移行フェーズ 2: AD RMS のサーバー側の構成
AD RMS から Azure Information Protection への移行のフェーズ 2 では、次の情報を使用してください。 これらの手順では、AD RMS から Azure Information Protection への移行のステップ 4 から 6 までカバーします。
手順 4: AD RMS から構成データをエクスポートし、Azure Information Protection にインポートする
このステップは 2 段階のプロセスです。
信頼された発行ドメイン (TPD) を .xml ファイルにエクスポートするによって AD RMS から構成データをエクスポートします。 このプロセスはすべての移行で同じです。
Azure Information Protection 構成データをインポートします。 この手順には、現在の AD RMS 展開構成と、Azure RMS テナント キーに適したトポロジに応じて、さまざまなプロセスがあります。
AD RMS から構成データをエクスポートする。
すべての AD RMS クラスターで、組織の保護されたコンテンツを持つすべての信頼された発行ドメインに対して、次の手順を実行します。 ライセンス専用クラスターでこの手順を実行する必要はありません。
構成データをエクスポートする (信頼された発行ドメイン情報)
AD RMS 管理アクセス許可を持つユーザーとして AD RMS クラスターにログオンします。
AD RMS 管理コンソールから(Active Directory Rights Management サービス) 、AD RMS クラスター名を展開し、[信頼ポリシー] を展開して、[信頼された発行ドメイン] をクリックメイン。
結果ペインで、信頼された発行ドメインを選択してから、[操作] ウィンドウで [信頼された発行ドメインのエクスポート] をクリックします。
[信頼された発行ドメインをエクスポートする] ダイアログ ボックスのなか。
[名前を付けて保存] をクリックして選択されたパスとファイル名に保存します。 ファイル名拡張子として .xml を指定してください (これは自動的には追加されません)。
強力なパスワードを指定して確認します。 後で Azure Information Protection に構成データをインポートするときに必要になるため、このパスワードを覚えておいてください。
信頼された doメイン ファイルを RMS バージョン 1.0 に保存するためチェック ボックスを選択しないでください。
信頼された発行ドメインをすべてエクスポートしたら、このデータを Azure Information Protection にインポートする手順を開始できます。
信頼された発行ドメインが前に保護されたファイルを暗号化するためのサーバー ライセンサー認定資格証(SLC)キーを含めているのことをメモして、現行のアクティブ オンだけでなく、全ての信頼された発行ドメインをエクスポートする(後で Azure にインポートする)ことが重要です。
たとえば、AD RMS サーバーを暗号化モード 1 から暗号化モード 2 にアップグレードした場合は複数の信頼された発行ドメインがあります。 暗号化モード 1 を使用したアーカイブ 済みキーを含む信頼された発行ドメインをエクスポートおよびインポートしない場合、移行の最後に、ユーザーは暗号化モード 1 キーで保護された内容を開くことができません。
Azure Information Protection に構成データをインポートします。
この手順の正確な手順は、現在の AD RMS デプロイ構成とAzure Information Protection テナント キーに適したトポロジによって異なります。
現在の AD RMS 展開では、サーバー ライセンサー認定資格証 (SLC) キーに次のいずれかの構成が使用されています。
AD RMS データベースのパスワード保護。 これは既定の構成です。
nCipher ハードウェア セキュリティ モジュール (HSM) を使用することによる HSM 保護。
nCipher 以外のサプライヤーのハードウェア セキュリティ モジュール (HSM) を使用することによる HSM 保護。
外部暗号化プロバイダーを使用して保護されたパスワード。
Note
AD RMS でハードウェア セキュリティ モジュールを使用する方法の詳細については、「ハードウェア セキュリティ モジュールでの AD RMS の使用」を参照してください。
2 つの Azure Information Protection テナント キー トポロジ オプションは、Microsoft がテナント キー (Microsoft が管理) を管理するか、Azure Key Vault でテナント キー (カスタマー マネージド) を管理することです。 独自の Azure Information Protection テナント キーを管理する場合は、"Bring Your Own Key" (BYOK) と呼ばれることもあります。 詳しくは、「Azure Information Protection テナント キーを準備と実装の記事」をご覧ください。
次のテーブルを使用して、移行に使用する処置を特定します。
| 現行の AD RMS の展開 | Azure Information Protection テナント キー トポロジを選択します。 | 移行手順 |
|---|---|---|
| AD RMS データベースのパスワード保護 | Microsoft 管理 | このテーブルの後で「ソフトウェアで保護されたキーからソフトウェアで保護されたキー への移行処置」を参照してください。 これは最も簡単な移行パスであり、構成データを Azure Information Protection に転送するだけで済みます。 |
| nCipher nShield ハードウェア セキュリティ モジュール (HSM) を使用することによる HSM 保護 | カスタマー マネージド (BYOK) | このテーブルの後で HSM で保護されたキーから HSM で保護されたキー への移行手順を参照してください。 これには、Azure Key Vault BYOK ツールセットと 3 つの手順のセットが必要です。まず、オンプレミスの HSM から Azure Key Vault HSM にキーを転送してから、Azure Information Protection から Azure Rights Management サービスにテナント キーを使用することを承認し、最後に構成データを Azure Information Protection に転送する必要があります。 |
| AD RMS データベースのパスワード保護 | カスタマー マネージド (BYOK) | このテーブルの 後で「ソフトウェアで保護されたキーから HSM で保護されたキー への移行手順」を参照してください。 これには、Azure Key Vault BYOK ツールセットと 4 つの手順のセットが必要です。最初にソフトウェア キーを抽出してオンプレミス HSM にインポートした後、オンプレミス HSM から Azure Information Protection HSM にキーを転送し、次に Key Vault データを Azure Information Protection に転送し、最後に構成データを Azure Information Protection に転送します。 |
| nCipher 以外のサプライヤーのハードウェア セキュリティ モジュール (HSM) を使用することによる HSM 保護 | カスタマー マネージド (BYOK) | この HSM から nCipher nShield ハードウェア セキュリティ モジュール (HSM) にキーを転送する方法については、HSM のサプライヤーに問い合わせてください。 次に、このテーブルの後に、 HSM で保護されたキーから HSM で保護されたキー への移行処置の手順に従います。 |
| 外部暗号化プロバイダーを使用してパスワードを保護する | カスタマー マネージド (BYOK) | nCipher nShield ハードウェア セキュリティ モジュール (HSM) にキーを転送する方法については、暗号プロバイダーのサプライヤーに問い合わせてください。 次に、このテーブルの後に、 HSM で保護されたキーから HSM で保護されたキー への移行処置の手順に従います。 |
エクスポートできない HSM で保護されたキーがある場合でも、AD RMS クラスターを読み取り専用モードに構成することで、Azure Information Protection に移行できます。 このモードでは、以前に保護されたコンテンツを開くことができますが、新しく保護されたコンテンツでは、ユーザー (BYOK) によって管理されるか、Microsoft によって管理される新しいテナント キーが使用されます。 詳細情報について、「Office で AD RMS から Azure RMS への移行をサポートするための更新」を参照してください。
これらの主要な移行手順を開始する前に、信頼された発行をエクスポートしたときに前に作成した .xml ファイルにアクセスできることを確認メイン。 たとえば、これらは、AD RMS サーバーからインターネットに接続されたワークステーションに移動する USB サム ドライブに保存されている可能性があります。
Note
ただし、これらのファイルを保存する場合は、セキュリティのベスト プラクティスを使用して保護します。このデータには秘密キーが含まれているためです。
手順 4 を完了するには、移行パスの手順を選択します。
ステップ 5: Azure Rights Management サービスをアクティブにする。
一つのPowerShell セッションを開き、次のコマンドを実行します。
プロンプトされた場合 Azure Rights Management サービスに接続し、グローバル管理者の認証情報を指定します。
Connect-AipServiceAzure Rights Management サービスをアクティブにする
Enable-AipService
Azure Information Protection テナントが既にアクティブ化されている場合はどうしますか? 組織の Azure Rights Management サービスが既にアクティブ化されていて、移行後に使用するに慣れたテンプレートを作成している場合は、これらのテンプレートをエクスポートそしてインポートする必要があります。 この処置は次のステップにカバーされています。
手順 6: インポートされたテンプレートを構成する
インポートしたテンプレートの既定の状態はアーカイブ済みであるため、ユーザーが Azure Rights Management サービスでこれらのテンプレートを使用できるようにするには、この状態を [公開済み] に変更する必要があります。
AD RMS からインポートしたテンプレートは、Azure portal で作成できるカスタム テンプレートと同じように表示され、動作します。 インポートされたテンプレートをユーザーが表示してアプリケーションから選択できるように公開済みに変更するには、「Azure Information Protection のテンプレートの構成と管理」を参照してください。
さらに新しくインポートしたテンプレートを公開に、移行を続行する前に行う必要があるテンプレートの重要な変更は 2 つだけあります。 移行プロセス中にユーザーの環境を一貫させるために、インポートしたテンプレートに追加の変更を加えず、Azure Information Protection に付属する 2 つの既定のテンプレートを発行したり、現時点で新しいテンプレートを作成したりしないでください。 代わりに、移行プロセスが完了し、AD RMS サーバーのプロビジョニングが解除されるまで待ちます。
テンプレートの変更には、この手順で行う必要がある場合があります。
移行前に Azure Information Protection カスタム テンプレートを作成した場合は、手動でエクスポートしてインポートする必要があります。
AD RMS のテンプレートで ANYONE グループが使用されている場合は、ユーザーまたはグループを手動で追加することが必要になる場合があります。
AD RMS では、ANYONE グループはオンプレミスの Active Directoryによって認証されたすべてのユーザーに権限を付与しており、このグループは Azure Information Protection ではサポートされていません。 同等のクローゼットは、Microsoft Entra テナント内のすべてのユーザーに対して自動的に作成されるグループです。 AD RMS テンプレートに ANYONE グループを使用していた場合は、ユーザーと付与する許可の追加が必要になる場合があります。
移行前にカスタム テンプレートを作成した場合の処置
Azure Rights Management サービスをアクティブ化する前または後に、移行の前または後にカスタム テンプレートを作成した場合、テンプレートは、ユーザーが [公開済み] に設定されている場合でも、移行後に使用できなくなります。 ユーザーが使用できるようにするには、まず次の操作を行う必要があります。
Get-AipServiceTemplate を実行して、それらのテンプレートを識別し、テンプレート ID を記録しておきます。
Azure RMS PowerShell の Export-AipServiceTemplate コマンドレットを使用して、テンプレートをエクスポートします。
Azure RMS PowerShell の Import-AipServiceTemplate コマンドレットを使用して、テンプレートをインポートします。
その後、移行後に作成する他のテンプレートと同様に、これらのテンプレートを公開するまたはアーカイブできます。
AD RMS のテンプレートで ANYONE グループを使用した場合の処置
AD RMS のテンプレートで ANYONE グループが使用されていた場合、Azure Information Protection 内で最も近い同等のグループは、AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@<tenant_name>.onmicrosoft.com という名前です。 たとえば、Contoso でこのグループは次のようにみえます: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com。 このグループには、Microsoft Entra テナントのすべてのユーザーが含まれます。
Azure portal でテンプレートとラベルを管理すると、このグループはテナントのドメイン名として Microsoft Entra ID に表示されます。 たとえば、Contoso でこのグループは次のようになります: contoso.onmicrosoft.com。 このグループを追加するには、オプションの表示は [追加 <組織名> - すべてのメンバー] となります。
AD RMS テンプレートに ANYONE グループが含まれているかどうかわからない場合は、次のサンプル Windows PowerShell スクリプトを使用してこれらのテンプレートを識別できます。 AD RMS で Windows PowerShell を使用するの詳細については、「Windows PowerShellを使用して DISM を管理する」を参照してください。
Azure portal でこれらのテンプレートをラベルに変換すると、外部ユーザーをテンプレートに簡単に追加できます。 次に、[アクセス許可の追加] ペインで、[詳細を入力] を選択して、対象のユーザーのメール アドレスを手動で指定します。
これらの構成の詳細については、「Rights Management 保護でラベルを構成する方法」を参照してください。
ANYONE グループを含む AD RMS テンプレートを識別するためのサンプル Windows PowerShell スクリプト。
このセクションには、前のセクションで説明したように、ANYONE グループが定義されている AD RMS テンプレートを識別するのに役立つサンプル スクリプトが含まれています。
免責事項: このサンプル スクリプトは、Microsoft の標準サポート プログラムまたはサービスではサポートされません。 サンプル スクリプトは現状有姿で提供され、いかなる保証も行いません。
import-module adrmsadmin
New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost -Force
$ListofTemplates=dir MyRmsAdmin:\RightsPolicyTemplate
foreach($Template in $ListofTemplates)
{
$templateID=$Template.id
$rights = dir MyRmsAdmin:\RightsPolicyTemplate\$Templateid\userright
$templateName=$Template.DefaultDisplayName
if ($rights.usergroupname -eq "anyone")
{
$templateName = $Template.defaultdisplayname
write-host "Template " -NoNewline
write-host -NoNewline $templateName -ForegroundColor Red
write-host " contains rights for " -NoNewline
write-host ANYONE -ForegroundColor Red
}
}
Remove-PSDrive MyRmsAdmin -force
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示