チュートリアル:Azure Information Protection (AIP) 統合ラベル付けスキャナーのインストールTutorial: Installing the Azure Information Protection (AIP) unified labeling scanner

*適用対象:Azure Information Protection**Applies to: Azure Information Protection*

*関連する内容:Windows 用の Azure Information Protection 統合ラベル付けクライアント**Relevant for: Azure Information Protection unified labeling client for Windows*

このチュートリアルでは、Azure Information Protection (AIP) オンプレミス スキャナーをインストールする方法について説明します。This tutorial describes how to install the Azure Information Protection (AIP) on-premises scanner. このスキャナーを使用すると、AIP 管理者は、自分たちのネットワークやコンテンツ共有をスキャンして機密データがないかを調べ、自分の組織のポリシーで構成されているように分類および保護のラベルを適用することができます。The scanner enables AIP administrators to scan their networks and content shares for sensitive data, and apply classification and protection labels as configured in their organization's policy.

必要な時間:このチュートリアルは 30 分で完了できます。Time required: You can complete this tutorial in 30 minutes..

チュートリアルの前提条件Tutorial prerequisites

統合ラベル付けスキャナーをインストールしてこのチュートリアルを完了するには、次のものが必要です。To install the unified labeling scanner and complete this tutorial, you'll need:

要件Requirement 説明Description
サポート サブスクリプションA supporting subscription Azure Information Protection を含む Azure サブスクリプションが必要です。You'll need an Azure subscription that includes Azure Information Protection.

これらのサブスクリプションのいずれかがない場合は、組織用の無料アカウントを作成してください。If you don't have one of these subscriptions, create a free account for your organization.
Azure portal への管理者アクセスAdmin access to the Azure portal 次のいずれかの管理者アカウントを使用して Azure portal にサインインできることを確認します。Make sure that you can sign in to the Azure portal with one of the following administrator accounts:

- コンプライアンス管理者- Compliance administrator
- コンプライアンス データ管理者- Compliance data administrator
- セキュリティ管理者- Security administrator
- グローバル管理者- Global administrator
クライアントのインストールClient installed スキャナーのインストールにアクセスするには、ご利用のコンピューター上に AIP 統合ラベル付けクライアントをインストールします。Install the AIP unified labeling client on your computer to access the scanner installation.

Microsoft ダウンロード センターから AzInfoProtection_UL.exe をダウンロードして実行します。Download and run the AzInfoProtection_UL.exe from the Microsoft Download Center.

インストールが完了すると、コンピューターまたは Office ソフトウェアの再起動を求めるメッセージが表示される場合があります。When the installation is complete, you may be prompted to restart your computer or Office software. 必要に応じて再起動して続行します。Restart as needed to continue.

詳細については、「クイック スタート: Azure Information Protection (AIP) 統合ラベル付けクライアントのデプロイ」を参照してください。For more information, see Quickstart: Deploying the Azure Information Protection (AIP) unified labeling client.
SQL ServerSQL Server スキャナーを実行するには、スキャナー コンピューター上に SQL Server がインストールされている必要があります。To run the scanner, you'll need SQL Server installed on the scanner machine.

インストールするには、SQL Server のダウンロード ページに移動し、インストールするインストール オプションの下にある [今すぐダウンロード] を選択します。To install, go to the SQL Server download page and select Download now under the installation option you want to install. インストーラーで、 [基本] をインストールの種類に選択します。In the installer, select the Basic installation type.

:SQL Server Enterprise は運用環境に、そして Express はテスト環境のみにインストールすることをお勧めします。Note: We recommend installing SQL Server Enterprise for production environments, and Express only for testing environments.
Azure Active Directory アカウントAzure Active Directory account 標準的なクラウド接続環境で作業する場合は、スキャナーに使用するドメインサービス アカウントを Azure Active Directory に同期させる必要があります。When working with a standard, cloud-connected environment, the domain service account you want to use for the scanner must be synchronized to Azure Active Directory. これは、オフラインで作業する場合には必要ありません。This isn't necessary if you're working offline.

ご自身のアカウントについて不明な場合は、いずれかのシステム管理者に問い合わせて同期の状態を確認してください。If you're not sure about your account, contact one of your system administrators to verify the synch status.
秘密度ラベルと公開されたポリシーSensitivity labels and a published policy スキャナー サービス アカウント用に、秘密度ラベルを作成し、少なくとも 1 つのラベルが付いたポリシーをラベル付け管理センターに公開している必要があります。You must have created sensitivity labels, and published a policy with at least one label to your labeling admin center, for the scanner service account.

Microsoft 365 コンプライアンス センター、Microsoft 365 セキュリティ センター、または Microsoft 365 セキュリティ/コンプライアンス センターを含む、ご利用のラベル付け管理センター内で秘密度ラベルを構成します。Configure sensitivity labels in your labeling admin center, including the Microsoft 365 compliance center, the Microsoft 365 security center, or the Microsoft 365 Security & Compliance Center. 詳細については、Microsoft 365 のドキュメントを参照してください。For more information, see the Microsoft 365 documentation.

前提条件を確認したら、Azure portal で Azure Information Protection を構成します。Once you've confirmed your prerequisites, Configure Azure Information Protection in the Azure portal.

Azure portal で Azure Information Protection を構成するConfigure Azure Information Protection in the Azure portal

Azure Information Protection が Azure portal で使用できないこともあれば、保護が現在アクティブになっていないこともあります。Azure Information Protection may not be available for you in the Azure portal, or protection may not be currently activated.

必要に応じて、次の手順のいずれか、または両方を実行します。Perform one or both of the following steps, as needed:

次に、「Azure portal でスキャナーの初期設定を構成する」に進んでください。Then, continue with Configure initial scanner settings in the Azure portal.

Azure portal に Azure Information Protection を追加するAdd Azure Information Protection to the Azure portal

  1. サポートしている管理アカウントを使用して、Azure portal にサインインします。Sign in to the Azure portal using a supporting admin account.

  2. [+ リソースの作成] を選択します。Select + Create a resource. 検索ボックスで、Azure Information Protection を検索して選択します。In the search box, search for and then select Azure Information Protection. [Azure Information Protection] ページで、 [作成] を選択し、もう一度 [作成] を選択します。On the Azure Information Protection page, select Create, and then Create again.

    Azure portal に Azure Information Protection を追加する

    ヒント

    この手順を初めて実行する場合は、ペインの名前の横に [ダッシュボードにピン留めする] [ダッシュボードにピン留めする] アイコン アイコンが表示されます。If this is the first time you're performing this step, you'll see a Pin to dashboard Pin to dashboard icon icon next to the pane name. ピン アイコンを選択して、ダッシュボード上にタイルを作成すると、次回からここに直接移動できるようになります。Select the pin icon to create a tile on your dashboard so that you can navigate directly here next time.

保護がアクティブになっていることを確認する」に進んでください。Continue with Confirm that protection is activated.

保護がアクティブになっていることを確認するConfirm that protection is activated

使用可能な Azure Information Protection が既にある場合は、保護がアクティブになっていることを確認します。If you already have Azure Information Protection available for you, make sure that protection is activated:

  1. Azure Information Protection 領域の左側にある [管理] の下で、 [保護のアクティブ化] を選択します。In the Azure Information Protection area, under Manage on the left, select Protection Activation.

  2. テナントの保護がアクティブになっているかどうかを確認します。Confirm whether protection is activated for your tenant. 次に例を示します。For example:

    AIP のアクティブ化を確認する

保護がアクティブになっていない場合は、[AIP のアクティブ化] [アクティブ化] を選択します。If protection isn't activated, select Activate AIP Activate. アクティブ化が完了すると、情報バーに [Activation finished successfully](アクティブ化が正常に完了しました) と表示されます。When activation is complete, the information bar displays Activation finished successfully.

Azure portal でスキャナーの初期設定を構成する」に進んでください。Continue with Configure initial scanner settings in the Azure portal.

Azure portal でスキャナーの初期設定を構成するConfigure initial scanner settings in the Azure portal

ご利用のコンピューターにスキャナーをインストールする前に、Azure portal でスキャナーの初期設定を作成します。Prepare your initial scanner settings in the Azure portal before you install the scanner on your machine.

  1. Azure Information Protection 領域の左側にある [スキャナー] の下で、 [クラスター] を選択します。

  2. クラスター ページ上で、 [追加] を選択して、スキャナーを管理するための新しいクラスターを作成します。

  3. 右側に開いている [新しいクラスターの追加] ウィンドウで、わかりやすいクラスター名と必要に応じて説明を入力します。In the Add a new cluster pane that opens on the right, enter a meaningful cluster name and an optional description.

    重要

    このクラスター名は、スキャナーをインストールするときに必要となります。You'll need the name of this cluster when installing your scanner.

    次に例を示します。For example:

    チュートリアル用に新しいクラスターを追加する

  4. 最初のコンテンツ スキャン ジョブを作成します。Create an initial content scan job. 左側の [スキャナー] メニューで、 [コンテンツ スキャン ジョブ] を選択してから、 [追加] を選択します。

  5. [Add a new content scan job](新しいコンテンツ スキャン ジョブの追加) ウィンドウで、コンテンツ スキャン ジョブに付けるわかりやすい名前と、必要に応じて説明を入力します。In the Add a new content scan job pane, enter a meaningful name for your content scan job, and an optional description.

    次に、 [ポリシーの適用] までページを下方にスクロールし、 [オフ] を選択します。Then, scroll down the page to Policy enforcement, and select Off.

    完了したら、変更内容を保存します。Save your changes when you're done.

    この既定のスキャン ジョブでは、既知の機密情報の種類がすべてスキャンの対象となります。This default scan job will scan for all known sensitive information types.

  6. コンテンツ スキャン ジョブの詳細ウィンドウを閉じ、 [コンテンツ スキャン ジョブ] グリッドに戻ります。

    コンテンツ スキャン ジョブに対して表示される新しい行の [クラスター名] 列で、 [+ クラスターへの割り当て] を選択します。In the new row that appears for your content scan job, in the Cluster Name column, select +Assign to cluster. 次に、右側に表示される [クラスターへの割り当て] ウィンドウで、目的のクラスターを選択します。Then, in the Assign to cluster pane that appears on the right, select your cluster.

    クラスターへの割り当て

これで、AIP 統合ラベル付けスキャナーをインストールする準備ができました。Now you're ready to Install the AIP unified labeling scanner.

AIP 統合ラベル付けスキャナーをインストールするInstall the AIP unified labeling scanner

Azure portal で基本的なスキャナーを構成したら、ご利用の AIP クライアント コンピューターに統合ラベル付けスキャナーをインストールします。Once you've configured basic scanner settings in the Azure portal, install the unified labeling scanner on your AIP client machine.

  1. クライアント コンピューター上で、 [管理者として実行] オプションを使用して PowerShell セッションを開きます。On your client machine, open a PowerShell session with the Run as an administrator option.

  2. 次のコマンドを使用してスキャナーをインストールします。Use the following command to install the scanner. このコマンドでは、スキャナーをインストールする場所と、Azure portal で作成したクラスターの名前を指定します。In your command, specify where you want to install the scanner, as well as the name of the cluster you created in the Azure portal.

    Install-AIPScanner -SqlServerInstance <your SQL installation location>\SQLEXPRESS -Cluster <cluster name>
    

    次に例を示します。For example:

    Install-AIPScanner -SqlServerInstance localhost\SQLEXPRESS -Cluster Quickstart
    

    資格情報を入力するように PowerShell から求められたら、ユーザー名とパスワードを入力します。When PowerShell prompts you for credentials, enter the username and password.

    [ユーザー名] フィールドについては、次の構文を使用します: <domain\user name>For the User name field, use the following syntax: <domain\user name>. (例: emea\contososcanner)。For example: emea\contososcanner.

  3. Azure portal に戻ります。Go back to the Azure portal. 左側の [スキャナー] メニューで、 [ノード] を選択します。

    ここで、ご自分のスキャナーがグリッドに追加されているのがわかります。You should now see your scanner added to the grid. 次に例を示します。For example:

    新しくインストールしたスキャナーが [ノード] グリッド上に表示されている

スキャナー用の Azure Active Directory トークンを取得する」に進み、スキャナー サービス アカウントを非対話形式で実行できるようにします。Continue with Get an Azure Active directory token for the scanner to enable your scanner service account to run non-interactively.

スキャナー用の Azure Active Directory トークンを取得するGet an Azure Active directory token for the scanner

標準的なクラウド接続環境で作業している場合にこの手順を行うと、スキャナーで AIP サービスへの認証を実行できるようになり、その結果サービスを非対話形式で実行することが可能になります。Perform this procedure when you're working with a standard, cloud-connected environment, to allow the scanner to authenticate to the AIP service, enabling the service to run non-interactively.

オフラインのみで作業している場合、この手順は必要ありません。This procedure is not required if you're working offline only.

非対話形式でファイルに Azure Information Protection のラベル付けをする方法」を参照してください。For more information, see How to label files non-interactively for Azure Information Protection.

スキャナー用の Azure AD トークンを取得するには:To get an Azure AD token for the scanner:

  1. Azure portal で、認証用のアクセス トークンを指定するための Azure AD アプリケーションを作成します。In the Azure portal, create an Azure AD application to specify an access token for authentication.

  2. スキャナー コンピューター上で、ローカル ログオン 権限が付与されているスキャナー サービス アカウントでサインインし、PowerShell セッションを開始します。On your scanner machine, sign in with a scanner service account that's been granted the Log on locally right, and start a PowerShell session.

  3. PowerShell セッションを開始し、そして Azure AD アプリケーションからコピーした値を使用して次のコマンドを実行します。Start a PowerShell session, and run the following command, using the values copied from your Azure AD application.

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    次に例を示します。For example:

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    
    Acquired application access token on behalf of CONTOSO\scanner.
    

    ヒント

    インストールのための ローカル ログオン 権限をスキャナー サービス アカウントに付与できない場合は、Set-AIPAuthentication に対して、DelegatedUser パラメーターではなく、OnBehalfOf パラメーターを使用してください。If your scanner service account cannot be granted the Log on locally right for the installation, use the OnBehalfOf parameter with Set-AIPAuthentication, instead of the DelegatedUser parameter.

これで、Azure AD への認証を行うためのトークンがスキャナーに与えられました。The scanner now has a token to authenticate to Azure AD. このトークンは、Azure Active Directory 内で構成されている限り有効です。This token is valid for as long as you've configured in Azure Active Directory. トークンの有効期限が切れた場合は、この手順を繰り返す必要があります。You must repeat this procedure when the token expires.

オプションのネットワーク探索サービスのインストールに関するセクションに進みます。それに従えば、ネットワーク リポジトリをスキャンして危険にさらされるおそれがあるコンテンツがないかを調べてから、それらのリポジトリをコンテンツ スキャン ジョブに追加することができます。Continue with installing the optional Network Discovery service, which enables you to scan your network repositories for content that may be at risk, and then add those repositories to a content scan job.

ネットワーク探索サービスをインストールする (パブリック プレビュー)Install the Network Discovery service (public preview)

AIP 統合ラベル付けクライアントのバージョン 2.8.85.0 以降、管理者は AIP スキャナーを使用してネットワーク リポジトリをスキャンして、危険にさらされるおそれがあると考えられるリポジトリをコンテンツ スキャン ジョブに追加することができます。Starting in version 2.8.85.0 of the AIP unified labeling client, administrators can use the AIP scanner to scan network repositories, and then add any repositories that seem risky to a content scan job.

ネットワーク スキャン ジョブを使用すれば、管理者とパブリック ユーザーの両方で、構成されたリポジトリへのアクセスを試みることによって、コンテンツが危険にさらされるおそれがある "場所" を容易に把握することができます。Network scan jobs help you understand where your content may be at risk, by attempting to access configured repositories as both an administrator and a public user.

たとえば、読み取りと書き込みのパブリック アクセスが両方とも行われるリポジトリが見つかった場合は、さらにスキャンし、そこに機密データが保存されていないことを確認することをお勧めします。For example, if a repository is found to have both read and write public access, you may want to scan further and confirm that no sensitive data is stored there.

注意

現在、この機能はプレビュー段階にあります。This feature is currently in PREVIEW. Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

ネットワーク探索サービスをインストールするには:To install the Network Discovery service:

  1. スキャナー コンピューター上で、管理者として PowerShell セッションを開きます。On the scanner machine, open a PowerShell session as an administrator.

  2. ネットワーク探索サービスを実行するとき、管理者およびパブリック ユーザーのアクセスをシミュレートするときに、AIP で使用する資格情報を定義します。Define the credentials you want AIP to use when running the Network Discovery service, as well as when simulating admin and public user access.

    プロンプトが表示されたら、次の構文を使用して、コマンドごとに資格情報を入力します: domain\userEnter the credentials for each command when prompted using the following syntax: domain\user. 例: emea\msanchezFor example: emea\msanchez

    次を実行します。Run:

    ネットワーク探索サービスを実行するための資格情報:Credentials to run the Network Discovery service:

    $serviceacct= Get-Credential 
    

    管理者アクセスをシミュレートするための資格情報:Credentials to simulate admin access:

    $shareadminacct= Get-Credential 
    

    パブリック ユーザー アクセスをシミュレートするための資格情報:Credentials to simulate public user access:

    $publicaccount= Get-Credential 
    
  3. ネットワーク探索サービスをインストールするには、次のようにします。To install the Network Discovery service, run:

    Install-MIPNetworkDiscovery [-ServiceUserCredentials] <PSCredential> [[-StandardDomainsUserAccount] <PSCredential>] [[-ShareAdminUserAccount] <PSCredential>] [-SqlServerInstance] <String> -Cluster <String> [-WhatIf] [-Confirm] [<CommonParameters>]
    
    For example:
    
    ```PowerShell
    Install-MIPNetworkDiscovery -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Quickstart -ServiceUserCredentials $serviceacct  -ShareAdminUserAccount $shareadminacct -StandardDomainsUserAccount $publicaccount
    
    

インストールが完了すると、システムに確認メッセージが表示されます。The system shows a confirmation message when the installation is complete.

次のステップNext steps

スキャナーとネットワーク探索サービスのインストールが完了したら、いつでもスキャンを開始することができます。Once you have the scanner and the Network Discovery service installed, you're ready to start scanning.

詳細については、「チュートリアル: Azure Information Protection (AIP) スキャナーを使用して機密コンテンツを検出する」を参照してください。For more information, see Tutorial: Discovering your sensitive content with the Azure Information Protection (AIP) scanner.

ヒント

バージョン 2.8.85.0 のインストールが完了したら、ネットワークをスキャンして、危険にさらされているコンテンツが含まれている可能性があるリポジトリを検出することをお勧めします。If you've installed version 2.8.85.0, we recommend that you scan your network to discover repositories that may have content at risk.

危険性の高いリポジトリをスキャンして機密データがないかを調べてから、そのデータを分類して外部ユーザーから保護を行うには、検出されたリポジトリの詳細でコンテンツ スキャン ジョブを更新します。To scan your risky repositories for sensitive data, and then classify and protect that data from outside users, update your content scan job with the details of the repositories you've found.

関連項目:See also: