Azure Rights Management コネクタ用にサーバーを構成するConfiguring servers for the Azure Rights Management connector

*適用対象: Azure Information Protection、Windows Server 2016、windows Server 2012 R2、windows server 2012 **Applies to: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012*

*関連する内容:AIP の統合ラベル付けクライアントとクラシック クライアント**Relevant for: AIP unified labeling client and classic client*

Azure Rights Management (RMS) コネクタを使用するオンプレミス サーバーを構成するには、次の情報を活用してください。Use the following information to help you configure your on-premises servers that will use the Azure Rights Management (RMS) connector. これらの手順 では、「Azure Rights Management コネクタのデプロイ」の手順5について説明します。These procedures cover step 5 from Deploying the Azure Rights Management connector.

前提条件: 開始する前に、次のことを確認してください。Prerequisites: Before you begin, make sure that you have: - RMS コネクタのインストールと構成Installed and configured the RMS connector - コネクタを使用するサーバーに関連する 前提条件 が確認されました。Checked any prerequisites relevant for the servers that will use the connector.

RMS コネクタを使用するためのサーバーの構成Configuring servers to use the RMS connector

RMS コネクタをインストールして構成したら、Azure Rights Management サービスに接続するオンプレミスサーバーを構成し、コネクタを使用してこの保護テクノロジを使用することができます。After you have installed and configured the RMS connector, you are ready to configure the on-premises servers that will connect to the Azure Rights Management service, and use this protection technology by using the connector.

つまり、次のサーバーを構成します。This means configuring the following servers:

環境Environment 構成するサーバーServers to configure
Exchange 2016 および Exchange 2013Exchange 2016 and Exchange 2013 クライアント アクセス サーバーおよびメールボックス サーバーClient access servers and mailbox servers
Exchange 2019Exchange 2019 クライアント アクセス サーバーおよびハブ トランスポート サーバーClient access servers and hub transport servers
SharePointSharePoint フロントエンド SharePoint Web サーバー (全体管理サーバーをホストするサーバーを含みます)Front-end SharePoint webservers, including those hosting the Central Administration server
ファイル分類インフラストラクチャFile Classification Infrastructure ファイル リソース マネージャーをインストールした Windows Server コンピューターWindows Server computers that have installed File Resource Manager

この構成には、次のオプションを使用したレジストリ設定が必要です。This configuration requires registry settings, with the following options:

重要

いずれの場合でも、前提条件を手動でインストールし、Rights Management を使用するように Exchange、SharePoint、およびファイル分類インフラストラクチャを構成する必要があります。In both cases, you must manually install any prerequisites and configure Exchange, SharePoint, and File Classification Infrastructure to use Rights Management.

注意

ほとんどの場合、Microsoft RMS コネクタ用のサーバー構成ツールを使用した自動構成が推奨されます。手動構成よりも効率良く確実に構成できるためです。For most organizations, automatic configuration by using the server configuration tool for Microsoft RMS connector will be the better option, because it provides greater efficiency and reliability than manual configuration.

これらのサーバーで構成の変更を行った後、Exchange または SharePoint を実行していて、以前に AD RMS を使用するように構成されていた場合は、再起動する必要があります。After making the configuration changes on these servers, you must restart them if they are running Exchange or SharePoint, and were previously configured to use AD RMS. Rights Management 用に初めて構成する場合は、サーバーを再起動する必要はありません。There is no need to restart these servers if you are configuring them for Rights Management for the first time.

ファイル分類インフラストラクチャを使用するようにファイル サーバーを構成している場合、構成の変更後に、必ず再起動する必要があります。You must always restart the file server that is configured to use File Classification Infrastructure after you make these configuration changes.

レジストリ設定を自動的に編集する-長所と短所Edit registry settings automatically - advantages and disadvantages

Microsoft RMS コネクタのサーバー構成ツールを使用して、レジストリ設定を自動的に編集します。Edit your registry settings automatically, by using the server configuration tool for Microsoft RMS connector.

利点は 次のとおりです。Advantages include:

  • レジストリを直接編集する必要はありません。No direct editing of the registry. スクリプトを使用して自動構成されます。This is automated for you by using a script.

  • Windows PowerShell コマンドレットを実行して Microsoft RMS の URL を取得する必要はありません。No need to run a Windows PowerShell cmdlet to obtain your Microsoft RMS URL.

  • ツールをローカルで実行すると、必須コンポーネントが自動的に確認されます (ただし、自動修復されることはありません)。The prerequisites are automatically checked for you (but not automatically remediated) if you run it locally.

欠点 とは、ツールを実行するときに、既に RMS コネクタを実行しているサーバーへの接続を確立する必要があることです。Disadvantages include: When you run the tool, you must make a connection to a server that is already running the RMS connector.

詳細については、「 MICROSOFT RMS コネクタ用のサーバー構成ツールの使用方法」を参照してください。For more information, see How to use the server configuration tool for Microsoft RMS connector.

レジストリ設定を手動で編集する-長所と短所Edit registry settings manually - advantages and disadvantages

利点 としては、RMS コネクタを実行しているサーバーへの接続が必要ないことが挙げられます。Advantages include: No connectivity to a server running the RMS connector is required.

欠点は 次のとおりです。Disadvantages include:

  • 管理オーバーヘッドが増大し、間違いが発生しやすくなります。More administrative overheads that are error-prone.

  • Microsoft RMS の URL を取得する必要があります。このために Windows PowerShell コマンドを実行する必要があります。You must obtain your Microsoft RMS URL, which requires you to run a Windows PowerShell command.

  • すべての必須コンポーネントを常にユーザー自身で確認する必要があります。You must always make all the prerequisites checks yourself.

Microsoft RMS コネクタ用のサーバー構成ツールの使用方法How to use the server configuration tool for Microsoft RMS connector

  1. Microsoft RMS コネクタ用のサーバー構成ツール (GenConnectorConfig.ps1) のスクリプトをまだダウンロードしていない場合は、 microsoft ダウンロードセンターからダウンロードしてください。If you haven't already downloaded the script for the server configuration tool for Microsoft RMS connector (GenConnectorConfig.ps1), download it from the Microsoft Download Center.

  2. ツールを実行するコンピューターに GenConnectorConfig.ps1 ファイルを保存します。Save the GenConnectorConfig.ps1 file on the computer where you will run the tool.

    ツールをローカルで実行する場合、これは RMS コネクタと通信するように構成したサーバーである必要があります。If you will run the tool locally, this must be the server that you want to configure to communicate with the RMS connector. そうでない場合は、任意のコンピューターに保存できます。Otherwise, you can save it on any computer.

  3. ツールの実行方法を決定します。Decide how to run the tool:

    メソッドMethod 説明Description
    ローカルLocally RMS コネクタと通信するように構成するサーバーから対話形式でツールを実行します。Run the tool interactively, from the server to be configured to communicate with the RMS connector.

    ヒント: これは、テスト環境など、1回限りの構成に役立ちます。Tip: This is useful for a one-off configuration, such as a testing environment.
    ソフトウェアの展開Software deployment ツールを実行してレジストリファイルを生成し、それを1つ以上の関連サーバーに展開します。Run the tool to produce registry files, which you then deploy to one or more relevant servers.

    System Center Configuration Manager などのソフトウェアの展開をサポートする systems management アプリケーションを使用して、レジストリファイルを展開します。Deploy the registry files using a systems management application that supports software deployment, such as System Center Configuration Manager.
    グループ ポリシーGroup policy ツールを実行して、構成するサーバーのグループポリシーオブジェクトを作成できる管理者に対して、指定したスクリプトを生成します。Run the tool to produce a script that you give to an administrator who can create Group Policy objects for the servers to be configured.

    このスクリプトを実行すると、構成対象の各サーバー タイプに 1 つのグループ ポリシー オブジェクトが作成されます。その後、管理者は関連するサーバーにそのグループ ポリシーを割り当てることができます。This script creates one Group Policy object for each server type to be configured, which the administrator can then assign to the relevant servers.

    注意

    このツールを使用して、このセクションの最初に記載されている、RMS コネクタと通信するサーバーを構成します。This tool configures the servers that will communicate with the RMS connector and that are listed at the beginning of this section. このツールは、RMS コネクタを実行するサーバーで実行しないでください。Do not run this tool on the servers that run the RMS connector.

  4. [ 管理者として実行 ] オプションを使用して Windows PowerShell を起動し、 get-help コマンドを使用して、選択した構成方法でツールを使用する方法を確認します。Start Windows PowerShell with the Run as an administrator option, and use the Get-help command to read instructions how to the use the tool for your chosen configuration method:

    Get-help .\GenConnectorConfig.ps1 -detailed
    

スクリプトを実行するには、組織の RMS コネクタの URL を入力する必要があります。To run the script, you must enter the URL of the RMS connector for your organization.

プロトコルのプレフィックス (HTTP:// または HTTPS://) に続いて、コネクタの負荷分散アドレス用に DNS で定義したコネクタ名を入力してください。Enter the protocol prefix (HTTP:// or HTTPS://) and the name of the connector that you defined in DNS for the load balanced address of your connector. たとえば、「 https:\//connector.contoso.com 」のように入力します。For example, https:\//connector.contoso.com.

ツールは、この URL を使用して RMS コネクタが実行されているサーバーに接続し、必要な構成を作成するために使用されるその他のパラメーターを取得します。The tool then uses that URL to contact the servers running the RMS connector and obtain other parameters that are used to create the required configurations.

重要

このツールを実行する場合、RMS コネクタ サービスを実行する単一のサーバー名ではなく、組織の負荷分散された RMS コネクタ名を指定する必要があります。When you run this tool, make sure that you specify the name of the load-balanced RMS connector for your organization and not the name of a single server that runs the RMS connector service.

各サービス タイプに固有の情報については、次のセクションを参照してください。Use the following sections for specific information for each service type:

コネクタを使用するように構成されていない別のコンピューターにクライアントアプリケーションをインストールする場合When to install client applications on separate computers, which are not configured to use the connector

コネクタを使用するようにサーバーを構成すると、そのサーバーのローカルにインストールされたクライアント アプリケーションで RMS が動作しない場合があります。After these servers are configured to use the connector, client applications that are installed locally on these servers might not work with RMS. この問題が発生するのは、アプリケーションが RMS を直接使用せずにコネクタを使用しようとする (これはサポートされていません) ことが原因です。When this happens, it is because the applications try to use the connector rather than use RMS directly, which is not supported.

さらに、Office 2010 が Exchange server にローカルでインストールされている場合、コネクタを使用するようにサーバーを構成した後、クライアントアプリの IRM 機能がそのコンピューターから機能する可能性がありますが、これはサポートされていません。In addition, if Office 2010 is installed locally on an Exchange server, the client app's IRM features might work from that computer after the server is configured to use the connector, but this is not supported.

いずれの場合も、コネクタを使用するように構成されていない別のコンピューターにクライアント アプリケーションをインストールする必要があります。In both scenarios, you must install the client applications on separate computers that are not configured to use the connector. そうすれば、クライアント アプリケーションで RMS が直接使用されるようになります。They will then correctly use RMS directly.

重要

Office 2010 の延長サポートは、2020 年 10 月 13 日に終了しました。Office 2010 extended support ended on October 13, 2020. 詳細については、「AIP と従来の Windows および Office バージョン」を参照してください。For more information, see AIP and legacy Windows and Office versions.

コネクタを使用するための Exchange サーバーの構成Configuring an Exchange server to use the connector

次の Exchange ロールは RMS コネクタと通信します。The following Exchange roles communicate with the RMS connector:

  • Exchange 2016 および Exchange 2013 の場合: クライアント アクセス サーバーおよびメールボックス サーバーFor Exchange 2016 and Exchange 2013: Client access server and mailbox server

  • Exchange 2019 の場合: クライアントアクセスサーバーとハブトランスポートサーバーFor Exchange 2019: Client access server and hub transport server

RMS コネクタを使用するには、サーバーで実行されている Exchange が、次のいずれかのソフトウェア バージョンである必要があります。To use the RMS connector, these servers running Exchange must be running one of the following software versions:

  • Exchange Server 2016Exchange Server 2016

  • Exchange 2013 累積更新プログラム 3 を適用した Exchange Server 2013Exchange Server 2013 with Exchange 2013 Cumulative Update 3

  • Exchange Server 2019Exchange Server 2019

さらに、これらのサーバーには、RMS 暗号化モード 2 をサポートするバージョン 1 の RMS クライアント (別名 MSDRM) が存在する必要があります。You will also need on these servers, a version 1 of the RMS client (also known as MSDRM) that includes support for RMS Cryptographic Mode 2. どの Windows オペレーティング システムにも MSDRM クライアントは含まれていますが、初期のバージョンのクライアントは暗号化モード 2 をサポートしていませんでした。All Windows operating systems include the MSDRM client but early versions of the client did not support Cryptographic Mode 2. Exchange サーバーのオペレーティング システムが Windows Server 2012 以上ならば、特に対応は必要ありません。オペレーティング システムとともにインストールされる RMS クライアントは、暗号化モード 2 をネイティブでサポートしているためです。If your Exchange servers are running at least Windows Server 2012, no further action is required because the RMS client installed with these operating systems natively supports Cryptographic Mode 2.

重要

ここに示したバージョン以降の Exchange と MSDRM クライアントがインストールされていない場合は、コネクタを使用するように Exchange を構成することはできません。If these versions or later versions of Exchange and the MSDRM client are not installed, you will not be able to configure Exchange to use the connector. 続行する前に、これらのバージョンがインストールされていることを確認してください。Check that these versions are installed before you continue.

コネクタを使用するように Exchange サーバーを構成するにはTo configure Exchange servers to use the connector

  1. RMS コネクタ管理ツールと「RMS コネクタを使用するサーバーを承認する」セクションからの情報を使用して、Exchange サーバーに RMS コネクタを使用する権限が付与されていることを確認します。Make sure that the Exchange servers are authorized to use the RMS connector, by using the RMS connector administration tool and the information from the Authorizing servers to use the RMS connector section.

    Exchange が RMS コネクタを使用できるようにするには、この構成が必要です。This configuration is required so that Exchange can use the RMS connector.

  2. RMS コネクタと通信する Exchange サーバー ロールで、次のいずれかを実行します。On the Exchange server roles that communicate with the RMS connector, do one of the following:

  3. Exchange PowerShell コマンドレットの 設定-IRMConfigurationを使用して、EXCHANGE の IRM 機能を有効にします。Enable IRM functionality for Exchange by using the Exchange PowerShell cmdlet Set-IRMConfiguration. InternalLicensingEnabled $trueClientAccessServerEnabled $true を設定します。Set InternalLicensingEnabled $true and ClientAccessServerEnabled $true.

コネクタを使用するための SharePoint サーバーの構成Configuring a SharePoint server to use the connector

フロントエンド SharePoint webservers (中央管理サーバーをホストするサーバーを含む) は、RMS コネクタと通信します。Front-end SharePoint webservers, including those hosting the Central Administration server, communicate with the RMS connector.

RMS コネクタを使用するには、サーバーで実行されている SharePoint が、次のいずれかのソフトウェア バージョンである必要があります。To use the RMS connector, these servers running SharePoint must be running one of the following software versions:

  • SharePoint Server 2019SharePoint Server 2019

  • SharePoint Server 2016SharePoint Server 2016

  • SharePoint Server 2013SharePoint Server 2013

  • SharePoint Server 2010SharePoint Server 2010

SharePoint 2019、2016、または SharePoint 2013 を実行するサーバーでは、RMS コネクタでサポートされている MSIPC client 2.1 のバージョンも実行している必要があります。A server running SharePoint 2019, 2016 or SharePoint 2013 must also be running a version of the MSIPC client 2.1 that is supported with the RMS connector.

サポートされているバージョンであることを確認するには、 Microsoft ダウンロードセンターから最新のクライアントをダウンロードしてください。To make sure that you have a supported version, download the latest client from the Microsoft Download Center.

警告

MSIPC 2.1 クライアントには複数のバージョンがあるため、必ずバージョン 1.0.2004.0 以降を使用します。There are multiple versions of the MSIPC 2.1 client, so make sure that you have version 1.0.2004.0 or later.

クライアントのバージョンを確認するには、MSIPC.dll のバージョン番号を確認します。このファイルは、\Program Files\Active Directory Rights Management Services Client 2.1 にあります。You can verify the client version by checking the version number of MSIPC.dll, which is located in \Program Files\Active Directory Rights Management Services Client 2.1. プロパティ ダイアログ ボックスに、MSIPC 2.1 クライアントのバージョン番号が表示されます。The properties dialog box shows the version number of the MSIPC 2.1 client.

SharePoint 2010 を実行するサーバーには、RMS 暗号化モード 2 のサポートが含まれる MSDRM クライアントのバージョンがインストールされている必要があります。Servers running SharePoint 2010 must have installed a version of the MSDRM client that includes support for RMS Cryptographic Mode 2. Windows Server 2012 と Windows Server 2012 R2 は、暗号化モード 2 をネイティブでサポートしています。Windows Server 2012 and Windows Server 2012 R2 natively support Cryptographic Mode 2.

コネクタを使用するように SharePoint サーバーを構成するにはTo configure SharePoint servers to use the connector

  1. RMS コネクタ管理ツールと「RMS コネクタを使用するサーバーを承認する」セクションからの情報を使用して、SharePoint サーバーに RMS コネクタを使用する権限が付与されていることを確認します。Make sure that the SharePoint servers are authorized to use the RMS connector, by using the RMS connector administration tool and the information from the Authorizing servers to use the RMS connector section.

    SharePoint サーバーが RMS コネクタを使用できるようにするには、この構成が必要です。This configuration is required so that your SharePoint servers can use the RMS connector.

  2. RMS コネクタと通信する SharePoint サーバーで、次のいずれかを実行します。On the SharePoint servers that communicate with the RMS connector, do one of the following:

    • Microsoft RMS コネクタ用のサーバー構成ツールを実行します。Run the server configuration tool for Microsoft RMS connector

      詳細については、「 MICROSOFT RMS コネクタ用のサーバー構成ツールの使用方法」を参照してください。For more information, see How to use the server configuration tool for Microsoft RMS connector.

      たとえば、ツールをローカルで実行して、SharePoint 2019、2016、または SharePoint 2013 が実行されているサーバーを構成するには、次のようにします。For example, to run the tool locally to configure a server running SharePoint 2019, 2016 or SharePoint 2013:

      .\GenConnectorConfig.ps1 -ConnectorUri https://rmsconnector.contoso.com -SetSharePoint2013
      
    • Sharepoint 2019、2016、または sharepoint 2013 を使用している場合は、手動でレジストリの編集を行い ます。そのためには、 RMS コネクタのレジストリ設定 に関する情報を参照して、サーバーにレジストリ設定を手動で追加します。If you are using SharePoint 2019, 2016 or SharePoint 2013, make manual registry edits by using the information in Registry settings for the RMS connector to manually add registry settings on the servers.

  3. SharePoint で IRM を有効にします。Enable IRM in SharePoint. 詳細については、SharePoint ライブラリの「 Information Rights Management を構成する (SharePoint Server 2010) 」をご覧ください。For more information, see Configure Information Rights Management (SharePoint Server 2010) in the SharePoint library.

    これらの手順に従う場合は、コネクタを使用するように SharePoint を構成する際に [この RMS サーバーを使用する] を指定し、構成した負荷分散コネクタ URL を入力する必要があります。When you follow these instructions, you must configure SharePoint to use the connector by specifying Use this RMS server, and then enter the load-balancing connector URL that you configured.

    プロトコルのプレフィックス (HTTP:// または HTTPS://) に続いて、コネクタの負荷分散アドレス用に DNS で定義したコネクタ名を入力してください。Enter the protocol prefix (HTTP:// or HTTPS://) and the name of the connector that you defined in DNS for the load balanced address of your connector.

    たとえば、コネクタの名前が https:\//connector.contoso.com である場合、構成は次の図のようになります。For example, if your connector name is https:\//connector.contoso.com, your configuration will look like the following picture:

    RMS コネクタのための SharePoint サーバーの構成

    SharePoint ファームで IRM が有効になったら、各ライブラリの [ライブラリの設定] ページにある [Information Rights Management] オプションを使用して、個々のライブラリで IRM を有効にできます。After IRM is enabled on a SharePoint farm, you can enable IRM on individual libraries by using the Information Rights Management option on the Library Settings page for each of the libraries.

コネクタを使用するためのファイル分類インフラストラクチャ用ファイル サーバーの構成Configuring a file server for File Classification Infrastructure to use the connector

RMS コネクタとファイル分類インフラストラクチャを使用して Office ドキュメントを保護する場合は、ファイル サーバーで次のいずれかのオペレーティング システムが実行されている必要があります。To use the RMS connector and File Classification Infrastructure to protect Office documents, the file server must be running one of the following operating systems:

  • Windows Server 2016Windows Server 2016

  • Windows Server 2012 R2Windows Server 2012 R2

  • Windows Server 2012Windows Server 2012

コネクタを使用するようにファイル サーバーを構成するにはTo configure file servers to use the connector

  1. RMS コネクタ管理ツールと RMS コネクタを使用するサーバーを承認する セクションからの情報を使用して、ファイルサーバーに RMS コネクタを使用する権限が付与されていることを確認します。Make sure that the file servers are authorized to use the RMS connector, by using the RMS connector administration tool and the information from the Authorizing servers to use the RMS connector section.

    ファイル サーバーが RMS コネクタを使用できるようにするには、この構成が必要です。This configuration is required so that your file servers can use the RMS connector.

  2. ファイル分類インフラストラクチャ用に構成され、RMS コネクタと通信するファイル サーバーで、次のいずれかを実行します。On the file servers configured for File Classification Infrastructure and that will communicate with the RMS connector, do one of the following:

  3. RMS Encryption を使用してドキュメントを保護する分類ロールとファイル管理タスクを作成し、自動的に RMS ポリシーを適用するように RMS テンプレートを指定します。Create classification rules and file management tasks to protect documents with RMS Encryption, and then specify an RMS template to automatically apply RMS policies.

    詳細については、Windows Server ドキュメント ライブラリの「 ファイル サーバー リソース マネージャーの概要 」を参照してください。For more information, see File Server Resource Manager Overview in the Windows Server documentation library.

次のステップNext steps

RMS コネクタのインストールと構成が完了し、RMS コネクタを使用するようにサーバーを構成しました。IT 管理者とユーザーは、Azure Rights Management サービスを使用して電子メール メッセージとドキュメントを保護し、使用することができます。Now that the RMS connector is installed and configured, and your servers are configured to use it, IT administrators and users can protect and consume email messages and documents by using the Azure Rights Management service.

ユーザーがこの処理を実行しやすいように、Azure Information Protection クライアントをデプロイします。これによって、Office 用のアドオンがインストールされ、エクスプローラーに新しい右クリック オプションが追加されます。To make this easy for users, deploy the Azure Information Protection client, which installs an add-on for Office and adds new right-click options to File Explorer.

詳細については、「Azure Information Protection クライアント管理者ガイド」を参照してください。For more information, see the Azure Information Protection client administrator guide.

Exchange トランスポート ルールまたは Windows Server FCI と共に使用する部門別テンプレートを構成する場合は、[アプリケーションでユーザー ID がサポートされていないときにこのテンプレートをすべてのユーザーに表示する] チェック ボックスがオンになるように、スコープ構成にアプリケーション互換性オプションを含める必要があることに注意してください。Note that if you configure departmental templates that you want to use with Exchange transport rules or Windows Server FCI, the scope configuration must include the application compatibility option such that the Show this template to all users when the applications do not support user identity check box is selected.

Azure Information Protection デプロイ ロードマップ」を参照して、Azure Rights Management をユーザーおよび管理者にロールアウトする前にその他の構成手順が必要かどうかを判断します。You can use the Azure Information Protection deployment roadmap to check whether there are other configuration steps that you might want to do before you roll out Azure Rights Management to users and administrators.

RMS コネクタを監視するには、「Azure Rights Management コネクタを監視する」を参照してください。To monitor the RMS connector, see Monitor the Azure Rights Management connector.