AD RMS から Azure Information Protection への移行

Active Directory Rights Management サービス (AD RMS) の展開を Azure Information Protection に移行するには、次の手順のセットを使用します。

移行が済むと、ユーザーは AD RMS サーバーを使用できないけど、ドキュメントとメール メッセージをアクセスことができる、ユーザーの組織が AD RMS を使用することに保護されていますから。 新しく保護されたコンテンツでは、Azure Information Protection の Azure Rights Management サービス (Azure RMS) が使用されます。

Azure Information Protection に移行する前に推奨される読み取り。

必須ではありませんが、移行を開始する前に次のドキュメントを読むのが便利な場合があります。 この知識により、が移行手順に関連する場合のテクノロジー原理をより深く理解できます。

• Azure Information Protection テナント キーの準備と実装: キー管理オプションを理解するとして、ユーザーのSLC キーが Azure Information Protection テナントでクラウドのなかと同様に、Microsoft (デフォルト) またはユザー ( "bring your own key", または BYOK 構成)に管理されています。

• RMS サービスの検出: RMS クライアントのデプロイの注意事項に関するこのセクションでは、サービスの検出の順序がレジストリ、サービス接続ポイント (SCP)、クラウドであることを説明します。 SCP がまだインストールされている移行プロセスでは、SCP から返された AD RMS クラスターを使用しないように、Azure Information Protection テナントのレジストリ設定を使用してクライアントを設定します。

• Microsoft Rights Management コネクタの概要: RMS コネクタのドキュメントのこのセクションでは、オンプレミス サーバーが Azure Rights Management サービスに接続してドキュメントと電子メールを保護する方法について説明します。

また、AD RMS のしくみを理解している場合、「Azure RMS の機能の詳細」を参照して、クラウド バージョンで同じテクノロジ プロセスと異なるテクノロジ プロセスを特定することもできます。

AD RMS を Azure Information Protection に移行するための前提条件。

Azure Information Protection への移行を開始する前に、次の前提条件が満たされていること、および制限事項を理解していることを確認してください。

• サポートされる RMS のデプロイ:

  • AD RMS の次のリリースでは、Azure Information Protection への移行にサポートできます。

    • Windows Server 2012 (x64)

    • Windows Server 2012 R2 (x64)

    • Windows Server 2016 (x64)

  • すべての有効な AD RMS トポロジがサポートされています。

    • 単一フォレスト、単一 RMS クラスター

    • 単一フォレスト、複数のライセンス専用 RMS クラスター

    • 複数のフォレスト、複数の RMS クラスター

    Note

    既定では、複数の AD RMS クラスターが Azure Information Protection の単一のテナントに移行します。 Azure Information Protection のテナントを区切り場合、それらを異なる移行として扱う必要があります。 1 つの RMS クラスターのキーを複数のテナントにインポートすることはできません。

• Azure Information Protection のサブスクリプション (Azure Rights Management は非アクティブです) など、Azure Information Protection を実行するためのすべての要件:

  Azure Information Protection の要件を参照してください

  Azure Information Protection クライアントは、分類とラベル付けのためには "必要" であり、データ保護だけが目的の場合は "必須ではありませんが推奨されます"。

  詳しくは、管理者ガイドの「Azure Information Protection 統合ラベル付けクライアント」を参照してください。

  AD RMS から移行する前に Azure Information Protection のサブスクリプションが必要ですが、移行を開始する前に、テナントの Rights Management サービスをアクティブ化しないことをお勧めします。

  移行プロセスには、AD RMS からキーとテンプレートをエクスポートし、Azure Information Protection 用にテナントにインポートした後に、このアクティブ化手順が含まれます。 ただし、Rights Management サービスが既にアクティブ化されている場合でも、追加の手順で AD RMS から移行できます。

  Office 2010 のみ:

  Office 2010 を実行するコンピューターがある場合、クラウド サービスへのユーザーを認証する機能を提供するには、Azure Information Protection クライアントをインストールする必要があります。

  重要

  Office 2010 の延長サポートは、2020 年 10 月 13 日に終了しました。 詳細については、「AIP とレガシ Windows および Officeバージョン」を参照してください。

• Azure Information Protection の準備:

  • オンプレミス のディレクトリと Microsoft Entra ID の間のディレクトリ同期

  • Microsoft Entra ID のメール有効なグループ

    Azure Information Protection 向けのユーザーとグループの準備を参照してください。

• Exchange Server (トランスポート ルールや Outlook Web Access など) または SharePoint Server と AD RMS の Information Rights Management (IRM) 機能を使用した場合:

  • これらのサーバーで IRM を使用できない短期間ための計画。

    移行後も、これらのサーバーで引き続き IRM を使用できます。 ただし、移行手順の 1 つは、IRM サービスを一時的に無効にし、コネクタをインストールして構成し、サーバーを再構成してから、IRM を再度有効にすることです。

    これは、移行プロセス中のサービスの唯一の中断です。

• HSM で保護されたキーを使用して独自の Azure Information Protection テナント キーを管理する場合:

  • このオプションの構成には、HSM で保護されたきーでキー コンテナーをサポートしてる Azure Key Vault と 1つのAzure サブスクリプションが必要です。 詳細については、Azure Key Vault Pricingページを参照してください。

暗号化モードに関する考慮事項

AD RMS クラスターが現在暗号化モード 1 の場合は、移行を開始する前にクラスターを暗号化モード 2 にアップグレードしないでください。 代わりに、暗号化モード 1 を使用して移行しますとき移行の最後にテナント キーのキーを更新できます、1 つのポスト移行タスクとして。

Windows Server 2012 R2 および Windows 2012 の AD RMS 暗号化モードを確認するには: AD RMS クラスターのプロパティ >[全般] タブ。

移行の制限

• Azure Information Protection で使用される Rights Management サービスでサポートされていないソフトウェアとクライアントがある場合、Azure Rights Management によって保護されているコンテンツを保護または使用することはできません。 「Azure Information Protection の要件」のサポートされているアプリケーションとクライアントのセクションを確認してください。

• AD RMS のデプロイが外部パートナーと共同作業するように構成されている場合 (たとえば、信頼されたユーザー doメイン やフェデレーションを使用して)、移行と同時にできるだけ早く Azure Information Protection に移行する必要もあります。 組織が以前に Azure Information Protection を使用して保護していたコンテンツに引き続きアクセスするには、ユーザーが行ったのと同様のクライアント構成の変更を行い、このドキュメントに含める必要があります。

  パートナーが持つ可能性のある構成のバリエーションのため、この再構成の正確な手順は、このドキュメントの範囲外です。 ただし、計画ガイダンスと追加のヘルプのため次のセクションをチェックには、Microsoft サポートを接続します。。

外部パートナーと共同作業する場合の移行計画

AD RMS パートナーも Azure Information Protection に移行する必要があるため、移行の計画フェーズに AD RMS パートナーを含めます。 次のいずれかの移行手順を実行する前に、次の手順が実行されていることを確認します。

• Azure Rights Management サービスをサポートする Microsoft Entra テナントがあります。

  たとえば、Office 365 E3 または E5 サブスクリプション、またはEnterprise Mobility + Security サブスクリプション、またはAzure Information Protection のスタンドアロン サブスクリプションなどがあります。

• Azure Rights Management サービスはまだアクティブ化されていませんが、Azure Rights Management サービスの URL を認識しています。

  この情報は、Azure Rights Management Tool をインストールし、サービスに接続して (Connect-AipService)、Azure Rights Management サービスのテナント情報を見ることで (Get-AipServiceConfiguration) 取得できます。

• AD RMS クラスターの URL と Azure Rights Management サービスの URL が提供されるため、移行されたクライアントを構成して、AD RMS で保護されたコンテンツの要求をテナントの Azure Rights Management サービスにリダイレクトできます。 クライアント リダイレクトを構成する手順はステップ 7 にあります。

• ユーザーの移行を開始する前に、AD RMS クラスター ルート キー (SLC) をテナントにインポートします。 同様に、ユーザーの移行を開始する前に、AD RMS クラスター ルート キーをインポートする必要があります。 キーをインポートする方法については、移行プロセスの「手順 4. AD RMS から構成データをエクスポートし、それを Azure Information Protection にインポートする」で説明されています。

AD RMS を Azure Information Protection に移行する手順の概要

移行手順は、異なる管理者に異なる時間で 5 つのフェーズに分けることができます。

フェーズ 1: 移行の準備

詳細については、「フェーズ 1: 移行の準備」を参照してください。

手順 1: AIPService PowerShell モジュールをインストールし、自分のテナント URL を特定する

移行プロセスでは、AIPService モジュールから 1 つまたは複数の PowerShell コマンドレットを実行する必要があります。 複数の移行手順のを完了するには、テナントの Azure Rights Management サービスの URL を知る必要があります。PowerShell を使用してこの値を識別できます。

ステップ 2. クライアントの移行の準備

一度にすべてのクライアントを移行できず、バッチで移行する場合は、オンボーディング管理策を使用して、移行前スクリプトを配置します。 ただし、段階的な移行を行うのではなく、すべてを同時に移行する場合は、この手順をスキップしてください。

手順 3: 移行のために Exchange 展開を準備する

この手順は、現在 Exchange Online または Exchange オンプレミスの IRM 機能を使用してメールを保護しているが必要です。 ただし、段階的な移行を行うのではなく、すべてを同時に移行する場合は、この手順をスキップしてください。

フェーズ 2: AD RMS のサーバー側の構成

詳細については、「フェーズ 2: AD RMS のサーバー側の構成」を参照してください。

ステップ 4. AD RMS から構成データをエクスポートそして Azure Information Protection にインポートする

構成データ (キー、テンプレート、URL) を AD RMS から XML ファイルにエクスポートした後、PowerShell コマンドレット Import-AipServiceTpd を使ってそのファイルを Azure Information Protection から Azure Rights Management サービスにアップロードします。 次に、Azure Rights Management サービスのテナント キーとして使用するインポートされたサーバー ライセンサー認定資格証 (SLC) キーを特定します。 AD RMS キーの構成によっては、追加の手順が必要になる場合があります。

• ソフトウェアで保護されたキーからソフトウェアで保護されたキーへの移行:

  AD RMS で集中管理されたパスワード ベースのキーから Microsoft が管理する Azure Information Protection テナント キーへの移行。 これは最も簡単な移行パスであり、追加の手順は必要ありません。

• HSM で保護されたキーから HSM で保護されたキーへの移行

  HSM によって AD RMS から顧客が管理する Azure Information Protection テナント キーとして格納されるキー ("Bring Your Own Key" または BYOK シナリオ)。 これには、オンプレミスの nCipher HSM から Azure Key Vault にキーを転送し、Azure Rights Management サービスによるこのキーの使用を承認する追加手順が必要です。 既存の HSM で保護されたキーはモジュールで保護されている必要があります。OCS で保護されたキーは、Rights Management サービスにサポートされていません。

• ソフトウェアで保護されたキーから HSM で保護されたキーへの移行

  AD RMS で集中管理されたパスワード ベースのキーから、顧客管理されての Azure Information Protection テナント キーへの移行 ("Bring Your Own Key" または BYOK シナリオ)。 最初にソフトウェア キーを抽出してオンプレミス HSM にインポートした後、オンプレミスの nCipher HSM から Azure Key Vault HSM にキーを転送し、キーを格納するキー コンテナーの使用を Azure Rights Management サービスに承認する追加手順が必要になるため、必要な構成はこの方法が最も多くなります。

ステップ 5。 Azure Rights Management サービスをアクティブにする

可能な場合、インポート プロセスの前ではなく、後でこの手順を実行します。 インポート前にサービスがアクティブ化された場合は、追加の手順が必要です。

手順 6. インポートされたテンプレートを設定する

権限ポリシー テンプレートをインポートする場合、その状態がアーカイブされます。 ユーザーがそれらを読み取り使用できるようにする場合は、Azure クラシック ポータルでテンプレートの状態を公開に変更する必要があります。

フェーズ 3: クライアント側の構成

詳細については、「フェーズ 3: クライアント側の構成」を参照してください。

手順 7: Azure Information Protection を使用するように Windows コンピューターを再構成する

既存の Windows コンピューターは、AD RMS ではなく Azure Rights Management サービスを使用するように再構成する必要があります。 この手順は、組織内のコンピューターと、AD RMS の実行中に共同作業を行ったパートナー組織のコンピューターに適用されます。

フェーズ 4: サポート サービスの構成

詳細については、「フェーズ 4: サポート サービスの構成」を参照してください。

ステップ 8: Exchange Online の IRM 構成積分。

この手順では、Exchange Online から Azure Rights Management サービスを使用するための AD RMS の移行を完了します。

ステップ 9: Exchange Server と SharePoint Server の IRM 構成積分する

この手順では、Exchange または SharePoint 設置型から Azure Rights Management サービスを使用するためへのAD RMS 移行を完成させます。同時に Rights Management コネクタを配置する必要があります。

フェーズ 5: 移行後のタスク

詳細については、「フェーズ 5: 移行後のタスク」を参照してください。

ステップ 10: AD RMS のプロビジョニング解除

すべての Windows コンピューターが Azure Rights Management サービスを使用していて、AD RMS サーバーにアクセスしなくなったことを確認したら、AD RMS 展開のプロビジョニングを解除できます。

ステップ 11: クライアント移行タスクを完成する。

iOS 電話と iPad、Android 電話とタブレット、Windows スマートフォンとタブレット、Mac コンピューターなどのモバイル デバイスをサポートするためにモバイル デバイス拡張機能を展開した場合は、AD RMS を使用するためにこれらのクライアントをリダイレクトした DNS の SRV レコードを削除する必要があります。

準備フェーズ中に構成したオンボーディング管理策は必要なくなりました。 ただし、段階的な移行ではなく、すべてを同時に移行することを選択するためにオンボーディング管理策を使用しない場合は、オンボーディング管理策を削除する手順をスキップできます。

Windows コンピューターで Office 2010 が実行されている場合は、AD RMS Rights Policy テンプレート管理 (自動) タスクを無効にする必要があるかどうかをチェックします。

重要

Office 2010 の延長サポートは、2020 年 10 月 13 日に終了しました。 詳細については、「AIP とレガシ Windows および Officeバージョン」を参照してください。

ステップ 12: Azure Information Protection テナント キーを更新します。

移行前に暗号化モード 2 で実行していなかった場合は、この手順をお勧めします。

次のステップ

移行を開始するには、フェーズ 1 - 準備に 進みます。