ADRMS にて ServiceLocator.asmx に対して匿名認証を有効化する際の注意事項について

  こんにちは、RMS サポートの益戸です。 今回は、RMS サーバーにて匿名認証を有効化する際の注意事項についてご案内します。 フォレスト間の Active Directory の信頼関係がない組織間にて連携するシナリオや、RMS を利用するユーザーが社外にいる場合など、要件によっては RMS サーバーの ServiceLocator.asmx へ匿名認証を有効化しなければいけない場合があります。 ServiceLocator.asmx に対しては公開情報でも様々な記述がある為、改めて匿名認証を有効化する場合の制限事項やサポータビリティについて整理しました。 ==================================================== RMS サーバーの ServiceLocator.asmx の匿名認証について ==================================================== RMS サーバーでは、他フォレストの RMS サーバーと連携する機能を有しています。 その際、連携先のフォレストと Windows のフォレスト間の信頼関係は必ずしも必要なく、RMS サーバー上の IIS の認証については匿名認証を有効にする、またはダミーのユーザーを使用することで回避することができます。 ダミーのユーザーを使用しない場合、ServiceLocator.asmx に匿名認証を付与することで動作させる構成は適切なサポートされる構成となります。   AD RMS and Server Design https://technet.microsoft.com/ja-jp/library/ee221071(v=ws.10).aspx — 該当部抜粋 — Please remember that an AD RMS Trust does not require a…

0

MIM 2016 SP1 に新しい Hotfix がリリースされました!!

こんにちは、Identity Manager サポート 益戸です。 公開が遅くなってしまいましたが、MIM 2016 SP1 の更新プログラムが公開されました。 MIM ポータルおよび、MIM サービスに対する修正がメインとなります。 PAM に関する修正もありますので、ご利用いただいているお客様は適用をご検討ください。   Hotfix rollup package (build 4.4.1749.0) is available for Microsoft Identity Manager 2016 SP1 https://support.microsoft.com/ja-jp/kb/4050936   Hotfix Download https://www.microsoft.com/download/details.aspx?id=56271   MIM Version Release History https://docs.microsoft.com/en-us/microsoft-identity-manager/reference/version-history

0

Windows Server 2012 以降での AD RMS サーバー上の DB メンテナンスについて – その 2

こんにちは、RMS サポートの益戸です。 以前、「Windows Server 2012 以降での AD RMS サーバー上の DB メンテナンスについて」にてご紹介したクエリについて、今回は改良版をご用意いたしました。 MSIPC のバージョンアップに伴い、以下の公開情報にもあるとおり、今までは多くのデータが保管されることが少なかった UserAgent および、ErrorInformation についても削除を行うよう修正を加えております。ご利用方法については、前回のブログを参照ください。 弊社の複数環境にて動作確認を致しておりますが、ご利用いただく中でご不明な点などございましたら、弊社サポートをご利用いただければ幸いでございます。   [ご参考] Windows サーバーで AD RMS のイベント ID 84 が発生します。 https://support.microsoft.com/ja-jp/help/4038927/event-id-84-ad-rms-windows-server   SQL 文をコピーする際には、ダブルバイトが存在しないことをご確認ください。 ブラウザによっては、「’」等がダブルバイトになることがあります。ご注意ください。 [Delete 用 SQL 文] –//////////////////////////////////////////////////////////////////////////////////////////////// — Description: —       This script can be used to delete records in the AD RMS Logging source database….

0

モバイル端末で Azure Information Protection を使用する際の制限について

こんにちは、RMS サポートの益戸です。 Azure Information Protection (以降 AIPと表記します) では、Windows 端末の他、Android や iOS といったモバイル端末でも暗号化されたファイルを扱うことができるようになりました。 しかしながら、ダブルバイトの日本語表示については、現在(2017 年 9 月 5 日時点)では文字化けが発生することを確認しております。 サポート部門へも多くのお問合せをいただき、開発部門とも情報を共有しておりますが、Android OS に起因する問題、エクスプローラー等の暗号化ファイルを起動する際のアプリケーションに起因する問題、メーラーに起因する問題など、モバイル端末の幅広い環境に依存し、すべての事象に対して今すぐに対応していくことが難しくご不便をおかけする状況が残念ながら続いております。 * 2017/10/04 追記 : iOS についても、同様に文字コードに起因して文字化けが発生することを確認しております。 ダブルバイトといったローカル言語独自の問題については、日本だけではなく、中国や韓国などでも発生している状況とはなりますが、本ブログを通じて、ぜひ開発部門へ直接ご利用者のフィードバックができる仕組みをご紹介したいと思います。 具体的には、Yammer サイトや、メール、User Voice を通じて開発部門へフィードバックを送ることが可能となります。 Product Feedback for Microsoft’s Information Protection Solutions : https://msip.uservoice.com Yammer サイト : https://www.yammer.com/AskIPTeam 情報保護チーム : mailto:askIPteam@microsoft.com?subject=Question%20about%20Azure%20Information%20Protection%20app なお、文字化けの事象の多くは文字コードに依存する場合が多く、UTF-8 では正常に表示されることを確認しております。 << Android >> << iOS >>…

0

Azure Information Protection にて XPS ファイルを開く際の注意事項

こんにちは、RMS サポートの益戸です。 Azure Information Protection (以降 AIPと表記します) にて、暗号化された XPS ファイルを開く際の注意事項についてご紹介します。 XPS ファイルは、XPS Viewer という OS に標準で含まれるアプリケーションで開く事が可能です。 XPS ビューアーでは、msdrm.dll というクライアントモジュールにて、RMS で暗号化されたドキュメントを開く事が可能です。 しかしながら、msdrm.dll については、直接 Azure を使用することが出来ないため、RMS 共有アプリケーションを介して開く必要があります。 具体的な、XPS ファイルの開き方は以下の通りです。 1. RMS 共有アプリケーションをインストールします。 Rights Management 共有アプリケーションをダウンロードしてインストールする https://docs.microsoft.com/ja-jp/information-protection/rms-client/install-sharing-app 上記は、インストール手順の公開情報です。インストーラーについては、以下よりダウンロードください。 上記公開情報内のリンクからは、AIP Client のダウンロードサイトとなり、AIP Client では XPS ファイルを開く事ができません。 Microsoft Rights Management sharing application for Windows – 日本語 https://www.microsoft.com/ja-JP/download/details.aspx?id=40857 ※ RMS 共有アプリケーションは、2019年1月以降、利用ができなくなります。既存…

0

FIM/MIM ADMAのExport処理で 0x80004005 エラー

こんにちは、Identity Manager サポート 益戸です。 たびたびお問い合わせいただく、ADMA Export 時のエラーについて、ご紹介いたします。 FIM/MIM をご利用いただく目的の一つとして、Active Directory Domain Controller との連携があります。 通常、FIM/MIM 上にて更新処理が発生した場合などには、Export 処理にて、対象のドメインコントローラーへ更新処理を実施します。 その際に、稀に unexpected-error (0x80004005) のエラーにて Export が失敗する場合があります。 このとき、イベントログには ID 6401 と 6301 のエラーログが記録されます。   たびたびお問い合わせをいただくものの、稀に発生し再現ができず、原因究明が難しいエラーとなります。 今回は、想定原因と影響範囲についてご紹介します。 ============================= 考えられる原因について ============================= 類似の現象で弊社に報告されている事例からは、以下の状況で上記のエラーが発生しております。 1. AD-MA のコネクタ スペースに破損した情報が含まれていた状態で Export した場合 2. Export にて、何らかの要因で AD によって属性が書き込み拒否された場合 1. の現象に関しましては、全てのコネクタ スペースを削除し、再作成にて対応が可能となりますが、多くは 2 のケースに該当しています。 2. の現象に関しましては、既存のオブジェクトが存在するような同期環境において、userAccountControl 属性や unicodePwd…


[RMS]Rights Management Services Client 2.1 (MSIPC.dll) の動作変更 – 所有者 (作成者) に無期限のフル コントロールの権利を付与する設定時

こんにちは。 RMS サポート担当の若狭です。 いつも Microsoft 製品をご愛顧いただきまして、誠にありがとうございます。 Rights Management Services Client 2.1 (MSIPC.dll) の動作が変更されておりますので、以下にご案内いたします。 変更前の動作: Version 1.0.1998.0 (2015年 12月) 以前 AD RMS の権利ポリシーテンプレートにて、「所有者 (作成者) に無期限のフル コントロールの権利を付与する」のチェックが外されている場合にも、暗号化したユーザー (作成者) に無期限のフルコントロールが与えられ、使用ライセンス (EUL) がファイルに埋め込まれる。 変更後の動作: Version 1.0.2124.0 (2016年 4月) 以降 AD RMS の権利ポリシーテンプレートにて、「所有者 (作成者) に無期限のフル コントロールの権利を付与する」のチェックが外されている場合には、暗号化したユーザー (作成者) に無期限のフルコントロールが与えられない。 なお、本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。 何卒ご留意いただけますようお願い申し上げます。

0

Windows Server 2012 以降での AD RMS サーバー上の DB メンテナンスについて

こんにちは、RMS サポート 益戸です。 本記事では、AD RMS をご利用いただく中で、データベースのメンテナンス処理を実施する際の注意点について、ご案内します。 AD RMS では、以下の 3 つのデータベースを使用し、サービスを提供しております。   • 構成データベース 証明書やクラスター名など、AD RMS が動作する際に必要な情報が格納されます。 • ログ データベース AD RMS へ接続したユーザー情報等が格納されます。 • ディレクトリ サービス データベース ユーザーや、電子メールアドレス、SID など、AD RMS がドメインコントローラーより取得したユーザー情報を確認します。   AD RMS の機能としては、それぞれのデータベースをメンテナンスする機能は有しておらず、バックアップや、メンテナンス処理などを手動にて作りこむ必要があります。 -> AD RMS では、上記のデータベースをメンテナンスする機能を提供いたしておりません。 そのため、バックアップや削除等、メンテナンス処理を手動にて実装いただく必要がある場合もございます。 この際、Windows Server 2008 R2 環境と、Windows Server 2012 以降の環境にて仕様の差異から意図せずサービスが使用できなくなる状況が発生する可能性がある為、以下に注意点としてまとめました。 ログデータベースの削除の際に、以下の公開情報を参考に、ログデータベースの削除処理を実施しているお客様が多いかと存じます。   AD RMS Log Purging Sample…

0

[RMS] IpcSetLicenseProperty 関数と ERD (Encrypted Rights Data) Type の関係

こんにちは。 RMS サポート担当の若狭です。 いつもMicrosoft製品をご愛顧いただきまして、誠にありがとうございます。 本記事では、RMS SDK 2.1 をご利用の皆様に向け、IpcSetLicenseProperty 関数と、ERD (Encrypted Rights Data) Type の関係について解説させていただきます。 まずは、IpcSetLicenseProperty 関数と ERD Type に関する説明を以下に記載いたします。 その後、この関数が ERD Type に与える影響について解説致します。   目次: ————– 1. IpcSetLicenseProperty と ERD 2. ERD (Encrypted Rights Data) Type 3. IpcSetLicenseProperty 関数利用時の ERD Type への影響 ————–   1. IpcSetLicenseProperty と ERD ======================== IpcSetLicenseProperty は、暗号化時に指定するライセンス (IPC_LICENSE_HANDLE) を編集する際に利用します。 このライセンスには、ユーザーに与えられる権利情報や有効期限等の情報が含まれ、編集したライセンスは、IpcfEncryptFile 等の暗号化関数に指定して利用します。…

0

[RMS] SharePoint Server 2013, 2016 での IRM 構成、及び、注意点について

こんにちは、RMS サポートの小島です。 平素よりマイクロソフト製品をご愛顧いただき、誠にありがとうございます。   本記事では SharePoint Server 2013, 2016 で IRM 機能を利用する場合の注意点についてご案内いたします。 ※ SharePoint 2010 については内容が異なる場合がございますのでご留意ください。 SharePoint Server では AD RMS Server や Azure Information Protection (旧 Azure RMS) と連携して、ユーザーがダウンロードする文書を自動的に IRM 保護する機能が用意されております。 この機能の基本的な設定方法については以下でご紹介する公開情報などをご参照ください。   [AD RMS と連携する場合] AD RMS サーバーと連携する場合、AD RMS サーバーのローカルグループである “AD RMS Service Group” に、SharePoint 関連のサービスアカウントとコンピュータアカウントを登録します。また、 AD RMS の ServerCertification.asmx にこの “AD RMS…

0