ポイント
AD RMSはファイルとメールに権利保護を適用
- メールの場合の例) 転送禁止→受信者しか読めない。
- ファイルの場合の例) 指定した人しかファイルを開けない。
実現の仕組み概要
- メールとファイルを暗号化する。
- 受信者や指定された人のみが、復号する情報を入手して復号化することで検知保護を実現
- AD RMSクライアントとサーバがあり。
AD RMSクライアントの仕組み
- 保護する側(送信側)と、保護されたファイルを利用する側(受信側)の機能がある。
- 保護する側(送信側)は以下を行う。
- ファイル・メール作成
- クライアントライセンサー証明書(CLC)をサーバーから取得
- ファイル・メールをCLCで暗号化
- 発行ライセンス(PL)を作成して署名
- 暗号化されたコンテンツにPLをコピーを付与
- 保護されたファイルを利用する側(受信側)は以下を行う。
- 以下を整理する。
権利保護されたコンテンツを受け取った他のユーザーが、そのコンテンツにアクセスして使用するには、まず権利対応アプリケーション (Microsoft Office など) を使用して、そのコンテンツのエンド ユーザー ライセンスを要求して取得する必要があります。エンド ユーザー ライセンスを取得するには、AD RMS クライアントは、まずコンテンツの受信者が、コンテンツを保護するのに使用された発行ライセンスに規定されているポリシーに準拠しているかどうかを判断する必要があります。AD RMS クライアントは、ユーザーがコンテンツにアクセスする資格があると判断した場合、エンド ユーザー ライセンスに示された条件をユーザーが遵守していることを確認します。この条件によって、特定のアクションが制限される場合があります。これにより、ドキュメントは作成者と発行者の意図どおりに保護され、割り当てられた権利ポリシーに従って受信者のみが使用できるようになります。
AD RMSサーバーの仕組み
- IISで実行されるADDS/MS SQLと連携したWebサービス
- コンポーネントとして以下があり。
- 管理ウェブサービス
- AD RMSの管理をウェブサービス。AD RMS管理コンソールやPowerShell経由で利用。
- アカウント認証
- ユーザーを特定のコンピューターに関連付ける権利アカウント証明書 (RAC) を生成
- ライセンス
- エンドユーザーライセンスを発行
- 発行
- クライアント ライセンサー証明書を発行
- 事前認証
- Exchangeが権利アカウント証明書を要求。
- サービスロケーター
RMS の機能 | Microsoft Learn
RMS の動作のしくみ | Microsoft Learn
RMS アカウント証明 | Microsoft Learn
Managing Certificates for RMS | Microsoft Learn
AD RMS から Azure Information Protection への移行 | Microsoft Learn
Exchange ハイブリッド展開での IRM | Microsoft Learn
Office アプリで秘密度ラベルを管理する | Microsoft Learn
