Résoudre les problèmes liés au déploiement du scanneur de protection des informations
Note
Le Scanneur d’étiquetage unifié Azure Information Protection est renommé en scanner Protection des données Microsoft Purview. En même temps, la configuration (actuellement en préversion) passe au portail de conformité Microsoft Purview. Actuellement, vous pouvez configurer l’analyseur dans le portail Azure et le portail de conformité. Les instructions de cet article font référence aux deux portails d’administration.
Si vous rencontrez des problèmes avec le scanneur Protection des données Microsoft Purview, vérifiez si votre déploiement est sain à l’aide de l’applet de commande PowerShell Start-ScannerDiagnostics pour démarrer l’outil de diagnostic du scanneur :
Start-ScannerDiagnostics
L’outil de diagnostic vérifie les détails suivants, puis crée un fichier journal avec les résultats :
- Indique si la base de données est à jour
- Indique si les URL réseau sont accessibles
- Indique s’il existe un jeton d’authentification valide et que la stratégie peut être acquise
- Indique si le profil est défini dans le Portail Azure
- Indique si la configuration hors connexion/en ligne existe et peut être acquise
- Indique si les règles configurées sont valides
Conseil
- Si vous n’exécutez pas l’outil à l’aide du compte de service utilisé pour exécuter le service scanneur, vous devez utiliser le
-OnBehalfparamètre. Sinon, vous rencontrerez des erreurs. - Pour imprimer les 10 dernières erreurs du journal du scanneur, ajoutez le
Verboseparamètre. Si vous souhaitez imprimer d’autres erreurs, utilisez laVerboseErrorCountméthode pour définir le nombre d’erreurs que vous souhaitez imprimer.
La Start-ScannerDiagnostics commande n’exécute pas de vérification complète des prérequis. Si vous rencontrez des problèmes avec le scanneur, vous devez également vous assurer que votre système est conforme aux exigences du scanneur, et que la configuration et l’installation de votre scanneur sont terminées.
Vérifier les détails de l’analyse par nœud et référentiel du scanneur
Exécutez l’applet de commande PowerShell Get-ScanStatus pour obtenir des détails sur l’état actuel de l’analyse et la liste des nœuds de votre cluster scanneur.
PS C:\> Get-ScanStatus
Cluster : contoso-test
ClusterStatus : Scanning
StartTime : 12/22/2020 9:05:02 AM
TimeFromStart : 00:00:00:37
NodesInfo : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}
Utilisez la NodesInfo variable avec l’applet de commande Get-ScanStatus pour obtenir plus de détails sur chaque nœud du cluster :
PS C:\WINDOWS\system32> $x=Get-ScanStatus
PS C:\WINDOWS\system32> $x.NodesInfo
La sortie affiche les détails de chaque nœud d’une table, comme illustré dans l’exemple suivant :
NodeName Status IsScanning Summary
-------- -------- ---------- -------
t-contoso1-T298-corp.contoso.com Scanning True Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com Scanning Pending Microsoft.InformationProtection.Scanner.ScanSummaryData
Pour descendre plus loin dans chaque nœud, utilisez à nouveau la NodesInfo variable, avec l’entier du nœud commençant par 0.
PS C:\Windows\system32> $x.NodesInfo[0].Summary
La sortie affiche les détails des analyses sur le nœud sélectionné, comme illustré dans l’exemple suivant :
ScannerID : t-contoso1-T298-corp.contoso.com
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
Utilisez le Verbose paramètre avec l’applet de commande Get-ScanStatus pour obtenir des données sur une analyse actuelle.
PS C:\> Get-ScanStatus -Verbose
ScannedFiles MBScanned CurrentScanSummary RepositoriesStatus
------------ --------- ------------------ ------------------
2280 78478187 Microsoft.InformationProtection.Scanner.ScanSummaryData {{ Path = C:\temp, Status = Scanning }
Utilisez les RepositoriesStatus CurrentScanSummary variables pour explorer plus en détail l’état des référentiels.
Les valeurs d’état du référentiel possibles sont les suivantes :
- Ignoré, si le référentiel a été ignoré
- En attente, si l’analyse actuelle n’a pas encore démarré l’analyse du référentiel
- Analyse, si l’analyse actuelle est en cours d’exécution sur le référentiel
- Terminé, si l’analyse actuelle s’est terminée sur le référentiel
Exemple : utiliser la variable RepositoryStatus
PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus
Path Status
---- ------
C:\temp Scanning
Exemple : utiliser la variable CurrentScanSummary
PS C:\Windows\system32> $x.CurrentScanSummary
ScannerID :
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
Cette sortie n’affiche qu’un seul référentiel. S’il existe plusieurs référentiels, chacun d’eux est répertorié séparément.
Informations de référence sur les erreurs du scanneur
Le tableau suivant fournit des informations sur les messages d’erreur spécifiques générés par le scanneur et fournit des actions pour résoudre le problème associé :
| Type d’erreur | Dépannage |
|---|---|
| Erreurs d'authentification | |
| Erreurs de stratégie | |
| Erreurs de base de données/schéma | |
| Autres erreurs |
Jeton d’authentification non accepté
Message d’erreur
Microsoft.InformationProtection.Exceptions.AccessDeniedException : le service n’a pas accepté le jeton d’authentification.
Description
La commande Set-Authentication a échoué.
Solution
Verfy que les autorisations appropriées sont définies correctement dans le Portail Azure.
Pour plus d’informations, consultez Créer et configurer des applications Microsoft Entra pour Set-Authentication.
Jeton d’authentification manquant
Messages d’erreur
-
NoAuthTokenException : l’application cliente n’a pas pu fournir de jeton d’authentification pour la requête HTTP
-
Microsoft.InformationProtection.Exceptions.NoAuthTokenException : l’application cliente n’a pas pu fournir de jeton d’authentification pour la requête HTTP. Échec avec : System.AggregateException : une ou plusieurs erreurs se sont produites. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException : user_interaction_required : l’une des deux conditions a été rencontrée : 1. L’indicateur PromptBehavior.Never a été passé, mais la contrainte n’a pas pu être respectée, car l’interaction utilisateur a été requise. 2. Une erreur s’est produite lors d’une authentification web silencieuse qui empêchait le flux d’authentification http de se terminer dans un délai suffisamment court
-
Échec de l’acquisition d’un jeton à l’aide de l’authentification intégrée Windows (aucune authentification unique)
À partir de la Portail Azure, dans la page Nœuds :
La stratégie n’inclut aucune condition d’étiquetage automatique
Description
Ces erreurs d’authentification se produisent lorsque le scanneur s’exécute de manière non interactive.
Solution
Vous devez vous authentifier à l’aide d’un jeton à l’aide de l’applet de commande Set-Authentication .
Lorsque vous exécutez l’applet de commande Set-Authentication, veillez à utiliser le paramètre de jeton pour le compte de service utilisé pour exécuter le service scanneur, comme indiqué dans l’exemple suivant :
$pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.
Pour plus d’informations, consultez Obtenir un jeton Microsoft Entra pour le scanneur.
Stratégie manquante
Message d’erreur
La stratégie est manquante
Description
Le scanneur ne peut pas trouver votre fichier de stratégie d’étiquette de confidentialité.
Solution
Pour vérifier que votre fichier de stratégie existe comme prévu, vérifiez l’emplacement suivant : %localappdata%\Microsoft\MSIP\mip\MSIP\MSIP. Scanner.exe\mip\mip.policies.sqlite3.
Pour plus d’informations sur les étiquettes de confidentialité et leurs stratégies d’étiquette, consultez Créer et configurer des étiquettes de confidentialité et leurs stratégies.
La stratégie n’inclut pas les conditions d’étiquetage automatique
Message d’erreur
La stratégie ne présente pas de conditions d’étiquetage
Description
La stratégie d’étiquetage ne contient pas de conditions d’étiquetage automatique.
Solution
Configurez les paramètres suivants :
| Setting | Étapes de configuration des paramètres |
|---|---|
| Paramètres de la tâche d’analyse du contenu | Dans le portail Azure, procédez comme suit : |
| Paramètres de stratégie d’étiquetage | Dans la portail de conformité Microsoft Purview, procédez comme suit : |
Si les paramètres sont déjà définis comme prévu, le fichier de stratégie lui-même peut être manquant ou inaccessible, par exemple lorsqu’il existe un délai d’expiration à partir du portail de conformité Microsoft Purview.
Pour vérifier votre fichier de stratégie, vérifiez que le fichier suivant existe : %localappdata%\Microsoft\MSIP\mip\MSIP\MSIP. Scanner.exe\mip\mip.policies.sqlite3
Pour plus d’informations, consultez Présentation du scanneur d’étiquetage unifié Azure Protection des données et en savoir plus sur les étiquettes de confidentialité.
Erreurs de base de données
Message d’erreur
Erreur de base de données
Description
Le scanneur n’est pas en mesure de se connecter à la base de données.
Solution
Vérifiez la connectivité réseau entre l’ordinateur scanneur et la base de données.
En outre, assurez-vous que le compte de service utilisé pour exécuter les processus de scanneur dispose de toutes les autorisations requises pour accéder à la base de données.
Schéma incompatible ou obsolète
Message d’erreur
Celui-ci peut avoir l'une des valeurs suivantes :
-
SchemaMismatchException
Dans la Portail Azure, dans la page Nœuds :
Le schéma de base de données n’est pas à jour. Exécuter la commande Update-ScannerDatabase pour mettre à jour le schéma de base de données
Erreur : le schéma de base de données n’est pas à jour
Description
Le schéma de base de données n’est pas à jour.
Solution
Exécutez l’applet de commande Update-ScannerDatabase pour resynchroniser votre schéma et vérifiez qu’il est à jour avec les modifications récentes.
La connexion sous-jacente a été fermée
Messages d’erreur
System.Net.WebException : La connexion sous-jacente a été fermée : une erreur inattendue s’est produite lors d’un envoi. >--- System.IO.IOException : l’authentification a échoué, car la partie distante a fermé le flux de transport.
[System.Net.Http.HttpRequestException : une erreur s’est produite lors de l’envoi de la requête. >--- System.Net.WebException : la connexion sous-jacente a été fermée : une erreur inattendue s’est produite lors d’un envoi. >--- System.IO.IOException : Impossible de lire les données de la connexion de transport : une connexion existante a été fermée de force par l’hôte distant. >--- System.Net.Sockets.SocketException : une connexion existante a été fermée de force par l’hôte distant.
Description
Ces erreurs indiquent que TLS 1.2 n’est pas activé.
Solution
Pour activer TLS 1.2, consultez :
- Configuration requise pour les pare-feu et l’infrastructure réseau
- Comment activer TLS 1.2
- Activation de la prise en charge de TLS 1.1 et TLS 1.2 dans Office Online Server
Processus scanneur bloqués
Message d’erreur
Aucun message d’erreur n’est affiché, mais le scanneur expire.
Description
Le scanneur traite un seul fichier pendant une durée plus longue que prévu ou s’arrête de façon inattendue lors de l’analyse d’un grand nombre de fichiers dans un référentiel. Le processus du scanneur peut être bloqué.
Solution
Modifiez l’un des paramètres suivants :
Nombre de ports dynamiques. Vous devrez peut-être augmenter le nombre de ports dynamiques pour le système d’exploitation hébergeant les fichiers. Le renforcement du serveur pour SharePoint peut être une raison pour laquelle le scanneur dépasse le nombre de connexions réseau autorisées et s’arrête.
Pour plus d’informations sur la façon d’afficher la plage de ports actuelle et d’augmenter la plage, consultez Paramètres qui peuvent être modifiés pour améliorer les performances réseau.
Seuil d’affichage de liste. Pour les batteries de serveurs SharePoint volumineuses, vous devrez peut-être augmenter le seuil d’affichage de liste. Par défaut, le seuil d’affichage de liste est défini sur 5 000.
Pour plus d’informations sur l’augmentation du seuil, consultez Gérer les grandes listes et bibliothèques dans SharePoint.
Si le problème persiste, vérifiez le rapport détaillé pour déterminer si le fichier augmente de la taille.
Si la taille du fichier continue d’augmenter, le scanneur traite toujours les données, et vous devez attendre qu’il soit terminé.
Si le fichier n’augmente plus de taille, procédez comme suit :
Exécutez les applets de commande suivantes :
- Applet de commande Start-ScannerDiagnostics : pour exécuter des vérifications de diagnostic sur votre scanneur, puis exporter et compresser des fichiers journaux pour toutes les erreurs détectées.
- Applet de commande Export-DebugLogs : pour exporter et créer une version .zip des fichiers journaux à partir du répertoire %localappdata%\Microsoft\MSIP\Logs .
Créez un fichier de vidage pour le service Scanneur MSIP. Dans le Gestionnaire des tâches Windows, cliquez avec le bouton droit sur le service Scanneur MSIP, puis sélectionnez Créer un fichier de vidage.
Dans la Portail Azure, arrêtez l’analyse.
Sur l’ordinateur du scanneur, redémarrez le service.
Ouvrez un ticket de support et joignez les fichiers de vidage à partir du processus du scanneur.
Connexion impossible au serveur distant
Message d’erreur
Dans le fichier MSIPScanner.iplog situé sous %localappdata%\Microsoft\MSIP\Logs\ :
Impossible de se connecter au serveur distant ---> System.Net.Sockets.SocketException : une seule utilisation de chaque adresse de socket (protocole/adresse réseau/port) est normalement autorisée IP :port
S’il existe plusieurs journaux d’activité, le fichier MSIPScanner.iplog est un fichier .zip.
Description
Le scanneur a dépassé le nombre de connexions réseau autorisées.
Solution
Augmentez le nombre de ports dynamiques pour le système d’exploitation hébergeant les fichiers.
Pour plus d’informations sur la façon d’afficher la plage de ports actuelle et d’augmenter la plage, consultez Paramètres qui peuvent être modifiés pour améliorer les performances du réseau.
Profil ou travail d’analyse du contenu manquant
Message d’erreur
Dans la Portail Azure, dans la page Nœuds :
Aucun travail d’analyse de contenu trouvé
Description
Cette erreur se produit lorsque le travail ou le profil d’analyse de contenu est introuvable.
Solution
Vérifiez la configuration de votre scanneur dans le Portail Azure.
Pour plus d’informations, consultez Configuration et installation du scanneur d’étiquetage unifié Azure Protection des données.
Remarque : un profil est un terme de scanneur hérité qui a été remplacé par le cluster de scanneur et le travail d’analyse de contenu dans les versions plus récentes du scanneur.
Aucun référentiel configuré
Message d’erreur
Dans le portail d’administration, dans la page Nœuds :
Aucun référentiel n’est configuré
Description
Vous pouvez avoir un travail d’analyse de contenu sans référentiel configuré.
Solution
Vérifiez les paramètres de votre travail d’analyse de contenu et ajoutez au moins un référentiel.
Pour plus d’informations, consultez Créer une tâche d’analyse de contenu.
Aucun cluster trouvé
Message d’erreur
Dans le portail d’administration, dans la page Nœuds :
Aucun cluster trouvé
Description
Aucune correspondance réelle trouvée pour l’un des clusters de scanneur que vous avez définis.
Solution
Vérifiez la configuration de votre cluster et vérifiez-la par rapport aux détails de votre propre système pour les fautes de frappe et les erreurs.
Pour plus d’informations, consultez Créer un cluster de scanneur.
Plus d’informations
Meilleures pratiques pour le déploiement et l’utilisation du scanneur UL AIP.