Resolver problemas com a implantação do verificador de proteção de informações

• Aplica-se a:

  Microsoft Purview

Observação

O scanner de rotulagem unificado da Proteção de Informações do Azure está sendo renomeado scanner Proteção de Informações do Microsoft Purview. Ao mesmo tempo, a configuração (atualmente em versão prévia) está migrando para o portal de conformidade do Microsoft Purview. Atualmente, é possível configurar o scanner no portal do Azure e no portal de conformidade. As instruções neste artigo referem-se a ambos os portais de administração.

Se você estiver tendo problemas com o verificador de Proteção de Informações do Microsoft Purview, verifique se sua implantação está íntegra usando o cmdlet Start-ScannerDiagnostics do PowerShell para iniciar a ferramenta de diagnóstico do verificador:

Start-ScannerDiagnostics

A ferramenta de diagnóstico verifica os seguintes detalhes e cria um arquivo de log com os resultados:

• Se o banco de dados está atualizado
• Se as URLs de rede estão acessíveis
• Se há um token de autenticação válido e se a política pode ser adquirida
• Se o perfil está definido no portal do Azure
• Se a configuração offline/online existe e pode ser adquirida
• Se as regras configuradas são válidas

Dica

• Se você não estiver executando a ferramenta usando a conta de serviço usada para executar o serviço de verificador, deverá usar o -OnBehalf parâmetro. Caso contrário, você encontrará erros.
• Para imprimir os últimos 10 erros do log do scanner, adicione o Verbose parâmetro. Se você quiser imprimir mais erros, use o VerboseErrorCount para definir o número de erros que deseja imprimir.

O Start-ScannerDiagnostics comando não executa uma verificação completa de pré-requisitos. Se você estiver tendo problemas com o scanner, também deverá garantir que seu sistema esteja em conformidade com os requisitos do scanner e que a configuração e a instalação do scanner estejam concluídas.

Verificar detalhes de verificação por nó de scanner e repositório

Execute o cmdlet Get-ScanStatus do PowerShell para obter detalhes sobre o status atual da verificação e a lista de nós no cluster do verificador.

PS C:\> Get-ScanStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

Use a NodesInfo variável com o cmdlet Get-ScanStatus para obter mais detalhes sobre cada nó no cluster:

PS C:\WINDOWS\system32> $x=Get-ScanStatus
PS C:\WINDOWS\system32> $x.NodesInfo

A saída exibe detalhes para cada nó em uma tabela, conforme mostrado no exemplo a seguir:

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

Para detalhar ainda mais cada nó, use a NodesInfo variável novamente, com o inteiro do nó começando com 0.

PS C:\Windows\system32> $x.NodesInfo[0].Summary

A saída exibe os detalhes sobre as varreduras no nó selecionado, conforme mostrado no exemplo a seguir:

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Use o Verbose parâmetro com o cmdlet Get-ScanStatus para obter dados sobre uma verificação atual.

PS C:\> Get-ScanStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

Use as RepositoriesStatus variáveis ou para CurrentScanSummary detalhar ainda mais e obter mais detalhes sobre o status dos repositórios.

Os possíveis valores de status do repositório incluem:

• Ignorado, se o repositório foi ignorado
• Pendente, se a verificação atual ainda não tiver começado a verificar o repositório
• Verificação, se a verificação atual estiver em execução no repositório
• Concluído, se a verificação atual tiver sido concluída em execução no repositório

Exemplo: use a variável RepositoriesStatus

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

Exemplo: use a variável CurrentScanSummary

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

Essa saída mostra apenas um único repositório. Se houver vários repositórios, cada um será listado separadamente.

Referência de erro do scanner

A tabela a seguir fornece informações sobre mensagens de erro específicas geradas pelo mecanismo de varredura e fornece ações para corrigir o problema associado:

Tipo de erro	Solução de problemas
Erros de autenticação	Token de autenticação não aceito Token de autenticação ausente
Erros de política	Política ausente A política não inclui nenhuma condição de rotulagem automática
Erros de banco de dados / esquema	Erros de banco de dados Esquema incompatível ou desatualizado
Outros erros	A conexão subjacente foi fechada Processos de scanner travados Não é possível conectar-se ao servidor remoto Trabalho ou perfil de verificação de conteúdo ausente Nenhum repositório configurado Nenhum cluster encontrado

Token de autenticação não aceito

Mensagem de erro

Microsoft.InformationProtection.Exceptions.AccessDeniedException: o serviço não aceitou o token de autenticação.

Descrição

O comando Set-Authentication falhou.

Resolução

Verifique se as permissões apropriadas estão definidas corretamente no portal do Azure.

Para obter mais informações, consulte Criar e configurar aplicativos do Microsoft Entra para Set-Authentication.

Token de autenticação ausente

Mensagens de erro

• NoAuthTokenException: Falha no aplicativo cliente ao fornecer token de autenticação para solicitação HTTP

• Microsoft.InformationProtection.Exceptions.NoAuthTokenException: o aplicativo cliente falhou ao fornecer o token de autenticação para solicitação HTTP. Falha com: System.AggregateException: Ocorreram um ou mais erros. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: uma das duas condições foi encontrada: 1. O sinalizador PromptBehavior.Never foi passado, mas a restrição não pôde ser respeitada, pois a interação do usuário era necessária. 2. Ocorreu um erro durante uma autenticação silenciosa da Web que impediu que o fluxo de autenticação http fosse concluído em um período de tempo curto o suficiente

• Falha ao adquirir um token usando a autenticação integrada do Windows (sem SSO)

• No portal do Azure, na página Nós :

  A política não inclui nenhuma condição de rotulagem automática

Descrição

Esses erros de autenticação ocorrem quando o mecanismo de varredura é executado de forma não interativa.

Resolução

Você deve autenticar usando um token usando o cmdlet Set-Authentication .

Ao executar o cmdlet Set-Authentication, certifique-se de usar o parâmetro token em nome da conta de serviço usada para executar o serviço de verificador, conforme mostrado no exemplo a seguir:

$pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

Para obter mais informações, consulte Obter um token do Microsoft Entra para o verificador.

Política ausente

Mensagem de erro

A política está ausente

Descrição

O verificador não consegue encontrar o arquivo de política de rótulo de confidencialidade.

Resolução

Para verificar se o arquivo de política existe conforme o esperado, verifique no seguinte local : %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3.

Para obter mais informações sobre rótulos de confidencialidade e suas políticas de rótulo, consulte Criar e configurar rótulos de confidencialidade e suas políticas.

A política não inclui condições de rotulagem automática

Mensagem de erro

A política não tem condições de rotulagem

Descrição

A política de rotulagem não tem condições de rotulagem automática.

Resolução

Defina as seguintes configurações:

Configuração	Etapas para definir as configurações
Configurações do trabalho de digitalização de conteúdo	No portal do Azure, faça o seguinte: Defina os tipos de informações a serem descobertos como Todos Defina um rótulo padrão a ser aplicado durante a digitalização
Configurações de política de rotulagem	No portal de conformidade do Microsoft Purview, faça o seguinte: Definir um rótulo de confidencialidade padrão Configurar rotulagem automática/recomendada

Se as configurações já estiverem definidas conforme o esperado, o próprio arquivo de política poderá estar ausente ou inacessível, como quando há um tempo limite do portal de conformidade do Microsoft Purview.

Para verificar o arquivo de política, verifique se o seguinte arquivo existe: %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3

Para obter mais informações, consulte O que é o verificador de rotulagem unificada da Proteção de Informações do Azure? e Saiba mais sobre rótulos de confidencialidade.

Erros do banco de dados

Mensagem de erro

Erro de banco de dados

Descrição

O scanner não consegue se conectar ao banco de dados.

Resolução

Verifique a conectividade de rede entre o computador do scanner e o banco de dados.

Além disso, certifique-se de que a conta de serviço que está sendo usada para executar processos de scanner tenha todas as permissões necessárias para acessar o banco de dados.

Esquema incompatível ou desatualizado

Mensagem de erro

Um dos seguintes:

• Exceção de SchemaMismatchException

• No portal do Azure, na página Nós :

  O esquema de banco de dados não está atualizado. Execute o comando Update-ScannerDatabase para atualizar o esquema de banco de dados
  Erro: o esquema de banco de dados não está atualizado

Descrição

O esquema do banco de dados não está atualizado.

Resolução

Execute o cmdlet Update-ScannerDatabase para ressincronizar seu esquema e garantir que ele esteja atualizado com as alterações recentes.

A conexão subjacente foi fechada

Mensagens de erro

System.Net.WebException: a conexão subjacente foi fechada: ocorreu um erro inesperado em um envio. >--- System.IO.IOException: Falha na autenticação porque a parte remota fechou o fluxo de transporte.

[System.Net.Http.HttpRequestException: Ocorreu um erro ao enviar a solicitação. >--- System.Net.WebException: a conexão subjacente foi fechada: ocorreu um erro inesperado em um envio. >--- System.IO.IOException: Não é possível ler dados da conexão de transporte: Uma conexão existente foi fechada à força pelo host remoto. >--- System.Net.Sockets.SocketException: uma conexão existente foi fechada à força pelo host remoto.

Descrição

Esses erros indicam que o TLS 1.2 não está habilitado.

Resolução

Para habilitar o TLS 1.2, consulte:

• Firewalls e requisitos de infraestrutura de rede
• Como habilitar o TLS 1.2
• Habilitar o suporte para TLS 1.1 e TLS 1.2 no Servidor do Office Online

Processos de scanner paralisados

Mensagem de erro

Não há nenhuma mensagem de erro exibida, mas o scanner atinge o tempo limite.

Descrição

O mecanismo de varredura está processando um único arquivo por mais tempo do que o esperado ou para inesperadamente durante a varredura de um grande número de arquivos em um repositório. O processo do scanner pode estar travado.

Resolução

Modifique uma das seguintes configurações:

• Número de portas dinâmicas. Talvez seja necessário aumentar o número de portas dinâmicas para o sistema operacional que hospeda os arquivos. A proteção do servidor para o SharePoint pode ser um dos motivos pelos quais o verificador excede o número de conexões de rede permitidas e é interrompido.

  Para obter informações sobre como exibir o intervalo de portas atual e aumentar o intervalo, consulte Configurações que podem ser modificadas para melhorar o desempenho da rede.

• Limite de exibição de lista. Para farms grandes do SharePoint, talvez seja necessário aumentar o limite de exibição de lista. Por padrão, o limite de exibição de lista é definido como 5.000.

  Para obter informações sobre como aumentar o limite, consulte Gerenciar listas e bibliotecas grandes no SharePoint.

Se o problema persistir, verifique o relatório detalhado para determinar se o arquivo está aumentando de tamanho.

Se o tamanho do arquivo continuar a aumentar, o verificador ainda está processando dados e você deve aguardar até que isso seja concluído.

Se o arquivo não estiver mais aumentando de tamanho, faça o seguinte:

1. Execute os seguintes cmdlets:

   • Cmdlet Start-ScannerDiagnostics: para executar verificações de diagnóstico em seu scanner e exportar e compactar arquivos de log para quaisquer erros encontrados.
   • Cmdlet Export-DebugLogs : para exportar e criar uma versão .zip dos arquivos de log do diretório %localappdata%\Microsoft\MSIP\Logs .

2. Crie um arquivo de despejo para o serviço MSIP Scanner. No Gerenciador de Tarefas do Windows, clique com o botão direito do mouse no serviço MSIP Scanner e selecione Criar arquivo de despejo.

3. No portal do Azure, pare a verificação.

4. Na máquina do scanner, reinicie o serviço.

5. Abra um tíquete de suporte e anexe os arquivos de despejo do processo do scanner.

Não é possível se conectar ao servidor remoto

Mensagem de erro

No arquivo MSIPScanner.iplog localizado em %localappdata%\Microsoft\MSIP\Logs\:

Não é possível conectar-se ao servidor remoto ---> System.Net.Sockets.SocketException: Normalmente, apenas um uso de cada endereço de soquete (protocolo/endereço de rede/porta) é permitido IP:porta

Se houver vários logs, o arquivo MSIPScanner.iplog será um arquivo .zip.

Descrição

O scanner excedeu o número de conexões de rede permitidas.

Resolução

Aumente o número de portas dinâmicas para o sistema operacional que hospeda os arquivos.

Para obter informações sobre como exibir o intervalo de portas atual e aumentar o intervalo, consulte Configurações que podem ser modificadas para melhorar o desempenho da rede.

Perfil ou trabalho de digitalização com conteúdo ausente

Mensagem de erro

No portal do Azure, na página Nós :

Nenhum trabalho de verificação de conteúdo encontrado

Descrição

Esse erro ocorre quando o trabalho ou perfil de verificação de conteúdo não pode ser encontrado.

Resolução

Verifique a configuração do scanner no portal do Azure.

Para obter mais informações, consulte Configurando e instalando o verificador de rotulagem unificada da Proteção de Informações do Azure.

Observação: Um perfil é um termo de scanner herdado que foi substituído pelo cluster de scanner e pelo trabalho de verificação de conteúdo em versões mais recentes do scanner.

Nenhum repositório configurado

Mensagem de erro

No portal de administração, na página Nós :

Nenhum repositório está configurado

Descrição

Você pode ter um trabalho de verificação de conteúdo sem repositórios configurados.

Resolução

Verifique as configurações do trabalho de verificação de conteúdo e adicione pelo menos um repositório.

Para obter mais informações, confira Criar um trabalho de digitalização de conteúdo.

Nenhum cluster encontrado

Mensagem de erro

No portal de administração, na página Nós :

Nenhum cluster encontrado

Descrição

Nenhuma correspondência real encontrada para um dos clusters de scanner que você definiu.

Resolução

Verifique a configuração do cluster e compare-a com os detalhes do sistema em busca de erros de digitação e erros.

Para obter mais informações, consulte Criar um cluster de scanner.

Mais informações

Práticas recomendadas para implantar e usar o scanner UL da AIP.