移行フェーズ 4 - サポート サービスの構成

AD RMS から Azure Information Protection への移行のフェーズ 4 では、次の情報を使用してください。 これらの手順では、AD RMS から Azure Information Protection への移行のステップ 8 から 9 までカバーします。

ステップ 8: Exchange Online の IRM 構成積分。

重要

移行したユーザーが保護された電子メールに対して選択できる受信者を制御することはできません。

そのため、組織内のすべてのユーザーとメールが有効なグループが、Azure Information Protection で使用できる Azure AD のアカウントがあることを確認してください。

詳細については、「Azure Information Protection 向けのユーザーとグループの準備」を参照してください。

選択した Azure Information Protection テナント キー トポロジにかかわらず、次の操作を行います。

1. 前提条件: AD RMS によって保護された電子メールを Exchange Online で暗号化解除できるようにするには、クラスターの AD RMS URL とテナントで利用できるキーが一致することを把握する必要があります。

   これは、Azure Information Protection を使用するように Office クライアントを再構成するためにも使用される、AD RMS クラスターの DNS SRV レコードを使用して行われます。

   手順 7 でクライアントの再構成用に DNS SRV レコードを作成しなかった場合は、ここで Exchange Online をサポートするためにこのレコードを作成します。 手順

   この DNS レコードが設定されている場合、Outlook on the web およびモバイル メール クライアントを使用しているユーザーは、これらのアプリで AD RMS で保護された電子メールを閲覧でき、Exchange は AD RMS からインポートしたキーを使用して、AD RMS によって保護されたコンテンツの暗号化解除、インデックス作成、ジャーナル、保護を行うことができます。

2. Exchange Online の Get-IRMConfiguration コマンドを実行します。

   このコマンドの実行に関するヘルプが必要な場合は、「Exchange Online: IRM 構成」の手順を参照してください。

   出力から、AzureRMSLicensingEnabled が True に設定されているかどうかをチェックします。

   • AzureRMSLicensingEnabled が True に設定されている場合は、この手順の追加の構成は必要ありません。

   • AzureRMSLicensingEnabled が False に設定されている場合は、Set-IRMConfiguration -AzureRMSLicensingEnabled $true を実行した後で、Exchange Online が Azure Rights Management サービスを使用可能になっていることを確認します。

     詳細については、「Azure Information Protection の上に構築された新しい Microsoft 365 メッセージの暗号化機能のセットアップ」の検証手順を参照してください。

ステップ 9: Exchange Server と SharePoint Server の IRM 構成積分する

Exchange Server または SharePoint サーバーの Information Rights Management (IRM) 機能を AD RMS で使用している場合は、Rights Management (RMS) コネクタをデプロイする必要があります。

このコネクタは、オンプレミス サーバーと Azure Information Protection の保護サービスの間の通信インターフェイス (リレー) として機能します。

この手順では、インストールとコネクタの構成をカバーして、Exchange および SharePoint の IRM の無効化、コネクタを使用するようにこれらのサーバーを構成します。

最後に、メール メッセージの保護に使われていた AD RMS .xml データ構成ファイルを Azure Information Protection にインポートしてある場合、Exchange Server コンピューターのレジストリを手動で編集して、すべての信頼された発行ドメインの URL を RMS コネクタにリダイレクトする必要があります。

Note

開始する前に、Azure Rights Management サービスがサポートするオンプレミス サーバーのバージョンを、Azure RMS がサポートするオンプレミス サーバーからチェックします。

RMS コネクタのインストールと構成

記事「Microsoft Rights Management コネクタをデプロイする」の説明に従って、手順 1 から 4 を実行します。

コネクタの指示が出さず場合手順 5 を開始しないでください。

Exchange Server で IRM を無効にして AD RMS 構成を削除する

重要

Exchange サーバーで IRM をまだ構成していない場合は、手順 2 と 6 のみを実行します。

Get-IRMConfiguration の実行時、LicensingLocation パラメーターにすべての AD RMS クラスターのすべてのライセンス URL が表示されない場合は、これらの手順をすべて実行します。

1. 各 Exchange サーバーで、次のフォルダーを見つけて、そのフォルダー内のすべての入力を削除します: \ProgramData\Microsoft\DRM\Server\S-1-5-18

2. 1 つの Exchange サーバー から、次の PowerShell コマンドを実行して、ユーザーが Azure Rights Management を使用して保護された電子メールを読み取れるようにします。

   これらのコマンドを実行する前に、<お客様のテナント URL> を実際の Azure Rights Management サービスの URL に置き換えます。

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation 
   $list += "<Your Tenant URL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   

   これで、Get-IRMConfiguration を実行すると、すべての AD RMS クラスターのライセンス URL および Azure Rights Management サービスの URL が LicensingLocation パラメーターに表示されます。

3. 次に、内部受信者に送信されるメッセージの IRM 機能を無効にします。

   Set-IRMConfiguration -InternalLicensingEnabled $false
   

4. 次に、同じコマンドレットを使用して、Microsoft Office Outlook Web App と Microsoft Exchange ActiveSync の IRM を無効にします。

   Set-IRMConfiguration -ClientAccessServerEnabled $false
   

5. 最後に、同じコマンドレットを使用して、キャッシュされた認定資格証を消去する。

   Set-IRMConfiguration -RefreshServerCertificates
   

6. 各 Exchange Server で、IIS をリセットします。たとえば、管理者としてコマンド プロンプトを実行し、「iisreset」と入力する。

SharePoint サーバーで IRM を無効にし、AD RMS 構成を削除する

1. RMS で保護されたライブラリからチェックアウトされたドキュメントがないと確認します。 存在する場合は、この手順の最後にアクセスできなくなります。

2. SharePoint Central 管理者 Web サイトのクイック起動セクションのなか Security をクリックします。

3. セキュリティページで、 情報ポリシー セクションのなか、[Configure Information Rights Management] をクリックします。

4. [Information Rights Management] ページで、 [Information Rights Management] セクションのなか、[このサーバーで IRM を使用しない] を選択し、[OK] をクリックします。

5. 各 SharePoint サーバー コンピューターで、\ProgramData\Microsoft\MSIPC\Server\<SharePoint サーバーを実行するアカウントの SID> フォルダーの内容を削除します。

コネクタを使用するように Exchange と SharePoint を構成する

1. RMS コネクタを展開するための手順に戻る: ステップ 5: RMS コネクタを使用するようにサーバーを構成する。

   SharePoint Server のみがある場合は、次の手順に進んで移行を続行します。

2. 各 Exchange Server で、インポートした各構成データ ファイル (.xml) ごとに次ののセクションのレジストリ キーを手動で追加して、信頼された発行操作メイン URLs を RMS コネクタにリダイレクトします。 これらのレジストリ エントリは移行に固有であり、Microsoft RMS コネクタ用のサーバー構成ツールでは追加されません。

   これらのレジストリを編集するときは、次の手順に従います。

   • コネクタの FQDNとコネクタの DNS で定義した名前を置き換えます。 例えば、rmsconnector.contoso.com.

   • オンプレミス サーバーとの通信に HTTP や HTTPS を使用するようにコネクタを設定しているかどうかに応じて、コネクタ URL に HTTP や HTTPS プレフィックスを使用します。

Exchange のレジストリ編集

すべての Exchange サーバーに、使用している Exchange のバージョンに応じて、次のレジストリ値を LicenseServerRedirection に追加します。

1. Exchange 2013 と Exchange 2016 の両方について、次のレジストリ値を追加します。

   • レジストリ パス:HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • 種類: Reg_SZ

   • 値: https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

   • データ: Exchange サーバーから RMS コネクタへの通信で HTTP と HTTPS のどちらを使用しているかによって、次のいずれかの形式を使用します。

     • http://<connector FQDN>/_wmcs/licensing

     • https://<connector FQDN>/_wmcs/licensing

2. Exchange 2013 の場合は、次の追加のレジストリ値を追加します。

   • レジストリ パス:HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • 種類: Reg_SZ

   • 値: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

   • データ: Exchange サーバーから RMS コネクタへの通信で HTTP と HTTPS のどちらを使用しているかによって、次のいずれかの形式を使用します。

     • http://<connector FQDN>/_wmcs/licensing

     • https://<connector FQDN>/_wmcs/licensing

次のステップ

移行を続行するには、フェーズ 5 -ポスト移行タスクに進みます。