Microsoft Purview Information Protectionから Azure Rights Management 暗号化サービスを使用して、organizationがコンテンツを保護するかどうかを常に制御できます。 この暗号化サービスを使用しない場合は、以前に暗号化されたコンテンツからロックアウトされないという保証があります。
以前に暗号化されたコンテンツに継続的にアクセスする必要がない場合は、Azure Rights Management 暗号化サービスを非アクティブ化し、このサービスのサポート サブスクリプションの有効期限を切らせます。 たとえば、運用環境にデプロイする前にMicrosoft Purview Information Protectionのテストを完了した場合に適しています。
ただし、Azure Rights Management サービスを使用して運用環境と暗号化されたアイテムにMicrosoft Purview Information Protectionをデプロイした場合は、Azure Rights Management サービスを非アクティブ化する前に、Azure Rights Management テナント キーと適切な信頼された発行ドメイン (TPD) のコピーがあることを確認してください。 サブスクリプションの有効期限が切れる前に、キーと TPD のコピーがあることを確認して、サービスが非アクティブ化された後に Azure Rights Management によって暗号化されたコンテンツへのアクセスを保持できるようにします。
HSM で独自のキーを生成および管理する Bring Your Own Key Solution (BYOK) を使用した場合は、Azure Rights Management テナント キーが既にあります。 また、将来のクラウド出口に備える手順に従った場合は、適切な TPD もあります。 ただし、Azure Rights Management テナント キーが Microsoft によって管理されている場合 (既定値)、「 Azure Rights Management テナント キーの操作」のテナント キーをエクスポートする 手順に関する記事を参照してください。
ヒント
サブスクリプションの有効期限が切れた後でも、テナントは暗号化されたコンテンツを長期間使用できます。 ただし、Azure Rights Management テナント キーをエクスポートできなくなります。
Azure Rights Management テナント キーと TPD がある場合は、Rights Management をオンプレミス (AD RMS) にデプロイし、信頼された発行ドメイン (TPD) として Azure Rights Management テナント キーをインポートできます。 その後、Microsoft Purview Information Protectionデプロイを使用停止するための次のオプションがあります。
| これが適用される場合は ... | … これを行います。 |
|---|---|
| すべてのユーザーに Rights Management を引き続き使用させたいが、Azure Rights Management →を使用するのではなく、オンプレミス ソリューションを使用する | Office アプリの LicensingRedirection レジストリ キーを使用して、クライアントをオンプレミス展開にリダイレクトします。 手順については、RMS クライアントのデプロイに関するメモの 「サービス検出」セクション を参照してください。 |
| Rights Management テクノロジの使用を完全に停止する→ | 指定された管理者スーパー ユーザー権限を付与し、このユーザーのMicrosoft Purview Information Protection クライアントをインストールします。 この管理者は、このクライアントの PowerShell モジュールを使用して、Azure Rights Management によって暗号化されたフォルダー内のファイルを一括暗号化解除できます。 ファイルは暗号化されていない状態に戻るため、Microsoft Purview Information Protectionや AD RMS などの Rights Management テクノロジなしで読み取ることができます。 この PowerShell モジュールは、Microsoft Purview Information Protectionと AD RMS の両方で使用できるため、Azure Rights Management サービスを非アクティブ化する前または後に、ファイルの暗号化を解除するか、組み合わせを選択できます。 |
| Azure Rights Management によって暗号化されたすべてのファイルを特定することはできません。 または、すべてのユーザーが、見逃した暗号化されたアイテムを自動的に読み取ることができるように→ | RMS クライアント展開に関するメモの「サービス検出」セクションで説明されているように、Office アプリの LicensingRedirection レジストリ キーを使用して、すべてのクライアント コンピューターにレジストリ設定を展開します。 |
| →を見逃したファイルに対して、制御された手動復旧サービスが必要です | データ回復グループの指定されたユーザーにスーパー ユーザー権限を付与し、これらのユーザーのMicrosoft Purview Information Protection クライアントをインストールして、このアクションが標準ユーザーによって要求されたときにファイルの暗号化を解除できるようにします。 すべてのコンピューターで、レジストリ設定を展開して、「Office レジストリ設定」の説明に従って DisableCreation を 1 に設定することで、ユーザーが新しいファイルを暗号化できないようにします。 |
この表の手順の詳細については、次のリソースを参照してください。
AD RMS とデプロイリファレンスの詳細については、「 Active Directory Rights Management Services の概要」を参照してください。
TPD ファイルとして Azure Rights Management テナント キーをインポートする手順については、「 信頼された発行ドメインの追加」を参照してください。
Microsoft Purview Information Protection クライアントで PowerShell を使用するには、「PowerShell を使用して情報保護クライアントを設定する」を参照してください。
Azure Rights Management 暗号化サービスを非アクティブ化する準備ができたら、次の手順に従います。
Azure Rights Management サービスの非アクティブ化
PowerShell を使用して、Microsoft Purview Information Protectionから Azure Rights Management サービスを非アクティブ化する必要があります。 管理ポータルからこの暗号化サービスをアクティブ化または非アクティブ化することはできなくなります。
AIPService モジュールをインストールして、Azure Rights Management サービスを構成および管理します。 手順については、「 Azure Right Management サービスの AIPService PowerShell モジュールをインストールする」を参照してください。
PowerShell セッションから Connect-AipService を実行し、メッセージが表示されたら、テナントのグローバル管理者アカウントの詳細を指定します。
Get-AipService を実行して、Azure Rights Management サービスの現在の状態を確認します。 [有効] の状態はアクティブ化を確認します。無効は、サービスが非アクティブ化されていることを示します。
サービスを非アクティブ化するには、 Disable-AipService を実行します。
Get-AipService をもう一度実行して、暗号化サービスが非アクティブになっていることを確認します。 今回は、状態が [無効] と表示されます。
Disconnect-AipService を実行してサービスから切断し、PowerShell セッションを閉じます。