件路径要求

默认情况下,若要扫描文件,文件路径最多必须包含 260 个字符。

若要扫描文件路径超过 260 个字符的文件,请安装具有以下版本之一Windows扫描程序,并根据需要配置计算机:

Windows 版本 说明
Windows 2016 或更高版本 配置计算机以支持长路径
Windows 11、Windows 10 或 Windows Server 2016 定义以下组策略设置本地计算机策略计算机配置管理模板所有设置 启用 Win32 长路径。

有关这些版本中长文件路径支持的信息,请参阅开发人员文档中的"
最大路径长度限制"Windows 10部分。
Windows 10版本 1607 或更高版本 选择 加入更新后 MAX_PATH功能。 有关详细信息,请参阅在版本1607 Windows 10中启用长路径

使用备用配置部署扫描仪

上面列出的先决条件是扫描程序部署的默认要求,建议这样做,因为它们支持最简单的扫描仪配置。

默认要求应适用于初始测试,以便你可以检查扫描仪的功能。

但是,在生产环境中,组织的策略可能不同于默认要求。 扫描程序可以使用其他配置来适应以下更改:

发现并扫描特定 URL 下的所有 Sharepoint 网站和子网站

扫描程序可以使用以下配置发现和扫描特定 URL 下的所有 Sharepoint 网站和子网站:

  1. 启动SharePoint管理中心"。

  2. 在管理SharePoint管理"网站的"应用程序管理"部分中,单击"管理Web 应用程序"。

  3. 单击以突出显示要管理其权限策略级别的 Web 应用程序。

  4. 选择相关场,然后选择"管理权限策略级别"。

  5. "网站集权限"选项中选择"网站集审核员",然后在"权限"列表中授予"查看应用程序页面",最后,将新的策略级别 AIP 扫描程序网站集审核员和查看器命名。

  6. 将扫描仪用户添加到新策略,并授予 "权限 "列表中的"网站集"。

  7. 添加托管SharePoint网站或子网站的网站的 URL。 有关详细信息,请参阅在 Azure 门户中配置扫描程序

若要详细了解如何管理策略SharePoint级别,请参阅管理 Web 应用程序的权限策略

限制:扫描仪服务器无法建立 Internet 连接

虽然统一标签客户端在没有 Internet 连接的情况下无法应用保护,但扫描仪仍可根据导入的策略应用标签。

若要支持断开连接的计算机,请使用以下方法之一:

将 Azure 门户与断开连接的计算机一起使用

若要支持从 Azure 门户断开连接的计算机,请执行以下步骤:

  1. 在策略中配置标签,然后使用该过程支持断开连接 的计算机 ,以启用脱机分类和标签。

  2. 为内容和网络扫描作业启用脱机管理,如下所示:

    为内容扫描作业启用脱机管理

    1. 使用Set-AIPScannerConfiguration cmdlet 将扫描仪设置为在脱机模式下运行。

    2. 通过创建扫描程序群集在 Azure 门户中配置扫描仪。 有关详细信息,请参阅在 Azure 门户中配置扫描程序

    3. 使用"导出"选项从 "Azure 信息保护 - 内容扫描作业 "窗格 导出内容 作业。

    4. 使用 Import-AIPScannerConfiguration cmdlet 导入策略。

    脱机内容扫描作业的结果位于 :%localappdata%\Microsoft\MSIP\Scanner\Reports

    启用网络扫描作业的脱机管理

    1. 使用 Set-MIPNetworkDiscoveryConfiguration cmdlet 将网络发现服务 (公共预览版) 脱机模式下运行。

    2. 在 Azure 门户中配置网络扫描作业。 有关详细信息,请参阅 创建网络扫描作业

    3. 使用"导出"选项从 "Azure 信息 保护 - 网络扫描作业" (预览) 导出 网络扫描 作业。

    4. 使用与群集名称匹配的文件,使用 Import-MIPNetworkDiscoveryConfiguration cmdlet 导入网络扫描作业。

    脱机网络扫描作业的结果位于 :%localappdata%\Microsoft\MSIP\Scanner\Reports

将 PowerShell 与断开连接的计算机一起使用

请执行以下过程,仅支持使用 PowerShell 断开连接的计算机。

重要

Azure 中国世纪网扫描程序服务器的管理员必须使用此过程来管理其内容扫描作业。

仅使用 PowerShell 管理内容扫描作业

  1. 使用Set-AIPScannerConfiguration cmdlet 将扫描仪设置为在脱机模式下运行。

  2. 使用 Set-AIPScannerContentScanJob cmdlet 创建新的内容扫描作业,确保使用必需 参数。

  3. 使用 Add-AIPScannerRepository cmdlet 添加存储库,并添加要添加的存储库的路径。

    提示

    若要防止存储库从内容扫描作业继承设置,请添加 参数,以及 OverrideContentScanJob On 其他设置的值。

    若要编辑现有存储库的详细信息,请使用 Set-AIPScannerRepository 命令。

  4. 使用 Get-AIPScannerContentScanJobGet-AIPScannerRepository cmdlet 返回有关内容扫描作业的当前设置的信息。

  5. 使用 Set-AIPScannerRepository 命令更新现有存储库的详细信息。

  6. 如果需要,使用 Start-AIPScan cmdlet 立即运行内容扫描作业。

    脱机内容扫描作业的结果位于 :%localappdata%\Microsoft\MSIP\Scanner\Reports

  7. 如果需要删除存储库或整个内容扫描作业,请使用以下 cmdlet:

限制:无法授予 Sysadmin 权限,或者必须手动创建和配置数据库

使用以下过程手动创建数据库,并 根据需要db_owner角色

如果可以暂时授予 Sysadmin 角色来安装扫描仪,可以在扫描仪安装完成后删除此角色。

根据组织的要求执行下列操作之一:

限制 说明
可以暂时拥有 Sysadmin 角色 如果暂时具有 Sysadmin 角色,会自动创建数据库,并自动为扫描程序的服务帐户授予所需的权限。

但是,配置扫描仪的用户帐户仍然需要db_owner扫描程序配置数据库的管理员角色。 如果在安装扫描仪之前只有 Sysadmin 角色,db_owner向用户帐户授予此角色
你无法拥有 Sysadmin 角色 如果甚至暂时无法授予 Sysadmin 角色,则必须在安装扫描仪之前要求具有 Sysadmin 权限的用户手动创建数据库。

对于此配置 ,db_owner 角色必须分配给以下帐户:
- 扫描程序的服务帐户
- 安装扫描仪的用户帐户
- 扫描程序配置的用户帐户

通常,你将使用同一用户帐户来安装和配置扫描程序。 如果使用不同的帐户,这两个帐户db_owner扫描程序配置数据库的管理员角色。 根据需要创建此用户和权限。 如果指定自己的群集名称,则配置数据库的名称 AIPScannerUL_cluster_name。 >

此外:

  • 必须是将运行扫描程序的服务器的本地管理员

  • 必须授予将运行扫描程序的服务帐户对以下注册表项的完全控制权限:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

如果在配置这些权限后,在安装扫描仪时看到错误,可以忽略该错误,并可以手动启动扫描仪服务。

手动创建扫描程序的数据库和用户,并授予db_owner权限

如果需要手动创建扫描仪数据库和/或创建用户并授予db_owner访问权限,请让Sysadmin 执行以下步骤:

  1. 为扫描仪创建数据库:

    **CREATE DATABASE AIPScannerUL_[clustername]**
    
    **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
    
  2. 向运行安装命令并用于运行扫描程序管理命令的用户授予权限。 使用以下脚本:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. 向扫描程序服务帐户授予权限。 使用以下脚本:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

手动为网络发现服务创建数据库和用户,并授予db_owner权限

如果需要手动创建网络发现数据库和/或创建用户并授予db_owner权限,请让Sysadmin 执行以下步骤:

  1. 为网络发现服务创建数据库:

    **CREATE DATABASE AIPNetworkDiscovery_[clustername]**
    
    **ALTER DATABASE AIPNetworkDiscovery_[clustername] SET TRUSTWORTHY ON**
    
  2. 向运行安装命令并用于运行扫描程序管理命令的用户授予权限。 使用以下脚本:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
    
  3. 向扫描程序服务帐户授予权限。 使用以下脚本:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
    

限制:无法向扫描程序的服务帐户授予 本地登录 权限

如果组织策略禁止 服务 帐户在本地登录,请对 Set-AIPAuthentication 使用 OnBehalfOf 参数。

有关详细信息,请参阅如何为 Azure 信息保护以非交互方式 标记文件

限制:扫描程序服务帐户无法同步到Azure Active Directory但服务器具有 Internet 连接

可以有一个帐户来运行扫描程序服务,并使用另一个帐户Azure Active Directory:

  • 对于扫描程序服务帐户,请使用本地 Windows 帐户或 Active Directory 帐户。

  • 对于 Azure Active Directory 帐户,在Set-AIPAuthentication cmdlet AAD DelegatedUser参数中指定用户。

    如果在扫描程序帐户外的任何用户下运行扫描,请确保在 OnBehalfOf 参数中指定扫描程序帐户。

    有关详细信息,请参阅如何为 Azure 信息保护以非交互方式 标记文件

限制:标签没有自动标记条件

如果标签没有任何自动标记条件,请计划在配置扫描仪时使用以下选项之一:

Option 说明
发现所有信息类型 在内容扫描作业中,将"要发现的信息类型"选项设置为"所有"。

此选项设置内容扫描作业,以扫描内容中所有敏感信息类型。
使用建议的标签 在内容扫描作业中,将"将推荐标签视为自动"选项设置为"打开"。

此设置将扫描仪配置为自动对内容应用所有建议的标签。
定义默认标签 在策略、内容扫描作业存储库中定义默认标签

在这种情况下,扫描仪将默认标签应用于找到的所有文件。

下一步

确认系统符合扫描程序先决条件后,请继续部署 Azure 信息保护扫描程序以 自动对文件进行分类和保护

有关扫描程序概述,请参阅部署 Azure 信息保护扫描程序以自动分类和保护文件

详细信息