次の方法で共有

情報保護スキャナーを構成してインストールする

注:

情報保護スキャナーの新しいバージョンがあります。 詳細については、「Microsoft Purview Information Protection スキャナーのアップグレード」を参照してください。

この記事では、Microsoft Purview Information Protection スキャナー(旧称 Azure Information Protection統合ラベル付けスキャナー)、またはオンプレミス スキャナーを構成してインストールする方法について説明します。

ヒント

ほとんどのお客様は管理ポータルでこれらの手順を実行しますが、PowerShell でのみ作業する必要がある場合があります。

たとえば、中国 21Vianet Azure などの管理ポータルにアクセスせずに環境で作業している場合は、「PowerShell を使用してスキャナーを構成する」の手順に従います。

概要

開始する前に、システムが 必要な前提条件に準拠していることを確認します。

次に、次の手順に従ってスキャナーを構成してインストールします。

  1. スキャナーの設定を構成する

  2. スキャナーをインストールする

  3. スキャナーのMicrosoft Entra トークンを取得する

  4. 分類と保護を適用するようにスキャナーを構成する

次に、システムに必要に応じて次の構成手順を実行します。

プロシージャ 説明
保護するファイルの種類を変更する 既定とは異なる種類のファイルをスキャン、分類、または保護したい場合があります。 詳細については、「 スキャン プロセス」を参照してください。
スキャナーのアップグレード 最新の機能と機能強化を使用するようにスキャナーをアップグレードします。
データ リポジトリ設定を一括で編集する インポートとエクスポートのオプションを使用して、複数のデータ リポジトリに対して一括変更を行います。
代替構成でスキャナーを使用する 条件を指定してラベルを構成せずにスキャナーを使用する
パフォーマンスを最適化する スキャナーのパフォーマンスを最適化するためのガイダンス

Microsoft Purview ポータルでスキャナー ページにアクセスできない場合は、PowerShell でのみスキャナー設定を構成します。 詳細については、「 PowerShell を使用してスキャナーを構成する 」と「 サポートされている PowerShell コマンドレット」を参照してください。

スキャナーの設定を構成する

スキャナーをインストールするか、以前の一般提供バージョンからアップグレードする前に、スキャナーの設定を構成または確認します。 この構成では、 Microsoft Purview ポータルのいずれかを使用できます。

Microsoft Purview ポータルでスキャナーを構成するには:

  1. 次のいずれかのロールを使用してサインインします。
  • コンプライアンス管理者
  • コンプライアンス データ管理者
  • セキュリティ管理者
  • 組織の管理

  1. Microsoft Purview ポータルにサインインします>設定カード >Information Protection>Information 保護スキャナー

  2. スキャナー クラスターを作成します。 このクラスターはスキャナーを定義し、インストール、アップグレード、その他のプロセス中など、スキャナー インスタンスを識別するために使用されます。

  3. スキャンするリポジトリを定義するコンテンツ スキャン ジョブを作成します。

スキャナー クラスターを作成する

Microsoft Purview ポータルでスキャナー クラスターを作成するには:

  1. [ 情報保護スキャナー ] ページのタブで、[クラスター] を選択 します

  2. [クラスター] タブで、[追加] アイコンのを選択します。

  3. [ 新しいクラスター ] ウィンドウで、スキャナーのわかりやすい名前と説明 (省略可能) を入力します。

    クラスター名は、スキャナーの構成とリポジトリを識別するために使用されます。 たとえば、スキャンするデータ リポジトリの地理的な場所を識別するために 、ヨーロッパ に入る場合があります。

    後でこの名前を使用して、スキャナーをインストールまたはアップグレードする場所を特定します。

  4. [保存] を選択し、変更内容を保存します。

コンテンツ スキャン ジョブを作成する

特定のリポジトリをスキャンして機密性の高いコンテンツをスキャンするには、コンテンツについて詳しく説明します。

Microsoft Purview ポータルでコンテンツ スキャン ジョブを作成するには:

  1. [ 情報保護スキャナー ] ページのタブで、[ コンテンツ スキャン ジョブ] を選択します。

  2. [コンテンツ スキャン ジョブ] ウィンドウで、[追加] アイコンを選択します。

  3. この初期構成では、次の設定を構成し、[保存] を選択 します

    Setting 説明
    コンテンツ スキャン ジョブの設定 - スケジュール: 既定の [手動] のままにします
    - 検出される情報の種類: [ポリシーのみ] に変更する
    DLP ポリシー データ損失防止ポリシーを使用している場合は、[ DLP ルールを有効にする] を[オン] に設定します。 詳細については、「 DLP ポリシーを使用する」を参照してください。
    秘密度ポリシー - 秘密度ラベル付けポリシーを適用する: [オフ] を選択します
    - コンテンツに基づいてファイルにラベルを付ける: 既定値は [オン] のままにします
    - 既定のラベル: ポリシーの既定値をそのまま使用します
    - ファイルのラベルを変更する: 既定値は [オフ] のままにします
    ファイル設定を構成する - "変更日"、"最終変更日"、および "変更日" を保持する: 既定値の [オン] のままにします
    - スキャンするファイルの種類: [除外] の既定のファイルの種類を保持します
    - 既定の所有者: スキャナー アカウントの既定値をそのまま使用します
    - リポジトリ所有者の設定: DLP ポリシーを使用する場合にのみ、このオプションを使用します。

  4. 保存されたコンテンツ スキャン ジョブを開き、[ リポジトリ ] タブを選択して、スキャンするデータ ストアを指定します。

    オンプレミスの SharePoint ドキュメント ライブラリとフォルダーの UNC パスと SharePoint Server URL を指定します。

    注:

    SharePoint Server 2019、SharePoint Server 2016、および SharePoint Server 2013 は、SharePoint でサポートされています。 SharePoint Server 2010 は、 このバージョンの SharePoint の延長サポートがある場合にもサポートされます。

    最初のデータ ストアを追加するには、[リポジトリ] タブで次の手順 を実行 します。

    1. [ リポジトリ ] ウィンドウで、[ 追加] を選択します。

    2. [ リポジトリ ] ウィンドウで、データ リポジトリのパスを指定し、[保存] を選択 します

      • ネットワーク共有の場合は、 \\Server\Folderを使用します。
      • SharePoint ライブラリの場合は、 http://sharepoint.contoso.com/Shared%20Documents/Folderを使用します。
      • ローカル パスの場合: C:\Folder
      • UNC パスの場合: \\Server\Folder

    注:

    ワイルドカードはサポートされておらず、WebDav の場所はサポートされていません。 リポジトリとしての OneDrive の場所のスキャンはサポートされていません。

    共有ドキュメントの SharePoint パスを追加する場合:

    • すべてのドキュメントとすべてのフォルダーを 共有ドキュメント からスキャンする場合は、パスで共有ドキュメントを指定します。 例: http://sp2013/SharedDocuments
    • [共有 ドキュメント] の下のサブフォルダーからすべてのドキュメントとすべてのフォルダーをスキャンする場合は、パスで [ドキュメント] を指定します。 例: http://sp2013/Documents/SalesReports
    • または、SharePoint の FQDN のみを指定します。たとえば、この URL の下の特定の URL とサブタイトルの下にあるすべての SharePoint サイトとサブサイトを検出してスキャンするhttp://sp2013。 これを有効にする権限をスキャナー のサイト コレクター監査者 に付与します。

    このウィンドウの残りの設定については、この初期構成では変更せず、 コンテンツ スキャン ジョブの既定値のままにします。 既定の設定は、データ リポジトリがコンテンツ スキャン ジョブから設定を継承することを意味します。

    SharePoint パスを追加するときは、次の構文を使用します。

    Path 構文
    ルート パス http://<SharePoint server name>

    スキャナー ユーザーに許可されているすべてのサイト コレクションを含め、すべてのサイトをスキャンします。
    ルート コンテンツを自動的に検出するには 、追加のアクセス許可 が必要です
    特定の SharePoint サブサイトまたはコレクション 以下のいずれか:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>

    サイト コレクションのコンテンツを自動的に検出するには 、追加のアクセス許可 が必要です
    特定の SharePoint ライブラリ 以下のいずれか:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    特定の SharePoint フォルダー http://<SharePoint server name>/.../<folder name>

  5. 前の手順を繰り返して、必要な数のリポジトリを追加します。

これで、作成したコンテンツ スキャナー ジョブを使用してスキャナーをインストールする準備ができました。 スキャナーの インストールに進みます

スキャナーをインストールする

スキャナーを構成したら、次の手順を実行してスキャナーをインストールします。 この手順は、PowerShell で完全に実行されます。

  1. スキャナーを実行するWindows Server コンピューターにサインインします。 ローカル管理者権限を持ち、SQL Server マスター データベースに書き込むアクセス許可を持つアカウントを使用します。

    重要

    スキャナーをインストールする前に、コンピューターに情報保護クライアントがインストールされている必要があります。

    詳細については、「 情報保護スキャナーをインストールして展開するための前提条件」を参照してください。

  2. [管理者として実行] オプションを使用して、Windows PowerShell セッションを開きます。

  3. Install-Scanner コマンドレットを実行し、情報保護スキャナーのデータベースを作成するSQL Server インスタンスと、前のセクションで指定したスキャナー クラスター名を指定します。

    Install-Scanner -SqlServerInstance <name> -Cluster <cluster name>

    ヨーロッパのスキャナー クラスター名を使用した例:

    • 既定のインスタンスの場合: Install-Scanner -SqlServerInstance SQLSERVER1 -Cluster Europe

    • 名前付きインスタンスの場合: Install-Scanner -SqlServerInstance SQLSERVER1\SCANNER -Cluster Europe

    • SQL Server Expressの場合:Install-Scanner -SqlServerInstance SQLSERVER1\SQLEXPRESS -Cluster Europe

    メッセージが表示されたら、スキャナー サービス アカウントの Active Directory 資格情報を指定します。

    次の構文を使用します。 \<domain\user name>。 例: contoso\scanneraccount

  4. 管理ツール>Services を使用して、サービスがインストールされていることを確認します。

    インストールされたサービスはスキャナー Microsoft Purview Information Protectionという名前で、作成したスキャナー サービス アカウントを使用して実行するように構成されます。

スキャナーをインストールしたので、スキャナー サービス アカウントを認証するためのMicrosoft Entra トークンを取得して、スキャナーを無人で実行できるようにする必要があります。

スキャナーのMicrosoft Entra トークンを取得する

Microsoft Entra トークンを使用すると、スキャナーがMicrosoft Purview Information Protection スキャナー サービスに対して認証され、スキャナーを無人で実行できるようになります。

詳細については、「 情報保護ラベル付けコマンドレットを無人で実行する」を参照してください。

注:

証明書ベースの認証のサポートはパブリック プレビュー段階です。 詳細については、「証明書ベースの認証」を参照してください。

Microsoft Entra トークンを取得するには:

  1. Azure ポータルに移動し、[Microsoft Entra ID ブレード] に進みます。

  2. [Microsoft Entra ID] サイド ウィンドウで、[アプリの登録] をクリックします。

  3. 上部の [ + 新規登録] をクリックします。

  4. [名前] セクションで 、InformationProtectionScanner に「」と入力します。

  5. [サポートされているアカウントの種類] は既定のままにします。

  6. [リダイレクト URI] の場合は、型を [Web] のままにしますが、エントリ部分の http://localhost に「 と入力し、[登録] をクリックします。

  7. このアプリケーションの [概要] ページで、選択したテキスト エディターで[ アプリケーション (クライアント) ID ] と [ ディレクトリ (テナント) ID] をメモします。 これは、Set-AIPAuthentication コマンドを設定するときに後で必要になります。

  8. サイド ウィンドウで、[ 証明書とシークレット] に移動します。

  9. [ + 新しいクライアント シークレット] をクリックします。

  10. 表示されるダイアログ ボックスで、シークレットの説明を入力し、[ 1 年で 期限切れ] に設定し、[シークレットの追加] に設定します。

  11. [クライアント シークレット] セクションに、 シークレット値を含むエントリが表示されます。 先に進み、この値をコピーし、クライアント ID とテナント ID を保存したファイルに格納します。 これは、シークレット値を表示できる唯一の時間です。この時点でコピーしないと回復できません。

  12. サイド ウィンドウで、[ API のアクセス許可] に移動します。

  13. 先に進み、[ アクセス許可の追加] を選択します。

  14. 画面が表示されたら、[Azure Rights Management Service] を選択します。 次に、[ アプリケーションのアクセス許可] を選択します。

  15. [ コンテンツ ] のドロップダウンをクリックし、 Content.DelegatedReader と Content.DelegatedWriter のチェックマークを下 に置きます。 次に、画面の下部にある [ アクセス許可の追加] をクリックします。

  16. [API のアクセス許可] セクションに戻り、別のアクセス許可を追加します。

  17. 今回は、[API の選択] セクションで、organizationが使用する API をクリックします。 検索バーに「Microsoft Information Protection Sync Service」と入力して選択します。

  18. [ アプリケーションのアクセス許可] を選択し、[ 統合ポリシー ] ドロップダウンで、 アクセス許可 UnifiedPolicy.Tenant.Read をオンにします。 次に、画面の下部にある [ アクセス許可の追加] をクリックします。

  19. [API のアクセス許可] 画面に戻り、[同意管理付与] をクリックし、成功した操作 (緑色のチェックマークで示されている) を探します。

  20. Windows Server コンピューターから、スキャナー サービス アカウントにインストール用のローカルログオン権限が付与されている場合は、このアカウントでサインインし、PowerShell セッションを開始します。

    Set-Authentication を実行し、前の手順からコピーした値を指定します。

    Set-Authentication -AppId <ID of the registered app> -AppSecret <client secret sting> -TenantId <your tenant ID> -DelegatedUser <Azure AD account>

    例:

    $pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "00001111-aaaa-2222-bbbb-3333cccc4444" -AppSecret "Aa1Bb~2Cc3.-Dd4Ee5Ff6Gg7Hh8Ii9_Jj0Kk1Ll2" -DelegatedUser scanner@contoso.com -TenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

ヒント

スキャナー サービス アカウントにインストールに対してローカルでログオン権限を付与できない場合は、「情報保護ラベル付けコマンドレットを無人で実行する」の説明に従って、Set-AuthenticationOnBehalfOf パラメーターを使用します。

スキャナーに、Microsoft Entra IDに対して認証するトークンが追加されました。 このトークンは、Microsoft Entra IDの Web アプリ /API クライアント シークレットの構成に従って、1 年、2 年、またはまったく有効ではありません。 トークンの有効期限が切れた場合は、この手順を繰り返す必要があります。

Microsoft Purview ポータルを使用してスキャナーを構成しているか、PowerShell のみを構成しているかに応じて、次のいずれかの手順を引き続き使用します。

これで、最初のスキャンを検出モードで実行する準備ができました。 詳細については、「 検出サイクルを実行し、スキャナーのレポートを表示する」を参照してください。

最初の検出スキャンを実行したら、「 分類と保護を適用するようにスキャナーを構成する」に進みます。

詳細については、「 情報保護ラベル付けコマンドレットを無人で実行する」を参照してください。

分類と保護を適用するようにスキャナーを構成する

既定の設定では、スキャナーが 1 回実行され、レポート専用モードで実行されるように構成されます。 これらの設定を変更するには、コンテンツ スキャン ジョブを編集します。

ヒント

PowerShell でのみ作業している場合は、「 分類と保護を適用するようにスキャナーを構成する - PowerShell のみ」を参照してください。

Microsoft Purview ポータルで分類と保護を適用するようにスキャナーを構成するには::

  1. Microsoft Purview ポータルの [ コンテンツ スキャン ジョブ ] タブで、特定のコンテンツ スキャン ジョブを選択して編集します。

  2. コンテンツ スキャン ジョブを選択し、次の内容を変更して、[保存] を選択 します

    • [コンテンツ スキャン ジョブ] セクションから: [スケジュール] を [常に] に変更します
    • [秘密度ラベル付けポリシーの適用] セクションから: ラジオ ボタンを [オン] に変更します

  3. コンテンツ スキャン ジョブのノードがオンラインであることを確認し、[ 今すぐスキャン] を選択してコンテンツ スキャン ジョブをもう一度開始します。 [ 今すぐスキャン ] ボタンは、選択したコンテンツ スキャン ジョブのノードがオンラインの場合にのみ表示されます。

スキャナーが継続的に実行されるようにスケジュールされるようになりました。 スキャナーはすべての構成済みファイルを通して動作すると、新しいファイルと変更されたファイルが検出されるように、自動的に新しいサイクルを開始します。

DLP ポリシーを使用する

データ損失防止ポリシーを使用すると、ファイル共有と SharePoint Server に格納されているファイルに DLP ルールを照合することで、スキャナーが潜在的なデータ リークを検出できます。

  • コンテンツ スキャン ジョブで DLP ルールを有効 にして、DLP ポリシーに一致するすべてのファイルの公開を減らします。 DLP ルールが有効になっている場合、スキャナーはデータ所有者のみへのファイル アクセスを減らすか、 すべてのユーザー、 認証済みユーザードメイン ユーザーなどのネットワーク全体のグループへの露出を減らすことができます。

  • Microsoft Purview ポータルで、DLP ポリシーをテストするか、ルールを適用し、それらのルールに従ってファイルのアクセス許可を変更するかを決定します。 詳細については、「データ損失防止ポリシーの作成と展開」を参照してください。

DLP ポリシーは、Microsoft Purview ポータルで構成されます。 DLP ライセンスの詳細については、「 データ損失防止オンプレミス スキャナーの概要」を参照してください。

ヒント

DLP ポリシーをテストする場合でも、ファイルをスキャンすると、ファイルのアクセス許可レポートも作成されます。 これらのレポートに対してクエリを実行して、特定のファイルの公開を調査するか、スキャンされたファイルに対する特定のユーザーの露出を調査します。

PowerShell のみを使用するには、「 スキャナーで DLP ポリシーを使用する - PowerShell のみ」を参照してください。

Microsoft Purview ポータルでスキャナーで DLP ポリシーを使用するには:

  1. Microsoft Purview ポータルで、[ コンテンツ スキャン ジョブ ] タブに移動し、特定のコンテンツ スキャン ジョブを選択します。 詳細については、「 コンテンツ スキャン ジョブを作成する」を参照してください。

  2. [ DLP ポリシー ルールを有効にする] で、ラジオ ボタンを [オン] に設定します。

    重要

    Microsoft 365 で DLP ポリシーを実際に構成していない限り、[DLP ルールを有効にする][オン] に 設定しないでください。

    DLP ポリシーなしでこの機能をオンにすると、スキャナーでエラーが生成されます。

  3. (省略可能)[ リポジトリ所有者の設定 ] を [オン] に設定し、特定のユーザーをリポジトリ所有者として定義します。

    このオプションを使用すると、スキャナーは、DLP ポリシーに一致するこのリポジトリ内にあるファイルが、定義されているリポジトリ所有者に公開されるのを減らすことができます。

DLP ポリシーとプライベート アクションの作成

プライベートアクションの作成で DLP ポリシーを使用していて、スキャナーを使用してファイルに自動的にラベルを付ける予定の場合は、統合ラベル付けクライアントの UseCopyAndPreserveNTFSOwner 詳細設定も定義することをお勧めします。

この設定により、元の所有者がファイルへのアクセスを保持できます。

詳細については、「 コンテンツ スキャン ジョブの作成 」および「 Microsoft 365 データに秘密度ラベルを自動的に適用する」を参照してください。

保護するファイルの種類を変更する

既定では、スキャナーは Office ファイルの種類と PDF ファイルのみを保護します。

PowerShell コマンドを使用して、必要に応じてこの動作を変更します。たとえば、クライアントと同様にすべてのファイルの種類を保護するようにスキャナーを構成したり、追加の特定のファイルの種類を保護したりします。

スキャナーのラベルをダウンロードするユーザー アカウントに適用されるラベル ポリシーの場合は、 PFileSupportedExtensions という名前の PowerShell 詳細設定を指定します。

インターネットにアクセスできるスキャナーの場合、このユーザー アカウントは、Set-Authentication コマンドを使用して DelegatedUser パラメーターに指定するアカウントです。

例 1: ラベル ポリシーの名前が "Scanner" であるすべてのファイルの種類を保護するスキャナーの PowerShell コマンド:

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions="*"}

例 2: スキャナーの PowerShell コマンドを使用して、Office ファイルと PDF ファイルに加えて、.xml ファイルと.tiff ファイルを保護します。ラベル ポリシーの名前は "Scanner" です。

Set-LabelPolicy -Identity Scanner -AdvancedSettings @{PFileSupportedExtensions=ConvertTo-Json(".xml", ".tiff")}

詳細については、「 保護するファイルの種類を変更する」を参照してください。

スキャナーをアップグレードする

以前にスキャナーをインストールし、アップグレードする場合は、「Microsoft Purview Information Protection スキャナーのアップグレード」で説明されている手順を使用します。

次に、スキャナーを通常どおりに構成して使用し、スキャナーをインストールする手順をスキップします。

データ リポジトリの設定を一括で編集する

[ エクスポート ] ボタンと [インポート] ボタンを使用して、複数のリポジトリでスキャナーを変更します。

これにより、Microsoft Purview ポータルで同じ変更を複数回手動で行う必要はありません。

たとえば、複数の SharePoint データ リポジトリに新しいファイルの種類がある場合は、それらのリポジトリの設定を一括で更新できます。

Microsoft Purview ポータルでリポジトリ間で一括変更を行うには:

  1. Microsoft Purview ポータルで、特定のコンテンツ スキャン ジョブを選択し、ウィンドウ内の [ リポジトリ ] タブに移動します。 [エクスポート] オプションを選択 します

  2. エクスポートしたファイルを手動で編集して変更します。

  3. 同じページの [インポート ] オプションを使用して、リポジトリ間で更新プログラムをインポートし直します。

代替構成でスキャナーを使用する

スキャナーは通常、必要に応じてコンテンツを分類して保護するために、ラベルに指定された条件を検索します。

次のシナリオでは、スキャナーは、条件を構成せずに、コンテンツをスキャンし、ラベルを管理することもできます。

データ リポジトリ内のすべてのファイルに既定のラベルを適用する

この構成では、リポジトリ内のすべてのラベル付けされていないファイルに、リポジトリまたはコンテンツ スキャン ジョブに指定された既定のラベルでラベルが付けられます。 Filesは検査なしでラベル付けされます。

以下の設定を構成します。

Setting 説明
コンテンツに基づいてファイルにラベルを付ける [オフ] に設定します
既定のラベル [ カスタム] に設定し、使用するラベルを選択します
既定のラベルを適用する [ ファイルの再 ラベル付け] と [既定のラベルの適用] をオンにして既にラベルが付いている場合でも、すべてのファイルに 既定のラベル を適用する場合に選択します

データ リポジトリ内のすべてのファイルから既存のラベルを削除する

この構成では、保護がラベルに適用された場合、保護を含むすべての既存のラベルが削除されます。 ラベルとは無関係に適用される保護は保持されます。

以下の設定を構成します。

Setting 説明
コンテンツに基づいてファイルにラベルを付ける [オフ] に設定します
既定のラベル [なし] に設定します
ファイルにラベルを付け直す [既定のラベルを適用する][オン] に設定して、[オン] に設定します。

すべてのカスタム条件と既知の機密情報の種類を特定する

この構成を使用すると、スキャナーのスキャンレートを犠牲にして、自分が持っていたことに気付かない可能性のある機密情報を見つけることができます。

検出する情報の種類を[すべて] に設定します。

ラベル付けの条件と情報の種類を識別するために、スキャナーでは、指定されたカスタムの機密情報の種類と、ラベル付け管理センターで定義されているように、選択できる組み込みの機密情報の種類の一覧が使用されます。

スキャナーのパフォーマンスを最適化する

注:

スキャナーのパフォーマンスではなくスキャナー コンピューターの応答性を向上させる場合は、高度なクライアント設定を使用して 、スキャナーで使用されるスレッドの数を制限します

スキャナーのパフォーマンスを最適化するには、次のオプションとガイダンスを使用します。

オプション 説明
スキャナー コンピューターとスキャンされたデータ ストアの間に高速で信頼性の高いネットワーク接続を確立する たとえば、スキャナー コンピューターを、スキャンされたデータ ストアと同じ LAN(できれば)同じネットワーク セグメントに配置します。

ネットワーク接続の品質はスキャナーのパフォーマンスに影響します。これは、ファイルを検査するために、スキャナーがスキャナー サービスMicrosoft Purview Information Protection実行しているコンピューターにファイルの内容を転送するためです。

データの移動に必要なネットワーク ホップを減らすか排除すると、ネットワークの負荷も軽減されます。
スキャナー コンピューターに使用可能なプロセッサ リソースがあることを確認する ファイルの内容の検査とファイルの暗号化と暗号化解除は、プロセッサを集中的に使用するアクションです。

指定したデータ ストアの一般的なスキャン サイクルを監視して、プロセッサ リソースの不足がスキャナーのパフォーマンスに悪影響を及ぼしているかどうかを確認します。
スキャナーの複数のインスタンスをインストールする スキャナーのカスタム クラスター名を指定すると、スキャナーは同じ SQL Server インスタンス上の複数の構成データベースをサポートします。

ヒント: 複数のスキャナーで同じクラスターを共有できるため、スキャン時間が短縮されます。 同じデータベース インスタンスを持つ複数のマシンにスキャナーをインストールする予定で、スキャナーを並列に実行する場合は、同じクラスター名を使用してすべてのスキャナーをインストールする必要があります。
代替構成の使用状況を確認する スキャナーがファイルの内容を検査しないため、 代替構成 を使用してすべてのファイルに既定のラベルを適用すると、スキャナーがより迅速に実行されます。

代替構成を使用してすべてのカスタム条件と既知の機密情報の種類を識別すると、スキャナーの実行速度が遅くなります。

パフォーマンスに影響を与えるその他の要因

スキャナーのパフォーマンスに影響を与えるその他の要因は次のとおりです。

要因 説明
読み込み/応答時間 スキャンするファイルを含むデータ ストアの現在の読み込みと応答時間もスキャナーのパフォーマンスに影響します。
スキャナー モード (検出/適用) 検出モードでは、通常、強制モードよりもスキャン速度が高くなります。

検出には 1 つのファイル読み取りアクションが必要ですが、強制モードでは読み取りアクションと書き込みアクションが必要です。
ポリシーの変更 ラベル ポリシーで自動ラベル付けに変更を加えた場合、スキャナーのパフォーマンスが影響を受ける可能性があります。

スキャナーがすべてのファイルを検査する必要がある最初のスキャン サイクルは、以降のスキャン サイクルよりも時間がかかります。既定では、新しいファイルと変更されたファイルのみを検査します。

条件または自動ラベル付け設定を変更すると、すべてのファイルが再度スキャンされます。 詳細については、「ファイルの 再スキャン」を参照してください。
正規表現の構築 スキャナーのパフォーマンスは、カスタム条件の正規表現式がどのように構築されるかによって影響を受けます。

メモリの消費が多く、タイムアウト (ファイルあたり 15 分) のリスクを回避するには、正規表現式を確認して、効率的なパターン マッチングを行います。

例:
- 欲張り量指定子を避ける
- キャプチャされていないグループ ( (?:expression) など) を代わりに使用する (expression)
ログ レベル ログ レベルのオプションには、スキャナー レポートの [デバッグ]、[ 情報]、[ エラー ]、[ オフ ] が含まれます。

- オフ にすると最高のパフォーマンスが得られます
- デバッグ ではスキャナーの速度が大幅に低下し、トラブルシューティングにのみ使用する必要があります。

詳細については、「Set-ScannerConfiguration コマンドレットの ReportLevel パラメーター」を参照してください。
スキャンされているFiles - Excel ファイルを除き、Office ファイルは PDF ファイルよりも迅速にスキャンされます。

- 保護されていないファイルは、保護されたファイルよりも高速にスキャンできます。

- 大きなファイルは、明らかに小さなファイルよりもスキャンに時間がかかります。

PowerShell を使用してスキャナーを構成する

このセクションでは、Microsoft Purview ポータルでスキャナー ページへのアクセス権がなく、PowerShell のみを使用する必要がある場合にスキャナーを構成してインストールするために必要な手順について説明します。

重要

  • 一部の手順では、Microsoft Purview ポータルでスキャナー ページにアクセスできるかどうかに関係なく、Powershell が必要です。また、同じです。 これらの手順については、この記事の前述の手順を参照してください。

  • 中国 21Vianet Azureスキャナーを使用している場合は、こちらの手順に加えて追加の手順が必要です。 詳細については、「21Vianet が運営するOffice 365のMicrosoft Purview Information Protection」を参照してください。

詳細については、「 サポートされている PowerShell コマンドレット」を参照してください。

スキャナーを構成してインストールするには:

  1. PowerShell が閉じられた状態で開始します。 情報保護クライアントとスキャナーを以前にインストールしている場合は、Microsoft Purview Information Protection スキャナー サービスが停止していることを確認します。

  2. [管理者として実行] オプションを使用して、Windows PowerShell セッションを開きます。

  3. クラスター名を定義する Cluster パラメーターを使用して、Install-Scanner コマンドを実行して、SQL サーバー インスタンスにスキャナーをインストールします。

    この手順は、Microsoft Purview ポータルでスキャナー ページにアクセスできるかどうかに関係なく同じです。 詳細については、この記事の「スキャナーをインストールする」の前の手順を参照してください。

  4. スキャナーで使用するAzure トークンを取得し、再認証します。

    この手順は、Microsoft Purview ポータルでスキャナー ページにアクセスできるかどうかに関係なく同じです。 詳細については、この記事の「スキャナーのMicrosoft Entra トークンを取得する」の前の手順を参照してください。

  5. Set-ScannerConfiguration コマンドレットを実行して、スキャナーをオフライン モードで機能するように設定します。 実行:

    Set-ScannerConfiguration -OnlineConfiguration Off

  6. Set-ScannerContentScan コマンドレットを実行して、既定のコンテンツ スキャン ジョブを作成します。

    Set-ScannerContentScan コマンドレットで必要なパラメーターは、強制のみです。 ただし、この時点でコンテンツ スキャン ジョブの他の設定を定義する必要がある場合があります。 例:

    Set-ScannerContentScan -Schedule Manual -DiscoverInformationTypes PolicyOnly -Enforce Off -DefaultLabelType PolicyDefault -RelabelFiles Off -PreserveFileDetails On -IncludeFileTypes '' -ExcludeFileTypes '.msg,.tmp' -DefaultOwner <account running the scanner>

    上記の構文では、構成を続行するときに次の設定が構成されます。

    • スキャナーの実行スケジュールを手動で保持する
    • 秘密度ラベル ポリシーに基づいて検出される情報の種類を設定します
    • 秘密度ラベル ポリシーを適用しない
    • 秘密度ラベル ポリシーに定義されている既定のラベルを使用して、コンテンツに基づいてファイルに自動的にラベルを付ける
    • ファイルのラベルを変更できません
    • によって変更された日付最終変更日、変更日など、スキャンおよび自動ラベル付け中にファイルの詳細を保持します
    • 実行中に.msgファイルと.tmpファイルを除外するようにスキャナーを設定します
    • スキャナーの実行時に使用するアカウントに既定の所有者を設定します

  7. Add-ScannerRepository コマンドレットを使用して、コンテンツ スキャン ジョブでスキャンするリポジトリを定義します。 たとえば、以下を実行します。

    Add-ScannerRepository -OverrideContentScanJob Off -Path 'c:\repoToScan'

    追加するリポジトリの種類に応じて、次のいずれかの構文を使用します。

    • ネットワーク共有の場合は、 \\Server\Folderを使用します。
    • SharePoint ライブラリの場合は、 http://sharepoint.contoso.com/Shared%20Documents/Folderを使用します。
    • ローカル パスの場合: C:\Folder
    • UNC パスの場合: \\Server\Folder

    注:

    ワイルドカードはサポートされておらず、WebDav の場所はサポートされていません。

    後でリポジトリを変更するには、代わりに Set-ScannerRepository コマンドレットを 使用します。

    共有ドキュメントの SharePoint パスを追加する場合:

    • すべてのドキュメントとすべてのフォルダーを 共有ドキュメント からスキャンする場合は、パスで共有ドキュメントを指定します。 例: http://sp2013/SharedDocuments
    • [共有 ドキュメント] の下のサブフォルダーからすべてのドキュメントとすべてのフォルダーをスキャンする場合は、パスで [ドキュメント] を指定します。 例: http://sp2013/Documents/SalesReports
    • または、SharePoint の FQDN のみを指定します。たとえば、この URL の下の特定の URL とサブタイトルの下にあるすべての SharePoint サイトとサブサイトを検出してスキャンするhttp://sp2013。 これを有効にする権限をスキャナー のサイト コレクター監査者 に付与します。

    SharePoint パスを追加するときは、次の構文を使用します。

    Path 構文
    ルート パス http://<SharePoint server name>

    スキャナー ユーザーに許可されているすべてのサイト コレクションを含め、すべてのサイトをスキャンします。
    特定の SharePoint サブサイトまたはコレクション 以下のいずれか:
    - http://<SharePoint server name>/<subsite name>
    - http://SharePoint server name>/<site collection name>/<site name>
    特定の SharePoint ライブラリ 以下のいずれか:
    - http://<SharePoint server name>/<library name>
    - http://SharePoint server name>/.../<library name>
    特定の SharePoint フォルダー http://<SharePoint server name>/.../<folder name>

必要に応じて、次の手順に進みます。

PowerShell を使用して、分類と保護を適用するようにスキャナーを構成する

  1. Set-ScannerContentScan コマンドレットを実行して、コンテンツ スキャン ジョブを更新してスケジュールを常にに設定し、秘密度ポリシーを適用します。

    Set-ScannerContentScan -Schedule Always -Enforce On

    ヒント

    ファイル属性を変更するかどうか、スキャナーでファイルにラベルを付け直すことができるかどうかなど、このウィンドウの他の設定を変更することもできます。 使用可能な設定の詳細については、 Set-ScannerContentScan の完全なドキュメントを参照してください

  2. Start-Scan コマンドレットを実行して、コンテンツ スキャン ジョブを実行します。

    Start-Scan

スキャナーが継続的に実行されるようにスケジュールされるようになりました。 スキャナーはすべての構成済みファイルを通して動作すると、新しいファイルと変更されたファイルが検出されるように、自動的に新しいサイクルを開始します。

PowerShell を使用してスキャナーを使用して DLP ポリシーを構成する

Set-ScannerContentScan コマンドレットをもう一度実行し、-EnableDLP パラメーターを [オン] に設定し、特定のリポジトリ所有者を定義します。

例:

Set-ScannerContentScan -EnableDLP On -RepositoryOwner 'domain\user'

証明書ベースの認証 (パブリック プレビュー)

情報保護スキャナーでの証明書ベースの認証の使用

このセクションでは、クライアント シークレットではなく証明書を使用して認証するようにMicrosoft Purview Information Protection スキャナーを構成する方法について説明します。

前提条件

証明書ベースの認証を構成する前に、次のことを確認してください。

  • インストールされているMicrosoft Purview Information Protection スキャナー
  • スキャナーを実行しているWindows Serverへの管理アクセス
  • スキャナーによって使用されるMicrosoft Entra アプリの登録へのアクセス
  • Windows PowerShell 5.1

手順 1: 証明書を取得または作成する

証明書を取得するには、次の 2 つのオプションがあります。

  1. CA が発行した証明書: organizationの証明機関に証明書を要求します。
  2. 自己署名証明書: 自己署名証明書を作成します。

オプション A: CA が発行した証明書 (運用環境) を使用する

CA が発行した証明書を使用すると、次の機能が提供されます。

  • 既存の PKI インフラストラクチャを介した自動信頼
  • 一元化された証明書ライフサイクル管理
  • 組織のセキュリティ ポリシーのコンプライアンス
  • 証明書チェーンの検証をスキップする必要はありません
証明書の要件

CA に証明書を要求するときは、次の要件を満たしていることを確認します。

要件
キー アルゴリズム Rsa
キーの長さ 最小 2048 ビット (4096 推奨)
キーの使用法 デジタル署名
秘密キー エクスポート可能 (バックアップ用) またはマシン用にマーク
妥当 性 organizationのポリシーに従って (通常は 1 年から 2 年)

これらのパラメーターを使用して証明書を要求する具体的な手順については、CA のドキュメントを参照してください。

エンタープライズ CA からキーを取得したら、スキャナーを実行している各Windows Serverのローカル コンピューター ストアに証明書をインストールします。 ローカル コンピューターの 個人用 ストアに証明書をインストールしてください。

Microsoft Entraの公開キーのエクスポート

証明書が発行されてインストールされたら、公開キーをエクスポートします。

# Find the certificate (adjust the subject filter as needed)
$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Subject -like "*PurviewScanner*" }
Export-Certificate -Cert $cert -FilePath "C:\temp\PurviewScanner.cer"

オプション B: 自己署名証明書を使用する

自己署名証明書は、1 つのサーバーに作成してから、スキャナー クラスター全体のサーバーにインポートできます。

# Create certificate in Local Machine store with RSA provider
$cert = New-SelfSignedCertificate `
    -Subject "CN=PurviewScanner" `
    -CertStoreLocation Cert:\LocalMachine\My `
    -KeyExportPolicy Exportable `
    -KeySpec Signature `
    -KeyLength 2048 `
    -KeyAlgorithm RSA `
    -HashAlgorithm SHA256 `
    -NotAfter (Get-Date).AddYears(2) `
    -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider"

# Display the certificate details
Write-Host "Certificate created successfully"
Write-Host "Thumbprint: $($cert.Thumbprint)"
Write-Host "Subject: $($cert.Subject)"

重要

-Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" パラメーターが必要です。 CNG (次の世代の暗号化) プロバイダーを使用すると、スキャナーが認証を試みると、"Keyset が存在しません" というエラーが発生します。

公開キーをエクスポートする

証明書の公開キーをエクスポートして、Microsoft Entraにアップロードします。

# Export public key certificate (.cer file)
Export-Certificate -Cert $cert -FilePath "C:\temp\PurviewScanner.cer"

手順 2: スキャナー サービス アカウントに秘密キーのアクセス許可を付与する

スキャナー サービス アカウントには、証明書の秘密キーを読み取るアクセス許可が必要です。 このアクセス許可がないと、"Keyset は存在しません" エラーで認証が失敗します。

証明書マネージャー UI の使用

  1. ローカル コンピューター証明書ストアを開きます。

    • Win + Rを押し、「certlm.msc」と入力し、Enter キーを押します

  2. [証明書 - ローカル コンピューター] に移動します

  3. 作成した証明書 ("PurviewScanner" など) を右クリックし、[すべてのタスク] を選択します>秘密キーの管理

  4. [ 追加] をクリックし、スキャナー サービス アカウント名を入力します (例: CONTOSO\ScannerService)

  5. アカウントを選択し、[ 読み取り ] アクセス許可がオンになっていることを確認します

  6. [ OK] を クリックして保存する

PowerShell の使用

または、PowerShell を使用してアクセス許可を付与します。 サービス アカウント名を実際のスキャナー サービス アカウントに置き換えてください。

# Get the certificate
$cert = Get-ChildItem Cert:\LocalMachine\My | Where-Object { $_.Subject -eq "CN=PurviewScanner" }

# Get the private key file path
$privateKey = [System.Security.Cryptography.X509Certificates.RSACertificateExtensions]::GetRSAPrivateKey($cert)
$keyPath = $privateKey.Key.UniqueName
$fullKeyPath = "$env:ALLUSERSPROFILE\Microsoft\Crypto\RSA\MachineKeys\$keyPath"

# Get current ACL
$acl = Get-Acl $fullKeyPath

# Add read permission for the scanner service account
$serviceAccount = "CONTOSO\ScannerService"  # Replace with your scanner service account
$accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule($serviceAccount, "Read", "Allow")
$acl.AddAccessRule($accessRule)

# Apply the updated ACL
Set-Acl $fullKeyPath $acl

手順 3: 証明書を Microsoft Entra にアップロードする

スキャナーで使用されるアプリの登録に証明書の公開キーを登録します。

Microsoft Entra アプリの登録に証明書をアップロードする方法の詳細については、「Microsoft Entraを使用して証明書を登録する」を参照してください。

アップロード後、ポータルに表示されている証明書の拇印を書き留めます。手順 1 の拇印と一致する必要があります。

手順 4: 証明書認証を使用するようにスキャナーを構成する

-AppSecret パラメーターの代わりに、証明書パラメーターで Set-Authentication コマンドレットを使用します。

# Get credentials for the scanner service account
$pscreds = Get-Credential CONTOSO\ScannerService

# Set authentication using certificate thumbprint
Set-Authentication `
    -AppId "your-app-id-guid" `
    -TenantId "your-tenant-id-guid" `
    -DelegatedUser "scanner@contoso.com" `
    -CertificateThumbprint "your-certificate-thumbprint" `
    -CertificateStoreLocation LocalMachine `
    -CertificateStoreName My `
    -OnBehalfOf $pscreds

証明書チェーンは、信頼された CA によって発行された証明書に対して自動的に検証されます。 検証が失敗した場合は、次のことを確認します。

  • CA のルート証明書は、信頼されたルート証明機関ストアにあります
  • 中間 CA 証明書は中間証明機関ストアにあります

注:

自己署名証明書を使用している場合は、チェーン検証をバイパスするために -SkipCertificateChainValidation パラメーターを追加します。これは自己署名証明書では失敗します。

証明書のサブジェクト名を使用した認証

または、サブジェクト名で証明書を指定することもできます。

# Get credentials for the scanner service account
$pscreds = Get-Credential CONTOSO\ScannerService

# Set authentication using certificate subject name
Set-Authentication `
    -AppId "your-app-id-guid" `
    -TenantId "your-tenant-id-guid" `
    -DelegatedUser "scanner@contoso.com" `
    -CertificateSubjectName "PurviewScanner" `
    -CertificateStoreLocation LocalMachine `
    -CertificateStoreName My `
    -OnBehalfOf $pscreds

注:

自己署名証明書を使用している場合は、チェーン検証をバイパスするために -SkipCertificateChainValidation パラメーターを追加します。これは自己署名証明書では失敗します。

パラメーター参照

パラメーター 説明
-CertificateThumbprint 認証に使用する証明書の SHA-1 拇印。 -CertificateSubjectNameでは使用できません。
-CertificateSubjectName 認証に使用する証明書のサブジェクト名 (CN)。 -CertificateThumbprintでは使用できません。
-CertificateStoreLocation 証明書ストアの場所。 スキャナー サービスに LocalMachine を使用します。 有効な値: CurrentUserLocalMachine。 既定値: CurrentUser
-CertificateStoreName 証明書ストア名。 既定値: My (個人用ストア)。
-SkipCertificateChainValidation 証明書チェーンの検証をスキップします。 自己署名証明書に必要です。

トラブルシューティング

"Keyset が存在しません" エラー

このエラーは、通常、次のいずれかの問題を示します。

  1. 秘密キーのアクセス許可: スキャナー サービス アカウントには、証明書の秘密キーへの読み取りアクセス権がありません。 アクセス許可を付与する 手順 2 を参照してください。

  2. CNG プロバイダー: 証明書は、RSA プロバイダーではなく CNG プロバイダーで作成されました。 -Provider "Microsoft Enhanced RSA and AES Cryptographic Provider" パラメーターを使用して証明書を再作成します。

"証明書が見つかりません" エラー

次のことを確認します。

  • 拇印またはサブジェクト名が正しい
  • 証明書は指定されたストアにあります (既定ではLocalMachine\My )
  • 証明書の有効期限が切れていない

"証明書チェーンを構築できませんでした" エラー

自己署名証明書の場合は、 -SkipCertificateChainValidation パラメーターを使用します。 CA が発行した証明書の場合は、完全な証明書チェーン (中間 CA を含む) がサーバーにインストールされていることを確認します。

401 未承認または "invalid_client" エラー

次のことを確認します。

  • 証明書の公開キーは、正しいMicrosoft Entra アプリの登録にアップロードされます
  • アプリ登録 ID は、 -AppId パラメーターと一致します
  • 証明書の有効期限が切れていない
  • テナント ID が正しい

シークレットから証明書認証への移行

既存のスキャナーをシークレット ベースから証明書ベースの認証に移行するには:

  1. 上記のように証明書を作成して構成する
  2. 証明書パラメーターを使用して Set-Authentication を実行する
  3. 新しい認証構成は、以前のシークレット ベースの構成を上書きします
  4. スキャナー サービスを再起動する
# Restart the scanner service after changing authentication
Restart-Service -Name "Microsoft Purview Information Protection Scanner"

関連項目

サポートされている PowerShell コマンドレット

このセクションでは、情報保護スキャナーでサポートされている PowerShell コマンドレットと、PowerShell のみを使用してスキャナーを構成およびインストールする手順を示します。

スキャナーでサポートされているコマンドレットは次のとおりです。

次の手順

スキャナーをインストールして構成したら、 ファイルのスキャンを開始します

  • Last updated on