什么是 Azure 信息保护经典扫描程序?
适用于:Azure 信息保护、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
注意
为了提供统一、简化的客户体验,我们计划于 2021 年 3 月 31 日停用 Azure 门户中的 Azure 信息保护经典客户端和标签管理。 不对经典客户端提供进一步支持,也不再发布维护版本。
- 经典客户端将在 2022 年 3 月 31 日完全停用并停止运行。
- 自 2022 年 3 月 18 日起,我们还将停用 AIP 审核日志和分析,完全停用日期为 2022 年 9 月 31 日。
有关详细信息,请参阅已删除和停用的服务。
使用本部分中的信息来了解 Azure 信息保护经典客户端扫描程序,然后了解如何成功进行安装、配置和运行,并在必要时对其进行故障排除。
AIP 扫描程序在 Windows Server 上作为服务运行,使你能够发现、分类和保护以下数据存储中的文件:
使用服务器消息块 (SMB) 协议的网络共享的 UNC 路径。
SharePoint Server 2013 至 SharePoint Server 2019 的 SharePoint 文档库和文件夹。
Azure 信息保护经典扫描程序概述
AIP 扫描程序可以检查任何可由 Windows 编制索引的文件。 如果你已配置应用自动分类的标签,则扫描程序可以标记已发现的文件以应用这种分类,并可选择性地应用或删除保护。
下图显示了 AIP 扫描程序体系结构,扫描程序将在其中发现本地和 SharePoint 服务器中的文件。
为了检查文件,扫描程序将使用计算机上安装的 IFilter。 为了确定文件是否需要标记,扫描程序将使用 Microsoft 365 内置的数据丢失防护 (DLP) 敏感度信息类型和模式检测,或 Microsoft 365 正则表达式模式。
扫描程序使用 Azure 信息保护客户端,前者可以分类和保护的文件类型与后者相同。 有关详细信息,请参阅 Azure 信息保护客户端支持的文件类型。
根据需要执行以下任一操作来配置扫描:
- 仅在发现模式下运行扫描程序,以创建报告来检查在标记文件后发生了什么情况。
- 在不配置应用自动分类的标签的情况下,运行扫描程序来发现包含敏感信息的文件。
- 自动运行扫描程序,以根据配置应用标签。
- 定义文件类型列表,以指定要扫描或排除的特定文件。
注意
该扫描程序并非实时执行发现和标记, 而是系统性地对指定数据存储中的文件进行爬网式扫描。 可将此周期配置为运行一次或重复运行。
AIP 扫描过程
扫描文件时,AIP 扫描程序将执行以下每个步骤:
注意
有关详细信息,请参阅扫描程序不标记的文件。
1.确定文件是包括在扫描范围内还是排除在扫描范围外
扫描程序自动跳过从分类和保护中排除的文件,如可执行文件和系统文件。 有关详细信息,请参阅从分类和保护中排除的文件类型。
扫描程序还会考虑任何已显式定义为要扫描或者要排除在扫描范围外的文件。 文件列表默认适用于所有数据存储库,也可以仅为特定的存储库定义文件列表。
若要定义要扫描或排除的文件列表,请在内容扫描作业中使用“要扫描的文件类型”设置。 例如:
有关详细信息,请参阅部署 Azure 信息保护扫描程序以自动对文件进行分类和保护。
2.检查文件并为其设置标签
识别要排除的文件后,扫描程序将再次筛选以识别支持检查的文件。
这些附加筛选器与操作系统对 Windows 搜索和索引使用的筛选器相同,无需额外的配置。 Windows IFilter 还用于扫描 Word、Excel 和 PowerPoint 使用的文件类型,以及 PDF 文档和文本文件。
有关支持检查的文件类型的完整列表,以及有关将筛选器配置为包含 .zip 和 .tiff 文件的附加说明,请参阅支持检查的文件类型。
检查后,将使用针对标签指定的条件来标记支持的文件类型。 如果使用发现模式,那么这些文件可以报告为包含针对标签指定的条件,或者报告为包含任何已知的敏感信息类型。
3.无法检查的标签文件
对于无法检查的任何文件类型,AIP 扫描程序将应用 Azure 信息保护策略中的默认标签,或者为扫描程序配置的默认标签。
扫描程序不标记的文件
在以下情况下,AIP 扫描程序无法标记文件:
当标签应用分类但不应用保护,并且相应文件类型不支持客户端仅应用分类时。 有关详细信息,请参阅经典客户端文件类型。
当标签应用分类和保护,但扫描程序不支持相应文件类型时。
默认情况下,扫描程序仅保护 Office 文件类型,以及 PDF 文件(使用 ISO PDF 加密标准进行保护时)。
更改要保护的文件类型时,可以添加其他类型的文件进行保护。
示例:检查 .txt 文件后,扫描程序无法应用仅为了分类而配置的标签,因为 .txt 文件类型不支持“仅分类”。
但是,如果将标签配置为用于分类和保护,并且已包含 .txt 文件类型来让扫描程序提供保护,则扫描程序可以标记该文件。
后续步骤
有关部署扫描程序的详细信息,请参阅以下文章:
详细信息:
想了解 Microsoft 的 Core Services 工程和运行团队是如何实现此扫描程序的? 请阅读以下技术案例研究:使用 Azure 信息保护扫描程序自动执行数据保护。
还可在台式计算机中,利用 PowerShell 以交互方式对文件进行分类和保护。 要详细了解此方案及使用 PowerShell 的其他方案,请参阅将 PowerShell 与 Azure 信息保护客户端配合使用。