Azure Rights Management コネクタをデプロイするDeploying the Azure Rights Management connector

適用対象: Azure Information Protection、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2Applies to: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

ここでは、Azure Rights Management コネクタについて説明してから、このコネクタを適切にデプロイする方法について説明します。Use this information to learn about the Azure Rights Management connector, and then how to successfully deploy it for your organization. このコネクタは、Microsoft Exchange ServerSharePoint Server、または Windows Server とファイル分類インフラストラクチャ (FCI) を実行するファイル サーバーを使用する既存のオンプレミス デプロイのデータ保護サービスとして機能します。This connector provides data protection for existing on-premises deployments that use Microsoft Exchange Server, SharePoint Server, or file servers that run Windows Server and File Classification Infrastructure (FCI).

Microsoft Rights Management コネクタの概要Overview of the Microsoft Rights Management connector

Microsoft Rights Management (RMS) コネクタを使用すると、既存のオンプレミス サーバーで Information Rights Management (IRM) 機能とクラウドベースの Microsoft Rights Management サービス (Azure RMS) を迅速に使用できるようになります。The Microsoft Rights Management (RMS) connector lets you quickly enable existing on-premises servers to use their Information Rights Management (IRM) functionality with the cloud-based Microsoft Rights Management service (Azure RMS). この機能により、IT 担当者およびユーザーは、組織の内外にあるドキュメントや画像を簡単に保護することができます。追加のインフラストラクチャをインストールしたり、他の組織との間に信頼関係を確立したりする必要はありません。With this functionality, IT and users can easily protect documents and pictures both inside your organization and outside, without having to install additional infrastructure or establish trust relationships with other organizations.

RMS コネクタはコンパクトなサービスであり、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、または Windows Server 2008 R2 を実行しているサーバーにオンプレミスでインストールできます。The RMS connector is a small-footprint service that you install on-premises, on servers that run Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2. コネクタは、物理コンピューター上だけでなく、Azure IaaS VM などの仮想マシン上でも実行できます。In addition to running the connector on physical computers, you can also run it on virtual machines, including Azure IaaS VMs. デプロイされたコネクタは、次の図に示すように、オンプレミス サーバーとクラウド サービスとの間の通信インターフェイス (リレー) の役割を果たします。After you deploy the connector, it acts as a communications interface (a relay) between the on-premises servers and the cloud service, as shown in the following picture. 矢印は、ネットワーク接続が開始される方向を示しています。The arrows indicate the direction in which network connections are initiated.

RMS コネクタ アーキテクチャの概要

サポートされるオンプレミス サーバーOn-premises servers supported

RMS コネクタでサポートされるオンプレミス サーバーは、Exchange Server と SharePoint Server、また、Windows Server を実行しておりファイル分類インフラストラクチャ (フォルダー内の Office ドキュメントを分類してポリシーを適用します) を使用するファイル サーバーです。The RMS connector supports the following on-premises servers: Exchange Server, SharePoint Server, and file servers that run Windows Server and use File Classification Infrastructure to classify and apply policies to Office documents in a folder.

注意

Office ドキュメントだけでなく、複数の種類のファイルをファイル分類インフラストラクチャで保護したい場合は、RMS コネクタではなく AzureInformationProtection コマンドレットを使用してください。If you want to protect multiple file types (not just Office documents) by using File Classification Infrastructure, do not use the RMS connector, but instead, use the AzureInformationProtection cmdlets.

これらのオンプレミス サーバーのうち、どのバージョンが RMS コネクタでサポートされるかについては、「Azure RMS をサポートするオンプレミス サーバー」をご覧ください。For the versions of these on-premises servers that are supported by the RMS connector, see On-premises servers that support Azure RMS.

ハイブリッド シナリオのサポートSupport for hybrid scenarios

RMS コネクタは、組織のユーザーのうち一部だけがオンライン サービスに接続する場合でも使用でき、これをハイブリッド シナリオといいます。You can use the RMS connector even if some of your users are connecting to online services, in a hybrid scenario. たとえば、ユーザーのメールボックスの中に Exchange Online を使用するものと、Exchange Server を使用するものがあるとします。For example, some users' mailboxes use Exchange Online and some users' mailboxes use Exchange Server. RMS コネクタをインストールすると、すべてのユーザーが Azure RMS を使用して電子メールと添付ファイルを保護し、使用できるようになります。2 つのデプロイメント構成の間で、情報はシームレスに保護されます。After you install the RMS connector, all users can protect and consume emails and attachments by using Azure RMS, and information protection works seamlessly between the two deployment configurations.

自主管理キー (BYOK) のサポートSupport for customer-managed keys (BYOK)

Azure RMS の自分のテナント キーを管理する場合 (Bring Your Own Key または BYOK シナリオ)、そのキーを使用する RMS コネクタとオンプレミス サーバーには、テナント キーを含むハードウェア セキュリティ モジュール (HSM) に対するアクセス権がありません。If you manage your own tenant key for Azure RMS (the bring your own key, or BYOK scenario), the RMS connector and the on-premises servers that use it do not access the hardware security module (HSM) that contains your tenant key. これは、テナント キーを使用するすべての暗号操作は、オンプレミスではなく、Azure RMS で実行されるためです。This is because all cryptographic operations that use the tenant key are performed in Azure RMS, and not on-premises.

このような、テナント キーを独自に管理するシナリオについて詳しくは、「Azure Information Protection テナント キーを計画して実装する」を参照してください。If you want to learn more about this scenario where you manage your tenant key, see Planning and implementing your Azure Information Protection tenant key.

RMS コネクタの前提条件Prerequisites for the RMS connector

RMS コネクタをインストールする前に、次の要件を満たしていることを確認してください。Before you install the RMS connector, make sure that the following requirements are in place.

要件Requirement 説明を見るMore information
保護サービスがアクティブ化されていますThe protection service is activated Azure Information Protection からの保護サービスのアクティブ化Activating the protection service from Azure Information Protection
オンプレミス Active Directory フォレストと Azure Active Directory の間のディレクトリ同期Directory synchronization between your on-premises Active Directory forests and Azure Active Directory RMS をアクティブ化した後に、Azure Active Directory を構成して Active Directory データベース内のユーザーおよびグループを使用できるようにする必要があります。After RMS is activated, Azure Active Directory must be configured to work with the users and groups in your Active Directory database.

重要: RMS コネクタが動作するためには、テスト ネットワークに対してもこのディレクトリ同期手順を実行する必要があります。Important: You must do this directory synchronization step for the RMS connector to work, even for a test network. Office 365 および Azure Active Directory では、Azure Active Directory で手動作成したアカウントを使用できますが、このコネクタでは、Azure Active Directory のアカウントが Active Directory Domain Services と同期している必要があります。手動によるパスワードの同期では不十分です。Although you can use Office 365 and Azure Active Directory by using accounts that you manually create in Azure Active Directory, this connector requires that the accounts in Azure Active Directory are synchronized with Active Directory Domain Services; manual password synchronization is not sufficient.

詳細については、次のリソースを参照してください。For more information, see the following resources:

- オンプレミスの Active Directory ドメインと Azure Active Directory を統合する- Integrate on-premises Active Directory domains with Azure Active Directory

- ハイブリッド ID ディレクトリ統合ツールの比較- Hybrid Identity directory integration tools comparison
RMS コネクタをインストールする 2 台以上のメンバー コンピューター:A minimum of two member computers on which to install the RMS connector:

- 次のいずれかのオペレーティング システムが搭載されている 64 ビットの物理または仮想コンピューター: Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、または Windows Server 2008 R2。- A 64-bit physical or virtual computer running one of the following operating systems: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, or Windows Server 2008 R2.

- 1 GB 以上の RAM。- At least 1 GB of RAM.

- 64 GB 以上のディスク領域。- A minimum of 64 GB of disk space.

- 1 つ以上のネットワーク インターフェイス。- At least one network interface.

-認証を必要としないファイアウォール (または web プロキシ) 経由でインターネットにアクセスします。- Access to the internet via a firewall (or web proxy) that does not require authentication.

- 所属するフォレストまたはドメインが、RMS コネクタを使用する Exchange または SharePoint サーバーが含まれている組織内の他のフォレストと信頼関係にあること。- Must be in a forest or domain that trusts other forests in the organization that contain installations of Exchange or SharePoint servers that you want to use with the RMS connector.
フォールト トレランスと高可用性を構成するには、RMS コネクタを 2 台以上のコンピューターにインストールする必要があります。For fault tolerance and high availability, you must install the RMS connector on a minimum of two computers.

ヒント: Outlook Web Access、または Exchange ActiveSync IRM を使用するモバイル デバイスを使用しており、Azure RMS で保護されているメールと添付ファイルへのアクセスを維持する必要がある場合、負荷分散されたコネクタ サーバー グループをデプロイして高可用性を確保することをお勧めします。Tip: If you are using Outlook Web Access or mobile devices that use Exchange ActiveSync IRM and it is critical that you maintain access to emails and attachments that are protected by Azure RMS, we recommend that you deploy a load-balanced group of connector servers to ensure high availability.

専用サーバーでコネクタを実行する必要はありませんが、コネクタを使用するサーバーとは別のコンピューターにインストールする必要があります。You do not need dedicated servers to run the connector but you must install it on a separate computer from the servers that will use the connector.

重要: Exchange Server または SharePoint Server が実行されているコンピューター、およびファイル分類インフラストラクチャ用に構成されたファイル サーバーには、コネクタをインストールしないでください。そうしないと、これらのサービスの機能を Azure RMS で使用できなくなります。Important: Do not install the connector on a computer that runs Exchange Server, SharePoint Server, or a file server that is configured for file classification infrastructure if you want to use the functionality from these services with Azure RMS. また、このコネクタをドメイン コントローラーにインストールしないでください。Also, do not install this connector on a domain controller.

RMS コネクタで使用するサーバー ワークロードがあり、コネクタを実行するドメインによって信頼されていないドメインにそのワークロードのサーバーがある場合、それらの信頼されていないドメインまたはフォレスト内の他のドメインに、追加の RMS コネクタ サーバーをインストールできます。If you have server workloads that you want to use with the RMS connector but their servers are in domains that are not trusted by the domain from which you want to run the connector, you can install additional RMS connector servers in these untrusted domains or other domains in their forest.

組織で実行可能なコネクタ サーバーの数に制限はなく、組織にインストールされているすべてのコネクタ サーバーが同じ構成を共有します。There is no limit to the number of connector servers that you can run for your organization and all connector servers installed in an organization share the same configuration. ただし、コネクタでサーバーを承認するように構成するには、承認されるサーバーまたはサーバー アカウントを参照できる必要があります。つまり、それらのアカウントを参照できるフォレスト内で RMS 管理ツールを実行する必要があります。However, to configure the connector to authorize servers, you must be able to browse for the server or service accounts you want to authorize, which means that you must run the RMS administration tool in a forest from which you can browse those accounts.

RMS コネクタをデプロイする手順Steps to deploy the RMS connector

コネクタは適切にデプロイするために必要なすべての前提条件を自動的にチェックするわけではないため、開始する前に前提条件がすべて満たされていることを確認してください。The connector does not automatically check all the prerequisites that it needs for a successful deployment, so make sure that these are in place before you start. コネクタのインストールとコネクタの構成が完了した後で、そのコネクタを使用するサーバーを構成する必要があります。The deployment requires you to install the connector, configure the connector, and then configure the servers that you want to use the connector.

次のステップNext steps

手順 1: Azure Rights Management コネクタのインストールと構成 に進みます。Go to Step 1: Installing and configuring the Azure Rights Management connector.