Information Rights Management を構成する
更新日: 2007年4月
適用対象: Office Resource Kit
トピックの最終更新日: 2015-03-09
Information Rights Management (IRM) を使用すると、ユーザーは 2007 Microsoft Office system でコンテンツ ドキュメントおよび電子メール メッセージに対するアクセス許可を制限できます。組織内で IRM オプションを構成することにより、IRM コンテンツのドキュメント プロパティを暗号化できるほか、IRM を使用できるソフトウェアを利用していないユーザーが IRM のアクセス許可が設定されたコンテンツを受け取った場合に表示されるダウンレベル テキストを指定できるようになります。
[!メモ] このトピックは、Office 管理者を対象としています。IRM を使用した Office ドキュメントまたは電子メール メッセージへのアクセス許可の適用については、Office Online の「2007 Microsoft Office system の Information Rights Management」を参照してください。
IRM グループ ポリシー設定を構成する
Office グループ ポリシー テンプレート (Office12.adm) を使用して、IRM をカスタマイズし、多くの設定をロックできます。または、Office カスタマイズ ツール (OCT) を使用して既定の設定を構成することもできます。その場合、ユーザーが設定を変更することができます。OCT の設定は、OCT の [ユーザー設定の変更] ページの対応する場所にあります。また、レジストリ キーの設定を使用してのみ構成できる IRM 構成オプションがあります。すべての IRM レジストリ キーの一覧については、「IRM レジストリ キー オプションを構成する」を参照してください。
Outlook テンプレートおよびその他の ADM ファイルは、Microsoft ダウンロード センターの「2007 Office system 管理用テンプレート ファイル (ADM、ADMX、ADML) および Office カスタマイズ ツール バージョン 2.0」からダウンロードできます。OCT の使用方法については、「2007 Office system をカスタマイズする」を参照してください。
グループ ポリシーで IRM オプションを構成するには
グループ ポリシーで、2007 Office system テンプレート (Office12.adm) を読み込み、[ユーザーの構成\管理用テンプレート\Microsoft Office 2007 system\アクセスの制限の管理] に移動します。
構成するオプションをダブルクリックします。たとえば、すべての Office アプリケーションでユーザーが IRM アクセス許可を適用できないようにするには、[Information Rights Management 関連のユーザー インターフェイスを無効にする] をダブルクリックします。
[有効] をクリックします。
[OK] をクリックします。
グループ ポリシーや OCT を使用して IRM に構成できる設定の一覧を次の表に示します。
IRM オプション | 説明 |
---|---|
権限が管理されたコンテンツに対するアクセス許可をユーザーが変更できないようにする |
ユーザーは、IRM アクセス許可が既に追加されているコンテンツを使用することはできますが、IRM アクセス許可を新しいコンテンツに適用することも、ドキュメントの権限を編集することもできません。 |
権限が管理された電子メールを閲覧できないユーザーに表示されるメッセージ |
権限が管理された電子メールで送信されたラッパー電子メール メッセージのテキストを指定します。 |
権限が管理されたドキュメントがアプリケーションで認識されない場合に表示される、ドキュメント テンプレートの場所を示す URL |
以前のバージョンの Office を使用しているユーザーが受信した権限が管理されたコンテンツを含むファイルで、暗号化されていないラッパーのテンプレートとして使用されるドキュメント、ワークシート、およびプレゼンテーション ファイルを含むフォルダのパスを指定します。 |
Information Rights Management 関連のユーザー インターフェイスを無効にする |
すべての Office アプリケーションのユーザー インターフェイス内で Rights Management 関連のオプションをすべて無効にします。 |
追加権限の要求 URL |
IRM コンテンツへのアクセスに関する詳細情報をユーザーが入手できる場所を指定します。 |
以前のバージョンの Office を使用するユーザーがブラウザで閲覧できるようにする |
Microsoft Office 2007 システムを使用していないユーザーが、Internet Explorer の Rights Management アドインを使用して権限が管理されたコンテンツを表示できるようにします。 |
アクセス許可の確認のためユーザーに常に接続を要求する |
権限が管理された Office ドキュメントを開くユーザーは、インターネットまたはローカル エリア ネットワークに接続し、有効な IRM ライセンスを所有していることを Passport または RMS で確認する必要があります。 |
ドキュメントのアクセス許可を制限している場合に Office でグループを常に展開表示する |
ユーザーが [アクセス許可] ダイアログ ボックスでグループ名を選択してドキュメントにアクセス許可を適用するときに、グループ名が自動的に展開され、グループのすべてのメンバが表示されます。 |
ドキュメントのアクセス許可が制限されている場合はユーザーにグループの指定を許可しない |
ユーザーが [アクセス許可] ダイアログ ボックスでグループを選択すると、"配布リストにコンテンツを発行できません。各ユーザーの電子メール アドレスのみ指定できます。" のエラーが表示されます。 |
グループ拡張のエントリ 1 つに対して実行するクエリの Active Directory タイムアウト |
グループを展開したときに Active Directory エントリの 1 つに対して実行するクエリのタイムアウト値を指定します。 |
アクセスが制限されたコンテンツに対する Microsoft Passport サービスを無効にする |
ユーザーは、Passport で認証されたアカウントによって作成されたコンテンツを開けません。 |
アクセス許可ポリシーのパスを指定する |
指定したフォルダにあるアクセス許可ポリシー テンプレートを [アクセス許可] ダイアログ ボックスに表示します。 |
Information Rights Management 構成のアップグレードをユーザーに許可しない |
修復を実行して Information Rights Management 構成を変更することをユーザーに許可しません。 |
Office Outlook 2007 のいくつかの IRM 設定も構成できます。Outlook の IRM の構成の詳細については、「Outlook 2007 で Information Rights Management を構成する」を参照してください。
IRM レジストリ キー オプションを構成する
IRM 設定は、グループ ポリシー、レジストリ キー、またはその両方で構成できます。次の表に、2007 Office system の IRM レジストリ キー設定と、対応するグループ ポリシー設定 (グループ ポリシーを使用して設定をロックできる場合) の一覧を示します。
次の IRM レジストリ設定は、HKCU\Software\Microsoft\Office\12.0\Common\DRM にあります。グループ ポリシー設定は、[ユーザーの構成\Microsoft Office 2007 system\アクセスの制限の管理] にあります。
レジストリ エントリの名前 | レジストリ エントリの種類 | レジストリ エントリの値 | グループ ポリシー設定または説明 |
---|---|---|---|
Disable |
DWORD |
0 = このレジストリ キーの影響を受ける機能はなし 1 = すべての IRM 機能が削除される (IRM が無効になる) |
Information Rights Management 関連のユーザー インターフェイスを無効にする |
DisableCreation |
DWORD |
1 (またはゼロ以外) = エンタープライズ インストールの動作が、標準インストールの動作と同じになる。ユーザーは IRM コンテンツを作成したりドキュメントの権限を編集したりできませんが、以前に作成されたコンテンツは使用できます。 0 = 製品の SKU に含まれる場合は IRM コンテンツの作成が許可される |
権限が管理されたコンテンツに対するアクセス許可をユーザーが変更できないようにする |
IncludeHTML |
DWORD |
1 = HTML ストリームを含める 0 = HTML ストリームを含めない |
以前のバージョンの Office を使用するユーザーがブラウザで閲覧できるようにする |
DownlevelText |
String |
ラッパーの電子メールに表示されるテキスト。既定のテキストは、"Microsoft Office 2003 または 2007 などの、アクセスが制限されたメッセージをサポートしている電子メールソフトをお使いでない場合は、Rights Management Internet Explorer アドオンを使用してメッセージを表示できます。このアドオンは、http://r.office.microsoft.com/r/rlidRestrictedPermissionViewer?clid=1033 から無料でダウンロードできます。 ハイパーリンク内の CLID が、送信者の既定の言語にローカライズされます。 |
権限が管理された電子メールを閲覧できないユーザーに表示されるメッセージ |
DownlevelTemplatePath |
String |
テンプレートを格納するディレクトリのパス。テンプレートとは、Office ドキュメント テンプレートです。 |
権限が管理されたドキュメントがアプリケーションで認識されない場合に表示される、ドキュメント テンプレートの場所を示す URL |
CorpCertificationServer |
String |
企業の証明機関サーバーの URL |
対応するグループ ポリシー設定はなし。RMS サーバーを指定するには、通常 Active Directory が使用されます。この設定は、証明機関として Active Directory で指定された Windows RMS の場所より優先します。 |
AdminTemplatePath |
String |
RMS テンプレートのパス。すべてのテンプレートを同じディレクトリに格納する必要があります。パスには、%userprofile%\application data のように、環境変数を含めることができます。 |
アクセス許可ポリシーのパスを指定する |
DisablePassportCertification |
DWORD |
0 = このレジストリ キーの影響を受ける機能はなし 1 = Passport を無効にする |
アクセスが制限されたコンテンツに対する Microsoft Passport サービスを無効にする |
RequestPermissionURL |
String |
追加のアクセス許可を付与できるユーザーの URL (mailto:someone@contoso.com など) |
追加権限の要求 URL |
RequireConnection |
DWORD |
1 = チェック ボックスは既定でオン。接続が必要です。 0 = チェック ボックスはオフ。ユーザーは接続を必要としません。 |
アクセス許可の確認のためユーザーに常に接続を要求する |
RequestPermission |
DWORD |
1 = チェック ボックスはオン 0 = チェック ボックスはオフ |
対応するグループ ポリシー設定はなし。このレジストリ キーにより、[追加権限の要求先] チェック ボックスの既定値が変更されます。 |
DoNotAcquireDRMLicenseOnSync |
DWORD |
1 = Outlook はメッセージの同期中にライセンスの取得を試行しない 0 = ライセンスが自動的に取得される |
対応するグループ ポリシー設定はなし。Outlook で IRM 電子メール メッセージをダウンロードすると、IRM コンテンツを表示するためのライセンスが自動的に取得されます。 |
NeverAllowDLs |
DWORD |
0 = 配布リストを有効にする 1 = 配布リストを無効にする |
ドキュメントのアクセス許可が制限されている場合はユーザーにグループの指定を許可しない |
CloudCertificationServer |
String |
カスタム クラウド証明機関サーバーの URL |
対応するグループ ポリシー設定はなし |
CloudLicenseServer |
String |
ライセンス サーバーの URL |
対応するグループ ポリシー設定はなし |
DRMPostSetupURL |
String |
RMS クライアントの URL |
Windows Rights Management Services クライアントをユーザーがダウンロードできる URL。 |
DoNotUseOutlookByDefault |
DWORD |
0 = Outlook を使用する 1 = Outlook を使用しない |
対応するグループ ポリシー設定はなし。[アクセス許可] ダイアログ ボックスでは、Outlook を使用して、そのダイアログに入力された電子メール アドレスを検証します。このため、アクセス許可を制限すると Outlook のインスタンスが開始されます。このキーを使用して、オプションを無効にします。 |
DisableRepair |
DWORD |
0 = 修復は通常どおり機能 1 = 修復は無効 |
Information Rights Management 構成のアップグレードをユーザーに許可しない |
次の IRM レジストリ設定は、HKCU\Software\Microsoft\Office\12.0\Common\DRM\AutoExpandDLs にあります。対応するグループ ポリシー設定は、[ユーザーの構成\Microsoft Office 2007 system\アクセスの制限の管理] にあります。
レジストリ エントリの名前 | レジストリ エントリの種類 | レジストリ エントリの値 | グループ ポリシー設定 |
---|---|---|---|
AutoExpandDLsEnable |
DWORD |
0 = [アクセス許可] ダイアログ ボックスで配布リストを展開しない 1 = [アクセス許可] ダイアログ ボックスで配布リストを展開する |
ドキュメントのアクセス許可を制限している場合に Office でグループを常に展開表示する |
次の IRM レジストリ設定は、HKCU\Software\Microsoft\Office\12.0\Common\DRM\LicenseServers にあります。対応するグループ ポリシー設定はありません。
レジストリ エントリの名前 | レジストリ エントリの種類 | レジストリ エントリの値 | 説明 |
---|---|---|---|
LicenseServers |
キーおよびハイブ。ライセンス サーバーの名前を含む DWORD 値が格納されます。 |
サーバー URL を設定。DWORD の値が 1 の場合、Office はライセンスを取得するかどうかを確認しません (単に取得します)。 値がゼロか、そのサーバーのレジストリ エントリがない場合、Office はライセンスの取得を確認します。 |
例 : この設定の値が "http://foo/_wmcs/licensing = 1" の場合、権限が管理されたドキュメントを開くためにそのサーバーからライセンスの取得を試みているユーザーには、ライセンスが確認されません。 |
次の IRM レジストリ設定は、HKCU\Software\Microsoft\Office\12.0\Common\Security にあります。対応するグループ ポリシー設定はありません。
レジストリ エントリの名前 | レジストリ エントリの種類 | レジストリ エントリの値 | 説明 |
---|---|---|---|
DRMEncryptProperty |
DWORD |
1 = ファイルのメタデータが暗号化される 0 = メタデータがクリア テキストで格納される。既定値は 0 です。 |
権限が管理されたファイル内に格納されるすべてのメタデータを暗号化するかどうかを指定する |
2007 Office system の Office Open XML ファイル形式 (docx、xlsx、pptx など) の場合、ユーザーは、権限が管理されたファイル内に格納される Office メタデータを暗号化できます。ユーザーは、ハイパーリンク参照を含むすべての Office メタデータを暗号化することも、他のアプリケーションがデータにアクセスできるようにコンテンツをそのまま暗号化しないこともできます。
ユーザーは、レジストリ キーを設定することで、メタデータの暗号化を選択できます。ユーザーの既定のオプションは、レジストリ設定を展開することで設定できます。一部のメタデータを暗号化するオプションはありません。すべてのメタデータを暗号化するか、1 つも暗号化しないかのどちらかです。
また、このレジストリ設定では SharePoint で作成される記憶域などの Office クライアント以外のメタデータ記憶域を暗号化するかどうかは判断されません。
この暗号化の選択は、Microsoft Office 2003 のファイル形式またはそれ以前の他のファイル形式には適用されません。2007 Office system では、それ以前の形式は Microsoft Office 2003 と同じ方法で処理されます。