Active Directory Rights Management Services (AD RMS) のデプロイを Azure Information Protection に移行するには、次の手順のセットを使用します。
移行後、AD RMS サーバーは使用されなくなりましたが、ユーザーは AD RMS を使用して組織が保護したドキュメントや電子メール メッセージに引き続きアクセスできます。 新しく保護されたコンテンツでは、Azure Information Protection の Azure Rights Management サービス (Azure RMS) が使用されます。
Azure Information Protection に移行する前に推奨される読み取り
必須ではありませんが、移行を開始する前に次のドキュメントを読むのが便利な場合があります。 この知識により、テクノロジが移行手順に関連する場合の動作をより深く理解できます。
Azure Rights Management サービスのルート キーの管理: クラウドで同等の SLC キーが Microsoft によって管理されるか (既定)、またはユーザーが管理する ("Bring Your Own Key"、または BYOK 構成) Azure Information Protection テナントのキー管理オプションについて説明します。
RMS サービスの検出: RMS クライアントの展開に関するメモのこのセクションでは、サービス検出の順序が レジストリ、サービス 接続ポイント (SCP)、次に クラウドであることを説明します。 SCP がまだインストールされている移行プロセスでは、SCP から返された AD RMS クラスターを使用しないように、Azure Information Protection テナントのレジストリ設定を使用してクライアントを構成します。
Microsoft Rights Management コネクタの概要: RMS コネクタのドキュメントのこのセクションでは、オンプレミス サーバーが Azure Rights Management サービスに接続してドキュメントと電子メールを保護する方法について説明します。
さらに、AD RMS の動作に慣れていない場合は、「 Azure Rights Management サービスのしくみ: クラウド バージョンで同じまたは異なるテクノロジ プロセスを特定するのに役立つ技術的な詳細」を参照すると便利な場合があります。
AD RMS を Azure Information Protection に移行するための前提条件
Azure Information Protection への移行を開始する前に、次の前提条件が満たされていること、および制限事項を理解していることを確認してください。
サポートされている RMS の展開:
AD RMS の次のリリースでは、Azure Information Protection への移行がサポートされています。
Windows Server 2012 (x64)
Windows Server 2012 R2 (x64)
Windows Server 2016 (x64)
有効なすべての AD RMS トポロジがサポートされています。
単一フォレスト、単一 RMS クラスター
単一フォレスト、複数のライセンス専用 RMS クラスター
複数のフォレスト、複数の RMS クラスター
注
既定では、複数の AD RMS クラスターが Azure Information Protection の 1 つのテナントに移行されます。 Azure Information Protection 用に個別のテナントが必要な場合は、それらを異なる移行として扱う必要があります。 1 つの RMS クラスターのキーを複数のテナントにインポートすることはできません。
Azure Information Protection (Azure Rights Management サービスがアクティブ化されていない) のサブスクリプションを含め、Azure Information Protection を実行するためのすべての要件:
Azure Rights Management サービスの要件を参照してください。
Azure Information Protection クライアントは分類とラベル付けに 必要 であり、オプションですが、データのみを保護する場合 は推奨されます 。
詳細については、 Azure Information Protection 統合ラベル付けクライアントの管理者ガイドを参照してください。
AD RMS から移行する前に Azure Information Protection のサブスクリプションが必要ですが、移行を開始する前にテナントの Rights Management サービスをアクティブ化しないことをお勧めします。
移行プロセスには、AD RMS からキーとテンプレートをエクスポートし、Azure Information Protection 用にテナントにインポートした後に、このアクティブ化手順が含まれます。 ただし、Rights Management サービスが既にアクティブ化されている場合でも、追加の手順で AD RMS から移行できます。
Office 2010 のみ:
Office 2010 を実行するコンピューターがある場合は、クラウド サービスに対してユーザーを認証する機能を提供するために 、Azure Information Protection クライアント をインストールする必要があります。
Important
Office 2010 延長サポートは、2020 年 10 月 13 日に終了しました。
Azure Information Protection の準備:
オンプレミス のディレクトリと Microsoft Entra ID の間のディレクトリ同期
Microsoft Entra ID のメールが有効なグループ
ユーザー アカウントとグループが Azure Rights Management サービスを使用する方法について説明します。
Exchange Server (トランスポート ルールや Outlook Web Access など) または SharePoint Server と AD RMS の Information Rights Management (IRM) 機能を使用している場合:
これらのサーバーで IRM を使用できない時間を短く計画する
移行後も、これらのサーバーで引き続き IRM を使用できます。 ただし、移行手順の 1 つは、IRM サービスを一時的に無効にし、コネクタをインストールして構成し、サーバーを再構成してから、IRM を再度有効にすることです。
これは、移行プロセス中のサービスの中断のみです。
HSM で保護されたキーを使用して独自の Azure Information Protection テナント キーを管理する場合:
- このオプションの構成には、Azure Key Vault と、HSM で保護されたキーを持つ Key Vault をサポートする Azure サブスクリプションが必要です。 詳細については、 Azure Key Vault の価格に関するページを参照してください。
暗号化モードに関する考慮事項
AD RMS クラスターが現在暗号化モード 1 の場合は、移行を開始する前にクラスターを暗号化モード 2 にアップグレードしないでください。 代わりに、暗号化モード 1 を使用して移行します。移行後のタスクの 1 つとして、移行の最後にテナント キーのキーを更新できます。
Windows Server 2012 R2 および Windows 2012 の AD RMS 暗号化モードを確認するには、 AD RMS クラスター のプロパティ >[General ]\(一般\) タブを使用します。
移行の制限事項
Rights Management サービスでサポートされていないソフトウェアとクライアントがある場合、Azure Rights Management サービスによって暗号化されたコンテンツを暗号化または使用することはできません。
(たとえば、信頼されたユーザー ドメインやフェデレーションを使用して) 外部パートナーと共同作業するように AD RMS デプロイを構成する場合は、移行と同時に、またはできるだけ早く Azure Information Protection に移行する必要もあります。 組織が以前に Azure Information Protection を使用して保護していたコンテンツに引き続きアクセスするには、ユーザーが行ったのと同様のクライアント構成の変更を行い、このドキュメントに含める必要があります。
パートナーが持つ可能性のある構成のバリエーションのため、この再構成の正確な手順は、このドキュメントの範囲外です。 ただし、計画ガイダンスと追加のヘルプについては、次のセクションを 参照してください。Microsoft サポートにお問い合わせください。
外部パートナーと共同作業する場合の移行計画
AD RMS パートナーも Azure Information Protection に移行する必要があるため、移行の計画フェーズに AD RMS パートナーを含めます。 次のいずれかの移行手順を実行する前に、次の手順が実行されていることを確認します。
Azure Rights Management サービスをサポートする Microsoft Entra テナントがあります。
たとえば、Office 365 E3 または E5 サブスクリプション、Enterprise Mobility + Security サブスクリプション、Azure Information Protection のスタンドアロン サブスクリプションなどです。
Azure Rights Management サービスはまだアクティブ化されていませんが、Azure Rights Management サービスの URL を認識しています。
この情報を取得するには、Azure Rights Management ツールをインストールし、サービスに接続し (Connect-AipService)、Azure Rights Management サービス (Get-AipServiceConfiguration) のテナント情報を表示します。
AD RMS クラスターの URL と Azure Rights Management サービスの URL が提供されるため、移行されたクライアントを構成して、AD RMS で保護されたコンテンツの要求をテナントの Azure Rights Management サービスにリダイレクトできます。 クライアント リダイレクトを構成する手順は、手順 7. にあります。
ユーザーの移行を開始する前に、AD RMS クラスター ルート キー (SLC) をテナントにインポートします。 同様に、ユーザーの移行を開始する前に、AD RMS クラスターのルート キーをインポートする必要があります。 キーをインポートする手順については、この移行プロセス の手順 4 で説明します。AD RMS から構成データをエクスポートし、Azure Information Protection にインポートします。
AD RMS を Azure Information Protection に移行する手順の概要
移行手順は、異なる時間に実行できる 5 つのフェーズと、異なる管理者が行うことができる 5 つのフェーズに分けることができます。
フェーズ 1: 移行の準備
詳細については、「 フェーズ 1: 移行の準備」を参照してください。
手順 1: AIPService PowerShell モジュールをインストールし、テナントの URL を識別する
移行プロセスでは、AIPService モジュールから 1 つ以上の PowerShell コマンドレットを実行する必要があります。 移行手順の多くを完了するには、テナントの Azure Rights Management サービスの URL を知っている必要があります。PowerShell を使用してこの値を識別できます。
手順 2. クライアント移行の準備
一度にすべてのクライアントを移行できない場合、それらをバッチで移行する場合は、オンボード コントロールを使用し、移行前スクリプトをデプロイします。 ただし、段階的な移行を行うのではなく、すべてを同時に移行する場合は、この手順をスキップできます。
手順 3: 移行のために Exchange 展開を準備する
この手順は、現在 Exchange Online または Exchange オンプレミスの IRM 機能を使用してメールを保護する場合に必要です。 ただし、段階的な移行を行うのではなく、すべてを同時に移行する場合は、この手順をスキップできます。
フェーズ 2: AD RMS のサーバー側構成
詳細については、「 フェーズ 2: AD RMS の構成 SERVER-SIDE する」を参照してください。
手順 4. AD RMS から構成データをエクスポートし、Azure Information Protection にインポートする
構成データ (キー、テンプレート、URL) を AD RMS から XML ファイルにエクスポートした後、Import-AipServiceTpd PowerShell コマンドレットを使用して、Azure Information Protection から Azure Rights Management サービスにそのファイルをアップロードします。 次に、Azure Rights Management サービスのテナント キーとして使用するインポートされたサーバー ライセンサー証明書 (SLC) キーを特定します。 AD RMS キーの構成によっては、追加の手順が必要になる場合があります。
ソフトウェアで保護されたキーからソフトウェアで保護されたキーへの移行:
AD RMS で一元管理されたパスワード ベースのキーから Microsoft が管理する Azure Information Protection テナント キー。 これは最も簡単な移行パスであり、追加の手順は必要ありません。
HSM で保護されたキーから HSM で保護されたキーへの移行:
HSM for AD RMS によって顧客が管理する Azure Information Protection テナント キーに格納されるキー ("Bring Your Own Key" または BYOK シナリオ)。 これには、オンプレミスの nCipher HSM から Azure Key Vault にキーを転送し、このキーを使用するために Azure Rights Management サービスを承認するための追加の手順が必要です。 既存の HSM で保護されたキーはモジュールで保護されている必要があります。OCS で保護されたキーは、Rights Management サービスではサポートされていません。
ソフトウェアで保護されたキーから HSM で保護されたキーへの移行:
AD RMS で一元管理されたパスワード ベースのキーから、カスタマー マネージドの Azure Information Protection テナント キー ("Bring Your Own Key" または BYOK シナリオ)。 これには、ソフトウェア キーを抽出してオンプレミス HSM にインポートしてから、オンプレミスの nCipher HSM から Azure Key Vault HSM にキーを転送し、キーを格納するキー コンテナーを使用するように Azure Rights Management サービスを承認する追加の手順を実行する必要があるため、ほとんどの構成が必要です。
ステップ 5. Azure Rights Management サービスをアクティブ化する
可能な場合は、インポート プロセスの後ではなく、前の手順を実行します。 インポート前にサービスがアクティブ化された場合は、追加の手順が必要です。
手順 6. インポートされたテンプレートを構成する
権限ポリシー テンプレートをインポートすると、その状態がアーカイブされます。 ユーザーがユーザーを表示して使用できるようにする場合は、Azure クラシック ポータルで発行されるテンプレートの状態を変更する必要があります。
フェーズ 3: クライアント側の構成
詳細については、「 フェーズ 3: CLIENT-SIDE 構成」を参照してください。
手順 7: Azure Information Protection を使用するように Windows コンピューターを再構成する
既存の Windows コンピューターは、AD RMS ではなく Azure Rights Management サービスを使用するように再構成する必要があります。 この手順は、組織内のコンピューターと、AD RMS の実行中に共同作業を行ったパートナー組織のコンピューターに適用されます。
フェーズ 4: サービス構成のサポート
詳細については、「 フェーズ 4: サポート サービスの構成」を参照してください。
手順 8: Exchange Online の IRM 統合を構成する
この手順では、Azure Rights Management サービスを使用するために、Exchange Online の AD RMS の移行を完了します。
手順 9: Exchange Server と SharePoint Server の IRM 統合を構成する
この手順では、オンプレミスの Exchange または SharePoint の AD RMS 移行を完了し、Rights Management コネクタをデプロイする必要がある Azure Rights Management サービスを使用します。
フェーズ 5: 移行後のタスク
詳細については、「 フェーズ 5: 移行後のタスク」を参照してください。
手順 10: AD RMS のプロビジョニング解除
すべての Windows コンピューターが Azure Rights Management サービスを使用していて、AD RMS サーバーにアクセスしなくなったことを確認したら、AD RMS デプロイのプロビジョニングを解除できます。
手順 11: クライアント移行タスクを完了する
iOS 電話と iPad、Android フォンとタブレット、Windows フォンとタブレット、Mac コンピューターなどのモバイル デバイスをサポートするために モバイル デバイス拡張機能 を展開した場合は、AD RMS を使用するためにこれらのクライアントをリダイレクトした DNS の SRV レコードを削除する必要があります。
準備フェーズ中に構成したオンボード コントロールは必要なくなりました。 ただし、段階的な移行ではなく、すべてを同時に移行することを選択したためにオンボード コントロールを使用しなかった場合は、オンボード コントロールを削除する手順をスキップできます。
Windows コンピューターで Office 2010 が実行されている場合は、 AD RMS Rights Policy Template Management (自動) タスクを無効にする必要があるかどうかを確認します。
Important
Office 2010 延長サポートは、2020 年 10 月 13 日に終了しました。
手順 12: Azure Information Protection テナント キーのキーを更新する
移行前に暗号化モード 2 で実行していなかった場合は、この手順をお勧めします。
次のステップ
移行を開始するには、 フェーズ 1 - 準備に進みます。