Windows Server ファイル分類インフラストラクチャ (FCI) での RMS の保護RMS protection with Windows Server File Classification Infrastructure (FCI)

適用対象: Azure Information Protection、Windows Server 2016、Windows Server 2012、Windows Server 2012 R2Applies to: Azure Information Protection, Windows Server 2016, Windows Server 2012, Windows Server 2012 R2

この記事では、Azure Information Protection クライアントと PowerShell を使用して、ファイル サーバー リソース マネージャーおよびファイル分類インフラストラクチャ (FCI) を構成する方法とスクリプトを示します。Use this article for instructions and a script to use the Azure Information Protection client and PowerShell to configure File Server Resource Manager and File Classification Infrastructure (FCI).

このソリューションを使用すると、Windows Server を搭載するファイル サーバー上のフォルダー内のすべてのファイルを自動的に保護したり、特定の条件に一致するファイルを自動的に保護したりすることができます。This solution lets you automatically protect all files in a folder on a file server running Windows Server, or automatically protect files that meet a specific criteria. たとえば、機密性の高い情報が含まれるものとして分類されたファイルなどです。For example, files that have been classified as containing confidential or sensitive information. このソリューションは Azure Information Protection から Azure Rights Management サービスに直接接続してファイルを保護するため、このサービスを組織にデプロイしておく必要があります。This solution connects directly to the Azure Rights Management service from Azure Information Protection to protect the files, so you must have this service deployed for your organization.

注意

Azure Information Protection にはファイル分類インフラストラクチャをサポートするコネクタが含まれますが、そのソリューションはネイティブな保護 (たとえば Office ファイル) のみをサポートします。Although Azure Information Protection includes a connector that supports File Classification Infrastructure, that solution supports native protection only—for example, Office files.

Windows Server のファイル分類インフラストラクチャで複数のファイルの種類をサポートするには、この記事で説明するように、PowerShell の AzureInformationProtection モジュールを使用する必要があります。To support multiple file types with Windows Server file classification infrastructure, you must use the PowerShell AzureInformationProtection module, as documented in this article. Azure Information Protection クライアントと同様に、Azure Information Protection コマンドレットは汎用的な保護とネイティブ保護をサポートしています。つまり、Office ドキュメント以外のファイルの種類も保護できます。The Azure Information Protection cmdlets, like the Azure Information Protection client, support generic protection as well as native protection, which means that file types other than Office documents can be protected. 詳細については、「Azure Information Protection クライアント管理者ガイド」の「File types supported by the Azure Information Protection client」(Azure Information Protection クライアントでサポートされるファイルの種類) を参照してください。For more information, see File types supported by the Azure Information Protection client from the Azure Information Protection client admin guide.

以下の手順は、Windows Server 2012 R2 または Windows Server 2012 に対するものです。The instructions that follow are for Windows Server 2012 R2 or Windows Server 2012. サポートされている他のバージョンの Windows を使用する場合は、バージョンの違いに合わせてこの記事で説明されている手順の調整が必要な場合があります。If you run other supported versions of Windows, you might need to adapt some of the steps for differences between your operating system version and the one documented in this article.

Windows Server FCI での Azure Rights Management 保護の前提条件Prerequisites for Azure Rights Management protection with Windows Server FCI

次のような前提条件があります。Prerequisites for these instructions:

  • ファイル分類インフラストラクチャでファイル リソース マネージャーを実行する各ファイル サーバーでの前提条件:On each file server where you will run File Resource Manager with file classification infrastructure:

    • ファイル サービス ロールのロール サービスの 1 つとして、ファイル サーバー リソース マネージャーをインストールしておきます。You have installed File Server Resource Manager as one of the role services for the File Services role.

    • Rights Management で保護するファイルを含むローカル フォルダーを特定しておきます。You have identified a local folder that contains files to protect with Rights Management. C:\FileShare など。For example, C:\FileShare.

    • AzureInformationProtection PowerShell モジュールをインストールし、このモジュールを Azure Rights Management サービスに接続するための前提条件を構成しておきます。You have installed the AzureInformationProtection PowerShell module and configured the prerequisites for this module to connect to the Azure Rights Management service.

      AzureInformationProtection PowerShell モジュールは、Azure Information Protection クライアントに含まれています。The AzureInformationProtection PowerShell module is included with the Azure Information Protection client. インストール手順については、Azure Information Protection 管理者ガイドの「Install the Azure Information Protection client for users」(ユーザー向けに Azure Information Protection クライアントをインストールする) をご覧ください。For installation instructions, see Install the Azure Information Protection client for users from the Azure Information Protection admin guide. 必要であれば、PowerShellOnly=true パラメーターを使用して PowerShell モジュールのみをインストールできます。If required, you can install just the PowerShell module by using the PowerShellOnly=true parameter.

      この PowerShell モジュールを使用するための前提条件には、Azure Rights Management サービスをアクティブ化すること、サービス プリンシパルを作成すること、テナントが北米以外にある場合にレジストリを編集することが含まれます。The prerequisites for using this PowerShell module include activating the Azure Rights Management service, creating a service principal, and editing the registry if your tenant is outside North America. この記事の手順を開始する前に、これらの前提条件の説明で使われる BposTenantIdAppPrincipalId対称キーの値を確認してください。Before you start the instructions in this article, make sure that you have values for your BposTenantId, AppPrincipalId, and Symmetric key, as documented in these prerequisites.

    • 特定のファイル名拡張子に対する既定の保護レベル (ネイティブまたは汎用) を変更する場合は、管理者ガイドの「Changing the default protection level of files」(ファイルの既定の保護レベルを変更する) セクションの説明に従ってレジストリを編集します。If you want to change the default level of protection (native or generic) for specific file name extensions, you have edited the registry as described in the Changing the default protection level of files section from the admin guide.

    • インターネットに接続し、プロキシ サーバーに必要な場合はコンピューターの設定を構成します。You have an Internet connection, and you have configured your computer settings if these are required for a proxy server. 例: netsh winhttp import proxy source=ieFor example: netsh winhttp import proxy source=ie

  • オンプレミスの Active Directory ユーザー アカウントと Azure Active Directory または Office 365 を同期しました (電子メール アドレスを含みます)。You have synchronized your on-premises Active Directory user accounts with Azure Active Directory or Office 365, including their email addresses. これは、FCI および Azure Rights Management サービスによって保護された後でファイルにアクセスする必要がある可能性のあるすべてのユーザーに必要です。This is required for all users that might need to access files after they are protected by FCI and the Azure Rights Management service. この手順を実行しないと (たとえばテスト環境で)、ユーザーはこれらのファイルにアクセスできない可能性があります。If you do not do this step (for example, in a test environment), users might be blocked from accessing these files. この要件に関する詳細が必要な場合は、「Azure Information Protection 向けのユーザーとグループの準備」をご覧ください。If you need more information about this requirement, see Preparing users and groups for Azure Information Protection.

  • ファイル サーバーに Rights Management テンプレートをダウンロードして、ファイルを保護するテンプレート ID を識別しました。You have downloaded to the file server the Rights Management templates and identified the template ID that will protect the files. このためには、Get-RMSTemplate コマンドレットを使用します。To do this, use the Get-RMSTemplate cmdlet. このシナリオでは部門別テンプレートがサポートされていないので、スコープ構成されていないテンプレートを使用するか、[アプリケーションでユーザー ID がサポートされていないときにこのテンプレートをすべてのユーザーに表示する] チェック ボックスがオンになるように、スコープ構成にアプリケーション互換性オプションを含める必要があります。This scenario does not support departmental templates so you must either use a template that is not configured for a scope, or the scope configuration must include the application compatibility option such that the Show this template to all users when the applications do not support user identity check box is selected.

Azure Rights Management 保護のためのファイル サーバー リソース マネージャー FCI の構成手順Instructions to configure File Server Resource Manager FCI for Azure Rights Management protection

PowerShell スクリプトをカスタム タスクとして使用してフォルダー内のすべてのファイルを自動的に保護するには、以下の手順に従います。Follow these instructions to automatically protect all files in a folder, by using a PowerShell script as a custom task. 以下の手順をこの順序で実行します。Do these procedures in this order:

  1. PowerShell スクリプトを保存するSave the PowerShell script

  2. Rights Management (RMS) の分類プロパティを作成するCreate a classification property for Rights Management (RMS)

  3. 分類規則を作成する (Classify for RMS)Create a classification rule (Classify for RMS)

  4. 分類スケジュールを構成するConfigure the classification schedule

  5. カスタム ファイル管理タスクを作成する (Protect files with RMS)Create a custom file management task (Protect files with RMS)

  6. 規則とタスクを手動で実行して構成をテストするTest the configuration by manually running the rule and task

この手順が終了すると、選択したフォルダー内のすべてのファイルは RMS のカスタム プロパティで分類され、Rights Management によって保護されるようになります。At the end of these instructions, all files in your selected folder will be classified with the custom property of RMS, and these files will then be protected by Rights Management. 一部のファイルだけを選択的に保護するさらに複雑な構成の場合は、異なる分類プロパティと規則、そしてそれらのファイルだけを保護するファイル管理タスクを、作成または使用できます。For a more complex configuration that selectively protects some files and not others, you can then create or use a different classification property and rule, with a file management task that protects just those files.

FCI で使用する Rights Management テンプレートに変更を加える場合、ファイル サーバー コンピューター上で Get-RMSTemplate -Force を実行して、更新されたテンプレートを取得する必要があります。Note that if you make changes to the Rights Management template that you use for FCI, you must run Get-RMSTemplate -Force on the file server computer to get the updated template. 更新されたテンプレートは、新しいファイルを保護するために使用されます。The updated template is then used to protect new files. テンプレートへの変更が重要であり、ファイル サーバー上のファイルを再び保護する必要がある場合、そのファイルについてエクスポートやフル コントロールの使用権限を持つアカウントで Protect-RMSFile コマンドレットを対話的に実行することにより、これを行うことができます。If the changes to the template are important enough to reprotect the files on the file server, you can do this by running the Protect-RMSFile cmdlet interactively with an account that has the Export or Full Control usage rights for the files. FCI で使用する新しいテンプレートを発行した場合は、このファイル サーバー コンピューター上で Get-RMSTemplate -Force も実行する必要があります。You must also run Get-RMSTemplate -Force on this file server computer if you publish a new template that you want to use for FCI.

Windows PowerShell スクリプトを保存するSave the Windows PowerShell script

  1. ファイル サーバー リソース マネージャーを使用して、Azure RMS 保護のための Windows PowerShell スクリプトの内容をコピーします。Copy the contents of the Windows PowerShell script for Azure RMS protection by using File Server Resource Manager. 自分のコンピューターで、スクリプトの内容を RMS-Protect-FCI.ps1 という名前のファイルに貼り付けます。Paste the contents of the script and name the file RMS-Protect-FCI.ps1 on your own computer.

  2. スクリプトを確認し、次のように変更します。Review the script and make the following changes:

    • 次の文字列を探し、Azure Rights Management サービスに接続するために Set-RMSServerAuthentication コマンドレットで実際に使用する AppPrincipalId に置き換えます。Search for the following string and replace it with your own AppPrincipalId that you use with the Set-RMSServerAuthentication cmdlet to connect to the Azure Rights Management service:

      <enter your AppPrincipalId here>
      

      たとえば、次のようなスクリプトになります。For example, the script might look like this:

      [Parameter(Mandatory = $false)]

      [Parameter(Mandatory = $false)] [string]$AppPrincipalId = "b5e3f76a-b5c2-4c96-a594-a0807f65bba4",

    • 次の文字列を探し、Azure Rights Management サービスに接続するために Set-RMSServerAuthentication コマンドレットで実際に使用する対称キーに置き換えます。Search for the following string and replace it with your own symmetric key that you use with the Set-RMSServerAuthentication cmdlet to connect to the Azure Rights Management service:

      <enter your key here>
      

      たとえば、次のようなスクリプトになります。For example, the script might look like this:

      [Parameter(Mandatory = $false)]

      [string]$SymmetricKey = "zIeMu8zNJ6U377CLtppkhkbl4gjodmYSXUVwAO5ycgA="

    • 次の文字列を探し、Azure Rights Management サービスに接続するために Set-RMSServerAuthentication コマンドレットで実際に使用する BposTenantId (テナント ID) に置き換えます。Search for the following string and replace it with your own BposTenantId (tenant ID) that you use with the Set-RMSServerAuthentication cmdlet to connect to the Azure Rights Management service:

      <enter your BposTenantId here>
      

      たとえば、次のようなスクリプトになります。For example, the script might look like this:

      [Parameter(Mandatory = $false)]

      [string]$BposTenantId = "23976bc6-dcd4-4173-9d96-dad1f48efd42",

  3. スクリプトに署名します。Sign the script. スクリプトに署名 (セキュリティを強化) しない場合は、スクリプトを実行するサーバーで Windows PowerShell を構成する必要があります。If you do not sign the script (more secure), you must configure Windows PowerShell on the servers that run it. たとえば、[管理者として実行] オプションを使用して Windows PowerShell セッションを実行し、「Set-ExecutionPolicy RemoteSigned」と入力します。For example, run a Windows PowerShell session with the Run as Administrator option, and type: Set-ExecutionPolicy RemoteSigned. ただし、この構成を使用すると、署名されていないすべてのスクリプトは、このサーバーに保存されている場合に実行できます (セキュリティは低下)。However, this configuration lets all unsigned scripts run when they are stored on this server (less secure).

    Windows PowerShell スクリプトへの署名の詳細については、PowerShell のドキュメント ライブラリの「 about_Signing 」を参照してください。For more information about signing Windows PowerShell scripts, see about_Signing in the PowerShell documentation library.

  4. ファイル リソース マネージャーとファイル分類インフラストラクチャを実行する各ファイル サーバーにローカルにファイルを保存します。Save the file locally on each file server that runs File Resource Manager with file classification infrastructure. たとえば、ファイルを C:\RMS-Protection に保存します。For example, save the file in C:\RMS-Protection. 別のパスまたはフォルダーの名前を使用する場合は、スペースを含まないパスとフォルダーを選択してください。If you use a different path or folder name, choose a path and folder that does not include spaces. 承認されていないユーザーが変更できないように、NTFS アクセス許可を使用してこのファイルをセキュリティ保護します。Secure this file by using NTFS permissions so that unauthorized users cannot modify it.

これで、ファイル サーバー リソース マネージャーの構成を開始する準備ができました。You're now ready to start configuring File Server Resource Manager.

Rights Management (RMS) の分類プロパティを作成するCreate a classification property for Rights Management (RMS)

  • ファイル サーバー リソース マネージャーの [分類管理] で、新しいローカル プロパティを作成します。In File Server Resource Manager, Classification Management, create a new local property:

    • [名前]:「 RMS」と入力しますName: Type RMS

    • [説明]: 「 Rights Management の保護」と入力しますDescription: Type Rights Management protection

    • [プロパティの型]: [はい/いいえ] を選択します。Property Type: Select Yes/No

    • [値]:[はい] を選択しますValue: Select Yes

このプロパティを使用する分類規則を作成できるようになります。We can now create a classification rule that uses this property.

分類規則を作成する (Classify for RMS)Create a classification rule (Classify for RMS)

  • 新しい分類規則を作成します。Create a new classification rule:

    • [全般] タブで次のように設定します。On the General tab:

      • [名前]:「 Classify for RMS」と入力します。Name: Type Classify for RMS

      • [有効]: 既定のオンのままにします。Enabled: Keep the default, which is that this checkbox is selected.

      • [説明]: 「Rights Management 用に <フォルダー名> フォルダーのすべてのファイルを分類する」と入力します。Description: Type Classify all files in the <folder name> folder for Rights Management.

        <フォルダー名> は選択したフォルダーの名前に置き換えます。Replace <folder name> with your chosen folder name. 例: Classify all files in the C:\FileShare folder for Rights ManagementFor example, Classify all files in the C:\FileShare folder for Rights Management

      • [スコープ]:選択したフォルダーを追加します。Scope: Add your chosen folder. 例: C:\FileShareFor example, C:\FileShare.

        チェック ボックスはオンにしません。Do not select the checkboxes.

    • [分類] タブで次のように設定します。On the Classification tab:

    • [分類方法]:[フォルダー分類子] を選択しますClassification method: Select Folder Classifier

    • [プロパティ] の名前:[RMS] を選択しますProperty name: Select RMS

    • プロパティの [値]:[はい] を選択しますProperty value: Select Yes

分類規則は手動でも実行できますが、継続的に運用する場合は、この規則を実行するスケジュールを設定し、新しいファイルが RMS プロパティで分類されるようにします。Although you can run the classification rules manually, for ongoing operations, you want this rule to run on a schedule so that new files are classified with the RMS property.

分類スケジュールを構成するConfigure the classification schedule

  • [自動分類] タブで次のように設定します。On the Automatic Classification tab:

    • [固定スケジュールを有効にする]:このチェック ボックスをオンにします。Enable fixed schedule: Select this checkbox.

    • 実行するすべての分類規則のスケジュールを構成します。これには、RMS のプロパティでファイルを分類する新しい規則も含まれます。Configure the schedule for all classification rules to run, which includes our new rule to classify files with the RMS property.

    • [新しいファイルの連続分類を許可する]: 新しいファイルが分類されるように、このチェック ボックスをオンにします。Allow continuous classification for new files: Select this check box so that new files are classified.

    • 省略可能:レポートと通知のオプションの構成など、他の必要な変更を行います。Optional: Make any other changes that you want, such as configuring options for reports and notifications.

分類の構成が完了したので、ファイルに RMS 保護を適用する管理タスクを構成できます。Now you've completed the classification configuration, you're ready to configure a management task to apply the RMS protection to the files.

カスタム ファイル管理タスクを作成する (Protect files with RMS)Create a custom file management task (Protect files with RMS)

  • [ファイル管理タスク] で新しいファイル管理タスクを作成します。In File Management Tasks, create a new file management task:

    • [全般] タブで次のように設定します。On the General tab:

      • [タスク名]:「 Protect files with RMS」と入力します。Task name: Type Protect files with RMS

      • [有効] チェック ボックスはオンのままにします。Keep the Enable checkbox selected.

      • 説明: 「<フォルダー名> のファイルを Windows PowerShell スクリプトを使用して Rights Management とテンプレートで保護する」と入力します。Description: Type Protect files in <folder name> with Rights Management and a template by using a Windows PowerShell script.

        <フォルダー名> は選択したフォルダーの名前に置き換えます。Replace <folder name> with your chosen folder name. 例: Protect files in C:\FileShare with Rights Management and a template by using a Windows PowerShell scriptFor example, Protect files in C:\FileShare with Rights Management and a template by using a Windows PowerShell script

      • [スコープ]:選択したフォルダーを選択します。Scope: Select your chosen folder. 例: C:\FileShareFor example, C:\FileShare.

        チェック ボックスはオンにしません。Do not select the checkboxes.

    • [アクション] タブで次のように設定します。On the Action tab:

      • [種類]:[カスタム] を選択します。Type: Select Custom

      • [実行可能ファイル]:次のように指定します。Executable: Specify the following:

        C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
        

        Windows が C: ドライブにない場合は、このパスを変更するか、このファイルを参照します。If Windows is not on your C: drive, modify this path or browse to this file.

      • 引数: 次のように指定します。<path> と <template ID> は実際の値に置き換えます。Argument: Specify the following, supplying your own values for <path> and <template ID>:

        -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID <template GUID> -OwnerMail [Source File Owner Email]"
        

        たとえば、スクリプトを C:\RMS-Protection にコピーし、前提条件で確認したテンプレート ID が e6ee2481-26b9-45e5-b34a-f744eacd53b0 である場合は、次のように指定します。For example, if you copied the script to C:\RMS-Protection and the template ID you identified from the prerequisites is e6ee2481-26b9-45e5-b34a-f744eacd53b0, specify the following:

        -Noprofile -Command "C:\RMS-Protection\RMS-Protect-FCI.ps1 -File '[Source File Path]' -TemplateID e6ee2481-26b9-45e5-b34a-f744eacd53b0 -OwnerMail [Source File Owner Email]"

        このコマンドで、[Source File Path] (ソース ファイル パス) と [Source File Owner Email] (ソース ファイル所有者電子メール) はどちらも FCI 固有の値なので、上のコマンドで表示された値を正確に入力します。In this command, [Source File Path] and [Source File Owner Email] are both FCI-specific variables, so type these exactly as they appear in the preceding command. 最初の変数は、フォルダーで識別されたファイルを自動的に指定するために FCI によって使用され、2 番目の変数は、FCI が識別されたファイルの指定所有者の電子メール アドレスを自動的に取得するために使用されます。The first variable is used by FCI to automatically specify the identified file in the folder, and the second variable is for FCI to automatically retrieve the email address of the named Owner of the identified file. このコマンドが、フォルダー内のファイルごとに繰り返されます。この例では、ファイル分類プロパティとして RMS が指定されている C:\FileShare フォルダー内の各ファイルです。This command is repeated for each file in the folder, which in our example, is each file in the C:\FileShare folder that additionally, has RMS as a file classification property.

        注意

        -OwnerMail [Source File Owner Email] パラメーターと値により、ファイルの元の所有者に、保護された後のファイルの Rights Management 所有者が付与されます。The -OwnerMail [Source File Owner Email] parameter and value ensures that the original owner of the file is granted the Rights Management owner of the file after it is protected. この構成により、元のファイル所有者は自分のファイルに対するすべての Rights Management 権限を持ちます。This configuration ensures that the original file owner has all Rights Management rights to their own files. ファイルがドメイン ユーザーによって作成されると、ファイルの Owner プロパティのユーザー アカウント名を使用して Active Directory から電子メール アドレスが自動的に取得されます。When files are created by a domain user, the email address is automatically retrieved from Active Directory by using the user account name in the file's Owner property. そのためには、ファイル サーバーがユーザーと同じドメインまたは信頼されるドメインに存在している必要があります。To do this, the file server must be in the same domain or trusted domain as the user.

        可能な場合は常に、元の所有者を保護されたドキュメントに割り当て、これらのユーザーが自分で作成したファイルを完全に制御し続けることができるようにしてください。Whenever possible, assign the original owners to protected documents, to ensure that these users continue to have full control over the files that they created. ただし、上のコマンドの [Source File Owner Email] 変数を使用した場合、ファイルに所有者として定義されたドメイン ユーザーがないと (たとえば、ファイルの作成にローカル アカウントが使用されて、所有者に SYSTEM と表示される場合)、スクリプトは失敗します。However, if you use the [Source File Owner Email] variable as in the preceding command, and a file does not have a domain user defined as the owner (for example, a local account was used to create the file, so the owner displays SYSTEM), the script fails.

        所有者としてのドメイン ユーザーがないファイルの場合は、ファイルをコピーし、自分をドメイン ユーザーとしてファイルを保存することにより、これらのファイルの所有者になることができます。For files that do not have a domain user as owner, you can either copy and save these files yourself as a domain user, so that you become the owner for just these files. または、権限がある場合は、所有者を手動で変更できます。Or, if you have permissions, you can manually change the owner. または、[Source File Owner Email] 変数の代わりに、特定の電子メール アドレス (自分のアドレスや、IT 部門のグループ アドレスなど) を指定することもできます。これは、このスクリプトを使用して保護するすべてのファイルが、その電子メール アドレスを使用して新しい所有者を定義することを意味します。Or alternatively, you can supply a specific email address (such as your own or a group address for the IT department) instead of the [Source File Owner Email] variable, which means that all files you protect by using this script uses this email address to define the new owner.

    • [コマンドの実行]:[ローカル システム] を選択します。Run the command as: Select Local System

    • [条件] タブで次のように設定します。On the Condition tab:

      • [プロパティ]:[RMS] を選択しますProperty: Select RMS

      • [演算子]:[EQUAL] を選択します。Operator: Select Equal

      • [値]:[はい] を選択しますValue: Select Yes

    • [スケジュール] タブで次のように設定します。On the Schedule tab:

      • [実行時期]:希望のスケジュールを構成します。Run at: Configure your preferred schedule.

        スクリプトが完了するのに十分な時間を指定します。Allow plenty of time for the script to complete. このソリューションはフォルダー内のすべてのファイルを保護しますが、スクリプトは、毎回、ファイルごとに 1 回実行します。Although this solution protects all files in the folder, the script runs once for each file, each time. これは Azure Information Protection クライアントがサポートするような同時にすべてのファイルを保護する方法より時間がかかりますが、FCI のファイル単位の構成の方がいっそう強力です。Although this takes longer than protecting all the files at the same time, which the Azure Information Protection client supports, this file-by-file configuration for FCI is more powerful. たとえば、[Source File Owner Email] 変数を使用すると保護されるファイルの所有者が異なっていてもかまいません (元の所有者の維持)。また、フォルダー内のすべてのファイルではなく一部のファイルだけを選択して保護するように後で構成を変更する場合は、このファイル単位のアクションが必要になります。For example, the protected files can have different owners (retain the original owner) when you use the [Source File Owner Email] variable, and this file-by-file action is required if you later change the configuration to selectively protect files rather than all files in a folder.

      • [新しいファイルに対して連続実行する]:このチェック ボックスをオンにします。Run continuously on new files: Select this checkbox.

規則とタスクを手動で実行して構成をテストするTest the configuration by manually running the rule and task

  1. 分類規則を実行します。Run the classification rule:

    1. [分類規則] > [すべての規則で今すぐ分類を実行する] の順にクリックします。Click Classification Rules > Run Classification With All Rules Now

    2. [分類の完了を待つ] をクリックし、[OK] をクリックします。Click Wait for classification to complete, and then click OK.

  2. [分類を実行しています] ダイアログ ボックスが閉じるまで待ってから、自動的に表示されるレポートで結果を確認します。Wait for the Running Classification dialog box to close and then view the results in the automatically displayed report. [プロパティ] フィールドは 1 になっていて、フォルダー内のファイルの数が表示されています。You should see 1 for the Properties field and the number of files in your folder. ファイル エクスプローラーを使用して、選択したフォルダー内のファイルのプロパティを確認します。Confirm by using File Explorer and checking the properties of files in your chosen folder. [分類] タブには、プロパティの名前として「 RMS 」が、[値] として [はい] が表示されます。On the Classification tab, you should see RMS as a property name and Yes for its Value.

  3. ファイル管理タスクを実行します。Run the file management task:

    1. [ファイル管理タスク] > [Protect files with RMS (RMS でファイルを保護)] > [ファイル管理タスクを今すぐ実行する] の順にクリックします。Click File Management Tasks > Protect files with RMS > Run File Management Task Now

    2. [タスクの完了を待つ] をクリックし、[OK] をクリックします。Click Wait for the task to complete, and then click OK.

  4. [ファイル管理タスクを実行中] ダイアログ ボックスが閉じるまで待ってから、自動的に表示されるレポートで結果を確認します。Wait for the Running File Management Task dialog box to close and then view the results in the automatically displayed report. 選択したフォルダーにあるファイルの数が、[ファイル] フィールドに表示されます。You should see the number of files that are in your chosen folder in the Files field. 選択したフォルダー内のファイルが Rights Management によって保護されていることを確認します。Confirm that the files in your chosen folder are now protected by Rights Management. たとえば、フォルダー C:\FileShare を選択した場合は、Windows PowerShell セッションで次のコマンドを入力し、どのファイルの状態も Unprotected ではないことを確認します。For example, if your chosen folder is C:\FileShare, type the following command in a Windows PowerShell session and confirm that no files have a status of Unprotected:

    foreach ($file in (Get-ChildItem -Path C:\FileShare -Force | where {!$_.PSIsContainer})) {Get-RMSFileStatus -f $file.PSPath}
    

    ヒント

    トラブルシューティングに関するヒント:Some troubleshooting tips:

    • レポートにフォルダーのファイルの数ではなく 0 と表示されている場合は、この出力はスクリプトが実行されなかったことを示します。If you see 0 in the report, instead of the number of files in your folder, this output indicates that the script did not run. まず、スクリプトを Windows PowerShell ISE に読み込んで内容を確認し、実行してエラーが表示されるかどうかを調べます。First, check the script itself by loading it in Windows PowerShell ISE to validate the script contents and try running it to see if any errors are displayed. 引数を指定しないと、スクリプトは Azure Rights Management サービスに接続して認証を試みます。With no arguments specified, the script tries to connect and authenticate to the Azure Rights Management service.

      • スクリプトで Azure Rights Management サービス (Azure RMS) に接続できなかったことが示される場合は、そこで表示される、スクリプトで指定したサービス プリンシパル アカウントの値を確認します。If the script reports that it couldn't connect to the Azure Rights Management service (Azure RMS), check the values it displays for the service principal account, which you specified in the script. このサービス プリンシパル アカウントを作成する方法については、「Azure Information Protection クライアント管理者ガイド」の「Prerequisite 3: To protect or unprotect files without interaction」(前提条件 3: ユーザー操作なしでファイルの保護または保護の解除を行うには) を参照してください。For more information about how to create this service principal account, see Prerequisite 3: To protect or unprotect files without interaction from the Azure Information Protection client admin guide.
      • スクリプトで Azure RMS に接続できたことが示される場合は、次にサーバー上で Windows PowerShell から直接 Get-RMSTemplate を実行して、指定されたテンプレートを見つけることができるかどうかを確認します。If the script reports that it could connect to Azure RMS, next check that it can find the specified template by running Get-RMSTemplate directly from Windows PowerShell on the server. 指定したテンプレートが結果に返されます。You should see the template you specified returned in the results.
    • スクリプト自体を Windows PowerShell ISE で実行してもエラーが発生しない場合は、次のように保護するファイルの名前を指定し、-OwnerEmail パラメーターを指定しないで、PowerShell セッションからスクリプトを実行してみます。If the script by itself runs in Windows PowerShell ISE without errors, try running it as follows from a PowerShell session, specifying a file name to protect and without the -OwnerEmail parameter:

      powershell.exe -Noprofile -Command "<path>\RMS-Protect-FCI.ps1 -File '<full path and name of a file>' -TemplateID <template GUID>"
      
      • この Windows PowerShell セッションでスクリプトが正常に実行する場合は、ファイル管理タスク アクションでの [実行可能ファイル][引数] の指定を確認します。If the script runs successfully in this Windows PowerShell session, check your entries for Executive and Argument in the file management task action. -OwnerEmail [Source File Owner Email] を指定した場合は、このパラメーターを削除してみます。If you have specified -OwnerEmail [Source File Owner Email], try removing this parameter.

        -OwnerEmail [Source File Owner Email] なしでファイル管理タスクが正常に動作する場合は、保護されていないファイルのファイル所有者として SYSTEM ではなくドメイン ユーザーが表示されるかどうかを確認します。If the file management task works successfully without -OwnerEmail [Source File Owner Email], check that the unprotected files have a domain user listed as the file owner, rather than SYSTEM. この確認を行うには、ファイルのプロパティの [セキュリティ] タブの [高度] をクリックします。To make this check, use the Security tab for the file's properties, and then click Advanced. [所有者] の値はファイルの [名前] の直後に表示されます。The Owner value is displayed immediately after the file Name. また、ファイル サーバーが同じドメインまたは信頼されたドメインにあって Active Directory ドメイン サービスからユーザーの電子メール アドレスを参照することを確認します。Also, verify that the file server is in the same domain or a trusted domain to look up the user's email address from Active Directory Domain Services.

    • 正しいファイルの数がレポートで示されているにもかかわらず、ファイルが保護されていない場合は、 Protect-RMSFile コマンドレットを使用して手動でファイルを保護してみて、エラーが表示されるかどうかを確認します。If you see the correct number of files in the report but the files are not protected, try protecting the files manually by using the Protect-RMSFile cmdlet, to see if any errors are displayed.

これらのタスクが正常に動作することを確認した後、ファイル リソース マネージャーを閉じることができます。When you have confirmed that these tasks run successfully, you can close File Resource Manager. スケジュールしたタスクが実行されると、新しいファイルは自動的に分類および保護されます。New files are automatically classified and protected when the scheduled tasks run.

選択的にファイルを保護するための手順の変更Modifying the instructions to selectively protect files

上の手順で問題がなければ、さらに高度な構成に変更することが簡単にできます。When you have the preceding instructions working, it's then easy to modify them for a more sophisticated configuration. たとえば、同じスクリプトを使用して個人識別情報を含むファイルだけを保護し、さらに制限の厳しい権限のテンプレートを選択できます。For example, protect files by using the same script but only for files that contain personal identifiable information, and perhaps select a template that has more restrictive rights.

この変更を行うには、組み込まれている分類プロパティのいずれかを使用するか (たとえば [個人を特定できる情報])、新しいプロパティを作成します。To make this modification, use one of the built-in classification properties (for example, Personally Identifiable Information) or create your own new property. そして、このプロパティを使用する新しい規則を作成します。Then create a new rule that uses this property. たとえば、[コンテンツ分類子] を選択し、[個人の身元を特定する情報] プロパティと値 [高] を選択して、このプロパティ用に構成するファイルを識別する文字列または式パターンを構成します (たとえば、文字列"Date of Birth")。For example, you might select the Content Classifier, choose the Personally Identifiable Information property with a value of High, and configure the string or expression pattern that identifies the file to be configured for this property (such as the string "Date of Birth").

そのためには、同じスクリプトとおそらく異なるテンプレートを使用する新しいファイル管理タスクを作成し、構成した分類プロパティの条件を構成する必要があります。Now all you need to do is create a new file management task that uses the same script but perhaps with a different template, and configure the condition for the classification property that you have just configured. たとえば、前に構成した条件 ([RMS] プロパティ、[EQUAL][はい]) の代わりに、[個人の身元を特定する情報] プロパティを選択し、[演算子][EQUAL] に、[値][高] に設定します。For example, instead of the condition that we configured previously (RMS property, Equal, Yes), select the Personally Identifiable Information property with the Operator value set to Equal and the Value of High.

次のステップNext steps

Windows Server FCI と Azure Information Protection スキャナーの違いについてご説明します。You might be wondering: What’s the difference between Windows Server FCI and the Azure Information Protection scanner?

コメントComments

コメントを投稿する前に、内部ルールを参照してください。Before commenting, we ask that you review our House rules.