Windows Server 2012 以降での AD RMS サーバー上の DB メンテナンスについて – その 2

こんにちは、RMS サポートの益戸です。 以前、「Windows Server 2012 以降での AD RMS サーバー上の DB メンテナンスについて」にてご紹介したクエリについて、今回は改良版をご用意いたしました。 MSIPC のバージョンアップに伴い、以下の公開情報にもあるとおり、今までは多くのデータが保管されることが少なかった UserAgent および、ErrorInformation についても削除を行うよう修正を加えております。ご利用方法については、前回のブログを参照ください。 弊社の複数環境にて動作確認を致しておりますが、ご利用いただく中でご不明な点などございましたら、弊社サポートをご利用いただければ幸いでございます。   [ご参考] Windows サーバーで AD RMS のイベント ID 84 が発生します。 https://support.microsoft.com/ja-jp/help/4038927/event-id-84-ad-rms-windows-server   SQL 文をコピーする際には、ダブルバイトが存在しないことをご確認ください。 ブラウザによっては、「’」等がダブルバイトになることがあります。ご注意ください。 [Delete 用 SQL 文] –//////////////////////////////////////////////////////////////////////////////////////////////// — Description: —       This script can be used to delete records in the AD RMS Logging source database….

0

モバイル端末で Azure Information Protection を使用する際の制限について

こんにちは、RMS サポートの益戸です。 Azure Information Protection (以降 AIPと表記します) では、Windows 端末の他、Android や iOS といったモバイル端末でも暗号化されたファイルを扱うことができるようになりました。 しかしながら、ダブルバイトの日本語表示については、現在(2017 年 9 月 5 日時点)では文字化けが発生することを確認しております。 サポート部門へも多くのお問合せをいただき、開発部門とも情報を共有しておりますが、Android OS に起因する問題、エクスプローラー等の暗号化ファイルを起動する際のアプリケーションに起因する問題、メーラーに起因する問題など、モバイル端末の幅広い環境に依存し、すべての事象に対して今すぐに対応していくことが難しくご不便をおかけする状況が残念ながら続いております。 * 2017/10/04 追記 : iOS についても、同様に文字コードに起因して文字化けが発生することを確認しております。 ダブルバイトといったローカル言語独自の問題については、日本だけではなく、中国や韓国などでも発生している状況とはなりますが、本ブログを通じて、ぜひ開発部門へ直接ご利用者のフィードバックができる仕組みをご紹介したいと思います。 具体的には、Yammer サイトや、メール、User Voice を通じて開発部門へフィードバックを送ることが可能となります。 Product Feedback for Microsoft’s Information Protection Solutions : https://msip.uservoice.com Yammer サイト : https://www.yammer.com/AskIPTeam 情報保護チーム : mailto:askIPteam@microsoft.com?subject=Question%20about%20Azure%20Information%20Protection%20app なお、文字化けの事象の多くは文字コードに依存する場合が多く、UTF-8 では正常に表示されることを確認しております。 << Android >> << iOS >>…

0

Azure Information Protection にて XPS ファイルを開く際の注意事項

こんにちは、RMS サポートの益戸です。 Azure Information Protection (以降 AIPと表記します) にて、暗号化された XPS ファイルを開く際の注意事項についてご紹介します。 XPS ファイルは、XPS Viewer という OS に標準で含まれるアプリケーションで開く事が可能です。 XPS ビューアーでは、msdrm.dll というクライアントモジュールにて、RMS で暗号化されたドキュメントを開く事が可能です。 しかしながら、msdrm.dll については、直接 Azure を使用することが出来ないため、RMS 共有アプリケーションを介して開く必要があります。 具体的な、XPS ファイルの開き方は以下の通りです。 1. RMS 共有アプリケーションをインストールします。 Rights Management 共有アプリケーションをダウンロードしてインストールする https://docs.microsoft.com/ja-jp/information-protection/rms-client/install-sharing-app 上記は、インストール手順の公開情報です。インストーラーについては、以下よりダウンロードください。 上記公開情報内のリンクからは、AIP Client のダウンロードサイトとなり、AIP Client では XPS ファイルを開く事ができません。 Microsoft Rights Management sharing application for Windows – 日本語 https://www.microsoft.com/ja-JP/download/details.aspx?id=40857 ※ RMS 共有アプリケーションは、2019年1月以降、利用ができなくなります。既存…

0

FIM/MIM ADMAのExport処理で 0x80004005 エラー

こんにちは、Identity Manager サポート 益戸です。 たびたびお問い合わせいただく、ADMA Export 時のエラーについて、ご紹介いたします。 FIM/MIM をご利用いただく目的の一つとして、Active Directory Domain Controller との連携があります。 通常、FIM/MIM 上にて更新処理が発生した場合などには、Export 処理にて、対象のドメインコントローラーへ更新処理を実施します。 その際に、稀に unexpected-error (0x80004005) のエラーにて Export が失敗する場合があります。 このとき、イベントログには ID 6401 と 6301 のエラーログが記録されます。   たびたびお問い合わせをいただくものの、稀に発生し再現ができず、原因究明が難しいエラーとなります。 今回は、想定原因と影響範囲についてご紹介します。 ============================= 考えられる原因について ============================= 類似の現象で弊社に報告されている事例からは、以下の状況で上記のエラーが発生しております。 1. AD-MA のコネクタ スペースに破損した情報が含まれていた状態で Export した場合 2. Export にて、何らかの要因で AD によって属性が書き込み拒否された場合 1. の現象に関しましては、全てのコネクタ スペースを削除し、再作成にて対応が可能となりますが、多くは 2 のケースに該当しています。 2. の現象に関しましては、既存のオブジェクトが存在するような同期環境において、userAccountControl 属性や unicodePwd…


[RMS]Rights Management Services Client 2.1 (MSIPC.dll) の動作変更 – 所有者 (作成者) に無期限のフル コントロールの権利を付与する設定時

こんにちは。 RMS サポート担当の若狭です。 いつも Microsoft 製品をご愛顧いただきまして、誠にありがとうございます。 Rights Management Services Client 2.1 (MSIPC.dll) の動作が変更されておりますので、以下にご案内いたします。 変更前の動作: Version 1.0.1998.0 (2015年 12月) 以前 AD RMS の権利ポリシーテンプレートにて、「所有者 (作成者) に無期限のフル コントロールの権利を付与する」のチェックが外されている場合にも、暗号化したユーザー (作成者) に無期限のフルコントロールが与えられ、使用ライセンス (EUL) がファイルに埋め込まれる。 変更後の動作: Version 1.0.2124.0 (2016年 4月) 以降 AD RMS の権利ポリシーテンプレートにて、「所有者 (作成者) に無期限のフル コントロールの権利を付与する」のチェックが外されている場合には、暗号化したユーザー (作成者) に無期限のフルコントロールが与えられない。 なお、本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。 何卒ご留意いただけますようお願い申し上げます。

0

Windows Server 2012 以降での AD RMS サーバー上の DB メンテナンスについて

こんにちは、RMS サポート 益戸です。 本記事では、AD RMS をご利用いただく中で、データベースのメンテナンス処理を実施する際の注意点について、ご案内します。 AD RMS では、以下の 3 つのデータベースを使用し、サービスを提供しております。   • 構成データベース 証明書やクラスター名など、AD RMS が動作する際に必要な情報が格納されます。 • ログ データベース AD RMS へ接続したユーザー情報等が格納されます。 • ディレクトリ サービス データベース ユーザーや、電子メールアドレス、SID など、AD RMS がドメインコントローラーより取得したユーザー情報を確認します。   AD RMS の機能としては、それぞれのデータベースをメンテナンスする機能は有しておらず、バックアップや、メンテナンス処理などを手動にて作りこむ必要があります。 -> AD RMS では、上記のデータベースをメンテナンスする機能を提供いたしておりません。 そのため、バックアップや削除等、メンテナンス処理を手動にて実装いただく必要がある場合もございます。 この際、Windows Server 2008 R2 環境と、Windows Server 2012 以降の環境にて仕様の差異から意図せずサービスが使用できなくなる状況が発生する可能性がある為、以下に注意点としてまとめました。 ログデータベースの削除の際に、以下の公開情報を参考に、ログデータベースの削除処理を実施しているお客様が多いかと存じます。   AD RMS Log Purging Sample…

0

[RMS] IpcSetLicenseProperty 関数と ERD (Encrypted Rights Data) Type の関係

こんにちは。 RMS サポート担当の若狭です。 いつもMicrosoft製品をご愛顧いただきまして、誠にありがとうございます。 本記事では、RMS SDK 2.1 をご利用の皆様に向け、IpcSetLicenseProperty 関数と、ERD (Encrypted Rights Data) Type の関係について解説させていただきます。 まずは、IpcSetLicenseProperty 関数と ERD Type に関する説明を以下に記載いたします。 その後、この関数が ERD Type に与える影響について解説致します。   目次: ————– 1. IpcSetLicenseProperty と ERD 2. ERD (Encrypted Rights Data) Type 3. IpcSetLicenseProperty 関数利用時の ERD Type への影響 ————–   1. IpcSetLicenseProperty と ERD ======================== IpcSetLicenseProperty は、暗号化時に指定するライセンス (IPC_LICENSE_HANDLE) を編集する際に利用します。 このライセンスには、ユーザーに与えられる権利情報や有効期限等の情報が含まれ、編集したライセンスは、IpcfEncryptFile 等の暗号化関数に指定して利用します。…

0

[RMS] SharePoint Server 2013, 2016 での IRM 構成、及び、注意点について

こんにちは、RMS サポートの小島です。 平素よりマイクロソフト製品をご愛顧いただき、誠にありがとうございます。   本記事では SharePoint Server 2013, 2016 で IRM 機能を利用する場合の注意点についてご案内いたします。 ※ SharePoint 2010 については内容が異なる場合がございますのでご留意ください。 SharePoint Server では AD RMS Server や Azure Information Protection (旧 Azure RMS) と連携して、ユーザーがダウンロードする文書を自動的に IRM 保護する機能が用意されております。 この機能の基本的な設定方法については以下でご紹介する公開情報などをご参照ください。   [AD RMS と連携する場合] AD RMS サーバーと連携する場合、AD RMS サーバーのローカルグループである “AD RMS Service Group” に、SharePoint 関連のサービスアカウントとコンピュータアカウントを登録します。また、 AD RMS の ServerCertification.asmx にこの “AD RMS…

0

MIM 2016 SP1 にて PAM を利用する際に、http 404 / 500 エラーが発生する。

こんにちは、Identity Manager サポート 益戸です。 MIM 2016 SP1 の Privilege Access Management(PAM) をご利用いただく際に、いくつかの rest API が HTTP 404 や 500 エラーが出力される場合があります。 この際の対応手順について、ご紹介します。 回避策としては、以下の通り MIM のサービスアカウントの権限の委譲を以下の通り実施します。 実施後は、MIM サーバー上にて、iisreset にて IIS サービスの再起動を実施ください。 変更前 変更後 この事象は、Off box と呼ばれる新しい委任に関連する機能の問題によるものとなります。 MIM 2016 SP1 にて PAM 機能をご活用の際はご注意ください。

0

[RMS] 個人用 RMS の登録について

皆さんこんにちは、日本マイクロソフト小島です。 今回は Azure RMS のライセンスとして弊社が提供している 個人用 RMS ライセンス の概要について記載いたします。まず、Azure RMS のライセンスには以下のようなものがございます。   個人用 RMS ライセンス Azure Information Protection P1 ライセンス Azure Information Protection P2 ライセンス   このうち、Azure Information Protection  P1 及び、Azure Information Protection P2 ライセンスについては有償のライセンスとなります。そして、個人用 RMS ライセンスについてはご自身のメールアドレスさえあれば、登録できるフリーのライセンスとなります。ただし、個人用 RMS ライセンス は保護された文書の “復号化 (閲覧や保護解除など) ” のみを目的としており、文書の “暗号化(保護)”  についてはサポートを行っていないなど、いくつか制限がございますのでご注意ください。   『個人用 RMS と Azure Information Protection』 https://docs.microsoft.com/ja-jp/information-protection/understand-explore/rms-for-individuals   この個人用ライセンスについては下記の方法で登録することが可能となります。 <登録手順について> 1.  下記からサインアップします。 https://signup.microsoft.com/signup?sku=rms&ru=https%3A%2F%2Fportal.azurerms.com%2F%23%2Fdownload   2.  ご利用されているメールアドレスを入力し、[サインアップ]…

0