Active Directory Rithts Management Service (AD RMS) の役割は Azure IaaS を含めパブリック クラウドへの移行は許諾されません。
こんにちは。Azure Security サポートチームです。
Windows Server 2012 R2 のサポート ライフサイクルの終了日 (2023年10月10日) が迫っています。
今回はオンプレミス環境で運用している AD RMS の役割をホストしているサーバーについて、リフト&シフト形式でのパブリック クラウド移行 (Azure/AWS/GCP 等) がライセンス上許諾されない点について注意喚起させていただきます。
EOS やサポート終了に伴い、ワークロードのクラウド移行を検討しているお客様もいらっしゃるかと存じますが、Windows Server 上で実行される AD RMS の役割についてはパブリック クラウドでの運用をライセンス面で許諾していません。
また、Azure 仮想マシン環境では機能的にも AD RMS の役割をサポートしてません。
Windows Server の AD RMS の役割についてアクティブな機能開発は終了しておりますので、アップグレードやクラウド サービスへの移行を検討いただく場合には、SaaS ソリューションである Microsoft Purview Information Protection (旧:Azure Information Protection) への移行を検討いただきたく存じます。
<参考>
Title : Azure 仮想マシンに対する Microsoft サーバー ソフトウェアのサポート
URL : https://learn.microsoft.com/ja-jp/troubleshoot/azure/virtual-machines/server-software-support
~~~~~以下抜粋~~~~~
Microsoft Azure Virtual Machinesでは、次のロールはサポートされていません。
・動的ホスト構成プロトコル サーバー (Azure VNet に直接接続されている NIC での使用はサポートされていませんが、入れ子になった仮想化シナリオで使用される内部ネットワークでサポートされます)
・Hyper-V (Hyper-V ロールは Azure Ev3 および Dv3 シリーズ VM でのみサポートされています)
・Rights Management サービス
・Windows 展開サービス
~~~~~抜粋終了~~~~~
Titel : 秘密度ラベルの詳細
URL : https://learn.microsoft.com/ja-jp/purview/sensitivity-labels
Title : AD RMS から Azure Information Protection への移行
URL : https://learn.microsoft.com/ja-jp/azure/information-protection/migrate-from-ad-rms-to-azure-rms
パブリック クラウド上での Windows Server のライセンスについて
Windows Server のライセンスはサーバー本体に割り当てるライセンスと、アクセスするクライアント側に割り当てる “Client Access License (CAL)” があります。
また、CAL には基本機能を利用するために必ず割り当てる必要のある “ベース CAL” と、リモート デスクトップ サービスや AD RMS など、Windows Server の特定の追加機能を使用するために必要な “追加 CAL” があります。
例えば、オンプレミス環境で Windows Server の AD RMS の役割を運用する場合には、クライアント側にベース CAL と AD RMS 追加 CAL の 2 種類の CAL が必要になります。
<参考>
Title : Windows Server について
URL : https://www.microsoft.com/ja-jp/licensing/product-licensing/windows-server
~~~~~以下抜粋~~~~~
コア単位の Windows Server ライセンスに CAL は必要ですか。
Windows Server Standard エディションおよび Datacenter エディションでは、引き続き、サーバーにアクセスするすべてのユーザーまたはデバイスに対して Windows Server CAL が必要です (例外については、製品条項を参照)。外部ユーザーがアクセスするサーバーに対しては、Windows Server エクスターナル コネクタ ライセンスが引き続き必要です。Windows Server のベース CAL やエクスターナル コネクタ ライセンス以外にも、一部の機能には追加のアクセス ライセンスの購入が必要になります。たとえば、リモート デスクトップ サービスや Active Directory Rights Management サービスなどの追加機能や高度な機能についてはライセンスを購入する必要があります。
~~~~~抜粋終了~~~~~
一方でパブリック クラウド上で Windows Server を運用する場合のライセンス モデルはオンプレミスでのライセンス モデルと少々異なります。パブリック クラウド環境での Windows Server のライセンス モデルでは “ベース CAL” はホスティング サービス側で使用料に含まれる形で提供されます。
例えば Azure 仮想マシンで実行する Windows Server ではベース CAL のライセンスが含まれた形式で提供されており、お客様側での CAL の準備は不要です。しかしながら、IaaS の Windows Server の利用料金に含まれているのは “ベース CAL” だけであり、リモート デスクトップ サービスや AD RMS など高度な機能を利用する場合には、サービスに対応している “追加 CAL” が必要になります。
そこでパブリック クラウドへの追加 CAL の持ち込み可否 (ライセンス モビリティ特典) なのですが、拡張権限として許諾されているのはソフトウェア アシュアランス (SA) 付きのリモート デスクトップ サービス CAL のみであり、AD RMS 追加 CAL にはパブリック クラウドへの持ち込みを許諾する特典がありません。
<参考>
Title : Virtual Machines のライセンス FAQ
URL : https://azure.microsoft.com/ja-jp/pricing/licensing-faq/
~~~~~以下抜粋~~~~~
-Azure Virtual Machines で実行している Windows Server イメージに接続するのに、Windows Server クライアント アクセス ライセンス (CAL) は必要ですか。
いいえ。Azure 環境で実行している Windows Server にアクセスするためのアクセス権は Virtual Machines の分単位の料金に含まれているため、Windows Server SALs は必要ありません。(VHD かどうかに関係なく) オンプレミスで Windows Server を使用する場合は、別途ライセンスを取得する必要があり、ソフトウェアをオンプレミスで使用するための標準ライセンス要件に従うものとします。
-ボリューム ライセンス契約の一部として所有している リモート デスクトップ サービス CAL を使用して、Azure または他のサービス プロバイダー環境で実行している Windows Server のインスタンスにアクセスできますか。
2014 年 1 月 1 日より、リモート デスクトップ サービス ユーザー CAL でソフトウェア アシュアランスをアクティブにしているボリューム ライセンスをご利用のお客様は、リモート デスクトップ サービス CAL 拡張権限を利用できます。
これにより、Azure またはその他のサービス プロバイダーの共有サーバー環境で実行されている Windows Server に対して、ソフトウェア アシュアランス付きのリモート デスクトップ サービス ユーザー CAL を使用できます。
このリモート デスクトップ サービス ユーザー CAL ソフトウェア アシュアランスの特典により、それぞれのオンプレミス サーバーへのアクセスに加え、各ユーザーが 1 つの共有サーバー環境 (つまり Azure またはサード パーティのサーバー) でのみリモート デスクトップ サービス機能にアクセスできるようになります。
この特典を役立てるには、ライセンス モビリティ確認フォームを作成し、ホストされる GUI が実行される Azure または認定モビリティ パートナーに提出してください。詳細については、製品使用権の付録 2 の「Software Assurance Benefits (ソフトウェア アシュアランスの特典)」を参照してください。
~~~~~抜粋終了~~~~~
上記の通り、AD RMS 追加 CAL については、パブリック クラウドへのライセンス モビリティ特典を持たないことからパブリック クラウドへの移行が許諾されていません。つきましては運用環境で AD RMS のリプレースが必要な場合には、オンプレミス環境への移行または SaaS ソリューションである Microsoft Purview Information Protection サービスへの移行を検討いただけましたらと存じます。
今回のお知らせは以上になります。
※本ブログ記事化にあたり、弊社サポートによる調査にご協力いただきましたお客様に深く感謝いたします。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。