È disponibile un aggiornamento per Office per il supporto delle migrazioni da AD RMS ad Azure RMS

Nota

Office 365 ProPlus viene rinominato in Microsoft 365 Apps for enterprise. Per ulteriori informazioni su questa modifica, leggere questo post di blog.

Sintomi

Se un'organizzazione dispone di Active Directory Rights Management Services (AD RMS) distribuito e desidera eseguire la migrazione a Azure Information Protection, il processo di migrazione tipico implica l'esportazione delle chiavi radice dal cluster AD RMS e l'importazione in Azure RMS. Azure RMS è un servizio che fa parte della piattaforma di Azure Information Protection.

In alcuni casi, è possibile configurare un cluster AD RMS in modo da evitare che le chiavi vengano esportate e importate nel cloud. Questo comportamento può verificarsi se una delle seguenti condizioni è vera:

  • Le chiavi sono contrassegnate come non esportabili e protette da un modulo di sicurezza hardware non supportato direttamente da Azure Information Protection.
  • La chiave è in un modulo di sicurezza hardware per il quale le schede operatore o altri elementi necessari per l'esportazione delle chiavi non sono disponibili.

Risoluzione

È disponibile una correzione che consente a Office per i client RMS di MSIPC di continuare a utilizzare ad RMS per l'utilizzo di contenuto protetto in precedenza senza concedere la possibilità di proteggere il nuovo contenuto utilizzando queste chiavi. La correzione consente ai client di proteggere e utilizzare il contenuto utilizzando Azure RMS.

Questo aggiornamento è disponibile da Microsoft Update. Per ulteriori informazioni, vedere domande frequenti su Windows Update.

Questa correzione è disponibile per Microsoft Office 2013, Office 2016 e altre applicazioni di MSIPC sviluppate tramite MSIPC SDK 2,1.

L'aggiornamento è disponibile per le seguenti versioni di Office:

  • Versione 15.0.4849.1000 di Office 2013 o versioni successive
  • Versione 16.0.4496.1000 di Office 2016 MSI o versioni successive.
  • Office 2016 C2R version 16.0.7407.1000 o versioni successive

Per impostare AD RMS in modalità di sola lettura dopo aver installato la correzione nei client Windows che eseguono Office 2013, Office 2016 o altre applicazioni sviluppate tramite l'SDK di MSIPC, è necessario negare l'accesso alla pagina Publish. asmx. A tale scopo, attieniti alla seguente procedura:

  1. Accedere a ogni server AD RMS utilizzato dagli utenti per proteggere il contenuto: fare clic sul pulsante Start, scegliere strumenti di amministrazionee quindi fare clic su Gestione Internet Information Services (IIS).

  2. Se viene visualizzata la finestra di dialogo controllo account utente , verificare che l'azione visualizzata sia ciò che si desidera, quindi fare clic su continua.

  3. Espandere il nodo del dominio, espandere siti, espandere sito Web predefinito e quindi espandere _massa.

    Note Tenere presente che AD RMS potrebbe essere installato in un sito Web diverso da quello predefinito. In questo caso, è necessario modificare il percorso di conseguenza.

  4. Fare clic con il pulsante destro del mouse sulla cartella licensing e quindi scegliere passa alla visualizzazione contenuto.

  5. Fare clic con il pulsante destro del mouse su Publish. asmxe quindi scegliere Cambia visualizzazione caratteristiche.

  6. In IIS fare doppio clic su autenticazione. Verificare che l'autenticazione anonima sia disabilitata (tenere presente che questa autenticazione disattiverà la collaborazione con altre società che utilizzano scambi di dominio utente attendibili).

  7. Fare di nuovo clic con il pulsante destro del mouse sulla directory di gestione delle licenze e quindi scegliere passa alla visualizzazione contenuto.

  8. Fare clic con il pulsante destro del mouse su Publish. asmxe quindi scegliere modifica autorizzazioni.

  9. Nel riquadro sicurezza , fare clic su modifica, quindi fare clic su Aggiungi.

  10. Immettere il nome del gruppo che si desidera impedire di proteggere il contenuto utilizzando AD RMS, fare clic su OKe quindi su controllo completo nella colonna Nega . Per negare a tutti gli utenti la possibilità di proteggere il contenuto con AD RMS, utilizzare tutti come gruppo.

  11. Fare clic su OK.

  12. Chiudere Gestione Internet Information Services (IIS).

Non appena IIS viene configurato in questo modo su tutti i nodi AD RMS, è possibile verificare che un client possa utilizzare AD RMS in modalità di sola lettura eseguendo la procedura seguente:

  1. Iniziare con un client che non è configurato per l'utilizzo di AD RMS o di Azure RMS. Aprire il contenuto protetto utilizzando AD RMS.
  2. Successivamente, provare a proteggere il nuovo contenuto. Non sarà possibile eseguire questa operazione.

Un client configurato per l'utilizzo di Azure RMS sarà anche in grado di utilizzare il contenuto da AD RMS senza influire sulla configurazione precedente con Azure RMS. Dopo che il client utilizzerà il contenuto da AD RMS, continuerà a proteggere il contenuto utilizzando Azure RMS.

Se si configura IIS come parte del processo di deprovisioning per AD RMS, è necessario utilizzare anche la console ad RMS per annullare la pubblicazione del punto di connessione del servizio AD RMS.

Ulteriori informazioni

Durante una tipica migrazione da AD RMS a Azure Information Protection, la chiave radice (nota come certificato concessore di licenze server [SLC]) del cluster AD RMS utilizzata per proteggere il contenuto viene esportata dal cluster e importata nella parte del servizio di Azure RMS della piattaforma di Azure Information Protection. I client Windows sono quindi configurati per reindirizzare le richieste di licenze per l'apertura del contenuto protetto dal cluster ad RMS al servizio Azure RMS. RMS genera quindi le licenze secondo i criteri del documento e di altri elementi che consentono al client di utilizzare AD RMS per proteggere il contenuto.

Tra questi elementi, i client Windows ottengono il certificato concessore di licenze client (CLC) chiamando le API disponibili in Publish. asmx nel cluster AD RMS. Non appena viene emesso il CLC, questo certificato consente al client di proteggere il contenuto utilizzando le chiavi associate alla chiave SLC del cluster AD RMS.

Negando l'accesso a queste API, un client in cui è installata la correzione e configurato per l'utilizzo di Azure RMS può utilizzare il contenuto di AD RMS senza ricevere un CLC da AD RMS. In questo modo il client continuerà a utilizzare Azure RMS per proteggere tutti i nuovi contenuti mantenendo l'accesso al contenuto precedentemente protetto con AD RMS, anche se la chiave AD RMS non è stata importata in Azure RMS.

In questo modo è possibile eliminare gradualmente l'infrastruttura AD RMS perché il nuovo contenuto è protetto tramite Azure RMS fino a quando il contenuto protetto da AD RMS viene riprotetto dalle nuove chiavi in Azure RMS o non è più pertinente. Successivamente, il cluster AD RMS e il relativo SLC possono essere disattivati.

Ulteriore assistenza Visitare la community Microsoft.