Migración de AD RMS a Azure RMS en Exchange Online

• Se aplica a:

  Exchange Online

El 28 de febrero de 2021, Microsoft finalizó la compatibilidad con una configuración específica para los usuarios que tienen Exchange Online buzones. La configuración permite a estos usuarios ver y crear contenido protegido por Active Directory Rights Management Services (AD RMS).

Efecto en los clientes

Si determina que su organización se ve afectada, debe seguir los pasos que aparecen en la sección "Pasos de corrección". De lo contrario, los usuarios que tengan buzones en Exchange Online ya no podrán ver ni crear mensajes de correo electrónico protegidos por AD RMS a través de Outlook en la Web o Outlook para iOS y Android. Los usuarios podrán ver los mensajes protegidos por AD RMS mediante el cliente de escritorio de Microsoft Outlook en Windows.

Las reglas de flujo de correo de Exchange Online que están configuradas para proteger los mensajes mediante AD RMS tampoco estarán en vigor.

Otras funciones que requieren el descifrado de mensajes protegidos por AD RMS en Exchange Online ya no descifrarán dichos mensajes. Esos mensajes se deberán dejar en estado cifrado. Esta funcionalidad incluye eDiscovery, registro en diario, inspección por reglas de transporte e indexación.

Cómo determinar si está afectado

Si su organización no usa AD RMS, este problema no le afecta y puede omitir de forma segura el resto del artículo. Las organizaciones que usan Azure Rights Management Services (Azure RMS) y Azure Information Protection no se ven afectadas.

Si su organización usa AD RMS, pero no ha implementado la integración de AD RMS en Exchange Online mediante la importación de las claves de AD RMS en Exchange Online, este cambio tampoco le afectará.

Si alguno de los usuarios tiene buzones de Microsoft Exchange Server locales, no se verán afectados por este cambio.

Para determinar si ha configurado la integración entre AD RMS y Exchange Online, conéctese a Exchange Online PowerShell y, a continuación, ejecute el siguiente cmdlet:

Get-IRMConfiguration

La salida de este cmdlet debe ser similar a la siguiente:

InternalLicensingEnabled                      : True

ExternalLicensingEnabled                      : True

AzureRMSLicensingEnabled                      : False

TransportDecryptionSetting                    : Optional

JournalReportDecryptionEnabled                : True

SimplifiedClientAccessEnabled                 : True

ClientAccessServerEnabled                     : True

SearchEnabled                                 : True

EDiscoverySuperUserEnabled                    : True

DecryptAttachmentFromPortal                   : False

DecryptAttachmentForEncryptOnly               : False

SystemCleanupPeriod                           : 0

SimplifiedClientAccessEncryptOnlyDisabled     : False

SimplifiedClientAccessDoNotForwardDisabled    : False

EnablePdfEncryption                           : False

AutomaticServiceUpdateEnabled                 : True

RMSOnlineKeySharingLocation                   :

RMSOnlineVersion                              :

ServiceLocation                               :

PublishingLocation                            :

LicensingLocation                             :

Si la salida muestra que InternalLicensingEnabled está establecido en True y que AzureRMSLicensingEnabled está establecido en False, esto significa que puede verse afectado por este desuso. En este caso, debe usar uno de los métodos que se proporcionan en la sección "Pasos de corrección".

Nota:

Si tiene habilitada esta configuración pero ya no usa AD RMS en su organización, no es necesario ejecutar estos pasos. Sin embargo, se recomienda seguir haciendo esto porque es posible que haya contenido protegido que no sea consciente de que está en uso en su organización.

Para obtener más información sobre las claves de AD RMS que importó en Exchange Online, ejecute el cmdlet Get-RMSTrustedPublishingDomain. Esto identificará todos los dominios de publicación de confianza (TPD) que se ven afectados en Exchange Online. Los TPD se usan para empaquetar las claves de AD RMS y Azure RMS.

Pasos de corrección

Si su organización se ve afectada por este cambio, use uno de los siguientes métodos de corrección, según corresponda.

Método 1: No hacer nada

Si su organización no usa con frecuencia AD RMS para proteger el mensaje de correo electrónico o si solo tiene unos pocos usuarios que tienen buzones en Exchange Online, la pérdida de funcionalidad causada por este cambio no debería afectar significativamente a su organización. En este caso, puede optar por no realizar ningún paso de corrección y aceptar las siguientes consecuencias:

• Los usuarios que tengan buzones en Exchange Online ya no podrán usar Outlook en la Web ni Outlook para iOS y Android para ver los mensajes de correo electrónico protegidos por AD RMS. Esos usuarios seguirán siendo capaces de ver mensajes protegidos en el cliente de escritorio de Outlook en Windows.

• Los usuarios que tengan buzones en Exchange Online ya no podrán aplicar protección mediante plantillas de AD RMS o mediante la característica No reenviar en Outlook en la Web.

• El flujo de correo en Exchange Online que están configurados para proteger los mensajes de correo electrónico mediante AD RMS ya no estará en vigor.

• La funcionalidad que requiere el descifrado de mensajes de correo electrónico protegidos por AD RMS en Exchange Online ya no podrá descifrar dichos mensajes. Esos mensajes se detendrán en un estado cifrado. Esta funcionalidad incluye eDiscovery, registro en diario, inspección por reglas de transporte e indexación.

Método 2: Uso de la clave de AD RMS

Importe la clave de AD RMS en Azure RMS y configure Exchange Online para usar esa clave para controlar el contenido protegido. Si se ve afectado por este cambio, ya ha importado la clave de AD RMS a Exchange Online. El proceso para importar la clave de AD RMS en Azure RMS es similar, salvo que implica la importación de la clave a otra ubicación.

Aunque estos pasos de corrección son un subconjunto de los pasos que se usan para migrar de AD RMS a Azure RMS, no requieren que complete una migración completa de AD RMS a Azure RMS. Estos pasos tampoco cambian el entorno de cliente ni las claves y directivas que se usan en el entorno. Los usuarios no verán los cambios realizados por estos pasos, ni necesitarán ningún entrenamiento o reconocimiento adicional debido a ellos. Después de ejecutar estos pasos, los usuarios seguirán usando AD RMS para proteger el contenido.

Haga lo siguiente:

1. Exporte el TPD de AD RMS a Azure RMS. Los pasos para hacerlo se documentan en Fase de migración 2: configuración del lado servidor para AD RMS.

2. Configure Azure RMS en modo de solo lectura mediante la configuración de una directiva de control de incorporación que excluya a todos los usuarios.

   Este paso implica crear un grupo de Microsoft Entra vacío y asignarlo a la directiva de control de incorporación mediante la ejecución del siguiente script de PowerShell:

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "{Group’s GUID}"
   

   Para obtener más información, consulte el "Paso 2. Preparación para la migración de clientes" de la fase de migración 1: preparación.

3. Configure Exchange Online para usar la clave almacenada en Azure RMS para la protección en lugar de usar la copia de la clave que se importó originalmente en el servicio Exchange Online. Para comprobarlo, ejecute el siguiente comando:

   $irmConfig = Get-IRMConfiguration
   
   $list = $irmConfig.LicensingLocation
   
   $list += "<Your Azure RMS URL>/_wmcs/licensing"
   
   Set-IRMConfiguration Set-IRMConfiguration -AzureRMSLicensing $True -LicensingLocation $list**
   

   Para determinar la dirección URL de Azure RMS, conéctese a Azure Information Protection PowerShell y ejecute el siguiente cmdlet:

   Get-AipServiceConfiguration
   

4. Configure los registros SRV de DNS pertinentes que apunten a Exchange Online. Los registros pertinentes son aquellos para los que Azure RMS tiene los artefactos necesarios para permitirle licenciar contenido protegido por AD RMS. Los registros DNS necesarios se describen en el "Paso 8. Configuración de la integración de IRM para Exchange Online" de la fase de migración 4: configuración de servicios auxiliares.

Después de completar estos pasos, todos los usuarios que actualmente usan AD RMS pueden seguir usándolo. Solo habrá un cambio: el contenido protegido por Exchange Online usuarios mediante Outlook en la Web o una regla de transporte de Exchange Online se cifrará en su lugar mediante Azure RMS junto con la misma clave que se almacena en AD RMS y que ahora tiene una dirección URL de Azure RMS en su licencia. Esto significa que los usuarios que consumen este contenido deben realizar solicitudes a Azure RMS para adquirir licencias. Esas solicitudes las controlarán automáticamente los clientes de Outlook sin ningún efecto adverso debido a los controles de incorporación que configuró en el paso 2 de este método.

Notas:

• Si hay servidores exchange locales en el entorno que están integrados actualmente con AD RMS, se requiere una configuración adicional para asegurarse de que estos servidores pueden descifrar el contenido protegido por Exchange Online usuarios. En este paso se proporcionan redireccionamientos que apuntan las direcciones URL de Azure RMS a los clústeres de AD RMS. Configure los siguientes valores del Registro en cada servidor exchange:

  [HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection]
  “https://[5241e6fb-b220-4cf6-9b95-8889a5b02b52.rms.na.aadrm.com]/_wmcs/licensing” = “https://[AD RMS Intranet Licensing URL]/_wmcs/licensing”
  

  En esta subclave del Registro, reemplace los valores entre corchetes por la dirección URL de Azure RMS en el inquilino de la organización y la dirección URL del clúster de AD RMS. Consulte el paso 3 de este método para obtener más información sobre cómo determinar esta dirección URL.

• Si hay aplicaciones de terceros actualmente en uso en el entorno integrado para consumir mensajes de correo electrónico protegidos por AD RMS, estas aplicaciones deben revisarse una vez realizado el cambio. Esta revisión consiste en determinar si es necesario realizar alguna acción para asegurarse de que las aplicaciones todavía pueden procesar mensajes protegidos por Exchange Online.

Método 3: Migración de AD RMS a Azure RMS (preferido)

Este es el método de corrección preferido para los clientes que pueden invertir el tiempo y el esfuerzo necesarios. Aunque este método requiere un esfuerzo y un planeamiento considerables, maximiza las ventajas porque permite a la organización seguir usando la funcionalidad de Azure Information Protection y Azure RMS. Esta funcionalidad es significativamente más amplia que la disponible en AD RMS.

Para obtener instrucciones para migrar de AD RMS a Azure RMS, consulte Migración de AD RMS a Azure Information Protection.

Nota:

Si ha ejecutado los pasos del Método 2 y decide ejecutar el Método 3 más adelante, puede omitir esos mismos pasos al realizar la migración completa a Azure RMS. Esto se debe a que los pasos del método 2 son un subconjunto de los pasos para la migración completa.