移行フェーズ 1 - 準備Migration phase 1 - preparation

適用対象: Active Directory Rights Management サービス、Azure Information ProtectionOffice 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

AD RMS から Azure Information Protection への移行フェーズ 1 では、次の情報を使用してください。Use the following information for Phase 1 of migrating from AD RMS to Azure Information Protection. この手順では「AD RMS から Azure Information Protection への移行」の手順 1 から 3 について説明し、ユーザーに影響を与えずに移行の環境を準備します。These procedures cover steps 1 though 3 from Migrating from AD RMS to Azure Information Protection and prepare your environment for migration without any impact to your users.

手順 1:AIPService PowerShell モジュールをインストールし、テナントの URL を指定するStep 1: Install the AIPService PowerShell module and identify your tenant URL

Azure Information Protection のデータ保護を提供するサービスを構成および管理できるように、AIPService モジュールをインストールします。Install the AIPService module so that you can configure and manage the service that provides the data protection for Azure Information Protection.

手順については、「 AIPService PowerShell モジュールのインストール」を参照してください。For instructions, see Installing the AIPService PowerShell module.

移行手順の一部では、<実際のテナント URL> が参照されたときに置き換えることができるように、テナントの Azure Rights Management サービス URL を確認しておく必要があります。To complete some of the migration instructions, you will need to know the Azure Rights Management service URL for your tenant so that you can substitute it for when you see references to <Your Tenant URL>. Azure Rights Management サービス URL は、 .rms.<リージョン>.aadrm.com という形式です。Your Azure Rights Management service URL has the following format: {GUID}.rms.[Region].aadrm.com.

以下に例を示します。5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.comFor example: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

Azure Rights Management サービス URL を確認するにはTo identify your Azure Rights Management service URL

  1. Azure Rights Management サービスに接続し、求められたら、テナントのグローバル管理者の資格情報を入力します。Connect to the Azure Rights Management service and when prompted, enter the credentials for your tenant's global administrator:

     Connect-AipService
    
  2. テナントの構成を取得します。Get your tenant's configuration:

     Get-AipServiceConfiguration
    
  3. LicensingIntranetDistributionPointUrl の値をコピーし、この文字列から /_wmcs\licensing を除去します。Copy the value displayed for LicensingIntranetDistributionPointUrl, and from this string, remove /_wmcs\licensing.

    残りの部分が Azure Information Protection テナントの Azure Rights Management サービス URL に相当します。What remains is your Azure Rights Management service URL for your Azure Information Protection tenant. この値は後続の移行指示で、多くの場合、YourTenantURL という短縮形式で表現されています。This value is often shortened to Your tenant URL in the following migration instructions.

    次の PowerShell コマンドを実行することで、値が正しいことを確認できます。You can verify that you have the correct value by running the following PowerShell command:

         (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
    

手順 2.Step 2. クライアントの移行を準備するPrepare for client migration

ほとんどの移行では、すべてのクライアントを一度に移行するのは実際的ではないため、少しずつクライアントを移行することがよくあります。For most migrations, it is not practical to migrate all clients at once, so you will likely migrate clients in batches. つまり、Azure Information Protection を使用するクライアントとまだ AD RMS を使用するクライアントが共存する期間があります。This means that for a period of time, some clients will be using Azure Information Protection and some will still be using AD RMS. 移行前と移行後の両方のユーザーをサポートするには、オンボーディング制御を使用し、移行前のスクリプトをデプロイします。To support both pre-migrated and migrated users, use onboarding controls and deploy a pre-migration script. まだ移行されていないユーザーが、Azure Rights Management を使用する移行の済んだユーザーによって保護されているコンテンツを使用できるように、移行プロセスの間はこの手順が必要です。This step is required during the migration process so that users who have not yet migrated can consume content that has been protected by migrated users who are now using Azure Rights Management.

  1. たとえば AIPMigrated といった名前のグループを作成します。Create a group, for example, named AIPMigrated. このグループは、Active Directory で作成してクラウドに同期しても、Office 365 または Azure Active Directory で作成してもかまいません。This group can be created in Active Directory and synchronized to the cloud, or it can be created in Office 365 or Azure Active Directory. この時点では、このグループにユーザーを割り当てないでください。Do not assign any users to this group at this time. 後の手順でユーザーを移行するときに、このグループに追加します。At a later step, when users are migrated, you will add them to the group.

    このグループのオブジェクト ID を記録しておきます。Make a note of this group's object ID. そのためには、Azure AD PowerShell を使います。たとえば、バージョン 1.0 のモジュールについては、Get-MsolGroup コマンドを使います。To do this, you can use Azure AD PowerShell—for example, for version 1.0 of the module, use the Get-MsolGroup command. または、Azure Portal から、グループのオブジェクト ID をコピーしてもかまいません。Or you can copy the object ID of the group from the Azure portal.

  2. このグループをオンボーディング制御用に構成し、このグループのメンバーのみが Azure Rights Management を使ってコンテンツを保護できるようにします。Configure this group for onboarding controls to allow only people in this group to use Azure Rights Management to protect content. そのためには、PowerShell セッションで Azure Rights Management サービスに接続し、メッセージが表示されたら、グローバル管理者の資格情報を指定します。To do this, in a PowerShell session, connect to the Azure Rights Management service and when prompted, specify your global admin credentials:

     Connect-AipService
    

    その後、このグループをオンボーディング制御用に構成し、この例のオブジェクト ID を実際のグループ オブジェクト ID に置き換えて、確認を求められたら「Y」と入力します。Then configure this group for onboarding controls, substituting your group object ID for the one in this example, and enter Y to confirm when you are prompted:

     Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
    
  3. クライアント移行スクリプトが含まれる次のファイルをダウンロードします。Download the following file that contains client migration scripts:

    Migration-Scripts.zipMigration-Scripts.zip

  4. ファイルを抽出し、Prepare-Client.cmd の指示に従って、実際の AD RMS クラスター エクストラネット ライセンス URL のサーバー名が含まれるようにします。Extract the files and follow the instructions in Prepare-Client.cmd so that it contains the server name for your AD RMS cluster extranet licensing URL.

    この名前を見つけるには: Active Directory Rights Management サービス コンソールで、クラスターの名前をクリックします。To locate this name: From the Active Directory Rights Management Services console, click the cluster name. [クラスターの詳細] で、[エクストラネット クラスターの URL] セクションの [ライセンス] からサーバー名をコピーします。From the Cluster Details information, copy the server name from the Licensing value from the extranet cluster URLs section. 例: rmscluster.contoso.comFor example: rmscluster.contoso.com.

    重要

    この手順では、adrms.contoso.com のアドレスの例を実際の AD RMS サーバーのアドレスに置き換えます。The instructions include replacing example addresses of adrms.contoso.com with your AD RMS server addresses. これを行うときは、アドレスの前または後に余計なスペースが入らないように注意してください。余計なスペースがあると、移行スクリプトが中断し、問題の根本原因の特定が非常に困難になります。When you do this, be careful that there are no additional spaces before or after your addresses, which will break the migration script and is very hard to identify as the root cause of the problem. 編集ツールによっては、テキストを貼り付けた後でスペースが自動的に追加されることがあります。Some editing tools automatically add a space after pasting text.

  5. このスクリプトをすべての Windows コンピューターにデプロイして、クライアントの移行を始めるときに、まだ移行されていないクライアントが、Azure Rights Management サービスを使うようになっている移行の済んだクライアントによって保護されているコンテンツを使用する場合に、AD RMS と通信できるようにします。Deploy this script to all Windows computers to ensure that when you start to migrate clients, clients yet to be migrated continue to communicate with AD RMS even if they consume content that is protected by migrated clients that are now using the Azure Rights Management service.

    グループ ポリシーまたは他のソフトウェア展開メカニズムを使って、このスクリプトを展開できます。You can use Group Policy or another software deployment mechanism to deploy this script.

手順 3.Step 3. Exchange の展開を移行用に準備するPrepare your Exchange deployment for migration

オンプレミスの Exchange または Exchange Online を使っている場合、Exchange と AD RMS デプロイを統合している可能性があります。If you are using Exchange on-premises or Exchange online, you might have previously integrated Exchange with your AD RMS deployment. この手順ではそれを、既存の AD RMS の構成を使用し、Azure RMS によって保護されるコンテンツをサポートするように構成します。In this step you will configure them to use the existing AD RMS configuration to support content protected by Azure RMS.

実際のテナントの Azure Rights Management サービス URL を確認しておき、次のコマンドの <YourTenantURL> をその値に置き換えることができるようにします。Make sure that you have your Azure Rights Management service URL for your tenant so that you can substitute this value for <YourTenantURL> in the following commands.

Exchange Online を AD RMS と統合している場合: Exchange Online PowerShell セッションを開き、以下の PowerShell コマンドを 1 つずつ、またはスクリプト内で実行します。If you have integrated Exchange Online with AD RMS: Open an Exchange Online PowerShell session and run the following PowerShell commands either one by one, or in a script:

$irmConfig = Get-IRMConfiguration
$list = $irmConfig.LicensingLocation
$list += "<YourTenantURL>/_wmcs/licensing"
Set-IRMConfiguration -LicensingLocation $list
Set-IRMConfiguration -internallicensingenabled $false
Set-IRMConfiguration -internallicensingenabled $true 

オンプレミスの Exchange を AD RMS と統合している場合: Exchange 組織ごとに、まず各 Exchange サーバー上でレジストリ値を追加してから PowerShell コマンドを実行します。If you have integrated Exchange on-premises with AD RMS: For each Exchange organization, first add registry values on each Exchange server, and then run PowerShell commands:

Exchange 2013 と Exchange 2016 のレジストリ値:Registry values for Exchange 2013 and Exchange 2016:

レジストリ パス:Registry path:

HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirectionHKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

次のように入力します。 Reg_SZType: Reg_SZ

値: https://<実際のテナント URL>/_wmcs/licensingValue: https://<Your Tenant URL>/_wmcs/licensing

データ: https://<AD RMS エクストラネット ライセンス URL>/_wmcs/licensingData: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing


Exchange 2010 のレジストリ値:Registry values For Exchange 2010:

レジストリ パス:Registry path:

HKLM\SOFTWARE\Microsoft\ExchangeServer\v14\IRM\LicenseServerRedirectionHKLM\SOFTWARE\Microsoft\ExchangeServer\v14\IRM\LicenseServerRedirection

種類: Reg_SZType: Reg_SZ

値: https://<実際のテナント URL>/_wmcs/licensingValue: https://<Your Tenant URL>/_wmcs/licensing

データ: https://<AD RMS エクストラネット ライセンス URL>/_wmcs/licensingData: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing


1 つずつ、またはスクリプト内で実行する PowerShell コマンドPowerShell commands to run either one by one, or in a script

$irmConfig = Get-IRMConfiguration
$list = $irmConfig.LicensingLocation
$list += "<YourTenantURL>/_wmcs/licensing"
Set-IRMConfiguration -LicensingLocation $list
Set-IRMConfiguration -internallicensingenabled $false
Set-IRMConfiguration -RefreshServerCertificates
Set-IRMConfiguration -internallicensingenabled $true
IISReset

Exchange Online またはオンプレミスの Exchange に対してこれらのコマンドを実行すると、移行前に AD RMS によって保護されたコンテンツをサポートするように構成されていた Exchange 展開は、移行後も Azure RMS によって保護されたコンテンツをサポートします。After running these commands for Exchange Online or Exchange on-premises, if your Exchange deployment was configured to support content that was protected by AD RMS, it will also support content protected by Azure RMS after the migration. Exchange 展開では、後の移行手順まで、引き続き AD RMS を使って保護されたコンテンツをサポートします。Your Exchange deployment will continue to use AD RMS to support protected content until a later step in the migration.

次の手順Next steps

フェーズ 2: サーバー側の構成」に進みます。Go to phase 2 - server-side configuration.