Migrieren von AD RMS zu Azure RMS in Exchange Online

• Gilt für::

  Exchange Online

Am 28. Februar 2021 hat Microsoft den Support für eine bestimmte Konfiguration für Benutzer beendet, die über Exchange Online Postfächer verfügen. Mit der Konfiguration können diese Benutzer Inhalte anzeigen und erstellen, die durch Active Directory Rights Management Services (AD RMS) geschützt sind.

Auswirkungen auf Kunden

Wenn Sie feststellen, dass Ihre organization betroffen ist, müssen Sie die Schritte ausführen, die im Abschnitt "Korrekturschritte" aufgeführt sind. Andernfalls können Benutzer mit Postfächern in Exchange Online keine E-Mail-Nachrichten mehr anzeigen oder erstellen, die von AD RMS über Outlook im Web oder Outlook für iOS und Android geschützt sind. Benutzer können weiterhin Nachrichten anzeigen, die durch AD RMS geschützt sind, indem sie den Microsoft Outlook-Desktopclient unter Windows verwenden.

Nachrichtenflussregeln in Exchange Online, die zum Schutz von Nachrichten mithilfe von AD RMS konfiguriert sind, sind ebenfalls nicht mehr in Kraft.

Andere Funktionen, die die Entschlüsselung von AD RMS-geschützten Nachrichten in Exchange Online erfordern, entschlüsseln solche Nachrichten nicht mehr. Diese Nachrichten werden im verschlüsselten Zustand belassen. Zu diesen Funktionen gehören eDiscovery, Journaling, Inspektion nach Transportregeln und Indizierung.

Ermitteln, ob Sie betroffen sind

Wenn Ihr organization AD RMS nicht verwendet, wirkt sich dieses Problem nicht auf Sie aus, und Sie können den Rest des Artikels ignorieren. Organisationen, die Azure Rights Management Services (Azure RMS) und Azure Information Protection verwenden, sind davon nicht betroffen.

Wenn Ihr organization AD RMS verwendet, Aber Sie die Integration von AD RMS in Exchange Online nicht implementiert haben, indem Sie Ihre AD RMS-Schlüssel in Exchange Online importieren, sind Sie von dieser Änderung ebenfalls nicht betroffen.

Wenn einer Ihrer Benutzer über lokale Microsoft Exchange Server Postfächer verfügt, sind sie von dieser Änderung nicht betroffen.

Um festzustellen, ob Sie die Integration zwischen AD RMS und Exchange Online eingerichtet haben, stellen Sie eine Verbindung mit Exchange Online PowerShell her, und führen Sie dann das folgende Cmdlet aus:

Get-IRMConfiguration

Die Ausgabe dieses Cmdlets sollte in etwa wie folgt aussehen:

InternalLicensingEnabled                      : True

ExternalLicensingEnabled                      : True

AzureRMSLicensingEnabled                      : False

TransportDecryptionSetting                    : Optional

JournalReportDecryptionEnabled                : True

SimplifiedClientAccessEnabled                 : True

ClientAccessServerEnabled                     : True

SearchEnabled                                 : True

EDiscoverySuperUserEnabled                    : True

DecryptAttachmentFromPortal                   : False

DecryptAttachmentForEncryptOnly               : False

SystemCleanupPeriod                           : 0

SimplifiedClientAccessEncryptOnlyDisabled     : False

SimplifiedClientAccessDoNotForwardDisabled    : False

EnablePdfEncryption                           : False

AutomaticServiceUpdateEnabled                 : True

RMSOnlineKeySharingLocation                   :

RMSOnlineVersion                              :

ServiceLocation                               :

PublishingLocation                            :

LicensingLocation                             :

Wenn die Ausgabe zeigt, dass InternalLicensingEnabled auf True und AzureRMSLicensingEnabled auf False festgelegt ist, bedeutet dies, dass Sie möglicherweise von dieser Einstellung betroffen sind. In diesem Fall müssen Sie eine der Methoden verwenden, die im Abschnitt "Korrekturschritte" bereitgestellt werden.

Hinweis

Wenn Sie diese Konfiguration aktiviert haben, aber AD RMS nicht mehr in Ihrem organization verwenden, müssen Sie diese Schritte nicht ausführen. Es wird jedoch empfohlen, dies trotzdem zu tun, da möglicherweise geschützte Inhalte vorhanden sind, von denen Sie sich nicht bewusst sind und die in Ihrem organization verwendet werden.

Führen Sie das Cmdlet Get-RMSTrustedPublishingDomain aus, um weitere Informationen zu den AD RMS-Schlüsseln zu erhalten, die Sie in Exchange Online importiert haben. Dadurch werden alle vertrauenswürdigen Veröffentlichungsdomänen (Trusted Publishing Domains, TPDs) identifiziert, die in Exchange Online betroffen sind. TPDs werden zum Packen der AD RMS- und Azure RMS-Schlüssel verwendet.

Schritte zur Fehlerbehebung

Wenn Ihre organization von dieser Änderung betroffen ist, verwenden Sie je nach Bedarf eine der folgenden Korrekturmethoden.

Methode 1: Nichts tun

Wenn Ihr organization nicht häufig AD RMS verwendet, um E-Mail-Nachrichten zu schützen, oder wenn sie nur wenige Benutzer haben, die Postfächer in Exchange Online haben, sollte sich der durch diese Änderung verursachte Funktionsverlust nicht wesentlich auf Ihre organization auswirken. In diesem Fall können Sie entscheiden, keine Korrekturschritte zu ergreifen und die folgenden Konsequenzen zu akzeptieren:

• Benutzer mit Postfächern in Exchange Online können Outlook im Web oder Outlook für iOS und Android nicht mehr verwenden, um E-Mail-Nachrichten anzuzeigen, die durch AD RMS geschützt sind. Diese Benutzer können weiterhin geschützte Nachrichten im Outlook-Desktopclient unter Windows anzeigen.

• Benutzer mit Postfächern in Exchange Online können keinen Schutz mehr anwenden, indem sie AD RMS-Vorlagen oder die Funktion Nicht weiterleiten in Outlook im Web verwenden.

• Der Nachrichtenfluss in Exchange Online, die zum Schutz von E-Mail-Nachrichten mithilfe von AD RMS konfiguriert sind, ist nicht mehr wirksam.

• Funktionen, die die Entschlüsselung von AD RMS-geschützten E-Mail-Nachrichten in Exchange Online erfordern, können solche Nachrichten nicht mehr entschlüsseln. Diese Nachrichten werden in einem verschlüsselten Zustand belassen. Zu diesen Funktionen gehören eDiscovery, Journaling, Inspektion nach Transportregeln und Indizierung.

Methode 2: Verwenden Des AD RMS-Schlüssels

Importieren Sie Ihren AD RMS-Schlüssel in Azure RMS, und konfigurieren Sie Exchange Online so, dass dieser Schlüssel für die Verarbeitung geschützter Inhalte verwendet wird. Wenn Sie von dieser Änderung betroffen sind, haben Sie Ihren Schlüssel bereits aus AD RMS in Exchange Online importiert. Der Prozess zum Importieren Ihres AD RMS-Schlüssels in Azure RMS ist ähnlich, mit der Ausnahme, dass der Schlüssel an einen anderen Speicherort importiert wird.

Obwohl diese Korrekturschritte eine Teilmenge der Schritte darstellen, die für die Migration von AD RMS zu Azure RMS verwendet werden, ist es nicht erforderlich, dass Sie eine vollständige Migration von AD RMS zu Azure RMS abschließen. Diese Schritte ändern auch nicht die Clientumgebung oder die Schlüssel und Richtlinien, die in der Umgebung verwendet werden. Benutzer werden die Änderungen, die durch diese Schritte vorgenommen werden, nicht sehen und benötigen auch keine zusätzliche Schulung oder Bewusstseinsbildung. Nachdem Sie diese Schritte ausgeführt haben, verwenden Ihre Benutzer weiterhin AD RMS zum Schützen von Inhalten.

Gehen Sie wie folgt vor:

1. Exportieren Sie Ihre AD RMS TPD in Azure RMS. Die hierfür erforderlichen Schritte sind unter Migrationsphase 2 – serverseitige Konfiguration für AD RMS dokumentiert.

2. Konfigurieren Sie Azure RMS im schreibgeschützten Modus, indem Sie eine Onboardingsteuerungsrichtlinie einrichten, die alle Benutzer ausschließt.

   Dieser Schritt umfasst das Erstellen einer leeren Microsoft Entra Gruppe und das Zuweisen dieser Gruppe zur Onboardingsteuerungsrichtlinie, indem Sie das folgende PowerShell-Skript ausführen:

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "{Group’s GUID}"
   

   Weitere Informationen findest du unter "Schritt 2. Vorbereiten der Clientmigration" des Abschnitts Migrationsphase 1 – Vorbereitung.

3. Konfigurieren Sie Exchange Online so, dass der in Azure RMS gespeicherte Schlüssel zum Schutz verwendet wird, anstatt die Kopie des Schlüssels zu verwenden, der ursprünglich in den Exchange Online-Dienst importiert wurde. Führen Sie dazu den folgenden Befehl aus:

   $irmConfig = Get-IRMConfiguration
   
   $list = $irmConfig.LicensingLocation
   
   $list += "<Your Azure RMS URL>/_wmcs/licensing"
   
   Set-IRMConfiguration Set-IRMConfiguration -AzureRMSLicensing $True -LicensingLocation $list**
   

   Stellen Sie zum Ermitteln der Azure RMS-URL eine Verbindung mit Azure Information Protection PowerShell her, und führen Sie das folgende Cmdlet aus:

   Get-AipServiceConfiguration
   

4. Konfigurieren Sie die relevanten DNS SRV-Einträge, die auf Exchange Online verweisen. Bei den relevanten Datensätzen handelt es sich um Datensätze, für die Azure RMS über die erforderlichen Artefakte verfügt, um durch AD RMS geschützte Inhalte zu lizenzieren. Die erforderlichen DNS-Einträge werden in "Schritt 8. Konfigurieren der IRM-Integration für Exchange Online" des Abschnitts Migrationsphase 4– Unterstützen der Dienstkonfiguration.

Nachdem Sie diese Schritte ausgeführt haben, können alle Benutzer, die derzeit AD RMS verwenden, es weiterhin verwenden. Es gibt nur eine Änderung: Inhalte, die von Exchange Online Benutzern mithilfe von Outlook im Web oder einer Exchange Online Transportregel geschützt werden, werden stattdessen mit Azure RMS zusammen mit demselben Schlüssel verschlüsselt, der in AD RMS gespeichert ist und jetzt eine Azure RMS-URL in der Lizenz enthält. Dies bedeutet, dass Benutzer, die diese Inhalte nutzen, Anforderungen an Azure RMS stellen müssen, um Lizenzen zu erwerben. Diese Anforderungen werden automatisch von Outlook-Clients ohne negative Auswirkungen aufgrund der Onboarding-Steuerelemente verarbeitet, die Sie in Schritt 2 dieser Methode konfiguriert haben.

Hinweise:

• Wenn lokale Exchange-Server in der Umgebung vorhanden sind, die derzeit in AD RMS integriert sind, ist eine zusätzliche Konfiguration erforderlich, um sicherzustellen, dass diese Server Inhalte entschlüsseln können, die von Exchange Online Benutzern geschützt sind. Dieser Schritt enthält Umleitungen, die die Azure RMS-URLs auf die AD RMS-Cluster verweisen. Konfigurieren Sie die folgenden Registrierungswerte auf jedem Exchange-Server:

  [HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection]
  “https://[5241e6fb-b220-4cf6-9b95-8889a5b02b52.rms.na.aadrm.com]/_wmcs/licensing” = “https://[AD RMS Intranet Licensing URL]/_wmcs/licensing”
  

  Ersetzen Sie in diesem Registrierungsunterschlüssel die Werte zwischen den Klammern durch die Azure RMS-URL im Mandanten des organization und die AD RMS-Cluster-URL. Ausführliche Informationen zum Ermitteln dieser URL finden Sie in Schritt 3 dieser Methode.

• Wenn Anwendungen von Drittanbietern derzeit in der Umgebung verwendet werden, die zum Nutzen von AD RMS-geschützten E-Mail-Nachrichten integriert ist, müssen diese Anwendungen nach der Änderung überarbeitet werden. Diese Revision soll bestimmen, ob Aktionen erforderlich sind, um sicherzustellen, dass die Anwendungen weiterhin Nachrichten verarbeiten können, die durch Exchange Online geschützt sind.

Methode 3: Migrieren von AD RMS zu Azure RMS (bevorzugt)

Dies ist die bevorzugte Korrekturmethode für Kunden, die die erforderliche Zeit und Mühe investieren können. Diese Methode erfordert zwar einen erheblichen Aufwand und eine planung, maximiert aber die Vorteile, da die organization weiterhin die Funktionen von Azure Information Protection und Azure RMS nutzen können. Diese Funktionalität ist deutlich umfangreicher als die in AD RMS verfügbare.

Eine Anleitung zum Migrieren von AD RMS zu Azure RMS finden Sie unter Migrieren von AD RMS zu Azure Information Protection.

Hinweis

Wenn Sie die Schritte aus Methode 2 ausgeführt haben und methode 3 später ausführen möchten, können Sie dieselben Schritte überspringen, wenn Sie die vollständige Migration zu Azure RMS durchführen. Dies liegt daran, dass die Schritte der Methode 2 eine Teilmenge der Schritte für die vollständige Migration sind.