移行フェーズ 3 - クライアント側の構成
AD RMS から Azure Information Protection への移行のフェーズ 3 では、次の情報を使用してください。 これらの手順では、AD RMS から Azure Information Protection への移行の手順 7 をカバーします。
手順 7: Azure Information Protection を使用するように Windows コンピューターを再構成する
次のいずれかの方法を使用して、Azure Information Protection を使用するように Windows コンピューターを再構成します。
DNS リダイレクト。 サポートされている最も簡単で推奨される方法。
次のような Office 2016 以降のクイック実行デスクトップ アプリを使用する Windows コンピューターでサポートされます。
- Microsoft 365 アプリ
- Office 2019
- Office 2016 クイック実行デスクトップ アプリ
新しい SRV レコードを作成して、AD RMS の発行エンドポイントのユーザーに NTFS の拒否のアクセス許可を設定する必要があります。
詳しくは、「DNS リダイレクトを使用するクライアントの再構成」をご覧ください。
レジストリの編集。 次の両方を含む、サポートされているすべての環境に関連します。
- 上の一覧にある、Office 2016 以降のクイック実行デスクトップ アプリを使用する Windows コンピューター
- 他のアプリを使用している Windows コンピューター
必要なレジストリ変更を手動で行うか、ダウンロード可能なスクリプトを編集および展開してレジストリを変更します。
詳しくは、「レジストリの編集を使用するクライアントの再構成」をご覧ください。
ヒント
DNS リダイレクトを使用できる Office のバージョンと使用できない Office のバージョンが混在している場合は、DNS リダイレクトとレジストリの編集を組み合わせて使用するか、すべての Windows コンピューターに対する 1 つの方法としてレジストリを編集することができます。
DNS リダイレクトを使用してクライアントを再構成します。
この方法は、Microsoft 365 アプリおよび Office 2016 (またはそれ以降) のクイック実行デスクトップ アプリを実行する Windows クライアントにのみ適しています。
次の形式を使用して DNS SRV レコードを作成します。
_rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.
<AD RMS クラスター> には、お客様の AD RMS クラスターの FQDN を指定します。 たとえば、 rmscluster.contoso.com。
<ポート> 番号は無視されます。
<テナント URL用 >、テナントための独自の Azure Rights Management サービス URLを指定します。
Windows Server で DNS サーバー ロールを使用する場合は、DNS マネージャー コンソールの SRV レコード プロパティのガイドとして次のテーブルを使用してください。
フィールド 値 [ドメイン] _tcp.rmscluster.contoso.com サービス _rmsredir プロトコル _http 優先順位 0 Weight 0 [ポート番号] 80 このサービスを提供しているホスト 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com Microsoft 365 アプリまたは Office 2016 (またはそれ以降) を実行しているユーザーに対し、AD RMS の発行エンドポイントで拒否のアクセス許可を設定します。
a. クラスター内のいずれかの AD RMS サーバーで、インターネット インフォメーション サービス (IIS) マネージャー コンソールを起動してください。
b. [既定の Web サイト] に移動し、_wmcs を展開します。
c. licensing を右クリックし、[コンテンツ ビューに切り替え] を選択します。
d. 詳細ペインで、[license.asmx]>[プロパティ]>[編集] を右クリックします
e. [license.asmx の権限] ダイアログ ボックスで、すべてのユーザーにリダイレクトを設定するために [ユーザー] を選択するか、[追加] を選択してリダイレクトするユーザーを含むグループを指定します。
すべてのユーザーが DNS リダイレクトをサポートするバージョンの Office を使用している場合でも、段階的な移行のためにユーザーのサブセットを最初に指定することも可能です。
f. 選択したグループで、[読み取り] と [実行] と [読み取り] アクセス許可で [拒否] を選択し、[OK] を 2 回クリックします。
g. この構成が期待どおりに動作していることを確認するには、ブラウザーから直接 licensing.asmx ファイルに接続してみてください。 次のエラー メッセージが表示されます。これにより、Microsoft 365 アプリ、Office 2019、または Office 2016 を実行しているクライアントが SRV レコードの検索を開始します。
エラー メッセージ 401.3: このディレクトリを閲覧するアクセス許可がない、または提供した認証情報がしようできない (アクセス制御リストが原因でアクセスが拒否されました)。
レジストリ編集を使用してクライアントの再構成する。
この方法はすべての Windows クライアントに適しており、Microsoft 365 アプリまたは Office 2016 (それ以降) を実行していない場合は使用する必要があります。 このメソッドでは、2 つの移行スクリプトを使用して AD RMS クライアントを再構成します。
Migrate-Client.cmd
Migrate-User.cmd
クライアント構成スクリプト (Migrate-Client.cmd) は、レジストリでコンピューター レベルの設定を構成します。つまり、これらの変更を行うことができるようセキュリティ コンテキストで実行する必要があります。 これは特に次のいずれかのメソッドを意味します。
グループ ポリシーを使用して、コンピューターのスタートアップ スクリプトとしてスクリプトを実行します。
グループ ポリシー ソフトウェア インストールを使用して、コンピューターにスクリプトを割り当てます。
ソフトウェア展開ソリューションを使用して、コンピューターにスクリプトを展開します。 たとえば、System Center Configuration Manager を使用してパッケージとプログラムを管理します。 パッケージとプログラムのプロパティのなか、 [実行モード] の下で、デバイスの実行スクリプトと管理アクセス許可を指定します。
ユーザーがローカル管理者特権を持っている場合は、ログオン スクリプトを使用します。
ユーザー構成スクリプト (Migrate-User.cmd) は、ユーザー レベルの設定を構成し、クライアント ライセンス ストアをクリーンアップします。 つまり、このスクリプトは実際のユーザーのコンテキストで実行する必要があります。 次に例を示します。
ログオン スクリプトを使用します。
グループ ポリシー ソフトウェアのインストールを使用して、ユーザーが実行するスクリプトを公開します。
ソフトウェア展開ソリューションを使用して、ユーザーにスクリプトを配置します。 たとえば、System Center Configuration Manager を使用してパッケージとプログラムを管理します。 パッケージとプログラムのプロパティのなか、 [実行モード] の下で、ユーザーの実行スクリプトと管理アクセス許可を指定します。
コンピューターにサインインしたときにスクリプトを実行するようにユーザーに依頼します。
2 つのスクリプトにはバージョン番号が含まれており、このバージョン番号が変更されるまで再実行されません。 つまり、移行が完了するまでスクリプトはそのままにしておくことができます。 ただし、コンピューターとユーザーが Windows コンピューターで再実行するためスクリプトを変更する場合は、両方のスクリプトで次の行をより高い値に更新します。
SET Version=20170427
ユーザー構成スクリプトは、クライアント構成スクリプトの後に実行するように設計されており、このチェックのバージョン番号を使用します。 同じバージョンのクライアント構成スクリプトが実行されていない場合は停止します。 このチェックにより、2 つのスクリプトが適切な順序で実行されます。
すべての Windows クライアントを一度に移行できない場合は、クライアントのバッチに対して次の手順を実行します。 ウィンドウ コンピューターを持つユーザーごとがバッチで移行しようとする場合、前に作成した AIPMigrated グループにユーザーを追加します。
レジストリを編集するためのスクリプトの変更。
移行スクリプトに戻て、 Migrate-Client.cmd と Migrate-User.cmd、これは、配布準備フェーズでこれらのスクリプトをダウンロードする前に抽出しました。
Migrate-Client.cmd の手順に従って、テナントの Azure Rights Management サービス URL と、AD RMS クラスターエクストラネット ライセンス URL とイントラネット ライセンス URL のサーバー名が含まれるようにスクリプトを変更します。 次に、前に説明したスクリプト バージョンをインクリメントします。 スクリプトのバージョンを追跡するには、今日の日付を YYYYMMDD 形式で表現することをお勧めします
重要
前と同様に、アドレスの前後にスペースを追加しないように注意してください。
さらに、AD RMS サーバーで SSL/TLS サーバー証明書が使用されている場合は、ライセンス URL 値にポート番号 443 が文字列に含まれているかどうかをチェックします。 例:
https://rms.treyresearch.net:443/_wmcs/licensing.
クラスター名をクリックしてクラスターの詳細情報を閲覧すると、Active Directory Rights Management サービス コンソールでこの情報を見つけることができます。 URL に含まれるポート番号 443 が表示される場合は、スクリプトを変更するときにこの値を含めます。 例:https://rms.treyresearch.net
:443。<YourTenantURL> の Azure Rights Management サービス URL を取り戻す場合は、「Azure Rights Management サービスの URL を識別する」を参照してください。
このステップの最初の手順を使用して、AIPMigrated グループのメンバーによって使用される Windows クライアント コンピューターで Migrate-Client.cmd と Migrate-User.cmd を実行するようにスクリプト展開方法を構成します。
次のステップ
移行を続行するには、フェーズ 4 のサポート サービス構成に進みます。