Risolvere i problemi relativi alla distribuzione dello scanner di Information Protection
Note
Lo scanner di etichettatura unificata di Azure Information Protection viene rinominato scanner di Microsoft Purview Information Protection. Allo stesso tempo, la configurazione (attualmente in anteprima) passa al Portale di conformità di Microsoft Purview. Attualmente, è possibile configurare lo scanner sia nel portale di Azure che nel portale di conformità. Le istruzioni in questo articolo fanno riferimento a entrambi i portali di amministrazione.
Se si verificano problemi con lo scanner di Microsoft Purview Information Protection, verificare se la distribuzione è integra usando il cmdlet Start-ScannerDiagnostics di PowerShell per avviare lo strumento di diagnostica dello scanner:
Start-ScannerDiagnostics
Lo strumento di diagnostica controlla i dettagli seguenti e quindi crea un file di log con i risultati:
- Indica se il database è aggiornato
- Indica se gli URL di rete sono accessibili
- Indica se è presente un token di autenticazione valido e i criteri possono essere acquisiti
- Indica se il profilo è definito nel portale di Azure
- Indica se la configurazione offline/online esiste e può essere acquisita
- Indica se le regole configurate sono valide
Suggerimento
- Se non si esegue lo strumento usando l'account del servizio usato per eseguire il servizio scanner, è necessario usare il
-OnBehalfparametro . In caso contrario, si verificano errori. - Per stampare gli ultimi 10 errori dal log dello scanner, aggiungere il
Verboseparametro . Se si desidera stampare più errori, utilizzare perVerboseErrorCountdefinire il numero di errori da stampare.
Il Start-ScannerDiagnostics comando non esegue un controllo completo dei prerequisiti. Se si verificano problemi con lo scanner, è anche necessario assicurarsi che il sistema sia conforme ai requisiti dello scanner e che la configurazione e l'installazione dello scanner siano state completate.
Verificare i dettagli di analisi per nodo scanner e repository
Eseguire il cmdlet Get-ScanStatus di PowerShell per ottenere informazioni dettagliate sullo stato di analisi corrente e sull'elenco dei nodi nel cluster dello scanner.
PS C:\> Get-ScanStatus
Cluster : contoso-test
ClusterStatus : Scanning
StartTime : 12/22/2020 9:05:02 AM
TimeFromStart : 00:00:00:37
NodesInfo : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}
Usare la NodesInfo variabile con il cmdlet Get-ScanStatus per ottenere altri dettagli su ogni nodo del cluster:
PS C:\WINDOWS\system32> $x=Get-ScanStatus
PS C:\WINDOWS\system32> $x.NodesInfo
L'output visualizza i dettagli per ogni nodo di una tabella, come illustrato nell'esempio seguente:
NodeName Status IsScanning Summary
-------- -------- ---------- -------
t-contoso1-T298-corp.contoso.com Scanning True Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com Scanning Pending Microsoft.InformationProtection.Scanner.ScanSummaryData
Per eseguire il drill-down in ogni nodo, usare di nuovo la NodesInfo variabile, con l'intero del nodo a partire da 0.
PS C:\Windows\system32> $x.NodesInfo[0].Summary
L'output visualizza i dettagli sulle analisi sul nodo selezionato, come illustrato nell'esempio seguente:
ScannerID : t-contoso1-T298-corp.contoso.com
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
Usare il Verbose parametro con il cmdlet Get-ScanStatus per ottenere dati su un'analisi corrente.
PS C:\> Get-ScanStatus -Verbose
ScannedFiles MBScanned CurrentScanSummary RepositoriesStatus
------------ --------- ------------------ ------------------
2280 78478187 Microsoft.InformationProtection.Scanner.ScanSummaryData {{ Path = C:\temp, Status = Scanning }
Usare o le RepositoriesStatus CurrentScanSummary variabili per eseguire il drill-down per altri dettagli sullo stato dei repository.
I possibili valori di stato del repository includono:
- Ignorato, se il repository è stato ignorato
- In sospeso, se l'analisi corrente non ha ancora avviato l'analisi del repository
- Analisi, se l'analisi corrente è in esecuzione nel repository
- Completato, se l'analisi corrente è stata completata nell'esecuzione nel repository
Esempio: usare la variabile RepositoryStatus
PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus
Path Status
---- ------
C:\temp Scanning
Esempio: usare la variabile CurrentScanSummary
PS C:\Windows\system32> $x.CurrentScanSummary
ScannerID :
ScannedFiles : 2280
FailedFiles : 0
ScannedBytes : 78478187
Classified : 0
Labeled : 0
....
Questo output mostra solo un singolo repository. Se sono presenti più repository, ognuno verrà elencato separatamente.
Informazioni di riferimento sugli errori dello scanner
Nella tabella seguente vengono fornite informazioni su messaggi di errore specifici generati dallo scanner e vengono fornite azioni per risolvere il problema associato:
| Tipo di errore | Risoluzione dei problemi |
|---|---|
| Errori di autenticazione | |
| Errori dei criteri | |
| Errori di database/schema | |
| Altri errori |
Token di autenticazione non accettato
Messaggio di errore
Microsoft.InformationProtection.Exceptions.AccessDeniedException: il servizio non ha accettato il token di autenticazione.
Descrizione
Il comando Set-Authentication non è riuscito.
Risoluzione
Verificare che le autorizzazioni appropriate siano definite correttamente nel portale di Azure.
Per altre informazioni, vedere Creare e configurare applicazioni Microsoft Entra per Set-Authentication.
Token di autenticazione mancante
Messaggi di errore
-
NoAuthTokenException: l'applicazione client non è riuscita a fornire il token di autenticazione per la richiesta HTTP
-
Microsoft.InformationProtection.Exceptions.NoAuthTokenException: l'applicazione client non è riuscita a fornire il token di autenticazione per la richiesta HTTP. Errore con: System.AggregateException: si sono verificati uno o più errori. >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: È stata rilevata una delle due condizioni: 1. È stato passato il flag PromptBehavior.Never, ma non è stato possibile rispettare il vincolo, perché è stata richiesta l'interazione dell'utente. 2. Si è verificato un errore durante un'autenticazione Web invisibile all'utente che ha impedito il completamento del flusso di autenticazione HTTP in un intervallo di tempo sufficiente
-
Non è stato possibile acquisire un token usando l'autenticazione integrata di Windows (Nessun SSO)
Nella pagina Nodi della portale di Azure:
Il criterio non include alcuna condizione di etichettatura automatica
Descrizione
Questi errori di autenticazione si verificano quando lo scanner viene eseguito in modo non interattivo.
Risoluzione
È necessario eseguire l'autenticazione usando un token usando il cmdlet Set-Authentication .
Quando si esegue il cmdlet Set-Authentication, assicurarsi di usare il parametro token per conto dell'account del servizio usato per eseguire il servizio scanner, come illustrato nell'esempio seguente:
$pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.
Per altre informazioni, vedere Ottenere un token Microsoft Entra per lo scanner.
Criteri mancanti
Messaggio di errore
Criteri mancanti
Descrizione
Lo scanner non è in grado di trovare il file dei criteri delle etichette di riservatezza.
Risoluzione
Per verificare che il file di criteri esista come previsto, controllare il percorso seguente: %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3.
Per altre informazioni sulle etichette di riservatezza e sui relativi criteri di etichetta, vedere Creare e configurare le etichette di riservatezza e i relativi criteri.
I criteri non includono condizioni di etichettatura automatica
Messaggio di errore
Criteri mancanti per le condizioni di etichettatura
Descrizione
I criteri di etichettatura mancano condizioni di etichettatura automatica.
Risoluzione
Configurare le impostazioni seguenti:
| Impostazione | Passaggi per configurare le impostazioni |
|---|---|
| Impostazioni del processo di analisi del contenuto | Nel portale di Azure eseguire questa procedura: |
| Impostazioni dei criteri di etichettatura | Nella Portale di conformità di Microsoft Purview eseguire le operazioni seguenti: |
Se le impostazioni sono già definite come previsto, il file di criteri stesso potrebbe essere mancante o inaccessibile, ad esempio quando si verifica un timeout dalla Portale di conformità di Microsoft Purview.
Per verificare il file dei criteri, verificare che il file seguente esista: %localappdata%\Microsoft\MSIP\mip\MSIP. Scanner.exe\mip\mip.policies.sqlite3
Per altre informazioni, vedere Che cos'è lo scanner di etichettatura unificata di Azure Information Protection? e Informazioni sulle etichette di riservatezza.
Errori del database
Messaggio di errore
Errore del database
Descrizione
Lo scanner non è in grado di connettersi al database.
Risoluzione
Controllare la connettività di rete tra il computer dello scanner e il database.
Assicurarsi inoltre che l'account del servizio usato per eseguire i processi dello scanner disponga di tutte le autorizzazioni necessarie per accedere al database.
Schema non corrispondente o obsoleto
Messaggio di errore
Uno dei seguenti:
-
SchemaMismatchException
Nella pagina Nodi della portale di Azure:
Lo schema del database non è aggiornato. Eseguire il comando Update-ScannerDatabase per aggiornare lo schema del database
Errore: lo schema del database non è aggiornato
Descrizione
Lo schema del database non è aggiornato.
Risoluzione
Eseguire il cmdlet Update-ScannerDatabase per risincronizzare lo schema e assicurarsi che sia aggiornato con eventuali modifiche recenti.
Connessione sottostante chiusa
Messaggi di errore
System.Net.WebException: la connessione sottostante è stata chiusa: si è verificato un errore imprevisto in un invio. >--- System.IO.IOException: autenticazione non riuscita perché la parte remota ha chiuso il flusso di trasporto.
[System.Net.Http.HttpRequestException: errore durante l'invio della richiesta. >--- System.Net.WebException: la connessione sottostante è stata chiusa: si è verificato un errore imprevisto in un invio. >--- System.IO.IOException: impossibile leggere i dati dalla connessione di trasporto: una connessione esistente è stata chiusa forzatamente dall'host remoto. >--- System.Net.Sockets.SocketException: una connessione esistente è stata chiusa forzatamente dall'host remoto.
Descrizione
Questi errori indicano che TLS 1.2 non è abilitato.
Risoluzione
Per abilitare TLS 1.2, vedere:
- Firewall e requisiti dell'infrastruttura di rete
- Come abilitare TLS 1.2
- Abilitare il supporto per TLS 1.1 e TLS 1.2 in Office Online Server
Processi di scanner bloccati
Messaggio di errore
Non viene visualizzato alcun messaggio di errore, ma si verifica il timeout dello scanner.
Descrizione
Lo scanner sta elaborando un singolo file per un tempo più lungo del previsto o si arresta in modo imprevisto durante l'analisi di un numero elevato di file in un repository. Il processo dello scanner potrebbe essere bloccato.
Risoluzione
Modificare una delle impostazioni seguenti:
Numero di porte dinamiche. Potrebbe essere necessario aumentare il numero di porte dinamiche per il sistema operativo che ospita i file. La protezione avanzata del server per SharePoint può essere un motivo per cui lo scanner supera il numero di connessioni di rete consentite e si arresta.
Per informazioni su come visualizzare l'intervallo di porte corrente e aumentare l'intervallo, vedere Impostazioni che possono essere modificate per migliorare le prestazioni di rete.
Soglia visualizzazione elenco. Per le farm di SharePoint di grandi dimensioni, potrebbe essere necessario aumentare la soglia di visualizzazione elenco. Per impostazione predefinita, la soglia di visualizzazione elenco è impostata su 5.000.
Per informazioni sull'aumento della soglia, vedere Gestire elenchi e raccolte di grandi dimensioni in SharePoint.
Se il problema persiste, controllare il report dettagliato per determinare se il file aumenta di dimensioni.
Se le dimensioni del file continuano ad aumentare, lo scanner sta ancora elaborando i dati ed è necessario attendere il completamento.
Se il file non aumenta più di dimensioni, eseguire le operazioni seguenti:
Eseguire i seguenti cmdlet:
- Cmdlet Start-ScannerDiagnostics : per eseguire controlli di diagnostica sullo scanner ed esportare e comprimere i file di log per eventuali errori rilevati.
- Cmdlet Export-DebugLogs : per esportare e creare una versione .zip dei file di log dalla directory %localappdata%\Microsoft\MSIP\Logs .
Creare un file di dump per il servizio SCANNER MSIP. In Gestione attività di Windows fare clic con il pulsante destro del mouse sul servizio Scanner MSIP e selezionare Crea file di dump.
Nella portale di Azure arrestare l'analisi.
Nel computer dello scanner riavviare il servizio.
Aprire un ticket di supporto e allegare i file di dump dal processo dello scanner.
Non è possibile connettersi al server remoto
Messaggio di errore
Nel file MSIPScanner.iplog che si trova in %localappdata%\Microsoft\MSIP\Logs\:
Impossibile connettersi al server remoto ---> System.Net.Sockets.SocketException: un solo utilizzo di ogni indirizzo socket (protocollo/indirizzo di rete/porta) è in genere consentito IP:port
Se sono presenti più log, il file MSIPScanner.iplog sarà un file .zip.
Descrizione
Lo scanner ha superato il numero di connessioni di rete consentite.
Risoluzione
Aumentare il numero di porte dinamiche per il sistema operativo che ospita i file.
Per informazioni su come visualizzare l'intervallo di porte corrente e aumentare l'intervallo, vedere Impostazioni che possono essere modificate per migliorare le prestazioni di rete.
Processo di digitalizzazione o profilo del contenuto mancante
Messaggio di errore
Nella pagina Nodi della portale di Azure:
Nessun processo di analisi del contenuto trovato
Descrizione
Questo errore si verifica quando non è possibile trovare il processo o il profilo di analisi del contenuto.
Risoluzione
Controllare la configurazione dello scanner nel portale di Azure.
Per altre informazioni, vedere Configurazione e installazione dello scanner di etichettatura unificata di Azure Information Protection.
Nota: un profilo è un termine di scanner legacy che è stato sostituito dal cluster dello scanner e dal processo di analisi del contenuto nelle versioni più recenti dello scanner.
Nessun repository configurato
Messaggio di errore
Nella pagina Nodi del portale di amministrazione:
Nessun repository configurato
Descrizione
Potrebbe essere disponibile un processo di analisi del contenuto senza repository configurati.
Risoluzione
Controllare le impostazioni del processo di analisi del contenuto e aggiungere almeno un repository.
Per altre informazioni, vedere Creare un processo di analisi del contenuto.
Nessun cluster trovato
Messaggio di errore
Nella pagina Nodi del portale di amministrazione:
Nessun cluster trovato
Descrizione
Nessuna corrispondenza effettiva trovata per uno dei cluster dello scanner definiti.
Risoluzione
Verificare la configurazione del cluster e controllarla in base ai propri dettagli di sistema per individuare errori ed errori di digitazioni.
Per altre informazioni, vedere Creare un cluster dello scanner.
Ulteriori informazioni
Procedure consigliate per la distribuzione e l'uso dello scanner UL di AIP.