移行フェーズ 5 - 移行後のタスクMigration phase 5 - post migration tasks

*適用対象: Active Directory Rights Management サービス、 Azure Information ProtectionOffice 365**Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365*

*関連する内容:AIP の統合ラベル付けクライアントとクラシック クライアント**Relevant for: AIP unified labeling client and classic client*

AD RMS から Azure Information Protection への移行フェーズ 5 では、次の情報を使用してください。Use the following information for Phase 5 of migrating from AD RMS to Azure Information Protection. これらの手順では、「AD RMS から Azure Information Protection への移行」の手順 10 から手順 12 を説明します。These procedures cover steps 10 through 12 from Migrating from AD RMS to Azure Information Protection.

手順 10.Step 10. AD RMS のプロビジョニング解除Deprovision AD RMS

サービス接続ポイント (SCP) を Active Directory から削除し、コンピューターがオンプレミス Rights Management インフラストラクチャを検出しないようにします。Remove the Service Connection Point (SCP) from Active Directory to prevent computers from discovering your on-premises Rights Management infrastructure. 既存のクライアントを移行した場合、レジストリに (たとえば、移行スクリプトを実行して) 構成したリダイレクトがあるため、この操作は省略可能です。This is optional for the existing clients that you migrated because of the redirection that you configured in the registry (for example, by running the migration script). ただし、SCP を削除すると、移行の完了後に新しいクライアントと一部の RMS 関連サービスおよびツールは SCP を見つけられなくなります。However, removing the SCP prevents new clients and potentially RMS-related services and tools from finding the SCP when the migration is complete. この時点で、すべてのコンピューター接続は Azure Rights Management サービスにアクセスすることになります。At this point, all computer connections should go to the Azure Rights Management service.

SCP を削除するには、ドメイン エンタープライズ管理者としてログインしていることを確認し、次の手順を使用します。To remove the SCP, make sure that you are logged in as a domain enterprise administrator, and then use the following procedure:

  1. Active Directory Rights Management サービス コンソールで、AD RMS クラスターを右クリックし、[プロパティ] をクリックします。In the Active Directory Rights Management Services console, right-click the AD RMS cluster, and then click Properties.

  2. [SCP] タブをクリックします。Click the SCP tab.

  3. [SCP を変更する] チェック ボックスを選択します。Select the Change SCP check box.

  4. [現在の SCP を削除する] を選択して [OK] をクリックします。Select Remove Current SCP, and then click OK.

次に AD RMS サーバーのアクティビティを監視します。Now monitor your AD RMS servers for activity. たとえば、システム正常性レポートの要求の確認ServiceRequest テーブルの確認保護コンテンツに対するユーザー アクセスの監査などです。For example, check the requests in the System Health report, the ServiceRequest table or audit user access to protected content.

RMS クライアントがこれらのサーバーと通信していないこと、およびクライアントが Azure Information Protection を正常に使用していることを確認できたら、これらのサーバーから AD RMS サーバーの役割を削除できます。When you have confirmed that RMS clients are no longer communicating with these servers and that clients are successfully using Azure Information Protection, you can remove the AD RMS server role from these servers. 専用サーバーを使用している場合は、最初にサーバーをシャットダウンするときの警告手順を使用することをお勧めします。If you're using dedicated servers, you might prefer the cautionary step of first shutting down the servers for a period of time. この方法では、サービス継続性のためにこれらのサーバーを再起動する必要がある問題の報告が発生していないことを確認でき、クライアントが Azure Information Protection を使用していない理由を調査する時間を確保できます。This gives you time to make sure that there are no reported problems that might require you to restart these servers for service continuity while you investigate why clients are not using Azure Information Protection.

AD RMS サーバーのプロビジョニングを解除した後は、テンプレートとラベルを確認する機会を得ることができます。After yo have de-provisioned your AD RMS servers, you might want to take the opportunity to review your template and labels. たとえば、テンプレートをラベルに変換し、それらを統合して、ユーザーが選択したり、再構成したりすることができないようにします。For example, convert templates to labels, consolidate them so that users have fewer to choose from, or reconfigure them. これは、既定のテンプレートを発行するのにも適しています。This would also be a good time to publish default templates.

機密ラベルと統一されたラベル付けクライアントについては、Microsoft 365 security center、Microsoft 365 コンプライアンスセンター、Microsoft 365 Security & コンプライアンスセンターなどのラベル付け管理センターを使用してください。For sensitivity labels and the unified labeling client, use your labeling admin center, including the Microsoft 365 security center, Microsoft 365 compliance center, or the Microsoft 365 Security & Compliance Center. 詳細については、Microsoft 365 のドキュメントを参照してください。For more information, see the Microsoft 365 documentation.

クラシッククライアントを使用している場合は、Azure portal を使用します。If you're using the classic client, use the Azure portal. 詳細については、「Azure Information Protection のテンプレートを構成して管理する」を参照してください。For more information, see Configuring and managing templates for Azure Information Protection.

重要

この移行の終了時には、AD RMS クラスターを Azure Information Protection と hold your key (HYOK) オプションと共に使用することはできません。At the end of this migration, your AD RMS cluster cannot be used with Azure Information Protection and the hold your own key (HYOK) option.

HYOK でクラシッククライアントを使用している場合は、リダイレクトが配置されているため、使用する AD RMS クラスターには、移行したクラスターのライセンス Url が異なる必要があります。If you are using the classic client with HYOK, because of the redirections that are now in place, the AD RMS cluster that you use must have different licensing URLs to the ones in the clusters that you migrated.

Office 2010 を実行するコンピューターの追加構成Additional configuration for computers that run Office 2010

重要

Office 2010 の拡張サポートは、2020年10月13日に終了しました。Office 2010 extended support ended on October 13, 2020. 詳細については、「 AIP and Legacy Windows And Office versions」を参照してください。For more information, see AIP and legacy Windows and Office versions.

移行されたクライアントが Office 2010 を実行している場合、AD RMS サーバーがプロビジョニング解除された後で、保護されたコンテンツを開くときにユーザーが遅延することがあります。If migrated clients run Office 2010, users might experience delays in opening protected content after our AD RMS servers are de-provisioned. または、保護されたコンテンツを開くための資格情報がないというメッセージが表示されることがあります。Or, users might see messages that they don't have credentials to open protected content. これらの問題を解決するには、これらのコンピューターに対してネットワークリダイレクトを作成し、AD RMS URL FQDN をコンピューターのローカル IP アドレス (127.0.0.1) にリダイレクトします。To resolve these problems, create a network redirection for these computers, which redirects the AD RMS URL FQDN to the local IP address of the computer (127.0.0.1). これを行うには、各コンピューターでローカルホストファイルを構成するか、DNS を使用します。You can do this by configuring the local hosts file on each computer, or by using DNS.

  • ローカルホストファイルを使用 したリダイレクト: ローカルホストファイルに次の行を追加します。を <AD RMS URL FQDN> AD RMS クラスターの値に置き換えます。プレフィックスや web ページは含まれません。Redirection via local hosts file: Add the following line in the local hosts file, replacing <AD RMS URL FQDN> with the value for your AD RMS cluster, without prefixes or web pages:

    127.0.0.1 <AD RMS URL FQDN>
    
  • DNS を使用 したリダイレクト: AD RMS URL FQDN の新しいホスト (a) レコードを作成します。このレコードには、IP アドレス127.0.0.1 が使用されています。Redirection via DNS: Create a new host (A) record for your AD RMS URL FQDN, which has the IP address of 127.0.0.1.

手順 11.Step 11. クライアントの移行タスクを完了するComplete client migration tasks

モバイル デバイス クライアントおよび Mac コンピューターの場合: AD RMS モバイル デバイス拡張機能をデプロイするときに作成した DNS SRV レコードを削除します。For mobile device clients and Mac computers: Remove the DNS SRV records that you created when you deployed the AD RMS mobile device extension.

これらの DNS の変更が反映されると、これらのクライアントは Azure Rights Management サービスを自動的に検出して使用を開始します。When these DNS changes have propagated, these clients will automatically discover and start to use the Azure Rights Management service. ただし、Office Mac を実行する Mac コンピューターは、AD RMS からの情報をキャッシュに入れます。However, Mac computers that run Office Mac cache the information from AD RMS. これらのコンピューターの場合、このプロセスには最大で 30 日かかることがあります。For these computers, this process can take up to 30 days.

Mac コンピューターが検出プロセスを直ちに実行するようにするには、キーチェーンで "adal" を検索し、すべての ADAL エントリを削除します。To force Mac computers to run the discovery process immediately, in the keychain, search for "adal" and delete all ADAL entries. これらのコンピューターで次のコマンドを実行します。Then, run the following commands on these computers:


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

既存のすべての Windows コンピューターを Azure Information Protection に移行した後は、オンボーディング制御を使い続け、移行プロセス用に作成した AIPMigrated グループを残しておく理由はありません。When all your existing Windows computers have migrated to Azure Information Protection, there's no reason to continue to use onboarding controls and maintain the AIPMigrated group that you created for the migration process.

最初にオンボーディング制御を解除すると、AIPMigrated グループと、移行スクリプトをデプロイするために作成した任意のソフトウェア デプロイ方法を削除できます。Remove the onboarding controls first, and then you can delete the AIPMigrated group and any software deployment method that you created to deploy the migration scripts.

オンボーディング制御を解除するには:To remove the onboarding controls:

  1. PowerShell セッションで Azure Rights Management サービスに接続し、メッセージが表示されたら、グローバル管理者の資格情報を指定します。In a PowerShell session, connect to the Azure Rights Management service and when prompted, specify your global admin credentials:

    Connect-AipService
    
    
  2. Run the following command, and enter Y to confirm:

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
    

    このコマンドを実行すると、Azure Rights Management 保護サービスのライセンスの強制が解除され、すべてのコンピューターでドキュメントおよび電子メールを保護できるようになります。Note that this command removes any license enforcement for the Azure Rights Management protection service, so that all computers can protect documents and emails.

  3. オンボーディング制御が設定されていないことを確認します。Confirm that onboarding controls are no longer set:

    Get-AipServiceOnboardingControlPolicy
    

    出力で、LicenseFalse と表示され、SecurityGroupOjbectId に対して GUID が表示されないことを確認します。In the output, License should show False, and there is no GUID displayed for the SecurityGroupOjbectId

最後に、Office 2010 を使用していて、Windows タスク スケジューラ ライブラリで "AD RMS Rights Policy Template Management (Automated) (AD RMS 権利ポリシー テンプレート管理 (自動))" タスクを有効にしている場合、Azure Information Protection クライアントでは使用されていないため、このタスクを無効にします。Finally, if you are using Office 2010 and you have enabled the AD RMS Rights Policy Template Management (Automated) task in the Windows Task Scheduler library, disable this task because it is not used by the Azure Information Protection client.

通常、このタスクはグループ ポリシーを使用して有効にされ、AD RMS デプロイをサポートします。This task is typically enabled by using group policy and supports an AD RMS deployment. このタスクは、 Microsoft > Windows > Active Directory Rights Management サービス Client の場所にあります。You can find this task in the following location: Microsoft > Windows > Active Directory Rights Management Services Client.

重要

Office 2010 の拡張サポートは、2020年10月13日に終了しました。Office 2010 extended support ended on October 13, 2020. 詳細については、「 AIP and Legacy Windows And Office versions」を参照してください。For more information, see AIP and legacy Windows and Office versions.

手順 12.Step 12. Azure Information Protection テナント キーを再入力するRekey your Azure Information Protection tenant key

AD RMS のデプロイで RMS 暗号化モード1を使用していた場合、このモードでは1024ビットのキーと SHA-1 が使用されるため、この手順を実行する必要があります。This step is required when migration is complete if your AD RMS deployment was using RMS Cryptographic Mode 1 because this mode uses a 1024-bit key and SHA-1. この構成は、十分なレベルの保護を提供するものと見なされます。This configuration is considered to offer an inadequate level of protection. マイクロソフトは、1024ビットの RSA キーなどの下位キーの長さの使用を保証していません。また、SHA-1 など、不適切なレベルの保護を提供するプロトコルの使用については推奨しません。Microsoft doesn't endorse the use of lower key lengths such as 1024-bit RSA keys and the associated use of protocols that offer inadequate levels of protection, such as SHA-1.

キーを更新すると、RMS 暗号化モード2を使用する保護が適用され、その結果、2048ビットキーと SHA-256 が生成されます。Rekeying results in protection that uses RMS Cryptographic Mode 2, which results in a 2048-bit key and SHA-256.

AD RMS のデプロイで暗号化モード 2 が使用されている場合も、この手順を実行することをお勧めします。新しいキーは、AD RMS キーに対する潜在的なセキュリティ侵害からテナントを保護するのに役立つためです。Even if your AD RMS deployment was using Cryptographic Mode 2, we still recommend you do this step because a new key helps to protect your tenant from potential security breaches to your AD RMS key.

Azure Information Protection テナント キーの再入力を行うと ("キーをロールする" とも言われる)、現在アクティブなキーはアーカイブされ、Azure Information Protection は、指定した別のキーの使用を開始します。When you rekey your Azure Information Protection tenant key (also known as "rolling your key"), the currently active key is archived and Azure Information Protection starts to use a different key that you specify. この別のキーは、Azure Key Vault で自分で作成した新しいキーとすることも、テナント用に自動的に作成された既定のキーとすることもできます。This different key could be a new key that you create in Azure Key Vault, or the default key that was automatically created for your tenant.

あるキーから別のキーへの移動は、すぐには行われませんが、数週間かかります。Moving from one key to another doesn't happen immediately but over a few weeks. 即時には行われないために、元のキーの侵害が疑われるまで待たず、移行が完了したらすぐにこの手順を実行してください。Because it's not immediate, do not wait until you suspect a breach to your original key but do this step as soon as the migration is complete.

Azure Information Protection テナント キーを更新するには:To rekey your Azure Information Protection tenant key:

  • テナントキーが Microsoft によって管理されている場合: PowerShell コマンドレットの Set-AipServiceKeyProperties を実行し、テナント用に自動的に作成されたキーのキー識別子を指定します。If your tenant key is managed by Microsoft: Run the PowerShell cmdlet Set-AipServiceKeyProperties and specify the key identifier for the key that was automatically created for your tenant. 指定する値を特定するには、 Get AipServiceKeys コマンドレットを実行します。You can identify the value to specify by running the Get-AipServiceKeys cmdlet. テナント用に自動的に作成されたキーは作成日が最も古いので、次のコマンドを使用して識別することができます。The key that was automatically created for your tenant has the oldest creation date, so you can identify it by using the following command:

    (Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
    
  • テナントキーがユーザーによって管理されている場合 (BYOK): Azure Key Vault で、Azure Information Protection テナントのキー作成プロセスを繰り返してから、 AipServiceKeyVaultKey コマンドレットをもう一度実行して、この新しいキーの URI を指定します。If your tenant key is managed by you (BYOK): In Azure Key Vault, repeat your key creation process for your Azure Information Protection tenant, and then run the Use-AipServiceKeyVaultKey cmdlet again to specify the URI for this new key.

Azure Information Protection テナント キーの管理について詳しくは、「Azure Information Protection テナント キーに対する操作」を参照してください。For more information about managing your Azure Information Protection tenant key, see Operations for your Azure Information Protection tenant key.

次のステップNext steps

移行が完了したら、 分類、ラベル付け、保護に関する AIP の展開ロードマップ を確認し、必要に応じてその他の展開タスクを特定します。Now that you have completed the migration, review the AIP deployment roadmap for classification, labeling, and protection to identify any other deployment tasks that you might need to do.