AIPスキャナーのインストール方法

2022.08.22

AIPスキャナとはAzure Information Protectionの機能を利用しオンプレミスのファイルサーバ等に格納しているドキュメントをラベル付けすることができる機能です。既に作成してあるドキュメントを個別にラベル付けをして暗号化していくのは大変な作業です。オンプレミスAIPスキャナを利用することで常時対象フォルダに対して自動的にラベル付けをしてくれます。ここでは対象フォルダに対して一括でラベル付けをする方法を記載していますが、構築次第で機密情報を含んだドキュメントのみラベル付けをする、特定の拡張子だけラベル付けすることも可能です。例えば社内全員が編集、保存はできるが外部の人はドキュメントを開くことができない様にすることで、メール誤送信やUSB紛失による情報漏洩等を防ぐことができます。

前提条件

要件説明
ライセンスAzure Information Protection Plan1以上のライセンス
AzurePortalへの管理者権限・コンプライアンス管理者
・コンプライアンスデータ管理者
・セキュリティ管理者
・グローバル管理者
AIPクライアントAIPクライアントのインストールが必要です。
オンプレミスサーバ・SQLサーバのインストールが必要です。
・SQLサーバのSysadminロールの権限付与が必要です。
・インストールサーバのローカル管理者権限が必要です。
・対象ファイルサーバへのアクセス権限
AzureActiveDirectoryアカウントオンプレミスADとAADが同期されている必要があります。

AzurePortalでスキャナーの初期設定をする

1.「Azure Information protection」を開きます。

2.「クラスター」をクリックして「追加」をクリックします。

3.クラスター名を入力して保存をします。

4.「コンテンツスキャンジョブ」をクリックして「追加」をクリックします。

5.コンテンツスキャンジョブ名を入力します。

6.秘密度ラベルポリシーの「強制」のスイッチを「オフ」にします。

7.保存をします。

8.再度今保存したコンテンツスキャンジョブをクリックします。

9.「リポジトリの構成」をクリックします。

10.「追加」をクリックします。

11.パスを入力して保存をします。

12.コンテンツスキャンジョブの画面に戻り「クラスターへの割り当て」をクリックします。
クラスター名を入力して保存します。

13.「アプリの登録」をクリックして「新規登録」をクリックします。

14.名前を入力します。

15.「証明書とシークレット」をクリックして「新しいクライアントシークレット」をクリックします。

16.説明を入力して有効期限を設定します。
「追加」をクリックします。

17.「AIのアクセス許可」をクリックして「アクセス許可の追加」をクリックします

18.「Azure Rights Management Services」をクリックします。

19.「アプリケーションの許可」をクリックして許可するものを選択します。

20.「アクセス許可の追加」をクリックします。

21.「所属する組織で使用しているAPI」をクリックして「Microsof Information Protection Sync Services」を選択します。

22.「アプリケーションの許可」をクリックして「UnifiedPolicy.Tenant.Read」を選択します。「アクセス許可の追加」をクリックします。

23.「[会社名、事業部名]に管理者の同意を与えます」をクリックして「管理者の同意の確認を与えます。」で「はい」をクリックします。

AIPスキャナーをインストールする

1.PowerShellを起動します。

以下のコマンドを入力します。

$serviceacct= Get-Credential -UserName 「ドメイン\ユーザ名」 -Message ScannerAccount

パスワードを入力してOKをクリックします。

2.以下のコマンドを入力します。

Install-AIPScanner -SqlServerInstance 「サーバインスタンス名」 -Cluster 「クラスター名」 -ServiceUserCredentials $serviceacct

「The transacted install has completed」と表示されます。

3.以下のコマンドを入力します。

Set-AIPAuthentication -AppId 「AppId」 -AppSecret 「AppSecret 」 -TenantId 「TenantId」 -DelegatedUser ****@*****.com -OnBehalfOf $serviceacct

「Acquired access token on behalf of [ドメイン\ユーザ名]」と表示されます。

4.以下のコマンドを入力します。

Start-AIPScannerDiagnostics -OnBehalfOf $serviceacct

「No issues found」と表示されます。

5.Azureに戻って「ノード」をクリックします。スキャナーがインストールされてアイドル状態になっていることがわかります。これはオンラインでスキャナーの指示を待っている状態です。

6.PowerShellに戻ります。

以下のコマンドを実行します。

Get-AIPScanner Status

7.AIPScanner Statusが表示されます。

8.以下のコマンドを実行します。

Get-AIPScannerConfiguration

9.AIPScannerConfigurationが表示されます。

10.以下のコマンドを実行します。

Get-AIPScannerContentsScanjob

11.AIPScannerContentsScanjobが表示されます。

12.以下のコマンドを実行します。

Get-AIPScannerRepository

13.AIPScannerRepositoryが表示されます。

スキャンの開始

1.Azureに戻って先ほど作成したコンテンツスキャンジョブをクリックします。

2.秘密度ラベルポリシーの強制のスイッチを「オン」にします。

3.既定のラベルを「カスタム」にして、既定のラベルを選択します。

4.保存をします。

5.「完全スキャンの再実行を回避しますか」で「はい」をクリックします。

6.「今すぐスキャン」をクリックします。

スキャン結果

AIP スキャナー サーバーの「%localappdata%\Microsoft\MSIP\Scanner\Reports」にログが格納されています。

スキャンの結果が見られます。

テスト作成を開きます。

ラベル付けされた為スクリーンショットを取ろうとすると黒くなる
※実際には見えています。

保有している権限は閲覧だけです。

このファイルをラベル付けした時のログです。

PDFを開いたところです。

アクティビティエクスプローラーでラベル付けの確認ができます。

詳細の確認ができます。




その他お困りごとも動画で解説!