Configurare e installare lo scanner di protezione delle informazioni

Nota

È disponibile una nuova versione dello scanner di protezione delle informazioni. Per altre informazioni, vedere Aggiornare lo scanner Microsoft Purview Information Protection.

Questo articolo descrive come configurare e installare lo scanner Microsoft Purview Information Protection, denominato in precedenza Azure Information Protection scanner di etichettatura unificata o lo scanner locale.

Consiglio

Sebbene la maggior parte dei clienti esegua queste procedure nel portale di amministrazione, potrebbe essere necessario usare solo PowerShell.

Ad esempio, se si lavora in un ambiente senza accesso al portale di amministrazione, ad esempio Azure China 21Vianet, seguire le istruzioni in Usare PowerShell per configurare lo scanner.

Panoramica

Prima di iniziare, verificare che il sistema sia conforme ai prerequisiti richiesti.

Usare quindi la procedura seguente per configurare e installare lo scanner:

  1. Configurare le impostazioni dello scanner

  2. Installare lo scanner

  3. Ottenere un token di Microsoft Entra per lo scanner

  4. Configurare lo scanner per applicare la classificazione e la protezione

Eseguire quindi le procedure di configurazione seguenti in base alle esigenze del sistema:

Procedura Descrizione
Modificare i tipi di file da proteggere È possibile analizzare, classificare o proteggere tipi di file diversi rispetto a quelli predefiniti. Per altre informazioni, vedere Processo di analisi.
Aggiornamento dello scanner Aggiornare lo scanner per usare le funzionalità e i miglioramenti più recenti.
Modifica delle impostazioni del repository dati in blocco Usare le opzioni di importazione ed esportazione per apportare modifiche in blocco per più repository di dati.
Usare lo scanner con configurazioni alternative Usare lo scanner senza configurare etichette con alcuna condizione
Ottimizzare le prestazioni Linee guida per ottimizzare le prestazioni dello scanner

Se non si ha accesso alle pagine dello scanner nel portale di Microsoft Purview o nel Portale di conformità di Microsoft Purview, configurare le impostazioni dello scanner solo in PowerShell. Per altre informazioni, vedere Usare PowerShell per configurare lo scanner e i cmdlet di PowerShell supportati.

Configurare le impostazioni dello scanner

Prima di installare lo scanner o aggiornarlo da una versione di disponibilità generale precedente, configurare o verificare le impostazioni dello scanner. Per questa configurazione, è possibile usare il portale di Microsoft Purview o il Portale di conformità di Microsoft Purview.

Per configurare lo scanner nel portale di Microsoft Purview o Portale di conformità di Microsoft Purview:

  1. Accedere usando uno dei ruoli seguenti:
  • Amministratore conformità
  • Amministratore dei dati di conformità
  • Amministratore della sicurezza
  • Gestione organizzazione
  1. A seconda del portale in uso, passare a una delle posizioni seguenti:

  2. Creare un cluster di scanner. Questo cluster definisce lo scanner e viene usato per identificare l'istanza dello scanner, ad esempio durante l'installazione, gli aggiornamenti e altri processi.

  3. Creare un processo di analisi del contenuto per definire i repository da analizzare.

Creare un cluster di scanner

Per creare un cluster di scanner nel portale di Microsoft Purview o Portale di conformità di Microsoft Purview:

  1. Nelle schede della pagina Dello scanner di Information Protection selezionare Cluster.

  2. Nella scheda Cluster selezionare Aggiungiicona aggiungi icona.

  3. Nel riquadro Nuovo cluster immettere un nome significativo per lo scanner e una descrizione facoltativa.

    Il nome del cluster viene usato per identificare le configurazioni e i repository dello scanner. Ad esempio, è possibile immettere Europa per identificare le posizioni geografiche dei repository di dati da analizzare.

    Questo nome verrà usato in un secondo momento per identificare la posizione in cui si vuole installare o aggiornare lo scanner.

  4. Seleziona Salva per salvare le modifiche.

Creare un processo di analisi del contenuto

Approfondire il contenuto per analizzare i repository specifici per individuare contenuti sensibili.

Per creare il processo di analisi del contenuto nel portale Microsoft Purview di Portale di conformità di Microsoft Purview:

  1. Nelle schede della pagina Scanner di Protezione delle informazioni selezionare Processi di analisi del contenuto.

  2. Nel riquadro Processi di analisi del contenuto selezionare Aggiungiicona aggiungi icona.

  3. Per questa configurazione iniziale, configurare le impostazioni seguenti e quindi selezionare Salva.

    Impostazione Descrizione
    Impostazioni del processo di analisi del contenuto - Pianificazione: mantenere l'impostazione predefinita manuale
    - Tipi di informazioni da individuare: passare solo a Criteri
    Criteri DLP Se si usano criteri di prevenzione della perdita dei dati, impostare Abilita regole di prevenzione della perdita dei dati su Attivato. Per altre informazioni, vedere Usare un criterio DLP.
    Criteri di riservatezza - Applicare criteri di etichettatura di riservatezza: Selezionare Disattivato
    - Etichettare i file in base al contenuto: mantenere il valore predefinito Attivata
    - Etichetta predefinita: mantenere l'impostazione predefinita criteri predefinita
    - Rietichettare i file: mantenere il valore predefinito Disattivato
    Configurare le impostazioni dei file - Mantieni "Date modified", "Last modified" e "Modified by": mantieni il valore predefinito di On
    - Tipi di file da analizzare: mantenere i tipi di file predefiniti per Escludi
    - Proprietario predefinito: mantenere il valore predefinito dell'account scanner
    - Impostare il proprietario del repository: usare questa opzione solo quando si usano criteri DLP.
  4. Aprire il processo di analisi del contenuto salvato e selezionare la scheda Repository per specificare gli archivi dati da analizzare.

    Specificare i percorsi UNC e gli URL di SharePoint Server per le raccolte documenti e le cartelle locali di SharePoint.

    Nota

    SharePoint Server 2019, SharePoint Server 2016 e SharePoint Server 2013 sono supportati per SharePoint. SharePoint Server 2010 è supportato anche quando è disponibile il supporto esteso per questa versione di SharePoint.

    Per aggiungere il primo archivio dati, nella scheda Repository :

    1. Nel riquadro Repository selezionare Aggiungi:

    2. Nel riquadro Repository specificare il percorso per il repository di dati e quindi selezionare Salva.

      • Per una condivisione di rete, usare \\Server\Folder.
      • Per una raccolta di SharePoint, usare http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • Per un percorso locale: C:\Folder
      • Per un percorso UNC: \\Server\Folder

    Nota

    I caratteri jolly non sono supportati e i percorsi WebDav non sono supportati. L'analisi delle posizioni di OneDrive come repository non è supportata.

    Se si aggiunge un percorso di SharePoint per documenti condivisi:

    • Specificare Documenti condivisi nel percorso quando si desidera analizzare tutti i documenti e tutte le cartelle da Documenti condivisi. Ad esempio: http://sp2013/SharedDocuments
    • Specificare Documenti nel percorso quando si desidera analizzare tutti i documenti e tutte le cartelle da una sottocartella in Documenti condivisi. Ad esempio: http://sp2013/Documents/SalesReports
    • In alternativa, specificare solo il nome di dominio completo di SharePoint, ad esempio http://sp2013 per individuare ed analizzare tutti i siti e i siti secondari di SharePoint in un URL e sottotitoli specifici in questo URL. Concedere allo scanner i diritti di revisore dell'agente di raccolta siti per abilitarlo.

    Per le impostazioni rimanenti in questo riquadro, non modificarle per questa configurazione iniziale, ma mantenerle come impostazione predefinita del processo di analisi del contenuto. L'impostazione predefinita indica che il repository di dati eredita le impostazioni dal processo di analisi del contenuto.

    Quando si aggiungono percorsi di SharePoint, usare la sintassi seguente:

    Percorso Sintassi
    Percorso radice http://<SharePoint server name>

    Analizza tutti i siti, incluse le raccolte siti consentite per l'utente dello scanner.
    Richiede autorizzazioni aggiuntive per individuare automaticamente il contenuto radice
    Sito secondario o raccolta di SharePoint specifico Uno dei seguenti:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    Richiede autorizzazioni aggiuntive per individuare automaticamente il contenuto della raccolta siti
    Raccolta di SharePoint specifica Uno dei seguenti:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Cartella di SharePoint specifica http://<SharePoint server name>/.../<folder name>
  5. Ripetere i passaggi precedenti per aggiungere tutti i repository necessari.

A questo punto si è pronti per installare lo scanner con il processo dello scanner di contenuto creato. Continuare con Installare lo scanner.

Installare lo scanner

Dopo aver configurato lo scanner, seguire questa procedura per installare lo scanner. Questa procedura viene eseguita completamente in PowerShell.

  1. Accedere al computer Windows Server che eseguirà lo scanner. Usare un account con diritti di amministratore locale e con autorizzazioni di scrittura nel database master SQL Server.

    Importante

    È necessario che il client di protezione delle informazioni sia installato nel computer prima di installare lo scanner.

    Per altre informazioni, vedere Prerequisiti per l'installazione e la distribuzione dello scanner di protezione delle informazioni.

  2. Aprire una sessione di Windows PowerShell con l'opzione Esegui come amministratore.

  3. Eseguire il cmdlet Install-Scanner, specificando l'istanza di SQL Server in cui creare un database per lo scanner di information protection e il nome del cluster dello scanner specificato nella sezione precedente:

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>
    

    Esempi, che usano il nome del cluster scanner europa:

    • Per un'istanza predefinita: Install-Scanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • Per un'istanza denominata: Install-Scanner -SqlServerInstance SQLSERVER1\SCANNER -Cluster Europe

    • Per SQL Server Express:Install-Scanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    Quando viene richiesto, specificare le credenziali di Active Directory per l'account del servizio scanner.

    Usare la sintassi seguente: \<domain\user name>. Ad esempio: contoso\scanneraccount

  4. Verificare che il servizio sia ora installato tramite Servizi strumenti> di amministrazione.

    Il servizio installato è denominato Microsoft Purview Information Protection Scanner ed è configurato per l'esecuzione usando l'account del servizio scanner creato.

Dopo aver installato lo scanner, è necessario ottenere un token di Microsoft Entra per l'autenticazione dell'account del servizio scanner, in modo che lo scanner possa essere eseguito in modalità automatica.

Ottenere un token di Microsoft Entra per lo scanner

Un token Microsoft Entra consente allo scanner di eseguire l'autenticazione nel servizio scanner Microsoft Purview Information Protection, consentendo l'esecuzione automatica dello scanner.

Per altre informazioni, vedere Eseguire i cmdlet di etichettatura automatica di Information Protection.

Per ottenere un token di Microsoft Entra:

  1. Passare al portale di Azure e passare al pannello Microsoft Entra ID.

  2. Nel riquadro laterale Microsoft Entra ID fare clic su Registrazioni app.

  3. Nella parte superiore, andare avanti e fare clic su + Nuova registrazione.

  4. Nella sezione Nome digitare InformationProtectionScanner.

  5. Lasciare i tipi di account supportati come predefiniti.

  6. Per l'URI di reindirizzamento, lasciare il tipo Come Web, ma digitare per http://localhost la parte di voce e fare clic su Registra.

  7. Nella pagina Panoramica di questa applicazione annotare nell'editor di testo gli ID seguenti: ID applicazione (client) e ID directory (tenant). Questa operazione sarà necessaria in un secondo momento durante la configurazione del comando Set-AIPAuthentication.

  8. Nel riquadro laterale passare a Certificati e segreti.

  9. Fare clic su + Nuovo segreto client.

  10. Nella finestra di dialogo visualizzata immettere una descrizione per il segreto, impostarla su Scadenza entro 1 anno e quindi aggiungere il segreto.

  11. Nella sezione dei segreti client dovrebbe ora essere visualizzato che è presente una voce con il valore del segreto. Procedere e copiare questo valore e archiviarlo nel file in cui sono stati salvati l'ID client e l'ID tenant. Questa è l'unica volta che si sarà in grado di visualizzare il valore del segreto, non sarà recuperabile se non si copia in questo momento.

  12. Nel riquadro laterale passare a Autorizzazioni API.

  13. Procedere e selezionare Aggiungi un'autorizzazione.

  14. Quando viene visualizzata la schermata, selezionare Servizio Azure Rights Management. Selezionare quindi Autorizzazioni applicazione.

  15. Fare clic sull'elenco a discesa contenuto e impostare i segni di spunta per Content.DelegatedReader e Content.DelegatedWriter. Nella parte inferiore della schermata fare clic su Aggiungi autorizzazioni.

  16. Tornare alla sezione Autorizzazioni API e aggiungere un'altra autorizzazione.

  17. Questa volta, per la sezione Selezionare un'API, fare clic su API usate dall'organizzazione. Nella barra di ricerca digitare Microsoft Information Protection Sync Service e selezionarlo.

  18. Selezionare Autorizzazioni applicazione e quindi nell'elenco a discesa Criteri unificati contrassegna l'autorizzazione UnifiedPolicy.Tenant.Read. Nella parte inferiore della schermata fare clic su Aggiungi autorizzazioni.

  19. Tornare alla schermata Autorizzazioni API, fare clic su Concedi Amministrazione consenso e cercare l'operazione con esito positivo (contrassegnata da un segno di spunta verde).

  20. Dal computer Windows Server, se all'account del servizio scanner è stato concesso il diritto di accesso locale per l'installazione, accedere con questo account e avviare una sessione di PowerShell.

    Eseguire Set-Authentication, specificando i valori copiati dal passaggio precedente:

    Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    Ad esempio:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

Consiglio

Se all'account del servizio scanner non è possibile concedere il diritto di accesso in locale per l'installazione, usare il parametro OnBehalfOf con Set-Authentication, come descritto in Eseguire i cmdlet di etichettatura di protezione delle informazioni in modalità automatica.

Lo scanner dispone ora di un token per l'autenticazione in Microsoft Entra ID. Questo token è valido per un anno, due anni o mai, in base alla configurazione del segreto client app Web/API in Microsoft Entra ID. Quando il token scade, è necessario ripetere questa procedura.

Continuare a usare uno dei passaggi seguenti, a seconda che si usi il portale di conformità per configurare lo scanner o solo PowerShell:

È ora possibile eseguire la prima analisi in modalità di individuazione. Per altre informazioni, vedere Eseguire un ciclo di individuazione e visualizzare i report per lo scanner.

Dopo aver eseguito l'analisi di individuazione iniziale, continuare con Configurare lo scanner per applicare la classificazione e la protezione.

Per altre informazioni, vedere Eseguire i cmdlet di etichettatura automatica di Information Protection.

Configurare lo scanner per applicare la classificazione e la protezione

Le impostazioni predefinite configurano lo scanner per l'esecuzione una sola volta e in modalità di solo creazione report. Per modificare queste impostazioni, modificare il processo di analisi del contenuto.

Per configurare lo scanner per applicare la classificazione e la protezione nel portale di Microsoft Purview o Portale di conformità di Microsoft Purview:

  1. Nella scheda Processi di analisi del contenuto del portale o Portale di conformità di Microsoft Purview Microsoft Purview selezionare un processo di analisi del contenuto specifico per modificarlo.

  2. Selezionare il processo di analisi del contenuto, modificare quanto segue e quindi selezionare Salva:

    • Dalla sezione Processo di analisi del contenuto : Modificare la pianificazione in Sempre
    • Dalla sezione Imponi criteri di etichettatura di riservatezza : impostare il pulsante di opzione su Sì
  3. Assicurarsi che un nodo per il processo di analisi del contenuto sia online, quindi avviare di nuovo il processo di analisi del contenuto selezionando Analizza ora. Il pulsante Analizza ora viene visualizzato solo quando un nodo per il processo di analisi del contenuto selezionato è online.

Lo scanner è ora pianificato per l'esecuzione continua. Quando lo scanner funziona attraverso tutti i file configurati, avvia automaticamente un nuovo ciclo in modo che tutti i file nuovi e modificati vengano individuati.

Usare un criterio DLP

L'uso di un criterio di prevenzione della perdita dei dati consente allo scanner di rilevare potenziali perdite di dati associando le regole DLP ai file archiviati in condivisioni file e SharePoint Server.

  • Abilitare le regole DLP nel processo di analisi del contenuto per ridurre l'esposizione di tutti i file che corrispondono ai criteri DLP. Quando le regole DLP sono abilitate, lo scanner può ridurre l'accesso ai file solo ai proprietari dei dati o ridurre l'esposizione a gruppi a livello di rete, ad esempio Tutti, Utenti autenticati o Utenti di dominio.

  • Nel portale di Microsoft Purview o Portale di conformità di Microsoft Purview determinare se si sta solo testando i criteri di prevenzione della perdita dei dati o se si desidera applicare le regole e modificare le autorizzazioni per i file in base a tali regole. Per altre informazioni, vedere Creare e distribuire criteri di prevenzione della perdita di dati

I criteri di Prevenzione della perdita dei dati sono configurati nel portale di conformità di Microsoft Purview. Per altre informazioni sulle licenze DLP, vedere Introduzione allo scanner locale per la prevenzione della perdita dei dati.

Consiglio

L'analisi dei file, anche quando si esegue il test dei criteri di prevenzione della perdita dei dati, crea anche report sulle autorizzazioni dei file. Eseguire query su questi report per analizzare esposizioni di file specifiche o esplorare l'esposizione di un utente specifico ai file analizzati.

Per usare solo PowerShell, vedere Usare un criterio DLP con lo scanner - Solo PowerShell.

Per usare un criterio DLP con lo scanner nel portale di Microsoft Purview o Portale di conformità di Microsoft Purview:

  1. Nel portale di Microsoft Purview o Portale di conformità di Microsoft Purview passare alla scheda Processi di analisi del contenuto e selezionare un processo di analisi del contenuto specifico. Per altre informazioni, vedere Creare un processo di analisi del contenuto.

  2. In Abilita regole dei criteri DLP impostare il pulsante di opzione su Attivato.

    Importante

    Non impostare Abilita regole DLPsu Sì a meno che non si disponga effettivamente di un criterio DLP configurato in Microsoft 365.

    L'attivazione di questa funzionalità senza un criterio DLP causerà la generazione di errori da parte dello scanner.

  3. (Facoltativo) Impostare Il proprietario del repositorysu Sì e definire un utente specifico come proprietario del repository.

    Questa opzione consente allo scanner di ridurre l'esposizione di tutti i file trovati in questo repository, che corrispondono ai criteri DLP, al proprietario del repository definito.

Criteri di prevenzione della perdita dei dati e azioni private

Se si usa un criterio DLP con un'azione privata e si prevede anche di usare lo scanner per etichettare automaticamente i file, è consigliabile definire anche l'impostazione avanzata UseCopyAndPreserveNTFSOwner del client di etichettatura unificata.

Questa impostazione garantisce che i proprietari originali mantengano l'accesso ai file.

Per altre informazioni, vedere Creare un processo di analisi del contenuto e Applicare automaticamente un'etichetta di riservatezza ai dati di Microsoft 365.

Modificare i tipi di file da proteggere

Per impostazione predefinita, lo scanner protegge solo i tipi di file di Office e i file PDF.

Usare i comandi di PowerShell per modificare questo comportamento in base alle esigenze, ad esempio per configurare lo scanner per proteggere tutti i tipi di file, esattamente come il client o per proteggere tipi di file specifici aggiuntivi.

Per un criterio di etichetta che si applica all'account utente che scarica le etichette per lo scanner, specificare un'impostazione avanzata di PowerShell denominata PFileSupportedExtensions.

Per uno scanner che ha accesso a Internet, questo account utente è l'account specificato per il parametro DelegatedUser con il comando Set-Authentication.

Esempio 1: comando di PowerShell per lo scanner per proteggere tutti i tipi di file, in cui i criteri di etichetta sono denominati "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

Esempio 2: comando di PowerShell per lo scanner per proteggere i file .xml e i file .tiff oltre ai file di Office e PDF, in cui i criteri di etichetta sono denominati "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

Per altre informazioni, vedere Modificare i tipi di file da proteggere.

Aggiornare lo scanner

Se lo scanner è stato installato in precedenza e si vuole eseguire l'aggiornamento, usare le istruzioni descritte in Aggiornare lo scanner Microsoft Purview Information Protection.

Quindi, configurare e usare lo scanner come di consueto, ignorando i passaggi per installare lo scanner.

Modificare le impostazioni del repository dati in blocco

Usare i pulsanti Esporta e Importa per apportare modifiche allo scanner in diversi repository.

In questo modo, non è necessario apportare le stesse modifiche più volte, manualmente, nel portale di Microsoft Purview o Portale di conformità di Microsoft Purview.

Ad esempio, se si ha un nuovo tipo di file in diversi repository di dati di SharePoint, è possibile aggiornare in blocco le impostazioni per tali repository.

Per apportare modifiche in blocco tra i repository nel portale di Microsoft Purview Portale di conformità di Microsoft Purview:

  1. Nel portale di Microsoft Purview o Portale di conformità di Microsoft Purview selezionare un processo di analisi del contenuto specifico e passare alla scheda Repository all'interno del riquadro. Selezionare l'opzione Esporta .

  2. Modificare manualmente il file esportato per apportare la modifica.

  3. Usare l'opzione Importa nella stessa pagina per importare nuovamente gli aggiornamenti nei repository.

Usare lo scanner con configurazioni alternative

Lo scanner cerca in genere le condizioni specificate per le etichette per classificare e proteggere il contenuto in base alle esigenze.

Negli scenari seguenti, lo scanner è anche in grado di analizzare il contenuto e gestire le etichette, senza alcuna condizione configurata:

Applicare un'etichetta predefinita a tutti i file in un repository di dati

In questa configurazione, tutti i file non etichettati nel repository vengono etichettati con l'etichetta predefinita specificata per il repository o il processo di analisi del contenuto. I file vengono etichettati senza ispezione.

Configurare le seguenti impostazioni:

Impostazione Descrizione
Etichettare i file in base al contenuto Impostare su Disattivato
Etichetta predefinita Impostare su Personalizzato e quindi selezionare l'etichetta da usare
Applicare l'etichetta predefinita Selezionare per applicare l'etichetta predefinita a tutti i file, anche se sono già etichettati attivando Relabel files e Enforce default label on

Rimuovere etichette esistenti da tutti i file in un repository di dati

In questa configurazione, tutte le etichette esistenti vengono rimosse, inclusa la protezione, se è stata applicata la protezione con l'etichetta. La protezione applicata indipendentemente da un'etichetta viene mantenuta.

Configurare le seguenti impostazioni:

Impostazione Descrizione
Etichettare i file in base al contenuto Impostare su Disattivato
Etichetta predefinita Impostato su Nessuno
Rietichettare i file Impostare su On, con l'opzione Imponi etichetta predefinita impostata su

Identificare tutte le condizioni personalizzate e i tipi di informazioni sensibili noti

Questa configurazione consente di trovare informazioni riservate che potrebbero non essere state rilevate, a scapito della frequenza di scansione per lo scanner.

Impostare i tipi di informazioni da individuare su Tutti.

Per identificare le condizioni e i tipi di informazioni per l'etichettatura, lo scanner usa tutti i tipi di informazioni sensibili personalizzati specificati e l'elenco dei tipi di informazioni sensibili predefiniti disponibili per la selezione, come definito nel centro di gestione delle etichette.

Ottimizzare le prestazioni dello scanner

Nota

Se si vuole migliorare la velocità di risposta del computer scanner anziché le prestazioni dello scanner, usare un'impostazione client avanzata per limitare il numero di thread usati dallo scanner.

Usare le opzioni e le indicazioni seguenti per ottimizzare le prestazioni dello scanner:

Opzione Descrizione
Avere una connessione di rete affidabile e ad alta velocità tra il computer scanner e l'archivio dati analizzato Ad esempio, posizionare il computer scanner nella stessa LAN, o preferibilmente, nello stesso segmento di rete dell'archivio dati analizzato.

La qualità della connessione di rete influisce sulle prestazioni dello scanner perché, per esaminare i file, lo scanner trasferisce il contenuto dei file al computer che esegue lo scanner Microsoft Purview Information Protection servizio Scanner.

Anche la riduzione o l'eliminazione degli hop di rete necessari per il trasferimento dei dati riduce il carico sulla rete.
Assicurarsi che il computer scanner disponga di risorse del processore disponibili L'analisi del contenuto dei file e la crittografia e la decrittografia dei file sono azioni a elevato utilizzo di processori.

Monitorare i cicli di analisi tipici per gli archivi dati specificati per identificare se la mancanza di risorse del processore influisce negativamente sulle prestazioni dello scanner.
Installare più istanze dello scanner Lo scanner supporta più database di configurazione nella stessa istanza di SQL Server quando si specifica un nome di cluster personalizzato per lo scanner.

Suggerimento: più scanner possono anche condividere lo stesso cluster, con tempi di analisi più rapidi. Se si prevede di installare lo scanner in più computer con la stessa istanza di database e si vuole che gli scanner vengano eseguiti in parallelo, è necessario installare tutti gli scanner usando lo stesso nome del cluster.
Controllare l'utilizzo della configurazione alternativa Lo scanner viene eseguito più rapidamente quando si usa la configurazione alternativa per applicare un'etichetta predefinita a tutti i file perché lo scanner non controlla il contenuto del file.

Lo scanner viene eseguito più lentamente quando si usa la configurazione alternativa per identificare tutte le condizioni personalizzate e i tipi di informazioni sensibili noti.

Fattori aggiuntivi che influiscono sulle prestazioni

Altri fattori che influiscono sulle prestazioni dello scanner includono:

Fattore Descrizione
Tempi di caricamento/risposta Anche i tempi di caricamento e risposta correnti degli archivi dati che contengono i file da analizzare influiranno sulle prestazioni dello scanner.
Modalità scanner (individuazione/imposizione) La modalità di individuazione ha in genere una frequenza di analisi più elevata rispetto alla modalità di imposizione.

L'individuazione richiede un'unica azione di lettura file, mentre la modalità di applicazione richiede azioni di lettura e scrittura.
Modifiche ai criteri Le prestazioni dello scanner potrebbero essere influenzate se sono state apportate modifiche all'etichettatura automatica nei criteri di etichetta.

Il primo ciclo di analisi, quando lo scanner deve esaminare ogni file, richiederà più tempo rispetto ai cicli di analisi successivi che, per impostazione predefinita, esaminano solo i file nuovi e modificati.

Se si modificano le condizioni o le impostazioni di etichettatura automatica, tutti i file vengono nuovamente analizzati. Per altre informazioni, vedere Rescanning files .for more information, see Rescanning files.
Costruzioni Regex Le prestazioni dello scanner sono influenzate dal modo in cui vengono costruite le espressioni regex per le condizioni personalizzate.

Per evitare un consumo elevato di memoria e il rischio di timeout (15 minuti per file), esaminare le espressioni regex per ottenere una corrispondenza efficiente dei modelli.

Ad esempio:
- Evitare quantificatori avidi
- Usare gruppi non di acquisizione, ad (?:expression) esempio anziché (expression)
Livello di log Le opzioni a livello di log includono Debug, Informazioni, Errore e Disattivato per i report dello scanner.

- Disattiva risultati nelle migliori prestazioni
- Il debug rallenta notevolmente lo scanner e deve essere usato solo per la risoluzione dei problemi.

Per altre informazioni, vedere il parametro ReportLevel per il cmdlet Set-ScannerConfiguration .
File analizzati - Ad eccezione dei file di Excel, i file di Office vengono analizzati più rapidamente rispetto ai file PDF.

- I file non protetti sono più veloci da analizzare rispetto ai file protetti.

- L'analisi dei file di grandi dimensioni richiede ovviamente più tempo rispetto ai file di piccole dimensioni.

Usare PowerShell per configurare lo scanner

Questa sezione descrive i passaggi necessari per configurare e installare lo scanner quando non si ha accesso alle pagine dello scanner nel portale di Microsoft Purview o Portale di conformità di Microsoft Purview e deve usare solo PowerShell.

Importante

  • Alcuni passaggi richiedono PowerShell se è possibile accedere o meno alle pagine dello scanner nel portale di conformità e sono identici. Per questi passaggi, vedere le istruzioni precedenti in questo articolo come indicato.

  • Se si usa lo scanner per Azure China 21Vianet, sono necessari passaggi aggiuntivi oltre alle istruzioni dettagliate qui. Per altre informazioni, vedere Microsoft Purview Information Protection per Office 365 gestito da 21Vianet.

Per altre informazioni, vedere Cmdlet di PowerShell supportati.

Per configurare e installare lo scanner:

  1. Iniziare con PowerShell chiuso. Se il client e lo scanner di Information Protection sono stati installati in precedenza, assicurarsi che il servizio scanner di Microsoft Purview Information Protection sia stato arrestato.

  2. Aprire una sessione di Windows PowerShell con l'opzione Esegui come amministratore.

  3. Eseguire il comando Install-Scanner per installare lo scanner nell'istanza di SQL Server, con il parametro Cluster per definire il nome del cluster.

    Questo passaggio è identico se si è in grado di accedere o meno alle pagine dello scanner nel portale di conformità. Per altre informazioni, vedere le istruzioni precedenti in questo articolo: Installare lo scanner

  4. Ottenere un token di Azure da usare con lo scanner e quindi ripetere l'autenticazione.

    Questo passaggio è identico se si è in grado di accedere o meno alle pagine dello scanner nel portale di conformità. Per altre informazioni, vedere le istruzioni precedenti in questo articolo: Ottenere un token di Microsoft Entra per lo scanner.

  5. Eseguire il cmdlet Set-ScannerConfiguration per impostare lo scanner in modo che funzioni in modalità offline. Correre:

    Set-ScannerConfiguration -OnlineConfiguration Off
    
  6. Eseguire il cmdlet Set-ScannerContentScan per creare un processo di analisi del contenuto predefinito.

    L'unico parametro obbligatorio nel cmdlet Set-ScannerContentScan è Enforce. Tuttavia, è possibile definire altre impostazioni per il processo di analisi del contenuto in questo momento. Ad esempio:

    Set-ScannerContentScan -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    La sintassi precedente configura le impostazioni seguenti mentre si continua la configurazione:

    • Mantiene manuale la pianificazione dell'esecuzione dello scanner
    • Imposta i tipi di informazioni da individuare in base ai criteri dell'etichetta di riservatezza
    • Non applica criteri di etichetta di riservatezza
    • Etichetta automaticamente i file in base al contenuto, usando l'etichetta predefinita definita per i criteri dell'etichetta di riservatezza
    • Non consente la rietichettazione dei file
    • Mantiene i dettagli dei file durante l'analisi e l'etichettatura automatica, inclusa la data modificata, l'ultima modifica e la modifica in base ai valori
    • Imposta lo scanner per escludere i file .msg e .tmp durante l'esecuzione
    • Imposta il proprietario predefinito sull'account che si vuole usare quando si esegue lo scanner
  7. Usare il cmdlet Add-ScannerRepository per definire i repository da analizzare nel processo di analisi del contenuto. Ad esempio, eseguire:

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    Usare una delle sintassi seguenti, a seconda del tipo di repository che si sta aggiungendo:

    • Per una condivisione di rete, usare \\Server\Folder.
    • Per una raccolta di SharePoint, usare http://sharepoint.contoso.com/Shared%20Documents/Folder.
    • Per un percorso locale: C:\Folder
    • Per un percorso UNC: \\Server\Folder

    Nota

    I caratteri jolly non sono supportati e i percorsi WebDav non sono supportati.

    Per modificare il repository in un secondo momento, usare invece il cmdlet Set-ScannerRepository .

    Se si aggiunge un percorso di SharePoint per documenti condivisi:

    • Specificare Documenti condivisi nel percorso quando si desidera analizzare tutti i documenti e tutte le cartelle da Documenti condivisi. Ad esempio: http://sp2013/SharedDocuments
    • Specificare Documenti nel percorso quando si desidera analizzare tutti i documenti e tutte le cartelle da una sottocartella in Documenti condivisi. Ad esempio: http://sp2013/Documents/SalesReports
    • In alternativa, specificare solo il nome di dominio completo di SharePoint, ad esempio http://sp2013 per individuare ed analizzare tutti i siti e i siti secondari di SharePoint in un URL e sottotitoli specifici in questo URL. Concedere allo scanner i diritti di revisore dell'agente di raccolta siti per abilitarlo.

    Quando si aggiungono percorsi di SharePoint, usare la sintassi seguente:

    Percorso Sintassi
    Percorso radice http://<SharePoint server name>

    Analizza tutti i siti, incluse le raccolte siti consentite per l'utente dello scanner.
    Sito secondario o raccolta di SharePoint specifico Uno dei seguenti:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>
    Raccolta di SharePoint specifica Uno dei seguenti:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    Cartella di SharePoint specifica http://<SharePoint server name>/.../<folder name>

Continuare con i passaggi seguenti in base alle esigenze:

Usare PowerShell per configurare lo scanner per applicare la classificazione e la protezione

  1. Eseguire il cmdlet Set-ScannerContentScan per aggiornare il processo di analisi del contenuto per impostare la pianificazione su sempre e applicare i criteri di riservatezza.

    Set-ScannerContentScan -Schedule Always -Enforce On
    

    Consiglio

    È possibile modificare altre impostazioni in questo riquadro, ad esempio se gli attributi del file vengono modificati e se lo scanner può rietichettare i file. Per altre informazioni sulle impostazioni disponibili, vedere la documentazione completa di Set-ScannerContentScan.

  2. Eseguire il cmdlet Start-Scan per eseguire il processo di analisi del contenuto:

    Start-Scan
    

Lo scanner è ora pianificato per l'esecuzione continua. Quando lo scanner funziona attraverso tutti i file configurati, avvia automaticamente un nuovo ciclo in modo che tutti i file nuovi e modificati vengano individuati.

Usare PowerShell per configurare un criterio DLP con lo scanner

Eseguire di nuovo il cmdlet Set-ScannerContentScan con il parametro -EnableDLP impostato su On e con un proprietario del repository specifico definito.

Ad esempio:

Set-ScannerContentScan -EnableDLP On -RepositoryOwner 'domain\user'

Cmdlet di PowerShell supportati

Questa sezione elenca i cmdlet di PowerShell supportati per lo scanner di protezione delle informazioni e le istruzioni per la configurazione e l'installazione dello scanner solo con PowerShell.

I cmdlet supportati per lo scanner includono:

Passaggi successivi

Dopo aver installato e configurato lo scanner, avviare l'analisi dei file.