什麼是 Azure 資訊保護傳統掃描器?
使用本節中的資訊來瞭解 Azure 資訊保護傳統用戶端掃描器,然後如何成功安裝、設定、執行及在必要時進行疑難排解。
AIP 掃描器會在 Windows 伺服器上以服務的形式執行,並可讓您探索、分類和保護下列資料存放區上的檔案:
使用伺服器訊息區 (SMB) 通訊協定之網路共用的UNC 路徑。
SharePoint透過 SharePoint Server 2013 SharePoint Server 2019的文件庫和資料夾。
Azure 資訊保護傳統掃描器概觀
AIP 掃描器可以檢查任何Windows可以編制索引的檔案。 如果您已設定套用自動分類的標籤,掃描器可以標記探索到的檔案以套用該分類,並選擇性地套用或移除保護。
下圖顯示 AIP 掃描器架構,其中掃描器會在內部部署和SharePoint伺服器上探索檔案。
若要檢查您的檔案,掃描器會使用電腦上安裝的 IFilters。 若要判斷檔案是否需要標記,掃描器會使用Microsoft 365內建資料外泄防護 (DLP) 敏感度資訊類型和模式偵測,或Microsoft 365 RegEx 模式。
掃描器會使用 Azure 資訊保護 用戶端,並可分類和保護與用戶端相同的檔案類型。 如需詳細資訊,請參閱Azure 資訊保護 用戶端支援的檔案類型。
視需要執行下列任何動作來設定掃描:
- 只在探索模式中執行掃描器 ,以建立報告,以檢查在標記檔案時會發生什麼情況。
- 執行掃描器來探索具有敏感性資訊的檔案,而不需設定套用自動分類的標籤。
- 自動執行掃描器 以套用已設定的標籤。
- 定義檔案類型清單 ,指定要掃描或排除的特定檔案。
注意
掃描器不會即時探索和標記。 它會有系統地編目您所指定資料存放區上的檔案。 將此週期設定為執行一次,或重複執行一次。
AIP 掃描程式
掃描檔案時,AIP 掃描器會執行下列步驟:
注意
如需詳細資訊,請參閱 掃描器未加上標籤的檔案。
1.判斷是否包含或排除檔案以供掃描
掃描器會自動略過從分類和保護排除的檔案,例如可執行檔和系統檔案。 如需詳細資訊,請參閱 從分類和保護中排除的檔案類型。
掃描器也會考慮明確定義要掃描或排除掃描的任何檔案清單。 根據預設,檔案清單適用于所有資料存放庫,也可以針對特定存放庫定義。
若要定義要掃描或排除的檔案清單,請使用 檔案類型來掃描 內容掃描工作中的設定。 例如:
如需詳細資訊,請參閱部署 Azure 資訊保護掃描器以自動分類和保護檔案。
2.檢查和標記檔案
識別排除的檔案之後,掃描器會再次篩選,以識別支援檢查的檔案。
這些額外的篩選準則與作業系統用於Windows搜尋和編制索引所使用的篩選準則相同,而且不需要額外的設定。 Windows IFilter 也可用來掃描 Word、Excel和PowerPoint所使用的檔案類型,以及 PDF 檔和文字檔。
如需支援檢查的檔案類型完整清單,以及設定篩選以包含 .zip 和 .tiff 檔案的其他指示,請參閱 支援檢查的檔案類型。
檢查之後,支援的檔案類型會使用為標籤指定的條件來加上標籤。 如果您使用探索模式,可以報告這些檔案,以包含您標籤所指定的條件,或報告包含任何已知的敏感性資訊類型。
3.標籤無法檢查的檔案
對於無法檢查的任何檔案類型,AIP 掃描器會在 Azure 資訊保護 原則中套用預設標籤,或為掃描器設定的預設標籤。
掃描器未加上標籤的檔案
AIP 掃描器無法在下列情況下標記檔案:
當標籤套用分類,但不支援保護,而且檔案類型不支援用戶端僅分類。 如需詳細資訊,請參閱 傳統用戶端檔案類型。
當標籤套用分類和保護時,但掃描器不支援檔案類型。
根據預設,掃描器只會保護 Office 檔案類型,以及使用 ISO 標準進行 PDF 加密而受到保護的 PDF 檔案。
當您 變更要保護的檔案類型時,可以新增其他類型的檔案來保護。
範例:檢查.txt檔案之後,掃描器無法套用僅針對分類設定的標籤,因為.txt檔案類型僅支援分類。
不過,如果標籤同時設定為分類和保護,而且掃描器會包含.txt檔案類型來保護,掃描器就可以為檔案加上標籤。
後續步驟
如需部署掃描器的詳細資訊,請參閱下列文章:
詳細資訊:
想要了解 Microsoft 的核心服務工程與作業團隊如何實作此掃描器嗎? 閱讀技術個案研究:使用 Azure 資訊保護掃描器進行資料保護自動化 \(英文\)。
您也可以使用 PowerShell,以互動方式分類和保護您桌上型電腦的檔案。 如需使用 PowerShell 之這個和其他案例的詳細資訊,請參閱使用 PowerShell 搭配 Azure 資訊保護用戶端。