Azure Information Protection 統合ラベルスキャナーの構成とインストールConfiguring and installing the Azure Information Protection unified labeling scanner

*適用対象: Azure Information Protection、Windows Server 2019、Windows Server 2016、windows server 2012 R2 **Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2*

*関連: AIP 統合ラベルクライアントのみ*Relevant for: AIP unified labeling client only. クラシックスキャナーについては、「 Azure Information Protection クラシックスキャナーの構成とインストール」を参照してください。For the classic scanner, see Configuring and installing the Azure Information Protection classic scanner.*

Azure Information Protection スキャナーの構成とインストールを開始する前に、システムが 必要な前提条件に準拠していることを確認してください。Before you start configuring and installing the Azure Information Protection scanner, verify that your system complies with the required prerequisites.

準備ができたら、次の手順に進みます。When you're ready, continue with the following steps:

  1. Azure portal でスキャナーを構成するConfigure the scanner in the Azure portal

  2. スキャナーのインストールInstall the scanner

  3. スキャナー用の Azure AD トークンを取得するGet an Azure AD token for the scanner

  4. 分類と保護を適用するようにスキャナーを構成するConfigure the scanner to apply classification and protection

システムで必要に応じて、次の追加の構成手順を実行します。Perform the following additional configuration procedures as needed for your system:

手順Procedure 説明Description
保護するファイルの種類を変更するChange which file types to protect 既定とは異なる種類のファイルをスキャン、分類、または保護することができます。You may want to scan, classify, or protect different file types than the default. 詳細については、「 AIP scanning process」を参照してください。For more information, see AIP scanning process.
スキャナーをアップグレードするUpgrading your scanner スキャナーをアップグレードして、最新の機能と改善点を活用します。Upgrade your scanner to leverage the latest features and improvements.
データリポジトリ設定の一括編集Editing data repository settings in bulk インポートとエクスポートのオプションを使用して、複数のデータリポジトリに対して一括変更を行います。Use import and export options to make changes in bulk for multiple data repositories.
別の構成でスキャナーを使用するUse the scanner with alternative configurations 任意の条件でラベルを構成せずにスキャナーを使用するUse the scanner without configuring labels with any conditions
パフォーマンスを最適化するOptimize performance スキャナーのパフォーマンスを最適化するためのガイダンスGuidance to optimize your scanner performance

詳細については、「 スキャナーのコマンドレットの一覧」も参照してください。For more information, see also List of cmdlets for the scanner.

Azure portal でスキャナーを構成するConfigure the scanner in the Azure portal

スキャナーをインストールする前、または以前の一般公開版からアップグレードする前に、Azure portal の [Azure Information Protection] 領域でスキャナーの設定を構成または確認してください。Before you install the scanner, or upgrade it from an older general availability version, configure or verify your scanner settings in the Azure Information Protection area of the Azure portal.

スキャナーを構成するには:To configure your scanner:

  1. 次のいずれかのロールで Azure portal にサインインします。Sign in to the Azure portal with one of the following roles:

    • コンプライアンス管理者Compliance administrator
    • コンプライアンス データ管理者Compliance data administrator
    • セキュリティ管理者Security administrator
    • グローバル管理者Global administrator

    次に、[ Azure Information Protection ] ウィンドウに移動します。Then, navigate to the Azure Information Protection pane.

    たとえば、リソース、サービス、およびドキュメントの検索ボックスで、「Information」と入力を開始し、Azure Information Protection を選択します。For example, in the search box for resources, services, and docs, start typing Information and select Azure Information Protection.

  2. スキャナークラスターを作成します。Create a scanner cluster. このクラスターはスキャナーを定義し、インストール、アップグレード、およびその他のプロセスの実行中など、スキャナーのインスタンスを識別するために使用されます。This cluster defines your scanner and is used to identify the scanner instance, such as during installation, upgrades, and other processes.

  3. Optional ネットワークで危険なリポジトリをスキャンします。(Optional) Scan your network for risky repositories. 指定された IP アドレスまたは範囲をスキャンするネットワークスキャンジョブを作成し、セキュリティで保護する機密コンテンツが含まれている危険性のあるリポジトリの一覧を提供します。Create a network scan job to scan a specified IP address or range, and provide a list of risky repositories that may contain sensitive content you'll want to secure.

    ネットワークスキャンジョブを実行し、 検出された危険なリポジトリを分析します。Run your network scan job and then analyze any risky repositories found.

  4. スキャンするリポジトリを定義するコンテンツスキャンジョブを作成します。Create a content scan job to define the repositories you want to scan.

スキャナークラスターを作成するCreate a scanner cluster

  1. 左側の [ スキャナー ] メニューで、 クラスター ![クラスター] アイコンを選択します。From the Scanner menu on the left, select Clusters clusters icon.

  2. [ Azure Information Protection クラスター ] ウィンドウで、追加 ![] アイコンを選択し ます。On the Azure Information Protection - Clusters pane, select Add add icon.

  3. [ 新しいクラスターの追加 ] ウィンドウで、スキャナーにわかりやすい名前を入力し、必要に応じて説明を入力します。On the Add a new cluster pane, enter a meaningful name for the scanner, and an optional description.

    クラスター名は、スキャナーの構成とリポジトリを識別するために使用されます。The cluster name is used to identify the scanner's configurations and repositories. たとえば、「 ヨーロッパ 」と入力すると、スキャンするデータリポジトリの地理的な場所を識別できます。For example, you might enter Europe to identify the geographical locations of the data repositories you want to scan.

    この名前を後で使用して、スキャナーをインストールまたはアップグレードする場所を指定します。You'll use this name later on to identify where you want to install or upgrade your scanner.

  4. 保存 ![] アイコン を選択して、変更を保存します。Select Save save icon to save your changes.

ネットワークスキャンジョブの作成 (パブリックプレビュー)Create a network scan job (public preview)

バージョン 2.8.85.0以降では、危険なリポジトリをネットワークでスキャンできます。Starting in version 2.8.85.0, you can scan your network for risky repositories. コンテンツスキャンジョブに検出されたリポジトリを1つ以上追加して、機密コンテンツをスキャンします。Add one or more of the repositories found to a content scan job to scan them for sensitive content.

注意

Azure Information Protection のネットワーク探索機能は、現在プレビューの段階です。The Azure Information Protection network discovery feature is currently in PREVIEW. Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

ネットワーク検出の前提条件Network discovery prerequisites

前提条件Prerequisite 説明Description
ネットワーク探索サービスをインストールするInstall the Network Discovery service 最近スキャナーをアップグレードした場合は、引き続きネットワーク探索サービスをインストールする必要があります。If you've recently upgraded your scanner, you may need to still install the Network Discovery service.

ネットワークスキャンジョブを有効にするには、 MIPNetworkDiscovery コマンドレットを実行します。Run the Install-MIPNetworkDiscovery cmdlet to enable network scan jobs.
Azure Information Protection analyticsAzure Information Protection analytics Azure Information Protection analytics が有効になっていることを確認します。Make sure that you have Azure Information Protection analytics enabled.

Azure portal で、[ Azure Information Protection > [> 管理] [分析の構成] (プレビュー) にアクセスします。In the Azure portal, go to Azure Information Protection > Manage > Configure analytics (Preview).

詳細については、「 Azure Information Protection の中央レポート (パブリックプレビュー)」を参照してください。For more information, see Central reporting for Azure Information Protection (public preview).

ネットワークスキャンジョブの作成Creating a network scan job

  1. Azure portal にログインし、 Azure Information Protection にアクセスします。Log in to the Azure portal, and go to Azure Information Protection. 左側の [ スキャナー ] メニューで、 ネットワークスキャンジョブ (プレビュー) ![ネットワークスキャンジョブ] アイコンを選択します。Under the Scanner menu on the left, select Network scan jobs (Preview) network scan jobs icon.

  2. [ Azure Information Protection-ネットワークスキャンジョブ ] ウィンドウで、 **追加** ![] アイコンを選択します。On the Azure Information Protection - Network scan jobs pane, select Add add icon.

  3. [ 新しいネットワークスキャンジョブの追加 ] ページで、次の設定を定義します。On the Add a new network scan job page, define the following settings:

    設定Setting 説明Description
    ネットワークスキャンジョブ名Network scan job name このジョブのわかりやすい名前を入力します。Enter a meaningful name for this job. このフィールドは必須です。This field is required.
    説明Description わかりやすい説明を入力します。Enter a meaningful description.
    クラスターを選択しますSelect the cluster ドロップダウンリストから、構成したネットワークの場所をスキャンするために使用するクラスターを選択します。From the dropdown, select the cluster you want to use to scan the configured network locations.

    ヒント: クラスターを選択するときは、割り当てたクラスター内のノードが SMB 経由で構成された IP 範囲にアクセスできることを確認してください。Tip: When selecting a cluster, make sure that the nodes in the cluster you assign can access the configured IP ranges via SMB.
    検出する IP 範囲を構成するConfigure IP ranges to discover IP アドレスまたは範囲を定義する場合にクリックします。Click to define an IP address or range.

    [ IP 範囲の選択 ] ウィンドウで、必要に応じて名前を入力し、範囲の開始 ip アドレスと終了 ip アドレスを入力します。In the Choose IP ranges pane, enter an optional name, and then a start IP address and end IP address for your range.

    ヒント: 特定の ip アドレスのみをスキャンするには、[ 開始 ip ] フィールドと [ 終了 ip ] フィールドの両方に同じ ip アドレスを入力します。Tip: To scan a specific IP address only, enter the identical IP address in both the Start IP and End IP fields.
    スケジュールを設定するSet schedule このネットワークスキャンジョブを実行する頻度を定義します。Define how often you want this network scan job to run.

    [ 週単位] を選択すると、 [ネットワークスキャンジョブを実行 する] 設定が表示されます。If you select Weekly, the Run network scan job on setting appears. ネットワークスキャンジョブを実行する曜日を選択します。Select the days of the week where you want the network scan job to run.
    開始時刻 (UTC) を設定するSet start time (UTC) このネットワークスキャンジョブの実行を開始する日付と時刻を定義します。Define the date and time that you want this network scan job to start running. ジョブを毎日、毎週、または毎月実行するように選択した場合は、選択した繰り返しで、定義された時刻にジョブが実行されます。If you've selected to run the job daily, weekly, or monthly, the job will run at the defined time, at the recurrence you've selected.

    : 月末に日付を任意の日に設定する場合は注意してください。Note: Be careful when setting the date to any days at the end of the month. 31 を選択した場合、ネットワークスキャンジョブは、30日以内の任意の月に実行されません。If you select 31, the network scan job will not run in any month that has 30 days or fewer.
  4. 保存 ![] アイコン を選択して、変更を保存します。Select Save save icon to save your changes.

ヒント

別のスキャナーを使用して同じネットワークスキャンを実行する場合は、ネットワークスキャンジョブで定義されているクラスターを変更します。If you want to run the same network scan using a different scanner, change the cluster defined in the network scan job.

[ ネットワークスキャンジョブ ] ウィンドウに戻り、[ クラスターに割り当て ] を選択して、現在別のクラスターを選択するか、クラスターの割り当てを 解除 して後で追加の変更を行います。Return to the Network scan jobs pane, and select Assign to cluster to select a different cluster now, or Unassign cluster to make additional changes later.

見つかった危険なリポジトリの分析 (パブリックプレビュー)Analyze risky repositories found (public preview)

ネットワークスキャンジョブ、コンテンツスキャンジョブ、またはログファイルで検出されたユーザーアクセスによって検出されたリポジトリは、 スキャナー > リポジトリ の [リポジトリ] アイコン ウィンドウに集計され、一覧表示されます。Repositories found, either by a network scan job, a content scan job, or by user access detected in log files, are aggregated and listed on the Scanner > Repositories repositories icon pane.

ネットワークスキャンジョブを定義し、特定の日時に実行するように設定している場合は、実行が完了して結果が確認されるまで待機します。If you've defined a network scan job and have set it to run at a specific date and time, wait until it's finished running to check for results. コンテンツスキャンジョブを実行して更新されたデータを表示した後に、ここで返すこともできます。You can also return here after running a content scan job to view updated data.

注意

Azure Information Protection リポジトリ 機能は現在プレビューの段階です。The Azure Information Protection Repositories feature is currently in PREVIEW. Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

  1. 左側の [スキャナー ] メニューで、リポジトリ![リポジトリ] アイコンを選択します。Under the Scanner menu on the left, select Repositories repositories icon.

    検出されたリポジトリは次のようになります。The repositories found are shown as follows:

    • [ 状態別リポジトリ ] グラフには、コンテンツスキャンジョブに対して既に構成されているリポジトリの数と、その数が示されていません。The Repositories by status graph shows how many repositories are already configured for a content scan job, and how many are not.
    • アクセスグラフ別の上位10個の管理 されていないリポジトリには、現在コンテンツスキャンジョブに割り当てられていない上位10個のリポジトリ、およびそれらのアクセスレベルの詳細が表示されます。The Top 10 unmanaged repositories by access graph lists the top 10 repositories that are not currently assigned to a content scan job, as well as details about their access levels. アクセスレベルは、リポジトリの危険度を示すことができます。Access levels can indicate how risky your repositories are.
    • グラフの下の表には、検出された各リポジトリとその詳細が一覧表示されます。The table below the graphs list each repository found and their details.
  2. 次のいずれかを実行します。Do any of the following:

    オプションOption 説明Description
    列アイコンcolumns icon を選択して、表示されるテーブルの列を変更します。Select Columns to change the table columns displayed.
    更新アイコンrefresh icon スキャナーでネットワークスキャンの結果を最近実行した場合は、[ 更新 ] を選択してページを更新します。If your scanner has recently run network scan results, select Refresh to refresh the page.
    [追加] アイコンadd icon 表に一覧表示されている1つ以上のリポジトリを選択し、[ 選択した項目の割り当て ] を選択して、それらをコンテンツスキャンジョブに割り当てます。Select one or more repositories listed in the table, and then select Assign Selected Items to assign them to a content scan job.
    フィルターFilter フィルター行には、現在適用されているすべてのフィルター条件が表示されます。The filter row shows any filtering criteria currently applied. 表示されたいずれかの条件を選択して設定を変更するか、[ フィルターの追加 ] を選択して新しいフィルター条件を追加します。Select any of the criteria shown to modify its settings, or select Add Filter to add new filtering criteria.

    [ フィルター ] を選択して変更を適用し、更新されたフィルターを使用してテーブルを更新します。Select Filter to apply your changes and refresh the table with the updated filter.
    Log Analytics アイコンLog Analytics icon [管理されていないリポジトリ] グラフの右上隅にある Log Analytics アイコンをクリックして、これらのリポジトリの Log Analytics データに移動します。In the top-right corner of the unmanaged repositories graph, click the Log Analytics icon to jump to Log Analytics data for these repositories.

パブリックアクセスを持つリポジトリRepositories with public access

パブリックアクセス読み取り または 読み取り/書き込み 機能があることが判明したリポジトリには、セキュリティで保護する必要がある機密コンテンツが含まれている可能性があります。Repositories where Public access is found to have read or read/write capabilities may have sensitive content that must be secured. パブリックアクセス が false の場合、リポジトリはパブリックではアクセスできません。If Public access is false, the repository not accessible by the public at all.

リポジトリへのパブリックアクセスは、 MIPNetworkDiscoveryまたは MIPNetworkDiscoveryConfigurationコマンドレットの StandardDomainsUserAccount パラメーターに弱いアカウントを設定した場合にのみ報告されます。Public access to a repository is only reported if you've set a weak account in the StandardDomainsUserAccount parameter of the Install-MIPNetworkDiscovery or Set-MIPNetworkDiscoveryConfiguration cmdlets.

  • これらのパラメーターで定義されているアカウントは、リポジトリへの弱いユーザーのアクセスをシミュレートするために使用されます。The accounts defined in these parameters are used to simulate the access of a weak user to the repository. そこで定義されている弱いユーザーがリポジトリにアクセスできる場合は、リポジトリにパブリックにアクセスできることを意味します。If the weak user defined there can access the repository, this means that the repository can be accessed publicly.

  • パブリックアクセスが正しく報告されるようにするには、これらのパラメーターで指定したユーザーが Domain Users グループのメンバーであることを確認してください。To ensure that public access is reported correctly, make sure that the user specified in these parameters is a member of the Domain Users group only.

コンテンツスキャンジョブの作成Create a content scan job

コンテンツを詳しく調べて、特定のリポジトリで機密性の高いコンテンツをスキャンします。Deep dive into your content to scan specific repositories for sensitive content.

ネットワーク上のリポジトリを分析するためにネットワークスキャンジョブを実行した後にのみ、この操作を行うことができますが、自分でリポジトリを定義することもできます。You may want to do this only after running a network scan job to analyze the repositories in your network, but can also define your repositories yourself.

Azure portal でコンテンツスキャンジョブを作成するには:To create your content scan job on the Azure portal:

  1. 左側の [ スキャナー ] メニューで、[ コンテンツスキャンジョブ] を選択します。Under the Scanner menu on the left, select Content scan jobs.

  2. [ Azure Information Protection-コンテンツスキャンジョブ ] ウィンドウで、 **追加** ![] アイコンを選択します。On the Azure Information Protection - Content scan jobs pane, select Add add icon.

  3. この初期構成では、次の設定を構成してから、[ 保存 ] を選択します。ただし、ウィンドウは閉じないでください。For this initial configuration, configure the following settings, and then select Save but do not close the pane.

    設定Setting 説明Description
    コンテンツスキャンジョブの設定Content scan job settings - スケジュール:既定のままにし ておきます。- Schedule: Keep the default of Manual
    - 検出される情報の種類:ポリシーのみ に変更- Info types to be discovered: Change to Policy only
    - リポジトリを構成 する: コンテンツスキャンジョブを最初に保存する必要があるため、現時点では構成しないでください。- Configure repositories: Do not configure at this time because the content scan job must first be saved.
    DLP ポリシーDLP policy Microsoft 365 データ損失防止 (DLP) ポリシーを使用している場合は、[ dlp ルールを有効 にする] を [オン] に設定します。If you are using a Microsoft 365 Data Loss Prevention (DLP) policy, set Enable DLP rules to On. 詳細については、「 DLP ポリシーの使用」を参照してください。For more information, see Use a DLP policy.
    感度ポリシーSensitivity policy - 強制: [オフ] を選択します。- Enforce: Select Off
    - コンテンツに基づいてファイルにラベルを付ける: の既定値のまま します。- Label files based on content: Keep the default of On
    - 既定のラベル: 既定の ポリシー の既定値のままにします。- Default label: Keep the default of Policy default
    - ファイルのラベル を変更する: 既定値を オフ のままにします。- Relabel files: Keep the default of Off
    ファイル設定の構成Configure file settings - [更新日]、[最終更新日]、[変更者] を保持し ます。の既定値のまま します。- Preserve "Date modified", "Last modified" and "Modified by": Keep the default of On
    - スキャンするファイルの種類: [除外 するファイルの種類を既定のままにする。- File types to scan: Keep the default file types for Exclude
    - 既定の所有者: 既定の スキャナーアカウント を保持します- Default owner: Keep the default of Scanner Account
    - リポジトリ所有者の設定: DLP ポリシーを使用する場合にのみ、このオプションを使用します。- Set repository owner: Use this option only when using a DLP policy.
  4. コンテンツスキャンジョブの作成と保存が完了したら、[ リポジトリの構成 ] オプションに戻り、スキャンするデータストアを指定できます。Now that the content scan job is created and saved, you're ready to return to the Configure repositories option to specify the data stores to be scanned.

    SharePoint オンプレミスのドキュメントライブラリとフォルダーの UNC パスと SharePoint サーバーの Url を指定します。Specify UNC paths and SharePoint Server URLs for SharePoint on-premises document libraries and folders.

    注意

    Sharepoint では、sharepoint server 2019、SharePoint Server 2016、および SharePoint Server 2013 がサポートされています。SharePoint Server 2019, SharePoint Server 2016, and SharePoint Server 2013 are supported for SharePoint. また、SharePoint Server 2010 も、このバージョンの SharePoint の延長サポートを受けている場合はサポートされます。SharePoint Server 2010 is also supported when you have extended support for this version of SharePoint.

    最初のデータストアを追加するには、[ 新しいコンテンツスキャンジョブの追加 ] ウィンドウで [ リポジトリの構成 ] を選択し、[ リポジトリ ] ウィンドウを開きます。To add your first data store, while on the Add a new content scan job pane, select Configure repositories to open the Repositories pane:

    Azure Information Protection スキャナーのデータ リポジトリを構成する

    1. [リポジトリ] ペインで、 [追加] を選択します。On the Repositories pane, select Add:

      Azure Information Protection スキャナーのデータ リポジトリを追加する

    2. [ リポジトリ ] ウィンドウで、データリポジトリのパスを指定し、[ 保存] を選択します。On the Repository pane, specify the path for the data repository, and then select Save.

      • ネットワーク共有の場合は、を使用 \\Server\Folder します。For a network share, use \\Server\Folder.
      • SharePoint ライブラリの場合は、を使用 http://sharepoint.contoso.com/Shared%20Documents/Folder します。For a SharePoint library, use http://sharepoint.contoso.com/Shared%20Documents/Folder.
      • ローカル パスの場合: C:\FolderFor a local path: C:\Folder
      • UNC パスの場合: \\Server\FolderFor a UNC path: \\Server\Folder

    注意

    ワイルドカードはサポートされていません。また、WebDav の場所はサポートされていません。Wildcards are not supported and WebDav locations are not supported.

    共有ドキュメント の SharePoint パスを追加する場合は、次のようにします。If you add a SharePoint path for Shared Documents:

    • 共有ドキュメントのすべてのドキュメントとすべてのフォルダーをスキャンしたい場合は、パスに Shared Documents を指定します。Specify Shared Documents in the path when you want to scan all documents and all folders from Shared Documents. 例: http://sp2013/SharedDocumentsFor example: http://sp2013/SharedDocuments
    • 共有ドキュメント下のサブフォルダーのすべてのドキュメントとすべてのフォルダーをスキャンしたい場合は、パスに Documents を指定します。Specify Documents in the path when you want to scan all documents and all folders from a subfolder under Shared Documents. 例: http://sp2013/Documents/SalesReportsFor example: http://sp2013/Documents/SalesReports
    • または、Sharepoint の FQDN だけを指定し http://sp2013 ます。たとえば、特定の url とサブタイトル の下にあるすべての sharepoint サイトおよびサブサイトを検出してスキャン します。Or, specify only the FQDN of your Sharepoint, for example http://sp2013 to discover and scan all SharePoint sites and subsites under a specific URL and subtitles under this URL. この機能を有効にするには、スキャナー サイトコレクターの監査 者権限を付与します。Grant scanner Site Collector Auditor rights to enable this.

    このウィンドウの残りの設定については、この初期構成では変更せず、[ コンテンツスキャンジョブ] の既定値 のままにしておきます。For the remaining settings on this pane, do not change them for this initial configuration, but keep them as Content scan job default. 既定の設定は、データリポジトリがコンテンツスキャンジョブから設定を継承することを意味します。The default setting means that the data repository inherits the settings from the content scan job.

    SharePoint パスを追加するときは、次の構文を使用します。Use the following syntax when adding SharePoint paths:

    パスPath 構文Syntax
    ルートパスRoot path http://<SharePoint server name>

    スキャナーユーザーに許可されているサイトコレクションも含め、すべてのサイトをスキャンします。Scans all sites, including any site collections allowed for the scanner user.
    ルートコンテンツを自動的に検出するには、 追加のアクセス許可 が必要ですRequires additional permissions to automatically discover root content
    特定の SharePoint サブサイトまたはコレクションSpecific SharePoint subsite or collection 次のいずれか:One of the following:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    サイトコレクションのコンテンツを自動的に検出するには、 追加のアクセス許可 が必要ですRequires additional permissions to automatically discover site collection content
    特定の SharePoint ライブラリSpecific SharePoint library 次のいずれか:One of the following:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    特定の SharePoint フォルダーSpecific SharePoint folder http://<SharePoint server name>/.../<folder name>
  5. 前の手順を繰り返して、必要な数のリポジトリを追加します。Repeat the previous steps to add as many repositories as needed.

    完了したら、[ リポジトリ ] ウィンドウと [ コンテンツスキャン] ジョブ ペインの両方を閉じます。When you're done, close both the Repositories and Content scan job panes.

[ Azure Information Protection-コンテンツスキャンジョブ ] ウィンドウに戻り、[ スケジュール ] 列に [ 手動 ] が表示され、[ 適用 ] 列が空白になっている場合は、コンテンツスキャン名が表示されます。Back on the Azure Information Protection - Content scan job pane, your content scan name is displayed, together with the SCHEDULE column showing Manual and the ENFORCE column is blank.

これで、作成したコンテンツスキャナージョブを使用して、スキャナーをインストールする準備ができました。You're now ready to install the scanner with the content scanner job that you've created. スキャナーのインストールを続行します。Continue with Install the scanner.

スキャナーのインストールInstall the scanner

Azure portal で Azure Information Protection スキャナーを構成したら、次の手順を実行してスキャナーをインストールします。After you've configured the Azure Information Protection scanner in the Azure portal, perform the steps below to install the scanner:

  1. スキャナーを実行する Windows Server コンピューターにサインインします。Sign in to the Windows Server computer that will run the scanner. ローカル管理者権限と SQL Server マスター データベースに書き込むためのアクセス許可を持つアカウントを使用します。Use an account that has local administrator rights and that has permissions to write to the SQL Server master database.

    重要

    スキャナーをインストールする前に、コンピューターに AIP 統合ラベルクライアントがインストールされている必要があります。You must have the AIP unified labeling client installed on your machine before installing the scanner.

    詳細については、「 Azure Information Protection スキャナーをインストールおよび展開するための前提条件」を参照してください。For more information, see Prerequisites for installing and deploying the Azure Information Protection scanner.

  2. [管理者として実行] オプションを使用して Windows PowerShell セッションを開きます。Open a Windows PowerShell session with the Run as an administrator option.

  3. Install-AIPScannerコマンドレットを実行して、Azure Information Protection スキャナー用のデータベースを作成する SQL Server インスタンスと、前のセクションで指定したスキャナークラスター名を指定します。Run the Install-AIPScanner cmdlet, specifying your SQL Server instance on which to create a database for the Azure Information Protection scanner, and the scanner cluster name that you specified in the preceding section:

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    次の例では、 ヨーロッパ のスキャナークラスター名を使用しています。Examples, using the scanner cluster name of Europe:

    • 既定のインスタンスの場合: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster EuropeFor a default instance: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • 名前付きインスタンスの場合: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster EuropeFor a named instance: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • SQL Server Express の場合: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster EuropeFor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    プロンプトが表示されたら、スキャナーサービスアカウントの Active Directory 資格情報を入力します。When you are prompted, provide the Active Directory credentials for the scanner service account.

    次の構文を使用します \<domain\user name>Use the following syntax: \<domain\user name>. 例: contoso\scanneraccountFor example: contoso\scanneraccount

  4. 管理ツール サービスを使用して、サービスがインストールされていることを確認し > ます。Verify that the service is now installed by using Administrative Tools > Services.

    インストールされているサービスの名前は Azure Information Protection スキャナー で、作成したスキャナー サービス アカウントを使用して実行するように構成されます。The installed service is named Azure Information Protection Scanner and is configured to run by using the scanner service account that you created.

スキャナーをインストールしたので、スキャナーを無人で実行できるように、スキャナーサービスアカウント の Azure AD トークンを取得 して認証する必要があります。Now that you have installed the scanner, you need to get an Azure AD token for the scanner service account to authenticate, so that the scanner can run unattended.

スキャナー用の Azure AD トークンを取得するGet an Azure AD token for the scanner

Azure AD トークンを使用すると、スキャナーを Azure Information Protection サービスに対して認証できるようになり、スキャナーが非対話形式で実行されるようになります。An Azure AD token allows the scanner to authenticate to the Azure Information Protection service, enabling the scanner to run non-interactively.

非対話形式でファイルに Azure Information Protection のラベル付けをする方法」を参照してください。For more information, see How to label files non-interactively for Azure Information Protection.

Azure AD トークンを取得するには:To get an Azure AD token:

  1. Azure portal に戻り、認証用のアクセストークンを指定する Azure AD アプリケーションを作成します。Return to the Azure portal to create an Azure AD application to specify an access token for authentication.

  2. Windows Server コンピューターから、スキャナーサービスアカウントにインストールの ローカルログオン 権限が付与されている場合は、このアカウントでサインインし、PowerShell セッションを開始します。From the Windows Server computer, if your scanner service account has been granted the Log on locally right for the installation, sign in with this account and start a PowerShell session.

    前の手順でコピーした値を指定して Set-AIPAuthentication を実行します。Run Set-AIPAuthentication, specifying the values that you copied from the previous step:

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    次に例を示します。For example:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

ヒント

スキャナーサービスアカウントにインストールの ローカルログオン 権限が付与されていない場合は、「 Azure Information Protection のために非対話形式でファイルにラベルを付ける方法」で説明されているように、 Set-aipauthenticationOnBehalfOf パラメーターを使用します。If your scanner service account cannot be granted the Log on locally right for the installation, use the OnBehalfOf parameter with Set-AIPAuthentication, as described in How to label files non-interactively for Azure Information Protection.

これで、Azure AD への認証を行うためのトークンがスキャナーに与えられました。The scanner now has a token to authenticate to Azure AD. このトークンは、Azure AD の Web アプリ/API クライアントシークレットの構成に従って、1年間、2年間、またはそれ以上の期間有効です。This token is valid for one year, two years, or never, according to your configuration of the Web app /API client secret in Azure AD.

トークンの有効期限が切れると、この手順を繰り返す必要があります。When the token expires, you must repeat this procedure.

これで、最初のスキャンを検索モードで実行する準備ができました。You're now ready to run your first scan in discovery mode. 詳細については、「 検出サイクルの実行とスキャナーのレポートの表示」を参照してください。For more information, see Run a discovery cycle and view reports for the scanner.

最初の検出スキャンを実行したら、引き続き 分類と保護を適用するようにスキャナーを構成します。Once you've run your initial discovery scan, continue with Configure the scanner to apply classification and protection.

スキャナーを構成して分類と保護を適用するConfigure the scanner to apply classification and protection

既定の設定では、スキャナーが1回だけ実行され、レポート専用モードで実行されるように構成されています。The default settings configure the scanner to run once, and in reporting-only mode.

これらの設定を変更するには、コンテンツスキャンジョブを編集します。To change these settings, edit the content scan job:

  1. Azure portal の [ Azure Information Protection-コンテンツスキャンジョブ ] ウィンドウで、クラスターとコンテンツスキャンジョブを選択して編集します。In the Azure portal, on the Azure Information Protection - Content scan jobs pane, select the cluster and content scan job to edit it.

  2. [コンテンツスキャンジョブ] ウィンドウで、次のように変更し、[ 保存] を選択します。On the Content scan job pane, change the following, and then select Save:

    • コンテンツスキャンジョブ セクション:スケジュール に変更するFrom the Content scan job section: Change the Schedule to Always
    • [感度ポリシー ] セクション: [適用 先] を [オン] に変更します。From the Sensitivity policy section: Change Enforce to On

    ヒント

    ファイルの属性を変更するかどうかや、スキャナーがファイルのラベルを変更できるかどうかなど、このウィンドウの他の設定を変更することもできます。You may want to change other settings on this pane, such as whether file attributes are changed and whether the scanner can relabel files. 情報のポップアップ ヘルプを使って、各構成設定について詳しく学習してください。Use the information popup help to learn more information about each configuration setting.

  3. 現在の時刻をメモし、[ Azure Information Protection-コンテンツスキャンジョブ ] ウィンドウからもう一度スキャナーを起動します。Make a note of the current time and start the scanner again from the Azure Information Protection - Content scan jobs pane:

    Azure Information Protection スキャナーのスキャンを開始する

    または、PowerShell セッションで次のコマンドを実行します。Alternatively, run the following command in your PowerShell session:

    Start-AIPScan
    

これで、スキャナーが継続的に実行されるようにスケジュールされました。The scanner is now scheduled to run continuously. スキャナーは、構成されたすべてのファイルを介して動作するときに、新しいファイルと変更されたファイルが検出されるように、新しいサイクルを自動的に開始します。When the scanner works its way through all configured files, it automatically starts a new cycle so that any new and changed files are discovered.

DLP ポリシーを使用する (パブリックプレビュー)Use a DLP policy (public preview)

Microsoft 365 データ損失防止 (DLP) ポリシーを使用すると、ファイル共有および SharePoint サーバーに格納されているファイルに対して DLP ルールを照合することによって、潜在的なデータリークをスキャナーで検出できます。Using a Microsoft 365 Data Loss Prevention (DLP) policy enables the scanner to detect potential data leaks by matching DLP rules to files stored in file shares and SharePoint Server.

  • コンテンツスキャンジョブで dlp ルールを有効 にすると、dlp ポリシーに一致するファイルの公開を減らすことができます。Enable DLP rules in your content scan job to reduce the exposure of any files that match your DLP policies. DLP ルールが有効になっていると、スキャナーはデータ所有者へのファイルアクセスだけを減らしたり、 すべて のユーザー、認証された ユーザードメインユーザー などのネットワーク全体のグループへの露出を減らしたりすることができます。When your DLP rules are enabled, the scanner may reduce file access to data owners only, or reduce exposure to network-wide groups, such as Everyone, Authenticated Users, or Domain Users.

  • Microsoft 365 管理センターにラベル を付けるには、DLP ポリシーをテストしているかどうか、または規則を適用するかどうか、およびそれらの規則に従ってファイルのアクセス許可を変更するかどうかを決定します。In your Microsoft 365 labeling admin center, determine whether you are just testing your DLP policy or whether you want your rules enforced and your file permissions changed according to those rules. 詳細については、「 DLP ポリシーを有効にする」を参照してください。For more information, see Turn on a DLP policy.

ヒント

DLP ポリシーのみをテストする場合でも、ファイルをスキャンすると、ファイルのアクセス許可レポートも作成されます。Scanning your files, even when just testing the DLP policy, also creates file permission reports. これらのレポートに対してクエリを実行し、特定のファイルの露出を調査したり、スキャンしたファイルへの特定のユーザーの露出を調べたりします。Query these reports to investigate specific file exposures or explore the exposure of a specific user to scanned files.

DLP ポリシーは、ラベル管理センター (Microsoft 365 コンプライアンスセンターなど) で構成され、バージョン 2.10.43.0以降で Azure Information Protection でサポートされています。DLP policies are configured in your labeling admin center, such as the Microsoft 365 Compliance center, and are supported in Azure Information Protection starting in version 2.10.43.0.

DLP ライセンスの詳細については、「 データ損失防止オンプレミススキャナーの概要」を参照してください。For more information about DLP licensing, see Get started with the data loss prevention on-premises scanner.

スキャナーで DLP ポリシーを使用するに は、次のようにします。To use a DLP policy with the scanner:

  1. Azure portal で、コンテンツスキャンジョブに移動します。In the Azure portal, navigate to your content scan job. 詳細については、「 コンテンツスキャンジョブの作成」を参照してください。For more information, see Create a content scan job.

  2. [ Dlp ポリシー] で、[ Dlp ルールを有効 にする] を [オン] に設定します。Under DLP policy, set Enable DLP rules to On.

    重要

    Microsoft 365 で DLP ポリシーが構成されていない場合は、[ dlp ルールを有効 にする] を [オン ] に設定しないでください。Do not set Enable DLP rules to On unless you actually have a DLP policy configured in Microsoft 365.

    DLP ポリシーを使用せずにこの機能を有効にすると、スキャナーによってエラーが生成されます。Turning this feature on without a DLP policy will cause the scanner to generate errors.

  3. Optional[ ファイル設定の構成] で、[ リポジトリ所有者 ] を [オン] に設定し、特定のユーザーをリポジトリ所有者として定義します。(Optional) Under Configure file settings, set the Set repository owner to On, and define a specific user as the repository owner.

    このオプションを使用すると、スキャナーは、DLP ポリシーに一致するこのリポジトリ内のすべてのファイルが、定義されているリポジトリ所有者に公開されるのを減らすことができます。This option enables the scanner to reduce the exposure of any files found in this repository, which match the DLP policy, to the repository owner defined.

DLP ポリシーと プライベート アクションの作成DLP policies and make private actions

" プライベートで作成 " アクションで DLP ポリシーを使用していて、そのスキャナーを使用してファイルに自動的にラベルを付けることも計画している場合は、統一されたラベル付けクライアントの UseCopyAndPreserveNTFSOwner 詳細設定も定義することをお勧めします。If you are using a DLP policy with a make private action, and are also planning to use the scanner to automatically label your files, we recommend that you also define the unified labeling client's UseCopyAndPreserveNTFSOwner advanced setting.

この設定により、元の所有者が自分のファイルへのアクセスを保持するようになります。This setting ensures that the original owners retain access to their files.

詳細については、Microsoft 365 のドキュメントで「 コンテンツスキャンジョブを作成 し、 コンテンツに機密ラベルを自動的に適用する 」を参照してください。For more information, see Create a content scan job and Apply a sensitivity label to content automatically in the Microsoft 365 documentation.

保護するファイルの種類を変更するChange which file types to protect

既定では、AIP スキャナーは Office ファイルの種類と PDF ファイルのみを保護します。By default the AIP scanner protects Office file types and PDF files only.

PowerShell コマンドを使用して、必要に応じてこの動作を変更します。たとえば、すべてのファイルの種類を保護するようにスキャナーを構成したり、クライアントと同様に、またはその他の特定のファイルの種類を保護したりします。Use PowerShell commands to change this behavior as needed, such as to configure the scanner to protect all file types, just as the client does, or to protect additional, specific file types.

スキャナーのラベルをダウンロードするユーザーアカウントに適用されるラベルポリシーについては、 PFileSupportedExtensions という名前の PowerShell の詳細設定を指定します。For a label policy that applies to the user account downloading labels for the scanner, specify a PowerShell advanced setting named PFileSupportedExtensions.

インターネットにアクセスできるスキャナーの場合、このユーザーアカウントは、Set-AIPAuthentication コマンドで DelegatedUser パラメーターに指定したアカウントになります。For a scanner that has access to the internet, this user account is the account that you specify for the DelegatedUser parameter with the Set-AIPAuthentication command.

例 1: すべてのファイルの種類を保護するためのスキャナーの PowerShell コマンド: ラベルポリシーの名前は "scanner" です。Example 1: PowerShell command for the scanner to protect all file types, where your label policy is named "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

例 2: スキャナーの PowerShell コマンドを使用して、Office ファイルと PDF ファイルに加えて .xml ファイルと tiff ファイルを保護します。ここで、ラベルポリシーには "scanner" という名前を付けます。Example 2: PowerShell command for the scanner to protect .xml files and .tiff files in addition to Office files and PDF files, where your label policy is named "Scanner":

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

詳細については、「 保護するファイルの種類を変更する」を参照してください。For more information, see Change which file types to protect.

スキャナーをアップグレードするUpgrading your scanner

以前にスキャナーをインストールし、アップグレードする場合は、 Azure Information Protection スキャナーのアップグレードに関するページに記載されている手順に従ってください。If you have previously installed the scanner and want to upgrade, use the instructions described in Upgrading the Azure Information Protection scanner.

次に、スキャナーを通常どおりに 構成 して 使用 し、スキャナーをインストールする手順をスキップします。Then, configure and use your scanner as usual, skipping the steps to install your scanner.

データリポジトリ設定の一括編集Editing data repository settings in bulk

複数のリポジトリでスキャナーを変更するには、[ エクスポート ] ボタンと [ インポート ] ボタンを使用します。Use the Export and Import buttons to make changes for your scanner across several repositories.

このようにして、Azure portal で同じ変更を何度も手動で行う必要はありません。This way, you don't need to make the same changes several times, manually, in the Azure portal.

たとえば、複数の SharePoint データリポジトリに新しいファイルの種類がある場合は、それらのリポジトリの設定を一括で更新することができます。For example, if you have a new file type on several SharePoint data repositories, you may want to update the settings for those repositories in bulk.

リポジトリ間で一括変更を行うには、次のようにします。To make changes in bulk across repositories:

  1. [ リポジトリ ] ウィンドウの Azure portal で、[ エクスポート ] オプションを選択します。In the Azure portal on the Repositories pane, select the Export option. 次に例を示します。For example:

    Azure Information Protection スキャナーのデータリポジトリ設定をエクスポートしています

  2. エクスポートしたファイルを手動で編集して変更を行います。Manually edit the exported file to make your change.

  3. 同じページの [ インポート ] オプションを使用して、リポジトリ間で更新を再びインポートします。Use the Import option on the same page to import the updates back across your repositories.

代替構成でのスキャナーの使用Using the scanner with alternative configurations

通常、Azure Information Protection スキャナーは、必要に応じてコンテンツを分類して保護するために、ラベルに指定された条件を検索します。The Azure Information Protection scanner usually looks for conditions specified for your labels in order to classify and protect your content as needed.

次のシナリオでは、Azure Information Protection スキャナーがコンテンツをスキャンしてラベルを管理することもできます。条件を構成する必要はありません。In the following scenarios, the Azure Information Protection scanner is also able to scan your content and manage labels, without any conditions configured:

データリポジトリ内のすべてのファイルに既定のラベルを適用するApply a default label to all files in a data repository

この構成では、リポジトリ内のラベルのないすべてのファイルに、リポジトリまたはコンテンツスキャンジョブに指定された既定のラベルが付けられます。In this configuration, all unlabeled files in the repository are labeled with the default label specified for the repository or the content scan job. ファイルには検査なしでラベルが付けられます。Files are labeled without inspection.

次の設定を構成します。Configure the following settings:

設定Setting 説明Description
コンテンツに基づいてファイルにラベルを付けるLabel files based on content Off に設定Set to Off
既定のラベルDefault label [ カスタム] に設定し、使用するラベルを選択します。Set to Custom, and then select the label to use
既定のラベルを適用するEnforce default label 既定のラベルが既にラベル付けされている場合でも、すべてのファイルに適用されるようにする場合に選択します。Select to have the default label applied to all files, even if they are already labeled.

データリポジトリ内のすべてのファイルから既存のラベルを削除するRemove existing labels from all files in a data repository

この構成では、保護がラベルと共に適用された場合、既存のすべてのラベルが保護を含めて削除されます。In this configuration, all existing labels are removed, including protection, if protection was applied with the label. ラベルとは無関係に適用される保護が保持されます。Protection applied independently of a label is retained.

次の設定を構成します。Configure the following settings:

設定Setting 説明Description
コンテンツに基づいてファイルにラベルを付けるLabel files based on content Off に設定Set to Off
既定のラベルDefault label [なし] に設定Set to None
ファイルのラベルを再付けするRelabel files [既定のラベルを強制 する] チェックボックスをオンにして、 [オン] に設定します。Set to On, with the Enforce default label checkbox selected

すべてのカスタム条件と既知の機密情報の種類を識別するIdentify all custom conditions and known sensitive information types

この構成を使用すると、スキャナーのスキャンレートが低下した場合に気付いていない機密情報を見つけることができます。This configuration enables you to find sensitive information that you might not realize you had, at the expense of scanning rates for the scanner.

[ 探索する情報の種類 ] を [ すべて] に設定します。Set the Info types to be discovered to All.

ラベル付けの条件と情報の種類を識別するために、スキャナーは、指定されたカスタムの機密情報の種類と、ラベル付け管理センターで定義されている、選択できる組み込みの機密情報の種類の一覧を使用します。To identify conditions and information types for labeling, the scanner uses any custom sensitive information types specified, and the list of built-in sensitive information types that are available to select, as defined in your labeling management center.

スキャナーのパフォーマンスの最適化Optimizing scanner performance

注意

スキャナーのパフォーマンスではなく、スキャナーコンピューターの応答性を向上させる場合は、高度なクライアント設定を使用し て、スキャナーが使用するスレッドの数を制限します。If you are looking to improve the responsiveness of the scanner computer rather than the scanner performance, use an advanced client setting to limit the number of threads used by the scanner.

スキャナーのパフォーマンスを最適化するには、次のオプションとガイダンスを参考にしてください。Use the following options and guidance to help you optimize scanner performance:

オプションOption 説明Description
スキャナー コンピューターとスキャンされたデータ ストア間のネットワーク接続を高速かつ信頼性の高い接続にするHave a high speed and reliable network connection between the scanner computer and the scanned data store たとえば、スキャナーコンピューターを同じ LAN、または可能であれば、スキャンしたデータストアと同じネットワークセグメントに配置します。For example, place the scanner computer in the same LAN, or preferably, in the same network segment as the scanned data store.

ネットワーク接続の品質はスキャナーのパフォーマンスに影響します。これは、ファイルを検査するために、スキャナーがファイルの内容をスキャナーサービスを実行しているコンピューターに転送するためです。The quality of the network connection affects the scanner performance because, to inspect the files, the scanner transfers the contents of the files to the computer running the scanner service.

データの移動に必要なネットワークホップを減らしたり、削除したりすると、ネットワークの負荷も軽減されます。Reducing or eliminating the network hops required for the data to travel also reduces the load on your network.
スキャナー コンピューターに利用可能なプロセッサ リソースがあることを確認するMake sure the scanner computer has available processor resources ファイルの内容の検査とファイルの暗号化と復号化は、プロセッサを集中的に処理する操作です。Inspecting the file contents and encrypting and decrypting files are processor-intensive actions.

指定されたデータストアの一般的なスキャンサイクルを監視し、プロセッサリソースの不足がスキャナーのパフォーマンスに悪影響を与えていないかどうかを特定します。Monitor the typical scanning cycles for your specified data stores to identify whether a lack of processor resources is negatively affecting the scanner performance.
スキャナーの複数のインスタンスをインストールするInstall multiple instances of the scanner スキャナーにカスタムクラスター名を指定した場合、Azure Information Protection スキャナーは、同じ SQL server インスタンス上の複数の構成データベースをサポートします。The Azure Information Protection scanner supports multiple configuration databases on the same SQL server instance when you specify a custom cluster name for the scanner.

複数のスキャナーが同じクラスターを共有することもできるため、スキャン時間が短縮されます。Multiple scanners can also share the same cluster, resulting in quicker scanning times.
別の構成の使用方法を確認するCheck your alternative configuration usage 代替構成を使ってすべてのファイルに既定のラベルを適用すると、ファイル内容の検査がスキップされるため、スキャナーの実行速度が速くなります。The scanner runs more quickly when you use the alternative configuration to apply a default label to all files because the scanner does not inspect the file contents.

代替構成を使ってすべてのカスタム条件と既知の機密情報の種類を特定すると、スキャナーの実行速度が遅くなりなります。The scanner runs more slowly when you use the alternative configuration to identify all custom conditions and known sensitive information types.

パフォーマンスに影響するその他の要因Additional factors that affect performance

スキャナーのパフォーマンスに影響するその他の要因は次のとおりです。Additional factors that affect the scanner performance include:

要素Factor 説明Description
読み込み/応答時間Load/response times スキャンするファイルが含まれているデータストアの現在の負荷と応答時間は、スキャナーのパフォーマンスにも影響します。The current load and response times of the data stores that contain the files to scan will also affect scanner performance.
スキャナーモード (検出/強制)Scanner mode (Discovery / Enforce) 通常、検出モードは、強制モードよりも高いスキャンレートを持ちます。Discovery mode typically has a higher scanning rate than enforce mode.

検出には1つのファイル読み取り操作が必要ですが、強制モードでは読み取りと書き込みの操作が必要です。Discovery requires a single file read action, whereas enforce mode requires read and write actions.
ポリシーの変更Policy changes ラベルポリシーで autolabeling を変更した場合、スキャナーのパフォーマンスが影響を受ける可能性があります。Your scanner performance may be affected if you've made changes to the autolabeling in the label policy.

最初のスキャンサイクルでは、スキャナーがすべてのファイルを検査する必要があるときに、既定では、新しいファイルと変更されたファイルのみを検査する後続のスキャンサイクルよりも時間がかかります。Your first scan cycle, when the scanner must inspect every file, will take longer than subsequent scan cycles that by default, inspect only new and changed files.

条件または autolabeling の設定を変更すると、すべてのファイルが再度スキャンされます。If you change the conditions or autolabeling settings, all files are scanned again. 詳細については、「ファイルの再 スキャン」を参照してください。For more information, see Rescanning files.
Regex の構造Regex constructions スキャナーのパフォーマンスは、カスタム条件の regex 式がどのように構築されるかによって影響を受けます。Scanner performance is affected by how your regex expressions for custom conditions are constructed.

メモリの大量消費とタイムアウト (1 ファイルあたり 15 分) のリスクを回避するには、ご利用の正規表現式を確認して効率的なパターン マッチングが行われているかを確認してください。To avoid heavy memory consumption and the risk of timeouts (15 minutes per file), review your regex expressions for efficient pattern matching.

次に例を示します。For example:
-最長一致の量指定子を避けます。- Avoid greedy quantifiers
-の代わりに、のような非キャプチャグループを使用し (?:expression) ます。 (expression)- Use non-capturing groups such as (?:expression) instead of (expression)
ログレベルLog level ログレベルのオプションには、スキャナーレポートの [ デバッグ]、[ 情報]、[ エラー ]、[ オフ ] があります。Log level options include Debug, Info, Error and Off for the scanner reports.

- オフ にすると最適なパフォーマンスが得られる- Off results in the best performance
- デバッグ によってスキャナーの速度が大幅に低下するため、トラブルシューティングにのみ使用してください。- Debug considerably slows down the scanner and should be used only for troubleshooting.

詳細については、Set-AIPScannerConfiguration コマンドレットの ReportLevel パラメーターを参照してください。For more information, see the ReportLevel parameter for the Set-AIPScannerConfiguration cmdlet.
スキャンされるファイルFiles being scanned -Excel ファイルを除き、Office ファイルは PDF ファイルよりもすばやくスキャンされます。- With the exception of Excel files, Office files are more quickly scanned than PDF files.

-保護されていないファイルは、保護されたファイルよりもスキャンが高速です。- Unprotected files are quicker to scan than protected files.

-大きなファイルは、小さいファイルよりもスキャンに時間がかかることが明らかです。- Large files obviously take longer to scan than small files.

スキャナーのコマンドレットの一覧List of cmdlets for the scanner

このセクションでは、Azure Information Protection スキャナーでサポートされている PowerShell コマンドレットの一覧を示します。This section lists PowerShell cmdlets supported for the Azure Information Protection scanner.

スキャナーでサポートされているコマンドレットは次のとおりです。Supported cmdlets for the scanner include:

次のステップNext steps

スキャナーのインストールと構成が完了したら、 ファイルのスキャンを開始します。Once you've installed and configured your scanner, start scanning your files.

ファイルを自動的に分類して保護するための Azure Information Protection スキャナーの展開」も参照してください。See also: Deploying the Azure Information Protection scanner to automatically classify and protect files.

詳細情報:More information: