追加できるStorage Stackの数に制限はありませんが、スタックの数が増えるとコストが高くなることに注意してください。スキャンするファイルが多数あり、多くのストレージアカウントに分散している場合は、 Storage Stackを1つだけ展開し、ファイルを関連するストレージアカウントに転送してスキャンし、スキャン後に元に戻すことを検討してください。この処理の一部を自動化するサンプルのAzure機能を提供します。詳細については、 Post-Scan Action：GitHub のプロモートまたは隔離を参照してください。

デプロイするStorage Stackの数はパフォーマンスに影響しないため、必要な数だけデプロイします。

Scanner Stack

通常、サイズに関係なく、デプロイメント全体に必要な Scanner Stack は1つだけです。これは、 Scanner Stack が負荷の増加を処理するために自動スケーリングするためです。（パフォーマンスの詳細については、スキャンにかかる時間はどれくらいですか？を参照してください）

スタックはどこに追加できますか？

特に下記に記載がない限り、次のようなAzureの任意の場所にスタックを追加できます：個別のAzureサブスクリプション、個別のAzureリージョン、または同じAzureサブスクリプション。Storage Stackは、 Azureリソースグループの識別子を介して、それぞれの Scanner Stack を認識します。

制限、規定、および推奨事項

スタックは、サポートされているAzureリージョンに存在する必要があります。詳細については、どのリージョンがサポートされていますか？を参照してください。
Storage Stack は、保護ストレージアカウントと同じリージョンに存在する必要があります
最適なパフォーマンスを得るには、Storage StackとScanner Stackを、南北アメリカなどの同じ大陸リージョンに配置する必要があります。
各 Scanner Stack または Storage Stack は、スタンドアロンの Azureリソースグループに配置する必要があります。スタックのリソースグループに他のリソースをデプロイすることはお勧めしません。

All-in-one Stackを追加します

All-in-one Stackを追加するには、「All-in-one Stackのデプロイ」を参照してください。

Scanner Stackを追加します

Scanner Stackを追加するには、次のセクションをお読みください。

Step 1： Scanner Stackを追加します
Step 2： Scanner StackのテナントIDとリソースグループIDを構成する
次のステップ（ストレージの追加）

Step 1： Scanner Stackを追加します

以下の手順に従って、 Scanner Stack を追加します。

File Storage Securityにサインインをしてから、 Stack Management ページを選択します。
Azure タブを選択します。
Deployを選択します。

Deploy ダイアログボックスが表示されます。
Scanner Stackを選択します。

Deploy Scanner Stack ダイアログボックスが表示されます。
Deploy Scanner Stack ダイアログボックス：
- Step 1：
  - Azureポータルで Microsoft Entra ID にサインインしていることを確認してください。 List Service Principal ID Azure CLI コマンドを実行して、サービスプリンシパル ID を取得します。サービスプリンシパルが存在しない場合は、 Prepare Service Principal ID Azure CLI コマンドを実行してサービスプリンシパルを作成します。 Azure にスタックをデプロイするには、File Storage Security のアプリ登録にリンクされているサービスプリンシパルを使用する必要があります。サービスプリンシパルの作成の詳細については、Azure サービスプリンシパルの準備を参照してください。
- Step 2：
  - （オプション）起動する前に、 Review Stack を選択して、 Scanner Stack の内容を表示します。
- Launch Stackを選択します。
Azure Custom deploymentページにリダイレクトされます。
Custom deploymentページに次のように入力します。
- Subscription：スタックをデプロイするサブスクリプションを指定します。
- Resource group：ドロップダウンリストから Scanner Stack の名前を選択します。目的のリソースグループが存在しない場合は、[Create new]をクリックして作成します。例:Scanner-TM-FileStorageSecurity
- Region： Scanner StackをデプロイするAzureリージョンを選択します。この領域は、 File Storage Securityによってサポートされている必要があります。詳細については、どのリージョンがサポートされていますか？を参照してください。
- File Storage Security Service Principal ID：ステップ1で取得したサービスプリンシパルIDを指定します。 Scanner Stackを管理するためのこのサービスプリンシパル権限を付与します。より具体的には、このサービスプリンシパルには次の権限があります。
  - Storage StackとScanner Stackの機能ログを取得します。
  - スタック内の関数とライセンスを更新します。
  - 組織のデータの一部を File Storage Security バックエンドサービスに送信します。当社が収集するデータの詳細については、データ収集の開示を参照してください。
- Cloud One Region： File Storage Security コンソール、イベント管理サービス、テレメトリサービスなどの Cloud One サービスの Scanner StackおよびStorage Stackが接続するリージョンを指定します。詳細については、「Cloud One リージョン」を参照してください。
- Stack Package Location：このフィールドはそのままにしておきます。これは、 File Storage Securityによる内部使用のためのものです。
- Version：このフィールドはそのままにしておきます。バージョニング用です。
- Shared Access Signature：このフィールドはそのままにしておきます。これは、Azureストレージアカウントにある場合にスタックパッケージの場所にアクセスするためのものです。
- Review + createを選択します。
- 情報が正しいことを確認し、 Createを選択します。
スタックがインストールされるまで待ちます。これには数分かかる場合があります。すべてがインストールされるとFile Storage Security Scanner Stackで Your deployment is complete メッセージが表示されます。

これで、 Scanner Stackがインストールされました。これで、テナントIDとリソースグループIDを構成する準備が整いました。

Step 2： Scanner StackのテナントIDとリソースIDを構成する

File Storage Security コンソールで、 Scanner StackのテナントIDとリソースグループIDを構成する必要があります。

Azure Portalで、 Resource groups > Scanner Stack > Deployments > Scanner Stack 展開に移動します。
左側のメニューペインで、[ Outputs ]タブを選択します。
TenantID および ScannerStackResourceGroupID 値をコピーして File Storage Security コンソールに貼り付けます。

ダイアログボックスが表示されない場合は、 Deploy > Scanner Stack を再度選択して表示します。
Submitを選択します。

これで、 Scanner StackのテナントIDとリソースグループIDが指定されました。

次のステップ（ストレージの追加）

この時点で、 Scanner Stack は完全にインストールされていますが、どのStorage Stackにも関連付けられていないため、スキャンは実行されません。Scanner Stack を Storage Stack に関連付けてスキャンを機能させるには、 Storage Stackを追加する必要があります。

Storage Stackを追加します

Storage Stackを追加するには、次のセクションをお読みください。

マルチスタックアーキテクチャ
Step 1： Storage Stackを追加します
Step 2： Storage StackのテナントIDとリソースグループIDを構成する
Step 3： Storage Stack のインストールをテストする

マルチスタックアーキテクチャ

次の図は、一般的なマルチスタックアーキテクチャを示しています。複数のAzureサブスクリプションにまたがる複数のStorage Stackがあり、すべて同じ Scannerに接続されていることがわかります。

すべてのスキャンが単一のAzure サブスクリプション内で完了するため、監査や構成などのセキュリティアクティビティがより管理しやすくなります。

アーキテクチャ図

Step 1： Storage Stackを追加します

マルチスタックアーキテクチャを確認したら、 Storage Stackを追加する準備が整います。以下の手順に従ってください。

File Storage Securityにサインインをしてから、 Stack Management ページを選択します。
Azure タブを選択します。
左側で、 Scanner Stack を選択して、新しい Storage Stackに関連付けます。
Add Storageを選択します。

Add Storage ダイアログボックスが表示されます。
Add Storage ダイアログボックス：
- Step 1：
  - Storage StackをインストールするMicrosoft Entra IDにサインインしていることを確認してください。
- Step 2：
  - （オプション）起動する前に、 Review Stack を選択して、 Storage Stack の内容を表示します。
  - （オプション） Copy Link を選択して、Azure内の Storage StackのAzure ResourceManagerテンプレートへのリンクを取得します。このリンクは、同じAzure サブスクリプションまたは別のサブスクリプションの下で、追加の Storage Stack を必要とする他のユーザーと共有できます。
- Launch Stackを選択します。
Azure Custom deploymentページにリダイレクトされます。
Custom deploymentページに次のように入力します。
- Subscription：スタックをデプロイするサブスクリプションを指定します。
- Resource group：ドロップダウンリストから Storage Stack の名前を選択します。目的のリソースグループが存在しない場合は、[Create new]をクリックして作成します。例: FSSStorage2
- Region： Scanner StackをデプロイするAzureリージョンを選択します。この領域は、 File Storage Securityによってサポートされている必要があります。詳細については、どのリージョンがサポートされていますか？を参照してください。
- File Storage Security Service Principal ID：ステップ1で取得したサービスプリンシパルIDを指定します。 Scanner Stackを管理するためのこのサービスプリンシパル権限を付与します。より具体的には、このサービスプリンシパルには次の権限があります。
  - Storage StackとScanner Stackの機能ログを取得します。
  - スタック内の関数とライセンスを更新します。
  - 組織のデータの一部を File Storage Security バックエンドサービスに送信します。当社が収集するデータの詳細については、データ収集の開示を参照してください。
- Cloud One Region: File Storage Security コンソール、イベント管理サービス、テレメトリサービスなどの Cloud One サービスの Scanner およびStorage Stackが接続するリージョンを指定します。詳細については、「Cloud One リージョン」を参照してください。
- Scanner Identity Principal ID： Add Storage ダイアログボックスで Scanner Identity Principal ID の値をコピーし、フィールドに値を貼り付けます。
- Scanner Queue Namespace： Add Storage ダイアログボックスで Scanner Queue Namespace の値をコピーし、フィールドに値を貼り付けます。
- Blob Storage Account Resource ID: 保護するストレージアカウントのリソースIDを指定します。指定できるストレージアカウントは1つだけです。サポートされているストレージアカウントの種類については、「サポートされているサービス」を参照してください。例: /subscriptions/1234abcd-3c6d-4347-9019-123456789012/resourceGroups/storage-resource-group/providers/Microsoft.Storage/storageAccounts/protectingstorageaccount
  
  ストレージアカウントのリソースIDは、ストレージアカウントのページの Endpoints タブにあります。
- Blob System Topic Exist：保護ストレージアカウントのシステムトピックが既に作成されている場合は、 Yes を選択します。 ** No ** を選択して、新しいシステムトピックを展開します。
- Blob System Topic Name：既存のシステムトピック名または作成するシステムトピックの名前。
- Update Scan Result To Blob Metadata： Yes を選択して、スキャン結果でBLOBメタデータとインデックスタグを更新します。 ** No ** を選択して、BLOBインデックスタグのみをアップデートします。インデックスタグをサポートしていないプレミアムブロックBLOBストレージアカウントを使用している場合は、 Yes を選択して、BLOBメタデータの検索結果を確認することをお勧めします。
- Report Object Key： Yes を選択して、検索されたオブジェクトのオブジェクトキーを File Storage Security バックエンドサービスに報告します。File Storage Security は、イベントAPIの応答に不正なオブジェクトのオブジェクトキーを表示できます。
- Stack Package Location：このフィールドはそのままにしておきます。これは、 File Storage Securityによる内部使用のためのものです。
- Version：このフィールドはそのままにしておきます。バージョニング用です。
- Shared Access Signature：このフィールドはそのままにしておきます。これは、Azureストレージアカウントにある場合にスタックパッケージの場所にアクセスするためのものです。
- Review + createを選択します。
- 情報が正しいことを確認し、 Createを選択します。
スタックがインストールされるまで待ちます。これには数分かかる場合があります。すべてがインストールされるとFile Storage Security Scanner Stackで Your deployment is complete メッセージが表示されます。

これで、 Storage Stackがインストールされました。これで、テナントIDとリソースグループIDを構成する準備が整いました。

Step 2： Storage StackのテナントIDとリソースグループIDを構成する

File Storage Security コンソールで、 Storage StackのテナントIDとリソースグループIDを構成する必要があります。リソースグループIDは、 Storage Stack を指定された Scanner Stackに関連付けます。

Azure Portalで、 Resource groups > Storage Stack > Deployments > Storage Stack デプロイメントに移動します。
左側のメニューペインで、[ Outputs ]タブを選択します。
TenantID および storageStackResourceGroupID 値をコピーして File Storage Security コンソールに貼り付けます。

ダイアログボックスが表示されない場合は、 Add Storage をもう一度選択して表示します。
Submitを選択します。

これで、 Storage StackのテナントIDとリソースグループIDが指定されました。 Scanner Stack は、 Storage Stackを認識するようになりました。これで、 Storage Stack のインストールをテストする準備が整いました。

Step 3： Storage Stack のインストールをテストする

Storage Stack のインストールをテストするには、スキャンするストレージアカウントに eicar ファイルを追加してマルウェア検出を生成する必要があります。詳細については、「最初の検出を生成する」を参照してください。

このページのトピック

Azureスタックを追加する

スタックをいくつ追加する必要がありますか？

Storage Stack