注意事項
有新版本的資訊保護掃描器。 如需詳細資訊,請參閱 升級 Microsoft Purview 資訊保護掃描器。
本文說明如何設定和安裝 Microsoft Purview 資訊保護掃描器 (先前稱為 Azure 資訊保護統一資訊保護統一標籤掃描器) 或內部部署掃描器。
提示
雖然大部分的客戶會在系統管理入口網站中執行這些程式,但您可能只需要在 PowerShell 中工作。
例如,如果您在無法存取系統管理入口網站的環境中工作,例如 Azure 中國 21Vianet,請遵循使用 PowerShell 設定掃描器中的指示。
概觀
開始之前,請驗證您的系統是否符合 必要的必要條件。
然後,使用下列步驟來設定和安裝掃描器:
接下來,根據您的系統需要執行下列配置程序:
| 程序 | 描述 |
|---|---|
| 變更要保護的檔案類型 | 您可能想要掃描、分類或保護與預設檔案類型不同的檔案類型。 如需詳細資訊,請參閱 掃描程序。 |
| 升級掃描器 | 升級您的掃描器以使用最新的功能和改進。 |
| 大量編輯資料儲存庫設定 | 使用匯入和匯出選項,對多個資料儲存庫進行大量變更。 |
| 使用具有替代配置的掃描器 | 使用掃描器,無需設定任何條件的標籤 |
| 最佳化效能 | 優化掃描器效能的指南 |
如果您無法存取 Microsoft Purview 入口網站中的掃描器頁面,請僅在 PowerShell 中設定任何掃描器設定。 如需詳細資訊,請參閱使用 PowerShell 設定掃描器和支援的 PowerShell Cmdlet。
設定掃描器設定
在安裝掃描器或從較舊的正式發行版本升級之前,請設定或驗證您的掃描器設定。 針對此設定,您可以使用 Microsoft Purview 入口網站。
若要在 Microsoft Purview 入口網站中設定掃描器:
- 使用下列其中一個角色登入:
- 合規性系統管理員
- 合規性資料系統管理員
- 安全性系統管理員
- 組織管理
登入 Microsoft Purview 入口網站>設定卡>資訊保護資訊>保護掃描器。
建立掃描器叢集。 此叢集會定義您的掃描器,並用來識別掃描器執行個體,例如在安裝、升級和其他程序期間。
建立內容掃描工作 ,以定義您要掃描的儲存庫。
建立掃描器叢集
若要在 Microsoft Purview 入口網站中建立掃描器叢集:
從 [資訊保護掃描器 ] 頁面上的索引標籤中,選取 [叢集]。
在 [叢集 ] 索引標籤上,選取 [ 新增
]。在 [ 新增叢集 ] 窗格中,輸入掃描器的有意義的名稱,以及選用的說明。
叢集名稱可用來識別掃描器的組態和儲存庫。 例如,您可以輸入 歐洲 來識別您要掃描的資料儲存庫的地理位置。
您稍後將使用此名稱來識別要安裝或升級掃描器的位置。
選取 [儲存] 以儲存變更。
建立內容掃描工作
深入研究您的內容,掃描特定儲存庫中是否有敏感內容。
若要在 Microsoft Purview 入口網站上建立內容掃描作業:
從 [資訊保護掃描器 ] 頁面上的索引標籤中,選取 [ 內容掃描作業]。
在 [內容掃描作業 ] 窗格中,選取 [新增
]。針對此初始組態,請設定下列設定,然後選取 [儲存]。
設定 描述 內容掃描工作設定 - 排程:保留預設值 [手動]
- 要探索的資訊類型: 變更為僅限原則DLP 原則 如果您使用資料外洩防護原則,請將 [啟用 DLP 規則] 設定為 [ 開啟]。 如需詳細資訊,請參閱 使用 DLP 原則。 敏感度原則 - 強制執行敏感度標籤原則:選取 [關閉]
- 根據內容標記檔案:保留預設值 [開啟]
- 預設標籤:保留 預設值 Policy default
- 重新標記檔案:保留預設值 [關閉]設定檔案設定 - 保留「修改日期」、「上次修改日期」和「修改者」:保留預設值「 開啟」
- 要掃描的檔案類型:保留 [排除] 的預設檔案類型
- 預設擁有者:保留 預設的掃描器帳戶
- 設定存放庫擁有者:只有 在使用 DLP 原則時才使用此選項。開啟已儲存的內容掃描工作,然後選取 存放庫 索引標籤以指定要掃描的資料存放區。
指定 SharePoint 內部部署文件庫和資料夾的 UNC 路徑和 SharePoint Server URL。
注意事項
SharePoint 支援 SharePoint Server 2019、SharePoint Server 2016 和 SharePoint Server 2013。 當您對 此版本的 SharePoint 提供延伸支援時,也支援 SharePoint Server 2010。
若要新增您的第一個資料存放區,請在 [ 存放庫 ] 索引標籤上:
在 [ 存放庫 ] 窗格中,選取 [新增]:
在 [存放庫] 窗格中,指定資料存放庫的路徑,然後選取 [ 儲存]。
- 針對網路共用,請使用
\\Server\Folder。 - 針對 SharePoint 文件庫,請使用
http://sharepoint.contoso.com/Shared%20Documents/Folder。 - 對於本機路徑:
C:\Folder - 針對 UNC 路徑:
\\Server\Folder
- 針對網路共用,請使用
注意事項
不支援萬用字元,也不支援 WebDav 位置。 不支援將 OneDrive 位置掃描為存放庫。
如果您新增 共用文件的 SharePoint 路徑:
- 當您想要掃描「共用文件」中的所有文件和所有資料夾時,請在路徑中指定「 共用文件 」。
例如:
http://sp2013/SharedDocuments - 當您想要掃描「共用文件」下子資料夾中的所有文件和所有資料夾時,請在路徑中指定文件。
例如:
http://sp2013/Documents/SalesReports - 或者,只指定 SharePoint 的 FQDN ,例如
http://sp2013,探索 和掃描特定 URL 下的所有 SharePoint 網站和子網站 ,以及此 URL 下的副標題。 授與掃描器網站 收集器稽核員 許可權以啟用此功能。
對於此窗格上的其餘設定,請勿針對此初始組態變更它們,而是將其保留為 內容掃描作業預設值。 預設設定表示資料儲存庫會繼承內容掃描工作的設定。
新增 SharePoint 路徑時,請使用下列語法:
路徑 語法 根路徑 http://<SharePoint server name>
掃描所有網站,包括掃描器使用者允許的任何網站集合。
需要 額外的權限 才能自動發現根內容特定 SharePoint 子網站或集合 下列其中之一:
-http://<SharePoint server name>/<subsite name>
-http://SharePoint server name>/<site collection name>/<site name>
需要 額外的權限 才能自動探索網站集合內容特定 SharePoint 文件庫 下列其中之一:
-http://<SharePoint server name>/<library name>
-http://SharePoint server name>/.../<library name>特定 SharePoint 資料夾 http://<SharePoint server name>/.../<folder name>重複上述步驟,視需要新增任意數量的儲存庫。
您現在已準備好使用您建立的內容掃描器工作來安裝掃描器。 繼續安裝掃描器。
安裝掃描器
設定掃描器之後,請執行下列步驟來安裝掃描器。 此程式會在 PowerShell 中完全執行。
登入將執行掃描器的 Windows Server 電腦。 使用具有本機系統管理員權限,且具有寫入 SQL Server master 資料庫權限的帳戶。
使用 [以系統管理員身分執行] 選項開啟 Windows PowerShell 工作階段。
執行 Install-Scanner Cmdlet,指定要建立資訊保護掃描器資料庫的 SQL Server 執行個體,以及您在上一節中指定的掃描器叢集名稱:
Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>範例,使用 歐洲的掃描器叢集名稱:
對於預設執行個體:
Install-Scanner -SqlServerInstance SQLSERVER1 -Cluster Europe對於具名實例:
Install-Scanner -SqlServerInstance SQLSERVER1\SCANNER -Cluster Europe針對 SQL Server Express:
Install-Scanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe
當系統提示您時,請提供掃描器服務帳戶的 Active Directory 認證。
使用下列語法:
\<domain\user name>。 例如:contoso\scanneraccount確認服務現在已使用 「管理工具>服務」安裝。
已安裝的服務名為 Microsoft Purview 資訊保護掃描器,並設定為使用您建立的掃描器服務帳戶來執行。
現在您已安裝掃描器,您必須取得掃描器服務帳戶的 Microsoft Entra 權杖才能進行驗證,以便掃描器可以在自動執行中執行。
取得掃描器的 Microsoft Entra 權杖
Microsoft Entra 權杖可讓掃描器向 Microsoft Purview 資訊保護掃描器服務進行驗證,讓掃描器能夠自動執行。
如需詳細資訊,請參閱 自動執行資訊保護標籤 Cmdlet。
若要取得 Microsoft Entra 權杖:
流覽至 Azure 入口網站,然後繼續前往 Microsoft Entra ID 刀鋒視窗。
在 Microsoft Entra ID 側窗格中,按一下 [應用程式註冊]。
在頂部,繼續並單擊 + 新註冊。
在 [名稱] 區段中,輸入 InformationProtectionScanner。
將 支援的帳戶類型保留 為預設值。
對於重新導向 URI,將類型保留為 Web,但輸入http://localhost項目部分,然後按一下註冊。
在此應用程式的「概觀」頁面上,在您選擇的文字編輯器中記下下列識別碼: 應用程式 (用戶端) 識別碼 和 目錄 (租戶) 識別碼。 稍後在設定 Set-AIPAuthentication 命令時將需要此專案。
在側邊窗格中,導覽至 [憑證和密碼]。
按一下 + 新增用戶端密碼。
在顯示的對話方塊中,輸入密碼的描述,並將其設定為 1 年後 到期,然後新增密碼。
您現在應該會在用戶端密碼區段下看到,有一個具有 密碼值的專案。 繼續複製此值,並將其儲存在您儲存用戶端ID和租戶ID的檔案中。 這是您唯一能夠看到秘密值的時間,如果您此時不複製它,則無法恢復它。
在側邊窗格中,導覽至 API 權限。
繼續並選擇添加權限。
當畫面顯示時,請選取 [Azure Rights Management 服務]。 然後選取 [應用程式許可權]。
按一下 [內容 ] 的下拉式清單,並勾選 Content.DelegatedReader 和 Content.DelegatedWriter。 然後,在屏幕底部,單擊 添加權限。
流覽回 API 許可權區 段,然後新增另一個許可權。
這次,針對 [選取 API] 區段,按一下 [我的組織使用的 API]。 在搜尋列中,輸入 Microsoft 資訊保護同步服務,然後選取它。
選取 [應用程式許可權] ,然後在 [ 統一原則 ] 下拉式清單中,核取許可權 UnifiedPolicy.Tenant.Read。 然後,在屏幕底部,單擊 添加權限。
返回 API 許可權畫面,按一下 授予管理員同意,然後尋找作業是否成功 (以綠色核取記號) 表示。
從 Windows Server 電腦,如果您的掃描器服務帳戶已授與安裝的本機登入權限,請使用此帳戶登入並啟動 PowerShell 工作階段。
執行 Set-Authentication,指定您從上一個步驟複製的值:
Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>例如:
$pscreds = Get-Credential CONTOSO\scanner Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.
提示
如果您的掃描器服務帳戶無法授與安裝的本機登入權限,請搭配 Set-Authentication 使用 OnBehalfOf 參數,如自動執行資訊保護標籤 Cmdlet 中所述。
掃描器現在具有權杖,可向 Microsoft Entra ID 進行驗證。 此權杖的有效期為一年、兩年或永遠不會,根據您在 Microsoft Entra ID 中 Web 應用程式 /API 用戶端密碼的設定。 當權杖到期時,您必須重複此程序。
繼續使用下列其中一個步驟,視您是使用 Microsoft Purview 入口網站來設定掃描器,還是只使用 PowerShell:
您現在已準備好在探索模式下執行第一次掃描。 如需詳細資訊,請參閱 執行探索週期並檢視掃描器的報告。
執行初始探索掃描之後,請繼續設定 掃描器以套用分類和保護。
如需詳細資訊,請參閱 自動執行資訊保護標籤 Cmdlet。
設定掃描器以套用分類和保護
預設設定將掃描器設定為執行一次,且以僅限報告模式執行。 若要變更這些設定,請編輯內容掃描工作。
提示
如果您只使用 PowerShell,請參閱 設定掃描器以套用分類和保護 - 僅限 PowerShell。
若要設定掃描器以在 Microsoft Purview 入口網站中套用分類和保護:
在 Microsoft Purview 入口網站的 [ 內容掃描作業 ] 索引標籤上,選取特定的內容掃描作業以進行編輯。
選取內容掃描工作,變更下列項目,然後選取 [儲存]:
- 從 「內容掃描工作 」區段:將 「排程」 變更為 「一律」
- 從 [強制執行敏感度標籤原則] 區段:將選項按鈕變更為 [開啟]
請確定內容掃描工作的節點在線上,然後選取 [ 立即掃描] 以再次啟動內容掃描工作。 「 立即掃描 」按鈕只有在所選內容掃描工作的節點在線上時才會出現。
掃描器現在排定要持續執行。 當掃描器處理所有已配置的檔案時,它會自動啟動一個新週期,以便發現任何新的和變更的檔案。
使用 DLP 原則
使用資料外洩防護原則,掃描器可將 DLP 規則比對儲存在檔案共用和 SharePoint Server 中的檔案,以偵測潛在的資料外洩。
在內容掃描作業中啟用 DLP 規則 ,以減少符合 DLP 原則的任何檔案的暴露。 啟用 DLP 規則時,掃描器可能會減少僅對資料擁有者的檔案存取,或減少對全網路群組的暴露,例如 所有人、 已驗證的使用者或 網域使用者。
在 Microsoft Purview 入口網站中,判斷您是否只是測試 DLP 原則,或是否要強制執行規則,並根據這些規則變更檔案許可權。 如需詳細資訊,請參閱 建立和部署資料外洩防護原則
DLP 原則是在 Microsoft Purview 入口網站中設定。 如需 DLP 授權的詳細資訊,請參閱開始 使用內部部署資料外洩防護掃描器。
提示
掃描您的檔案,即使只是測試 DLP 原則,也會建立檔案權限報告。 查詢這些報告以調查特定檔案暴露或探索特定使用者對掃描檔案的暴露。
若要僅使用 PowerShell,請參閱搭配 掃描器使用 DLP 原則 - 僅限 PowerShell。
若要搭配 Microsoft Purview 入口網站中的掃描器使用 DLP 原則:
在 Microsoft Purview 入口網站中,流覽至 [內容掃描作業 ] 索引標籤,然後選取特定的內容掃描作業。 如需詳細資訊,請參閱 建立內容掃描工作。
在 啟用 DLP 原則規則下,將選項按鈕 設定為開啟。
重要事項
請勿將 [啟用 DLP 規則] 設定為 [ 開啟 ],除非您實際上在 Microsoft 365 中設定了 DLP 原則。
在沒有 DLP 原則的情況下開啟此功能會導致掃描器產生錯誤。
(選用) 將 設定儲存庫擁有者 設定為 開啟,並將特定使用者定義為儲存庫擁有者。
此選項可讓掃描器減少在此儲存庫中找到的任何符合 DLP 原則的檔案對定義的儲存庫擁有者的暴露。
DLP 原則, 並將私人動作設為私人 動作
如果您使用 DLP 原則搭配設 私人 動作,而且也打算使用掃描器自動標記檔案,建議您也定義統一標籤用戶端的 UseCopyAndPreserveNTFSOwner 進階設定。
此設定可確保原始擁有者保留對其檔案的存取權。
如需詳細資訊,請參閱 建立內容掃描作業 和 自動將敏感度標籤套用至 Microsoft 365 資料。
變更要保護的檔案類型
根據預設,掃描器只會保護 Office 檔案類型和 PDF 檔案。
使用 PowerShell 命令視需要變更此行為,例如設定掃描器以保護所有檔案類型,就像用戶端一樣,或保護其他特定檔案類型。
針對套用至下載掃描器標籤之使用者帳戶的標籤原則,請指定名為 PFileSupportedExtensions 的 PowerShell 進階設定。
對於可存取網際網路的掃描器,此使用者帳戶是您使用 Set-Authentication 命令為 DelegatedUser 參數指定的帳戶。
範例 1:掃描器的 PowerShell 命令,以保護所有檔案類型,其中標籤原則名為 “Scanner”:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
範例 2:掃描器的 PowerShell 命令,除了 Office 檔案和 PDF 檔案之外,還會保護 .xml 檔案和 .tiff 檔案,其中您的標籤原則名為 「掃描器」:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}
如需詳細資訊,請參閱 變更要保護的檔案類型。
升級您的掃描器
如果您先前已安裝掃描器並想要升級,請使用升級 Microsoft Purview 資訊保護掃描器中所述的指示。
然後,像往常一樣 配置 和 使用掃描儀 ,跳過安裝掃描器的步驟。
大量編輯資料存放庫設定
使用 [匯出] 和 [匯入 ] 按鈕,跨多個儲存庫對掃描器進行變更。
如此一來,您就不需要在 Microsoft Purview 入口網站中手動進行數次相同的變更。
例如,如果您在數個 SharePoint 資料存放庫上有新的檔案類型,您可能想要大量更新這些存放庫的設定。
若要在 Microsoft Purview 入口網站中跨存放庫大量進行變更:
在 Microsoft Purview 入口網站中,選取特定內容掃描作業,然後流覽至窗格內的 [ 存放庫 ] 索引標籤。 選取 [匯出] 選項。
手動編輯匯出的檔案以進行變更。
使用相同頁面上的 [匯入] 選項,將更新匯入回您的存放庫。
使用具有替代配置的掃描器
掃描器通常會尋找為您的標籤指定的條件,以便根據需要對內容進行分類和保護。
在下列案例中,掃描器也能夠掃描您的內容並管理標籤,而不需要設定任何條件:
將預設標籤套用至資料存放庫中的所有檔案
在此組態中,儲存庫中的所有未標記檔案都會使用為儲存庫或內容掃描工作指定的預設標籤來標記。 文件無需檢查即可標記。
進行下列設定:
| 設定 | 描述 |
|---|---|
| 根據內容標記檔案 | 設定為 關閉 |
| 預設標籤 | 設定為 自訂,然後選取要使用的標籤 |
| 強制執行預設標籤 | 選取以將預設標籤套用至所有檔案,即使已透過開啟 [ 重新標記檔案 ] 和 [強制執行預設標籤 ] 來標記檔案 |
從資料存放庫中的所有檔案中移除現有標籤
在此組態中,如果保護已套用標籤,則會移除所有現有標籤,包括保護。 保留獨立於標籤應用的保護。
進行下列設定:
| 設定 | 描述 |
|---|---|
| 根據內容標記檔案 | 設定為 關閉 |
| 預設標籤 | 設定為 無 |
| 重新標記檔案 | 設定為 [開啟],並將 [強制執行預設] 標籤設定為 [開啟] |
識別所有自定義條件和已知的敏感性資訊類型
此設定可讓您尋找您可能沒有意識到自己擁有的敏感資訊,但會犧牲掃描器的掃描速率。
將 要探索的資訊類型 設定為 全部。
若要識別標籤的條件和資訊類型,掃描器會使用指定的任何自訂敏感性資訊類型,以及可供選取的內建敏感性資訊類型清單,如標籤 管理中心 中所定義。
最佳化掃描器效能
注意事項
如果您想要改善掃描器電腦的回應能力,而不是掃描器效能,請使用進階用戶端設定來 限制掃描器使用的執行緒數目。
使用下列選項和指引來協助您最佳化掃描器效能:
| 選項 | 描述 |
|---|---|
| 掃描器電腦和掃描資料儲存之間具有高速且可靠的網路連線 | 例如,將掃描器電腦放置在與掃描資料存放區相同的 LAN 中,或者最好放置在相同的網段中。 網路連線的品質會影響掃描器效能,因為若要檢查檔案,掃描器會將檔案內容傳輸至執行掃描器 Microsoft Purview 資訊保護掃描器服務的電腦。 減少或消除資料傳輸所需的網路躍點也可以減少網路負載。 |
| 請確定掃描器電腦有可用的處理器資源 | 檢查檔案內容以及加密和解密檔案是處理器密集型動作。 監控指定資料存放區的典型掃描週期,以識別處理器資源不足是否對掃描器效能產生負面影響。 |
| 安裝掃描器的多個執行個體 | 當您指定掃描器的自訂叢集名稱時,掃描器會支援相同 SQL Server 執行個體上的多個組態資料庫。 提示:多個掃描器也可以共用同一個叢集,從而加快掃描時間。 如果您計劃在具有相同資料庫實例的多部機器上安裝掃描器,並希望掃描器平行執行,則必須使用相同的叢集名稱安裝所有掃描器。 |
| 檢查您的替代組態使用方式 | 當您使用 替代組態 將預設標籤套用至所有檔案時,掃描器的執行速度會更快,因為掃描器不會檢查檔案內容。 當您使用 替代設定 來識別所有自訂條件和已知敏感性資訊類型時,掃描器的執行速度會更慢。 |
影響效能的其他因素
影響掃描器效能的其他因素包括:
| 因素 | 描述 |
|---|---|
| 載入/回應時間 | 包含要掃描之檔案的資料存放區的目前載入和回應時間也會影響掃描器效能。 |
| 掃描器模式 (發現/強制) | 探索模式通常比強制模式具有更高的掃描速率。 探索需要單一檔案讀取動作,而強制模式需要讀取和寫入動作。 |
| 政策變化 | 如果您在標籤政策中變更了自動標籤,您的掃描器效能可能會受到影響。 當掃描器必須檢查每個檔案時,您的第一個掃描週期將比後續掃描週期花費更長的時間,根據預設,掃描週期只會檢查新的和變更的檔案。 如果您變更條件或自動標記設定,則會再次掃描所有檔案。 如需詳細資訊,請參閱 重新掃描檔案。 |
| 正則表達式結構 | 掃描器效能會受到自訂條件的正規表示式運算式建構方式的影響。 若要避免大量記憶體耗用量和每個檔案) 逾時 (15 分鐘的風險,請檢閱您的正則運算式以進行有效的模式比對。 例如: - 避免貪 婪的量詞 - 使用非擷取群組,例如 (?:expression)(expression) |
| 記錄層級 | 記錄層級選項包括掃描器報告的 偵錯、 資訊、 錯誤 和 關閉 。 - 關閉可 產生最佳效能 - 偵錯 會大幅降低掃描器的速度,而且應該只用於疑難排解。 如需詳細資訊,請參閱 Set-ScannerConfiguration Cmdlet 的 ReportLevel 參數。 |
| 正在掃描的檔案 | - 除了 Excel 文件外,Office 文件的掃描速度比 PDF 文件更快。 - 未受保護的檔案比受保護的檔案掃描更快。 - 大文件顯然比小文件需要更長的時間來掃描。 |
使用 PowerShell 設定掃描器
本節說明當您無法存取 Microsoft Purview 入口網站中的掃描器頁面,且必須只使用 PowerShell 時,設定和安裝掃描器所需的步驟。
重要事項
某些步驟需要 Powershell,無論您是否能夠存取 Microsoft Purview 入口網站中的掃描器頁面,而且都是相同的。 如需這些步驟,請參閱本文中先前的指示,如所示。
如果您使用 Azure China 21Vianet 的掃描器,除了這裡詳述的指示之外,還需要其他步驟。 如需詳細資訊,請參閱 21Vianet 所營運的適用於 Office 365 的 Microsoft Purview 資訊保護。
如需詳細資訊,請參閱 支援的 PowerShell Cmdlet。
若要設定和安裝掃描器:
從關閉 PowerShell 開始。 如果您先前已安裝資訊保護用戶端和掃描器,請確定 Microsoft Purview 資訊保護掃描器服務已停止。
使用 [以系統管理員身分執行] 選項開啟 Windows PowerShell 工作階段。
執行 Install-Scanner 命令,在 SQL Server 執行個體上安裝掃描器,並使用 Cluster 參數來定義叢集名稱。
無論您是否能夠存取 Microsoft Purview 入口網站中的掃描器頁面,此步驟都是相同的。 如需詳細資訊,請參閱本文中先前的指示: 安裝掃描器
取得要與掃描器搭配使用的 Azure 權杖,然後重新驗證。
無論您是否能夠存取 Microsoft Purview 入口網站中的掃描器頁面,此步驟都是相同的。 如需詳細資訊,請參閱本文中稍早的指示:取得掃描器的 Microsoft Entra 權杖。
執行 Set-ScannerConfiguration Cmdlet,將掃描器設定為在離線模式下運作。 跑:
Set-ScannerConfiguration -OnlineConfiguration Off執行 Set-ScannerContentScan Cmdlet 以建立預設內容掃描作業。
Set-ScannerContentScan Cmdlet 中唯一必要的參數是 Enforce。 不過,此時您可能想要為內容掃描工作定義其他設定。 例如:
Set-ScannerContentScan -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>上述語法會在您繼續設定時設定下列設定:
- 將掃描器執行排程保持 為手動
- 根據敏感度標籤原則設定要探索的資訊類型
- 不強制執行敏感度標籤原則
- 使用針對敏感度標籤原則定義的預設標籤,根據內容自動標記檔案
- 不允許重新標記檔案
- 在掃描和自動標記時保留檔案詳細資料,包括 修改日期、 上次修改日期和 修改依據 值
- 將掃描器設定為在執行時排除.msg和.tmp檔案
- 將預設擁有者設定為您執行掃描器時要使用的帳戶
使用 Add-ScannerRepository Cmdlet 來定義您要在內容掃描作業中掃描的存放庫。 例如,執行:
Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'使用下列其中一種語法,視您要新增的存放庫類型而定:
- 針對網路共用,請使用
\\Server\Folder。 - 針對 SharePoint 文件庫,請使用
http://sharepoint.contoso.com/Shared%20Documents/Folder。 - 對於本機路徑:
C:\Folder - 針對 UNC 路徑:
\\Server\Folder
如果您新增 共用文件的 SharePoint 路徑:
- 當您想要掃描「共用文件」中的所有文件和所有資料夾時,請在路徑中指定「 共用文件 」。
例如:
http://sp2013/SharedDocuments - 當您想要掃描「共用文件」下子資料夾中的所有文件和所有資料夾時,請在路徑中指定文件。
例如:
http://sp2013/Documents/SalesReports - 或者,只指定 SharePoint 的 FQDN ,例如
http://sp2013,探索 和掃描特定 URL 下的所有 SharePoint 網站和子網站 ,以及此 URL 下的副標題。 授與掃描器網站 收集器稽核員 許可權以啟用此功能。
新增 SharePoint 路徑時,請使用下列語法:
路徑 語法 根路徑 http://<SharePoint server name>
掃描所有網站,包括掃描器使用者允許的任何網站集合。特定 SharePoint 子網站或集合 下列其中之一:
-http://<SharePoint server name>/<subsite name>
-http://SharePoint server name>/<site collection name>/<site name>特定 SharePoint 文件庫 下列其中之一:
-http://<SharePoint server name>/<library name>
-http://SharePoint server name>/.../<library name>特定 SharePoint 資料夾 http://<SharePoint server name>/.../<folder name>- 針對網路共用,請使用
視需要繼續執行下列步驟:
使用 PowerShell 設定掃描器以套用分類和保護
執行 Set-ScannerContentScan Cmdlet 來更新您的內容掃描作業,以將排程設定為一律,並強制執行敏感度原則。
Set-ScannerContentScan -Schedule Always -Enforce On提示
您可能想要變更此窗格上的其他設定,例如是否變更檔案屬性,以及掃描器是否可以重新標記檔案。 如需可用設定的詳細資訊,請參閱完整的 Set-ScannerContentScan 檔。
執行 Start-Scan Cmdlet 以執行內容掃描作業:
Start-Scan
掃描器現在排定要持續執行。 當掃描器處理所有已配置的檔案時,它會自動啟動一個新週期,以便發現任何新的和變更的檔案。
使用 PowerShell 使用掃描器設定 DLP 原則
再次執行 Set-ScannerContentScan Cmdlet,並將 -EnableDLP 參數設定為 On,並定義特定的存放庫擁有者。
例如:
Set-ScannerContentScan -EnableDLP On -RepositoryOwner 'domain\user'
支援的 PowerShell Cmdlet
本節列出資訊保護掃描器支援的 PowerShell Cmdlet,以及僅使用 PowerShell 設定和安裝掃描器的指示。
掃描器支援的 Cmdlet 包括:
後續步驟
安裝並配置掃描儀後,開始 掃描文件。