Azure Information Protection スキャナーをデプロイして、ファイルを自動的に分類して保護するDeploying the Azure Information Protection scanner to automatically classify and protect files

適用対象: Azure Information Protection、windows server 2019、windows server 2016、windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

注意

この記事は、Azure Information Protection クライアント (クラシック) を使用した Azure Information Protection スキャナーの現在の一般公開バージョンと、Azure の現在の一般公開バージョンのスキャナーのプレビュー版を対象としています。Information Protection 統合されたラベル付けクライアント。This article is for the current general availability version of the Azure Information Protection scanner with the Azure Information Protection client (classic), and the preview version of the scanner for the current general availability version of the Azure Information Protection unified labeling client.

以前にスキャナーをインストールし、アップグレードする場合は、次のアップグレード手順を実行し、このページの手順を使用して、スキャナーをインストールする手順を省略します。If you have previously installed the scanner and want to upgrade it, use the following upgrade instructions and then use the instructions on this page, omitting the step to install the scanner:

1.48.204.0 よりも前のバージョンのスキャナーを使用していて、アップグレードする準備ができていない場合は、「ファイルを自動的に分類して保護するために以前のバージョンの Azure Information Protection スキャナーを展開する」を参照してください。If you have a version of the scanner that is older than 1.48.204.0 and you're not ready to upgrade it, see Deploying previous versions of the Azure Information Protection scanner to automatically classify and protect files.

この情報を使用して、Azure Information Protection スキャナーについて説明し、正常にインストール、構成、および実行する方法について説明します。Use this information to learn about the Azure Information Protection scanner, and then how to successfully install, configure, and run it.

このスキャナーは、Windows Server でサービスとして実行され、次のデータ ストア上のファイルを検出、分類、および保護することができます。This scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

  • スキャナーを実行する Windows Server コンピューター上のローカル フォルダー。Local folders on the Windows Server computer that runs the scanner.

  • サーバー メッセージ ブロック (SMB) プロトコルを使用するネットワーク共有の UNC パス。UNC paths for network shares that use the Server Message Block (SMB) protocol.

  • Sharepoint server 2019 のドキュメントライブラリとフォルダーは、SharePoint Server 2013 を介して使用できます。Document libraries and folders for SharePoint Server 2019 through SharePoint Server 2013. このバージョンの SharePoint の延長サポートが含まれるお客様向けに SharePoint 2010 もサポートされています。SharePoint 2010 is also supported for customers who have extended support for this version of SharePoint.

クラウド リポジトリ上のファイルをスキャンおよびラベル付けするには、スキャナーの代わりに Cloud App Security を使用します。To scan and label files on cloud repositories, use Cloud App Security instead of the scanner.

Azure Information Protection スキャナーの概要Overview of the Azure Information Protection scanner

自動分類を適用するラベルを構成すると、このスキャナーが検出するファイルにラベルを付けることができます。When you have configured labels that apply automatic classification, files that this scanner discovers can then be labeled. ラベルは分類を適用し、必要に応じて、保護を適用または保護を解除します。Labels apply classification, and optionally, apply protection or remove protection:

Azure Information Protection スキャナーのアーキテクチャの概要

スキャナーは、コンピューターにインストールされている IFilters を使うことで、Windows によってインデックス化できるすべてのファイルを検証できます。The scanner can inspect any files that Windows can index, by using IFilters that are installed on the computer. そして、ファイルでラベル付けが必要かどうかを判断するため、スキャナーで Office 365 に組み込まれたデータ損失防止 (DLP) の機密情報の種類とパターン検出、または Office 365 の正規表現パターンが使われます。Then, to determine if the files need labeling, the scanner uses the Office 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Office 365 regex patterns. スキャナーは Azure Information Protection クライアント (従来のクライアントまたは統一されたラベル付けクライアント) を使用するため、スキャナーは同じファイルの種類を分類して保護することができます。Because the scanner uses the Azure Information Protection client (the classic client or unified labeling client), the scanner can classify and protect the same file types:

スキャナーを実行できるのは検索モードでのみです。この場合、レポートを使用して、ファイルがラベル付けされた場合に何が発生するかをチェックします。You can run the scanner in discovery mode only, where you use the reports to check what would happen if the files were labeled. またはスキャナーを実行して、自動的にラベルを適用できます。Or, you can run the scanner to automatically apply the labels. 機密情報の種類を含んだファイルを検出するためにスキャナーを実行することもできます (自動分類を適用する条件用にラベルを構成する必要はありません)。You can also run the scanner to discover files that contain sensitive information types, without configuring labels for conditions that apply automatic classification.

スキャナーは検出せず、リアルタイムでラベル付けしないことに注意してください。Note that the scanner does not discover and label in real time. スキャナーは指定したデータ ストア上のファイルを体系的にクロールします。この実行サイクルは、1 回限りまたは繰り返しに設定することができます。It systematically crawls through files on data stores that you specify, and you can configure this cycle to run once, or repeatedly.

スキャナーの構成の一部としてファイルの種類の一覧を定義することで、スキャンするファイルの種類、またはスキャンから除外するファイルの種類を指定できます。You can specify which file types to scan, or exclude from scanning, by defining a file types list as part of the scanner configuration.

Azure Information Protection スキャナーの前提条件Prerequisites for the Azure Information Protection scanner

Azure Information Protection スキャナーをインストールする前に、次の要件を満たしていることを確認してください。Before you install the Azure Information Protection scanner, make sure that the following requirements are in place.

要件Requirement 説明を見るMore information
スキャナー サービスを実行する Windows Server コンピューター:Windows Server computer to run the scanner service:

- 4 コア プロセッサ- 4 core processors

- 8 GB の RAM- 8 GB of RAM

- 一時ファイルのための空き容量 10 GB (平均)- 10 GB free space (average) for temporary files
Windows Server 2019、Windows Server 2016、または Windows Server 2012 R2。Windows Server 2019, Windows Server 2016, or Windows Server 2012 R2.

注: 非運用環境でテストまたは評価を行う場合、Azure Information Protection クライアントでサポートされている Windows クライアント オペレーティング システムを使用できます。Note: For testing or evaluation purposes in a non-production environment, you can use a Windows client operating system that is supported by the Azure Information Protection client.

このコンピューターは、スキャンするデータ ストアへの高速で信頼性の高いネットワーク接続がある物理コンピューターまたは仮想コンピューターにすることができます。This computer can be a physical or virtual computer that has a fast and reliable network connection to the data stores to be scanned.

スキャナーは、スキャンする各ファイル用に、コアごとに 4 つの一時ファイルを作成するために、十分なディスク領域を必要とします。The scanner requires sufficient disk space to create temporary files for each file that it scans, four files per core. 推奨される 10 GB のディスク領域を使用すると、4 コア プロセッサで、それぞれのサイズが 625 MB であるファイルを 16 個スキャンできます。The recommended disk space of 10 GB allows for 4 core processors scanning 16 files that each have a file size of 625 MB.

組織のポリシーのためにインターネット接続ができない場合は、「代替構成を使用したスキャナーの展開」セクションを参照してください。If internet connectivity is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section. それ以外の場合は、このコンピューターがインターネットに接続されていることを確認し、HTTPS 経由で次の Url を使用できるようにします (ポート 443)。Otherwise, make sure that this computer has internet connectivity that allows the following URLs over HTTPS (port 443):
*.aadrm.com*.aadrm.com
*.azurerms.com*.azurerms.com
*.informationprotection.azure.com*.informationprotection.azure.com
informationprotection.hosting.portal.azure.netinformationprotection.hosting.portal.azure.net
*.aria.microsoft.com*.aria.microsoft.com
*.protection.outlook.com (統合ラベル付けクライアントからのスキャナーのみ)*.protection.outlook.com (scanner from the unified labeling client only)
スキャナー サービスを実行するサービス アカウントService account to run the scanner service Windows Server コンピューター上でのスキャナー サービスの実行に加えて、この Windows アカウントは Azure AD で認証され、Azure Information Protection ポリシーをダウンロードします。In addition to running the scanner service on the Windows Server computer, this Windows account authenticates to Azure AD and downloads the Azure Information Protection policy. このアカウントは Active Directory アカウントであり、かつ Azure AD と同期している必要があります。This account must be an Active Directory account and synchronized to Azure AD. 組織のポリシーによってこのアカウントを同期できない場合は、「代替構成でのスキャナーのデプロイ」セクションをご覧ください。If you cannot synchronize this account because of your organization policies, see the Deploying the scanner with alternative configurations section.

このサービス アカウントには次の要件があります。This service account has the following requirements:

- [Log on locally](ローカル ログオン) ユーザー権限の割り当て。- Log on locally user right assignment. この権限は、スキャナーのインストールと構成に必要ですが、操作には必要ありません。This right is required for the installation and configuration of the scanner, but not for operation. この権限をサービス アカウントに付与する必要がありますが、スキャナーがファイルを検出、分類、保護できることを確認したら、この権限を削除することができます。You must grant this right to the service account but you can remove this right after you have confirmed that the scanner can discover, classify, and protect files. 組織のポリシーによって、短時間でもこの権限を付与することができない場合は、「代替構成でのスキャナーのデプロイ」セクションをご覧ください。If granting this right even for a short period of time is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section.

- [サービスとしてログオン] ユーザー権限の割り当て。- Log on as a service user right assignment. この権限は、スキャナーのインストール中にサービス アカウントに自動的に付与され、スキャナーのインストール、構成、操作に必要です。This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.

- データ リポジトリへのアクセス許可: ファイルをスキャンして、Azure Information Protection ポリシーの条件を満たすファイルに分類と保護を適用するには、読み取り書き込みのアクセス許可を付与する必要があります。- Permissions to the data repositories: You must grant Read and Write permissions for scanning the files and then applying classification and protection to the files that meet the conditions in the Azure Information Protection policy. スキャナーを検索モードでのみ実行するには、読み取りアクセス許可で十分です。To run the scanner in discovery mode only, Read permission is sufficient.

-保護を再保護または削除するラベルの場合: スキャナーが常に保護されたファイルにアクセスできるようにするには、このアカウントを Azure Information Protection のスーパーユーザーにして、スーパーユーザー機能が有効になっていることを確認します。- For labels that reprotect or remove protection: To ensure that the scanner always has access to protected files, make this account a super user for Azure Information Protection, and ensure that the super user feature is enabled. さらに、段階的な展開のオンボーディング制御を実装している場合は、このアカウントが構成したオンボーディング制御に含まれていることを確認してください。In addition, if you have implemented onboarding controls for a phased deployment, make sure that this account is included in your onboarding controls you've configured.
スキャナーの構成を格納する SQL Server:SQL Server to store the scanner configuration:

- ローカルまたはリモート インスタンス- Local or remote instance

- スキャナーをインストールする sysadmin ロール- Sysadmin role to install the scanner
次のエディションでは、SQL Server 2012 が最小バージョンとなります。SQL Server 2012 is the minimum version for the following editions:

- SQL Server Enterprise- SQL Server Enterprise

- SQL Server Standard- SQL Server Standard

- SQL Server Express- SQL Server Express

Azure Information Protection スキャナーでは、スキャナーのカスタム プロファイル名を指定するときに同じ SQL Server インスタンス上の複数の構成データベースがサポートされます。The Azure Information Protection scanner supports multiple configuration databases on the same SQL server instance when you specify a custom profile name for the scanner. 統一されたラベル付けクライアントのプレビューバージョンのスキャナーを使用すると、複数のスキャナーで同じ構成データベースを共有できます。When you use the preview version of the scanner from the unified labeling client, multiple scanners can share the same configuration database.

Sysadmin ロールを持つアカウントでスキャナーをインストールすると、インストールのプロセスでスキャナーの構成データベースが自動的に作成され、スキャナーを実行するサービス アカウントに対して必要な db_owner ロールが付与されます。When you install the scanner and your account has the Sysadmin role, the installation process automatically creates the scanner configuration database and grants the required db_owner role to the service account that runs the scanner. Sysadmin ロールが付与されない場合や、組織のポリシーがデータベースを手動で作成し構成することを要求している場合は、「代替構成でのスキャナーのデプロイ」をご覧ください。If you cannot be granted the Sysadmin role or your organization policies require databases to be created and configured manually, see the Deploying the scanner with alternative configurations section.

容量のガイダンスについては、「 SQL Server のストレージ要件と容量計画」を参照してください。For capacity guidance, see Storage requirements and capacity planning for SQL Server.
次のいずれかの Azure Information Protection クライアントが Windows Server コンピューターにインストールされているEither of the following Azure Information Protection clients is installed on the Windows Server computer

-クラシッククライアント- Classic client

-統一されたラベル付けクライアント (現在の一般公開バージョンのみ)- Unified labeling client (current general availability version only)
スキャナーに対する完全なクライアントをインストールする必要があります。You must install the full client for the scanner. PowerShell モジュールだけで、クライアントをインストールしないでください。Do not install the client with just the PowerShell module.

インストールおよびアップグレードの手順については、次のとおりです。For installation and upgrade instructions:
- のクラシッククライアント- Classic client
- の統一されたラベル付けクライアント- Unified labeling client
自動分類と、必要に応じて保護を適用する構成済みのラベルConfigured labels that apply automatic classification, and optionally, protection クラシッククライアントで条件のラベルを構成し、保護を適用する手順については、次を参照してください。For instructions for the classic client to configure a label for conditions and to apply protection:
- 自動および推奨分類の条件を構成する方法- How to configure conditions for automatic and recommended classification
- Rights Management による保護でラベルを構成する方法- How to configure a label for Rights Management protection

ヒント:チュートリアルの指示に従って、準備された Word 文書でクレジットカード番号を検索するラベルを使用してスキャナーをテストできます。Tip: You can use the instructions from the tutorial to test the scanner with a label that looks for credit card numbers in a prepared Word document. ただし、オプション [このラベルの適用方法を選択][推奨] ではなく [自動] に設定されるように、ラベルの構成を変更する必要があります。However, you will need to change the label configuration so that the option Select how this label is applied is set to Automatic, rather than Recommended. その後、(適用される場合は) ドキュメントからラベルを削除して、スキャナー用のデータ リポジトリにファイルをコピーします。Then remove the label from the document (if it is applied) and copy the file to a data repository for the scanner. 簡単なテストの場合、これにはスキャナー コンピューター上のローカル フォルダーを使用できます。For quick testing, this could be a local folder on the scanner computer.

ラベルを自動ラベル付けするようにラベルを構成し、保護を適用するための統一されたラベル付けクライアントの手順については、以下を参照してください。For instructions for the unified labeling client to configure a label for auto-labeling and to apply protection:
- コンテンツに機密ラベルを自動的に適用する- Apply a sensitivity label to content automatically
- 機密ラベルの暗号化を使用してコンテンツへのアクセスを制限する- Restrict access to content by using encryption in sensitivity labels

自動分類を適用するラベルを構成していない場合でもスキャナーを実行できますが、このシナリオについては、これらの手順では説明されていません。Although you can run the scanner even if you haven't configured labels that apply automatic classification, this scenario is not covered with these instructions. 詳細情報More information
スキャンする SharePoint ドキュメントライブラリおよびフォルダーの場合:For SharePoint document libraries and folders to be scanned:

-SharePoint 2019- SharePoint 2019

- SharePoint 2016- SharePoint 2016

- SharePoint 2013- SharePoint 2013

- SharePoint 2010- SharePoint 2010
スキャナーでは SharePoint の他のバージョンはサポートされていません。Other versions of SharePoint are not supported for the scanner.

バージョン管理を使用すると、スキャナーは最後に発行されたバージョンを検査してラベルを付けます。When you use versioning, the scanner inspects and labels the last published version. スキャナーがファイルとコンテンツの承認を必要とする場合は、そのラベルの付いたファイルをユーザーが使用できるように承認する必要があります。If the scanner labels a file and content approval is required, that labeled file must be approved to be available for users.

大規模な SharePoint ファームの場合は、スキャナーがすべてのファイルにアクセスするために、リスト ビューのしきい値 (既定では 5,000) を増やす必要があるかどうかを確認します。For large SharePoint farms, check whether you need to increase the list view threshold (by default, 5,000) for the scanner to access all files. 詳細については、SharePoint のドキュメント「 sharepoint での大規模なリストとライブラリの管理」を参照してください。For more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint
スキャンされる Office ドキュメントの場合:For Office documents to be scanned:

- Word、Excel、PowerPoint の 97-2003 ファイル形式および Office Open XML 形式- 97-2003 file formats and Office Open XML formats for Word, Excel, and PowerPoint
これらのファイル形式でスキャナーがサポートするファイルの種類の詳細については、次の情報を参照してください。For more information about the file types that the scanner supports for these file formats, see the following information:
-Classic クライアント: Azure Information Protection クライアントによってサポートされるファイルの種類- Classic client: File types supported by the Azure Information Protection client
-統一されたラベル付けクライアント: Azure Information Protection 統合されたラベル付けクライアントでサポートされるファイルの種類- Unified labeling client: File types supported by the Azure Information Protection unified labeling client
長いパスの場合:For long paths:

- 最大 260 文字 (スキャナーが Windows 2016 にインストールされていて、コンピューターが長いパスをサポートするように構成されているのでない場合)- Maximum of 260 characters, unless the scanner is installed on Windows 2016 and the computer is configured to support long paths
Windows 10 および Windows Server 2016 は、次のグループポリシー設定を使用して、260文字を超えるパスの長さをサポートしています:ローカルコンピューターポリシー > コンピューターの構成 > 管理用テンプレート > すべての設定 > Win32 長いパスを有効にするWindows 10 and Windows Server 2016 support path lengths greater than 260 characters with the following group policy setting: Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

長いファイルのパスのサポートについて詳しくは、Windows 10 開発者向けドキュメントの「Maximum Path Length Limitation (パスの最大長の制限)」をご覧ください。For more information about supporting long file paths, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

組織のポリシーによって禁止されているためにテーブル内のすべての要件を満たすことができない場合は、「代替構成」セクションを参照してください。If you can't meet all the requirements in the table because they are prohibited by your organization policies, see the alternative configurations section.

スキャナーを運用環境に展開する場合、または複数のスキャナーのパフォーマンスをテストする場合は、次のセクションの SQL Server の容量計画のガイダンスを参照してください。When you deploy the scanner in production, or you're testing the performance for multiple scanners, see the next section for capacity planning guidance for SQL Server.

ただし、スキャナーのデプロイを開始する準備ができたら、 「スキャナーの構成」セクションに進んでください。However, if you're ready to start deploying the scanner, go straight to configuring the scanner section.

SQL Server のストレージ要件と容量計画Storage requirements and capacity planning for SQL Server

スキャナーの構成データベースに必要なディスク領域と、SQL Server を実行しているコンピューターの仕様は環境によって異なる場合があるため、独自のテストを行うことをお勧めします。The amount of disk space required for the scanner's configuration database and the specification of the computer running SQL Server can vary for each environment, so we encourage you to do your own testing. ただし、次のガイダンスを出発点として使用できます。However, you can use the following guidance as a starting point.

詳細については、「スキャナーのパフォーマンスの最適化」を参照してください。See the Optimizing the performance of the scanner section for additional information.

クラシッククライアントからのスキャナー:Scanner from the classic client:
  • ディスクサイズ: 構成データベースのサイズは、展開ごとに異なりますが、スキャンする100万ファイルごとに 500 MB を割り当てることをお勧めします。Disk size: The size of the configuration database will vary for each deployment but we recommend you allocate 500 MB for every 1,000,000 files that you want to scan.

  • 各スキャナーの場合: 4 コアプロセッサ。8 GB の RAM が推奨されます (最小 4 GB)。For each scanner: 4 core processors; 8 GB RAM recommended (4 GB minimum).

統一されたラベル付けクライアントからのスキャナー:Scanner from the unified labeling client:
  • ディスクサイズ: スキャナー構成データベースのサイズは、展開ごとに異なりますが、100 KB + <file count> *(1000 + 4*<average file name length>)については、次の式を参考にしてください。Disk size: Although the size of the scanner configuration database will vary for each deployment, you can use the following equation as guidance: 100 KB + <file count> *(1000 + 4*<average file name length>).

    たとえば、ファイル名の長さが平均250バイトの100万ファイルをスキャンするには、2 GB のディスク領域を割り当てます。For example, to scan 1 million files that have an average file name length of 250 bytes, allocate 2 GB disk space.

  • 複数のスキャナーの場合、最大 12: 4 コアプロセッサ。8 GB の RAM が推奨されます (最小 4 GB)。For multiple scanners, up to 12: 4 core processors; 8 GB RAM recommended (4 GB minimum).

  • 12 個を超える複数のスキャナーの場合 (最大 40) : 8 コアプロセス。16 GB の RAM を推奨 (8 GB 以上)。For multiple scanners more than 12 (maximum 40): 8 core processes; 16 GB RAM recommended (8 GB minimum).

代替構成でのスキャナーのデプロイDeploying the scanner with alternative configurations

テーブルに一覧表示されている前提条件は、スキャナーの既定の要件であり、推奨されます。何故なら、これらはスキャナーをデプロイするための最も簡単な構成であるためです。The prerequisites listed in the table are the default requirements for the scanner and recommended because they are the simplest configuration for the scanner deployment. これらは、スキャナーの機能を確認するための最初のテスト用に適しています。They should be suitable for initial testing, so that you can check the capabilities of the scanner. ただし、運用環境では、次の制限の 1 つ以上に該当するために組織のポリシーによって既定の要件が禁止される場合があります。However, in a product environment, your organization policies might prohibit these default requirements because of one or more of the following restrictions:

  • サーバーはインターネット接続を許可されていませんServers are not allowed internet connectivity

  • Sysadmin の付与が認められない、または手動でデータベースを作成し構成する必要があるYou cannot be granted Sysadmin or databases must be created and configured manually

  • サービス アカウントにローカル ログオン権限を付与できないService accounts cannot be granted the Log on locally right

  • サービスアカウントを Azure Active Directory に同期することはできませんが、サーバーがインターネットに接続していますService accounts cannot be synchronized to Azure Active Directory but servers have internet connectivity

スキャナーをこれらの制限に対応させることは可能ですが、追加構成が必要です。The scanner can accommodate these restrictions but they require additional configuration.

制限: スキャナーサーバーはインターネットに接続できませんRestriction: The scanner server cannot have internet connectivity

切断されたコンピューターをサポートするには、管理者ガイドの指示に従います。Follow the instructions from the admin guides to support a disconnected computer:

  • クラシッククライアントの場合: 切断されたコンピューターのサポートFor the classic client: Support for disconnected computers

    この構成では、クラシッククライアントのスキャナーは、組織のクラウドベースのキーを使用して保護を適用したり、保護を削除したり、保護されたファイルを検査したりすることはできません。In this configuration, the scanner from the classic client cannot apply protection, remove protection, or inspect protected files by using your organization's cloud-based key. 代わりに、分類のみを適用するラベルを使用するか、 HYOKを使用する保護を適用するようにスキャナーを制限します。Instead, the scanner is limited to using labels that apply classification only, or apply protection that uses HYOK

  • 統一されたラベル付けクライアントの場合: 切断されたコンピューターのサポートFor the unified labeling client: Support for disconnected computers

    この構成では、 DelegatedUserパラメーターとSet-aipauthenticationコマンドレットを使用して、統一されたラベル付けクライアントのスキャナーが保護を適用し、保護を削除し、保護されたファイルを検査できます。In this configuration, the scanner from the unified labeling client can apply protection, remove protection, and inspect protected files by using the DelegatedUser parameter with the Set-AIPAuthentication cmdlet.

次に、以下の操作を行います。Then, do the following:

  1. スキャナーのプロファイルを作成して、Azure portal でスキャナーを構成します。Configure the scanner in the Azure portal, by creating a scanner profile. この手順に関してサポートが必要な場合は、「Azure portal でスキャナーを構成する」をご覧ください。If you need help with this step, see Configure the scanner in the Azure portal.

  2. [Azure Information Protection-プロファイル] ウィンドウから [エクスポート] オプションを使用して、スキャナープロファイルをエクスポートします。Export your scanner profile from the Azure Information Protection - Profiles pane, by using the Export option.

  3. 最後に、PowerShell セッションで、Import-AIPScannerConfiguration を実行し、エクスポートされた設定を含んでいるファイルを指定します。Finally, in a PowerShell session, run Import-AIPScannerConfiguration and specify the file that contains the exported settings.

制限: Sysadmin の付与が認められない、または手動でデータベースを作成し構成する必要があるRestriction: You cannot be granted Sysadmin or databases must be created and configured manually

スキャナーをインストールするために一時的に Sysadmin ロールが付与される場合、スキャナーのインストールが完了したらこのロールを削除できます。If you can be granted the Sysadmin role temporarily to install the scanner, you can remove this role when the scanner installation is complete. この構成を使用すると、データベースが自動的に作成され、スキャナー用のサービス アカウントに必要なアクセス許可が自動的に付与されます。When you use this configuration, the database is automatically created for you and the service account for the scanner is automatically granted the required permissions. ただし、スキャナーを構成するユーザー アカウントには、スキャナー構成データベースの db_owner ロールが必要です。このロールをユーザー アカウントに手動で付与する必要があります。However, the user account that configures the scanner requires the db_owner role for the scanner configuration database, and you must manually grant this role to the user account.

Sysadmin ロールが一時的に付与されていない場合は、スキャナーをインストールする前に、データベースを手動で作成するための Sysadmin 権限をユーザーに要求する必要があります。If you cannot be granted the Sysadmin role even temporarily, you must ask a user with Sysadmin rights to manually create a database before you install the scanner. この構成では、次のロールを割り当てる必要があります。For this configuration, the following roles must be assigned:

アカウントAccount データベースレベルのロールDatabase-level role
スキャナーのサービス アカウントService account for the scanner db_ownerdb_owner
スキャナーのインストール用のユーザー アカウントUser account for scanner installation db_ownerdb_owner
スキャナーの構成用のユーザー アカウントUser account for scanner configuration db_ownerdb_owner

通常、スキャナーのインストールと構成には同じユーザー アカウントを使用します。Typically, you will use the same user account to install and configure the scanner. ただし、別々のアカウントを使用する場合は、両方にスキャナー構成データベースの db_owner ロールが必要です。But if you use different accounts, they both require the db_owner role for the scanner configuration database:

  • スキャナーに独自のプロファイル名を指定しない場合 (クラシッククライアントのみ)、構成データベースの名前はAIPScanner_< コンピューター名 > になります。If you do not specify your own profile name for the scanner (classic client only), the configuration database is named AIPScanner_<computer_name>.

  • 独自のプロファイル名を指定した場合、構成データベースには、 AIPScanner_<profile_name > (クラシッククライアント) またはAIPScannerUL_<profile_name > (統合ラベル付けクライアント) という名前が付けられます。If you specify your own profile name, the configuration database is named AIPScanner_<profile_name> (classic client) or AIPScannerUL_<profile_name> (unified labeling client).

このデータベースに対してユーザーを作成し、db_owner 権限を付与するには、Sysadmin に次の SQL スクリプトを2回実行するように依頼します。To create a user and grant db_owner rights on this database, ask the Sysadmin to run the following SQL script twice. スキャナーを実行するサービスアカウントと、スキャナーをインストールして管理するための2回目の時間。The first time, for the service account that runs the scanner, and the second time for you to install and manage the scanner. スクリプトを実行する前に:Before running the script:

  1. Domain\userは、サービスアカウントまたはユーザーアカウントのドメイン名とユーザーアカウント名に置き換えます。Replace domain\user with the domain name and user account name of the service account or user account.
  2. DBNameをスキャナー構成データベースの名前に置き換えます。Replace DBName with the name of the scanner configuration database.

SQL スクリプト:SQL script:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

さらに、本サービスには以下の規定が適用されます。Additionally:

  • スキャナーを実行するサーバーのローカル管理者である必要があります。You must be a local administrator on the server that will run the scanner

  • スキャナーを実行するサービスアカウントには、次のレジストリキーに対するフルコントロールのアクセス許可が付与されている必要があります。The service account that will run the scanner must be granted Full Control permissions to the following registry keys:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

これらのアクセス許可を構成した後、スキャナーをインストールするときにエラーが表示される場合は、エラーを無視して、スキャナーサービスを手動で開始することができます。If, after configuring these permissions, you see an error when you install the scanner, the error can be ignored and you can manually start the scanner service.

制限: スキャナーのサービス アカウントにローカル ログオン権限を付与できないRestriction: The service account for the scanner cannot be granted the Log on locally right

組織のポリシーによって、サービスアカウントにローカルでログオンする権限が禁止されていても、バッチジョブとしてログオンする権限が許可されている場合は、次の手順に従います。If your organization policies prohibit the Log on locally right for service accounts but allow the Log on as a batch job right, use the following instructions:

制限: スキャナーサービスアカウントを Azure Active Directory に同期することはできませんが、サーバーがインターネットに接続していますRestriction: The scanner service account cannot be synchronized to Azure Active Directory but the server has internet connectivity

スキャナーのサービスを実行するために 1 つのアカウントを持ち、Azure Active Directory を認証するために別のアカウントを使用することができます。You can have one account to run the scanner service and use another account to authenticate to Azure Active Directory:

Azure portal でスキャナーを構成するConfigure the scanner in the Azure portal

スキャナーをインストールする前、または以前の一般公開バージョンのスキャナーからアップグレードする前に、Azure portal でスキャナー用のプロファイルを作成します。Before you install the scanner, or upgrade it from an older general availability version of the scanner, create a profile for the scanner in the Azure portal. スキャナーの設定に関するプロファイルと、スキャンするデータ リポジトリを構成します。You configure the profile for scanner settings, and the data repositories to scan.

  1. まだサインインしていない場合は、新しいブラウザー ウィンドウを開き、Azure Portal にサインインします。If you haven't already done so, open a new browser window and sign in to the Azure portal. 次に、 [Azure Information Protection] ウィンドウに移動します。Then navigate to the Azure Information Protection pane.

    たとえば、リソース、サービス、ドキュメントの検索ボックスで、「情報の入力を開始し、 [Azure Information Protection] を選択します。For example, in the search box for resources, services, and docs: Start typing Information and select Azure Information Protection.

  2. [スキャナー] メニュー オプションを見つけて、 [プロファイル] を選択します。Locate the Scanner menu options, and select Profiles.

  3. [Azure Information Protection-プロファイル] ウィンドウで、 [追加] を選択します。On the Azure Information Protection - Profiles pane, select Add:

    Azure Information Protection スキャナーのプロファイルを追加する

  4. [新しいプロファイルの追加] ウィンドウで、スキャンする構成設定とデータリポジトリを識別するために使用されるスキャナーの名前を指定します。On the Add a new profile pane, specify a name for the scanner that is used to identify its configuration settings and data repositories to scan. たとえば、スキャナーの対象となるデータ リポジトリの地理的な場所を識別するために、Europe を指定する場合があります。For example, you might specify Europe to identify the geographical location of the data repositories that your scanner will cover. 後でスキャナーをインストールまたはアップグレードするときに、同じプロファイル名を指定する必要があります。When you later install or upgrade the scanner, you will need to specify the same profile name.

    スキャナーのプロファイル名を識別するために、必要に応じて管理目的の説明を指定します。Optionally, specify a description for administrative purposes, to help you identify the scanner's profile name.

  5. この初期構成では、次の設定を構成してから、 [保存] を選択しますが、ウィンドウは閉じないでください。For this initial configuration, configure the following settings, and then select Save but do not close the pane:

    [プロファイルの設定] セクションの場合:For the Profile settings section:

    • スケジュール:既定のままにしておきます。Schedule: Keep the default of Manual
    • 検出される情報の種類:ポリシーのみに変更Info types to be discovered: Change to Policy only
    • リポジトリを構成する: プロファイルを最初に保存する必要があるため、現時点では構成しないでください。Configure repositories: Do not configure at this time because the profile must first be saved.

    [ポリシーの適用] セクションの場合:For the Policy enforcement section:

    • 強制: [オフ] を選択します。Enforce: Select Off
    • コンテンツに基づいてファイルにラベルを付ける: の既定値のままします。Label files based on content: Keep the default of On
    • 既定のラベル: 既定のポリシーの既定値のままにします。Default label: Keep the default of Policy default
    • ファイルのラベルを変更する: 既定値をオフのままにします。Relabel files: Keep the default of Off

    [ファイル設定の構成] セクションでは、次の手順を実行します。For the Configure file settings section:

    • [更新日]、[最終更新日]、[変更者] を保持します。の既定値のままします。Preserve "Date modified", "Last modified" and "Modified by": Keep the default of On
    • スキャンするファイルの種類: 除外するファイルの種類を既定のままにする。File types to scan: Keep the default file types for Exclude
    • 既定の所有者: 既定のスキャナーアカウントを保持しますDefault owner: Keep the default of Scanner Account
  6. これでプロファイルの作成と保存が完了したので、 [リポジトリの構成] オプションに戻って、スキャンするデータ ストアを指定する準備が整いました。Now that the profile is created and saved, you're ready to return to the Configure repositories option to specify the data stores to be scanned. SharePoint オンプレミスのドキュメントライブラリおよびフォルダーに対して、ローカルフォルダー、UNC パス、および SharePoint サーバーの Url を指定できます。You can specify local folders, UNC paths, and SharePoint Server URLs for SharePoint on-premises document libraries and folders.

    Sharepoint では、sharepoint server 2019、SharePoint Server 2016、および SharePoint Server 2013 がサポートされています。SharePoint Server 2019, SharePoint Server 2016, and SharePoint Server 2013 are supported for SharePoint. また、SharePoint Server 2010 も、このバージョンの SharePoint の延長サポートを受けている場合はサポートされます。SharePoint Server 2010 is also supported when you have extended support for this version of SharePoint.

    最初のデータストアを追加するには、 [新しいプロファイルの追加] ウィンドウの [リポジトリの構成] を選択し、 [リポジトリ] ペインを開きます。To add your first data store, still on the Add a new profile pane, select Configure repositories to open the Repositories pane:

    Azure Information Protection スキャナーのデータ リポジトリを構成する

  7. [リポジトリ] ウィンドウで、 [追加] を選択します。On the Repositories pane, select Add:

    Azure Information Protection スキャナーのデータ リポジトリを追加する

  8. [リポジトリ] ウィンドウで、データリポジトリのパスを指定します。On the Repository pane, specify the path for the data repository.

    ワイルドカードはサポートされていません。また、WebDav の場所はサポートされていません。Wildcards are not supported and WebDav locations are not supported.

    例:Examples:

    • ローカル パスの場合: C:\FolderFor a local path: C:\Folder

    • ネットワーク共有の場合: C:\Folder\FilenameFor a network share: C:\Folder\Filename

    • UNC パスの場合: \\Server\FolderFor a UNC path:\\Server\Folder

    • SharePoint ライブラリの場合: http://sharepoint.contoso.com/Shared%20Documents/FolderFor a SharePoint library: http://sharepoint.contoso.com/Shared%20Documents/Folder

    ヒント

    "共有ドキュメント" の SharePoint パスを追加する場合:If you add a SharePoint path for "Shared Documents":

    • 共有ドキュメントのすべてのドキュメントとすべてのフォルダーをスキャンしたい場合は、パスに Shared Documents を指定します。Specify Shared Documents in the path when you want to scan all documents and all folders from Shared Documents. たとえば次のようになります。http://sp2013/Shared DocumentsFor example: http://sp2013/Shared Documents

    • 共有ドキュメント下のサブフォルダーのすべてのドキュメントとすべてのフォルダーをスキャンしたい場合は、パスに Documents を指定します。Specify Documents in the path when you want to scan all documents and all folders from a subfolder under Shared Documents. たとえば次のようになります。http://sp2013/Documents/Sales ReportsFor example: http://sp2013/Documents/Sales Reports

    このウィンドウのその他の設定については、この初期構成では変更せず、プロファイルの既定値のままにしておきます。For the remaining settings on this pane, do not change them for this initial configuration, but keep them as Profile default. これは、データ リポジトリがスキャナーのプロファイルから設定を継承することを意味します。This means that the data repository inherits the settings from the scanner profile.

    [保存] を選択します。Select Save.

  9. 別のデータ リポジトリを追加する場合は、手順 7 と 8 を繰り返します。If you want to add another data repository, repeat steps 7 and 8.

  10. これで、 [リポジトリ] ウィンドウとプロファイルウィンドウを閉じることができます。You can now close Repositories pane and your profile pane. [Azure Information Protection-プロファイル] ウィンドウに戻り、 [スケジュール] 列に [手動] が表示され、 [適用] 列が空白になっていることを確認します。Back on the Azure Information Protection - Profiles pane, you see your profile name displayed, together with the SCHEDULE column showing Manual and the ENFORCE column is blank.

これで、先ほど作成したスキャナーのプロファイルを使ってスキャナーをインストールする準備ができました。You're now ready to install the scanner with the scanner profile that you've just created.

スキャナーのインストールInstall the scanner

  1. スキャナーを実行する Windows Server コンピューターにサインインします。Sign in to the Windows Server computer that will run the scanner. ローカル管理者権限と SQL Server マスター データベースに書き込むためのアクセス許可を持つアカウントを使用します。Use an account that has local administrator rights and that has permissions to write to the SQL Server master database.

  2. [管理者として実行] オプションを使用して Windows PowerShell セッションを開きます。Open a Windows PowerShell session with the Run as an administrator option.

  3. Azure Information Protection スキャナー用のデータベースを作成する SQL Server のインスタンスと、前のセクションで指定したスキャナーのプロファイル名を指定して、Install-AIPScanner コマンドレットを実行します。Run the Install-AIPScanner cmdlet, specifying your SQL Server instance on which to create a database for the Azure Information Protection scanner, and the scanner profile name that you specified in the preceding section:

    Install-AIPScanner -SqlServerInstance <name> -Profile <profile name>
    

    プロファイル名 Europe を使った例:Examples, using the profile name of Europe:

    • 既定のインスタンスの場合: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Profile EuropeFor a default instance: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Profile Europe

    • 名前付きインスタンスの場合: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Profile EuropeFor a named instance: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Profile Europe

    • SQL Server Express の場合: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Profile EuropeFor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Profile Europe

    求められたら、スキャナー サービス アカウントの資格情報 (<ドメイン\ユーザー名>) とパスワードを指定します。When you are prompted, provide the credentials for the scanner service account (<domain\user name>) and password.

  4. [管理ツール] > [サービス] を使用して、サービスがインストールされたことを確認します。Verify that the service is now installed by using Administrative Tools > Services.

    インストールされているサービスの名前は Azure Information Protection スキャナーで、作成したスキャナー サービス アカウントを使用して実行するように構成されます。The installed service is named Azure Information Protection Scanner and is configured to run by using the scanner service account that you created.

スキャナーをインストールしたら、スキャナーを無人で実行できるように、スキャナー サービス アカウントを認証するための Azure AD トークンを取得する必要があります。Now that you have installed the scanner, you need to get an Azure AD token for the scanner service account to authenticate, so that the scanner can run unattended.

スキャナー用の Azure AD トークンを取得するGet an Azure AD token for the scanner

Azure AD トークンを使用すると、スキャナーは Azure Information Protection サービスに対して認証を行うことができます。The Azure AD token lets the scanner authenticate to the Azure Information Protection service.

  1. Azure portal に戻り、認証用のアクセストークンを指定するために必要な2つの Azure AD アプリケーション (1 つの Azure AD アプリケーション) を作成します。Return to the Azure portal to create two Azure AD applications (just one Azure AD application for the scanner from the unified labeling client) that are needed to specify an access token for authentication. このトークンを使用すると、スキャナーを非対話形式で実行できます。This token lets the scanner run non-interactively.

    これらのアプリケーションを作成するには、関連するクライアントの管理者ガイドの指示に従います。To create these applications, follow the instructions in the admin guides for the relevant clients:

  2. スキャナーのサービス アカウントにインストール用にローカルでログオンする権限が付与されている場合、Windows Server コンピューターから、このアカウントを使用してサインインし、PowerShell セッションを開始します。From the Windows Server computer, if your scanner service account has been granted the Log on locally right for the installation: Sign in with this account and start a PowerShell session. 前の手順でコピーした値を指定して Set-AIPAuthentication を実行します。Run Set-AIPAuthentication, specifying the values that you copied from the previous step:

    クラシッククライアントの場合:For the classic client:

    Set-AIPAuthentication -webAppId <ID of the "Web app / API" application> -webAppKey <key value generated in the "Web app / API" application> -nativeAppId <ID of the "Native" application>
    

    求められたら、Azure AD のサービス アカウントの資格情報のパスワードを指定し、 [同意する] をクリックします。When prompted, specify the password for your service account credentials for Azure AD, and then click Accept.

    スキャナーサービスアカウントにインストールのローカルログオン権限が付与されていない場合は、そのクライアントの管理者ガイドの「 Set-Aipauthentication」の Token パラメーターを指定して使用します。If your scanner service account cannot be granted the Log on locally right for the installation see Specify and use the Token parameter for Set-AIPAuthentication from that client's admin guide.

    統一されたラベル付けクライアントの場合:For the unified labeling client:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    スキャナーサービスアカウントにインストールのローカルログオン権限が付与されていない場合は、「 Azure Information で非対話的にファイルにラベルを付ける方法」で説明されているように、Set-aipauthentication で OnBehalfOf パラメーターを使用します。そのクライアントの管理者ガイドからの保護。If your scanner service account cannot be granted the Log on locally right for the installation, use the OnBehalfOf parameter with Set-AIPAuthentication, as described in How to label files non-interactively for Azure Information Protection from that client's admin guide.

スキャナーには Azure AD に対して認証するためのトークンが用意されています。これは、 Web アプリ/API (クラシッククライアント) の構成または Azure AD でのクライアントシークレット (統合ラベル付けクライアント) の構成に従って、1年間、2年間、または期限切れになります。The scanner now has a token to authenticate to Azure AD, which is valid for one year, two years, or never expires, according to your configuration of the Web app /API (classic client) or client secret (unified labeling client) in Azure AD. トークンが期限切れになったら、手順 1 と 2 を繰り返す必要があります。When the token expires, you must repeat steps 1 and 2.

これで、最初のスキャンを検索モードで実行する準備ができました。You're now ready to run your first scan in discovery mode.

探索サイクルの実行とスキャナーのレポートの表示Run a discovery cycle and view reports for the scanner

  1. Azure portal の [Azure Information Protection プロファイル] ウィンドウで、スキャナーのプロファイルを選択し、 [今すぐスキャン] オプションを選択します。In the Azure portal, on the Azure Information Protection - Profiles pane, select your scanner's profile, and then the Scan now option:

    Azure Information Protection スキャナーのスキャンを開始する

    または、PowerShell セッションで、次のコマンドを実行します。Alternatively, in your PowerShell session, run the following command:

     Start-AIPScan
    
  2. スキャナーのサイクルが完了するまで待ちます。Wait for the scanner to complete its cycle. スキャナーが指定したデータ ストア内のすべてのファイルをクロールし終わると、スキャナー サービスの動作が続いていてもスキャナーは停止します。When the scanner has crawled through all the files in the data stores that you specified, the scanner stops although the scanner service remains running:

    • Azure Information Protection プロファイル ウィンドウで、最新の情報に更新 オプションを使用して、最後のスキャン結果 列の値と 最後のスキャン (終了時刻) 列の値が表示されるまで待ちます。On the Azure Information Protection - Profiles pane, use the Refresh option and wait until you see values for the LAST SCAN RESULTS column and the LAST SCAN (END TIME) column.

    • PowerShell を使用すると、Get-AIPScannerStatus を実行して状態の変化を監視できます。Using PowerShell, you can run Get-AIPScannerStatus to monitor the status change.

    • クラシッククライアントからのスキャナーのみ: ローカルの Windowsアプリケーションとサービスのイベントログ、 Azure Information Protectionを確認します。Scanner from the classic client only: Check the local Windows Applications and Services event log, Azure Information Protection. このログでは、スキャナーがスキャンを完了した時刻も、結果の概要と共に報告されます。This log also reports when the scanner has finished scanning, with a summary of results. 情報イベント ID 911 を探します。Look for the informational event ID 911.

  3. %localappdata%\Microsoft\MSIP\Scanner\Reports に格納されているレポートを確認します。Review the reports that are stored in %localappdata%\Microsoft\MSIP\Scanner\Reports. .txt の概要ファイルには、スキャンにかかった時間、スキャンされたファイルの数、情報の種類と一致したファイルの数が含まれています。The .txt summary files include the time taken to scan, the number of scanned files, and how many files had a match for the information types. .csv ファイルには各ファイルに関する詳細情報が記載されています。The .csv files have more details for each file. このフォルダーには、スキャンのサイクルごとに最大 60 のレポートが格納され、必要なディスク領域を最小限に抑えるために最新のもの以外のすべてのレポートが圧縮されます。This folder stores up to 60 reports for each scanning cycle and all but the latest report is compressed to help minimize the required disk space.

    注意

    Set-AIPScannerConfiguration と共に ReportLevel パラメーターを使って、ログ記録のレベルを変更することができます。ただし、レポート フォルダーの場所または名前を変更することはできません。You can change the level of logging by using the ReportLevel parameter with Set-AIPScannerConfiguration, but you can't change the report folder location or name. 別のボリュームまたはパーティションにレポートを保存したい場合は、フォルダーに対するディレクトリのジャンクションの使用を検討してください。Consider using a directory junction for the folder if you want to store the reports on a different volume or partition.

    たとえば、Mklink コマンドを使います。mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\ReportsFor example, using the Mklink command: mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\Reports

    [検出する情報の種類] に対して [ポリシーのみ] を設定しているため、自動分類用に設定した条件を満たすファイルのみが詳細レポートに含まれます。With our setting of Policy only for Info types to be discovered, only files that meet the conditions you've configured for automatic classification are included in the detailed reports. ラベルが適用されていない場合は、ラベルの構成に推奨される分類ではなく自動分類が含まれていることを確認します。If you don't see any labels applied, check your label configuration includes automatic rather than recommended classification.

    ヒント

    スキャナーでは 5 分ごとにこの情報が Azure Information Protection に送信されます。このため、Azure portal から結果をほぼリアルタイムで確認することができます。Scanners send this information to Azure Information Protection every five minutes, so that you can view the results in near real-time from the Azure portal. 詳細については、Azure Information Protection のレポート作成に関するページを参照してください。For more information, see Reporting for Azure Information Protection.

    期待どおりの結果が得られない場合は、ラベルに指定した条件の再構成が必要になることがあります。If the results are not as you expect, you might need to reconfigure the conditions that you specified for you labels. その場合は、構成を変更して分類、および必要に応じて保護を適用する準備ができるまで、手順 1 から 3 を繰り返します。If that's the case, repeat steps 1 through 3 until you are ready to change the configuration to apply the classification and optionally, protection.

Azure portal には、最後のスキャンに関する情報のみが表示されます。The Azure portal displays information about the last scan only. 前のスキャンの結果を確認する必要がある場合は、スキャナー コンピューターの %localappdata%\Microsoft\MSIP\Scanner\Reports フォルダーに格納されているレポートに戻ります。If you need to see the results of previous scans, return to the reports that are stored on the scanner computer, in the %localappdata%\Microsoft\MSIP\Scanner\Reports folder.

スキャナーが検出したファイルに自動的にラベル付けする準備ができたら、次の手順に進みます。When you're ready to automatically label the files that the scanner discovers, continue to the next procedure.

スキャナーを構成して分類と保護を適用するConfigure the scanner to apply classification and protection

これらの手順に従っている場合、スキャナーは、レポートのみモードで 1 回だけ実行されます。If you are following these instructions, the scanner runs one time and in the reporting-only mode. これらの設定を変更するには、スキャナーのプロファイルを編集します。To change these settings, edit the scanner profile:

  1. [Azure Information Protection-プロファイル] ウィンドウに戻り、スキャナープロファイルを選択して編集します。Back on the Azure Information Protection - Profiles pane, select the scanner profile to edit it.

  2. [プロファイル名の <>] ウィンドウで、次の2つの設定を変更し、 [保存] を選択します。On the <profile name> pane, change the following two settings, and then select Save:

    • [プロファイルの設定] セクション: [スケジュールに変更する]From the Profile settings section: Change the Schedule to Always

    • [ポリシーの適用] セクションから: [適用] 先 を [オン] に変更します。From the Policy enforcement section: Change Enforce to On

      変更する可能性があるその他の構成があります。There are other configuration settings that you might want to change. たとえば、ファイル属性を変更するかどうか、またはスキャナーでファイルのラベルを書き換えられるかどうかなどです。For example, whether file attributes are changed and whether the scanner can relabel files. 情報のポップアップ ヘルプを使って、各構成設定について詳しく学習してください。Use the information popup help to learn more information about each configuration setting.

  3. 現在の時刻をメモし、 [Azure Information Protection プロファイル] ウィンドウからもう一度スキャナーを起動します。Make a note of the current time and start the scanner again from the Azure Information Protection - Profiles pane:

    Azure Information Protection スキャナーのスキャンを開始する

    または、PowerShell セッションで次のコマンドを実行できます。Alternatively, you can run the following command in your PowerShell session:

     Start-AIPScan
    
  4. クラシッククライアントからのスキャナーのみ: 前の手順でスキャンを開始したときより後のタイムスタンプを使用して、イベントログの情報の種類911をもう一度監視します。Scanner from the classic client only: Monitor the event log for the informational type 911 again, with a time stamp later than when you started the scan in the previous step.

    次に、レポートをチェックして、ラベル付けされたファイル、各ファイルに適用された分類、それらに保護が適用されたかどうかについての詳細を確認します。Then check the reports to see details of which files were labeled, what classification was applied to each file, and whether protection was applied to them. または、Azure portal を使用してより簡単にこの情報を確認します。Or, use the Azure portal to more easily see this information.

スケジュールを継続的に実行するように構成したため、スキャナーはすべてのファイルの作業を完了すると、新しいファイルや変更されたファイルをすべて検出するために新しいサイクルを自動的に開始します。Because we configured the schedule to run continuously, when the scanner has worked its way through all the files, it automatically starts a new cycle so that any new and changed files are discovered.

ファイルをスキャンする方法How files are scanned

スキャナーでは、ファイルをスキャンするとき、次のプロセスが実行されます。The scanner runs through the following processes when it scans files.

1. スキャンのためにファイルが含まれるか除外されるかを決定します。1. Determine whether files are included or excluded for scanning

実行可能ファイルやシステムファイルなど、分類と保護から除外されたファイルは、スキャナーによって自動的にスキップされます。The scanner automatically skips files that are excluded from classification and protection, such as executable files and system files. 詳細については、次の管理者ガイドを参照してください。For more information, see the following admin guides:

スキャンする (またはスキャン対象から除外する) ファイルの種類のリストを定義することで、この動作を変更できます。You can change this behavior by defining a list of file types to scan, or exclude from scanning. スキャナーに対してこのリストを指定し、既定ですべてのデータ リポジトリに適用させることができます。また、データ リポジトリごとに 1 つのリストを指定することができます。You can specify this list for the scanner to apply to all data repositories by default, and you can specify a list for each data repository. このリストを指定するには、スキャナーのプロファイルの [スキャンするファイルの種類] 設定を使います。To specify this list, use the Files types to scan setting in the scanner profile:

Azure Information Protection スキャナー用にスキャンするファイルの種類を構成する

2. ファイルを検査してラベルを付ける2. Inspect and label files

その後、スキャナーでは、フィルターを使用して、サポートされているファイルの種類がスキャンされます。The scanner then uses filters to scan supported file types. これらの同じフィルターが、オペレーティング システムによって Windows Search とインデックス作成にも使用されます。These same filters are used by the operating system for Windows Search and indexing. 構成を何も追加しなくても、Word、Excel、PowerPoint、PDF ドキュメント、テキスト ファイルに対して使用されるファイルの種類のスキャンに、Windows IFilter が使用されます。Without any additional configuration, Windows IFilter is used to scan file types that are used by Word, Excel, PowerPoint, and for PDF documents and text files.

既定でサポートされているファイルの種類の完全な一覧と、.zip ファイルと tiff ファイルを含む既存のフィルターを構成する方法の詳細については、次の管理者ガイドを参照してください。For a full list of file types that are supported by default, and additional information how to configure existing filters that include .zip files and .tiff files, see the following admin guides:

検査が済むと、ユーザーがラベルに対して指定した条件を使用して、これらのファイルの種類にラベルを付けることができます。After inspection, these file types can be labeled by using the conditions that you specified for your labels. または、検出モードを使用している場合は、ユーザーがラベルに対して指定した条件、またはすべての既知の機密情報の種類を含むように、これらのファイルを報告できます。Or, if you're using discovery mode, these files can be reported to contain the conditions that you specified for your labels, or all known sensitive information types.

ただし、以下の状況では、スキャナーでファイルにラベルを付けることはできません。However, the scanner cannot label the files under the following circumstances:

  • ラベルが分類を適用し、保護されていない場合、およびファイルの種類では、従来のクライアントまたは統合されたラベル付けクライアントによる分類のみがサポートされません。If the label applies classification and not protection, and the file type does not support classification only by the classic client or unified labeling client.

  • ラベルで分類と保護が適用されるが、スキャナーでファイルの種類が保護されていない場合。If the label applies classification and protection, but the scanner does not protect the file type.

    既定では、スキャナーによって保護されるのは、Office ファイルの種類と、PDF の暗号化のための ISO 標準を使用して保護されている PDF ファイルだけです。By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. 次のセクションで説明するように、保護するファイルの種類を変更するときに、その他のファイルの種類を保護することができます。Other file types can be protected when you change which file types are protected as described in a following section.

たとえば、.txt ファイルの種類では "分類のみ" がサポートされていないため、ファイル名拡張子が .txt であるファイルを検査した後は、分類用にだけ構成されていて保護用には構成されていないラベルを、スキャナーで適用することはできません。For example, after inspecting files that have a file name extension of .txt, the scanner can't apply a label that's configured for classification but not protection, because the .txt file type doesn't support classification-only. ラベルが分類および保護用に構成されていて、拡張子 .txt が付いている場合は、スキャナーによってファイルにラベルを付けることができます。If the label is configured for classification and protection, and the .txt file name extension is included for the scanner to protect, the scanner can label the file.

ヒント

このプロセス中にスキャナーが停止し、リポジトリ内の大量のファイルのスキャンが完了しない場合:During this process, if the scanner stops and doesn't complete scanning a large number of the files in a repository:

  • ファイルをホストしているオペレーティング システムに対し、動的ポートの数を増やす必要がある場合があります。You might need to increase the number of dynamic ports for the operating system hosting the files. SharePoint 用にサーバーのセキュリティが強化されている場合、スキャナーが許可されているネットワーク接続の数を超えて、そのために停止する原因の 1 つになる可能性があります。Server hardening for SharePoint can be one reason why the scanner exceeds the number of allowed network connections, and therefore stops.

    これがスキャナーの停止の原因であるかどうかを確認するには、%localappdata% \ Microsoft\MSIP\Logs\MSIPScanner.iplog (複数のログがある場合は zip) でスキャナーの次のエラーメッセージが記録されているかどうかを確認してください: に接続できません。リモートサーバー---> の .Net Sockets. SocketException: 各ソケットアドレス (プロトコル/ネットワークアドレス/ポート) の使用は、通常、IP: port で許可されているのは1つだけですTo check whether this is the cause of the scanner stopping, look to see if the following error message is logged for the scanner in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped if there are multiple logs): Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

    現在のポート範囲を表示し、範囲を拡大する方法について詳しくは、「ネットワーク パフォーマンスを向上させるために変更可能な設定」をご覧ください。For more information about how to view the current port range and increase the range, see Settings that can be Modified to Improve Network Performance.

  • 大規模な SharePoint ファームの場合、リスト ビューのしきい値 (既定では 5,000) を増やす必要がある場合があります。For large SharePoint farms, you might need to increase the list view threshold (by default, 5,000). 詳細については、SharePoint のドキュメント「 sharepoint での大きなリストとライブラリの管理」を参照してください。For more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint.

3. 検査できないファイルにラベルを付ける3. Label files that can't be inspected

検査できないファイルの種類に対し、スキャナーでは Azure Information Protection ポリシーの既定のラベル、またはユーザーがスキャナー用に構成した既定のラベルが適用されます。For the file types that can't be inspected, the scanner applies the default label in the Azure Information Protection policy, or the default label that you configure for the scanner.

前のステップと同じように、以下の状況では、スキャナーでファイルにラベルを付けることはできません。As in the preceding step, the scanner cannot label the files under the following circumstances:

  • ラベルが分類を適用し、保護されていない場合、およびファイルの種類では、従来のクライアントまたは統合されたラベル付けクライアントによる分類のみがサポートされません。If the label applies classification and not protection, and the file type does not support classification only by the classic client or unified labeling client.

  • ラベルで分類と保護が適用されるが、スキャナーでファイルの種類が保護されていない場合。If the label applies classification and protection, but the scanner does not protect the file type.

    既定では、スキャナーによって保護されるのは、Office ファイルの種類と、PDF の暗号化のための ISO 標準を使用して保護されている PDF ファイルだけです。By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. 次に説明するように、保護するファイルの種類を変更するときに、その他のファイルの種類を保護できます。Other file types can be protected when you change which file types to protect, as described next.

保護するファイルの種類を変更するChange which file types to protect

既定では、スキャナーは Office ファイルの種類と PDF ファイルのみを保護します。By default, the scanner protects Office file types and PDF files only. この動作は、たとえばスキャナーがすべてのファイルの種類を保護するように変更できます。これは、クライアントと同じ保護動作です。You can change this behavior so that for example, the scanner protects all file types, which is the same protection behavior as the client. また、スキャナーは、Office のファイルの種類と PDF ファイルに加えて、指定した追加のファイルの種類を保護します。Or, the scanner protects additional file types that you specify, in addition to Office file types and PDF files.

構成手順については、次のセクションを参照してください。For configuration instructions, see the following sections.

クラシッククライアントからのスキャナー: レジストリを使用して、保護するファイルの種類を変更します。Scanner from the classic client: Use the registry to change which file types are protected

このセクションは、クラシッククライアントからのスキャナーにのみ適用されます。This section applies to the scanner from the classic client only.

Office ファイルや Pdf 以外のファイルの種類を保護するための既定のスキャナー動作を変更するには、レジストリを編集し、保護するファイルの種類と保護の種類 (ネイティブまたは汎用) を指定する必要があります。To change the default scanner behavior for protecting file types other than Office files and PDFs, you must edit the registry and specify the additional file types that you want to be protected, and the type of protection (native or generic). 詳しくは、開発者ガイダンスの「ファイル API の構成」をご覧ください。For instructions, see File API configuration from the developer guidance. この開発者向けドキュメントでは、汎用的な保護は "PFile" と呼ばれています。In this documentation for developers, generic protection is referred to as "PFile". さらに、スキャナーの場合:In addition, specific for the scanner:

  • スキャナーには独自の既定の動作があります。既定では、Office ファイル形式と PDF ドキュメントのみが保護されます。The scanner has its own default behavior: Only Office file formats and PDF documents are protected by default. レジストリを変更しない場合、その他のファイル形式は、スキャナーによってラベル付けまたは保護されません。If the registry is not modified, any other file types will not be labeled or protected by the scanner.

  • すべてのファイルがネイティブ保護または汎用保護で自動的に保護される Azure Information Protection クライアントと同じ既定の保護動作が必要な場合は、* ワイルドカードをレジストリキーとして指定し、Encryption 値 (REG_SZ) として指定し @no__値のデータとしての t_2_。If you want the same default protection behavior as the Azure Information Protection client, where all files are automatically protected with native or generic protection: Specify the * wildcard as a registry key, Encryption as the value (REG_SZ), and Default as the value data.

レジストリを編集するときには、各ファイル名拡張子のキーと共に、MSIPC キーと FileProtection キーが存在しない場合には手動で作成します。When you edit the registry, manually create the MSIPC key and FileProtection key if they do not exist, as well as a key for each file name extension.

たとえば、Office ファイルと PDF だけでなく、TIFF イメージも保護するスキャナーの場合、レジストリの編集後は、次の図のようになります。For example, for the scanner to protect TIFF images in addition to Office files and PDFs, the registry after you have edited it, will look similar to the following picture. イメージ ファイルなので、TIFF ファイルではネイティブ保護がサポートされ、結果としてファイル名拡張子は .ptiff になります。As an image file, TIFF files support native protection and the resulting file name extension is .ptiff.

保護を適用するためのスキャナーのレジストリの編集

ネイティブ保護をサポートしていても、レジストリで指定する必要がある、テキストおよびイメージファイルの種類の一覧については、「分類と保護のサポートされているファイルの種類」を参照してください。For a list of text and images file types that similarly support native protection but must be specified in the registry, see Supported file types for classification and protection.

ネイティブ保護がサポートされていないファイルの場合は、新しいキーとしてファイル名拡張子を指定し、汎用的な保護のために PFile を指定します。For files that don't support native protection, specify the file name extension as a new key, and PFile for generic protection. 結果として、保護されるファイルのファイル名拡張子は .pfile になります。The resulting file name extension for the protected file is .pfile.

統合されたラベル付けクライアントからのスキャナー: PowerShell を使用して、保護するファイルの種類を変更します。Scanner from the unified labeling client: Use PowerShell to change which file types are protected

このセクションは、統合されたラベル付けクライアントからのスキャナーにのみ適用されます。This section applies to the scanner from the unified labeling client only.

スキャナーのラベルをダウンロードするユーザーアカウントに適用されるラベルポリシーについては、 PFileSupportedExtensionsという名前の PowerShell の詳細設定を指定します。For a label policy that applies to the user account downloading labels for the scanner, specify a PowerShell advanced setting named PFileSupportedExtensions.

注意

インターネットにアクセスできるスキャナーの場合、このユーザーアカウントは、 DelegatedUserパラメーターに指定するアカウントで、Set-AIPAuthentication コマンドを使用します。For a scanner that has access to the internet, this user account is the account that you specify for the DelegatedUser parameter with the Set-AIPAuthentication command.

例 1: すべてのファイルの種類を保護するためのスキャナーの PowerShell コマンド: ラベルポリシーの名前は "Scanner" です。Example 1: PowerShell command for the scanner to protect all file types, where your label policy is named "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

例 2: スキャナーの PowerShell コマンドを使用して、Office ファイルと PDF ファイルに加えて .xml ファイルと tiff ファイルを保護します。ここで、ラベルポリシーには "Scanner" という名前を付けます。Example 2: PowerShell command for the scanner to protect .xml files and .tiff files in addition to Office files and PDF files, where your label policy is named "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

詳細な手順については、管理者ガイドの「保護するファイルの種類を変更する」を参照してください。For detailed instructions, see Change which file types to protect from the admin guide.

ファイルが再スキャンされる場合When files are rescanned

最初のスキャン サイクルではスキャナーは構成されているデータ ストアのすべてのファイルを検査し、後続のスキャンでは、新しいファイルまたは変更されたファイルのみが検査されます。For the first scan cycle, the scanner inspects all files in the configured data stores and then for subsequent scans, only new or modified files are inspected.

Azure portal の [Azure Information Protection-プロファイル] ウィンドウから、すべてのファイルを再度検査するようスキャナーに強制できます。You can force the scanner to inspect all files again from the Azure Information Protection - Profiles pane in the Azure portal. 一覧からスキャナープロファイルを選択し、 [すべてのファイルを再スキャン] オプションを選択します。Select your scanner profile from the list, and then select the Rescan all files option:

Azure Information Protection スキャナーの再スキャンを開始する

すべてのファイルの再検査はレポートにすべてのファイルを含める必要がある場合に役立ち、この構成は通常、検索モードでスキャナーが実行されるときに使用されます。Inspecting all files again is useful when you want the reports to include all files and this configuration choice is typically used when the scanner runs in discovery mode. フル スキャンが完了すると、後続のスキャンで新しいファイルまたは変更されたファイルのみがスキャンされるように、スキャンの種類が自動的に [増分] に変更されます。When a full scan is complete, the scan type automatically changes to incremental so that for subsequent scans, only new or modified files are scanned.

また、クラシッククライアントのスキャナーが、新しい条件または変更された条件を持つ Azure Information Protection ポリシーをダウンロードしたときに、すべてのファイルが検査されます。また、統合されたラベル付けクライアントのスキャナーは、自動およびラベルを付けることをお勧めします。In addition, all files are inspected when the scanner from the classic client downloads an Azure Information Protection policy that has new or changed conditions and the scanner from the unified labeling client has new or changed settings for automatic and recommended labeling.

スキャナーは、次のトリガーに従ってポリシーを更新します。The scanner refreshes the policy according to the following triggers:

  • クラシッククライアントからのスキャナー: 1 時間ごと、およびサービスが開始され、ポリシーが1時間を経過した場合。Scanner from the classic client: Every hour and when the service starts and the policy is older than one hour.

  • 統合ラベル付けクライアントからのスキャナー: 4 時間ごと、およびサービスの開始時に実行されます。Scanner from the unified labeling client: Every four hours and when the service starts.

ヒント

テスト期間中など、既定の間隔よりも早くポリシーを更新する必要がある場合は、次のようにします。If you need to refresh the policy sooner than the default interval, for example, during a testing period:

  • クラシッククライアントからのスキャナー: ポリシーファイル %LocalAppData%\Microsoft\MSIP\Policy.msipからポリシーファイルを手動で削除します。Scanner from the classic client: Manually delete the policy file, Policy.msip from %LocalAppData%\Microsoft\MSIP\Policy.msip.

  • 統一されたラベル付けクライアントからのスキャナー: %LocalAppData%\Microsoft\MSIP\mip\<processname>/Mipから手動でコンテンツを削除します。Scanner from the unified labeling client: Manually delete the contents from %LocalAppData%\Microsoft\MSIP\mip\<processname>\mip.

その後、Azure Information Scanner サービスを再起動します。Then restart the Azure Information Scanner service. ラベルの保護設定を変更した場合は、保護設定を保存してから15分待ってから、サービスを再起動してください。If you changed protection settings for your labels, also wait 15 minutes from when you saved the protection settings before you restart the service.

データ リポジトリ設定の一括編集Editing in bulk for the data repository settings

スキャナーのプロファイルに追加したデータ リポジトリに対して、 [エクスポート][インポート] オプションを使って簡単に設定を変更することができます。For the data repositories that you've added to a scanner profile, you can use the Export and Import options to quickly make changes to the settings. たとえば、ご自分の SharePoint データ リポジトリに対して、スキャンから除外する新しいファイルの種類を追加したいことがあります。For example, for your SharePoint data repositories, you want to add a new file type to exclude from scanning.

Azure portal 内の各データリポジトリを編集するのではなく、 [リポジトリ] ペインの [エクスポート] オプションを使用します。Instead of editing each data repository in the Azure portal, use the Export option from the Repositories pane:

スキャナーのデータ リポジトリの設定をエクスポートする

ファイルを手動で編集して変更を加え、同じウィンドウで [インポート] オプションを使用します。Manually edit the file to make the change, and then use the Import option on the same pane.

代替構成でのスキャナーの使用Using the scanner with alternative configurations

Azure Information Protection スキャナーでは、どのような状況でもラベルを構成する必要がないという3つの代替シナリオがサポートされています。There are three alternative scenarios that the Azure Information Protection scanner supports where labels do not need to be configured for any conditions:

  • データ リポジトリ内のすべてのファイルに既定のラベルを適用する。Apply a default label to all files in a data repository.

    この構成では、 [コンテンツに基づくラベルファイル] を [オフ] に設定します。For this configuration, set Label files based on content to Off. 次に、 [既定のラベル][カスタム] に設定し、使用するラベルを選択します。Then set the Default label to Custom, and select the label to use.

    ファイルの内容は検査されず、データリポジトリ内のラベルのないすべてのファイルには、データリポジトリまたはスキャナープロファイルに指定した既定のラベルに従ってラベルが付けられます。The contents of the files are not inspected and all unlabeled files in the data repository are labeled according to the default label that you specify for the data repository or the scanner profile.

    統合されたラベル付けクライアントのスキャナーでは、既定のラベルが既にラベル付けされている場合でも、すべてのファイルに既定のラベルを適用する場合は、[既定のラベルを適用する] を選択することもできます。For the scanner from the unified labeling client, you can also select Enforce default label if you want the default label to be applied on all files, even if they are already labeled.

  • データリポジトリ内のすべてのファイルから既存のラベルを削除します。Remove existing labels from all files in a data repository.

    この構成では、統一されたラベル付けクライアントからのスキャナーにのみ適用できます。既存のラベルを削除することもできます。このラベルに適用されている場合は、保護が含まれます。Applicable to the scanner from the unified labeling client only, this configuration lets you remove existing labels, which includes protection if it was applied with that label. ラベルとは独立して適用された保護が保持されます。Protection that was applied independently from a label is retained. リポジトリ内のファイルからすべてのラベルを削除する必要がある場合は、この構成を使用します。Use this configuration if you need to remove all labels from files in a repository.

    次の設定を構成します。Configure the following settings:

    • コンテンツに基づいてファイルにラベルを付ける:オフLabel files based on content: Off
    • 既定のラベル:なしDefault label: None
    • ファイルのラベルの再設定: [ 既定のラベルを強制する] チェックボックスがオンになっているRelabel files: On with the Enforce default label checkbox selected
  • すべてのカスタム条件と、既知の機密情報の種類を特定する。Identify all custom conditions and known sensitive information types.

    この構成では、 [検出する情報の種類][すべて] に設定します。For this configuration, set the Info types to be discovered to All.

    クラシッククライアントからのスキャナーの場合: スキャナーは、Azure Information Protection ポリシーでラベルに指定したカスタム条件、および Azure 情報のラベルに指定できる情報の種類の一覧を使用します。保護ポリシー。For the scanner from the classic client: The scanner uses any custom conditions that you have specified for labels in the Azure Information Protection policy, and the list of information types that are available to specify for labels in the Azure Information Protection policy.

    統一されたラベル付けクライアントのスキャナーの場合: スキャナーは、指定したカスタムの機密情報の種類、およびラベル付け管理センターで選択できる組み込みの機密情報の種類の一覧を使用します。For the scanner from the unified labeling client: The scanner uses any custom sensitive info types that you have specified and the list of built-in sensitive info types that are available to select in your labeling management center.

    この設定は、気付かない可能性がある機密情報を発見するのに役立ちますが、スキャナーのスキャン速度が犠牲になります。This setting helps you find sensitive information that you might not realize you had, but at the expense of scanning rates for the scanner.

    スキャナーの次のクイックスタートでは、この構成を使用します。クイックスタート: 使用している機密情報を検索します。The following quickstart for the scanner uses this configuration: Quickstart: Find what sensitive information you have.

スキャナーのパフォーマンスの最適化Optimizing the performance of the scanner

スキャナーのパフォーマンスを最適化するには、次のガイダンスを使用します。Use the following guidance to help you optimize the performance of the scanner. ただし、スキャナーのパフォーマンスではなく、スキャナーコンピューターの応答性が優先される場合は、高度なクライアント設定を使用して、スキャナーが使用するスレッドの数を制限することができます (クラシッククライアントのみ)。However, if your priority is the responsiveness of the scanner computer rather than the scanner performance, you can use an advanced client setting to limit the number of threads used by the scanner (classic client only).

スキャナーのパフォーマンスを最大化するにはTo maximize the scanner performance:

  • スキャナー コンピューターとスキャンされたデータ ストア間のネットワーク接続を高速かつ信頼性の高い接続にするHave a high speed and reliable network connection between the scanner computer and the scanned data store

    たとえば、同じ LAN 内か、スキャンされたデータ ストアと同じネットワーク セグメント内 (推奨) にスキャナー コンピューターを配置します。For example, place the scanner computer in the same LAN, or (preferred) in the same network segment as the scanned data store.

    ネットワーク接続の品質は、スキャナーがスキャナー サービスを実行しているコンピューターにファイルのコンテンツを転送してファイルを検査するため、スキャナーのパフォーマンスに影響します。The quality of the network connection affects the scanner performance because to inspect the files, the scanner transfers the contents of the files to the computer running the scanner service. このデータを移動する必要があるネットワークのホップ数を減らす (削除する) と、ネットワークの負荷も軽減されます。When you reduce (or eliminate) the number of network hops this data has to travel, you also reduce the load on your network.

  • スキャナー コンピューターに利用可能なプロセッサ リソースがあることを確認するMake sure the scanner computer has available processor resources

    ファイルの内容の検査、およびファイルの暗号化と複合化は、プロセッサ負荷の高いアクションです。Inspecting the file contents, and encrypting and decrypting files are processor-intensive actions. プロセッサ リソースの不足がスキャナー パフォーマンスを低下させるかどうかを識別するには、指定したデータ ストアの標準のスキャン サイクルを監視します。Monitor typical scanning cycles for your specified data stores to identify whether a lack of processor resources is negatively affecting the scanner performance.

  • スキャナー サービスを実行しているコンピューター上のローカル フォルダーをスキャンしないDo not scan local folders on the computer running the scanner service

    Windows Server 上にスキャンするフォルダーがある場合は、別のコンピューター上にスキャナーをインストールし、これらのフォルダーをネットワーク共有として構成してスキャンします。If you have folders to scan on a Windows server, install the scanner on a different computer and configure those folders as network shares to scan. ファイルをホストする機能とファイルをスキャンする機能の 2 つの機能を分離させると、これらのサービス用のリソースの計算が相互に競合していないことを意味します。Separating the two functions of hosting files and scanning files means that the computing resources for these services are not competing with one another.

必要に応じて、スキャナーの複数のインスタンスをインストールします。If necessary, install multiple instances of the scanner. Azure Information Protection スキャナーでは、スキャナーのカスタム プロファイル名を指定するときに同じ SQL Server インスタンス上の複数の構成データベースがサポートされます。The Azure Information Protection scanner supports multiple configuration databases on the same SQL server instance when you specify a custom profile name for the scanner. 統一されたラベル付けクライアントのスキャナーでは、複数のスキャナーが同じプロファイルを共有できるため、スキャン時間が短縮されます。For the scanner from the unified labeling client, multiple scanners can share the same profile, which results in quicker scanning times.

スキャナーのパフォーマンスに影響するその他の要因Other factors that affect the scanner performance:

  • スキャンするファイルを含むデータ ストアの現在の負荷と応答時間The current load and response times of the data stores that contain the files to scan

  • スキャナーが検索モードまたは強制モードのどちらで実行されているかWhether the scanner runs in discovery mode or enforce mode

    通常、検索モードでは、強制モードよりもスキャン速度が速くなります。これは、発見には単一ファイルの読み取りアクションが必要なのに対して、強制モードでは読み取り/書き込みアクションが必要なためです。Discovery mode typically has a higher scanning rate than enforce mode because discovery requires a single file read action, whereas enforce mode requires read and write actions.

  • Azure Information Protection ポリシーの条件を変更する (クラシッククライアント) か、ラベルポリシーで自動ラベル付け (クライアントの統合)You change the conditions in the Azure Information Protection policy (classic client) or auto-labeling in the label policy (unified labeling client)

    スキャナーがすべてのファイルを検査する必要がある場合、最初のスキャン サイクルには、既定では新規および変更されたファイルのみを検査する後続のスキャン サイクルよりも、長い時間がかかります。Your first scan cycle when the scanner must inspect every file will take longer than subsequent scan cycles that by default, inspect only new and changed files. ただし、条件または自動ラベル設定を変更すると、前のセクションで説明したように、すべてのファイルが再度スキャンされます。However, if you change the conditions or auto-labeling settings, all files are scanned again, as described in the preceding section.

  • カスタム条件に対する正規表現式の構築The construction of regex expressions for custom conditions

    メモリの大量消費とタイムアウト (1 ファイルあたり 15 分) のリスクを回避するには、ご利用の正規表現式を確認して効率的なパターン マッチングが行われているかを確認してください。To avoid heavy memory consumption and the risk of timeouts (15 minutes per file), review your regex expressions for efficient pattern matching. たとえば、次のようになります。For example:

    • 最長の量指定子を開始しますAvoid greedy quantifiers

    • (expression) ではなく、(?:expression) などの非キャプチャ グループを使用しますUse non-capturing groups such as (?:expression) instead of (expression)

  • 選択したログ レベルYour chosen logging level

    スキャナー レポートに対して [デバッグ][情報][エラー][オフ] から選択できます。You can choose between Debug, Info, Error and Off for the scanner reports. [オフ] を選択すると、最適なパフォーマンスになります。 [デバッグ] は大幅にスキャナーのスピードを低下させるので、トラブルシューティング時にのみ使用してください。Off results in the best performance; Debug considerably slows down the scanner and should be used only for troubleshooting. 詳細については、Set-AIPScannerConfiguration コマンドレットの ReportLevel パラメーターを参照してください。For more information, see the ReportLevel parameter for the Set-AIPScannerConfiguration cmdlet.

  • ファイル自体The files themselves:

    • Excel ファイルを除き、Office ファイルは PDF ファイルよりもすばやくスキャンされます。With the exception of Excel files, Office files are more quickly scanned than PDF files.

    • 保護されていないファイルは、保護されたファイルよりもすばやくスキャンされます。Unprotected files are quicker to scan than protected files.

    • 大きいファイルは明らかに小さいファイルよりも時間がかかります。Large files obviously take longer to scan than small files.

  • さらに、本サービスには以下の規定が適用されます。Additionally:

    • スキャナーを実行するサービスアカウントに、「スキャナーの前提条件」セクションに記載されている権限のみがあることを確認し、詳細なクライアント設定を構成して、スキャナーの低整合性レベルを無効にします (クラシッククライアントのみ)。Confirm that the service account that runs the scanner has only the rights documented in the scanner prerequisites section, and then configure the advanced client setting to disable the low integrity level for the scanner (classic client only).

    • 代替構成を使ってすべてのファイルに既定のラベルを適用すると、ファイル内容の検査がスキップされるため、スキャナーの実行速度が速くなります。The scanner runs more quickly when you use the alternative configuration to apply a default label to all files because the scanner does not inspect the file contents.

    • 代替構成を使ってすべてのカスタム条件と既知の機密情報の種類を特定すると、スキャナーの実行速度が遅くなりなります。The scanner runs more slowly when you use the alternative configuration to identify all custom conditions and known sensitive information types.

    • スキャンのタイムアウト (クラシッククライアントのみ) を減らすことができます。また、スキャン速度を向上させ、メモリ消費を減らすことができますが、一部のファイルはスキップされる可能性があります。You can decrease the scanner timeouts (classic client only) with advanced client settings for better scanning rates and lower memory consumption, but with the acknowledgment that some files might be skipped.

スキャナーのコマンドレットの一覧List of cmdlets for the scanner

現在では Azure portal からスキャナーを構成するため、データ リポジトリとスキャンされるファイルの種類のリストを構成する以前のバージョンのコマンドレットは、非推奨になりました。Because you now configure the scanner from the Azure portal, cmdlets from previous versions that configured data repositories and the scanned file types list are now deprecated.

残っているコマンドレットには、スキャナーをインストールおよびアップグレードするコマンドレット、スキャナーの構成データベースとプロファイルを変更するコマンドレット、ローカルのレポート レベルを変更するコマンドレット、および切断されたコンピューターの構成設定をインポートするコマンドレットが含まれます。The cmdlets that remain include cmdlets that install and upgrade the scanner, change the scanner configuration database and profile, change the local reporting level, and import configuration settings for a disconnected computer.

スキャナーのコマンドレットの完全な一覧:The full list of cmdlets for the scanner:

スキャナーのイベント ログ ID と説明Event log IDs and descriptions for the scanner

次のセクションを使用して、スキャナーの可能性のあるイベント ID と説明を特定できます。Use the following sections to identify the possible event IDs and descriptions for the scanner. これらのイベントは、Windows のアプリケーションとサービスのイベント ログ、Azure Information Protection でスキャナー サービスを実行しているサーバーにログオンします。These events are logged on the server that runs the scanner service, in the Windows Applications and Services event log, Azure Information Protection.

注意

このセクションは、クラシッククライアントからのスキャナーにのみ適用されます。This section applies to the scanner from the classic client only. 現在、統一されたラベル付けクライアントのスキャナーは、イベントログに情報を書き込むことはありません。Currently, the scanner from the unified labeling client doesn't write information to the event log.


情報 910Information 910

スキャナーのサイクルが開始しました。Scanner cycle started.

スキャナー サービスが開始され、指定したデータ リポジトリ内のファイルのスキャンが開始されたときに、このイベントがログに記録されます。This event is logged when the scanner service is started and begins to scan for files in the data repositories that you specified.


情報 911Information 911

スキャナーのサイクルが完了しました。Scanner cycle finished.

スキャナーで手動スキャンまたは継続的スケジュールのサイクルが完了すると、このイベントがログに記録されます。This event is logged when the scanner has finished a manual scan, or the scanner has finished a cycle for a continuous schedule.

スキャナーを連続ではなく手動で実行するように構成した場合、ファイルをもう一度スキャンするには、スキャナーのプロファイルで [スケジュール][手動] または [常時] に設定して、サービスを再起動します。If the scanner was configured to run manually rather than continuously, to scan the files again, set the Schedule to Manual or Always in the scanner profile, and then restart the service.


次のステップNext steps

Microsoft の Core Services Engineering と Operations チームがどのようにこのスキャナーを実装したかについて関心をお持ちですか。Interested in how the Core Services Engineering and Operations team in Microsoft implemented this scanner? テクニカル ケース スタディ「Automating data protection with Azure Information Protection scanner」(Azure Information Protection スキャナーを使用したデータ保護の自動化) をご覧ください。Read the technical case study: Automating data protection with Azure Information Protection scanner.

Windows Server FCI と Azure Information Protection スキャナーの違いについてご説明します。You might be wondering: What’s the difference between Windows Server FCI and the Azure Information Protection scanner?

また、PowerShell を使用して、デスクトップ コンピューターからファイルを対話的に分類し、保護することができます。You can also use PowerShell to interactively classify and protect files from your desktop computer. PowerShell を使用するその他のシナリオの詳細については、管理者ガイドの次のセクションを参照してください。For more information about this and other scenarios that use PowerShell, see the following sections from the admin guides: