AD RMS から Azure Information Protection への移行Migrating from AD RMS to Azure Information Protection

適用対象: Active Directory Rights Management サービス、Azure Information ProtectionOffice 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Active Directory Rights Management サービス (AD RMS) デプロイを Azure Information Protection に移行するには、以下の一連の手順を使います。Use the following set of instructions to migrate your Active Directory Rights Management Services (AD RMS) deployment to Azure Information Protection.

移行が済むと、AD RMS サーバーは使われなくなりますが、ユーザーは AD RMS を使って組織で保護されていたドキュメントやメール メッセージに引き続きアクセスできます。After the migration, your AD RMS servers are no longer in use but users still have access to documents and email messages that your organization protected by using AD RMS. 新しく保護されるコンテンツでは、Azure Information Protection の Azure Rights Management サービス (Azure RMS) が使われます。Newly protected content will use the Azure Rights Management service (Azure RMS) from Azure Information Protection.

この AD RMS の移行が組織にとって適切かどうかわからない場合は、次のようにしてください。Not sure whether this AD RMS migration is right for your organization?

以下のドキュメントは必須ではありませんが、移行を開始する前に読んでおくと役に立つ場合があります。Although not required, you might find it useful to read the following documentation before you start the migration. このナレッジによって、お客様の移行手順と関係のあるテクノロジが、どのような仕組みで動作するかを、より詳しく理解できます。This knowledge provides you with a better understanding of how the technology works when it is relevant to your migration step.

  • Azure Information Protection テナント キーを計画して実装する: クラウドで SLC キーと同等のキーを Microsoft が管理するか (既定)、ユーザーが管理するか ("Bring Your Own Key" (BYOK) 構成) という、Azure Information Protection テナントで利用できるキー管理オプションについて説明しています。Planning and implementing your Azure Information Protection tenant key: Understand the key management options that you have for your Azure Information Protection tenant where your SLC key equivalent in the cloud is either managed by Microsoft (the default) or managed by you (the "bring your own key", or BYOK configuration).

  • RMS サービスの検出: RMS クライアントのデプロイの注意事項に関するこのセクションでは、サービスの検出の順序がレジストリSCPクラウドであることを説明します。RMS service discovery: This section of the RMS client deployment notes explains that the order for service discovery is registry, then SCP, then cloud. SCP がインストールされている環境の移行プロセスでは、SCP から返される AD RMS クラスターを使用しないように、レジストリ設定で Azure Information Protection テナントのクライアントを構成します。During the migration process when the SCP is still installed, you configure clients with registry settings for your Azure Information Protection tenant so that they do not use the AD RMS cluster returned from the SCP.

  • Microsoft Rights Management コネクタの概要: RMS コネクタに関するドキュメントのこのセクションでは、オンプレミス サービスから Azure Rights Management サービスに接続してドキュメントと電子メールを保護する方法について説明しています。Overview of the Microsoft Rights Management connector: This section from the RMS connector documentation explains how your on-premises servers can connect to the Azure Rights Management service to protect documents and emails.

また、AD RMS のしくみを理解している場合は、Azure RMS のしくみを確認すると役立つことがあります。内部では、クラウドのバージョンと同じまたは異なるテクノロジプロセスを特定するのに役立ちます。In addition, if you are familiar with how AD RMS works, you might find it useful to read How does Azure RMS work? Under the hood to help you identify which technology processes are the same or different for the cloud version.

AD RMS から Azure Information Protection への移行の前提条件Prerequisites for migrating AD RMS to Azure Information Protection

Azure Information Protection への移行を始める前に、次の前提条件が満たされていること、および制限事項を理解していることを確認してください。Before you start the migration to Azure Information Protection, make sure that the following prerequisites are in place and that you understand any limitations.

  • サポートされる RMS のデプロイ:A supported RMS deployment:

    • AD RMS の次のリリースでは、Azure Information Protection への移行をサポートします。The following releases of AD RMS support a migration to Azure Information Protection:

      • Windows Server 2008 R2 (x64)Windows Server 2008 R2 (x64)

      • Windows Server 2012 (x64)Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)Windows Server 2016 (x64)

    • すべての有効な AD RMS トポロジがサポートされます。All valid AD RMS topologies are supported:

      • 単一フォレスト、単一 RMS クラスターSingle forest, single RMS cluster

      • 単一フォレスト、複数のライセンス専用 RMS クラスターSingle forest, multiple licensing-only RMS clusters

      • 複数フォレスト、複数 RMS クラスターMultiple forests, multiple RMS clusters

      注: 既定では、複数の AD RMS クラスターが Azure Information Protection の 1 つのテナントに移行します。Note: By default, multiple AD RMS clusters migrate to a single tenant for Azure Information Protection. 個別の Azure Information Protection テナントが必要な場合は、それぞれ異なる移行として処理する必要があります。If you want separate tenants for Azure Information Protection, you must treat them as different migrations. 1 つの RMS クラスターからのキーを、複数のテナントにインポートすることはできません。A key from one RMS cluster cannot be imported to more than one tenant.

  • Azure Information Protection のサブスクリプション (Azure Rights Management は非アクティブです) など、Azure Information Protection を実行するためのすべての要件:All requirements to run Azure Information Protection, including a subscription for Azure Information Protection (the Azure Rights Management service is not activated):

    Azure Information Protection の要件」をご覧ください。See Requirements for Azure Information Protection.

    Office 2010 を実行しているコンピューターを使用している場合は、これらのクライアントがクラウドに対してユーザーを認証する機能を提供するため、 Azure Information Protection クライアントまたは Azure Information Protection 統合されたラベル付けクライアントをインストールする必要があることに注意してください。サーヴィス.Note that if you have computers that run Office 2010, you must install the Azure Information Protection client or the Azure Information Protection unified labeling client for users, because these clients provide the ability to authenticate users to cloud services. 新しいバージョンの Office では、これらのクライアントは分類とラベル付けに必要であり、Azure Information Protection クライアントは省略可能ですが、データの保護のみを行う場合に推奨されます。For later versions of Office, these clients are required for classification and labeling, and the Azure Information Protection client is optional but recommended if you want to only protect data. 詳細については、 Azure Information Protection クライアントの管理者ガイドとAzure Information Protection 統合ラベル付けクライアントに関する情報を参照してください。For more information, see the admin guides for the Azure Information Protection client and the Azure Information Protection unified labeling client.

    AD RMS からの移行を行うには、その前に Azure Information Protection のサブスクリプションを用意しておく必要がありますが、移行を始める前はテナントの Rights Management サービスをアクティブにしないことをお勧めします。Although you must have a subscription for Azure Information Protection before you can migrate from AD RMS, we recommend that the Rights Management service for your tenant is not activated before you start the migration. 移行プロセスには、AD RMS からキーとテンプレートをエクスポートし、それらを Azure Information Protection のテナントにインポートした後の、このアクティブ化の手順が含まれています。The migration process includes this activation step after you have exported keys and templates from AD RMS and imported them to your tenant for Azure Information Protection. ただし、Rights Management サービスが既にアクティブ化されている場合でも、いくつかの追加手順を行って AD RMS から移行することができます。However, if the Rights Management service is already activated, you can still migrate from AD RMS with some additional steps.

  • Azure Information Protection の準備:Preparation for Azure Information Protection:

  • AD RMS で Exchange Server (たとえば、トランスポート ルールと Outlook Web Access) または SharePoint Server の Information Rights Management (IRM) 機能を使用していた場合:If you have used the Information Rights Management (IRM) functionality of Exchange Server (for example, transport rules and Outlook Web Access) or SharePoint Server with AD RMS:

    • 短時間これらのサーバーで IRM が利用できなくなることを予定しておきます。Plan for a short period of time when IRM will not be available on these servers

      移行後もこれらのサーバーで IRM を引き続き使用できます。You can continue to use IRM on these servers after the migration. ただし、移行手順には、IRM サービスの一時的な無効化、コネクタのインストールと構成、サーバーの再構成、IRM の再有効化が含まれます。However, one of the migration steps is to temporarily disable the IRM service, install and configure a connector, reconfigure the servers, and then re-enable IRM.

      移行プロセス中にサービスが中断するのはこのときだけです。This is the only interruption to service during the migration process.

  • HSM で保護されたキーを使用して自分で Azure Information Protection テナント キーを管理する場合:If you want to manage your own Azure Information Protection tenant key by using an HSM-protected key:

    • このオプション構成では、Azure Key Vault と、HSM で保護されたキーを保持する Key Vault をサポートする Azure サブスクリプションが必要です。This optional configuration requires Azure Key Vault and an Azure subscription that supports Key Vault with HSM-protected keys. 詳細については、Azure Key Vault の価格のページを参照してください。For more information, see the Azure Key Vault Pricing page.

暗号化モードに関する注意事項Cryptographic mode considerations

AD RMS クラスターが現在暗号化モード 1 の場合は、移行を開始する前にクラスターを 暗号化モード 2 にアップグレードしないでください。If your AD RMS cluster is currently in Cryptographic Mode 1, do not upgrade the cluster to Cryptographic Mode 2 before you start the migration. 代わりに暗号化モード 1 を使用して移行し、移行後タスクの 1 つとして移行の終了時にテナント キーを更新できます。Instead, migrate using Cryptographic Mode 1 and you can rekey your tenant key at the end of the migration, as one of the post migration tasks.

AD RMS 暗号化モードを確認するには:To confirm the AD RMS cryptographic mode:

移行の制限Migration limitations

  • Azure Information Protection で使われる Rights Management サービスによってサポートされていないソフトウェアやクライアントでは、Azure Rights Management によって保護されているコンテンツを保護または使用できません。If you have software and clients that are not supported by the Rights Management service that is used by Azure Information Protection, they will not be able to protect or consume content that is protected by Azure Rights Management. Azure Information Protection の要件」の「サポートされているアプリケーションとクライアント」セクションを必ず確認してください。Be sure to check the supported applications and clients sections from Requirements for Azure Information Protection.

  • AD RMS デプロイが外部のパートナーと (たとえば、信頼されたユーザー ドメインやフェデレーションを使用して) コラボレーションするように構成されている場合は、同時にまたは可能な限り速やかにパートナーも Azure Information Protection に移行する必要があります。If your AD RMS deployment is configured to collaborate with external partners (for example, by using trusted user domains or federation), they must also migrate to Azure Information Protection either at the same time as your migration, or as soon as possible afterwards. 移行前に Azure Information Protection を使用して保護されていたコンテンツに引き続きアクセスするには、外部パートナーも同じようにこのドキュメントで説明されているクライアント構成の変更を行う必要があります。To continue to access content that your organization previously protected by using Azure Information Protection, they must make client configuration changes that are similar to those that you make, and included in this document.

    パートナーの構成は異なる可能性があるので、このドキュメントで再構成を正確に説明することはできません。Because of the possible configuration variations that your partners might have, exact instructions for this reconfiguration are out of scope for this document. ただし、次のセクションの計画ガイドラインを参照し、詳細を Microsoft サポートにお問い合わせください。However, see the next section for planning guidance and for additional help, contact Microsoft Support.

外部のパートナーとコラボレーションしている場合の移行計画Migration planning if you collaborate with external partners

AD RMS パートナーも Azure Information Protection に移行する必要があるため、移行の計画フェーズにパートナーを含めます。Include your AD RMS partners in your planning phase for migration because they must also migrate to Azure Information Protection. 後述する移行手順を実行する前に、次の要件が満たされていることを確認します。Before you do any of the following migration steps, make sure that the following is in place:

  • パートナーが、Azure Rights Management サービスをサポートする Azure Active Directory テナントを持っていること。They have an Azure Active Directory tenant that supports the Azure Rights Management service.

    たとえば、Office 365 E3 または E5 サブスクリプション、Enterprise Mobility + Security サブスクリプション、Azure Information Protection のスタンドアロン サブスクリプションなどが必要です。For example, they have an Office 365 E3 or E5 subscription, or an Enterprise Mobility + Security subscription, or a standalone subscription for Azure Information Protection.

  • パートナーの Azure Rights Management サービスはまだアクティブ化されていないが、Azure Rights Management サービスの URL はわかっていること。Their Azure Rights Management service is not yet activated but they know their Azure Rights Management service URL.

    この情報を取得するには、Azure Rights Management ツールをインストールし、サービスに接続し (接続-AipService)、azure Rights Management サービスのテナント情報を表示します (AipServiceConfiguration).They can get this information by installing the Azure Rights Management Tool, connecting to the service (Connect-AipService), and then viewing their tenant information for the Azure Rights Management service (Get-AipServiceConfiguration).

  • パートナーの AD RMS で保護されたコンテンツへの要求をパートナーのテナントの Azure Rights Management サービスにリダイレクトするよう、移行後のクライアントを構成できるように、パートナーの AD RMS クラスターの URL と Azure Rights Management サーバーの URL をパートナーから提供されていること。They provide you with the URLs for their AD RMS cluster and their Azure Rights Management service URL, so that you can configure your migrated clients to redirect requests for their AD RMS protected content to their tenant's Azure Rights Management service. クライアントのリダイレクトを構成する手順については、手順 7 で説明します。Instructions for configuring client redirection are in step 7.

  • こちら側のユーザーの移行を始める前に、パートナーが AD RMS クラスターのルート キー (SLC) をテナントにインポートしていること。They import their AD RMS cluster root keys (SLC) into their tenant before you start to migrate your users. 同様に、パートナーが自分たちのユーザーの移行を始める前に、こちら側の AD RMS クラスターのルート キーをインポートしておく必要があります。Similarly, you must import your AD RMS cluster root keys before they start to migrate their users. キーをインポートする手順については、移行プロセスの手順4を参照してください。構成データを AD RMS からエクスポートし、Azure Information Protection にインポートします。Instructions for importing the key are covered in this migration process, Step 4. Export configuration data from AD RMS and import it to Azure Information Protection.

AD RMS から Azure Information Protection への移行手順の概要Overview of the steps for migrating AD RMS to Azure Information Protection

移行手順は 5 つのフェーズに分けることができ、異なるタイミングで、異なる管理者によって実行できます。The migration steps can be divided into five phases that can be done at different times, and by different administrators.

フェーズ 1: 移行の準備PHASE 1: MIGRATION PREPARATION

  • 手順 1: AIPService PowerShell モジュールをインストールし、テナントの URL を指定するStep 1: Install the AIPService PowerShell module and identify your tenant URL

    移行プロセスでは、AIPService モジュールから1つまたは複数の PowerShell コマンドレットを実行する必要があります。The migration process requires you to run one or more of the PowerShell cmdlets from the AIPService module. 多くの移行手順を完了するには、テナントの Azure Rights Management サービス URL が必要です。この値は、PowerShell を使って特定することができます。You will need to know your tenant's Azure Rights Management service URL to complete many of the migration steps, and you can identity this value by using PowerShell.

  • 手順 2.クライアントの移行の準備Step 2. Prepare for client migration

    すべてのクライアントを一度に移行できず、少しずつ移行する場合は、オンボーディング制御を使い、移行前スクリプトをデプロイします。If you cannot migrate all clients at once and will migrate them in batches, use onboarding controls and deploy a pre-migration script. ただし、段階的な移行ではなく同時にすべてを移行する場合は、この手順をスキップできます。However, if you will migrate everything at the same time rather than do a phased migration, you can skip this step.

  • 手順 3: Exchange の展開を移行用に準備するStep 3: Prepare your Exchange deployment for migration

    この手順は、現在 Exchange Online またはオンプレミスの Exchange の IRM 機能を使ってメールを保護している場合に必要です。This step is required if you currently use the IRM feature of Exchange Online or Exchange on-premises to protect emails. ただし、段階的な移行ではなく同時にすべてを移行する場合は、この手順をスキップできます。However, if you will migrate everything at the same time rather than do a phased migration, you can skip this step.

フェーズ 2: AD RMS のサーバー側の構成PHASE 2: SERVER-SIDE CONFIGURATION FOR AD RMS

  • 手順 4.構成データを AD RMS からエクスポートして Azure Information Protection にインポートするStep 4. Export configuration data from AD RMS and import it to Azure Information Protection

    構成データ (キー、テンプレート、Url) を AD RMS から XML ファイルにエクスポートし、そのファイルを Azure Information Protection から Azure Rights Management サービスにアップロードするには、Import-AipServiceTpd PowerShell コマンドレットを使用します。You export the configuration data (keys, templates, URLs) from AD RMS to an XML file, and then upload that file to the Azure Rights Management service from Azure Information Protection, by using the Import-AipServiceTpd PowerShell cmdlet. 次に、Azure Rights Management サービスのテナント キーとして使用するインポート済みのサーバー ライセンサー証明書 (SLC) キーを指定します。Then, identify which imported Server Licensor Certificate (SLC) key to use as your tenant key for the Azure Rights Management service. AD RMS のキー構成によっては、追加の手順が必要になる可能性があります。Additional steps might be needed, depending on your AD RMS key configuration:

    • ソフトウェアで保護されているキーからソフトウェアで保護されているキーへの移行:Software-protected key to software-protected key migration:

      AD RMS の一元管理されたパスワード ベースのキーを、Microsoft が管理する Azure Information Protection テナント キーに移行します。Centrally managed, password-based keys in AD RMS to Microsoft-managed Azure Information Protection tenant key. これは、最も簡単な移行パスであり、追加の手順は必要ありません。This is the simplest migration path and no additional steps are required.

    • HSM で保護されているキーから HSM で保護されているキーへの移行:HSM-protected key to HSM-protected key migration:

      AD RMS 用の HSM により保存されているキーを、顧客管理の Azure Information Protection テナント キーに移行します ("Bring Your Own Key" つまり BYOK シナリオ)。Keys that are stored by an HSM for AD RMS to customer-managed Azure Information Protection tenant key (the “bring your own key” or BYOK scenario). これには、オンプレミスの nCipher HSM から Azure Key Vault にキーを転送し、このキーを使用するように Azure Rights Management サービスを承認するための追加の手順が必要です。This requires additional steps to transfer the key from your on-premises nCipher HSM to Azure Key Vault and authorize the Azure Rights Management service to use this key. HSM で保護されている既存のキーは、モジュールで保護する必要があります。OCS で保護されているキーは、Rights Management サービスでサポートされていません。Your existing HSM-protected key must be module-protected; OCS-protected keys are not supported by Rights Management services.

    • ソフトウェアで保護されているキーから HSM で保護されているキーへの移行:Software-protected key to HSM-protected key migration:

      AD RMS の一元管理されたパスワード ベースのキーを、顧客が管理する Azure Information Protection テナント キーに移行します (“bring your own key” つまり BYOK シナリオ)。Centrally managed, password-based keys in AD RMS to customer-managed Azure Information Protection tenant key (the “bring your own key” or BYOK scenario). これには、最初にソフトウェアキーを抽出してオンプレミスの HSM にインポートし、オンプレミスの nCipher HSM から Azure Key Vault HSM にキーを転送して Azure の権利を承認するための追加手順を実行する必要があるため、ほとんどの構成が必要です。キーを格納する key vault を使用する管理サービス。This requires the most configuration because you must first extract your software key and import it to an on-premises HSM, and then do the additional steps to transfer the key from your on-premises nCipher HSM to an Azure Key Vault HSM and authorize the Azure Rights Management service to use the key vault that stores the key.

  • 手順 5.Azure Rights Management サービスをアクティブ化するStep 5. Activate the Azure Rights Management service

    可能であれば、インポート処理の前ではなく後に、この手順を実行します。If possible, do this step after the import process and not before. インポート前にこのサービスをアクティブした場合は、追加の手順が必要になります。Additional steps are required if the service was activated before the import.

  • 手順 6.インポートされたテンプレートの構成Step 6. Configure imported templates

    権限ポリシー テンプレートをインポートするときに、それらの状態がアーカイブされます。When you import your rights policy templates, their status is archived. ユーザーが権限ポリシー テンプレートを表示および使用できるようにする場合は、Azure クラシック ポータルでテンプレートの状態を公開に変更する必要があります。If you want users to be able to see and use them, you must change the template status to be published in the Azure classic portal.

フェーズ 3: クライアント側の構成PHASE 3: CLIENT-SIDE CONFIGURATION

  • 手順 7: Azure Information Protection を使用するように Windows コンピューターを再構成するStep 7: Reconfigure Windows computers to use Azure Information Protection

    既存の Windows コンピューターを、AD RMS ではなく Azure Rights Management サービスを使うように再構成する必要があります。Existing Windows computers must be reconfigured to use the Azure Rights Management service instead of AD RMS. この手順は、自分の組織内のコンピューターに適用されるだけでなく、AD RMS を実行していた間に外部パートナーとコラボレーションしていた場合はパートナー組織のコンピューターにも適用されます。This step applies to computers in your organization, and to computers in partner organizations if you have collaborated with them while you were running AD RMS.

フェーズ 4: サポート サービスの構成PHASE 4: SUPPORTING SERVICES CONFIGURATION

  • 手順 8: IRM と Exchange Online の統合を構成するStep 8: Configure IRM integration for Exchange Online

    この手順では、Exchange Online の AD RMS への移行を完了し、Azure Rights Management サービスを使うようにします。This step completes the AD RMS migration for Exchange Online to now use the Azure Rights Management service.

  • 手順 9: Exchange サーバーおよび SharePoint サーバー用に IRM 統合を構成するStep 9: Configure IRM integration for Exchange Server and SharePoint Server

    この手順では、オンプレミスの Exchange または SharePoint の AD RMS への移行を完了し、Azure Rights Management サービスを使うようにします。これには、Rights Management コネクタをデプロイする必要があります。This step completes the AD RMS migration for Exchange or SharePoint on-premises to now use the Azure Rights Management service, which requires deploying the Rights Management connector.

フェーズ 5: 移行後のタスクPHASE 5: POST MIGRATION TASKS

  • 手順 10: AD RMS のプロビジョニング解除Step 10: Deprovision AD RMS

    すべての Windows コンピューターが Azure Rights Management サービスを使っていて、AD RMS サーバーにアクセスしていないことを確認した後は、AD RMS デプロイをプロビジョニング解除できます。When you have confirmed that all Windows computers are using the Azure Rights Management service and are no longer accessing your AD RMS servers, you can deprovision your AD RMS deployment.

  • 手順 11: クライアントの移行タスクを完了するStep 11: Complete client migration tasks

    iOS 搭載の携帯電話や iPad、Android 携帯電話とタブレット、Windows 携帯電話とタブレット、Mac コンピューターなどのモバイル デバイスをサポートするモバイル デバイス拡張機能をデプロイしてある場合は、これらのクライアントが AD RMS を使うようにリダイレクトした SRV レコードを DNS から削除する必要があります。If you have deployed the mobile device extension to support mobile devices such as iOS phones and iPads, Android phones and tablets, Windows phones and tablets, and Mac computers, you must remove the SRV records in DNS that redirected these clients to use AD RMS.

    準備フェーズ中に構成したオンボーディング制御はもう必要ありません。The onboarding controls that you configured during the preparation phase are no longer needed. ただし、段階的な移行ではなく、同時にすべてを移行することを選んだためにオンボーディング制御を使用しなかった場合は、この手順をスキップしてオンボーディング制御を削除することができます。However, if you did not use onboarding controls because you chose to migrate everything at the same time rather than do a phased migration, you can skip the instructions to remove the onboarding controls.

    Windows コンピューターで Office 2010 を実行している場合は、"AD RMS Rights Policy Template Management (Automated) (AD RMS 権利ポリシー テンプレート管理 (自動)) " タスクを無効にする必要があるかどうかを確認します。If your Windows computers are running Office 2010, check whether you need to disable the AD RMS Rights Policy Template Management (Automated) task.

  • 手順 12: Azure Information Protection テナント キーを更新するStep 12: Rekey your Azure Information Protection tenant key

    移行前に暗号化モード 2 で実行されていない場合は、この手順の使用をお勧めします。This step is recommended if you were not running in Cryptographic Mode 2 before the migration.

次のステップNext steps

移行を始めるには、「フェーズ 1 - 準備」に進んでください。To start the migration, go to Phase 1 - preparation.