IRM を設定して、オンプレミスの AD RMS サーバーを使用する
オンプレミスの展開で使用するために、Exchange Onlineの Information Rights Management (IRM) は、Windows Server 2008 以降の情報保護テクノロジである Active Directory Rights Management Services (AD RMS) を使用します。 IRM 保護を電子メールに適用するには、AD RMS 権利ポリシー テンプレートを電子メール メッセージに適用します。 権限はメッセージ自体に添付されているため、オンラインとオフラインの両方、および組織のファイアウォールの内外両方で保護が有効になります。
このトピックでは、AD RMS サーバーを使用するように IRM を構成する方法を示します。 Microsoft Entra ID と Azure Rights Management でMicrosoft Purview Message Encryptionを使用する方法については、「メッセージ暗号化に関する FAQ」を参照してください。
Exchange Online の IRM については、「Information Rights Management in Exchange Online」を参照してください。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
はじめに把握しておくべき情報
このタスクの予想所要時間:30 分
この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「 メッセージング ポリシーとコンプライアンスのアクセス許可 」トピックの「Information Rights Management」エントリを参照してください。
AD RMS サーバーは、Windows Server 2008 以降を実行している必要があります。 AD RMS をデプロイする方法の詳細については、「AD RMS クラスターのインストール」を参照してください。
Windows PowerShellをインストールして構成し、サービスに接続する方法の詳細については、「Exchange Online PowerShell に接続する」を参照してください。
このトピックの手順に適用されるキーボード ショートカットの詳細については、「Exchange Onlineの Exchange 管理センターのキーボード ショートカット」を参照してください。
ヒント
問題がある場合は、 次のフォーラムにアクセスしてください。Exchange Server、Exchange Online、 または Exchange Online Protection。 > 一般法人向け Office 365 の管理者の場合は、サポートに問い合わせることができます。
実行方法
手順 1:AD RMS コンソールを使用して、AD RMS サーバーから信頼された発行ドメイン (TPD) をエクスポートします。
まず、信頼された発行ドメイン (TPD) を社内 AD RMS サーバーから XML ファイルにエクスポートします。 TPD には RMS 機能を使用するために必要な以下の設定が含まれています。
証明書とライセンスの署名と暗号化に使用されるサーバー ライセンサー証明書 (SLC)
ライセンスと発行に使用される URL
TPD に固有の SLC を使用して作成された AD RMS 権利ポリシー テンプレート
TPD をインポートすると、EXCHANGE ONLINEに格納され、保護されます。
Active Directory Rights Management サービスのコンソールを開いて、AD RMS クラスターを展開します。
コンソール ツリーで、[信頼ポリシー] を展開してから、[信頼された発行ドメイン] をクリックします。
結果ウィンドウで、エクスポートするドメインの証明書を選択します。
[操作] ウィンドウで、[信頼された発行ドメインのエクスポート] をクリックします。
[発行ドメイン ファイル] の [名前を付けて保存] をクリックして、ローカル コンピューター上の特定の場所にファイルを保存します。 ファイル名を入力し、ファイル名拡張子を
.xml
指定し、[ 保存] をクリックします。[パスワード] ボックスと [パスワードの確認入力] ボックスに、信頼された発行ドメイン ファイルの暗号化に使用する強力なパスワードを入力します。 このパスワードは、クラウドベースの電子メール組織に TPD をインポートするときに指定する必要があります。
手順 2: Exchange 管理シェルを使用して TPD をインポートExchange Online
TPD を XML ファイルにエクスポートした後は、TPD を Exchange Online にインポートする必要があります。 TPD をインポートすると、組織の AD RM テンプレートもインポートされます。 最初の TPD をインポートすると、それがクラウドベース組織の既定の TPD になります。 別の TPD をインポートする場合は、Default スイッチを使用してこの TPD を既定の TPD にし、ユーザーが使用できるようにすることができます。
TPD をインポートするには、Exchange Online PowerShell で次のコマンドを実行します。
Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('<path to exported TPD file>')) -Name "<name of TPD>" -ExtranetLicensingUrl <URL> -IntranetLicensingUrl <URL>
ExtranetLicensingUrl パラメーターと IntranetLicensingUrl パラメーターの値は、Active Directory Rights Management サービスのコンソールで取得できます。 コンソール ツリーで AD RMS クラスターを選択します。 ライセンスの URL が結果ウィンドウに表示されます。 コンテンツを復号化する必要がある場合と使用する TPD を Exchange Online で決定する必要がある場合は、これらの URL が電子メール クライアントによって使用されます。
このコマンドを実行すると、パスワードの入力を求められます。 TPD を AD RMS サーバーからエクスポートしたときに指定したパスワードを入力します。
たとえば、次のコマンドは、AD RMS サーバーからエクスポートして管理者アカウントのデスクトップに保存された XML ファイルを使用して、Exported TPD という名前の TPD をインポートします。 Name パラメーターは TPD の名前を指定するために使用されます。
Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('C:\Users\Administrator\Desktop\ExportTPD.xml')) -Name "Exported TPD" -ExtranetLicensingUrl https://corp.contoso.com/_wmcs/licensing -IntranetLicensingUrl https://rmsserver/_wmcs/licensing
構文およびパラメーターの詳細については、「Import-RMSTrustedPublishingDomain」を参照してください。
TPD が正常にインポートされたことを知る方法
TPD が正常にインポートされたことを確認するには、Get-RMSTrustedPublishingDomain コマンドレットを実行して、Exchange Online organizationで TPD を取得します。 詳細については、「Get-RMSTrustedPublishingDomain」内の例を参照してください。
手順 3: Exchange 管理シェルを使用して AD RMS 権限ポリシー テンプレートを配布する
TPD をインポートしたら、AD RMS 権利ポリシー テンプレートが配布されていることを確認する必要があります。 分散テンプレートは、Outlook on the web (旧称 Outlook Web App) ユーザーに表示され、そのテンプレートを電子メール メッセージに適用できます。
既定の TPD に含まれているすべてのテンプレートの一覧を取得するには、次のコマンドを実行します。
Get-RMSTemplate -Type All | fl
Type パラメーターの値が の場合、Archived
テンプレートはユーザーには表示されません。 Outlook on the webでは、既定の TPD 内の分散テンプレートのみが使用できます。
テンプレートを配布するには、次のコマンドを実行します。
Set-RMSTemplate -Identity "<name of the template>" -Type Distributed
たとえば、次のコマンドは、Company Confidential テンプレートをインポートします。
Set-RMSTemplate -Identity "Company Confidential" -Type Distributed
構文とパラメーターの詳細については、「Get-RMSTemplate」と「Set-RMSTemplate」を参照してください。
転送不可テンプレート
既定の TPD を社内組織から Exchange Online にインポートすると、Do Not Forward という名前の AD RMS 権利ポリシー テンプレートが 1 つインポートされます。 既定で、このテンプレートは、既定の TPD をインポートしたときに配布されます。 Set-RMSTemplate コマンドレットを使用して Do Not Forward テンプレートを変更することはできません。
Do Not Forward テンプレートがメッセージに適用されている場合は、メッセージにアドレスが指定された受信者のみがメッセージを読むことができます。 受信者が次の操作を行うことはできません。
- メッセージを別のユーザーに転送する。
- メッセージの内容をコピーする。
- メッセージを印刷する。
重要
Do Not Forward テンプレートは、サードパーティのスクリーン キャプチャ プログラムやカメラを使用してメッセージ内の情報がコピーされたり、ユーザーによって情報が書き写されるのを防げるわけではありません。
IRM 保護要件に合わせて、社内組織内の AD RMS サーバー上に追加の AD RMS 権利ポリシー テンプレートを作成できます。 追加の AD RMS 権利ポリシー テンプレートを作成する場合は、TPD を社内 AD RMS サーバーから再びエクスポートして、クラウドベースの電子メール組織の TPD を更新する必要があります。
AD RMS 権限ポリシー テンプレートが正常に配布されたことをどのように知っていますか?
AD RMS 権限ポリシー テンプレートが正常に分散されていることを確認するには、Get-RMSTemplate コマンドレットを実行してテンプレートのプロパティをチェックします。 詳細については、「Get-RMSTemplate」内の例を参照してください。
手順 4: Exchange 管理シェルを使用して IRM を有効にする
TPD をインポートして AD RMS 権利ポリシー テンプレートを配布したら、次のコマンドを実行して、クラウドベースの電子メール組織に対して IRM を有効にします。
Set-IRMConfiguration -InternalLicensingEnabled $true
構文およびパラメーターの詳細については、「Set-IRMConfiguration」を参照してください。
IRM を正常に有効にしたことを知る方法
IRM が正常に有効になっていることを確認するには、Get-IRMConfiguration コマンドレットを実行して、Exchange Online organizationで IRM 構成をチェックします。
このタスクの検証方法
TPD が正常にインポートされ、IRM が有効になったことを確認するには、次の手順を実行します。
IRM の機能をテストするには、Test-IRMConfiguration コマンドレットを使用します。 詳細については、「 Test-IRMConfiguration」の「例 1」を参照してください。
Outlook on the webで新しいメッセージを作成し、拡張メニューの [アクセス許可の設定] オプション ()を選択して IRM で保護します。