Freigeben über


Für Office ist ein Update verfügbar, um Migrationen von AD RMS zu Azure RMS zu unterstützen.

Symptome

Wenn ein organization Active Directory Rights Management Services (AD RMS) bereitgestellt hat und zu Azure Information Protection migrieren möchte, umfasst der typische Migrationsprozess das Exportieren der Stammschlüssel aus dem AD RMS-Cluster und den Import in Azure RMS. Azure RMS ist ein Dienst, der Teil der Azure Information Protection-Plattform ist.

In einigen Fällen kann ein AD RMS-Cluster so konfiguriert werden, dass verhindert wird, dass die Schlüssel exportiert und in die Cloud importiert werden. Dieses Verhalten kann auftreten, wenn eine der folgenden Bedingungen zutrifft:

  • Die Schlüssel werden als nicht exportierbar gekennzeichnet und durch ein Hardwaresicherheitsmodul geschützt, das nicht direkt von Azure Information Protection unterstützt wird.
  • Der Schlüssel befindet sich in einem Hardwaresicherheitsmodul, für das die Operatorkarten oder andere Artefakte, die für den Schlüsselexport erforderlich sind, nicht verfügbar sind.

Lösung

Es ist ein Fix verfügbar, mit dem Office für MSIPC RMS-Clients weiterhin AD RMS verwenden können, um zuvor geschützte Inhalte zu nutzen, ohne die Möglichkeit zu gewähren, neue Inhalte mithilfe dieser Schlüssel zu schützen. Der Fix ermöglicht es den Clients, Inhalte mithilfe von Azure RMS zu schützen und zu nutzen.

Dieses Update ist über Microsoft Update verfügbar. Weitere Informationen finden Sie unter Windows Update: FAQ.

Dieser Fix ist für Microsoft Office 2013, Office 2016 und andere MSIPC-Anwendungen verfügbar, die mit dem MSIPC SDK 2.1 entwickelt wurden.

Das Update ist für die folgenden Versionen von Office verfügbar:

  • Office 2013 Version 15.0.4849.1000 oder höher
  • Office 2016 MSI Version 16.0.4496.1000 oder höher.
  • Office 2016 C2R Version 16.0.7407.1000 oder höher

Um AD RMS im schreibgeschützten Modus festzulegen, nachdem Sie den Fix auf Windows-Clients installiert haben, auf denen Office 2013, Office 2016 oder andere Anwendungen ausgeführt werden, die mit dem MSIPC SDK entwickelt wurden, müssen Sie den Zugriff auf die Seite Publish.asmx verweigern. Gehen Sie dazu wie folgt vor:

  1. Melden Sie sich bei jedem AD RMS-Server an, der von Benutzern zum Schützen von Inhalten verwendet wird: Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Internetinformationsdienste-Manager (IIS).

  2. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, vergewissern Sie sich, dass die angezeigte Aktion ihren Wünschen entspricht, und klicken Sie dann auf Weiter.

  3. Erweitern Sie den Domänenknoten, dann Websites, Standardwebsite und _wmcs.

    Hinweis Beachten Sie, dass Sie AD RMS möglicherweise auf einer anderen Website als der Standardwebsite installiert haben. Wenn dies der Fall ist, müssen Sie den obigen Pfad entsprechend anpassen.

  4. Klicken Sie mit der rechten Maustaste auf den Lizenzierungsordner, und klicken Sie dann auf Zur Inhaltsansicht wechseln.

  5. Klicken Sie mit der rechten Maustaste auf Publish.asmx, und klicken Sie dann auf Zur Ansicht Features wechseln.

  6. Doppelklicken Sie unter IIS auf Authentifizierung. Stellen Sie sicher, dass die anonyme Authentifizierung deaktiviert ist (beachten Sie, dass diese Authentifizierung die Zusammenarbeit mit anderen Unternehmen deaktiviert, die den Austausch von vertrauenswürdigen Benutzerdomänen verwenden).

  7. Klicken Sie erneut mit der rechten Maustaste auf das Lizenzierungsverzeichnis, und klicken Sie dann auf Zur Inhaltsansicht wechseln.

  8. Klicken Sie mit der rechten Maustaste auf Publish.asmx, und klicken Sie dann auf Berechtigungen bearbeiten.

  9. Klicken Sie im Bereich Sicherheit auf Bearbeiten und dann auf Hinzufügen.

  10. Geben Sie den Namen der Gruppe ein, die Sie daran hindern möchten, Inhalte mithilfe von AD RMS zu schützen, klicken Sie auf OK, und klicken Sie dann in der Spalte Verweigern auf Vollzugriff. Um allen Benutzern die Möglichkeit zu verweigern, Inhalte mit AD RMS zu schützen, verwenden Sie Jeder als Gruppe.

  11. Klicken Sie auf OK.

  12. Schließen Sie den IIS-Manager.

Sobald IIS auf diese Weise auf allen AD RMS-Knoten konfiguriert ist, können Sie mit der folgenden Aktion bestätigen, dass ein Client AD RMS im schreibgeschützten Modus verwenden kann:

  1. Beginnen Sie mit einem Client, der nicht für die Verwendung von AD RMS oder Azure RMS konfiguriert ist. Öffnen Sie Inhalte, die mithilfe von AD RMS geschützt wurden.
  2. Versuchen Sie als Nächstes, neue Inhalte zu schützen. Sie können diesen Vorgang nicht ausführen.

Ein Client, der für die Verwendung von Azure RMS konfiguriert wurde, kann auch Inhalte aus AD RMS nutzen, ohne die vorherige Konfiguration mit Azure RMS zu beeinträchtigen. Nachdem der Client Inhalte von AD RMS genutzt hat, wird er weiterhin Inhalte mithilfe von Azure RMS schützen.

Wenn Sie IIS als Teil des Prozesses zum Aufheben der Bereitstellung für AD RMS konfigurieren, sollten Sie auch die AD RMS-Konsole verwenden, um die Veröffentlichung des AD RMS-Dienstverbindungspunkts aufzuheben.

Weitere Informationen

Während einer typischen Migration von AD RMS zu Azure Information Protection wird der Stammschlüssel (bekannt als Server-Lizenzgeberzertifikat [SLC]) des AD RMS-Clusters, der zum Schützen von Inhalten verwendet wird, aus dem Cluster exportiert und in den Azure RMS-Dienstteil der Azure Information Protection-Plattform importiert. Windows-Clients werden dann so konfiguriert, dass Anforderungen für Lizenzen zum Öffnen von Inhalten, die durch den AD RMS-Cluster geschützt werden, an den Azure RMS-Dienst umgeleitet werden. RMS gibt dann die Lizenzen gemäß der Richtlinie im Dokument und anderen Artefakten aus, die es dem Client ermöglichen, AD RMS zum Schützen von Inhalten zu verwenden.

Unter diesen Artefakten erhalten Windows-Clients das Client-Lizenzgeberzertifikat (CLC), indem sie APIs aufrufen, die im AD RMS-Cluster unter Publish.asmx verfügbar sind. Sobald der CLC ausgestellt wurde, ermöglicht dieses Zertifikat dem Client den Schutz von Inhalten mithilfe von Schlüsseln, die dem SLC-Schlüssel des AD RMS-Clusters zugeordnet sind.

Durch Verweigern des Zugriffs auf diese APIs kann ein Client, auf dem dieser Fix installiert ist und für die Verwendung von Azure RMS konfiguriert ist, Inhalte von AD RMS nutzen, ohne einen CLC von AD RMS zu erhalten. Dadurch kann der Client weiterhin Azure RMS verwenden, um alle neuen Inhalte zu schützen, während der Zugriff auf inhalte, die zuvor mit AD RMS geschützt wurden, auch wenn der AD RMS-Schlüssel nicht in Azure RMS importiert wurde.

Dies ermöglicht ein schrittweises Auslaufen der AD RMS-Infrastruktur, da neue Inhalte mithilfe von Azure RMS geschützt werden, bis der durch AD RMS geschützte Inhalt durch die neuen Schlüssel in Azure RMS erneut geschützt wird oder nicht mehr relevant ist. Anschließend können der AD RMS-Cluster und sein SLC außer Betrieb genommen werden.

Benötigen Sie weitere Hilfe? Navigieren Sie zu Microsoft Community.