Compartir a través de


Hay una actualización disponible para Office para admitir migraciones de AD RMS a Azure RMS

Síntomas

Si una organización tiene implementado Active Directory Rights Management Services (AD RMS) y quiere migrar a Azure Information Protection, el proceso de migración típico implica exportar las claves raíz desde el clúster de AD RMS e importarlas a Azure RMS. Azure RMS es un servicio que forma parte de la plataforma azure Information Protection.

En algunos casos, un clúster de AD RMS se puede configurar de forma que impida que las claves se exporten e importen a la nube. Este comportamiento puede producirse si se cumple una de las condiciones siguientes:

  • Las claves se marcan como no exportables y están protegidas por un módulo de seguridad de hardware que no es compatible directamente con Azure Information Protection.
  • La clave está en un módulo de seguridad de hardware para el que las tarjetas de operador u otros artefactos necesarios para la exportación de claves no están disponibles.

Solución

Hay disponible una corrección que permite a los clientes de Office para MSIPC RMS seguir usando AD RMS para consumir contenido protegido anteriormente sin conceder la capacidad de proteger contenido nuevo mediante estas claves. La corrección permite a los clientes proteger y consumir contenido mediante Azure RMS.

Esta actualización está disponible en Microsoft Update. Para más información, consulte Windows Update: preguntas frecuentes.

Esta corrección está disponible para Microsoft Office 2013, Office 2016 y otras aplicaciones MSIPC desarrolladas mediante el SDK de MSIPC 2.1.

La actualización está disponible para las siguientes versiones de Office:

  • Office 2013, versión 15.0.4849.1000, o versiones posteriores
  • Office 2016 MSI versión 16.0.4496.1000 o versiones posteriores.
  • Office 2016 C2R versión 16.0.7407.1000 o versiones posteriores

Para establecer AD RMS en modo de solo lectura después de instalar la corrección en clientes Windows que ejecutan Office 2013, Office 2016 u otras aplicaciones desarrolladas mediante el SDK de MSIPC, debe denegar el acceso a la página Publish.asmx. Para ello, siga estos pasos:

  1. Inicie sesión en cada servidor de AD RMS que usen los usuarios para proteger el contenido: haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).

  2. Si aparece el cuadro de diálogo Control de cuentas de usuario , confirme que la acción mostrada es la que quiere y, a continuación, haga clic en Continuar.

  3. Expanda el nodo de dominio, expanda Sitios, sitio web predeterminadoy, a continuación, expanda _wmcs.

    Nota Tenga en cuenta que es posible que haya instalado AD RMS en un sitio web distinto del sitio web predeterminado. Si este es el caso, debe ajustar la ruta de acceso anterior en consecuencia.

  4. Haga clic con el botón derecho en la carpeta de licencias y, a continuación, haga clic en Cambiar a la vista de contenido.

  5. Haga clic con el botón derecho en Publish.asmx y, a continuación, haga clic en Cambiar a la vista características.

  6. En IIS, haga doble clic en Autenticación. Asegúrese de que la autenticación anónima está deshabilitada (tenga en cuenta que esta autenticación deshabilitará la colaboración con otras empresas que usan intercambios de dominio de usuario de confianza).

  7. Vuelva a hacer clic con el botón derecho en el directorio de licencias y, a continuación, haga clic en Cambiar a la vista de contenido.

  8. Haga clic con el botón derecho en Publish.asmx y, a continuación, haga clic en Editar permisos.

  9. En el panel Seguridad , haga clic en Editary, a continuación, haga clic en Agregar.

  10. Escriba el nombre del grupo que desea evitar para proteger el contenido mediante AD RMS, haga clic en Aceptary, a continuación, haga clic en Control total en la columna Denegar . Para denegar a todos los usuarios la capacidad de proteger el contenido con AD RMS, use Todos como grupo.

  11. Haga clic en Aceptar.

  12. Cierre el Administrador de IIS.

En cuanto IIS se configura de esta manera en todos los nodos de AD RMS, puede confirmar que un cliente puede usar AD RMS en modo de solo lectura mediante la siguiente acción:

  1. Comience con un cliente que no esté configurado para usar AD RMS o Azure RMS. Abra el contenido protegido mediante AD RMS.
  2. A continuación, intente proteger el nuevo contenido. No podrá realizar esta operación.

Un cliente configurado para usar Azure RMS también podrá consumir contenido de AD RMS sin afectar a su configuración anterior con Azure RMS. Después de que el cliente consuma contenido de AD RMS, seguirá protegiendo el contenido mediante Azure RMS.

Si configura IIS como parte del proceso de desaprovisionamiento de AD RMS, también debe usar la consola de AD RMS para anular la publicación del punto de conexión del servicio AD RMS.

Más información

Durante una migración típica de AD RMS a Azure Information Protection, la clave raíz (conocida como certificado de licenciante de servidor [SLC]) del clúster de AD RMS que se usa para proteger el contenido se exporta desde el clúster e se importa en la parte del servicio Azure RMS de la plataforma azure Information Protection. A continuación, los clientes de Windows están configurados para redirigir las solicitudes de licencias para abrir contenido protegido por el clúster de AD RMS al servicio Azure RMS. A continuación, RMS emite las licencias según la directiva del documento y otros artefactos que permiten al cliente usar AD RMS para proteger el contenido.

Entre estos artefactos, los clientes de Windows obtienen el certificado de licenciante de cliente (CLC) llamando a las API que están disponibles en Publish.asmx en el clúster de AD RMS. En cuanto se emite el CLC, este certificado permite al cliente proteger el contenido mediante claves asociadas a la clave SLC del clúster de AD RMS.

Al denegar el acceso a estas API, un cliente que tenga instalada esta corrección y que esté configurado para usar Azure RMS puede consumir contenido de AD RMS sin recibir un CLC de AD RMS. Esto permite al cliente seguir usando Azure RMS para proteger todo el contenido nuevo y mantener el acceso al contenido protegido anteriormente con AD RMS, incluso si la clave de AD RMS no se ha importado en Azure RMS.

Esto permite una eliminación gradual de la infraestructura de AD RMS porque el nuevo contenido está protegido mediante Azure RMS hasta que el contenido protegido por AD RMS se vuelve a proteger mediante las nuevas claves de Azure RMS o ya no es relevante. A continuación, se pueden retirar el clúster de AD RMS y su SLC.

¿Aún necesita ayuda? Visite Comunidad Microsoft.