AD RMS から Azure RMS への移行をサポートするための Office 用の更新プログラムが提供されています。

注意

Office 365 用リソース は、 エンタープライズ向け Microsoft 365 アプリに名前変更されています。 この変更の詳細については、 このブログの投稿を参照してください。

現象

Active Directory Rights Management サービス (AD RMS) が展開され、Azure Information Protection に移行する場合、一般的な移行プロセスでは、AD RMS クラスターからルートキーをエクスポートして Azure RMS にインポートする必要があります。 Azure RMS は、Azure Information Protection プラットフォームの一部であるサービスです。

場合によっては、キーをエクスポートしてクラウドにインポートできない方法で AD RMS クラスターを構成することがあります。 この現象は、次のいずれかの条件に該当する場合に発生する可能性があります。

  • これらのキーは、Azure Information Protection では直接サポートされていないハードウェアセキュリティモジュールによってエクスポートおよび保護されていないとマークされています。
  • キーのエクスポートに必要なオペレーターカードまたはその他の成果物が使用できないハードウェアセキュリティモジュール内のキーです。

解決方法

Office for MSIPC RMS クライアントが以前に保護されたコンテンツを引き続き使用できるようにする修正プログラムが提供されています。これらのキーを使用して新しいコンテンツを保護することはできません。 この修正プログラムにより、クライアントは Azure RMS を使用してコンテンツを保護および使用できるようになります。

この更新プログラムは、Microsoft Update から入手できます。 詳細については、「 Windows UPDATE FAQ」を参照してください。

この修正プログラムは、Microsoft Office 2013、Office 2016、および MSIPC SDK 2.1 を使用して開発されたその他の MSIPC アプリケーションで使用できます。

この更新プログラムは、次のバージョンの Office で利用できます。

  • Office 2013 バージョン15.0.4849.1000、またはそれ以降のバージョン
  • Office 2016 MSI バージョン16.0.4496.1000 以降のバージョン。
  • Office 2016 C2R バージョン16.0.7407.1000、またはそれ以降のバージョン

Office 2013、Office 2016、または MSIPC SDK を使用して開発されたその他のアプリケーションを実行している Windows クライアントで修正プログラムをインストールした後、AD RMS を読み取り専用モードに設定するには、Publish ページへのアクセスを拒否する必要があります。 これを行うには、次の手順を実行します。

  1. ユーザーがコンテンツを保護するために使用する各 AD RMS サーバーにログオンします。 [スタート] をクリックし、[管理ツール] をポイントして、[インターネットインフォメーションサービス (IIS) マネージャー] をクリックします。

  2. [ユーザーアカウント制御] ダイアログボックスが表示されたら、必要なアクションが表示されていることを確認してから、[続行] をクリックします。

  3. ドメインノードを展開し、[サイト] を展開し、[既定の Web サイト] を展開して、[_wmcs] を展開します。

    メモ既定の web サイト以外の web サイトに AD RMS をインストールした可能性があることに注意してください。 その場合は、上記のパスを調整する必要があります。

  4. [ライセンス] フォルダーを右クリックし、[コンテンツビューに切り替える] をクリックします。

  5. [ .Asmx] を右クリックし、[機能ビューに切り替え] をクリックします。

  6. [IIS] で、[認証] をダブルクリックします。 匿名認証が無効になっていることを確認します (この認証は、信頼されたユーザードメイン交換を使用している他の会社との共同作業を無効にすることに注意してください)。

  7. ライセンスディレクトリを再度右クリックし、[コンテンツビューに切り替える] をクリックします。

  8. [ .Asmx] を右クリックし、[アクセス許可の編集] をクリックします。

  9. [セキュリティ] ウィンドウで、[編集] をクリックし、[追加] をクリックします。

  10. AD RMS を使用してコンテンツを保護することを禁止するグループの名前を入力し、[ OK] をクリックして、[拒否] 列の [フルコントロール] をクリックします。 すべてのユーザーが AD RMS を使用してコンテンツを保護することを拒否するには、グループとしてEveryoneを使用します。

  11. [OK] をクリックします。

  12. IIS マネージャを閉じます。

この方法ですべての AD RMS ノードに対して IIS を構成したら、次の操作を実行して、クライアントが AD RMS を読み取り専用モードで使用できることを確認できます。

  1. AD RMS または Azure RMS のどちらかを使用するように構成されていないクライアントから開始します。 AD RMS を使用して保護されたコンテンツを開きます。
  2. 次に、新しいコンテンツを保護します。 この操作を実行することはできません。

Azure rms を使用するように構成されたクライアントは、Azure RMS での以前の構成に影響を与えることなく、AD RMS のコンテンツを使用することもできます。 クライアントは、AD RMS からコンテンツを使用すると、引き続き Azure RMS を使用してコンテンツを保護します。

AD RMS のプロビジョニング解除プロセスの一環として IIS を構成する場合は、ad rms サービス接続ポイントの公開を解除するために、AD rms コンソールも使用する必要があります。

詳細情報

通常、AD RMS から Azure Information Protection への移行では、コンテンツを保護するために使用される AD RMS クラスターのルートキー (サーバーライセンサー証明書 [SLC]) は、クラスターからエクスポートされ、Azure Information Protection プラットフォームの Azure RMS サービスパーツにインポートされます。 その後、Windows クライアントは、AD RMS クラスターによって保護されたコンテンツを Azure RMS サービスに対して開くために、ライセンスの要求をリダイレクトするように構成されます。 次に、RMS は、ドキュメント内のポリシーに従ってライセンスを発行し、クライアントが AD RMS を使用してコンテンツを保護できるようにします。

これらのアーティファクト間で、Windows クライアントは、AD RMS クラスターの .asmx で利用可能な Api を呼び出すことによって、クライアントライセンサー証明書 (CLC) を取得します。 CLC が発行されるとすぐに、この証明書によって、AD RMS クラスターの SLC キーに関連付けられたキーを使用して、クライアントがコンテンツを保護できるようになります。

この修正プログラムがインストールされているクライアントは、これらの Api へのアクセスを拒否することによって、ad rms から CLC を受信することなく、AD RMS からコンテンツを使用できます。 これにより、ad RMS キーが Azure RMS にインポートされていない場合でも、AD rms で保護されたコンテンツへのアクセスを維持しながら、クライアントは引き続き Azure RMS を使用して、すべての新しいコンテンツを保護することができます。

これにより、ad rms で保護されているコンテンツが Azure RMS の新しいキーによって再保護されるまで、またはそれ以上の関連性がなくなるまで、AD RMS インフラストラクチャの段階的なフェーズアウトが可能になります。 その後、AD RMS クラスターとその SLC を非コミッションにすることができます。

さらにヘルプが必要ですか? Microsoft コミュニティを参照してください。