Rights Management サービスクライアントの展開に関する注意事項Rights Management Service client deployment notes

適用対象: Active Directory Rights Management サービス、Azure Information Protection、Windows 7 SP1、Windows 8、Windows 8.1、Windows 10、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 7 with SP1, Windows 8, Windows 8.1, Windows 10, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016

Rights Management サービス クライアント (RMS クライアント) バージョン 2 は、MSIPC クライアントとも呼ばれます。The Rights Management Service client (RMS client) version 2 is also known as the MSIPC client. Microsoft Rights Management サービスと通信する Windows コンピューター (オンプレミスまたはクラウド) 用のソフトウェアであり、組織内または管理対象外の組織内における、アプリケーションとデバイスを行き来する情報へのアクセスや使用を保護することができます。It is software for Windows computers that communicates with Microsoft Rights Management services on-premises or in the cloud to help protect access to and usage of information as it flows through applications and devices, within the boundaries of your organization, or outside those managed boundaries.

RMS クライアントは Windows 用 Azure Information Protection クライアントに付属していますが、必要に応じてダウンロードすることもできます。これはライセンス契約書に同意すれば、サードパーティ製ソフトウェアと一緒に自由に配布できます。これにより、クライアントは Rights Management サービスで保護済みのコンテンツを保護して使用することができます。In addition to shipping with the Azure Information Protection client for Windows, the RMS client is available as an optional download that can, with acknowledgment and acceptance of its license agreement, be freely distributed with third-party software so that clients can protect and consume content that has been protected by Rights Management services.

RMS クライアントの再配布Redistributing the RMS client

RMS クライアントは自由に再配布でき、他のアプリケーションや IT ソリューションにバンドルできます。The RMS client can be freely redistributed and bundled with other applications and IT solutions. アプリケーション開発者やソリューション プロバイダーには、RMS クライアントを再配布する 2 つのオプションがあります。If you are an application developer or solution provider and want to redistribute the RMS client, you have two options:

  • 推奨: お使いのアプリケーションに RMS クライアントのインストーラーを組み込み、それをサイレント モード ( /quiet スイッチ。次のセクションで詳細を説明します) で実行することをお勧めします。Recommended: Embed the RMS client installer in your application installation and run it in silent mode (the /quiet switch, detailed in the next section).

  • RMS クライアントがお使いのアプリケーションの前提条件を満たすことを確認します。Make the RMS client a prerequisite for your application. このオプションを使用する場合、ユーザーがアプリケーションを使用する前に、ユーザーのコンピューターにおいてクライアントを追加、インストール、更新する手順をユーザーに提供する必要がある場合があります。With this option, you might need to provide users with additional instructions for them to obtain, install, and update their computers with the client before they can use your application.

RMS クライアントのインストールInstalling the RMS client

RMS クライアントは、setup_msipc_ <arch> .exe という名前のインストーラー実行可能ファイルの中に含まれています。 <arch> は、x86 (32 ビット クライアント コンピューターの場合) または x64 (64 ビット クライアント コンピューターの場合) になります。The RMS client is contained in an installer executable file named setup_msipc_<arch>.exe, where <arch> is either x86 (for 32-bit client computers) or x64 (for 64-bit client computers). 64 ビット (x64) のインストーラー パッケージでは、64 ビット オペレーティング システムのインストールで実行される 32 ビット アプリケーションとの互換用 32 ビット実行可能ファイルと、ネイティブの 64 ビット アプリケーションをサポートするための 64 ビット ランタイム実行可能ファイルの両方がインストールされます。The 64-bit (x64) installer package installs both a 32-bit runtime executable for compatibility with 32-bit applications that run on a 64-bit operating system installation, as well as a 64-bit runtime executable for supporting native 64-bit applications. 32 ビット (x86) インストーラーは、64 ビットの Windows インストールでは実行されません。The 32-bit (x86) installer does not run on a 64-bit Windows installation.

注意

RMS クライアントのインストールには、ローカル コンピューターの Administrators グループのメンバーなど、管理者特権が必要です。You must have elevated privileges to install the RMS client, such as a member of the Administrators group on the local computer.

RMS クライアントをインストールするには、次のインストール方法のいずれかを使用します。You can install the RMS client by using either of the following installation methods:

  • サイレント モード。Silent mode. コマンドライン オプションの一部に /quiet スイッチを使用することで、サイレント モードで RMS クライアントをコンピューターにインストールできます。By using the /quiet switch as part of the command-line options, you can silently install the RMS client on computers. 次の例は、64 ビット クライアント コンピューターでの RMS クライアントのサイレント モード インストールを示しています。The following example shows a silent mode installation for the RMS client on a 64-bit client computer:

    setup_msipc_x64.exe /quiet
    
  • 対話型モード。Interactive mode. または、RMS クライアントのインストール ウィザードによって提供される GUI ベースのセットアップ プログラムを使用して、RMS クライアントをインストールすることができます。Alternately, you can install the RMS client by using the GUI-based setup program that's provided by the RMS Client Installation wizard. 対話型インストールを行うには、ローカル コンピューターにコピーまたはダウンロードされたフォルダー内の RMS クライアントのインストーラー パッケージ (setup_msipc_ <arch> .exe) をダブルクリックします。To install interactively, double-click the RMS client installer package (setup_msipc_<arch>.exe) in the folder to which it was copied or downloaded on your local computer.

RMS クライアントに関する質問と回答Questions and answers about the RMS client

次のセクションには、RMS クライアントについてよく寄せられる質問、およびそれらに対する回答が示されています。The following section contains frequently asked questions about the RMS client and the answers to them.

RMS クライアントはどのオペレーティング システムでサポートされますか。Which operating systems support the RMS client?

RMS クライアントは、次のオペレーティング システムでサポートされます。The RMS client is supported with the following operating systems:

Windows サーバー オペレーティング システムWindows Server Operating System Windows クライアント オペレーティング システムWindows Client Operating System
Windows Server 2016Windows Server 2016 Windows 10Windows 10
Windows Server 2012 R2Windows Server 2012 R2 Windows 8。1Windows 8.1
Windows Server 2012Windows Server 2012 Windows 8Windows 8
Windows Server 2008 R2Windows Server 2008 R2 Windows 7 SP1 以降Windows 7 with minimum of SP1

RMS クライアントはどのプロセッサまたはプラットフォームでサポートされますか。Which processors or platforms support the RMS client?

RMS クライアントは、x86 および x64 のコンピューティング プラットフォームでサポートされます。The RMS client is supported on x86 and x64 computing platforms.

RMS クライアントはどこにインストールされますか。Where is the RMS client installed?

既定では、RMS クライアントは %ProgramFiles%\Active Directory Rights Management Services Client 2.<マイナー バージョン番号> にインストールされます。By default, the RMS client is installed in %ProgramFiles%\Active Directory Rights Management Services Client 2.<minor version number>.

どのファイルが RMS クライアント ソフトウェアに関連したファイルですか。What files are associated with the RMS client software?

次のファイルが RMS クライアント ソフトウェアの一部としてインストールされます。The following files are installed as part of the RMS client software:

  • Msipc.dllMsipc.dll

  • Ipcsecproc.dllIpcsecproc.dll

  • Ipcsecproc_ssp.dllIpcsecproc_ssp.dll

  • MSIPCEvents.manMSIPCEvents.man

これらのファイルに加えて、RMS クライアント インストールにより、44 言語の多言語ユーザー インターフェイス (MUI) のサポート ファイルもインストールされます。In addition to these files, the RMS client also installs multilingual user interface (MUI) support files in 44 languages. サポートされている言語を確認するには、RMS クライアントのインストールを実行し、インストールが完了したら、既定のパスにある多言語サポート フォルダーの内容を確認します。To verify the languages supported, run the RMS client installation and when the installation is complete, review the contents of the multilingual support folders under the default path.

サポートされているオペレーティング システムをインストールする際に、RMS クライアントは既定で含まれますか。Is the RMS client included by default when I install a supported operating system?

いいえ。No. このバージョンの RMS クライアントは、Microsoft Windows オペレーティング システムのサポートされたバージョンを実行しているコンピューターに個別にインストールできる、オプションのダウンロードとして出荷されます。This version of the RMS client ships as an optional download that can be installed separately on computers running supported versions of the Microsoft Windows operating system.

RMS クライアントは Microsoft Update によって自動的に更新されますか。Is the RMS client automatically updated by Microsoft Update?

サイレント インストール オプションを使用してこの RMS クライアントをインストールした場合、RMS クライアントは、現在の Microsoft Update の設定を継承します。If you installed this RMS client by using the silent installation option, the RMS client inherits your current Microsoft Update settings. GUI ベースのセットアップ プログラムを使用して RMS クライアントをインストールした場合は、RMS クライアントのインストール ウィザードに、Microsoft Update を有効にするかどうかを確認するメッセージが表示されます。If you installed the RMS client by using the GUI-based setup program, the RMS client installation wizard prompts you to enable Microsoft Update.

RMS クライアントの設定RMS client settings

次のセクションには、RMS クライアントに関する設定情報が含まれています。The following section contains settings information about the RMS client. この情報は、RMS クライアントを使用するアプリケーションまたはサービスに問題がある場合に役に立つ場合があります。This information might be helpful if you have problems with applications or services that use the RMS client.

注意

一部の設定は、RMS 対応アプリケーションが、クライアント モードのアプリケーション (Microsoft Word、Outlook、Azure Information Protection クライアントとエクスプローラーなど)、またはサーバー モードのアプリケーション (SharePoint および Exchange など) として実行するかどうかによって変わります。Some settings depend on whether the RMS-enlightened application runs as a client mode application (such as Microsoft Word and Outlook, or the Azure Information Protection client with Windows File Explorer), or server mode application (such as SharePoint and Exchange). 次の表では、これらの設定は クライアント モードサーバー モードとして区別されています。In the following tables, these settings are identified as Client Mode and Server Mode, respectively.

RMS クライアントのライセンスはクライアント コンピューターのどこに保存されますか。Where the RMS client stores licenses on client computers

RMS クライアントのライセンスはローカル ディスクに格納されます。また、Windows レジストリにも一部の情報がキャッシュされます。The RMS client stores licenses on the local disk and also caches some information in the Windows registry.

[説明]Description クライアント モードのパスClient Mode Paths サーバー モードのパスServer Mode Paths
ライセンスの格納場所License store location %localappdata%\Microsoft\MSIPC%localappdata%\Microsoft\MSIPC %allusersprofile%\Microsoft\MSIPC\Server\ <SID>%allusersprofile%\Microsoft\MSIPC\Server\<SID>
テンプレートの格納場所Template store location %localappdata%\Microsoft\MSIPC\Templates%localappdata%\Microsoft\MSIPC\Templates %allusersprofile%\Microsoft\MSIPC\Server\ <SID>%allusersprofile%\Microsoft\MSIPC\Server\<SID>
レジストリの場所Registry location HKEY_CURRENT_USERHKEY_CURRENT_USER
\Software\Software
\Classes\Classes
\Local Settings\Local Settings
\Software\Software
\Microsoft\Microsoft
\MSIPC\MSIPC
HKEY_CURRENT_USERHKEY_CURRENT_USER
\Software\Software
\Microsoft\Microsoft
\MSIPC\MSIPC
\Server\Server
\ <SID>\<SID>

注意

<SID> は、サーバー アプリケーションを実行しているアカウントのセキュリティ識別子 (SID) です。<SID> is the secure identifier (SID) for the account under which the server application is running. たとえば、アプリケーションが組み込みの Network Service アカウントで実行されている場合、 <SID> をそのアカウントの既知の SID (S-1-5-20) の値に置き換えます。For example, if the application is running under the built-in Network Service account, replace <SID> with the value of the well-known SID for that account (S-1-5-20).

RMS クライアントの Windows レジストリ設定Windows registry settings for the RMS client

Windows レジストリ キーを使用して、一部の RMS クライアントの構成を設定または変更することができます。You can use Windows registry keys to set or modify some RMS client configurations. たとえば、AD RMS サーバーと通信する RMS 対応のアプリケーションの管理者は、エンタープライズ サービスの場所を更新する (発行用に現在選択されている AD RMS サーバーをオーバーライドする) ことをお勧めします。これは、Active Directory トポロジ内のクライアント コンピューターの場所により異なります。For example, as an administrator for RMS-enlightened applications that communicate with AD RMS servers, you might want to update the enterprise service location (override the AD RMS server that is currently selected for publishing) depending on the client computer's current location within your Active Directory topology. または、クライアント コンピューターでの RMS のトレースを有効にすることをお勧めします。これは、RMS 対応アプリケーションで発生する問題のトラブルシューティングに役立ちます。Or, you might want to enable RMS tracing at the client computer, to help troubleshoot a problem with an RMS-enlightened application. 次の表を使用して、RMS クライアント用に変更できるレジストリ設定を特定します。Use the following table to identify the registry settings that you can change for the RMS client.

作業Task [設定]Settings
クライアントがバージョン 1.03102.0221 以降の場合:If the client is version 1.03102.0221 or later:

アプリケーション データ収集を制御するにはTo control application data collection
重要: ユーザーのプライバシーを保証するために、管理者は、データ収集を有効にする前にユーザーに同意を求める必要があります。Important: In order to honor user privacy, you as the administrator, must ask the user for consent before enabling data collection.

データ収集を有効にすると、インターネット経由で Microsoft にデータを送信することに同意したことになります。If you enable data collection, you are agreeing to send data to Microsoft over the internet. Microsoft では、Microsoft 製品およびサービスの品質、セキュリティおよび整合性を向上するためにこのデータを使用します。Microsoft uses this data to provide and improve the quality, security, and integrity of Microsoft products and services. たとえば、ユーザーが使用している機能、その機能の反応速度、デバイスのパフォーマンス、ユーザー インターフェイスの操作、製品の使用時に発生した問題など、パフォーマンスと信頼性を分析しています。For example, Microsoft analyzes performance and reliability, such as what features you use, how quickly the features respond, device performance, user interface interactions, and any problems you experience with the product. データには、ユーザーが現在実行しているソフトウェアや IP アドレスなど、ソフトウェアの構成に関する情報も含まれます。Data also includes information about the configuration of your software, such as the software that you are currently running, and the IP address.

バージョン 1.0.3356 またはそれ以降:For version 1.0.3356 or later:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPCHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD: DiagnosticAvailabilityREG_DWORD: DiagnosticAvailability

バージョン 1.0.3356 以前:For versions before 1.0.3356:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPCHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft\MSIPC
REG_DWORD: DiagnosticStateREG_DWORD: DiagnosticState

値: 環境プロパティ IPC_EI_DATA_COLLECTION_ENABLED を使用して定義したアプリケーションの場合は 0 (既定値)、無効な場合は 1、有効な場合は 2 になります。Value: 0 for Application defined (default) by using the environment property IPC_EI_DATA_COLLECTION_ENABLED, 1 for Disabled, 2 for Enabled

: 32 ビット MSIPC ベースのアプリケーションが 64 ビット版の Windows で実行されている場合、場所は HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC になります。Note: If your 32-bit MSIPC-based application is running on a 64-bit version of Windows, the location is HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC.
AD RMS のみ:AD RMS only:

クライアント コンピューターのエンタープライズ サービスの場所を更新するにはTo update the enterprise service location for a client computer
次のレジストリ キーを更新します。Update the following registry keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterpriseCertificationHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterpriseCertification
REG_SZ: 既定REG_SZ: default

値: <http または https>://RMS_Cluster_Name/_wmcs/CertificationValue:<http or https>://RMS_Cluster_Name/_wmcs/Certification

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterprisePublishingHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation\EnterprisePublishing
REG_SZ: 既定REG_SZ: default

値: <http または https>://RMS_Cluster_Name/_wmcs/LicensingValue: <http or https>://RMS_Cluster_Name/_wmcs/Licensing
トレースを有効化または無効化するにはTo enable and disable tracing 次のレジストリ キーを更新します。Update the following registry key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPCHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC
REG_DWORD: トレースREG_DWORD: Trace

Value: トレースを有効にする場合は 1、トレースを無効にする場合は 0 (既定値)Value: 1 to enable tracing, 0 to disable tracing (default)
テンプレートを更新する頻度 (日単位) を変更するにはTo change the frequency in days to refresh templates TemplateUpdateFrequencyInSeconds 値が設定されていない場合、次のレジストリ値でユーザーのコンピューターでのテンプレートの更新頻度を指定します。The following registry values specify how often templates refresh on the user’s computer if the TemplateUpdateFrequencyInSeconds value is not set. これらの値のどちらも設定されていない場合は、RMS クライアント (バージョン 1.0.1784.0) を使用するアプリケーションがテンプレートをダウンロードする既定の更新間隔は 1 日です。If neither of these values are set, the default refresh interval for applications using the RMS client (version 1.0.1784.0) to download templates is 1 day. これより前のバージョンでは、既定は 7 日ごとです。Prior versions have a default value of every 7 days.

クライアント モード:Client Mode:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPCHKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: TemplateUpdateFrequencyREG_DWORD: TemplateUpdateFrequency

Value: ダウンロード間の日数 (最小値は 1) を指定する整数値。Value: An integer value that specifies the number of days (minimum of 1) between downloads.

サーバー モード:Server Mode:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<SID>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<SID>
REG_DWORD: TemplateUpdateFrequencyREG_DWORD: TemplateUpdateFrequency

Value: ダウンロード間の日数 (最小値は 1) を指定する整数値。Value: An integer value that specifies the number of days (minimum of 1) between downloads.
テンプレートを更新する頻度 (秒単位) を変更するにはTo change the frequency in seconds to refresh templates

重要: この設定を指定した場合は、日単位のテンプレート更新値は無視されます。Important: If this setting is specified, the value to refresh templates in days is ignored. 1 つまたはもう一方 (両方ではありません) を指定します。Specify one or the other, not both.
次のレジストリ値で、ユーザーのコンピューターでのテンプレートの更新頻度を指定します。The following registry values specify how often templates refresh on the user’s computer. この値または頻度 (日単位) を変更する値 (TemplateUpdateFrequency) が設定されていない場合、RMS クライアント (バージョン 1.0.1784.0) を使用してテンプレートをダウンロードするアプリケーションの既定の更新間隔は 1 日です。If this value or the value to change the frequency in days (TemplateUpdateFrequency) is not set, the default refresh interval for applications using the RMS client (version 1.0.1784.0) to download templates is 1 day. これより前のバージョンでは、既定は 7 日ごとです。Prior versions have a default value of every 7 days.

クライアント モード:Client Mode:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPCHKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: TemplateUpdateFrequencyInSecondsREG_DWORD: TemplateUpdateFrequencyInSeconds

Value: ダウンロード間の秒数 (最小値は 1) を指定する整数値。Value: An integer value that specifies the number of seconds (minimum of 1) between downloads.

サーバー モード:Server Mode:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<SID>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\Server\<SID>
REG_DWORD: TemplateUpdateFrequencyInSecondsREG_DWORD: TemplateUpdateFrequencyInSeconds

Value: ダウンロード間の秒数 (最小値は 1) を指定する整数値。Value: An integer value that specifies the number of seconds (minimum of 1) between downloads.
AD RMS のみ:AD RMS only:

次の発行要求時に即座にテンプレートをダウンロードするにはTo download templates immediately at the next publishing request
テストと評価を行う際は、可能な限り早期に RMS クライアントでテンプレートをダウンロードすることをお勧めします。During testing and evaluations, you might want the RMS client to download templates as soon as possible. この構成を行うには、次のレジストリ キーを削除します。これにより、RMS クライアントは TemplateUpdateFrequency レジストリ設定によって指定された時間まで待機するのではなく、次の発行要求時に即座にテンプレートをダウンロードします。For this configuration, remove the following registry key and the RMS client then downloads templates immediately at the next publishing request rather than wait for the time specified by the TemplateUpdateFrequency registry setting:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\<Server Name>\TemplateHKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\<Server Name>\Template

: <Server Name> には、外部 URL (corprights.contoso.com) と内部 URL (corprights) の両方を指定できます。したがって、2 つの異なるエントリが存在します。Note: <Server Name> could have both external (corprights.contoso.com) and internal (corprights) URLs and therefore two different entries.
AD RMS のみ:AD RMS only:

フェデレーション認証のサポートを有効にするにはTo enable support for federated authentication
RMS クライアント コンピューターがフェデレーションによる信頼関係を使用して AD RMS クラスターに接続する場合は、フェデレーション ホーム領域を構成する必要があります。If the RMS client computer connects to an AD RMS cluster by using a federated trust, you must configure the federation home realm.

HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FederationHKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_SZ: FederationHomeRealmREG_SZ: FederationHomeRealm

値: このレジストリ エントリの値は、フェデレーション サービス (たとえば、"http://TreyADFS.trey.net/adfs/services/trust") の URI (Uniform Resource Identifier) です。Value: The value of this registry entry is the uniform resource identifier (URI) for the federation service (for example, "http://TreyADFS.trey.net/adfs/services/trust").

: この値には https ではなく http を指定することが重要です。Note: It is important that you specify http and not https for this value. さらに、32 ビット MSIPC ベースのアプリケーションが 64 ビット版の Windows で実行している場合、場所は HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Federation になります。In addition, if your 32-bit MSIPC-based application is running on a 64-bit version of Windows, the location is HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Federation. 構成の例については、「Active Directory フェデレーション サービスを使用した Active Directory Rights Management サービスの展開」を参照してください。For an example configuration, see Deploying Active Directory Rights Management Services with Active Directory Federation Services.
AD RMS のみ:AD RMS only:

ユーザー入力にフォームベース認証を必要とするパートナーのフェデレーション サーバーをサポートするにはTo support partner federation servers that require forms-based authentication for user input
既定では、RMS クライアントはサイレント モードで動作するため、ユーザー入力は必要ありません。By default, the RMS client operates in silent mode and user input is not required. ただし、フォーム ベース認証などを使用する場合は、ユーザー入力を要求するようにパートナーのフェデレーション サーバーを構成できます。Partner federation servers, however, might be configured to require user input such as by way of forms-based authentication. このような場合、RMS クライアントがサイレント モードを無視し、フェデレーション認証フォームがブラウザー ウィンドウに表示され、ユーザーに認証を促すメッセージが表示されるように構成する必要があります。In this case, you must configure the RMS client to ignore silent mode so that the federated authentication form appears in a browser window and the user is promoted for authentication.

HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FederationHKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\Federation
REG_DWORD: EnableBrowserREG_DWORD: EnableBrowser

: フォームベース認証を使用するようにフェデレーション サーバーが構成されている場合は、このキーは必須です。Note: If the federation server is configured to use forms-based authentication, this key is required. Windows 統合認証を使用するようにフェデレーション サーバーが構成されている場合は、このキーは必要ありません。If the federation server is configured to use integrated Windows authentication, this key is not required.
AD RMS のみ:AD RMS only:

ILS サービスの使用をブロックするにはTo block ILS service consumption
既定では、RMS クライアントは ILS サービスによって保護されているコンテンツを使用できますが、次のレジストリ キーを設定して、クライアントがこのサービスをブロックするように構成することができます。By default, the RMS client enables consuming content protected by the ILS service but you can configure the client to block this service by setting the following registry key. このレジストリ キーが設定され、ILS サービスがブロックされている場合、ILS サービスによって保護されたコンテンツを開いて使用しようとすると、次のエラーが表示されます:If this registry key is set to block the ILS service, any attempts to open and consume content protected by the ILS service returns the following error:
HRESULT_FROM_WIN32(ERROR_ACCESS_DISABLED_BY_POLICY)HRESULT_FROM_WIN32(ERROR_ACCESS_DISABLED_BY_POLICY)

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPCHKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC
REG_DWORD: DisablePassportCertificationREG_DWORD: DisablePassportCertification

Value: ILS の使用をブロックする場合は 1、ILS の使用を許可する場合は 0 (既定値)Value: 1 to block ILS consumption, 0 to allow ILS consumption (default)

RMS クライアントのテンプレートの配布の管理Managing template distribution for the RMS client

テンプレートによってユーザーと管理者が Rights Management 保護を迅速に適用しやすくなり、RMS クライアントはそのサーバーまたはサービスからテンプレートを自動的にダウンロードします。Templates make it easy for users and administrators to quickly apply Rights Management protection and the RMS client automatically downloads templates from its RMS servers or service. 次のフォルダーの場所にテンプレートを置くと、RMS クライアントはその既定の場所からはテンプレートをダウンロードせず、代わりにこのフォルダーに置いたテンプレートをダウンロードします。If you put the templates in the following folder location, the RMS client does not download any templates from its default location and instead, download the templates that you have put in this folder. その場合でも、RMS クライアントは引き続き、その他の使用可能な RMS サーバーからテンプレートをダウンロードすることができます。The RMS client might continue to download templates from other available RMS servers.

Client Mode: %localappdata%\Microsoft\MSIPC\UnmanagedTemplatesClient Mode: %localappdata%\Microsoft\MSIPC\UnmanagedTemplates

サーバー モード: %allusersprofile%\Microsoft\MSIPC\Server\UnmanagedTemplates\\ <SID>Server Mode: %allusersprofile%\Microsoft\MSIPC\Server\UnmanagedTemplates\<SID>

このフォルダーを使用する際に、特別な名前付け規則に従う必要はありません。ただし、テンプレートは RMS サーバーまたはサービスによって発行される必要があり、テンプレートのファイル拡張子を .xml にする必要があります。When you use this folder, there is no special naming convention required except that the templates should be issued by the RMS server or service and they must have the .xml file name extension. たとえば、Contoso-Confidential.xml または Contoso-ReadOnly.xml は有効な名前です。For example, Contoso-Confidential.xml or Contoso-ReadOnly.xml are valid names.

AD RMS のみ: RMS クライアントによる信頼された AD RMS サーバーの使用を制限するAD RMS only: Limiting the RMS client to use trusted AD RMS servers

ローカル コンピューターの Windows レジストリを次のように変更することで、RMS クライアントが特定の信頼された AD RMS サーバーのみを使用するように制限することができます。The RMS client can be limited to using only specific trusted AD RMS servers by making the following changes to the Windows registry on local computers.

RMS クライアントが信頼された AD RMS サーバーのみを使用するように制限を有効化するにはTo enable limiting RMS client to use only trusted AD RMS servers

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServersHKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\

    REG_DWORD:AllowTrustedServersOnlyREG_DWORD:AllowTrustedServersOnly

    値: 0 以外の値を指定すると、RMS クライアントは TrustedServers リスト、および Azure Rights Management サービスで構成されている指定されたサーバーのみを信頼します。Value: If a non-zero value is specified, the RMS client trusts only the specified servers that are configured in the TrustedServers list and the Azure Rights Management service.

信頼された AD RMS サーバーのリストにメンバーを追加するにはTo add members to the list of trusted AD RMS servers

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServersHKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\TrustedServers\

    REG_SZ: <URL_or_HostName>REG_SZ:<URL_or_HostName>

    値: このレジストリ キーの場所の文字列値には、DNS ドメイン名の形式 (たとえば、adrms.contoso.com)、または信頼された AD RMS サーバーへの完全な URL (たとえば、 https://adrms.contoso.com ) のいずれかを指定できます。Value: The string values in this registry key location can be either DNS domain name format (for example, adrms.contoso.com) or full URLs to trusted AD RMS servers (for example, https://adrms.contoso.com). 指定された URL が https:// で始まる場合、RMS クライアントは SSL または TLS を使用して、指定した AD RMS サーバーに接続します。If a specified URL starts with https://, the RMS client uses SSL or TLS to contact the specified AD RMS server.

RMS サービスの検出RMS service discovery

RMS サービスの検出を使用すると、RMS クライアントがコンテンツを保護する前に、通信する RMS サーバーまたはサービスを確認することができます。RMS service discovery lets the RMS client check which RMS server or service to communicate with before protecting content. サービスの検出は、RMS クライアントが保護されたコンテンツを使用する際にも実行されますが、このような検出はほとんど実行されません。コンテンツにアタッチされたポリシーには優先 RMS サーバーまたはサービスが記載されているからです。Service discovery might also happen when the RMS client consumes protected content, but this type of discovery is less likely to happen because the policy attached to the content contains the preferred RMS server or service. そのようなソースが失敗した場合に限り、クライアントがサービスの検出を実行します。Only if those sources are unsuccessful does the client then run service discovery.

サービスの検出を実行するために、RMS クライアントは以下を確認します。To perform service discovery, the RMS client checks the following:

  1. ローカル コンピューターの Windows レジストリ: サービスの検出の設定がレジストリで構成されている場合、これらの設定が最初に試行されます。The Windows registry on the local computer: If service discovery settings are configured in the registry, these settings are tried first.

    既定では、これらの設定はレジストリで構成されていませんが、管理者は次のセクションに従って AD RMS 用に設定を構成することができます。By default, these settings are not configured in the registry but an administrator can configure them for AD RMS as documented in a following section. 管理者は、通常、AD RMS から Azure Information Protection への移行プロセス中に Azure Rights Management サービス用にこれらの設定を構成します。An administrator typically configures these settings for the Azure Rights Management service during the migration process from AD RMS to Azure Information Protection.

  2. Active Directory Domain Services: ドメインに参加しているコンピューターは、サービス接続ポイント (SCP) を Active Directory に照会します。Active Directory Domain Services: A domain-joined computer queries Active Directory for a service connection point (SCP).

    次のセクションに従って SCP を登録すると、AD RMS サーバーの URL は、使用する RMS クライアントに返されます。If an SCP is registered as documented in the following section, the URL of the AD RMS server is returned to the RMS client to use.

  3. Azure Rights Management 検出サービス: RMS クライアントは https://discover.aadrm.com に接続し、ユーザーに認証を求めます。The Azure Rights Management discovery service: The RMS client connects to https://discover.aadrm.com, which prompts the user to authenticate.

    認証に成功すると、使用する Azure Information Protection テナントの識別に認証のユーザー名 (とドメイン) が使用されます。When authentication is successful, the user name (and domain) from the authentication is used to identify the Azure Information Protection tenant to use. そのユーザー アカウントに使用する Azure Information Protection URL が RMS クライアントに返されます。The Azure Information Protection URL to use for that user account is returned to the RMS client. URL は、https:// <テナントの URL> /_wmcs/licensing という形式ですThe URL is in the following format: https://<YourTenantURL>/_wmcs/licensing

    例: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensingFor example: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com/_wmcs/licensing

    aadrm Anturl> の形式は次のとおりです: {GUID}. Rms. [Region] 。<この値は、 AipServiceConfigurationコマンドレットを実行したときにRightsManagementServiceId値を識別することによって確認できます。<YourTenantURL> has the following format: {GUID}.rms.[Region].aadrm.com.You can find this value by identifying the RightsManagementServiceId value when you run the Get-AipServiceConfiguration cmdlet.

注意

このサービスの検出フローには 4 つの重要な例外があります。There are four important exceptions for this service discovery flow:

  • モバイル デバイスはクラウド サービスの使用に最適なので、既定で Azure Rights Management サービスにサービスの検出を使用します (https://discover.aadrm.com) ) 。Mobile devices are best suited to use a cloud service, so by default they use service discovery for the Azure Rights Management service (https://discover.aadrm.com). モバイル デバイスが Azure Rights Management サービスではなく AD RMS を使用するようにこの既定をオーバーライドするには、「Active Directory Rights Management サービス モバイル デバイス拡張」に従って DNS に SRV レコードを指定し、モバイル デバイス拡張機能をインストールします。To override this default so that mobile devices use AD RMS rather than the Azure Rights Management service, specify SRV records in DNS and install the mobile device extension as documented in Active Directory Rights Management Services Mobile Device Extension.

  • Azure Information Protection ラベルから Rights Management サービスを呼び出すと、サービスの検出は実行されません。When the Rights Management service is invoked by an Azure Information Protection label, service discovery is not performed. その代わりに、Azure Information Protection ポリシーで構成されているラベル設定で URL が直接指定されます。Instead, the URL is specified directly in the label setting that is configured in the Azure Information Protection policy.

  • ユーザーが Office アプリケーションからサインインを開始すると、使用する Azure Information Protection テナントの識別に認証のユーザー名 (とドメイン) が使用されます。When a user initiates sign in from an Office application, the user name (and domain) from the authentication is used to identify the Azure Information Protection tenant to use. この場合、レジストリ設定は不要であり、SCP は確認されません。In this case, registry settings are not needed and the SCP is not checked.

  • Office のクイック実行デスクトップ アプリ用に DNS リダイレクトを構成した場合、以前に検出された AD RMS クラスターへのアクセスが拒否されることで、RMS クライアントは Azure Rights Management サービスを検出します。When you have configured DNS redirection for Office click-to-run desktop apps, the RMS client finds the Azure Rights Management service by being denied access to the AD RMS cluster that it previously found. この拒否アクションにより、クライアントは SRV レコードを検索し、クライアントをテナントの Azure Rights Management サービスにリダイレクトします。This deny action triggers the client to look for the SRV record, which redirects the client to the Azure Rights Management service for your tenant. また、この SRV レコードを使用すると、AD RMS クラスターによって保護されている電子メールを Exchange Online で復号化することができます。This SRV record also lets Exchange Online decrypt emails that have been protected by your AD RMS cluster.

AD RMS のみ: Active Directory を使用してサーバー側のサービスの検出を有効にするAD RMS only: Enabling server-side service discovery by using Active Directory

十分な権限を持つアカウントの場合 (Enterprise Admins および AD RMS サーバーのローカルの管理者)、AD RMS ルート クラスター サーバーをインストールする際にサービス接続ポイント (SCP) を自動的に登録することができます。If your account has sufficient privileges (Enterprise Admins and local administrator for the AD RMS server), you can automatically register a service connection point (SCP) when you install the AD RMS root cluster server. フォレスト内に SCP が既に存在する場合、新規 SCP を登録する前に、まず既存の SCP を削除する必要があります。If an SCP already exists in the forest, you must first delete the existing SCP before you can register a new one.

次の手順を使用して、AD RMS をインストールした後に SCP の登録や削除を行うことができます。You can register and delete an SCP after AD RMS is installed by using the following procedure. 手順を開始する前に、アカウントに必要な権限がある (Enterprise Admins および AD RMS サーバーのローカルの管理者) ことを確認します。Before you start, make sure that your account has the required privileges (Enterprise Admins and local administrator for the AD RMS server).

Active Directory に SCP を登録して、AD RMS のサービス検索を有効にするにはTo enable AD RMS service discovery by registering an SCP in Active Directory

  1. AD RMS サーバーの Active Directory Management サービス コンソールを開きます。Open the Active Directory Management Services console at the AD RMS server:

    • Windows Server 2012 R2 または Windows Server 2012 を使用している場合は、Server Manager で [ツール] > [Active Directory Rights Management サービス] の順にクリックします。For Windows Server 2012 R2 or Windows Server 2012, in Server Manager, select Tools > Active Directory Rights Management Services.

    • Windows Server 2008 R2 を使用している場合は、 [スタート] > [管理ツール] > [Active Directory Rights Management サービス] の順にクリックします。For Windows Server 2008 R2, select Start > Administrative Tools > Active Directory Rights Management Services.

  2. AD RMS コンソールで AD RMS クラスターを右クリックし、 [プロパティ] をクリックします。In the AD RMS console, right-click the AD RMS cluster, and then click Properties.

  3. [SCP] タブをクリックします。Click the SCP tab.

  4. [SCPを変更する] チェック ボックスをオンにします。Select the Change SCP check box.

  5. [SCP を現在の証明クラスターに設定する] オプションを選択して、 [OK] をクリックします。Select the Set SCP to current certification cluster option, and then click OK.

Windows レジストリを使用してクライアント側のサービスの検出を有効にするEnabling client-side service discovery by using the Windows registry

SCP を使用しない、または SCP が存在しない場合は、RMS クライアントがその AD RMS サーバーを検出できるように、クライアント コンピューターのレジストリを構成できます。As an alternative to using an SCP or where an SCP does not exist, you can configure the registry on the client computer so that the RMS client can locate its AD RMS server.

Windows レジストリを使用してクライアント側の AD RMS のサービスの検出を有効にするにはTo enable client-side AD RMS service discovery by using the Windows registry

  1. Windows のレジストリ エディター (Regedit.exe) を開きます。Open the Windows registry editor, Regedit.exe:

    • クライアント コンピューターの [実行] ウィンドウで「regedit」と入力し、Enter キーを押してレジストリ エディターを開きます。On the client computer, in the Run window, type regedit, and then press Enter to open the Registry Editor.
  2. レジストリ エディターで、 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC に移動します。In Registry Editor, navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC.

    注意

    32 ビット アプリケーションを 64 ビット コンピューターで実行している場合は、HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC に移動します。If you are running a 32-bit application on a 64-bit computer, navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC

  3. ServiceLocation サブキーを作成するには、 [MSIPC] を右クリックして [新規] を選択し、 [キー] をクリックして「ServiceLocation」と入力します。To create the ServiceLocation subkey, right-click MSIPC, point to New, click Key, and then type ServiceLocation.

  4. EnterpriseCertification サブキーを作成するには、 [ServiceLocation] を右クリックして [新規] を選択し、 [キー] をクリックして「EnterpriseCertification」と入力します。To create the EnterpriseCertification subkey, right-click ServiceLocation, point to New, click Key, and then type EnterpriseCertification.

  5. エンタープライズ証明書の URL を設定するには、 [EnterpriseCertification] サブキーの下にある [(既定)] 値をダブルクリックします。To set the enterprise certification URL, double-click the (Default) value, under the EnterpriseCertification subkey. [文字列の編集] ダイアログ ボックスが表示されたら、 [値のデータ]<http or https>://<AD RMS_cluster_name>/_wmcs/Certification と入力して、 [OK] をクリックします。When the Edit String dialog box appears, for Value data, type <http or https>://<AD RMS_cluster_name>/_wmcs/Certification, and then click OK.

  6. EnterprisePublishing サブキーを作成するには、 [ServiceLocation] を右クリックして [新規] を選択し、 [キー] をクリックして EnterprisePublishing と入力します。To create the EnterprisePublishing subkey, right-click ServiceLocation, point to New, click Key, and then type EnterprisePublishing.

  7. エンタープライズ公開 URL を設定するには、 [EnterprisePublishing] サブキーの下にある [(既定)] をダブルクリックします。To set the enterprise publishing URL, double-click (Default) under the EnterprisePublishing subkey. [文字列の編集] ダイアログ ボックスが表示されたら、 [値のデータ]<http or https>://<AD RMS_cluster_name>/_wmcs/Licensing と入力して、 [OK] をクリックします。When the Edit String dialog box appears, for Value data, type <http or https>://<AD RMS_cluster_name>/_wmcs/Licensing, and then click OK.

  8. レジストリ エディタを閉じます。Close Registry Editor.

RMS クライアントが Active Directory への照会で SCP を検索できず、SCP がレジストリでも指定されていない場合は、AD RMS のサービスの検出の呼び出しは失敗します。If the RMS client can't find an SCP by querying Active Directory and it's not specified in the registry, service discovery calls for AD RMS fails.

ライセンス サーバーのトラフィックのリダイレクトRedirecting licensing server traffic

たとえば、2 つの組織をマージして、一方の組織の古いライセンス サーバーを廃止し、クライアントを新しいライセンス サーバーにリダイレクトする場合など、サービスの検出時にトラフィックをリダイレクトする必要がある場合があります。In some cases, you might need to redirect traffic during service discovery, for example, when two organizations are merged and the old licensing server in one organization is retired and clients need to be redirected to a new licensing server. または、AD RMS から Azure RMS に移行する場合などです。Or, you migrate from AD RMS to Azure RMS. ライセンスのリダイレクトを有効にするには、次の手順に従います。To enable licensing redirection, use the following procedure.

Windows レジストリを使用して RMS ライセンスのリダイレクトを有効にするにはTo enable RMS licensing redirection by using the Windows registry

  1. Windows のレジストリ エディター (Regedit.exe) を開きます。Open the Windows registry editor, Regedit.exe.

  2. レジストリ エディターで、次のいずれかに移動します。In Registry Editor, navigate to one of the following:

    • x64 プラットフォームでの Office の 64 ビット バージョンの場合: HKLM\SOFTWARE\Microsoft\MSIPC\ServicelocationFor 64-bit version of Office on x64 platform: HKLM\SOFTWARE\Microsoft\MSIPC\Servicelocation

    • x64 プラットフォームでの Office の 32 ビット バージョンの場合: HKLM\SOFTWARE\Wow6432Node\Microsoft\MSIPC\ServicelocationFor 32-bit version of Office on x64 platform: HKLM\SOFTWARE\Wow6432Node\Microsoft\MSIPC\Servicelocation

  3. LicensingRedirection サブキーを作成するには、 [Servicelocation] を右クリックして [新規] を選択し、 [キー] をクリックして、「LicensingRedirection」と入力します。Create a LicensingRedirection subkey, by right-clicking Servicelocation, point to New, click Key, and then type LicensingRedirection.

  4. ライセンスのリダイレクトを設定するには、 [LicensingRedirection] サブキーを右クリックして [新規] を選択し、 [String value] を選択します。To set the licensing redirection, right-click the LicensingRedirection subkey, select New, and then select String value. [名前] には以前のサーバーのライセンス URL を指定し、 [値] には新しいサーバーのライセンス URL を指定します。For Name, specify the previous server licensing URL and for Value specify the new server licensing URL.

    たとえば、Contoso.com にあるサーバーから Fabrikam.com のライセンスにリダイレクトするには、次の値を入力します。For example, to redirect licensing from a server at Contoso.com to one at Fabrikam.com, you might enter the following values:

    名前: https://contoso.com/_wmcs/licensingName: https://contoso.com/_wmcs/licensing

    値: https://fabrikam.com/_wmcs/licensingValue: https://fabrikam.com/_wmcs/licensing

    注意

    以前のライセンス サーバーでイントラネットとエクストラネットの URL の両方が指定されている場合、新しい名前と値のマッピングは、LicensingRedirection キーの下にこれらの URL の両方に対して設定する必要があります。If the old licensing server has both intranet and extranet URLs specified, a new name and value mapping must be set for both these URLs under the LicensingRedirection key.

  5. リダイレクトする必要のあるすべてのサーバーに対して、この手順を繰り返します。Repeat the previous step for all servers that need to be redirected.

  6. レジストリ エディタを閉じます。Close Registry Editor.