AD RMS があるときに Azure Rights Management 用に環境を準備する

重要

Active Directory Rights Management サービス (AD RMS) を使用している場合のガイダンス

Azure Rights Management サービスがアクティブ化され、AD RMS も使用している場合、この組み合わせは互換性がありません。 追加の手順を実行しないと、一部のコンピュータによってAzure Rights Management サービスの使用が自動的に開始され、AD RMS クラスターにも接続される場合があります。 このシナリオはサポートされておらず、信頼性の低い結果が得られます。そのため、追加の手順を実行することが重要です。　

AD RMS をデプロイしているかどうかを確認するには、次の手順を実行します。

1. オプションですが、ほとんどの AD RMS 展開でサービス接続ポイント (SCP) が Active Directory に発行されるため、ドメインコンピュータは AD RMS クラスターを検出できます。

   ADSI 編集を使用してActive Directory に SCP が発行されているかどうかを確認します： CN=Configuration [server name], CN=Services, CN=RightsManagementServices, CN=SCP

2. SCP を使用していない場合、AD RMS クラスターに接続する Windows コンピュータは、Windows レジストリ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation を使用してクライアント側のサービス検出またはライセンス リダイレクト用に構成する必要があります。 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\ServiceLocation

   これらのレジストリ構成に関する詳細については、「Windows レジストリを使用したクライアント側サービス検出の有効化」および「ライセンス サーバー トラフィックのリダイレクト」を参照してください。

AD RMS が組織用に配備されている場合は、Azure Information Protection に移行できるかどうかを検討してください。 Azure Information Protection には、AD RMS より多くの利点があります。 たとえば、モバイル デバイスのサポート強化や、Exchange Server や SharePoint Server に加え、Microsoft 365 サービスとの統合を備えています。 詳細については、「AD RMS と Azure Information Protection の比較」を参照してください。

Azure Information Protection に移行しても、以前に保護されていたコンテンツにアクセスできなくなることはありません。また、コンテンツの保護の解除や再有効化は必要ありません。 AD RMS をプロビジョニング解除した後でも、AD RMS によって保護されていたドキュメントや電子メールを開くことができます。

Azure Information Protection に移行しようとする場合でも、現在の AD RMS デプロイを使用する際の制限を受け入れようとする場合でも、最初にAzure Rights Management サービスが非アクティブ化されていることを確認する必要があります。 指示については、自分に適用されるシナリオの手順に従います。

• Azure Rights Management を含むサブスクリプションは、2018 年 2 月間または以降に購入されました

• サブスクリプションは 2018 年 2 月以前または間に購入され、Exchange Online があります

• Azure portalでAzure Information Protection ポリシー を構成する際に、保護をアクティブ化にするためのオプションが表示される

サブスクリプションが 2018 年 2 月間または以降に購入された

2018 年 2 月末までに、Azure Information Protection を含む新しいサブスクリプションが既定で Azure Rights Management サービスをアクティブ化するようになります。 このサービスが自動的にアクティブ化され、Active Directory Rights Management サービス (AD RMS) も使用している場合、この組み合わせは互換性がないため、できるだけ早く Azure Rights Management サービスを非アクティブ化することが重要です。　

手順 1: Azure Rights Management を非アクティブ化する　

Azure Rights Management を非アクティブ化するには、次のいずれかの手順を使用します。

ヒント

また、Windows PowerShell の Disable-AipService コマンドレットを使用して、Azure Rights Management サービスを非アクティブ化することもできます。

Microsoft 365 管理センターから Rights Management を非アクティブ化するには

1. Microsoft 365 管理者向けの Rights Management ページに移動します。

   サインインを求められたら、Microsoft 365 のグローバル管理者であるアカウントを使用します。

2. 権限管理ページでは、[非アクティブ化] をクリックします。

3. 「Rights Management を非アクティブ化しますか」というプロンプトが表示されたら、「非アクティブ化」をクリックします。　

Rights Management がアクティブ化されておらず、アクティブ化するオプションが表示 されます 。　

Azure Portal から Rights Management を非アクティブ化するには

1. まだ実行していない場合は、新しいブラウザー ウィンドウを開いて、Azure Portal にサインインします。 次に、[Azure Information Protection] ペインに移動します。

   たとえば、リソース、サービス、ドキュメントの検索ボックスに「Information」と入力し、[Azure Information Protection] を選択します。

   以前に [Azure Information Protection] ペインにアクセスしたことがない場合、このペインをポータルに追加するには、1 回限りの追加の手順を参照してください。

2. メニュー オプションから、[保護のアクティブ化] を選択します。

3. [Azure Information Protection - 保護のアクティブ化] ペインで、[非アクティブ化] を選択します。 [はい] を選択し、選択を確定します。

情報バーに[非アクティブ化が正常に完了しました]と表示され、[非アクティブ化]が[アクティブ化]に置き換えられました。　

手順 2: 移行の計画を開始する

移行ガイダンス「AD RMS から Azure Information Protection への移行」を参照してください。

サブスクリプションは 2018 年 2 月以前または間に購入され、Exchange Online があります

Microsoft は、Azure Rights Management または Azure Information Protection を含むサブスクリプションにAzure Rights Management サービスのアクティブ化を開始しており、テナントがExchange Online を使用しています。 これらのテナントには、自動アクティブ化は 2018 年 8 月 1 日にロールアウトを開始しています。

サービスが自動的にアクティブ化され、AD RMS も使用している場合、この組み合わせは互換性がないため、テナントがサービスの自動更新からオプトアウトされていることが重要です。　

手順 1: サービスの自動更新からオプトアウトする　

次 の Set-IRMConfiguration Exchange Online PowerShell コマンドを利用してください。Set-IRMConfiguration -AutomaticServiceUpdateEnabled $false

詳細情報

手順 2: 移行の計画を開始する

移行ガイダンス「AD RMS から Azure Information Protection への移行」を参照してください。

Azure Information Protection を構成する際に保護をアクティブにするためのオプションが表示される

[Azure Information Protection - 保護のアクティブ化] のペインには、Azure Rights Management サービスをアクティブ化するためのオプションがあります。

AD RMS も使用している場合は、[アクティブ化] オプションを選択しないでください。　 Azure Rights Management サービスがアクティブになっていない場合でも、分類のみを適用するラベルには Azure Information Protection を使用できます。 データ保護を含まない特別な既定ポリシーが自動的に作成されます。これらの構成オプションは、Azure Rights Management サービスがアクティブになるまで使用不可のままです。

手順 1: 分類とラベル付けのために Azure Information Protection ポリシーを構成する (保護なし)

[Azure Information Protection - ラベル] ペインから、データ保護のオプションが含まれていないラベルを表示して構成します。 ラベルとポリシー設定を構成する方法に関する詳細については、「Azure Information Protection ポリシーの構成」を参照してください。

手順 2: 移行の計画を開始する

移行ガイダンス「AD RMS から Azure Information Protection への移行」を参照してください。

手順 3: 保護のためのラベルを構成する

移行プロセスの一環として Azure Rights Management サービスをアクティブにした後で、データ保護のためにラベルを構成できます。 ただし、ユーザーをバッチで移行する場合は、保護を適用するラベルが移行対象のユーザーのみに指定されていることを確認してください。