Microsoft Azure 自習書シリーズ Azure Active Directory による アプリケーション管理 / Azure RMS の管理 この自習書では Microsoft Azure のディレクトリサービスである Azure Active Directory (Azure AD) で認証したユーザーがシングルサインオンで様々なアプリケーションにアクセスするために必要な設定と Azure Rights Management Service (Azure RMS) を利用したドキュメントの保護環境を構築する手順をハンズオン形式で学習体験します 発行日 : 2016 年 3 月 15 日

更新履歴 版数発行日更新履歴 第 1 版 2016 年 3 月 15 日初版発行

目次 1. はじめに... 5 2. Azure Active Directory によるアプリケーション管理の概要... 7 3. Azure RMS Premium の概要... 12 4. 実習環境の準備... 15 5. パスワードシングルサインオンによる SaaS アプリへのアクセス... 18 6.Azure AD のシングルサインオンによる SaaS アプリへのアクセス... 27 7. アプリケーションプロキシによるオンプレミス Web サイトへのアクセス... 42 8. 監査レポートの活用... 60 9.Cloud App Discovery によるアプリ利用状況の確認... 65 10.Azure RMS の契約とライセンス割り当て... 73 11. 権限ポリシーの作成... 76 12.SharePoint Online での権限設定... 84 13. 権限設定されたメッセージ / ドキュメントへのアクセス... 90 14. 組織外ユーザーによる権限設定されたメッセージ / ドキュメントへのアクセス... 98 15.RMS 共有アプリケーションによる権限設定... 106 16. 保護されたドキュメントの追跡... 114

1. はじめに 本自習書をご利用いただきありがとうございます 本書では Azure Active Directory ( 以降 Azure AD) を利用した クラウド認証基盤の管理方法についての概要と実装手順をハンズオン形式で学習体 験します 自習書において あなたは Adventure Works Cycles 社 (AW 社 ) に勤めている IT 管理者です AW 社は 架空の大規模な多国籍製造企業です この企業は 北米 ヨーロッパ およびアジアのマーケットを対象に 金属製自転車やカーボン製自転車の製造および販売を行っています 米国ワシントン州ボセルの拠点に加え 各地域で販売チームを配置し チームのメンバーは小売店の販売活動に対する支援を行っております それぞれの拠点で販売活動のために使用するアプリケーションは様々で チームのメンバーはアプリケーションにアクセスするための認証を行う機会が増え 煩わしさが指摘されるようになっています また 管理者にとっては使用するアプリケーションが増えることによって 企業のセキュリティポリシーやコンプライアンスの基準に沿った運用がされているか 確認することが難しくなっています あなたのミッションは これらの問題を解決するためにクラウド オンプレミスを問わず 一元的な管理を実現する認証基盤を構築し チームのメンバーにはシングルサインオンによる認証のわずらわしさからの解放を 管理者には安全な認証と認可の基盤を提供することです

Microsoft Azure Active Directory 評価ガイドでは Azure Active Directory による認証環境の構築 編と Azure Active Directory によるアプリケーション管理 / Azure RMS の管理 編に分かれており 本書で解説する Azure Active Directory によるアプリケーション管理 / Azure RMS の管理 編では Azure AD を利用したアプリケーションとコンテンツの管理機能について そして Azure Active Directory による認証環境の構築 編では主にユーザー管理機能について それぞれ評価を行います 2 冊の評価ガイド両方をご覧いただくことで Azure AD で提供する機能全体の評価を行っていただけるようになっています

2. Azure Active Directory によるアプリケーション管理の概要 Azure Active Directory とは クラウドベースの認証基盤サービスで クラウドやオンプレミスを問 わず 様々なアプリケーションへのアクセスに必要な認証と認可を一元管理するサービスです 次のトピックから Azure AD の認証と認可の機能のうち アプリケーションにアクセスするための認 可に関わる機能の概要について解説します SaaS アプリとの連携評価ガイド Azure Active Directory による認証環境の構築 編で紹介した内容に基づき Azure AD ドメインにユーザーを作成し 作成したユーザーで認証を行うことで 様々なアプリケーションへのアクセスが追加で認証を行うことなくアクセスできるようになります Azure AD と連携可能なアプリケーションの中でも代表的なアプリケーションが SaaS アプリとの連携です SaaS アプリとの連携では あらかじめ 2500 種類以上の SaaS アプリがプリセットされ ウィザードに沿ってアプリを登録するだけで 簡単に Azure AD との連携が設定され アプリにアクセスするためにユーザー名とパスワードを入力する必要がなくなります あらかじめプリセットされた SaaS アプリの一覧は以下の Web サイトから確認できます Active Directory Marketplace https://azure.microsoft.com/ja-jp/marketplace/active-directory/all/

SaaS アプリと Azure AD の連携には 次のような方法があります Azure AD のシングルサインオン SAML プロトコルなどの ID 連携プロトコルを利用して Azure AD と SaaS アプリとの間でのシングルサインオンを実現する方法です この方法は SaaS アプリで ID 連携プロトコルに対応している必要があるため 一部のプリセットされた SaaS アプリだけで利用可能な連携方法です 一般に ID 連携を行う場合 SAML トークンの受け渡しを行うための設定 ( フェデレーションの設定 ) のほか Azure AD と SaaS アプリで同じユーザー情報を持つようにするための ID の同期 ( プロビジョニング ) が必要です フェデレーションによる連携では SaaS アプリで提供するプロビジョニング API アクセスし ID の同期を促します パスワードシングルサインオンすべての SaaS アプリとの連携で利用可能な連携方法で アプリにアクセスするためのユーザー名とパスワードをキャッシュする方法です この方法では ユーザー名とパスワードをあらかじめ Azure AD に登録しておき Azure AD 経由で SaaS アプリにアクセスするタイミングで登録しておいたユーザー名とパスワードを自動的に提示するような動作をします ユーザー名とパスワードの組み合わせ ( 資格情報 ) は Azure AD ユーザーごとに異なる資格情報を登録できるほか Azure AD グループで同じ資格情報を登録することもできます 既存のシングルサインオン Azure AD が提供するテクノロジーを用いずにシングルサインオンを実現する方法で 具体的には AD FS サーバーやサードパーティ製の ID 連携製品を利用してシングルサインオンを行います

カスタム SaaS アプリとの連携あらかじめプリセットされた SaaS アプリ以外の SaaS アプリを Azure AD と連携する場合 SaaS アプリのギャラリーから [ カスタム ] を選択してアプリを追加することができます カスタム SaaS アプリは 前述の Azure AD のシングルサインオン パスワードシングルサインオン 既存のシングルサインオンの 3 つの方法に対応し アプリがサポートする連携方法に合わせてカスタム SaaS アプリを登録できます 特にパスワードシングルサインオンではサインインプロセスをキャプチャすることにより ユーザー名とパスワードを入力するテキストボックスを識別し あらかじめ Azure AD に登録されたユーザー名とパスワードを自動的にテキストボックスに挿入することで サインインを自動化するような仕組みも用意しています オンプレミス Web サイトとの連携通常 オンプレミスに配置された Web サイトに接続する場合 社内のファイアウォールやプロキシサーバーなどで公開設定を行い 外部からのアクセスを受け付けるように構成する必要がありました そこで Azure AD では Azure AD アプリケーションプロキシと呼ばれるサービスを提供し Azure AD 経由でオンプレミスの Web サーバーを簡単に公開できるような機能を提供しています Azure AD アプリケーションプロキシでは オンプレミスのサーバーにエージェントプログラム (Azure AD App Proxy コネクタ ) をインストールし オンプレミスのサーバーから Azure AD に対してクライアントからの接続を受け付けるよう 待ち受けをします これにより インターネット上のクライアントからオンプレミスの Web サーバーに対する接続を受け付けられるようになるだけでなく オンプレミスの Web サーバーから TCP 443 番ポートによる通信だけが行われるため 社内のファイアウォールに対して特別な設定を追加する必要がありません Azure AD アプリケーションプロキシを利用してオンプレミスの Web サーバーを公開する場合 Azure AD で認証行わずに誰でも接続可能な公開方法と Azure AD による認証を行ったユーザーだけが接続できるように公開する方法があります Azure AD による認証では 認証結果に基づいて特定の Azure AD ユーザーだけに接続を許可する 認可の設定には 2 つの方法があります

Azure AD の割り当て設定による認可 Azure AD のアプリケーション設定で 特定のユーザーまたはグループに対して割り当てを設定することにより オンプレミスの Web サーバーに接続するためのアクセス許可を設定する方法です この方法は Web サーバー全体に対するアクセスの許可または拒否だけを制御できる方法です Kerberos 委任の設定による認可オンプレミスの Web サーバーがドメインのメンバーサーバーである場合 Active Directory ユーザーとみなして Web サーバーにアクセスする Kerberos 委任の設定を利用できます この方法は Azure AD で認証を行ったユーザーを Active Directory で認証を行ったユーザーとみなして Web サーバーにアクセスさせるため 特定の Web サイトまたは Web ページへのアクセス許可を設定したり アクセスユーザーに基づく Web ページのパーソナライズを行ったりと アクセスユーザーに基づく細かな制御が可能です また この方法は Azure AD ユーザーと Active Directory ユーザーの関連付けが必要となるため ディレクトリ同期ツールを利用した同期 ID またはフェデレーション ID による Azure AD のユーザー管理が行われている必要があります 監査レポート Azure AD で行われた認証や認可 また管理操作はすべて記録され 監査レポートとしてその内容を確認できます 監査レポートは無償版 (Free) で提供されている基本的なレポートに加えて EMS のライセンスで提供されるレポートでは 機械学習ベースの高度なレポートが提供されます 具体的には 不正アクセスと思われる認証を自動的に検知し レポートとして報告するような仕組みが用意されています

Cloud App Discovery Cloud App Discovery とは クライアントコンピューターでアクセスする SaaS アプリケーションをトラッキングし その結果を Microsoft Azure ポータル上で確認できる仕組みです Cloud App Discovery では Azure AD にアプリケーションとして登録された SaaS アプリケーションだけでなく Azure AD に登録されていない SaaS アプリケーションへのアクセスも検出するため 組織で認めていない 不適切な SaaS アプリケーションへのアクセスがないか などを確認できます Cloud App Discovery の利用は ユーザーに対するプライバシー侵害に当たる可能性があるため クライアントコンピューターにエージェントプログラムをインストールする際に ユーザーの同意を確認する文書を事前に表示するなどの設定を選択できるようになっています

3. Azure RMS Premium の概要 Azure Rights Management Services Premium ( 以降 Azure RMS Premium) とは ファイルやメールの保護を目的としたソリューションで ユーザーがアクセスするために必要なアクセス許可 ( 権限 ) をファイルまたはメール単位で設定できると同時に そのアクセス許可をクラウドで管理する特徴があります 次のトピックから Azure RMS Premium によるドキュメントとメールの保護に関わる機能の概要につ いて解説します 暗号化 Azure RMS Premium によって権限が設定されたドキュメントやメールは暗号化が施され 暗号化を解除するためのカギはクラウド上の Azure RMS Premium によって管理されます このことは Azure RMS Premium によって暗号化が施されたドキュメントやメールは暗号化解除のためにクラウドにアクセスすることを意味します クラウドを通じてカギの管理は行われるため インターネットに接続できれば 場所を問わず 暗号化されたドキュメントやメールに適切にアクセスできる特徴があります 権限の制御 Azure RMS Premium では 権限が設定されたドキュメントやメールにアクセスできるユーザーは 権限設定時に定義します このとき アクセス可能なユーザーを定義するだけでなく 実行可能な操作 ( 閲覧 印刷 コピーアンドペーストなど ) も同時に定義できます このような操作により 適切なユーザーによる 必要な操作だけを行わせるように構成できます また 権限設定はユーザーと実行可能な操作を テンプレート と呼ばれる設定にまとめておくこともできます これにより ユーザーは権限設定を行う際にテンプレートを選択するだけで 簡単にアクセス許可を割り当てられます

ユーザー認証 Azure RMS Premium で権限設定されたドキュメントやメールにアクセスする際 そのユーザーが適切なユーザーであることを事前に確認しなければなりません この本人確認 ( 認証 ) の処理に Azure AD を利用します RMS 設定対象コンテンツこれまで Windows Server の役割として利用可能な Active Directory Rights Management Services (AD RMS) を利用した場合 権限設定は Microsoft Office などの IRM クライアントをサポートするアプリケーションを利用する必要がありました そこで Azure RMS では RMS 共有アプリケーションと呼ばれるツールを提供し ファイルの種類を問わず 様々な拡張子のファイルの暗号化と権限設定をサポートするようになりました RMS 共有アプリケーションをインストールすることで Microsoft Office などのアプリケーションを利用しなくても ファイルに対して権限を設定できるようになりました 権限設定の対象ユーザー Azure RMS Premium では Azure AD で認証を行ったユーザーを対象にドキュメントやメールの保護を行いますので Azure AD ドメインに作成されたユーザーに対して権限設定が行えます そのほか 他の Azure AD ドメインのユーザーや Microsoft アカウントに対して権限設定を行うこともできるため Azure AD ドメインの範囲外にいる組織外のユーザーに対して権限設定ができることになります トラッキングポータルによるドキュメントアクセスの追跡権限設定されたドキュメントやメールにアクセスする際 暗号化のカギを Azure RMS Premium に取得する必要があります このときに Azure RMS Premium では ユーザーがいつ どこから アクセスしているかを確認し その履歴を一覧で表示するトラッキングポータル (https://portal.azurerms.com) サイトを用意し 管理者はいつでも必要なときに状況を確認できます また アクセス状況を確認したときに 不正アクセスの可能性が疑われる場合には トラッキングポータルサイトから権限設定を取り消し ドキュメントやメールへのアクセスができないように構成することも可能です

Office 365 RMS と Azure RMS Premium の違い EMS のライセンスの一部として提供される Azure RMS Premium とは別に Office 365 のライセンスの一部として提供される Azure RMS (Office 365 RMS) と呼ばれるものがあります どちらも RMS としての基本的な機能を提供しますが 細かくは次のような違いがあります 本書では Azure RMS Premium を利用することを前提に必要な実装方法と利用情報について解説し ます

4. 実習環境の準備 本書の手順は 次の実習環境を準備することで 実際に試すことができ 理解を深めることができま す オンプレミスのサーバー本書では 次の 4 台の仮想マシンまたは物理マシンを使用することを想定しています これらのマシンは Azure Active Directory による認証環境の構築 編で示される手順を実行し 環境が構築済みの状態を想定しています Azure Active Directory による認証環境の構築 編で紹介した クラウド ID 同期 ID フェデレーション ID のいずれの認証環境でも 本書の評価は行っていただけるため 事前に Azure Active Directory による認証環境の構築 編の手順を実行してください (1) ドメインコントローラー ( コンピューター名 :wpjp-dc1.example.com) Windows Server 2012 R2 がインストールされたマシンで example.com ドメインのドメインコントローラーとしての役割を果たします Azure Active Directory による認証環境の構築 編での手順を通じてディレクトリ同期を実行するサーバーとして構成されています 本書では 手順を通じて Web サーバー (IIS) をインストールし オンプレミスの Web サーバーとして Azure AD から接続できる様子を確認します そのため 直接インターネットに接続できるように構成してください (2) Windows 10 コンピューター ( コンピューター名 :Win10) Windows 10 がインストールされた example.com ドメイン参加のコンピューターです 本書では Azure AD の認証基盤を活用するクライアントコンピューターとして利用します また 本書では Windows 10 がインストールされたコンピューターから Microsoft Azure 管理ポータルにアクセスし Azure AD に関わる すべての管理作業を行います Azure Active Directory による認証環境の構築 編でフェデレーション ID の環境を評価している場 合 AD FS サーバーの役割が実装された wpjp-fs1.example.com コンピューターと Web アプリケーシ ョンプロキシの役割が実装された wpjp-proxy コンピューターを準備していますが 本書では認証の

目的で使用しますが 手順として直接これらのコンピューターに操作することはありません インターネット接続 すべてのマシンは それぞれインターネットに接続されている必要があります Office 365 テナント本書では Azure RMS Premium の評価の目的で Office 365 テナントを使用します Azure Active Directory による認証環境の構築 編で取得している場合は 本書では改めて取得する必要はありません なお Azure RMS Premium を利用する上で Office 365 テナントを保有することは必須ではありません Twitter アカウント本書では パスワードベースの SaaS アプリケーションへのシングルサインオンの評価目的で Twitter アカウントを使用します Twitter アカウントをお持ちではない場合 https://twitter.com/ から取得できます Salesforce テナント本書では フェデレーションベースの SaaS アプリケーションへのシングルサインオンの評価目的で Salesforce テナントを使用します Salesforce では評価の目的で利用可能なテナントを http://developer.salesforce.com/signup から取得できます 使用する Azure AD ユーザーとグループ本書では アプリケーションやドキュメントに対するアクセス許可を割り当てるユーザーまたはグループとして以下のものを使用します Azure Active Directory による認証環境の構築 編での手順に従い 必要なユーザーを事前に作成してください admin ユーザー admin@<microsoft Azure に登録されたドメイン名 > という名前のユーザーで Azure AD ドメインの全体管理者の役割が割り当てられたユーザーです また admin ユーザーは Admins グループのメンバーとして登録しています aaduser1 ユーザー aaduser@<microsoft Azure に登録されたドメイン名 > という名前のユーザーで Azure AD ドメインの役割が何も割り当てられていない 一般ユーザーとして本書では利用します また aaduser1 ユーザーは Sales グループのメンバーとして登録しています Admins グループ Azure AD に作られたグループで admin ユーザーがグループのメンバーとして登録しています Sales グループ Azure AD に作られたグループで aaduser1 ユーザーがグループのメンバーとして登録しています

普段お使いのメールアドレス本書では Azure RMS Premium の設定を通じて 外部のユーザーに Azure RMS Premium の権限が設定されたメールを送信し 外部のユーザーが権限設定されたメールを受信できる様子を確認します そのため 事前に普段お使いのメールアドレスを用意してください 他の Office 365 テナントのユーザーまたは Microsoft アカウント本書では Azure RMS Premium の設定を通じて 外部のユーザーに権限設定されたドキュメントを開けるようにします このとき 外部のユーザーとして指定できるユーザーは他の Office 365 テナントのユーザーもしくは Microsoft アカウントになるため 事前にいずれかのユーザーを用意してください

5. パスワードシングルサインオンによる SaaS アプリへのアクセス パスワードシングルサインオンで Azure AD から SaaS アプリにアクセスできるようにするために必要な手順を紹介します 本手順では パスワードシングルサインオンの例として Twitter を登録します なお 本手順では Twitter アカウントを使用するため お持ちではない場合は事前に Twitter のサイト (https://twitter.com) からアカウントを事前に作成してから開始してください 本手順は Win10 コンピューターから操作します 1. Microsoft Edge を起動します 2. Microsoft Edge 画面で アドレス欄に https://manage.windowsazure.com と入力し Microsoft Azure 管理ポータルにアクセスします 3. Microsoft Azure 管理ポータルのサインイン画面で Microsoft Azure テナントの管理者となるユーザーのユーザー名とパスワードを入力し [ サインイン ] をクリックします 4. Microsoft Azure 管理ポータル画面で [ACTIVE DIRECTORY] をクリックし [Contoso Corporation] をクリックします

5. Azure AD テナント画面で [ アプリケーション ] をクリックし [ 追加 ] をクリックします 6. [ 実行する作業を選択してください ] 画面で [ ギャラリーからアプリケーションを追加します ] をク リックします 7. [ 組織で使用するアプリケーションを追加 ] 画面で 右上の検索窓に Twitter と入力し Enter キ ーを押します

8. [ 組織で使用するアプリケーションを追加 ] 画面で [Twitter] をクリックし [ 表示名 ] 欄に Twitter と入力して チェックマークをクリックします ワンポイント ここまでの手順で Azure AD にアプリケーションとして Twitter を追加しました 追加したアプリ ケーションはこの後 他組織のユーザーにアクセス許可を割り当てるために使用します 9. [twitter] 画面で [ ユーザーとグループ ] をクリックします 10. [twitter] 画面で [ 表示 ] 欄に [ グループ ] が選択されていることを確認し チェックマークをクリ ックします

11. グループの一覧画面で Sales グループを選択し [ 割り当て ] をクリックします ワンポイント 本手順では Sales という名前のグループが登録先 Azure AD ドメインに存在する前提ですが 必 要に応じて他のグループを使用しても構いません 12. [ グループの割り当て ] 画面で [ すべてのグループメンバー間で共有する twitter 資格情報を入力 する ] にチェックをつけ [ ユーザー名 ] 欄と [ パスワード ] 欄に twitter 資格情報を入力し [ パス ワードの自動ロールオーバーを有効にする ] にチェックをつけて [ ] をクリックします ワンポイント本手順では グループに対するアクセス許可を割り当て グループに対する資格情報を登録しているため 登録した資格情報は複数のユーザーで共有することになります もし ユーザーごとに異なる資格情報を割り当てたい場合には 手順 10~11 でアクセス許可をユーザーに割り当てるようにしてください

13. [ パスワードのロールオーバーの構成 ] 画面で チェックマークをクリックします ワンポイント 前の手順で [ パスワードの自動ロールオーバーを有効にする ] にチェックをつけると 資格情報と して入力したパスワードが定期的に変更され ランダムなパスワードが設定されます 14. Microsoft Edge 画面で Ctrl+Shift+P キーを押し InPrivate ブラウズで Internet Explorer を起動します 15. InPrivate ブラウズ画面で アクセスパネルの URL である https://myapps.microsoft.com/ にアクセスします 16. サインイン画面で ユーザー名に adduser1@<microsoft Azure に登録されたドメイン名 > と入力し パスワードに Pa$$w0rd と入力して サインインします

17. アクセスパネル画面で [ 今すぐインストール ] をクリックします ワンポイントパスワードシングルサインオンでは SaaS アプリのサインイン画面上で自動的に資格情報の入力が行われる ブラウザーアドオンプログラムをインストールする必要があります そのため 本手順からアドオンプログラムのインストールを開始しています 18. エクスプローラー画面で ダウンロードフォルダーを開き Access Panel Extension-ja.msi を実行 します 19. [Access Panel Extension セットアップウィザードへようこそ ] 画面で [ 次へ ] をクリックします

20. [Access Panel Extension のインストール ] 画面で [ インストール ] をクリックします 21. [ ユーザーアカウント制御 ] 画面で [ はい ] をクリックします 22. [Access Panel Extension セットアップウィザードの完了 ] 画面で [ 完了 ] をクリックします 23. デスクトップ画面で Microsoft Edge を起動します

24. [ Microsoft Corporation の Access Panel Extension アドオンが使えるようになりました ] 画面で [ 有効にする ] をクリックします 25. Microsoft Edge を終了し もう一度 Microsoft Edge を起動します 26. Microsoft Edge 画面で アクセスパネルの URL である https://myapps.microsoft.com/ にアクセスします 27. サインイン画面で ユーザー名に adduser1@<microsoft Azure に登録されたドメイン名 > と入力し パスワードに Pa$$w0rd と入力して サインインします

28. アクセスパネル画面で [Twitter] をクリックします 29. サインインが自動的に行われ Twitter 画面に移動することを確認します 30. Microsoft Edge を終了します

6.Azure AD のシングルサインオンによる SaaS アプリへのアクセス Azure AD のシングルサインオンで Azure AD から SaaS アプリにアクセスできるようにするために必要な手順を紹介します 本手順では Azure AD のシングルサインオンの例として Salesforce を登録します なお 本手順では Salesforce の評価版を使用します Salesforce のサイト (http://developer.salesforce.com/signup) から評価版を事前に取得してから開始してください 本手順は Win10 コンピューターから操作します 1. Microsoft Edge を起動します 2. Microsoft Edge 画面で URL として https://login.salesforce.com/ と入力し アクセスします 3. サインイン画面で Salesforce 評価版取得時に登録した サインインするためのユーザー名とパス ワードを入力し サインインします 4. Salesforce 画面で 左ペインの [ ドメイン管理 ] - [ 私のドメイン ] をクリックします

5. [ 私のドメイン ] 画面で URL 欄に Azure AD ドメイン名を入力し [ 使用可能か調べる ] をクリッ クします 6. [ 私のドメイン ] 画面で [ 契約条件 ] にチェックをつけ [ ドメインの登録 ] をクリックします 7. [ 私のドメイン ] 画面で F5 キーを押し 貴社のドメイン名が利用可能になるまで待ちます なお [ 貴社のドメイン名 ] として表示されているドメイン名は控えておいてください

8. [ 私のドメイン ] 画面で [ 貴社のドメイン名 ] が利用可能になったら [ こちらをクリックしてログ インしてください ] をクリックします 9. Microsoft Edge 画面で 新しいタブを開きます 10. Microsoft Edge 画面で URL として https://manage.windowsazure.com と入力し Azure 管理ポータルにアクセスします 11. Microsoft Azure 管理ポータルのサインイン画面で Microsoft Azure テナントの管理者となるユーザーのユーザー名とパスワードを入力し [ サインイン ] をクリックします 12. Microsoft Azure 管理ポータル画面で [ACTIVE DIRECTORY] をクリックし [Contoso Corporation] をクリックします 13. Azure AD テナント画面で [ アプリケーション ] をクリックし [ 追加 ] をクリックします

14. [ 実行する作業を選択してください ] 画面で [ ギャラリーからアプリケーションを追加します ] をク リックします 15. [ 組織で使用するアプリケーションを追加 ] 画面で [CRM] - [Salesforce] を選択し チェックマーク をクリックします 16. [Salesforce] 画面で [ シングルサインオンの構成 ] をクリックします

17. [ ユーザーへの Salesforce のアクセスを設定してください ] 画面で [Microsoft Azure AD のシング ルサインオン ] を選択し [ ] をクリックします 18. [ アプリケーション設定の構成 ] 画面で [ サインオン URL] 欄に前の手順で作成した貴社のドメイ ン名を https:// から始まるように入力し [ ] をクリックします 19. [Salesforce でのシングルサインオンの構成 ] 画面で [ 証明書のダウンロード ] リンクをクリックし ます 20. Microsoft Edge 画面で タブを切り替え Salesforce 画面を表示します

21. Salesforce 画面で 左ペインの [ セキュリティのコントロール ] [ シングルサインオン設定 ] をクリ ックします 22. [ シングルサインオン設定 ] 画面で [ 編集 ] をクリックします 23. [ シングルサインオン設定 ] 画面で [SAML を有効化 ] にチェックをつけ [ 保存 ] をクリックします

24. [ シングルサインオン設定 ] 画面で [SAML シングルサインオン設定 ] 欄から [ 新規 ] をクリックし ます 25. [SAML シングルサインオン設定 ] 画面で 以下のように入力し [ 保存 ] をクリックします ( 指定のない項目は すべて既定値で進めます ) 名前:AzureAD 発行者: 手順 19 で表示された [ 発行者の URL] をコピー ID プロバイダーの証明書 : ダウンロードフォルダーに保存した salesforce.com.cer ファイル エンティティ ID: 貴社のドメイン名 (https:// から入力 ) ID プロバイダーのログイン URL: 手順 19 で表示された [ リモートログイン URL] をコピー サービスプロバイダの起動要求バインド:HTTP リダイレクト

26. Salesforce の設定画面で 左ペインの [ ドメイン管理 ] [ 私のドメイン ] をクリックします 27. [ 私のドメイン ] 画面で [ 認証設定 ] の [ 編集 ] をクリックします 28. [ 認証設定 ] 画面で [ 認証サービス ] 欄に [AzureAD] と [ ログインページ ] の両方にチェックをつけ [ 保存 ] ボタンをクリックします 29. Microsoft Edge 画面で タブを切り替え Azure 管理ポータル画面を表示します

30. [Salesforce でのシングルサインオンの構成 ] 画面で [ 説明どおりにシングルサインオンを構成した ことを確認してください この確認により 現在の証明書でこのアプリケーションに対する操作を 開始できます ] にチェックをつけて [ ] をクリックします 31. [ シングルサインオンの確認 ] 画面で チェックマークをクリックします 32. Internet Explorer 画面で タブを切り替え Salesforce 画面を表示します 33. [Salesforce] 画面で 画面右上に表示される自分の名前をクリックし [ 私の設定 ] をクリックしま す

34. [ 私の設定 ] 画面で 左ペインの [ 個人用 ] [ 私のセキュリティトークンのリセット ] をクリックし [ セキュリティトークンのリセット ] をクリックします 35. [ セキュリティトークンのリセット ] 画面で 表示されているメールアドレスにメールが到着してい ることを確認し メールに記載されているセキュリティトークンを控えておきます 36. Internet Explorer 画面で タブを切り替え Azure 管理ポータル画面を表示します 37. Azure 管理ポータルの [Salesforce] 画面で [ ユーザープロビジョニングの構成 ] をクリックします

38. [ 自動ユーザープロビジョニグを有効にするための Salesforce の資格情報を入力してください ] 画面で Salesforce 評価版取得時に登録したユーザー名とパスワード メールで受信したセキュリ ティトークンを入力し [ ] をクリックします 39. [ 接続のテスト ] 画面で [ テスト開始 ] をクリックします [ 接続が確認されました ] と表示されたら [ ] をクリックします 40. [ プロビジョニングのオプション ] 画面で [ ] をクリックします

41. [ 確認 ] 画面で [ 今すぐ自動プロビジョニングを開始する ] にチェックをつけ チェックマークを クリックします 42. Azure 管理ポータルの [Salesforce] 画面で [ アカウントの割り当て ] をクリックします 43. [ ユーザーとグループ ] 画面で [ 表示 ] 欄から [ すべてのユーザー ] を選択し チェックマークを クリックします

44. [ すべてのユーザー ] 画面から admin ユーザーを選択し [ 割り当て ] をクリックします 45. [ ユーザーの割り当て ] 画面で [Chatter Free User] を選択し チェックマークをクリックします ワンポイント Salesforce の評価版では Standard User のライセンス数は限定されているため [ ユーザーの割り当て ] 画面で Standard User のライセンスを割り当てられない場合があります そのため 本手順ではライセンス数の制限なく利用可能な Chatter Free User を割り当てています 実際の環境では お使いになる Salesforce のライセンス種類を選択してください 46. Microsoft Edge 画面で Ctrl+Shift+P キーを押し 新たに InPrivate ブラウズで Microsoft Edge を起動します なお 元のブラウザー画面は閉じないでください 47. InPrivate ブラウズ画面で アドレスに https://myapps.microsoft.com と入力して Enter キーをクリックします

48. 認証画面で admin ユーザーのユーザー名とパスワードを入力し [ サインイン ] をクリックします 49. アクセスパネル画面で [Salesforce] をクリックします 50. Salesforce サイトの画面で [AzureAD] をクリックします

51. Salesforce サイトに SSO できることを確認します 52. InPrivate ブラウズ画面を終了します

7. アプリケーションプロキシによるオンプレミス Web サイトへのアクセス 本手順では Azure AD アプリケーションプロキシを利用して オンプレミスの Web サーバーを公開し Azure AD で認証したユーザーだけがアクセスできるように構成します また 後半では Kerberos 委任に基づくオンプレミスの Web サーバーを公開するように構成し Azure AD で認証したユーザーがそのまま Active Directory のユーザーとして Web サーバーにアクセスできるように構成します これにより IIS で設定した特定の Active Directory ユーザーだけがアクセスできる Web サイトにも適切に認可を行い アクセスできる様子を確認します 本手順は Win10 コンピューターまたは wpjp-dc1.example.com コンピューターから操作します オンプレミス Web サイトへのアクセス wpjp-dc1.example.com コンピューターに Web サーバー (IIS) の役割を追加し さらに Azure AD アプリケーションプロキシのコネクタをインストールして Azure AD からの Web サイトへの接続に要求に受け付けられるように構成します 本手順では Azure AD で認証した Admins グループと Sales グループのメンバーだけがアクセスできるように構成します 1. Win10 コンピューターで実施します Microsoft Azure 管理ポータル画面で [ACTIVE DIRECTORY] をクリックし [Contoso Corporation] をクリックします

2. Azure AD テナント画面で [ 構成 ] をクリックします 3. [ 構成 ] 画面で [ アプリケーションプロキシ ] [ 有効 ] をクリックし [ 保存 ] をクリックします 4. [ 構成 ] 画面で [ アプリケーションプロキシ ] [ ネットワークにアプリケーションプロキシコネ クタをダウンロードしてインストールしてください ] メニューから [ 今すぐダウンロードする ] をクリックします

5. [I accept the license terms and privacy agreement] にチェックを入れ [Download] をクリックしま す 6. wpjp-dc1.example.com コンピューターで実施します デスクトップ画面で [ サーバーマネージャー ] をクリックします 7. [ サーバーマネージャー ] 画面で [ 管理 ] - [ 役割と機能の追加 ] をクリックします 8. [ 役割と機能の追加ウィザード ] 画面で [ サーバーの選択 ] をクリックします

9. [ 対象サーバーの選択 ] 画面で [ 次へ ] をクリックします 10. [ 役割サービスの選択 ] 画面で [Web サーバー (IIS)] をクリックします 11. [ 役割と機能の追加ウィザード ] 画面で [ 機能の追加 ] をクリックします [ 役割サービスの選択 ] 画 面に戻ったら [ 次へ ] を 3 回クリックします

12. [ 役割サービスの選択 ] 画面で [Web サーバー ] - [ セキュリティ ] - [Windows 認証 ] にチェックを つけ [ 次へ ] をクリックします 13. [ インストールオプションの確認 ] 画面で [ インストール ] をクリックします 14. [ インストールの進行状況 ] 画面で [ 閉じる ] をクリックします

15. Win10 コンピューターの [ ダウンロード ] フォルダーに保存されている AADApplicationProxyConnectorInstaller.msi ファイルを wpjp-dc1.example.com コンピューターにコピーします 16. wpjp-dc1.example.com コンピューターで実施します AADApplicationProxyConnectorInstaller.msi ファイルを実行します 17. [Microsoft Azure Active Directory Application Proxy Connector] 画面で [I agree to the license terms and conditions] にチェックをつけ [Install] をクリックします 18. [ アカウントにサインイン ] 画面で Azure AD の全体管理者となるユーザー (admin ユーザー ) の ユーザー名とパスワードを入力し [ サインイン ] をクリックします 19. [Microsoft AAD Application Proxy Connector] 画面で [Close] をクリックします

20. Win10 コンピューターで実施します Azure 管理ポータル画面で [ コネクタの管理 ] をクリックします 21. [ アプリケーションプロキシコネクタ ] 画面で wpjp-dc1.example.com コンピューターが登録さ れていることを確認し チェックマークをクリックします 22. Azure AD テナント画面で [ アプリケーション ] をクリックし [ 追加 ] をクリックします

23. [ 実行する作業を選択してください ] 画面で [ ネットワーク外部からアクセスできるアプリケーシ ョンを発行します ] をクリックします 24. [ アプリケーション情報の指定 ] 画面で [ 名前 ] 欄に wpjpdc1 [ 内部 URL] 欄に http://wpjp-dc1 と入力し チェックマークをクリックします ワンポイント [ 内部 URL] に入力する URL は内部ネットワークから Web サーバーに接続するときに使用する URL です 25. [wpjpdc1] 画面で [ ユーザーとグループ ] をクリックします

26. [wpjpdc1] 画面で [ グループ ] が選択されている状態で チェックマークをクリックします 27. [wpjpdc1] 画面で Ctrl キーを押しながら [Admins] と [Sales] をクリックし [ 割り当て ] をク リックします 28. [ 選択したグループのアクセスを有効にしますか?] 画面で [ はい ] をクリックします 29. Microsoft Edge 画面で Ctrl+Shift+P キーを押し 新たに InPrivate ブラウズで Microsoft Edge を起動します 30. InPrivate ブラウズ画面で アドレスに https://myapps.microsoft.com/ と入力し Enter キーをクリックします

31. サインイン画面で admin ユーザーのユーザー名とパスワードを入力し サインインします 32. [ アプリケーション ] 画面で [wpjpdc1] をクリックします 33. 社内 Web サーバー (IIS) の Web ページが表示されることを確認します 34. InPrivate ブラウズ画面を終了します

Kerberos 委任に基づくオンプレミス Web サイトへのアクセス IIS で匿名認証を無効にし Windows 認証を有効にして Active Directory での認証を済ませたユーザー (Kerberos チケットを持つユーザー ) だけが Web サイトにアクセスできるように構成します このような状態で Kerberos 委任の設定を行い Azure AD で認証されたユーザーが Active Directory ユーザーとして Kerberos チケットを持って Web サイトにアクセスできるようになる様子を確認します 本手順は 事前に Azure Active Directory による認証環境の構築 編での手順を通じてディレクトリ同期ツールをインストールし Active Directory ユーザーと Azure AD ユーザーが同期されている必要があります 1. wpjp-dc1.example.com コンピューターで実施します [ サーバーマネージャー ] 画面で [ ツール ] - [ インターネットインフォメーションサービス (IIS) マネージャー ] をクリックします 2. [ インターネットインフォメーションサービス (IIS) マネージャー ] 画面で 左ペインから [wpjpdc1] をクリックします 3. [ インターネットインフォメーションサービス (IIS) マネージャー ] 画面で [ このメッセージを表 示しません ] にチェックをつけ [ いいえ ] をクリックします

4. [ インターネットインフォメーションサービス (IIS) マネージャー ] 画面で 左ペインの [wpjpdc1] - [ サイト ] - [Default Web Site] をクリックし 中央ペインの [ 認証 ] をダブルクリックします 5. [ インターネットインフォメーションサービス (IIS) マネージャー ] 画面で [Windows 認証 ] を クリックし 右ペインの [ 有効にする ] をクリックします 6. [ インターネットインフォメーションサービス (IIS) マネージャー ] 画面で [ 匿名認証 ] をクリッ クし 右ペインの [ 無効にする ] をクリックします 7. Windows PowerShell を起動します 8. Windows PowerShell 画面で iisreset と入力し Enter キーを押します

9. [ サーバーマネージャー ] 画面で [ ツール ] - [Active Directory ユーザーとコンピューター ] をクリ ックします 10. [Active Directory ユーザーとコンピューター ] 画面で [ 表示 ] - [ 拡張機能 ] をクリックします 11. [Active Directory ユーザーとコンピューター ] 画面で 左ペインの [Domain Controllers] をクリッ クし [wpjp-dc1] を右クリックして [ プロパティ ] をクリックします

12. [wpjp-dc1 のプロパティ ] 画面で [ 委任 ] タブをクリックし [ 指定されたサービスへの委任でのみ このコンピューターを信頼する ] をクリックして [ 追加 ] をクリックします 13. [ サービスの追加 ] 画面で [ ユーザーまたはコンピューター ] をクリックします 14. [ ユーザーまたはコンピューターの追加 ] 画面で wpjp-dc1 と入力し [OK] をクリックします ワンポイント [ ユーザーまたはコンピューターの追加 ] 画面では Web サーバーとなるコンピューターの名前を 追加してください

15. [ サービスの追加 ] 画面で [http] をクリックし [OK] をクリックします 16. [wpjp-dc1 のプロパティ ] 画面で [ 適用 ] をクリックします 17. [wpjp-dc1 のプロパティ ] 画面で [ 属性エディター ] タブをクリックし [ServicePrincipalName] を ダブルクリックします

18. [ 複数値の文字列エディター ] 画面で [ 追加する値 ] 欄に http/wpjp-dc1 と入力し [ 追加 ] をクリ ックします ワンポイント [ 複数地の文字列エディター ] 画面で追加する値は サービス名 / コンピューター名の形式で入力し ます 19. [ 複数値の文字列エディター ] 画面で [ 追加する値 ] 欄に http/wpjp-dc1.example.com と入力し [ 追加 ] をクリックして [OK] をクリックします

20. [wpjp-dc1 のプロパティ ] 画面で [OK] をクリックします 21. Win10 コンピューターで実施します [wpjp-dc1] 画面で [ 構成 ] をクリックします 22. [wpjp-dc1] 画面で [ 内部認証方法 ] 欄で [ 統合 Windows 認証 ] を選択し [ 内部アプリケーション SPN] 欄で http/ wpjp-dc1 と入力して [ 保存 ] をクリックします 23. Microsoft Edge 画面で Ctrl+Shift+P キーを押し 新たに InPrivate ブラウズで Microsoft Edge を起動します

24. InPrivate ブラウズ画面で アドレスに https://myapps.microsoft.com/ と入力し Enter キーをク リックします 25. サインイン画面で admin ユーザーのユーザー名とパスワードを入力し サインインします 26. [ アプリケーション ] 画面で [wpjpdc1] をクリックします 27. 社内 Web サーバー (IIS) の Web ページが表示されることを確認します 28. InPrivate ブラウズ画面を終了します

8. 監査レポートの活用 本手順では 意図的に複数の地域から Azure AD へのサインインを行い レポートによって不正アクセスの可能性が報告される様子を確認します 通常のサインインとは別に Tor Browser を利用して通信経路を匿名化することで 複数の地域からサインインがあったように見せかけ このときに生成されるレポートを確認します 本手順は Win10 コンピューターから操作します 1. Microsoft Edge 画面で 新しいタブを開き アドレスに https://www.torproject.org/projects/torbrowser.html と入力し アクセスします 2. [TorBrowser] 画面で [Stable Tor Browser] エリアから [Language] 欄が [ 日本語 (ja)] の領域にある [32/64 bit] をクリックします 3. Microsoft Edge 画面で ダウンロードが完了したら Microsoft Edge のタブを閉じます (Microsoft Edge 画面自体は閉じないでください ) 4. ダウンロードフォルダーに保存された torbrowser-install-5.5.2_ja.exe ファイルをダブルクリックします 5. [Installer Language] 画面で [Japanese] を選択し [OK] をクリックします

6. [ インストール先フォルダー ] 画面で [ インストール ] をクリックします 7. [Tor Browser セットアップは完了しました ] 画面で [ 完了 ] をクリックします 8. [Tor ネットワーク設定 ] 画面で [ 接続 ] をクリックします

9. TorBrowser 画面で URL として https://myapps.microsoft.com/ と入力し アクセスします [ 確 認 ] 画面が表示される場合は [ はい ] をクリックします 10. サインイン画面で admin ユーザーのユーザー名とパスワードを入力し サインインします 11. Tor Browser 画面で アクセスパネルにアクセスできたことを確認します

12. Microsoft Edge の Azure 管理ポータル画面で [ レポート ] をクリックし [ 複数の地域からのサイ ンイン ] をクリックします 13. [ プライベートユーザーデータを表示しようとしています ] 画面で [ 組織の管理者がこのデータ を見てもかまわない ] にチェックをつけ チェックマークをクリックします ワンポイント [ プライベートユーザーデータを表示しようとしています ] 画面はプライバシーに関する確認画面であるため Azure AD ドメインで一度設定したら 以降表示されることはありません そのため 既にこの操作を行っている場合は表示されません

14. [ 複数の地域からのサインイン ] 画面で 短い間隔で複数の地域からのサインインがあったことが確 認できます

9.Cloud App Discovery によるアプリ利用状況の確認 本手順では Win10 コンピューターに Cloud App Discovery エージェントプログラムをインストールし Win10 コンピューターからアクセスした SaaS アプリケーションをトラッキングし 利用状況を Azure 管理ポータルから確認します 本手順は Win10 コンピューターから操作します 1. Azure 管理ポータル画面で [ 新しいポータルの確認 ] [ 起動 ] をクリックします 2. Azure 管理ポータル画面で 画面右上のユーザー名欄をクリックし 本評価ガイドを通じて作成し た Azure AD ドメインをクリックします

3. Azure 管理ポータル画面で [Market Place] をクリックします 4. Azure 管理ポータル画面で [Market Place] をクリックし [ セキュリティ +ID] をクリックします 5. [ セキュリティ +ID] 画面で [Azure AD Cloud App Dicsovery] をクリックします

6. [Azure AD Cloud App Dicsovery] 画面で [ 作成 ] をクリックします 7. [Cloud App Discovery] 画面で [ 作成 ] をクリックします 8. [Cloud App Discovery] 画面で [ 設定 ] をクリックします

9. [ 設定 ] 画面で [ エージェントの管理 ] をクリックします 10. [ エージェントの管理 ] 画面で [ ユーザーの同意オプション ] をクリックします 11. [ ユーザーの同意オプション ] 画面で [ 通知または同意は不要 ] にチェックをつけ [ 更新 ] をクリッ クします

12. [Cloud App Discovery] 画面で 右ペインの [ ダウンロード ] をクリックします 13. エクスプローラー画面で ダウンロードフォルダーを開き Microsoft Cloud App Discovery Endpoint Agent.zip ファイルを右クリックして [ すべて展開 ] をクリックします 14. [ 展開先の選択とファイルの展開 ] 画面で [ 展開 ] をクリックします

16. エクスプローラー画面で EndpointAgentSetup ファイルをダブルクリックします 17. [Cloud App Discovery - Endpoint Agent] 画面で [ インストール ] をクリックします 18. [ ユーザーアカウント制御 ] 画面で [ はい ] をクリックします

19. [ セットアップに成功しました ] 画面で [ 閉じる ] をクリックします 20. Microsoft Edge 画面で Ctrl+Shift+P キーを押し 新たに InPrivate ブラウズで Microsoft Edge を起動します 21. InPrivate ブラウズ画面で アドレスに https://myapps.microsoft.com/ と入力し Enter キーをクリックします 22. サインイン画面で admin ユーザーのユーザー名とパスワードを入力し サインインします 23. [ アプリケーション ] 画面で [Twitter] をクリックします

24. InPrivate ブラウズ画面で 新しいタブを開き URL として https://www.linkedin.com/ と入力して アクセスします 25. InPrivate ブラウズ画面を終了します 26. [Cloud App Discovery] 画面で F5 キーを押して 画面を更新します 27. [Cloud App Discovery] 画面で [Cloud App Discovery] をクリックし [ アプリ総数 ] をクリックします 28. [ アプリケーション ] 画面で 前の手順でアクセスしたアプリケーションの一覧が表示されます

10.Azure RMS の契約とライセンス割り当て 本手順では Office 365 のライセンスが割り当てられているユーザーを対象に Azure Rights Management Services Premium のライセンスを追加で割り当てます 一部の Office 365 のライセンスでは Office 365 のライセンス内で提供される Azure RMS のライセンスが自動的に割り当てられているため 追加で EMS のライセンスを購入しても既定で Azure RMS Premium ライセンスが割り当てられません そのため 本手順では Azure RMS Premium のライセンスの割り当てを明示的に行います 本手順は Win10 コンピューターから操作します 1. Microsoft Edge 画面で Ctrl+Shift+P キーを押し 新たに InPrivate ブラウズで Microsoft Edge を起動します 2. InPrivate ブラウズ画面で アドレスに https://portal.office.com/ と入力し Enter キーをクリックします 3. Office 365 のサインイン画面で admin ユーザーのユーザー名とパスワードを入力し [ サインイン ] をクリックします 4. Office 365 画面で 左上のボタンをクリックし [ 管理者 ] をクリックします

5. [Office 365 管理センター ] 画面で [ ユーザー ] - [ アクティブなユーザー ] をクリックします 6. [ アクティブなユーザー ] 画面で aaduser1 ユーザーをクリックし [ 割り当て済みのライセンス ] 欄の [ 編集 ] をクリックします 7. [ ライセンスの割り当て ] 画面で [Microsoft Office 365 プラン E3] 欄から [Azure Rights Management ] のチェックをはずします そのうえで [ ライセンスの割り当て ] 欄から [Azure Rights Management] と [Azure Right Management Premium] にチェックをつけ [ 保存 ] をクリックします

8. [ アクティブなユーザー ] 画面で 右上のユーザー名をクリックし [ サインアウト ] をクリックし ます 9. InPrivate ブラウズ画面を閉じます

11. 権限ポリシーの作成 Azure RMS では ドキュメントに対して割り当てるアクセス権限を権限設定時に手動で設定するのではなく あらかじめ誰に対して どのような権限を割り当てるかを定義した 権限ポリシー を作成し ユーザーに利用させることができます 本手順では aaduser1 ユーザーが 30 日間だけ閲覧のみができる 権限ポリシーを作成する手順を確認します 本手順は Win10 コンピューターから操作します 1. Azure 管理ポータルサイト画面で [ACTIVE DIRECTORY] をクリックします 2. [active directory] 画面で [RIGHTS MANAGEMENT] をクリックします

3. [active directory] 画面で Azure AD ドメインをクリックし [ アクティブ化 ] をクリックします 4. [active directory] 画面で [ はい ] をクリックし アクティブ化をクリックします 5. [active direcory] 画面で Azure AD ドメインのステータスが [ アクティブ ] になっていることを確 認し Azure AD ドメインの名前をクリックします

6. [Rights Management の使用を開始 ] 画面で [ テンプレート ] をクリックします 7. [ テンプレート ] 画面で [ 追加 ] をクリックします 8. [ 新しい権利ポリシーテンプレートの追加 ] 画面で [ 言語 ] 欄から [ 日本語 ] を選択し [ 名前 ] 欄 に 期間限定 [ 説明 ] 欄に 30 日間限定アクセスを許可するポリシーです と入力し チェッ クマークをクリックします

9. [ テンプレート ] 画面で [ 期間限定 ] をクリックします 10. [ 期間限定 ] 画面で [ 権限 ] をクリックします 11. [ 期間限定 ] 画面で [ 追加 ] をクリックします

12. [ ユーザーとグループの選択 ] 画面で [ 表示 ] 欄から [ ユーザー ] を選択し チェックマークをク リックします 13. [ ユーザーとグループの選択 ] 画面で aaduser1 ユーザーをクリックし [+] をクリックします

14. [ ユーザーとグループの選択 ] 画面で 右ペインの [ 選択済み ] 欄に aaduser1 ユーザーが追加され ていることを確認し [ ] をクリックします 15. [ 選択されたユーザーおよびグループに権限を割り当てます ] 画面で [ ビューアー ] をクリック し チェックマークをクリックします ワンポイント [ ビューアー ] は閲覧のみが行える権限です それぞれの権限によって与えられるアクセス許可の 詳細は [?] マークをクリックして確認できます

16. [ 期間限定 ] 画面で [ 構成 ] をクリックします 17. [ 期間限定 ] 画面で 画面を下にスクロールします 18. [ コンテンツの有効期限 ] 欄で [ コンテンツが保護された後 指定した日数を経過すると コンテ ンツの有効期限が切れます ] をクリックし 30 と入力して [ 保存 ] をクリックします

19. [ 期間限定 ] 画面で [ 全般 ] 欄の [ 発行 ] をクリックし 画面下部の [ 保存 ] をクリックします ワンポイント 作成したポリシーは [ 発行 ] の設定を行うことで はじめてユーザーが利用できるようになりま す

12.SharePoint Online での権限設定 本手順では Azure RMS Premium を SharePoint Online と組み合わせて利用する方法について確認します SharePoint Online ではライブラリに保存されるドキュメントに対して自動的に Azure RMS による権限が設定されるよう 構成することができるため そのために必要な手順を本手順では 実装します 本手順は Win10 コンピューターから操作します 1. Microsoft Edge 画面で Ctrl+Shift+P キーを押し 新たに InPrivate ブラウズで Microsoft Edge を起動します 2. InPrivate ブラウズ画面で アドレスに https://portal.office.com/ と入力し Enter キーをクリックします 3. Office 365 のサインイン画面で admin ユーザーのユーザー名とパスワードを入力し [ サインイン ] をクリックします 4. Office 365 画面で 左上のボタンをクリックし [ 管理者 ] をクリックします

5. Office 365 管理ポータル画面で 左ペインをスクロールし [ 管理者 ] - [SharePoint] をクリックし ます 6. [Sharepoint 管理センター ] 画面で 左ペインの [ 設定 ] をクリックします 7. [ 設定 ] 画面で [Information Rights Management (IRM)] 欄から [ 構成で指定した IRM サービスを 使う ] をクリックし [IRM 設定の更新 ] をクリックします

8. [ 設定 ] 画面で [ 設定が正常に完了しました ] と表示されたことを確認し 画面最下部にある [OK] をクリックします 9. [Sharepoint 管理センター ] で 画面左上のボタンをクリックし [ サイト ] をクリックします 10. [ すべての作業ファイルを 1 か所にまとめることができます ] 画面が表示される場合 [ この手 順をスキップ ] リンクをクリックし もう一度左上のボタンをクリックして [ サイト ] をクリッ クします

11. 個人用サイト画面で [ チームサイト ] をクリックします 12. [ チームサイト ] 画面で 左ペインの [ ドキュメント ] をクリックし [ 新規作成 ] - [Word 文書 ] を クリックします

13. [Word Online] 画面で 期間限定で閲覧可能 と入力し [ チームサイト ] をクリックします ワンポイント Azure Rights Management Premium を SharePoint Online サイトと連携するように設定した場合 Word Online で新しくファイルが作成できなくなり Microsoft Word で作成したファイルをアップロードしてファイルを保存しなければなりません 本手順では 手軽に評価を行えるよう Azure Right Management の設定を行う前に Word Online からドキュメントを作成しています 14. [ ドキュメント ] 画面で [ ライブラリ ] タブをクリックし [ ライブラリの設定 ] をクリックしま す

15. [ 設定 ] 画面で [Information Rights Management] をクリックします 16. [Information Rights Management 設定 ] 画面で [ ダウンロード時にこのライブラリの権限を制限する ] にチェックをつけ [ アクセス許可ポリシーのタイトルを入力してください ] 欄に IRM ポリシー [ アクセス許可ポリシーの説明を入力してください ] 欄に Azure RMS - IRM によってアクセス制御をおこないます とそれぞれ入力して [OK] をクリックします 17. [ ドキュメント ] 画面で 画面右上のユーザー名をクリックし [ サインアウト ] をクリックしま す 18. InPrivate ブラウズ画面を閉じます

13. 権限設定されたメッセージ / ドキュメントへのアクセス Exchange Online および SharePoint Online との組み合わせによって Azure RMS で権限設定が行え ること そして権限設定されたドキュメントやメールへのアクセス確認を行います 本手順は Win10 コンピューターから操作します Exchange Online における Microsoft Azure Rights Management の利用 1. Microsoft Edge 画面で Ctrl+Shift+P キーを押し 新たに InPrivate ブラウズで Microsoft Edge を起動します 2. InPrivate ブラウズ画面で アドレスに https://portal.office.com/ と入力し Enter キーをクリックします 3. Office 365 のサインイン画面で admin ユーザーのユーザー名とパスワードを入力し [ サインイン ] をクリックします 4. Office 365 のポータルサイト画面で メニューをクリックし [ メール ] をクリックします

5. [Outlook] 画面で 初めて Outlook on the Web にアクセスするときだけ タイムゾーンの選択を 行います [ タイムゾーン ] 欄から [UTC + 09:00]) 大阪 札幌 東京 ] を選択し [ 保存 ] をクリッ クします 6. Outlook on the Web 画面で 画面左上の [ 新規作成 ] をクリックします 7. 新しいメールの作成画面で [ 宛先 ] 欄に aaduser1@<azure AD ドメイン名 > と入力し [ 件名 ] と [ 本文 ] に 期間限定で閲覧可能 と入力します

8. 新しいメールの作成画面で [ ] をクリックし [ アクセス許可の設定 ] - [ 期間限定 ] をクリックし ます 9. 新しいメールの作成画面で [ 送信 ] をクリックして aaduser1 ユーザーにメールを送信します 10. 画面右上のユーザー名をクリックし [ サインアウト ] をクリックします

11. Microsoft Edge 画面で [ 別のアカウントを使用する ] をクリックします 12. aaduser1 ユーザーのユーザー名とパスワードを入力し [ サインイン ] をクリックします 13. [Outlook] 画面で [ タイムゾーン ] 欄から [UTC + 09:00]) 大阪 札幌 東京 ] を選択し [ 保存 ] をクリックします

14. Outlook on the Web 画面で admin ユーザーから送信されたメールを確認できます メールをク リックし 画面右にある [ 全員に返信 ] リストをクリックします [ 転送 ] が選択できないことを確 認します 15. Outlook on the Web 画面で 画面右上のユーザー名をクリックし [ サインアウト ] をクリックし ます 16. InPrivate ブラウズ画面を閉じます

SharePoint Online における Microsoft Azure Rights Management の利用 1. Microsoft Edge 画面で Ctrl+Shift+P キーを押し 新たに InPrivate ブラウズで Microsoft Edge を起動します 2. InPrivate ブラウズ画面で アドレスに https://portal.office.com/ と入力し Enter キーをクリックします 3. Microsoft Edge 画面で アドレス欄に https://portal.office.com/ と入力し アクセスします 表示されるサインイン画面で aaduser1 ユーザーのユーザー名とパスワードを入力し [ サインイン ] をクリックします 4. Office 365 のポータルサイト画面で メニューをクリックし [ サイト ] をクリックします

5. [ すべての作業ファイルを 1 か所にまとめることができます ] 画面が表示される場合 [ この手 順をスキップ ] リンクをクリックし もう一度左上のボタンをクリックして [ サイト ] をクリッ クします 6. 個人用サイト画面で [ チームサイト ] をクリックします 7. [ チームサイト ] 画面で [ ドキュメント ] をクリックします

8. [Word Online] 画面で ドキュメントファイルの内容が確認できます また ファイルに対する 編集ができないことが確認できます 確認できたら [ チームサイト ] をクリックします 9. [ ドキュメント ] 画面で 画面右上のユーザー名をクリックし [ サインアウト ] をクリックしま す 10. InPrivate ブラウズ画面を閉じます

14. 組織外ユーザーによる権限設定されたメッセージ / ドキュメントへのアクセス 本手順では 前の手順で行ったメールとドキュメントに対する権限設定を組織外のユーザーに向けて行います そして 組織外のユーザーがメッセージを受信して内容を確認できる様子と 共有設定されたチームサイト上の権限設定されたドキュメントへのアクセスを確認します 本手順は Win10 コンピューターから操作します Exchange Online における組織外ユーザーへの Microsoft Azure Rights Management の利用 組織外のユーザーに対して権限設定されたメールを送信します 本手順では あらかじめご自身が普段 ご利用のメールアドレスが必要です 1. Microsoft Edge 画面で Ctrl+Shift+P キーを押し 新たに InPrivate ブラウズで Microsoft Edge を起動します 2. InPrivate ブラウズ画面で アドレスに https://portal.office.com/ と入力し Enter キーをクリックします 3. Office 365 のサインイン画面で admin ユーザーのユーザー名とパスワードを入力し [ サインイン ] をクリックします 4. Office 365 のポータル画面で メニューをクリックし [ メール ] をクリックします

5. Outlook on the Web 画面で 画面上の [ 新規作成 ] をクリックします 6. 新しいメールの作成画面で [ 宛先 ] 欄にご自身が普段使用しているメールアドレスなど 組織外 のユーザーのメールアドレスを入力し [ 件名 ] と [ 本文 ] 欄に 組織外ユーザーへの権限設定済 みメッセージを送信 と入力します 7. 新しいメールの作成画面で [ ] をクリックし [ アクセス許可の設定 ] - [ 転送不可 ] をクリックし ます

8. 新しいメールの作成画面で [ 送信 ] をクリックして 組織外のユーザーに送信します 9. [ 受信トレイ ] 画面で 画面右上のユーザー名をクリックし [ サインアウト ] をクリックします

10. 手順 7 で送信したユーザーのメールボックスを確認し メールが届いていることを確認します 受信したメッセージを開くと 権限設定がされたメッセージの内容を確認できます また 転送 不可の設定が施され [ 転送 ] ボタンが利用できなくなっていることを確認します 11. InPrivate ブラウズ画面を閉じます

SharePoint Online における組織外ユーザーへの Microsoft Azure Rights Management の利用ドキュメントの Azure RMS Premium で定義する権限に組織外のユーザーを追加します 追加するユーザーは他の Office 365 テナントのユーザー ( 組織アカウント ) または Microsoft アカウントだけが追加できるため 事前に用意してください 1. Microsoft Edge 画面で Ctrl+Shift+P キーを押し 新たに InPrivate ブラウズで Microsoft Edge を起動します 2. InPrivate ブラウズ画面で アドレスに https://portal.office.com/ と入力し Enter キーをクリックします 3. Office 365 のサインイン画面で admin ユーザーのユーザー名とパスワードを入力し [ サインイン ] をクリックします 4. Office 365 のポータル画面で メニューをクリックし [ サイト ] をクリックします

5. 個人用サイト画面で [ チームサイト ] をクリックします 6. [ チームサイト ] 画面で [ 共有 ] をクリックします 7. [ チームサイトの共有 ] 画面で [ 宛先 ] に組織外のアカウント ( 他の Office 365 テナントのユー ザーまたは Microsoft アカウント ) を入力し リストが [ 編集可能 ] になっていることを確認し [ 共有 ] をクリックします

8. 画面右上のユーザー名をクリックし [ サインアウト ] をクリックします 9. 手順 7 で指定したユーザーのメールボックスを確認し メールが届いていることを確認します 受信したメッセージを開くと チームサイトへの招待メールであることが確認できます [ チーム サイト ] のリンクをクリックします 10. [SharePoint Online へようこそ ] 画面で 受信したメールのアカウントによって [Microsoft アカ ウント ] [ 組織アカウント ] のいずれかを選択し サインインを行います

11. [ チームサイト ] 画面で [ ドキュメント ] をクリックします 12. [ ドキュメント ] 画面で Word Online 文章をクリックします IRM ポリシーが割り当てられ編集 ができないことを確認します [ チームサイト ] をクリックします 13. [ チームサイト ] 画面で 右上のユーザー名をクリックし [ サインアウト ] をクリックします

15.RMS 共有アプリケーションによる権限設定 本手順では RMS 共有アプリケーションを利用したドキュメントに対する権限設定を行います 前半部分では RMS 共有アプリケーションのインストール 後半部分では RMS 共有アプリケーションを利用してファイルに対する権限設定を行う方法について確認します 本手順は Win10 コンピューターから操作します 1. Microsoft Edge 画面で Ctrl+Shift+P キーを押し 新たに InPrivate ブラウズで Microsoft Edge を起動します 2. InPrivate ブラウズ画面で アドレス欄に https://portal.aadrm.com/ と入力し アクセスします 3. [Microsoft Rights Management] 画面で admin のユーザー名を入力し [ 次へ ] をクリックします 4. [Microsoft Rights management] 画面で admin ユーザーのパスワードを入力し [ サインイン ] を クリックします

5. [Microsoft Rights management] 画面で [ コンピューター ] 欄にある Windows アイコンをクリッ クし RMS 共有アプリケーションをダウンロードします ワンポイント Azure AD アカウントでサインインせずに RMS Sharing ツールをダウンロードする場合 以下のサイトからダウンロードが可能です Microsoft Rights Management sharing application for Windows http://www.microsoft.com/ja-jp/download/details.aspx?id=40857 6. ダウンロードフォルダーに保存されている Setup.exe ファイルを実行します 7. [ ユーザーアカウント制御 ] 画面で [ はい ] をクリックします

8. [Microsoft RMS のセットアップ ] 画面で [ 次へ ] をクリックします 9. [Microsoft RMS のセットアップ ] 画面で インストールが完了したら [ 再起動 ] をクリックしま す 10. 再起動後 デスクトップ画面で [ スタート ] ボタンをクリックし Microsoft Word を起動しま す

11. [ 文書 1 - Word] 画面で 文書として 期間限定で閲覧可能 と入力し [ ファイル ] タブをクリッ クします 12. [ 情報 ] 画面で 左ペインの [ 名前を付けて保存 ] をクリックします 13. [ 名前を付けて保存 ] 画面で [ コンピューター ] をクリックし [ デスクトップ ] をクリックしま す

14. [ 名前を付けて保存 ] 画面で [ ファイル名 ] 欄に ドキュメント 1 と入力し [ 保存 ] をクリック します 15. Microsoft Word を終了します 16. デスクトップ画面で [ ドキュメント 1] ファイルを右クリックし [RMS の保護 ] - [ 今すぐ保護 ] - [ 期間限定 ] をクリックします ワンポイント本手順により ファイルに対する Azure RMS Premium での保護が設定されたことになります なお Microsoft Office ドキュメントを対象に保護を行っていますが Microsoft Office ドキュメントに対して設定を行うことも可能です 17. Microsoft Word を起動します 18. Microsoft Word 画面で 適当な文書を新規作成します

19. [ 文書 1] 画面で [ ファイル ] タブをクリックします 20. [ 情報 ] 画面で [ アカウント ] をクリックします 21. [ アカウント ] 画面で [ サインアウト ] をクリックします 22. [ アカウントの削除 ] 画面で [ はい ] をクリックします

23. Microsoft Word を終了します 24. Microsoft Word を起動します 25. Microsoft Word 画面で 適当な文書を新規作成します 26. Microsoft Word 画面で [ ファイル ] タブをクリックします 27. Microsoft Word 画面で 左ペインの [ アカウント ] をクリックし [ サインイン ] をクリックしま す 28. [ サインイン ] 画面で aaduser1 ユーザーのユーザー名を入力し [ 次へ ] をクリックします

29. [ サインイン ] 画面で aaduser1 ユーザーのパスワードを入力し [ サインイン ] をクリックしま す 30. [ アカウント ] 画面で aaduser1 ユーザーでサインインできたことを確認し Word を終了しま す 31. デスクトップ画面で 文書 1.docx ファイルをダブルクリックして開きます 32. [ 文書 1] 画面で 権限設定され aaduser1 ユーザーはテンプレートの設定に従い 30 日間のみ 閲覧の権限が割り当てられていることを確認します 33. Microsoft Word を終了します

16. 保護されたドキュメントの追跡 RMS 共有アプリケーションを使用してドキュメントを保護した後は ユーザーによる保護されたドキュメントの使用状況を追跡します これを行うには トラッキングポータルサイト (https://portal.azurerms.com) を使用します トラッキングポータルサイトでは 保護されたファイルを開こうとしたユーザーが成功した ( 正常に認証された ) かどうか さらにユーザーが いつ どこからドキュメントへのアクセスを試みたのか その時間と場所を把握することができます 本手順では トラッキングポータルサイトを利用したドキュメントの追跡手順について確認します 1. デスクトップ画面で 右クリックし [Microsoft Word Document] をクリックします 2. デスクトップ画面で 作成した Word ドキュメントに [ 文書 2] と名前を付けて保存します

3. デスクトップ画面で [ 文書 2] をダブルクリックし [ ファイル ] タブをクリックします 4. [ 情報 ] 画面で 画面右上のユーザー名をクリックし [ アカウントの切り替え ] をクリックしま す 5. [ アカウント ] 画面で [ サインアウト ] をクリックします 現在のアカウントで [ サインアウト ] を クリックします

6. [ アカウント ] 画面で 現在のアカウント欄の [ サインアウト ] をクリックします 7. [ アカウントの削除 ] 画面で [ はい ] をクリックします 8. Microsoft Word を終了します 9. Microsoft Word を起動します 10. Microsoft Word 画面で 適当な文書を新規作成します 11. Microsoft Word 画面で [ ファイル ] タブをクリックします

12. Microsoft Word 画面で 左ペインの [ アカウント ] をクリックし [ サインイン ] をクリックしま す 13. [ サインイン ] 画面で admin ユーザーのユーザー名を入力し [ 次へ ] をクリックします 14. [ サインイン ] 画面で admin ユーザーのパスワード入力し [ サインイン ] をクリックします 15. Microsoft Word を終了します 16. デスクトップ画面で [ 文書 2] を右クリックし [RMS による保護 ] - [ 保護ファイルの共有 ] をクリ ックします

17. [ 保護ファイルの共有 ] 画面で [ ユーザー ] 欄に aaduser1 のユーザー名を入力し [ 閲覧者 - 表示のみ ] を選択し [ 他のユーザーがこれらのドキュメントを開こうとしたときにメールで通知する ] にチェックをいれ さらに [ これらのドキュメントへのアクセスをすぐに取り消せるようにする ] にもチェックをいれます [ 送信 ] をクリックすると [Outlook] が自動的に起動します

18. Outlook の新規メッセージ画面で [ 送信 ] をクリックします 19. デスクトップ画面で Microsoft Edge を起動します 20. Microsoft Edge 画面で アドレス欄に https://portal.office.com/ と入力し アクセスします サインイン画面で aaduser1 のユーザー名とパスワードを入力し [ サインイン ] をクリックし ます

21. ホーム画面で [ メニュー ] をクリックし [ メール ] をクリックします 22. Outlook on the Web 画面で 新着メッセージが届いていることを確認します 23. Outlook on the Web 画面で 添付ファイルを [ ダウンロード ] フォルダーにダウンロードしま す 24. Microsoft Edge を終了します 25. Microsoft Word を起動します 26. Microsoft Word 画面で 適当な文書を新規作成します

27. Microsoft Word 画面で [ ファイル ] タブをクリックします 28. [ 情報 ] 画面で [ アカウント ] をクリックします 29. [ アカウント ] 画面で [ サインアウト ] をクリックします 30. [ アカウントの削除 ] 画面で [ はい ] をクリックします

31. Microsoft Word を終了します 32. Microsoft Word を起動します 33. Microsoft Word 画面で 適当な文書を新規作成します 34. Microsoft Word 画面で [ ファイル ] タブをクリックします 35. Microsoft Word 画面で 左ペインの [ アカウント ] をクリックし [ サインイン ] をクリックしま す 36. [ サインイン ] 画面で aaduser1 ユーザーのユーザー名を入力し [ 次へ ] をクリックします

37. [ サインイン ] 画面で aaduser1 ユーザーのパスワードを入力し [ サインイン ] をクリックしま す 38. エクスプローラー画面で [ ダウンロード ] フォルダーを開き [ 文書 2] ドキュメントをダブルク リックします 39. [ 文書 2] 画面で アクセスが制限されていることを確認します 40. Microsoft Word を終了します

41. デスクトップ画面で [ 文書 2] を右クリックし [RMS による保護 - [ 使用の追跡 ] をクリックしま す 42. [Microsoft Right Management] 画面で [ サインイン ] をクリックします 43. [Microsoft Right Management] 画面で admin ユーザーのユーザー名とパスワードを入力し [ サ インイン ] をクリックします

44. [ 共有ドキュメント ] 画面で [ 文書 2] をクリックします ワンポイント 文書 2 が表示されるまでに時間を要する場合があります 表示されない場合には 時間をおいてか ら再度 Web ページにアクセスしてください 45. [ 文書 2] 画面で [ リスト ] をクリックします 46. [ 文書 2] 画面で ドキュメントにアクセスしたユーザーを確認します

47. [ 文書 2] 画面で [ マップ ] をクリックします 48. [ 文書 2] 画面で 文書 2.docx ファイルにアクセスした地域が表示されることを確認します