为以前版本的消息加密设置 Azure Rights Management
本主题介绍激活和设置 Azure Rights Management (RMS) (Azure 信息保护的一部分)所需的步骤,以便与以前版本的 Office 365 消息加密 (OME) 配合使用。
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
本文仅适用于以前版本的 OME
如果尚未将组织移动到 Microsoft Purview 邮件加密,但已部署 OME,则本文中的信息适用于你的组织。 Microsoft 建议在组织合理时立即制定迁移到 Microsoft Purview 邮件加密 的计划。 有关说明,请参阅设置Microsoft Purview 邮件加密。 如果想要先了解有关新功能工作原理的详细信息,请参阅 消息加密。 本文的其余部分介绍了发布Microsoft Purview 邮件加密之前的 OME 行为。
使用以前版本的 Office 365 消息加密的先决条件
Office 365消息加密 (OME) (包括 IRM)依赖于 Azure Rights Management (Azure RMS) 。 Azure RMS 是 Azure 信息保护 使用的保护技术。 若要使用 OME,组织必须包含Exchange Online或Exchange Online Protection订阅,而该订阅又包括 Azure Rights Management 订阅。
如果不确定订阅包含的内容,请参阅消息策略、恢复和符合性Exchange Online服务说明。
如果你有 Azure Rights Management,但未针对Exchange Online或Exchange Online Protection进行设置,本文将介绍如何激活 Azure Rights Management,然后介绍了设置 OME 以使用 Azure Rights Management 的最佳方法。
如果已将 OME 设置为使用适用于 Exchange Online 或 Exchange Online Protection 的 Azure Rights Management,则根据设置方式,可以立即开始使用 OME 及其新功能。 本文介绍如何确定是否已正确设置 OME、需要更改设置时该怎么办,以及选择不更改设置时会发生什么情况。 例如,若要使用新功能,必须将 Azure RMS 与 OME 配合使用。 不能将新功能与 本地 Active Directory RMS 配合使用。
在 Office 365 中为以前版本的 OME 激活 Azure Rights Management
需要激活 Azure Rights Management,以便组织中的用户能够对其发送的消息应用信息保护,并打开受 Azure Rights Management 服务保护的邮件和文件。 有关说明,请参阅 激活 Azure Rights Management。 完成激活后,返回此处并继续执行本文中的任务。
通过导入受信任的发布域 (TPD) 设置早期版本的 OME 以使用 Azure RMS
TPD 是一个 XML 文件,其中包含有关组织的权限管理设置的信息。 例如,TPD 包含有关服务器许可方证书 (SLC) 用于签名和加密证书和许可证的信息、用于许可和发布的 URL 等。 使用 PowerShell 将 TPD 导入组织。
重要
以前,可以选择将 TPD 从 Active Directory Rights Management 服务 (AD RMS) 导入到组织中。 但是,这样做会阻止你使用 Microsoft Purview 邮件加密,不建议这样做。 如果组织当前以这种方式进行配置,Microsoft 建议你创建一个计划,从本地 Active Directory RMS 迁移到基于云的 Azure 信息保护。 有关详细信息,请参阅从 AD RMS 迁移到 Azure 信息保护。 在完成到 Azure 信息保护 的迁移之前,将无法使用 Microsoft Purview 邮件加密。
若要从 Azure RMS 导入 TPD, (弃用) :
选择与组织的地理位置对应的密钥共享 URL:
位置 密钥共享位置 URL 北美 https://sp-rms.na.aadrm.com/TenantManagement/ServicePartner.svc 欧盟 https://sp-rms.eu.aadrm.com/TenantManagement/ServicePartner.svc 亚洲 https://sp-rms.ap.aadrm.com/TenantManagement/ServicePartner.svc 南美洲 https://sp-rms.sa.aadrm.com/TenantManagement/ServicePartner.svc 政府用 Office 365(政府社区云)
此 RMS 密钥共享位置是为购买政府 SKU Office 365的客户保留的。https://sp-rms.govus.aadrm.com/TenantManagement/ServicePartner.svc 通过运行 Set-IRMConfiguration cmdlet 配置密钥共享位置,如下所示:
Set-IRMConfiguration -RMSOnlineKeySharingLocation "<RMSKeySharingURL >"例如,若要配置密钥共享位置(如果组织位于 北美):
Set-IRMConfiguration -RMSOnlineKeySharingLocation "https://sp-rms.na.aadrm.com/TenantManagement/ServicePartner.svc"使用 -RMSOnline 开关运行 Import-RMSTrustedPublishingDomain cmdlet,以从 Azure Rights Management 导入 TPD:
Import-RMSTrustedPublishingDomain -RMSOnline -Name "<TPDName> "其中 TPDName 是要用于 TPD 的名称。 例如,“Contoso North American TPD”。
若要验证是否已成功将组织配置为使用 Azure Rights Management 服务,请使用 -RMSOnline 开关运行 Test-IRMConfiguration cmdlet,如下所示:
Test-IRMConfiguration -RMSOnline除其他事项外,此 cmdlet 会检查与 Azure Rights Management 服务的连接、下载 TPD 并检查其有效性。
运行 Set-IRMConfiguration cmdlet,如下所示,禁用 Azure Rights Management 模板在 Outlook 网页版 和 Outlook 中可用:
Set-IRMConfiguration -ClientAccessServerEnabled $false运行 Set-IRMConfiguration cmdlet,如下所示,为基于云的电子邮件组织启用 Azure Rights Management,并将其配置为使用 Azure Rights Management 进行Office 365邮件加密:
Set-IRMConfiguration -InternalLicensingEnabled $true若要验证是否已成功导入 TPD 并启用 Azure Rights Management,请使用 Test-IRMConfiguration cmdlet 测试 Azure Rights Management 功能。 有关详细信息,请参阅 Test-IRMConfiguration 中的"示例 1"。
我已使用 Active Directory Rights Management(而不是 Azure 信息保护)设置了以前版本的 OME,该怎么办?
可以继续使用现有的Office 365邮件加密邮件流规则和 Active Directory Rights Management,但无法配置或使用Microsoft Purview 邮件加密。 相反,需要迁移到 Azure 信息保护。 有关迁移及其对组织的意义的信息,请参阅从 AD RMS 迁移到 Azure 信息保护。
后续步骤
完成 Azure Rights Management 设置后,如果要启用Microsoft Purview 邮件加密,请参阅设置Microsoft Purview 邮件加密。
将组织设置为使用Microsoft Purview 邮件加密后,即可定义邮件流规则。