移行のフェーズ 1:準備
AD RMS から Azure Information Protection への移行のフェーズ 1 では、次の情報を使用してください。 これらの手順では、AD RMS から Azure Information Protection への移行 手順 1 から 3 をカバーし、ユーザーに影響を与えることなく移行できるように環境を準備します。
手順 1: AIPService PowerShell モジュールをインストールし、お客様のテナント URL を特定する
AIPService モジュールをインストールして、Azure Information Protection のデータ保護を提供するサービスを構成および管理できるようにします。
手順については、「AIPService PowerShell モジュールのインストール」を参照してください。
移行手順の一部を完了するには、テナントの Azure Rights Management サービスの URL を把握して、<テナント URL> への参照が表示された場合に置き換えられるようにする必要があります。
Rights Management service URL の形式 は: {GUID}.rms.[Region].aadrm.com 例: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
Azure Rights Management サービスの URL を識別する。
Azure Rights Management サービスに接続してプロンプトされた場合、テナントの全体管理者の認証情報を入力します。
Connect-AipService
テナントの構成を取得します。
Get-AipServiceConfiguration
LicensingIntranetDistributionPointUrl に表示される値をコピーしてからこの文字列から削除します
/_wmcs\licensing
。残したのは Azure Information Protection テナントの Azure Rights Management サービス URL です。 この値は、多くの場合、次の移行手順でテナント URL に短縮されます。
次の PowerShell コマンドを実行すると、値が正しいことを確認できます。
(Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
ステップ 2: クライアントの移行を準備する。
ほとんどの移行では、すべてのクライアントを一度に移行することは実用的ではありません。 クライアントは、バッチで移行される可能性があります。
つまり、しばらくの間、一部のクライアントは Azure Information Protection を使用し、一部のクライアントは引き続き AD RMS を使用することになります。 移行前のユーザーと移行されたユーザーの両方をサポートするには、オンボード コントロールを使用し、移行前スクリプトをデプロイします。
Note
この手順は、移行プロセス中に必要です。移行していないユーザーは、現在 Azure Rights Management を使用している移行されたユーザーによって保護されたコンテンツを使用できます。
クライアントの移行を準備するには
たとえば、AIPMigrated という名前のグループを作成します。 このグループは、Active Directory で作成してクラウドに同期できる、またはMicrosoft 365 や Azure Active Directory で作成もできる。
現時点では、このグループにユーザーを割り当てないでください。 後の手順でユーザーが移行されるときに、そのユーザーをグループに追加します。
次のいずれかの方法を使用して、このグループのオブジェクト ID をメモします。
- Microsoft Graph PowerShell を使用します。 たとえば、 Get-MgGroup コマンドを使用します。
- Azure portal から、グループのオブジェクト ID をコピーします。
このグループ内のユーザーのみが Azure Rights Management を使用してコンテンツを保護できるように、オンボーディング管理策用にこのグループを構成します。
この構成を行うには、PowerShell セッションで Azure Rights Management サービスに接続します。 メッセージが表示されたら、グローバル管理者の資格情報を指定します。
Connect-AipService
このグループをオンボード制御用に構成し、この例のオブジェクト ID を実際のグループ オブジェクト ID に置き換えます。 確認を求められたら「Y」と入力します。
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
Migration-Scripts.zip ファイルをダウンロードします。
ファイルを抽出し、Prepare-Client.cmd の指示に従って、実際の AD RMS クラスター エクストラネット ライセンス URL のサーバー名が含まれるようにします。 この名前を見つけるには、次の手順のようにします。
Active Directory Rights Management サービス コンソールで、クラスター名を選択します。
[クラスターの詳細] 情報から、[エクストラネット クラスター URL] セクションの [ライセンス] の値からサーバー名をコピーします。 例: rmscluster.contoso.com。
重要
手順には、adrms.contoso.com のアドレスの例を AD RMS サーバー アドレスに置き換える方法が含まれます。
これを行う場合は、アドレスの前後に余分なスペースがないように注意してください。 余分なスペースがあると、移行スクリプトが無効になります。また、問題の根本原因として特定するのは非常に困難です。
一部の編集ツールでは、テキストを貼り付けた後にスペースが自動的に追加されます。
このスクリプトをすべての Windows コンピューターに展開して、クライアントの移行を開始したときに、移行されていないクライアントが、現在 Azure Rights Management サービスを使用している移行されたクライアントによって保護されているコンテンツを使用している場合でも、引き続き AD RMS と通信するようにします。
グループ ポリシーまたは別のソフトウェア展開装置を使用して、このスクリプトを展開できます。
手順 3: 移行のために Exchange 展開を準備する
Exchange On-Premises または Exchange Online を使用している場合は、以前に Exchange を AD RMS 展開と統合している可能性があります。 この手順では、既存の AD RMS 構成を使用して、Azure RMS によって保護されているコンテンツをサポートするように構成します。
次のコマンドでこの値<を YourTenantURL> に置き換えることができるように、テナントの Azure Rights Management サービス URL があることを確認します。
Exchange On-Premises と Exchange Online のどちらと AD RMS と統合したかに応じて、次のいずれかの操作を行います。
Exchange Online を AD RMS と統合している場合
Exchange Online PowerShell セッションを開きます。
次の PowerShell コマンドを 1 つずつ実行するか、スクリプトで実行します。
$irmConfig = Get-IRMConfiguration $list = $irmConfig.LicensingLocation $list += "<YourTenantURL>/_wmcs/licensing" Set-IRMConfiguration -LicensingLocation $list Set-IRMConfiguration -internallicensingenabled $false Set-IRMConfiguration -internallicensingenabled $true
オンプレミスの Exchange を AD RMS と統合している場合
Exchange 組織ごとに、各 Exchange サーバー上でレジストリ値を追加してから PowerShell コマンドを実行します。
Exchange 2013 または Exchange 2016 の場合は、次のレジストリ値を追加します。
レジストリ パス:
HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection
種類: Reg_SZ
値:
https://\<Your Tenant URL\>/_wmcs/licensing
データ:
https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing
次の PowerShell コマンドを 1 つずつ実行するか、スクリプトで実行します。
$irmConfig = Get-IRMConfiguration $list = $irmConfig.LicensingLocation $list += "<YourTenantURL>/_wmcs/licensing" Set-IRMConfiguration -LicensingLocation $list Set-IRMConfiguration -internallicensingenabled $false Set-IRMConfiguration -RefreshServerCertificates Set-IRMConfiguration -internallicensingenabled $true IISReset
Exchange Online または Exchange オンプレミスでこれらのコマンドを実行した後、AD RMS によって保護されていたコンテンツをサポートするように Exchange 展開が構成されている場合、移行後に Azure RMS によって保護されたコンテンツもサポートされます。
Exchange 展開では、移行の後の手順まで、引き続き AD RMS を使用して保護されたコンテンツをサポートします。