Azure RMS Premium & FCI

今回の投稿は2016年6月25日にMicrosoft にて行われる「Interact x Cloud Samurai 2016 Summer」の登壇でお話しする内容の手順になります。

Azure RMS Premium と FCI(ファイル分類インフラストラクチャ )を利用して「オンプレミスファイルサーバーに設定した共有フォルダにファイルを格納すると自動暗号化する」という仕組みを設定することができます。

では、設定手順を確認してみましょう。

※現在手順が変更されたようです。2017年3月現在では以下のサイトの手順を参考にしてください。

Windows Server ファイル分類インフラストラクチャ (FCI) での RMS の保護

[前提条件]

この作業には、事前にディレクトリ同期が必要となります。本手順ではすでにその操作が完了しているものとしてご紹介します。

手順①

RMS コネクタをインストールします。「https://www.microsoft.com/en-us/download/details.aspx?id=40839」を入力し Microsoft Download Center へアクセスします。[Microsoft Rights Management connector] 画面で、リストから [Japanese] を選択し、[Download] をクリックし、ファイルをダウンロードします。

手順②

ダウンロードしたRMSコネクタをウィザード形式でインストールします。(途中、資格情報同意などあり)

RMSコネクタ

Microsoft RMS 管理者資格情報 画面で、全体管理者アカウントである ユーザー名とパスワードを入力します。

rms2

次へをクリックして進めていくとインストール完了画面が表示されます。

rms3

手順③

Microsoft Right Management コネクタ管理ツール 画面で、[追加] をクリックします。

rms4

サーバーでコネクタの利用を許可する] 画面で、[ロール] リストから [コネクタインストールサーバー] を選択し、アカウントまたはグループ欄で [参照] をクリックします。

rms4

[サーバーでコネクタの利用を許可する] 画面で、[ロール] リストから [FCI Server] を選択し、アカウントまたはグループ欄で [参照] をクリックしAdministratorsを選択します。

コネクタ用サーバー設定

[コネクタの利用が許可されたサーバー] 画面で選択したサーバーが登録されたことを確認します。

確認画面

手順④

コネクタのインストーラーと同時にダウンロードした [GenConnectorConfig.ps1]を右クリックし、[Power Shell の実行]をクリックします。セキュリティの警告画面が表示されたら「開く」をクリック。

Windows Powershell 画面で、Connector URL に[http://該当するFQDN–SetFCI2012] を入力し、Enter キーを押します。

手順⑤

レジストリを確認します。

[レジストリ エディター] 画面で、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDRM\ServiceLocation\EnterprisePublishing] を展開し、値が設定されていることを確認します。

rms10

※PowerShellがうまく動作しない場合、レジストリに以下の2つのレジストリを設定すればOKです。(操作はくれぐれも慎重に…)

Reg

手順⑥

ファイルサーバーでフォルダーを作成し、RMS 設定を行います。
ファイルサーバーへ適切なアクセス権を設定した共有フォルダを作成しておきます。
次にファイル サーバー リソース マネージャーの設定を行います。(事前にファイルサーバーリソースマネージャー機能を追加しておきます。)サーバーマネージャー画面で、[ツール] メニューから [ファイル サーバー リソース マネージャー] をクリックします。

rms11

[ファイル サーバー リソース マネージャー] 画面で、[分類管理] – [分類プロパティ] を右クリックし、[ローカル プロパティの作成] をクリックします。

rms12

[ローカル プロパティの作成] 画面で、名前欄に適宜名前を入力し、[OK] をクリックします。

rms13

 

 

 

 

 

 

 

[ファイルサーバー リソース マネージャー] 画面で、[分類管理] – [分類規則] を右クリックし、[分類規則の作成] をクリックします。

[分類規則の作成] 画面で、[全般] タブをクリックし、規則名に「RMSコネクタ使用ルール」と入力します。

rms14.gif

[分類規則の作成] 画面で、[スコープ] タブをクリックし、[次の種類のデータを格納するすべてのフォルダーを含めます] 欄で、[ユーザー ファイル] をチェックし、[追加] をクリックします。

rms15

前の手順で作成したフォルダーを選択し、[OK] をクリックします。

次に[分類] タブで、[分類方法] 欄で、[フォルダー分類子] を選択し、[OK] をクリックします。

rms16

[ファイル サーバー リソース マネージャー] 画面で、[分類管理] – [ファイル管理タスク] を右クリックし、[ファイル管理タスクの作成] をクリックします。同様の手順でタスク名、スコープを設定します。

[アクション] タブ画面で、種類で、[RMS 暗号化] を選択し、テンプレートを選択する欄で、カスタム テンプレート (例)[期間限定] を選択します。(※事前にAzure AD で権利テンプレートを作成しておきます。)

rms17

[スケジュール] タブ画面で、実行時期に [毎週] を選択し、適宜スケジュールを設定しOK をクリックします。

rms18

ここまでで設定手順は終了です。

あとは該当フォルダにファイルを格納すると、自動的にRMSポリシーが適用されます。

設定したタスクスケジュール通りに実行されますが、すぐに暗号化処理をかけたい場合は、ファイルサーバーリソースマネージャー] 画面で、前の手順で作成した [RMSコネクタ使用タスク] を右クリックし、[ファイル管理タスクを今すぐ実行する] をクリックします。

rms19

rms20

 フォルダに格納しただけでファイルが暗号化されたことが確認できます。

管理者が設定しておけば、ユーザーはフォルダに格納するだけで、暗号化が可能です。すべて試用版でご利用いただけますので、まずは試してみてください。!

Windows Server 2016 TP4 のActive Directory グループポリシー③

今回は、グループポリシーを利用したOffice アプリケーションの管理についてご紹介します。
まず、Office アプリケーションをグループポリシーで管理するには、管理用テンプレートが必要です。

Microsoft ダウンロードセンターからダウンロードできます。
Office 2016 Administrative Template files (ADMX/ADML) and Office Customization Tool
Microsoft Download Center
ダウンロードセンターで[ダウンロード] ボタンをクリックし、ダウンロードするファイル(64bit)を選択します。

ダウンロードされたファイルを展開し、[admx] フォルダを確認します。
Office 2016 に関する[admx ファイル]とja-jpフォルダ内の[adml ファイル]をコピーし、
ドメインコントローラーのテンプレート格納場所へ貼り付けます。
セントラルストアを形成していない場合は、既定では C:\Windows\PolicyDefinitionsですね。

Office 2016 テンプレートでは、19の項目が追加されています。
Office 2016 Template
グループポリシー管理エディタで注目ポイントを確認してみましょう。

●コンピューターの構成
 コンピューターの構成 – ポリシー – 管理用テンプレート – Microsoft Office 2016(マシン)- 更新
更新メニュー
 確認すると、Office 2016をクイック実行でインストールした場合の更新プログラム取得が制御できます。
 クイック実行でインストールした場合、既定だと更新プログラムは WAN 回線で自動配信となります。
 
 例えば、LAN 回線で社内から配信したい場合、従来までは Office Deployment Tool を使用して、XML形式で記述する必要がありました。
 GUIのグループポリシーで設定できるので、だいぶ楽になりそうです。
Update Path

●ユーザーの構成
 ユーザーの構成 – ポリシー – 管理用テンプレート – Microsoft Office 2016 – DLP
DLP
Office 2016では、「Exchange」「SharePoint」「Outlook」などで採用されているデータ損失防止(DLP)が実装されています。
グループポリシーで、アプリケーション起動時にDLPを適用させることができます。

ぜひご活用ください。

Windows Server 2016 TP4 のActive Directory グループポリシー②

今回はWindows 10のアップグレード/アップデートに関するポリシーについてです。(Windows 10 のビルドは1511が対象になっています)

ご存じのように、Windows 10 は更新プログラムの受け取り間隔を3つのモデルから選択することができます。
・Current Branch:CB
・Current Branch for Business:CBB
・Long-Term Servicing Branch:LTSB

管理者による新機能の検証に日数がかかる場合、CBB更新モデルを選択すると新機能の受け取りを最大で8か月間まで猶予することができます。
セキュリティパッチの更新とは別に設定ができるので、管理者にはうれしい機能ですね。

さて、その延期設定ですが、個々のクライアントPCからも設定メニューから変更できますが、グループポリシーで一括管理したほうが便利ですね。
[コンピューターの構成] – [管理用テンプレート] – [Windows コンポーネント] – [Windows Update] – [アップグレードおよび更新を延期する] というポリシーで制御できます。

画面はこんな感じです。
Windows Update

編集画面はこちら。
機能アップグレードは1~8か月まで、機能アップデートは4週間まで猶予設定が可能です。
編集画面

非常に便利ですね。

Windows Server 2016 TP4 のActive Directory グループポリシー ①

Windows Server 2016 TP4 のActive Directory グループポリシーについて検証してみました。
何回かにわけて、内容を公開していきます。

まず、Widows Server 2016 TP4 になって新しく追加されたポリシーを確認します。
Microsoft のダウンロードセンターからグループポリシー構成リストがダウンロードできます。

TP4 Group Policy Setting Group Policy Settings Reference for Windows and Windows Server

PolicyList
[New in TP4]というフィールドを確認してみると、52個のポリシーが見つかりました。
Windows 10 に関するポリシーが多く見受けられます。

Windows 10 といえば、新たに登場したブラウザー Edge がありますね。
第一回は、Edgeをグループポリシーで構成してみましょう。

まずはGPMEから[コンピューターの構成] – [ポリシー] – [管理テンプレート]-[Windows コンポーネント] – [Microsoft Edge] とたどります。
Edge
17の設定項目が確認できます。

このなかで、今回は「お気に入り」を構成しましょう。
[お気に入りを構成する] をダブルクリックします。
表示するオプションエリアの[表示] ボタンをクリックし、[値の名前] に、お気に入りに表示される名前、[値] にURLを入力します。
Edge-favorite

構成が完了したら、[OK] を2回クリックして画面を閉じます。

では、ドメインメンバーの Windwos 10 で、Microsoft Edgeを起動しましょう。
お気に入りに登録されているのが確認できます。
win10

Azure AD Connect 構成前の準備

先日、Azure AD Connect のNew Version 1.1.105.0 が出てきました。
こちらに新機能情報が網羅されているので、ご確認下さい。
Azure AD Connect: Version Release History

Office 365 のディレクトリ同期ツールとしてもこちらの利用が推奨されるようになりました。
DirSync を利用されている企業も多いと思いますが、サポート期限の問題もありますので、
折をみてこちらへの移行をお勧めいたします。

さて、Azure AD Connect は、ディレクトリ同期のみならず、ADFSを利用したシングルサインオン環境をほぼ自動で構築することもできます。
詳細は、こちらをご一読下さい。
Office 365 運用管理入門(10)
最新のディレクトリ同期ツール「Azure Active Directory Connect」でシングルサインオン環境を構築する

さて、前置きが長くなりました。
AADConnectを利用してSSO環境を構成する場合、極力一度の操作で終了できるように事前準備を行いましょう。
設定漏れ、準備ミスなどで失敗した場合、「AADConnectアンインストール」 → 「WID(ADFSでSQLServer以外の場合に利用するDB)削除」→「ADFS アンインストール」
などの対応が必要です。
※WIDの削除に関しては、他システムで利用している可能性がある場合は、必要なDBのみ選択して削除します。

エバンジェリスト安納さんのブログ
こちらはADFS 2.0 ベースのお話ですが、ADFS 3.0 の場合は対応する SQLServer Managementを別途ダウンロードしてください。

では、何を準備するかを以下にまとめます。

<準備リスト>
①SSL証明書…さすがにこれは忘れないと思いますが、公的な認証局から取得して下さい。AADConnect構成時に、証明書を参照する必要があります。
②公開DNSレコードの登録…公開DNSへフェデレーションサービス名でプロキシに設置するADFSのIPを登録します。
③内部DNSレコードの登録…DC,ADFSはドメイン内なので問題ありませんが、ADFSプロキシのプライベートIPも登録しておかないと、AADConnectで構成する際に、認識してくれないことがあります。
④リモート管理の有効化…とくにAzure仮想マシンでこの環境を構成する場合は必須です。
(さらにGUIだと一見有効化になっていても認識されないことがあるので)PowerShellでADFS、ADFS Proxy 側で以下のコマンドを実行します。

Enable-PSRemoting -Force

ADFSプロキシをリモート管理するために、DC側で、以下のコマンドを実行します。

Set-Item WSMan:\Localhost\Client\TrustedHosts -Value <Web アプリケーション プロキシのホスト名>.<Active Directory ドメイン名

上記の準備を終了してからAADConnectを構成しましょう。
アンインストールして再実行しようとすると、初回にはなかったエラーが出てくることがあります。
準備を整えて、1度の構成で終了できるようにするのがお勧めです。