ロックボックスは、ユーザーの秘密キーを格納するために使用されます。 あるバージョンのロックボックスに脆弱性が発見された場合、マイクロソフトは新しいロックボックスをリリースします。 ロックボックスのバージョンをクライアントに関連付け、AD RMS クライアント ソフトウェアの以前のバージョンを除外することにより、あるバージョン以降の Active Directory Rights Management サービス (AD RMS) クライアント ソフトウェアをクライアントが必ず使用するように指定することができます。 この機能を有効にすると、Microsoft Activation Service により署名されたロックボックスの、最低限のバージョンを指定するよう促されます。 その後、これを適用する各々の AD RMS クラスターにおいて、ロックボックスの除外を有効にします。 これにより、すべての証明とライセンスの要求が、ロックボックスの最低バージョンの制限を満たしているかどうかをチェックされるようになります。
このロックボックス バージョンの除外機能を有効にすると、指定されたより前のバージョンのロックボックスを使用しているクライアントは、RM アカウント証明書 (RACs) を取得したり、ライセンスを使用したりすることが不可能になります。これは要求そのものが拒否されるためです。 このようなクライアントは、新しいロックボックスを取得するために AD RMS の最新のバージョンをインストールする必要があります。
指定よりも古いバージョンのロックボックスを使用し続け、新しいロックボックスを取得していないクライアントでも、過去に発行されたライセンスを持つコンテンツを使用することは可能です。
この操作を正常に行うには、少なくとも AD RMS Enterprise Administratorsグループ、またはそれと同等の権限を持つグループのメンバーである必要があります。
ロックボックスのバージョンを除外するには
-
Active Directory Rights Management サービス コンソールを開き、AD RMS クラスターを展開します。
-
コンソール ツリーで [除外ポリシー] を展開し、[ロックボックス] をクリックします。
-
[ロックボックスの除外を有効にする] をクリックして、ロックボックスの除外を有効にします。
-
[ロックボックスの最小バージョンの変更] をクリックします。 [ ロックボックス] プロパティ シートが開きます。
-
[ロックボックスの最小バージョン] ボックスに、5.2.0.0 と入力します。 ロックボックスの最小バージョンをこのバージョンに指定すると、組織内の全ての Windows RMS クライアントは、Windows RMS を SP2 にアップグレードしない限り、権利で保護されているコンテンツを使用できなくなります。 [OK] をクリックします。
ロックボックスのバージョン除外を停止するには
-
Active Directory Rights Management サービス コンソールを開き、AD RMS クラスターを展開します。
-
コンソール ツリーで [除外ポリシー] を展開し、[ロックボックス] をクリックします。
-
[ロックボックスの除外を無効にする] をクリックして、ロックボックスの除外を無効にします。