Information Rights Management (IRM) によって保護されているファイルを管理するために、テナント用のスーパー ユーザーを構成する必要があります。Information Rights Management (IRM) 設定 セクションで スーパー ユーザーに対してファイルの暗号化解除を許可する チェックボックスが選択されており、IRM 保護ファイルがバックアップの一部としてダウンロードされ、別の場所へリストア ジョブによってリストアされる場合、構成したスーパー ユーザーは IRM 保護ファイルの暗号化解除に使用されます。
コントロール パネルでスーパー ユーザーを構成する前に、以下の説明を参照してサービス プリンシパルを作成し、サービス プリンシパルをスーパー ユーザーとして構成してください。
1. Azure Active Directory 用の MSOnline PowerShell モジュールからサービス プリンシパルを作成する方法については、以下の説明を参照してください。
a. サーバーで Windows PowerShell を検索して右クリックします。
b. 管理者として実行 を選択します。
c. サーバーに MSOnline PowerShell モジュールがインストールされていない場合は、Install-Module MSOnline を入力して Enter キーを押します。
*注意: サーバーに MSOnline PowerShell モジュールがインストールされている場合、次の手順に移動してください。
d. Connect-MsolService を入力し、Enter キーを押して Azure Active Directory に接続すると、ポップアップ ウィンドウが表示されます。
e. ポップアップ ウィンドウにお使いの Azure Active Directory テナント管理者の資格情報を入力します。一般的には、Azure Active Directory または Microsoft 365 の全体管理者アカウントを使用します。
f. New-MsolServicePrincipal -DisplayName AzureRMSProtectionServicePrincipal -AppPrincipalId 'GUID' を入力し、Enter キーを押してサービス プリンシパルを作成します。GUID をアプリ プリンシパル ID として使用されたことがない GUID に置き換えます。必要に応じて、AzureRMSProtectionServicePrincipal を特定の表示名に置き換えることもできます。
*注意: Azure Rights Management サービスは New-AzureADServicePrincipal に対応していないため、サービス プリンシパルの作成に New-AzureADServicePrincipal コマンドを使用しないでください。
g. 対称キー (1 行目)、アプリ プリンシパル ID、サービス プリンシパル情報が表示されます。
h. 後で使用する対称キーおよびアプリ プリンシパル ID を保存するかメモに記録してください。
*注意: 対称キーおよびアプリ プリンシパル ID を忘れた場合、サービス プリンシパルを再度作成する必要があります。
2. サービス プリンシパルをスーパー ユーザーとして構成する方法については、以下の説明を参照してください。
*注意: サーバーに AIPService モジュールがインストールされていない場合は、https://docs.microsoft.com/ja-jp/azure/information-protection/install-powershell を参照してこのモジュールをインストールしてください。
a. サーバーで Windows PowerShell を検索して右クリックします。
b. 管理者として実行 を選択します。
c. Install-Module -Name AIPService を入力し、Enter キーを押して AIPService モジュールをインストールします。
d. Connect-AipService を入力し、Enter キーを押して Azure Information Protection から保護サービスに接続します。ポップアップ ウィンドウが表示されます。
e. ポップアップ ウィンドウにお使いの Azure Active Directory テナント管理者の資格情報を入力します。Azure Active Directory または Microsoft 365 の全体管理者アカウントを使用します。
f. Enable-AipServiceSuperUserFeature を入力し、Enter キーを押して組織の Azure Information Protection サービスのスーパー ユーザー機能を有効にします。
g. Add-AipServiceSuperUser -ServicePrincipalId ID を入力し、Enter キーを押してサービス プリンシパルを組織のスーパー ユーザー リストに追加します。ID をステップ 1 で取得されたアプリ プリンシパル ID に置き換えます。
h. (Get-AipServiceConfiguration).BPOSId を入力し、Enter キーを押してテナント ID を取得します。
i. 表示されるテナント ID をテナント ID を記憶するかメモに記録してください。
サービス プリンシパルをスーパー ユーザーとして構成してから、以下の説明を参照してテナントのスーパー ユーザーを構成してください。
1. コントロール パネル > スーパー ユーザーの構成 に移動します。スーパー ユーザーの構成 ページが表示されます。すべてのテナントがこのページに表示されます。
2. 上で取得したテナント ID に従ってテナントを選択し、リボン上で [構成] をクリックするか、テナントの アクション 列の [構成] をクリックします。Azure Information Protection スーパー ユーザーの構成 ページが表示されます。
3. テナント名およびテナント ID は テナント情報 セクションに表示されます。
4. スーパー ユーザーの構成 セクションで、上記のステップで取得したアプリ プリンシパル ID および対称キーを入力します。
5. [OK] をクリックして構成を保存し、スーパー ユーザーの構成 画面に戻ります。[キャンセル] をクリックすると、構成を保存せずに スーパー ユーザーの構成 画面に戻ります。