Exchange Onlineで AD RMS を Azure RMS に移行する方法
2021 年 2 月 28 日、Microsoft は、Exchange Onlineメールボックスを持つユーザーに対する特定の構成のサポートを終了しました。 この構成により、これらのユーザーは Active Directory Rights Management Services (AD RMS) によって保護されているコンテンツを表示および作成できます。
顧客への影響
organizationが影響を受ける場合は、「修復手順」セクションに記載されている手順に従う必要があります。 それ以外の場合、Exchange Onlineにメールボックスを持っているユーザーは、Outlook on the webまたは Outlook for iOS および Android を介して AD RMS によって保護されている電子メール メッセージを表示または作成できなくなります。 ユーザーは、Windows 上の Microsoft Outlook デスクトップ クライアントを使用して、AD RMS によって保護されているメッセージを引き続き表示できます。
AD RMS を使用してメッセージを保護するように構成されているExchange Onlineのメール フロー ルールも有効ではなくなります。
Exchange Onlineで AD RMS で保護されたメッセージの復号化を必要とするその他の機能では、このようなメッセージの暗号化を解除できなくなります。 これらのメッセージは暗号化された状態のままです。 このような機能には、電子情報開示、ジャーナリング、トランスポート ルールによる検査、インデックス作成が含まれます。
影響を受けるかどうかを判断する方法
organizationが AD RMS を使用していない場合、この問題は影響を受けず、記事の残りの部分は無視しても問題ありません。 Azure Rights Management Services (Azure RMS) と Azure Information Protectionを使用している組織は影響を受けません。
organizationが AD RMS を使用しているが、EXCHANGE ONLINEに AD RMS キーをインポートしてExchange Onlineに AD RMS の統合を実装していない場合は、この変更の影響も受けられません。
オンプレミスのMicrosoft Exchange Serverメールボックスを持つユーザーがいる場合、この変更の影響を受けなくなります。
AD RMS とExchange Onlineの統合を設定したかどうかを判断するには、PowerShell Exchange Onlineに接続し、次のコマンドレットを実行します。
Get-IRMConfiguration
このコマンドレットの出力は次のようになります。
InternalLicensingEnabled : True
ExternalLicensingEnabled : True
AzureRMSLicensingEnabled : False
TransportDecryptionSetting : Optional
JournalReportDecryptionEnabled : True
SimplifiedClientAccessEnabled : True
ClientAccessServerEnabled : True
SearchEnabled : True
EDiscoverySuperUserEnabled : True
DecryptAttachmentFromPortal : False
DecryptAttachmentForEncryptOnly : False
SystemCleanupPeriod : 0
SimplifiedClientAccessEncryptOnlyDisabled : False
SimplifiedClientAccessDoNotForwardDisabled : False
EnablePdfEncryption : False
AutomaticServiceUpdateEnabled : True
RMSOnlineKeySharingLocation :
RMSOnlineVersion :
ServiceLocation :
PublishingLocation :
LicensingLocation :
出力で InternalLicensingEnabled が True に設定されていること、および AzureRMSLicensingEnabled が False に設定されていることが示されている場合は、この非推奨の影響を受ける可能性があることを意味します。 この場合は、「修復手順」セクションに記載されているいずれかの方法を使用する必要があります。
注:
この構成を有効にしても、organizationで AD RMS を使用しなくなった場合は、これらの手順を実行する必要はありません。 ただし、organizationで使用されていることを認識していない保護されたコンテンツが存在する可能性があるため、引き続きこれを行うことをお勧めします。
Exchange Onlineにインポートした AD RMS キーの詳細については、Get-RMSTrustedPublishingDomain コマンドレットを実行します。 これにより、Exchange Onlineで影響を受けるすべての信頼された発行ドメイン (TPD) が識別されます。 TPD は、AD RMS キーと Azure RMS キーをパッケージ化するために使用されます。
修復手順
organizationがこの変更の影響を受ける場合は、必要に応じて、次のいずれかの修復方法を使用します。
方法 1: 何もしない
organizationが電子メール メッセージを保護するために AD RMS を頻繁に使用しない場合、またはExchange Onlineにメールボックスを持っているユーザーが少ない場合、この変更によって引き起こされる機能の損失がorganizationに大きく影響することはありません。 この場合、修復手順を実行しないことを選択し、次の結果を受け入れます。
Exchange Onlineにメールボックスを持っているユーザーは、Outlook on the webまたは Outlook for iOS および Android を使用して、AD RMS によって保護されている電子メール メッセージを表示できなくなります。 これらのユーザーは引き続き、Windows 上の Outlook デスクトップ クライアントで保護されたメッセージを表示できます。
Exchange Onlineにメールボックスを持つユーザーは、AD RMS テンプレートを使用するか、Outlook on the webの転送不可機能を使用して保護を適用できなくなります。
AD RMS を使用して電子メール メッセージを保護するように構成されているExchange Onlineのメール フローは無効になります。
Exchange Onlineで AD RMS で保護された電子メール メッセージの暗号化解除を必要とする機能は、このようなメッセージを復号化できなくなります。 これらのメッセージは暗号化された状態のままです。 このような機能には、電子情報開示、ジャーナリング、トランスポート ルールによる検査、インデックス作成が含まれます。
方法 2: AD RMS キーを使用する
AD RMS キーを Azure RMS にインポートし、そのキーを使用して保護されたコンテンツを処理するようにExchange Onlineを構成します。 この変更の影響を受ける場合は、AD RMS からExchange Onlineにキーを既にインポートしています。 AD RMS キーを Azure RMS にインポートするプロセスは似ていますが、キーを別の場所にインポートする必要がある点が異なります。
これらの修復手順は、AD RMS から Azure RMS への移行に使用される手順のサブセットですが、AD RMS から Azure RMS への完全な移行を完了する必要はありません。 これらの手順では、クライアント環境や、環境で使用されるキーとポリシーも変更されません。 ユーザーには、これらの手順によって行われた変更は表示されず、追加のトレーニングや認識が必要になります。 これらの手順を実行した後も、ユーザーは AD RMS を使用してコンテンツを保護します。
次の手順を実行してください。
AD RMS TPD を Azure RMS にエクスポートします。 これを行う手順については、「 移行フェーズ 2 - AD RMS のサーバー側構成」を参照してください。
すべてのユーザーを除外するオンボード制御ポリシーを設定して、読み取り専用モードで Azure RMS を構成します。
この手順では、空のMicrosoft Entra グループを作成し、次の PowerShell スクリプトを実行してオンボード制御ポリシーに割り当てます。
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "{Group’s GUID}"
詳細については、「 手順 2.移行フェーズ 1 – 準備の「クライアント移行の準備」セクション。
Exchange Online サービスに最初にインポートされたキーのコピーを使用するのではなく、保護のために Azure RMS に格納されているキーを使用するようにExchange Onlineを構成します。 このためには、次のコマンドを実行します。
$irmConfig = Get-IRMConfiguration $list = $irmConfig.LicensingLocation $list += "<Your Azure RMS URL>/_wmcs/licensing" Set-IRMConfiguration Set-IRMConfiguration -AzureRMSLicensing $True -LicensingLocation $list**
Azure RMS URL を確認するには、Azure Information Protection PowerShell に接続し、次のコマンドレットを実行します。
Get-AipServiceConfiguration
Exchange Onlineを指す関連する DNS SRV レコードを構成します。 関連レコードは、AZURE RMS が AD RMS によって保護されているコンテンツにライセンスを付与するために必要な成果物を持つレコードです。 必要な DNS レコードについては、「手順 8.移行フェーズ 4 - サポート サービスの構成に関するページの「Exchange Onlineの IRM 統合を構成する」セクション。
これらの手順を完了すると、現在 AD RMS を使用しているすべてのユーザーが引き続き使用できます。 変更は 1 つだけです。Outlook on the webを使用してExchange Online ユーザーによって保護されているコンテンツ、または Exchange Online トランスポート ルールが暗号化されます。代わりに、AD RMS に格納されているのと同じキーと Azure RMS URL がライセンスに含まれている Azure RMS を使用して暗号化されます。 つまり、このコンテンツを使用しているユーザーは、ライセンスの取得を Azure RMS に要求する必要があります。 これらの要求は、この方法の手順 2 で構成したオンボード コントロールのため、悪影響を与えずに Outlook クライアントによって自動的に処理されます。
注:
環境内に現在 AD RMS と統合されているオンプレミスの Exchange サーバーがある場合は、これらのサーバーが、Exchange Online ユーザーによって保護されているコンテンツの暗号化を解除できるようにするために、1 つの追加構成が必要です。 この手順では、Azure RMS URL を AD RMS クラスターにポイントするリダイレクトを提供します。 各 Exchange サーバーで次のレジストリ値を構成します。
[HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection] “https://[5241e6fb-b220-4cf6-9b95-8889a5b02b52.rms.na.aadrm.com]/_wmcs/licensing” = “https://[AD RMS Intranet Licensing URL]/_wmcs/licensing”
このレジストリ サブキーで、角かっこの間の値を、organizationのテナント内の Azure RMS URL と AD RMS クラスター URL に置き換えます。 この URL を決定する方法の詳細については、この方法の手順 3 を参照してください。
AD RMS で保護された電子メール メッセージを使用するために統合されている環境で、サード パーティ製のアプリケーションが現在使用されている場合は、変更後にこれらのアプリケーションを変更する必要があります。 このリビジョンは、アプリケーションがExchange Onlineによって保護されたメッセージを引き続き処理できるようにするために必要なアクションがあるかどうかを判断することです。
方法 3: AD RMS を Azure RMS に移行する (推奨)
これは、必要な時間と労力を費やすことができるお客様に推奨される修復方法です。 この方法ではかなりの労力と計画が必要ですが、organizationが Azure Information Protection と Azure RMS の機能を引き続き使用できるため、利点が最大化されます。 この機能は、AD RMS で使用できる機能よりも大幅に広範です。
AD RMS から Azure RMS に移行するガイダンスについては、「AD RMS から Azure Information Protectionへの移行」を参照してください。
注:
方法 2 の手順を実行し、後で方法 3 を実行する場合は、Azure RMS への完全な移行を行うときに、これらの同じ手順をスキップできます。 これは、メソッド 2 の手順が完全な移行の手順のサブセットであるためです。