次の方法で共有

RMS の機能

RMS には、コンテンツの保護に使用できる統合ソリューションが用意されています。また、RMS システム内の信頼されたエンティティに対して、サーバー、クライアント、およびユーザー アカウントをセットアップおよび構成するためのツールも用意されています。このセットアップには次の機能があります。

  • サーバーの登録。組織は、Microsoft 登録サービスで各ルート証明サーバーを登録することで、RMS システムに参加するフォレストのルート証明サーバーをセットアップします。サーバーがインターネットに接続されている場合、登録処理は自動的に開始されます。サーバーがインターネットに接続されていない場合は、オフライン登録処理を使用して、インターネットに接続可能な別のコンピュータからマイクロソフトに登録要求を発行して、サーバーを手動で登録できます。サーバーが登録されると、組織の RMS 信頼階層でサーバーを識別するためのルート サーバー ライセンサ証明書が割り当てられます。次に組織は、そのフォレストのルート証明サーバー クラスタに加えるか、1 つ以上のライセンス サーバーをルート証明サーバーにサブ登録して、システムを構成する残りのサーバーをセットアップします。サーバー登録処理では、RMS によって信頼されているライセンスをサーバーが発行できるようにするための証明書を確立します。詳細については、このドキュメント コレクションの「RMS テクニカル リファレンス」にある「RMS の登録」を参照してください。
  • クライアント ソフトウェアのインストール。組織は、RMS で保護された情報を作成または利用するすべてのクライアント コンピュータに RMS クライアント ソフトウェアをインストールする必要があります。ソフトウェアのインストール後、コンピュータをライセンス認証する必要があります。ログオン ユーザー用のコンピュータ証明書が作成されると、コンピュータはライセンス認証されます。コンピュータ証明書には、コンピュータの公開キーが含まれています。ライセンス認証処理はコンピュータ内部で行われ、ユーザーからは見えません。
  • ユーザー証明。組織は、RMS インストール内で信頼されたエンティティであるユーザーを識別する必要があります。これを実現するために、RMS はユーザー アカウントを、そのユーザーのコンピュータ専用に保護されたキー ペアに関連付ける RM アカウント証明書を発行します。この証明書により、ユーザーは RMS で保護されたコンテンツを発行したり使用できるようになります。それぞれの証明書には、ユーザーによって使用される情報のライセンスを提供するための公開キーが含まれています。詳細については、このドキュメント コレクションの「RMS テクニカル リファレンス」にある「RMS アカウント証明」を参照してください。
  • クライアント登録。企業ネットワークに接続されていないクライアント コンピュータを使用して、RMS で保護されたコンテンツを発行する場合、クライアント登録が必要になります。RMS に登録されたクライアント コンピュータは、クライアント ライセンサ証明書を受け取ります。この証明書により、ユーザーはコンピュータが企業ネットワークに接続されていないときでも RMS で保護されたコンテンツを発行できるようになります。詳細については、このドキュメント コレクションの「RMS テクニカル リファレンス」にある「RMS クライアントの登録」を参照してください。
  • 標準使用権および条件の定義。RMS では、使用権と条件を表現する手段として、eXtensible rights Markup Language (XrML) version 1.2.1 という XML ボキャブラリを使用します。詳細については、このドキュメント コレクションの「RMS テクニカル リファレンス」にある「XrML」を参照してください。
  • 使用権および条件を定義する発行ライセンス。作成者は RMS 対応アプリケーションのシンプルなツールを使用して、組織のビジネス ポリシーに合致する、コンテンツ固有の使用権および条件を割り当てることができます。これらの使用権および条件は、発行ライセンス内で定義されます。発行ライセンスには、コンテンツを使用できる認証済みユーザーと、そのコンテンツの使用方法と配布方法を指定します。詳細については、このドキュメント コレクションの「RMS テクニカル リファレンス」にある「発行ライセンス」を参照してください。
  • 使用権および条件を強制する使用ライセンス。RMS で保護されたコンテンツを受け取るユーザーがそのコンテンツを表示するには、RMS に使用ライセンスを要求し、受け取る必要があります。使用ライセンスは、個人に付与されます。その人物がコンテンツを使用するときに、使用権および条件が表示されます。RMS 対応アプリケーションは、RMS テクノロジの機能を使用して、使用権および条件を読み込み、解釈し、強制します。詳細については、このドキュメント コレクションの「RMS テクニカル リファレンス」にある「使用ライセンス」を参照してください。
  • 暗号化およびキー。RMS で保護されたコンテンツは必ず暗号化されています。RMS 対応アプリケーションは、対称キーを使用してコンテンツを暗号化します。RMS SP1 のすべてのサーバー、クライアント コンピュータ、およびユーザー アカウントは、1024 ビットの RSA キーの対応キー ペアを持ちます。RMS はこれらのキー ペアを使用して、発行ライセンスと使用ライセンス内のコンテンツ キーを暗号化したり、RMS 証明書とライセンスに署名して、適切に認証されたユーザーとコンピュータにのみアクセスが許可されることを保証します。具体的には、コンテンツ キーは発行ライセンス内のサーバーの公開キーを使用して暗号化されます。ユーザーが保護されたコンテンツを利用しようとすると、コンテンツ キーは使用ライセンス内のユーザー RM アカウント証明書の公開キーを使用して暗号化され、特定のユーザー アカウントに付与されている権利を指定し、強制できるようにします。詳細については、このドキュメント コレクションの「RMS テクニカル リファレンス」にある「RMS の暗号化とキー」を参照してください。
  • [権利ポリシー テンプレート]。管理者は、事前に定義された一連のユーザーに対して使用権および条件を定義する、公式の権利ポリシー テンプレートを作成して配布することができます。これらのテンプレートによって、組織にとって管理しやすい方法で、コンテンツのドキュメント分類階層を確立できます。たとえば組織では、従業員向けの企業機密、求人、非公開情報などのコンテンツに、個別の使用権および条件を割り当てる権利ポリシー テンプレートを作成できます。RMS 対応アプリケーションでは、これらのテンプレートを使用して、ユーザーにとってシンプルで一貫性のある方法で、使用ポリシーをコンテンツに適用できます。詳細については、このドキュメント コレクションの「RMS テクニカル リファレンス」にある「権利ポリシー テンプレート」を参照してください。
  • 失効リスト。管理者は、失効リストを作成して配布することで、有効性を失ったプリンシパルを識別できます。有効性を失ったプリンシパルは、無効化されて原則的に RMS システムから削除されます。組織の失効リストを使用すると、特定のコンピュータまたはユーザー アカウントの証明書を無効にすることができます。たとえば、解雇された従業員の RM アカウント証明書を失効リストに追加して、その RM アカウントを新しい発行ライセンスや使用ライセンスの取得など、いかなる操作にも使用できないようにすることができます。詳細については、このドキュメント コレクションの「RMS テクニカル リファレンス」にある「RMS の失効」を参照してください。
  • [除外ポリシー]。管理者は、要求元のユーザー ID (Windows ログオン資格情報または Microsoft® .NET Passport ID)、RM アカウント証明書、またはロックボックスのバージョンに基づくサーバー側の除外ポリシーを実装して、ライセンス要求を拒否することができます。除外ポリシーによって、有効性を失ったプリンシパルから発行された新しいライセンス要求は拒否されます。 ただし、失効とは異なり、除外ポリシーはそのプリンシパルを無効にはしません。管理者は、潜在的に危険なアプリケーションや有効性を失ったアプリケーションを除外して、そのようなアプリケーションが RMS で保護されたコンテンツの暗号化解除を行えないようにすることもできます。詳細については、このドキュメント コレクションの「RMS テクニカル リファレンス」にある「RMS の除外」を参照してください。
  • ログ。管理者は、組織内の RMS で保護されたコンテンツの使用状況を記録および監査することができます。RMS ではログ サポートがインストールされるので、組織は、発行ライセンスおよび使用ライセンスの発行または拒否など、各種 RMS アクティビティの記録を保持することができます。詳細については、このドキュメント コレクションの「RMS サーバーの運用」にある「ログの管理」を参照してください。
  • 拡張可能でカスタマイズ可能なソリューション。Windows Rights Management サービス SDK を使用すると、RMS を拡張して、追加の機能をサポートできます。