Azure Rights Management コネクタのインストールと構成Installing and configuring the Azure Rights Management connector

適用対象: Azure Information Protection、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2Applies to: Azure Information Protection, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2

Azure Rights Management (RMS) コネクタをインストールして構成するには、次の情報を活用してください。Use the following information to help you install and configure the Azure Rights Management (RMS) connector. これらの手順では、「Azure Rights Management コネクタを展開する」の手順 1 から手順 4 を説明します。These procedures cover steps 1 though 4 from Deploying the Azure Rights Management connector.

作業を開始する前に、このデプロイの前提条件を確認してください。Before you begin, make sure that you have reviewed and checked the prerequisites for this deployment.

RMS コネクタのインストールInstalling the RMS connector

  1. RMS コネクタを実行するコンピューター (2 つ以上) を特定します。Identify the computers (minimum of two) to run the RMS connector. これらのコンピューターは、「前提条件」に記載されている最小仕様を満たしている必要があります。These computers must meet the minimum specification listed in the prerequisites.

    注意

    テナント (Office 365 テナントまたは Azure AD テナント) ごとに 1 つの RMS コネクタをインストールします (複数のサーバーにインストールして高可用性を確保します)。You install a single RMS connector (consisting of multiple servers for high availability) per tenant (Office 365 tenant or Azure AD tenant). Active Directory RMS とは異なり、RMS コネクタを各フォレストにインストールする必要はありません。Unlike Active Directory RMS, you do not have to install an RMS connector in each forest.

  2. Microsoft ダウンロード センターから RMS コネクタのソース ファイルをダウンロードします。Download the source files for the RMS connector from the Microsoft Download Center.

    RMS コネクタをインストールするには、RMSConnectorSetup.exe をダウンロードしてください。To install the RMS connector, download RMSConnectorSetup.exe.

    さらにIn addition:

    • 後で 32 ビット コンピューターからコネクタを構成する場合、RMSConnectorAdminToolSetup_x86.exe もダウンロードします。If you later want to configure the connector from a 32-bit computer, also download RMSConnectorAdminToolSetup_x86.exe.

    • RMS コネクタのサーバー構成ツールを使用して、オンプレミス サーバーのレジストリ設定を自動構成する場合は、GenConnectorConfig.ps1 もダウンロードします。If you want to use the server configuration tool for the RMS connector, to automate the configuration of registry settings on your on-premises servers, also download GenConnectorConfig.ps1.

  3. RMS コネクタをインストールするコンピューター上で、 RMSConnectorSetup.exe を管理者権限で実行します。On the computer on which you want to install the RMS connector, run RMSConnectorSetup.exe with Administrator privileges.

  4. [Microsoft Rights Management コネクタ セットアップ] の [ようこそ] ページで、 [このコンピューターへの Microsoft Rights Management コネクタのインストール] を選択し、 [次へ] をクリックします。On the Welcome page of the Microsoft Rights Management Connector Setup, select Install Microsoft Rights Management connector on the computer, and then click Next.

  5. RMS コネクタのライセンス条項を読んで同意したら、 [次へ] をクリックします。Read and agree to the RMS connector license terms, and then click Next.

続行するには、RMS コネクタを構成するためのアカウントとパスワードを入力します。To continue, enter an account and password to configure the RMS connector.

資格情報の入力Entering credentials

RMS コネクタを構成する前に、RMS コネクタを構成するのに十分な特権を持つアカウントの資格情報を入力する必要があります。Before you can configure the RMS connector, you must enter credentials for an account that has sufficient privileges to configure the RMS connector. たとえば、「admin@contoso.com」と入力してから、このアカウントのパスワードを指定します。For example, you might type admin@contoso.com and then specify the password for this account.

このアカウントの多要素認証 (MFA) は Microsoft Rights Management 管理ツールでサポートされていないため、このアカウントでは MFA を使用できません。This account must not require multi-factor authentication (MFA) because the Microsoft Rights Management administration tool does not support MFA for this account. また、Azure AD 条件付きアクセスを使用する場合は、このアカウントのレガシ認証をブロックしないでください。In addition, if you use Azure AD Conditional Access, do not block legacy authentication for this account.

また、コネクタには、このパスワードに文字の制限もあります。The connector also has some character restrictions for this password. アンパサンド ( & )、左山かっこ ( [ )、右山かっこ ( ] )、二重引用符 ( " )、アポストロフィ ( ' ) が含まれるパスワードを使用することはできません。You cannot use a password that has any of the following characters: Ampersand ( & ); left angle bracket ( [ ); right angle bracket ( ] ); straight quotation ( " ); and apostrophe ( ' ). パスワードにこのいずれかの文字が含まれる場合は、他の状況でこのアカウントとパスワードを使用して正常にサインインできたとしても、RMS コネクタの認証は失敗し、 [このユーザー名とパスワードの組み合わせは正しくありません] というエラー メッセージが表示されます。If your password has any of these characters, authentication fails for the RMS connector and you see the error message That user name and password combination is not correct, even though you can successfully sign in using this account and password for other scenarios. このシナリオがパスワードに適用される場合は、これらの特殊文字をまったく含まないパスワードと別のアカウントを使用するか、パスワードをリセットし、これらの特殊文字を使用しないようにします。If this scenario applies to your password, either use a different account with a password that does not have any of these special characters, or reset your password so it doesn't have any of these special characters.

さらに、オンボーディング コントロールを実装済みの場合は、指定するアカウントにコンテンツを保護する権限があることをご確認ください。In addition, if you have implemented onboarding controls, make sure that the account you specify is able to protect content. たとえば、コンテンツの保護機能の使用を "IT 部門" グループに限り許可している場合、ここで指定するアカウントがそのグループのメンバーである必要があります。For example, if you restricted the ability to protect content to the "IT department" group, the account that you specify here must be a member of that group. それ以外の場合、"管理サービスと組織の場所を検出できませんでした。" というエラーメッセージが表示されます。組織で Microsoft Rights Management サービスが有効になっていることを確認します。If not, you see the error message: The attempt to discover the location of the administration service and organization failed. Make sure Microsoft Rights Management service is enabled for your organization.

次のいずれかの特権を持つアカウントを使用できます。You can use an account that has one of the following privileges:

  • テナントのグローバル管理者: Office 365 テナントまたは Azure AD テナントのグローバル管理者であるアカウント。Global administrator for your tenant: An account that is a global administrator for your Office 365 tenant or Azure AD tenant.

  • Azure Rights Management のグローバル管理者: Azure RMS グローバル管理者ロールを割り当てられている Azure Active Directory のアカウント。Azure Rights Management global administrator: An account in Azure Active Directory that has been assigned the Azure RMS global administrator role.

  • Azure Rights Management のコネクタ管理者: 組織の RMS コネクタをインストールおよび管理する権限が付与されている Azure Active Directory のアカウント。Azure Rights Management connector administrator: An account in Azure Active Directory that has been granted rights to install and administer the RMS connector for your organization.

    注意

    Azure Rights Management のグローバル管理者ロールと Azure Rights Management コネクタ管理者ロールは、 Add-Aipserviceroleベースの管理者コマンドレットを使用してアカウントに割り当てられます。The Azure Rights Management global administrator role and Azure Rights Management connector administrator role are assigned to accounts by using the Add-AipServiceRoleBasedAdministrator cmdlet.

    RMS コネクタを最低限の特権で実行するには、この目的専用のアカウントを作成し、次のようにして Azure RMS コネクタ管理者ロールを割り当てます。To run the RMS connector with least privileges, create a dedicated account for this purpose that you then assign the Azure RMS connector administrator role by doing the following:

    1. まだ行っていない場合は、AIPService PowerShell モジュールをダウンロードしてインストールします。If you haven't already done so, download and install the AIPService PowerShell module. 詳細については、「 AIPService PowerShell モジュールのインストール」を参照してください。For more information, see Installing the AIPService PowerShell module.

      [管理者として実行] コマンドを使用して Windows PowerShell を起動し、 Connect-aipserviceコマンドを使用して保護サービスに接続します。Start Windows PowerShell with the Run as administrator command, and connect to the protection service by using the Connect-AipService command:

      Connect-AipService                   //provide Office 365 tenant administrator or Azure RMS global administrator credentials
      
    2. 次に、次のパラメーターのいずれかを使用して、 Add-Aipserviceroleの管理者コマンドを実行します。Then run the Add-AipServiceRoleBasedAdministrator command, using just one of the following parameters:

      Add-AipServiceRoleBasedAdministrator -EmailAddress <email address> -Role "ConnectorAdministrator"
      
      Add-AipServiceRoleBasedAdministrator -ObjectId <object id> -Role "ConnectorAdministrator"
      
      Add-AipServiceRoleBasedAdministrator -SecurityGroupDisplayName <group Name> -Role "ConnectorAdministrator"
      

      たとえば、次のように入力します。 Add-AipserviceroleEmailAddress melisa@contoso.com-Role "コネクタ管理者"For example, type: Add-AipServiceRoleBasedAdministrator -EmailAddress melisa@contoso.com -Role "ConnectorAdministrator"

      これらのコマンドはコネクタ管理者ロールを割り当てますが、GlobalAdministrator ロールをここで使用することもできます。Although these commands assign the connector administrator role, you could also use the GlobalAdministrator role here, as well.

RMS コネクタのインストール プロセスでは、すべての前提条件ソフトウェアが検証されてインストールされます。また、インターネット インフォメーション サービス (IIS) が存在しない場合はインストールされ、その後、コネクタ ソフトウェアがインストールされて構成されます。During the RMS connector installation process, all prerequisite software is validated and installed, Internet Information Services (IIS) is installed if not already present, and the connector software is installed and configured. さらに、Azure RMS の構成を準備するために以下が作成されます。In addition, Azure RMS is prepared for configuration by creating the following:

  • コネクタを使用して Azure RMS と通信することが許可されているサーバーの空テーブル。An empty table of servers that are authorized to use the connector to communicate with Azure RMS. 後で、このテーブルにサーバーを追加します。You add servers to this table later.

  • Azure RMS での操作を承認するコネクタ用の一連のセキュリティ トークン。A set of security tokens for the connector, which authorize operations with Azure RMS. Azure RMS からダウンロードされ、ローカル コンピューター上のレジストリにインストールされます。These tokens are downloaded from Azure RMS and installed on the local computer in the registry. これらのトークンは、データ保護アプリケーション プログラム (DPAPI) およびローカル システム アカウントの資格情報を使用して保護されます。They are protected by using the data protection application programming interface (DPAPI) and the Local System account credentials.

ウィザードの最終ページで、次の操作を実行して [完了] をクリックします。On the final page of the wizard, do the following, and then click Finish:

  • 最初のコネクタをインストールした段階では、 [コネクタ管理者コンソールを起動してサーバーを承認する] を選択しないでください。If this is the first connector that you have installed, do not select Launch connector administrator console to authorize servers at this time. このオプションは、2 つ目 (または最後) の RMS コネクタをインストールした後に選択します。You will select this option after you have installed your second (or final) RMS connector. 代わりに、少なくとも 1 つの他のコンピューターで、ウィザードをもう一度実行してください。Instead, run the wizard again on at least one other computer. 2 つ以上のコネクタをインストールする必要があります。You must install a minimum of two connectors.

  • 2 つ目 (または最後) のコネクタをインストールした後で、 [コネクタ管理者コンソールを起動してサーバーを承認する] を選択します。If you have installed your second (or final) connector, select Launch connector administrator console to authorize servers.

ヒント

この時点で、検証テストを実行して、RMS コネクタ用の Web サービスが機能しているかどうかを確認できます。At this point, there is a verification test that you can perform to test whether the web services for the RMS connector are operational:

  • Web ブラウザーから http://<connectoraddress>/_wmcs/certification/servercertification.asmx に接続します。 <connectoraddress> は、RMS コネクタがインストールされているサーバーのアドレスまたは名前に置き換えてください。From a web browser, connect to http://<connectoraddress>/_wmcs/certification/servercertification.asmx, replacing <connectoraddress> with the server address or name that has the RMS connector installed. 接続に成功すると、 ServerCertificationWebService ページが表示されます。A successful connection displays a ServerCertificationWebService page.

RMS コネクタをアンインストールする必要がある場合は、ウィザードを再実行してアンインストール オプションを選択します。If you need to uninstall the RMS connector, run the wizard again and select the uninstall option.

インストール中に問題が発生した場合、インストール ログ %LocalAppData%\Temp\Microsoft Rights Management connector_<日付と時刻>.log を確認してください。If you experience any problems during the installation, check the installation log: %LocalAppData%\Temp\Microsoft Rights Management connector_<date and time>.log

たとえば、インストール ログは C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log のようになります。As an example, your install log might look similar to C:\Users\Administrator\AppData\Local\Temp\Microsoft Rights Management connector_20170803110352.log

RMS コネクタを使用するサーバーの承認Authorizing servers to use the RMS connector

2 台以上のコンピューターに RMS コネクタをインストールしたら、RMS コネクタを使用するサーバーとサービスを承認することができます。When you have installed the RMS connector on at least two computers, you are ready to authorize the servers and services that you want to use the RMS connector. たとえば、Exchange Server 2013 や SharePoint Server 2013 を実行しているサーバーがあるとします。For example, servers running Exchange Server 2013 or SharePoint Server 2013.

これらのサーバーを定義するには、RMS コネクタ管理ツールを実行して、許可されているサーバーの一覧にエントリを追加します。To define these servers, run the RMS connector administration tool and add entries to the list of allowed servers. このツールは、Microsoft Rights Management コネクタ セットアップ ウィザードの最終ページで [コネクタ管理コンソールを起動してサーバーを承認する] を選択して実行するか、またはウィザードとは別に実行することができます。You can run this tool when you select Launch connector administration console to authorize servers at the end of the Microsoft Rights Management connector Setup wizard, or you can run it separately from the wizard.

これらのサーバーを承認するときは、次の考慮事項に注意してください。When you authorize these servers, be aware of the following considerations:

  • 追加するサーバーには特別な特権が付与されます。Servers that you add are granted special privileges. コネクタの構成で Exchange Server ロールとして指定したすべてのアカウントに、Azure RMS のスーパー ユーザー ロールが付与されます。これにより、それらのアカウントはこの RMS テナントのすべてのコンテンツにアクセスすることができます。All accounts that you specify for the Exchange Server role in the connector configuration are granted the super user role in Azure RMS, which gives them access to all content for this RMS tenant. スーパー ユーザー機能は、この時点で必要に応じて自動的に有効になります。The super user feature is automatically enabled at this point, if necessary. 特権の昇格によるセキュリティ上のリスクを回避するため、組織の Exchange サーバーで使用されているアカウントのみを指定するように注意します。To avoid the security risk of elevation of privileges, be careful to specify only the accounts that are used by your organization’s Exchange servers. SharePoint サーバーまたは FCI を使用するファイル サーバーとして構成されているすべてのサーバーには、通常のユーザー特権が付与されます。All servers configured as SharePoint servers or file servers that use FCI are granted regular user privileges.

  • 複数のサーバーを 1 つのエントリとして追加するには、Active Directory のセキュリティ グループや配布グループ、または複数のサーバーで使用されているサービス アカウントを指定します。You can add multiple servers as a single entry by specifying an Active Directory security or distribution group, or a service account that is used by more than one server. この構成を使用すると、サーバーのグループは同じ RMS 証明書を共有し、グループに属するすべてのサーバーは、グループ内の各サーバーが保護しているコンテンツの所有者と見なされます。When you use this configuration, the group of servers shares the same RMS certificates and are all be considered owners for content that any of them have protected. 管理オーバーヘッドを最小限に抑えるため、個々のサーバー単位ではなく、この単一グループ構成を使用して組織の Exchange サーバーまたは SharePoint サーバー ファームを承認することを推奨します。To minimize administrative overheads, we recommend that you use this configuration of a single group rather than individual servers to authorize your organization’s Exchange servers or a SharePoint server farm.

[コネクタの使用が許可されているサーバー] ページで [追加] をクリックします。On the Servers allowed to utilize the connector page, click Add.

注意

サーバーの承認は、サービスまたはサーバーのコンピューター アカウントの ServerCertification.asmx に NTFS アクセス許可を手動で適用して、Exchange アカウントにユーザー スーパー権限を手動で付与する AD RMS 構成に対する Azure RMS の同等の構成です。Authorizing servers is the equivalent configuration in Azure RMS to the AD RMS configuration of manually applying NTFS rights to ServerCertification.asmx for the service or server computer accounts, and manually granting user super rights to the Exchange accounts. コネクタでは、ServerCertification.asmx に NTFS アクセス許可を適用する必要はありません。Applying NTFS rights to ServerCertification.asmx is not required on the connector.

許可されたサーバーの一覧へのサーバーの追加Add a server to the list of allowed servers

[コネクタの使用をサーバーに許可] ページで、承認するオブジェクトの名前を入力するか、または承認するオブジェクトを参照して指定します。On the Allow a server to utilize the connector page, enter the name of the object, or browse to identify the object to authorize.

正しいオブジェクトを承認することが重要です。It is important that you authorize the correct object. サーバーでコネクタを使用するには、オンプレミス サービス (Exchange や SharePoint など) を実行するアカウントを選択して承認する必要があります。For a server to use the connector, the account that runs the on-premises service (for example, Exchange or SharePoint) must be selected for authorization. たとえば、構成済みのサービス アカウントとしてサービスが実行されている場合、そのサービス アカウントの名前を一覧に追加します。For example, if the service is running as a configured service account, add the name of that service account to the list. ローカル システムとしてサービスが実行されている場合は、コンピューター オブジェクトの名前 (SERVERNAME$ など) を追加します。If the service is running as Local System, add the name of the computer object (for example, SERVERNAME$). ベスト プラクティスとして、これらのアカウントが含まれるグループを作成し、個々のサーバー名の代わりにそのグループを指定することを推奨します。As a best practice, create a group that contains these accounts and specify the group instead of individual server names.

それぞれのサーバーの役割に関する追加情報を次に示します。More information about the different server roles:

  • Exchange を実行するサーバー:セキュリティ グループを指定する必要があり、既定のグループ (Exchange サーバー) を使用できます。このグループは Exchange によって自動的に作成され、フォレスト内のすべての Exchange サーバーが保持されています。For servers that run Exchange: You must specify a security group and you can use the default group (Exchange Servers) that Exchange automatically creates and maintains of all Exchange servers in the forest.

  • SharePoint を実行するサーバー:For servers that run SharePoint:

    • SharePoint 2010 サーバーが (サービス アカウントを使用しないで) ローカル システムとして実行するように構成されている場合は、Active Directory ドメイン サービスにセキュリティ グループを手動で作成し、この構成でのサーバーのコンピューター名オブジェクトを、このグループに追加します。If a SharePoint 2010 server is configured to run as Local System (it's not using a service account), manually create a security group in Active Directory Domain Services, and add the computer name object for the server in this configuration to this group.

    • SharePoint サーバーがサービス アカウントを使用するように構成されている場合は (SharePoint 2010 の場合は推奨される方法、SharePoint 2016 と SharePoint 2013 の場合は唯一のオプション)、次のようにします。If a SharePoint server is configured to use a service account (the recommended practice for SharePoint 2010 and the only option for SharePoint 2016 and SharePoint 2013), do the following:

      1. SharePoint サーバーの全体管理サービスを実行するサービス アカウントを追加して、SharePoint を管理者コンソールから構成できるようにします。Add the service account that runs the SharePoint Central Administration service to enable SharePoint to be configured from its administrator console.

      2. SharePoint アプリケーション プール用に構成されているアカウントを追加します。Add the account that is configured for the SharePoint App Pool.

      ヒント

      これらの 2 つのアカウントが異なる場合は、管理オーバーヘッドを最小限に抑えるために、両方のアカウントを含む単一グループを作成することを検討してください。If these two accounts are different, consider creating a single group that contains both accounts to minimize the administrative overheads.

  • ファイル分類インフラストラクチャを使用するファイル サーバーの場合、関連するサービスはローカル システム アカウントとして実行されるため、ファイル サーバーのコンピューター アカウント (SERVERNAME$ など)、またはこれらのコンピューター アカウントを含むグループを承認する必要があります。For file servers that use File Classification Infrastructure, the associated services run as the Local System account, so you must authorize the computer account for the file servers (for example, SERVERNAME$) or a group that contains those computer accounts.

一覧へのサーバーの追加が完了したら、 [閉じる] をクリックします。When you have finished adding servers to the list, click Close.

次に、RMS コネクタがインストールされているサーバーの負荷分散を構成する必要があります (未構成の場合)。また、これらのサーバーと承認されたサーバーの間の接続に HTTPS を使用するかどうかを検討します。If you haven’t already done so, you must now configure load balancing for the servers that have the RMS connector installed, and consider whether to use HTTPS for the connections between these servers and the servers that you have just authorized.

負荷分散と高可用性の構成Configuring load balancing and high availability

RMS コネクタの2つ目または最後のインスタンスをインストールしたら、コネクタ URL のサーバー名を定義し、負荷分散システムを構成します。After you have installed the second or final instance of the RMS connector, define a connector URL server name and configure a load-balancing system.

コネクタ URL のサーバー名には、管理している名前空間内で任意の名前を指定できます。The connector URL server name can be any name under a namespace that you control. たとえば、DNS システムのrmsconnector.contoso.comにエントリを作成し、負荷分散システムの IP アドレスを使用するようにこのエントリを構成することができます。For example, you could create an entry in your DNS system for rmsconnector.contoso.com and configure this entry to use an IP address in your load-balancing system. この名前に特別な要件はありません。また、コネクタ サーバー自体での構成は不要です。There are no special requirements for this name and it doesn’t need to be configured on the connector servers themselves. Exchange および SharePoint サーバーがインターネット経由でコネクタと通信する予定がない限り、この名前はインターネット上で解決する必要はありません。Unless your Exchange and SharePoint servers are going to be communicating with the connector over the internet, this name doesn’t have to resolve on the internet.

重要

コネクタを使用するように Exchange サーバーまたは SharePoint サーバーを構成した後は、この名前を変更しないことをお勧めします。名前を変更すると、これらのサーバーですべての IRM 構成を消去し、再構成する必要があります。We recommend that you don’t change this name after you have configured Exchange or SharePoint servers to use the connector, because you have to then clear these servers of all IRM configurations and then reconfigure them.

DNS で名前を作成して IP アドレスを構成したら、そのアドレスに対する負荷分散を構成し、トラフィックを複数のコネクタ サーバーに振り分けます。After the name is created in DNS and is configured for an IP address, configure load balancing for that address, which directs traffic to the connector servers. このためには、Windows Server のネットワーク負荷分散 (NLB) 機能など、IP ベースの任意のロード バランサーを使用できます。You can use any IP-based load balancer for this purpose, which includes the Network Load Balancing (NLB) feature in Windows Server. 詳細については、「 負荷分散デプロイ ガイド」を参照してください。For more information, see Load Balancing Deployment Guide.

次の設定を使用して、NLB クラスターを構成します。Use the following settings to configure the NLB cluster:

  • ポート:80 (HTTP) または 443 (HTTPS)Ports: 80 (for HTTP) or 443 (for HTTPS)

    HTTP または HTTPS のどちらを使用するかについては、次のセクションを参照してください。For more information about whether to use HTTP or HTTPS, see the next section.

  • アフィニティ:なしAffinity: None

  • 分散方法:EqualDistribution method: Equal

(RMS コネクタ サービスを実行しているサーバーの) 負荷分散システム用に定義したこの名前は、組織の RMS コネクタ名です。この名前は、後で Azure RMS を使用するオンプレミス サーバーを構成するときに使用します。This name that you define for the load-balanced system (for the servers running the RMS connector service) is your organization’s RMS connector name that you use later, when you configure the on-premises servers to use Azure RMS.

HTTPS を使用するための RMS コネクタの構成Configuring the RMS connector to use HTTPS

注意

この構成手順は省略可能ですが、セキュリティ強化のために推奨されます。This configuration step is optional, but recommended for additional security.

RMS コネクタでの TLS や SSL の使用は任意ですが、セキュリティによる保護が必要な HTTP ベースのサービスではこれらを使用することを推奨します。Although the use of TLS or SSL is optional for the RMS connector, we recommend it for any HTTP-based security-sensitive service. この構成では、コネクタを使用する Exchange および SharePoint サーバーに対してコネクタを実行しているサーバーを認証します。This configuration authenticates the servers running the connector to your Exchange and SharePoint servers that use the connector. さらに、これらのサーバーからコネクタに送信されるすべてのデータは暗号化されます。In addition, all data that is sent from these servers to the connector is encrypted.

RMS コネクタで TLS の使用を有効にするには、RMS コネクタを実行する各サーバーに、コネクタで使用する名前が含まれるサーバー認証証明書をインストールします。To enable the RMS connector to use TLS, on each server that runs the RMS connector, install a server authentication certificate that contains the name that you use for the connector. たとえば、DNS で定義した RMS コネクタ名が rmsconnector.contoso.com の場合、証明書サブジェクトの共通名に rmsconnector.contoso.com が含まれるサーバー認証証明書をデプロイします。For example, if your RMS connector name that you defined in DNS is rmsconnector.contoso.com, deploy a server authentication certificate that contains rmsconnector.contoso.com in the certificate subject as the common name. または、証明書の別名に DNS 値として rmsconnector.contoso.com を指定します。Or, specify rmsconnector.contoso.com in the certificate alternative name as the DNS value. 証明書にサーバーの名前を含める必要はありません。The certificate does not have to include the name of the server. その後 IIS で、この証明書を既定の Web サイトにバインドします。Then in IIS, bind this certificate to the Default Web Site.

HTTPS オプションを使用する場合は、コネクタを実行するすべてのサーバーに有効なサーバー認証証明書が存在し、Exchange および SharePoint サーバーが信頼するルート CA にその証明書がチェーンされていることを確認してください。If you use the HTTPS option, ensure that all servers that run the connector have a valid server authentication certificate that chains to a root CA that your Exchange and SharePoint servers trust. さらに、コネクタ サーバーの証明書を発行した証明機関 (CA) が証明書失効リスト (CRL) を公開している場合、Exchange および SharePoint サーバーはこの CRL をダウンロードできる必要があります。In addition, if the certification authority (CA) that issued the certificates for the connector servers publishes a certificate revocation list (CRL), the Exchange and SharePoint servers must be able to download this CRL.

ヒント

次の情報およびリソースを使用して、サーバー認証証明書を要求してインストールし、その証明書を IIS の既定の Web サイトにバインドできます。You can use the following information and resources to help you request and install a server authentication certificate, and to bind this certificate to the Default Web Site in IIS:

  • Active Directory 証明書サービス (AD CS) とエンタープライズ証明機関 (CA) を使用してこれらのサーバー認証証明書を展開する場合は、Web サーバー証明書テンプレートを複製して使用することができます。If you use Active Directory Certificate Services (AD CS) and an enterprise certification authority (CA) to deploy these server authentication certificates, you can duplicate and then use the Web Server certificate template. この証明書テンプレートでは、証明書のサブジェクト名で [要求に含まれる] オプションを使用しています。これにより、証明書を要求する際に、証明書のサブジェクト名またはサブジェクトの別名に RMS コネクタ名の FQDN を指定できます。This certificate template uses Supplied in the request for the certificate subject name, which means that you can provide the FQDN of the RMS connector name for the certificate subject name or subject alternative name when you request the certificate.
  • スタンドアロン CA を使用する場合や、この証明書を別の会社から購入している場合は、TechNet の「Web サーバー (IIS)」ドキュメント ライブラリにある「インターネット サーバー証明書を構成する (IIS 7)」を参照してください。If you use a stand-alone CA or purchase this certificate from another company, see Configuring Internet Server Certificates (IIS 7) in the Web Server (IIS) documentation library on TechNet.
  • 証明書を使用するように IIS を構成するには、TechNet の「Web サーバー (IIS)」ドキュメント ライブラリにある「サイトにバインドを追加する (IIS 7)」を参照してください。To configure IIS to use the certificate, see Add a Binding to a Site (IIS 7) in the Web Server (IIS) documentation library on TechNet.

Web プロキシ サーバーを使用するための RMS コネクタの構成Configuring the RMS connector for a web proxy server

コネクタサーバーがインターネットに直接接続されていないネットワークにインストールされており、インターネットに発信アクセスするために web プロキシサーバーを手動で構成する必要がある場合は、これらのサーバーのレジストリを RMS コネクタ用に構成する必要があります。If your connector servers are installed in a network that does not have direct internet connectivity and requires manual configuration of a web proxy server for outbound internet access, you must configure the registry on these servers for the RMS connector.

Web プロキシ サーバーを使用するように RMS コネクタを構成するにはTo configure the RMS connector to use a web proxy server

  1. RMS コネクタが実行されている各サーバーで、レジストリ エディター (Regedit など) を開きます。On each server running the RMS connector, open a registry editor, such as Regedit.

  2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector に移動します。Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AADRM\Connector

  3. 文字列値 ProxyAddress を追加し、この値のデータを http://<MyProxyDomainOrIPaddress>:<MyProxyPort> に設定します。Add the string value of ProxyAddress and then set the Data for this value to be http://<MyProxyDomainOrIPaddress>:<MyProxyPort>

    例: http://proxyserver.contoso.com:8080For example: http://proxyserver.contoso.com:8080

  4. レジストリ エディターを閉じて、サーバーを再起動するか、または IISReset コマンドを実行して IIS を再起動します。Close the registry editor, and then restart the server or perform an IISReset command to restart IIS.

管理用コンピューターへの RMS コネクタ管理ツールのインストールInstalling the RMS connector administration tool on administrative computers

RMS コネクタがインストールされていないコンピューターで RMS コネクタ管理ツールを実行するには、次の要件を満たす必要があります。You can run the RMS connector administration tool from a computer that does not have the RMS connector installed, if that computer meets the following requirements:

  • 次のいずれかの OS を搭載している物理または仮想コンピューター: Windows Server 2012 または Windows Server 2012 R2 (すべてのエディション)、Windows Server 2008 R2 または Windows Server 2008 R2 Service Pack 1 (すべてのエディション)、Windows 8.1、Windows 8、または Windows 7。A physical or virtual computer running Windows Server 2012 or Windows Server 2012 R2 (all editions), Windows Server 2008 R2 or Windows Server 2008 R2 Service Pack 1 (all editions), Windows 8.1, Windows 8, or Windows 7.

  • 1 GB 以上の RAM。At least 1 GB of RAM.

  • 64 GB 以上のディスク領域。A minimum of 64 GB of disk space.

  • 1 つ以上のネットワーク インターフェイス。At least one network interface.

  • ファイアウォール (または web プロキシ) 経由でインターネットにアクセスします。Access to the internet via a firewall (or web proxy).

RMS コネクタ管理ツールをインストールするには、次のファイルを実行します。To install the RMS connector administration tool, run the following files:

  • 32 ビット コンピューターの場合: RMSConnectorAdminToolSetup_x86.exeFor a 32-bit computer: RMSConnectorAdminToolSetup_x86.exe

  • 64 ビット コンピューターの場合: RMSConnectorSetup.exeFor a 64-bit computer: RMSConnectorSetup.exe

これらのファイルをまだダウンロードしていない場合は、 ダウンロード センターから入手できます。If you haven’t already downloaded these files, you can do so from the Microsoft Download Center.

次のステップNext steps

RMS コネクタのインストールと構成が完了したので、コネクタを使用するためにオンプレミス サーバーを構成することができます。Now that the RMS connector is installed and configured, you are ready to configure your on-premises servers to use it. Configuring servers for the Azure Rights Management connector (Azure Rights Management コネクタ用にサーバーを構成する)」に進みます。Go to Configuring servers for the Azure Rights Management connector.