この情報を使用して、Microsoft Rights Management コネクタ、および組織に対して正常に展開する方法について説明します。 このコネクタは、Microsoft Exchange Server、 SharePoint Server、または Windows Server と ファイル分類インフラストラクチャ (FCI) を実行するファイル サーバーを使用する既存のオンプレミス展開のデータ保護を提供します。
Microsoft Rights Management コネクタの概要
Microsoft Rights Management (RMS) コネクタを使用すると、既存のオンプレミス サーバーで、クラウドベースの Microsoft Rights Management サービス (Azure RMS) で Information Rights Management (IRM) 機能をすばやく使用できます。 この機能により、IT とユーザーは、追加のインフラストラクチャをインストールしたり、他の組織との信頼関係を確立したりすることなく、組織内と外部の両方でドキュメントや画像を簡単に保護できます。
RMS コネクタは、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012 を実行するサーバーに、オンプレミスでインストールする小さなフットプリントのサービスです。 コネクタは、物理コンピューター上で実行するだけでなく、Azure IaaS VM を含む仮想マシンでも実行できます。 コネクタをデプロイすると、次の図に示すように、オンプレミス サーバーとクラウド サービスの間の通信インターフェイス (リレー) として機能します。 矢印は、ネットワーク接続が開始される方向を示します。
サポートされているオンプレミス サーバー
RMS コネクタは、次のオンプレミス サーバーをサポートしています。Exchange Server、SharePoint Server、ファイル サーバー。Windows Server を実行し、ファイル分類インフラストラクチャを使用してフォルダー内の Office ドキュメントを分類してポリシーを適用します。
注
ファイル分類インフラストラクチャを使用して複数のファイルの種類 (Office ドキュメントだけでなく) を保護する場合は、RMS コネクタを使用せず、代わりに AzureInformationProtection コマンドレットを使用します。
RMS コネクタでサポートされているこれらのオンプレミス サーバーのバージョン:
| サーバーの種類 | サポートされているバージョン |
|---|---|
| Exchange Server | - Exchange Server 2019 - Exchange Server 2016 - Exchange Server 2013 |
| SharePoint Server | - SharePoint Server 2019 - SharePoint Server 2016 - SharePoint Server 2013 |
|
Windows Server を実行するファイル サーバー ファイル分類インフラストラクチャ (FCI) を使用する |
- Windows Server 2016 - Windows Server 2012 R2 - Windows Server 2012 |
ハイブリッド シナリオのサポート
ハイブリッド シナリオでは、一部のユーザーがオンライン サービスに接続している場合でも、RMS コネクタを使用できます。 たとえば、一部のユーザーのメールボックスは Exchange Online を使用し、一部のユーザーのメールボックスは Exchange Server を使用します。 RMS コネクタをインストールすると、すべてのユーザーが Azure RMS を使用して電子メールと添付ファイルを保護および使用でき、情報保護は 2 つのデプロイ構成間でシームレスに機能します。
カスタマー マネージド キー (BYOK) のサポート
Azure RMS の独自のテナント キー (Bring Your Own Key、または BYOK シナリオ) を管理する場合、RMS コネクタとそれを使用するオンプレミス サーバーは、テナント キーを含むハードウェア セキュリティ モジュール (HSM) にアクセスしません。 これは、テナント キーを使用するすべての暗号化操作が、オンプレミスではなく Azure RMS で実行されるためです。
テナント キーを管理するこのシナリオの詳細については、「 Azure Rights Management サービスのルート キーの管理」を参照してください。
RMS コネクタの前提条件
RMS コネクタをインストールする前に、次の要件が満たされていることを確認します。
| Requirement | 詳細情報 |
|---|---|
| 保護サービスがアクティブ化されている | Azure Rights Management サービスをアクティブ化する |
| オンプレミスの Active Directory フォレストと Microsoft Entra ID の間のディレクトリ同期 | RMS がアクティブ化されたら、Active Directory データベース内のユーザーとグループを操作するように Microsoft Entra ID を構成する必要があります。 重要: RMS コネクタが機能するためには、テスト ネットワークであっても、このディレクトリ同期手順を実行する必要があります。 Microsoft Entra ID で手動で作成したアカウントを使用して Microsoft 365 と Microsoft Entra ID を使用できますが、このコネクタでは、Microsoft Entra ID のアカウントが Active Directory Domain Services と同期されている必要があります。手動によるパスワード同期では不十分です。 詳細については、次のリソースを参照してください。 - オンプレミスの Active Directory ドメインを Microsoft Entra ID と統合する - ハイブリッド ID ディレクトリ統合ツールの比較 |
|
RMS コネクタをインストールする 2 台以上のメンバー コンピューター: - Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012 のいずれかのオペレーティング システムを実行している 64 ビットの物理または仮想コンピューター。 - 少なくとも 1 GB の RAM。 - 64 GB 以上のディスク領域。 - 少なくとも 1 つのネットワーク インターフェイス。 - 認証を必要としないファイアウォール (または Web プロキシ) 経由でインターネットにアクセスします。 - RMS コネクタで使用する Exchange または SharePoint サーバーのインストールを含む組織内の他のフォレストを信頼するフォレストまたはドメイン内にある必要があります。 - .NET 4.7.2 がインストールされています。 システムによっては、これを個別にダウンロードしてインストールする必要がある場合があります。 |
フォールト トレランスと高可用性を実現するには、RMS コネクタを少なくとも 2 台のコンピューターにインストールする必要があります。 ヒント: Exchange ActiveSync IRM を使用する Outlook Web Access またはモバイル デバイスを使用していて、Azure RMS で保護されている電子メールや添付ファイルへのアクセスを維持することが重要な場合は、高可用性を確保するために負荷分散されたコネクタ サーバー グループをデプロイすることをお勧めします。 コネクタを実行するために専用サーバーは必要ありませんが、コネクタを使用するサーバーとは別のコンピューターにインストールする必要があります。 重要: これらのサービスの機能を Azure RMS で使用する場合は、Exchange Server、SharePoint Server、またはファイル分類インフラストラクチャ用に構成されたファイル サーバーを実行するコンピューターにコネクタをインストールしないでください。 また、このコネクタをドメイン コントローラーにインストールしないでください。 RMS コネクタで使用するサーバー ワークロードがあるが、そのサーバーがコネクタを実行するドメインによって信頼されていないドメインにある場合は、これらの信頼されていないドメインまたはフォレスト内の他のドメインに追加の RMS コネクタ サーバーをインストールできます。 組織で実行できるコネクタ サーバーの数に制限はなく、組織にインストールされているすべてのコネクタ サーバーが同じ構成を共有します。 ただし、サーバーを承認するようにコネクタを構成するには、承認するサーバーまたはサービス アカウントを参照できる必要があります。つまり、これらのアカウントを参照できるフォレストで RMS 管理ツールを実行する必要があります。 |
| TLS バージョン 1.2 | 詳細については、「 Azure RMS コネクタに TLS 1.2 を適用する」を参照してください。 |
RMS コネクタをデプロイする手順
コネクタは、デプロイを成功させるために必要なすべての 前提条件 を自動的に確認するわけではありません。そのため、開始する前に、これらの前提条件が満たされていることを確認してください。 このデプロイでは、コネクタをインストールし、コネクタを構成してから、コネクタを使用するサーバーを構成する必要があります。
手順 1: RMS コネクタのインストール
手順 2: 資格情報を入力する
手順 3: RMS コネクタの使用をサーバーに許可する
手順 4: 負荷分散と高可用性の構成