安装和部署 Azure 信息保护经典扫描程序的先决条件

  • 项目

适用范围Azure 信息保护、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2

相关客户端适用于 Windows 的 Azure 信息保护经典客户端。 有关统一标记扫描程序,请参阅统一标记扫描程序先决条件

注意

为了提供统一、简化的客户体验,我们计划于 2021 年 3 月 31 日停用 Azure 门户中的 Azure 信息保护经典客户端和标签管理。 不对经典客户端提供进一步支持,也不再发布维护版本。

  • 经典客户端将在 2022 年 3 月 31 日完全停用并停止运行。
  • 自 2022 年 3 月 18 日起,我们还将停用 AIP 审核日志和分析,完全停用日期为 2022 年 9 月 31 日。

有关详细信息,请参阅已删除和停用的服务

在安装 Azure 信息保护本地扫描程序之前,请确保你的系统符合基本的 Azure 信息保护要求以及以下特定于扫描程序的要求:

如果由于组织策略禁止而无法满足表中的所有要求,请参阅备用配置部分。

在生产环境中部署扫描程序或者在测试多个扫描程序的性能时,请参阅 SQL Server 的存储要求和容量规划

准备好开始安装和部署扫描程序时,请继续阅读部署 Azure 信息保护扫描程序以自动对文件进行分类和保护

Windows Server 要求

必须提供一台 Windows Server 计算机来运行扫描程序,该计算机的系统规格如下:

规范 详细信息
处理器 4 核处理器
RAM 8 GB
磁盘空间 临时文件 10 GB 可用空间(平均)。

扫描程序需要足够的磁盘空间,才能为其扫描的每个文件(每个核心四个文件)创建临时文件。

借助建议的 10 GB 磁盘空间,4 核处理器可以扫描 16 个文件,每个文件的大小为 625 MB。
操作系统 - Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2

注意:要在非生产环境中进行测试或评估,也可以使用
任何 Windows 操作系统。
网络连接 扫描程序计算机可以是能够快速可靠地与要扫描的数据存储建立网络连接的物理或虚拟计算机。

如果由于组织策略方面的原因而无法建立 Internet 连接,请参阅


否则,请确保此计算机能够建立一种允许通过 HTTPS(端口 443)访问以下 URL 的 Internet 连接:

- *.aadrm.com
- *.azurerms.com
- *.informationprotection.azure.com
- informationprotection.hosting.portal.azure.net
- *.aria.microsoft.com

服务帐户要求

必须有一个服务帐户,才能在 Windows Server 计算机上运行扫描程序服务,以及向 Azure AD 进行身份验证和下载 Azure 信息保护策略。

此服务帐户必须是已同步到 Azure AD 的 Active Directory 帐户。

如果由于组织策略方面的原因而无法同步此帐户,请参阅部署采用替代配置的扫描程序

此服务帐户有以下要求:

要求 详细信息
“本地登录”用户权限分配 安装和配置扫描程序需要此权限,但运行扫描时则不需要。

确认扫描程序可以发现、保护文件以及对其进行分类后,可以从服务帐户中删除此权限。

如果由于组织策略方面的原因而无法授予此权限(哪怕只是授予很短的一段时间),请参阅
作为服务登录的用户权限分配。 扫描程序安装过程中会自动将此权限授予服务帐户,此权限是安装、配置和操作扫描程序所必需的。
对数据存储库的权限 - 文件共享或本地文件- :授予“读取”、“写入”和“修改”权限,以便扫描文件,然后根据配置应用分类和保护。

- SharePoint- :授予“完全控制”权限,以便能够扫描文件,然后根据配置应用分类和保护。

- 发现模式- :若要仅在发现模式下运行扫描程序,则授予“读取”权限便已足够。
对于用于重新保护或删除保护的标签 为了确保扫描程序始终能够访问受保护的文件,请将此帐户设为“Azure 信息保护”的超级用户,并确保已启用超级用户功能。

此外,如果对分阶段部署实施了
,请确保该服务帐户已包含在你配置的加入控制措施中。

SQL 服务器要求

若要存储扫描程序配置数据,请使用一台满足以下要求的 SQL 服务器:

  • 本地或远程实例。

    建议在不同的计算机上托管 SQL 服务器和扫描程序服务,除非处理的是小型部署。 此外,我们建议使用一个专用 SQL 实例来仅为扫描程序数据库提供服务,该实例不与其他应用程序共享。

    如果在共享服务器上操作,请确保建议的核心数能使扫描程序数据库顺畅运行。

    SQL Server 2012 是以下版本的最低版本:

    • SQL Server Enterprise
    • SQL Server Standard
    • SQL Server Express(建议仅用于测试环境)

  • 一个具有 Sysadmin 角色的帐户,该角色可安装扫描程序。

    这能使安装过程自动创建扫描程序配置数据库,并向运行扫描程序的服务帐户授予所需的 db_owner 角色。

    如果无法为你授予 Sysadmin 角色,或者组织策略要求手动创建和配置数据库,请参阅部署采用替代配置的扫描程序

  • 容量。 有关容量指导,请参阅 SQL Server 的存储要求和容量规划

  • 不区分大小写的排序规则

注意

为扫描程序指定自定义群集(配置文件)名称时,支持在同一台 SQL 服务器上使用多个配置数据库。

SQL Server 的存储要求和容量规划

扫描程序配置数据库所需的磁盘空间量以及运行 SQL Server 的计算机的规格因每个环境而异,因此我们建议你自行进行测试。 请使用以下指导作为起点。

有关详细信息,请参阅优化扫描程序的性能

配置数据库的磁盘大小因每种部署而异。 建议为要扫描的每 1,000,000 个文件分配 500 MB。

对于每个扫描程序,使用:

  • 4 核处理器
  • 8 GB RAM(最少 4 GB)

Azure 信息保护客户端要求

必须在 Windows Server 计算机上安装 Azure 信息保护客户端。

有关详细信息,请参阅经典客户端管理员指南

重要

必须安装扫描程序的完整客户端。 请勿安装只带有 PowerShell 模块的客户端。

标签配置要求

必须将标签配置为自动应用分类和(可选)保护。

如果未配置这些标签,请参阅部署采用替代配置的扫描程序

有关详情,请参阅:

提示

可使用教程中的说明来测试带有标签的扫描程序,在准备好的 Word 文档中查找信用卡号。 但是,你需要更改标签配置,以使选项“选择应用此标签的方式”设置为“自动”,而不是“建议”或“将建议标记视为自动”(在扫描程序版本 2.7.x.x 和更高版本中可用) 。

然后从文档中删除标签(如果已应用),并将文件复制到扫描程序的数据存储库。

SharePoint 要求

若要扫描 SharePoint 文档库和文件夹,请确保 SharePoint 服务器符合以下要求:

  • 支持的版本。 支持的版本包括:SharePoint 2019、SharePoint 2016 和 SharePoint 2013。 扫描程序不支持其他版本的 SharePoint。

  • 版本管理。 使用版本控制时,扫描程序会检查并标记上次发布的版本。 如果扫描程序标记了某个文件,并且内容审批是必需的,则标记的文件必须经过批准才可供用户使用。

  • 大型 SharePoint 场。 对于大型 SharePoint 场,请检查是否需要增加列表视图阈值(默认为 5,000),以便扫描程序访问所有文件。 有关详细信息,请参阅在 SharePoint 中管理大型列表和库

Microsoft Office 要求

若要扫描 Office 文档,文档必须采用以下格式之一:

  • Microsoft Office 97-2003
  • 适用于 Word、Excel 和 PowerPoint 的 Office Open XML 格式

有关详细信息,请参阅 Azure 信息保护客户端支持的文件类型

文件路径要求

若要扫描文件,文件路径的最大长度必须为 260 个字符,除非扫描程序安装在 Windows 2016 上,并且计算机配置为支持长路径

Windows 10 和 Windows Server 2016 通过以下组策略设置支持大于 260 个字符的路径长度:“本地计算机策略”>“计算机配置”>“管理模板”>“所有设置”>“启用 Win32 长路径”

有关支持长文件路径的详细信息,请参阅 Windows 10 开发人员文档中的最大路径长度限制一节。

使用备用配置部署扫描程序

上面列出的先决条件是针对扫描程序部署的默认要求,并且是建议的要求,因为若要支持最简单的扫描程序配置,就必须满足这些要求。

默认要求应该适用于初始测试,使你可以检查扫描程序的功能。

但是,在生产环境中,组织的策略可能会禁止这些默认要求。 扫描程序可以通过附加的配置来适应以下限制:

限制:扫描程序服务器无法连接到 Internet

若要支持断开连接的计算机,请执行以下步骤:

  1. 配置仅应用分类的标签,或应用使用 HYOK 保护的保护。

    在没有 Internet 连接的情况下,扫描程序无法使用组织的基于云的密钥来应用保护、删除保护或检查受保护文件。 相反,扫描程序仅限于使用仅应用分类的标签,或应用使用 HYOK 保护的保护。

    有关详细信息,请参阅对已断开连接计算机的支持

  2. 通过创建一个扫描程序群集,在 Azure 门户中配置扫描程序。 如果需要此步骤的帮助,请参阅在 Azure 门户中配置扫描程序

  3. 在“Azure 信息保护 - 内容扫描作业”窗格中使用“导出”选项导出内容作业。

  4. 在 PowerShell 会话中,运行 Import-AIPScannerConfiguration,并指定包含导出设置的文件。

限制:无法获得 Sysadmin 角色,或必须手动创建和配置数据库

如果可以暂时向你授予 Sysadmin 角色来安装扫描程序,则在扫描程序安装完成后,你可以删除此角色。

根据组织的要求执行以下操作之一:

  • 你可以暂时获得 Sysadmin 角色。 如果你可以暂时获得 Sysadmin 角色,则系统会自动创建数据库,并且会向扫描程序的服务帐户自动授予所需的权限。

    但是,用于配置扫描程序的用户帐户仍需拥有扫描程序配置数据库的 db_owner 角色。 如果你只能在扫描程序安装完成之后才会获得 Sysadmin 角色,请手动向用户帐户授予 db_owner 角色。

  • 你根本不拥有 Sysadmin 角色。 如果无法向你授予 Sysadmin 角色(哪怕是暂时性的授予),则在安装扫描程序之前,必须请求一个拥有 Sysadmin 权限的用户手动创建数据库。

    对于此配置,必须向以下帐户分配 db_owner 角色:

    • 扫描程序的服务帐户

    • 用于安装扫描程序的用户帐户

    • 用于配置扫描程序的用户帐户

    用于安装和配置扫描程序的用户帐户通常是相同的。 如果使用不同的帐户,它们都需要拥有扫描程序配置数据库的 db_owner 角色。 请根据需要创建此用户并授予权限。

    如果没有为扫描程序指定自己的群集(配置文件)名称,则会将配置数据库命名为 AIPScanner_计算机名称>。
    继续

此外:

  • 你必须是运行扫描程序的服务器上的本地管理员

  • 必须在以下注册表项中向运行扫描程序的服务帐户授予“完全控制”权限:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

如果在配置这些权限后安装扫描程序时出现错误,可以忽略该错误并手动启动扫描程序服务。

手动填充数据库

使用以下脚本填充数据库:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

手动创建用户并授予 db_owner 权限

若要创建用户并授予对此数据库的 db_owner 权限,请要求 Sysadmin 执行以下操作:

  1. 为扫描程序创建数据库:

    **CREATE DATABASE AIPScannerUL_[clustername]**

**ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**

  2. 向运行安装命令并用于运行扫描程序管理命令的用户授予权限。

    SQL 脚本:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

  3. 向扫描程序服务帐户授予权限。

    SQL 脚本:

    if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END

限制:无法向扫描程序的服务帐户授予“本地登录”权限

如果组织策略禁止向服务帐户授予“在本机登录”权限,但允许授予“作为批处理作业登录”权限,请参阅指定和使用 Set-AIPAuthentication 的令牌参数

限制:扫描程序服务帐户无法同步到 Azure Active Directory,但服务器可以连接到 Internet

可以使用一个帐户来运行扫描程序服务,并使用另一个帐户对 Azure Active Directory 进行身份验证:

限制:标签不附带自动标记条件

如果标签不附带任何自动标记条件,请在配置扫描程序时计划使用以下选项之一:

选项 说明
发现所有信息类型 内容扫描作业中,将“要发现的信息类型”选项设置为“所有”。

此选项会将内容扫描作业设置为在内容中扫描所有敏感信息类型。
定义默认标签 策略内容扫描作业存储库中定义默认标签。

在这种情况下,扫描程序将对找到的所有文件应用默认标签。

后续步骤

确认系统符合扫描程序先决条件后,请继续部署 Azure 信息保护扫描程序以自动对文件进行分类和保护

有关扫描程序的概述,请参阅部署 Azure 信息保护扫描程序以自动对文件进行分类和保护

详细信息

想了解 Microsoft 的 Core Services 工程和运行团队是如何实现此扫描程序的? 请阅读以下技术案例研究:使用 Azure 信息保护扫描程序自动执行数据保护

你可能想知道:Windows Server FCI 与 Azure 信息保护扫描程序有何区别?

还可在台式计算机中,利用 PowerShell 以交互方式对文件进行分类和保护。 有关此方案以及使用 PowerShell 的其他方案的详细信息,请参阅将 PowerShell 与 Azure 信息保护经典客户端配合使用