注意事項
有新版本的資訊保護掃描器。 如需詳細資訊,請參閱 升級 Microsoft Purview 資訊保護掃描器。
從 Microsoft Purview 資訊保護安裝掃描器之前,請確定您的系統符合 Azure Rights Management 服務的需求。
此外,掃描器還特定於下列需求:
如果您無法滿足掃描器列出的所有需求,因為組織的原則禁止這些需求,請參閱 替代組態 一節。
在生產環境中部署掃描器或測試多個掃描器的效能時,請參閱 SQL Server 的儲存體需求和容量規劃。
當您準備好開始安裝和部署掃描器時,請繼續 設定和安裝資訊保護掃描器。
Windows Server 需求
您必須有 Windows Server 電腦才能執行掃描器,其系統規格如下:
| 規格 | 詳細資料 |
|---|---|
| 處理器 | 4 核心處理器 |
| RAM | 8 GB |
| 磁碟空間 | 10 GB 可用空間 (暫存檔案的平均) 。
掃描器需要足夠的磁碟空間,才能為其掃描的每個檔案建立暫存檔案,每個核心四個檔案。 建議的 10 GB 磁碟空間允許 4 個核心處理器掃描 16 個檔案,每個檔案的檔案大小為 625 MB。 |
| 作業系統 | 64 位元版本: - Windows Server 2025 - Windows Server 2022 - Windows Server 2019 - Windows Server 2016 附註: 為了在非生產環境中進行測試或評估,您也可以使用資訊保護支援的任何 Windows 作業系統客戶。 不支援 Server Core 和 Nano Server。 |
| - 網路連線 | 您的掃描器電腦可以是實體電腦或虛擬電腦,具有快速且可靠的網路連線到要掃描的資料存放區。
如果由於組織原則而無法連線網際網路,請參閱 使用替代組態部署掃描器。 否則,請確定此電腦具有允許透過 HTTPS (連接埠 443) 的下列 URL 的網際網路連線: - *.aadrm.com - *.azurerms.com - *.informationprotection.azure.com - informationprotection.hosting.portal.azure.net - *.aria.microsoft.com - *.protection.outlook.com |
| NFS 股票 | 若要支援對 NFS 共用的掃描,必須在掃描器電腦上部署 NFS 服務。 在您的電腦上,導覽至 Windows 功能 (開啟或關閉 Windows 功能) 設定對話方塊,然後選取下列項目: NFS>管理工具 的服務和 NFS 的用戶端。 |
| Microsoft Office iFilter | 當您的掃描器安裝在 Windows 伺服器電腦上時,您也必須安裝 Microsoft Office iFilter,才能掃描 .zip 檔案中的敏感資訊類型。 如需詳細資訊,請參閱 Microsoft 下載網站。 |
服務帳戶需求
您必須擁有服務帳戶,才能在 Windows Server 電腦上執行掃描器服務,以及向 Microsoft Entra ID 進行驗證,並下載掃描器的原則。
您的服務帳戶必須是 Active Directory 帳戶,並同步處理至 Microsoft Entra ID。
如果您因為組織原則而無法同步化此帳戶,請參閱 使用替代組態部署掃描器。
此服務帳戶具有下列需求:
| 需求 | 詳細資料 |
|---|---|
| 在本機登入使用者權限指派 | 安裝和設定掃描器需要,但不需要執行掃描。
確認掃描器可以探索、分類和保護檔案之後,您可以從服務帳戶中移除此權限。 如果由於您的組織原則而無法授與此權限,即使是在短時間內,請參閱 使用替代組態部署掃描器。 |
| 以服務使用者權限指派身分登入。 | 此權限會在掃描器安裝期間自動授予服務帳戶,並且掃描器的安裝、配置和操作需要此權限。 |
| 資料儲存庫的許可權 |
-
檔案共用或本機檔案:授與 讀取、 寫入和 修改 權限,以掃描檔案,然後套用設定的分類和保護。 - SharePoint:您必須授與掃描檔案的完整控制權限,然後將分類和保護套用至符合 Azure 資訊保護原則中條件的檔案。 - 探索模式:若要僅在探索模式下執行掃描器, 讀取 權限就足夠了。 |
| 適用於重新保護或移除保護的標籤 | 若要確保掃描器一律可以存取加密的檔案,請將此帳戶設為 Azure Rights Management 服務的 超級使用者 ,並確定已啟用超級使用者功能。
此外,如果您已針對分階段部署實作 上線控制項 ,請確定服務帳戶包含在您已設定的上線控制項中。 |
| 特定 URL 層級掃描 | 若要掃描和探索 特定 URL 下的網站和子網站,請授與伺服器陣列層級掃描器帳戶的 Site Collector 稽核員 權限。 |
| 資訊保護授權 | 需要為掃描器服務帳戶提供檔案分類、標籤或保護功能。 如需詳細資訊,請參閱 Microsoft 365 安全性 & 合規性指引。 |
SQL Server 需求
若要儲存掃描器組態資料,請使用具有下列需求的 SQL Server:
本機或遠端執行個體。
建議您在不同的電腦上裝載 SQL Server 和掃描器服務,除非您使用的是小型部署。 此外,我們建議您使用專用的 SQL 執行個體,該執行個體僅為掃描器資料庫提供服務,且不會與其他應用程式共用。
如果您在共用伺服器上工作,請確定 建議的核心數 是空閒的,掃描器資料庫才能運作。
SQL Server 2016 是下列版本的最低版本:
SQL Server Enterprise
SQL Server Standard
SQL Server Express (建議僅用於測試環境)
具有系統管理員角色的帳戶,可安裝掃描器。
系統管理員角色可讓安裝程序自動建立掃描器組態資料庫,並將必要的 db_owner 角色授與執行掃描器的服務帳戶。
如果您無法獲得系統管理員角色,或您的組織原則需要手動建立和配置資料庫,請參閱 使用替代配置部署掃描器。
量。 如需容量指引,請參閱 SQL Server 的儲存體需求和容量規劃。
注意事項
當您指定掃描器的自訂叢集名稱時,或使用掃描器的預覽版本時,支援相同 SQL Server 上的多個組態資料庫。
SQL Server 的儲存體需求和容量規劃
掃描器組態資料庫所需的磁碟空間量,以及執行 SQL Server 的電腦規格,每個環境可能會有所不同,因此建議您自行進行測試。 使用下列指引作為起點。
如需相關資訊,請參閱 最佳化掃描器效能。
掃描器組態資料庫的磁碟大小會因每個部署而異。 使用以下方程式作為指導:
100 KB + <file count> *(1000 + 4* <average file name length>)
例如,若要掃描平均檔名長度為 250 位元組的 1,000,000,000 個檔案,請配置 2 GB 磁碟空間。
對於多台掃描器:
最多 10 台掃描儀,使用:
- 4 核心處理器
- 建議使用 8 GB RAM
超過 10 台掃描儀 ( 最多 40) ,使用:
- 8個核心工藝
- 建議使用 16 GB RAM
資訊保護用戶端需求
針對生產網路,您必須在 Windows Server 電腦上安裝目前的正式發行版本 Microsoft Purview 資訊保護用戶端。
如需詳細資訊,請參閱 安裝或升級資訊保護用戶端。
重要事項
您必須安裝掃描器的完整用戶端。 請勿只使用 PowerShell 模組來安裝用戶端。
標籤設定需求
您必須在 Microsoft Purview 入口網站中針對掃描器帳戶設定至少一個敏感度標籤,才能套用分類,並選擇性地加密。
掃描器帳戶是您將在設定掃描器時執行的 Set-Authentication Cmdlet 的 DelegatedUser 參數中指定的帳戶。
如果您的標籤沒有自動標記條件,請參閱下方 替代設定的指示 。
如需詳細資訊,請參閱:
SharePoint 需求
若要掃描 SharePoint 文件庫和資料夾,請確保您的 SharePoint 伺服器符合下列需求:
| 需求 | 描述 |
|---|---|
| 支援的版本: | 支援的版本包括:SharePoint 2019、SharePoint 2016 和 SharePoint 2013。 掃描器不支援其他版本的 SharePoint。 |
| 版本設定 | 當您使用 版本控制時,掃描器會檢查並標記上次發佈的版本。 如果掃描器標記檔案且需要 內容核准 ,則必須核准該標記的檔案才能供使用者使用。 |
| 大型 SharePoint 伺服器陣列 | 針對大型 SharePoint 伺服器陣列,請檢查您是否需要將清單檢視臨界值 (預設為 5,000) ,掃描器才能存取所有檔案。 如需詳細資訊,請參閱 在 SharePoint 中管理大型清單和文件庫。 |
| 長檔案路徑 | 如果您在 SharePoint 中有很長的檔案路徑,請確定 SharePoint 伺服器的 httpRuntime.maxUrlLength 值大於預設的 260 個字元。 如需詳細資訊,請參閱下一節, 避免 SharePoint 中的掃描器逾時。 |
避免 SharePoint 中的掃描器逾時
如果您在 SharePoint 2013 版或更新版本中有長檔案路徑,請確定 SharePoint 伺服器的 httpRuntime.maxUrlLength 值大於預設的 260 個字元。
此值定義在組態的 ASP.NETHttpRuntimeSection 類別中。
若要更新 HttpRuntimeSection 類別:
備份您的 web.config 組態。
視需要更新 maxUrlLength 值。 例如:
<httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000" />重新啟動 SharePoint 網頁伺服器,並確認其載入正確。
例如,在 Windows Internet Information Server (IIS) 管理員中,選取您的網站,然後在 [管理網站] 底下,選取 [ 重新啟動]。
Microsoft Office 需求
若要掃描 Office 文件,您的文件必須採用下列其中一種格式:
- Microsoft Office 97-2003
- 適用於 Word、Excel 和 PowerPoint 的 Office Open XML 格式
如需詳細資訊,請參閱 支援的檔案類型。
檔案路徑需求
依預設,若要掃描檔案,檔案路徑必須有最多 260 個字元。
若要掃描檔案路徑超過 260 個字元的檔案,請在具有下列其中一個 Windows 版本的電腦上安裝掃描器,並視需要設定電腦:
| Windows 版本 | 描述 |
|---|---|
| Windows 2016 或更新版本 | 設定電腦以支援長路徑 |
| Windows 10 或 Windows Server 2016 | 定義下列 群組原則設定: 本機電腦原則>電腦設定>系統管理範本>所有設定>啟用 Win32 長路徑。
如需這些版本中長檔案路徑支援的詳細資訊,請參閱 Windows 10 開發人員檔中的 路徑長度限制上限 一節。 |
| Windows 10 版本 1607 或更新版本 | 選擇加入更新的 MAX_PATH 功能。 如需詳細資訊,請參閱 在 Windows 10 1607 版和更新版本中啟用長路徑。 |
使用替代配置部署掃描器
上面列出的先決條件是掃描器部署的預設需求,建議使用,因為它們支援最簡單的掃描器設定。
預設需求應該適合初始測試,以便您可以檢查掃描器的功能。
不過,在生產環境中,您組織的原則可能與預設需求不同。 掃描器可以透過其他設定來適應以下變更:
探索並掃描特定 URL 下的所有 SharePoint 網站和子網站
掃描器可以使用下列設定來探索和掃描特定 URL 下的所有 SharePoint 網站和子網站:
啟動 SharePoint 管理中心。
在 SharePoint 管理中心 網站上的 [ 應用程式管理 ] 區段中,按一下 [管理 Web 應用程式]。
按一下 以反白顯示您要管理其權限原則層級的 Web 應用程式。
選擇相關的伺服器陣列,然後選取 [管理許可權原則層級]。
在 [網站集合權限] 選項中選取 [網站集合稽核器],然後在 [權限] 清單中授與 [檢視應用程式頁面],最後將新的原則層級命名為 [掃描器] 網站集合稽核員和檢視器。
將您的掃描器使用者新增至新原則,並在 [權限] 清單中授與 網站集合 。
新增裝載需要掃描之網站或子網站的 SharePoint URL。 如需詳細資訊,請參閱 設定掃描器設定。
若要深入瞭解如何管理 SharePoint 原則層級,請參閱管理 Web 應用程式的許可權原則。
限制: 掃描器伺服器無法連線到網際網路
雖然資訊保護用戶端無法在沒有因特網連線的情況下套用加密,但掃描器仍然可以根據匯入的原則套用標籤。
若要支援中斷連線的電腦,請使用下列其中一種方法:
將 Microsoft Purview 入口網站與中斷連線的電腦搭配使用
若要支援無法連線到 Microsoft Purview 入口網站的電腦,請執行下列步驟:
在原則中設定標籤,然後使用 程式來支援中斷連線的電腦 ,以啟用離線分類和標籤。
啟用內容工作的離線管理,如下所示:
啟用內容掃描工作的離線管理:
使用 Set-ScannerConfiguration Cmdlet 將掃描器設定為在離線模式下運作。
建立掃描器叢集,在 Microsoft Purview 入口網站中設定掃描器。 如需詳細資訊,請參閱 設定掃描器設定。
使用 [匯出] 選項,從 [資訊保護 - 內容掃描作業] 窗格匯出您的內容作業。
使用 Import-ScannerConfiguration Cmdlet 匯入原則。
離線內容掃描作業的結果位於: %localappdata%\Microsoft\MSIP\Scanner\Reports
將 PowerShell 與中斷連線的電腦搭配使用
執行下列程式,以僅支援使用 PowerShell 中斷連線的電腦。
重要事項
Azure 中國 21Vianet 掃描器伺服器的系統管理員必須使用此程式,才能管理其內容掃描作業。
僅使用 PowerShell 管理您的內容掃描作業:
使用 Set-ScannerConfiguration Cmdlet 將掃描器設定為在離線模式下運作。
使用 Set-ScannerContentScan Cmdlet 建立新的內容掃描作業,請務必使用必要
-Enforce On參數。使用 Add-ScannerRepository Cmdlet 新增存放庫,以及您要新增的存放庫路徑。
提示
若要防止儲存庫繼承內容掃描工作的設定,請新增
OverrideContentScanJob On參數以及其他設定的值。若要編輯現有儲存庫的詳細資料,請使用 Set-ScannerRepository 命令。
使用 Get-ScannerContentScan 和 Get-ScannerRepository Cmdlet 來傳回內容掃描作業目前設定的相關資訊。
使用 Set-ScannerRepository 指令來更新現有儲存庫的詳細資料。
如有需要,請立即使用 Start-Scan Cmdlet 執行內容掃描作業。
離線內容掃描作業的結果位於: %localappdata%\Microsoft\MSIP\Scanner\Reports
如果您需要移除存放庫或整個內容掃描作業,請使用下列 Cmdlet:
限制: 您無法獲得 Sysadmin 或必須手動建立和配置資料庫
使用下列程序手動建立資料庫,並視需要授與 db_owner 角色。
如果可以 暫時 授與系統管理員角色來安裝掃描器,則可以在掃描器安裝完成後移除此角色。
根據您組織的需求,執行下列其中一項:
| Restriction | 描述 |
|---|---|
| 您可以暫時擁有系統管理員角色 | 如果您暫時擁有系統管理員角色,則會自動為您建立資料庫,並自動授與掃描器的服務帳戶所需的權限。 不過,設定掃描器的使用者帳戶仍需要掃描器組態資料庫的 db_owner 角色。 如果您在掃描器安裝完成之前只有系統管理員角色,請手動將 db_owner 角色授與使用者帳戶。 |
| 您根本無法擁有系統管理員角色 | 如果您暫時無法獲得系統管理員角色,則必須要求具有系統管理員權限的使用者在安裝掃描器之前手動建立資料庫。 對於此設定,必須將 db_owner 角色指派給下列帳戶: - 掃描器的服務帳戶 - 掃描器安裝的使用者帳戶 - 掃描器設定的使用者帳戶 通常,您將使用相同的使用者帳戶來安裝和設定掃描器。 如果您使用不同的帳戶,它們都需要掃描器組態資料庫的 db_owner 角色。 視需要建立此使用者和權限。 如果您指定自己的叢集名稱,則組態資料庫會命名為 AIPScannerUL_<cluster_name>。 |
此外:
您必須是將執行掃描器的伺服器上的本機管理員
將執行掃描器的服務帳戶必須獲得下列登錄機碼的完整控制權限:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server
如果在設定這些權限之後,您在安裝掃描器時看到錯誤,則可以忽略該錯誤,您可以手動啟動掃描器服務。
手動為掃描器建立資料庫和使用者,並授db_owner權限
如果您需要手動建立掃描器資料庫和/或建立使用者並授予資料庫 db_owner 權限,請要求系統管理員執行以下步驟:
建立掃描器資料庫:
**CREATE DATABASE AIPScannerUL_[clustername]** **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**將權限授與執行安裝命令並用來執行掃描器管理命令的使用者。 使用下列指令碼:
if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END授予掃描器服務帳戶的權限。 使用下列指令碼:
if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
限制: 掃描器的服務帳戶無法授與本端登入權限
如果您的組織原則禁止服務帳戶的 本機登入 權限,請搭配 Set-Authentication 使用 OnBehalfOf 參數。
如需詳細資訊,請參閱 自動執行資訊保護標籤 Cmdlet。
限制: 掃描器服務帳戶無法同步至 Microsoft Entra ID,但伺服器具有網際網路連線
您可以使用一個帳戶來執行掃描器服務,並使用另一個帳戶向 Microsoft Entra ID 進行驗證:
對於掃描器服務帳戶,請使用本機 Windows 帳戶或 Active Directory 帳戶。
針對 Microsoft Entra 帳戶,請在 Set-Authentication Cmdlet 的 DelegatedUser 參數中指定 Microsoft Entra 使用者。
如果您在掃描器帳戶以外的任何使用者下執行掃描,請務必在 OnBehalfOf 參數中也指定掃描器帳戶。
如需詳細資訊,請參閱 自動執行資訊保護標籤 Cmdlet。
限制: 您的標籤沒有自動標記條件
如果您的標籤沒有任何自動標記條件,請計劃在配置掃描器時使用以下選項之一:
| 選項 | 描述 |
|---|---|
| 探索所有資訊類型 | 在您的 內容掃描工作中,將 要探索的資訊類型 選項設定為 全部。
此選項會設定內容掃描作業,以掃描您的內容以取得所有敏感性資訊類型。 |
| 使用建議的標籤 | 在您的 內容掃描工作中,將 Treat recommended labeling as automatic 選項設定為 On。
此設定會將掃描器設定為自動將所有建議的標籤套用到您的內容上。 |
| 定義預設標籤 | 在 原則、 內容掃描工作或 儲存庫中定義預設標籤。
在此情況下,掃描器會在找到的所有檔案上套用預設標籤。 |
後續步驟
確認您的系統符合掃描器必要條件之後,請繼續 設定和安裝資訊保護掃描器。
如需掃描器的概觀,請參閱 瞭解資訊保護掃描器。