AD RMS 信頼ポリシーとは

信頼ポリシーを追加すると、別の AD RMS クラスターにより権利が保護されたコンテンツのライセンス要求を AD RMS で処理できるようになります。次のような信頼ポリシーを定義できます。

• 信頼されたユーザー ドメイン: 信頼されたユーザー ドメインを追加すると、AD RMS ルート クラスターは、別の AD RMS ルート クラスターが発行した RM アカウント証明書 (RACs) を所持するユーザーからのクライアント ライセンサー証明書または使用ライセンスの要求を処理できます。信頼されたユーザー ドメインを追加するには、信頼する AD RMS クラスターのサーバー ライセンサー証明書をインポートします。
  
  
• 信頼された発行ドメイン: 信頼された発行ドメインを追加すると、AD RMS クラスターは、別の AD RMS クラスターが発行した発行ライセンスに対して使用ライセンスを発行できます。信頼された発行ドメインを追加するには、信頼するサーバーのサーバー ライセンサー証明書および秘密キーをインポートします。
  
  
• Windows Live ID: Microsoft のオンライン RMS サービスとの信頼を設定すると、AD RMS ユーザーは、権利が保護されたコンテンツを Windows Live ID を持つユーザーに送信できます。Windows Live ID ユーザーは、Microsoft のオンライン RMS サービスを信頼している AD RMS クラスターの、権利が保護されたコンテンツを使用できます。ただし、Windows Live ID ユーザーは、AD RMS クラスターにより権利が保護されたコンテンツを作成することはできません。
  
  
• フェデレーションの信頼: 2 つのフォレスト間にフェデレーションの信頼を確立するには、Active Directory フェデレーション サービスを使用します。これは、AD RMS がインストールされていないフォレストのユーザーが、別のフォレストの権利が保護されたコンテンツを使用する必要がある場合に便利です。AD RMS でのフェデレーション サポートの設定の詳細については、「フェデレーション ID サポートの設定を構成する」を参照してください。
  
  
• Microsoft Federation Gateway: Microsoft Federation Gateway を通じて信頼を確立すると、AD RMS が、Microsoft Federation Gateway から要求ベースの認証トークンを受け入れることで、外部組織から証明書とライセンス要求を受け入れられるようになります。実際には、Microsoft Federation Gateway は、トランザクションで 2 つの組織の ID を確認することにより、2 つの組織間の信頼されたブローカーとして機能します。フェデレーションの信頼とは異なり、Microsoft Federation Gateway を通じて信頼関係を確立する場合は、ある組織内のフォレストが、他の組織内のフォレストと明示的にフェデレーションする必要はありません。その代わりに、フィルター一覧を使用して、どのドメインが AD RMS クラスターから証明書またはライセンスを受け取ることができるかを確認できます。
  
  たとえば、Microsoft© Exchange Server 2010 は、AD RMS によって保護されているメッセージを、Active Directory ドメイン サービス インフラストラクチャを共有していない複数の組織間で送信できるようにすることで、この機能を使用するように設計されています。Exchange Server 2010 には、セキュリティで保護されたメッセージングを、AD RMS を使用してサポートするための、多数の機能が組み込まれています。Microsoft Federation Gateway に依存する機能には、次のようなものがあります。
  
  
  • AD RMS によって保護されている電子メール メッセージを、送信者の組織の外部組織の受信者に送信する機能。受信者は、Exchange Server 2010 Outlook Web Access (OWA) または Microsoft Outlook を使用して、メッセージにアクセスできます。
    
    
  • 送信者が、Exchange Server 2010 のアクセス許可を使用してジャーナルやマルウェア スキャンなどの目的でコンテンツを解読する受信者の組織に、アクセス許可を付与する機能。
    
    
  これらの機能では、2 つの組織が信頼関係を確立できることが必要とされるため、Microsoft Federation Gateway Supportはそれらの組織の展開において重要な役割を果たします。