クイック スタート:オンプレミスに格納しているファイル内の機密情報を検索するQuickstart: Find what sensitive information you have in files stored on-premises

適用対象:Azure Information ProtectionApplies to: Azure Information Protection

このクイック スタートでは、Azure Information Protection スキャナーをインストールして構成し、オンプレミスのデータ ストアに格納されているファイル内にある機密情報を検索します。In this quickstart, you'll install and configure the Azure Information Protection scanner to find what sensitive information you have in files that are stored in an on-premises data store. たとえば、ローカル フォルダー、ネットワーク共有、SharePoint サーバーなどです。For example, a local folder, network share, or SharePoint Server.

注意

このクイックスタートは、Azure Information Protection クライアント (クラシック) の現在一般提供されているバージョン、またはスキャナーのプレビュー バージョンが含まれる Azure Information Protection 統合ラベル付けクライアントの現在一般提供されているバージョンで使用できます。You can use this quickstart with the current general availability version of the Azure Information Protection client (classic), or the current general availability version of the Azure Information Protection unified labeling client that includes a preview version of the scanner.

これらのクライアントの違いがわからない場合は、Not sure of the difference between these clients? こちらの FAQ を参照してください。See this FAQ.

この構成は 10 分未満で完了します。You can finish this configuration in less than 10 minutes.

必要条件Prerequisites

このクイック スタートを完了するには、次の要件があります。To complete this quickstart, you need:

  1. Azure Information Protection プラン 1 またはプラン 2 を含むサブスクリプション。A subscription that includes Azure Information Protection Plan 1 or Plan 2.

    このようないずれかのサブスクリプションがない場合は、組織用の無料アカウントを作成できます。If you don't have one of these subscriptions, you can create a free account for your organization.

  2. 次のいずれかの Azure Information Protection クライアントがコンピューターにインストールされている。One of the following Azure Information Protection clients is installed on your computer:

    • クラシック クライアント: このクライアントをインストールするには、Microsoft ダウンロード センターに移動し、Azure Information Protection ページから AzInfoProtection.exe をダウンロードします。The classic client: To install this client, go to the Microsoft download center and download AzInfoProtection.exe from the Azure Information Protection page.

    • 統合ラベル付けクライアント: このクライアントをインストールするには、Microsoft ダウンロード センターに移動し、Azure Information Protection ページから AzInfoProtection_UL.exe をダウンロードします。The unified labeling client: To install this client, go the Microsoft download center and download AzInfoProtection_UL.exe from the Azure Information Protection page.

  3. SQL Server Express もコンピューターにインストールされている。SQL Server Express is also installed on your computer.

    この SQL Server エディションがまだインストールされていない場合は、Microsoft ダウンロード センターからダウンロードして、基本インストールを選択できます。If this SQL Server edition isn't already installed, you can download it from the Microsoft Download Center and select a Basic installation.

  4. 自分のドメイン アカウントが Azure AD に同期されている。Your domain account is synchronized to Azure AD.

Azure Information Protection を使用するための必要条件の完全な一覧については、「Azure Information Protection の要件」をご覧ください。For a full list of prerequisites to use Azure Information Protection, see Requirements for Azure Information Protection.

テスト用のフォルダーとファイルを準備するPrepare a test folder and file

スキャナーが動作していることを確認する最初のテスト用に、次の操作を実行します。For an initial test to confirm that the scanner is working:

  1. コンピューターにローカル フォルダーを作成します。Create a local folder on your computer. たとえば、ローカルの C ドライブ上の TestScanner です。For example, TestScanner on your local C drive.

  2. Credit card: 4242-4242-4242-4242 というテキストを含む Word 文書を作成して、そのフォルダー内に保存します。Create and save a Word document in that folder, which has the text Credit card: 4242-4242-4242-4242.

スキャナー用のプロファイルを構成するConfigure a profile for the scanner

スキャナーをインストールする前に、Azure portal でそのためのプロファイルを作成します。Before you install the scanner, create a profile for it in the Azure portal. このプロファイルには、スキャナーの設定と、スキャンするデータ リポジトリの場所が含まれます。This profile contains scanner settings and locations of the data repositories to scan.

  1. 新しいブラウザー ウィンドウを開いて、Azure portal にサインインしますOpen a new browser window and sign in to the Azure portal. 次に、 [Azure Information Protection] ペインに移動します。Then navigate to the Azure Information Protection pane.

    たとえば、リソース、サービス、ドキュメントの検索ボックスで次のようにします: 「Information」と入力し、 [Azure Information Protection] を選択します。For example, in the search box for resources, services, and docs: Start typing Information and select Azure Information Protection.

  2. 左側のペインで [スキャナー] オプションを見つけて、 [プロファイル] を選択します。Locate the Scanner options from the left pane, and select Profiles.

  3. [Azure Information Protection] - [プロファイル] ペインで、 [追加] を選択します。On the Azure Information Protection - Profiles pane, select Add:

    Azure Information Protection スキャナーのプロファイルを追加する

  4. [新しいプロファイルを追加する] ペインで、その構成設定とスキャンするデータ リポジトリを識別するために使うスキャナーの名前を指定します。On the Add a new profile pane, specify a name for the scanner that is used to identify its configuration settings and data repositories to scan. たとえば、このクイックスタートでは、Quickstart を指定できます。For example, for this quickstart, you might specify Quickstart. 後でスキャナーをインストールするときに、同じプロファイル名を指定する必要があります。When you later install the scanner, you will need to specify the same profile name.

    スキャナーのプロファイル名を識別するために、必要に応じて管理目的の説明を指定します。Optionally, specify a description for administrative purposes, to help you identify the scanner's profile name.

  5. [ポリシーの適用] セクションを探します。このクイックスタートでは、このセクションで 1 つの設定のみを選択します。 [強制][オフ] を選択します。Locate the Policy enforcement section, where for this quickstart, select just one setting: For Enforce, select Off. 次に [保存] を選択しますが、ペインは閉じないでください。Then select Save but do not close the pane.

    この設定では、指定したデータ リポジトリ内にあるすべてのファイルの 1 回限りの探索を実行するようにスキャナーを構成します。The settings configure the scanner to do a one-time discovery of all files in your specified data repositories. このスキャンでは、機密情報の既知の種類がすべて検索されます。また、最初に Azure Information Protection ラベルやポリシー設定を構成する必要はありません。This scan looks for all known sensitive information types, and doesn't require you to first configure your Azure Information Protection labels or policy settings.

  6. これでプロファイルの作成と保存が完了したので、 [リポジトリの構成] オプションに戻って、スキャンするデータ ストアとしてローカル フォルダーを指定する準備が整いました。Now that the profile is created and saved, you're ready to return to the Configure repositories option to specify your local folder as the data store to be scanned.

    引き続き [新しいプロファイルを追加する] ペインで、 [リポジトリの構成] を選択して [リポジトリ] ペインを開きます。Still on the Add a new profile pane, select Configure repositories to open the Repositories pane:

    Azure Information Protection スキャナーのデータ リポジトリを構成する

  7. [リポジトリ] ペインで、 [追加] を選択します。On the Repositories pane, select Add:

    Azure Information Protection スキャナーのデータ リポジトリを追加する

  8. [リポジトリ] ペインで、一番最初のステップで作成したローカル フォルダーを指定します。On the Repository pane, specify your local folder that you created in the very first step. 例: C:\TestScannerFor example: C:\TestScanner

    このペインの残りの設定に関しては、変更せずに [既定のプロファイル] のままにしておきます。For the remaining settings on this pane, do not change them but keep them as Profile default. これは、データ リポジトリがスキャナーのプロファイルから設定を継承することを意味します。This means that the data repository inherits the settings from the scanner profile.

    [保存] を選択します。Select Save.

  9. [Azure Information Protection] - [プロファイル] ペインに戻ると、自分のプロファイルが表示されています。 [スケジュール] 列には [手動] が表示され、 [強制] 列は空白です。Back on the Azure Information Protection - Profiles pane, you now see your profile listed, together with the SCHEDULE column showing Manual and the ENFORCE column is blank.

    このプロファイル用のスキャナーをまだインストールしていないので、 [ノード] 列には 0 が表示されます。The NODES column shows 0 because you haven't yet installed the scanner for this profile.

これで、先ほど作成したスキャナーのプロファイルを使ってスキャナーをインストールする準備ができました。You're now ready to install the scanner with the scanner profile that you've just created.

スキャナーのインストールInstall the scanner

  1. [管理者として実行] オプションを使用して PowerShell セッションを開きます。Open a PowerShell session with the Run as an administrator option.

  2. 次のコマンドを使ってスキャナーをインストールします。自分のコンピューター名と、Azure portal で保存したプロファイル名を指定します。Use the following command to install the scanner, specifying your own computer name, and the profile name that you saved in the Azure portal:

     Install-AIPScanner -SqlServerInstance <your computer name>\SQLEXPRESS -Profile <profile name>
    

    プロンプトが表示されたら、<ドメイン\ユーザー名> の形式を使用してスキャナー用の資格情報を独自に指定し、次にパスワードを指定します。When you're prompted, provide your own credentials for the scanner by using the <domain\user name> format, and then your password.

スキャンの開始および完了の確認Start the scan and confirm it finished

  1. Azure portal に戻り、 [Azure Information Protection] - [プロファイル] ペインを最新の情報に更新すると、 [ノード] 列に 1 と表示されるようになります。Back in the Azure portal, refresh the Azure Information Protection - Profiles pane, and you should see the NODES column now display 1.

  2. ご自身のプロファイル名を選択してから、 [今すぐスキャン] オプションを選択します。Select your profile name, and then the Scan now option:

    Azure Information Protection スキャナーのスキャンを開始する

    プロファイルを選択した後にこのオプションを使用できない場合は、スキャナーが Azure Information Protection に接続されていません。If this option is not available after selecting your profile, the scanner is not connected to Azure Information Protection. 構成とインターネット接続を確認します。Review your configuration and internet connectivity.

  3. 調べる対象が小さなファイル 1 つだけなので、この最初のテスト スキャンは非常に高速です。There's only one small file to inspect, so this initial test scan will be very quick:

    [前回のスキャン結果] 列と [前回のスキャン (終了時刻)] 列に値が表示されるまで待ちます。Wait until you see values displayed for the LAST SCAN RESULTS and LAST SCAN (END TIME) columns.

    または、クラシック クライアントのスキャナーの場合のみ: ローカル Windows イベント ログの [アプリケーションとサービス][Azure Information Protection] を確認します。Alternatively, for the scanner from the classic client only: Check the local Windows Applications and Services event log, Azure Information Protection. MSIP.Scanner プロセスの情報イベント ID 911 を確認します。Confirm the informational event ID 911 for the MSIP.Scanner process. イベント ログ エントリには、スキャンの結果の概要も含まれています。The event log entry also has a summary of results from the scan.

詳細結果を確認するSee detailed results

エクスプローラーを使用して、%localappdata%\Microsoft\MSIP\Scanner\Reports にあるスキャナー レポートを見つけます。Using File Explorer, locate the scanner reports in %localappdata%\Microsoft\MSIP\Scanner\Reports. .csv ファイル形式の詳細レポート ファイルを開きます。Open the detailed report file that has a .csv file format.

Excel では、データ ストア リポジトリとファイル名が最初の 2 列に表示されます。In Excel, the first two columns display your data store repository and file name. 列を調べていくと、 [Information Type Name](情報の種類の名前) という名前の列があります。これが最も重要な列です。As you look through the columns, you'll see one named Information Type Name, which is the column you're most interested in. 最初のテストでは [クレジット カード番号] が表示されています。これは、スキャナーが検索できる多くの機密情報の種類の 1 つです。For our initial test, it displays Credit Card Number, one of many sensitive information types that the scanner can find.

独自のデータをスキャンするScan your own data

  1. 今回は、機密情報をスキャンする独自のオンプレミスのデータ ストアを指定して、スキャナー プロファイルを編集して新しいデータ リポジトリを追加します。Edit your scanner profile and add a new data repository, this time specifying your own on-premises data store that you want to scan for sensitive information.
    ローカル フォルダー、ネットワーク共有 (UNC パス)、または SharePoint サイトや SharePoint ライブラリの SharePoint サーバーの URL を指定することができます。You can specify a local folder, a network share (UNC path), or a SharePoint Server URL for a SharePoint site or library.

    • ローカル フォルダーについての例:Example for a local folder:

        D:\Data\Finance
      
    • ネットワーク共有についての例Example for a network share

        \\NAS\HR
      
    • SharePoint フォルダーについての例:Example for a SharePoint folder:

        http://sp2016/Shared Documents
      
  2. もう一度スキャナーを再起動します。 [Azure Information Protection] - [プロファイル] ペインで、プロファイルが選択されていることを確認し、 [今すぐスキャン] オプションを選択します。Restart the scanner again: From the Azure Information Protection - Profiles pane, make sure your profile is selected, and then select the Scan now option:

    Azure Information Protection スキャナーのスキャンを開始する

  3. スキャンが完了すると、新しい結果が表示されます。View the new results when the scan is complete.

    このスキャンにかかる時間は、データ ストア内にあるファイルの数や、それらのファイルの大きさ、およびファイルの種類によって異なります。How long this scan takes depends on how many files there are in your data store, how large those files are, and the type of file.

リソースをクリーンアップするClean up resources

運用環境では、Azure Information Protection サービスを自動的に認証するサービス アカウントを使用して、Windows Server 上でスキャナーを実行する場合があります。In a production environment, you would run the scanner on a Windows Server, using a service account that silently authenticates to the Azure Information Protection service. また、エンタープライズ レベルのバージョンの SQL サーバーを使用して、いくつかのデータ リポジトリを指定する場合もあります。You would also use an enterprise-grade version of SQL Server, and likely specify several data repositories.

その運用環境へのデプロイの準備が整い、PowerShell セッションでリソースをクリーンアップするためには、次のコマンドを実行してスキャナーをアンインストールします。To clean up resources, ready for that production deployment, in your PowerShell session, run the following command to uninstall the scanner:

Uninstall-AIPScanner

次に、コンピューターを再起動します。Then restart your computer.

このコマンドでは以下の項目は削除されません。このクイック スタートの後にこれらを削除する場合は、手動で削除する必要があります。This command doesn't remove the following items and you must manually remove them if you don't want them after this quickstart:

  • Azure Information Protection スキャナーをインストールしたときに、Install-AIPScanner コマンドレットを実行することによって作成された SQL Server データベース:The SQL Server database that was created by running the Install-AIPScanner cmdlet when the Azure Information Protection scanner was installed:

    • クラシック クライアントの場合: AIPScanner_<profile>For the classic client: AIPScanner_<profile>
    • 統合ラベル付けクライアントの場合: AIPScannerUL_<profile_name>For the unified labeling client: AIPScannerUL_<profile_name>
  • %localappdata%\Microsoft\MSIP\Scanner\Reports にあるスキャナー レポート。The scanner reports located in %localappdata%\Microsoft\MSIP\Scanner\Reports.

  • ドメイン アカウントがローカル コンピューターに対して付与された、 [サービスとしてログオン] ユーザー権限の割り当て。The Log on as a service user right assignment that your domain account was granted for your local computer.

次の手順Next steps

このクイックスタートには、オンプレミスのデータ ストア内にある機密情報がスキャナーによって検索されるしくみを簡単に確認するための最小構成が含まれています。This quickstart includes the minimum configuration so that you can quickly see how the scanner can find sensitive information in on-premises data stores. 運用環境にスキャナーをインストールする準備が整った場合は、「Azure Information Protection スキャナーをデプロイして、ファイルを自動的に分類して保護する」をご覧ください。If you're ready to install the scanner in a production environment, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

機密情報が含まれているファイルを分類して保護する場合は、自動的な分類と保護のためにラベルを構成する必要があります。If you want to classify and protect the files that contain sensitive information, you must configure labels for automatic classification and protection: