Deploy Automatic File Classification (Demonstration Steps)
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
このトピックでは、Active Directory でリソース プロパティを有効にし、ファイル サーバーで分類規則を作成してから、ファイル サーバーでファイルのリソース プロパティに値を割り当てる方法について説明します。 例えば、次の分類規則を作成します。
一連のファイルで文字列「Contoso Confidential」を検索するコンテンツ分類規則。 この文字列がファイルで見つかった場合、そのファイルの Impact リソース プロパティが High に設定されます。
一連のファイルで正規表現が 1 つのファイルで 10 回以上社会保障番号に一致するかを検索するコンテンツ分類規則。 パターンが見つかった場合、ファイルは個人を特定できる情報と分類され、Personally Identifiable Information リソース プロパティが High に設定されます。
このドキュメントの内容
注意
このトピックでは、説明した手順の一部を自動化するのに使用できる Windows PowerShell コマンドレットのサンプルを示します。 詳細については、「コマンドレットの使用」を参照してください。
手順 1:リソース プロパティ定義を作成する
Impact リソース プロパティおよび Personally Identifiable Information リソース プロパティを有効にして、ファイル分類インフラストラクチャがこれらのリソース プロパティを使用してネットワーク共有フォルダーでスキャンされたファイルにタグを付けることができるようにします。
リソース プロパティ定義を作成するには
ドメイン コントローラーで、Domain Admins セキュリティ グループのメンバーとしてサーバーにサインインします。
Active Directory 管理センターを開きます。 サーバー マネージャーで [ツール] をクリックしてから、[Active Directory 管理センター] をクリックします。
[ダイナミック アクセス制御] を展開してから、[リソース プロパティ] をクリックします。
[Impact] を右クリックし、[有効にする] をクリックします。
[Personally Identifiable Information] を右クリックし、[有効にする] をクリックします。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
Set-ADResourceProperty '"Enabled:$true '"Identity:'CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com'
Set-ADResourceProperty '"Enabled:$true '"Identity:'CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com'
手順 2:文字列のコンテンツ分類規則を作成する
文字列のコンテンツ分類規則は、ファイルで特定の文字列がないかをスキャンします。 文字列が見つかった場合、リソース プロパティの値を構成できます。 この例では、ネットワーク共有フォルダー上の各ファイルをスキャンし、文字列「Contoso Confidential」を検索します。 文字列が見つかった場合、関連ファイルは、ビジネスに大きな影響を与えるものとして分類されます。
文字列のコンテンツ分類規則を作成するには
Administrators セキュリティ グループのメンバーとしてファイル サーバーにログオンします。
Windows PowerShell コマンド プロンプトで「Update-FsrmClassificationPropertyDefinition」と入力してから、Enter キーを押します。 これにより、ドメイン コントローラーで作成されたプロパティ定義がファイル サーバーに同期されます。
ファイル サーバー リソース マネージャーを開きます。 サーバー マネージャーで [ツール] をクリックしてから、[ファイル サーバー リソース マネージャー] をクリックします。
[分類管理] を展開し、[分類規則] を右クリックしてから、[分類スケジュールの構成] をクリックします。
[固定スケジュールを有効にする] チェック ボックスを選択し、[新しいファイルの連続分類を許可する] チェック ボックスを選択し、分類を実行する曜日を選択してから、[OK] をクリックします。
[分類規則] を右クリックし、[分類規則の作成] をクリックします。
[全般] タブの [規則名] ボックスに「Contoso Confidential」などの規則名を入力します。
[スコープ] タブで [追加] をクリックし、この規則に含めるフォルダー (D:\Finance Documents など) を選択します。
注意
スコープに動的な名前空間を選択することもできます。 分類規則の動的な名前空間の詳細については、「ファイル サーバー リソース マネージャーの新機能」を参照してください。
[分類] タブで次のように構成します。
[ファイルにプロパティを割り当てる方法を選択してください] ボックスで [コンテンツ分類子] が選択されていることを確認します。
[ファイルに割り当てるプロパティを選択してください] ボックスで [Impact] をクリックします。
[値の指定] ボックスで [High] をクリックします。
[パラメーター] 見出しで [構成] をクリックします。
[式の種類] 列で [文字列] を選択します。
[式] 列に「Contoso Confidential」と入力してから、[OK] をクリックします。
[評価の種類] タブで [既存のプロパティ値を再評価する] チェック ボックスを選択し、[既存の値を上書きする] をクリックしてから、[OK] をクリックします。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;$AutomaticClassificationScheduledTask
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name 'Contoso Confidential' -Property "Impact_MS" -PropertyValue "3000" -Namespace @('D:\Finance Documents') -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite
手順 3:正規表現のコンテンツ分類規則を作成する
正規表現の分類規則は、正規表現に一致するパターンをファイルでスキャンします。 正規表現に一致する文字列が見つかった場合、リソース プロパティの値を構成できます。 この例では、ネットワーク共有フォルダー上の各ファイルをスキャンし、社会保障番号のパターン (XXX-XX-XXXX) に一致する文字列を検索します。 パターンが見つかった場合、関連ファイルは、個人を特定できる情報が含まれているものと分類されます。
正規表現のコンテンツ分類規則を作成するには
Administrators セキュリティ グループのメンバーとしてファイル サーバーにサインインします。
Windows PowerShell コマンド プロンプトで「Update-FsrmClassificationPropertyDefinition」と入力してから、Enter キーを押します。 これにより、ドメイン コントローラーで作成されたプロパティ定義がファイル サーバーに同期されます。
ファイル サーバー リソース マネージャーを開きます。 サーバー マネージャーで [ツール] をクリックしてから、[ファイル サーバー リソース マネージャー] をクリックします。
[分類規則] を右クリックし、[分類規則の作成] をクリックします。
[全般] タブの [規則名] ボックスに、「PII Rule」などの分類規則名を入力します。
[スコープ] タブで [追加] をクリックしてから、この規則に含めるフォルダー (D:\Finance Documents など) を選択します。
[分類] タブで次のように構成します。
[ファイルにプロパティを割り当てる方法を選択してください] ボックスで [コンテンツ分類子] が選択されていることを確認します。
[ファイルに割り当てるプロパティを選択してください] ボックスで [Personally Identifiable Information] をクリックします。
[値の指定] ボックスで [High] をクリックします。
[パラメーター] 見出しで [構成] をクリックします。
[式の種類] 列で [正規表現] を選択します。
[式] 列に「^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$」と入力します。
[最小項目] 列に 10 と入力してから、[OK] をクリックします。
[評価の種類] タブで [既存のプロパティ値を再評価する] チェック ボックスを選択し、[既存の値を上書きする] をクリックしてから、[OK] をクリックします。
Windows PowerShell の同等のコマンド
次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。
New-FSRMClassificationRule -Name "PII Rule" -Property "PII_MS" -PropertyValue "5000" -Namespace @('D:\Finance Documents') -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=10;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite
手順 4:ファイルが正しく分類されていることを確認する
分類規則で指定されているフォルダー内で作成されたファイルのプロパティを表示することで、ファイルが正しく分類されているかを確認できます。
ファイルが正しく分類されていることを確認するには
ファイル サーバーで、ファイル サーバー リソース マネージャーを使用して分類規則を実行します。
[分類管理] をクリックし、[分類規則] を右クリックしてから、[すべての規則で今すぐ分類を実行する] をクリックします。
[分類の完了を待つ] オプションをクリックしてから、[OK] をクリックします。
自動分類レポートを閉じます。
これを行うには、Windows PowerShell を使用して次のコマンドを実行します。Start-FSRMClassification '"RunDuration 0 -Confirm:$false
分類規則で指定されたフォルダー (D:\Finance Documents など) に移動します。
そのフォルダー内のファイルを右クリックしてから、[プロパティ] をクリックします。
[分類] タブをクリックし、ファイルが正しく分類されていることを確認します。