Problemen met de implementatie van de scanner voor gegevensbeveiliging oplossen

• Van toepassing op:

  Microsoft Purview

Notitie

De geïntegreerde labelscanner van Azure Information Protection wordt Microsoft Purview Informatiebeveiliging scanner hernoemd. Tegelijkertijd wordt de configuratie (momenteel in preview) verplaatst naar de Microsoft Purview-nalevingsportal. Op dit moment kunt u de scanner configureren in zowel De Azure-portal als de complianceportal. Instructies in dit artikel verwijzen naar beide beheerportals.

Als u problemen ondervindt met de Microsoft Purview Informatiebeveiliging scanner, controleert u of uw implementatie in orde is met behulp van de PowerShell-cmdlet Start-ScannerDiagnostics om het diagnostisch hulpprogramma voor scanners te starten:

Start-ScannerDiagnostics

Het diagnostische hulpprogramma controleert de volgende gegevens en maakt vervolgens een logboekbestand met de resultaten:

• Of de database up-to-date is
• Of netwerk-URL's toegankelijk zijn
• Of er een geldig verificatietoken is en of het beleid kan worden verkregen
• Of het profiel is gedefinieerd in Azure Portal
• Of er een offline-/onlineconfiguratie bestaat en kan worden verkregen
• Of de geconfigureerde regels geldig zijn

Tip

• Als u het hulpprogramma niet uitvoert met het serviceaccount dat wordt gebruikt om de scannerservice uit te voeren, moet u de -OnBehalf parameter gebruiken. Anders treden er fouten op.
• Als u de laatste 10 fouten uit het scannerlogboek wilt afdrukken, voegt u de Verbose parameter toe. Als u meer fouten wilt afdrukken, gebruikt u de VerboseErrorCount optie om het aantal fouten te definiëren dat u wilt afdrukken.

De Start-ScannerDiagnostics opdracht voert geen volledige controle van vereisten uit. Als u problemen ondervindt met de scanner, moet u er ook voor zorgen dat uw systeem voldoet aan de scannervereisten en dat de configuratie en installatie van de scanner is voltooid.

Scandetails per scannerknooppunt en opslagplaats controleren

Voer de PowerShell-cmdlet Get-ScanStatus uit om details over de huidige scanstatus en de lijst met knooppunten in uw scannercluster op te halen.

PS C:\> Get-ScanStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

Gebruik de NodesInfo variabele met de cmdlet Get-ScanStatus voor meer informatie over elk knooppunt in het cluster:

PS C:\WINDOWS\system32> $x=Get-ScanStatus
PS C:\WINDOWS\system32> $x.NodesInfo

In de uitvoer worden details weergegeven voor elk knooppunt in een tabel, zoals wordt weergegeven in het volgende voorbeeld:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Als u verder wilt inzoomen op elk knooppunt, gebruikt u de NodesInfo variabele opnieuw, waarbij het gehele knooppunt begint met 0.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

In de uitvoer worden de details van de scans op het geselecteerde knooppunt weergegeven, zoals wordt weergegeven in het volgende voorbeeld:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Gebruik de Verbose parameter met de cmdlet Get-ScanStatus om gegevens over een huidige scan op te halen.

PS C:\> Get-ScanStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

Gebruik de RepositoriesStatus of de CurrentScanSummary variabelen om verder in te zoomen voor meer informatie over de status van de opslagplaatsen.

Mogelijke waarden voor de status van de opslagplaats zijn:

• Overgeslagen als de opslagplaats is overgeslagen
• In behandeling als de huidige scan nog niet is begonnen met het scannen van de opslagplaats
• Scannen, als de huidige scan wordt uitgevoerd in de opslagplaats
• Voltooid als de huidige scan is uitgevoerd op de opslagplaats

Voorbeeld: de variabele RepositorysStatus gebruiken

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

Voorbeeld: de variabele CurrentScanSummary gebruiken

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

In deze uitvoer wordt slechts één opslagplaats weergegeven. Als er meerdere opslagplaatsen zijn, wordt elke opslagplaats afzonderlijk weergegeven.

Verwijzing naar scannerfouten

De volgende tabel bevat informatie over specifieke foutberichten die door de scanner worden gegenereerd en bevat acties om het bijbehorende probleem op te lossen:

Fouttype	Probleemoplossing
Verificatiefouten	Verificatietoken niet geaccepteerd Verificatietoken ontbreekt
Beleidsfouten	Beleid ontbreekt Beleid bevat geen voorwaarde voor automatisch labelen
DB-/schemafouten	Databasefouten Niet-overeenkomend of verouderd schema
Overige fouten	Onderliggende verbinding is gesloten Vastgelopen scannerprocessen Kan geen verbinding maken met externe server Ontbrekende inhoudsscantaak of -profiel Er zijn geen opslagplaatsen geconfigureerd Geen cluster gevonden

Verificatietoken niet geaccepteerd

Foutbericht

Microsoft.InformationProtection.Exceptions.AccessDeniedException: De service heeft het verificatietoken niet geaccepteerd.

Beschrijving

De opdracht Set-Authentication is mislukt.

Oplossing

Verfy dat de juiste machtigingen juist zijn gedefinieerd in Azure Portal.

Zie Microsoft Entra-toepassingen maken en configureren voor Set-Authentication voor meer informatie.

Verificatietoken ontbreekt

Foutberichten

• NoAuthTokenException: Clienttoepassing kan geen verificatietoken opgeven voor HTTP-aanvraag

• Microsoft.InformationProtection.Exceptions.NoAuthTokenException: Clienttoepassing kan geen verificatietoken opgeven voor HTTP-aanvraag. Mislukt met: System.AggregateException: een of meer fouten zijn opgetreden. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: Er is een van de twee voorwaarden aangetroffen: 1. De vlag PromptBehavior.Never is doorgegeven, maar de beperking kan niet worden gehonoreerd, omdat gebruikersinteractie is vereist. 2. Er is een fout opgetreden tijdens een stille webverificatie waardoor de http-verificatiestroom niet binnen een kort tijdsbestek kan worden voltooid

• Kan geen token verkrijgen met geïntegreerde Windows-verificatie (geen eenmalige aanmelding)

• Ga in Azure Portal naar de pagina Knooppunten :

  Beleid bevat geen voorwaarde voor automatische labels

Beschrijving

Deze verificatiefouten treden op wanneer de scanner niet interactief wordt uitgevoerd.

Oplossing

U moet verifiëren met behulp van een token met behulp van de cmdlet Set-Authentication .

Wanneer u de cmdlet Set-Authentication uitvoert, moet u ervoor zorgen dat u de tokenparameter gebruikt namens het serviceaccount dat wordt gebruikt om de scannerservice uit te voeren, zoals wordt weergegeven in het volgende voorbeeld:

$pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Zie Een Microsoft Entra-token voor de scanner ophalen voor meer informatie.

Beleid ontbreekt

Foutbericht

Beleid ontbreekt

Beschrijving

De scanner kan het beleidsbestand voor vertrouwelijkheidslabels niet vinden.

Oplossing

Als u wilt controleren of uw beleidsbestand bestaat zoals verwacht, controleert u de volgende locatie: %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3.

Zie Vertrouwelijkheidslabels en hun beleid maken en configureren voor meer informatie over vertrouwelijkheidslabels en hun labelbeleid.

Beleid bevat geen voorwaarden voor automatisch labelen

Foutbericht

Er ontbreken labelvoorwaarden voor beleid

Beschrijving

In het labelbeleid ontbreken voorwaarden voor automatisch labelen.

Oplossing

Configureer de volgende instellingen:

Instelling	Stappen voor het configureren van instellingen
Instellingen voor inhoudsscantaak	Ga als volgt te werk in Azure Portal: Stel de gegevenstypen in opAlles Een standaardlabel definiëren dat moet worden toegepast bij het scannen
Beleidsinstellingen voor labelen	Ga als volgt te werk in de Microsoft Purview-nalevingsportal: Een standaard vertrouwelijkheidslabel definiëren Automatische/aanbevolen labeling configureren

Als de instellingen al zijn gedefinieerd zoals verwacht, ontbreekt het beleidsbestand mogelijk niet of is het niet toegankelijk, bijvoorbeeld wanneer er een time-out is opgetreden in de Microsoft Purview-nalevingsportal.

Controleer of het volgende bestand bestaat om uw beleidsbestand te controleren: %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3

Zie Wat is de geïntegreerde labelscanner van Azure Information Protection? en Meer informatie over vertrouwelijkheidslabels voor meer informatie.

Databasefouten

Foutbericht

DB-fout

Beschrijving

De scanner kan geen verbinding maken met de database.

Oplossing

Controleer de netwerkverbinding tussen de scannercomputer en de database.

Zorg er bovendien voor dat het serviceaccount dat wordt gebruikt voor het uitvoeren van scannerprocessen alle machtigingen heeft die nodig zijn voor toegang tot de database.

Niet-overeenkomend of verouderd schema

Foutbericht

Een van de volgende:

• SchemaMismatchException

• Klik in Azure Portal op de pagina Knooppunten :

  DB-schema is niet up-to-date. De opdracht Update-ScannerDatabase uitvoeren om het DB-schema bij te werken
  Fout: DB-schema is niet up-to-date

Beschrijving

Het databaseschema is niet up-to-date.

Oplossing

Voer de cmdlet Update-ScannerDatabase uit om uw schema opnieuw te synchroniseren en ervoor te zorgen dat het up-to-date is met recente wijzigingen.

Onderliggende verbinding is gesloten

Foutberichten

System.Net.WebException: De onderliggende verbinding is gesloten: er is een onverwachte fout opgetreden bij een verzendactie. >--- System.IO.IOException: Verificatie is mislukt omdat de externe partij de transportstroom heeft gesloten.

[System.Net.Http.HttpRequestException: er is een fout opgetreden tijdens het verzenden van de aanvraag. >--- System.Net.WebException: De onderliggende verbinding is gesloten: er is een onverwachte fout opgetreden tijdens een verzendactie. >--- System.IO.IOException: Kan geen gegevens lezen uit de transportverbinding: een bestaande verbinding is geforceerd gesloten door de externe host. >--- System.Net.Sockets.SocketException: Een bestaande verbinding is geforceerd gesloten door de externe host.

Beschrijving

Deze fouten geven aan dat TLS 1.2 niet is ingeschakeld.

Oplossing

Als u TLS 1.2 wilt inschakelen, raadpleegt u:

• Vereisten voor firewalls en netwerkinfrastructuur
• TLS 1.2 inschakelen
• Schakel ondersteuning voor TLS 1.1 en TLS 1.2 in Office Online Server in

Vastgelopen scannerprocessen

Foutbericht

Er wordt geen foutbericht weergegeven, maar er treedt een time-out op voor de scanner.

Beschrijving

De scanner verwerkt één bestand langer dan verwacht of stopt onverwacht tijdens het scannen van een groot aantal bestanden in een opslagplaats. Het scannerproces is mogelijk vastgelopen.

Oplossing

Wijzig een van de volgende instellingen:

• Aantal dynamische poorten. Mogelijk moet u het aantal dynamische poorten verhogen voor het besturingssysteem dat als host fungeert voor de bestanden. Serverbeveiliging voor SharePoint kan een van de redenen zijn waarom de scanner het aantal toegestane netwerkverbindingen overschrijdt en stopt.

  Zie Instellingen die kunnen worden gewijzigd om de netwerkprestaties te verbeteren voor meer informatie over het weergeven van het huidige poortbereik en het verhogen van het bereik.

• Drempelwaarde voor lijstweergave. Voor grote SharePoint-farms moet u mogelijk de drempelwaarde voor de lijstweergave verhogen. De drempelwaarde voor lijstweergave is standaard ingesteld op 5000.

  Zie Grote lijsten en bibliotheken beheren in SharePoint voor meer informatie over het verhogen van de drempelwaarde.

Als het probleem zich nog steeds voordoet, controleert u het gedetailleerde rapport om te bepalen of het bestand groter wordt.

Als de bestandsgrootte blijft toenemen, verwerkt de scanner nog steeds gegevens en moet u wachten totdat deze is voltooid.

Als het bestand niet langer groter wordt, gaat u als volgt te werk:

1. Voer de volgende cmdlets uit:

   • Cmdlet Start-ScannerDiagnostics : voor het uitvoeren van diagnostische controles op uw scanner en het exporteren en zip-logboekbestanden voor eventuele fouten die zijn gevonden.
   • Cmdlet Export-DebugLogs : als u een .zip versie van de logboekbestanden wilt exporteren en maken vanuit de map %localappdata%\Microsoft\MSIP\Logs .

2. Maak een dumpbestand voor de MSIP Scanner-service. Klik in Windows Taakbeheer met de rechtermuisknop op de MSIP Scanner-service en selecteer Dumpbestand maken.

3. Stop de scan in Azure Portal.

4. Start de service opnieuw op de scannercomputer.

5. Open een ondersteuningsticket en voeg de dumpbestanden toe vanuit het scannerproces.

Kan geen verbinding maken met externe server

Foutbericht

In het bestand MSIPScanner.iplog onder %localappdata%\Microsoft\MSIP\Logs\:

Kan geen verbinding maken met de externe server ---> System.Net.Sockets.SocketException: slechts één gebruik van elk socketadres (protocol/netwerkadres/poort) is normaal gesproken toegestaan IP:poort

Als er meerdere logboeken zijn, is msIPScanner.iplog-bestand een .zip bestand.

Beschrijving

De scanner heeft het aantal toegestane netwerkverbindingen overschreden.

Oplossing

Verhoog het aantal dynamische poorten voor het besturingssysteem dat als host fungeert voor de bestanden.

Zie Instellingen die kunnen worden gewijzigd om de netwerkprestaties te verbeteren voor informatie over het weergeven van het huidige poortbereik en het verhogen van het bereik.

Ontbrekende inhoud in scantaak of profiel

Foutbericht

Klik in Azure Portal op de pagina Knooppunten :

Er is geen inhoudsscantaak gevonden

Beschrijving

Deze fout treedt op wanneer de inhoudsscantaak of het profiel niet kan worden gevonden.

Oplossing

Controleer de configuratie van uw scanner in Azure Portal.

Zie De geïntegreerde labelscanner van Azure Information Protection configureren en installeren voor meer informatie.

Opmerking: Een profiel is een verouderde scannerterm die is vervangen door het scannercluster en de inhoudsscantaak in nieuwere versies van de scanner.

Geen opslagplaatsen geconfigureerd

Foutbericht

Op de pagina Knooppunten in de beheerportal:

Er zijn geen opslagplaatsen geconfigureerd

Beschrijving

Mogelijk hebt u een inhoudsscantaak waarvoor geen opslagplaatsen zijn geconfigureerd.

Oplossing

Controleer de instellingen van uw inhoudsscantaak en voeg ten minste één opslagplaats toe.

Zie Een inhoudsscantaak maken voor meer informatie.

Geen cluster gevonden

Foutbericht

Op de pagina Knooppunten in de beheerportal:

Geen cluster gevonden

Beschrijving

Er is geen werkelijke overeenkomst gevonden voor een van de scannerclusters die u hebt gedefinieerd.

Oplossing

Controleer uw clusterconfiguratie en controleer deze op basis van uw eigen systeemdetails op typefouten en fouten.

Zie Een scannercluster maken voor meer informatie.

Meer informatie

Aanbevolen procedures voor het implementeren en gebruiken van de AIP UL-scanner.