Risolvere i problemi relativi alla distribuzione dello scanner di protezione delle informazioni
Nota
Lo scanner di etichettatura unificata di Azure Information Protection viene rinominato Microsoft Purview Information Protection scanner. Allo stesso tempo, la configurazione (attualmente in anteprima) viene spostata nel Portale di conformità di Microsoft Purview. Attualmente è possibile configurare lo scanner sia nel portale di Azure che nel portale di conformità. Le istruzioni in questo articolo si riferiscono a entrambi i portali di amministrazione.
Se si verificano problemi con lo scanner di microsoft preview Information Protection, verificare se la distribuzione è integra usando il cmdlet Start-AIPScannerDiagnostics di PowerShell per avviare lo strumento di diagnostica dello scanner:
Start-AIPScannerDiagnostics
Lo strumento di diagnostica controlla i dettagli seguenti e quindi crea un file di log con i risultati:
- Indica se il database è aggiornato
- Indica se gli URL di rete sono accessibili
- Se è presente un token di autenticazione valido e i criteri possono essere acquisiti
- Indica se il profilo è definito nel portale di Azure
- Se la configurazione offline/online esiste e può essere acquisita
- Indica se le regole configurate sono valide
Consiglio
- Se non si esegue lo strumento usando l'account del servizio usato per eseguire il servizio scanner, è necessario usare il
-OnBehalfparametro . In caso contrario, si verificano errori. - Per stampare gli ultimi 10 errori dal log dello scanner, aggiungere il
Verboseparametro . Se si desidera stampare altri errori, usareVerboseErrorCountper definire il numero di errori da stampare.
Il Start-AIPScannerDiagnostics comando non esegue un controllo completo dei prerequisiti. Se si verificano problemi con lo scanner, è anche necessario assicurarsi che il sistema sia conforme ai requisiti dello scanner e che la configurazione e l'installazione dello scanner siano complete.
Verificare i dettagli dell'analisi per nodo dello scanner e repository
Eseguire il cmdlet Di PowerShell Get-AIPScannerStatus per ottenere informazioni dettagliate sullo stato corrente dell'analisi e sull'elenco dei nodi nel cluster dello scanner.
PS C:\> Get-AIPScannerStatus
Cluster : contoso-test
ClusterStatus : Scanning
StartTime : 12/22/2020 9:05:02 AM
TimeFromStart : 00:00:00:37
NodesInfo : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}
Usare la NodesInfo variabile con il cmdlet Get-AIPScannerStatus per ottenere ulteriori dettagli su ogni nodo del cluster:
PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo
L'output visualizza i dettagli per ogni nodo di una tabella, come illustrato nell'esempio seguente:
NodeName Status IsScanning Summary
-------- -------- ---------- -------
t-contoso1-T298-corp.contoso.com Scanning True Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com Scanning Pending Microsoft.InformationProtection.Scanner.ScanSummaryData
Per eseguire ulteriormente il drill-down in ogni nodo, usare di nuovo la NodesInfo variabile, con l'intero del nodo che inizia con 0.
PS C:\Windows\system32> $x.NodesInfo[0].Summary
L'output visualizza i dettagli sulle analisi nel nodo selezionato, come illustrato nell'esempio seguente:
ScannerID : t-contoso1-T298-corp.contoso.com
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
Usare il Verbose parametro con il cmdlet Get-AIPScannerStatus per ottenere dati su un'analisi corrente.
PS C:\> Get-AIPScannerStatus -Verbose
ScannedFiles MBScanned CurrentScanSummary RepositoriesStatus
------------ --------- ------------------ ------------------
2280 78478187 Microsoft.InformationProtection.Scanner.ScanSummaryData {{ Path = C:\temp, Status = Scanning }
Usare le RepositoriesStatus variabili o CurrentScanSummary per eseguire il drill-down per altri dettagli sullo stato dei repository.
I possibili valori di stato del repository includono:
- Ignorato, se il repository è stato ignorato
- In sospeso, se l'analisi corrente non ha ancora avviato l'analisi del repository
- Analisi, se l'analisi corrente è in esecuzione nel repository
- Completato, se l'analisi corrente è stata completata in esecuzione nel repository
Esempio: usare la variabile RepositoriesStatus
PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus
Path Status
---- ------
C:\temp Scanning
Esempio: usare la variabile CurrentScanSummary
PS C:\Windows\system32> $x.CurrentScanSummary
ScannerID :
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
Questo output mostra solo un singolo repository. Se sono presenti più repository, ognuno verrà elencato separatamente.
Informazioni di riferimento sugli errori dello scanner
La tabella seguente fornisce informazioni sui messaggi di errore specifici generati dallo scanner e fornisce azioni per risolvere il problema associato:
| Tipo di errore | Risoluzione dei problemi |
|---|---|
| Errori di autenticazione | |
| Errori dei criteri | |
| Errori di database/schema | |
| Altri errori |
Token di autenticazione non accettato
Messaggio di errore
Microsoft.InformationProtection.Exceptions.AccessDeniedException: il servizio non ha accettato il token di autenticazione.
Descrizione
Il comando Set-AIPAuthentication non è riuscito.
Risoluzione
Verificare che le autorizzazioni appropriate siano definite correttamente nel portale di Azure.
Per altre informazioni, vedere Creare e configurare applicazioni Microsoft Entra per Set-AIPAuthentication.
Token di autenticazione mancante
Messaggi di errore
-
NoAuthTokenException: l'applicazione client non è riuscita a fornire il token di autenticazione per la richiesta HTTP
-
Microsoft.InformationProtection.Exceptions.NoAuthTokenException: l'applicazione client non è riuscita a fornire il token di autenticazione per la richiesta HTTP. Errore con: System.AggregateException: si sono verificati uno o più errori. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: è stata rilevata una delle due condizioni seguenti: 1. Il flag PromptBehavior.Never è stato passato, ma non è stato possibile rispettare il vincolo, perché era necessaria l'interazione dell'utente. 2. Errore durante un'autenticazione Web invisibile all'utente che impediva il completamento del flusso di autenticazione HTTP in un intervallo di tempo sufficiente
-
Impossibile acquisire un token usando l'autenticazione integrata di Windows (nessun SSO)
Dalla portale di Azure nella pagina Nodi:
I criteri non includono alcuna condizione di etichettatura automatica
Descrizione
Questi errori di autenticazione si verificano quando lo scanner viene eseguito in modo non interattivo.
Risoluzione
È necessario eseguire l'autenticazione usando un token usando il cmdlet Set-AIPAuthentication .
Quando si esegue il cmdlet Set-AIPAuthentication, assicurarsi di usare il parametro token per conto dell'account del servizio usato per eseguire il servizio scanner, come illustrato nell'esempio seguente:
$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.
Per altre informazioni, vedere Ottenere un token di Microsoft Entra per lo scanner.
Criteri mancanti
Messaggio di errore
Criteri mancanti
Descrizione
Lo scanner non è in grado di trovare il file dei criteri dell'etichetta di riservatezza.
Risoluzione
Per verificare che il file dei criteri esista come previsto, controllare il percorso seguente: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3.
Per altre informazioni sulle etichette di riservatezza e sui relativi criteri di etichetta, vedere Creare e configurare le etichette di riservatezza e i relativi criteri.
I criteri non includono le condizioni di etichettatura automatica
Messaggio di errore
Condizioni di etichettatura mancanti per i criteri
Descrizione
Ai criteri di etichettatura mancano le condizioni di etichettatura automatica.
Risoluzione
Configurare le seguenti impostazioni:
| Impostazione | Passaggi per configurare le impostazioni |
|---|---|
| Impostazioni del processo di analisi del contenuto | Nel portale di Azure eseguire le operazioni seguenti: |
| Impostazioni dei criteri di etichettatura | Nel Portale di conformità di Microsoft Purview eseguire le operazioni seguenti: |
Se le impostazioni sono già definite come previsto, il file dei criteri stesso potrebbe essere mancante o inaccessibile, ad esempio quando si verifica un timeout dalla Portale di conformità di Microsoft Purview.
Per verificare il file dei criteri, verificare che esista il file seguente: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3
Per altre informazioni, vedere Informazioni sullo scanner di etichettatura unificata di Azure Information Protection e Informazioni sulle etichette di riservatezza.
Errori del database
Messaggio di errore
Errore del database
Descrizione
Lo scanner non è in grado di connettersi al database.
Risoluzione
Controllare la connettività di rete tra il computer scanner e il database.
Assicurarsi inoltre che l'account del servizio usato per eseguire i processi dello scanner disponga di tutte le autorizzazioni necessarie per accedere al database.
Schema non corrispondente o obsoleto
Messaggio di errore
Uno dei seguenti:
-
SchemaMismatchException
Nella portale di Azure nella pagina Nodi:
Lo schema del database non è aggiornato. Eseguire Update-AIPScanner comando per aggiornare lo schema del database
Errore: lo schema del database non è aggiornato
Descrizione
Lo schema del database non è aggiornato.
Risoluzione
Eseguire il cmdlet Update-AIPScanner per risincronizzare lo schema e assicurarsi che sia aggiornato con eventuali modifiche recenti.
La connessione sottostante è stata chiusa
Messaggi di errore
System.Net.WebException: la connessione sottostante è stata chiusa: si è verificato un errore imprevisto durante un'invio. >--- System.IO.IOException: l'autenticazione non è riuscita perché la parte remota ha chiuso il flusso di trasporto.
[System.Net.Http.HttpRequestException: si è verificato un errore durante l'invio della richiesta. >--- System.Net.WebException: la connessione sottostante è stata chiusa: si è verificato un errore imprevisto durante un'invio. >--- System.IO.IOException: impossibile leggere i dati dalla connessione di trasporto: una connessione esistente è stata chiusa forzatamente dall'host remoto. >--- System.Net.Sockets.SocketException: una connessione esistente è stata chiusa forzatamente dall'host remoto.
Descrizione
Questi errori indicano che TLS 1.2 non è abilitato.
Risoluzione
Per abilitare TLS 1.2, vedere:
- Firewall e requisiti dell'infrastruttura di rete
- Come abilitare TLS 1.2
- Abilitare il supporto di TLS 1.1 e TLS 1.2 in Office Online Server
Processi dello scanner bloccati
Messaggio di errore
Non viene visualizzato alcun messaggio di errore, ma il timeout dello scanner.
Descrizione
Lo scanner sta elaborando un singolo file per un tempo più lungo del previsto o si arresta in modo imprevisto durante l'analisi di un numero elevato di file in un repository. Il processo dello scanner potrebbe essere bloccato.
Risoluzione
Modificare una delle impostazioni seguenti:
Numero di porte dinamiche. Potrebbe essere necessario aumentare il numero di porte dinamiche per il sistema operativo che ospita i file. La protezione avanzata del server per SharePoint può essere uno dei motivi per cui lo scanner supera il numero di connessioni di rete consentite e si arresta.
Per informazioni su come visualizzare l'intervallo di porte corrente e aumentare l'intervallo, vedere Impostazioni che possono essere modificate per migliorare le prestazioni di rete.
Soglia visualizzazione elenco. Per le farm di SharePoint di grandi dimensioni, potrebbe essere necessario aumentare la soglia della visualizzazione elenco. Per impostazione predefinita, la soglia di visualizzazione elenco è impostata su 5.000.
Per informazioni sull'aumento della soglia, vedere Gestire elenchi e raccolte di grandi dimensioni in SharePoint.
Se il problema persiste, controllare il report dettagliato per determinare se le dimensioni del file aumentano.
Se le dimensioni del file continuano ad aumentare, lo scanner sta ancora elaborando i dati ed è necessario attendere fino a quando non viene completato.
Se le dimensioni del file non aumentano più, eseguire le operazioni seguenti:
Eseguire i seguenti cmdlet:
- Cmdlet Start-AIPScannerDiagnostics : per eseguire controlli di diagnostica sullo scanner ed esportare e comprimere i file di log per individuare eventuali errori rilevati.
- Cmdlet Export-AIPLogs : per esportare e creare una versione .zip dei file di log dalla directory %localappdata%\Microsoft\MSIP\Logs .
Creare un file di dump per il servizio Scanner MSIP. In Gestione attività Windows fare clic con il pulsante destro del mouse sul servizio Scanner MSIP e scegliere Crea file di dump.
Nel portale di Azure arrestare l'analisi.
Nel computer scanner riavviare il servizio.
Aprire un ticket di supporto e allegare i file di dump dal processo dello scanner.
Impossibile connettersi al server remoto
Messaggio di errore
Nel file MSIPScanner.iplog in %localappdata%\Microsoft\MSIP\Logs\:
Impossibile connettersi al server remoto ---> System.Net.Sockets.SocketException: è in genere consentito un solo utilizzo di ogni indirizzo socket (protocollo/indirizzo di rete/porta) IP:porta
Se sono presenti più log, il file MSIPScanner.iplog sarà un file .zip.
Descrizione
Lo scanner ha superato il numero di connessioni di rete consentite.
Risoluzione
Aumentare il numero di porte dinamiche per il sistema operativo che ospita i file.
Per informazioni su come visualizzare l'intervallo di porte corrente e aumentare l'intervallo, vedere Impostazioni che possono essere modificate per migliorare le prestazioni di rete.
Processo o profilo di analisi del contenuto mancante
Messaggio di errore
Nella portale di Azure nella pagina Nodi:
Nessun processo di analisi del contenuto trovato
Descrizione
Questo errore si verifica quando non è possibile trovare il processo o il profilo di analisi del contenuto.
Risoluzione
Controllare la configurazione dello scanner nel portale di Azure.
Per altre informazioni, vedere Configurazione e installazione dello scanner di etichettatura unificata di Azure Information Protection.
Nota: Un profilo è un termine dello scanner legacy che è stato sostituito dal cluster dello scanner e dal processo di analisi del contenuto nelle versioni più recenti dello scanner.
Nessun repository configurato
Messaggio di errore
Nella pagina Nodi del portale di amministrazione:
Nessun repository configurato
Descrizione
È possibile che sia stato eseguito un processo di analisi del contenuto senza repository configurati.
Risoluzione
Controllare le impostazioni del processo di analisi del contenuto e aggiungere almeno un repository.
Per altre informazioni, vedere Creare un processo di analisi del contenuto.
Nessun cluster trovato
Messaggio di errore
Nella pagina Nodi del portale di amministrazione:
Nessun cluster trovato
Descrizione
Nessuna corrispondenza effettiva trovata per uno dei cluster di scanner definiti.
Risoluzione
Verificare la configurazione del cluster e verificarla in base ai dettagli del sistema per individuare errori e errori di digitazione.
Per altre informazioni, vedere Creare un cluster di scanner.
Ulteriori informazioni
Procedure consigliate per la distribuzione e l'uso dello scanner AIP UL.