Azure Information Protection クラシック スキャナーをインストールおよびデプロイするための前提条件
Azure Information Protection オンプレミス スキャナーをインストールする前に、お使いのシステムが基本的な Azure Information Protection の要件と、スキャナーに固有の次の要件に準拠していることを確認します。
- Windows Server の要件
- サービス アカウントの要件
- SQL Server の要件
- Azure Information Protection クライアントの要件
- ラベル構成の要件
- SharePoint の要件
- Microsoft Office の要件
- ファイル パスの要件
組織のポリシーによって禁止されているため、この表のすべての要件を満たすことができない場合は、代替構成に関するセクションをご覧ください。
スキャナーを運用環境にデプロイする、または複数のスキャナーのパフォーマンスをテストする際には、「SQL Server のストレージ要件と容量計画」をご覧ください。
スキャナーのインストールとデプロイを開始する準備ができたら、Azure Information Protection スキャナーをデプロイし、ファイルを自動的に分類して保護する方法に関する記事に進みます。
Windows Server の要件
スキャナーを実行するには、次のシステム仕様を満たす Windows Server コンピューターが必要です。
| 仕様 | 詳細 |
|---|---|
| プロセッサ | 4 コア プロセッサ |
| RAM | 8 GB |
| ディスク領域 | 一時ファイルのための空き容量 10 GB (平均)。 スキャナーには、スキャン対象の各ファイル用に、コアごとに 4 つの一時ファイルを作成するために、十分なディスク領域が必要です。 推奨される 10 GB のディスク領域を使用すると、4 コア プロセッサで、それぞれのサイズが 625 MB であるファイルを 16 個スキャンできます。 |
| オペレーティング システム | - Windows Server 2019 - Windows Server 2016 - Windows Server 2012 R2 注: 非運用環境でテストまたは評価を行う場合、Azure Information Protection クライアントでサポートされている Windows クライアント オペレーティング システムを使用できます。 |
| ネットワーク接続 | スキャン対象のデータ ストアへの高速で信頼性の高いネットワーク接続がある物理コンピューターまたは仮想コンピューターを、スキャナー コンピューターとして設定できます。 組織のポリシーによってインターネットに接続できない場合は、「代替構成でのスキャナーのデプロイ」をご覧ください。 それ以外の場合は、HTTPS (ポート 443) 経由で次の URL を許可するインターネット接続がこのコンピューターにあることを確認します。 - *.aadrm.com - *.azurerms.com - *.informationprotection.azure.com - informationprotection.hosting.portal.azure.net - *.aria.microsoft.com |
サービス アカウントの要件
Windows Server コンピューターでスキャナー サービスを実行し、Azure AD に対して認証を行い、Azure Information Protection ポリシーをダウンロードするには、サービス アカウントが必要です。
使用するサービス アカウントは、Active Directory アカウントであり、かつ Azure AD と同期している必要があります。
組織のポリシーが原因でこのアカウントを同期できない場合は、「代替構成でのスキャナーのデプロイ」をご覧ください。
このサービス アカウントには次の要件があります。
| 要件 | 詳細 |
|---|---|
| ローカル ログオン ユーザー権限の割り当て | スキャナーのインストールと構成に必要ですが、スキャンの実行には必要ありません。 スキャナーでファイルを検出、分類、保護できることを確認したら、サービス アカウントからこの権限を削除できます。 組織のポリシーによって、たとえわずかな時間であってもこの権限を付与することができない場合は、「代替構成でのスキャナーのデプロイ」をご覧ください。 |
| サービスとしてログオン ユーザー権限の割り当て。 | この権限は、スキャナーのインストール中にサービス アカウントに自動的に付与され、スキャナーのインストール、構成、操作に必要です。 |
| データ リポジトリへのアクセス許可 | - ファイル共有またはローカル ファイル: ファイルをスキャンしてから、構成されているとおりに分類と保護を適用するには、読み取り、書き込み、変更のアクセス許可を付与します。 - SharePoint: ファイルをスキャンしてから、構成されているとおりに分類と保護を適用するには、フル コントロール アクセス許可を付与します。 - 検索モード: スキャナーを検索モードでのみ実行するには、読み取りアクセス許可で十分です。 |
| 保護を再保護または削除するラベルの場合 | 保護されたファイルにスキャナーで常にアクセスできるようにするには、このアカウントを Azure Information Protection のスーパー ユーザーにして、スーパー ユーザー機能が有効になっていることを確認します。 さらに、段階的なデプロイのためにオンボーディング制御を実装している場合は、構成したオンボーディング制御にサービス アカウントが含まれていることを確認します。 |
SQL Server の要件
スキャナー構成データを格納するには、次の要件を満たす SQL Server を使用します。
ローカルまたはリモート インスタンス。
小規模のデプロイで作業しているのではない限り、SQL Server とスキャナー サービスは別々のマシンにホストすることをお勧めします。 さらに、他のアプリケーションとは共有されない、スキャナー データベースのみが動作する専用の SQL インスタンスを用意することをお勧めします。
共有サーバーで作業している場合は、推奨される数のコアがスキャナー データベースで使用できるようになっていることを確認してください。
次のエディションでは、SQL Server 2012 が最小バージョンとなります。
- SQL Server Enterprise
- SQL Server Standard
- SQL Server Express (テスト環境でのみ推奨)
スキャナーをインストールするための Sysadmin ロールが備わっているアカウント。
これにより、インストールのプロセスでスキャナーの構成データベースが自動的に作成され、スキャナーを実行するサービス アカウントに対して必要な db_owner ロールが付与されます。
Sysadmin ロールが付与されない場合や、組織のポリシーによってデータベースを手動で作成して構成することが要求されている場合は、「代替構成でのスキャナーのデプロイ」をご覧ください。
容量。 容量のガイダンスについては、「SQL Server のストレージ要件と容量計画」をご覧ください。
注意
スキャナーのカスタム クラスター (プロファイル) 名を指定すると、同じ SQL Server 上で複数の構成データベースがサポートされます。
SQL Server のストレージ要件と容量計画
スキャナーの構成データベースに必要なディスク領域と SQL Server を実行するためのコンピューターの仕様は環境ごとに異なる可能性があるため、独自にテストすることをお勧めします。 次のガイダンスを出発点として使用します。
詳しくは、スキャナーのパフォーマンスの最適化に関する記事をご覧ください。
構成データベースのディスク サイズは、デプロイごとに異なります。 スキャンする 1,000,000 ファイルごとに 500 MB を割り当てることをお勧めします。
スキャナーごとに、次を使用します。
- 4 コア プロセッサ
- 8 GB RAM (4 GB 以上)
Azure Information Protection クライアントの要件
Azure Information Protection クライアントが Windows Server コンピューターにインストールされている必要があります。
詳しくは、クラシック クライアント管理者ガイドをご覧ください。
重要
スキャナーに対する完全なクライアントをインストールする必要があります。 PowerShell モジュールだけで、クライアントをインストールしないでください。
ラベル構成の要件
分類を自動的に適用し、必要に応じて保護を適用するようにラベルが構成されている必要があります。
これらのラベルが構成されていない場合は、「代替構成でのスキャナーのデプロイ」をご覧ください。
詳細については、次を参照してください。
ヒント
チュートリアルの手順に従い、準備した Word 文書内のクレジット カード番号を検索するラベルを使用してスキャナーをテストします。 ただし、オプション [このラベルの適用方法を選択] が [推奨] ではなく [自動] または [推奨されるラベル付けを自動として処理します] (バージョン 2.7.x.x 以上のスキャナーで有効) に設定されるように、ラベルの構成を変更する必要があります。
その後、(適用される場合は) ドキュメントからラベルを削除して、スキャナー用のデータ リポジトリにファイルをコピーします。
SharePoint の要件
SharePoint のドキュメント ライブラリとフォルダーをスキャンするために、SharePoint サーバーが次の要件に準拠していることを確認します。
サポートされるバージョン。 サポートされているバージョンは、SharePoint 2019、SharePoint 2016、SharePoint 2013 です。 スキャナーでは SharePoint の他のバージョンはサポートされていません。
バージョン管理。 バージョン管理を使用すると、スキャナーによってラベルと最終発行バージョンが検査されます。 スキャナーでファイルにラベルを付け、かつコンテンツの承認が必要な場合、そのラベル付けされたファイルをユーザーが使用するには承認されている必要があります。
大規模な SharePoint ファーム。 大規模な SharePoint ファームの場合は、スキャナーがすべてのファイルにアクセスするために、リスト ビューのしきい値 (既定では 5,000) を増やす必要があるかどうかを確認します。 詳しくは、SharePoint での大規模なリストとライブラリの管理に関する記事をご覧ください。
Microsoft Office の要件
Office ドキュメントをスキャンするには、ドキュメントが次のいずれかの形式である必要があります。
- Microsoft Office 97-2003
- Word、Excel、PowerPoint の Office Open XML 形式
詳しくは、Azure Information Protection クライアントでサポートされるファイルの種類に関するページをご覧ください。
ファイル パスの要件
スキャナーが Windows 2016 にインストールされていない、またはコンピューターが長いパスをサポートするように構成されていない場合、ファイルをスキャンするには、ファイル パスが 260 文字以下である必要があります。
Windows 10 および Windows Server 2016 では、グループ ポリシー設定[ローカル コンピューター ポリシー]>[コンピューターの構成]>[管理用テンプレート]>[すべての設定]>[Win32 の長いパスを有効にする] により、260 文字を超えるパスの長さがサポートされます。
長いファイルのパスのサポートについて詳しくは、Windows 10 開発者向けドキュメントの「Maximum Path Length Limitation (パスの最大長の制限)」をご覧ください。
代替構成でのスキャナーのデプロイ
上に一覧表示されている前提条件は、スキャナーのデプロイの既定の要件であり、かつ最もシンプルなスキャナー構成であるため、推奨される要件です。
既定の要件は、スキャナーの機能を確認するための最初のテスト用に適しています。
ただし、運用環境では、組織のポリシーによってそれらの既定の要件が禁止される場合があります。 追加構成を行うことで、スキャナーに関する次の制限に対処できます。
制限: スキャナー サーバーをインターネットに接続できない
接続されていないコンピューターをサポートするには、次の手順を実行します。
分類のみを適用するラベルを構成するか、HYOK 保護を使用する保護を適用します。
インターネットに接続されていない状態では、スキャナーで組織のクラウドベースのキーを使用して保護の適用、保護の削除、保護されたファイルの検査を行うことはできません。 代わりに、スキャナーでできることは、分類のみを適用するラベルを使用することと、HYOK 保護を使用する保護を適用することに限定されます。
詳しくは、「接続されていないコンピューターのサポート」をご覧ください。
スキャナーのクラスターを作成して、Azure portal でスキャナーを構成します。 この手順に関してサポートが必要な場合は、「Azure portal でスキャナーを構成する」をご覧ください。
[Azure Information Protection - Profiles (Preview)](Azure Information Protection - プロファイル (プレビュー)) ペインから、[エクスポート] オプションを使用して、コンテンツのジョブをエクスポートします。
PowerShell セッションで、Import-AIPScannerConfiguration を実行し、エクスポートされた設定が含まれるファイルを指定します。
制限: Sysadmin の付与が認められない、または手動でデータベースを作成し構成する必要がある
スキャナーをインストールするために "一時的" に Sysadmin ロールが付与される場合、スキャナーのインストールが完了したらこのロールを削除できます。
組織の要件に応じて、次のいずれかを実行します。
Sysadmin ロールが一時的に付与される場合。 Sysadmin ロールが一時的に付与される場合は、データベースが自動的に作成され、スキャナー用のサービス アカウントに必要なアクセス許可が自動的に付与されます。
ただし、スキャナーを構成するユーザー アカウントには、スキャナー構成データベースの db_owner ロールが必要です。 スキャナーのインストールが完了するまで Sysadmin ロールのみが付与される場合は、そのユーザー アカウントに db_owner ロールを手動で付与します。
Sysadmin ロールがまったく付与されない場合。 Sysadmin ロールが一時的にでも付与されない場合は、スキャナーをインストールする前に、Sysadmin 権限を持つユーザーにデータベースを手動で作成してもらう必要があります。
この構成では、次のアカウントに db_owner ロールを割り当てる必要があります。
スキャナーのサービス アカウント
スキャナーのインストール用のユーザー アカウント
スキャナーの構成用のユーザー アカウント
通常、スキャナーのインストールと構成には同じユーザー アカウントを使用します。 別々のアカウントを使用する場合は、両方にスキャナー構成データベースの db_owner ロールが必要です。 必要に応じて、このユーザーと権限を作成します。
スキャナー用に独自のクラスター (プロファイル) 名を指定しない場合、構成データベースには AIPScanner_<computer_name> という名前が付けられます。
ユーザーを作成してこのデータベースに db_owner 権限を付与する手順に進みます。
補足:
ユーザーはスキャナーを実行するサーバーのローカル管理者である必要があります。
スキャナーを実行するサービス アカウントには、次のレジストリ キーに対するフル コントロール アクセス許可が付与されている必要があります。
- HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\Server
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server
これらのアクセス許可を構成した後、スキャナーをインストールするときにエラーが表示される場合は、そのエラーを無視して、スキャナー サービスを手動で開始できます。
データベースを手動で入力する
次のスクリプトを使用してデータベースにデータを入力します。
if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
ユーザーを作成して手動で db_owner 権限を付与する
ユーザーを作成してこのデータベースに db_owner 権限を付与するには、Sysadmin に次を実行してもらいます。
スキャナー用 DB を作成します。
**CREATE DATABASE AIPScannerUL_[clustername]** **ALTER DATABASE AIPScannerUL_[clustername] SET TRUSTWORTHY ON**インストール コマンドを実行するユーザーに権限を付与します。これは、スキャナー管理コマンドを実行するために使用されます。
SQL スクリプト:
if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END USE DBName IF NOT EXISTS (select * from sys.database_principals where sid = SUSER_SID('domain\user')) BEGIN declare @X nvarchar(500) Set @X = 'CREATE USER ' + quotename('domain\user') + ' FROM LOGIN ' + quotename('domain\user'); exec sp_addrolemember 'db_owner', 'domain\user' exec(@X) ENDスキャナーのサービス アカウントに権限を付与します。
SQL スクリプト:
if not exists(select * from master.sys.server_principals where sid = SUSER_SID('domain\user')) BEGIN declare @T nvarchar(500) Set @T = 'CREATE LOGIN ' + quotename('domain\user') + ' FROM WINDOWS ' exec(@T) END
制限: スキャナーのサービス アカウントにローカル ログオン権限を付与できない
組織のポリシーによって、サービス アカウントに対するローカル ログオン権限の付与が禁止されているが、バッチ ジョブとしてログオン権限が許可されている場合は、「Set-AIPAuthentication の Token パラメーターを指定し、使用する」をご覧ください。
制限: スキャナーのサービス アカウントを Azure Active Directory と同期できないが、サーバーがインターネットに接続されている
スキャナーのサービスを実行するために 1 つのアカウントを持ち、Azure Active Directory を認証するために別のアカウントを使用することができます。
スキャナーのサービス アカウントの場合は、ローカルの Windows アカウントか Active Directory アカウントを使用します。
Azure Active Directory アカウントの場合は、Set-AIPAuthentication の Token パラメーターを指定して使用します。
制限: ラベルに自動ラベル付け条件がない
ラベルに自動ラベル付け条件がない場合は、スキャナーを構成するときに、次のいずれかのオプションを使用することを計画してください。
| オプション | 説明 |
|---|---|
| すべての種類の情報を検出する | [コンテンツ スキャン ジョブ] で、[検出する情報の種類] を [すべて] に設定します。 このオプションでは、すべての機密性の高い情報の種類についてコンテンツをスキャンするコンテンツ スキャン ジョブを設定します。 |
| 既定のラベルを定義する | ポリシー、コンテンツ スキャン ジョブ、またはリポジトリに既定のラベルを定義します。 この場合、スキャナーで見つかったすべてのファイルに既定のラベルを適用します。 |
次の手順
システムがスキャナーの前提条件に準拠していることを確認したら、Azure Information Protection スキャナーをデプロイし、ファイルを自動的に分類して保護する方法に関する記事に進みます。
スキャナーの概要については、Azure Information Protection スキャナーをデプロイし、ファイルを自動的に分類して保護する方法に関する記事をご覧ください。
詳細情報:
Microsoft の Core Services Engineering と Operations チームがどのようにこのスキャナーを実装したかについて関心をお持ちですか。 テクニカル ケース スタディ「Automating data protection with Azure Information Protection scanner」(Azure Information Protection スキャナーを使用したデータ保護の自動化) をご覧ください。
Windows Server FCI と Azure Information Protection スキャナーの違いについてご説明します。
また、PowerShell を使用して、デスクトップ コンピューターからファイルを対話的に分類し、保護することができます。 これに関する詳細および PowerShell を使用するその他のシナリオについては、「Azure Information Protection クラシック クライアントでの PowerShell の使用」をご覧ください。