Erfahren Sie mehr über den Information Protection-Scanner.
Hinweis
Es gibt eine neue Version des Informationsschutzscanners. Weitere Informationen finden Sie unter Aktualisieren des Microsoft Purview Information Protection Scanners.
Verwenden Sie die Informationen in diesem Abschnitt, um mehr über den Microsoft Purview Information Protection-Scanner zu erfahren und dann, wie Sie ihn erfolgreich installieren, konfigurieren, ausführen und ggf. behandeln.
Dieser Scanner wird als Dienst unter Windows Server ausgeführt und ermöglicht es Ihnen, Dateien in den folgenden Datenspeichern zu ermitteln, zu klassifizieren und zu schützen:
UNC-Pfade für Netzwerkfreigaben, die die Protokolle SMB oder NFS (Vorschau) verwenden.
SharePoint-Dokumentbibliotheken und -Ordner für SharePoint Server 2019 über SharePoint Server 2013.
Um Ihre Dateien zu klassifizieren und zu schützen, verwendet der Scanner Vertraulichkeitsbezeichnungen, die im Microsoft Purview-Portal oder Microsoft Purview-Complianceportal konfiguriert sind.
Übersicht über den Scanner
Die Information Protection-Überprüfung kann alle Dateien überprüfen, die Windows indizieren kann. Wenn Sie Vertraulichkeitsbezeichnungen so konfigurieren, dass die automatische Klassifizierung angewendet wird, kann der Scanner ermittelte Dateien bezeichnen, um diese Klassifizierung anzuwenden, und optional den Schutz anwenden oder entfernen. Informationen zu den typen vertraulichen Informationen (SITs), die vom Information Protection-Scanner unterstützt werden, finden Sie unter Von Microsoft Purview Information Protection Scanner unterstützte Typen vertraulicher Informationen.
Die folgende Abbildung zeigt die Scannerarchitektur, in der der Scanner Dateien auf Ihren lokalen und SharePoint-Servern erkennt.
Um Ihre Dateien zu überprüfen, verwendet der Scanner IFilter, die auf dem Computer installiert sind. Um zu bestimmen, ob die Dateien beschriftet werden müssen, verwendet der Scanner Typen vertraulicher Informationen und Mustererkennung oder RegEx-Muster.
Der Scanner verwendet den Microsoft Purview Information Protection-Client und kann dieselben Dateitypen wie der Client klassifizieren und schützen. Weitere Informationen finden Sie unter Unterstützte Dateitypen.
Führen Sie eine der folgenden Aktionen aus, um Ihre Überprüfungen nach Bedarf zu konfigurieren:
- Führen Sie den Scanner nur im Ermittlungsmodus aus, um Berichte zu erstellen, die überprüfen, was passiert, wenn Ihre Dateien beschriftet sind.
- Führen Sie den Scanner aus, um Dateien mit vertraulichen Informationen zu ermitteln, ohne Bezeichnungen zu konfigurieren, die die automatische Klassifizierung anwenden.
- Führen Sie den Scanner automatisch aus , um Bezeichnungen wie konfiguriert anzuwenden.
- Definieren Sie eine Dateitypliste , um bestimmte Dateien anzugeben, die überprüft oder ausgeschlossen werden sollen.
Hinweis
Der Scanner erkennt und beschriftet nicht in Echtzeit. Dateien in den von Ihnen angegebenen Datenspeichern werden systematisch durchforstet. Konfigurieren Sie diesen Zyklus so, dass er einmal oder wiederholt ausgeführt wird.
Tipp
Der Scanner unterstützt Scannercluster mit mehreren Knoten, sodass Ihre organization horizontal hochskaliert werden kann, wodurch schnellere Scanzeiten und ein breiterer Umfang erzielt werden können.
Stellen Sie mehrere Knoten von Anfang an bereit, oder beginnen Sie mit einem Einzelknotencluster, und fügen Sie später weitere Knoten hinzu, wenn Sie wachsen. Stellen Sie mehrere Knoten bereit, indem Sie denselben Clusternamen und dieselbe Datenbank für das Cmdlet Install-Scanner verwenden.
Der Scanvorgang
Beim Scannen von Dateien führt die Information Protection-Überprüfung die folgenden Schritte aus:
1. Bestimmen Sie, ob Dateien zum Scannen eingeschlossen oder ausgeschlossen werden.
2. Überprüfen und bezeichnen Sie Dateien.
3. Bezeichnen Sie Dateien, die nicht überprüft werden können.
Weitere Informationen finden Sie unter Dateien, die vom Scanner nicht bezeichnet werden.
1. Bestimmen, ob Dateien zum Scannen eingeschlossen oder ausgeschlossen werden
Der Scanner überspringt automatisch Dateien, die von der Klassifizierung und dem Schutz ausgeschlossen sind, z. B. ausführbare Dateien und Systemdateien. Weitere Informationen finden Sie unter Ausgeschlossene Dateitypen.
Der Scanner berücksichtigt auch alle Dateilisten, die explizit zum Scannen oder Ausschließen von der Überprüfung definiert sind. Dateilisten gelten standardmäßig für alle Datenrepositorys und können auch nur für bestimmte Repositorys definiert werden.
Verwenden Sie zum Definieren von Dateilisten für die Überprüfung oder den Ausschluss die Einstellung Zu überprüfende Dateitypen im Auftrag für die Inhaltsüberprüfung. Zum Beispiel:
Weitere Informationen finden Sie unter Bereitstellen des Scanners zum automatischen Klassifizieren und Schützen von Dateien.
2. Überprüfen und Bezeichnen von Dateien
Nachdem ausgeschlossene Dateien identifiziert wurden, filtert der Informationsschutzscanner erneut, um Dateien zu identifizieren, die für die Überprüfung unterstützt werden.
Diese Filter sind dieselben, die vom Betriebssystem für Windows Search und Indizierung verwendet werden, und erfordern keine zusätzliche Konfiguration. Windows IFilter wird auch zum Überprüfen von Dateitypen verwendet, die von Word, Excel und PowerPoint sowie für PDF-Dokumente und Textdateien verwendet werden.
Eine vollständige Liste der dateitypen, die für die Überprüfung unterstützt werden, sowie weitere Anweisungen zum Konfigurieren von Filtern, die .zip und .tiff Dateien enthalten, finden Sie unter Zur Überprüfung unterstützte Dateitypen.
Nach der Überprüfung werden unterstützte Dateitypen mit den für Ihre Bezeichnungen angegebenen Bedingungen bezeichnet. Wenn Sie den Ermittlungsmodus verwenden, können diese Dateien entweder gemeldet werden, dass sie die bedingungen enthalten, die für Ihre Bezeichnungen angegeben sind, oder sie enthalten alle bekannten vertraulichen Informationstypen.
Beendete Scannerprozesse
Wenn der Scanner beendet wird, bevor eine Überprüfung auf eine große Anzahl von Dateien in Ihrem Repository abgeschlossen wird, müssen Sie möglicherweise die Anzahl der dynamischen Ports für das Betriebssystem erhöhen, das die Dateien hostet.
Beispielsweise ist die Serverhärtung für SharePoint ein Grund, warum der Scanner die Anzahl der zulässigen Netzwerkverbindungen überschreitet und daher beendet wird.
Um zu überprüfen, ob die Serverhärtung für SharePoint die Ursache für das Beenden des Scanners ist, überprüfen Sie die folgende Fehlermeldung in den Scannerprotokollen unter %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (mehrere Protokolle werden in eine ZIP-Datei komprimiert):
Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port
Weitere Informationen zum Anzeigen und Erhöhen des aktuellen Portbereichs bei Bedarf finden Sie unter Einstellungen, die geändert werden können, um die Netzwerkleistung zu verbessern.
Tipp
Bei großen SharePoint-Farmen müssen Sie möglicherweise den Schwellenwert für die Listenansicht erhöhen, der den Standardwert von 5.000 aufweist.
Weitere Informationen finden Sie unter Verwalten großer Listen und Bibliotheken in SharePoint.
3. Beschriftung von Dateien, die nicht überprüft werden können
Für alle Dateitypen, die nicht überprüft werden können, wendet der Scanner die Standardbezeichnung aus seiner Vertraulichkeitsbezeichnungsrichtlinie oder die für den Scanner konfigurierte Standardbezeichnung an.
Dateien, die vom Scanner nicht beschriftet sind
Der Scanner kann Dateien unter den folgenden Umständen nicht beschriften:
Wenn der Dateityp die Bezeichnung ohne Verschlüsselung nicht unterstützt. Eine Liste der Dateitypen, die für diese Bezeichnungskonfiguration unterstützt werden, finden Sie unter Vertraulichkeitsbezeichnungen ohne Verschlüsselung.
Wenn die Bezeichnung Verschlüsselung anwendet, aber der Scanner den Dateityp nicht unterstützt.
Standardmäßig verschlüsselt der Scanner nur Office-Dateitypen und PDF-Dateien, wenn sie mit dem ISO-Standard für die PDF-Verschlüsselung geschützt sind.
Andere Dateitypen können zur Verschlüsselung hinzugefügt werden, wenn Sie die zu schützenden Dateitypen ändern.
Beispiel: Nach der Überprüfung .txt Dateien kann der Scanner keine Bezeichnung anwenden, die keine Verschlüsselung anwendet, da der dateityp .txt keine Vertraulichkeitsbezeichnungen ohne Verschlüsselung unterstützt.
Wenn die Bezeichnung jedoch für die Anwendung der Verschlüsselung konfiguriert ist und der .txt Dateityp für den Scanner zum Schutz enthalten ist, kann der Scanner die Datei bezeichnen.
Nächste Schritte
Weitere Informationen zum Bereitstellen des Scanners finden Sie in den folgenden Artikeln:
- Voraussetzungen für die Scannerbereitstellung
- Konfigurieren und Installieren des Scanners
- Ausführen von Scans mithilfe des Scanners
Sie können PowerShell auch verwenden, um Dateien auf Ihrem Desktopcomputer interaktiv zu klassifizieren und zu schützen. Weitere Informationen zu diesem und anderen Szenarien, die PowerShell verwenden, finden Sie unter Einrichten des Information Protection-Clients mithilfe von PowerShell.