Exchange ハイブリッド展開での IRM
概要: Exchange ハイブリッド環境での IRM の機能、および Exchange Online とオンプレミスの Exchange サーバー間で IRM を構成する方法。
Information Rights Management (IRM) は、電子メール メッセージと添付ファイルをオンラインおよびオフラインで永続的に保護し、機密性の高い情報の漏洩防止を支援します。 Exchange オンプレミス組織とExchange Onlineの両方 (Microsoft 365 または企業向けのOffice 365) では、IRM がサポートされます。 ただし、2 つの実装には違いがあるため、その組織のユーザーが IRM を使用するには、Exchange Online組織で IRM を構成する必要があります。
IRM では、Windows Server 2008 以降のコンポーネントである Active Directory Rights Management Services (AD RMS) が使用されます。 AD RMS を使用すると、ユーザーは、電子メール メッセージや添付ファイルなどの権限で保護されたコンテンツを作成し、そのコンテンツの使用方法と配布先を制御できます。 ユーザーはコンテンツの使用方法を決定するテンプレートを指定できます。 たとえば、ユーザーは電子メール メッセージを他の受信者に転送できないように指定したり、メッセージ内の情報をコピーできないように指定したりできます。
Exchange 2010 の IRM の詳細については、「 Information Rights Management について」を参照してください。
Exchange Serverの IRM の詳細については、「Information Rights Management」を参照してください。
AD RMS の詳細については、「 Active Directory Rights Management Services の概要」を参照してください。
Exchange On-premises と Exchange Online での IRM の相違点
オンプレミスの Exchange 組織で使用できる IRM 機能は、Exchange Online組織で使用できる機能とは異なる場合があります。 次の表は、IRM 機能の概要と各組織で利用できる機能を示しています。 (これらの機能の詳細については、「 Information Rights Management」を参照してください)
利用できる IRM 機能
| 機能 | Exchange 2007 以前で使用可能 | Exchange 2010 | Exchange Online および Exchange 2013 以降で使用可能 |
|---|---|---|---|
| Outlook でのメッセージの手動保護 | はい | はい | はい |
| Outlook Web Appでのメッセージの手動保護 | いいえ | はい | はい |
| Outlook で IRM で保護されたメッセージを表示する | はい | はい | はい |
| Outlook Web Appで IRM で保護されたメッセージを表示する | いいえ | はい | はい |
| IRM プレライセンス エージェント | はい | はい | はい |
| RMS ポリシー テンプレート | いいえ | はい | はい |
| トランスポート復号化 | いいえ | はい | はい |
| ジャーナル レポート復号化 | いいえ | はい | はい |
| Exchange Search と検出の暗号化解除 | いいえ | はい | はい |
| Outlook の自動保護規則 | いいえ | いいえ | はい |
| 自動トランスポート保護ルール | いいえ | はい | はい |
ハイブリッド展開での IRM
Exchange は、Exchange サーバーがインストールされている Active Directory フォレスト内の AD RMS サーバーを使用します。 オンプレミスの Exchange サーバーでは、オンプレミスの AD RMS サーバーが使用されます。 Exchange Online組織では、Microsoft 365 および Office 365 データセンター内で管理されている AD RMS サーバーが使用されます。 各 Exchange 組織が使用する AD RMS 構成は、他の AD RMS 展開とは無関係です。
AD RMS 構成、つまり IRM 構成は、オンプレミスの Exchange 組織とExchange Online組織の間で自動的にレプリケートされることはありません。 定義した AD RMS テンプレートは、Exchange Online組織に自動的にコピーされません。 Exchange Online組織で同じ AD RMS テンプレートを使用できるようにする場合は、オンプレミス組織からテンプレートを手動でエクスポートし、Microsoft 365 またはOffice 365組織に適用する必要があります。 このトピック の「ハイブリッド展開での IRM の構成 」を参照してください。
ユーザー エクスペリエンス
ユーザーに適用される IRM 構成は、ユーザーが使用するクライアントと、ユーザーのメールボックスの場所によって決まります。 次の表は、ユーザーが使用する AD RMS サーバーを示しています。
アクティブな AD RMS サーバー
| Client | 社内メールボックス | Exchange Online メールボックス |
|---|---|---|
| Outlook デスクトップ クライアント | 社内 AD RMS | 社内 AD RMS |
| Outlook on the web | 社内 AD RMS | AD RMS のExchange Online |
| ActiveSync デバイス | 社内 AD RMS | AD RMS のExchange Online |
オンプレミスおよびExchange Online組織で構成する AD RMS 構成によっては、Outlook 2007 と Outlook on the webを使用するユーザーに異なる AD RMS テンプレートが表示される可能性があります。 このため、オンプレミスとExchange Onlineの両方の組織に同じテンプレートを適用することを強くお勧めします。
Outlook クライアント ユーザーの IRM エクスペリエンスには、メールボックスがオンプレミスかExchange Onlineのどちらにあるかに関係なく、違いはありません。
メールボックスが Exchange オンプレミス サーバーにあるOutlook on the webユーザーは、Rights Management for Internet Explorer アドインをインストールした後にのみ、権限で保護されたメッセージを開くことができます。 これらのメッセージに返信することや、権利で保護されたメッセージを新規に作成することはできません。
Exchange Onlineにあるメールボックスを持つOutlook on the webユーザーは、追加のソフトウェアなしで権限で保護されたメッセージを開き、新しい権限で保護されたメッセージに返信して作成できます。
サーバーの機能
オンプレミスの Exchange サーバーでは、AD RMS の事前ライセンス エージェントを使用して、権限で保護されたメッセージの暗号化を解除し、ユーザーがそれらのメッセージを開くときに資格情報を指定する必要がないようにします。 オンプレミスの Exchange サーバーは、使用ポリシーと権限を確認し、メッセージの暗号化を解除するための承認を要求するために、オンプレミスの AD RMS サーバーに接続します。
Exchange Online組織には、EXCHANGE ONLINE AD RMS を利用する IRM 関連の追加機能がいくつか用意されています。 これらの機能 (ジャーナル レポートの暗号化解除など) を使用すると、適切に保護されたメッセージのコンテンツを Exchange サービスで使用して追加の処理を行うことができます。 たとえば、ジャーナリングされたメッセージの復号化された内容を元の権限で保護されたメッセージと共に保存して、検出を容易にすることができます。 さらに、IRM テンプレートは、Outlook 保護ルールまたはトランスポート ルールを使用してメッセージに自動的に適用され、メッセージが情報保護に関する組織のポリシーに準拠していることを確認できます。
ハイブリッド展開での IRM の構成
Exchange の IRM は、Exchange サーバーが存在する Active Directory フォレストに展開されている AD RMS に依存しています。 AD RMS の構成は、オンプレミスとExchange Online組織の間で自動的に同期されません。 信頼された発行ドメイン (TPD) と呼ばれる AD RMS 構成をオンプレミスの AD RMS サーバーから手動でエクスポートし、その構成をExchange Online組織にインポートする必要があります。 TPD には、Exchange Online組織が IRM を使用する必要があるテンプレートを含む AD RMS 構成が含まれています。
詳細については、 AD RMS の信頼された発行ドメインに関する考慮事項に関するページを参照してください。
オンプレミスの AD RMS 構成をExchange Online組織に適用するだけでなく、オンプレミス ネットワークの外部にある Outlook および ActiveSync クライアントから AD RMS サーバーに接続できるようにする必要があります。 これらのクライアントから、社内ネットワークの外側にある権利で保護されたメッセージにアクセスさせたい場合は、この設定を行う必要があります。
オンプレミス ネットワークを構成し、TPD データをエクスポートしたら、TPD データをインポートして IRM を有効にして、Exchange Online組織を構成する必要があります。
注:
オンプレミスの AD RMS 構成を変更する場合は、いつでも、Exchange Online組織で新しい構成を手動で適用する必要があります。 これを行うには、オンプレミスの AD RMS サーバーから TPD データをエクスポートし、Exchange Online組織にインポートします。
Exchange ハイブリッド展開での IRM の構成方法
オンプレミスの Exchange 組織で IRM を使用し、Exchange Online ユーザーも IRM を使用する場合は、次の操作を行う必要があります。
オンプレミスの Active Directory Rights Management Services (AD RMS) サーバーを構成します。
Exchange Online組織で IRM を有効にします。
インポートした AD RMS テンプレートをExchange Online組織内のユーザーに配布します。
社内 AD RMS サーバーの構成方法
ハイブリッド展開で IRM を構成するには、Windows PowerShell を使用してオンプレミスの AD RMS サーバーにアクセスする必要があります。 詳細情報: Windows PowerShellを使用した AD RMS の管理
社内 AD RMS サーバーから信頼された発行ドメイン (TPD) のデータをエクスポートして、外部クライアント向けに AD RMS サーバーへのアクセスを構成します。
社内組織から TPD データをエクスポートします。 詳細情報: 信頼された発行ドメインのエクスポート
外部クライアントからの AD RMS サーバーへのアクセスを構成します。 詳細情報: エクストラネット クラスター URL の追加
Exchange Online 組織で IRM を有効にする方法
オンプレミスの AD RMS サーバーから TPD データをエクスポートしたら、Exchange Online 組織にデータをインポートして、IRM を有効にする必要があります。
Exchange Online組織で、TPD データをインポートします。
Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('<Path to exported TPD file>'))Exchange Online組織で IRM を有効にします。
Set-IRMConfiguration -InternalLicensingEnabled $True
Exchange Online 組織で AD RMS テンプレートを配布する方法
Exchange Online 組織で IRM を有効にしたら、インポート済みの AD RMS テンプレートを配布する必要があります。 AD RMS テンプレートを使用する Exchange Online ユーザーおよび機能は次のとおりです。
Outlook on the web ユーザー
Exchange ActiveSync ユーザー
トランスポート ルール
ジャーナル レポート復号化
Outlook の保護ルール
Exchange Online組織で、AD RMS テンプレートの一覧を取得します。
Get-RMSTemplate -Type AllEXCHANGE ONLINE組織内のユーザーと機能に AD RMS テンプレートを配布します。
Set-RMSTemplate <template name> -Type Distributed注:
"転送不可" のAD RMS テンプレートは変更できません。
配布する各 AD RMS テンプレートに対して、手順 2 を繰り返します。
設定が適用されたことを確認する方法
Outlook on the webユーザーは新しいメッセージに AD RMS テンプレートを適用できる必要があります。 Outlook on the webとExchange ActiveSyncユーザーは、AD RMS テンプレートが適用されているメッセージを読み取ることができる必要があります。 さらに、Get-RMSTemplate コマンドレットを実行すると、社内組織からインポートされたすべての AD RMS テンプレートが一覧表示されます。
Exchange Online組織で次のコマンドを実行します。
Get-RMSTemplate