移行フェーズ 5 - 移行後のタスクMigration phase 5 - post migration tasks

適用対象: Active Directory Rights Management サービス、Azure Information ProtectionOffice 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

AD RMS から Azure Information Protection への移行フェーズ 5 では、次の情報を使用してください。Use the following information for Phase 5 of migrating from AD RMS to Azure Information Protection. これらの手順では、「AD RMS から Azure Information Protection への移行」の手順 10 から手順 12 を説明します。These procedures cover steps 10 through 12 from Migrating from AD RMS to Azure Information Protection.

手順 10.Step 10. AD RMS のプロビジョニング解除Deprovision AD RMS

サービス接続ポイント (SCP) を Active Directory から削除し、コンピューターがオンプレミス Rights Management インフラストラクチャを検出しないようにします。Remove the Service Connection Point (SCP) from Active Directory to prevent computers from discovering your on-premises Rights Management infrastructure. 既存のクライアントを移行した場合、レジストリに (たとえば、移行スクリプトを実行して) 構成したリダイレクトがあるため、この操作は省略可能です。This is optional for the existing clients that you migrated because of the redirection that you configured in the registry (for example, by running the migration script). ただし、SCP を削除すると、移行の完了後に新しいクライアントと一部の RMS 関連サービスおよびツールは SCP を見つけられなくなります。However, removing the SCP prevents new clients and potentially RMS-related services and tools from finding the SCP when the migration is complete. この時点で、すべてのコンピューター接続は Azure Rights Management サービスにアクセスすることになります。At this point, all computer connections should go to the Azure Rights Management service.

SCP を削除するには、ドメイン エンタープライズ管理者としてログインしていることを確認し、次の手順を使用します。To remove the SCP, make sure that you are logged in as a domain enterprise administrator, and then use the following procedure:

  1. Active Directory Rights Management サービス コンソールで、AD RMS クラスターを右クリックし、 [プロパティ] をクリックします。In the Active Directory Rights Management Services console, right-click the AD RMS cluster, and then click Properties.

  2. [SCP] タブをクリックします。Click the SCP tab.

  3. [SCPを変更する] チェック ボックスをオンにします。Select the Change SCP check box.

  4. [現在の SCP を削除する] を選択して [OK] をクリックします。Select Remove Current SCP, and then click OK.

次に AD RMS サーバーのアクティビティを監視します。Now monitor your AD RMS servers for activity. たとえば、システム正常性レポートの要求の確認ServiceRequest テーブルの確認保護コンテンツに対するユーザー アクセスの監査などです。For example, check the requests in the System Health report, the ServiceRequest table or audit user access to protected content.

RMS クライアントがこれらのサーバーと通信していないこと、およびクライアントが Azure Information Protection を正常に使用していることを確認できたら、これらのサーバーから AD RMS サーバーの役割を削除できます。When you have confirmed that RMS clients are no longer communicating with these servers and that clients are successfully using Azure Information Protection, you can remove the AD RMS server role from these servers. 専用のサーバーを使用している場合は、最初のサーバーのシャットダウン期間に警告手順を使用してもかまいません。If you’re using dedicated servers, you might prefer the cautionary step of first shutting down the servers for a period of time. この方法では、サービス継続性のためにこれらのサーバーを再起動する必要がある問題の報告が発生していないことを確認でき、クライアントが Azure Information Protection を使用していない理由を調査する時間を確保できます。This gives you time to make sure that there are no reported problems that might require you to restart these servers for service continuity while you investigate why clients are not using Azure Information Protection.

また、AD RMS サーバーのプロビジョニングを解除した後に、Azure Portal でテンプレートを見直す機会が必要な場合があります。After you have deprovisioned your AD RMS servers, you might want to take the opportunity to review your templates in the Azure portal. たとえば、ユーザーが選択または再構成する対象が少なくなるように、ラベルに変換して統合する場合です。For example, convert them to labels, consolidate them so that users have fewer to choose between, or reconfigure them. これは、既定のテンプレートを発行する絶好のタイミングでもあります。This would be also a good time to publish the default templates. 詳細については、「Azure Information Protection のテンプレートを構成して管理する」を参照してください。For more information, see Configuring and managing templates for Azure Information Protection.


この移行が終わると、Azure Information Protection および Hold Your Own Key (HYOK) オプションで AD RMS クラスターを使うことができなくなります。At the end of this migration, your AD RMS cluster cannot be used with Azure Information Protection and the hold your own key (HYOK) option. Azure Information Protection のラベルに HYOK を使う場合は、現在行われているリダイレクションのため、使用する AD RMS クラスターに、移行したクラスターとは異なるライセンス URL が必要です。If you decide to use HYOK for an Azure Information Protection label, because of the redirections that are now in place, the AD RMS cluster that you use must have different licensing URLs to the ones in the clusters that you migrated.

Office 2010 を実行するコンピューターの追加構成Addition configuration for computers that run Office 2010

移行されたクライアントが Office 2010 を実行している場合、AD RMS サーバーがプロビジョニング解除された後、保護されたコンテンツを開くのに遅延が発生する可能性があります。If migrated clients run Office 2010, users might experience delays in opening protected content after our AD RMS servers are deprovisioned. または、保護されたコンテンツを開くための資格情報がないというメッセージが表示されることがあります。Or, users might see messages that they don't have credentials to open protected content. これらの問題を解決するには、これらのコンピューターに対してネットワークリダイレクトを作成し、AD RMS URL FQDN をコンピューターのローカル IP アドレス ( にリダイレクトします。To resolve these problems, create a network redirection for these computers, which redirects the AD RMS URL FQDN to the local IP address of the computer ( これを行うには、各コンピューターでローカルホストファイルを構成するか、DNS を使用します。You can do this by configuring the local hosts file on each computer, or by using DNS.

ローカルホストファイルを使用したリダイレクト:Redirection via local hosts file:

  • ローカルホストファイルに次の行を追加します。 <AD RMS URL FQDN> は、プレフィックスまたは web ページを含まない、AD RMS クラスターの値に置き換えてください。Add the following line in the local hosts file, replacing <AD RMS URL FQDN> with the value for your AD RMS cluster, without prefixes or web pages: <AD RMS URL FQDN>

DNS を使用したリダイレクト:Redirection via DNS:

  • AD RMS URL FQDN の新しいホスト (A) レコードを作成します。 IP アドレスは127.0.0.1 です。Create a new host (A) record for your AD RMS URL FQDN, which has the IP address of

手順 11.Step 11. クライアントの移行タスクを完了するComplete client migration tasks

モバイル デバイス クライアントおよび Mac コンピューターの場合:AD RMS モバイル デバイス拡張機能をデプロイするときに作成した DNS SRV レコードを削除します。For mobile device clients and Mac computers: Remove the DNS SRV records that you created when you deployed the AD RMS mobile device extension.

このような DNS の変更が伝達されると、これらのクライアントは自動的に検出され、Azure Rights Management サービスの使用を開始します。When these DNS changes have propogated, these clients will automatically discover and start to use the Azure Rights Management service. ただし、Office Mac を実行する Mac コンピューターは、AD RMS からの情報をキャッシュに入れます。However, Mac computers that run Office Mac cache the information from AD RMS. これらのコンピューターの場合、このプロセスには最大で 30 日かかることがあります。For these computers, this process can take up to 30 days.

Mac コンピューターが検出プロセスを直ちに実行するようにするには、キーチェーンで "adal" を検索し、すべての ADAL エントリを削除します。To force Mac computers to run the discovery process immediately, in the keychain, search for "adal" and delete all ADAL entries. これらのコンピューターで次のコマンドを実行します。Then, run the following commands on these computers:

rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

既存のすべての Windows コンピューターを Azure Information Protection に移行した後は、オンボーディング制御を使い続け、移行プロセス用に作成した AIPMigrated グループを残しておく理由はありません。When all your existing Windows computers have migrated to Azure Information Protection, there's no reason to continue to use onboarding controls and maintain the AIPMigrated group that you created for the migration process.

最初にオンボーディング制御を解除すると、AIPMigrated グループと、移行スクリプトをデプロイするために作成した任意のソフトウェア デプロイ方法を削除できます。Remove the onboarding controls first, and then you can delete the AIPMigrated group and any software deployment method that you created to deploy the migration scripts.

オンボーディング制御を解除するには:To remove the onboarding controls:

  1. PowerShell セッションで Azure Rights Management サービスに接続し、メッセージが表示されたら、グローバル管理者の資格情報を指定します。In a PowerShell session, connect to the Azure Rights Management service and when prompted, specify your global admin credentials:

  2. 次のコマンドを実行し、「Y」と入力して確認します。Run the following command, and enter Y to confirm:

     Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

    このコマンドを実行すると、Azure Rights Management 保護サービスのライセンスの強制が解除され、すべてのコンピューターでドキュメントおよび電子メールを保護できるようになります。Note that this command removes any license enforcement for the Azure Rights Management protection service, so that all computers can protect documents and emails.

  3. オンボーディング制御が設定されていないことを確認します。Confirm that onboarding controls are no longer set:


    出力で、LicenseFalse と表示され、SecurityGroupOjbectId に対して GUID が表示されないことを確認します。In the output, License should show False, and there is no GUID displayed for the SecurityGroupOjbectId

最後に、Office 2010 を使用していて、Windows タスク スケジューラ ライブラリで "AD RMS Rights Policy Template Management (Automated) (AD RMS 権利ポリシー テンプレート管理 (自動)) " タスクを有効にしている場合、Azure Information Protection クライアントでは使用されていないため、このタスクを無効にします。Finally, if you are using Office 2010 and you have enabled the AD RMS Rights Policy Template Management (Automated) task in the Windows Task Scheduler library, disable this task because it is not used by the Azure Information Protection client. 通常、このタスクはグループ ポリシーを使用して有効にされ、AD RMS デプロイをサポートします。This task is typically enabled by using group policy and supports an AD RMS deployment. このタスクは次の場所で見つけることができます: Microsoft > Windows > Active Directory Rights Management サービス クライアントYou can find this task in the following location: Microsoft > Windows > Active Directory Rights Management Services Client

手順 12.Step 12. Azure Information Protection テナント キーを再入力するRekey your Azure Information Protection tenant key

AD RMS のデプロイで RMS 暗号化モード1を使用していた場合、このモードでは1024ビットのキーと SHA-1 が使用されるため、この手順を実行する必要があります。This step is required when migration is complete if your AD RMS deployment was using RMS Cryptographic Mode 1 because this mode uses a 1024-bit key and SHA-1. この構成は、十分なレベルの保護を提供するものと見なされます。This configuration is considered to offer an inadequate level of protection. マイクロソフトは、1024ビットの RSA キーなどの下位キーの長さの使用を保証していません。また、SHA-1 など、不適切なレベルの保護を提供するプロトコルの使用については推奨しません。Microsoft doesn’t endorse the use of lower key lengths such as 1024-bit RSA keys and the associated use of protocols that offer inadequate levels of protection, such as SHA-1.

キーを更新すると、RMS 暗号化モード2を使用する保護が適用され、その結果、2048ビットキーと SHA-256 が生成されます。Rekeying results in protection that uses RMS Cryptographic Mode 2, which results in a 2048-bit key and SHA-256.

AD RMS のデプロイで暗号化モード 2 が使用されている場合も、この手順を実行することをお勧めします。新しいキーは、AD RMS キーに対する潜在的なセキュリティ侵害からテナントを保護するのに役立つためです。Even if your AD RMS deployment was using Cryptographic Mode 2, we still recommend you do this step because a new key helps to protect your tenant from potential security breaches to your AD RMS key.

Azure Information Protection テナント キーの再入力を行うと ("キーをロールする" とも言われる)、現在アクティブなキーはアーカイブされ、Azure Information Protection は、指定した別のキーの使用を開始します。When you rekey your Azure Information Protection tenant key (also known as "rolling your key"), the currently active key is archived and Azure Information Protection starts to use a different key that you specify. この別のキーは、Azure Key Vault で自分で作成した新しいキーとすることも、テナント用に自動的に作成された既定のキーとすることもできます。This different key could be a new key that you create in Azure Key Vault, or the default key that was automatically created for your tenant.

あるキーから別のキーへの移行は、即時には実行されず、数週間かかります。Moving from one key to another doesn’t happen immediately but over a few weeks. 即時には行われないために、元のキーの侵害が疑われるまで待たず、移行が完了したらすぐにこの手順を実行してください。Because it's not immediate, do not wait until you suspect a breach to your original key but do this step as soon as the migration is complete.

Azure Information Protection テナント キーを更新するには:To rekey your Azure Information Protection tenant key:

  • テナント キーが Microsoft によって管理されている場合: PowerShell コマンドレットのSet-AipServiceKeyPropertiesを実行し、テナント用に自動的に作成されたキーのキー識別子を指定します。If your tenant key is managed by Microsoft: Run the PowerShell cmdlet Set-AipServiceKeyProperties and specify the key identifier for the key that was automatically created for your tenant. 指定する値を特定するには、 Get AipServiceKeysコマンドレットを実行します。You can identify the value to specify by running the Get-AipServiceKeys cmdlet. テナント用に自動的に作成されたキーは作成日が最も古いので、次のコマンドを使用して識別することができます。The key that was automatically created for your tenant has the oldest creation date, so you can identify it by using the following command:

      (Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
  • テナント キーを自分で管理している場合 (BYOK) : Azure Key Vault で、Azure Information Protection テナントのキー作成プロセスを繰り返してから、 AipServiceKeyVaultKeyコマンドレットをもう一度実行して、この新しいキーの URI を指定します。If your tenant key is managed by you (BYOK): In Azure Key Vault, repeat your key creation process for your Azure Information Protection tenant, and then run the Use-AipServiceKeyVaultKey cmdlet again to specify the URI for this new key.

Azure Information Protection テナント キーの管理について詳しくは、「Azure Information Protection テナント キーに対する操作」を参照してください。For more information about managing your Azure Information Protection tenant key, see Operations for your Azure Information Protection tenant key.

次の手順Next steps

移行が完了した後は、デプロイ ロードマップを参照して、必要になる可能性があるその他のデプロイ タスクを確認します。Now that you have completed the migration, review the deployment roadmap to identify any other deployment tasks that you might need to do.