Azure Information Protection 統合ラベル付けスキャナーとはWhat is the Azure Information Protection unified labeling scanner?

*適用対象: Azure Information Protection、Windows Server 2019、Windows Server 2016、windows server 2012 R2 **Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2*

*関連: AIP のラベル付けクライアントのみ。 **Relevant for: AIP unified labeling client only.*

注意

クラウド リポジトリ上のファイルをスキャンおよびラベル付けするには、スキャナーの代わりに Cloud App Security を使用します。To scan and label files on cloud repositories, use Cloud App Security instead of the scanner.

このセクションの情報を使用して、Azure Information Protection 統合されたラベル付けスキャナーについて説明し、正常にインストール、構成、実行、必要に応じてトラブルシューティングを行う方法について説明します。Use the information in this section to learn about the Azure Information Protection unified labeling scanner, and then how to successfully install, configure, run and if necessary, troubleshoot it.

AIP スキャナーは、Windows Server 上のサービスとして実行され、次のデータストア上のファイルを検出、分類、および保護することができます。The AIP scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

  • SMB または NFS (プレビュー) プロトコルを使用するネットワーク共有の UNC パスUNC paths for network shares that use the SMB or NFS (Preview) protocols.

  • Sharepoint server 2013 2019 の sharepoint ドキュメントライブラリおよびフォルダーSharePoint document libraries and folder for SharePoint Server 2019 through SharePoint Server 2013. SharePoint 2010 の延長サポートをご利用のお客様向けに、このバージョンの SharePoint もサポートされています。SharePoint 2010 is also supported for customers who have extended support for this version of SharePoint.

ファイルを分類して保護するために、スキャナーでは、管理センター (Microsoft 365 Security Center、Microsoft 365 コンプライアンスセンター、Microsoft 365 のセキュリティとコンプライアンスセンターなど) にラベルを付けるために、管理センターにラベルを付ける Microsoft 365 の1つで構成された 機密ラベル を使用します。To classify and protect your files, the scanner uses sensitivity labels configured in one of the Microsoft 365 labeling admin centers, including the Microsoft 365 Security Center, the Microsoft 365 Compliance Center, and the Microsoft 365 Security and Compliance Center.

Azure Information Protection 統合されたラベル付けスキャナーの概要Azure Information Protection unified labeling scanner overview

AIP スキャナーは、Windows がインデックスを作成できるすべてのファイルを検査できます。The AIP scanner can inspect any files that Windows can index. 自動分類を適用するように感度ラベルを構成した場合は、検出されたファイルにラベルを付けてその分類を適用し、必要に応じて保護を適用または削除することができます。If you've configured sensitivity labels to apply automatic classification, the scanner can label discovered files to apply that classification, and optionally apply or remove protection.

次の図は、スキャナーがオンプレミスと SharePoint サーバーの間でファイルを検出する AIP スキャナーアーキテクチャを示しています。The following image shows the AIP scanner architecture, where the scanner discovers files across your on-premises and SharePoint servers.

Azure Information Protection 統合されたラベル付けスキャナーのアーキテクチャ

ファイルを検査するために、スキャナーはコンピューターにインストールされている IFilters を使用します。To inspect your files, the scanner uses IFilters installed on the computer. ファイルにラベルを付ける必要があるかどうかを判断するために、スキャナーは Microsoft 365 組み込みのデータ損失防止 (DLP) の機密情報の種類とパターンの検出、または正規表現パターンの Microsoft 365 を使用します。To determine whether the files need labeling, the scanner uses the Microsoft 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Microsoft 365 regex patterns.

スキャナーは Azure Information Protection クライアントを使用し、クライアントと同じ種類のファイルを分類して保護することができます。The scanner uses the Azure Information Protection client, and can classify and protect the same types of files as the client. 詳細については、「 Azure Information Protection の統合ラベル付けクライアントでサポートされるファイルの種類」を参照してください。For more information, see File types supported by the Azure Information Protection unified labeling client.

次のいずれかの操作を行って、必要に応じてスキャンを構成します。Do any of the following to configure your scans as needed:

  • 検索モードでスキャナーを実行 するのは、ファイルにラベルが付けられたときに何が起こるかを確認するレポートを作成する場合のみにしてください。Run the scanner in discovery mode only to create reports that check to see what happens when your files are labeled.
  • 自動分類を適用するラベルを構成せず に、スキャナーを実行して機密情報を含むファイルを検出 します。Run the scanner to discover files with sensitive information, without configuring labels that apply automatic classification.
  • 構成に従ってラベルを適用するに は、スキャナーを自動的に実行 します。Run the scanner automatically to apply labels as configured.
  • スキャンまたは除外する特定のファイルを指定する ファイルの種類の一覧を定義 します。Define a file types list to specify specific files to scan or to exclude.

注意

スキャナーはリアルタイムで検出してラベルを付けません。The scanner does not discover and label in real time. 指定したデータストア上のファイルを体系的にクロールします。It systematically crawls through files on data stores that you specify. このサイクルを1回または繰り返し実行するように構成します。Configure this cycle to run once, or repeatedly.

ヒント

統一されたラベル付けスキャナーでは、複数のノードを持つスキャナークラスターがサポートされます。これにより、組織のスケールアウトが可能になり、スキャン時間が短縮され、範囲が広くなります。The unified labeling scanner supports scanner clusters with multiple nodes, enabling your organization to scale out, achieving faster scan times and broader scope.

開始時から複数のノードを直接デプロイするか、または1ノードクラスターから開始して、後で拡張するときにノードを追加します。Deploy multiple nodes right from the start, or start with a single-node cluster and add additional nodes later on as you grow. Install AIPScanner コマンドレットに同じクラスター名とデータベースを使用して、複数のノードを展開します。Deploy multiple nodes by using the same cluster name and database for the Install-AIPScanner cmdlet.

AIP のスキャンプロセスAIP scanning process

AIP スキャナーは、ファイルをスキャンするときに、次の手順に従って実行されます。When scanning files, the AIP scanner runs through the following steps:

1. スキャンのためにファイルが含まれるか除外されるかを決定します。1. Determine whether files are included or excluded for scanning

2. ファイルを検査してラベルを付ける2. Inspect and label files

3. 検査できないファイルにラベルを付ける3. Label files that can't be inspected

詳細については、「 スキャナーによってラベル付けされていないファイル」を参照してください。For more information, see Files not labeled by the scanner.

1. スキャンのためにファイルが含まれるか除外されるかを決定します。1. Determine whether files are included or excluded for scanning

スキャナーでは、実行可能ファイルやシステム ファイルなど、分類と保護から除外されているファイルは自動的にスキップされます。The scanner automatically skips files that are excluded from classification and protection, such as executable files and system files. 詳細については、「 分類と保護から除外されるファイルの種類」を参照してください。For more information, see File types excluded from classification and protection.

また、スキャナーは、明示的に定義されたすべてのファイルリストをスキャンするか、スキャンから除外するかを検討します。The scanner also considers any file lists explicitly defined to scan, or exclude from scanning. ファイルの一覧は、既定ですべてのデータリポジトリに適用されます。また、特定のリポジトリに対してのみ定義できます。File lists apply for all data repositories by default, and can also be defined for specific repositories only.

スキャンまたは除外するファイルの種類を定義するには、コンテンツスキャンジョブの [ スキャンするファイルの種類 ] を使用します。To define file lists for scanning or exclusion, use the File types to scan setting in the content scan job. 次に例を示します。For example:

Azure Information Protection スキャナー用にスキャンするファイルの種類を構成する

詳細については、「 ファイルを自動的に分類して保護するための Azure Information Protection スキャナーの展開」を参照してください。For more information, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

2. ファイルを検査してラベルを付ける2. Inspect and label files

除外されたファイルを特定した後、スキャナーはもう一度フィルターを使用して検査がサポートされているファイルを特定します。After identifying excluded files, the scanner filters again to identify files supported for inspection.

これらのフィルターは、Windows Search およびインデックス作成用にオペレーティングシステムで使用されるものと同じものであり、追加の構成は必要ありません。These filters are the same ones used by the operating system for Windows Search and indexing, and require no extra configuration. Windows IFilter は、Word、Excel、PowerPoint で使用されるファイルの種類、および PDF ドキュメントやテキストファイルのスキャンにも使用されます。Windows IFilter is also used to scan file types that are used by Word, Excel, and PowerPoint, and for PDF documents and text files.

検査でサポートされているファイルの種類の完全な一覧と、.zip ファイルと tiff ファイルを含めるようにフィルターを構成するためのその他の手順については、「 検査でサポートされるファイルの種類」を参照してください。For a full list of file types supported for inspection, and other instructions for configuring filters to include .zip and .tiff files, see File types supported for inspection.

検査後、サポートされているファイルの種類は、ラベルに指定された条件を使用してラベル付けされます。After inspection, supported file types are labeled using the conditions specified for your labels. 探索モードを使用している場合、これらのファイルには、ラベルに指定された条件を含むようにレポートされるか、既知の機密情報の種類が含まれていることを報告できます。If you're using discovery mode, these files can either be reported to contain the conditions specified for your labels, or reported to contain any known sensitive information types.

スキャナープロセスを停止しましたStopped scanner processes

スキャナーが停止し、リポジトリ内の多数のファイルのスキャンが完了していない場合は、ファイルをホストしているオペレーティングシステムの動的ポートの数を増やすことが必要になる場合があります。If the scanner stops and doesn't complete a scan for a large number of files in your repository, you may need to increase the number of dynamic ports for the operating system hosting the files.

たとえば、SharePoint のサーバーのセキュリティ強化は、スキャナーが許可されているネットワーク接続の数を超過して停止する理由の1つです。For example, server hardening for SharePoint is one reason why the scanner would exceed the number of allowed network connections, and therefore stop.

SharePoint のサーバーのセキュリティ強化がスキャナーの停止の原因であるかどうかを確認するには、 %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog のスキャナーログに次のエラーメッセージがないかを確認します (複数のログは zip ファイルに圧縮されます)。To check whether server hardening for SharePoint is the cause of the scanner stopping, check for the following error message in the scanner logs at %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (multiple logs are compressed into a zip file):

Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

現在のポート範囲を表示し、必要に応じて増やす方法の詳細については、「 ネットワークパフォーマンスを向上させるために変更できる設定」を参照してください。For more information about how to view the current port range and increase it if needed, see Settings that can be modified to improve network performance.

ヒント

大規模な SharePoint ファームの場合は、リストビューのしきい値を大きくする必要があります。既定値は 5000 です。For large SharePoint farms, you may need to increase the list view threshold, which has a default of 5,000.

詳細については、「 SharePoint での大きなリストとライブラリの管理」を参照してください。For more information, see the Manage large lists and libraries in SharePoint.

3. 検査できないファイルにラベルを付ける3. Label files that can't be inspected

検査できないファイルの種類については、AIP スキャナーによって、Azure Information Protection ポリシーの既定のラベル、またはスキャナー用に構成された既定のラベルが適用されます。For any file types that can't be inspected, the AIP scanner applies the default label in the Azure Information Protection policy, or the default label configured for the scanner.

スキャナーによってラベル付けされていないファイルFiles not labeled by the scanner

AIP スキャナーは、次の状況でファイルにラベルを付けることはできません。The AIP scanner cannot label files under the following circumstances:

  • ラベルに分類が適用され、保護は適用されず、ファイルの種類がクライアントによる分類のみをサポートしていない場合。When the label applies classification, but not protection, and the file type does not support classification-only by the client. 詳細については、「 クライアントファイルの種類の統合」を参照してください。For more information, see Unified labeling client file types.

  • ラベルに分類と保護が適用されていても、スキャナーがファイルの種類をサポートしていない場合。When the label applies classification and protection, but the scanner does not support the file type.

    既定では、スキャナーによって保護されるのは、Office ファイルの種類と、PDF の暗号化のための ISO 標準を使用して保護されている PDF ファイルだけです。By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption.

    保護 するファイルの種類を変更すると、保護のために他の種類のファイルを追加できます。Other types of files can be added for protection when you change the types of files to protect.

: .txt ファイルを検査した後、スキャナーは分類のみに構成されたラベルを適用できません。これは、.txt ファイルの種類では分類のみがサポートされていないためです。Example: After inspecting .txt files, the scanner can't apply a label that's configured for classification only, because the .txt file type doesn't support classification only.

ただし、ラベルが分類と保護の両方に構成されていて、保護するスキャナーに .txt ファイルの種類が含まれている場合は、スキャナーでファイルにラベルを付けることができます。However, if the label is configured for both classification and protection, and the .txt file type is included for the scanner to protect, the scanner can label the file.

次のステップNext steps

スキャナーの展開の詳細については、次の記事を参照してください。For more information about deploying the scanner, see the following articles:

詳細情報:More information: