Resolución de problemas con la implementación del analizador de information Protection

• Se aplica a:

  Microsoft Purview

Nota:

El analizador de etiquetado unificado de Azure Information Protection ahora se denomina analizador de Microsoft Purview Information Protection. Al mismo tiempo, la configuración (actualmente en versión preliminar) se traslada al portal de cumplimiento Microsoft Purview. Actualmente, puede configurar el analizador tanto en Azure Portal como en el portal de cumplimiento. Las instrucciones de este artículo hacen referencia a los dos portales de administración.

Si tiene problemas con el analizador de Microsoft Purview Information Protection, compruebe si la implementación está en buen estado mediante el cmdlet Start-ScannerDiagnostics de PowerShell para iniciar la herramienta de diagnóstico del analizador:

Start-ScannerDiagnostics

La herramienta de diagnóstico comprueba los detalles siguientes y, a continuación, crea un archivo de registro con los resultados:

• Si la base de datos está actualizada
• Si se puede acceder a las direcciones URL de red
• Si hay un token de autenticación válido y se puede adquirir la directiva
• Si el perfil se define en Azure Portal
• Si existe una configuración sin conexión o en línea y se puede adquirir
• Si las reglas configuradas son válidas

Sugerencia

• Si no ejecuta la herramienta mediante la cuenta de servicio que se usa para ejecutar el servicio del analizador, debe usar el -OnBehalf parámetro . De lo contrario, se producirán errores.
• Para imprimir los últimos 10 errores del registro del analizador, agregue el Verbose parámetro . Si desea imprimir más errores, use VerboseErrorCount para definir el número de errores que desea imprimir.

El Start-ScannerDiagnostics comando no ejecuta una comprobación completa de requisitos previos. Si tiene problemas con el analizador, también debe asegurarse de que el sistema cumple con los requisitos del analizador y que la configuración y la instalación del analizador se han completado.

Comprobación de los detalles de examen por nodo y repositorio del analizador

Ejecute el cmdlet de PowerShell Get-ScanStatus para obtener detalles sobre el estado actual del examen y la lista de nodos del clúster del analizador.

PS C:\> Get-ScanStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

Use la NodesInfo variable con el cmdlet Get-ScanStatus para obtener más detalles sobre cada nodo del clúster:

PS C:\WINDOWS\system32> $x=Get-ScanStatus
PS C:\WINDOWS\system32> $x.NodesInfo

La salida muestra los detalles de cada nodo de una tabla, como se muestra en el ejemplo siguiente:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Para profundizar más en cada nodo, use la NodesInfo variable de nuevo, con el entero de nodo a partir de 0.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

La salida muestra los detalles sobre los exámenes en el nodo seleccionado, como se muestra en el ejemplo siguiente:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Use el Verbose parámetro con el cmdlet Get-ScanStatus para obtener datos sobre un examen actual.

PS C:\> Get-ScanStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

Use las RepositoriesStatus variables o CurrentScanSummary para profundizar más para obtener más detalles sobre el estado de los repositorios.

Entre los posibles valores de estado del repositorio se incluyen los siguientes:

• Omitido, si se omitió el repositorio
• Pendiente, si el examen actual aún no ha empezado a examinar el repositorio
• Examen, si el examen actual se está ejecutando en el repositorio
• Finalizado, si el examen actual se ha completado en ejecución en el repositorio

Ejemplo: usar la variable RepositoriesStatus

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

Ejemplo: usar la variable CurrentScanSummary

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Esta salida muestra solo un único repositorio. Si hay varios repositorios, cada uno se mostrará por separado.

Referencia de error del analizador

En la tabla siguiente se proporciona información sobre mensajes de error específicos generados por el analizador y se proporcionan acciones para corregir el problema asociado:

Tipo de error	Solución de problemas
Errores de autenticación	Token de autenticación no aceptado Falta el token de autenticación
Errores de directiva	Falta la directiva La directiva no incluye ninguna condición de etiquetado automático
Errores de base de datos o esquema	Errores de base de datos: Esquema no coincidente o obsoleto
Otros errores	Se cerró la conexión subyacente Procesos de escáner bloqueados No se puede conectar al servidor remoto Falta trabajo o perfil de examen de contenido No hay repositorios configurados No se encontró ningún clúster

No se aceptó el token de autenticación.

Mensaje de error

Microsoft.InformationProtection.Exceptions.AccessDeniedException: el servicio no aceptó el token de autenticación.

Descripción

Error en el comando Set-Authentication .

Resolución

Compruebe que los permisos adecuados se definen correctamente en Azure Portal.

Para obtener más información, consulte Creación y configuración de aplicaciones de Microsoft Entra para Set-Authentication.

Falta el token de autenticación.

Mensajes de error

• NoAuthTokenException: la aplicación cliente no pudo proporcionar el token de autenticación para la solicitud HTTP.

• Microsoft.InformationProtection.Exceptions.NoAuthTokenException: la aplicación cliente no pudo proporcionar el token de autenticación para la solicitud HTTP. Error con: System.AggregateException: se han producido uno o varios errores. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: se encontró una de las dos condiciones: 1. Se pasó la marca PromptBehavior.Never, pero no se pudo respetar la restricción porque se requería la interacción del usuario. 2. Error durante una autenticación web silenciosa que impedía que el flujo de autenticación http se completara en un período de tiempo lo suficientemente corto.

• No se pudo adquirir un token mediante la autenticación integrada de Windows (no SSO)

• En Azure Portal, en la página Nodos :

  La directiva no incluye ninguna condición de etiquetado automático

Descripción

Estos errores de autenticación se producen cuando el analizador se ejecuta de forma no interactiva.

Resolución

Debe autenticarse mediante un token mediante el cmdlet Set-Authentication .

Al ejecutar el cmdlet Set-Authentication, asegúrese de usar el parámetro de token en nombre de la cuenta de servicio que se usa para ejecutar el servicio de escáner, como se muestra en el ejemplo siguiente:

$pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Para obtener más información, consulte Obtener un token de Microsoft Entra para el analizador.

Falta la directiva

Mensaje de error

Falta la directiva

Descripción

El analizador no puede encontrar el archivo de directiva de etiqueta de confidencialidad.

Resolución

Para comprobar que el archivo de directiva existe según lo previsto, compruebe la siguiente ubicación: %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3.

Para obtener más información sobre las etiquetas de confidencialidad y sus directivas de etiquetas, consulte Creación y configuración de etiquetas de confidencialidad y sus directivas.

La directiva no incluye condiciones de etiquetado automático

Mensaje de error

Faltan condiciones de etiquetado de directivas

Descripción

Faltan las condiciones de etiquetado automáticas de la directiva de etiquetado.

Resolución

Configure las siguientes opciones:

Setting	Pasos para configurar las opciones
Configuración del trabajo de examen de contenido	En Azure Portal, realice lo siguiente: Establezca los tipos de información que se detectarán en Todos. Definir una etiqueta predeterminada que se va a aplicar al examinar
Configuración de directivas de etiquetado	En el portal de cumplimiento Microsoft Purview, haga lo siguiente: Definición de una etiqueta de confidencialidad predeterminada Configuración del etiquetado automático o recomendado

Si la configuración ya está definida como se esperaba, es posible que falte o no se pueda acceder al archivo de directiva, por ejemplo, cuando se ha agotado el tiempo de espera de la portal de cumplimiento Microsoft Purview.

Para comprobar el archivo de directiva, compruebe que existe el siguiente archivo: %localappdata%\Microsoft\MSIP\mip\MSIP.MSIP. Scanner.exe\mip\mip.policies.sqlite3

Para más información, consulte ¿Qué es el analizador de etiquetado unificado de Azure Information Protection? y Obtenga información sobre las etiquetas de confidencialidad.

Errores de base de datos

Mensaje de error

Error de base de datos

Descripción

El analizador no puede conectarse a la base de datos.

Resolución

Compruebe la conectividad de red entre el equipo del analizador y la base de datos.

Además, asegúrese de que la cuenta de servicio que se usa para ejecutar procesos del analizador tiene todos los permisos necesarios para acceder a la base de datos.

Esquema no coincidente o obsoleto

Mensaje de error

Uno de los siguientes:

• SchemaMismatchException

• En Azure Portal, en la página Nodos :

  El esquema de base de datos no está actualizado. Ejecute el comando Update-ScannerDatabase para actualizar el esquema de la base de datos.
  Error: El esquema de base de datos no está actualizado

Descripción

El esquema de la base de datos no está actualizado.

Resolución

Ejecute el cmdlet Update-ScannerDatabase para volver a sincronizar el esquema y asegúrese de que está actualizado con los cambios recientes.

Se cerró la conexión subyacente

Mensajes de error

System.Net.WebException: se cerró la conexión subyacente: se produjo un error inesperado en un envío. >--- System.IO.IOException: error de autenticación porque la entidad remota ha cerrado la secuencia de transporte.

[System.Net.Http.HttpRequestException: error al enviar la solicitud. >--- System.Net.WebException: se cerró la conexión subyacente: se produjo un error inesperado en un envío. >--- System.IO.IOException: no se pueden leer los datos de la conexión de transporte: el host remoto cerró forzadamente una conexión existente. >--- System.Net.Sockets.SocketException: el host remoto cerró forzadamente una conexión existente.

Descripción

Estos errores indican que TLS 1.2 no está habilitado.

Resolución

Para habilitar TLS 1.2, consulte:

• Firewalls y requisitos de infraestructura de red
• Cómo habilitar TLS 1.2
• Habilitar la compatibilidad con TLS 1.1 y TLS 1.2 en Office Online Server

Procesos del escáner bloqueados

Mensaje de error

No se muestra ningún mensaje de error, pero el analizador agota el tiempo de espera.

Descripción

El analizador está procesando un único archivo durante un tiempo más largo del esperado o se detiene inesperadamente mientras examina un gran número de archivos en un repositorio. Es posible que el proceso del escáner esté bloqueado.

Resolución

Modifique una de las siguientes opciones de configuración:

• Número de puertos dinámicos. Es posible que tenga que aumentar el número de puertos dinámicos para el sistema operativo que hospeda los archivos. La protección del servidor para SharePoint puede ser una razón por la que el analizador supera el número de conexiones de red permitidas y se detiene.

  Para obtener información sobre cómo ver el intervalo de puertos actual y aumentar el intervalo, consulte Configuración que se puede modificar para mejorar el rendimiento de la red.

• Umbral de vista de lista. Para granjas de sharePoint grandes, es posible que tenga que aumentar el umbral de la vista de lista. De forma predeterminada, el umbral de vista de lista se establece en 5000.

  Para obtener información sobre cómo aumentar el umbral, vea Administrar bibliotecas y listas de gran tamaño en SharePoint.

Si el problema sigue apareciendo, compruebe el informe detallado para determinar si el archivo está aumentando de tamaño.

Si el tamaño del archivo sigue aumentando, el analizador sigue procesando los datos y debe esperar hasta que haya terminado.

Si el archivo ya no aumenta de tamaño, haga lo siguiente:

1. Ejecute los siguientes cmdlets:

   • Cmdlet Start-ScannerDiagnostics : para ejecutar comprobaciones de diagnóstico en el analizador y exportar y comprimir archivos de registro para detectar errores que se encuentren.
   • Cmdlet Export-DebugLogs : para exportar y crear una versión .zip de los archivos de registro desde el directorio %localappdata%\Microsoft\MSIP\Logs .

2. Cree un archivo de volcado para el servicio MsIP Scanner. En el Administrador de tareas de Windows, haga clic con el botón derecho en el servicio Analizador de MSIP y seleccione Crear archivo de volcado.

3. En Azure Portal, detenga el examen.

4. En la máquina del analizador, reinicie el servicio.

5. Abra una incidencia de soporte técnico y adjunte los archivos de volcado del proceso del analizador.

No se puede conectar con el servidor remoto.

Mensaje de error

En el archivo MSIPScanner.iplog ubicado en %localappdata%\Microsoft\MSIP\Logs\:

No se puede conectar al servidor remoto ---> System.Net.Sockets.SocketException: normalmente solo se permite un uso de cada dirección de socket (protocolo,dirección de red/puerto)

Si hay varios registros, el archivo MSIPScanner.iplog será un archivo .zip.

Descripción

El analizador ha superado el número de conexiones de red permitidas.

Resolución

Aumente el número de puertos dinámicos para el sistema operativo que hospeda los archivos.

Para obtener información sobre cómo ver el intervalo de puertos actual y aumentar el intervalo, consulte Configuración que se puede modificar para mejorar el rendimiento de la red.

Falta el trabajo o el perfil de examen de contenido.

Mensaje de error

En Azure Portal, en la página Nodos :

No se encontró ningún trabajo de examen de contenido

Descripción

Este error se produce cuando no se encuentra el trabajo o el perfil del examen de contenido.

Resolución

Compruebe la configuración del analizador en Azure Portal.

Para más información, consulte Configuración e instalación del analizador de etiquetado unificado de Azure Information Protection.

Nota: Un perfil es un término de escáner heredado que se ha reemplazado por el clúster del analizador y el trabajo de examen de contenido en versiones más recientes del analizador.

No hay repositorios configurados.

Mensaje de error

En el portal de administración, en la página Nodos :

No hay repositorios configurados

Descripción

Es posible que tenga un trabajo de examen de contenido sin repositorios configurados.

Resolución

Compruebe la configuración del trabajo de examen de contenido y agregue al menos un repositorio.

Para más información, vea Creación de un trabajo de examen de contenido.

No se encontró ningún clúster.

Mensaje de error

En el portal de administración, en la página Nodos :

No se encontró ningún clúster.

Descripción

No se encontró ninguna coincidencia real para uno de los clústeres del analizador que ha definido.

Resolución

Compruebe la configuración del clúster y compruébala con sus propios detalles del sistema para ver si hay errores y errores.

Para obtener más información, consulte Creación de un clúster de escáner.

Más información

Procedimientos recomendados para implementar y usar el escáner ul de AIP.