Microsoft Purview Information Protectionから Azure Rights Management サービスを使用してアイテムの暗号化を開始する前に、すべての要件を満たしていることを確認してください。
ファイアウォールとネットワーク インフラストラクチャ
特定の接続を許可するように構成されているファイアウォールまたは同様の介入ネットワーク デバイスがある場合、ネットワーク接続の要件は、次の Microsoft 365 の記事「 Microsoft 365 Common and Office Online」に記載されています。
Azure Rights Management サービスには、次の追加要件があります。
Microsoft Purview Information Protection クライアントを使用する場合: 秘密度ラベルとラベル ポリシーをダウンロードするには、HTTPS で次の URL を許可します: *.protection.outlook.com
Web プロキシを使用する場合: Web プロキシで認証が必要な場合は、ユーザーの Active Directory サインイン資格情報で統合Windows 認証を使用するようにプロキシを構成する必要があります。
プロキシを使用してトークンを取得するときに Proxy.pac ファイルをサポートするには、次の新しいレジストリ キーを追加します。
-
パス:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\ -
キー:
UseDefaultCredentialsInProxy -
型:
DWORD -
値:
1
-
パス:
TLS クライアントからサービスへの接続。 パケット レベルの検査を実行する場合など、 AADRM.COM URL への TLS クライアント間接続を終了しないでください。 これにより、Azure Rights Management サービスのクライアントが Microsoft マネージド証明機関 (CA) と共に使用する証明書のピン留めを解除して、Azure Rights Management サービスとの通信をセキュリティで保護します。
クライアント接続が Azure Rights Management サービスに到達する前に終了するかどうかを判断するには、次の PowerShell コマンドを使用します。
$request = [System.Net.HttpWebRequest]::Create("https://admin.na.aadrm.com/admin/admin.svc") $request.GetResponse() $request.ServicePoint.Certificate.Issuer結果は、発行元 CA が Microsoft CA からのものであることが示されます (例:
CN=Microsoft Secure Server CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US)。Microsoft 以外の発行元 CA 名が表示される場合は、セキュリティで保護されたクライアント間接続が終了しており、ファイアウォールで再構成が必要な可能性があります。
Microsoft 365 Enhanced Configuration Service (ECS)。 Azure Rights Management サービスは、Microsoft 365 Enhanced Configuration Service (ECS) である config.edge.skype.com URL にアクセスできる必要があります。
ECS は、必要に応じて Azure Rights Management サービスを再構成する機能を Microsoft に提供します。 たとえば、ECS は機能や更新プログラムの段階的なロールアウトを制御するために使用され、ロールアウトの影響は収集される診断データから監視されます。
ECS は、機能または更新プログラムに関するセキュリティまたはパフォーマンスの問題を軽減するためにも使用されます。 ECS では、診断データに関連する構成の変更もサポートされており、適切なイベントが確実に収集されるようにします。
config.edge.skype.com URL を制限すると、エラーを軽減する Microsoft の機能に影響を与える可能性があり、プレビュー機能をテストする機能に影響する可能性があります。
詳細については、 Office の不可欠なサービスを参照してください。
ログ記録 URL ネットワーク接続を監査します。 監査ログをサポートするには、Azure Rights Management サービスが次の URL にアクセスできる必要があります。
https://*.events.data.microsoft.com-
https://*.aria.microsoft.com(Android デバイス データのみ)
Active Directory Rights Management Services (AD RMS) との共存
オンプレミス バージョンの Active Directory Rights Management Services (AD RMS) と Azure Rights Management サービスを並べて、同じorganizationで、同じorganization内の同じユーザーによってコンテンツを暗号化する場合、AD RMS では、AD RMS ルート暗号化キーに HYOK (独自のキーを保持) 構成を使用していない限りサポートされません。
このシナリオは、Azure Rights Management サービスへの移行ではサポートされていません。 サポートされている移行パスは次のとおりです。
移行以外のシナリオでは、両方のサービスが同じorganizationでアクティブになっている場合は、両方のサービスを構成して、特定のユーザーのみがコンテンツを暗号化できるようにする必要があります。 このようなシナリオを次のように構成します。
両方のサービスが同時に異なるユーザーに対してアクティブである必要がある場合は、サービス側の構成を使用して排他性を適用します。 Azure Rights Management サービスの オンボード コントロール と発行 URL の ACL を使用して、AD RMS の 読み取り専用 モードを設定します。
Azure ネットワーク セキュリティ グループとサービス タグ
Azure エンドポイントと Azure ネットワーク セキュリティ グループ (NSG) を使用している場合は、次のサービス タグのすべてのポートへのアクセスを許可してください。
- AzureInformationProtection
- AzureActiveDirectory
- AzureFrontDoor.Frontend
さらに、この場合、Azure Rights Management サービスは、次の IP アドレスとポートにも依存します。
- 13.107.9.198
- 13.107.6.198
- 2620:1ec:4::198
- 2620:1ec:a92::198
- 13.107.6.181
- 13.107.9.181
- HTTPS トラフィック用のポート 443
これらの特定の IP アドレスへの送信アクセスを許可する規則と、このポートを使用する規則を必ず作成してください。
Azure Rights Management サービスでサポートされているオンプレミス サーバー
Microsoft Rights Management コネクタを使用する場合、Azure Rights Management サービスでは、次のオンプレミス サーバーがサポートされます。
- Exchange Server
- SharePoint Server
- Windows Serverを実行し、ファイル分類インフラストラクチャ (FCI) を使用するファイル サーバー
サポートされているバージョン、その他の要件、コネクタの構成手順については、「 Microsoft Rights Management コネクタの展開」を参照してください。
サポートされるオペレーティング システム
次のオペレーティング システムは、Azure Rights Management サービスをネイティブにサポートしています。 ただし、Microsoft 365 Enterprise アプリやMicrosoft Purview Information Protection クライアントなど、Azure Rights Management サービスを使用するアプリをインストールする場合は、サポートされているオペレーティング システムに対するそのアプリの要件をチェックします。
| OS | サポートされるバージョン |
|---|---|
| Windows コンピューター | - Windows 10 (x86, x64) - Windows 11 (x86, x64) |
| macOS | macOS 10.8 の最小バージョン (Mountain Lion) |
| Android スマートフォンとタブレット | Android 6.0 の最小バージョン |
| iPhone と iPad | iOS 11.0 の最小バージョン |
| Windows スマートフォンとタブレット | Windows 10 Mobile |
Microsoft Entra要件
Microsoft Entra ディレクトリは、Azure Rights Management サービスを使用するための要件です。 Microsoft Entra ディレクトリのアカウントを使用して、Microsoft Purview ポータルにサインインします。
Microsoft Purview Information Protectionを含むサブスクリプションがある場合は、必要に応じてMicrosoft Entra ディレクトリが自動的に作成されます。
次のセクションでは、特定のシナリオに関するその他のMicrosoft Entra要件を示します。
証明書ベースの認証 (CBA) のサポート
iOS アプリと Android アプリが Azure Rights Management サービスをサポートする場合、証明書ベースの認証がサポートされます。
詳細については、「フェデレーションを使用したMicrosoft Entra ID での証明書ベースの認証の概要」を参照してください。
多要素認証 (MFA)
Azure Rights Management サービスで多要素認証 (MFA) を使用するには、少なくとも次のいずれかがインストールされている必要があります。
Microsoft Entra ID または Microsoft 365 を持つ Microsoft が管理するテナント。 ユーザーに MFA を適用するように Azure MFA を構成します。
詳細については、以下を参照してください:
フェデレーション サーバーがオンプレミスで動作するフェデレーション テナント。 Microsoft Entra ID または Microsoft 365 用にフェデレーション サーバーを構成します。 たとえば、Active Directory フェデレーション サービス (AD FS) (AD FS) を使用している場合は、「AD FS の追加認証方法を構成する」を参照してください。
Rights Management コネクタと MFA
Rights Management コネクタとMicrosoft Purview Information Protection スキャナーは MFA をサポートしていません。
コネクタまたはスキャナーをデプロイする場合、次のアカウントで MFA を必要としてはなりません。
- コネクタをインストールして構成するアカウント。
- コネクタによって作成されるMicrosoft Entra ID Aadrm_S-1-7-0 のサービス プリンシパル アカウント。
- スキャナーを実行するサービス アカウント。
ユーザー UPN 値がメール アドレスと一致しない
ユーザーの UPN 値がメール アドレスと一致しない構成は推奨される構成ではなく、Azure Rights Management サービスのシングル サインオンをサポートしていません。
UPN 値を変更できない場合は、関連するユーザーの代替 ID を構成し、この代替 ID を使用して Office アプリにサインインする方法を指示します。
詳細については、「 代替ログイン ID の構成」を参照してください。
ヒント
UPN 値のドメイン名がテナントで検証されるドメインの場合は、ユーザーの UPN 値を別のメール アドレスとして Microsoft Entra ID proxyAddresses 属性に追加します。 これにより、使用権限が付与された時点で UPN 値が指定されている場合、ユーザーは Azure Rights Management サービスの承認を受けられます。
詳細については、「 ユーザー アカウントとグループが Azure Rights Management サービスを使用する方法」を参照してください。
別の認証プロバイダーを使用したオンプレミスの認証
Microsoft 以外の認証プロバイダーを使用してオンプレミスを認証するモバイル デバイスまたは Mac コンピューターを使用している場合は、OAuth 2.0 プロトコルをサポートする必要があります。
Entra IDの高度な構成
Azure Rights Management サービスへのアクセスを禁止または許可できる Entra の依存構成については、「暗号化されたコンテンツのMicrosoft Entra構成」を参照してください。