Подготовка среды для Rights Management Azure при наличии AD RMS

Важно!

Руководство по использованию службы Active Directory Rights Management (AD RMS)

Если служба Azure Rights Management активирована, и вы также используете AD RMS, это сочетание несовместимо. Без дополнительных действий некоторые компьютеры могут автоматически запускаться с помощью службы Azure Rights Management, а также подключаться к кластеру AD RMS. Этот сценарий не поддерживается и имеет ненадежные результаты, поэтому важно выполнить дополнительные действия.

Чтобы проверка, развернут ли ad RMS, выполните следующие действия.

  1. Хотя это необязательно, большинство развертываний AD RMS публикуют точку подключения службы (SCP) в Active Directory, чтобы доменные компьютеры могли обнаружить кластер AD RMS.

    Используйте команду ADSI Edit, чтобы узнать, опубликована ли служба SCP в Active Directory: CN=Configuration [server name], CN=Services, CN=RightsManagementServices, CN=SCP

  2. Если вы не используете SCP, компьютеры Windows, подключающиеся к кластеру AD RMS, должны быть настроены для обнаружения или перенаправления лицензий на стороне клиента с помощью реестра Windows. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocationHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\ServiceLocation

    Дополнительные сведения об этих конфигурациях реестра см. в статье "Включение обнаружения служб на стороне клиента" с помощью реестра Windows и перенаправления трафика сервера лицензирования.

Если служба AD RMS развернута для вашей организации, рассмотрите возможность миграции в Azure Information Protection. Azure Information Protection имеет множество преимуществ по сравнению с AD RMS. Например, улучшена поддержка мобильных устройств и интеграция со службами Microsoft 365, а также с Exchange Server и SharePoint Server. Дополнительные сведения см. в статье "Сравнение Azure Information Protection" и AD RMS.

При миграции в Azure Information Protection вы не потеряете доступ к ранее защищенному содержимому, и вам не нужно защищать или повторно защищать содержимое. Документы и сообщения электронной почты, защищенные AD RMS, по-прежнему могут быть открыты даже после отмены подготовки AD RMS.

Решите ли вы перенести службу Azure Information Protection или решили принять ограничения при использовании текущего развертывания AD RMS, сначала необходимо убедиться, что служба Azure Rights Management отключена. Чтобы получить инструкции, выполните действия по сценарию, который относится к вам:

Подписка была приобретена в течение или после февраля 2018 г.

К концу февраля 2018 г. новые подписки, включающие Azure Information Protection, теперь активируют службу Azure Rights Management по умолчанию. Если эта служба автоматически активируется для вас, и вы также используете службы Active Directory Rights Management (AD RMS), это сочетание не совместимо, поэтому важно отключить службу Azure Rights Management как можно скорее.

Шаг 1. Отключение Службы управления правами Azure

Используйте одну из следующих процедур для деактивации Azure Rights Management.

Совет

Для деактивации службы Azure Rights Management можно также использовать командлет Windows PowerShell Disable-AipService.

Отключение управления правами на Центр администрирования Microsoft 365

  1. Перейдите на страницу Управления правами для администраторов Microsoft 365.

    Если вам будет предложено войти, используйте учетную запись, которая является глобальным администратором Microsoft 365.

  2. На странице управления правами щелкните деактивацию.

  3. Когда появится запрос деактивации Rights Management? Нажмите кнопку "Деактивировать".

Теперь вы увидите, что служба Rights Management не активирована , и параметр для активации.

Отключение управления правами на портал Azure

  1. Если вы еще этого не сделали, откройте новое окно в браузере и войдите на портал Azure. Затем перейдите на панель Azure Information Protection .

    Например, в поле поиска ресурсов, служб и документации: начните вводить Сведения и выберите Azure Information Protection.

    Если вы еще не сделали доступ к области Azure Information Protection, ознакомьтесь с дополнительными инструкциями по добавлению этой области на портал.

  2. Выберите активацию защиты из параметров меню.

  3. На панели активации Azure Information Protection — Protection нажмите кнопку "Деактивировать". Нажмите кнопку "Да" , чтобы подтвердить свой выбор.

На панели сведений отображается завершение деактивации, а деактивация теперь заменена активацией.

Шаг 2. Планирование миграции

См. руководство по миграции: миграция с AD RMS в Azure Information Protection

Подписка была приобретена до или в феврале 2018 г. и у вас есть Exchange Online

Корпорация Майкрософт начинает активировать службу Azure Rights Management для подписок, включающих Azure Rights Management или Azure Information Protection, а клиенты используют Exchange Online. Для этих клиентов автоматическая активация начинается с 1 августа 2018 г.

Если служба активируется автоматически, и вы также используете AD RMS, это сочетание несовместимо, поэтому важно, чтобы клиент отказался от автоматического обновления службы.

Шаг 1. Отказ от автоматического обновления службы

Используйте следующую команду Set-IRMConfiguration Exchange Online PowerShell:Set-IRMConfiguration -AutomaticServiceUpdateEnabled $false

Дополнительные сведения

Шаг 2. Планирование миграции

См. руководство по миграции: миграция с AD RMS в Azure Information Protection

При настройке Azure Information Protection отображается параметр для активации защиты

В области активации Azure Information Protection — Protection есть возможность активировать службу Azure Rights Management.

Если вы также используете AD RMS, не выбирайте параметр "Активировать ". Если служба Azure Rights Management не активирована, вы по-прежнему можете использовать Azure Information Protection для меток, которые применяются только для классификации. Создается специальная политика по умолчанию, не содержащая защиту данных, а параметры конфигурации остаются недоступными до активации службы Azure Rights Management.

Шаг 1. Настройка политики Azure Information Protection для классификации и присвоения меток — без защиты

На панели меток Azure Information Protection просмотрите и настройте метки, которые не включают параметры защиты данных. Дополнительные сведения о настройке меток и параметров политики см. в разделе "Настройка политики Azure Information Protection".

Шаг 2. Планирование миграции

См. руководство по миграции: миграция с AD RMS в Azure Information Protection

Шаг 3. Настройка меток для защиты

После активации службы Azure Rights Management в рамках процесса миграции вы можете настроить метки для защиты. Однако при переносе пользователей в пакетах убедитесь, что метки, которые применяют защиту, область только для перенесенных пользователей.