情報保護スキャナーを構成してインストールする
注:
情報保護スキャナーの新しいバージョンがあります。 詳細については、「Microsoft Purview 情報保護 スキャナーのアップグレード」を参照してください。
この記事では、Microsoft Purview 情報保護 スキャナー(旧称 Azure Information Protection統合ラベル付けスキャナー)、またはオンプレミス スキャナーを構成してインストールする方法について説明します。
ヒント
ほとんどのお客様は管理ポータルでこれらの手順を実行しますが、PowerShell でのみ作業する必要がある場合があります。
たとえば、 Azure China 21Vianet などの管理ポータルにアクセスせずに環境で作業している場合は、「 PowerShell を使用してスキャナーを構成する」の手順に従います。
概要
開始する前に、システムが 必要な前提条件に準拠していることを確認します。
次に、次の手順に従ってスキャナーを構成してインストールします。
次に、システムに必要に応じて次の構成手順を実行します。
| プロシージャ | 説明 |
|---|---|
| 保護するファイルの種類を変更する | 既定とは異なる種類のファイルをスキャン、分類、または保護したい場合があります。 詳細については、「 スキャン プロセス」を参照してください。 |
| スキャナーのアップグレード | 最新の機能と機能強化を使用するようにスキャナーをアップグレードします。 |
| データ リポジトリ設定を一括で編集する | インポートとエクスポートのオプションを使用して、複数のデータ リポジトリに対して一括変更を行います。 |
| 代替構成でスキャナーを使用する | 条件を指定してラベルを構成せずにスキャナーを使用する |
| パフォーマンスを最適化する | スキャナーのパフォーマンスを最適化するためのガイダンス |
Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルでスキャナー ページにアクセスできない場合は、PowerShell でのみスキャナー設定を構成します。 詳細については、「 PowerShell を使用してスキャナーを構成する 」と「 サポートされている PowerShell コマンドレット」を参照してください。
スキャナーの設定を構成する
スキャナーをインストールするか、以前の一般提供バージョンからアップグレードする前に、スキャナーの設定を構成または確認します。 この構成では、Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルのいずれかを使用できます。
Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルでスキャナーを構成するには:
- 次のいずれかのロールを使用してサインインします。
- コンプライアンス管理者
- コンプライアンス データ管理者
- セキュリティ管理者
- 組織の管理
使用しているポータルに応じて、次のいずれかの場所に移動します。
Microsoft Purview ポータル>にサインインする> Information Protection Information 保護スキャナーカード>設定。
Microsoft Purview コンプライアンス ポータル>SettingsInformation Protection スキャナーに>サインインします。
スキャナー クラスターを作成します。 このクラスターはスキャナーを定義し、インストール、アップグレード、その他のプロセス中など、スキャナー インスタンスを識別するために使用されます。
スキャンするリポジトリを定義するコンテンツ スキャン ジョブを作成します。
スキャナー クラスターを作成する
Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルでスキャナー クラスターを作成するには:
[ 情報保護スキャナー ] ページのタブで、[クラスター] を選択 します。
[クラスター] タブで、[
![追加] アイコン](media/i-add.png "追加アイコン")
のを選択します。[ 新しいクラスター ] ウィンドウで、スキャナーのわかりやすい名前と説明 (省略可能) を入力します。
クラスター名は、スキャナーの構成とリポジトリを識別するために使用されます。 たとえば、スキャンするデータ リポジトリの地理的な場所を識別するために 、ヨーロッパ に入る場合があります。
後でこの名前を使用して、スキャナーをインストールまたはアップグレードする場所を特定します。
[保存] を選択し、変更内容を保存します。
コンテンツ スキャン ジョブを作成する
特定のリポジトリをスキャンして機密性の高いコンテンツをスキャンするには、コンテンツについて詳しく説明します。
Microsoft Purview コンプライアンス ポータルの Microsoft Purview ポータルでコンテンツ スキャン ジョブを作成するには:
[ 情報保護スキャナー ] ページのタブで、[ コンテンツ スキャン ジョブ] を選択します。
[コンテンツ スキャン ジョブ] ウィンドウで、[
を選択します。この初期構成では、次の設定を構成し、[保存] を選択 します。
設定 説明 コンテンツ スキャン ジョブの設定 - スケジュール: 既定の [手動] のままにします
- 検出される情報の種類: [ポリシーのみ] に変更するDLP ポリシー データ損失防止ポリシーを使用している場合は、[ DLP ルールを有効にする] を[オン] に設定します。 詳細については、「 DLP ポリシーを使用する」を参照してください。 秘密度ポリシー - 秘密度ラベル付けポリシーを適用する: [オフ] を選択します
- コンテンツに基づいてファイルにラベルを付ける: 既定値は [オン] のままにします
- 既定のラベル: ポリシーの既定値をそのまま使用します
- ファイルのラベルを変更する: 既定値は [オフ] のままにしますファイル設定を構成する - "変更日"、"最終変更日"、および "変更日" を保持する: 既定値の [オン] のままにします
- スキャンするファイルの種類: [除外] の既定のファイルの種類を保持します
- 既定の所有者: スキャナー アカウントの既定値をそのまま使用します
- リポジトリ所有者の設定: DLP ポリシーを使用する場合にのみ、このオプションを使用します。保存されたコンテンツ スキャン ジョブを開き、[ リポジトリ ] タブを選択して、スキャンするデータ ストアを指定します。
オンプレミスの SharePoint ドキュメント ライブラリとフォルダーの UNC パスと SharePoint Server URL を指定します。
注:
SharePoint Server 2019、SharePoint Server 2016、および SharePoint Server 2013 は、SharePoint でサポートされています。 SharePoint Server 2010 は、 このバージョンの SharePoint の延長サポートがある場合にもサポートされます。
最初のデータ ストアを追加するには、[リポジトリ] タブで次の手順 を実行 します。
[ リポジトリ ] ウィンドウで、[ 追加] を選択します。
[ リポジトリ ] ウィンドウで、データ リポジトリのパスを指定し、[保存] を選択 します。
- ネットワーク共有の場合は、 を使用します
\\Server\Folder。 - SharePoint ライブラリの場合は、 を使用します
http://sharepoint.contoso.com/Shared%20Documents/Folder。 - ローカル パスの場合:
C:\Folder - UNC パスの場合:
\\Server\Folder
- ネットワーク共有の場合は、 を使用します
注:
ワイルドカードはサポートされておらず、WebDav の場所はサポートされていません。 リポジトリとしての OneDrive の場所のスキャンはサポートされていません。
共有ドキュメントの SharePoint パスを追加する場合:
- すべてのドキュメントとすべてのフォルダーを 共有ドキュメント からスキャンする場合は、パスで共有ドキュメントを指定します。
例:
http://sp2013/SharedDocuments - [共有 ドキュメント] の下のサブフォルダーからすべてのドキュメントとすべてのフォルダーをスキャンする場合は、パスで [ドキュメント] を指定します。
例:
http://sp2013/Documents/SalesReports - または、SharePoint の FQDN のみを指定します。たとえば
http://sp2013、この URL の下にある特定の URL とサブタイトルの下にあるすべての SharePoint サイトとサブサイトを検出してスキャン します。 これを有効にする権限をスキャナー のサイト コレクター監査者 に付与します。
このウィンドウの残りの設定については、この初期構成では変更せず、 コンテンツ スキャン ジョブの既定値のままにします。 既定の設定は、データ リポジトリがコンテンツ スキャン ジョブから設定を継承することを意味します。
SharePoint パスを追加するときは、次の構文を使用します。
Path 構文 ルート パス http://<SharePoint server name>
スキャナー ユーザーに許可されているすべてのサイト コレクションを含め、すべてのサイトをスキャンします。
ルート コンテンツを自動的に検出するには 、追加のアクセス許可 が必要です特定の SharePoint サブサイトまたはコレクション 以下のいずれか:
-http://<SharePoint server name>/<subsite name>
-http://SharePoint server name>/<site collection name>/<site name>
サイト コレクションのコンテンツを自動的に検出するには 、追加のアクセス許可 が必要です特定の SharePoint ライブラリ 以下のいずれか:
-http://<SharePoint server name>/<library name>
-http://SharePoint server name>/.../<library name>特定の SharePoint フォルダー http://<SharePoint server name>/.../<folder name>前の手順を繰り返して、必要な数のリポジトリを追加します。
これで、作成したコンテンツ スキャナー ジョブを使用してスキャナーをインストールする準備ができました。 スキャナーの インストールに進みます。
スキャナーをインストールする
スキャナーを構成したら、次の手順を実行してスキャナーをインストールします。 この手順は、PowerShell で完全に実行されます。
スキャナーを実行する Windows Server コンピューターにサインインします。 ローカル管理者権限を持ち、SQL Server マスター データベースに書き込むアクセス許可を持つアカウントを使用します。
重要
スキャナーをインストールする前に、コンピューターに情報保護クライアントがインストールされている必要があります。
詳細については、「 情報保護スキャナーをインストールして展開するための前提条件」を参照してください。
[管理者として実行] オプションを使用して、Windows PowerShell セッションを開きます。
Install-Scanner コマンドレットを実行し、情報保護スキャナーのデータベースを作成するSQL Server インスタンスと、前のセクションで指定したスキャナー クラスター名を指定します。
Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>ヨーロッパのスキャナー クラスター名を使用した例:
既定のインスタンスの場合:
Install-Scanner -SqlServerInstance SQLSERVER1 -Cluster Europe名前付きインスタンスの場合:
Install-Scanner -SqlServerInstance SQLSERVER1\SCANNER -Cluster EuropeSQL Server Expressの場合:
Install-Scanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe
メッセージが表示されたら、スキャナー サービス アカウントの Active Directory 資格情報を指定します。
次の構文を使用します。
\<domain\user name>例:contoso\scanneraccount管理ツール> サービスを使用して、サービスがインストールされていることを確認します。
インストールされたサービスはスキャナー Microsoft Purview 情報保護という名前で、作成したスキャナー サービス アカウントを使用して実行するように構成されます。
スキャナーをインストールしたので、スキャナー サービス アカウントを認証するためのMicrosoft Entra トークンを取得して、スキャナーを無人で実行できるようにする必要があります。
スキャナーのMicrosoft Entra トークンを取得する
Microsoft Entra トークンを使用すると、スキャナーはMicrosoft Purview 情報保護 スキャナー サービスに対して認証を行い、スキャナーを無人で実行できます。
詳細については、「 情報保護ラベル付けコマンドレットを無人で実行する」を参照してください。
Microsoft Entra トークンを取得するには:
Azure Portal に移動し、[Microsoft Entra ID ブレード] に進みます。
[Microsoft Entra ID] サイド ウィンドウで、[アプリの登録] をクリックします。
上部の [ + 新規登録] をクリックします。
[名前] セクションで 、InformationProtectionScanner に「」と入力します。
[サポートされているアカウントの種類] は既定のままにします。
[リダイレクト URI] の場合は、型は Web のままにしますが、エントリ部分には 「」 http://localhost と入力し、[ 登録] をクリックします。
このアプリケーションの [概要] ページで、選択したテキスト エディターで[ アプリケーション (クライアント) ID ] と [ ディレクトリ (テナント) ID] をメモします。 これは、Set-AIPAuthentication コマンドを設定するときに後で必要になります。
サイド ウィンドウで、[ 証明書とシークレット] に移動します。
[ + 新しいクライアント シークレット] をクリックします。
表示されるダイアログ ボックスで、シークレットの説明を入力し、[ 1 年で 期限切れ] に設定し、[シークレットの追加] に設定します。
[クライアント シークレット] セクションに、 シークレット値を含むエントリが表示されます。 先に進み、この値をコピーし、クライアント ID とテナント ID を保存したファイルに格納します。 これは、シークレット値を表示できる唯一の時間です。この時点でコピーしないと回復できません。
サイド ウィンドウで、[ API のアクセス許可] に移動します。
先に進み、[ アクセス許可の追加] を選択します。
画面が表示されたら、[ Azure Rights Management Service] を選択します。 次に、[ アプリケーションのアクセス許可] を選択します。
[ コンテンツ ] のドロップダウンをクリックし、 Content.DelegatedReader と Content.DelegatedWriter のチェックマークを下 に置きます。 次に、画面の下部にある [ アクセス許可の追加] をクリックします。
[API のアクセス許可] セクションに戻り、別のアクセス許可を追加します。
今回は、[API の選択] セクションで、organizationが使用する API をクリックします。 検索バーに「Microsoft Information Protection Sync Service」と入力して選択します。
[ アプリケーションのアクセス許可] を選択し、[ 統合ポリシー ] ドロップダウンで、 アクセス許可 UnifiedPolicy.Tenant.Read をオンにします。 次に、画面の下部にある [ アクセス許可の追加] をクリックします。
[API のアクセス許可] 画面に戻り、[同意管理付与] をクリックし、成功した操作 (緑色のチェックマークで示されている) を探します。
Windows Server コンピューターから、スキャナー サービス アカウントにインストールに対する ローカルでのログオン 権限が付与されている場合は、このアカウントでサインインし、PowerShell セッションを開始します。
Set-Authentication を実行し、前の手順からコピーした値を指定します。
Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>以下に例を示します。
$pscreds = Get-Credential CONTOSO\scanner Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds Acquired application access token on behalf of CONTOSO\scanner.
ヒント
スキャナー サービス アカウントにインストールに対してローカルでログオン権限を付与できない場合は、「情報保護ラベル付けコマンドレットを無人で実行する」の説明に従って、Set-Authentication で OnBehalfOf パラメーターを使用します。
スキャナーに、Microsoft Entra IDに対して認証するトークンが追加されました。 このトークンは、Microsoft Entra IDの Web アプリ /API クライアント シークレットの構成に従って、1 年、2 年、またはまったく有効ではありません。 トークンの有効期限が切れた場合は、この手順を繰り返す必要があります。
コンプライアンス ポータルを使用してスキャナーを構成するか、PowerShell のみを構成するかに応じて、次のいずれかの手順を引き続き使用します。
これで、最初のスキャンを検出モードで実行する準備ができました。 詳細については、「 検出サイクルを実行し、スキャナーのレポートを表示する」を参照してください。
最初の検出スキャンを実行したら、「 分類と保護を適用するようにスキャナーを構成する」に進みます。
詳細については、「 情報保護ラベル付けコマンドレットを無人で実行する」を参照してください。
分類と保護を適用するようにスキャナーを構成する
既定の設定では、スキャナーが 1 回実行され、レポート専用モードで実行されるように構成されます。 これらの設定を変更するには、コンテンツ スキャン ジョブを編集します。
ヒント
PowerShell でのみ作業している場合は、「 分類と保護を適用するようにスキャナーを構成する - PowerShell のみ」を参照してください。
Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで分類と保護を適用するようにスキャナーを構成するには、
Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルの [コンテンツ スキャン ジョブ] タブで、特定のコンテンツ スキャン ジョブを選択して編集します。
コンテンツ スキャン ジョブを選択し、次の内容を変更して、[保存] を選択 します。
- [コンテンツ スキャン ジョブ] セクションから: [スケジュール] を [常に] に変更します
- [秘密度ラベル付けポリシーの適用] セクションから: ラジオ ボタンを [オン] に変更します
コンテンツ スキャン ジョブのノードがオンラインであることを確認し、[ 今すぐスキャン] を選択してコンテンツ スキャン ジョブをもう一度開始します。 [ 今すぐスキャン ] ボタンは、選択したコンテンツ スキャン ジョブのノードがオンラインの場合にのみ表示されます。
スキャナーが継続的に実行されるようにスケジュールされるようになりました。 スキャナーはすべての構成済みファイルを通して動作すると、新しいファイルと変更されたファイルが検出されるように、自動的に新しいサイクルを開始します。
DLP ポリシーを使用する
データ損失防止ポリシーを使用すると、ファイル共有と SharePoint Server に格納されているファイルに DLP ルールを照合することで、スキャナーが潜在的なデータ リークを検出できます。
コンテンツ スキャン ジョブで DLP ルールを有効 にして、DLP ポリシーに一致するすべてのファイルの公開を減らします。 DLP ルールが有効になっている場合、スキャナーはデータ所有者のみへのファイル アクセスを減らすか、 すべてのユーザー、 認証済みユーザー、 ドメイン ユーザーなどのネットワーク全体のグループへの露出を減らすことができます。
Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで、DLP ポリシーをテストするか、ルールを適用し、それらのルールに従ってファイルのアクセス許可を変更するかを決定します。 詳細については、「データ損失防止ポリシーの作成と展開」を参照してください。
DLP ポリシーは、Microsoft Purview コンプライアンス ポータルで構成されます。 DLP ライセンスの詳細については、「 データ損失防止オンプレミス スキャナーの概要」を参照してください。
ヒント
DLP ポリシーをテストする場合でも、ファイルをスキャンすると、ファイルのアクセス許可レポートも作成されます。 これらのレポートに対してクエリを実行して、特定のファイルの公開を調査するか、スキャンされたファイルに対する特定のユーザーの露出を調査します。
PowerShell のみを使用するには、「 スキャナーで DLP ポリシーを使用する - PowerShell のみ」を参照してください。
Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルでスキャナーで DLP ポリシーを使用するには:
Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで、[コンテンツ スキャン ジョブ] タブに移動し、特定のコンテンツ スキャン ジョブを選択します。 詳細については、「 コンテンツ スキャン ジョブを作成する」を参照してください。
[ DLP ポリシー ルールを有効にする] で、ラジオ ボタンを [オン] に設定します。
重要
Microsoft 365 で DLP ポリシーを実際に構成していない限り、[DLP ルールを有効にする] を [オン] に 設定しないでください。
DLP ポリシーなしでこの機能をオンにすると、スキャナーでエラーが生成されます。
(省略可能)[ リポジトリ所有者の設定 ] を [オン] に設定し、特定のユーザーをリポジトリ所有者として定義します。
このオプションを使用すると、スキャナーは、DLP ポリシーに一致するこのリポジトリ内にあるファイルが、定義されているリポジトリ所有者に公開されるのを減らすことができます。
DLP ポリシーとプライベート アクションの作成
プライベートアクションの作成で DLP ポリシーを使用していて、スキャナーを使用してファイルに自動的にラベルを付ける予定の場合は、統合ラベル付けクライアントの UseCopyAndPreserveNTFSOwner 詳細設定も定義することをお勧めします。
この設定により、元の所有者がファイルへのアクセスを保持できます。
詳細については、「 コンテンツ スキャン ジョブの作成 」および「 Microsoft 365 データに秘密度ラベルを自動的に適用する」を参照してください。
保護するファイルの種類を変更する
既定では、スキャナーは Office ファイルの種類と PDF ファイルのみを保護します。
PowerShell コマンドを使用して、必要に応じてこの動作を変更します。たとえば、クライアントと同様にすべてのファイルの種類を保護するようにスキャナーを構成したり、追加の特定のファイルの種類を保護したりします。
スキャナーのラベルをダウンロードするユーザー アカウントに適用されるラベル ポリシーの場合は、 PFileSupportedExtensions という名前の PowerShell 詳細設定を指定します。
インターネットにアクセスできるスキャナーの場合、このユーザー アカウントは、Set-Authentication コマンドを使用して DelegatedUser パラメーターに指定するアカウントです。
例 1: ラベル ポリシーの名前が "Scanner" であるすべてのファイルの種類を保護するスキャナーの PowerShell コマンド:
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}
例 2: スキャナーの PowerShell コマンドを使用して、Office ファイルと PDF ファイルに加えて、.xml ファイルと.tiff ファイルを保護します。ラベル ポリシーの名前は "Scanner" です。
Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}
詳細については、「 保護するファイルの種類を変更する」を参照してください。
スキャナーをアップグレードする
以前にスキャナーをインストールし、アップグレードする場合は、「Microsoft Purview 情報保護 スキャナーのアップグレード」で説明されている手順を使用します。
次に、スキャナーを通常どおりに構成して使用し、スキャナーをインストールする手順をスキップします。
データ リポジトリの設定を一括で編集する
[ エクスポート ] ボタンと [インポート] ボタンを使用して、複数のリポジトリでスキャナーを変更します。
これにより、Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで、同じ変更を何度も手動で行う必要はありません。
たとえば、複数の SharePoint データ リポジトリに新しいファイルの種類がある場合は、それらのリポジトリの設定を一括で更新できます。
Microsoft Purview ポータルのリポジトリ間で一括変更を行うには、次のMicrosoft Purview コンプライアンス ポータル。
Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで、特定のコンテンツ スキャン ジョブを選択し、ウィンドウ内の [リポジトリ] タブに移動します。 [エクスポート] オプションを選択 します 。
エクスポートしたファイルを手動で編集して変更します。
同じページの [インポート ] オプションを使用して、リポジトリ間で更新プログラムをインポートし直します。
代替構成でスキャナーを使用する
スキャナーは通常、必要に応じてコンテンツを分類して保護するために、ラベルに指定された条件を検索します。
次のシナリオでは、スキャナーは、条件を構成せずに、コンテンツをスキャンし、ラベルを管理することもできます。
データ リポジトリ内のすべてのファイルに既定のラベルを適用する
この構成では、リポジトリ内のすべてのラベル付けされていないファイルに、リポジトリまたはコンテンツ スキャン ジョブに指定された既定のラベルでラベルが付けられます。 ファイルには検査なしでラベルが付けられます。
以下の設定を構成します。
| 設定 | 説明 |
|---|---|
| コンテンツに基づいてファイルにラベルを付ける | [オフ] に設定します |
| 既定のラベル | [ カスタム] に設定し、使用するラベルを選択します |
| 既定のラベルを適用する | [ ファイルの再 ラベル付け] と [既定のラベルの適用] をオンにして既にラベルが付いている場合でも、すべてのファイルに 既定のラベル を適用する場合に選択します |
データ リポジトリ内のすべてのファイルから既存のラベルを削除する
この構成では、保護がラベルに適用された場合、保護を含むすべての既存のラベルが削除されます。 ラベルとは無関係に適用される保護は保持されます。
以下の設定を構成します。
| 設定 | 説明 |
|---|---|
| コンテンツに基づいてファイルにラベルを付ける | [オフ] に設定します |
| 既定のラベル | [なし] に設定します |
| ファイルにラベルを付け直す | [既定のラベルを適用する] を [オン] に設定して、[オン] に設定します。 |
すべてのカスタム条件と既知の機密情報の種類を特定する
この構成を使用すると、スキャナーのスキャンレートを犠牲にして、自分が持っていたことに気付かない可能性のある機密情報を見つけることができます。
検出する情報の種類を[すべて] に設定します。
ラベル付けの条件と情報の種類を識別するために、スキャナーでは、指定されたカスタムの機密情報の種類と、ラベル付け管理センターで定義されているように、選択できる組み込みの機密情報の種類の一覧が使用されます。
スキャナーのパフォーマンスを最適化する
注:
スキャナーのパフォーマンスではなくスキャナー コンピューターの応答性を向上させる場合は、高度なクライアント設定を使用して 、スキャナーで使用されるスレッドの数を制限します。
スキャナーのパフォーマンスを最適化するには、次のオプションとガイダンスを使用します。
| オプション | 説明 |
|---|---|
| スキャナー コンピューターとスキャンされたデータ ストアの間に高速で信頼性の高いネットワーク接続を確立する | たとえば、スキャナー コンピューターを、スキャンされたデータ ストアと同じ LAN(できれば)同じネットワーク セグメントに配置します。 ネットワーク接続の品質はスキャナーのパフォーマンスに影響します。これは、ファイルを検査するために、スキャナーがスキャナー サービスを実行しているコンピューターにファイルの内容Microsoft Purview 情報保護転送するためです。 データの移動に必要なネットワーク ホップを減らすか排除すると、ネットワークの負荷も軽減されます。 |
| スキャナー コンピューターに使用可能なプロセッサ リソースがあることを確認する | ファイルの内容の検査とファイルの暗号化と暗号化解除は、プロセッサを集中的に使用するアクションです。 指定したデータ ストアの一般的なスキャン サイクルを監視して、プロセッサ リソースの不足がスキャナーのパフォーマンスに悪影響を及ぼしているかどうかを確認します。 |
| スキャナーの複数のインスタンスをインストールする | スキャナーのカスタム クラスター名を指定すると、スキャナーは同じ SQL Server インスタンス上の複数の構成データベースをサポートします。 ヒント: 複数のスキャナーで同じクラスターを共有できるため、スキャン時間が短縮されます。 同じデータベース インスタンスを持つ複数のマシンにスキャナーをインストールする予定で、スキャナーを並列に実行する場合は、同じクラスター名を使用してすべてのスキャナーをインストールする必要があります。 |
| 代替構成の使用状況を確認する | スキャナーがファイルの内容を検査しないため、 代替構成 を使用してすべてのファイルに既定のラベルを適用すると、スキャナーがより迅速に実行されます。 代替構成を使用してすべてのカスタム条件と既知の機密情報の種類を識別すると、スキャナーの実行速度が遅くなります。 |
パフォーマンスに影響を与えるその他の要因
スキャナーのパフォーマンスに影響を与えるその他の要因は次のとおりです。
| 要因 | 説明 |
|---|---|
| 読み込み/応答時間 | スキャンするファイルを含むデータ ストアの現在の読み込みと応答時間もスキャナーのパフォーマンスに影響します。 |
| スキャナー モード (検出/適用) | 検出モードでは、通常、強制モードよりもスキャン速度が高くなります。 検出には 1 つのファイル読み取りアクションが必要ですが、強制モードでは読み取りアクションと書き込みアクションが必要です。 |
| ポリシーの変更 | ラベル ポリシーで自動ラベル付けに変更を加えた場合、スキャナーのパフォーマンスが影響を受ける可能性があります。 スキャナーがすべてのファイルを検査する必要がある最初のスキャン サイクルは、以降のスキャン サイクルよりも時間がかかります。既定では、新しいファイルと変更されたファイルのみを検査します。 条件または自動ラベル付け設定を変更すると、すべてのファイルが再度スキャンされます。 詳細については、「ファイルの 再スキャン」を参照してください。 |
| 正規表現の構築 | スキャナーのパフォーマンスは、カスタム条件の正規表現式がどのように構築されるかによって影響を受けます。 メモリの消費が多く、タイムアウト (ファイルあたり 15 分) のリスクを回避するには、正規表現式を確認して、効率的なパターン マッチングを行います。 以下に例を示します。 - 欲張り量指定子を避ける - キャプチャしないグループ (?:expression) を使用します。 (expression) |
| ログ レベル | ログ レベルのオプションには、スキャナー レポートの [デバッグ]、[ 情報]、[ エラー ]、[ オフ ] が含まれます。 - オフ にすると最高のパフォーマンスが得られます - デバッグ ではスキャナーの速度が大幅に低下し、トラブルシューティングにのみ使用する必要があります。 詳細については、「Set-ScannerConfiguration コマンドレットの ReportLevel パラメーター」を参照してください。 |
| スキャン中のファイル | - Excel ファイルを除き、Office ファイルは PDF ファイルよりも迅速にスキャンされます。 - 保護されていないファイルは、保護されたファイルよりも高速にスキャンできます。 - 大きなファイルは、明らかに小さなファイルよりもスキャンに時間がかかります。 |
PowerShell を使用してスキャナーを構成する
このセクションでは、Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルでスキャナー ページにアクセスできない場合にスキャナーを構成してインストールするために必要な手順について説明します。PowerShell のみを使用する必要があります。
重要
一部の手順では、コンプライアンス ポータルでスキャナー ページにアクセスできるかどうかに関係なく、Powershell が必要です。また、同一である必要があります。 これらの手順については、この記事の前述の手順を参照してください。
Azure China 21Vianet のスキャナーを使用している場合は、ここに記載されている手順に加えて、追加の手順が必要です。 詳細については、「21Vianet が運営するOffice 365のMicrosoft Purview 情報保護」を参照してください。
詳細については、「 サポートされている PowerShell コマンドレット」を参照してください。
スキャナーを構成してインストールするには:
PowerShell が閉じられた状態で開始します。 情報保護クライアントとスキャナーを以前にインストールしている場合は、Microsoft Purview 情報保護 スキャナー サービスが停止していることを確認します。
[管理者として実行] オプションを使用して、Windows PowerShell セッションを開きます。
クラスター名を定義する Cluster パラメーターを使用して、Install-Scanner コマンドを実行して、SQL サーバー インスタンスにスキャナーをインストールします。
この手順は、コンプライアンス ポータルでスキャナー ページにアクセスできるかどうかに関係なく同じです。 詳細については、この記事の「スキャナーをインストールする」の前の手順を参照してください。
スキャナーで使用する Azure トークンを取得し、再認証します。
この手順は、コンプライアンス ポータルでスキャナー ページにアクセスできるかどうかに関係なく同じです。 詳細については、この記事の「スキャナーのMicrosoft Entra トークンを取得する」の前の手順を参照してください。
Set-ScannerConfiguration コマンドレットを実行して、スキャナーをオフライン モードで機能するように設定します。 走る:
Set-ScannerConfiguration -OnlineConfiguration OffSet-ScannerContentScan コマンドレットを実行して、既定のコンテンツ スキャン ジョブを作成します。
Set-ScannerContentScan コマンドレットで必要なパラメーターは、強制のみです。 ただし、この時点でコンテンツ スキャン ジョブの他の設定を定義する必要がある場合があります。 以下に例を示します。
Set-ScannerContentScan -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>上記の構文では、構成を続行するときに次の設定が構成されます。
- スキャナーの実行スケジュールを手動で保持する
- 秘密度ラベル ポリシーに基づいて検出される情報の種類を設定します
- 秘密度ラベル ポリシーを適用しない
- 秘密度ラベル ポリシーに定義されている既定のラベルを使用して、コンテンツに基づいてファイルに自動的にラベルを付ける
- ファイルのラベルを変更できません
- 値によって変更された日付、最終変更日、変更日など、スキャンおよび自動ラベル付け中にファイルの詳細を保持します
- 実行中に.msgファイルと.tmpファイルを除外するようにスキャナーを設定します
- スキャナーの実行時に使用するアカウントに既定の所有者を設定します
Add-ScannerRepository コマンドレットを使用して、コンテンツ スキャン ジョブでスキャンするリポジトリを定義します。 たとえば、以下を実行します。
Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'追加するリポジトリの種類に応じて、次のいずれかの構文を使用します。
- ネットワーク共有の場合は、 を使用します
\\Server\Folder。 - SharePoint ライブラリの場合は、 を使用します
http://sharepoint.contoso.com/Shared%20Documents/Folder。 - ローカル パスの場合:
C:\Folder - UNC パスの場合:
\\Server\Folder
注:
ワイルドカードはサポートされておらず、WebDav の場所はサポートされていません。
後でリポジトリを変更するには、代わりに Set-ScannerRepository コマンドレットを 使用します。
共有ドキュメントの SharePoint パスを追加する場合:
- すべてのドキュメントとすべてのフォルダーを 共有ドキュメント からスキャンする場合は、パスで共有ドキュメントを指定します。
例:
http://sp2013/SharedDocuments - [共有 ドキュメント] の下のサブフォルダーからすべてのドキュメントとすべてのフォルダーをスキャンする場合は、パスで [ドキュメント] を指定します。
例:
http://sp2013/Documents/SalesReports - または、SharePoint の FQDN のみを指定します。たとえば
http://sp2013、この URL の下にある特定の URL とサブタイトルの下にあるすべての SharePoint サイトとサブサイトを検出してスキャン します。 これを有効にする権限をスキャナー のサイト コレクター監査者 に付与します。
SharePoint パスを追加するときは、次の構文を使用します。
Path 構文 ルート パス http://<SharePoint server name>
スキャナー ユーザーに許可されているすべてのサイト コレクションを含め、すべてのサイトをスキャンします。特定の SharePoint サブサイトまたはコレクション 以下のいずれか:
-http://<SharePoint server name>/<subsite name>
-http://SharePoint server name>/<site collection name>/<site name>特定の SharePoint ライブラリ 以下のいずれか:
-http://<SharePoint server name>/<library name>
-http://SharePoint server name>/.../<library name>特定の SharePoint フォルダー http://<SharePoint server name>/.../<folder name>- ネットワーク共有の場合は、 を使用します
必要に応じて、次の手順に進みます。
- 中国のお客様向けの構成
- 検出サイクルを実行して、スキャナーのレポートを表示する
- PowerShell を使用して、分類と保護を適用するようにスキャナーを構成する
- PowerShell を使用してスキャナーを使用して DLP ポリシーを構成する
PowerShell を使用して、分類と保護を適用するようにスキャナーを構成する
Set-ScannerContentScan コマンドレットを実行して、コンテンツ スキャン ジョブを更新してスケジュールを常にに設定し、秘密度ポリシーを適用します。
Set-ScannerContentScan -Schedule Always -Enforce Onヒント
ファイル属性を変更するかどうか、スキャナーでファイルにラベルを付け直すことができるかどうかなど、このウィンドウの他の設定を変更することもできます。 使用可能な設定の詳細については、 Set-ScannerContentScan の完全なドキュメントを参照してください。
Start-Scan コマンドレットを実行して、コンテンツ スキャン ジョブを実行します。
Start-Scan
スキャナーが継続的に実行されるようにスケジュールされるようになりました。 スキャナーはすべての構成済みファイルを通して動作すると、新しいファイルと変更されたファイルが検出されるように、自動的に新しいサイクルを開始します。
PowerShell を使用してスキャナーを使用して DLP ポリシーを構成する
Set-ScannerContentScan コマンドレットをもう一度実行し、-EnableDLP パラメーターを [オン] に設定し、特定のリポジトリ所有者を定義します。
以下に例を示します。
Set-ScannerContentScan -EnableDLP On -RepositoryOwner 'domain\user'
サポートされている PowerShell コマンドレット
このセクションでは、情報保護スキャナーでサポートされている PowerShell コマンドレットと、PowerShell のみを使用してスキャナーを構成およびインストールする手順を示します。
スキャナーでサポートされているコマンドレットは次のとおりです。
次の手順
スキャナーをインストールして構成したら、 ファイルのスキャンを開始します。