情報保護スキャナーの構成とインストール

注:

Microsoft Purview 情報保護 スキャナーは、以前は Azure Information Protection統合ラベル付けスキャナー、またはオンプレミス スキャナーという名前でした。 構成がAzure portalからMicrosoft Purview コンプライアンス ポータルに移動しました。

この記事では、Microsoft Purview 情報保護 スキャナー (旧称 Azure Information Protection統合ラベル付けスキャナー)、またはオンプレミス スキャナーを構成してインストールする方法について説明します。

ヒント

ほとんどのお客様は管理ポータルでこれらの手順を実行しますが、PowerShell でのみ作業する必要がある場合があります。

たとえば、 Azure China 21Vianet スキャナー サーバーなどの管理ポータルにアクセスせずに環境で作業している場合は、「 PowerShell を使用してスキャナーを構成する」の手順に従います。

概要

開始する前に、システムが 必要な前提条件に準拠していることを確認します。

次に、次の手順に従ってスキャナーを構成してインストールします。

  1. スキャナーの設定を構成する

  2. スキャナーをインストールする

  3. スキャナーの Azure AD トークンを取得する

  4. 分類と保護を適用するようにスキャナーを構成する

次に、システムに必要に応じて次の構成手順を実行します。

プロシージャ 説明
保護するファイルの種類を変更する 既定とは異なる種類のファイルをスキャン、分類、または保護したい場合があります。 詳細については、「 スキャン プロセス」を参照してください。
スキャナーのアップグレード 最新の機能と機能強化を使用するようにスキャナーをアップグレードします。
データ リポジトリ設定を一括で編集する インポートとエクスポートのオプションを使用して、複数のデータ リポジトリに対して一括変更を行います。
代替構成でスキャナーを使用する 条件を指定してラベルを構成せずにスキャナーを使用する
パフォーマンスを最適化する スキャナーのパフォーマンスを最適化するためのガイダンス

コンプライアンス ポータルでスキャナー ページにアクセスできない場合は、PowerShell でのみスキャナー設定を構成します。 詳細については、「 PowerShell を使用してスキャナーを構成する 」と「 サポートされている PowerShell コマンドレット」を参照してください。

スキャナーの設定を構成する

スキャナーをインストールするか、以前の一般提供バージョンからアップグレードする前に、スキャナーの設定を構成または確認します。

Microsoft Purview コンプライアンス ポータルでスキャナーを構成するには:

  1. 次のいずれかのロールを使用してMicrosoft Purview コンプライアンス ポータルにサインインします。

    • 全体管理者
    • コンプライアンス管理者
    • コンプライアンス データ管理者
    • セキュリティ管理者
    • セキュリティ オペレーター
    • セキュリティ閲覧者
    • グローバル閲覧者

    次に、[ 設定] ウィンドウに移動します。

    [ 設定 ] ウィンドウで、[ 情報保護スキャナー] を選択します。

  2. スキャナー クラスターを作成します。 このクラスターはスキャナーを定義し、インストール、アップグレード、その他のプロセス中など、スキャナー インスタンスを識別するために使用されます。

  3. スキャンするリポジトリを定義するコンテンツ スキャン ジョブを作成します。

スキャナー クラスターを作成する

Microsoft Purview コンプライアンス ポータルでスキャナー クラスターを作成するには:

  1. [ 情報保護スキャナー ] ページのタブで、[クラスター] を選択 します

  2. [クラスター] タブで、[追加] アイコンのを選択します。

  3. [ 新しいクラスター ] ウィンドウで、スキャナーのわかりやすい名前と説明 (省略可能) を入力します。

    クラスター名は、スキャナーの構成とリポジトリを識別するために使用されます。 たとえば、スキャンするデータ リポジトリの地理的な場所を識別するために 、ヨーロッパ に入る場合があります。

    後でこの名前を使用して、スキャナーをインストールまたはアップグレードする場所を特定します。

  4. [保存] を選択し、変更内容を保存します。

コンテンツ スキャン ジョブを作成する

特定のリポジトリをスキャンして機密性の高いコンテンツをスキャンするには、コンテンツについて詳しく説明します。

Microsoft Purview コンプライアンス ポータルでコンテンツ スキャン ジョブを作成するには:

  1. [ 情報保護スキャナー ] ページのタブで、[ コンテンツ スキャン ジョブ] を選択します。

  2. [コンテンツ スキャン ジョブ] ウィンドウで、[追加] アイコンを選択します。

  3. この初期構成では、次の設定を構成し、[保存] を選択 します

    Setting 説明
    コンテンツ スキャン ジョブの設定 - スケジュール: 既定の [手動] のままにします
    - 検出される情報の種類: [ポリシーのみ] に変更する
    DLP ポリシー データ損失防止ポリシーを使用している場合は、[ DLP ルールを有効にする] を[オン] に設定します。 詳細については、「 DLP ポリシーを使用する」を参照してください。
    秘密度ポリシー - 秘密度ラベル付けポリシーを適用する: [オフ] を選択します
    - コンテンツに基づいてファイルにラベルを付ける: 既定値は [オン] のままにします
    - 既定のラベル: ポリシーの既定値をそのまま使用します
    - ファイルのラベルを変更する: 既定値は [オフ] のままにします
    ファイル設定を構成する - "変更日"、"最終更新日"、および "変更日" を保持する: 既定値の [オン] のままにします
    - スキャンするファイルの種類: [除外] の既定のファイルの種類を保持します
    - 既定の所有者: スキャナー アカウントの既定値をそのまま使用します
    - リポジトリ所有者の設定: DLP ポリシーを使用する場合にのみ、このオプションを使用します。
  4. 保存されたコンテンツ スキャン ジョブを開き、[ リポジトリ ] タブを選択して、スキャンするデータ ストアを指定します。

    オンプレミスの SharePoint ドキュメント ライブラリとフォルダーの UNC パスと SharePoint Server URL を指定します。

    注:

    SharePoint Server 2019、SharePoint Server 2016、および SharePoint Server 2013 は、SharePoint でサポートされています。 SharePoint Server 2010 は、 このバージョンの SharePoint の延長サポートがある場合にもサポートされます。

    最初のデータ ストアを追加するには、[リポジトリ] タブで次の手順 を実行 します。

    1. [ リポジトリ ] ウィンドウで、[ 追加] を選択します。

    2. [ リポジトリ ] ウィンドウで、データ リポジトリのパスを指定し、[保存] を選択 します

      • ネットワーク共有の場合は、 を使用します \\Server\Folder
      • SharePoint ライブラリの場合は、 を使用します http://sharepoint.contoso.com/Shared%20Documents/Folder
      • ローカル パスの場合: C:\Folder
      • UNC パスの場合: \\Server\Folder

    注:

    ワイルドカードはサポートされておらず、WebDav の場所はサポートされていません。

    共有ドキュメントの SharePoint パスを追加する場合:

    • すべてのドキュメントとすべてのフォルダーを 共有ドキュメント からスキャンする場合は、パスで共有ドキュメントを指定します。 例: http://sp2013/SharedDocuments
    • [共有 ドキュメント] の下のサブフォルダーからすべてのドキュメントとすべてのフォルダーをスキャンする場合は、パスで [ドキュメント] を指定します。 例: http://sp2013/Documents/SalesReports
    • または、Sharepoint の FQDN のみを指定します。たとえば http://sp2013 、この URL の下にある特定の URL とサブタイトルの下にあるすべての SharePoint サイトとサブサイトを検出してスキャン します。 これを有効にする権限をスキャナー のサイト コレクター監査者 に付与します。

    このウィンドウの残りの設定については、この初期構成では変更せず、 コンテンツ スキャン ジョブの既定値のままにします。 既定の設定は、データ リポジトリがコンテンツ スキャン ジョブから設定を継承することを意味します。

    SharePoint パスを追加するときは、次の構文を使用します。

    Path 構文
    ルート パス http://<SharePoint server name>

    スキャナー ユーザーに許可されているサイト コレクションを含め、すべてのサイトをスキャンします。
    ルート コンテンツを自動的に検出するには 、追加のアクセス許可 が必要です
    特定の SharePoint サブサイトまたはコレクション 以下のいずれか:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    サイト コレクションのコンテンツを自動的に検出するには 、追加のアクセス許可 が必要です
    特定の SharePoint ライブラリ 以下のいずれか:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    特定の SharePoint フォルダー http://<SharePoint server name>/.../<folder name>
  5. 前の手順を繰り返して、必要な数のリポジトリを追加します。

これで、作成したコンテンツ スキャナー ジョブを使用してスキャナーをインストールする準備ができました。 スキャナーの インストールに進みます

スキャナーをインストールする

スキャナーを構成したら、次の手順を実行してスキャナーをインストールします。 この手順は、PowerShell で完全に実行されます。

  1. スキャナーを実行する Windows Server コンピューターにサインインします。 ローカル管理者権限を持ち、SQL Server マスター データベースに書き込むアクセス許可を持つアカウントを使用します。

    重要

    スキャナーをインストールする前に、AIP 統合ラベル付けクライアントがコンピューターにインストールされている必要があります。

    詳細については、「 情報保護スキャナーをインストールして展開するための前提条件」を参照してください。

  2. [管理者として実行] オプションを使用して、Windows PowerShell セッションを開きます。

  3. Install-AIPScanner コマンドレットを実行し、Azure Information Protection スキャナーのデータベースを作成するSQL Server インスタンスと、前のセクションで指定したスキャナー クラスター名を指定します。

    Install-AIPScanner -SqlServerInstance <name> -Cluster <cluster name>
    

    ヨーロッパのスキャナー クラスター名を使用した例:

    • 既定のインスタンスの場合: Install-AIPScanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • 名前付きインスタンスの場合: Install-AIPScanner -SqlServerInstance SQLSERVER1\AIPSCANNER -Cluster Europe

    • SQL Server Expressの場合:Install-AIPScanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    メッセージが表示されたら、スキャナー サービス アカウントの Active Directory 資格情報を指定します。

    次の構文を使用します。 \<domain\user name> 例: contoso\scanneraccount

  4. 管理ツール> サービスを使用して、サービスがインストールされていることを確認します

    インストールされたサービスは Azure Information Protection Scanner という名前で、作成したスキャナー サービス アカウントを使用して実行するように構成されています。

スキャナーをインストールしたので、スキャナー サービス アカウントを認証するための Azure AD トークンを取得 して、スキャナーを無人で実行できるようにする必要があります。

スキャナーの Azure AD トークンを取得する

Azure AD トークンを使用すると、スキャナーは Azure Information Protection サービスに対して認証を行い、スキャナーを非対話型で実行できます。

詳細については、「Azure Information Protection用に非対話型でファイルにラベルを付ける方法」を参照してください。

Azure AD トークンを取得するには:

  1. Azure portalを開き、認証用のアクセス トークンを指定する Azure AD アプリケーションを作成します。

  2. Windows Server コンピューターから、スキャナー サービス アカウントにインストールに対する ローカルでのログオン 権限が付与されている場合は、このアカウントでサインインし、PowerShell セッションを開始します。

    前の手順からコピーした値を指定して、 Set-AIPAuthentication を実行します。

    Set-AIPAuthentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>
    

    以下に例を示します。

    $pscreds = Get-Credential CONTOSO\scanner
    Set-AIPAuthentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
    Acquired application access token on behalf of CONTOSO\scanner.
    

    ヒント

    インストールに対してローカルでログオン権限をスキャナー サービス アカウントに付与できない場合は、「Azure Information Protection に対して非対話型でファイルにラベルを付ける方法」の説明に従って、Set-AIPAuthenticationOnBehalfOf パラメーターを使用します。

これで、スキャナーに Azure AD に対して認証するトークンが用意されました。 このトークンは、Azure AD の Web アプリ /API クライアント シークレットの構成に従って、1 年、2 年、またはまったく有効ではありません。 トークンの有効期限が切れた場合は、この手順を繰り返す必要があります。

コンプライアンス ポータルを使用してスキャナーを構成するか、PowerShell のみを構成するかに応じて、次のいずれかの手順を引き続き使用します。

これで、最初のスキャンを検出モードで実行する準備ができました。 詳細については、「 検出サイクルを実行し、スキャナーのレポートを表示する」を参照してください。

最初の検出スキャンを実行したら、「 分類と保護を適用するようにスキャナーを構成する」に進みます。

注:

詳細については、「Azure Information Protection 用に非対話型でファイルにラベルを付ける方法」を参照してください。

分類と保護を適用するようにスキャナーを構成する

既定の設定では、スキャナーが 1 回実行され、レポート専用モードで実行されるように構成されます。 これらの設定を変更するには、コンテンツ スキャン ジョブを編集します。

ヒント

PowerShell でのみ作業している場合は、「 分類と保護を適用するようにスキャナーを構成する - PowerShell のみ」を参照してください。

Microsoft Purview コンプライアンス ポータルで分類と保護を適用するようにスキャナーを構成するには:

  1. Microsoft Purview コンプライアンス ポータルの [コンテンツ スキャン ジョブ] タブで、特定のコンテンツ スキャン ジョブを選択して編集します。

  2. コンテンツ スキャン ジョブを選択し、次の内容を変更して、[保存] を選択 します

    • [コンテンツ スキャン ジョブ] セクションから: [スケジュール] を [常に] に変更します
    • [秘密度ラベル付けポリシーの適用] セクションから: ラジオ ボタンを [オン] に変更します
  3. コンテンツ スキャン ジョブのノードがオンラインであることを確認し、[ 今すぐスキャン] を選択してコンテンツ スキャン ジョブをもう一度開始します。 [ 今すぐスキャン ] ボタンは、選択したコンテンツ スキャン ジョブのノードがオンラインの場合にのみ表示されます。

スキャナーが継続的に実行されるようにスケジュールされるようになりました。 スキャナーはすべての構成済みファイルを通して動作すると、新しいファイルと変更されたファイルが検出されるように、自動的に新しいサイクルを開始します。

DLP ポリシーを使用する

データ損失防止ポリシーを使用すると、ファイル共有と SharePoint Server に格納されているファイルに DLP ルールを照合することで、スキャナーが潜在的なデータ リークを検出できます。

  • コンテンツ スキャン ジョブで DLP ルールを有効 にして、DLP ポリシーに一致するすべてのファイルの公開を減らします。 DLP ルールが有効になっている場合、スキャナーは、データ所有者のみへのファイル アクセスを減らすか、 すべてのユーザー、 認証済みユーザードメイン ユーザーなどのネットワーク全体のグループへの露出を減らすことができます。

  • Microsoft Purview コンプライアンス ポータルで、DLP ポリシーをテストするか、ルールを適用し、それらのルールに従ってファイルのアクセス許可を変更するかを決定します。 詳細については、「 DLP ポリシーを有効にする」を参照してください。

DLP ポリシーは、Microsoft Purview コンプライアンス ポータルで構成されます。 DLP ライセンスの詳細については、「 データ損失防止オンプレミス スキャナーの概要」を参照してください。

ヒント

DLP ポリシーをテストする場合でも、ファイルをスキャンすると、ファイルのアクセス許可レポートも作成されます。 これらのレポートに対してクエリを実行して、特定のファイルの公開を調査するか、スキャンされたファイルに対する特定のユーザーの露出を調べることができます。

PowerShell のみを使用するには、「 スキャナーで DLP ポリシーを使用する - PowerShell のみ」を参照してください。

Microsoft Purview コンプライアンス ポータルのスキャナーで DLP ポリシーを使用するには:

  1. Microsoft Purview コンプライアンス ポータルで、[コンテンツ スキャン ジョブ] タブに移動し、特定のコンテンツ スキャン ジョブを選択します。 詳細については、「 コンテンツ スキャン ジョブを作成する」を参照してください。

  2. [ DLP ポリシー ルールを有効にする] で、ラジオ ボタンを [オン] に設定します。

    重要

    Microsoft 365 で DLP ポリシーを実際に構成していない限り、[DLP ルールを有効にする][オン] に 設定しないでください。

    DLP ポリシーなしでこの機能をオンにすると、スキャナーでエラーが生成されます。

  3. (省略可能)[ リポジトリ所有者の設定 ] を [オン] に設定し、特定のユーザーをリポジトリ所有者として定義します。

    このオプションを使用すると、スキャナーは、DLP ポリシーに一致するこのリポジトリ内にあるファイルが、定義されているリポジトリ所有者に公開されるのを減らすことができます。

DLP ポリシーと プライベート アクション

プライベートアクションの作成で DLP ポリシーを使用していて、スキャナーを使用してファイルに自動的にラベルを付ける予定の場合は、統合ラベル付けクライアントの UseCopyAndPreserveNTFSOwner 詳細設定も定義することをお勧めします。

この設定により、元の所有者がファイルへのアクセスを保持できます。

詳細については、「 コンテンツ スキャン ジョブを作成する 」および「 秘密度ラベルをコンテンツに自動的に適用する」を参照してください。

保護するファイルの種類を変更する

既定では、スキャナーは Office ファイルの種類と PDF ファイルのみを保護します。

PowerShell コマンドを使用して、必要に応じてこの動作を変更します。たとえば、クライアントと同様にすべてのファイルの種類を保護するようにスキャナーを構成したり、追加の特定のファイルの種類を保護したりします。

スキャナーのラベルをダウンロードするユーザー アカウントに適用されるラベル ポリシーの場合は、 PFileSupportedExtensions という名前の PowerShell 詳細設定を指定します。

インターネットにアクセスできるスキャナーの場合、このユーザー アカウントは、Set-AIPAuthentication コマンドを使用して DelegatedUser パラメーターに指定するアカウントです。

例 1: ラベル ポリシーの名前が "Scanner" であるすべてのファイルの種類を保護するスキャナーの PowerShell コマンド:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

例 2: ラベル ポリシーに "Scanner" という名前の Office ファイルと PDF ファイルに加えて、.xml ファイルと .tiff ファイルを保護するためのスキャナーの PowerShell コマンド:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

詳細については、「 保護するファイルの種類を変更する」を参照してください。

スキャナーをアップグレードする

以前にスキャナーをインストールし、アップグレードする場合は、「 情報保護スキャナーのアップグレード」で説明されている手順を使用します。

次に、スキャナーを通常どおりに構成して使用し、スキャナーをインストールする手順をスキップします。

データ リポジトリの設定を一括で編集する

[ エクスポート ] ボタンと [インポート] ボタンを使用して、複数のリポジトリでスキャナーを変更します。

これにより、Azure portalまたはMicrosoft Purview コンプライアンス ポータルで、同じ変更を複数回手動で行う必要はありません。

たとえば、複数の SharePoint データ リポジトリに新しいファイルの種類がある場合は、それらのリポジトリの設定を一括で更新できます。

Microsoft Purview コンプライアンス ポータル内のリポジトリ間で一括変更するには:

  1. Microsoft Purview コンプライアンス ポータルで、特定のコンテンツ スキャン ジョブを選択し、ウィンドウ内の [リポジトリ] タブに移動します。 [エクスポート] オプションを選択 します

  2. エクスポートしたファイルを手動で編集して変更します。

  3. 同じページの [インポート ] オプションを使用して、リポジトリ間で更新プログラムをインポートし直します。

代替構成でスキャナーを使用する

スキャナーは通常、必要に応じてコンテンツを分類して保護するために、ラベルに指定された条件を検索します。

次のシナリオでは、スキャナーは、条件を構成せずに、コンテンツをスキャンし、ラベルを管理することもできます。

データ リポジトリ内のすべてのファイルに既定のラベルを適用する

この構成では、リポジトリ内のすべてのラベル付けされていないファイルに、リポジトリまたはコンテンツ スキャン ジョブに指定された既定のラベルでラベルが付けられます。 ファイルには検査なしでラベルが付けられます。

以下の設定を構成します。

Setting 説明
コンテンツに基づいてファイルにラベルを付ける [オフ] に設定します
既定のラベル [ カスタム] に設定し、使用するラベルを選択します
既定のラベルを適用する [ ファイルの再 ラベル付け] と [既定のラベルの適用] をオンにして既にラベルが付いている場合でも、すべてのファイルに 既定のラベル を適用する場合に選択します

データ リポジトリ内のすべてのファイルから既存のラベルを削除する

この構成では、保護がラベルに適用された場合、保護を含むすべての既存のラベルが削除されます。 ラベルとは無関係に適用される保護は保持されます。

以下の設定を構成します。

Setting 説明
コンテンツに基づいてファイルにラベルを付ける [オフ] に設定します
既定のラベル [なし] に設定します
ファイルにラベルを付け直す [既定のラベルを適用する][オン] に設定して、[オン] に設定します。

すべてのカスタム条件と既知の機密情報の種類を特定する

この構成を使用すると、スキャナーのスキャンレートを犠牲にして、自分が持っていたことに気付かない可能性のある機密情報を見つけることができます。

検出する情報の種類を[すべて] に設定します。

ラベル付けの条件と情報の種類を識別するために、スキャナーでは、指定されたカスタムの機密情報の種類と、ラベル付け管理センターで定義されているように、選択できる組み込みの機密情報の種類の一覧が使用されます。

スキャナーのパフォーマンスを最適化する

注:

スキャナーのパフォーマンスではなくスキャナー コンピューターの応答性を向上させる場合は、高度なクライアント設定を使用して 、スキャナーで使用されるスレッドの数を制限します

スキャナーのパフォーマンスを最適化するには、次のオプションとガイダンスを使用します。

オプション 説明
スキャナー コンピューターとスキャンされたデータ ストアの間に高速で信頼性の高いネットワーク接続を確立する たとえば、スキャナー コンピューターを、スキャンされたデータ ストアと同じ LAN(できれば)同じネットワーク セグメントに配置します。

ネットワーク接続の品質は、ファイルを検査するためにスキャナー サービスを実行しているコンピューターにファイルの内容を転送するため、スキャナーのパフォーマンスに影響します。

データの移動に必要なネットワーク ホップを減らすか排除すると、ネットワークの負荷も軽減されます。
スキャナー コンピューターに使用可能なプロセッサ リソースがあることを確認する ファイルの内容の検査とファイルの暗号化と暗号化解除は、プロセッサを集中的に使用するアクションです。

指定したデータ ストアの一般的なスキャン サイクルを監視して、プロセッサ リソースの不足がスキャナーのパフォーマンスに悪影響を及ぼしているかどうかを確認します。
スキャナーの複数のインスタンスをインストールする スキャナーのカスタム クラスター名を指定すると、スキャナーは同じ SQL Server インスタンス上の複数の構成データベースをサポートします。

ヒント: 複数のスキャナーで同じクラスターを共有できるため、スキャン時間が短縮されます。 同じデータベース インスタンスを持つ複数のマシンにスキャナーをインストールする予定で、スキャナーを並列に実行する場合は、同じクラスター名を使用してすべてのスキャナーをインストールする必要があります。
代替構成の使用状況を確認する スキャナーがファイルの内容を検査しないため、 代替構成 を使用してすべてのファイルに既定のラベルを適用すると、スキャナーがより迅速に実行されます。

代替構成を使用してすべてのカスタム条件と既知の機密情報の種類を識別すると、スキャナーの実行速度が遅くなります。

パフォーマンスに影響を与えるその他の要因

スキャナーのパフォーマンスに影響を与えるその他の要因は次のとおりです。

要因 説明
読み込み/応答時間 スキャンするファイルを含むデータ ストアの現在の読み込みと応答時間もスキャナーのパフォーマンスに影響します。
スキャナー モード (検出/適用) 検出モードでは、通常、強制モードよりもスキャン速度が高くなります。

検出には 1 つのファイル読み取りアクションが必要ですが、強制モードでは読み取りアクションと書き込みアクションが必要です。
ポリシーの変更 ラベル ポリシーで自動ラベル付けに変更を加えた場合、スキャナーのパフォーマンスが影響を受ける可能性があります。

スキャナーがすべてのファイルを検査する必要がある最初のスキャン サイクルは、以降のスキャン サイクルよりも時間がかかります。既定では、新しいファイルと変更されたファイルのみを検査します。

条件または自動ラベル付け設定を変更すると、すべてのファイルが再度スキャンされます。 詳細については、「ファイルの 再スキャン」を参照してください。
正規表現の構築 スキャナーのパフォーマンスは、カスタム条件の正規表現式がどのように構築されるかによって影響を受けます。

メモリの消費が多く、タイムアウト (ファイルあたり 15 分) のリスクを回避するには、正規表現式を確認して効率的なパターン マッチングを行います。

以下に例を示します。
- 欲張り量指定子を避ける
- キャプチャしないグループ (?:expression) を使用します。 (expression)
ログ レベル ログ レベルのオプションには、スキャナー レポートの [デバッグ]、[ 情報]、[ エラー ]、[ オフ ] が含まれます。

- オフ にすると最高のパフォーマンスが得られます
- デバッグ ではスキャナーの速度が大幅に低下し、トラブルシューティングにのみ使用する必要があります。

詳細については、「Set-AIPScannerConfiguration コマンドレットの ReportLevel パラメーター」を参照してください。
スキャン中のファイル - Excel ファイルを除き、Office ファイルは PDF ファイルよりも迅速にスキャンされます。

- 保護されていないファイルは、保護されたファイルよりも高速にスキャンできます。

- 大きなファイルは、明らかに小さなファイルよりもスキャンに時間がかかります。

PowerShell を使用してスキャナーを構成する

このセクションでは、Microsoft Purview コンプライアンス ポータルのスキャナー ページにアクセスできない場合にスキャナーを構成してインストールするために必要な手順について説明します。PowerShell のみを使用する必要があります。

重要

  • 一部の手順では、コンプライアンス ポータルでスキャナー ページにアクセスできるかどうかに関係なく、Powershell が必要です。また、同一である必要があります。 これらの手順については、この記事の前述の手順を参照してください。

  • Azure China 21Vianet のスキャナーを使用している場合は、ここに記載されている手順に加えて、追加の手順が必要です。 詳細については、「21Vianet が運営するOffice 365の Azure Information Protection サポート」を参照してください。

詳細については、「 サポートされている PowerShell コマンドレット」を参照してください。

スキャナーを構成してインストールするには:

  1. PowerShell が閉じられた状態で開始します。 以前に AIP クライアントとスキャナーをインストールしたことがある場合は、 AIPScanner サービスが停止していることを確認してください。

  2. [管理者として実行] オプションを使用して、Windows PowerShell セッションを開きます。

  3. Install-AIPScanner コマンドを実行して、クラスター名を定義する Cluster パラメーターを使用して、スキャナーを SQL Server インスタンスにインストールします。

    この手順は、コンプライアンス ポータルでスキャナー ページにアクセスできるかどうかに関係なく同じです。 詳細については、この記事の「スキャナーをインストールする」の前の手順を参照してください。

  4. スキャナーで使用する Azure トークンを取得し、再認証します。

    この手順は、コンプライアンス ポータルでスキャナー ページにアクセスできるかどうかに関係なく同じです。 詳細については、この記事の「 スキャナーの Azure AD トークンを取得する」の前の手順を参照してください。

  5. Set-AIPScannerConfiguration コマンドレットを実行して、スキャナーをオフライン モードで機能するように設定します。 次を実行します:

    Set-AIPScannerConfiguration -OnlineConfiguration Off
    
  6. Set-AIPScannerContentScanJob コマンドレットを実行して、既定のコンテンツ スキャン ジョブを作成します。

    Set-AIPScannerContentScanJob コマンドレットで必要なパラメーターは、Enforce のみです。 ただし、この時点でコンテンツ スキャン ジョブの他の設定を定義する必要がある場合があります。 以下に例を示します。

    Set-AIPScannerContentScanJob -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>
    

    上記の構文では、構成を続行するときに次の設定が構成されます。

    • スキャナーの実行スケジュールを手動で保持する
    • 秘密度ラベル ポリシーに基づいて検出される情報の種類を設定します
    • 秘密度ラベル ポリシーを適用しない
    • 秘密度ラベル ポリシーに定義されている既定のラベルを使用して、コンテンツに基づいてファイルに自動的にラベルを付ける
    • ファイルのラベルを変更できません
    • によって変更された日付最終変更日、変更日など、スキャンおよび自動ラベル付け中にファイルの詳細を保持します
    • 実行中に .msg ファイルと .tmp ファイルを除外するようにスキャナーを設定します
    • スキャナーの実行時に使用するアカウントに既定の所有者を設定します
  7. Add-AIPScannerRepository コマンドレットを使用して、コンテンツ スキャン ジョブでスキャンするリポジトリを定義します。 たとえば、以下を実行します。

    Add-AIPScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'
    

    追加するリポジトリの種類に応じて、次のいずれかの構文を使用します。

    • ネットワーク共有の場合は、 を使用します \\Server\Folder
    • SharePoint ライブラリの場合は、 を使用します http://sharepoint.contoso.com/Shared%20Documents/Folder
    • ローカル パスの場合: C:\Folder
    • UNC パスの場合: \\Server\Folder

    注:

    ワイルドカードはサポートされておらず、WebDav の場所はサポートされていません。

    後でリポジトリを変更するには、代わりに Set-AIPScannerRepository コマンドレットを 使用します。

    共有ドキュメントの SharePoint パスを追加する場合:

    • すべてのドキュメントとすべてのフォルダーを 共有ドキュメント からスキャンする場合は、パスで共有ドキュメントを指定します。 例: http://sp2013/SharedDocuments
    • [共有 ドキュメント] の下のサブフォルダーからすべてのドキュメントとすべてのフォルダーをスキャンする場合は、パスで [ドキュメント] を指定します。 例: http://sp2013/Documents/SalesReports
    • または、Sharepoint の FQDN のみを指定します。たとえば http://sp2013 、この URL の下にある特定の URL とサブタイトルの下にあるすべての SharePoint サイトとサブサイトを検出してスキャン します。 これを有効にする権限をスキャナー のサイト コレクター監査者 に付与します。

    SharePoint パスを追加するときは、次の構文を使用します。

    Path 構文
    ルート パス http://<SharePoint server name>

    スキャナー ユーザーに許可されているサイト コレクションを含め、すべてのサイトをスキャンします。
    ルート コンテンツを自動的に検出するには 、追加のアクセス許可 が必要です
    特定の SharePoint サブサイトまたはコレクション 以下のいずれか:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    サイト コレクションのコンテンツを自動的に検出するには 、追加のアクセス許可 が必要です
    特定の SharePoint ライブラリ 以下のいずれか:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    特定の SharePoint フォルダー http://<SharePoint server name>/.../<folder name>

必要に応じて、次の手順に進みます。

PowerShell を使用して、分類と保護を適用するようにスキャナーを構成する

  1. Set-AIPScannerContentScanJob コマンドレットを実行してコンテンツ スキャン ジョブを更新し、スケジュールを常に に設定し、秘密度ポリシーを適用します。

    Set-AIPScannerContentScanJob -Schedule Always -Enforce On
    

    ヒント

    ファイル属性を変更するかどうか、スキャナーでファイルにラベルを付け直すことができるかどうかなど、このウィンドウの他の設定を変更することもできます。 使用できる設定の詳細については、PowerShell の完全な ドキュメントを参照してください

  2. Start-AIPScan コマンドレットを実行して、コンテンツ スキャン ジョブを実行します。

    Start-AIPScan
    

スキャナーが継続的に実行されるようにスケジュールされるようになりました。 スキャナーはすべての構成済みファイルを通して動作すると、新しいファイルと変更されたファイルが検出されるように、自動的に新しいサイクルを開始します。

PowerShell を使用してスキャナーを使用して DLP ポリシーを構成する

-EnableDLP パラメーターを [オン] に設定し、特定のリポジトリ所有者を定義して、Set-AIPScannerContentScanJob コマンドレットをもう一度実行します。

以下に例を示します。

Set-AIPScannerContentScanJob -EnableDLP On -RepositoryOwner 'domain\user'

サポートされている PowerShell コマンドレット

このセクションでは、情報保護スキャナーでサポートされている PowerShell コマンドレットと、PowerShell のみを使用してスキャナーを構成およびインストールする手順を示します。

スキャナーでサポートされているコマンドレットは次のとおりです。

次の手順

スキャナーをインストールして構成したら、 ファイルのスキャンを開始します