Come eseguire la migrazione di AD RMS ad Azure RMS in Exchange Online

• Si applica a:

  Exchange Online

Il 28 febbraio 2021 Microsoft ha terminato il supporto per una configurazione specifica per gli utenti che hanno Exchange Online cassette postali. La configurazione consente a questi utenti di visualizzare e creare contenuto protetto da Active Directory Rights Management Services (AD RMS).

Effetto sui clienti

Se si determina che l'organizzazione è interessata, è necessario seguire i passaggi elencati nella sezione "Passaggi di correzione". In caso contrario, gli utenti che dispongono di cassette postali in Exchange Online non potranno più visualizzare o creare messaggi di posta elettronica protetti da AD RMS tramite Outlook sul web o Outlook per iOS e Android. Gli utenti potranno comunque visualizzare i messaggi protetti da AD RMS usando il client desktop di Microsoft Outlook in Windows.

Anche le regole del flusso di posta in Exchange Online configurate per proteggere i messaggi tramite AD RMS non saranno più valide.

Altre funzionalità che richiedono la decrittografia dei messaggi protetti da AD RMS in Exchange Online non decrittograferanno più tali messaggi. Tali messaggi verranno lasciati in stato crittografato. Tali funzionalità includono eDiscovery, il journaling, l'ispezione in base alle regole di trasporto e l'indicizzazione.

Come determinare se si è interessati

Se l'organizzazione non usa AD RMS, questo problema non influisce sull'utente ed è possibile ignorare in modo sicuro il resto dell'articolo. Le organizzazioni che usano Azure Rights Management Services (Azure RMS) e Azure Information Protection non sono interessate.

Se l'organizzazione usa AD RMS, ma non è stata implementata l'integrazione di AD RMS in Exchange Online importando le chiavi di AD RMS in Exchange Online, non si è interessati da questa modifica.

Se uno degli utenti dispone di cassette postali di Microsoft Exchange Server locali, non sarà interessato da questa modifica.

Per determinare se è stata configurata l'integrazione tra AD RMS e Exchange Online, connettersi a Exchange Online PowerShell ed eseguire il cmdlet seguente:

Get-IRMConfiguration

L'output di questo cmdlet dovrebbe essere simile al seguente:

InternalLicensingEnabled                      : True

ExternalLicensingEnabled                      : True

AzureRMSLicensingEnabled                      : False

TransportDecryptionSetting                    : Optional

JournalReportDecryptionEnabled                : True

SimplifiedClientAccessEnabled                 : True

ClientAccessServerEnabled                     : True

SearchEnabled                                 : True

EDiscoverySuperUserEnabled                    : True

DecryptAttachmentFromPortal                   : False

DecryptAttachmentForEncryptOnly               : False

SystemCleanupPeriod                           : 0

SimplifiedClientAccessEncryptOnlyDisabled     : False

SimplifiedClientAccessDoNotForwardDisabled    : False

EnablePdfEncryption                           : False

AutomaticServiceUpdateEnabled                 : True

RMSOnlineKeySharingLocation                   :

RMSOnlineVersion                              :

ServiceLocation                               :

PublishingLocation                            :

LicensingLocation                             :

Se l'output mostra che InternalLicensingEnabled è impostato su True e che AzureRMSLicensingEnabled è impostato su False, ciò significa che si è potenzialmente interessati da questa deprecazione. In questo caso, è necessario usare uno dei metodi forniti nella sezione "Passaggi di correzione".

Nota

Se questa configurazione è abilitata ma non si usa più AD RMS nell'organizzazione, non è necessario eseguire questi passaggi. Tuttavia, è consigliabile continuare a eseguire questa operazione perché potrebbe essere presente contenuto protetto che non si è a conoscenza dell'uso nell'organizzazione.

Per altre informazioni sulle chiavi di AD RMS importate in Exchange Online, eseguire il cmdlet Get-RMSTrustedPublishingDomain. Verranno identificati tutti i domini di pubblicazione attendibili interessati da Exchange Online. I TTPD vengono usati per creare il pacchetto delle chiavi AD RMS e Azure RMS.

Passaggi di correzione

Se l'organizzazione è interessata da questa modifica, usare uno dei metodi di correzione seguenti, in base alle esigenze.

Metodo 1: Non eseguire alcuna operazione

Se l'organizzazione non usa spesso AD RMS per proteggere i messaggi di posta elettronica o se sono presenti solo pochi utenti che dispongono di cassette postali in Exchange Online, la perdita di funzionalità causata da questa modifica non dovrebbe influire in modo significativo sull'organizzazione. In questo caso, è possibile scegliere di non eseguire alcuna procedura di correzione e accettare le conseguenze seguenti:

• Gli utenti che dispongono di cassette postali in Exchange Online non potranno più usare Outlook sul web o Outlook per iOS e Android per visualizzare i messaggi di posta elettronica protetti da AD RMS. Questi utenti continueranno a essere in grado di visualizzare i messaggi protetti nel client desktop di Outlook in Windows.

• Gli utenti che dispongono di cassette postali in Exchange Online non saranno più in grado di applicare la protezione usando i modelli di AD RMS o la funzionalità Non inoltrare in Outlook sul web.

• Il flusso di posta in Exchange Online configurati per proteggere i messaggi di posta elettronica tramite AD RMS non sarà più attivo.

• La funzionalità che richiede la decrittografia dei messaggi di posta elettronica protetti da AD RMS in Exchange Online non sarà più in grado di decrittografare tali messaggi. Tali messaggi verranno lasciati in uno stato crittografato. Tali funzionalità includono eDiscovery, il journaling, l'ispezione in base alle regole di trasporto e l'indicizzazione.

Metodo 2: usare la chiave AD RMS

Importare la chiave AD RMS in Azure RMS e configurare Exchange Online per usare tale chiave per gestire il contenuto protetto. Se si è interessati da questa modifica, la chiave è già stata importata da AD RMS a Exchange Online. Il processo per importare la chiave AD RMS in Azure RMS è simile, ad eccezione del fatto che comporta l'importazione della chiave in un percorso diverso.

Anche se questi passaggi di correzione sono un subset dei passaggi usati per eseguire la migrazione da AD RMS ad Azure RMS, non richiedono il completamento di una migrazione completa da AD RMS ad Azure RMS. Questi passaggi inoltre non modificano l'ambiente client o le chiavi e i criteri usati nell'ambiente. Gli utenti non vedranno le modifiche apportate da questi passaggi, né avranno bisogno di ulteriore formazione o consapevolezza a causa loro. Dopo aver eseguito questi passaggi, gli utenti continueranno a usare AD RMS per proteggere il contenuto.

Eseguire le operazioni seguenti:

1. Esportare il TPD di AD RMS in Azure RMS. I passaggi per eseguire questa operazione sono documentati nella fase di migrazione 2 - Configurazione lato server per AD RMS.

2. Configurare Azure RMS in modalità di sola lettura configurando un criterio di controllo di onboarding che esclude tutti gli utenti.

   Questo passaggio prevede la creazione di un gruppo di Microsoft Entra vuoto e l'assegnazione ai criteri di controllo di onboarding eseguendo lo script di PowerShell seguente:

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "{Group’s GUID}"
   

   Per altre informazioni, vedere il passaggio 2. Prepararsi per la migrazione client" della fase 1 della migrazione : preparazione.

3. Configurare Exchange Online per usare la chiave archiviata in Azure RMS per la protezione anziché usare la copia della chiave importata originariamente nel servizio Exchange Online. A tale scopo, utilizzare il seguente comando:

   $irmConfig = Get-IRMConfiguration
   
   $list = $irmConfig.LicensingLocation
   
   $list += "<Your Azure RMS URL>/_wmcs/licensing"
   
   Set-IRMConfiguration Set-IRMConfiguration -AzureRMSLicensing $True -LicensingLocation $list**
   

   Per determinare l'URL di Azure RMS, connettersi ad Azure Information Protection PowerShell ed eseguire il cmdlet seguente:

   Get-AipServiceConfiguration
   

4. Configurare i record SRV DNS pertinenti che puntano a Exchange Online. I record rilevanti sono quelli per i quali Azure RMS dispone degli artefatti necessari per consentire la licenza del contenuto protetto da AD RMS. I record DNS necessari sono descritti nel "Passaggio 8. Configurare l'integrazione IRM per Exchange Online" della fase di migrazione 4 - Configurazione dei servizi di supporto.

Dopo aver completato questi passaggi, tutti gli utenti che attualmente usano AD RMS possono continuare a usarlo. Verrà apportata una sola modifica: il contenuto protetto dagli utenti Exchange Online tramite Outlook sul web o una regola di trasporto Exchange Online verrà crittografato usando Azure RMS insieme alla stessa chiave archiviata in AD RMS e che ora include un URL di Azure RMS nella licenza. Ciò significa che gli utenti che usano questo contenuto devono inviare richieste ad Azure RMS per acquisire licenze. Tali richieste verranno gestite automaticamente dai client di Outlook senza effetti negativi a causa dei controlli di onboarding configurati nel passaggio 2 di questo metodo.

Note:

• Se nell'ambiente sono presenti server Exchange locali attualmente integrati con AD RMS, è necessaria una configurazione aggiuntiva per assicurarsi che questi server possano decrittografare il contenuto protetto dagli utenti Exchange Online. Questo passaggio fornisce reindirizzamenti che puntano gli URL di Azure RMS ai cluster AD RMS. Configurare i valori del Registro di sistema seguenti in ogni server Exchange:

  [HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection]
  “https://[5241e6fb-b220-4cf6-9b95-8889a5b02b52.rms.na.aadrm.com]/_wmcs/licensing” = “https://[AD RMS Intranet Licensing URL]/_wmcs/licensing”
  

  In questa sottochiave del Registro di sistema sostituire i valori tra le parentesi quadre con l'URL di Azure RMS nel tenant dell'organizzazione e l'URL del cluster AD RMS. Per informazioni dettagliate su come determinare questo URL, vedere il passaggio 3 di questo metodo.

• Se nell'ambiente sono attualmente in uso applicazioni di terze parti integrate per l'utilizzo di messaggi di posta elettronica protetti da AD RMS, queste applicazioni devono essere modificate dopo aver apportato la modifica. Questa revisione consiste nel determinare se sono necessarie azioni per assicurarsi che le applicazioni possano ancora elaborare i messaggi protetti da Exchange Online.

Metodo 3: Eseguire la migrazione di AD RMS ad Azure RMS (preferito)

Questo è il metodo di correzione preferito per i clienti che possono investire il tempo e l'impegno necessari. Anche se questo metodo richiede un notevole impegno e pianificazione, ottimizza i vantaggi perché consente all'organizzazione di continuare a usare le funzionalità di Azure Information Protection e Azure RMS. Questa funzionalità è molto più estesa di quella disponibile in AD RMS.

Per indicazioni sulla migrazione da AD RMS ad Azure RMS, vedere Migrazione da AD RMS ad Azure Information Protection.

Nota

Se sono stati eseguiti i passaggi del metodo 2 e si sceglie di eseguire il metodo 3 in un secondo momento, è possibile ignorare gli stessi passaggi quando si esegue la migrazione completa ad Azure RMS. Ciò è dovuto al fatto che i passaggi del metodo 2 sono un subset dei passaggi per la migrazione completa.