Resolver problemas com a implantação do scanner de proteção de informações

• Aplica-se a:

  Microsoft Purview

Observação

O scanner de rotulagem unificado do Azure Proteção de Informações está sendo renomeado Proteção de Informações do Microsoft Purview scanner. Ao mesmo tempo, a configuração (atualmente em versão prévia) está se movendo para o portal de conformidade do Microsoft Purview. Atualmente, você pode configurar o scanner no portal do Azure e no portal de conformidade. As instruções neste artigo referem-se a ambos os portais de administração.

Se você estiver tendo problemas com o scanner de Proteção de Informações do Microsoft Preview, verifique se sua implantação está saudável usando o cmdlet Start-AIPScannerDiagnostics PowerShell para iniciar a ferramenta de diagnóstico do scanner:

Start-AIPScannerDiagnostics

A ferramenta diagnóstico verifica os seguintes detalhes e cria um arquivo de log com os resultados:

• Se o banco de dados está atualizado
• Se as URLs de rede estão acessíveis
• Se há um token de autenticação válido e a política pode ser adquirida
• Se o perfil é definido no portal do Azure
• Se a configuração offline/online existe e pode ser adquirida
• Se as regras configuradas são válidas

Dica

• Se você não estiver executando a ferramenta usando a conta de serviço usada para executar o serviço de scanner, use o -OnBehalf parâmetro. Caso contrário, você encontrará erros.
• Para imprimir os últimos 10 erros do log do scanner, adicione o Verbose parâmetro. Se você quiser imprimir mais erros, use o VerboseErrorCount para definir o número de erros que deseja imprimir.

O Start-AIPScannerDiagnostics comando não executa um marcar de pré-requisitos completo. Se você estiver tendo problemas com o scanner, também deve garantir que o sistema esteja em conformidade com os requisitos do scanner e que a configuração e a instalação do scanner estejam concluídas.

Verificar detalhes de verificação por nó de scanner e repositório

Execute o cmdlet Get-AIPScannerStatus PowerShell para obter detalhes sobre o status de verificação atual e a lista de nós no cluster do scanner.

PS C:\> Get-AIPScannerStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

Use a NodesInfo variável com o cmdlet Get-AIPScannerStatus para obter mais detalhes sobre cada nó no cluster:

PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo

A saída exibe detalhes de cada nó em uma tabela, conforme mostrado no exemplo a seguir:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Para detalhar ainda mais em cada nó, use a NodesInfo variável novamente, com o inteiro do nó começando com 0.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

A saída exibe os detalhes sobre as verificações no nó selecionado, conforme mostrado no exemplo a seguir:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Use o Verbose parâmetro com o cmdlet Get-AIPScannerStatus para obter dados sobre uma verificação atual.

PS C:\> Get-AIPScannerStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

Use as RepositoriesStatus variáveis ou CurrentScanSummary para detalhar ainda mais para obter mais detalhes sobre o status dos repositórios.

Os possíveis valores de status do repositório incluem:

• Ignorado, se o repositório foi ignorado
• Pendente, se a verificação atual ainda não tiver começado a examinar o repositório
• Verificação, se a verificação atual estiver em execução no repositório
• Concluído, se a verificação atual tiver sido concluída em execução no repositório

Exemplo: use a variável RepositoriesStatus

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

Exemplo: use a variável CurrentScanSummary

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Essa saída mostra apenas um único repositório. Se houver vários repositórios, cada um será listado separadamente.

Referência de erro do scanner

A tabela a seguir fornece informações sobre mensagens de erro específicas geradas pelo scanner e fornece ações para corrigir o problema associado:

Tipo de erro	Solução de problemas
Erros de autenticação	Token de autenticação não aceito Token de autenticação ausente
Erros de política	Política ausente A política não inclui nenhuma condição de rotulagem automática
Erros de DB/Esquema	Erros de banco de dados Esquema incompatível ou desatualizado
Outros erros	A conexão subjacente foi fechada Processos de scanner presos Não é possível se conectar ao servidor remoto Trabalho ou perfil de verificação de conteúdo ausente Nenhum repositório configurado Nenhum cluster encontrado

Token de autenticação não aceito

Mensagem de erro

Microsoft.InformationProtection.Exceptions.AccessDeniedException: o serviço não aceitou o token de auth.

Descrição

O comando Set-AIPAuthentication falhou.

Resolução

Verfy que as permissões apropriadas são definidas corretamente no portal do Azure.

Para obter mais informações, consulte Criar e configurar aplicativos Microsoft Entra para Set-AIPAuthentication.

Token de autenticação ausente

Mensagens de erro

• NoAuthTokenException: o aplicativo cliente falhou ao fornecer token de autenticação para solicitação HTTP

• Microsoft.InformationProtection.Exceptions.NoAuthTokenException: o aplicativo cliente não forneceu token de autenticação para solicitação HTTP. Falha com: System.AggregateException: ocorreu um ou mais erros. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: uma das duas condições foi encontrada: 1. O sinalizador PromptBehavior.Never foi passado, mas a restrição não pôde ser respeitada, porque a interação do usuário era necessária. 2. Ocorreu um erro durante uma autenticação silenciosa da Web que impediu que o fluxo de autenticação http fosse concluído em um curto período de tempo

• Falha ao adquirir um token usando a autenticação integrada do Windows (Sem SSO)

• No portal do Azure, na página Nós:

  A política não inclui nenhuma condição de rotulagem automática

Descrição

Esses erros de autenticação ocorrem quando o scanner é executado de forma não interativa.

Resolução

Você deve autenticar usando um token usando o cmdlet Set-AIPAuthentication .

Ao executar o cmdlet Set-AIPAuthentication, use o parâmetro de token em nome da conta de serviço usada para executar o serviço de scanner, conforme mostrado no exemplo a seguir:

$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Para obter mais informações, consulte Obter um token de Microsoft Entra para o scanner.

Política ausente

Mensagem de erro

A política está ausente

Descrição

O scanner não consegue localizar o arquivo de política de rótulo de confidencialidade.

Resolução

Para verificar se o arquivo de política existe conforme o esperado, marcar no seguinte local: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3.

Para obter mais informações sobre rótulos de confidencialidade e suas políticas de rótulo, consulte Criar e configurar rótulos de confidencialidade e suas políticas.

A política não inclui condições automáticas de rotulagem

Mensagem de erro

A política está faltando condições de rotulagem

Descrição

A política de rotulagem não tem condições de rotulagem automática.

Resolução

Defina as seguinte configurações:

Setting	Etapas para configurar configurações
Configurações de trabalho de verificação de conteúdo	No portal do Azure, faça o seguinte: Defina os tipos de informações a serem descobertos como Todos Definir um rótulo padrão a ser aplicado ao examinar
Configurações de política de rotulagem	No portal de conformidade do Microsoft Purview, faça o seguinte: Definir um rótulo de confidencialidade padrão Configurar rotulagem automática/recomendada

Se as configurações já estiverem definidas como esperado, o arquivo de política em si poderá estar ausente ou inacessível, como quando há um tempo limite do portal de conformidade do Microsoft Purview.

Para verificar o arquivo de política, marcar que o arquivo a seguir existe: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

Para obter mais informações, consulte O que é o scanner de rotulagem unificado do Azure Proteção de Informações? e Saiba mais sobre rótulos de confidencialidade.

Erros de banco de dados

Mensagem de erro

Erro DB

Descrição

O scanner não é capaz de se conectar ao banco de dados.

Resolução

Verifique a conectividade de rede entre o computador scanner e o banco de dados.

Além disso, verifique se a conta de serviço que está sendo usada para executar processos de scanner tem todas as permissões necessárias para acessar o banco de dados.

Esquema incompatível ou desatualizado

Mensagem de erro

Uma das seguintes opções:

• SchemaMismatchException

• No portal do Azure, na página Nós:

  O esquema DB não está atualizado. Executar Update-AIPScanner comando para atualizar o esquema DB
  Erro: o esquema DB não está atualizado

Descrição

O esquema de banco de dados não está atualizado.

Resolução

Execute o cmdlet Update-AIPScanner para ressincronizar seu esquema e garantir que ele esteja atualizado com quaisquer alterações recentes.

A conexão subjacente foi fechada

Mensagens de erro

System.Net.WebException: a conexão subjacente foi fechada: ocorreu um erro inesperado em um envio. >--- System.IO.IOException: falha na autenticação porque a parte remota fechou o fluxo de transporte.

[System.Net.Http.HttpRequestException: ocorreu um erro ao enviar a solicitação. >--- System.Net.WebException: a conexão subjacente foi fechada: ocorreu um erro inesperado em um envio. >--- System.IO.IOException: não foi possível ler dados da conexão de transporte: uma conexão existente foi fechada à força pelo host remoto. >--- System.Net.Sockets.SocketException: uma conexão existente foi fechada à força pelo host remoto.

Descrição

Esses erros indicam que o TLS 1.2 não está habilitado.

Resolução

Para habilitar o TLS 1.2, confira:

• Firewalls e requisitos de infraestrutura de rede
• Como habilitar o TLS 1.2
• Habilitar o suporte do TLS 1.1 e do TLS 1.2 no Servidor do Office Online

Processos de scanner presos

Mensagem de erro

Não há nenhuma mensagem de erro exibida, mas o scanner acaba.

Descrição

O scanner está processando um único arquivo por um tempo maior do que o esperado ou ele para inesperadamente enquanto examina um grande número de arquivos em um repositório. O processo de scanner pode estar preso.

Resolução

Modifique uma das seguintes configurações:

• Número de portas dinâmicas. Talvez seja necessário aumentar o número de portas dinâmicas para o sistema operacional que hospeda os arquivos. O endurecimento do servidor para o SharePoint pode ser um dos motivos pelos quais o scanner excede o número de conexões de rede permitidas e para.

  Para obter informações sobre como exibir o intervalo de portas atual e aumentar o intervalo, consulte Configurações que podem ser modificadas para melhorar o desempenho da rede.

• Limite de exibição de lista. Para grandes fazendas do SharePoint, talvez seja necessário aumentar o limite de exibição de lista. Por padrão, o limite de exibição de lista é definido como 5.000.

  Para obter informações sobre como aumentar o limite, consulte Gerenciar listas e bibliotecas grandes no SharePoint.

Se o problema ainda ocorrer, marcar o relatório detalhado para determinar se o arquivo está aumentando de tamanho.

Se o tamanho do arquivo continuar aumentando, o scanner ainda está processando dados e você deverá aguardar até que ele seja concluído.

Se o arquivo não estiver mais aumentando de tamanho, faça o seguinte:

1. Execute os cmdlets a seguir:

   • Cmdlet Start-AIPScannerDiagnostics : para executar verificações de diagnóstico no scanner e exportar e fechar arquivos de log para quaisquer erros encontrados.
   • Cmdlet Export-AIPLogs : para exportar e criar uma versão .zip dos arquivos de log do diretório %localappdata%\Microsoft\MSIP\Logs .

2. Crie um arquivo de despejo para o serviço scanner MSIP. No Gerenciador de Tarefas do Windows, clique com o botão direito do mouse no serviço Scanner MSIP e selecione Criar arquivo de despejo.

3. No portal do Azure, pare a verificação.

4. No computador do scanner, reinicie o serviço.

5. Abra um tíquete de suporte e anexe os arquivos de despejo do processo de scanner.

Não é possível se conectar ao servidor remoto

Mensagem de erro

No arquivo MSIPScanner.iplog localizado em %localappdata%\Microsoft\MSIP\Logs\:

Não é possível se conectar ao servidor remoto ---> System.Net.Sockets.SocketException: apenas um uso de cada endereço de soquete (protocolo/endereço de rede/porta) normalmente é permitido IP:port

Se houver vários logs, o arquivo MSIPScanner.iplog será um arquivo .zip.

Descrição

O scanner excedeu o número de conexões de rede permitidas.

Resolução

Aumente o número de portas dinâmicas para o sistema operacional que hospeda os arquivos.

Para obter informações sobre como exibir o intervalo de portas atual e aumentar o intervalo, consulte Configurações que podem ser modificadas para melhorar o desempenho da rede.

Trabalho ou perfil de verificação de conteúdo ausente

Mensagem de erro

No portal do Azure, na página Nós:

Nenhum trabalho de verificação de conteúdo encontrado

Descrição

Esse erro ocorre quando o trabalho de verificação de conteúdo ou perfil não pode ser encontrado.

Resolução

Verifique a configuração do scanner no portal do Azure.

Para obter mais informações, consulte Configurar e instalar o Azure Proteção de Informações scanner de rotulagem unificado.

Nota: Um perfil é um termo de scanner herdado que foi substituído pelo cluster do scanner e pelo trabalho de verificação de conteúdo em versões mais recentes do scanner.

Nenhum repositório configurado

Mensagem de erro

No portal do administrador, na página Nós :

Nenhum repositório está configurado

Descrição

Você pode ter um trabalho de verificação de conteúdo sem repositórios configurados.

Resolução

Verifique as configurações do trabalho de verificação de conteúdo e adicione pelo menos um repositório.

Para obter mais informações, consulte Criar um trabalho de verificação de conteúdo.

Nenhum cluster encontrado

Mensagem de erro

No portal do administrador, na página Nós :

Nenhum cluster encontrado

Descrição

Nenhuma correspondência real encontrada para um dos clusters de scanner que você definiu.

Resolução

Verifique sua configuração de cluster e marcar-a em relação aos seus próprios detalhes do sistema para erros e erros de digitação.

Para obter mais informações, consulte Criar um cluster de scanner.

Mais informações

Melhores práticas para implantar e usar o scanner UL do AIP.