运行 Azure 信息保护经典扫描程序

“适用范围”:Azure 信息保护、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2

相关客户端适用于 Windows 的 Azure 信息保护经典客户端。 对于统一标记客户端,请参阅运行 Azure 信息保护扫描程序

注意

为了提供统一、简化的客户体验,我们计划于 2021 年 3 月 31 日停用 Azure 门户中的 Azure 信息保护经典客户端和标签管理。 不对经典客户端提供进一步支持,也不再发布维护版本。

  • 经典客户端将在 2022 年 3 月 31 日完全停用并停止运行。
  • 自 2022 年 3 月 18 日起,我们还将停用 AIP 审核日志和分析,完全停用日期为 2022 年 9 月 31 日。

有关详细信息,请参阅已删除和停用的服务

确认符合系统要求并且配置和安装扫描程序后,请运行发现扫描以开始操作。

使用下面详述的其他步骤来管理扫描的运行。

有关详细信息,请参阅部署 Azure 信息保护扫描程序以自动对文件进行分类和保护

运行发现周期并查看扫描程序报告

配置并安装扫描程序后,使用以下过程初步了解你的内容。

当你的内容更改时,请根据需要再次执行这些步骤。

  1. 在 Azure 门户上的“Azure 信息保护 - 内容扫描作业”窗格中选择你的内容扫描作业,然后选择“立即扫描”选项:

    Initiate scan for the Azure Information Protection scanner

    或者,在 PowerShell 会话中,运行以下命令:

    Start-AIPScan
    
  2. 等待扫描程序完成其周期。 在扫描程序已爬网式扫描完指定数据存储中的所有文件后,扫描即告完成。

    执行以下任一操作来监视扫描程序的进度:

    • 刷新扫描作业。 在“Azure 信息保护 - 内容扫描作业”窗格中,选择“刷新”。

      请等到“上次扫描结果”和“上次扫描(结束时间)”列中显示了值。

    • 使用 PowerShell 命令。 运行 Get-AIPScannerStatus 以监视状态变化。

    • 检查 Windows 事件日志。 检查名为“Azure 信息保护”的本地 Windows“应用程序和服务”事件日志。

      此日志还会报告扫描程序完成扫描的时间,包括结果摘要。 请查看信息事件 ID 911。 有关详细信息,请参阅扫描程序的事件日志 ID 和说明

  3. 扫描完成后,查看存储在 %localappdata%\Microsoft\MSIP\Scanner\Reports 目录中的报告。

    • .txt 摘要文件包括扫描所用的时间、扫描的文件数以及匹配信息类型的文件数量。

    • .csv 文件包含每个文件的更多详细信息。 此文件夹为每个扫描周期最多存储 60 个报表,并且压缩除最新报表之外的所有报表,以帮助最大程度地减少所需的磁盘空间。

初始配置指导你将“要发现的信息类型”设置为“仅策略”。 此配置意味着,只有符合为自动分类配置的条件的文件才会包含在详细报告中。

如果看不到任何已应用的标签,请检查标签配置是否包含了自动分类而不是建议的分类,或者启用“将建议的标记视为自动”(适用于扫描程序 2.7.x 和更高版本)。

如果结果仍与预期不符,可能需要重新配置你为标签指定的条件。 如果是这样,请根据需要重新配置条件并重复此过程,直到对结果满意为止。 然后自动更新配置,并选择性地更新保护设置。

在 Azure 门户中查看更新

扫描程序每隔 5 分钟向 Azure 信息保护发送此信息,这样你就可以准实时地在 Azure 门户中查看结果。 有关详细信息,请参阅 Azure 信息保护报表

Azure 门户仅显示有关上次扫描的信息。 如果需要查看先前扫描的结果,请返回到扫描程序计算机上存储的报表,它位于 %localappdata%\Microsoft\MSIP\Scanner\Reports 文件夹中。

更改日志级别或位置

ReportLevel 参数与 Set-AIPScannerConfiguration 配合使用来更改日志记录级别。

无法更改报告文件夹位置或名称。 若要将报告存储到其他位置,请考虑对文件夹使用目录接合。

例如,使用 Mklink 命令:mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\Reports

如果在完成初始配置和安装后执行了这些步骤,请继续阅读配置扫描程序以应用分类和保护

停止扫描

若要停止当前仍在运行的扫描,请使用以下方法之一:

  • Azure 门户。 选择“停止扫描”:

    Stop a scan for the Azure Information Protection scanner

  • 运行 PowerShell 命令。 运行下面的命令:

    Stop-AIPScan 
    

重新扫描文件

对于第一个扫描周期,扫描程序会检查所配置的数据存储中的所有文件。 对于后续扫描,只会检查新文件或已修改的文件。

如果你希望报告中包含所有文件,并且扫描程序是以发现模式运行的,则再次检查所有文件通常很有帮助。

使用以下方法之一对所有文件运行新的扫描:

手动运行完全重新扫描

根据需要通过 Azure 门户中的“Azure 信息保护 - 内容扫描作业”窗格强制扫描程序再次检查所有文件。

从列表中选择你的内容扫描作业,然后选择“重新扫描所有文件”选项:

Initiate rescan for the Azure Information Protection scanner

完成完全扫描后,扫描类型将自动更改为增量扫描,这样,后续扫描只会再次扫描新文件或已修改的文件。

通过刷新策略触发完全重新扫描

在以下场景中,每当扫描程序下载包含新条件或已更改的条件的 Azure 信息保护策略时,也会检查所有文件。

扫描程序每隔一小时自动刷新策略,另外,每当服务启动并且发现了策略生效时间已超过一小时,它也会自动刷新策略。

若要尽快刷新策略(例如在测试时),请手动删除 %LocalAppData%\Microsoft\MSIP 目录中的 Policy.msip 策略文件,然后重启 Azure 信息保护服务。

注意

如果你还更改了标签的保护设置,请从保存已更新的保护设置时开始算起额外等待 15 分钟,然后重启 Azure 信息保护服务。

排查扫描停止的问题

如果扫描程序在中途意外停止,并且未扫描完存储库中的大量文件,那么你可能需要修改以下设置之一:

  • 动态端口数。 可能需要增加这些文件所在的操作系统的动态端口数。 SharePoint 的服务器强化可能是导致扫描程序超出允许的网络连接数并因此停止的一个原因。

    若要检查这是否是导致扫描程序停止的原因,请检查 %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog 文件中是否针对扫描程序记录了以下错误消息。

    无法连接到远程服务器 --->System.Net.Sockets.SocketException:每个套接字地址(协议/网络地址/端口)通常只能使用一次 IP:端口

    注意

    如果有多个日志,此文件将被压缩。

    有关如何查看当前端口范围和增大范围的详细信息,请参阅为提高网络性能而可以修改的设置

  • 列表视图阈值。 对于大型 SharePoint 场,可能需要增大列表视图阈值。 列表视图阈值默认设置为 5,000。

    有关详细信息,请参阅在 SharePoint 中管理大型列表和库

使用扫描程序诊断工具进行故障排除

如果 Azure 信息扫描程序出现问题,请使用以下 PowerShell 命令验证部署是否正常:

Start-AIPScannerDiagnostics

该诊断工具将检查以下详细信息,然后导出包含结果的日志文件:

  • 数据库是否是最新的
  • 网络 URL 是否可访问
  • 是否存在有效的身份验证令牌,是否可以获取策略
  • 配置文件是否已在 Azure 门户中定义
  • 脱机/联机配置是否存在并可获取
  • 配置的规则是否有效

提示

如果以非扫描程序用户的身份运行该命令,请务必添加 -OnBehalf 参数。

注意

Start-AIPScannerDiagnostics 工具不会运行完整的先决条件检查。 如果扫描程序出现问题,另请确保系统符合扫描程序要求,并且已完成扫描程序的配置和安装

扫描程序的事件日志 ID 和说明

以下 AIP 扫描程序日志事件存储在名为“Azure 信息保护”的 Windows“应用程序和服务”事件日志中。

事件 ID 活动 说明
910 扫描程序周期已开始 当扫描程序服务已启动并开始扫描指定数据存储库中的文件时,会记录此事件。
911 扫描程序周期已完成 当扫描程序已完成手动扫描,或者完成持续计划的某个周期后,会记录此事件。

提示

如果扫描程序配置为手动运行而不是持续运行,若要再次扫描文件,请在内容扫描作业中将“计划”设置为“手动”或“始终”,然后重启服务。 有关详细信息,请参阅重新扫描文件

后续步骤