共用方式為

如何在 Exchange Online 中將 AD RMS 移轉至 Azure RMS

  • 發行項
  • 適用於:
    Exchange Online

在 2021 年 2 月 28 日,Microsoft 已終止對具有信箱 Exchange Online 使用者的特定設定支援。 此設定可讓這些使用者查看及建立受 Active Directory Rights Management Services 保護的內容, (AD RMS) 。

對客戶的影響

如果您判斷您的組織受到影響,您必須遵循一節中所列的步驟。 否則,在 Exchange Online 中具有信箱的使用者將無法再透過 Outlook 網頁版 或 iOS 和 Android 版 Outlook 檢視或建立受 AD RMS 保護的電子郵件訊息。 使用者仍然可以使用 Windows 上的 Microsoft Outlook 桌面用戶端來檢視受 AD RMS 保護的訊息。

Exchange Online 中設定為使用AD RMS保護郵件的郵件流程規則也不再有效。

需要解密 Exchange Online 中受 AD RMS 保護之訊息的其他功能將不再解密這類訊息。 這些訊息會保持加密狀態。 這類功能包括電子檔探索、日誌記錄、傳輸規則的檢查,以及編製索引。

如何判斷您是否受到影響

如果您的組織未使用 AD RMS,此問題不會影響您,而且您可以放心地忽略文章的其餘部分。 使用 Azure Rights Management Services (Azure RMS) 和 Azure 資訊保護 的組織不會受到影響。

如果您的組織使用 AD RMS,但您尚未藉由將 AD RMS 金鑰匯入 Exchange Online,在 Exchange Online 中實作 AD RMS 整合,您也不會受到這項變更的影響。

如果您的任何使用者有內部部署 Microsoft Exchange Server 信箱,則不會受到這項變更影響。

若要判斷您是否已設定 AD RMS 與 Exchange Online 之間的整合,請連線到 Exchange Online PowerShell,然後執行下列 Cmdlet:

Get-IRMConfiguration

此 Cmdlet 的輸出應該如下所示:

InternalLicensingEnabled                      : True

ExternalLicensingEnabled                      : True

AzureRMSLicensingEnabled                      : False

TransportDecryptionSetting                    : Optional

JournalReportDecryptionEnabled                : True

SimplifiedClientAccessEnabled                 : True

ClientAccessServerEnabled                     : True

SearchEnabled                                 : True

EDiscoverySuperUserEnabled                    : True

DecryptAttachmentFromPortal                   : False

DecryptAttachmentForEncryptOnly               : False

SystemCleanupPeriod                           : 0

SimplifiedClientAccessEncryptOnlyDisabled     : False

SimplifiedClientAccessDoNotForwardDisabled    : False

EnablePdfEncryption                           : False

AutomaticServiceUpdateEnabled                 : True

RMSOnlineKeySharingLocation                   :

RMSOnlineVersion                              :

ServiceLocation                               :

PublishingLocation                            :

LicensingLocation                             :

如果輸出顯示 InternalLicensingEnabled 設定為 True ,且 AzureRMSLicensingEnabled 設定為 False,這表示您可能受到此淘汰的影響。 在此情況下,您必須使用一節中提供的其中一個方法。

注意事項

如果您已啟用此設定,但已不再在組織中使用AD RMS,則不需要執行這些步驟。 不過,我們建議您仍這樣做,因為可能有您不知道組織中正在使用的受保護內容。

如需您匯入 Exchange Online 之 AD RMS 金鑰的詳細資訊,請執行 Get-RMSTrustedPublishingDomain Cmdlet。 這會識別在 Exchange Online 中受影響的所有受信任發行網域 (TPD) 。 TPD 可用來封裝 AD RMS 和 Azure RMS 密鑰。

補救步驟

如果您的組織受到這項變更的影響,請視需要使用下列其中一種補救方法。

方法 1:不執行任何動作

如果您的組織不常使用AD RMS來保護電子郵件訊息,或如果您只有少數使用者 Exchange Online 信箱,則此變更所造成的功能遺失應該不會對您的組織造成重大影響。 在此情況下,您可以選擇不採取任何補救步驟,並接受下列結果:

  • 在 Exchange Online 中具有信箱的使用者將無法再使用 Outlook 網頁版 或 iOS 版 Outlook 和 Android 來檢視受 AD RMS 保護的電子郵件訊息。 這些使用者將能繼續在 Windows 上的 Outlook 桌面用戶端中檢視受保護的訊息。

  • 在 Exchange Online 中具有信箱的使用者將無法再使用 AD RMS 範本或在 Outlook 網頁版 中使用 [不可轉寄] 功能來套用保護。

  • 設定為使用AD RMS保護電子郵件訊息的 Exchange Online中的郵件流程將不再有效。

  • 需要解密 Exchange Online 中受 AD RMS 保護之電子郵件訊息的功能,將無法再解密這類郵件。 這些訊息會保持加密狀態。 這類功能包括電子檔探索、日誌記錄、傳輸規則的檢查,以及編製索引。

方法 2:使用 AD RMS 金鑰

將AD RMS 金鑰匯入 Azure RMS,並設定 Exchange Online 使用該金鑰來處理受保護的內容。 如果您受到這項變更的影響,則您已將密鑰從 AD RMS 匯入至 Exchange Online。 將AD RMS 金鑰匯入 Azure RMS 的程式很類似,不同之處在於它牽涉到將您的密鑰匯入至不同的位置。

雖然這些補救步驟是用來從 AD RMS 移轉至 Azure RMS 的步驟子集,但不需要您完成從 AD RMS 到 Azure RMS 的完整移轉。 這些步驟也不會變更客戶端環境或環境中使用的金鑰和原則。 使用者不會看到這些步驟所做的變更,也不會因為這些變更而需要額外的訓練或認知。 執行這些步驟之後,您的使用者仍會使用AD RMS來保護內容。

請執行下列動作:

  1. 將 AD RMS TPD 導出至 Azure RMS。 執行此動作的步驟記載於移轉 階段 2 - AD RMS 的伺服器端設定

  2. 設定排除所有用戶的上線控制原則,以只讀模式設定 Azure RMS。

    此步驟牽涉到建立空白 Microsoft Entra 群組,並藉由執行下列 PowerShell 腳本,將它指派給上線控制原則:

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "{Group’s GUID}"

    For more information, see the “Step 2. Prepare for client migration” section of Migration phase 1 – preparation.

  3. 設定 Exchange Online 使用儲存在 Azure RMS 中的金鑰進行保護,而不是使用原先匯入至 Exchange Online 服務的金鑰複本。 若要執行此動作,請執行下列命令:

    $irmConfig = Get-IRMConfiguration

$list = $irmConfig.LicensingLocation

$list += "<Your Azure RMS URL>/_wmcs/licensing"

Set-IRMConfiguration Set-IRMConfiguration -AzureRMSLicensing $True -LicensingLocation $list**

    若要判斷 Azure RMS URL,請連線到 Azure 資訊保護 PowerShell,然後執行下列 Cmdlet:

    Get-AipServiceConfiguration

  4. 設定指向 Exchange Online的相關 DNS SRV 記錄。 相關記錄是 Azure RMS 具有必要成品的記錄,可讓其授權受 AD RMS 保護的內容。 必要的 DNS 記錄會在「步驟 8」中討論。設定移轉階段 4 - 支援服務組態中 Exchange Online 的 IRM 整合」 區段

完成這些步驟之後,目前使用AD RMS的所有使用者都可以繼續使用。 只會有一項變更:使用 Outlook 網頁版 或 Exchange Online 傳輸規則來保護 Exchange Online 使用者的內容,會改為使用 Azure RMS 搭配儲存在 AD RMS 中的相同金鑰來加密,而且現在其授權中有 Azure RMS URL。 這表示取用此內容的用戶必須向 Azure RMS 提出要求,才能取得授權。 由於您在此方法的步驟 2 中設定了上線控件,因此 Outlook 用戶端會自動處理這些要求,而不會造成任何不良影響。

注意:

  • 如果環境中有目前與 AD RMS 整合的內部部署 Exchange 伺服器,則需要另外進行一項設定,以確保這些伺服器可以解密 Exchange Online 使用者所保護的內容。 此步驟提供將 Azure RMS URL 指向 AD RMS 叢集的重新導向。 在每部 Exchange 伺服器上設定下列登入值:

    [HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection]
“https://[5241e6fb-b220-4cf6-9b95-8889a5b02b52.rms.na.aadrm.com]/_wmcs/licensing” = “https://[AD RMS Intranet Licensing URL]/_wmcs/licensing”

    在此登錄子機碼中,將括弧之間的值取代為組織租使用者中的 Azure RMS URL 和 AD RMS 叢集 URL。 如需如何判斷此 URL 的詳細資訊,請參閱此方法中的步驟 3。

  • 如果任何第三方應用程式目前正在整合的環境中使用,以取用受 AD RMS 保護的電子郵件訊息,則在進行變更之後,必須修改這些應用程式。 此修訂是為了判斷是否需要執行任何動作,以確保應用程式仍然可以處理受 Exchange Online 保護的訊息。

方法 3:將 AD RMS 移轉至 Azure RMS (慣用)

對於可以投入所需時間和精力的客戶而言,這是慣用的補救方法。 雖然此方法需要投入大量心力和規劃,但其優點最大化,因為它可讓組織繼續使用 Azure 資訊保護 和 Azure RMS 的功能。 這項功能比 AD RMS 中提供的功能更廣泛。

如需從 AD RMS 移轉至 Azure RMS 的指引,請參閱從 AD RMS 移轉至 Azure 資訊保護

注意事項

如果您已執行方法 2 中的步驟,並選擇稍後執行方法 3,則可以在執行完整移轉至 Azure RMS 時略過這些相同的步驟。 這是因為方法 2 步驟是完整移轉步驟的子集。