Comment migrer AD RMS vers Azure RMS dans Exchange Online
Le 28 février 2021, Microsoft a mis fin à la prise en charge d’une configuration spécifique pour les utilisateurs qui ont Exchange Online boîtes aux lettres. La configuration permet à ces utilisateurs de voir et de créer du contenu protégé par Active Directory Rights Management Services (AD RMS).
Effet sur les clients
Si vous déterminez que votre organization est affecté, vous devez suivre les étapes répertoriées dans la section « Étapes de correction ». Sinon, les utilisateurs qui ont des boîtes aux lettres dans Exchange Online ne pourront plus afficher ou créer des messages électroniques protégés par AD RMS via Outlook sur le web ou Outlook pour iOS et Android. Les utilisateurs pourront toujours afficher les messages protégés par AD RMS à l’aide du client de bureau Microsoft Outlook sur Windows.
Les règles de flux de messagerie dans Exchange Online configurées pour protéger les messages à l’aide d’AD RMS ne seront plus appliquées.
D’autres fonctionnalités qui nécessitent le déchiffrement des messages protégés par AD RMS dans Exchange Online ne déchiffrent plus ces messages. Ces messages seront laissés à l’état chiffré. Ces fonctionnalités incluent eDiscovery, la journalisation, l’inspection par les règles de transport et l’indexation.
Comment déterminer si vous êtes affecté
Si votre organization n’utilise pas AD RMS, ce problème ne vous affecte pas et vous pouvez ignorer le reste de l’article en toute sécurité. Les organisations qui utilisent Azure Rights Management Services (Azure RMS) et Azure Information Protection ne sont pas affectées.
Si votre organization utilise AD RMS, mais que vous n’avez pas implémenté l’intégration d’AD RMS dans Exchange Online en important vos clés AD RMS dans Exchange Online, vous n’êtes pas non plus affecté par cette modification.
Si l’un de vos utilisateurs dispose de boîtes aux lettres Microsoft Exchange Server locales, il ne sera pas affecté par cette modification.
Pour déterminer si vous avez configuré l’intégration entre AD RMS et Exchange Online, connectez-vous à Exchange Online PowerShell, puis exécutez l’applet de commande suivante :
Get-IRMConfiguration
La sortie de cette applet de commande doit ressembler à ce qui suit :
InternalLicensingEnabled : True
ExternalLicensingEnabled : True
AzureRMSLicensingEnabled : False
TransportDecryptionSetting : Optional
JournalReportDecryptionEnabled : True
SimplifiedClientAccessEnabled : True
ClientAccessServerEnabled : True
SearchEnabled : True
EDiscoverySuperUserEnabled : True
DecryptAttachmentFromPortal : False
DecryptAttachmentForEncryptOnly : False
SystemCleanupPeriod : 0
SimplifiedClientAccessEncryptOnlyDisabled : False
SimplifiedClientAccessDoNotForwardDisabled : False
EnablePdfEncryption : False
AutomaticServiceUpdateEnabled : True
RMSOnlineKeySharingLocation :
RMSOnlineVersion :
ServiceLocation :
PublishingLocation :
LicensingLocation :
Si la sortie indique que InternalLicensingEnabled a la valeur True et qu’AzureRMSLicensingEnabled a la valeur False, cela signifie que vous êtes potentiellement affecté par cette dépréciation. Dans ce cas, vous devez utiliser l’une des méthodes fournies dans la section « Étapes de correction ».
Remarque
Si cette configuration est activée, mais que vous n’utilisez plus AD RMS dans votre organization, vous n’avez pas besoin d’exécuter ces étapes. Toutefois, nous vous recommandons de continuer à le faire, car il peut y avoir du contenu protégé que vous n’ignorez pas qui est utilisé dans votre organization.
Pour plus d’informations sur les clés AD RMS que vous avez importées dans Exchange Online, exécutez l’applet de commande Get-RMSTrustedPublishingDomain. Cela permet d’identifier tous les domaines de publication approuvés (TPD) qui sont affectés dans Exchange Online. Les TPD sont utilisés pour empaqueter les clés AD RMS et Azure RMS.
Procédure de correction
Si votre organization est affecté par cette modification, utilisez l’une des méthodes de correction suivantes, le cas échéant.
Méthode 1 : Ne rien faire
Si votre organization n’utilise pas fréquemment AD RMS pour protéger les messages électroniques, ou si vous n’avez que quelques utilisateurs qui ont des boîtes aux lettres dans Exchange Online, la perte de fonctionnalités provoquée par cette modification ne devrait pas affecter de manière significative votre organization. Dans ce cas, vous pouvez choisir de ne pas effectuer de mesures de correction et d’accepter les conséquences suivantes :
Les utilisateurs qui ont des boîtes aux lettres dans Exchange Online ne pourront plus utiliser Outlook sur le web ou Outlook pour iOS et Android pour afficher les messages électroniques protégés par AD RMS. Ces utilisateurs continueront à être en mesure d’afficher les messages protégés dans le client de bureau Outlook sur Windows.
Les utilisateurs qui ont des boîtes aux lettres dans Exchange Online ne pourront plus appliquer la protection à l’aide de modèles AD RMS ou de la fonctionnalité Ne pas transférer dans Outlook sur le web.
Le flux de messagerie dans les Exchange Online configurés pour protéger les e-mails à l’aide d’AD RMS ne sera plus en vigueur.
Les fonctionnalités qui nécessitent le déchiffrement des messages électroniques protégés par AD RMS dans Exchange Online ne pourront plus déchiffrer ces messages. Ces messages seront conservés dans un état chiffré. Ces fonctionnalités incluent eDiscovery, la journalisation, l’inspection par les règles de transport et l’indexation.
Méthode 2 : Utiliser votre clé AD RMS
Importez votre clé AD RMS dans Azure RMS et configurez Exchange Online pour utiliser cette clé pour gérer le contenu protégé. Si vous êtes affecté par cette modification, vous avez déjà importé votre clé d’AD RMS vers Exchange Online. Le processus d’importation de votre clé AD RMS dans Azure RMS est similaire, sauf qu’il implique l’importation de votre clé dans un autre emplacement.
Bien que ces étapes de correction soient un sous-ensemble des étapes utilisées pour migrer d’AD RMS vers Azure RMS, elles ne nécessitent pas que vous effectuez une migration complète d’AD RMS vers Azure RMS. Ces étapes ne modifient pas non plus l’environnement client ou les clés et stratégies utilisées dans l’environnement. Les utilisateurs ne verront pas les modifications apportées par ces étapes, et ils n’auront pas besoin d’une formation ou d’une sensibilisation supplémentaire en raison de ces modifications. Après avoir exécuté ces étapes, vos utilisateurs utilisent toujours AD RMS pour protéger le contenu.
Procédez comme suit :
Exportez votre TPD AD RMS vers Azure RMS. Les étapes à suivre sont décrites dans La phase de migration 2 - Configuration côté serveur pour AD RMS.
Configurez Azure RMS en mode lecture seule en configurant une stratégie de contrôle d’intégration qui exclut tous les utilisateurs.
Cette étape implique la création d’un groupe Microsoft Entra vide et son affectation à la stratégie de contrôle d’intégration en exécutant le script PowerShell suivant :
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "{Group’s GUID}"Pour plus d’informations, consultez « Étape 2. Préparer la migration du client » de la phase 1 de migration : préparation.
Configurez Exchange Online pour utiliser la clé stockée dans Azure RMS pour la protection au lieu d’utiliser la copie de la clé qui a été importée à l’origine dans le service Exchange Online. Pour ce faire, exécutez la commande suivante :
$irmConfig = Get-IRMConfiguration $list = $irmConfig.LicensingLocation $list += "<Your Azure RMS URL>/_wmcs/licensing" Set-IRMConfiguration Set-IRMConfiguration -AzureRMSLicensing $True -LicensingLocation $list**Pour déterminer l’URL Azure RMS, connectez-vous à Azure Information Protection PowerShell et exécutez l’applet de commande suivante :
Get-AipServiceConfigurationConfigurez les enregistrements DNS SRV appropriés qui pointent vers Exchange Online. Les enregistrements appropriés sont ceux pour lesquels Azure RMS dispose des artefacts nécessaires pour lui permettre de licencer du contenu protégé par AD RMS. Les enregistrements DNS requis sont décrits dans l’étape 8. Configurer l’intégration IRM pour Exchange Online » de la phase de migration 4 - Prise en charge de la configuration des services.
Une fois ces étapes terminées, tous les utilisateurs qui utilisent actuellement AD RMS peuvent continuer à l’utiliser. Il n’y aura qu’une seule modification : le contenu protégé par Exchange Online utilisateurs à l’aide de Outlook sur le web ou d’une règle de transport Exchange Online sera chiffré à l’aide d’Azure RMS avec la même clé stockée dans AD RMS et qui a désormais une URL Azure RMS dans sa licence. Cela signifie que les utilisateurs qui consomment ce contenu doivent demander à Azure RMS d’acquérir des licences. Ces demandes seront gérées automatiquement par les clients Outlook sans aucun effet négatif en raison des contrôles d’intégration que vous avez configurés à l’étape 2 de cette méthode.
Remarques :
S’il existe des serveurs Exchange locaux dans l’environnement qui sont actuellement intégrés à AD RMS, une configuration supplémentaire est nécessaire pour s’assurer que ces serveurs peuvent déchiffrer le contenu protégé par Exchange Online utilisateurs. Cette étape fournit des redirections qui pointent les URL Azure RMS vers les clusters AD RMS. Configurez les valeurs de Registre suivantes sur chaque serveur Exchange :
[HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection] “https://[5241e6fb-b220-4cf6-9b95-8889a5b02b52.rms.na.aadrm.com]/_wmcs/licensing” = “https://[AD RMS Intranet Licensing URL]/_wmcs/licensing”Dans cette sous-clé de Registre, remplacez les valeurs entre crochets par l’URL Azure RMS dans le locataire du organization et l’URL du cluster AD RMS. Pour plus d’informations sur la façon de déterminer cette URL, consultez l’étape 3 de cette méthode.
Si des applications tierces sont actuellement utilisées dans l’environnement intégré pour consommer des messages électroniques protégés par AD RMS, ces applications doivent être révisées après la modification. Cette révision vise à déterminer si des actions sont nécessaires pour s’assurer que les applications peuvent toujours traiter les messages protégés par Exchange Online.
Méthode 3 : Migrer AD RMS vers Azure RMS (par défaut)
Il s’agit de la méthode de correction recommandée pour les clients qui peuvent investir le temps et les efforts nécessaires. Bien que cette méthode nécessite des efforts et une planification considérables, elle optimise les avantages, car elle permet aux organization de continuer à utiliser les fonctionnalités d’Azure Information Protection et d’Azure RMS. Cette fonctionnalité est beaucoup plus étendue que celle disponible dans AD RMS.
Pour obtenir des conseils sur la migration d’AD RMS vers Azure RMS, consultez Migration d’AD RMS vers Azure Information Protection.
Remarque
Si vous avez exécuté les étapes de la méthode 2 et que vous choisissez d’exécuter la méthode 3 ultérieurement, vous pouvez ignorer ces mêmes étapes lorsque vous effectuez la migration complète vers Azure RMS. Cela est dû au fait que les étapes de la méthode 2 sont un sous-ensemble des étapes de la migration complète.