[RMS] 権利ポリシーテンプレート利用時と Adhoc-Policy による保護時のフルコントロール権限の動作の違いについて

  • Article

こんにちは、日本マイクロソフト RMS サポート担当の若狭です。
本日は掲題の通り、フルコントロール権限の動作について、権利ポリシーテンプレート利用時とアドホックポリシー利用時で差異がありますので、動作の違いについて解説いたします。

 

=================================================
- コンテンツの有効期限が切れた際の動作の違いについて
=================================================

コンテンツの有効期限が切れた場合には、通常のユーザーは当該のコンテンツにアクセスすることができなくなります。

ただし、権利ポリシーテンプレートにてフルコントロールを与えられたユーザーは、そのテンプレートで保護されたファイルの有効期限が切れた場合にも、サーバーから使用ライセンス (EUL) を取得して継続してコンテンツを閲覧したり保護を解除したりすることができます。
これに対してアドホックポリシーで保護されたコンテンツは、フルコントロールを持つユーザーであっても後から EUL を取得することができません。(EUL が取得済みの場合には、権利ポリシーテンプレートでの保護と同様に継続してコンテンツを利用することができます。)
これは、権利ポリシーテンプレートで保護されたコンテンツと、アドホックポリシーで保護されたコンテンツに対するサーバーの EUL 発行動作が異なるためです。
権利ポリシーテンプレートで保護されたコンテンツに対してフルコントロールを持つユーザーには、コンテンツの有効期限が切れた後も EUL が発行されますが、アドホックポリシーで保護されたコンテンツの有効期限が切れた場合には、フルコントロールを持つユーザーに対しても EUL が発行されません。
※使用ライセンス (EUL) は、RMS 暗号化されたコンテンツを利用するために必要な証明書です。詳細については後述の “使用ライセンス (EUL) について” をご参照ください。

以下の表に、ユーザーの持つ権限と暗号化方法に応じた、有効期限が切れたコンテンツの利用可否をまとめさせていただきました。
表: 動作の違い
※これは AD RMS および Azure Information Protection (Azure RMS) で共通の動作です。
※2 オーナー/Rights Management 所有者の EUL は、暗号化時にコンテンツに埋め込まれます。(AD RMS テンプレートにて "所有者 (作成者) に無期限のフルコントロールの権利を付与する" のチェックを外した場合には含まれません。)

 

=================================================
- 使用ライセンス (EUL) について
=================================================

使用ライセンス (EUL) は、RMS 暗号化されたコンテンツの暗号化を解除し、閲覧や編集等の操作を行うことができるようにするための証明書 (鍵) です。
EUL は通常、RMS サーバーから一度取得されるとクライアント PC のキャッシュフォルダに保存され、2 回目以降はキャッシュフォルダに保存された証明書を利用してコンテンツが開かれます。

Office アプリケーションでは、キャッシュファイルを以下の場所に保存します。

Office 2013 以降 (MSIPC.dll):
%localappdata%\Microsoft\MSIPC\EUL-*.drm
Office 2010 (MSDRM.dll):
%localappdata%\Microsoft\DRM\EUL-*.drm

取得された EUL は既定では有効期限がありませんが、権利ポリシーテンプレートの設定を変更することで、EUL をサーバーから再取得する必要がある期限を設定することができます。
この期限が過ぎた場合、クライアントは RMS サーバーに再度 EUL を要求してキャッシュを更新する必要があります。
EUL 有効期限は、コンテンツの有効期限とは別の設定です。

<Rights Management の使用ライセンス - Azure Rights Management の使用権限を構成する>
/ja-jp/information-protection/deploy-use/configure-usage-rights#rights-management-use-license

EUL の有効期限は、コンテンツの有効期限をアドホックポリシーで保護されたコンテンツに適用する際にも重要になります。
例えば、一度 EUL を取得したフルコントロールを持つユーザーは、その後キャッシュを使用して継続してコンテンツを利用可能となりますが、EUL の有効期限を設定することで EUL を再取得するために再び RMS サーバーに要求を行うこととなり、その際には発行が拒否されるためにコンテンツを利用することができなくなります。
また、EUL はローカル PC のみにキャッシュされるため、例えばユーザーが別の PC にサインインしてコンテンツを利用しようとした場合にも、RMS サーバーに EUL を要求します。

アドホックポリシーで保護されたコンテンツの有効期限を設定する際には、前述の動作の違いと EUL の有効期限に注意することで、より適切にコンテンツのライフサイクルを管理することができるようになります。

なお、EUL の有効期限は、例えば以下の場所で設定することができます。

  • テンプレート (AD RMS):
  • テンプレート (Azure Information Protection ポリシー):

 

=================================================
- Office 2010 の動作について
=================================================

Office 2010 は EUL のキャッシュ方法が異なり、Office 2013 以降のアプリケーションとは有効期限に関する動作が異なる可能性があります。

Office 2010 では、フルコントロールを持つユーザーの EUL は一度取得するとファイルに埋め込まれます。
そのため、一度フルコントロールを持つユーザーが Office 2010 でコンテンツを閲覧したり、または Office 2010 を使用して暗号化を行った場合には、すべての有効期限に関する設定が無効となります。

<Office 2010 で IRM 保護を行ったファイルでは、作成者とフル コントロール権限のユーザーに対する使用ライセンスの有効期限は切れず、再取得しない>
https://support.microsoft.com/ja-jp/help/3070457
----------------------------------------------------------------------------------------------------------------------------------
Office 2010 では、コンテンツ所有者としてフルコントロール権限を持つユーザーは、無期限の所有者 (OWNER) 権限が付与されます。また、そのライセンス情報はファイルに埋め込まれます。
これによって、コンテンツ所有者は、オフラインでの使用時や RMS サーバーが使用できないような場合であっても、ドキュメントを開くことができます。
なお、この動作によって、以下の権利ポリシーテンプレート設定は、コンテンツ所有者となるユーザーについては機能しません。
"所有者 (作成者) に無期限のフルコントロールの権利を付与する" のチェックをオフ
”コンテンツの有効期限” の設定値
"使用ライセンスの有効期限" の設定値
"コンテンツを利用する度に使用ライセンスを要求する" のチェックをオン
----------------------------------------------------------------------------------------------------------------------------------
※ただし、コンテンツがネットワークフォルダ上にある場合や書き込みが禁止されている場合には埋め込みが行われず、キャッシュフォルダに EUL キャッシュが作成されます。

 

=================================================
- コンテンツの有効期限について
=================================================

有効期限が切れたコンテンツは通常のユーザーが利用することができなくなります。
そのため、例えば一定の期間が経過したり、特定の日付を迎えると閲覧することができなくなることが望ましいようなファイルに対して設定することで、そのコンテンツのライフサイクルを管理することができます。

<Rights Management による保護でラベルを構成する方法>
/ja-jp/information-protection/deploy-use/configure-policy-protection#to-configure-a-label-for-rights-management-protection
----------------------------------------------------------------------------------------------------------------------------------
[コンテンツの有効期限] このテンプレートによって保護されているドキュメントまたは電子メールを、
選択したユーザーが開けなくなる日付またはそれまでの日数を定義します。
日付を指定するか、保護がコンテンツに適用された時点からの日数を指定できます。
----------------------------------------------------------------------------------------------------------------------------------

コンテンツの有効期限は、例えば以下の場所で設定することができます。

  • テンプレート (AD RMS):
  • テンプレート (Azure Information Protection ポリシー):
  • アドホックポリシー (AIP クライアント):
  • アドホックポリシー (Office 2016):

前述の権限による動作の違いについてご留意の上、コンテンツの有効期限を活用いただけましたら幸いです。

なお、本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。
何卒ご留意いただけますようお願い申し上げます。