移行フェーズ 4 - サービス構成のサポートMigration phase 4 - supporting services configuration

適用対象:Active Directory Rights Management サービス、Azure Information ProtectionOffice 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

AD RMS から Azure Information Protection への移行フェーズ 4 では、次の情報を使用してください。Use the following information for Phase 4 of migrating from AD RMS to Azure Information Protection. これらの手順では、「AD RMS から Azure Information Protection への移行」の手順 8 から手順 9 を説明します。These procedures cover steps 8 through 9 from Migrating from AD RMS to Azure Information Protection.

手順 8.Step 8. IRM と Exchange Online の統合を構成するConfigure IRM integration for Exchange Online

重要

ユーザーを移行したどの受信者が保護されたメールを選択するか制御できないため、組織内のすべてのユーザーとメールを有効にしたグループに、Azure Information Protection で使用できる Azure AD のアカウントがあることを確認します。Because you cannot control which recipients migrated users might select for protected emails, make sure that all users and mail-enabled groups in your organization have an account in Azure AD that can be used with Azure Information Protection. 詳細情報More information

選択した Azure Information Protection テナント キー トポロジから個別に、次の操作を行います。Independently from the Azure Information Protection tenant key topology that you chose, do the following:

  1. AD RMS によって保護された電子メールを Exchange Online で暗号化解除できるようにするには、クラスターの AD RMS URL とテナントで利用できるキーが一致することを把握する必要があります。For Exchange Online to be able to decrypt emails that are protected by AD RMS, it needs to know that the AD RMS URL for your cluster corresponds to the key that’s available in your tenant. これは、AD RMS クラスターの DNS SRV レコードを使用して実行されます。これは、Azure Information Protection を使用する Office クライアントを再構成するためにも使用されます。This is done with the DNS SRV record for your AD RMS cluster that is also used to reconfigure Office clients to use Azure Information Protection. 手順 7 でクライアントの再構成用に DNS SRV レコードを作成しなかった場合は、ここで Exchange Online をサポートするためにこのレコードを作成します。If you did not create the DNS SRV record for client reconfiguration in step 7, create this record now to support Exchange Online. 手順Instructions

    この DNS レコードが配置されると、Web とモバイルの電子メール クライアントに Outlook を使用しているユーザーはそのアプリで AD RMS によって保護された電子メールを表示できるようになります。また、Exchange では AD RMS からインポートしたキーを使用して、AD RMS によって保護されたコンテンツを暗号化解除、インデックス化、保管、保護できるようになります。When this DNS record is in place, users using Outlook on the web and mobile email clients will be able to view AD RMS protected emails in those apps, and Exchange will be able to use the key you imported from AD RMS to decrypt, index, journal, and protect content that has been protected by AD RMS.

  2. Exchange Online の Get-IRMConfiguration コマンドを実行します。Run the Exchange Online Get-IRMConfiguration command. このコマンドの実行に関してサポートが必要な場合は、「Exchange Online: IRM 構成」を参照してください。If you need help running this command, see the step-by-step instructions from Exchange Online: IRM Configuration.

    出力で、AzureRMSLicensingEnabledTrue に設定されているかどうかを確認します。From the output, check whether AzureRMSLicensingEnabled is set to True:

手順 9.Step 9. Exchange サーバーおよび SharePoint サーバー用に IRM 統合を構成するConfigure IRM integration for Exchange Server and SharePoint Server

AD RMS で Exchange サーバーまたは SharePoint サーバーの Information Rights Management (IRM) 機能を使っている場合は、Rights Management (RMS) コネクタをデプロイする必要があります。このコネクタは、オンプレミスのサーバーと Azure Information Protection の保護サービスの間の通信インターフェイス (リレー) として機能します。If you have used the Information Rights Management (IRM) functionality of Exchange Server or SharePoint Server with AD RMS, you will need to deploy the Rights Management (RMS) connector, which acts as a communications interface (a relay) between your on-premises servers and the protection service for Azure Information Protection.

ここでは、コネクタをインストールして構成し、Exchange および SharePoint で IRM を無効にして、コネクタを使うようにこれらのサーバーを構成する手順を説明します。This step covers installing and configuring the connector, disabling IRM for Exchange and SharePoint, and configuring these servers to use the connector. 最後に、メール メッセージの保護に使われていた AD RMS データ構成ファイル (.xml) を Azure Information Protection にインポートしてある場合、Exchange Server コンピューターのレジストリを手動で編集して、すべての信頼された発行ドメインの URL を RMS コネクタにリダイレクトする必要があります。Finally, if you have imported AD RMS data configuration files (.xml) into Azure Information Protection that were used to protect email messages, you must manually edit the registry on the Exchange Server computers to redirect all trusted publishing domain URLs to the RMS connector.

注意

開始する前に、「Azure RMS をサポートするオンプレミス サーバー」で、Azure Rights Management サービスがサポートしているオンプレミス サーバーのバージョンを確認してください。Before you start, check the versions of the on-premises servers that the Azure Rights Management service supports, from On-premises servers that support Azure RMS.

RMS コネクタのインストールと構成Install and configure the RMS connector

記事「Azure Rights Management コネクタをデプロイする」の説明に従って、手順 1 から 4 を実行します。Use the instructions in the Deploying the Azure Rights Management connector article, and do steps 1 though 4. コネクタの説明の手順 5 はまだ実行しないでください。Do not start step 5 yet from the connector instructions.

Exchange サーバーで IRM を無効にし、AD RMS の構成を削除するDisable IRM on Exchange Servers and remove AD RMS configuration

重要

どの Exchange サーバーでも IRM をまだ構成していない場合は、手順 2. と 6. を実行します。If you haven't yet configured IRM on any of your Exchange servers, do just steps 2 and 6.

Get-IRMConfiguration を実行し、LicensingLocation パラメーターにすべての AD RMS クラスターのライセンス url が表示されない場合は、これらの手順をすべて実行します。Do all these steps if all the licensing URLs of all your AD RMS clusters are not displayed in the LicensingLocation parameter when you run Get-IRMConfiguration.

  1. 各 Exchange サーバーでフォルダー \ProgramData\Microsoft\DRM\Server\S-1-5-18 を見つけて、そのフォルダーのすべてのエントリを削除します。On each Exchange server, locate the following folder and delete all the entries in that folder: \ProgramData\Microsoft\DRM\Server\S-1-5-18

  2. Exchange サーバーのいずれかで次の PowerShell コマンドを実行して、Azure Rights Management を使って保護されているメールをユーザーが読めるようにします。From one of the Exchange servers, run the following PowerShell commands to ensure that users will be able to read emails that are protected by using Azure Rights Management.

    これらのコマンドを実行する前に、<Your Tenant URL> を実際の Azure Rights Management サービスの URL に置き換えます。Before you run these commands, substitute your own Azure Rights Management service URL for <Your Tenant URL>.

     $irmConfig = Get-IRMConfiguration
     $list = $irmConfig.LicensingLocation 
     $list += "<Your Tenant URL>/_wmcs/licensing"
     Set-IRMConfiguration -LicensingLocation $list
    

    これで、 Get IRMConfigurationを実行すると、すべての AD RMS クラスターのライセンス url と、 LicensingLocationパラメーターに表示される AZURE Rights Management サービスの url が表示されます。Now when you run Get-IRMConfiguration, you should see all your AD RMS cluster licensing URLs and your Azure Rights Management service URL displayed for the LicensingLocation parameter.

  3. 次に、内部受信者に送信されるメッセージの IRM 機能を無効にします。Now disable IRM features for messages that are sent to internal recipients:

    Set-IRMConfiguration -InternalLicensingEnabled $false
    
  4. その後、同じコマンドレットを使って、Microsoft Office Outlook Web App および Microsoft Exchange ActiveSync で IRM を無効にします。Then use the same cmdlet to disable IRM in Microsoft Office Outlook Web App and in Microsoft Exchange ActiveSync:

    Set-IRMConfiguration -ClientAccessServerEnabled $false
    
  5. 最後に、同じコマンドレットを使用してキャッシュされている証明書をクリアします。Finally, use the same cmdlet to clear any cached certificates:

    Set-IRMConfiguration -RefreshServerCertificates
    
  6. 各 Exchange サーバーで、たとえば管理者としてコマンド プロンプトを実行して「iisreset」と入力し、IIS をリセットします。On each Exchange Server, now reset IIS, for example, by running a command prompt as an administrator and typing iisreset.

SharePoint サーバーで IRM を無効にし、AD RMS の構成を削除するDisable IRM on SharePoint Servers and remove AD RMS configuration

  1. RMS で保護されたライブラリからドキュメントがチェックアウトされていないことを確認します。Make sure that there are no documents checked out from RMS-protected libraries. ある場合、この手順の最後でそれらにアクセスできなくなります。If there are, they will be become inaccessible at the end of this procedure.

  2. SharePoint サーバーの全体管理 Web サイトの [サイド リンク バー] セクションで、 [セキュリティ] をクリックします。On the SharePoint Central Administration Web site, in the Quick Launch section, click Security.

  3. [セキュリティ] ページの [情報ポリシー] セクションで、 [Information Rights Management の構成] をクリックします。On the Security page, in the Information Policy section, click Configure information rights management.

  4. [Information Rights Management] ページの [Information Rights Management] セクションで、 [このサーバーでは IRM を使用しない] を選択して、 [OK] をクリックします。On the Information Rights Management page, in the Information Rights Management section, select Do not use IRM on this server, then click OK.

  5. 各 SharePoint サーバー コンピューターで、\ProgramData\Microsoft\MSIPC\Server\<SharePoint サーバーを実行しているアカウントの SID> フォルダーの内容を削除します。On each of the SharePoint Server computers, delete the contents of the folder \ProgramData\Microsoft\MSIPC\Server\<SID of the account running SharePoint Server>.

コネクタを使うように Exchange と SharePoint を構成するConfigure Exchange and SharePoint to use the connector

  1. RMS コネクタのデプロイ手順に戻る: 手順 5: RMS コネクタを使用するためのサーバーの構成Return to the instructions for deploying the RMS connector: Step 5: Configuring servers to use the RMS connector

    SharePoint サーバーだけを使っている場合は、次の手順に進んで移行を続けます。If you have SharePoint Server only, go straight to Next steps to continue the migration.

  2. 各 Exchange サーバーで、インポートした各構成データファイル (.xml) の次のセクションにレジストリ キーを手動で追加し、信頼された発行ドメインの URL を RMS コネクタにリダイレクトします。On each Exchange Server, manually add the registry keys in the next section for each configuration data file (.xml) that you imported, to redirect the trusted publishing domain URLs to the RMS connector. これらのレジストリ エントリは移行に固有であり、Microsoft RMS コネクタ用のサーバー構成ツールでは追加されません。These registry entries are specific to migration and are not added by the server configuration tool for Microsoft RMS connector.

    これらのレジストリの編集を行うときは、次の手順を使用します。When you make these registry edits, use the following instructions:

    • connector FQDN は、DNS で定義したコネクタの名前に置き換えます。Replace connector FQDN with the name that you defined in DNS for the connector. たとえば、 rmsconnector.contoso.comです。For example, rmsconnector.contoso.com.

    • オンプレミス サーバーとの通信に HTTP または HTTPS のどちらを使用するようにコネクタを構成しているかにより、コネクタの URL に HTTP または HTTPS プレフィックスを使用してください。Use the HTTP or HTTPS prefix for the connector URL, depending on whether you have configured the connector to use HTTP or HTTPS to communicate with your on-premises servers.

Exchange に関するレジストリの編集Registry edits for Exchange

すべての Exchange サーバーの LicenseServerRedirection に、Exchange のバージョンに応じて次のレジストリ値を追加します。For all Exchange servers, add the following registry values to LicenseServerRedirection, depending on your versions of Exchange:


Exchange 2013 および Exchange 2016 の場合 - レジストリ編集 1:For Exchange 2013 and Exchange 2016 - registry edit 1:

レジストリ パス:Registry path:

HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirectionHKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

次のように入力します。 Reg_SZType: Reg_SZ

値: https://<AD RMS イントラネット ライセンス URL>/_wmcs/licensingValue: https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

データ:Data:

Exchange サーバーから RMS コネクタへの通信で HTTP または HTTPS のどちらを使用しているかによって、次のいずれかの形式を使用します。One of the following, depending on whether you are using HTTP or HTTPS from your Exchange server to the RMS connector:

  • http://<コネクタの FQDN>/_wmcs/licensinghttp://<connector FQDN>/_wmcs/licensing

  • https://<コネクタの FQDN>/_wmcs/licensinghttps://<connector FQDN>/_wmcs/licensing


Exchange 2013 - レジストリの編集 2:Exchange 2013 - registry edit 2:

レジストリ パス:Registry path:

HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirectionHKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

次のように入力します。 Reg_SZType: Reg_SZ

値: https://<AD RMS エクストラネット ライセンス URL>/_wmcs/licensingValue: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

データ:Data:

Exchange サーバーから RMS コネクタへの通信で HTTP または HTTPS のどちらを使用しているかによって、次のいずれかの形式を使用します。One of the following, depending on whether you are using HTTP or HTTPS from your Exchange server to the RMS connector:

  • http://<コネクタの FQDN>/_wmcs/licensinghttp://<connector FQDN>/_wmcs/licensing

  • https://<コネクタの FQDN>/_wmcs/licensinghttps://<connector FQDN>/_wmcs/licensing


Exchange 2010 の場合 - レジストリの編集 1:For Exchange 2010 - registry edit 1:

レジストリ パス:Registry path:

HKLM\SOFTWARE\Microsoft\ExchangeServer\v14\IRM\LicenseServerRedirectionHKLM\SOFTWARE\Microsoft\ExchangeServer\v14\IRM\LicenseServerRedirection

種類: Reg_SZType: Reg_SZ

値: https://<AD RMS イントラネット ライセンス URL>/_wmcs/licensingValue: https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

データ:Data:

Exchange サーバーから RMS コネクタへの通信で HTTP または HTTPS のどちらを使用しているかによって、次のいずれかの形式を使用します。One of the following, depending on whether you are using HTTP or HTTPS from your Exchange server to the RMS connector:

  • http://<コネクタの FQDN>/_wmcs/licensinghttp://<connector FQDN>/_wmcs/licensing

  • https://<コネクタの名前>/_wmcs/licensinghttps://<connector Name>/_wmcs/licensing


Exchange 2010 の場合 - レジストリの編集 2:For Exchange 2010 - registry edit 2:

レジストリ パス:Registry path:

HKLM\SOFTWARE\Microsoft\ExchangeServer\v14\IRM\LicenseServerRedirectionHKLM\SOFTWARE\Microsoft\ExchangeServer\v14\IRM\LicenseServerRedirection

種類: Reg_SZType: Reg_SZ

値: https://<AD RMS エクストラネット ライセンス URL>/_wmcs/licensingValue: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

データ:Data:

Exchange サーバーから RMS コネクタへの通信で HTTP または HTTPS のどちらを使用しているかによって、次のいずれかの形式を使用します。One of the following, depending on whether you are using HTTP or HTTPS from your Exchange server to the RMS connector:

  • http://<コネクタの FQDN>/_wmcs/licensinghttp://<connector FQDN>/_wmcs/licensing

  • https://<コネクタの FQDN>/_wmcs/licensinghttps://<connector FQDN>/_wmcs/licensing


次の手順Next steps

移行を続行するには、「移行フェーズ 5 - 移行後のタスク」に進んでください。To continue the migration, go to phase 5 -post migration tasks.