Vorbereiten der Umgebung für Azure Rights Management, wenn Sie über AD RMS verfügen

  • Artikel

Wichtig

Anleitungen für die Verwendung von Active Directory Rights Management Services (AD RMS)

Wenn der Azure Rights Management-Dienst aktiviert ist und Sie auch AD RMS verwenden, ist diese Kombination nicht kompatibel. Ohne zusätzliche Schritte können einige Computer automatisch mit dem Azure Rights Management-Dienst beginnen und auch eine Verbindung mit Ihrem AD RMS-Cluster herstellen. Dieses Szenario wird nicht unterstützt und hat unzuverlässige Ergebnisse, daher ist es wichtig, dass Sie zusätzliche Schritte ausführen.

Zur Überprüfung, ob Sie AD RMS bereitgestellt haben:

  1. Obwohl optional, veröffentlichen die meisten AD RMS-Bereitstellungen den Dienstverbindungspunkt (Service Connection Point, SCP) in Active Directory, sodass Domänen-Computer den AD RMS-Cluster ermitteln können.

    Verwenden Sie ADSI-Bearbeitung, um festzustellen, ob Ein SCP in Active Directory veröffentlicht wurde: CN=Configuration [server name], CN=Services, CN=RightsManagementServices, CN=SCP

  2. Wenn Sie keine SCP verwenden, müssen Windows-Computer, die eine Verbindung mit einem AD RMS-Cluster herstellen, für die clientseitige Dienstermittlung oder Lizenzierungsumleitung mithilfe der Windows-Registrierung konfiguriert werden: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation oder HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\ServiceLocation

    Weitere Informationen zu diesen Registrierungskonfigurationen finden Sie unter Aktivieren der clientseitigen Dienstermittlung mithilfe der Windows-Registrierung und des Umleitungsserverdatenverkehrs.

Wenn AD RMS für Ihre Organisation bereitgestellt wird, überlegen Sie, ob Sie zu Azure Information Protection migrieren können. Azure Information Protection bietet gegenüber AD RMS viele Vorteile. Zum Beispiel eine bessere Unterstützung für mobile Geräte und die Integration mit Microsoft 365 Services sowie mit Exchange Server und SharePoint Server. Weitere Informationen finden Sie unter RMS für Einzelpersonen und Azure Information Protection.

Wenn Sie zu Azure Information Protection migrieren, verlieren Sie nicht den Zugriff auf zuvor geschützte Inhalte und müssen den Schutz nicht aufheben oder erneut schützen. Dokumente und E-Mails, die durch AD RMS geschützt waren, können auch dann noch geöffnet werden, wenn Sie die Bereitstellung von AD RMS deaktiviert haben.

Unabhängig davon, ob Sie zu Azure Information Protection migrieren oder die Einschränkungen bei der Verwendung Ihrer aktuellen AD RMS-Bereitstellung akzeptieren möchten, müssen Sie zuerst sicherstellen, dass der Azure Rights Management-Dienst deaktiviert ist. Befolgen Sie für Anweisungen die Schritte für das Szenario, das für Sie gilt:

Ihr Abonnement, das Azure Rights Management beinhaltet, wurde im oder nach Februar 2018 erworben

Ende Februar 2018 aktivieren neue Abonnements, die Azure Information Protection enthalten, den Azure Rights Management-Dienst standardmäßig. Wenn dieser Dienst automatisch für Sie aktiviert wird und Sie auch Active Directory Rights Management Services (AD RMS) verwenden, ist diese Kombination nicht kompatibel, daher ist es wichtig, dass Sie den Azure Rights Management-Dienst so schnell wie möglich deaktivieren.

Schritt 1: Deaktivieren von Azure Rights Management

Verwenden Sie eines der folgenden Verfahren, um den Schutzdienst, Azure Rights Management, zu deaktivieren.

Tipp

Sie können auch das Windows PowerShell-Cmdlet Disable-AipService verwenden, um den Azure Rights Management-Dienst zu deaktivieren.

So deaktivieren Sie die Rechteverwaltung im Microsoft 365 Admin Center

  1. Gehen Sie auf die Seite Rights Management für Microsoft 365-Administratoren.

    Wenn Sie aufgefordert werden, sich anzumelden, verwenden Sie ein Konto, das ein globaler Administrator für Microsoft 365 ist.

  2. Klicken Sie auf der Rechteverwaltungsseite auf Deaktivieren.

  3. Wenn die Aufforderung Möchten Sie Rights Management deaktivieren? angezeigt wird, klicken Sie auf Deaktivieren.

Nun sollte die Rechteverwaltung nicht aktiviert und die Option zum Aktivieren angezeigt werden.

Aktivieren von Azure Rights Management über das Azure-Portal

  1. Öffnen Sie ein neues Browserfenster, und melden Sie sich am Azure-Portal an, falls Sie dies nicht bereits getan haben. Navigieren Sie anschließend zum Bereich Azure Information Protection.

    Beispiel für das Suchfeld für Ressourcen, Dienste und Dokumente: Beginnen Sie mit der Eingabe von Information, und wählen Sie Azure Information Protection aus.

    Falls Sie zuvor noch nicht auf den Bereich „Azure Information Protection“ zugegriffen haben, helfen Ihnen die einmalig auszuführenden zusätzlichen Schritte weiter, um diesen Bereich dem Portal hinzuzufügen.

  2. Wählen Sie in den Menüoptionen Verwaltung die Option Schutzaktivierung.

  3. Wählen Sie im Bereich Azure Information Protection - Schutzaktivierung die Option Deaktivieren. Wählen Sie Ja, um Ihre Auswahl zu bestätigen.

In der Informationsleiste wird angezeigt , dass die Deaktivierung erfolgreich abgeschlossen wurde und Deaktivieren jetzt durch Aktivieren ersetzt wird.

Schritt 2: Beginnen mit der Planung für die Migration

Befolgen Sie die Anweisungen zur Migration unter Migrieren von AD RMS zu Azure Information Protection.

Ihr Abonnement wurde vor oder während Februar 2018 erworben, und Sie haben Exchange Online

Microsoft beginnt mit der Aktivierung des Azure Rights Management-Diensts für Abonnements, die Azure Rights Management oder Azure Information Protection enthalten, und die Mandanten verwenden Exchange Online. Für diese Mandanten beginnt die automatische Aktivierung mit dem Rollout vom 1. August 2018.

Wenn der Dienst automatisch für Sie aktiviert wird und Sie auch AD RMS verwenden, ist diese Kombination nicht kompatibel, daher ist es wichtig, dass Ihr Mandant vom automatischen Dienstupdate abgemeldet wird.

Schritt 1: Abmelden vom automatischen Dienstupdate

Verwenden Sie den folgenden Set-IRMConfiguration Exchange Online PowerShell-Befehl:Set-IRMConfiguration -AutomaticServiceUpdateEnabled $false

Weitere Informationen

Schritt 2: Beginnen mit der Planung für die Migration

Befolgen Sie die Anweisungen zur Migration unter Migrieren von AD RMS zu Azure Information Protection.

Eine Option zum Aktivieren des Schutzes wird angezeigt, wenn Sie Azure Information Protection konfigurieren.

Im Bereich Azure Information Protection - Protection activation (Azure Information Protection – Schutzaktivierung) wird eine Option zum Aktivieren des Azure Rights Management-Diensts angezeigt.

Wenn Sie auch AD RMS verwenden, wählen Sie nicht die Option Aktivieren aus. Wenn der Azure Rights Management-Dienst nicht aktiviert ist, können Sie dennoch Azure Information Protection für Bezeichnungen verwenden, die nur für die Klassifizierung gelten. Eine spezielle Standardrichtlinie wird für Sie erstellt, die keinen Schutz von Daten beinhaltet, und diese Konfigurationsoptionen sind bis zur Aktivierung des Azure Rights Management-Diensts nicht verfügbar.

Schritt 1: Konfigurieren der Azure Information Protection-Richtlinie für die Klassifizierung und Bezeichnung – ohne Schutz

Zeigen Sie im Bereich Azure Information Protection - Labels die Labels an, die keine Optionen für den Datenschutz enthalten, und konfigurieren Sie sie. Weitere Informationen zum Konfigurieren der Bezeichnungen und Richtlinieneinstellungen finden Sie unter Konfigurieren der Azure Information Protection-Richtlinie.

Schritt 2: Beginnen mit der Planung für die Migration

Befolgen Sie die Anweisungen zur Migration unter Migrieren von AD RMS zu Azure Information Protection.

Schritt 3: Beginnen mit dem Konfigurieren von Bezeichnungen für den Schutz

Nachdem Sie den Azure Rights Management-Dienst im Rahmen der Migration aktiviert haben, können Sie Bezeichnungen für den Schutz von Daten konfigurieren. Beim Migrieren von Benutzern in Batches müssen Sie jedoch sicherstellen, dass der Geltungsbereich von Bezeichnungen zum Anwenden von Schutz auf die migrierten Benutzer begrenzt ist.