AD RMS から Azure RMS への移行をサポートする Office の更新プログラムを利用できます

  • [アーティクル]
  • 適用対象:
    Microsoft Azure Active Directory Rights Management, Active Directory Rights Management Services Client 2.0

現象

organizationに Active Directory Rights Management Services (AD RMS) がデプロイされていて、Azure Information Protectionに移行する場合、一般的な移行プロセスでは、AD RMS クラスターからルート キーをエクスポートして Azure RMS にインポートします。 Azure RMS は、Azure Information Protection プラットフォームの一部であるサービスです。

場合によっては、AD RMS クラスターが、キーがクラウドにエクスポートおよびインポートされないように構成される場合があります。 この動作は、次のいずれかの条件に該当する場合に発生する可能性があります。

  • キーはエクスポート不可としてマークされ、Azure Information Protectionで直接サポートされていないハードウェア セキュリティ モジュールによって保護されます。
  • キーは、キーのエクスポートに必要なオペレーター カードやその他の成果物を使用できないハードウェア セキュリティ モジュールにあります。

解決方法

Office for MSIPC RMS クライアントが、これらのキーを使用して新しいコンテンツを保護する機能を付与することなく、以前に保護されたコンテンツを使用するために AD RMS を引き続き使用できるようにする修正プログラムを使用できます。 この修正により、クライアントは Azure RMS を使用してコンテンツを保護および使用できます。

この更新プログラムは Microsoft Update から入手できます。 詳細については、「Windows Update: FAQ」を参照してください。

この修正プログラムは、MICROSOFT Office 2013、Office 2016、および MSIPC SDK 2.1 を使用して開発されたその他の MSIPC アプリケーションで使用できます。

この更新プログラムは、次のバージョンの Office で使用できます。

  • Office 2013 バージョン 15.0.4849.1000 以降のバージョン
  • Office 2016 MSI バージョン 16.0.4496.1000 以降のバージョン。
  • Office 2016 C2R バージョン 16.0.7407.1000 以降のバージョン

MSIPC SDK を使用して開発された Office 2013、Office 2016、またはその他のアプリケーションを実行している Windows クライアントに修正プログラムをインストールした後、読み取り専用モードで AD RMS を設定するには、Publish.asmx ページへのアクセスを拒否する必要があります。 これを行うには、次の手順を実行します。

  1. ユーザーがコンテンツを保護するために使用する各 AD RMS サーバーにログオンします。[ スタート] をクリックし、[ 管理ツール] をポイントして、[ インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。

  2. [ ユーザー アカウント制御 ] ダイアログ ボックスが表示されたら、表示されるアクションが目的の操作であることを確認し、[ 続行] をクリックします。

  3. ドメイン ノードを展開し、[サイト] を展開し、[既定の Web サイト] を展開して、[_wmcs] を展開します。

    メモ 既定の Web サイト以外の Web サイトに AD RMS がインストールされている可能性があることに注意してください。 この場合は、それに応じて上のパスを調整する必要があります。

  4. ライセンス フォルダーを右クリックし、[ コンテンツ ビューに切り替える] をクリックします。

  5. [Publish.asmx] を右クリックし、[機能ビューに切り替える] をクリックします。

  6. [IIS] で、[ 認証] をダブルクリックします。 匿名認証が無効になっていることを確認します (この認証では、信頼されたユーザー ドメイン交換を使用する他の企業とのコラボレーションが無効になることに注意してください)。

  7. ライセンス ディレクトリをもう一度右クリックし、[ コンテンツ ビューに切り替える] をクリックします。

  8. [Publish.asmx] を右クリックし、[アクセス許可の編集] をクリックします。

  9. [ セキュリティ ] ウィンドウで、[ 編集] をクリックし、[ 追加] をクリックします。

  10. AD RMS を使用してコンテンツを保護できないようにするグループの名前を入力し、[OK] をクリックし、[拒否] 列の [フル コントロール] をクリックします。 AD RMS を使用してコンテンツを保護する機能をすべてのユーザーに拒否するには、 すべてのユーザー をグループとして使用します。

  11. [OK] をクリックします。

  12. IIS マネージャを閉じます。

すべての AD RMS ノードで IIS がこのように構成されるとすぐに、次のアクションを実行して、クライアントが AD RMS を読み取り専用モードで使用できることを確認できます。

  1. AD RMS または Azure RMS を使用するように構成されていないクライアントから開始します。 AD RMS を使用して保護されたコンテンツを開きます。
  2. 次に、新しいコンテンツを保護してみてください。 この操作は実行できません。

Azure RMS を使用するように構成されたクライアントは、Azure RMS での以前の構成に影響を与えることなく、AD RMS のコンテンツを使用することもできます。 クライアントは AD RMS のコンテンツを使用した後も、Azure RMS を使用してコンテンツを保護し続けます。

AD RMS のプロビジョニング解除プロセスの一部として IIS を構成する場合は、AD RMS コンソールを使用して AD RMS サービス接続ポイントの公開を解除する必要もあります。

詳細情報

AD RMS から Azure Information Protection への一般的な移行中に、コンテンツの保護に使用される AD RMS クラスターのルート キー (サーバー ライセンス証明書 [SLC]) がクラスターからエクスポートされ、Azure Information Protection プラットフォームの Azure RMS サービス パーツにインポートされます。 次に、AD RMS クラスターによって保護されているコンテンツを開くライセンスの要求を Azure RMS サービスにリダイレクトするように Windows クライアントが構成されます。 次に、RMS はドキュメントのポリシーに従ってライセンスを発行し、クライアントがコンテンツを保護するために AD RMS を使用できるようにするその他の成果物を発行します。

これらの成果物の中で、Windows クライアントは、AD RMS クラスターの Publish.asmx で使用できる API を呼び出すことによって、クライアント ライセンサー証明書 (CLC) を取得します。 CLC が発行されるとすぐに、この証明書を使用すると、クライアントは AD RMS クラスターの SLC キーに関連付けられているキーを使用してコンテンツを保護できます。

これらの API へのアクセスを拒否することで、この修正プログラムがインストールされ、Azure RMS を使用するように構成されているクライアントは、AD RMS から CLC を受信せずに AD RMS のコンテンツを使用できます。 これにより、AD RMS キーが Azure RMS にインポートされていない場合でも、クライアントは Azure RMS を引き続き使用して、AD RMS で以前に保護されたコンテンツへのアクセスを維持しながら、すべての新しいコンテンツを保護できます。

これにより、AD RMS で保護されているコンテンツが Azure RMS の新しいキーによって再保護されるか、または関連しなくなるまで、新しいコンテンツが Azure RMS を使用して保護されるため、AD RMS インフラストラクチャを段階的に段階的に段階的に廃止できます。 その後、AD RMS クラスターとその SLC を使用停止できます。

さらにヘルプが必要ですか? Microsoft コミュニティを参照してください。