Exchange 2007 ハイブリッド展開での IRM について

適用先: Exchange Server 2010 SP2

Information Rights Management (IRM) は、電子メール メッセージと添付ファイルをオンラインおよびオフラインで永続的に保護し、機密性の高い情報の漏洩防止を支援します。社内組織の Exchange 2007 と、Office 365 for Enterprises の Exchange Online の両方は共に、IRM をサポートしています。ただし、これらの 2 つの実装には違いがあり、クラウドベースのユーザーが IRM を使用できるようにするには、クラウドベースの Exchange 組織で IRM を構成する必要があります。

IRM は、Windows Server 2008 R2 のコンポーネントである Active Directory Rights Management サービス (AD RMS) を使用します。AD RMS を使用すると、ユーザーは電子メールや添付ファイルなどの権利が保護されたコンテンツを作成し、そのコンテンツの使用方法と配布先を制御できます。ユーザーはコンテンツの使用方法を決定するテンプレートを指定できます。たとえば、ユーザーは電子メール メッセージを他の受信者に転送できないように指定したり、メッセージ内の情報をコピーできないように指定したりできます。

Exchange 2007 の IRM の詳細情報:AD RMS プレライセンス エージェントについて

Exchange 2010 の IRM の詳細情報:Information Rights Management について

AD RMS の詳細情報:Active Directory Rights Management サービスの概要

IRM の構成の詳細情報:Exchange 2007 ハイブリッド展開での IRM の構成

Exchange 2007 と Exchange Online での IRM の相違点

Exchange Online は、Exchange 2010 に基づいて設計されており、新しい IRM 機能がいくつか追加されています。社内の Exchange 2007 組織で利用できる IRM 機能は、クラウドベースの Exchange 組織で利用できる IRM 機能とは異なります。次の表は、IRM 機能の概要と各組織で利用できる機能を示しています。

利用できる IRM 機能

これらの機能の詳細情報:Information Rights Management について

ハイブリッド展開での IRM

Exchange では、Exchange サーバーをインストールしている Active Directory フォレスト内で AD RMS サーバーが使用されます。社内の Exchange 2007 サーバーでは、社内 AD RMS サーバーが使用されます。クラウドベースの Exchange 組織では、Microsoft Office 365 データセンター内で維持されている AD RMS サーバーが使用されます。各 Exchange 組織が使用する AD RMS 構成は、他のすべての AD RMS 展開から独立しています。

AD RMS 構成、したがって IRM 構成は、社内 Exchange 組織とクラウドベースの Exchange 組織間で自動的にレプリケートされません。定義した AD RMS テンプレートはクラウドベースの組織に自動的にコピーされません。同じ AD RMS テンプレートをクラウドベースの Exchange 組織で使用可能にする場合は、社内組織からテンプレートを手動でエクスポートし、クラウドベースの組織に適用する必要があります。詳細については、このトピックに記載されている「ハイブリッド展開での IRM 構成」を参照してください。

ユーザー エクスペリエンス

ユーザーに適用される IRM 構成は、ユーザーが使用するクライアントと、ユーザーのメールボックスの場所によって決まります。次の表は、ユーザーが使用する AD RMS サーバーを示しています。

アクティブな AD RMS サーバー

社内組織とクラウドベースの組織で構成する AD RMS 構成によって、Outlook 2007 および Outlook Web App を使用するユーザーに対して異なる AD RMS テンプレートが表示される可能性があります。このため、社内組織とクラウドベースの組織の両方に同じテンプレートを適用することを強くお勧めします。

Outlook クライアント ユーザーのメールボックスが社内組織内にあるか、クラウドベースの組織内にあるかに関係なく、ユーザーが IRM をまったく同じように利用できるようにする必要があります。

Exchange 2007 サーバー上にメールボックスがある Outlook Web App ユーザーは、Internet Explorer 用 Rights Management アドインをインストールした後は、権利を保護されたメッセージを開くことしかできません。これらのメッセージに返信することや、権利で保護されたメッセージを新規に作成することはできません。

メールボックスがクラウド上にある Outlook Web App ユーザーは、別のソフトウェアを追加することなく権利で保護されたメッセージを開くことができ、これらのメッセージに返信することも、権利で保護されたメッセージを新規に作成することもできます。

サーバーの機能

社内 Exchange 2007 サーバーは、 ユーザーが権利で保護されたメッセージを開く際に資格情報を入力する必要がないように、AD RMS プレライセンス エージェントを使用してこれらのメッセージを解読します。社内 Exchange 2007 サーバーは社内 AD RMS サーバーに接続し、使用ポリシーと権利を確認し、メッセージを解読するための認証を要求します。

クラウドベースの Exchange 組織には、クラウドベースの AD RMS を使用するための追加の IRM 関連機能がいくつか備えられています。ジャーナル レポート復号化などのこれらの機能は、権利で保護されたメッセージのコンテンツを Exchange サービスから利用できるようにして、追加の処理を行えるようにします。たとえば、解読されたジャーナル メッセージのコンテンツを元の権利で保護されたメッセージと共に保存して、より容易に検索できるようにします。さらに、メッセージが情報の保護に関する組織のポリシーに確実に従うように、Outlook 保護ルールまたはトランスポート ルールのいずれかを使用して IRM テンプレートを自動的にメッセージに適用できます。

ハイブリッド展開での IRM 構成

Exchange の IRM は、Exchange サーバーが存在する Active Directory フォレスト内に展開されている AD RMS を使用します。AD RMS 構成は社内組織とクラウド間では自動的に同期されません。信頼された発行ドメイン (TPD) と呼ばれる AD RMS 構成は、手動で社内の AD RMS サーバーからエクスポートし、クラウドベースの Exchange 組織にインポートする必要があります。TPD には、クラウドベースの Exchange 組織が IRM を使用するために必要とするテンプレートなどの AD RMS 構成が含まれます。

詳細情報:AD RMS の信頼された発行ドメインについての考慮事項

社内の AD RMS 構成をクラウドベースの Exchange 組織に適用することに加え、社内ネットワークの外側にある Outlook と ActiveSync クライアントから AD RMS サーバーに接続できるようにする必要があります。これらのクライアントから、社内ネットワークの外側にある権利で保護されたメッセージにアクセスさせたい場合は、この設定を行う必要があります。

社内ネットワークの構成と TPD データのエクスポートが完了したら、TPD データをインポートし、IRM を有効にすることでクラウドベースの Exchange 組織を構成する必要があります。

詳細情報: Exchange 2007 ハイブリッド展開での IRM の構成

 © 2010 Microsoft Corporation.All rights reserved.