Migrera AD RMS till Azure RMS i Exchange Online

• Gäller för:

  Exchange Online

Den 28 februari 2021 avslutade Microsoft supporten för en specifik konfiguration för användare som har Exchange Online postlådor. Med konfigurationen kan dessa användare se och skapa innehåll som skyddas av Active Directory Rights Management Services (AD RMS).

Effekt på kunder

Om du fastställer att din organisation påverkas måste du följa stegen som visas i avsnittet "Reparationssteg". Annars kan användare som har postlådor i Exchange Online inte längre visa eller skapa e-postmeddelanden som skyddas av AD RMS via Outlook på webben eller Outlook för iOS och Android. Användarna kan fortfarande visa meddelanden som skyddas av AD RMS med hjälp av Microsoft Outlook-skrivbordsklienten i Windows.

E-postflödesregler i Exchange Online som är konfigurerade för att skydda meddelanden med hjälp av AD RMS gäller inte längre.

Andra funktioner som kräver dekryptering av AD RMS-skyddade meddelanden i Exchange Online dekrypterar inte längre sådana meddelanden. Dessa meddelanden lämnas i krypterat tillstånd. Sådana funktioner omfattar eDiscovery, journalföring, inspektion efter transportregler och indexering.

Så här avgör du om du påverkas

Om din organisation inte använder AD RMS påverkar det här problemet dig inte och du kan ignorera resten av artikeln på ett säkert sätt. Organisationer som använder Azure Rights Management Services (Azure RMS) och Azure Information Protection påverkas inte.

Om din organisation använder AD RMS, men du inte har implementerat integrering av AD RMS i Exchange Online genom att importera dina AD RMS-nycklar till Exchange Online, påverkas du inte heller av den här ändringen.

Om någon av dina användare har lokala Microsoft Exchange Server postlådor påverkas de inte av den här ändringen.

För att avgöra om du har konfigurerat integrering mellan AD RMS och Exchange Online ansluter du till Exchange Online PowerShell och kör sedan följande cmdlet:

Get-IRMConfiguration

Utdata för denna cmdlet bör likna följande:

InternalLicensingEnabled                      : True

ExternalLicensingEnabled                      : True

AzureRMSLicensingEnabled                      : False

TransportDecryptionSetting                    : Optional

JournalReportDecryptionEnabled                : True

SimplifiedClientAccessEnabled                 : True

ClientAccessServerEnabled                     : True

SearchEnabled                                 : True

EDiscoverySuperUserEnabled                    : True

DecryptAttachmentFromPortal                   : False

DecryptAttachmentForEncryptOnly               : False

SystemCleanupPeriod                           : 0

SimplifiedClientAccessEncryptOnlyDisabled     : False

SimplifiedClientAccessDoNotForwardDisabled    : False

EnablePdfEncryption                           : False

AutomaticServiceUpdateEnabled                 : True

RMSOnlineKeySharingLocation                   :

RMSOnlineVersion                              :

ServiceLocation                               :

PublishingLocation                            :

LicensingLocation                             :

Om utdata visar att InternalLicensingEnabled har angetts till True och att AzureRMSLicensingEnabled är inställt på False innebär det att du kan påverkas av utfasningen. I det här fallet måste du använda någon av metoderna som anges i avsnittet "Reparationssteg".

Obs!

Om du har den här konfigurationen aktiverad men inte längre använder AD RMS i din organisation behöver du inte köra de här stegen. Vi rekommenderar dock att du fortfarande gör detta eftersom det kan finnas skyddat innehåll som du inte känner till som används i din organisation.

Om du vill ha mer information om de AD RMS-nycklar som du har importerat till Exchange Online kör du cmdleten Get-RMSTrustedPublishingDomain. Då identifieras alla betrodda publiceringsdomäner (TPD) som påverkas i Exchange Online. TPD:er används för att paketera AD RMS- och Azure RMS-nycklarna.

Reparationssteg

Om din organisation påverkas av den här ändringen använder du någon av följande reparationsmetoder efter behov.

Metod 1: Gör ingenting

Om din organisation inte ofta använder AD RMS för att skydda e-postmeddelanden, eller om du bara har några få användare som har postlådor i Exchange Online, bör förlusten av funktioner som orsakas av den här ändringen inte påverka din organisation avsevärt. I det här fallet kan du välja att inte vidta några reparationsåtgärder och acceptera följande konsekvenser:

• Användare som har postlådor i Exchange Online kan inte längre använda Outlook på webben eller Outlook för iOS och Android för att visa e-postmeddelanden som skyddas av AD RMS. Dessa användare fortsätter att kunna visa skyddade meddelanden i Outlook-skrivbordsklienten i Windows.

• Användare som har postlådor i Exchange Online kommer inte längre att kunna tillämpa skydd med hjälp av AD RMS-mallar eller genom att använda funktionen Vidarebefordra inte i Outlook på webben.

• E-postflödet i Exchange Online som har konfigurerats för att skydda e-postmeddelanden med hjälp av AD RMS gäller inte längre.

• Funktioner som kräver dekryptering av AD RMS-skyddade e-postmeddelanden i Exchange Online kommer inte längre att kunna dekryptera sådana meddelanden. Dessa meddelanden lämnas i ett krypterat tillstånd. Sådana funktioner omfattar eDiscovery, journalföring, inspektion efter transportregler och indexering.

Metod 2: Använd din AD RMS-nyckel

Importera AD RMS-nyckeln till Azure RMS och konfigurera Exchange Online att använda den nyckeln för att hantera skyddat innehåll. Om du påverkas av den här ändringen har du redan importerat nyckeln från AD RMS till Exchange Online. Processen för att importera din AD RMS-nyckel till Azure RMS liknar den förutom att den omfattar import av nyckeln till en annan plats.

Även om de här reparationsstegen är en delmängd av de steg som används för att migrera från AD RMS till Azure RMS, kräver de inte att du slutför en fullständig migrering från AD RMS till Azure RMS. De här stegen ändrar inte heller klientmiljön eller de nycklar och principer som används i miljön. Användarna kommer inte att se de ändringar som görs av de här stegen, och de behöver inte heller någon ytterligare utbildning eller medvetenhet på grund av dem. När du har kört de här stegen använder användarna fortfarande AD RMS för att skydda innehåll.

Gör följande:

1. Exportera din AD RMS TPD till Azure RMS. Stegen för att göra detta dokumenteras i migreringsfas 2 – konfiguration på serversidan för AD RMS.

2. Konfigurera Azure RMS i skrivskyddat läge genom att konfigurera en registreringskontrollprincip som exkluderar alla användare.

   Det här steget omfattar att skapa en tom Microsoft Entra grupp och tilldela den till registreringskontrollprincipen genom att köra följande PowerShell-skript:

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "{Group’s GUID}"
   

   Mer information finns i "Steg 2. Förbered för klientmigrering" i migreringsfas 1 – förberedelse.

3. Konfigurera Exchange Online att använda nyckeln som lagras i Azure RMS för skydd i stället för att använda kopian av nyckeln som ursprungligen importerades till Exchange Online-tjänsten. Det gör du genom att köra följande kommando:

   $irmConfig = Get-IRMConfiguration
   
   $list = $irmConfig.LicensingLocation
   
   $list += "<Your Azure RMS URL>/_wmcs/licensing"
   
   Set-IRMConfiguration Set-IRMConfiguration -AzureRMSLicensing $True -LicensingLocation $list**
   

   För att fastställa Azure RMS-URL:en ansluter du till Azure Information Protection PowerShell och kör följande cmdlet:

   Get-AipServiceConfiguration
   

4. Konfigurera relevanta DNS SRV-poster som pekar på Exchange Online. Relevanta poster är de som Azure RMS har de artefakter som krävs för att göra det möjligt att licensiera innehåll som skyddas av AD RMS. De dns-poster som krävs beskrivs i "Steg 8. Konfigurera IRM-integrering för Exchange Online" i migreringsfas 4 – stöd för tjänstkonfiguration.

När du har slutfört de här stegen kan alla användare som för närvarande använder AD RMS fortsätta att använda det. Det sker bara en ändring: Innehåll som skyddas av Exchange Online användare med hjälp av Outlook på webben eller en Exchange Online transportregel krypteras i stället med hjälp av Azure RMS tillsammans med samma nyckel som lagras i AD RMS och som nu har en Azure RMS-URL i sin licens. Det innebär att användare som använder det här innehållet måste göra begäranden till Azure RMS för att hämta licenser. Dessa begäranden hanteras automatiskt av Outlook-klienter utan negativa effekter på grund av de onboarding-kontroller som du konfigurerade i steg 2 av den här metoden.

Kommentarer:

• Om det finns lokala Exchange-servrar i miljön som för närvarande är integrerade med AD RMS krävs ytterligare en konfiguration för att se till att dessa servrar kan dekryptera innehåll som skyddas av Exchange Online användare. Det här steget innehåller omdirigeringar som pekar Azure RMS-URL:erna till AD RMS-klustren. Konfigurera följande registervärden på varje Exchange-server:

  [HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection]
  “https://[5241e6fb-b220-4cf6-9b95-8889a5b02b52.rms.na.aadrm.com]/_wmcs/licensing” = “https://[AD RMS Intranet Licensing URL]/_wmcs/licensing”
  

  I den här registerundernyckeln ersätter du värdena mellan hakparenteserna med Azure RMS-URL:en i organisationens klientorganisation och AD RMS-kluster-URL:en. Se steg 3 i den här metoden för mer information om hur du fastställer den här URL:en.

• Om några program från tredje part för närvarande används i miljön som är integrerad för att använda AD RMS-skyddade e-postmeddelanden, måste dessa program ändras efter att ändringen har gjorts. Den här revisionen ska avgöra om några åtgärder är nödvändiga för att säkerställa att programmen fortfarande kan bearbeta meddelanden som skyddas av Exchange Online.

Metod 3: Migrera AD RMS till Azure RMS (rekommenderas)

Det här är den bästa reparationsmetoden för kunder som kan investera nödvändig tid och ansträngning. Även om den här metoden kräver mycket arbete och planering maximerar den fördelarna eftersom den gör att organisationen kan fortsätta att använda funktionerna i Azure Information Protection och Azure RMS. Den här funktionen är betydligt mer omfattande än den som är tillgänglig i AD RMS.

Information om hur du migrerar från AD RMS till Azure RMS finns i Migrera från AD RMS till Azure Information Protection.

Obs!

Om du har kört stegen från metod 2 och väljer att köra metod 3 senare kan du hoppa över samma steg när du utför den fullständiga migreringen till Azure RMS. Det beror på att metod 2-stegen är en delmängd av stegen för den fullständiga migreringen.