情報保護スキャナーのデプロイに関する問題を解決する

• 適用対象:

  Microsoft Purview

注:

Azure Information Protection統合ラベル付けスキャナーの名前がスキャナー Microsoft Purview 情報保護変更されています。 同時に、構成 (現在プレビュー段階) はMicrosoft Purview コンプライアンス ポータルに移動しています。 現時点では、Azure portalとコンプライアンス ポータルの両方でスキャナーを構成できます。 この記事の手順では、両方の管理ポータルを参照してください。

Microsoft Preview Information Protection スキャナーで問題が発生した場合は、Start-AIPScannerDiagnostics PowerShell コマンドレットを使用してスキャナー診断ツールを開始して、デプロイが正常かどうかを確認します。

Start-AIPScannerDiagnostics

診断 ツールは、次の詳細を確認し、結果を含むログ ファイルを作成します。

• データベースが最新の状態であるかどうか
• ネットワーク URL にアクセスできるかどうか
• 有効な認証トークンがあり、ポリシーを取得できるかどうか
• プロファイルがAzure portalで定義されているかどうか
• オフライン/オンライン構成が存在し、取得できるかどうか
• 構成されたルールが有効かどうか

ヒント

• スキャナー サービスの実行に使用するサービス アカウントを使用してツールを実行していない場合は、 パラメーターを -OnBehalf 使用する必要があります。 それ以外の場合は、エラーが発生します。
• スキャナー ログから最後の 10 個のエラーを出力するには、 パラメーターを Verbose 追加します。 より多くのエラーを印刷する場合は、 を VerboseErrorCount 使用して、印刷するエラーの数を定義します。

コマンドではStart-AIPScannerDiagnostics、完全な前提条件のチェックが実行されません。 スキャナーに問題がある場合は、システムが スキャナーの要件に準拠していること、および スキャナーの構成とインストール が完了していることも確認する必要があります。

スキャナー ノードとリポジトリごとのスキャンの詳細を確認する

Get-AIPScannerStatus PowerShell コマンドレットを実行して、現在のスキャン状態とスキャナー クラスター内のノードの一覧の詳細を取得します。

PS C:\> Get-AIPScannerStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

NodesInfoGet-AIPScannerStatus コマンドレットで変数を使用して、クラスター内の各ノードの詳細を取得します。

PS C:\WINDOWS\system32> $x=Get-AIPScannerStatus
PS C:\WINDOWS\system32> $x.NodesInfo

出力には、次の例に示すように、テーブル内の各ノードの詳細が表示されます。

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

各ノードをさらにドリルダウンするには、変数をもう一度使用し NodesInfo 、ノードの整数を 0 から始 めます。

PS C:\Windows\system32> $x.NodesInfo[0].Summary

出力には、次の例に示すように、選択したノードのスキャンに関する詳細が表示されます。

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

VerboseGet-AIPScannerStatus コマンドレットで パラメーターを使用して、現在のスキャンに関するデータを取得します。

PS C:\> Get-AIPScannerStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

RepositoriesStatusまたは 変数をCurrentScanSummary使用して、リポジトリの状態の詳細をさらにドリルダウンします。

考えられるリポジトリの状態の値は次のとおりです。

• リポジトリがスキップされた場合はスキップされます
• 現在のスキャンがまだリポジトリのスキャンを開始していない場合は保留中
• 現在のスキャンがリポジトリで実行されている場合のスキャン
• 完了(現在のスキャンがリポジトリでの実行を完了した場合)

例: RepositoriesStatus 変数を使用する

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

例: CurrentScanSummary 変数を使用する

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

この出力には、1 つのリポジトリのみが表示されます。 複数のリポジトリがある場合は、それぞれが個別に一覧表示されます。

スキャナー エラー リファレンス

次の表に、スキャナーによって生成される特定のエラー メッセージに関する情報と、関連する問題を解決するためのアクションを示します。

エラーの種類	トラブルシューティング
認証エラー	認証トークンが受け入れられない 認証トークンがありません
ポリシー エラー	ポリシーが見つかりません ポリシーに自動ラベル付け条件が含まれていない
DB/スキーマ エラー	データベース エラー スキーマの不一致または古い
その他のエラー	基になる接続が閉じられた スタックしたスキャナー プロセス リモート サーバーに接続できない コンテンツ スキャン ジョブまたはプロファイルが見つからない リポジトリが構成されていない クラスターが見つかりません

認証トークンが受け入れられない

エラー メッセージ

Microsoft.InformationProtection.Exceptions.AccessDeniedException: サービスが認証トークンを受け入れませんでした。

説明

Set-AIPAuthentication コマンドが失敗しました。

Resolution

適切なアクセス許可がAzure portalで正しく定義されていることを確認します。

詳細については、「Set-AIPAuthentication のMicrosoft Entra アプリケーションを作成して構成する」を参照してください。

認証トークンがありません

エラー メッセージ

• NoAuthTokenException: クライアント アプリケーションが HTTP 要求の認証トークンを提供できませんでした

• Microsoft.InformationProtection.Exceptions.NoAuthTokenException: クライアント アプリケーションが HTTP 要求の認証トークンを提供できませんでした。 失敗: System.AggregateException: 1 つ以上のエラーが発生しました。 >--- Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: 2 つの条件の 1 つが検出されました。 PromptBehavior.Never フラグが渡されましたが、ユーザー操作が必要なため、制約を受け入れませんでした。 2. サイレント Web 認証中にエラーが発生したため、http 認証フローが短時間で完了できませんでした

• Windows 統合認証を使用してトークンを取得できませんでした (SSO なし)

• Azure portalの [ノード] ページで、次の手順を実行します。

  ポリシーに自動ラベル付け条件は含まれません

説明

これらの認証エラーは、スキャナーが非対話型で実行されるときに発生します。

Resolution

Set-AIPAuthentication コマンドレットを使用してトークンを使用して認証する必要があります。

Set-AIPAuthentication コマンドレットを実行するときは、次の例に示すように、スキャナー サービスの実行に使用されるサービス アカウントの代わりに token パラメーターを使用してください。

$pscreds = Get-Credential CONTOSO\scanner
Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

詳細については、「スキャナーのMicrosoft Entra トークンを取得する」を参照してください。

ポリシーが見つかりません

エラー メッセージ

ポリシーが見つかりません

説明

スキャナーが秘密度ラベル ポリシー ファイルを見つけることができません。

Resolution

ポリシー ファイルが想定どおりに存在することを確認するには、%localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3 という場所にチェックします。

秘密度ラベルとそのラベル ポリシーの詳細については、「 秘密度ラベルとそのポリシーを作成して構成する」を参照してください。

ポリシーに自動ラベル付け条件が含まれていない

エラー メッセージ

ポリシーにラベル付け条件がありません

説明

ラベル付けポリシーに自動ラベル付け条件がありません。

Resolution

以下の設定を構成します。

設定	設定を構成する手順
コンテンツ スキャン ジョブの設定	Azure portalで、次の操作を行います。 検出する情報の種類を[すべて] に設定します スキャン時に適用する既定のラベルを定義する
ラベル付けポリシー設定	Microsoft Purview コンプライアンス ポータルで、次の操作を行います。 既定の秘密度ラベルを定義する 自動/推奨ラベル付けを構成する

設定が既に想定どおりに定義されている場合、ポリシー ファイル自体が見つからないか、アクセスできない可能性があります (Microsoft Purview コンプライアンス ポータルからのタイムアウトがある場合など)。

ポリシー ファイルを確認するには、%localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3 というファイルが存在することをチェックします。

詳細については、「Azure Information Protection統合ラベル付けスキャナーとは」および「秘密度ラベルについて」を参照してください。

データベース エラー

エラー メッセージ

DB エラー

説明

スキャナーはデータベースに接続できません。

Resolution

スキャナー コンピューターとデータベース間のネットワーク接続を確認します。

さらに、スキャナー プロセスの実行に使用されるサービス アカウントに、データベースへのアクセスに必要なすべてのアクセス許可があることを確認します。

スキーマの不一致または古い

エラー メッセージ

以下のいずれか:

• SchemaMismatchException

• Azure portalの [ノード] ページで、次の手順を実行します。

  DB スキーマが最新ではありません。 Update-AIPScanner コマンドを実行して DB スキーマを更新する
  エラー: DB スキーマが最新ではありません

説明

データベース スキーマが最新ではありません。

Resolution

Update-AIPScanner コマンドレットを実行してスキーマを再同期し、最新の変更が加えられたことを確認します。

基になる接続が閉じられた

エラー メッセージ

System.Net.WebException: 基になる接続が閉じられました:送信時に予期しないエラーが発生しました。 >--- System.IO.IOException: リモート パーティがトランスポート ストリームを閉じたため、認証に失敗しました。

[System.Net.Http.HttpRequestException: 要求の送信中にエラーが発生しました。 >--- System.Net.WebException: 基になる接続が閉じられました:送信時に予期しないエラーが発生しました。 >--- System.IO.IOException: トランスポート接続からデータを読み取ることができません:既存の接続がリモート ホストによって強制的に閉じられました。 >--- System.Net.Sockets.SocketException: 既存の接続がリモート ホストによって強制的に閉じられました。

説明

これらのエラーは、TLS 1.2 が有効になっていないことを示します。

Resolution

TLS 1.2 を有効にするには、次を参照してください。

• ファイアウォールとネットワーク インフラストラクチャの要件
• TLS 1.2 を有効にする方法
• Office Online Server での TLS 1.1 および TLS 1.2 のサポートの有効化

スタックしたスキャナー プロセス

エラー メッセージ

エラー メッセージは表示されませんが、スキャナーはタイムアウトします。

説明

スキャナーは、1 つのファイルを予想よりも長い時間処理しているか、リポジトリ内の多数のファイルのスキャン中に予期せず停止します。 スキャナー プロセスがスタックしている可能性があります。

Resolution

次のいずれかの設定を変更します。

• 動的ポートの数。 ファイルをホストしているオペレーティング システムの動的ポートの数を増やす必要がある場合があります。 SharePoint のサーバーのセキュリティ強化は、スキャナーが許可されているネットワーク接続の数を超え、停止する理由の 1 つです。

  現在のポート範囲を表示して範囲を広げる方法については、「 ネットワーク パフォーマンスを向上させるために変更できる設定」を参照してください。

• リスト ビューのしきい値。 大規模な SharePoint ファームの場合は、リスト ビューのしきい値を増やす必要がある場合があります。 既定では、リスト ビューのしきい値は 5,000 に設定されています。

  しきい値を増やす方法については、「 SharePoint で大規模なリストとライブラリを管理する」を参照してください。

それでも問題が発生した場合は、詳細レポートをチェックして、ファイルのサイズが増えているかどうかを判断します。

ファイル サイズが増え続ける場合、スキャナーは引き続きデータを処理しているため、完了するまで待つ必要があります。

ファイルのサイズが増えなくなった場合は、次の操作を行います。

1. 次のコマンドレットを実行します。

   • Start-AIPScannerDiagnostics コマンドレット: スキャナーで診断チェックを実行し、検出されたすべてのエラーのログ ファイルをエクスポートおよび zip します。
   • Export-AIPLogs コマンドレット: %localappdata%\Microsoft\MSIP\Logs ディレクトリからログ ファイルの .zip バージョンをエクスポートして作成します。

2. MSIP スキャナー サービスのダンプ ファイルを作成します。 Windows タスク マネージャーで、 MSIP スキャナー サービスを右クリックし、[ ダンプ ファイルの作成] を選択します。

3. Azure portalで、スキャンを停止します。

4. スキャナー コンピューターで、サービスを再起動します。

5. サポート チケットを開き、スキャナー プロセスからダンプ ファイルを添付します。

リモート サーバーに接続できない

エラー メッセージ

%localappdata%\Microsoft\MSIP\Logs\の下にある MSIPScanner.iplog ファイル内:

System.Net.Sockets.SocketException ---> リモート サーバーに接続できません:通常、各ソケット アドレス (プロトコル/ネットワーク アドレス/ポート) の使用は 1 つだけ許可されます。

複数のログがある場合、 MSIPScanner.iplog ファイルは .zip ファイルになります。

説明

スキャナーが許可されているネットワーク接続の数を超えています。

Resolution

ファイルをホストしているオペレーティング システムの動的ポートの数を増やします。

現在のポート範囲を表示して範囲を広げる方法については、「 ネットワーク パフォーマンスを向上させるために変更できる設定」を参照してください。

コンテンツ スキャン ジョブまたはプロファイルが見つからない

エラー メッセージ

Azure portalの [ノード] ページで、次の手順を実行します。

コンテンツ スキャン ジョブが見つかりません

説明

このエラーは、コンテンツ スキャン ジョブまたはプロファイルが見つからない場合に発生します。

Resolution

Azure portalでスキャナーの構成を確認します。

詳細については、「Azure Information Protection統合ラベル付けスキャナーの構成とインストール」を参照してください。

メモ：プロファイルは、スキャナーの新しいバージョンのスキャナー クラスターとコンテンツ スキャン ジョブに置き換えられたレガシ スキャナー用語です。

リポジトリが構成されていない

エラー メッセージ

管理ポータルの [ノード ] ページで、次の手順を実行します。

リポジトリが構成されていません

説明

リポジトリが構成されていないコンテンツ スキャン ジョブがある場合があります。

Resolution

コンテンツ スキャン ジョブの設定を確認し、少なくとも 1 つのリポジトリを追加します。

詳細については、「 コンテンツ スキャン ジョブを作成する」を参照してください。

クラスターが見つかりません

エラー メッセージ

管理ポータルの [ノード ] ページで、次の手順を実行します。

クラスターが見つかりません

説明

定義したスキャナー クラスターの 1 つに実際の一致が見つかりません。

解決策

クラスターの構成を確認し、入力ミスやエラーに関する独自のシステムの詳細に照らしてクラスター構成をチェックします。

詳細については、「 スキャナー クラスターの作成」を参照してください。

詳細

AIP UL スキャナーをデプロイして使用するためのベスト プラクティス。