2009/11/11

AD RMS/IRM でいろいろできるようになってきた

AD RMS Bulk Protection Tool と FCI

2009年10月29日に AD RMS Bulk Protection Tool が公開されています。このツールは、Active Directory Rights Management サービスと IRM (Information Rights Management)テクノロジを使用した文書保護を、コマンドラインからバッチ実行できるようにするものです。AD RMS と IRMについて詳しくは、マイクロソフトのこちらの AD RMS 解説サイトを見てください。また、FCI の解説のページで利用シナリオの1つとして、FCI と AD RMS を連携させたファイルの自動暗号化について説明し、「AD RMS 暗号化ツールは、近日中に提供される予定です」と書きました。このツールが、AD RMS Bulk Protection Tool です。

コマンドラインからは、こんな風に RMS テンプレートと所有者を指定します。

RMSBulk.exe /enclypt file.docx template.xml owner@contoso.com /log file.log /append /simple /preserveattributes /silent

FCI と連携させるための AD RMS の設定については、AD RMS Bulk Protection Tool をインストールしたコンピューターの次の場所にあるヘルプに書いてあります(英語)。

C:\Program Files (x86)\AD RMS Bulk Protection Tool\AD RMS Bulk Protection Tool.chm

具体的には、ツールを実行するコンピューターのコンピューター アカウントが AD RMS の wwwroot\_wmcs\certification\ServerCertification.asmx に読み取りと実行の権限を与える設定が必要です。また、RMS テンプレートを置いてある共有フォルダーへの読み取り権限も必要です。

ファイル管理タスクは、こんな感じで設定しました。


ログを見るとちゃんと暗号化されています。TIFF イメージや PDF は、IRM に対応していないため暗号化されません。サード パーティのツールで XPS に変換するタスクを FCI で組めば、非対応フォーマットを含めて暗号化できそうです。


 
Exchange Server 2010 と AD RMS/IRM

2009年11月2日に Exchange Server 2010 が正式にリリースされました。評価版も9日に公開されたようです。Exchange Server 2010 の注目機能の1つに、AD RMS/IRM 対応強化があります。Exchange ではッセージのコンテンツに含まれる文字列を条件としたトランスポート ルールを作成できますが、AD RMS/IRM で保護されたメッセージの内容も検索できるようになります。また、トランスポート ルールで AD RMS/IRM による暗号化を強制することもできます。たとえば、“社外秘”という文字列が件名や本文、添付ファイルの内容に含まれている場合に、“転送禁止”という保護を強制できます。注目のマルチ メールボックス検索でも、暗号化されたメッセージの内容を含めて検索できます。

Exchange Server 2010 の AD RMS/IRM 機能の設定方法については、Exchange Server 2010 Help の Understanding IRM (英語)にあります。主な作業は、Set-IRMConfiguration コマンドレットによる有効化、wwwroot\_wmcs\certification\ServerCertification.asmx の設定と、AD RMS のスーパー ユーザー グループの設定です。Exchange Server 2010 は、現在の保護設定に関係なく、使用ライセンスを取得し、保護設定に関して何でもできる(参照や権限の変更) スーパー ユーザーを利用しています。
必要な設定をすべてしたら、Test-IRMConfiguration コマンドレットでテストすることをお勧めします。スーパー ユーザーが使用ライセンスを取得できるようになるまでには、設定後、しばらく時間がかかるので注意してください。AD RMS はグループ メンバーシップを 12 時間キャッシュするようで、それが影響して設定直後はうまく動きません(下の画面の下から2番目の使用ライセンスの取得がエラーになります)。















スパー ユーザー設定直後:
RMS ライセンシング URI (https://honghong/_wmcs/licensing) から、使用ライセンスを取得しています...
 - エラー! 使用ライセンスを取得できませんでした。Exchange Server に、Active Directory の Rights Management Services サーバーに対するスーパー ユーザーの権限が付与されていることを確認してください。

約12時間後:
RMS ライセンシング URI (https://honghong/_wmcs/licensing) から、使用ライセンスを取得しています...
 - 使用ライセンスが取得されました。