情報保護スキャナーの展開に関する問題を解決する

• 適用対象:

  Microsoft Purview

Note

Azure Information Protection 統合ラベル スキャナーは、Microsoft Purview Information Protection スキャナーという名前に変更されます。 同時に、構成 (現在プレビュー段階) はMicrosoft Purview コンプライアンス ポータルに移行します。 現時点では、Azure portal とコンプライアンス ポータルの両方でスキャナーを構成できます。 この記事の手順は、両方の管理ポータルを参照してください。

Microsoft Purview 情報保護 スキャナーで問題が発生した場合は、Start-ScannerDiagnostics PowerShell コマンドレットを使用してスキャナー診断ツールを起動して、デプロイが正常かどうかを確認します。

Start-ScannerDiagnostics

診断ツールは、次の詳細を確認し、結果を含むログ ファイルを作成します。

• データベースが最新かどうか
• ネットワーク URL にアクセスできるかどうか
• 有効な認証トークンが存在し、ポリシーを取得できるかどうか
• プロファイルが Azure portal で定義されているかどうか
• オフラインとオンラインの構成が存在し、取得できるかどうか
• 構成された規則が有効かどうか

ヒント

• スキャナー サービスの実行に使用するサービス アカウントを使用してツールを実行していない場合は、 -OnBehalf パラメーターを使用する必要があります。 それ以外の場合は、エラーが発生します。
• スキャナー ログから最後の 10 個のエラーを出力するには、 Verbose パラメーターを追加します。 さらにエラーを出力する場合は、 VerboseErrorCount を使用して、印刷するエラーの数を定義します。

Start-ScannerDiagnostics コマンドでは、完全な前提条件チェックが実行されません。 スキャナーに問題がある場合は、システムが スキャナーの要件に準拠していること、 スキャナーの構成とインストール が完了していることを確認する必要もあります。

スキャナー ノードとリポジトリごとにスキャンの詳細を確認する

Get-ScanStatus PowerShell コマンドレットを実行して、現在のスキャン状態とスキャナー クラスター内のノードの一覧の詳細を取得します。

PS C:\> Get-ScanStatus

Cluster        : contoso-test
ClusterStatus  : Scanning
StartTime      : 12/22/2020 9:05:02 AM
TimeFromStart  : 00:00:00:37
NodesInfo      : {t-contoso1-T298-corp.contoso.com,t-contoso2-T298-corp.contoso.com}

NodesInfo変数を Get-ScanStatus コマンドレットと共に使用して、クラスター内の各ノードの詳細を取得します。

PS C:\WINDOWS\system32> $x=Get-ScanStatus
PS C:\WINDOWS\system32> $x.NodesInfo

出力には、次の例に示すように、テーブル内の各ノードの詳細が表示されます。

NodeName                            Status    IsScanning    Summary
--------                            --------  ----------    -------
t-contoso1-T298-corp.contoso.com    Scanning        True    Microsoft.InformationProtection.Scanner.ScanSummaryData
t-contoso2-T298-corp.contoso.com    Scanning     Pending    Microsoft.InformationProtection.Scanner.ScanSummaryData

各ノードをさらにドリルダウンするには、 NodesInfo 変数をもう一度使用し、ノードの整数を 0 で始めます。

PS C:\Windows\system32> $x.NodesInfo[0].Summary

出力には、次の例に示すように、選択したノードのスキャンに関する詳細が表示されます。

ScannerID               : t-contoso1-T298-corp.contoso.com
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

現在のスキャンに関するデータを取得するには、Get-ScanStatus コマンドレットで Verbose パラメーターを使用します。

PS C:\> Get-ScanStatus -Verbose

ScannedFiles    MBScanned    CurrentScanSummary                                         RepositoriesStatus
------------    ---------    ------------------                                         ------------------
        2280    78478187     Microsoft.InformationProtection.Scanner.ScanSummaryData    {{ Path = C:\temp, Status = Scanning }

RepositoriesStatusまたはCurrentScanSummary変数を使用して、リポジトリの状態の詳細をさらにドリルダウンします。

使用可能なリポジトリの状態の値は次のとおりです。

• Skipped: リポジトリがスキップされた場合
• 現在のスキャンがまだリポジトリのスキャンを開始していない場合保留中
• Scanning: リポジトリで現在のスキャンが実行中である場合
• Finished: リポジトリで現在のスキャンの実行が完了した場合

例: RepositoriesStatus 変数を使用する

PS C:\Windows\system32> $x.Get-AIPScannerStatus -Verbose
PS C:\Windows\system32> $x.RepositoriesStatus

Path        Status
----        ------
C:\temp     Scanning

例: CurrentScanSummary 変数を使用する

PS C:\Windows\system32> $x.CurrentScanSummary

ScannerID               : 
ScannedFiles            : 2280
FailedFiles             : 0
ScannedBytes            : 78478187
Classified              : 0
Labeled                 : 0
....

この出力には、1 つのリポジトリだけが表示されています。 複数のリポジトリがある場合は、それぞれが個別に一覧表示されます。

スキャナー エラーのリファレンス

次の表は、スキャナーによって生成される特定のエラー メッセージに関する情報と、関連する問題を解決するためのアクションを示しています。

エラーの種類	トラブルシューティング
認証エラー	認証トークンが受け入れられない 認証トークンが見つからない
ポリシー エラー	ポリシーが見つからない ポリシーに自動ラベル付け条件が含まれていない
DB またはスキーマのエラー	データベースのエラー 一致しないスキーマまたは古いスキーマ
その他のエラー	基になる接続が閉じられた 停止したスキャナー プロセス リモート サーバーに接続できない コンテンツ スキャン ジョブまたはプロファイルが見つからない リポジトリが構成されていない クラスターが見つからない

認証トークンが受け入れられません

エラー メッセージ

Microsoft.InformationProtection.Exceptions.AccessDeniedException: サービスが認証トークンを受け入れませんでした。

説明

Set-Authentication コマンドが失敗しました。

解像度

Azure portal で適切なアクセス許可が正しく定義されていることを確認します。

詳細については、「 Set-Authentication 用に Microsoft Entra アプリケーションを作成して構成するを参照してください。

認証トークンがありません

エラー メッセージ

• NoAuthTokenException: クライアント アプリケーションが HTTP 要求の認証トークンを提供できませんでした

• Microsoft.InformationProtection.Exceptions.NoAuthTokenException: クライアント アプリケーションが HTTP 要求の認証トークンを提供できませんでした。 失敗: System.AggregateException: 1 つ以上のエラーが発生しました。 ---> Microsoft.IdentityModel.Clients.ActiveDirectory.AdalException: user_interaction_required: 2 つの条件のいずれかが発生しました: 1。 PromptBehavior.Never フラグが渡されましたが、ユーザー操作が必要なため、制約を受け入れませんでした。 2. Http 認証フローが短時間で完了できないサイレント Web 認証中にエラーが発生しました

• Windows 統合認証を使用してトークンを取得できませんでした (SSO なし)

• Azure portal の Nodes ページで、次の手順を実行します。

  ポリシーに、自動ラベル付け条件が含まれていません

説明

これらの認証エラーは、スキャナーが非対話形式で実行されるときに発生します。

解像度

Set-Authentication コマンドレットを使用してトークンを使用して認証する必要があります。

Set-Authentication コマンドレットを実行するときは、次の例に示すように、スキャナー サービスの実行に使用されるサービス アカウントの代わりにトークン パラメーターを使用してください。

$pscreds = Get-Credential CONTOSO\scanner
Set-Authentication -AppId "77c3c1c3-abf9-404e-8b2b-4652836c8c66" -AppSecret "OAkk+rnuYc/u+]ah2kNxVbtrDGbS47L4" -DelegatedUser scanner@contoso.com -TenantId "9c11c87a-ac8b-46a3-8d5c-f4d0b72ee29a" -OnBehalfOf $pscreds
Acquired application access token on behalf of CONTOSO\scanner.

詳細については、「 スキャナー用の Microsoft Entra トークンを取得するを参照してください。

ポリシーが見つからない

エラー メッセージ

ポリシーがありません

説明

スキャナーが秘密度ラベル ポリシー ファイルを見つけることができません。

解像度

ポリシー ファイルが想定どおりに存在することを確認するには、次の場所にチェックインします: %localappdata%\Microsoft\MSIP\mip\MSIP。Scanner.exe\mip\mip.policies.sqlite3。

秘密度ラベルとそのラベル ポリシーの詳細については、「 秘密度ラベルとそのポリシーの作成と構成」を参照してください。

ポリシーに自動ラベル付け条件が含まれていない

エラー メッセージ

ポリシーにラベル付け条件がありません

説明

ラベル付けポリシーに自動ラベル付け条件がありません。

解像度

次の設定を構成します。

設定	設定を構成する手順
コンテンツ スキャン ジョブの設定	Azure Portal で、次の操作を行います。 [検出する情報の種類] を [すべて] に設定する スキャン時に適用される既定のラベルを定義する
ラベル付けポリシー設定	Microsoft Purview コンプライアンス ポータルで、次の操作を行います。 既定の秘密度ラベルを定義する 自動/推奨ラベル付けを構成する

設定が既に想定どおりに定義されている場合は、ポリシー ファイル自体が見つからないか、Microsoft Purview コンプライアンス ポータルからのタイムアウトがある場合など、アクセスできない可能性があります。

ポリシー ファイルを確認するには、次のファイルが存在することを確認します: %localappdata%\Microsoft\MSIP\mip\MSIP.Scanner.exe\mip\mip.policies.sqlite3

詳細については、「Azure Information Protection 統合ラベル付けスキャナーとは」と「秘密度ラベルの詳細」を参照してください。

データベース エラー

エラー メッセージ

DB エラー

説明

スキャナーはデータベースに接続できません。

解像度

スキャナー コンピューターとデータベースの間のネットワーク接続を確認します。

さらに、スキャナー プロセスの実行に使用されているサービス アカウントに、データベースへのアクセスに必要なすべてのアクセス許可があることを確認します。

一致しないスキーマまたは古いスキーマ

エラー メッセージ

次のいずれか:

• SchemaMismatchException

• Azure portal の Nodes ページで、次の手順を実行します。

  DB スキーマが最新ではありません。 Update-ScannerDatabase コマンドを実行して DB スキーマを更新する
  エラー: DB スキーマが最新ではありません

説明

データベース スキーマが最新ではありません。

解像度

Update-ScannerDatabase コマンドレットを実行して、スキーマを再同期し、最新の変更が反映されていることを確認します。

基になる接続が閉じられた

エラー メッセージ

System.Net.WebException: 基になる接続が閉じられました: 送信時に予期しないエラーが発生しました。 ---> System.IO.IOException: リモート側がトランスポート ストリームを閉じたため、認証に失敗しました。

[System.Net.Http.HttpRequestException: 要求の送信中にエラーが発生しました。 ---> System.Net.WebException: 基礎的な接続が閉じられました: 送信時に予期しないエラーが発生しました。 ---> System.IO.IOException: 転送接続からデータを読み取ることができません: 既存の接続がリモート ホストによって強制的に切断されました。 ---> System.Net.Sockets.SocketException: 既存の接続がリモートホストによって強制的に切断されました。

説明

これらのエラーは、TLS 1.2 が有効になっていないことを示しています。

解像度

TLS 1.2 を有効にするには、次を参照してください。

• ファイアウォールとネットワーク インフラストラクチャの要件
• TLS 1.2 を有効にする方法
• Office Online Server で TLS 1.1 と TLS 1.2 のサポートを有効にする

スキャナー プロセスがスタックしました

エラー メッセージ

エラー メッセージは表示されませんが、スキャナーはタイムアウトします。

説明

スキャナーは、1 つのファイルを予想よりも長い時間処理しているか、リポジトリ内の多数のファイルをスキャンしているときに予期せず停止します。 スキャナー プロセスが停止している可能性があります。

解像度

次のいずれかの設定を変更します。

• 動的ポートの数。 ファイルをホストしているオペレーティング システムに対して、動的ポートの数を増やす必要がある場合があります。 SharePoint のサーバーのセキュリティ強化は、スキャナーが許可されたネットワーク接続の数を超え、停止する理由の 1 つです。

  現在のポート範囲を表示して範囲を広げる方法については、「 ネットワーク パフォーマンスを向上させるために変更できる設定」を参照してください。

• リスト ビューのしきい値。 大規模な SharePoint ファームの場合、リスト ビューのしきい値を増やす必要がある場合があります。 既定では、リスト ビューのしきい値は 5,000 に設定されています。

  しきい値を増やす方法については、「 SharePoint の大規模なリストとライブラリの管理を参照してください。

問題が引き続き発生する場合は、詳細レポートを確認して、ファイルのサイズが大きくなっているかどうかを判断します。

ファイル サイズが増え続ける場合、スキャナーはデータを処理しているため、完了するまで待つ必要があります。

ファイルのサイズが増えなくなった場合は、次の操作を行います。

1. 次のコマンドレットを実行します。

   • Start-ScannerDiagnostics コマンドレット: スキャナーで診断チェックを実行し、検出されたエラーのログ ファイルをエクスポートおよび zip します。
   • Export-DebugLogs コマンドレット: %localappdata%\Microsoft\MSIP\Logs ディレクトリから.zipバージョンのログ ファイルをエクスポートして作成します。

2. MSIP スキャナー サービスのダンプ ファイルを作成します。 Windows タスク マネージャーで [MSIP Scanner service] を右クリックし、[ダンプ ファイルの作成] を選択します。

3. Azure portal で、スキャンを停止します。

4. スキャナー コンピューターで、サービスを再起動します。

5. サポート チケットを開き、スキャナー プロセスから得たダンプ ファイルを添付します。

リモート サーバーに接続できません

エラー メッセージ

MSIPScanner.iplog ファイルの %localappdata%\Microsoft\MSIP\Logs\:

System.Net.Sockets.SocketException ---> リモート サーバーに接続できません:通常、各ソケット アドレス (プロトコル/ネットワーク アドレス/ポート) の使用は 1 つだけです。

複数のログがある場合、MSIPScanner.iplog ファイルは.zip ファイルになります。

説明

スキャナーで、許可されているネットワーク接続の数を超えました。

解像度

ファイルをホストしているオペレーティング システムに対して、動的ポートの数を増やします。

現在のポート範囲を表示し、範囲を増やす方法については、ネットワーク パフォーマンスを向上させるために変更できる Settings を参照してください。

コンテンツ スキャン ジョブまたはプロファイルがありません

エラー メッセージ

Azure portal の Nodes ページで、次の手順を実行します。

コンテンツ スキャン ジョブが見つかりません

説明

このエラーは、コンテンツ スキャン ジョブまたはプロファイルが見つからない場合に発生します。

解像度

Azure portal でスキャナーの構成を確認します。

詳細については、Azure Information Protection 統合ラベル付けスキャナーの構成とインストールに関する記事を参照してください。

注:profile は、新しいバージョンのスキャナーでスキャナー クラスターとコンテンツ スキャン ジョブに置き換えられた従来のスキャナー用語です。

リポジトリが構成されていません

エラー メッセージ

管理ポータルの Nodes ページで、次の手順を実行します。

リポジトリが構成されていない

説明

リポジトリが構成されていないコンテンツ スキャン ジョブがある可能性があります。

解像度

コンテンツ スキャン ジョブの設定を確認し、少なくとも 1 つのリポジトリを追加します。

詳細については、「コンテンツ スキャン ジョブを作成する」を参照してください。

クラスターが見つかりません

エラー メッセージ

管理ポータルの Nodes ページで、次の手順を実行します。

クラスターが見つかりません

説明

定義したスキャナー クラスターの 1 つについて、実際の一致が見つかりません。

解像度

クラスターの構成を確認し、独自のシステムの詳細情報に照らして入力ミスや誤りがないかチェックします。

詳細については、「スキャナー クラスターを作成する」を参照してください。

詳細

AIP UL スキャナーのデプロイと使用に関するベスト プラクティス。