配置和安装 Azure 信息保护经典扫描程序

适用范围Azure 信息保护、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2

相关客户端适用于 Windows 的 Azure 信息保护经典客户端。 有关统一标记客户端的信息,请参阅安装和配置 AIP 统一标记扫描程序

注意

为了提供统一、简化的客户体验,我们计划于 2021 年 3 月 31 日停用 Azure 门户中的 Azure 信息保护经典客户端和标签管理。 不对经典客户端提供进一步支持,也不再发布维护版本。

  • 经典客户端将在 2022 年 3 月 31 日完全停用并停止运行。
  • 自 2022 年 3 月 18 日起,我们还将停用 AIP 审核日志和分析,完全停用日期为 2022 年 9 月 31 日。

有关详细信息,请参阅已删除和停用的服务

在开始配置和安装 Azure 信息保护扫描程序之前,请确保系统符合所需的先决条件

准备就绪后,继续执行以下步骤:

  1. 在 Azure 门户中配置扫描程序

  2. 安装扫描程序

  3. 获取扫描程序的 Azure AD 令牌

  4. 配置扫描程序以应用分类和保护

根据系统需要执行以下附加配置过程:

过程 说明
更改要保护的文件类型 你可能需要扫描、分类或保护非默认的文件类型。 有关详细信息,请参阅 AIP 扫描过程
升级扫描程序 升级扫描程序以利用最新的功能和改进。
批量编辑数据存储库设置 使用导入和导出选项对多个数据存储库进行批量更改。
使用采用替代配置的扫描程序 在不使用任何条件配置标签的情况下使用扫描程序
优化性能 有关优化扫描程序性能的指导

有关详细信息,另请参阅扫描程序的 cmdlet 列表

在 Azure 门户中配置扫描程序

在安装扫描程序或从扫描程序的早期正式发布版本升级扫描程序之前,请在 Azure 门户中为扫描程序创建群集和内容扫描作业。

然后,使用扫描程序设置和要扫描的数据存储库来配置群集和内容扫描作业。

配置扫描程序:

  1. 登录到 Azure 门户,导航到“Azure 信息保护”窗格。

    例如,在资源、服务和文档的搜索框中:开始键入“信息”并选择“Azure 信息保护”。

  2. 找到“扫描程序”菜单选项,然后选择“群集” 。

  3. 在“Azure 信息保护 - 群集”窗格中,选择“添加” :

    添加 Azure 信息保护扫描程序的内容扫描作业

  4. 在“添加新群集”窗格上:

    1. 为扫描程序指定一个有意义的名称。 此名称用于标识扫描程序的配置设置和要扫描的数据存储库。

      例如,可以指定“欧洲”来标识扫描程序将涵盖的数据存储库的地理位置。 以后安装或升级扫描程序时,将需要指定相同的群集名称。

    2. (可选)指定用于管理目的的说明,以帮助你标识扫描程序的群集名称。

    3. 选择“保存”。

  5. 找到“扫描程序”菜单选项,然后选择“内容扫描作业” 。

  6. 在“Azure 信息保护 - 内容扫描作业”窗格中,选择“添加” 。

  7. 对于此初始配置,请配置以下设置,然后选择“保存”,但不要关闭窗格:

    部分 设置
    内容扫描作业设置 - 计划:保留默认设置“手动”
    - 要发现的信息类型:更改为“仅策略”
    - 配置存储库:暂时不要配置,因为必须先保存内容扫描作业。
    敏感度策略 强制:选择“关闭”
    “基于内容标记文件”:保留默认设置(“开”)
    - “默认标签”:保留默认设置(“策略默认设置”)
    - “重新标记文件”:保留默认设置(“关”)- -
    配置文件设置 保留“修改日期”、“上次修改时间”和“修改者”:保留默认设置(“开”)
    - “要扫描的文件类型”:保留与“排除”相对应的默认文件类型
    - “默认所有者”:保留默认设置(“扫描程序帐户”)-
  8. 创建并保存内容扫描作业后,可以返回到“配置存储库”选项以指定要扫描的数据存储。

    指定 SharePoint 本地文档库和文件夹的 UNC 路径与 SharePoint Server URL。

    注意

    SharePoint 支持 SharePoint Server 2019、SharePoint Server 2016 和 SharePoint Server 2013。 具有对此版本 SharePoint 的延长支持时,还支持 SharePoint Server 2010。

    若要添加第一个数据存储,请在“添加新的内容扫描作业”窗格中,选择“配置存储库”打开“存储库”窗格:

    为 Azure 信息保护扫描程序配置数据存储库

  9. 在“存储库”窗格上,选择“添加”:

    为 Azure 信息保护扫描程序添加数据存储库

  10. 在“存储库”窗格中指定数据存储库的路径,然后选择“保存” 。

    例如:

    • 对于网络共享,请使用 \\Server\Folder
    • 对于 SharePoint 库,请使用 http://sharepoint.contoso.com/Shared%20Documents/Folder

    注意

    不支持通配符,也不支持 WebDav 位置。

    添加 SharePoint 路径时使用以下语法:

    路径 语法
    根路径 http://<SharePoint server name>

    扫描所有网站,包括允许扫描程序用户访问的任何网站集。
    需要
    才能自动发现根内容
    特定的 SharePoint 子网站或网站集 以下项之一:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    需要额外的权限才能自动发现网站集内容
    特定的 SharePoint 库 以下项之一:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    特定的 SharePoint 文件夹 http://<SharePoint server name>/.../<folder name>

    对于此窗格中的余下设置,请不要在此初始配置中更改这些设置,而是将其保留为“内容扫描作业默认值”。 使用默认设置意味着数据存储库将从内容扫描作业继承设置。

  11. 如果要添加其他数据存储库,请重复步骤 8 和 9。

  12. 关闭“存储库”窗格和“内容扫描作业”窗格 。

返回“Azure 信息保护 - 内容扫描作业”窗格,其中会显示内容扫描名称,以及显示为“手动”的“计划”列和空白的“强制”列 。

现已准备好使用创建的内容扫描程序作业来安装扫描程序。 继续安装扫描程序

安装扫描程序

在 Azure 门户中配置 Azure 信息保护扫描程序之后,执行以下步骤安装扫描程序:

  1. 登录到将要运行扫描程序的 Windows Server 计算机。 使用具有本地管理员权限并具有写入到 SQL Server master 数据库权限的帐户。

    重要

    有关详细信息,请参阅安装和部署 Azure 信息保护扫描程序的先决条件

  2. 使用“以管理员身份运行”选项打开 Windows PowerShell 会话

  3. 运行 Install-AIPScanner cmdlet,并指定要在其上创建 Azure 信息保护扫描程序数据库的 SQL Server 实例,以及在上一部分指定的扫描程序群集名称:

    Install-AIPScanner -SqlServerInstance <name> -Profile <cluster name>
    

    例如,使用配置文件名称“欧洲”

    • 对于默认实例:Install-AIPScanner -SqlServerInstance SQLSERVER1 -Profile Europe

    • 对于命名实例:Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Profile Europe

    • 对于 SQL Server Express:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Profile Europe

    出现提示时,请提供扫描程序服务帐户 (\<domain\user name>) 的凭据和密码。

  4. 使用“管理工具”“服务”验证服务现在是否已安装。

    已安装的服务被命名为 Azure信息保护扫描程序,并被配置为使用你创建的扫描程序服务帐户运行

安装扫描程序后,需要获取 Azure AD 令牌供扫描程序服务帐户用于身份验证,从而使扫描程序能够以无人参与的方式运行。

获取扫描程序的 Azure AD 令牌

借助 Azure AD 令牌,扫描程序可以对 Azure 信息保护服务进行身份验证。

如要获取 Azure AD 令牌,请执行以下操作:

  1. 返回 Azure 门户,创建两个 Azure AD 应用程序来指定用于身份验证的访问令牌。 此令牌允许扫描程序以非交互方式运行。

    有关详细信息,请参阅如何以非交互方式为 Azure 信息保护标记文件

  2. 在 Windows Server 计算机中,如果你的扫描程序服务帐户已就安装授予了“本地登录”权限,使用此帐户登录并启动 PowerShell 会话。

    运行 Set-AIPAuthentication,指定从上一步骤中复制的值:

    Set-AIPAuthentication -webAppId <ID of the "Web app / API" application> -webAppKey <key value generated in the "Web app / API" application> -nativeAppId <ID of the "Native" application>
    

    系统提示时,请为 Azure AD 的服务帐户凭据指定密码,然后单击“接受”

    例如:

    Set-AIPAuthentication -WebAppId "57c3c1c3-abf9-404e-8b2b-4652836c8c66" -WebAppKey "+LBkMvddz?WrlNCK5v0e6_=meM59sSAn" -NativeAppId "8ef1c873-9869-4bb1-9c11-8313f9d7f76f").token | clip
    Acquired application access token on behalf of the user
    

提示

如果无法向扫描程序服务帐户授予“本地登录”权限,请指定并使用 Set-AIPAuthentication 的令牌参数

现在,扫描程序提供用于对 Azure AD 进行身份验证的令牌,根据你在 Azure AD 中对 Web 应用/API 的配置,该令牌的有效期为一年、两年或从不有效。

如果令牌过期,则须重复步骤 1 和步骤 2。

现在可随时在发现模式下运行第一次扫描。 有关详细信息,请参阅运行发现周期并查看扫描程序的报告

如果已运行发现扫描,请继续阅读配置扫描程序以应用分类和保护

将扫描程序配置为应用分类和保护

默认设置将扫描程序配置为运行一次并采用仅限报告模式。

若要更改这些设置,请编辑内容扫描作业:

  1. 在 Azure 门户上的“Azure 信息保护 - 内容扫描作业”窗格中,选择群集和内容扫描作业以进行编辑。

  2. 在“内容扫描作业”窗格中更改以下设置,然后选择“保存”:

    • 在“内容扫描作业”部分:将“计划”更改为“始终”
    • 在“敏感度策略”部分:将“强制”更改为“打开”

    提示

    可能需要更改此窗格中的其他设置,例如,是否更改文件属性,以及扫描程序是否可以重新标记文件。 使用信息弹出通知帮助了解有关每个配置设置的详细信息。

  3. 请记下当前时间,并从“Azure 信息保护 - 内容扫描作业”窗格再次启动扫描程序:

    启动 Azure 信息保护扫描程序扫描

    或者,在 PowerShell 会话中运行以下命令:

    Start-AIPScan
    
  4. 若要查看标记的文件、应用了哪些分类以及是否应用了保护的报告,请监视事件日志中的信息类型 911 和最新的时间戳。

    检查报告以获取详细信息,或使用 Azure 门户查找此信息。

扫描程序现已计划为连续运行。 扫描程序在扫描完所有已配置的文件后,会自动启动一个新周期,以便发现任何新文件和已更改的文件。

更改要保护的文件类型

默认情况下,AIP 扫描程序仅保护 Office 文件类型和 PDF 文件。 若要更改此行为,例如,将扫描程序配置为像客户端那样保护所有文件类型,或配置为保护其他特定文件类型,请按如下所示编辑注册表:

  • 指定要保护的其他文件类型
  • 指定要应用的保护类型(本机或常规)

对于本文档中的开发人员,常规保护被称为“PFile”。

若要使受支持的文件类型与客户端保持一致(其中所有文件都自动使用本机或常规保护进行保护),请执行以下操作:

  1. 指定:

    • * 通配符作为注册表项
    • Encryption 作为值 (REG_SZ)
    • Default 作为值数据
  2. 验证 MSIPC 和 FileProtection 项是否存在 。 如果不存在,则手动创建它们,然后为每个文件扩展名创建一个子项。

    例如,除了 Office 文件和 PDF 之外,若要使扫描程序还保护 TIFF 图像,编辑后的注册表将如下所示:

    编辑扫描程序的注册表以应用保护

    注意

    作为图像文件,TIFF 文件支持本机保护,且生成的文件扩展名为 .ptiff。

    对于不支持本机保护的文件,请将文件扩展名指定为新密钥,并为 PFile 获取常规保护。 对于受保护的文件,生成的文件扩展名为 .pfile。

有关同样支持本机保护但必须在注册表中进行指定的文本和图像文件类型列表,请参阅分类和保护的支持文件类型

升级扫描程序

如果先前已安装扫描程序并想要进行升级,请参阅升级 Azure 信息保护扫描程序

然后,像往常一样配置使用扫描程序,但要跳过安装扫描程序的步骤。

注意

如果扫描程序的版本早于 1.48.204.0,但你尚未做好升级准备,请参阅部署以前版本的 Azure 信息保护扫描程序以自动对文件进行分类和保护

批量编辑数据存储库设置

使用“导出”和“导入”按钮可对多个存储库中的扫描程序进行更改 。

这样,就无需手动在 Azure 门户中进行多次相同的更改。

例如,如果你在多个 SharePoint 数据存储库中添加了新的文件类型,你可能希望批量更新这些存储库的设置。

若要跨存储库进行批量更改,请执行以下操作:

  1. 在 Azure 门户上的“存储库”窗格中,选择“导出”选项 。 例如:

    导出扫描程序的数据存储库设置

  2. 手动编辑导出的文件以进行更改。

  3. 使用同一页面上的“导入”选项将更新导入回到存储库。

使用具有备选配置的扫描程序

Azure 信息保护扫描程序通常会查找为标签指定的条件,以根据需要对内容进行分类和保护。

在以下方案中,Azure 信息保护扫描程序也可以扫描内容并管理标签,而无需配置任何条件:

将默认标签应用于数据存储库中的所有文件

在此配置中,将使用为存储库或内容扫描作业指定的默认标签来标记存储库中所有未标记的文件。 在不予以检查的情况下标记文件。

配置下列设置:

  • 基于内容标记文件:设置为“关闭”
  • 默认标签:设置为“自定义”,然后选择要使用的标签

标识所有自定义条件和已知敏感信息类型

使用此配置,你可以发现可能未意识到的敏感信息,但这会导致扫描程序的扫描速度降低。

将“要发现的信息类型”设置为“所有” 。

为了识别标记的条件和信息类型,扫描程序将使用为标签指定的自定义条件,以及可用于对标签进行指定的信息类型列表,如 Azure 信息保护策略中所列。

有关详细信息,请参阅快速入门:查找你拥有的敏感信息

优化扫描程序性能

注意

如果你正在寻求改善扫描程序计算机的响应速度而不是扫描程序性能,请使用一项高级客户端设置来限制扫描程序使用的线程数

使用以下选项和指导来帮助优化扫描程序性能:

选项 说明
在扫描程序计算机和被扫描的数据存储之间建立高速可靠的网络连接 例如,将扫描程序计算机放在与所扫描数据存储相同的 LAN 中,最好是放到同一网段中。

网络连接质量会影响扫描程序的性能,因为若要检查文件,扫描程序需将文件内容传输到运行扫描程序服务的计算机中。

减少或消除传输数据所需的网络跃点数还会降低网络上的负载。
确保扫描程序计算机具有可用的处理器资源 检查文件内容以及进行文件加密和解密是处理器密集型操作。

监视指定数据存储的典型扫描周期,以确定缺少处理器资源是否对扫描程序性能造成负面影响。
安装扫描程序的多个实例 指定扫描程序的自定义群集(配置文件)名称时,Azure 信息保护扫描程序支持同一 SQL Server 实例上的多个配置数据库。
授予特定权限并禁用低完整性级别 确认运行扫描程序的服务帐户只包含服务帐户要求中记录的权限。

然后,配置
以禁用扫描程序的低完整性级别。
检查备选配置使用情况 在使用备选配置将默认标签应用于所有文件时,扫描程序可以更快地运行,因为扫描程序不检查文件内容。

如果你使用
标识所有自定义条件和已知敏感信息类型,扫描程序的运行速度会更慢。
减少扫描程序超时 使用高级客户端设置减少扫描程序超时。减少扫描程序超时可提高扫描速度和降低内存消耗。

注意
:减少扫描程序超时意味着可能会跳过某些文件。

影响性能的其他因素

影响扫描程序性能的其他因素包括:

因子 说明
负载/响应时间 包含要扫描的文件的数据存储的当前负载和响应时间也会影响扫描程序性能。
扫描程序模式(发现/强制) 通常,发现模式具有比强制模式更高的扫描速度。

发现操作需要单一文件读取操作,而强制模式需要读取和写入操作。
策略更改 如果你已更改 Azure 信息保护策略中的条件,则扫描程序性能可能会受到影响。

在第一个扫描周期,扫描程序必须检查每个文件,而后续扫描周期默认仅检查新文件和更改的文件,因此第一个周期比后续周期耗时长。

如果更改条件,将再次扫描所有文件。 有关详细信息,请参阅重新扫描文件
正则表达式构造 自定义条件所用正则表达式的构造方式会影响扫描程序性能。

为避免占用过多内存并存在超时风险(每个文件 15 分钟),请查看正则表达式以了解有效的模式匹配。

例如:
- 避免贪婪限定符
- 使用非捕获组,例如 (?:expression) 而不是 (expression)
日志级别 日志级别选项包括适用于扫描程序报表的“调试”、“信息”、“错误”和“关闭”。“关闭”可产生最佳性能“调试”会显著减慢扫描程序的速度,应仅用于故障排除。

有关详细信息,请参阅
cmdlet 的 ReportLevel 参数。
正在扫描的文件 - Office 文件(Excel 文件除外)的扫描速度比 PDF 文件要快。

- 扫描未受保护的文件比扫描受保护的文件速度更快。

- 扫描大型文件明显比扫描小文件耗时更多。

适用于扫描程序的 cmdlet 列表

本部分列出了 Azure 信息保护扫描程序支持的 PowerShell cmdlet。

注意

Azure 信息保护扫描程序从 Azure 门户进行配置。 因此,在先前版本中用于配置数据存储库的 cmdlet 和扫描的文件类型列表现已弃用。

扫描程序支持的 cmdlet 包括:

后续步骤

安装并配置扫描程序后,开始扫描文件

另请参阅:部署 Azure 信息保护扫描程序以自动对文件进行分类和保护

详细信息

想了解 Microsoft 的 Core Services 工程和运行团队是如何实现此扫描程序的? 请阅读以下技术案例研究:使用 Azure 信息保护扫描程序自动执行数据保护

你可能想知道:Windows Server FCI 与 Azure 信息保护扫描程序有何区别?

还可在台式计算机中,利用 PowerShell 以交互方式对文件进行分类和保护。 要详细了解此方案及使用 PowerShell 的其他方案,请参阅将 PowerShell 与 Azure 信息保护客户端配合使用