Microsoft Rights Management コネクタをデプロイする
この情報を利用して、Microsoft Rights Management コネクタの概要と、ご自分の組織向けに適切にデプロイする方法を学習します。 このコネクタは、Microsoft Exchange Server、SharePoint Server、または Windows Server およびファイル分類インフラストラクチャ (FCI) を実行するファイル サーバーを使用する既存のオンプレミス展開にデータ保護を提供します。
Microsoft Rights Management コネクタの概要
Microsoft Rights Management (RMS) コネクタを使用すると、既存のオンプレミス サーバーで、クラウドベースの Microsoft Rights Management サービス (Azure RMS) で Information Rights Management (IRM) 機能をすばやく使用できます。 この機能により、IT とユーザーは、追加のインフラストラクチャをインストールしたり、他の組織との信頼関係を確立したりすることなく、組織内と外部の両方でドキュメントや画像を簡単に保護できます。
RMS コネクタはコンパクトなサービスであり、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、または Windows Server 2012 を実行しているサーバーにオンプレミスでインストールできます。 コネクタは、物理コンピューター上で実行するだけでなく、Azure IaaS VM を含む仮想マシンでも実行できます。 コネクタをデプロイすると、次の図に示すように、オンプレミス サーバーとクラウド サービスの間の通信インターフェイス (リレー) として機能します。 矢印は、ネットワーク接続が開始される方向を示します。
サポートされているオンプレミス サーバー
RMS コネクタは、次のオンプレミス サーバーをサポートしています。Exchange Server、SharePoint Server、ファイル サーバー。Windows Server を実行し、ファイル分類インフラストラクチャを使用してフォルダー内の Office ドキュメントを分類してポリシーを適用します。
Note
ファイル分類インフラストラクチャを使用して複数のファイルの種類 (Office ドキュメントだけでなく) を保護する場合は、RMS コネクタを使用せず、代わりに AzureInformationProtection コマンドレットを使用します。
RMS コネクタでサポートされているこれらのオンプレミス サーバーのバージョンについては、「Azure RMS をサポートするオンプレミス サーバー」を参照してください。
ハイブリッド シナリオのサポート
一部のユーザーがハイブリッド シナリオでオンライン サービスに接続している場合でも、RMS コネクタを使用できます。 たとえば、一部のユーザーのメールボックスは Exchange Online を使用し、一部のユーザーのメールボックスは Exchange Server を使用します。 RMS コネクタをインストールすると、すべてのユーザーが Azure RMS を使用して電子メールと添付ファイルを保護および使用でき、情報保護は 2 つのデプロイ構成間でシームレスに機能します。
カスタマー マネージド キー (BYOK) のサポート
Azure RMS の独自のテナント キー (Bring Your Own Key、または BYOK シナリオ) を管理する場合、RMS コネクタとそれを使用するオンプレミス サーバーは、テナント キーを含むハードウェア セキュリティ モジュール (HSM) にアクセスしません。 これは、テナント キーを使用するすべての暗号化操作が、オンプレミスではなく Azure RMS で実行されるためです。
テナント キーを管理するこのシナリオの詳細については、「Azure Information Protection テナント キーの計画と実装」を参照してください。
RMS コネクタの前提条件
RMS コネクタをインストールする前に、次の要件が満たされていることを確認します。
要件 | 詳細情報 |
---|---|
保護サービスがアクティブ化されている | Azure Information Protection による保護サービスのアクティブ化 |
オンプレミスの Active Directory フォレストと Microsoft Entra ID の間のディレクトリ同期 | RMS がアクティブ化されたら、Active Directory データベース内のユーザーとグループを操作するように Microsoft Entra ID を構成する必要があります。 重要: RMS コネクタが機能するためには、テスト ネットワークであっても、このディレクトリ同期手順を実行する必要があります。 Microsoft Entra ID で手動で作成したアカウントを使用して Microsoft 365 および Microsoft Entra ID を使用できますが、このコネクタでは Microsoft Entra ID のアカウントが Active Directory ドメイン サービスと同期されている必要があります。手動によるパスワード同期だけでは十分ではありません。 詳細については、次のリソースを参照してください。 - オンプレミスの Active Directory ドメインを Microsoft Entra ID と統合する - ハイブリッド ID ディレクトリ統合ツールの比較 |
RMS コネクタをインストールする 2 台以上のメンバー コンピューター: - 次のいずれかのオペレーティング システムが搭載されている 64 ビットの物理または仮想コンピューター: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、または Windows Server 2012。 - 1 GB 以上の RAM。 - 64 GB 以上のディスク領域。 - 1 つ以上のネットワーク インターフェイス。 - 認証が不要な、ファイアウォール (または Web プロキシ) 経由のインターネット アクセス。 - RMS コネクタで使用する Exchange サーバーまたは SharePoint サーバーのインストールを含む組織内の他のフォレストを信頼するフォレストまたは実行メインに存在する必要があります。 - .NET 4.7.2 がインストールされている。 システムによっては、これを個別にダウンロードしてインストールすることが必要になる場合があります。 |
フォールト トレランスと高可用性を実現するには、RMS コネクタを少なくとも 2 台のコンピューターにインストールする必要があります。 ヒント: Exchange ActiveSync IRM を使用する Outlook Web Access またはモバイル デバイスを使用していて、Azure RMS で保護されている電子メールや添付ファイルへのアクセスをメインすることが重要な場合は、高可用性を確保するために負荷分散されたコネクタ サーバー グループをデプロイすることをお勧めします。 コネクタを実行するために専用サーバーは必要ありませんが、コネクタを使用するサーバーとは別のコンピューターにインストールする必要があります。 重要: これらのサービスの機能を Azure RMS で使用する場合は、Exchange Server、SharePoint Server、またはファイル分類インフラストラクチャ用に構成されたファイル サーバーを実行するコンピューターにコネクタをインストールしないでください。 また、doメイン コントローラーにはこのコネクタをインストールしないでください。 RMS コネクタで使用するサーバー ワークロードがあり、そのサーバーが実行されている場合メインコネクタを実行する doメイン によって信頼されていない場合は、これらの信頼されていない doメイン またはその他の doメイン に追加の RMS コネクタ サーバーをインストールできます。 組織で実行できるコネクタ サーバーの数に制限はなく、組織にインストールされているすべてのコネクタ サーバーが同じ構成を共有します。 ただし、サーバーを承認するようにコネクタを構成するには、承認するサーバーまたはサービス アカウントを参照できる必要があります。つまり、これらのアカウントを参照できるフォレストで RMS 管理ツールを実行する必要があります。 |
TLS バージョン 1.2 | 詳細については、「Azure RMS コネクタに TLS 1.2 を適用する」を参照してください。 |
RMS コネクタを展開する手順
コネクタは、デプロイを成功させるために必要なすべての前提条件を自動的にチェックしません。そのため、開始する前に、これらの前提条件が満たされていることを確認してください。 このデプロイでは、コネクタをインストールし、コネクタを構成してから、コネクタを使用するサーバーを構成する必要があります。
手順 1: RMS コネクタのインストール
手順 2: 資格情報の入力
手順 3: RMS コネクタを使用するサーバーの承認
手順 4: 負荷分散と高可用性の構成
オプショナル:HTTPS を使用するための RMS コネクタの構成
オプショナル:Web プロキシ サーバー用の RMS コネクタの構成
手順 5: RMS コネクタを使用するためのサーバーの構成
次のステップ
手順 1: 「Microsoft Rights Management コネクタのインストールと構成」に進みます。