この記事は?
RMS で出てくる SLC/RAC/CLC などについて、書いてみます。
[https://techcommunity.microsoft.com/t5/microsoft-security-and/ad-rms-under-the-hood-client-bootstrapping-part-1-of-2/ba-p/247464]
(https://techcommunity.microsoft.com/t5/microsoft-security-and/ad-rms-under-the-hood-client-bootstrapping-part-1-of-2/ba-p/247464)
[https://docs.microsoft.com/ja-jp/archive/blogs/information_protection/licenses-and-certificates-and-how-ad-rms-protects-and-consumes-documents]
(https://docs.microsoft.com/ja-jp/archive/blogs/information_protection/licenses-and-certificates-and-how-ad-rms-protects-and-consumes-documents)
関係図
これらのファイルは XrML という、XMLベースのファイルとして提供されます。
マシン証明書 SPC
マシン固有の秘密鍵と公開鍵のペアです。初回にクライアントで生成され、ローカルで管理されます。
この処理ではリモートとの接続を行いません。
秘密鍵は lockbox の中で生成され、安全に管理されます。
ユーザー証明書 RAC (GIC)
- RMS サーバーから発行されるユーザー固有の秘密鍵と公開鍵のペアです。
- RAC の秘密鍵は SPC の公開鍵で暗号化されます。
- この RAC は AzureRMS では 30日間有効で、期間を変更することが出来ません。
AIP で 条件付きアクセスを構成する際、この RAC 取得が制御されます。
キュメント閲覧時に都度制御されるわけではありません。
クライアント ライセンサ証明書 CLC
- RMS サーバーのキーペアのうち公開鍵を持ちます。
- CLC の公開鍵は、RAC の公開鍵で暗号化されます。
使用ライセンス EUL
- 初めて文書を解読するにはサーバーへのアクセスが必須となります。これをライセンシングといいます。
- オフラインアクセスが許可されている場合は この EUL が端末に保存・利用されることで、RMS サービスとの接続無しに閲覧が可能となります。
- SPC/RAC/CLCと異なり、ドキュメント毎に存在するため、複数存在します。
- 有効期限は、権利ポリシーテンプレートにより制御可能です。
保護時
RMSサービスとの接続は行われません。そのため、RMS の利用状況ログ (Get-AipServiceUserLog) にも記録が残りません。
開封時
RMS サービスとの接続が行われ、EUL 取得の動作が発生します。