情報保護スキャナーの概要

注:

プレビュー段階で、情報保護スキャナーの新しいバージョンがあります。 詳細については、「Azure Information Protection クライアントからMicrosoft Purview 情報保護 スキャナーをアップグレードする」を参照してください。

Microsoft Purview 情報保護からスキャナーをインストールする前に、システムが基本的な Azure Information Protection要件に準拠していることを確認してください。

さらに、スキャナーには次の要件が固有です。

• Windows Server の要件
• サービス アカウントの要件
• SQL サーバーの要件
• Azure Information Protection クライアント要件
• ラベル構成の要件
• SharePoint の要件
• Microsoft Office の要件
• ファイル パスの要件

スキャナーがorganizationポリシーで禁止されているため、スキャナーに関するすべての要件を満たしていない場合は、代替構成に関するセクションを参照してください。

運用環境にスキャナーをデプロイする場合、または複数のスキャナーのパフォーマンスをテストする場合は、「SQL Serverのストレージ要件と容量計画」を参照してください。

スキャナーのインストールとデプロイを開始する準備ができたら、 情報保護スキャナーの構成とインストールに進みます。

Windows Server の要件

スキャナーを実行するには、次のシステム仕様を備えた Windows Server コンピューターが必要です。

仕様	詳細
プロセッサ	4 コア プロセッサ
RAM	8 GB
ディスク領域	一時ファイルの 10 GB の空き領域 (平均)。 スキャナーでは、スキャンするファイルごとに一時ファイルを作成するのに十分なディスク領域が必要です。コアあたり 4 つのファイルです。 推奨される 10 GB のディスク領域を使用すると、4 つのコア プロセッサが 16 個のファイルをスキャンでき、それぞれファイル サイズは 625 MB です。
オペレーティング システム	64 ビット バージョン: - Windows Server 2022 - Windows Server 2019 - Windows Server 2016 - Windows Server 2012 R2 注: 非運用環境でのテストまたは評価の目的で、Azure Information Protection クライアントでサポートされている任意の Windows オペレーティング システムを使用することもできます。
- ネットワーク接続	スキャナー コンピューターは、スキャン対象のデータ ストアへの高速で信頼性の高いネットワーク接続を備えた物理コンピューターまたは仮想コンピューターにすることができます。 organization ポリシーのためにインターネット接続が不可能な場合は、「代替構成を使用したスキャナーの展開」を参照してください。 それ以外の場合は、このコンピューターに HTTPS 経由で次の URL を許可するインターネット接続があることを確認します (ポート 443)。 - *.aadrm.com - *.azurerms.com - *.informationprotection.azure.com - informationprotection.hosting.portal.azure.net - *.aria.microsoft.com - *.protection.outlook.com
NFS 共有	NFS 共有でのスキャンをサポートするには、NFS のサービスをスキャナー コンピューターにデプロイする必要があります。 お使いのコンピューターで、Windows 機能 (Windows 機能のオンまたはオフ) 設定ダイアログに移動し、[NFS管理ツールのサービス] と [NFS >用クライアント] を選択します。
Microsoft Office iFilter	スキャナーが Windows サーバー コンピューターにインストールされている場合は、機密情報の種類 .zip ファイルをスキャンするために、Microsoft Office iFilter もインストールする必要があります。 詳細については、 Microsoft ダウンロード サイトを参照してください。

サービス アカウントの要件

Windows Server コンピューターでスキャナー サービスを実行するサービス アカウントと、スキャナーのポリシーをMicrosoft Entra IDしてダウンロードするための認証を行うサービス アカウントが必要です。

サービス アカウントは Active Directory アカウントであり、Microsoft Entra IDに同期されている必要があります。

organization ポリシーのためにこのアカウントを同期できない場合は、「代替構成を使用したスキャナーの展開」を参照してください。

このサービス アカウントには、次の要件があります。

要件	詳細
ローカルでユーザー権利の割り当てにログオンする	スキャナーをインストールして構成するために必要ですが、スキャンを実行する必要はありません。 スキャナーがファイルを検出、分類、保護できることを確認したら、この権限をサービス アカウントから削除できます。 organizationポリシーにより、短期間でもこの権限を付与できない場合は、「代替構成を使用したスキャナーの展開」を参照してください。
サービス ユーザー権利の割り当てとしてログオンします。	この権限はスキャナーのインストール中にサービス アカウントに自動的に付与され、スキャナーのインストール、構成、および操作にはこの権限が必要です。
データ リポジトリへのアクセス許可	- ファイル共有またはローカル ファイル: ファイルをスキャンし、構成どおりに分類と保護を適用するための 読み取り、 書き込み、 変更 のアクセス許可を付与します。 - SharePoint: ファイルをスキャンし、Azure Information Protection ポリシーの条件を満たすファイルに分類と保護を適用するためのフル コントロールアクセス許可を付与する必要があります。 - 検出モード: 検出モードでのみスキャナーを実行するには、 読み取り アクセス許可で十分です。
保護を再保護または削除するラベルの場合	スキャナーが常に暗号化されたファイルにアクセスできるようにするには、このアカウントを Azure Information Protectionのスーパー ユーザーにし、スーパー ユーザー機能が有効になっていることを確認します。 さらに、段階的なデプロイの オンボード コントロールを 実装している場合は、構成したオンボード コントロールにサービス アカウントが含まれていることを確認します。
特定の URL レベルのスキャン	特定の URL でサイトとサブサイトをスキャンして検出するには、ファーム レベルでスキャナー アカウントに対するサイト コレクター監査権限を付与します。
情報保護のライセンス	スキャナー サービス アカウントにファイル分類、ラベル付け、または保護機能を提供するために必要です。 詳細については、 セキュリティ & コンプライアンスに関する Microsoft 365 ガイダンスを参照してください。

SQL サーバーの要件

スキャナー構成データを格納するには、次の要件を満たす SQL サーバーを使用します。

• ローカル インスタンスまたはリモート インスタンス。

  小規模なデプロイを使用する場合を除き、異なるマシンで SQL サーバーとスキャナー サービスをホストすることをお勧めします。 さらに、スキャナー データベースのみを提供し、他のアプリケーションと共有しない専用 SQL インスタンスを用意することをお勧めします。

  共有サーバーで作業している場合は、スキャナー データベースが機能するために 推奨されるコア数 が空いていることを確認してください。

  SQL Server 2016 は、次のエディションの最小バージョンです。

  • SQL Server Enterprise

  • SQL Server Standard

  • SQL Server Express (テスト環境にのみ推奨)

• スキャナーをインストールするための Sysadmin ロールを持つアカウント。

  Sysadmin ロールを使用すると、インストール プロセスでスキャナー構成データベースを自動的に作成し、スキャナーを実行するサービス アカウントに必要な db_owner ロールを付与できます。

  Sysadmin ロールを付与できない場合、またはorganization ポリシーでデータベースを手動で作成および構成する必要がある場合は、「代替構成を使用したスキャナーの展開」を参照してください。

• 容量。 容量ガイダンスについては、「SQL Serverのストレージ要件と容量計画」を参照してください。

• 大文字と小文字を区別しない照合順序。

注:

スキャナーのカスタム クラスター名を指定する場合、またはスキャナーのプレビュー バージョンを使用する場合は、同じ SQL サーバー上の複数の構成データベースがサポートされます。

SQL Serverのストレージ要件と容量計画

スキャナーの構成データベースに必要なディスク領域と、SQL Serverを実行しているコンピューターの仕様は、環境ごとに異なる場合があるため、独自のテストを行うことをお勧めします。 出発点として、次のガイダンスを使用します。

詳細については、「 スキャナーのパフォーマンスの最適化」を参照してください。

スキャナー構成データベースのディスク サイズは、デプロイごとに異なります。 ガイダンスとして次の式を使用します。

100 KB + <file count> *(1000 + 4* <average file name length>)

たとえば、平均ファイル名の長さが 250 バイトの 100 万個のファイルをスキャンするには、2 GB のディスク領域を割り当てます。

複数のスキャナーの場合:

• 最大 10 個のスキャナーを使用します。

  • 4 コア プロセッサ
  • 推奨される 8 GB RAM

• 10 を超えるスキャナー (最大 40) を使用します。

  • 8 つのコア プロセス
  • 推奨される 16 GB RAM

Azure Information Protection クライアント要件

運用ネットワークの場合は、現在の一般提供バージョンの Azure Information Protection クライアントが Windows Server コンピューターにインストールされている必要があります。

詳細については、「Azure Information Protection統合ラベル付けクライアント管理者ガイド」を参照してください。

重要

スキャナーの完全なクライアントをインストールする必要があります。 PowerShell モジュールだけを使用してクライアントをインストールしないでください。

ラベル構成の要件

分類と必要に応じて暗号化を適用するには、Microsoft Purview ポータルまたはスキャナー アカウントのMicrosoft Purview コンプライアンス ポータルで、少なくとも 1 つの秘密度ラベルが構成されている必要があります。

スキャナー アカウントは、スキャナーを構成するときに実行する Set-AIPAuthentication コマンドレットの DelegatedUser パラメーターで指定するアカウントです。

ラベルに自動ラベル付け条件がない場合は、以下の 代替構成の手順を 参照してください。

詳細については、以下を参照してください。

• 秘密度ラベルの詳細
• 秘密度ラベルをコンテンツに自動的に適用する
• 機密ラベルでの暗号化を使用してコンテンツへのアクセスを制限する
• 情報保護スキャナーの構成とインストール

SharePoint の要件

SharePoint ドキュメント ライブラリとフォルダーをスキャンするには、SharePoint サーバーが次の要件に準拠していることを確認します。

要件	説明
サポートされるバージョン	サポートされているバージョンは、SharePoint 2019、SharePoint 2016、および SharePoint 2013 です。 その他のバージョンの SharePoint は、スキャナーではサポートされていません。
バージョン管理	バージョン管理を使用すると、スキャナーによって最後に発行されたバージョンが検査され、ラベルが付けられます。 スキャナーがファイルにラベルを付け、 コンテンツの承認 が必要な場合は、そのラベル付きファイルをユーザーが使用できるように承認する必要があります。
大規模な SharePoint ファーム	大規模な SharePoint ファームの場合は、スキャナーがすべてのファイルにアクセスするためにリスト ビューのしきい値 (既定では 5,000) を増やす必要があるかどうかをチェックします。 詳細については、「 SharePoint で大規模なリストとライブラリを管理する」を参照してください。
長いファイル パス	SharePoint に長いファイル パスがある場合は、SharePoint サーバーの httpRuntime.maxUrlLength 値が既定の 260 文字より大きいことを確認します。 詳細については、次のセクション「 SharePoint でスキャナーのタイムアウトを回避する」を参照してください。

SharePoint でスキャナーのタイムアウトを回避する

SharePoint バージョン 2013 以降に長いファイル パスがある場合は、SharePoint サーバーの httpRuntime.maxUrlLength 値が既定の 260 文字より大きいことを確認します。

この値は、構成の HttpRuntimeSection クラスで定義されます ASP.NET 。

HttpRuntimeSection クラスを更新するには、

1. web.config 構成をバックアップします。

2. 必要に応じて maxUrlLength 値を更新します。 以下に例を示します。

   <httpRuntime maxRequestLength="51200" requestValidationMode="2.0" maxUrlLength="5000"  />
   

3. SharePoint Web サーバーを再起動し、正しく読み込まれることを確認します。

   たとえば、Windows インターネット インフォメーション サーバー (IIS) マネージャーでサイトを選択し、[ Web サイトの管理] で [再起動] を選択 します。

Microsoft Office の要件

Office ドキュメントをスキャンするには、ドキュメントが次のいずれかの形式である必要があります。

• Microsoft Office 97-2003
• Word、Excel、PowerPoint 用の Office Open XML 形式

詳細については、「Azure Information Protection統合ラベル付けクライアントでサポートされるファイルの種類」を参照してください。

ファイル パスの要件

既定では、ファイルをスキャンするには、ファイル パスの最大文字数が 260 文字である必要があります。

ファイル パスが 260 文字を超えるファイルをスキャンするには、次のいずれかの Windows バージョンのコンピューターにスキャナーをインストールし、必要に応じてコンピューターを構成します。

Windows バージョン	説明
Windows 2016 以降	長いパスをサポートするようにコンピューターを構成する
Windows 10またはWindows Server 2016	次の グループ ポリシー設定を定義します。 ローカル コンピューター ポリシー>コンピューター構成>管理テンプレート>すべての設定>Win32 の長いパスを有効にします。 これらのバージョンでの長いファイル パスのサポートの詳細については、Windows 10開発者向けドキュメントの「最大パス長制限」セクションを参照してください。
Windows 10バージョン 1607 以降	更新された MAX_PATH 機能をオプトインします。 詳細については、「Windows 10 バージョン 1607 以降で長いパスを有効にする」を参照してください。

代替構成を使用したスキャナーのデプロイ

上記の前提条件は、スキャナーのデプロイの既定の要件であり、最も単純なスキャナー構成をサポートしているため、推奨されます。

スキャナーの機能をチェックできるように、既定の要件は初期テストに適している必要があります。

ただし、運用環境では、organizationのポリシーが既定の要件とは異なる場合があります。 スキャナーは、追加の構成で次の変更に対応できます。

• 特定の URL ですべてのサイトとサブサイトを検出してスキャンする

• 制限: スキャナー サーバーにインターネット接続を使用できない

• 制限: スキャナー サービス アカウントをMicrosoft Entra IDに同期することはできませんが、サーバーにはインターネット接続があります

• 制限: スキャナーのサービス アカウントに 、ローカルでログオン する権限を付与することはできません

• 制限: Sysadmin を付与できないか、データベースを手動で作成して構成する必要があります

• 制限: ラベルに自動ラベル付け条件がない

特定の URL ですべての SharePoint サイトとサブサイトを検出してスキャンする

スキャナーは、次の構成を使用して、特定の URL の下にあるすべての SharePoint サイトとサブサイトを検出してスキャンできます。

1. SharePoint サーバーの全体管理を開始します。

2. SharePoint サーバーの全体管理 Web サイトの [アプリケーション管理] セクションで、[Web アプリケーションの管理] をクリックします。

3. アクセス許可ポリシー レベルを管理する Web アプリケーションをクリックして強調表示します。

4. 関連するファームを選択し、[ アクセス許可ポリシー レベルの管理] を選択します。

5. [サイト コレクションのアクセス許可] オプションで [サイト コレクション監査者] を選択し、[アクセス許可] リストに [アプリケーション ページの表示] を付与し、最後に新しいポリシー レベルのスキャナー サイト コレクションの監査者とビューアーに名前を付けます。

6. スキャナー ユーザーを新しいポリシーに追加し、[アクセス許可] の一覧で サイト コレクション を付与します。

7. スキャンする必要があるサイトまたはサブサイトをホストする SharePoint の URL を追加します。 詳細については、「 スキャナー設定の構成」を参照してください。

SharePoint ポリシー レベルを管理する方法の詳細については、「 Web アプリケーションのアクセス許可ポリシーを管理する」を参照してください。

制限: スキャナー サーバーにインターネット接続を使用できない

統合ラベル付けクライアントはインターネットに接続しないと暗号化を適用できませんが、スキャナーはインポートされたポリシーに基づいてラベルを適用できます。

切断されたコンピューターをサポートするには、次のいずれかの方法を使用します。

• コンプライアンス ポータルを使用する (可能な場合は推奨)

• PowerShell を使う

Microsoft Purview ポータルを使用するか、切断されたコンピューターでMicrosoft Purview コンプライアンス ポータルする

Microsoft Purview ポータルまたはMicrosoft Purview コンプライアンス ポータルに接続できないコンピューターをサポートするには、次の手順を実行します。

1. ポリシーでラベルを構成し、手順を使用 して切断されたコンピューターをサポート し、オフライン分類とラベル付けを有効にします。

2. コンテンツ ジョブのオフライン管理を次のように有効にします。

   コンテンツ スキャン ジョブのオフライン管理を有効にする:

   1. Set-AIPScannerConfiguration コマンドレットを使用して、スキャナーをオフライン モードで機能するように設定します。

   2. スキャナー クラスターを作成して、コンプライアンス ポータルでスキャナーを構成します。 詳細については、「 スキャナー設定の構成」を参照してください。

   3. [エクスポート] オプションを使用して、[ 情報保護 - コンテンツ スキャン ジョブ ] ウィンドウからコンテンツ ジョブを エクスポート します。

   4. Import-AIPScannerConfiguration コマンドレットを使用してポリシーをインポートします。

   オフライン コンテンツ スキャン ジョブの結果は、%localappdata%\Microsoft\MSIP\Scanner\Reports にあります。

切断されたコンピューターで PowerShell を使用する

PowerShell のみを使用して切断されたコンピューターをサポートするには、次の手順を実行します。

重要

Azure China 21Vianet スキャナー サーバーの管理者は、コンテンツ スキャン ジョブを管理するためにこの手順を使用する必要があります。

PowerShell のみを使用してコンテンツ スキャン ジョブを管理します。

1. Set-AIPScannerConfiguration コマンドレットを使用して、スキャナーをオフライン モードで機能するように設定します。

2. Set-AIPScannerContentScanJob コマンドレットを使用して新しいコンテンツ スキャン ジョブを作成し、必ず必須-Enforce Onパラメーターを使用します。

3. Add-AIPScannerRepository コマンドレットを使用して、追加するリポジトリへのパスを使用してリポジトリを追加します。

   ヒント

   リポジトリがコンテンツ スキャン ジョブから設定を継承しないようにするには、パラメーターと、追加の OverrideContentScanJob On 設定の値を追加します。

   既存のリポジトリの詳細を編集するには、 Set-AIPScannerRepository コマンドを使用します。

4. コンテンツ スキャン ジョブの現在の設定に関する情報を返すには、 Get-AIPScannerContentScanJob コマンドレットと Get-AIPScannerRepository コマンドレットを使用します。

5. Set-AIPScannerRepository コマンドを使用して、既存のリポジトリの詳細を更新します。

6. 必要に応じて、 Start-AIPScan コマンドレットを使用して、コンテンツ スキャン ジョブをすぐに実行します。

   オフライン コンテンツ スキャン ジョブの結果は、%localappdata%\Microsoft\MSIP\Scanner\Reports にあります。

7. リポジトリまたはコンテンツ スキャン ジョブ全体を削除する必要がある場合は、次のコマンドレットを使用します。

   • Remove-AIPScannerContentScanJob
   • Remove-AIPScannerRepository

制限: Sysadmin を付与できないか、データベースを手動で作成して構成する必要があります

データベースを手動で作成し、必要に応じて db_owner ロールを付与するには、次の手順に従います。

• スキャナー データベースの手順

スキャナーをインストールするために Sysadmin ロールを 一時的に 付与できる場合は、スキャナーのインストールが完了したときにこのロールを削除できます。

organizationの要件に応じて、次のいずれかの操作を行います。

制限	説明
Sysadmin ロールを一時的に使用できます	Sysadmin ロールを一時的に持っている場合は、データベースが自動的に作成され、スキャナーのサービス アカウントに必要なアクセス許可が自動的に付与されます。 ただし、スキャナーを構成するユーザー アカウントには、スキャナー構成データベースの db_owner ロールが引き続き必要です。 スキャナーのインストールが完了するまで Sysadmin ロールしかない場合は、ユーザー アカウントに db_owner ロールを手動で付与します。
Sysadmin ロールをまったく持つことはできません	Sysadmin ロールを一時的に付与できない場合は、スキャナーをインストールする前に、Sysadmin 権限を持つユーザーにデータベースを手動で作成するように依頼する必要があります。 この構成では、 db_owner ロールを次のアカウントに割り当てる必要があります。 - スキャナーのサービス アカウント - スキャナーのインストールのユーザー アカウント - スキャナー構成のユーザー アカウント 通常、スキャナーのインストールと構成には、同じユーザー アカウントを使用します。 異なるアカウントを使用する場合、両方ともスキャナー構成データベースの db_owner ロールが必要です。 必要に応じて、このユーザーと権限を作成します。 独自のクラスター名を指定した場合、構成データベースには AIPScannerUL_<cluster_name> という名前が付けられます。

追加：

• スキャナーを実行するサーバーのローカル管理者である必要があります

• スキャナーを実行するサービス アカウントには、次のレジストリ キーに対するフル コントロールアクセス許可が付与されている必要があります。

  • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server

これらのアクセス許可を構成した後、スキャナーのインストール時にエラーが表示された場合は、エラーを無視して、スキャナー サービスを手動で開始できます。

スキャナーのデータベースとユーザーを手動で作成し、db_owner権限を付与する

スキャナー データベースを手動で作成したり、ユーザーを作成したり、データベース にdb_owner 権限を付与したりする必要がある場合は、Sysadmin に次の手順を実行するように依頼します。

1. スキャナー用のデータベースを作成します。

   **CREATE DATABASE AIPScannerUL_[clustername]**
   
   **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**
   

2. インストール コマンドを実行し、スキャナー管理コマンドを実行するために使用されるユーザーに権限を付与します。 次のスクリプトを使用します。

   if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
   USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) END
   

3. スキャナー サービス アカウントに権限を付与します。 次のスクリプトを使用します。

   if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
   

制限: スキャナーのサービス アカウントに 、ローカルでログオン する権限を付与することはできません

organization ポリシーで、サービス アカウントに対するローカルでのログオン権限が禁止されている場合は、Set-AIPAuthentication で OnBehalfOf パラメーターを使用します。

詳細については、「Azure Information Protection用に非対話型でファイルにラベルを付ける方法」を参照してください。

制限: スキャナー サービス アカウントをMicrosoft Entra IDに同期することはできませんが、サーバーにはインターネット接続があります

スキャナー サービスを実行するアカウントを 1 つ持ち、別のアカウントを使用して認証してMicrosoft Entra IDできます。

• スキャナー サービス アカウントの場合は、ローカル Windows アカウントまたは Active Directory アカウントを使用します。

• Microsoft Entra アカウントの場合は、Set-AIPAuthentication コマンドレットの DelegatedUser パラメーターで、Microsoft Entra ユーザーを指定します。

  スキャナー アカウント以外のユーザーでスキャンを実行している場合は、 OnBehalfOf パラメーターにもスキャナー アカウントを指定してください。

  詳細については、「Azure Information Protection用に非対話型でファイルにラベルを付ける方法」を参照してください。

制限: ラベルに自動ラベル付け条件がない

ラベルに自動ラベル付け条件がない場合は、スキャナーの構成時に次のいずれかのオプションを使用することを計画してください。

オプション	説明
すべての情報の種類を検出する	コンテンツ スキャン ジョブで、[検出する情報の種類] オプションを[すべて] に設定します。 このオプションは、すべての機密情報の種類についてコンテンツをスキャンするコンテンツ スキャン ジョブを設定します。
推奨ラベル付けを使用する	コンテンツ スキャン ジョブで、[推奨ラベル付けを自動として扱う] オプションを [オン] に設定します。 この設定は、コンテンツに推奨されるすべてのラベルを自動的に適用するようにスキャナーを構成します。
既定のラベルを定義する	ポリシー、コンテンツ スキャン ジョブ、またはリポジトリで既定のラベルを定義します。 この場合、スキャナーは見つかったすべてのファイルに既定のラベルを適用します。

次の手順

システムがスキャナーの前提条件に準拠していることを確認したら、 情報保護スキャナーの構成とインストールに進みます。

スキャナーの概要については、「 情報保護スキャナーについて」を参照してください。