[RMS] SharePoint Server 2013, 2016 での IRM 構成、及び、注意点について

こんにちは、RMS サポートの小島です。
平素よりマイクロソフト製品をご愛顧いただき、誠にありがとうございます。

本記事では SharePoint Server 2013, 2016 で IRM 機能を利用する場合の注意点についてご案内いたします。
※ SharePoint 2010 については内容が異なる場合がございますのでご留意ください。

SharePoint Server では AD RMS Server や Azure Information Protection (旧 Azure RMS) と連携して、ユーザーがダウンロードする文書を自動的に IRM 保護する機能が用意されております。
この機能の基本的な設定方法については以下でご紹介する公開情報などをご参照ください。

[AD RMS と連携する場合]

AD RMS サーバーと連携する場合、AD RMS サーバーのローカルグループである "AD RMS Service Group" に、SharePoint 関連のサービスアカウントとコンピュータアカウントを登録します。また、 AD RMS の ServerCertification.asmx にこの "AD RMS Service Group" を追加します。
これにより、SharePoint サーバーから AD RMS サーバーに接続が可能となります。
その後、SharePoint 上で下記の公開情報のとおり、設定を実施します。

１．『SharePoint 管理センターにおける Information Rights Management (IRM) の設定』

２．『Information Rights Management をリストまたはライブラリに適用する』

また、自習書についても用意されておりますので、詳細の確認についてはこちらもご活用ください。

『Windows Server 2012 RMS 自習書 No.4: Microsoft SharePoint Server 2013 と AD RMS の連携』

[Azure Information Protection と連携する場合]

Azure Information Protection（旧 Azure RMS） と連携する場合は RMS Connector というサーバーをご用意いただく必要がございます。
詳細については下記リンクよりご参照ください。

『Azure Rights Management コネクタ用にサーバーを構成する』

[注意点について]

上記の構成を実施後、IRM 機能の有効化に失敗する、また、正常に文書の保護ができないといった事象が発生した場合、まずは下記の項目をご確認ください。

---  プロファイル同期の確認  ---

利用するユーザーが SharePoint のプロファイルに "メールアドレスが付与された状態" で同期できているか確認します。

---  SharePoint Server 上のキャッシュクリア  ---

SharePoint Server では下記の階層に IRM 関連の情報がキャッシュされます。

%programdata%\Microsoft\DRM\Server
%programdata%\Microsoft\MSIPC\Server

何らかの情報が残っている場合は "Server" フォルダを削除いたします。

---  IRMライブラリの保護動作の遅延  ---

Azure RMS をご利用のお客様ではインターネットに接続できない環境である場合に保護動作が遅延する可能性がございます。
なお、インターネットに接続できる環境では当該事象は発生いたしません。
この情報は以下にも公開されております。

『IRM documents download fails or delays from a SharePoint server』

改善方法としましては SharePoint のウェブフロントサーバーで以下の手順を実行します。

1. メモ帳などを開き、下記の文字列を 1 行で記載いたします。
[Azure RMS の URL] <半角スペース> [RMS Connector のURL] となります。
例）
https://AzureRMSURL.rms.ap.aadrm.com https://RMSConnector.co.jp

2. 作成したテキストファイルを "MsipcHostNameRedirection.dat" と名前変更します。

3. "MsipcHostNameRedirection.dat" を下記のフォルダに配置します。
"%ProgramFiles%\Active Directory Rights Management Services Client 2.1\"
"%ProgramFiles(x86)%\Active Directory Rights Management Services Client 2.1"

4. IIS リセットを行います。

---  RMS Client の更新  ---

RMS Client 2.1 を最新のバージョンに更新します。

『Rights Management Service Client 2.1 - 日本語』
※ 2016/12/29 現在の最新バージョンは RMS Client 2.1 (1.0.2217.0) となります。

適用時の注意点としまして、SharePoint の IRM 関連のレジストリが消えてしまう事象が確認されております。
そのため、RMS Client 2.1 を更新する前に以下のレジストリをバックアップしていただくことを推奨いたします。

HKLM\Software\Microsoft\Shared Tool\Web Server Extensions\15.0\IRMProtectors\

手動で登録する場合は下記のレジストリご参考に設定をお願いいたします。
-----------------------------
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions\15.0\IrmProtectors]
"{338BA1B8-ABB2-480A-AACA-DB0A456D74D2}"="Microsoft.Office.Irm.FormIrmProtector"
"{0D231213-1E3B-4940-82C6-2BC8B93EE8E3}"="Microsoft.Office.Irm.OfcIrmProtector"
"{78E40D5F-0C51-45B6-AC87-72119EC6669A}"="Microsoft.Office.Irm.MsoIrmProtector"
"{FC93F6CC-D367-4FC9-B3F6-E0933A24A8C8}"="Microsoft.Office.Irm.PdfIrmProtector"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions\15.0\IrmProtectors\15.0]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions\15.0\IrmProtectors\FormIrmProtector]
"Extensions"="XML"
"Product"="FormIrmProtector"
"Version"="15"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions\15.0\IrmProtectors\MsoIrmProtector]

"Extensions"="doc,dot,xls,xlt,xla,ppt,pot,pps"
"Product"="MsoIrmProtector"
"Version"="15"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions\15.0\IrmProtectors\OfcIrmProtector]
"Extensions"="xps,docx,docm,dotx,dotm,xlsx,xlsm,xlsb,xltx,xltm,xlam,pptx,pptm,potx,potm,thmx,ppsx,ppsm"
"Product"="OfcIrmProtector"
"Version"="15"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\Web Server Extensions\15.0\IrmProtectors\PdfIrmProtector]
"Extensions"="pdf"
"Product"="PdfIrmProtector"
"Version"="15"
-----------------------------

レジストリが削除されてしまう不具合に関しましては、現在(2016/12/29) 次期バージョンの RMS Client のリリースと共に改善を予定しておりますが、日程については未定となります。

上記内容をご確認いただき、それでも SharePoint の IRM 機能がご利用できない場合は弊社サポートまでご相談いただけますと幸いです。

[補足情報]

SharePoint の IRM 機能では PDF ファイルについても保護を行うことが可能となっております。
ただし、保護された PDF ファイルを閲覧するためには、従来、3rd パーティ製の PDF ビューアーをご利用いただく必要がございました。
この動作の改善のため、弊社では Azure Information Protection というツールを開発しております。
（2016/12/29 現在は "パブリックプレビュー" 機能であり、正式にはリリースされておりません）
正式に 2017/2/8 にリリースされました。

『Microsoft Azure Information Protection』

上記リンクから AzInfoProtection.exe をダウンロードし、ご利用ください。
また、SharePoint の PDF 保護に対応しているビューアーは下記リンクよりご確認いただけます。

『Microsoft Information Rights Management サービスをサポートする SharePoint 対応 PDF リーダー』

なお、本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。
何卒ご留意いただけますようお願い申し上げます。