Configuración e instalación del analizador de protección de la información

Nota:

Hay una nueva versión del escáner de protección de la información. Para obtener más información, consulte Actualización del analizador de Microsoft Purview Information Protection.

En este artículo se describe cómo configurar e instalar el analizador de Microsoft Purview Information Protection, anteriormente denominado Azure Information Protection analizador de etiquetado unificado, o el analizador local.

Sugerencia

Aunque la mayoría de los clientes realizarán estos procedimientos en el portal de administración, es posible que tenga que trabajar solo en PowerShell.

Por ejemplo, si trabaja en un entorno sin acceso al portal de administración, como Azure China 21Vianet, siga las instrucciones de Uso de PowerShell para configurar el analizador.

Información general

Antes de empezar, compruebe que el sistema cumple los requisitos previos necesarios.

A continuación, siga estos pasos para configurar e instalar el analizador:

  1. Configuración de la configuración del analizador

  2. Instalación del analizador

  3. Obtención de un token de Microsoft Entra para el analizador

  4. Configuración del analizador para aplicar la clasificación y la protección

A continuación, realice los siguientes procedimientos de configuración según sea necesario para el sistema:

Procedure Descripción
Cambiar los tipos de archivo que se van a proteger Es posible que quiera examinar, clasificar o proteger tipos de archivo diferentes a los predeterminados. Para obtener más información, consulte El proceso de examen.
Actualización del escáner Actualice el escáner para usar las características y mejoras más recientes.
Edición de la configuración del repositorio de datos de forma masiva Use las opciones de importación y exportación para realizar cambios de forma masiva en varios repositorios de datos.
Uso del escáner con configuraciones alternativas Uso del analizador sin configurar etiquetas con ninguna condición
Optimizar el rendimiento Guía para optimizar el rendimiento del escáner

Si no tiene acceso a las páginas del analizador en el portal de Microsoft Purview o en el portal de cumplimiento Microsoft Purview, configure los valores de analizador solo en PowerShell. Para obtener más información, consulte Uso de PowerShell para configurar el analizador y los cmdlets de PowerShell admitidos.

Configuración de la configuración del analizador

Antes de instalar el escáner o actualizarlo desde una versión de disponibilidad general anterior, configure o compruebe la configuración del analizador. Para esta configuración, puede usar el portal de Microsoft Purview o el portal de cumplimiento Microsoft Purview.

Para configurar el escáner en el portal de Microsoft Purview o portal de cumplimiento Microsoft Purview:

  1. Inicie sesión con uno de los siguientes roles:
  • Administrador de cumplimiento
  • Administrador de datos de cumplimiento
  • Administrador de seguridad
  • Administración de organizaciones
  1. En función del portal que use, vaya a una de las siguientes ubicaciones:

  2. Cree un clúster de escáner. Este clúster define el analizador y se usa para identificar la instancia del analizador, como durante la instalación, las actualizaciones y otros procesos.

  3. Cree un trabajo de examen de contenido para definir los repositorios que desea examinar.

Creación de un clúster de escáner

Para crear un clúster de escáner en el portal de Microsoft Purview o portal de cumplimiento Microsoft Purview:

  1. En las pestañas de la página Analizador de information protection , seleccione Clústeres.

  2. En la pestaña Clústeres , seleccione Agregaricono agregar.

  3. En el panel Nuevo clúster , escriba un nombre significativo para el analizador y una descripción opcional.

    El nombre del clúster se usa para identificar las configuraciones y repositorios del analizador. Por ejemplo, puede escribir Europa para identificar las ubicaciones geográficas de los repositorios de datos que desea examinar.

    Usará este nombre más adelante para identificar dónde desea instalar o actualizar el escáner.

  4. Seleccione Guardar para guardar los cambios.

Creación de un trabajo de examen de contenido

Profundiza en el contenido para examinar repositorios específicos en busca de contenido confidencial.

Para crear el trabajo de examen de contenido en el portal de Microsoft Purview de portal de cumplimiento Microsoft Purview:

  1. En las pestañas de la página Analizador de protección de la información, seleccione Trabajos de examen de contenido.

  2. En el panel Trabajos de examen de contenido, seleccione El icono Agregaragregar guardar.

  3. Para esta configuración inicial, configure los siguientes valores y, a continuación, seleccione Guardar.

    Configuración Descripción
    Configuración del trabajo de examen de contenido - Programación: mantenga el valor predeterminado de Manual
    - Tipos de información que se van a detectar: cambiar solo a directiva
    Directiva DLP Si usa una directiva de prevención de pérdida de datos, establezca Habilitar reglas DLPen Activado. Para obtener más información, consulte Uso de una directiva DLP.
    Directiva de confidencialidad - Aplicar directiva de etiquetado de confidencialidad: Seleccione Desactivado
    - Archivos de etiqueta basados en contenido: mantenga el valor predeterminado de Activado
    - Etiqueta predeterminada: mantenga el valor predeterminado de Policy default (Valor predeterminado de directiva).
    - Volver a etiquetar archivos: mantenga el valor predeterminado Desactivado
    Configuración de los valores de archivo - Conservar "Fecha de modificación", "Última modificación" y "Modificado por": Mantener el valor predeterminado de Activado
    - Tipos de archivo que se van a examinar: mantenga los tipos de archivo predeterminados para Excluir.
    - Propietario predeterminado: mantenga el valor predeterminado de Cuenta de escáner
    - Establecer propietario del repositorio: use esta opción solo cuando use una directiva DLP.
  4. Abra el trabajo de examen de contenido que se guardó y seleccione la pestaña Repositorios para especificar los almacenes de datos que se van a examinar.

    Especifique rutas de acceso UNC y direcciones URL de SharePoint Server para carpetas y bibliotecas de documentos locales de SharePoint.

    Nota:

    SharePoint Server 2019, SharePoint Server 2016 y SharePoint Server 2013 son compatibles con SharePoint. SharePoint Server 2010 también se admite cuando se ha ampliado la compatibilidad con esta versión de SharePoint.

    Para agregar el primer almacén de datos, mientras se encuentra en la pestaña Repositorios :

    1. En el panel Repositorios , seleccione Agregar:

    2. En el panel Repositorio , especifique la ruta de acceso del repositorio de datos y, a continuación, seleccione Guardar.

      • Para un recurso compartido de red, use \\Server\Folder.
      • Para una biblioteca de SharePoint, use http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • Para una ruta de acceso local: C:\Folder
      • Para una ruta de acceso UNC: \\Server\Folder

    Nota:

    No se admiten caracteres comodín y no se admiten ubicaciones webDav. No se admite el examen de ubicaciones de OneDrive como repositorios.

    Si agrega una ruta de acceso de SharePoint para documentos compartidos:

    • Especifique Documentos compartidos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de Documentos compartidos. Por ejemplo: http://sp2013/SharedDocuments
    • Especifique Documentos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de una subcarpeta en Documentos compartidos. Por ejemplo: http://sp2013/Documents/SalesReports
    • O bien, especifique solo el FQDN de SharePoint, por ejemplo http://sp2013 , para detectar y examinar todos los sitios y subsitios de SharePoint en una dirección URL y subtítulos específicos en esta dirección URL. Conceda derechos al auditor del recopilador de sitios del escáner para habilitarlo.

    Para la configuración restante de este panel, no las cambie para esta configuración inicial, pero guárdelas como el trabajo de examen de contenido predeterminado. La configuración predeterminada significa que el repositorio de datos hereda la configuración del trabajo de examen de contenido.

    Use la sintaxis siguiente al agregar rutas de acceso de SharePoint:

    Ruta de acceso Sintaxis
    Ruta de acceso raíz http://<SharePoint server name>

    Examina todos los sitios, incluidas las colecciones de sitios permitidas para el usuario del analizador.
    Requiere permisos adicionales para detectar automáticamente el contenido raíz.
    Subsitio o colección de SharePoint específico Uno de los siguientes:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Requiere permisos adicionales para detectar automáticamente el contenido de la colección de sitios.
    Biblioteca específica de SharePoint Uno de los siguientes:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Carpeta específica de SharePoint http://<SharePoint server name>/.../<folder name>
  5. Repita los pasos anteriores para agregar tantos repositorios como sea necesario.

Ya está listo para instalar el escáner con el trabajo de escáner de contenido que ha creado. Continúe con Instalar el escáner.

Instalación del analizador

Después de configurar el analizador, realice los pasos siguientes para instalar el analizador. Este procedimiento se realiza completamente en PowerShell.

  1. Inicie sesión en el equipo con Windows Server que ejecutará el analizador. Use una cuenta que tenga derechos de administrador local y que tenga permisos para escribir en la base de datos maestra de SQL Server.

    Importante

    Debe tener instalado el cliente de protección de la información en el equipo antes de instalar el escáner.

    Para obtener más información, consulte Requisitos previos para instalar e implementar el analizador de protección de la información.

  2. Abra una sesión de Windows PowerShell con la opción Ejecutar como administrador.

  3. Ejecute el cmdlet Install-Scanner, especificando la instancia de SQL Server en la que se va a crear una base de datos para el analizador de protección de la información y el nombre del clúster del analizador que especificó en la sección anterior:

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Ejemplos, con el nombre del clúster del analizador de Europa:

    • Para una instancia predeterminada: Install-Scanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Para una instancia con nombre: Install-Scanner -SqlServerInstance SQLSERVER1\SCANNER -Cluster Europe

    • Para SQL Server Express:Install-Scanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Cuando se le solicite, proporcione las credenciales de Active Directory para la cuenta de servicio del analizador.

    Use la sintaxis siguiente: \<domain\user name>. Por ejemplo: contoso\scanneraccount

  4. Compruebe que el servicio ya está instalado mediante servicios de herramientas> administrativas.

    El servicio instalado se denomina Microsoft Purview Information Protection Scanner y está configurado para ejecutarse mediante la cuenta de servicio del analizador que creó.

Ahora que ha instalado el analizador, debe obtener un token de Microsoft Entra para que la cuenta de servicio del analizador se autentique, de modo que el analizador pueda ejecutarse desatendida.

Obtención de un token de Microsoft Entra para el analizador

Un token de Microsoft Entra permite que el analizador se autentique en el servicio Microsoft Purview Information Protection Scanner, lo que permite que el escáner se ejecute desatendida.

Para obtener más información, vea Ejecutar cmdlets de etiquetado de information protection desatendidos.

Para obtener un token de Microsoft Entra:

  1. Vaya a Azure Portal y vaya a la hoja Microsoft Entra ID.

  2. En el panel lateral Microsoft Entra ID, haga clic en Registros de aplicaciones.

  3. En la parte superior, continúe y haga clic en + Nuevo registro.

  4. En la sección Nombre, escriba InformationProtectionScanner.

  5. Deje los tipos de cuenta admitidos como predeterminados.

  6. Para el URI de redirección, deje el tipo como Web, pero escriba en http://localhost para la parte de entrada y haga clic en Registrar.

  7. En la página Información general de esta aplicación, anote en el editor de texto que prefiera los siguientes identificadores: Id. de aplicación (cliente) e Id. de directorio (inquilino). Lo necesitará más adelante al configurar el comando Set-AIPAuthentication.

  8. En el panel lateral, vaya a Certificados y secretos.

  9. Haga clic en + Nuevo secreto de cliente.

  10. En el cuadro de diálogo que aparece, escriba una descripción para el secreto y establézcalo en Expirar en 1 año y, a continuación, agregue el secreto.

  11. Ahora debería ver en la sección secretos de cliente que hay una entrada con el valor secreto. Adelante, copie este valor y guárdalo en el archivo donde guardó el identificador de cliente y el identificador de inquilino. Esta es la única vez que podrá ver el valor del secreto, no se podrá recuperar si no lo copia en este momento.

  12. En el panel lateral, vaya a Permisos de API.

  13. Continúe y seleccione Agregar un permiso.

  14. Cuando se muestre la pantalla, seleccione Azure Rights Management Servicio. A continuación, seleccione Permisos de aplicación.

  15. Haga clic en la lista desplegable Contenido y coloque las marcas de verificación en Content.DelegatedReader y Content.DelegatedWriter. A continuación, en la parte inferior de la pantalla, haga clic en Agregar permisos.

  16. Vuelva a la sección Permisos de API y agregue otro permiso.

  17. Esta vez, en la sección Seleccionar una API, haga clic en API que usa mi organización. En la barra de búsqueda, escriba Microsoft Information Protection Sync Service y selecciónelo.

  18. Seleccione Permisos de aplicación y, a continuación, en la lista desplegable Directiva unificada , active la marca de verificación del permiso UnifiedPolicy.Tenant.Read. A continuación, en la parte inferior de la pantalla, haga clic en Agregar permisos.

  19. De nuevo en la pantalla Permisos de API, haga clic en Conceder Administración consentimiento y busque que la operación se realice correctamente (que se indica mediante una marca de verificación verde).

  20. Desde el equipo con Windows Server, si a la cuenta de servicio del analizador se le ha concedido el derecho Iniciar sesión localmente para la instalación, inicie sesión con esta cuenta e inicie una sesión de PowerShell.

    Ejecute Set-Authentication y especifique los valores que copió del paso anterior:

    Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Por ejemplo:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

Sugerencia

Si no se puede conceder a la cuenta de servicio del analizador el derecho Iniciar sesión localmente para la instalación, use el parámetro OnBehalfOf con Set-Authentication, tal como se describe en Ejecutar cmdlets de etiquetado de protección de información desatendidos.

El analizador ahora tiene un token para autenticarse en Microsoft Entra ID. Este token es válido durante un año, dos años o nunca, según la configuración del secreto de cliente de la aplicación web /API en Microsoft Entra ID. Cuando expire el token, debe repetir este procedimiento.

Siga usando uno de los pasos siguientes, en función de si usa el portal de cumplimiento para configurar el analizador o solo PowerShell:

Ya está listo para ejecutar el primer examen en modo de detección. Para obtener más información, consulte Ejecución de un ciclo de detección y visualización de informes para el analizador.

Una vez que haya ejecutado el examen de detección inicial, continúe con Configuración del analizador para aplicar la clasificación y la protección.

Para obtener más información, vea Ejecutar cmdlets de etiquetado de information protection desatendidos.

Configuración del analizador para aplicar la clasificación y la protección

La configuración predeterminada configura el analizador para que se ejecute una vez y en modo de solo informes. Para cambiar esta configuración, edite el trabajo de examen de contenido.

Sugerencia

Si solo está trabajando en PowerShell, consulte Configuración del analizador para aplicar la clasificación y la protección: solo PowerShell.

Para configurar el analizador para aplicar la clasificación y la protección en el portal de Microsoft Purview o portal de cumplimiento Microsoft Purview:

  1. En el portal o portal de cumplimiento Microsoft Purview de Microsoft Purview, en la pestaña Trabajos de examen de contenido, seleccione un trabajo de examen de contenido específico para editarlo.

  2. Seleccione el trabajo de examen de contenido, cambie lo siguiente y, a continuación, seleccione Guardar:

    • En la sección Trabajo de examen de contenido : cambie la programación a Always
    • En la sección Aplicar directiva de etiquetado de confidencialidad: cambie el botón de radio a Activado.
  3. Asegúrese de que un nodo para el trabajo de examen de contenido esté en línea y, a continuación, vuelva a iniciar el trabajo de examen de contenido seleccionando Examinar ahora. El botón Examinar ahora solo aparece cuando un nodo para el trabajo de examen de contenido seleccionado está en línea.

El escáner está programado para ejecutarse continuamente. Cuando el escáner funciona a través de todos los archivos configurados, inicia automáticamente un nuevo ciclo para que se detecten los archivos nuevos y modificados.

Uso de una directiva DLP

El uso de una directiva de prevención de pérdida de datos permite al analizador detectar posibles fugas de datos mediante la coincidencia de reglas DLP con archivos almacenados en recursos compartidos de archivos y SharePoint Server.

  • Habilite las reglas DLP en el trabajo de examen de contenido para reducir la exposición de los archivos que coincidan con las directivas DLP. Cuando se habilitan las reglas DLP, el analizador puede reducir el acceso de archivos solo a los propietarios de datos o reducir la exposición a grupos de toda la red, como Todos, Usuarios autenticados o Usuarios de dominio.

  • En el portal o portal de cumplimiento Microsoft Purview de Microsoft Purview, determine si solo está probando la directiva DLP o si desea que se apliquen las reglas y los permisos de archivo cambien según esas reglas. Para obtener más información, consulte Creación e implementación de directivas de prevención de pérdida de datos.

Las directivas DLP se configuran en el portal de cumplimiento de Microsoft Purview. Para obtener más información sobre las licencias DLP, consulte Introducción al analizador local de prevención de pérdida de datos.

Sugerencia

El examen de los archivos, incluso al probar la directiva DLP, también crea informes de permisos de archivo. Consulte estos informes para investigar exposiciones de archivos específicas o explorar la exposición de un usuario específico a los archivos escaneados.

Para usar solo PowerShell, consulte Uso de una directiva DLP con el analizador: solo PowerShell.

Para usar una directiva DLP con el analizador en el portal de Microsoft Purview o portal de cumplimiento Microsoft Purview:

  1. En el portal o portal de cumplimiento Microsoft Purview de Microsoft Purview, vaya a la pestaña Trabajos de examen de contenido y seleccione un trabajo de examen de contenido específico. Para obtener más información, consulte Creación de un trabajo de examen de contenido.

  2. En Habilitar reglas de directiva DLP, establezca el botón de radio en Activado.

    Importante

    No establezca Habilitar reglas DLP en Activado a menos que tenga una directiva DLP configurada en Microsoft 365.

    Activar esta característica sin una directiva DLP hará que el analizador genere errores.

  3. (Opcional) Establezca el propietario del repositorioen Activado y defina un usuario específico como propietario del repositorio.

    Esta opción permite al analizador reducir la exposición de los archivos que se encuentran en este repositorio, que coinciden con la directiva DLP, con el propietario del repositorio definido.

Directivas DLP y realizar acciones privadas

Si usa una directiva DLP con una acción privada make y también planea usar el analizador para etiquetar automáticamente los archivos, se recomienda definir también la configuración avanzada UseCopyAndPreserveNTFSOwner del cliente de etiquetado unificado.

Esta configuración garantiza que los propietarios originales conserven el acceso a sus archivos.

Para obtener más información, consulte Creación de un trabajo de examen de contenido y Aplicación automática de una etiqueta de confidencialidad a datos de Microsoft 365.

Cambiar los tipos de archivo que se van a proteger

De forma predeterminada, el escáner solo protege los tipos de archivo de Office y los archivos PDF.

Use comandos de PowerShell para cambiar este comportamiento según sea necesario, como configurar el analizador para proteger todos los tipos de archivo, tal como lo hace el cliente, o para proteger tipos de archivo adicionales específicos.

Para una directiva de etiquetas que se aplique a las etiquetas de descarga de la cuenta de usuario para el analizador, especifique una configuración avanzada de PowerShell denominada PFileSupportedExtensions.

Para un analizador que tiene acceso a Internet, esta cuenta de usuario es la cuenta que se especifica para el parámetro DelegatedUser con el comando Set-Authentication.

Ejemplo 1: Comando de PowerShell para que el analizador proteja todos los tipos de archivo, donde la directiva de etiquetas se denomina "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Ejemplo 2: Comando de PowerShell para que el analizador proteja los archivos .xml y .tiff, además de los archivos Office y PDF, donde la directiva de etiquetas se denomina "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Para obtener más información, vea Cambiar los tipos de archivo que se van a proteger.

Actualización del escáner

Si ha instalado previamente el escáner y quiere actualizarlo, siga las instrucciones que se describen en Actualización del analizador de Microsoft Purview Information Protection.

A continuación, configure y use el escáner como de costumbre, omitiendo los pasos para instalar el escáner.

Edición de la configuración del repositorio de datos de forma masiva

Use los botones Exportar e Importar para realizar cambios en el analizador en varios repositorios.

De este modo, no es necesario realizar los mismos cambios varias veces, manualmente, en el portal de Microsoft Purview o portal de cumplimiento Microsoft Purview.

Por ejemplo, si tiene un nuevo tipo de archivo en varios repositorios de datos de SharePoint, es posible que desee actualizar la configuración de esos repositorios de forma masiva.

Para realizar cambios de forma masiva entre repositorios en el portal de Microsoft Purview portal de cumplimiento Microsoft Purview:

  1. En el portal de Microsoft Purview o portal de cumplimiento Microsoft Purview, seleccione un trabajo de examen de contenido específico y vaya a la pestaña Repositorios del panel. Seleccione la opción Exportar .

  2. Edite manualmente el archivo exportado para realizar el cambio.

  3. Use la opción Importar de la misma página para importar las actualizaciones en los repositorios.

Uso del escáner con configuraciones alternativas

Por lo general, el escáner busca las condiciones especificadas para las etiquetas con el fin de clasificar y proteger el contenido según sea necesario.

En los escenarios siguientes, el analizador también puede examinar el contenido y administrar etiquetas, sin ninguna condición configurada:

Aplicar una etiqueta predeterminada a todos los archivos de un repositorio de datos

En esta configuración, todos los archivos sin etiquetar en el repositorio se etiquetan con la etiqueta predeterminada especificada para el repositorio o el trabajo de examen de contenido. Los archivos se etiquetan sin inspección.

Configure las siguientes opciones:

Configuración Descripción
Etiquetar archivos basados en contenido Establecer en Desactivado
Etiqueta predeterminada Establezca en Personalizado y, a continuación, seleccione la etiqueta que se va a usar.
Aplicar la etiqueta predeterminada Seleccione esta opción para aplicar la etiqueta predeterminada a todos los archivos, incluso si ya están etiquetados activando Volver a etiquetar archivos y Aplicar etiqueta predeterminada .

Eliminación de etiquetas existentes de todos los archivos de un repositorio de datos

En esta configuración, se quitan todas las etiquetas existentes, incluida la protección, si se aplicó protección con la etiqueta. Se conserva la protección aplicada independientemente de una etiqueta.

Configure las siguientes opciones:

Configuración Descripción
Etiquetar archivos basados en contenido Establecer en Desactivado
Etiqueta predeterminada Establecer en Ninguno
Volver a etiquetar archivos Establézcalo en Activado, con la etiqueta Aplicar predeterminada establecida en Activado

Identificar todas las condiciones personalizadas y los tipos de información confidencial conocidos

Esta configuración le permite encontrar información confidencial que es posible que no se dé cuenta de que tenía, a costa de las tasas de análisis del escáner.

Establezca los tipos de información que se detectarán enTodos.

Para identificar las condiciones y los tipos de información para el etiquetado, el analizador usa los tipos de información confidencial personalizados especificados y la lista de tipos de información confidencial integrados que están disponibles para seleccionar, tal como se define en el centro de administración de etiquetado.

Optimización del rendimiento del escáner

Nota:

Si quiere mejorar la capacidad de respuesta del equipo del escáner en lugar del rendimiento del escáner, use una configuración de cliente avanzada para limitar el número de subprocesos que usa el escáner.

Use las siguientes opciones e instrucciones para ayudarle a optimizar el rendimiento del escáner:

Opción Descripción
Tener una conexión de red confiable y de alta velocidad entre el equipo del escáner y el almacén de datos escaneados Por ejemplo, coloque el equipo del escáner en la misma LAN, o preferiblemente, en el mismo segmento de red que el almacén de datos digitalizado.

La calidad de la conexión de red afecta al rendimiento del escáner porque, para inspeccionar los archivos, el escáner transfiere el contenido de los archivos al equipo que ejecuta el escáner Microsoft Purview Information Protection servicio Scanner.

La reducción o eliminación de los saltos de red necesarios para que los datos viajen también reduce la carga en la red.
Asegúrese de que el equipo del escáner tiene recursos de procesador disponibles Inspeccionar el contenido del archivo y cifrar y descifrar archivos son acciones intensivas del procesador.

Supervise los ciclos de análisis típicos de los almacenes de datos especificados para identificar si la falta de recursos del procesador afecta negativamente al rendimiento del escáner.
Instalación de varias instancias del analizador El analizador admite varias bases de datos de configuración en la misma instancia de SQL Server al especificar un nombre de clúster personalizado para el analizador.

Sugerencia: Varios escáneres también pueden compartir el mismo clúster, lo que da lugar a tiempos de examen más rápidos. Si tiene previsto instalar el analizador en varias máquinas con la misma instancia de base de datos y quiere que los escáneres se ejecuten en paralelo, debe instalar todos los analizadores con el mismo nombre de clúster.
Comprobación del uso alternativo de la configuración El analizador se ejecuta más rápidamente cuando se usa la configuración alternativa para aplicar una etiqueta predeterminada a todos los archivos porque el analizador no inspecciona el contenido del archivo.

El analizador se ejecuta más lentamente cuando se usa la configuración alternativa para identificar todas las condiciones personalizadas y los tipos de información confidencial conocidos.

Factores adicionales que afectan al rendimiento

Entre los factores adicionales que afectan al rendimiento del escáner se incluyen:

Factor Descripción
Tiempos de carga y respuesta Los tiempos de carga y respuesta actuales de los almacenes de datos que contienen los archivos que se van a examinar también afectarán al rendimiento del escáner.
Modo de escáner (detección/aplicación) El modo de detección suele tener una tasa de examen más alta que el modo de aplicación.

La detección requiere una única acción de lectura de archivos, mientras que el modo de aplicación requiere acciones de lectura y escritura.
Cambios en la directiva El rendimiento del escáner puede verse afectado si ha realizado cambios en el etiquetado automático en la directiva de etiquetas.

El primer ciclo de examen, cuando el escáner debe inspeccionar todos los archivos, tardará más tiempo que los ciclos de examen posteriores que, de forma predeterminada, inspeccionarán solo los archivos nuevos y modificados.

Si cambia las condiciones o la configuración de etiquetado automático, todos los archivos se examinan de nuevo. Para obtener más información, vea Volver a examinar archivos.
Construcciones regex El rendimiento del escáner se ve afectado por la forma en que se construyen las expresiones regex para condiciones personalizadas.

Para evitar el consumo excesivo de memoria y el riesgo de tiempos de espera (15 minutos por archivo), revise las expresiones regex para obtener una coincidencia eficaz de patrones.

Por ejemplo:
- Evitar cuantificadores expansivos
- Usar grupos que no son de captura, como (?:expression) en lugar de (expression)
Nivel de registro Las opciones de nivel de registro incluyen Depuración, Información, Error y Desactivado para los informes del analizador.

- La desactivación da como resultado el mejor rendimiento
- La depuración ralentiza considerablemente el analizador y solo se debe usar para solucionar problemas.

Para obtener más información, vea el parámetro ReportLevel para el cmdlet Set-ScannerConfiguration .
Archivos que se examinan - Con la excepción de los archivos de Excel, los archivos de Office se examinan más rápidamente que los archivos PDF.

- Los archivos no protegidos son más rápidos de examinar que los archivos protegidos.

- Los archivos grandes obviamente tardan más tiempo en examinarse que los archivos pequeños.

Uso de PowerShell para configurar el analizador

En esta sección se describen los pasos necesarios para configurar e instalar el analizador cuando no tiene acceso a las páginas del analizador en el portal o portal de cumplimiento Microsoft Purview de Microsoft Purview, y solo debe usar PowerShell.

Importante

  • Algunos pasos requieren PowerShell si puede acceder a las páginas del analizador en el portal de cumplimiento y son idénticos. Para ver estos pasos, consulte las instrucciones anteriores de este artículo, como se indica.

  • Si está trabajando con el escáner para Azure China 21Vianet, se requieren pasos adicionales además de las instrucciones que se detallan aquí. Para obtener más información, consulte Microsoft Purview Information Protection para Office 365 operados por 21Vianet.

Para obtener más información, consulte Cmdlets de PowerShell admitidos.

Para configurar e instalar el escáner:

  1. Comience con PowerShell cerrado. Si ha instalado previamente el cliente y el escáner de protección de la información, asegúrese de que el servicio Microsoft Purview Information Protection Scanner está detenido.

  2. Abra una sesión de Windows PowerShell con la opción Ejecutar como administrador.

  3. Ejecute el comando Install-Scanner para instalar el analizador en la instancia de SQL Server, con el parámetro Cluster para definir el nombre del clúster.

    Este paso es idéntico tanto si puede acceder a las páginas del analizador en el portal de cumplimiento como si no. Para obtener más información, consulte las instrucciones anteriores de este artículo: Instalación del escáner.

  4. Obtenga un token de Azure para usarlo con el analizador y, a continuación, vuelva a autenticarlo.

    Este paso es idéntico tanto si puede acceder a las páginas del analizador en el portal de cumplimiento como si no. Para obtener más información, consulte las instrucciones anteriores de este artículo: Obtener un token de Microsoft Entra para el analizador.

  5. Ejecute el cmdlet Set-ScannerConfiguration para establecer que el analizador funcione en modo sin conexión. Correr:

    Set-ScannerConfiguration -OnlineConfiguration Off
    
  6. Ejecute el cmdlet Set-ScannerContentScan para crear un trabajo de examen de contenido predeterminado.

    El único parámetro necesario en el cmdlet Set-ScannerContentScan es Enforce. Sin embargo, es posible que quiera definir otras opciones para el trabajo de examen de contenido en este momento. Por ejemplo:

    Set-ScannerContentScan -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    La sintaxis anterior configura los siguientes valores mientras continúa la configuración:

    • Mantiene la programación de ejecución del escáner en el manual
    • Establece los tipos de información que se detectarán en función de la directiva de etiqueta de confidencialidad.
    • No aplica una directiva de etiqueta de confidencialidad
    • Etiqueta automáticamente los archivos en función del contenido, con la etiqueta predeterminada definida para la directiva de etiqueta de confidencialidad.
    • No permite volver a etiquetar archivos
    • Conserva los detalles del archivo durante el examen y el etiquetado automático, incluida la fecha de modificación, última modificación y modificación por valores
    • Establece el analizador para excluir los archivos .msg y .tmp al ejecutar
    • Establece el propietario predeterminado en la cuenta que desea usar al ejecutar el analizador.
  7. Use el cmdlet Add-ScannerRepository para definir los repositorios que desea examinar en el trabajo de examen de contenido. Por ejemplo, ejecute:

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Use una de las siguientes sintaxis, en función del tipo de repositorio que agregue:

    • Para un recurso compartido de red, use \\Server\Folder.
    • Para una biblioteca de SharePoint, use http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Para una ruta de acceso local: C:\Folder
    • Para una ruta de acceso UNC: \\Server\Folder

    Nota:

    No se admiten caracteres comodín y no se admiten ubicaciones webDav.

    Para modificar el repositorio más adelante, use el cmdlet Set-ScannerRepository en su lugar.

    Si agrega una ruta de acceso de SharePoint para documentos compartidos:

    • Especifique Documentos compartidos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de Documentos compartidos. Por ejemplo: http://sp2013/SharedDocuments
    • Especifique Documentos en la ruta de acceso cuando desee examinar todos los documentos y todas las carpetas de una subcarpeta en Documentos compartidos. Por ejemplo: http://sp2013/Documents/SalesReports
    • O bien, especifique solo el FQDN de SharePoint, por ejemplo http://sp2013 , para detectar y examinar todos los sitios y subsitios de SharePoint en una dirección URL y subtítulos específicos en esta dirección URL. Conceda derechos al auditor del recopilador de sitios del escáner para habilitarlo.

    Use la sintaxis siguiente al agregar rutas de acceso de SharePoint:

    Ruta de acceso Sintaxis
    Ruta de acceso raíz http://<SharePoint server name>

    Examina todos los sitios, incluidas las colecciones de sitios permitidas para el usuario del analizador.
    Subsitio o colección de SharePoint específico Uno de los siguientes:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>
    Biblioteca específica de SharePoint Uno de los siguientes:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Carpeta específica de SharePoint http://<SharePoint server name>/.../<folder name>

Continúe con los pasos siguientes según sea necesario:

Uso de PowerShell para configurar el analizador para aplicar la clasificación y la protección

  1. Ejecute el cmdlet Set-ScannerContentScan para actualizar el trabajo de examen de contenido y establecer la programación en siempre y aplicar la directiva de confidencialidad.

    Set-ScannerContentScan -Schedule Always -Enforce On
    

    Sugerencia

    Es posible que desee cambiar otras opciones de configuración en este panel, como si se cambian los atributos de archivo y si el analizador puede volver a etiquetar los archivos. Para obtener más información sobre la configuración disponible, consulte la documentación completa de Set-ScannerContentScan.

  2. Ejecute el cmdlet Start-Scan para ejecutar el trabajo de examen de contenido:

    Start-Scan
    

El escáner está programado para ejecutarse continuamente. Cuando el escáner funciona a través de todos los archivos configurados, inicia automáticamente un nuevo ciclo para que se detecten los archivos nuevos y modificados.

Uso de PowerShell para configurar una directiva DLP con el analizador

Vuelva a ejecutar el cmdlet Set-ScannerContentScan con el parámetro -EnableDLP establecido en Activado y con un propietario de repositorio específico definido.

Por ejemplo:

Set-ScannerContentScan -EnableDLP On -RepositoryOwner 'domain\user'

Cmdlets de PowerShell admitidos

En esta sección se enumeran los cmdlets de PowerShell admitidos para el analizador de protección de la información e instrucciones para configurar e instalar el analizador solo con PowerShell.

Entre los cmdlets admitidos para el analizador se incluyen:

Pasos siguientes

Una vez que haya instalado y configurado el escáner, empiece a examinar los archivos.