Поделиться через


Как перенести AD RMS в Azure RMS в Exchange Online

28 февраля 2021 г. корпорация Майкрософт прекратила поддержку определенной конфигурации для пользователей, у которых Exchange Online почтовых ящиков. Конфигурация позволяет этим пользователям просматривать и создавать содержимое, защищенное службами Active Directory Rights Management Services (AD RMS).

Влияние на клиентов

Если вы определили, что ваша организация затронута, необходимо выполнить действия, перечисленные в разделе "Действия по исправлению". В противном случае пользователи с почтовыми ящиками в Exchange Online больше не смогут просматривать или создавать сообщения электронной почты, защищенные с помощью AD RMS, через Outlook в Интернете или Outlook для iOS и Android. Пользователи по-прежнему смогут просматривать сообщения, защищенные AD RMS, с помощью классического клиента Microsoft Outlook в Windows.

Правила потока обработки почты в Exchange Online, настроенные для защиты сообщений с помощью AD RMS, также больше не будут действовать.

Другие функции, требующие расшифровки сообщений, защищенных AD RMS, в Exchange Online больше не будут расшифровывать такие сообщения. Эти сообщения останутся в зашифрованном состоянии. Такие функции включают обнаружение электронных данных, ведение журнала, проверку по правилам транспорта и индексирование.

Как определить, пострадали ли вы

Если ваша организация не использует AD RMS, эта проблема не влияет на вас, и вы можете спокойно игнорировать остальную часть статьи. Организации, использующие службы Azure Rights Management (Azure RMS) и Azure Information Protection, не затрагиваются.

Если ваша организация использует AD RMS, но вы не реализовали интеграцию AD RMS в Exchange Online путем импорта ключей AD RMS в Exchange Online, это изменение также не повлияет на вас.

Если у любого из ваших пользователей есть локальные Microsoft Exchange Server почтовые ящики, это изменение не повлияет на них.

Чтобы определить, настроена ли интеграция между AD RMS и Exchange Online, подключитесь к Exchange Online PowerShell, а затем выполните следующий командлет:

Get-IRMConfiguration

Выходные данные этого командлета должны выглядеть следующим образом:

InternalLicensingEnabled                      : True

ExternalLicensingEnabled                      : True

AzureRMSLicensingEnabled                      : False

TransportDecryptionSetting                    : Optional

JournalReportDecryptionEnabled                : True

SimplifiedClientAccessEnabled                 : True

ClientAccessServerEnabled                     : True

SearchEnabled                                 : True

EDiscoverySuperUserEnabled                    : True

DecryptAttachmentFromPortal                   : False

DecryptAttachmentForEncryptOnly               : False

SystemCleanupPeriod                           : 0

SimplifiedClientAccessEncryptOnlyDisabled     : False

SimplifiedClientAccessDoNotForwardDisabled    : False

EnablePdfEncryption                           : False

AutomaticServiceUpdateEnabled                 : True

RMSOnlineKeySharingLocation                   :

RMSOnlineVersion                              :

ServiceLocation                               :

PublishingLocation                            :

LicensingLocation                             :

Если в выходных данных показано, что параметр InternalLicensingEnabled имеет значение True , а для AzureRMSLicensingEnabled задано значение False, это означает, что эта устаревание может повлиять на вас. В этом случае необходимо использовать один из методов, указанных в разделе "Шаги по исправлению".

Примечание.

Если эта конфигурация включена, но вы больше не используете AD RMS в организации, вам не нужно выполнять эти действия. Однако рекомендуется по-прежнему делать это, так как в вашей организации может быть защищено содержимое, о чем вы не знаете.

Дополнительные сведения о ключах AD RMS, импортированных в Exchange Online, выполните командлет Get-RMSTrustedPublishingDomain. Это позволит определить все доверенные домены публикации (TPD), затронутые в Exchange Online. TPD используются для упаковки ключей AD RMS и Azure RMS.

Действия по исправлению

Если это изменение затрагивает вашу организацию, используйте один из следующих методов исправления, если это необходимо.

Метод 1. Ничего не делать

Если ваша организация не часто использует AD RMS для защиты сообщений электронной почты или у вас есть только несколько пользователей с почтовыми ящиками в Exchange Online, потеря функциональности, вызванная этим изменением, не должна существенно повлиять на вашу организацию. В этом случае можно не предпринимать никаких действий по исправлению и принять следующие последствия:

  • Пользователи с почтовыми ящиками в Exchange Online больше не смогут использовать Outlook в Интернете или Outlook для iOS и Android для просмотра сообщений электронной почты, защищенных AD RMS. Эти пользователи по-прежнему смогут просматривать защищенные сообщения в классическом клиенте Outlook в Windows.

  • Пользователи с почтовыми ящиками в Exchange Online больше не смогут применять защиту с помощью шаблонов AD RMS или с помощью функции "Не пересылать" в Outlook в Интернете.

  • Поток обработки почты в Exchange Online, настроенных для защиты сообщений электронной почты с помощью AD RMS, больше не будет действовать.

  • Функции, требующие расшифровки сообщений электронной почты, защищенных AD RMS, в Exchange Online больше не смогут расшифровывать такие сообщения. Эти сообщения останутся в зашифрованном состоянии. Такие функции включают обнаружение электронных данных, ведение журнала, проверку по правилам транспорта и индексирование.

Способ 2. Использование ключа AD RMS

Импортируйте ключ AD RMS в Azure RMS и настройте Exchange Online, чтобы использовать этот ключ для обработки защищенного содержимого. Если это изменение повлияло на вас, вы уже импортировали ключ из AD RMS в Exchange Online. Процесс импорта ключа AD RMS в Azure RMS аналогичен, за исключением того, что он включает импорт ключа в другое расположение.

Хотя эти шаги по исправлению являются подмножеством шагов, которые используются для миграции из AD RMS в Azure RMS, для них не требуется полная миграция из AD RMS в Azure RMS. Эти действия также не изменяют клиентскую среду или ключи и политики, используемые в этой среде. Пользователи не увидят изменения, внесенные этими шагами, и им не потребуется дополнительное обучение или осведомленность из-за них. После выполнения этих действий пользователи по-прежнему будут использовать AD RMS для защиты содержимого.

Выполните указанные ниже действия.

  1. Экспортируйте ad RMS TPD в Azure RMS. Шаги для этого описаны в разделе Этап миграции 2 — конфигурация на стороне сервера для AD RMS.

  2. Настройте Azure RMS в режиме только для чтения, настроив политику управления подключением, которая исключает всех пользователей.

    Этот шаг включает в себя создание пустой группы Microsoft Entra и назначение ее политике управления подключением путем выполнения следующего сценария PowerShell:

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "{Group’s GUID}"
    

    Дополнительные сведения см. в разделе Шаг 2. Подготовка к миграции клиента" в разделе Этап миграции 1 — подготовка.

  3. Настройте Exchange Online, чтобы использовать ключ, хранящийся в Azure RMS, для защиты, а не копию ключа, первоначально импортированную в службу Exchange Online. Для этого выполните следующую команду.

    $irmConfig = Get-IRMConfiguration
    
    $list = $irmConfig.LicensingLocation
    
    $list += "<Your Azure RMS URL>/_wmcs/licensing"
    
    Set-IRMConfiguration Set-IRMConfiguration -AzureRMSLicensing $True -LicensingLocation $list**
    

    Чтобы определить URL-адрес Azure RMS, подключитесь к Azure Information Protection PowerShell и выполните следующий командлет:

    Get-AipServiceConfiguration
    
  4. Настройте соответствующие записи SRV DNS, указывающие на Exchange Online. Соответствующие записи — это записи, для которых Azure RMS имеет необходимые артефакты, позволяющие лицензировать содержимое, защищенное AD RMS. Необходимые записи DNS рассматриваются на шаге 8. Настройка интеграции IRM для Exchange Online" раздела Этап миграции 4 — конфигурация вспомогательных служб.

После выполнения этих действий все пользователи, которые в настоящее время используют AD RMS, смогут продолжать использовать его. Будет только одно изменение: содержимое, защищенное Exchange Online пользователями с помощью Outlook в Интернете или правила транспорта Exchange Online, будет зашифровано с помощью Azure RMS вместе с тем же ключом, который хранится в AD RMS и который теперь имеет URL-адрес Azure RMS в своей лицензии. Это означает, что пользователи, использующие это содержимое, должны отправлять запросы в Azure RMS для получения лицензий. Эти запросы будут обрабатываться автоматически клиентами Outlook без каких-либо негативных последствий из-за элементов управления подключения, настроенных на шаге 2 этого метода.

Примечания.

  • Если в среде есть локальные серверы Exchange Server, которые в настоящее время интегрированы с AD RMS, требуется одна дополнительная конфигурация, чтобы убедиться, что эти серверы могут расшифровывать содержимое, защищенное Exchange Online пользователями. Этот шаг предоставляет перенаправления, указывающие URL-адреса Azure RMS на кластеры AD RMS. Настройте следующие значения реестра на каждом сервере Exchange Server:

    [HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection]
    “https://[5241e6fb-b220-4cf6-9b95-8889a5b02b52.rms.na.aadrm.com]/_wmcs/licensing” = “https://[AD RMS Intranet Licensing URL]/_wmcs/licensing”
    

    В этом подразделе реестра замените значения между квадратными скобками URL-адресом Azure RMS в клиенте организации и URL-адресом кластера AD RMS. Дополнительные сведения об определении этого URL-адреса см. в шаге 3 в этом методе.

  • Если какие-либо сторонние приложения в настоящее время используются в среде, интегрированной для использования сообщений электронной почты, защищенных AD RMS, эти приложения должны быть пересмотрены после внесения изменений. Эта редакция позволяет определить, необходимы ли какие-либо действия, чтобы убедиться, что приложения по-прежнему могут обрабатывать сообщения, защищенные Exchange Online.

Способ 3. Миграция AD RMS в Azure RMS (предпочтительно)

Это предпочтительный метод исправления для клиентов, которые могут потратить необходимое время и усилия. Хотя этот метод требует значительных усилий и планирования, он максимизирует преимущества, так как он позволяет организации продолжать использовать функции Azure Information Protection и Azure RMS. Эта функция значительно более обширна, чем в AD RMS.

Рекомендации по переходу с AD RMS на Azure RMS см. в статье Миграция из AD RMS в Azure Information Protection.

Примечание.

Если вы выполнили шаги из метода 2 и решили запустить метод 3 позже, эти же действия можно пропустить при выполнении полной миграции в Azure RMS. Это связано с тем, что шаги метода 2 являются подмножеством шагов для полной миграции.