以前のバージョンの Azure Information Protection スキャナーの展開Deploying previous versions of the Azure Information Protection scanner

適用対象: Azure Information Protection、windows server 2019、windows server 2016、windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

手順: Windows 用の Azure Information Protection クライアントInstructions for: Azure Information Protection client for Windows

注意

この記事は、バージョン1.48.204.0より前の Azure Information Protection スキャナーのバージョンであり、まだサポートされています。This article is for versions of the Azure Information Protection scanner that are earlier than version 1.48.204.0 but still in support. 以前のバージョンを現在のバージョンにアップグレードするには、「 Azure Information Protection スキャナーをアップグレードする」を参照してください。To upgrade earlier versions to the current version, see Upgrading the Azure Information Protection scanner.

Azure portal からの構成を含む、現在のバージョンのスキャナーのデプロイ手順については、「ファイルを自動的に分類して保護するための Azure Information Protection スキャナーの展開」を参照してください。If you are looking for deployment instructions for the current version of the scanner, which includes configuration from the Azure portal, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

この情報を使用して、Azure Information Protection スキャナーについて説明し、正常にインストール、構成、および実行する方法について説明します。Use this information to learn about the Azure Information Protection scanner, and then how to successfully install, configure, and run it.

このスキャナーは、Windows Server でサービスとして実行され、次のデータ ストア上のファイルを検出、分類、および保護することができます。This scanner runs as a service on Windows Server and lets you discover, classify, and protect files on the following data stores:

  • スキャナーを実行する Windows Server コンピューター上のローカル フォルダー。Local folders on the Windows Server computer that runs the scanner.

  • サーバー メッセージ ブロック (SMB) プロトコルを使用するネットワーク共有の UNC パス。UNC paths for network shares that use the Server Message Block (SMB) protocol.

  • Sharepoint server 2019 のドキュメントライブラリとフォルダーは、SharePoint Server 2013 を介して使用できます。Document libraries and folders for SharePoint Server 2019 through SharePoint Server 2013. このバージョンの SharePoint の延長サポートが含まれるお客様向けに SharePoint 2010 もサポートされています。SharePoint 2010 is also supported for customers who have extended support for this version of SharePoint.

クラウド リポジトリ上のファイルをスキャンおよびラベル付けするには、スキャナーの代わりに Cloud App Security を使用します。To scan and label files on cloud repositories, use Cloud App Security instead of the scanner.

Azure Information Protection スキャナーの概要Overview of the Azure Information Protection scanner

自動分類を適用するラベルに Azure Information Protection ポリシーを構成している場合、このスキャナーで検出されたファイルにラベルを付けることができます。When you have configured your Azure Information Protection policy for labels that apply automatic classification, files that this scanner discovers can then be labeled. ラベルは分類を適用し、必要に応じて、保護を適用または保護を解除します。Labels apply classification, and optionally, apply protection or remove protection:

Azure Information Protection スキャナーのアーキテクチャの概要

スキャナーは、コンピューターにインストールされている IFilters を使うことで、Windows によってインデックス化できるすべてのファイルを検証できます。The scanner can inspect any files that Windows can index, by using IFilters that are installed on the computer. そして、ファイルでラベル付けが必要かどうかを判断するため、スキャナーで Office 365 に組み込まれたデータ損失防止 (DLP) の機密情報の種類とパターン検出、または Office 365 の正規表現パターンが使われます。Then, to determine if the files need labeling, the scanner uses the Office 365 built-in data loss prevention (DLP) sensitivity information types and pattern detection, or Office 365 regex patterns. スキャナーは Azure Information Protection クライアントを使用するため、同じファイルの種類を分類および保護できます。Because the scanner uses the Azure Information Protection client, it can classify and protect the same file types.

スキャナーを実行できるのは検索モードでのみです。この場合、レポートを使用して、ファイルがラベル付けされた場合に何が発生するかをチェックします。You can run the scanner in discovery mode only, where you use the reports to check what would happen if the files were labeled. またはスキャナーを実行して、自動的にラベルを適用できます。Or, you can run the scanner to automatically apply the labels. 機密情報の種類を含んだファイルを検出するためにスキャナーを実行することもできます (自動分類を適用する条件用にラベルを構成する必要はありません)。You can also run the scanner to discover files that contain sensitive information types, without configuring labels for conditions that apply automatic classification.

スキャナーは検出せず、リアルタイムでラベル付けしないことに注意してください。Note that the scanner does not discover and label in real time. スキャナーは指定したデータ ストア上のファイルを体系的にクロールします。この実行サイクルは、1 回限りまたは繰り返しに設定することができます。It systematically crawls through files on data stores that you specify, and you can configure this cycle to run once, or repeatedly.

スキャンするファイルの種類を指定したり、スキャン対象から除外することができます。You can specify which file types to scan, or exclude from scanning. スキャナーによって検査されるファイルを制限するには、Set-AIPScannerScannedFileTypes を使用してファイルの種類のリストを定義します。To restrict which files the scanner inspects, define a file types list by using Set-AIPScannerScannedFileTypes.

Azure Information Protection スキャナーの前提条件Prerequisites for the Azure Information Protection scanner

Azure Information Protection スキャナーをインストールする前に、次の要件を満たしていることを確認してください。Before you install the Azure Information Protection scanner, make sure that the following requirements are in place.

要件Requirement 説明を見るMore information
スキャナー サービスを実行する Windows Server コンピューター:Windows Server computer to run the scanner service:

- 4 コア プロセッサ- 4 core processors

- 8 GB の RAM- 8 GB of RAM

- 一時ファイルのための空き容量 10 GB (平均)- 10 GB free space (average) for temporary files
Windows Server 2019、Windows Server 2016、または Windows Server 2012 R2。Windows Server 2019, Windows Server 2016, or Windows Server 2012 R2.

: 非運用環境でテストまたは評価を行う場合は、 Azure Information Protection クライアントでサポートされている Windows クライアントオペレーティングシステムを使用できます。Note: For testing or evaluation purposes in a non-production environment, you can use a Windows client operating system that is supported by the Azure Information Protection client.

このコンピューターは、スキャンするデータ ストアへの高速で信頼性の高いネットワーク接続がある物理コンピューターまたは仮想コンピューターにすることができます。This computer can be a physical or virtual computer that has a fast and reliable network connection to the data stores to be scanned.

スキャナーは、スキャンする各ファイル用に、コアごとに 4 つの一時ファイルを作成するために、十分なディスク領域を必要とします。The scanner requires sufficient disk space to create temporary files for each file that it scans, four files per core. 推奨される 10 GB のディスク領域を使用すると、4 コア プロセッサで、それぞれのサイズが 625 MB であるファイルを 16 個スキャンできます。The recommended disk space of 10 GB allows for 4 core processors scanning 16 files that each have a file size of 625 MB.

組織のポリシーのためにインターネット接続ができない場合は、「代替構成を使用したスキャナーの展開」セクションを参照してください。If internet connectivity is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section. それ以外の場合は、このコンピューターがインターネットに接続されていることを確認し、HTTPS 経由で次の Url を使用できるようにします (ポート 443)。Otherwise, make sure that this computer has internet connectivity that allows the following URLs over HTTPS (port 443):
*.aadrm.com*.aadrm.com
*.azurerms.com*.azurerms.com
*.informationprotection.azure.com*.informationprotection.azure.com
informationprotection.hosting.portal.azure.netinformationprotection.hosting.portal.azure.net
*.aria.microsoft.com*.aria.microsoft.com
スキャナー サービスを実行するサービス アカウントService account to run the scanner service Windows Server コンピューター上でのスキャナー サービスの実行に加えて、この Windows アカウントは Azure AD で認証され、Azure Information Protection ポリシーをダウンロードします。In addition to running the scanner service on the Windows Server computer, this Windows account authenticates to Azure AD and downloads the Azure Information Protection policy. このアカウントは Active Directory アカウントであり、かつ Azure AD と同期している必要があります。This account must be an Active Directory account and synchronized to Azure AD. 組織のポリシーによってこのアカウントを同期できない場合は、「代替構成でのスキャナーのデプロイ」セクションをご覧ください。If you cannot synchronize this account because of your organization policies, see the Deploying the scanner with alternative configurations section.

このサービス アカウントには次の要件があります。This service account has the following requirements:

- [Log on locally](ローカル ログオン) ユーザー権限の割り当て。- Log on locally user right assignment. この権限は、スキャナーのインストールと構成に必要ですが、操作には必要ありません。This right is required for the installation and configuration of the scanner, but not for operation. この権限をサービス アカウントに付与する必要がありますが、スキャナーがファイルを検出、分類、保護できることを確認したら、この権限を削除することができます。You must grant this right to the service account but you can remove this right after you have confirmed that the scanner can discover, classify, and protect files. 組織のポリシーによって、短時間でもこの権限を付与することができない場合は、「代替構成でのスキャナーのデプロイ」セクションをご覧ください。If granting this right even for a short period of time is not possible because of your organization policies, see the Deploying the scanner with alternative configurations section.

- [サービスとしてログオン] ユーザー権限の割り当て。- Log on as a service user right assignment. この権限は、スキャナーのインストール中にサービス アカウントに自動的に付与され、スキャナーのインストール、構成、操作に必要です。This right is automatically granted to the service account during the scanner installation and this right is required for the installation, configuration, and operation of the scanner.

-データリポジトリに対するアクセス許可: オンプレミスの SharePoint のデータリポジトリの場合、サイトの [ページの追加とカスタマイズ] が選択されている場合は、 [編集] アクセス許可を常に付与します。または、 [デザイン] アクセス許可を付与します。- Permissions to the data repositories: For data repositories on SharePoint on-premises, always grant the Edit permission if Add and Customize Pages is selected for the site, or grant the Design permission. その他のデータリポジトリの場合は、ファイルをスキャンして、Azure Information Protection ポリシーの条件を満たすファイルに分類と保護を適用する読み取り書き込みのアクセス許可を付与します。For other data repositories, grant Read and Write permissions for scanning the files and then applying classification and protection to the files that meet the conditions in the Azure Information Protection policy. これらの他のデータリポジトリに対してのみ検出モードでスキャナーを実行するには、読み取りアクセス許可で十分です。To run the scanner in discovery mode only for these other data repositories, Read permission is sufficient.

- 再保護または保護を解除するラベル: スキャナーが保護されたファイルに常にアクセスできるようにするには、このアカウントを Azure Rights Management サービスのスーパー ユーザーにして、スーパー ユーザー機能が有効になっていることを確認します。- For labels that reprotect or remove protection: To ensure that the scanner always has access to protected files, make this account a super user for the Azure Rights Management service, and ensure that the super user feature is enabled. 保護を適用するためのアカウント要件の詳細については、「Azure Information Protection 向けのユーザーとグループの準備」を参照してください。For more information about the account requirements for applying protection, see Preparing users and groups for Azure Information Protection. さらに、段階的な展開のオンボーディング制御を実装している場合は、このアカウントが構成したオンボーディング制御に含まれていることを確認してください。In addition, if you have implemented onboarding controls for a phased deployment, make sure that this account is included in your onboarding controls you've configured.
スキャナーの構成を格納する SQL Server:SQL Server to store the scanner configuration:

- ローカルまたはリモート インスタンス- Local or remote instance

- スキャナーをインストールする sysadmin ロール- Sysadmin role to install the scanner
次のエディションでは、SQL Server 2012 が最小バージョンとなります。SQL Server 2012 is the minimum version for the following editions:

- SQL Server Enterprise- SQL Server Enterprise

- SQL Server Standard- SQL Server Standard

- SQL Server Express- SQL Server Express

スキャナーの複数のインスタンスをインストールする場合は、スキャナー インスタンスごとに独自の SQL Server インスタンスが必要です。If you install more than one instance of the scanner, each scanner instance requires its own SQL Server instance.

Sysadmin ロールを持つアカウントでスキャナーをインストールすると、インストールのプロセスで AzInfoProtectionScanner データベースが自動的に作成され、スキャナーを実行するサービス アカウントに対して必要な db_owner ロールが付与されます。When you install the scanner and your account has the Sysadmin role, the installation process automatically creates the AzInfoProtectionScanner database and grants the required db_owner role to the service account that runs the scanner. Sysadmin ロールが付与されない場合や、組織のポリシーがデータベースを手動で作成し構成することを要求している場合は、「代替構成でのスキャナーのデプロイ」をご覧ください。If you cannot be granted the Sysadmin role or your organization policies require databases to be created and configured manually, see the Deploying the scanner with alternative configurations section.

構成データベースのサイズはデプロイごとに異なりますが、スキャンしたい 1,000,000 ファイルごとに 500 MB を割り当てることをお勧めします。The size of the configuration database will vary for each deployment but we recommend you allocate 500 MB for every 1,000,000 files that you want to scan.
Azure Information Protection クライアント (クラシック) が Windows Server コンピューターにインストールされているThe Azure Information Protection client (classic) is installed on the Windows Server computer スキャナーに対する完全なクライアントをインストールする必要があります。You must install the full client for the scanner. PowerShell モジュールだけで、クライアントをインストールしないでください。Do not install the client with just the PowerShell module.

クライアントのインストール手順については、管理者ガイドを参照してください。For client installation instructions, see the admin guide. スキャナーを以前にインストールしていて、今回新しいバージョンにアップグレードする必要がある場合は、「Azure Information Protection スキャナーのアップグレード」をご覧ください。If you have previously installed the scanner and now need to upgrade it to a later version, see Upgrading the Azure Information Protection scanner.
自動分類と、必要に応じて保護を適用する構成済みのラベルConfigured labels that apply automatic classification, and optionally, protection 条件用にラベルを構成し、保護を適用する方法について詳しくは、次をご覧ください。For more information about how to configure a label for conditions and to apply protection:
- 自動および推奨分類の条件を構成する方法- How to configure conditions for automatic and recommended classification
- Rights Management による保護でラベルを構成する方法- How to configure a label for Rights Management protection

ヒント:チュートリアルの指示に従って、準備された Word 文書でクレジットカード番号を検索するラベルを使用してスキャナーをテストできます。Tip: You can use the instructions from the tutorial to test the scanner with a label that looks for credit card numbers in a prepared Word document. ただし、 [このラベルの適用方法を選択][推奨] ではなく [自動] に設定されるように、ラベルの構成を変更する必要があります。However, you will need to change the label configuration so that Select how this label is applied is set to Automatic rather than Recommended. その後、(適用される場合は) ドキュメントからラベルを削除して、スキャナー用のデータ リポジトリにファイルをコピーします。Then remove the label from the document (if it is applied) and copy the file to a data repository for the scanner. 簡単なテストの場合、これにはスキャナー コンピューター上のローカル フォルダーを使用できます。For quick testing, this could be a local folder on the scanner computer.

自動分類を適用するラベルを構成していない場合でもスキャナーを実行できますが、このシナリオについては、これらの手順では説明されていません。Although you can run the scanner even if you haven't configured labels that apply automatic classification, this scenario is not covered with these instructions. 詳細情報More information
スキャンする SharePoint ドキュメントライブラリおよびフォルダーの場合:For SharePoint document libraries and folders to be scanned:

-SharePoint 2019- SharePoint 2019

- SharePoint 2016- SharePoint 2016

- SharePoint 2013- SharePoint 2013

- SharePoint 2010- SharePoint 2010
スキャナーでは SharePoint の他のバージョンはサポートされていません。Other versions of SharePoint are not supported for the scanner.

バージョン管理を使用すると、スキャナーは最後に発行されたバージョンを検査してラベルを付けます。When you use versioning, the scanner inspects and labels the last published version. スキャナーがファイルとコンテンツの承認を必要とする場合は、そのラベルの付いたファイルをユーザーが使用できるように承認する必要があります。If the scanner labels a file and content approval is required, that labeled file must be approved to be available for users.

大規模な SharePoint ファームの場合は、スキャナーがすべてのファイルにアクセスするために、リスト ビューのしきい値 (既定では 5,000) を増やす必要があるかどうかを確認します。For large SharePoint farms, check whether you need to increase the list view threshold (by default, 5,000) for the scanner to access all files. 詳細については、SharePoint のドキュメント「 sharepoint での大規模なリストとライブラリの管理」を参照してください。For more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint
スキャンされる Office ドキュメントの場合:For Office documents to be scanned:

- Word、Excel、PowerPoint の 97-2003 ファイル形式および Office Open XML 形式- 97-2003 file formats and Office Open XML formats for Word, Excel, and PowerPoint
これらのファイル形式についてスキャナーでサポートされるファイルの種類について詳しくは、「Azure Information Protection クライアントでサポートされるファイルの種類」をご覧くださいFor more information about the file types that the scanner supports for these file formats, see File types supported by the Azure Information Protection client
長いパスの場合:For long paths:

- 最大 260 文字 (スキャナーが Windows 2016 にインストールされていて、コンピューターが長いパスをサポートするように構成されているのでない場合)- Maximum of 260 characters, unless the scanner is installed on Windows 2016 and the computer is configured to support long paths
Windows 10 および Windows Server 2016 は、次のグループポリシー設定を使用して、260文字を超えるパスの長さをサポートしています:ローカルコンピューターポリシー > コンピューターの構成 > 管理用テンプレート > すべての設定 > Win32 長いパスを有効にするWindows 10 and Windows Server 2016 support path lengths greater than 260 characters with the following group policy setting: Local Computer Policy > Computer Configuration > Administrative Templates > All Settings > Enable Win32 long paths

長いファイルのパスのサポートについて詳しくは、Windows 10 開発者向けドキュメントの「Maximum Path Length Limitation (パスの最大長の制限)」をご覧ください。For more information about supporting long file paths, see the Maximum Path Length Limitation section from the Windows 10 developer documentation.

組織のポリシーによる禁止のためにテーブルの要件をすべて満たすことができない場合は、代替案として次のセクションをご覧ください。If you can't meet all the requirements in the table because they are prohibited by your organization policies, see the next section for alternatives.

要件がすべて満たされる場合は、インストールのセクションに直接移動してください。If all the requirements are met, go straight to the installation section.

代替構成でのスキャナーのデプロイDeploying the scanner with alternative configurations

テーブルに一覧表示されている前提条件は、スキャナーの既定の要件であり、推奨されます。何故なら、これらはスキャナーをデプロイするための最も簡単な構成であるためです。The prerequisites listed in the table are the default requirements for the scanner and recommended because they are the simplest configuration for the scanner deployment. これらは、スキャナーの機能を確認するための最初のテスト用に適しています。They should be suitable for initial testing, so that you can check the capabilities of the scanner. ただし、運用環境では、次の制限の 1 つ以上に該当するために組織のポリシーによって既定の要件が禁止される場合があります。However, in a product environment, your organization policies might prohibit these default requirements because of one or more of the following restrictions:

  • サーバーはインターネット接続を許可されていませんServers are not allowed internet connectivity

  • Sysadmin の付与が認められない、または手動でデータベースを作成し構成する必要があるYou cannot be granted Sysadmin or databases must be created and configured manually

  • サービス アカウントにローカル ログオン権限を付与できないService accounts cannot be granted the Log on locally right

  • サービスアカウントを Azure Active Directory に同期することはできませんが、サーバーがインターネットに接続していますService accounts cannot be synchronized to Azure Active Directory but servers have internet connectivity

スキャナーをこれらの制限に対応させることは可能ですが、追加構成が必要です。The scanner can accommodate these restrictions but they require additional configuration.

制限: スキャナーサーバーはインターネットに接続できませんRestriction: The scanner server cannot have internet connectivity

切断されたコンピューター向けの手順に従ってください。Follow the instructions for a disconnected computer.

この構成では、スキャナーは、組織のクラウドベース キーを使用することによる保護 (または保護の削除) を適用できません。Note that in this configuration, the scanner cannot apply protection (or remove protection) by using your organization's cloud-based key. 代わりに、スキャナーは、分類にのみ適用されるラベルの使用か、HYOK を使用する保護に制限されます。Instead, the scanner is limited to using labels that apply classification only, or protection that uses HYOK.

制限: Sysadmin の付与が認められない、または手動でデータベースを作成し構成する必要があるRestriction: You cannot be granted Sysadmin or databases must be created and configured manually

スキャナーをインストールするために一時的に Sysadmin ロールが付与される場合、スキャナーのインストールが完了したらこのロールを削除できます。If you can be granted the Sysadmin role temporarily to install the scanner, you can remove this role when the scanner installation is complete. この構成を使用すると、データベースが自動的に作成され、スキャナー用のサービス アカウントに必要なアクセス許可が自動的に付与されます。When you use this configuration, the database is automatically created for you and the service account for the scanner is automatically granted the required permissions. ただし、スキャナーを構成するユーザー アカウントには、AzInfoProtectionScanner データベースの db_owner ロールが必要です。このロールをユーザー アカウントに手動で付与する必要があります。However, the user account that configures the scanner requires the db_owner role for the AzInfoProtectionScanner database, and you must manually grant this role to the user account.

Sysadmin ロールが一時的に付与されていない場合は、スキャナーをインストールする前に、Sysadmin 権限を持つユーザーに、AzInfoProtectionScanner という名前のデータベースを手動で作成するように依頼する必要があります。If you cannot be granted the Sysadmin role even temporarily, you must ask a user with Sysadmin rights to manually create a database named AzInfoProtectionScanner before you install the scanner. この構成では、次のロールを割り当てる必要があります。For this configuration, the following roles must be assigned:

アカウントAccount データベースレベルのロールDatabase-level role
スキャナーのサービス アカウントService account for the scanner db_ownerdb_owner
スキャナーのインストール用のユーザー アカウントUser account for scanner installation db_ownerdb_owner
スキャナーの構成用のユーザー アカウントUser account for scanner configuration db_ownerdb_owner

通常、スキャナーのインストールと構成には同じユーザー アカウントを使用します。Typically, you will use the same user account to install and configure the scanner. 別々のアカウントを使用する場合は、両方に AzInfoProtectionScanner データベースの db_owner ロールが必要です。But if you use different accounts, they both require the db_owner role for the AzInfoProtectionScanner database.

このデータベースに対してユーザーを作成し、db_owner 権限を付与するには、Sysadmin に次の SQL スクリプトを2回実行するように依頼します。To create a user and grant db_owner rights on this database, ask the Sysadmin to run the following SQL script twice. スキャナーを実行するサービスアカウントと、スキャナーをインストールして管理するための2回目の時間。The first time, for the service account that runs the scanner, and the second time for you to install and manage the scanner. スクリプトを実行する前に、 domain\userを、サービスアカウントまたはユーザーアカウントのドメイン名とユーザーアカウント名に置き換えます。Before running the script, replace domain\user with the domain name and user account name of the service account or user account:

if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
USE AzInfoProtectionScanner IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END

さらに、本サービスには以下の規定が適用されます。Additionally:

  • スキャナーを実行するサーバーのローカル管理者である必要があります。You must be a local administrator on the server that will run the scanner

  • スキャナーを実行するサービスアカウントには、次のレジストリキーに対するフルコントロールのアクセス許可が付与されている必要があります。The service account that will run the scanner must be granted Full Control permissions to the following registry keys:

    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

これらのアクセス許可を構成した後、スキャナーをインストールするときにエラーが表示される場合は、エラーを無視して、スキャナーサービスを手動で開始することができます。If, after configuring these permissions, you see an error when you install the scanner, the error can be ignored and you can manually start the scanner service.

制限: スキャナーのサービス アカウントにローカル ログオン権限を付与できないRestriction: The service account for the scanner cannot be granted the Log on locally right

組織のポリシーで、サービス アカウントに対するローカル ログオン権限の付与が禁止されているが、バッチ ジョブとしてログオン権限が許可されている場合は、管理者ガイドの「Set-AIPAuthentication の Token パラメーターを指定し、使用する」の手順に従います。If your organization policies prohibit the Log on locally right for service accounts but allow the Log on as a batch job right, follow the instructions for Specify and use the Token parameter for Set-AIPAuthentication from the admin guide.

制限: スキャナーサービスアカウントを Azure Active Directory に同期することはできませんが、サーバーがインターネットに接続していますRestriction: The scanner service account cannot be synchronized to Azure Active Directory but the server has internet connectivity

スキャナーのサービスを実行するために 1 つのアカウントを持ち、Azure Active Directory を認証するために別のアカウントを使用することができます。You can have one account to run the scanner service and use another account to authenticate to Azure Active Directory:

スキャナーのインストールInstall the scanner

  1. スキャナーを実行する Windows Server コンピューターにサインインします。Sign in to the Windows Server computer that will run the scanner. ローカル管理者権限と SQL Server マスター データベースに書き込むためのアクセス許可を持つアカウントを使用します。Use an account that has local administrator rights and that has permissions to write to the SQL Server master database.

  2. [管理者として実行] オプションを使用して Windows PowerShell セッションを開きます。Open a Windows PowerShell session with the Run as an administrator option.

  3. Azure Information Protection スキャナー用のデータベースを作成する SQL Server インスタンスを指定して、Install-AIPScanner コマンドレットを実行します。Run the Install-AIPScanner cmdlet, specifying your SQL Server instance on which to create a database for the Azure Information Protection scanner:

    Install-AIPScanner -SqlServerInstance <name>
    

    例:Examples:

    既定のインスタンスの場合: Install-AIPScanner -SqlServerInstance SQLSERVER1For a default instance: Install-AIPScanner -SqlServerInstance SQLSERVER1

    名前付きインスタンスの場合: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNERFor a named instance: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER

    SQL Server Express の場合: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESSFor SQL Server Express: Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS

    求められたら、スキャナー サービス アカウントの資格情報 (<ドメイン\ユーザー名>) とパスワードを指定します。When you are prompted, provide the credentials for the scanner service account (<domain\user name>) and password.

  4. [管理ツール] > [サービス] を使用して、サービスがインストールされたことを確認します。Verify that the service is now installed by using Administrative Tools > Services.

    インストールされているサービスの名前は Azure Information Protection スキャナーで、作成したスキャナー サービス アカウントを使用して実行するように構成されます。The installed service is named Azure Information Protection Scanner and is configured to run by using the scanner service account that you created.

スキャナーをインストールしたら、スキャナーを無人で実行できるように、スキャナー サービス アカウントを認証するための Azure AD トークンを取得する必要があります。Now that you have installed the scanner, you need to get an Azure AD token for the scanner service account to authenticate so that it can run unattended.

スキャナー用の Azure AD トークンを取得するGet an Azure AD token for the scanner

Azure AD トークンを使用することで、Azure Information Protection サービスに対してスキャナー サービス アカウントを認証できます。The Azure AD token lets the scanner service account authenticate to the Azure Information Protection service.

  1. 同じ Windows Server コンピューター、またはデスクトップから、Azure Portal にサインインして、認証のためのアクセス トークンを指定するために必要な 2 つの Azure AD アプリケーションを作成します。From the same Windows Server computer, or from your desktop, sign in to the Azure portal to create two Azure AD applications that are needed to specify an access token for authentication. 初めて対話型サインインをした後は、このトークンにより非対話的にスキャナーを実行できます。After an initial interactive sign-in, this token lets the scanner run non-interactively.

    これらのアプリケーションを作成するには、管理者ガイドの「非対話形式でファイルに Azure Information Protection のラベル付けをする方法」の指示に従います。To create these applications, follow the instructions in How to label files non-interactively for Azure Information Protection from the admin guide.

  2. スキャナーのサービス アカウントにインストール用にローカルでログオンする権限が付与されている場合、Windows Server コンピューターから、このアカウントを使用してサインインし、PowerShell セッションを開始します。From the Windows Server computer, if your scanner service account has been granted the Log on locally right for the installation: Sign in with this account and start a PowerShell session. 前の手順でコピーした値を指定して Set-AIPAuthentication を実行します。Run Set-AIPAuthentication, specifying the values that you copied from the previous step:

    Set-AIPAuthentication -webAppId <ID of the "Web app / API" application> -webAppKey <key value generated in the "Web app / API" application> -nativeAppId <ID of the "Native" application>
    

    求められたら、Azure AD のサービス アカウントの資格情報のパスワードを指定し、 [同意する] をクリックします。When prompted, specify the password for your service account credentials for Azure AD, and then click Accept.

    スキャナーのサービス アカウントにインストールのためのローカルでログオンの権限が付与されない場合、管理者ガイドの「Set-AIPAuthentication の Token パラメーターを指定し、使用する」の手順に従います。If your scanner service account cannot be granted the Log on locally right for the installation: Follow the instructions in the Specify and use the Token parameter for Set-AIPAuthentication section from the admin guide.

これでスキャナーに Azure AD を認証するためのトークンが取得されました。トークンの有効期間は、Azure AD での Web アプリ/API の構成に従って、1 年間、2 年間、または無期限のいずれかになります。The scanner now has a token to authenticate to Azure AD, which is valid for one year, two years, or never expires, according to your configuration of the Web app /API in Azure AD. トークンが期限切れになったら、手順 1 と 2 を繰り返す必要があります。When the token expires, you must repeat steps 1 and 2.

これでスキャンするデータ ストアを指定する準備ができました。You're now ready to specify the data stores to scan.

スキャナーのデータ ストアの指定Specify data stores for the scanner

Add-AIPScannerRepository コマンドレットを使用して、Azure Information Protection スキャナーでスキャンするデータ ストアを指定します。Use the Add-AIPScannerRepository cmdlet to specify the data stores to be scanned by the Azure Information Protection scanner. SharePoint ドキュメントライブラリおよびフォルダーのローカルフォルダー、UNC パス、および SharePoint サーバーの Url を指定できます。You can specify local folders, UNC paths, and SharePoint Server URLs for SharePoint document libraries and folders.

Sharepoint でサポートされているバージョン: SharePoint Server 2019、SharePoint Server 2016、および SharePoint Server 2013。Supported versions for SharePoint: SharePoint Server 2019, SharePoint Server 2016, and SharePoint Server 2013. このバージョンの SharePoint の延長サポートが含まれるお客様向けに SharePoint Server 2010 もサポートされています。SharePoint Server 2010 is also supported for customers who have extended support for this version of SharePoint.

  1. 同じ Windows Server コンピューターから、PowerShell セッションで次のコマンドを実行して、最初のデータ ストアを追加します。From the same Windows Server computer, in your PowerShell session, add your first data store by running the following command:

     Add-AIPScannerRepository -Path <path>
    

    たとえば次のようになります。Add-AIPScannerRepository -Path \\NAS\DocumentsFor example: Add-AIPScannerRepository -Path \\NAS\Documents

    その他の例については、このコマンドレットに Get-Help Add-AIPScannerRepository -examples PowerShell ヘルプコマンドを使用してください。For other examples, use the PowerShell help command Get-Help Add-AIPScannerRepository -examples for this cmdlet.

  2. スキャンするすべてのデータ ストアに対し、このコマンドを繰り返します。Repeat this command for all the data stores that you want to scan. 追加したデータ ストアを削除する必要がある場合は、Remove-AIPScannerRepository コマンドレットを使用します。If you need to remove a data store that you added, use the Remove-AIPScannerRepository cmdlet.

  3. Get-AIPScannerRepository コマンドレットを実行して、すべてのデータ ストアが正しく指定されていることを確認します。Confirm that you have specified all the data stores correctly, by running the Get-AIPScannerRepository cmdlet:

     Get-AIPScannerRepository
    

スキャナーの既定の構成を使用して、最初のスキャンを検索モードで実行できます。With the scanner's default configuration, you're now ready to run your first scan in discovery mode.

探索サイクルの実行とスキャナーのレポートの表示Run a discovery cycle and view reports for the scanner

  1. PowerShell セッションで、次のコマンドを入力してスキャナーを起動します。In your PowerShell session, start the scanner by running the following command:

     Start-AIPScan
    

    または、Azure portal からスキャナーを起動することができます。Alternatively, you can start the scanner from the Azure portal. [Azure Information Protection-ノード] ウィンドウでスキャナーノードを選択し、 [今すぐスキャン] オプションを選択します。From the Azure Information Protection - Nodes pane, select your scanner node, and then the Scan now option:

    Azure Information Protection スキャナーのスキャンを開始する

  2. 次のコマンドを実行し、スキャナーがサイクルを完了するまで待機します。Wait for the scanner to complete its cycle by running the following command:

     Get-AIPScannerStatus
    

    または、 [状態] 列を確認して、Azure portal の [Azure Information Protection ノード] ウィンドウから状態を表示することもできます。Alternatively, you can view the status from the Azure Information Protection - Nodes pane in the Azure portal, by checking the STATUS column.

    表示が [スキャン中] ではなく [アイドル] になっている状態を探します。Look for the status to show Idle rather than Scanning.

    スキャナーが指定したデータ ストア内のすべてのファイルをクロールすると、スキャナー サービスの動作が続いていてもスキャナーは停止します。When the scanner has crawled through all the files in the data stores that you specified, the scanner stops although the scanner service remains running.

    ローカル Windows イベント ログの [アプリケーションとサービス][Azure Information Protection] を確認します。Check the local Windows Applications and Services event log, Azure Information Protection. このログでは、スキャナーがスキャンを完了した時刻も、結果の概要と共に報告されます。This log also reports when the scanner has finished scanning, with a summary of results. 情報イベント ID 911 を探します。Look for the informational event ID 911.

  3. %localappdata%\Microsoft\MSIP\Scanner\Reports に格納されているレポートを確認します。Review the reports that are stored in %localappdata%\Microsoft\MSIP\Scanner\Reports. .txt の概要ファイルには、スキャンにかかった時間、スキャンされたファイルの数、情報の種類と一致したファイルの数が含まれています。The .txt summary files include the time taken to scan, the number of scanned files, and how many files had a match for the information types. .csv ファイルには各ファイルに関する詳細情報が記載されています。The .csv files have more details for each file. このフォルダーには、スキャンのサイクルごとに最大 60 のレポートが格納され、必要なディスク領域を最小限に抑えるために最新のもの以外のすべてのレポートが圧縮されます。This folder stores up to 60 reports for each scanning cycle and all but the latest report is compressed to help minimize the required disk space.

    注意

    Set-AIPScannerConfiguration と共に ReportLevel パラメーターを使って、ログ記録のレベルを変更することができます。ただし、レポート フォルダーの場所または名前を変更することはできません。You can change the level of logging by using the ReportLevel parameter with Set-AIPScannerConfiguration, but you can't change the report folder location or name. 別のボリュームまたはパーティションにレポートを保存したい場合は、フォルダーに対するディレクトリのジャンクションの使用を検討してください。Consider using a directory junction for the folder if you want to store the reports on a different volume or partition.

    たとえば、Mklink コマンドを使います。mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\ReportsFor example, using the Mklink command: mklink /j D:\Scanner_reports C:\Users\aipscannersvc\AppData\Local\Microsoft\MSIP\Scanner\Reports

    既定の設定では、自動分類用に構成した条件を満たすファイルのみが詳細レポートに含まれます。With the default setting, only files that meet the conditions you've configured for automatic classification are included in the detailed reports. これらのレポートでラベルが適用されていない場合は、ラベルの構成に推奨される分類ではなく自動分類が含まれていることを確認します。If you don't see any labels applied in these reports, check your label configuration includes automatic rather than recommended classification.

    ヒント

    スキャナーでは 5 分ごとにこの情報が Azure Information Protection に送信されます。このため、Azure portal から結果をほぼリアルタイムで確認することができます。Scanners send this information to Azure Information Protection every five minutes, so that you can view the results in near real-time from the Azure portal. 詳細については、Azure Information Protection のレポート作成に関するページを参照してください。For more information, see Reporting for Azure Information Protection.

    結果が期待どおりにならない場合は、Azure Information Protection ポリシーに指定した条件を微調整する必要がある場合があります。If the results are not as you expect, you might need to fine-tune the conditions that you specified in your Azure Information Protection policy. その場合は、構成を変更して分類、および必要に応じて保護を適用する準備ができるまで、手順 1 から 3 を繰り返します。If that's the case, repeat steps 1 through 3 until you are ready to change the configuration to apply the classification and optionally, protection.

Azure portal には、最後のスキャンに関する情報のみが表示されます。The Azure portal displays information about the last scan only. 前のスキャンの結果を確認する必要がある場合は、スキャナー コンピューターの %localappdata%\Microsoft\MSIP\Scanner\Reports フォルダーに格納されているレポートに戻ります。If you need to see the results of previous scans, return to the reports that are stored on the scanner computer, in the %localappdata%\Microsoft\MSIP\Scanner\Reports folder.

スキャナーが検出したファイルに自動的にラベル付けする準備ができたら、次の手順に進みます。When you're ready to automatically label the files that the scanner discovers, continue to the next procedure.

スキャナーを構成して分類と保護を適用するConfigure the scanner to apply classification and protection

既定の設定では、スキャナーは、レポートのみモードで 1 回だけ実行されます。In its default setting, the scanner runs one time and in the reporting-only mode. これらの設定を変更するには、次のように設定します。To change these settings, use the Set-AIPScannerConfiguration:

  1. Windows Server コンピューターの PowerShell セッションで、次のコマンドを実行します。On the Windows Server computer, in the PowerShell session, run the following command:

     Set-AIPScannerConfiguration -Enforce On -Schedule Always
    

    変更する可能性があるその他の構成があります。There are other configuration settings that you might want to change. たとえば、ファイル属性を変更するかどうか、およびレポートに記録する項目などがあります。For example, whether file attributes are changed and what is logged in the reports. さらに、Azure Information Protection ポリシーに分類レベルを下げる、または保護を解除する理由メッセージを必要とする設定が含まれている場合、このコマンドレットを使用してそのメッセージを指定します。In addition, if your Azure Information Protection policy includes the setting that requires a justification message to lower the classification level or remove protection, specify that message by using this cmdlet. 各構成設定の詳細については、次の PowerShell ヘルプコマンドを参照してください: Get-Help Set-AIPScannerConfiguration -detailedUse the following PowerShell help command for more information about each configuration setting: Get-Help Set-AIPScannerConfiguration -detailed

  2. 現在の時刻をメモしておき、次のコマンドを実行してもう一度スキャナーを開始します。Make a note of the current time and start the scanner again by running the following command:

     Start-AIPScan
    

    または、Azure portal からスキャナーを起動することができます。Alternatively, you can start the scanner from the Azure portal. [Azure Information Protection-ノード] ウィンドウでスキャナーノードを選択し、 [今すぐスキャン] オプションを選択します。From the Azure Information Protection - Nodes pane, select your scanner node, and then the Scan now option:

    Azure Information Protection スキャナーのスキャンを開始する

  3. 情報の種類が 911 で、タイム スタンプが前の手順でスキャンを開始した時刻よりも後のイベント ログを再び監視します。Monitor the event log for the informational type 911 again, with a time stamp later than when you started the scan in the previous step.

    次に、レポートをチェックして、ラベル付けされたファイル、各ファイルに適用された分類、それらに保護が適用されたかどうかについての詳細を確認します。Then check the reports to see details of which files were labeled, what classification was applied to each file, and whether protection was applied to them. または、Azure portal を使用してより簡単にこの情報を確認します。Or, use the Azure portal to more easily see this information.

スケジュールを継続的に実行するように構成したため、スキャナーはすべてのファイルの作業を完了すると、新しいファイルや変更されたファイルをすべて検出するために新しいサイクルを開始します。Because we configured the schedule to run continuously, when the scanner has worked its way through all the files, it starts a new cycle so that any new and changed files are discovered.

ファイルをスキャンする方法How files are scanned

スキャナーでは、ファイルをスキャンするとき、次のプロセスが実行されます。The scanner runs through the following processes when it scans files.

1. スキャンのためにファイルが含まれるか除外されるかを決定します。1. Determine whether files are included or excluded for scanning

スキャナーでは、実行可能ファイルやシステム ファイルなど、分類と保護から除外されているファイルは自動的にスキップされます。The scanner automatically skips files that are excluded from classification and protection, such as executable files and system files.

スキャンする (またはスキャン対象から除外する) ファイルの種類のリストを定義することで、この動作を変更できます。You can change this behavior by defining a list of file types to scan, or exclude from scanning. このリストを指定し、データ リポジトリを指定しなかった場合、そのリストは、独自のリストが指定されていないすべてのデータ リポジトリに適用されます。When you specify this list and do not specify a data repository, the list applies to all data repositories that do not have their own list specified. このリストを指定するには、Set-AIPScannerScannedFileType を使用します。To specify this list, use Set-AIPScannerScannedFileTypes.

ファイルの種類のリストを指定した後、新しいファイルの種類をリストに追加するには、Add-AIPScannerScannedFileTypes を使用します。リストからファイルの種類を削除するには、Remove-AIPScannerScannedFileTypes を使用します。After you have specified your file types list, you can add a new file type to the list by using Add-AIPScannerScannedFileTypes, and remove a file type from the list by using Remove-AIPScannerScannedFileTypes.

2. ファイルを検査してラベルを付ける2. Inspect and label files

その後、スキャナーでは、フィルターを使用して、サポートされているファイルの種類がスキャンされます。The scanner then uses filters to scan supported file types. これらの同じフィルターが、オペレーティング システムによって Windows Search とインデックス作成にも使用されます。These same filters are used by the operating system for Windows Search and indexing. 構成を何も追加しなくても、Word、Excel、PowerPoint、PDF ドキュメント、テキスト ファイルに対して使用されるファイルの種類のスキャンに、Windows IFilter が使用されます。Without any additional configuration, Windows IFilter is used to scan file types that are used by Word, Excel, PowerPoint, and for PDF documents and text files.

既定でサポートされているファイルの種類の完全な一覧、および .zip ファイルと .tiff ファイルを含む既存のフィルターの構成方法に関する追加情報については、「検査に対してサポートされているファイルの種類」をご覧ください。For a full list of file types that are supported by default, and additional information how to configure existing filters that include .zip files and .tiff files, see File types supported for inspection.

検査が済むと、ユーザーがラベルに対して指定した条件を使用して、これらのファイルの種類にラベルを付けることができます。After inspection, these file types can be labeled by using the conditions that you specified for your labels. または、検出モードを使用している場合は、ユーザーがラベルに対して指定した条件、またはすべての既知の機密情報の種類を含むように、これらのファイルを報告できます。Or, if you're using discovery mode, these files can be reported to contain the conditions that you specified for your labels, or all known sensitive information types.

ただし、以下の状況では、スキャナーでファイルにラベルを付けることはできません。However, the scanner cannot label the files under the following circumstances:

  • ラベルで分類は適用されるが、保護は適用されず、ファイルの種類で "分類のみ" がサポートされていない場合。If the label applies classification and not protection, and the file type does not support classification only.

  • ラベルで分類と保護が適用されるが、スキャナーでファイルの種類が保護されていない場合。If the label applies classification and protection, but the scanner does not protect the file type.

    既定では、スキャナーによって保護されるのは、Office ファイルの種類と、PDF の暗号化のための ISO 標準を使用して保護されている PDF ファイルだけです。By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. 他のファイルの種類は、次のセクションで説明するように、レジストリを編集すると保護できます。Other file types can be protected when you edit the registry as described in a following section.

たとえば、.txt ファイルの種類では "分類のみ" がサポートされていないため、ファイル名拡張子が .txt であるファイルを検査した後は、分類用にだけ構成されていて保護用には構成されていないラベルを、スキャナーで適用することはできません。For example, after inspecting files that have a file name extension of .txt, the scanner can't apply a label that's configured for classification but not protection, because the .txt file type doesn't support classification-only. ラベルが分類用と保護用に構成されていて、レジストリが .txt ファイルの種類用に編集されている場合は、スキャナーでファイルにラベルを付けることができます。If the label is configured for classification and protection, and the registry is edited for the .txt file type, the scanner can label the file.

ヒント

このプロセス中にスキャナーが停止し、リポジトリ内の大量のファイルのスキャンが完了しない場合:During this process, if the scanner stops and doesn't complete scanning a large number of the files in a repository:

  • ファイルをホストしているオペレーティング システムに対し、動的ポートの数を増やす必要がある場合があります。You might need to increase the number of dynamic ports for the operating system hosting the files. SharePoint 用にサーバーのセキュリティが強化されている場合、スキャナーが許可されているネットワーク接続の数を超えて、そのために停止する原因の 1 つになる可能性があります。Server hardening for SharePoint can be one reason why the scanner exceeds the number of allowed network connections, and therefore stops.

    これがスキャナーの停止の原因であるかどうかを確認するには、%localappdata% \ Microsoft\MSIP\Logs\MSIPScanner.iplog (複数のログがある場合は zip) でスキャナーの次のエラーメッセージが記録されているかどうかを確認してください: に接続できません。リモートサーバー---> の .Net Sockets. SocketException: 各ソケットアドレス (プロトコル/ネットワークアドレス/ポート) の使用は、通常、IP: port で許可されているのは1つだけですTo check whether this is the cause of the scanner stopping, look to see if the following error message is logged for the scanner in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped if there are multiple logs): Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

    現在のポート範囲を表示し、範囲を拡大する方法について詳しくは、「ネットワーク パフォーマンスを向上させるために変更可能な設定」をご覧ください。For more information about how to view the current port range and increase the range, see Settings that can be Modified to Improve Network Performance.

  • 大規模な SharePoint ファームの場合、リスト ビューのしきい値 (既定では 5,000) を増やす必要がある場合があります。For large SharePoint farms, you might need to increase the list view threshold (by default, 5,000). 詳細については、SharePoint のドキュメント「 sharepoint での大きなリストとライブラリの管理」を参照してください。For more information, see the following SharePoint documentation: Manage large lists and libraries in SharePoint.

3. 検査できないファイルにラベルを付ける3. Label files that can't be inspected

検査できないファイルの種類に対し、スキャナーでは Azure Information Protection ポリシーの既定のラベル、またはユーザーがスキャナー用に構成した既定のラベルが適用されます。For the file types that can't be inspected, the scanner applies the default label in the Azure Information Protection policy, or the default label that you configure for the scanner.

前のステップと同じように、以下の状況では、スキャナーでファイルにラベルを付けることはできません。As in the preceding step, the scanner cannot label the files under the following circumstances:

  • ラベルで分類は適用されるが、保護は適用されず、ファイルの種類で "分類のみ" がサポートされていない場合。If the label applies classification and not protection, and the file type does not support classification only.

  • ラベルで分類と保護が適用されるが、スキャナーでファイルの種類が保護されていない場合。If the label applies classification and protection, but the scanner does not protect the file type.

    既定では、スキャナーによって保護されるのは、Office ファイルの種類と、PDF の暗号化のための ISO 標準を使用して保護されている PDF ファイルだけです。By default, the scanner protects only Office file types, and PDF files when they are protected by using the ISO standard for PDF encryption. 他のファイルの種類は、次に説明するように、レジストリを編集すると保護できます。Other file types can be protected when you edit the registry as described next.

スキャナーのレジストリの編集Editing the registry for the scanner

Office ファイルと PDF 以外のファイルの種類を保護するためにスキャナーの既定の動作を変更するには、レジストリを手動で編集し、保護する他のファイルの種類と、保護の種類 (ネイティブまたは汎用) を指定する必要があります。To change the default scanner behavior for protecting file types other than Office files and PDFs, you must manually edit the registry and specify the additional file types that you want to be protected, and the type of protection (native or generic). 詳しくは、開発者ガイダンスの「ファイル API の構成」をご覧ください。For instructions, see File API configuration from the developer guidance. この開発者向けドキュメントでは、汎用的な保護は "PFile" と呼ばれています。In this documentation for developers, generic protection is referred to as "PFile". さらに、スキャナーの場合:In addition, specific for the scanner:

  • スキャナーには独自の既定の動作があります。既定では、Office ファイル形式と PDF ドキュメントのみが保護されます。The scanner has its own default behavior: Only Office file formats and PDF documents are protected by default. レジストリを変更しない場合、その他のファイル形式は、スキャナーによってラベル付けまたは保護されません。If the registry is not modified, any other file types will not be labeled or protected by the scanner.

  • すべてのファイルがネイティブ保護または汎用保護で自動的に保護される Azure Information Protection クライアントと同じ既定の保護動作が必要な場合は、* ワイルドカードをレジストリキーとして指定し、Encryption 値 (REG_SZ) として指定し @no__値のデータとしての t_2_。If you want the same default protection behavior as the Azure Information Protection client, where all files are automatically protected with native or generic protection: Specify the * wildcard as a registry key, Encryption as the value (REG_SZ), and Default as the value data.

レジストリを編集するときには、各ファイル名拡張子のキーと共に、MSIPC キーと FileProtection キーが存在しない場合には手動で作成します。When you edit the registry, manually create the MSIPC key and FileProtection key if they do not exist, as well as a key for each file name extension.

たとえば、Office ファイルと PDF だけでなく、TIFF イメージも保護するスキャナーの場合、レジストリの編集後は、次の図のようになります。For example, for the scanner to protect TIFF images in addition to Office files and PDFs, the registry after you have edited it, will look like the following picture. イメージ ファイルなので、TIFF ファイルではネイティブ保護がサポートされ、結果としてファイル名拡張子は .ptiff になります。As an image file, TIFF files support native protection and the resulting file name extension is .ptiff.

保護を適用するためのスキャナーのレジストリの編集

同様に、ネイティブ保護はサポートされていても、レジストリで指定する必要があるテキスト ファイルとイメージ ファイルの種類の一覧については、管理者ガイドの「分類と保護がサポートされているファイルの種類」をご覧ください。For a list of text and images file types that similarly support native protection but must be specified in the registry, see Supported file types for classification and protection from the admin guide.

ネイティブ保護がサポートされていないファイルの場合は、新しいキーとしてファイル名拡張子を指定し、汎用的な保護のために PFile を指定します。For files that don't support native protection, specify the file name extension as a new key, and PFile for generic protection. 結果として、保護されるファイルのファイル名拡張子は .pfile になります。The resulting file name extension for the protected file is .pfile.

ファイルが再スキャンされる場合When files are rescanned

最初のスキャン サイクルではスキャナーは構成されているデータ ストアのすべてのファイルを検査し、後続のスキャンでは、新しいファイルまたは変更されたファイルのみが検査されます。For the first scan cycle, the scanner inspects all files in the configured data stores and then for subsequent scans, only new or modified files are inspected.

Resetパラメーターを指定してStart-aipscanを実行することで、すべてのファイルを再検査するようスキャナーに強制できます。You can force the scanner to inspect all files again by running Start-AIPScan with the Reset parameter. スキャナーは手動スケジュール用に構成されている必要があります。そのためには、 scheduleパラメーターをSet-Aipscanの構成手動に設定する必要があります。The scanner must be configured for a manual schedule, which requires the Schedule parameter to be set to Manual with Set-AIPScannerConfiguration.

または、Azure portal の [Azure Information Protection ノード] ウィンドウで、すべてのファイルを再度検査するようスキャナーに強制することもできます。Alternatively, you can force the scanner to inspect all files again from the Azure Information Protection - Nodes pane in the Azure portal. 一覧からスキャナーを選択し、 [Rescan all files](すべてのファイルを再スキャン) オプションを選択します。Select your scanner from the list, and then select the Rescan all files option:

Azure Information Protection スキャナーの再スキャンを開始する

すべてのファイルの再検査はレポートにすべてのファイルを含める必要がある場合に役立ち、この構成は通常、検索モードでスキャナーが実行されるときに使用されます。Inspecting all files again is useful when you want the reports to include all files and this configuration choice is typically used when the scanner runs in discovery mode. フル スキャンが完了すると、後続のスキャンで新しいファイルまたは変更されたファイルのみがスキャンされるように、スキャンの種類が自動的に [増分] に変更されます。When a full scan is complete, the scan type automatically changes to incremental so that for subsequent scans, only new or modified files are scanned.

さらに、新しいまたは変更された条件を含む Azure Information Protection ポリシーをスキャナーがダウンロードした場合も、すべてのファイルが検査されます。In addition, all files are inspected when the scanner downloads an Azure Information Protection policy that has new or changed conditions. スキャナーは、1 時間ごと、およびサービスの開始時にそのポリシーが 1 時間前よりも古い場合にポリシーを更新します。The scanner refreshes the policy every hour, and when the service starts and the policy is older than one hour.

ヒント

テスト期間など、この 1 時間の間隔よりも早くポリシーを更新する必要がある場合は、 %LocalAppData%\Microsoft\MSIP\Policy.msip%LocalAppData%\Microsoft\MSIP\Scanner の両方からポリシー ファイル Policy.msip を手動で削除します。If you need to refresh the policy sooner than this one hour interval, for example, during a testing period: Manually delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner. その後、Azure Information Scanner サービスを再起動します。Then restart the Azure Information Scanner service.

ポリシーの保護設定を変更した場合、保護設定を保存してから 15 分待機した後に、サービスを再起動してください。If you changed protection settings in the policy, also wait 15 minutes from when you saved the protection settings before you restart the service.

スキャナーで自動条件が構成されていないポリシーをダウンロードした場合、スキャナー フォルダーのポリシー ファイルのコピーは更新されません。If the scanner downloaded a policy that had no automatic conditions configured, the copy of the policy file in the scanner folder does not update. このシナリオでは、ラベルが自動条件に対して正しく構成された新たにダウンロードしたポリシー ファイルを使用できるようにするには、その前に %LocalAppData%\Microsoft\MSIP\Policy.msip%LocalAppData%\Microsoft\MSIP\Scanner からポリシー ファイル Policy.msip を削除する必要があります。In this scenario, you must delete the policy file, Policy.msip from both %LocalAppData%\Microsoft\MSIP\Policy.msip and %LocalAppData%\Microsoft\MSIP\Scanner before the scanner can use a newly downloaded policy file that has labels correctly figured for automatic conditions.

代替構成でのスキャナーの使用Using the scanner with alternative configurations

特定の条件用にラベルを構成する必要がない、次の 2 つの代替シナリオが Azure Information Protection スキャナーでサポートされています。There are two alternative scenarios that the Azure Information Protection scanner supports where labels do not need to be configured for any conditions:

  • データ リポジトリ内のすべてのファイルに既定のラベルを適用する。Apply a default label to all files in a data repository.

    この構成では、Set-AIPScannerRepository コマンドレットを使用し、MatchPolicyパラメーターを Off に設定します。For this configuration, use the Set-AIPScannerRepository cmdlet, and set the MatchPolicy parameter to Off.

    ファイルの内容は検査されず、データ リポジトリ内のすべてのファイルが、データ リポジトリ用に指定した既定のラベル (SetDefaultLabel パラメーター) に従ってラベル付けされます。これが指定されていない場合は、スキャナー アカウントのポリシー設定として指定された既定のラベルが適用されます。The contents of the files are not inspected and all files in the data repository are labeled according to the default label that you specify for the data repository (with the SetDefaultLabel parameter) or if this is not specify, the default label that is specified as a policy setting for the scanner account.

  • すべてのカスタム条件と、既知の機密情報の種類を特定する。Identify all custom conditions and known sensitive information types.

    この構成では、Set-AIPScannerConfiguration コマンドレットを使用し、 DiscoverInformationTypes パラメーターを All に設定します。For this configuration, use the Set-AIPScannerConfiguration cmdlet, and set the DiscoverInformationTypes parameter to All.

    スキャナーでは、Azure Information Protection ポリシー内のラベルに対して指定したカスタム条件と、Azure Information Protection ポリシー内のラベルに指定できる情報の種類のリストが使用されます。The scanner uses any custom conditions that you have specified for labels in the Azure Information Protection policy, and the list of information types that are available to specify for labels in the Azure Information Protection policy.

    次のクイックスタートでは、この構成を使用しています。ただし、現在のバージョンのスキャナーの場合は、「クイックスタート: 使用している機密情報を検索する」を参照してください。The following quickstart uses this configuration, although it's for the current version of the scanner: Quickstart: Find what sensitive information you have.

スキャナーのパフォーマンスの最適化Optimizing the performance of the scanner

スキャナーのパフォーマンスを最適化するには、次のガイダンスを使用します。Use the following guidance to help you optimize the performance of the scanner. ただし、スキャナーのパフォーマンスではなく、スキャナーコンピューターの応答性が優先される場合は、高度なクライアント設定を使用して、スキャナーが使用するスレッドの数を制限することができます。However, if your priority is the responsiveness of the scanner computer rather than the scanner performance, you can use an advanced client setting to limit the number of threads used by the scanner.

スキャナーのパフォーマンスを最大化するにはTo maximize the scanner performance:

  • スキャナー コンピューターとスキャンされたデータ ストア間のネットワーク接続を高速かつ信頼性の高い接続にするHave a high speed and reliable network connection between the scanner computer and the scanned data store

    たとえば、同じ LAN 内か、スキャンされたデータ ストアと同じネットワーク セグメント内 (推奨) にスキャナー コンピューターを配置します。For example, place the scanner computer in the same LAN, or (preferred) in the same network segment as the scanned data store.

    ネットワーク接続の品質は、スキャナーがスキャナー サービスを実行しているコンピューターにファイルのコンテンツを転送してファイルを検査するため、スキャナーのパフォーマンスに影響します。The quality of the network connection affects the scanner performance because to inspect the files, the scanner transfers the contents of the files to the computer running the scanner service. このデータを移動する必要があるネットワークのホップ数を減らす (削除する) と、ネットワークの負荷も軽減されます。When you reduce (or eliminate) the number of network hops this data has to travel, you also reduce the load on your network.

  • スキャナー コンピューターに利用可能なプロセッサ リソースがあることを確認するMake sure the scanner computer has available processor resources

    ファイル コンテンツが構成した条件に一致するかの検査、およびファイルの暗号化と複合化は、プロセッサ負荷の高いアクションです。Inspecting the file contents for a match against your configured conditions, and encrypting and decrypting files are processor-intensive actions. プロセッサ リソースの不足がスキャナー パフォーマンスを低下させるかどうかを識別するには、指定したデータ ストアの標準のスキャン サイクルを監視します。Monitor typical scanning cycles for your specified data stores to identify whether a lack of processor resources is negatively affecting the scanner performance.

  • スキャナー サービスを実行しているコンピューター上のローカル フォルダーをスキャンしないDo not scan local folders on the computer running the scanner service

    Windows Server 上にスキャンするフォルダーがある場合は、別のコンピューター上にスキャナーをインストールし、これらのフォルダーをネットワーク共有として構成してスキャンします。If you have folders to scan on a Windows server, install the scanner on a different computer and configure those folders as network shares to scan. ファイルをホストする機能とファイルをスキャンする機能の 2 つの機能を分離させると、これらのサービス用のリソースの計算が相互に競合していないことを意味します。Separating the two functions of hosting files and scanning files means that the computing resources for these services are not competing with one another.

必要に応じて、スキャナーの複数のインスタンスをインストールします。If necessary, install multiple instances of the scanner. 各スキャナー インスタンスには、異なる SQL Server インスタンスに独自の構成データベースが必要です。Each scanner instance requires its own configuration database in a different SQL Server instance.

スキャナーのパフォーマンスに影響するその他の要因Other factors that affect the scanner performance:

  • スキャンするファイルを含むデータ ストアの現在の負荷と応答時間The current load and response times of the data stores that contain the files to scan

  • スキャナーが検索モードまたは強制モードのどちらで実行されているかWhether the scanner runs in discovery mode or enforce mode

    通常、検索モードでは、強制モードよりもスキャン速度が速くなります。これは、発見には単一ファイルの読み取りアクションが必要なのに対して、強制モードでは読み取り/書き込みアクションが必要なためです。Discovery mode typically has a higher scanning rate than enforce mode because discovery requires a single file read action, whereas enforce mode requires read and write actions.

  • Azure Information Protection の条件を変更するYou change the conditions in the Azure Information Protection

    スキャナーがすべてのファイルを検査する必要があるときの最初のスキャン サイクルでは、既定では、新規および変更されたファイルのみを検査する後続のスキャン サイクルよりも明らかに長く時間がかかります。Your first scan cycle when the scanner must inspect every file will obviously take longer than subsequent scan cycles that by default, inspect only new and changed files. ただし、Azure Information Protection ポリシーの条件を変更した場合、上記のセクションに示されているように、すべてのファイルがもう一度スキャンされます。However, if you change the conditions in the Azure Information Protection policy, all files are scanned again, as described in the preceding section.

  • カスタム条件に対する正規表現式の構築The construction of regex expressions for custom conditions

    メモリの大量消費とタイムアウト (1 ファイルあたり 15 分) のリスクを回避するには、ご利用の正規表現式を確認して効率的なパターン マッチングが行われているかを確認してください。To avoid heavy memory consumption and the risk of timeouts (15 minutes per file), review your regex expressions for efficient pattern matching. たとえば、次のようになります。For example:

    • 最長の量指定子を開始しますAvoid greedy quantifiers

    • (expression) ではなく、(?:expression) などの非キャプチャ グループを使用しますUse non-capturing groups such as (?:expression) instead of (expression)

  • 選択したログ レベルYour chosen logging level

    スキャナー レポートに対して [デバッグ][情報][エラー][オフ] から選択できます。You can choose between Debug, Info, Error and Off for the scanner reports. [オフ] を選択すると、最適なパフォーマンスになります。 [デバッグ] は大幅にスキャナーのスピードを低下させるので、トラブルシューティング時にのみ使用してください。Off results in the best performance; Debug considerably slows down the scanner and should be used only for troubleshooting. 詳細については、Get-Help Set-AIPScannerConfiguration -detailedを実行して、Set Aipscanの構成コマンドレットのReportlevelパラメーターを参照してください。For more information, see the ReportLevel parameter for the Set-AIPScannerConfiguration cmdlet by running Get-Help Set-AIPScannerConfiguration -detailed.

  • ファイル自体The files themselves:

    • Excel ファイルを除き、Office ファイルは PDF ファイルよりもすばやくスキャンされます。With the exception of Excel files, Office files are more quickly scanned than PDF files.

    • 保護されていないファイルは、保護されたファイルよりもすばやくスキャンされます。Unprotected files are quicker to scan than protected files.

    • 大きいファイルは明らかに小さいファイルよりも時間がかかります。Large files obviously take longer to scan than small files.

  • さらに、本サービスには以下の規定が適用されます。Additionally:

    • スキャナーを実行するサービスアカウントに、「スキャナーの前提条件」セクションに記載されている権限のみがあることを確認し、詳細なクライアント設定を構成して、スキャナーの低整合性レベルを無効にします。Confirm that the service account that runs the scanner has only the rights documented in the scanner prerequisites section, and then configure the advanced client setting to disable the low integrity level for the scanner.

    • 代替構成を使ってすべてのファイルに既定のラベルを適用すると、ファイル内容の検査がスキップされるため、スキャナーの実行速度が速くなります。The scanner runs more quickly when you use the alternative configuration to apply a default label to all files because the scanner does not inspect the file contents.

    • 代替構成を使ってすべてのカスタム条件と既知の機密情報の種類を特定すると、スキャナーの実行速度が遅くなりなります。The scanner runs more slowly when you use the alternative configuration to identify all custom conditions and known sensitive information types.

    • 高度なクライアント設定でスキャナーのタイムアウトを小さくすると、スキャン速度が向上し、メモリ消費が減少しますが、一部のファイルがスキップされる可能性があります。You can decrease the scanner timeouts with advanced client settings for better scanning rates and lower memory consumption, but with the acknowledgment that some files might be skipped.

スキャナーのコマンドレットの一覧List of cmdlets for the scanner

スキャナーの他のコマンドレットを使用して、サービス アカウントとスキャナーのデータベースを変更したり、スキャナーの現在の設定を取得したり、スキャナー サービスをアンインストールしたりすることができます。Other cmdlets for the scanner let you change the service account and database for the scanner, get the current settings for the scanner, and uninstall the scanner service. スキャナーは、次のコマンドレットを使用します。The scanner uses the following cmdlets:

  • Add-AIPScannerScannedFileTypesAdd-AIPScannerScannedFileTypes

  • Add-AIPScannerRepositoryAdd-AIPScannerRepository

  • Get-Aipscanの構成Get-AIPScannerConfiguration

  • Get-AIPScannerRepositoryGet-AIPScannerRepository

  • Get-AIPScannerStatusGet-AIPScannerStatus

  • インストール-AIPScannerInstall-AIPScanner

  • Remove-AIPScannerRepositoryRemove-AIPScannerRepository

  • Remove-AIPScannerScannedFileTypesRemove-AIPScannerScannedFileTypes

  • 設定-AIPScannerSet-AIPScanner

  • 設定-Aipscanの構成Set-AIPScannerConfiguration

  • Set-AIPScannerScannedFileTypesSet-AIPScannerScannedFileTypes

  • Set-AIPScannerRepositorySet-AIPScannerRepository

  • 開始-AIPScanStart-AIPScan

  • AIPScanner をアンインストールします。Uninstall-AIPScanner

  • 更新-AIPScannerUpdate-AIPScanner

注意

現在のバージョンのスキャナーでは、これらのコマンドレットの多くが非推奨となりました。スキャナーのコマンドレットのオンラインヘルプには、この変更が反映されています。Many of these cmdlets are now deprecated in the current version of the scanner, and the online help for the scanner cmdlets reflects this change. スキャナーのバージョン1.48.204.0 より前のコマンドレットヘルプについては、PowerShell セッションで組み込みの Get-Help <cmdlet name> コマンドを使用してください。For cmdlet help earlier than version 1.48.204.0 of the scanner, use the built-in Get-Help <cmdlet name> command in your PowerShell session.

スキャナーのイベント ログ ID と説明Event log IDs and descriptions for the scanner

次のセクションを使用して、スキャナーの可能性のあるイベント ID と説明を特定できます。Use the following sections to identify the possible event IDs and descriptions for the scanner. これらのイベントは、Windows のアプリケーションとサービスのイベント ログ、Azure Information Protection でスキャナー サービスを実行しているサーバーにログオンします。These events are logged on the server that runs the scanner service, in the Windows Applications and Services event log, Azure Information Protection.


情報 910Information 910

スキャナーのサイクルが開始しました。Scanner cycle started.

スキャナー サービスが開始され、指定したデータ リポジトリ内のファイルのスキャンが開始されたときに、このイベントがログに記録されます。This event is logged when the scanner service is started and begins to scan for files in the data repositories that you specified.


情報 911Information 911

スキャナーのサイクルが完了しました。Scanner cycle finished.

スキャナーで手動スキャンまたは継続的スケジュールのサイクルが完了すると、このイベントがログに記録されます。This event is logged when the scanner has finished a manual scan, or the scanner has finished a cycle for a continuous schedule.

継続的ではなく手動で実行するようにスキャナーが構成されていた場合、新しいスキャンを実行するには、Start-AIPScan コマンドレットを使用します。If the scanner was configured to run manually rather than continuously, to run a new scan, use the Start-AIPScan cmdlet. スケジュールを変更するには、Set-AIPScannerConfiguration コマンドレットと [スケジュール] パラメーターを使用します。To change the schedule, use the Set-AIPScannerConfiguration cmdlet and the Schedule parameter.


次のステップNext steps

Microsoft の Core Services Engineering と Operations チームがどのようにこのスキャナーを実装したかについて関心をお持ちですか。Interested in how the Core Services Engineering and Operations team in Microsoft implemented this scanner? テクニカル ケース スタディ「Automating data protection with Azure Information Protection scanner」(Azure Information Protection スキャナーを使用したデータ保護の自動化) をご覧ください。Read the technical case study: Automating data protection with Azure Information Protection scanner.

Windows Server FCI と Azure Information Protection スキャナーの違いについてご説明します。You might be wondering: What’s the difference between Windows Server FCI and the Azure Information Protection scanner?

また、PowerShell を使用して、デスクトップ コンピューターからファイルを対話的に分類し、保護することができます。You can also use PowerShell to interactively classify and protect files from your desktop computer. これに関する詳細および PowerShell を使用するその他のシナリオについては、「Azure Information Protection クライアントでの PowerShell の使用」をご覧ください。For more information about this and other scenarios that use PowerShell, see Using PowerShell with the Azure Information Protection client.