次の方法で共有

RMS と IRM による情報保護

  • [アーティクル]

Microsoft Office 2003

テクニカルホワイトペーパー

トピック

主要な概念
要点
IRM と RMS の概要
IRM と RMS の展開の要件
IRM と RMS の展開
IRM/RMS 環境の管理
まとめ
関連情報

概要 :
Information Rights Management (IRM) は永続的なファイル レベルの情報保護テクノロジで、デジタル知的所有権や機密情報を無断で使用されないよう保護するのに役立ちます。 IRM により、Window Server 2003 の Microsoft Windows Rights Management Services (RMS) が、Microsoft Office 2003 Editions や Microsoft Internet Explorer にまで拡張されます。 ここでは、IRM の利点、実装、および展開上の考慮事項について概説します。

最新の情報については、https://office.microsoft.com/ja-jp/default.aspx を参照してください。

主要な概念

Microsoft Windows Rights Management Services (RMS) for Windows Server 2003 - Microsoft Windows Rights Management Services for Windows Server 2003 (RMS) は、Microsoft Office 2003 Editions などの RMS 対応のアプリケーションと連動する情報保護テクノロジで、オンラインやオフライン、およびファイアウォールの内側と外側を問わず、デジタル情報が無断で使用されないよう保護できます。 Windows Server 2003 機能、開発ツール、および業界セキュリティ テクノロジ (暗号化、XrML (eXtensible rights Markup Language) ベースの証明書、および認証など) を組み合わせて、組織の情報の行き先に関係なくその情報内にとどまる、永続的な使用ポリシーによって情報を保護することで、RMS はセキュリティ戦略を強化します。

Information Rights Management (IRM) - Information Rights Management (IRM) により、RMS が Office 2003 Editions プログラムや Microsoft Internet Explorer にまで拡張されます。 インフォメーション ワーカーは、ドキュメントを開けるユーザーを規定し、受信者によるドキュメントの使用方法を指定できるようになります。たとえば、開封、変更、印刷、転送またはその他の操作を実行できる権利を付与できます。 組織は、"社外秘 - 読み取り専用" など独自の使用ポリシーのテンプレートを作成し、財務レポート、製品仕様、顧客データ、電子メール メッセージ、およびその他の機密ドキュメントに直接適用できます。

要点

信頼できるコンピューティングの標準の 1 つは、確実にコンテンツを保護し、デジタル情報の機密性を保持できるテクノロジを使用できることです。 Microsoft Office System の Information Rights Management (IRM) により、組織とインフォメーション ワーカーに機密情報の保護に役立つ、もう 1 つのメカニズムが提供されます。

ここでは、組織のインフラストラクチャ内での RMS 操作、RMS による IRM のサポート方法、および RMS による情報保護機能の Office 2003 Editions への拡張方法について説明します。 ここでの主な目的は、IRM と RMS を使用した情報保護の有効化に関連する意思決定と作業を理解するために役立つ、1 つのリソースを提供することです。 ここでは、すべてのトピックについて総合的には説明しませんが、一般的な構成を展開および管理するには十分な情報を提供します。また、参照先として記載した RMS ヘルプ ファイルと RMS Web サイトの関連トピックで、詳細を確認できます。 これらのリソースには、RMS と IRM のビジネス面での利点、アーキテクチャ、トポロジの可能性などの話題についてさらに詳細な情報が記載されています。これらのリソースを展開の計画の一部として使用することをお勧めします。

IRM と RMS の概要

RMS は、RMS 対応のアプリケーションと共に機能する Windows の情報保護機能で、社外秘および機密情報を、その行き先に関係なく、無断で使用されないよう保護するのに役立ちます。 マイクロソフトでは、コンテンツ保護の向上を求める顧客の要望に応えて、Windows Server 2003 機能、開発ツール、および業界セキュリティ テクノロジ (暗号化、XrML ベースの証明書、および認証など) と組み合わせられるように RMS を設計しました。RMS は、組織が信頼できる情報保護ソリューションを作成するのに役立ちます。 IRM と RMS の価値と利点の詳細については、RMS のメイン サイト https://www.microsoft.com/japan/windowsserver2003/technologies/rightsmgmt/default.mspx を参照してください。

IRM により、RMS の情報保護機能がデスクトップにまで拡張されます。 IRM は永続的なファイル レベルの情報保護テクノロジです。IRM を使用することで、インフォメーション ワーカーは、ドキュメントまたは電子メールにアクセスできるユーザーやそれを使用できるユーザーを指定できる他、デジタル知的所有物が無断で印刷、転送またはコピーされることを防止できます。 IRM は、Microsoft Office Word 2003 の新しい [ 文書の保護 ] 機能 (制限の形式設定、およびドキュメントの指定した部分を編集する許可を、ユーザーとグループに選択的に付与することが可能) と同じではないことに注意してください。

IRM による保護はファイルに付属して移動するので、このテクノロジでドキュメントまたは電子メールが一度保護されると、情報の行き先に関係なく、使用権利が設定されます。これは、ファイルがファイアウォールの外側に送信された場合でも同様です。 IRM と RMS が共にどのように機能するかの概要については、https://www.microsoft.com/japan/technet/prodtechnol/office/office2003/operate/of03irm.mspx「Microsoft Office 2003 Editions の Information Rights Management」を参照してください。

ファイルの使用権利が一度インフォメーション ワーカーに付与されると、そのユーザーに付与された制限または権利 (例 : コピー不可) は、アプリケーションのユーザー インターフェイス (UI) およびオブジェクト モデルにより施行されます。 ただし、IRM はセキュリティ機能ではありません。これらの制限であらゆる種類の誤用を防ぐことができるわけではないのは、その他のポリシー ツールと同様です。

IRM RMS の一般的な役割
IRM は多様なシナリオで情報を保護するのに役立ちます。Office 2003 Editions での IRM の基本的な使用方法には、以下の 2 つがあります。

電子メール - 電子メールは、組織内または他の組織との間での基本的な通信方法の 1 つです。 インフォメーション ワーカーは、チームのメンバ、他のグループ、顧客、およびベンダとの通信に電子メールを使用します。 現地販売チームは、新しい価格設定の計画や製品の更新に関して、企業のオフィスと通信および共同作業する際に、電子メールを活用します。 経営管理部門では、組織内の通信に電子メールを使用します。 電子メールは、飛行機やホテルではオフラインで参照できるので、モバイル ワーカーにとって、オフィスの外でも、ドキュメントを読んだり作成したりすることが容易になります。

ただし、この通信の容易さが、情報の漏洩の危険性を増加させるのです。 社外秘の情報 (例 : 新製品の計画または懸案中の合併など) を含む電子メールは、時には誤って、競合他社、ベンダ、またはメディアに、簡単に転送されることがあり得ます。 このような情報の漏洩の悪影響には、競争上の優位性、利益、および顧客の信頼を失なうことが含まれることがあります。 権利が保護された電子メールは漏洩や誤った転送の防止に役立ち、少なくとも、違反者が無知を主張することは難しくなります。 以下の図は、転送不可のテンプレートで保護された電子メールです。 この電子メールの受信者は、メッセージを転送すること、およびコンテンツをコピーまたは印刷することができません。

rmsi01

図 1: [転送不可] IRM テンプレートで保護された電子メール

ドキュメント - インフォメーション ワーカーによって作成および使用される情報の大部分は、日常的なデスクトップ アプリケーションのドキュメントに含まれます。 経営、販売、財務、人事、製品チームおよび市場調査チームは、Office 2003 Editions のプログラムを使用して、財務上の予測、販売計画、収益予想、従業員の評価、製品のライフサイクル計画および調査の分析などの情報を作成します。これらの情報が悪意ある人物の手に渡った場合、組織が危険にさらされる可能性があります。 IRM により、Office 2003 Editions のプログラム内で簡単なツールがインフォメーション ワーカーに提供され、機密情報に対する権利の保護を確立し、それによって、特定の期間内で、ドキュメントを開封または変更できるユーザーを管理するのに役立ちます。

以下の図が示すように、IRM のエントリ ポイントはメイン ツールバーのボタンです。

rmsi02

図 2: Office 2003 Editions プログラムに含まれる [アクセス許可]ボタン

ボタンをクリックすると、RMS が企業内に展開され、以下に示す [ アクセス許可 ] ダイアログが表示されます。

rmsi03

図 3: 権利を割り当てられたユーザーの [アクセス許可] ダイアログ

メインのアクセス許可ボックスにより、すばやく簡単に、閲覧と変更の権利を異なるユーザーに付与できます。 ユーザーは、Windows Server Active Directory に格納されている電子メール アドレスで指定する必要があり、これにはグループ配布リストを含めることができます。 組織が外部アドレスを含む信頼ポリシーを有効にしている場合、外部アドレスを含めることもできます。 [ その他のオプション ] をクリックすると、図 4 のダイアログが表示されます。

rmsi04

図 4: その他のオプション

1 番目の追加オプションは、ドキュメントの有効期限の設定です。 指定した日付の後は、有効期限内にアクセス許可を持っていたユーザーも、ドキュメントを開けなくなります。 有効期限に加えて、[ その他のオプション ] ダイアログで作成者が選択的に他のユーザーに付与できる権利には、コンテンツの印刷、コンテンツのコピー、およびプログラムを使ってコンテンツにアクセスする権利があります。 既定では、[ 追加設定 ] フィールドには作成者の電子メールアドレスが表示されていて、受信者がドキュメントに対する追加権限を要求できるようになっています (図 5 に [ 追加権限の要求先 ] リンクが表示されています)。 作成者は、Office の以前のバージョンで作成したドキュメントに対しても、閲覧の権利を付与するかどうかを選択できます。 さらに、作成者はファイルが開かれるたびに、接続を要求できます。 既定では、受信者が (自分のコンピュータの) RMS サーバーに接続して権利を確認する必要があるのは、1 回だけです。

閲覧の権利を付与された Victoria が、このドキュメントを受信して開くと、Word 2003 は企業の RMS サーバーに接続して、Victoria が権利を持っているかどうか確認します。 Word 2003 により、ドキュメントが開かれます (Victoria に権利がない場合は開かれません)。 Victoria は、ドキュメントをコピー、印刷、または変更することはできません。 作業ウィンドウをクリックすると、自分に付与された権利を表示できます。

rmsi05

図 5: 権利が保護されたファイルで権限を表示する

IRM では、情報がネットワークを離れた後も、使用権利は常に情報内にとどまります。 これは、インフォメーション ワーカーが電子メールまたはドキュメントをオフラインで開く場合、またはディスクに保存した場合でも、使用権利が保護された情報に適用されることを意味します。

IRM RMS の技術概要
サーバー側で、Windows RMS によりコア ライセンス、コンピュータのアクティベーション、登録および管理の機能が処理されます。 RMS は Windows Server Active Directory® ディレクトリ サービス (Windows 2000 Server Service Pack 3 以降) に依存し、Microsoft SQL Server™ のような SQL データベースを使用して構成データを格納します。

デスクトップ側で、権利が保護されたコンテンツを作成または表示するには、RMS 対応のプログラムが必要です。Office 2003 Editions には、マイクロソフトから利用できる最初の RMS 対応のプログラムが含まれます。 権利が保護された Microsoft Office ドキュメント、ワークシート、プレゼンテーション、および電子メール メッセージを作成または表示するには、Microsoft Office Professional Edition 2003 が必要です。 その他の Office 2003 Editions では、作成者から権利を付与されている場合、指定された受信者は、権利が保護されたドキュメントで作業できます (コンテンツを作成することはできません)。 指定されたインフォメーション ワーカーが Office 2003 Editions を持っていない場合、Internet Explorer の Rights Management アドオン (RMA) によって、権利が保護された情報を表示できます。

IRM RMS のアーキテクチャ
RMS はマネージ Web サービスで、ASP.NET の実装、HTTP SOAP 要求/応答プロトコル、および XrML を活用して、組織がカスタマイズされた情報保護ソリューションを作成および展開できるようにします。 高度なスケーラビリティ、柔軟なトポロジ、容易な管理、および使いやすさを備えた RMS は、情報保護を検討している組織のニーズに対応できるように開発されました。

Windows RMS テクノロジの特徴は、永続的な使用ポリシー (または、使用権利および条件) です。 情報の作成者は、ファイル レベルで永続的な使用ポリシーを確立できます。 作成者または所有者がファイルにポリシーを適用した後は、ファイルが企業ネットワークの外側に移動しても、ポリシーはファイルに残ります。

以下の重要な要素を確立することにより、RMS システムは永続的なポリシーの施行を実現します。

  • 信頼されたエンティティ 組織は、RMS システムの信頼された参加者である個人、インフォメーション ワーカーのグループ、コンピュータ、またはアプリケーションなどのエンティティを指定できます。 RMS システムでは、信頼されたエンティティを確立することにより、正しく認証された参加者のみにアクセスを許可し、情報を保護できます。

  • 使用権利および条件 組織と個人は、使用権利と条件を割り当てることにより、特定の信頼されたエンティティによる保護された情報の使用方法を定義できます。 名前のついた権利の例としては、表示、コピー、印刷、保存、格納、転送、および変更の権利があります。 使用権利では、これらの権利の有効期限、および保護された情報へのアクセスを禁止する (信頼しない) アプリケーションとエンティティも指定できます。

  • 暗号化 暗号化は、データを電子キーでロックする処理です。 RMS システムでは、信頼されたエンティティが正しく承認されたこと、および指定した使用ポリシーが施行されていることを条件として、情報へのアクセスと情報の使用を許可することにより、情報を暗号化します。 情報がロックされた後に、情報のロック解除や暗号化解除、および割り当てられた使用権利を実行できるのは、指定された条件下 (もしあれば) で使用権利を付与された、信頼されたエンティティのみです。

基本 : RMS の機能方法
Windows RMS テクノロジにはサーバーとクライアントの両方のコンポーネントが含まれ、以下の機能を備えています。

  • 権利が保護されたファイルとコンテナの作成 RMS システムで信頼されたエンティティとして指定されたインフォメーション ワーカーは、使い慣れた認証プログラムと Windows RMS テクノロジの機能が組み込まれたツールを使用して、保護されたファイルを簡単に作成および管理できます。 たとえば、インフォメーション ワーカーは、使い慣れたアプリケーション ツールバーを使用して、電子メール メッセージやドキュメントなどの情報に、使用権利および条件を割り当てられます。

    さらに、RMS 対応のアプリケーションでは、集中的に定義され、公式に承認された権利ポリシーのテンプレートが使用されます。これは、インフォメーション ワーカーが、定義済みの組織の使用ポリシーのセットを効果的に適用するのに役立ちます。

  • 権利が保護された情報のライセンスと配布 RMS システムにより発行された XrML ベースの証明書では、権利が保護された情報を発行できる、信頼されたエンティティが識別されます。 RMS システムで信頼されたエンティティとして指定されたインフォメーション ワーカーは、保護する情報に、使用権利および条件を割り当てられます。 これらの使用ポリシーにより、情報にアクセスして使用できるユーザーが指定されます。

    RMS システムでは、インフォメーション ワーカーに対してユーザーが意識する必要のない処理で、信頼されたエンティティが検証されます。また、情報の作成者が定義した使用権利および条件を含む、発行ライセンスを発行します。 アプリケーションの電子キーと、信頼されたエンティティの XrML ベースの証明書の電子キーを使用して、情報が暗号化されます。 このメカニズムによって情報がロックされた後で、情報をロック解除して使用できるのは、発行ライセンスで指定された、信頼されたエンティティのみです。

    インフォメーション ワーカーは、組織内の他のユーザーまたは信頼された外部のユーザーに、権利が保護された情報を配布できます。配布には、電子メール、サーバー上のファイル共有、またはフロッピー ディスクを使用できます。

  • ライセンスを取得して権利が保護された情報を暗号化解除し、使用ポリシーを施行する 信頼されたエンティティであるインフォメーション ワーカーは、信頼されたクライアントを使用して、権利が保護された情報を開けます。 このようなクライアントは RMS 対応のコンピュータやアプリケーションです。インフォメーション ワーカーは、このようなクライアントを使用して、使用ポリシーを施行しながら、権利が保護された情報を表示し、情報と対話できます。

    情報の暗号化に使用された公開キーを持つ RMS サーバーは、受信者に対してユーザーが意識する必要のない処理で、受信者の証明書を検証し、発行ライセンスで指定された使用権利および条件を含む、使用ライセンスを発行します。 情報は、使用ライセンスの電子キーと、信頼されたエンティティの XrML ベースの証明書の電子キーを使用して暗号化解除されます。 その後、RMS 対応のアプリケーションにより、使用権利および条件が施行されます。 使用権利および条件は永続的で、情報の行き先に関係なく施行されます。

RMS コンポーネント
RMS テクノロジには、SDK に加えて以下のクライアントとサーバーのソフトウェアが含まれます。

  • Windows RMS サーバーソフトウェア は Windows Server 2003 の Web サービスで、信頼されたエンティティの XrML ベースの証明書、権利が保護された情報のライセンス、サーバーとユーザーの登録、および管理機能を処理します。

  • Windows Rights Management クライアントソフトウェア は Windows API のグループで、コンピュータのアクティベーションの処理を容易にし、RMS 対応のアプリケーションが RMS サーバーと共に機能して、権利が保護された情報の発行と使用に必要なライセンスを提供します。

  • Software Development Kit (SDK) はサーバー コンポーネントとクライアント コンポーネント用で、ドキュメントとサンプル コードを含みます。これらにより、ソフトウェア開発者は Windows RMS サーバー環境をカスタマイズし、RMS 対応のアプリケーションを作成できます。

RMS サーバーソフトウェア
Windows RMS の中心となる機能は、信頼されたエンティティの証明書、権利が保護された情報のライセンス、サーバーとユーザーの登録とサブ登録、および管理機能を処理するサーバー コンポーネントです。 サーバー ソフトウェアにより、信頼されたエンティティが権利が保護された情報を使用できるようにするセットアップ手順が、容易になります。 サーバー ソフトウェアにより、以下の RMS 機能が提供されます。

  • 信頼されたエンティティのセットアップ Windows RMS により、RMS システムの信頼されたエンティティに対して、サーバー、クライアント コンピュータ、およびユーザー アカウントを、確立および構成するツールが提供されます。 このセットアップ手順には以下の項目が含まれます。

    • サーバーの登録。サーバーの登録は個人設定プロセスの一部です。 サーバーの登録中に、組織のルート RMS サーバーの公開キーが、マイクロソフトによりホストされる RMS サーバー登録サービスに送信されます。登録サービスにより、その組織の公開キーの XrML ライセンス証明書が作成され、返されます。 RMS サーバー登録サービスは組織のルート サーバーに対して公開 / 秘密キーのペアを発行しません。公開キーに署名するだけです。 RMS サーバー登録サービスは、組織のコンテンツのロック解除には使用できません。 この処理中に、 ID の認証はありません。

    • サブサーバー登録 組織で RMS システムのルート インストール サーバーを構成した後は、システムの一部になる追加のサーバーをサブ登録および構成できます。 サーバーのサブ登録処理により、XrML ベースの証明書が確立されます。この証明書により、RMS システムから信頼されたライセンスを、追加のサーバーで発行できるようになります。

    • クライアントコンピュータのアクティベーション 組織は、権利が保護された情報の作成とアクセスに使用されるすべてのクライアント コンピュータをアクティベーションする必要があります。 この 1 回限りの処理で、一意な RMS ロックボックスがクライアント コンピュータに対して発行されます。 RMS ロックボックスはクライアント側のセキュリティ施行ツールです。 RMS ロックボックスはコンピュータに対して一意で、他のコンピュータでは実行できません。

    • ユーザーの証明書 組織は、RMS システム内で信頼されたエンティティであるインフォメーション ワーカーを識別する必要があります。 そのため、Windows RMS により、ユーザー アカウントを特定のコンピュータに関連付ける Rights Management アカウントの XrML ベースの証明書 (RAC) が発行されます。

      rmsi06

      図 6: RAC を取得する 1 回限りの処理

      これらの証明書により、インフォメーション ワーカーが保護されたファイルと情報にアクセスして使用できるようになります。 それぞれの一意な証明書には、インフォメーション ワーカーの使用に対する情報のライセンスに使用された公開キーが含まれます。

    • クライアントの登録 権利が保護された情報が企業ネットワークに接続されていない場合、権利が保護された情報の発行に、クライアント コンピュータを使用する場合があります。 その場合、ローカル登録処理が必要です。 クライアント コンピュータは、ルート クラスタまたは Windows RMS ライセンス サーバーに登録して、Rights Management クライアントのライセンス証明書を取得します。 これで、証明書を持つインフォメーション ワーカーは、企業ネットワークに接続されていないコンピュータからでも、権利が保護された情報を公開できます。

  • 使用権利および条件を定義する発行ライセンス 信頼されたエンティティは、RMS 対応のアプリケーションの簡単なツールを使用して、組織のビジネス ポリシーと一致する、特定の使用権利および条件を情報に割り当てられます。 これらの使用権利および条件は、発行ライセンス内で定義され、情報の表示を許可される承認済みのインフォメーション ワーカーと、情報の使用と共有の方法が指定されます。 RMS では XML ボキャブラリである XrML (eXtensible rights Markup Language) Version 1.2.1 を使用して、使用権利および条件を表現します。

  • 使用権利および条件を施行する使用ライセンス 権利が保護された情報の受信者である信頼されたエンティティは、情報を開こうとすることで、意識しないで RMS サーバーに使用ライセンスを要求し、使用ライセンスを受信します。 承認済みの受信者には使用ライセンスが付与され、受信者個人に対する使用権利および条件が指定されます。 RMS 対応のアプリケーションでは、使用ライセンスで定義された使用権利および条件の読み取り、解釈、および施行に、Windows RMS テクノロジの機能を使用します。

  • 暗号化とキー 保護された情報は必ず暗号化されています。 RMS 対応のアプリケーションでは、対称キーを使用して情報を暗号化します。 すべての RMS サーバー、クライアント コンピュータ、およびユーザー アカウントには、公開/秘密のペアの 1024 ビット RSA キーがあります。 Windows RMS では、これらの公開/秘密キーを使用して、発行と使用ライセンスで対称キーを暗号化し、Rights Management XrML ベースの証明書とライセンスに署名します。これは、正しく信頼されたエンティティだけにアクセスを許可するのに役立ちます。

  • 権利ポリシーテンプレート 管理者は、既定のインフォメーション ワーカーに対する使用権利および条件を定義する、公式な権利ポリシー テンプレートを作成および配布できます。 詳細については、「使用権利ポリシー テンプレート」を参照してください。 これらのテンプレートにより、組織にとって管理しやすい方法で、情報に対するドキュメントの分類の階層を確立できます。 たとえば、組織では、従業員用の権利ポリシー テンプレートを作成して、社外秘、分類済み、および個人用のデータに、個別の使用権利および条件を割り当てられます。 RMS 対応のアプリケーションにより、これらのテンプレートが使用され、インフォメーション ワーカーは簡単で一貫性のある方法で、定義済みのポリシーを情報に適用できるようになります。

  • 失効リスト 管理者は、信頼されたエンティティのうち、許可されていないユーザーからアクセスされたため、無効にされ、RMS システムから削除されたものを識別する、失効リストを作成および配布できます。 (信頼されたエンティティは、RMS システム内で信頼された受信者である個人、インフォメーション ワーカーのグループ、コンピュータ、またはプログラムです。) 組織の失効リストにより、特定のコンピュータまたはユーザー アカウントの証明書を無効にできます。 たとえば、従業員が解雇された場合、該当する信頼されたエンティティは失効リストに追加され、RMS 対応の操作には使用できなくなります。

  • 除外ポリシー 管理者はサーバー側の除外ポリシーを実装して、要求者の ユーザー ID (Windows ログオン証明書または .NET Passport ID)、Rights Management アカウント証明書、または Rights Management ロックボックスのバージョンに基づいたライセンス要求を拒否できます。 除外ポリシーでは、許可されていないユーザーからアクセスされた、信頼されたエンティティからの新しいライセンス要求を拒否します。ただし、失効と異なり、除外ポリシーでは信頼されたエンティティは無効にされません。 管理者は、安全でないアプリケーション、または許可されていないユーザーからアクセスされたアプリケーションを除外して、権利が保護されたコンテンツを暗号化解除できないようにできます。

  • ログ 管理者は、権利が保護された情報の使用状況を、組織内で追跡および監査できます。 RMS により、ログ記録のサポートがインストールされ、発行または拒否された発行ライセンスおよび使用ライセンスを含む RMS 関連の利用状況の記録を組織が保持できるようにします。

RMS Software Development Kit (SDK)
Windows RMS テクノロジには、Windows RMS SDK、一連のツール、ドキュメント、および組織が Windows RMS をカスタマイズできるようにするサンプル コードが含まれます。 SDK には SOAP (Simple Object Access Protocol) インターフェイスが含まれます。開発者はこれを使用して、以下を含む、多様な用途のコンポーネントを作成できます。

  • すべてのデータに対するリアル タイムでの Windows RMS 使用ポリシーの適用

  • 権利が保護された情報の実際の配布に先立つ、受信者に対するライセンスの発行 (プレ ライセンス)

  • Microsoft メッセージ キュー (MSMQ) を使用した後処理キューにより、ログ記録、監査、監視、およびその他の管理サービスが有効になります。 これらのインターフェイスおよびサービスにより、Windows RMS を管理、統合、および拡張する手段が提供されます。

RMS クライアント SDK
Windows RMS テクノロジには、RMS クライアント SDK、一連のツール、ドキュメント、およびソフトウェア開発者が RMS 対応のアプリケーションを作成できるようにするサンプル コードが含まれます。 開発者は、SDK と付属するクライアント アプリケーション プログラミング インターフェイス (API) を使用して、権利が保護された情報をライセンス、発行、および使用できる、信頼されたクライアント アプリケーションをビルドできます。

RMS クライアント SDK は以下のコンポーネントで構成されています。

  • クライアント インターフェイスを実装する、再配布可能なモジュール

  • 開発用の関連するヘッダ ファイル

  • リンク ライブラリ

  • RMS 対応のアプリケーションで、クライアント インターフェイスを実装するモジュールを読み込むのに必要な、署名付きマニフェストを構築するためツール。

RMS クライアントソフトウェア
RMS システムのそれぞれのクライアント コンピュータには、Windows Rights Management クライアント ソフトウェアがインストールされている必要があります。 このクライアント コンポーネントは、RMS 対応のアプリケーションを使用するために必要で、Windows Rights Management API のグループであり、プレインストールされているか、Windows Update Web サイトからダウンロードできます。 Rights Management クライアントはコンピュータのアクティベーションの処理でも使用されます。

IRM コンポーネント
Office 2003 Editions で、マイクロソフト最初の RMS 対応のアプリケーションが提供されます。 したがって、Office 2003 Editions のプログラムは単純に RMS の機能を拡張します。

RMS/IRM の使用 : 実際の手順
インフォメーション ワーカーは、既に情報に使用しているものと論理的同じで、基本的に相互連結されたワークフローに従うだけで、Windows RMS でデータを保護できます。

以下のダイアグラムは、インフォメーション ワーカーが、権利が保護された情報を発行および使用するときの Windows RMS の動作方法の概要を表しています。

rmsi07

図 7: 保護されたデータの発行と使用

発行と使用の処理には、上の図の番号が示すとおり、以下の手順が含まれます。

  1. 作成者がドキュメントを権利保護する前に、最初に RMS システムに登録し、ロックボックス、RAC、コンピュータのクライアント発行証明書を受け取る必要があります。

  2. Office Professional Edition 2003 など、RMS 対応のアプリケーションを使用して、作成者がファイルを作成し、そのファイルの一連の使用権利および条件を定義します。

  3. アプリケーションにより、作成者の Windows RMS サーバーの公開キーを使用して暗号化される対称キーで、ファイルが暗号化されます。 その後、キーが発行ライセンスに挿入され、発行ライセンスがファイルにバインドされます。 このファイルを暗号化解除する使用ライセンスを発行できるのは、作成者の Windows RMS サーバーのみです。

    下の図は、権利が割り当てられた後の保護された Office 2003 Editions のプログラム ファイルに含まれる項目を示します。

    rmsi08

    図 8: 保護されたファイルのコンテンツ

  4. 作成者がファイルを配布します。

  5. 受信者が、通常の配布チャンネル経由で、保護されたファイルを受信し、RMS 対応のアプリケーションまたはブラウザを使用してそのファイルを開きます。

    受信者が、現在のコンピュータまたはデバイスのアカウント証明書を持っていない場合、この時点でアカウント証明書が発行されます (受信者がルート RMS サーバーにアクセスでき、企業アカウントを持っていることを想定しています)。

  6. アプリケーションにより、保護されたデータの発行ライセンスを発行したサーバーに対して、使用ライセンスの要求が送信されます。 要求には、受信者のアカウント証明書 (受信者の公開キーを含む) と発行ライセンス (ファイルを暗号化した対称キーを含む) が含まれます。

    クライアント ライセンス証明書から発行された発行ライセンスには、その証明書を発行したサーバーの URL が含まれています。 この場合、使用ライセンスの要求は、クライアント ライセンス証明書を発行した Windows RMS サーバーに送られます。実際に発行ライセンスを発行したコンピュータには送られません。

  7. Windows RMS ライセンス サーバーにより、受信者が承認されていることが検証され、受信者が名前付きユーザーであることが確認され、使用ライセンスが作成されます。

    この処理で、サーバーが、サーバーの秘密キーを使用して対称キーを暗号化解除し、受信者の公開キーを使用して対称キーを再暗号化し、使用ライセンスに追加します。 また、関連する条件 (有効期限、アプリケーション、またはオペレーティング システムの除外など) があれば、サーバーが使用ライセンスに追加します。 この手順を実行することで、対象となる受信者だけが対称キーを暗号化解除し、保護されたファイルを暗号化解除できます。

  8. 検証が完了すると、ライセンス サーバーにより、使用ライセンスが受信者のクライアント コンピュータに返されます。

  9. 使用ライセンスの受信後、アプリケーションでは、ライセンスと受信者のアカウント証明書の両方が確認され、一連の信頼のどちらかの証明書が失効リストを要求しているかどうか判断されます。

    要求している場合、アプリケーションにより、有効期限内の失効リストのローカル コピーが確認されます。 必要に応じて、失効リストの現在のコピーが取得されます。 アプリケーションにより、現在のコンテキストに関連する失効の条件が適用されます。 ファイルへのアクセスをブロックする失効の条件がない場合、アプリケーションによりデータが表示され、ユーザーは付与された権利を実行できます。

IRM と RMS の展開の要件

RMS は、サービスの検索に Active Directory を使用し、Windows NTLM (NT® LAN Manager) 認証を使用して、既存のインフラストラクチャの資産を最大限に活用するようにデザインされました。 RMS では、Windows 認証の柔軟性を利用して、Windows でサポートされているその他の認証方法と同様にスマート カードとバイオメトリクス デバイスを活用できます。 RMS を実行するには以下の項目が必要です。

サーバーレベル

  1. Windows RMS サーバー ソフトウェアを含む Windows Server 2003。 (Windows RMS は、Windows Server 2003 Standard、Enterprise、Web および Datacenter エディションの新しいプレミアム サービスです。)

  2. インターネット インフォメーション サービス

  3. Windows Server Active Directory ディレクトリ サービス (Windows Server 2000 以降)。 Active Directory アカウントが、ライセンスの取得と使用に使用されます。

  4. Microsoft SQL Server™ などのデータベース (構成データの格納用)。

デスクトップレベル

  1. Windows RMS クライアント ソフトウェア。

  2. 権利が保護されたコンテンツの作成と表示には、RMS 対応のアプリケーションが必要です。

    • Microsoft Office 2003 Editions には、マイクロソフトから利用できる最初の RMS 対応のアプリケーションです。

    • 権利が保護された Microsoft Office システム ドキュメント (ワークシート、プレゼンテーション、および電子メール メッセージなど) の作成と表示には、Microsoft Office Professional Edition 2003 が必要です。

    • その他の Office 2003 Editions では、作成者から権利を付与されている場合、指定されたユーザーは、権利が保護されたドキュメントを表示および編集できます。 権利が保護されたコンテンツを作成することはできません。

表 1 は RMS の展開に最低限必要なハードウェアの構成を示します。

1 必要なハードウェア

要件

推奨

1 基の Pentium III プロセッサ (800 MHz 以上) 搭載のシングル プロセッサ コンピュータ

2 基の Pentium 4 プロセッサ (1500 MHz 以上) 搭載のデュアル プロセッサ コンピュータ

256 MB の RAM

512 MB の RAM

20 GB のディスクの空き領域

40 GB のディスクの空き領域

1 枚のネットワーク インターフェイス カード

1 枚のネットワーク インターフェイス カード

表 2 は、RMS の実行に必要なソフトウェア プラットフォームを示します。

2 必要なソフトウェア

コンポーネント

要件

オペレーティング システム

すべてのエディションの Microsoft Windows Server 2003 (Web Edition を除く)

ログ

Windows Server 2003 に含まれたメッセージ キュー (以前の名前は MSMQ)。ログをサポートするには、データベース サーバーがセットアップされている必要があります。

Web サービス

インターネット インフォメーション サービス (IIS)、Windows Server 2003 ファミリで提供されている Web サービス。 ASP.NET が有効になっている必要があります。

表 3 は、RMS を実行するためにインフラストラクチャに存在する必要がある追加の要素を示します。

3 必要なインフラストラクチャ

コンポーネント

要件

ディレクトリ サービス

Windows 2000 Server SP3 以降または、Windows Server 2003 のドメイン (RMS がインストールされているドメイン) で実行中の Active Directory。 RMS を使用してライセンスを取得し、コンテンツを発行するすべてのユーザーとグループは、Active Directory で構成された電子メールアドレスを所持している必要があります。

データベース サーバー

SP3 以降を適用した Microsoft SQL Server 2000 (Standard または Enterprise Edition) などのデータベース

または

テスト用またはその他の 1 台のサーバーへの展開用の、SP3 を適用した Microsoft SQL Server Desktop Engine (MSDE)。

IRM と RMS の展開

IRM の機能は RMS の機能を拡張したものなので、IRM を展開するには RMS を展開する必要があります。 RMS を展開したら、IRM を展開するのに必要な手順は、コンピュータに Windows Rights Management クライアントをインストールするだけです。 WRM クライアントをインストールすると、クライアント コンピュータおよび各インフォメーション ワーカーには、IRM の使用を許可する証明書が与えられます。

RMS および IRM の展開を行うには、同様に以下の基本的な手順を使用します。

  1. 「IRM と RMS の展開の要件」に記載されている必要なハードウェア、必要なソフトウェア、および必要なインフラストラクチャが満たされていることを確認します。

  2. RMS サーバー ソフトウェアを入手して、インストールします。

  3. マイクロソフトから Windows RMS のライセンサ証明書を入手して、サーバーを登録します。 この証明書は、組織ごとに異なります。

  4. Active Directory にサーバーの URL を登録します。

  5. 各インフォメーション ワーカーのコンピュータに Rights Management クライアント ソフトウェアを展開します。 Microsoft Systems Management Server (SMS) またはグループ ポリシー スクリプトを使用して、自動的に各コンピュータに Rights Management クライアントを展開することもできます。

    1. RMS クライアント ソフトウェアのインストール中にコンピュータのライセンス認証が行われます。 この処理では、各コンピュータに一意な RMS ロックボックスおよびコンピュータの証明書が発行されます。

  6. RMS ユーザーを認定します。 インフォメーション ワーカーが RMS を使用した場合 (たとえば、Microsoft Office 2003 Editions のプログラムで IRM を使用した場合)、以下の処理が行われます。

    1. コンピュータは、保護されたコンテンツを作成する許可のあるコンピュータとして認証されるための証明書を取得します。

    2. インフォメーション ワーカーは、認証済みのコンピュータと自分とを関連付け、保護されたコンテンツを作成できるようにする証明書を取得します。

展開に関する最後のセクションでは、クライアント コンピュータがセキュリティで保護されたコンテンツをオフラインで発行できるようにする方法についても説明します。

標準の RMS システムトポロジ
標準の RMS システム トポロジは、Windows RMS ルート インストールまたはクラスタを構成する 1 台または複数台の物理サーバーで構成されます。 ルート インストールでは、証明書サービスとライセンス サービスの両方が提供されます。 大規模な展開では、1 つの共有の URL を使用して複数台の物理サーバーを 1 つのクラスタとして構成できます。以下に、この例を示します。

rmsi09

図 9: RMS トポロジの例

すべての証明書およびライセンス要求は、一連のサーバー用に定義された共有の URL を経由してルート クラスタに送信されます。 仮想アドレスの実装方法には、ラウンド ロビン DNS、Windows Load Balancing Service、ハードウェア ソリューションなど多くの方法があります。 仮想アドレスを割り当てることによって、サーバー間で負荷分散が行われ、ライセンス認証や証明書の発行が 1 台のサーバーに集中することを回避して、フォールト トレランスが実現されます。

Windows RMS では、Microsoft SQL Server 2000 Service Pack 3 (SP3) または Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) SP3 などのデータベースを使用して、サーバーの構成情報およびポリシー情報を管理しています。 MSDE は、1 台のサーバー構成を使用している場合にのみ使用することをお勧めします。 構成データベースは、サーバー構成情報や他のデータの保存、共有、および取得を行うのに使用します。 1 つの Windows RMS サーバー クラスタにつき、1 つの構成データベースが存在します。 構成データベースおよびログ データベースは、クラスタ内の 1 台の物理サーバーに配置するか、またはリモート SQL Server インスタンスを指定して別のサーバーに配置できます。

このサンプル トポロジに示した RMS の主な展開手順は、1 台のサーバーに RMS を実装する場合も機能的には同様です。 ここでは、説明を簡潔にするため、1 台のサーバーに RMS を展開する場合について説明します。 トポロジの選択に関する詳細については、ヘルプ ファイルの「トポロジの設計」を参照してください。

RMS サーバーソフトウェアのインストール
RMS サーバー ソフトウェアのインストールは、必要なハードウェア、必要なソフトウェア、および必要なインフラストラクチャが満たされていることを確認した後、次の 2 つの簡単な手順を使用して行います。

  1. RMS ソフトウェアを入手します。 詳細については、https://www.microsoft.com/japan/windowsserver2003/technologies/rightsmgmt/default.mspx を参照してください。

  2. ルート サーバーに Windows RMS サーバー ソフトウェアをインストールします。

    • RMS サーバー ソフトウェアには、RMS の展開計画およびセットアップを支援するための展開に関する詳細情報を記載したヘルプ ファイルが同梱されています。

RMS システムへのサーバー登録
Windows RMS をインストールすると、Windows RMS グローバル管理サイトが作成されます。管理者は、このサイトを使用して RMS システムのサーバーやサービスを構成できます。 このサイトには、[ スタート ] ボタンをクリックし、[ すべてのプログラム ] をポイントして、[Windows RMS] プログラム グループからアクセスできます。

RMS システムで提供 (登録) するサーバーでは、1 つの Web サイトのみをホストすることをお勧めします。 グローバル管理ページには、サーバー上にあるすべてのサイトが表示されます。 既定の RMS サイトのみが存在する場合、[ この Web サイトに RMS を提供する ] をクリックすると、次に示すような [RMS ルート証明サーバーの提供 ] ページが表示されます。

Cc984234.rmsi10s(ja-jp,TechNet.10).gif

図 10: RMS ルート証明サーバーの提供ページの一部

情報を入力して [ 送信 ] ボタンをクリックすると、RMS サーバーが提供されます。 この処理では、提供する RMS サーバーが RMS システム内の唯一の RMS サーバーであるかどうかを判断して、Windows RMS ルート クラスタを設定します。 このサーバーでは、RMS サーバーのライセンサ証明書の要求をマイクロソフトによってホストされている Web サービス "Microsoft 登録サービス" に送信します。 この要求の送信は、SSL (Secure Socket Layer) セキュリティ技法を使用して行われます。 このページで入力した情報は、Microsoft 登録サービスで、要求を送信した組織に対して Windows RMS ライセンサ証明書を発行する目的にのみ使用されます。

各 RMS システムでは、Microsoft 登録サービスを使用して少なくとも 1 台のサーバーを登録する必要があります。 Windows RMS ルート クラスタに後から追加されたサーバーでは、同じ RMS ライセンサ証明書が使用されます。 既存のルート インストールまたはライセンス認証のみが行われたサーバーで構成されているクラスタに新しいサーバーを追加すると、新しいサーバーは既存のクラスタ構成を引き継ぐので、明示的には登録されません。

サーバーを登録する順を追った手順の詳細については、RMS ヘルプ ファイルの「最初のルート証明サーバーを提供するには」を参照してください。

サーバー URL の登録
クライアントは RMS サーバーの場所を把握している必要があります。 基本的な方法としては、RMS サーバーの URL を Active Directory の接続ポイントとして登録する方法があります。 これを行うには、管理者は、まず、グローバル管理のページを表示します。 サーバーを提供 (登録) すると、このページには [ この Web サイトの RMS を管理する ] というリンクが表示されるようになります。 このリンクをクリックすると、次の管理ページが表示されます。

Cc984234.rmsi11s(ja-jp,TechNet.10).gif

図 11: RMS のメイン管理ページ

管理者は、この管理ページのグローバル管理ページの [ サービス接続ポイント ] リンクをクリックし、[URL の登録 ] をクリックします。 この操作により、Active Directory には RMS サーバーの URL を含むエントリが作成されます。 これ以外の変更 (スキーマの変更など) が Active Directory に加えられることはありません。 既定では、クライアントは Active Directory に発行された値を使用します。 複数のサイトやドメインが存在する場合など、組織では、クライアントが特定のサーバーをプライマリ RMS サーバーとして使用する必要のある場合があります。 一部のクライアントでは、Active Directory に登録されているサーバー URL への通常の接続処理をオーバーライドするようにレジストリ キーを構成する必要のある場合があります。 変更する必要のあるレジストリ キーは、次のとおりです。

値の名前 : CorpCertificationServer

値の種類 : REG_SZ

値のデータ : <URL>

クライアントコンピュータのセットアップ
RMS システムに参加している各クライアント コンピュータは、RMS システム内で信頼されたエンティティとして構成されている必要があります。 クライアント コンピュータをセットアップするには、Windows Rights Management クライアント コンピュータの存在を確認し、そのクライアント コンピュータのライセンス認証を行う必要があります。 クライアント コンピュータをセットアップすると、インフラストラクチャが配置され、RMS 対応のアプリケーションを使用して権利が保護された情報を発行および使用できるようになります。

Rights Management クライアント ソフトウェアは、https://www.microsoft.com/downloads/search.aspx?langid=13&displaylang=ja から入手できます ("Rights Management クライアント" で検索してください)。

組織では、Microsoft Systems Management Server などの一般的なソフトウェア展開ツールを使用して、クライアント コンピュータにクライアント コンポーネントをインストールできます。または、RMS 対応のアプリケーションのインストールで、Windows Update Web サイトからクライアント コンポーネントをインストールするようにもできます。

RMS ユーザーの認定
認定プロセスでは、Rights Management アカウント証明書が作成されます。この証明書は、ユーザー アカウントを特定のコンピュータと関連付け、インフォメーション ワーカーが関連付けられたコンピュータから権利が保護された情報にアクセスしたり、使用できるようにするためのものです。 インフォメーション ワーカーが、初めて権利が保護された情報を発行したり、クライアント コンピュータ上にある権利が保護された情報にアクセスすると、RMS 対応のアプリケーションでは、Windows RMS ルート インストールにアカウント証明書の要求が送信されます。

Windows RMS ルート インストールでは、Windows 認証を使用してインフォメーション ワーカーの ID を検証し、アカウント証明書を作成します。このアカウント証明書には、インフォメーション ワーカーの検証済みの資格情報に基づいた公開キーと秘密キーのペアが含められます。 Windows RMS ルート インストールでは、クライアント コンピュータの証明書の公開キーを使用してインフォメーション ワーカーの秘密キーが暗号化され、ユーザーのアカウント証明書には暗号化された秘密キーが含められます。 その後、証明書の要求元アプリケーションにアカウント証明書が発行されます。 今後、アプリケーションで情報を発行する際、または使用ライセンスを要求する際にもアカウント証明書を使用できるように、アカウント証明書はコンピュータ上またはデバイス上に保存されます。

アカウント証明書を要求するには、クライアント コンピュータの証明書が必要になります。そのため、ユーザー 証明書の要求ではクライアント コンピュータのライセンス認証が行われます。 インフォメーション ワーカーは、使用するコンピュータごとにアカウント証明書を取得する必要があります。 インフォメーション ワーカーが複数台のコンピュータを使用している場合、各コンピュータには一意なアカウント証明書が発行されますが、各証明書にはインフォメーション ワーカーごとに発行される一意な秘密キーと公開キーが共通に含まれます。

アプリケーションで使用ライセンスの要求が行われた場合、要求にはアカウント証明書が含められます。 Windows RMS ライセンス サーバーでは、アカウント証明書の公開キーを使用して、Windows RMS サーバーの公開キーで暗号化された発行ライセンスの対称キーを暗号化します。 この処理を行うことで、信頼されたエンティティのみが使用ライセンスにアクセスおよび使用できるようになります。

オフライン発行用のクライアントコンピュータの登録
クライアント コンピュータは、ルート インストールまたはライセンス サーバーに登録して、Rights Management クライアントのライセンサ証明書を取得できます。 インフォメーション ワーカーは、この証明書を使用して、コンピュータが企業ネットワークに接続されていないときにも保護された情報を発行できます。 オフラインで発行された情報の発行ライセンスは、ライセンス サーバーではなく、クライアント コンピュータにより署名および発行されます。発行ライセンスには、そのクライアント コンピュータから発行された権利が保護された情報の使用権利および条件が含まれています。

ローカル登録を行うには、以下の手順を使用します。

  1. クライアント コンピュータから RMS サーバーにインフォメーション ワーカーのアカウント証明書および登録要求が送信されます。

  2. サーバーでは、ネットワーク管理者の設定に基づいてサブ登録が許可されているかどうか、送信されたアカウント証明書が構成データベースにある除外リストの一覧に含まれていないことが確認されます。

  3. サーバーでは、要求を送信したインフォメーション ワーカーにオフライン発行権利を付与するための公開キーと秘密キーのペアが作成されます。 クライアントのライセンサ証明書が作成され、作成された証明書には公開キーが含められます。 その後、アカウント証明書に含まれている公開キーを使用して秘密キーが暗号化され、暗号化された秘密キーが証明書に含められます。

  4. ルート インストールでは、ローカル コンピュータに対してクライアント ライセンサ証明書が発行されます。

IRM/RMS 環境の管理

展開について説明した上記のセクションでは、RMS および IRM の主要なサービスを設定して実行するために必要な手順に関する情報を提供しました。 RMS を展開したら、今度は RMS を効率的に使用および管理する必要があります。 ユーザーは、他のインフラストラクチャ コンポーネントと同様に、さまざまな方法で RMS および IRM を使用します。使用方法によって機能や設定が異なります。 たとえば、信頼ポリシーや除外ポリシーを使用する必要のある場合もあれば、そのようなポリシーを使用する必要のない場合もあります。

RMS の管理ページ (図 11 参照) から実行できる主な管理作業の簡単な概要を以下に示します。

  • 信頼ポリシー このリンクをクリックすると、[ 信頼ポリシー ] Web ページが表示されます。このページでは、信頼されたユーザー ドメインや信頼された発行ドメインを追加または削除できます。 信頼されたユーザー ドメインの除外リストでは、ユーザーを追加または削除します。 サーバーのライセンサ証明書をファイルにエクスポートし、別の RMS システムにインポートすることができます。

  • 権利ポリシーテンプレート このリンクをクリックすると、[ 権利ポリシーテンプレート ] Web ページが表示されます。このページでは、企業で使用する権利ポリシー テンプレートを作成および変更できます。

  • ログの設定 このリンクをクリックすると、[ ログの設定 ] Web ページが表示されます。このページではログ記録を有効および無効にしたり、ログ サーバーやログ データベースを参照できます。

  • エクストラネットクラスタの URL 設定 このリンクをクリックすると、[ エクストラネットクラスタの URL 設定 ] Web ページが表示されます。このページでは、エクストラネットから証明書サーバーやライセンス サーバーへアクセスするための URL を指定できます。

  • RM アカウント証明レポート このリンクをクリックすると、[RM アカウント証明レポート ] Web ページが表示されます。このページでは、証明書サーバーで配布した RMS アカウント証明書数を参照できます。また、このページは、必要なクライアント アクセス ライセンス数を推定する手段として使用することもできます。

  • セキュリティ設定 このリンクをクリックすると、[ セキュリティ設定 ] Web ページが表示されます。このページでは、ライセンスが発行されたすべてのコンテンツに対してフル コントロールを持ち、秘密キーのパスワードをリセットすることができるスーパー ユーザー グループのメンバを追加および削除できます。

  • 証明の設定 このリンクをクリックすると、[ 証明の設定 ] Web ページが表示されます。このページでは、証明書の有効期限を指定したり、管理者の連絡先を指定できます。

  • 除外ポリシー このリンクをクリックすると、[ 除外ポリシー ] Web ページが表示されます。このページでは、RM ロックボックスのバージョン、Windows のバージョン、アカウント証明書、およびアプリケーションに基づいて除外ポリシーを有効にすることができます。

  • RMS サービス接続ポイント このリンクをクリックすると、[RMS サービス接続ポイント ] Web ページが表示されます。このページでは、クラスタで使用するサービスの接続ポイントの登録または登録解除を行えます。

管理者は、Microsoft 管理コンソール (MMC) を使用して、イベントを監視したり、Active Directory、インターネット インフォメーション サービス (IIS)、および SQL Server を管理するなど、他の管理作業を行えます。

次のセクションでは、これらの作業の詳細について説明し、組織のニーズに応じて、これらの操作をいつ行うべきかについての情報を提供します。 組織のニーズから構成要件を導く方法を理解するために、まず一般的な事例を使用して説明します。

IRM および RMS の使用事例
ここで使用する事例は、上記のセクションで説明した構成をいつ使用し、基本的な展開ではなく、高度な展開を行う必要がある (お勧めする) 場合を理解するための基礎として提供するものです。 この事例は、累積形式で提供します。

主要な使用事例
たとえば、Microsoft Office Outlook® 2003 で IRM を使用して、インフォメーション ワーカーがツール バーの [ アクセス許可 ] ボタンをクリックして、電子メール メッセージに権利を追加するオプションを選択したとします。 インフォメーション ワーカーが、企業ドメイン内の従業員が添付ファイルと電子メールの両方を開ける権利を指定したとします。 また、メッセージの有効期限を追加したとします。 従業員が電子メールを開封すると、Outlook 側では従業員の使用権利が適用され、添付ファイルのライセンスが保護されます。 有効期限が過ぎると、従業員はメッセージも添付ファイルも開くことができなくなります。 この機能は、他の Office 2003 Editions のプログラムについても同様に適用されます。

この事例の重要な点は以下のとおりです。

  1. すべての関係者は同じドメイン内に存在しています。

  2. すべての関係者は Office Professional Edition 2003 を使用しています。

  3. インフォメーション ワーカーは、オプション (有効期限、権利を付与するユーザーなど) を手動で設定しています。

この事例では、基本的な RMS コンポーネントおよびクライアント コンポーネント以外を展開する必要はありません。 この事例および他のすべての事例において、管理者は、権利ポリシー テンプレート、失効リスト、または除外ポリシーを使用することはできますが、この資料で説明する使用事例では、これらの機能を明示的に使用する必要はありません。

:
ここで説明する事例は、ターミナル サービス環境でも実現できます。 重要な違いは、機能的なものではなく技術的なものです。 ターミナル サービス環境では使用証明書は同じ物理サーバー上に存在していますが、インフォメーション ワーカーは通常どおりに IRM を使用できます。

ドメインをまたがる事例
IRM の使用方法は、インフォメーション ワーカーがドキュメントまたは電子メールに権利を指定して送信するという上記の事例と同様ですが、この事例では一部の受信者のアカウントが同じドメインに存在していません。

この事例では、管理者は信頼ポリシーを設定する必要があります。信頼ポリシーについては、この資料の後半の「信頼ポリシー」を参照してください。

以前のバージョンの Office を使用する事例
ドメインをまたがる事例の続きになりますが、信頼されたパートナー ドメイン内に存在するインフォメーション ワーカーが以前のバージョンの Office を使用していても、Rights Management Internet Explorer アドオンを使用して権利が保護されたコンテンツを使用できます (コンテンツの使用時にはアドオンのインストールを要求するダイアログ ボックスが表示されます)。 この際、管理者が構成する必要のあるコンポーネントはありません。

管理者が行う必要のある基本的な操作は上記のとおりです。 次のセクションでは、各管理機能の詳細および機能の使用方法について説明します。

権利ポリシーテンプレート
Windows RMS サーバーの管理サイトで、管理者は公式権利ポリシー テンプレートの作成、既存のテンプレートの削除または変更、RMS システム内の権利ポリシー テンプレートの場所を指定できます。 テンプレートには、特定の受信者や Active Directory グループ、情報の使用ライセンスの有効期間、情報を発行してからユーザーが情報にアクセスできる期間、および特定のRMS 対応のアプリケーションで有益なカスタム値など、さまざまな条件を含めることができます。

テンプレートでは、失効リストを指定することもできます (詳細については、「失効リスト」を参照してください)。 テンプレートでは、失効リスト ファイルの URL およびリストの有効期限を日単位で指定します。 失効リストが指定されたテンプレートに基づいた使用ライセンスが要求されると、インフォメーション ワーカーが保護されたデータにアクセスできるようになる前に、システムでは失効リストの確認が行われます。

権利ポリシー テンプレートは、構成データベースとネットワーク共有の両方に保存されています。 メールの作成者が発行ライセンスを要求すると、RMS 対応のアプリケーションでは、ネットワーク共有から権利ポリシー テンプレートがコピーされます。 受信者が使用ライセンスを要求すると、Windows RMS ライセンス サーバーでは、構成データベースから権利ポリシー テンプレートが適用されます。このように、使用ライセンスの条件はテンプレートの最新バージョンが反映されるようになります。

テンプレートの作成

権利ポリシーテンプレートを追加する方法

  1. 管理ページの管理用のリンクの一覧で、[ 権利ポリシーテンプレート ] をクリックします。

    Cc984234.rmsi12s(ja-jp,TechNet.10).gif

    図 12: 権利ポリシー テンプレートのページ

  2. [ 権利ポリシーテンプレートの追加 ] をクリックします。

  3. [ 権利ポリシーテンプレートの設定 ] ページでは、テンプレートに適用するすべての設定を指定できます。たとえば、テンプレート名、ユーザーまたはグループごとのアクセス許可 (この設定には配布リストを使用します)、有効期限ポリシーなどを指定できます。

    Cc984234.rmsi13s(ja-jp,TechNet.10).gif

    図 13: 権利ポリシー テンプレートの作成

  4. [ 送信 ] をクリックします。

権利ポリシー テンプレートの作成に関する詳細については、RMS ヘルプ ファイルを参照してください。

グループポリシーを使用してテンプレートを使用できるようにする
アクセス許可ポリシーを作成したら、ポリシーをすべてのユーザーがアクセスできるサーバー共有に配置するか、またはユーザー コンピュータのローカル フォルダにコピーする必要があります。 Office11.adm テンプレートにある IRM ポリシー設定を使用して、これらのアクセス許可ポリシーが保存されている場所 (ローカルまたはサーバー共有) を指定できます。 アクセス許可ポリシーを利用できるようにし、必要なグループ ポリシーの設定を実装して、ユーザーにグループ ポリシーの設定を適用すると、[ アクセス許可 ] サブメニューには、ユーザー設定のアクセス許可ポリシーが表示されるようになります。

Office 2003 Editions でグループ ポリシーを使用する方法の詳細については、Office リソース キットの「ポリシーのしくみ」を参照してください。

Office11.adm ポリシー テンプレートの "アクセス許可" セクションに用意されている構成済みのポリシーを有効にして、配布することもできます。 IRM ポリシー "アクセス許可のポリシーのパスの指定" が実装され、Microsoft Active Directory ディレクトリ サービスを使用してポリシーが適用されている場合、IRM では指定された場所に保存されている利用できるテンプレートが自動的に検出されます。 RMS 対応の Office 2003 Editions のプログラムでは、ユーザー設定のアクセス許可ポリシーが表示されます。

IRM のレジストリエントリ
以下に IRM と関連付けられた主なレジストリ エントリを示します。 これらの大部分のエントリには、同等のポリシー エントリがあります。

以下の 2 つのレジストリ エントリは、HKLM\Software\Microsoft\Office\11.0\Common\DRM にあります。

値の名前 : CorpLicenseServer

値の種類 : REG_SZ

値のデータ : <URL>

管理者は、この設定を使用して、Active Directory で指定された Windows Rights Management サーバーの場所をオーバーライドできます。

値の名前 : CorpCertificationServer

値の種類 : REG_SZ

値のデータ : <URL>

管理者は、この設定を使用して、Active Directory で指定された証明用の Windows Rights Management サーバーの場所をオーバーライドできます。

これ以降に記載するレジストリ エントリは、HKCU\Software\Microsoft\Office\11.0\Common\DRM にあります。

値の名前 : Disable

値の種類 : DWORD

値のデータ : [ 0 | 1 ]

このキーが 1 に設定されている場合、すべての Office 2003 Editions のプログラムの Rights Management と関連付けられているユーザー インターフェイスは無効になります。 この設定は、"Information Rights Management のユーザー インターフェイスを無効にする" ポリシーに相当します。

値の名前 : DisablePassportCertification

値の種類 : DWORD

値のデータ : [ 0 | 1 ]

このキーが 1 に設定されている場合、ユーザーは Passport により認証されたアカウントを使用して作成されたコンテンツを開くことはできません。 この設定は、"アクセスが制限されているコンテンツに Microsoft Passport を無効にする" ポリシーに相当します。

値の名前 : IncludeHTML

値の種類 : DWORD

値のデータ : [ 0 | 1 ]

このキーが 1 に設定されている場合、Office 2003 Editions のプログラムを所持していないユーザーは、Rights Management Internet Explorer アドインを使用して、コンテンツを表示できます。 この設定は、"以前のバージョンの Office を使用するユーザーが Information Rights Mangement をサポートするブラウザで閲覧できるようにする" ポリシーに相当します。

値の名前 : RequestPermissionURL

値の種類 : REG_SZ

値のデータ : <URL または電子メール アドレス>

管理者は、この設定を使用して IRM コンテンツへのアクセスに関する詳細情報の入手場所を指定できます。 この場所には URL または電子メール アドレスを設定できます。 この設定は、"追加権限の要求先" ポリシーに相当します。

値の名前 : RequireConnection

値の種類 : DWORD

値のデータ : [ 0 | 1 ]

このキーが 1 に設定されている場合、IRM のアクセス許可が有効になっている Office ドキュメントを開こうとしたユーザーはインターネットまたはローカル エリア ネットワークに接続され、Passport または RMS により、ユーザーが保持しているライセンスが確認されます。 この設定は、"接続時に必ずユーザーの権限を確認する" ポリシーに相当します。

値の名前 : AutoExpandDLsEnable

値の種類 : DWORD

値のデータ : [ 0 | 1 ]

このキーに 1 が設定されている場合、ユーザーが [ アクセス許可 ] ダイアログ ボックスでファイルにアクセス許可を適用する際の動作が通常の場合と異なります。 このダイアログ ボックスでグループを選択すると、グループが自動的に展開され、グループのすべてのメンバが表示されます。 この設定は、"ドキュメントに対しアクセス件が制限されている時に常にグループを展開する" ポリシーに相当します。

値の名前 : AdminTemplatePath

値の種類 : REG_SZ

値のデータ : <UNC またはネットワーク ドライブを割り当てたドライブ>

このキーが設定されている場合、IRM を使用している Office 2003 Editions のプログラムでは、このレジストリ キーで指定されたパスをスキャンして、アクセス許可ポリシーが存在するかどうかを確認できます。 アクセス許可ポリシーが存在する場合、これらのアクセス許可ポリシーは [ ファイル ] メニューの [ アクセス許可 ] サブメニューに表示されます。 この設定は、"コンテンツのアクセス許可要のポリシー テンプレートのパスを入力" ポリシーに相当します。

失効リスト
管理者は失効リストを作成して、権利が保護された情報にアクセスできないようにする必要があるインフォメーション ワーカー、アプリケーション、または他の信頼されたエンティティを指定できます。 発行ライセンスまたは使用ライセンスの発行処理で使用した 1 つ以上の証明書で、失効リストの条件を指定できます。 失効リストの条件が指定されている場合、RMS 対応のクライアント アプリケーションでは常に失効リストが確認され、要求を送信したエンティティが信頼されていても、エンティティが失効リストに登録されていると、ライセンス要求は拒否されます。

すべての証明書は失効させることができます。 既定では、証明書を発行したエンティティのみが証明書を失効させることができ、証明書を発行したエンティティが署名した失効リストでのみ証明書を失効させることができます。 証明書では以下の項目を指定することもできます (これらの項目は省略可能です)。

  • 証明書を失効させることができるエンティティまたはエンティティの一覧。 失効エンティティには、サード パーティを指定することもできます。

  • 空の公開キーを失効キーに指定し、証明書が失効されないようにします。

また、権利ポリシー テンプレートでは、失効リストの条件も指定できます。 たとえば、組織では、機密情報に適用されたテンプレートの失効リストを確認し、機密度の低いデータに適用されたテンプレートの失効リストの確認を省略することができます。 テンプレートで失効リストの有効期間を指定して、情報の保護を強化できます。 たとえば、テンプレートでは、10 日以内に作成された失効リストのみが有効で、それ以前に作成された失効リストは適用しないように指定できます。

失効リストは、XrML のボキャブラリに準拠した XML 形式のプレーン テキスト ファイルとして作成し、Windows RMS で提供されているユーティリティを使用して、秘密キーで署名します。 秘密キーで署名された失効リストでは、署名に使用した秘密キーに対応する公開キーの所有者が指定した信頼されたエンティティを失効させることができます。 このファイルは、失効リストを使用する必要のあるすべてのインフォメーション ワーカーが利用できる場所 (企業ネットワークおよびインターネットの両方からアクセスできる URL など) に配置します。 このような場所にファイルを配置すると、社内外の両方のインフォメーション ワーカーがファイルにアクセスできるようになります。 失効リストの条件が指定されている場合に、有効な失効リストが見つからない場合、権利が保護された情報へのアクセスは拒否されます。

以下のような状況が発生した場合、組織では信頼されたエンティティを失効リストに登録できます。

  • 秘密キーが明るみに出たか、または許可されていないユーザーからアクセスされた疑いがある場合

  • 許可されていないユーザーからアクセスされた疑いはないが、証明書の発行者がキーの失効を要求した場合

  • 信頼されたエンティティが有効でなくなった場合 (たとえば、従業員が解雇された場合)

  • セキュリティ強化を実施する必要がある場合 (たとえば、ある特定のクライアント コンピュータに対して発行した証明書が許可されていないユーザーにより使用された場合)

  • 権利の変更に伴い、ユーザーの再認定が必要になった場合

失効リストの作成および管理
失効リストを実装するには、失効リストを展開して、権利が保護されたコンテンツへのアクセスを許可しない信頼されたエンティティの一覧を登録する必要があります (失効リストは、XrML 言語を使用した XML ドキュメントです)。 作成した失効リストは、Windows RMS で提供されている失効リスト署名ツールを使用して、適切にタイム スタンプの設定および署名を行う必要があります。

失効リストの作成時に設定できるオプションは多数あります。失効リストを作成する際には、RMS ヘルプ ファイルの「失効リストの作成」を参照することをお勧めします。

除外ポリシー
管理者は、Windows RMS の管理ページを使用して、サーバーごと、または RMS システム内のサーバー クラスタごとに個別の除外ポリシーを設定して、特定の信頼されたエンティティがサーバーから新しいライセンスを取得できないようにすることができます。 除外ポリシーでは、許可のないユーザーが信頼されたエンティティになりすまして、RMS サーバーから使用ライセンスを取得することを防止します。 ただし、失効リストと異なり、除外ポリシーは信頼されたエンティティを無効にするためのものではありません。 除外ポリシーで除外された信頼されたエンティティによる新しいライセンス要求は拒否されますが、このエンティティと関連付けられた既存のライセンスは、依然として有効です。

管理者は、以下の信頼されたエンティティを除外できます。

  • RMS ロックボックスのバージョン 管理者は、すべてのライセンス要求の確認に使用するロックボックスのバージョンを指定できます。 指定したロックボックスのバージョン以前のロックボックスを使用しているクライアント コンピュータから送信された要求は拒否されます。 ロックボックスの除外では、ロックボックスが最新の場合にのみバインドするという条件で使用ライセンスにタイム スタンプを追加します。 この条件をライセンスに適用すると、使用ライセンスの取得には使用しないけれども、権利が保護された情報の暗号化解除に使用するコンピュータにも除外ポリシーを適用できるようになります。

    組織で、この除外ポリシーを適用すると、インフォメーション ワーカーは使用しているコンピュータのライセンス認証を再度行うまで、新しい使用ライセンスを取得できなくなります。 ただし、インフォメーション ワーカーが既に保持している、以前に使用ライセンスを取得したファイルへのアクセスには影響ありません。 ユーザーの操作に影響が出ないように、管理者は除外ポリシーを有効にする前に、組織で新しいロックボックスを展開する必要があります。 除外ポリシーを有効にする前にロックボックスを展開した場合、除外ポリシーは、新しいロックボックスが展開されなかったコンピュータを強制的にアップグレードする手段として使用できます。

  • Windows のバージョン Windows 98 Second Edition および Windows Millennium Edition では、NTLM 認証がサポートされていません。 組織では、これらの OS を使用しているクライアントが使用ライセンスを取得できないようにすることができます。

  • アカウント証明書信頼されたインフォメーション ワーカーのアカウント証明書のキーが許可されていないユーザーにより使用された疑いがある場合、管理者はそのインフォメーション ワーカーのアカウント証明書の公開キーを除外できます。 除外された公開キーに対して新しい使用ライセンスは発行されないので、インフォメーション ワーカーは再認定を受けて、別のキーのペアを使用した新しいアカウント証明書を発行してもらう必要があります。 これ以降の作業では、この新しいアカウント証明書が使用されます。 ただし、インフォメーション ワーカーは、以前に使用ライセンスが発行された権利が保護された情報にアクセスするため、除外されたアカウント証明書を保持しておくことができます。

  • アプリケーション特定のアプリケーションを使用して使用ライセンスを取得できないようにすることができます。 管理者は、除外対象となるアプリケーションのバージョン番号を指定できます。

除外ポリシーの作成
管理者は、RMS サーバーのグローバル管理ページの [ 除外ポリシー ] ページで、上記のセクションに記載した 4 つの信頼された任意のエンティティにポリシーを設定ができます。

Cc984234.rmsi14s(ja-jp,TechNet.10).gif

図 14: [除外ポリシー] ページ

ログ
Windows RMS では、RMS システムのセットアップ中にログの記録をサポートするサービスがインストールされます。 このログ サービスは、自動的に有効に設定され、自動的に開始されます。 RMS ログ データベースは、構成データ-ベースとして使用される SQL Server インスタンス上に作成されます。ログ サービスからデータベースにメッセージを転送するため、MSMQ にはプライベート メッセージ キューが作成されます。

管理者は、いつでもログ サービスを有効または無効にすることができます。 ログ サービスを有効にすると、このサービスにより、RMS 要求に関するすべてのデータがログ データベースに送信されます。 管理者は SQL スクリプトを記述して送信される情報量を減らして、組織で必要な特定の情報のみをデータベースに保存できます。 RMS では、使用ライセンス要求が成功した場合も失敗した場合も、要求の処理結果がデータベースに記録されます。 組織では、このログ機能を使用して、権利が保護された情報に正常にアクセスできたインフォメーション ワーカーと、権利が保護された情報に承認されていないアクセスを試みたインフォメーション ワーカーの記録を取ることができます。

信頼ポリシー
既定では、Windows RMS は、別の Windows RMS システムで発行された Rights Management アカウント証明書 (RAC) を保持しているユーザーからの要求を処理しません。 ただし、信頼されたユーザー ドメインの一覧にユーザー ドメインを追加して、信頼されたドメインからの要求が Windows RMS で処理されるようにできます。

信頼されたドメインごとに、特定のユーザーまたはユーザー グループを追加および削除できます。 また、信頼されたユーザー ドメインを削除することはできますが、信頼されたユーザー ドメインから、この Active Directory フォレストのルート証明書クラスタを削除することはできません。 ルート証明書サーバーを含む展開済みの各 Windows RMS サーバーでは、各 Active Directory フォレストのルート証明書クラスタが信頼されています。

信頼ポリシーの構成および管理

信頼されたユーザードメインを追加する方法

  1. 管理ページで [ 信頼ポリシー ] をクリックします。

    Cc984234.rmsi15s(ja-jp,TechNet.10).gif

    図 15: [信頼ポリシー] ページ

  2. [ 信頼されたユーザードメイン ][ 参照 ] をクリックして、信頼関係を確立するためにインポートするユーザー ドメインのサーバーのライセンサ証明書をダブルクリックし、[ 追加 ] をクリックします。

  3. [ 信頼されたユーザードメイン ] ボックスの一覧にドメインの名前が表示されます。

  4. 信頼されたユーザー ドメイン内で信頼する電子メール ドメインを指定するには、一覧に表示されている証明書の名前の隣の [ 信頼されたドメイン ] をクリックして、[ 信頼された電子メールドメイン ] ウィンドウを表示します。

  5. 以下のいずれかの信頼オプションを選択します。

    指定したドメインのすべてのメンバのユーザー アカウントを信頼する場合は、[ すべての電子メールドメインを信頼する。 ] オプションを選択します。

    または

    [ 指定した電子メールドメインのみ信頼する ] を選択し、信頼するドメイン名を入力します。たとえば、「example.com」と入力して、[ 追加 ] をクリックします。 追加したドメインは、[ 信頼された電子メールドメイン ] ボックスの一覧に追加されます。 この一覧からドメインを削除するには、ドメイン名を選択して、[ 削除 ] をクリックします。 この一覧にドメインを追加すると、そのドメインのすべてのサブ ドメインも信頼されます。

信頼ポリシーの作成の順を追った手順の詳細については、RMS サーバー ソフトウェアに同梱されている RMS ヘルプ ファイルを参照してください。

まとめ

RMS のインストールや提供など、実際に RMS を展開する作業は非常に簡単で単純です。 この資料に記載したように、RMS のインストール後に行う保守および管理オプションがありますが、使用中の環境によって一部のオプションが必要な場合とすべてのオプションが必要な場合があります。

この資料に記載していない他の保守に関する問題は、より一般的なもので、RMS データベースに関連した問題になります。たとえば、管理者は、必要に応じて、データベース保守計画を設定し、データベースやログのバックアップ、データベースの整合性チェック、およびログ配布を実行できます。 マイクロソフトでは、RMS の実装において、ディレクトリ サービスとログ データベースで単純な修復モデルを採用し、構成データベースでは完全な修復モデルとトランザクション ログ配布を採用しています。

概して、Office 2003 Editions クライアントで IRM を使用できるようにすることは、管理者にとって企業内のアプリケーション展開における最も容易な作業の 1 つになるでしょう。 この RMS の展開の利点はすぐに現れ、インフォメーション ワーカーは少しの手間をかけるだけで、既存の共同作業プロセスに IRM 機能を組み込むことができます。

関連情報

詳細については、以下の Web サイトを参照してください。

Microsoft Office Online

https://office.microsoft.com/

Windows Rights Management Services

https://www.microsoft.com/japan/windowsserver2003/technologies/rightsmgmt/default.mspx

暗号と PKI の基本

https://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/deploy/confeat/cryptpki.mspx

Rights Management Internet Explorer アドオン

https://www.microsoft.com/japan/windows/ie/downloads/rm/default.mspx

Public Key Infrastructure (英語)

https://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx

製品サポート

Windows RMS の総合的かつ便利な電話およびオンライン サポートは、米国で毎日午前 6 時から午後 6 時までご利用いただけます。緊急案件については、24 時間 365 日サポートいたします。 製品版または MSDN 版の製品をお持ちのユーザーおよび優良顧客には、さまざまな形式のサポートを用意しています。たとえば、インシデント単位のサポート、インシデントを事前購入する固定料金でパック制の電話および Web ベースのサポート、および認定された専門家によってリモートに遂行される相談的なサポート サービスを提供しています。

Microsoft サポートには、https://support.microsoft.com からアクセスできます。 マイクロソフトによる直接的なサポートを必要とする大規模な組織向けの連絡先は、マイクロソフト プレミア サポートから入手できます。

インターナショナル サポートの詳細については、https://support.microsoft.com のインターナショナル サポート リンクをクリックしてください。

また、RMS に同梱されている総合的な展開ガイドには、トラブルシューティング セクションが数多く収録されています。

マイクロソフト テキスト電話 (TTY/TDD) サービスもご利用いただけます。

  1. ワシントン州にお住まいの場合 : (425) 635-4948

  2. 米国にお住まいの場合 : (800) 892-5234

  3. カナダにお住まいの場合 : (905) 568-9641

  4. その他の地域にお住まいの場合は、上記のインターナショナル サポートをご覧ください。


マイクロソフトのサポート サービスは、物価、条件、および状況の変動に伴い、将来予告なしに変更することがあります。

このドキュメントに記載されている情報は、このドキュメントの発行時点におけるマイクロソフトの見解を反映したものです。 変化する市場状況に対応する必要があるため、このドキュメントは、記載された内容の実現に関するマイクロソフトの確約とはみなされないものとします。また、発行以降に発表される情報の正確性に関して、マイクロソフトはいかなる保証もいたしません。

このドキュメントに記載された内容は情報提供のみを目的としています。 明示、暗示または法律の規定にかかわらず、本書の情報についてマイクロソフトはいかなる責任も負わないものとします。

お客様ご自身の責任において、適用されるすべての著作権関連法規に従ったご使用を願います。 このドキュメントのいかなる部分も、米国 Microsoft Corporation の書面による許諾を受けることなく、その目的を問わず、どのような形態であっても、複製または譲渡することは禁じられています。ここでいう形態とは、複写や記録など、電子的な、または物理的なすべての手段を含みます。ただしこれは、著作権法上のお客様の権利を制限するものではありません。

マイクロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、著作権、またはその他の無体財産権を有する場合があります。 別途マイクロソフトのライセンス契約上に明示の規定のない限り、このドキュメントはこれらの特許、商標、著作権、またはその他の無体財産権に関する権利をお客様に許諾するものではありません。

© 2003 Microsoft Corporation. All rights reserved.

Microsoft、Active Directory、Office ロゴ、Outlook、SharePoint、SQL Server、Windows NT、Windows Server、および Windows は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。

記載されている会社名、製品名には、各社の商標のものもあります。

Microsoft Corporation One Microsoft Way, Redmond, WA 98052-6399 USA