Azure Information Protection クラシック スキャナーとは
このセクションの情報を使用して、Azure Information Protection クラシック クライアント スキャナーについて説明します。また、このスキャナーを正常にインストール、構成、実行する方法、および必要に応じてトラブルシューティングを行う方法について説明します。
AIP スキャナーは、Windows Server でサービスとして実行され、次のデータ ストア上のファイルを検出、分類、および保護することができます。
UNC パス: サーバー メッセージ ブロック (SMB) プロトコルを使用するネットワーク共有向け。
SharePoint ドキュメント ライブラリおよびフォルダー: SharePoint Server 2013 から SharePoint Server 2019 向け。
Azure Information Protection クラシック スキャナーの概要
AIP スキャナーでは、Windows でインデックスを作成できるすべてのファイルを検査できます。 自動分類を適用するラベルを構成した場合、スキャナーでは、検出されたファイルにラベルを付けてその分類を適用し、必要に応じて保護を適用または削除することができます。
次の図は、AIP スキャナーのアーキテクチャを示しています。このアーキテクチャでは、スキャナーによってオンプレミス サーバーと SharePoint サーバーでファイルが検出されます。
ファイルを検査するために、スキャナーではコンピューターにインストールされている IFilters が使用されます。 ファイルでラベル付けが必要かどうかを判断するために、スキャナーで Microsoft 365 に組み込まれたデータ損失防止 (DLP) の機密情報の種類とパターン検出、または Microsoft 365 の正規表現パターンが使われます。
スキャナーでは Azure Information Protection クライアントが使用され、クライアントと同じファイルの種類を分類および保護できます。 詳細については、Azure Information Protection クライアントでサポートされるファイルの種類に関するページを参照してください。
必要に応じて、次のいずれかの操作を行ってスキャンを構成します。
- 検索モードのみでスキャナーを実行して、ファイルにラベルが付けられたときに何が起こるかを確認するレポートを作成します。
- スキャナーを実行して、機密情報が含まれるファイルを検出します (自動分類を適用するラベルは構成しません)。
- スキャナーを自動的に実行して、構成に従ってラベルを適用します。
- ファイルの種類の一覧を定義して、スキャンまたは除外する特定のファイルを指定します。
注意
スキャナーでは、検出とラベル付けはリアルタイムで行われません。 指定したデータ ストア上のファイルを体系的にクロールします。 このサイクルを 1 回または繰り返し実行するように構成します。
AIP スキャン プロセス
AIP スキャナーでは、ファイルのスキャン時に次の手順に従います。
1. ファイルがスキャンに含まれるか、または除外されるかを判断する
注意
詳細については、「スキャナーでラベル付けされないファイル」を参照してください。
1. ファイルがスキャンに含まれるか、または除外されるかを判断する
スキャナーでは、実行可能ファイルやシステム ファイルなど、分類と保護から除外されているファイルは自動的にスキップされます。 詳細については、「分類と保護から除外されるファイルの種類」を参照してください。
また、スキャナーでは、スキャンするか、またはスキャンから除外するかが明示的に定義されたすべてのファイル一覧が考慮されます。 ファイル一覧は、既定ですべてのデータ リポジトリに適用されます。また、特定のリポジトリ専用として定義することもできます。
スキャンまたは除外するファイル一覧を定義するには、コンテンツ スキャン ジョブで [スキャンするファイルの種類] 設定を使用します。 次に例を示します。
詳細については、Azure Information Protection スキャナーをデプロイして、ファイルを自動的に分類して保護する方法に関するページを参照してください。
2. ファイルを検査してラベルを付ける
スキャナーでは、除外されるファイルが特定された後、もう一度フィルターが実行されて、検査がサポートされているファイルが特定されます。
これらの追加のフィルターは、Windows Search およびインデックス作成のためにオペレーティング システムで使用されるものと同じであり、追加の構成は必要ありません。 また、Word、Excel、PowerPoint、PDF ドキュメント、テキスト ファイルに対して使用されるファイルの種類のスキャンには、Windows IFilter が使用されます。
検査がサポートされているファイルの種類の完全な一覧と、.zip ファイルと tiff ファイルを含めるようにフィルターを構成するための追加の手順については、「検査に対してサポートされているファイルの種類」を参照してください。
検査後、サポートされているファイルの種類は、ラベルに指定された条件を使用してラベル付けされます。 検出モードを使用している場合は、ラベルに対して指定した条件を含むように、または何らかの既知の機密情報の種類を含むように、これらのファイルを報告できます。
3. 検査できないファイルにラベルを付ける
検査できないファイルの種類に対して、AIP スキャナーでは Azure Information Protection ポリシーの既定のラベル、またはスキャナー用に構成した既定のラベルが適用されます。
スキャナーでラベル付けされないファイル
以下の状況では、AIP スキャナーでファイルにラベルを付けることはできません。
ラベルで分類は適用されるが、保護は適用されず、ファイルの種類でクライアントによる "分類のみ" がサポートされていない場合。 詳細については、クラシック クライアントのファイルの種類に関するページを参照してください。
ラベルで分類と保護が適用されるが、スキャナーでファイルの種類がサポートされていない場合。
既定では、スキャナーによって保護されるのは、Office ファイルの種類と、PDF の暗号化のための ISO 標準を使用して保護されている PDF ファイルだけです。
保護するファイルの種類を変更すると、保護用に他の種類のファイルを追加できます。
例: .txt ファイルの種類では "分類のみ" がサポートされていないため、.txt ファイルを検査した後は、"分類のみ" 用に構成されているラベルをスキャナーで適用することはできません。
ただし、ラベルが分類と保護の両方用に構成されていて、スキャナーの保護対象にファイルの種類 .txt が含まれる場合は、スキャナーでファイルにラベルを付けることができます。
次の手順
スキャナーのデプロイの詳細については、次の記事を参照してください。
詳細情報:
Microsoft の Core Services Engineering と Operations チームがどのようにこのスキャナーを実装したかについて関心をお持ちですか。 テクニカル ケース スタディ「Automating data protection with Azure Information Protection scanner」(Azure Information Protection スキャナーを使用したデータ保護の自動化) をご覧ください。
Windows Server FCI と Azure Information Protection スキャナーの違いについてご説明します。
また、PowerShell を使用して、デスクトップ コンピューターからファイルを対話的に分類し、保護することができます。 これに関する詳細および PowerShell を使用するその他のシナリオについては、「Azure Information Protection クライアントでの PowerShell の使用」をご覧ください。