チュートリアル: Azure Information Protection (AIP) スキャナーを使用して機密コンテンツを検出するTutorial: Discovering your sensitive content with the Azure Information Protection (AIP) scanner

*適用対象:Azure Information Protection**Applies to: Azure Information Protection*

*関連する内容:Windows 用の Azure Information Protection 統合ラベル付けクライアント**Relevant for: Azure Information Protection unified labeling client for Windows*

Azure Information Protection クライアントには、システム管理者がオンプレミスのファイル リポジトリをスキャンして機密コンテンツを検出できるようにするためのオンプレミスのスキャナーが用意されています。The Azure Information Protection client provides an on-premises scanner that enables system administrators to scan on-premises file repositories for sensitive content.

このチュートリアルで学習する内容は次のとおりです。In this tutorial, you'll learn how to:

  • ネットワーク スキャン ジョブを作成し、危険なリポジトリ探してスキャンするCreate a network scan job and scan for risky repositories
  • 危険なリポジトリが見つかったら、コンテンツ スキャン ジョブに追加するAdd any risky repositories found to a content scan job
  • コンテンツ共有をスキャンして機密コンテンツを探し、検出された結果を理解するScan your content shares for sensitive content and understand results found

注意

ネットワーク探索は、統合ラベル付けクライアントのバージョン 2.8.85.0 以降でのみ使用することができ、現在プレビュー段階にあります。Network Discovery is available only starting in version 2.8.85.0 of the unified labeling client, and is currently in PREVIEW. Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

このバージョンのクライアントおよびスキャナーがインストールされていない場合は、チュートリアルの前提条件を確認してから、「コンテンツ スキャン ジョブを定義して実行する」に進んでください。If you do not have this version of the client and scanner installed, review the tutorial prerequisites and then go straight to Define and run your content scan job.

必要な時間:この構成は 15 分で完了します。Time required: You can finish this configuration in 15 minutes.

チュートリアルの前提条件Tutorial prerequisites

要件Requirement 説明Description
サポート サブスクリプションA supporting subscription Azure Information Protection を含む Azure サブスクリプションが必要です。You'll need an Azure subscription that includes Azure Information Protection.

このようないずれかのサブスクリプションがない場合は、組織用の無料アカウントを作成できます。If you don't have one of these subscriptions, you can create a free account for your organization.
Azure portal への管理者アクセスAdmin access to the Azure portal サポートされている管理者アカウントで Azure portal にサインインできること、保護が有効になっていることを確認してください。Make sure that you can sign in to the Azure portal with a supported administrator account, and have protection enabled. サポートされている管理者アカウントは次のとおりです。Supported administrator accounts include:

- コンプライアンス管理者- Compliance administrator
- コンプライアンス データ管理者- Compliance data administrator
- セキュリティ管理者- Security administrator
- グローバル管理者- Global administrator
AIP クライアント、スキャナー、およびネットワーク探索サービスAIP client, scanner, and Network Discovery service このチュートリアルを完全に完了するには、Azure Information Protection 統合ラベル付けクライアントおよびスキャナーと、ネットワーク探索サービス (パブリック プレビュー) をインストールしておく必要があります。To fully complete this tutorial, you'll need to have installed the Azure Information Protection unified labeling client and scanner, as well as the Network Discovery service (public preview).

詳細については、次を参照してください。For more information, see:

- クイックスタート: Azure Information Protection (AIP) 統合ラベル付けクライアントのデプロイ- Quickstart: Deploying the Azure Information Protection (AIP) unified labeling client
- チュートリアル: Azure Information Protection (AIP) 統合ラベル付けスキャナーのインストール- Tutorial: Installing the Azure Information Protection (AIP) unified labeling scanner
コンテンツ スキャン ジョブA content scan job テストに使用できる基本的なコンテンツ スキャン ジョブがあることを確認します。Make sure you have a basic content scan job that you can use for testing. スキャナーのインストール時に作成済みである可能性があります。You may have created one when you installed your scanner.

ここで作成する必要がある場合は、「Azure portal で Azure Information Protection を構成する」に記載の手順を参照してください。If you need to create one now, you can use the instructions in Configure Azure Information Protection in the Azure portal. 基本的なコンテンツ スキャン ジョブがある場合は、ここに戻り、このチュートリアルを完了してください。When you have a basic content scan job, return here to complete this tutorial.
SQL ServerSQL Server スキャナーを実行するには、スキャナー コンピューター上に SQL Server がインストールされている必要があります。To run the scanner, you'll need SQL Server installed on the scanner machine.

インストールするには、SQL Server のダウンロード ページに移動し、インストールするインストール オプションの下にある [今すぐダウンロード] を選択します。To install, go to the SQL Server download page and select Download now under the installation option you want to install. インストーラーで、 [基本] をインストールの種類に選択します。In the installer, select the Basic installation type.

:SQL Server Enterprise は運用環境に、そして Express はテスト専用にインストールすることをお勧めします。Note: We recommend installing SQL Server Enterprise for production environments, and Express only for testing.
Azure Active Directory アカウントAzure Active Directory account 標準的なクラウド接続で作業する場合は、使用するドメイン アカウントを Azure Active Directoryに同期させる必要があります。When working with a standard, cloud-connected environment, your domain account must be synchronized to Azure Active Directory. これは、オフラインで作業する場合には必要ありません。This isn't necessary if you're working offline.

ご自身のアカウントについて不明な場合は、いずれかのシステム管理者に問い合わせて同期の状態を確認してください。If you're not sure about your account, contact one of your system administrators to verify the synch status. 詳細については、「代替構成でのスキャナーのデプロイ」を参照してください。For more information, see Deploying the scanner with alternative configurations.
秘密度ラベルと公開されたポリシーSensitivity labels and a published policy スキャナー サービス アカウント用に、秘密度ラベルを作成し、少なくとも 1 つのラベルが付いたポリシーをラベル付け管理センターに公開している必要があります。You must have created sensitivity labels, and published a policy with at least one label to your labeling admin center, for the scanner service account.

Microsoft 365 コンプライアンス センター、Microsoft 365 セキュリティ センター、または Microsoft 365 セキュリティ/コンプライアンス センターを含む、ご利用のラベル付け管理センター内で秘密度ラベルを構成します。Configure sensitivity labels in your labeling admin center, including the Microsoft 365 compliance center, the Microsoft 365 security center, or the Microsoft 365 Security & Compliance Center. 詳細については、Microsoft 365 のドキュメントを参照してください。For more information, see the Microsoft 365 documentation.

準備ができたら、「ネットワーク スキャン ジョブを作成する」に進んでください。When you're ready, continue with Create a network scan job.

ネットワーク スキャン ジョブを作成するCreate a network scan job

指定した IP アドレスまたは IP 範囲をスキャンして危険なリポジトリを探すネットワーク スキャン ジョブを作成します。Create a network scan job to scan a specified IP address or IP range for risky repositories.

注意

この機能は、バージョン 2.8.85.0 以降でのみ使用することができ、現在プレビュー段階にあります。This feature is available only starting in version 2.8.85.0, and is currently in PREVIEW. Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

ネットワーク スキャン ジョブを作成するには:To create a network scan job:

  1. サポートされている管理者として Azure portal にサインインし、 [Azure Information Protection] 領域に移動します。Sign in to the Azure portal as a supported administrator, and navigate to the Azure Information Protection area.

  2. 左側の [スキャナー] メニューで、 [ネットワーク スキャン ジョブ (プレビュー)] を選択します。

  3. [追加] を選択して、新しいジョブを追加します。 [新しいネットワーク スキャン ジョブを追加する] ウィンドウで、次の詳細を入力します。In the Add a new network scan job pane, enter the following details:

    オプションOption 説明Description
    ネットワーク スキャン ジョブ名説明Network scan job name and Description わかりやすい名前 (Quickstart など) を入力し、必要に応じて説明を入力します。Enter a meaningful name, such as Quickstart, and an optional description.
    クラスターを選択しますSelect the cluster ドロップダウン リストからご利用のクラスター名を選択します。Select your cluster name from the dropdown list.

    たとえば、「チュートリアル: Azure Information Protection (AIP) 統合ラベル付けスキャナーのインストール」を終了してから、そのクラスターを引き続き使用できるようにするには、 [クイックスタート] を選択します。For example, if you've completed Tutorial: Installing the Azure Information Protection (AIP) unified labeling scanner, and still have that cluster available, select Quickstart.
    検出する IP 範囲を構成するConfigure IP ranges to discover 行を選択して [Choose IP ranges](IP 範囲の選択) ウィンドウを開きます。Select the row to open the Choose IP ranges pane. ここで、スキャンする IP アドレスまたは IP 範囲を入力します。There, enter an IP address or IP range to scan.

    : 必ずスキャナーのコンピューターからアクセス可能な IP アドレスを入力してください。Note: Make sure to enter IP addresses that are accessible from the scanner's machine.
    スケジュールを設定するSet schedule 既定値の [1 回限り] をそのまま使用します。Keep the default value of One Time.
    開始時刻 (UTC) を設定するSet start time (UTC) 現在のタイムゾーンを考慮して現在の UTC 時刻を計算し、今から 5 分以内に実行されるように開始時刻を設定します。Calculate the current UTC time, considering your current time zone, and set the start time to run within 5 minutes from now.

    次に例を示します。For example:

    ネットワーク スキャン ジョブの詳細を入力する

  4. ページの最上部で [保存] を選択します。

  5. [ネットワーク スキャン ジョブ (プレビュー)] グリッドに戻り、スキャンの実行が開始されるまで待ちます。

スキャンが完了すると、グリッド データが更新されます。The grid data is updated as your scan completes. 次に例を示します。For example:

更新されたネットワーク スキャン ジョブ

ヒント

ネットワーク スキャン ジョブが実行されない場合は、スキャナー コンピューター上にネットワーク探索サービスが正しくインストールされていることを確認してください。If your network scan job does not run, check to make sure that the Network Discovery service is installed correctly on the scanner machine.

危険なリポジトリをコンテンツ スキャン ジョブに追加する」に進みます。Continue with Add risky repositories to a content scan job.

危険なリポジトリをコンテンツ スキャン ジョブに追加するAdd risky repositories to a content scan job

ネットワークス キャンジョブが完了したら、危険なリポジトリが検出されたかどうかを確認できます。Once your network scan job is complete, you can check for any risky repositories found.

たとえば、読み取りと書き込みのパブリック アクセスが両方とも行われるリポジトリが見つかった場合は、さらにスキャンし、そこに機密データが保存されていないことを確認することをお勧めします。For example, if a repository is found to have both read and write public access, you may want to scan further and confirm that no sensitive data is stored there.

注意

この機能は、バージョン 2.8.85.0 以降でのみ使用することができ、現在プレビュー段階にあります。This feature is available only starting in version 2.8.85.0, and is currently in PREVIEW. Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。The Azure Preview Supplemental Terms include additional legal terms that apply to Azure features that are in beta, preview, or otherwise not yet released into general availability.

危険なリポジトリをコンテンツ スキャン ジョブに追加するには:To add risky repositories to your content scan job:

  1. サポートされている管理者として Azure portal にサインインし、 [Azure Information Protection] ウィンドウに移動します。Sign in to the Azure portal as a supported administrator, and navigate to the Azure Information Protection pane.

  2. 左側の [スキャナー] メニューで、 [リポジトリ (プレビュー)] を選択します。

    ネットワーク スキャン ジョブによって検出されたリポジトリを表示する

  3. グラフの下にあるグリッドで、スキャナーによってまだ管理されていないリポジトリを見つけます。In the grid below the graphs, locate a repository that is not yet managed by the scanner. スキャナーによって管理されていないとは、それらがコンテンツ スキャン ジョブに含まれていなくて、機密コンテンツを探してスキャンが行われていないことを意味します。Not being managed by the scanner means that they are not included in a content scan job, and are not being scanned for sensitive content.

    ヒント

    たとえば、有効なパブリック アクセスR (読み取り) または RW (読み取り/書き込み) であることが判明したリポジトリは、一般に公開されており、その機密コンテンツが危険にさらされるおそれがあります。For example, repositories that have Effective Public Access found to be R (read) or RW (read/write) are available to the public and may have sensitive content at risk.

  4. その行を選択し、グリッドの上にある [Assign Selected Items](選択された項目の割り当て) を選択します。

  5. 右側に表示される [Assign to Content Scan Job](コンテンツ スキャン ジョブに割り当て) ウィンドウで、ドロップダウン リストから自分のコンテンツ スキャン ジョブを選択して、 [保存] を選択します。

    次に例を示します。For example:

    危険なリポジトリをコンテンツ スキャン ジョブに割り当てる

ご利用のコンテンツ スキャン ジョブが次に実行されると、この新しく検出されたリポジトリが取り込まれ、さらにポリシーで構成されているように機密コンテンツの特定、ラベル付け、分類、および保護が行われます。The next time your content scan job runs, it will now include this newly discovered repository, and identify, label, classify, and protect any sensitive content found, as configured in your policy.

コンテンツ スキャン ジョブを定義して実行する」に進みます。Continue with Define and run your content scan job.

コンテンツ スキャン ジョブを定義して実行するDefine and run your content scan job

チュートリアルの前提条件で準備したコンテンツ スキャン ジョブを使用して、コンテンツをスキャンします。Use the content scan job you prepared with the tutorial prerequisites to scan your content.

コンテンツ スキャン ジョブをまだ用意していない場合は、Azure portal での初期設定の構成を実行してから、ここに戻って続行します。If you don't have a content scan job yet, perform Configure initial settings in the Azure portal, and then return here to continue.

  1. サポートされている管理者として Azure portal にサインインし、 [Azure Information Protection] ウィンドウに移動します。Sign in to the Azure portal as a supported administrator, and navigate to the Azure Information Protection pane.

  2. 左側の [スキャナー] メニューで、 [コンテンツ スキャン ジョブ] を選択してから、ご利用のコンテンツ スキャン ジョブを選択します。

  3. わかりやすい名前を付けし、必要に応じて説明を加えるように、コンテンツ スキャン ジョブの設定を編集します。Edit your content scan job settings, making sure that you have a meaningful name and optional description.

    次の変更を除き、ほとんどの設定については既定値をそのまま使用します。Keep the default values for most of the settings, except for the following changes:

    • 推奨されるラベル付けを自動として処理しますTreat recommended labeling as automatic. [オン] に設定します。Set to On.

    • リポジトリの構成Configure repositories. 少なくとも 1 つのリポジトリを定義します。Ensure that there is at least one repository defined.

      ヒント

      危険なリポジトリをコンテンツ スキャン ジョブに追加する」に従って、ご利用のネットワークをスキャンした後でコンテンツ スキャン ジョブにさらにリポジトリを加えた場合は、今ここにリストされたそれらを表示することを選択できます。If you've added additional repositories to your content scan job after having scanned your network in Add risky repositories to a content scan job, you can select to see them listed here now.

    • 強制:Enforce. [オン] に設定しますSet to On

  4. [保存] を選択してから、 [コンテンツ スキャン ジョブ] グリッドに戻ります。

  5. コンテンツをスキャンするには、 [コンテンツ スキャン ジョブ] 領域に戻り、目的のコンテンツ スキャン ジョブを選択します。

    グリッドの上にあるツールバーで、 [今すぐスキャン] を選択してスキャンを開始します。

    スキャンが完了したら、「スキャンの結果を表示する」に進みます。When the scan is complete, continue with View scan results.

スキャンの結果を表示するView scan results

スキャンが完了したら、Azure portal の [Azure Information Protection] > [分析] 領域でレポートを確認します。When the scan is complete, check the reports in Azure Information Protection > Analytics area in the Azure portal.

次に例を示します。For example:

スキャナーの結果の分析データ検出レポート

ヒント

結果が空である場合に、意味のあるスキャンを実行したいときは、コンテンツ スキャン ジョブに含まれているリポジトリの 1 つに 支払い情報 という名前のファイルを作成します。If your results are empty and you would like to run a meaningful scan, create a file named Payment info in one of the repositories included in your content scan job. 次の内容を含むファイルを保存します。Save the file with the following content:

クレジット カード:2384 2328 5436 3489Credit card: 2384 2328 5436 3489

スキャンをもう一度実行して、結果の違いを確認します。Run your scan again to see the difference in the results.

詳細については、「Azure Information Protection の中央レポート機能 (パブリック レビュー)」を参照してください。For more information, see Central reporting for Azure Information Protection (public preview)

ローカル スキャナー レポートLocal scanner reports

ログはまた、スキャナー コンピューター上の %localappdata%\Microsoft\MSIP\Scanner\Reports ディレクトリ にローカルにも保存され、その内容は次のとおりです。Logs are also stored locally in the %localappdata%\Microsoft\MSIP\Scanner\Reports directory on the scanner machine, and include:

TypeType 説明Description
.txt 概要ファイル.txt summary files スキャンにかかった時間、スキャンされたファイルの数、情報の種類と一致したファイルの数が含まれています。Includes the time taken to scan, the number of scanned files, and how many files had a match for the information types.
.csv 詳細ファイル.csv detail files スキャンされた各ファイルの詳細な説明が含まれます。Contains detailed descriptions for each file scanned. ディレクトリには、スキャン サイクルごとに最大で 60 のレポートを保持できます。The directory can hold up to 60 reports for each scanning cycle.

次のステップNext steps

その他のチュートリアルについては、以下を参照してください。For additional tutorials, see:

関連項目:See also: