情報保護スキャナーについて説明します
注:
プレビュー段階で、情報保護スキャナーの新しいバージョンがあります。 詳細については、「Azure Information Protection クライアントからMicrosoft Purview 情報保護 スキャナーをアップグレードする」を参照してください。
このセクションの情報を使用して、Microsoft Purview 情報保護 スキャナーについて説明し、インストール、構成、実行、および必要に応じてトラブルシューティングを行う方法について説明します。
このスキャナーは Windows Server 上でサービスとして実行され、次のデータ ストア上のファイルを検出、分類、保護できます。
SMB または NFS (プレビュー) プロトコルを使用するネットワーク共有の UNC パス。
SharePoint Server 2013 を介したSharePoint Server 2019用の SharePoint ドキュメント ライブラリとフォルダー。
ファイルを分類して保護するために、スキャナーは Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルで構成された秘密度ラベルを使用します。
スキャナーの概要
情報保護スキャナーは、Windows でインデックスを作成できる任意のファイルを検査できます。 自動分類を適用するように秘密度ラベルを構成した場合、スキャナーは検出されたファイルにラベルを付けてその分類を適用し、必要に応じて保護を適用または削除できます。 情報保護スキャナーでサポートされる機密情報の種類 (SID) の詳細については、「Microsoft Purview 情報保護 スキャナーでサポートされる機密情報の種類」を参照してください。
次の図は、オンプレミスサーバーと SharePoint サーバー全体でスキャナーがファイルを検出するスキャナー アーキテクチャを示しています。
ファイルを検査するために、スキャナーはコンピューターにインストールされている IFilters を使用します。 ファイルにラベル付けが必要かどうかを判断するために、スキャナーは機密情報の種類とパターン検出、または正規表現パターンを使用します。
スキャナーは Azure Information Protection クライアントを使用し、クライアントと同じ種類のファイルを分類して保護できます。 詳細については、「Azure Information Protection統合ラベル付けクライアントでサポートされるファイルの種類」を参照してください。
必要に応じてスキャンを構成するには、次のいずれかの操作を行います。
- 検出モードでのみスキャナーを実行して、ファイルにラベルが付けられているときに何が起こるかを確認するチェックレポートを作成します。
- スキャナーを実行して、自動分類を適用するラベルを構成せずに、機密情報を含むファイルを検出します。
- スキャナーを自動的に実行 して、構成済みのラベルを適用します。
- スキャンまたは除外する特定のファイルを指定するファイルの種類の一覧を定義します。
注:
スキャナーはリアルタイムで検出およびラベル付けされません。 指定したデータ ストア上のファイルを体系的にクロールします。 このサイクルを 1 回または繰り返し実行するように構成します。
ヒント
スキャナーは、複数のノードを持つスキャナー クラスターをサポートし、organizationをスケールアウトし、スキャン時間を短縮し、より広い範囲を実現します。
最初から複数のノードをデプロイするか、単一ノード クラスターから開始し、後でノードを追加します。 Install-AIPScanner コマンドレットに同じクラスター名とデータベースを使用して、複数のノードをデプロイします。
スキャン プロセス
ファイルをスキャンする場合、情報保護スキャナーは次の手順を実行します。
3. 検査できないファイルにラベルを付けます。
詳細については、「 スキャナーによってラベル付けされていないファイル」を参照してください。
1. ファイルをスキャンに含めるか除外するかを決定する
スキャナーは、分類と保護から除外されたファイル (実行可能ファイルやシステム ファイルなど) を自動的にスキップします。 詳細については、「 分類と保護から除外されたファイルの種類」を参照してください。
スキャナーは、スキャンまたはスキャンから除外するために明示的に定義されたファイル リストも考慮します。 ファイル リストは、既定ですべてのデータ リポジトリに適用され、特定のリポジトリに対してのみ定義することもできます。
スキャンまたは除外するファイル リストを定義するには、コンテンツ スキャン ジョブの [ ファイルの種類] を使用してスキャン 設定を行います。 以下に例を示します。
詳細については、「 スキャナーをデプロイしてファイルを自動的に分類および保護する」を参照してください。
2. ファイルの検査とラベル付け
除外されたファイルを特定した後、情報保護スキャナーは再びフィルター処理して、検査でサポートされているファイルを識別します。
これらのフィルターは、Windows Searchとインデックス作成のためにオペレーティング システムで使用されるフィルターと同じフィルターであり、追加の構成は必要ありません。 Windows IFilter は、Word、Excel、PowerPoint で使用されるファイルの種類をスキャンしたり、PDF ドキュメントやテキスト ファイルに使用したりするためにも使用されます。
検査でサポートされるファイルの種類の完全な一覧と、.zip ファイルと.tiffファイルを含むようにフィルターを構成するその他の手順については、「 検査でサポートされるファイルの種類」を参照してください。
検査後、サポートされているファイルの種類は、ラベルに指定された条件を使用してラベル付けされます。 検出モードを使用している場合、これらのファイルは、ラベルに指定された条件を含んでいると報告することも、既知の機密情報の種類が含まれていると報告することもできます。
停止したスキャナー プロセス
リポジトリ内の多数のファイルのスキャンを完了する前にスキャナーが停止した場合は、ファイルをホストするオペレーティング システムの動的ポートの数を増やす必要があります。
たとえば、SharePoint のサーバーのセキュリティ強化は、スキャナーが許可されるネットワーク接続の数を超え、そのため停止する理由の 1 つです。
SharePoint のサーバーのセキュリティ強化がスキャナーの停止の原因であるかどうかをチェックするには、スキャナー ログの %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog で次のエラー メッセージをチェックします (複数のログが zip ファイルに圧縮されます)。
Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port
現在のポート範囲を表示し、必要に応じて増やす方法の詳細については、「 ネットワーク パフォーマンスを向上させるために変更できる設定」を参照してください。
ヒント
大規模な SharePoint ファームの場合、リスト ビューのしきい値 (既定値は 5,000) を増やす必要がある場合があります。
詳細については、「 SharePoint で大規模なリストとライブラリを管理する」を参照してください。
3. 検査できないファイルにラベルを付ける
検査できないファイルの種類の場合、スキャナーは、秘密度ラベル ポリシーの既定のラベル、またはスキャナー用に構成された既定のラベルを適用します。
スキャナーによってラベル付けされていないファイル
スキャナーは、次の状況ではファイルにラベルを付けることができません。
ラベルが分類を適用し、保護を適用せず、ファイルの種類がクライアントによる分類のみをサポートしていない場合。 詳細については、「 分類でのみサポートされるファイルの種類」を参照してください。
ラベルが分類と保護を適用するが、スキャナーがファイルの種類をサポートしていない場合。
既定では、スキャナーは、PDF 暗号化の ISO 標準を使用して保護されている場合、Office ファイルの種類と PDF ファイルのみを保護します。
保護するファイルの種類を変更すると、保護のために他 の種類のファイルを追加できます。
例: .txt ファイルを検査した後、.txt ファイルの種類は分類のみをサポートしていないため、スキャナーは分類専用に構成されたラベルを適用できません。
ただし、ラベルが分類 と 保護の両方に対して構成されていて、スキャナーが保護するために .txt ファイルの種類が含まれている場合、スキャナーはファイルにラベルを付けることができます。
次の手順
スキャナーのデプロイの詳細については、次の記事を参照してください。
詳細情報:
スキャナーのエンドツーエンドのデモ ビデオをご覧ください。 スキャナーのアーキテクチャ、アーキテクチャ、推奨事項、インストール、構成の詳細なレビューをご覧ください。
スキャナーのベスト プラクティス: AIP UL スキャナーのデプロイと使用に関するベスト プラクティスに関するブログを参照してください。
Microsoft のコア サービス エンジニアリングおよび運用チームがこのスキャナーをどのように実装したかに関心がありますか? 技術的なケース スタディ: Azure Information Protection スキャナーを使用したデータ保護の自動化に関する記事を参照してください。
PowerShell を使用して、デスクトップ コンピューターからファイルを対話的に分類して保護することもできます。 PowerShell を使用するこのシナリオとその他のシナリオの詳細については、「Azure Information Protection統合ラベル付けクライアントでの PowerShell の使用」を参照してください。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示