Exchange Online AD RMS를 Azure RMS로 마이그레이션하는 방법

• 적용 대상:

  Exchange Online

2021년 2월 28일에 Microsoft는 사서함을 Exchange Online 사용자에 대한 특정 구성에 대한 지원을 종료했습니다. 이 구성을 통해 사용자는 AD RMS(Active Directory Rights Management Services)로 보호되는 콘텐츠를 보고 만들 수 있습니다.

고객에게 미치는 영향

organization 영향을 받는 것으로 확인되면 "수정 단계" 섹션에 나열된 단계를 따라야 합니다. 그렇지 않으면 Exchange Online 사서함이 있는 사용자는 더 이상 웹용 Outlook 또는 iOS 및 Android용 Outlook을 통해 AD RMS로 보호되는 전자 메일 메시지를 보거나 만들 수 없습니다. 사용자는 Windows에서 Microsoft Outlook 데스크톱 클라이언트를 사용하여 AD RMS로 보호되는 메시지를 계속 볼 수 있습니다.

AD RMS를 사용하여 메시지를 보호하도록 구성된 Exchange Online 메일 흐름 규칙도 더 이상 적용되지 않습니다.

Exchange Online AD RMS로 보호된 메시지의 암호 해독이 필요한 다른 기능은 더 이상 이러한 메시지의 암호를 해독하지 않습니다. 이러한 메시지는 암호화된 상태로 남게 됩니다. 이러한 기능에는 eDiscovery, 저널링, 전송 규칙별 검사 및 인덱싱이 포함됩니다.

영향을 받는지 확인하는 방법

organization AD RMS를 사용하지 않는 경우 이 문제는 사용자에게 영향을 주지 않으며 문서의 나머지 부분을 안전하게 무시할 수 있습니다. Azure RMS(Azure Rights Management Services) 및 Azure Information Protection 사용하는 조직은 영향을 받지 않습니다.

organization AD RMS를 사용하고 있지만 AD RMS 키를 Exchange Online 가져와 Exchange Online AD RMS 통합을 구현하지 않은 경우에도 이 변경의 영향을 받지 않습니다.

온-프레미스 Microsoft Exchange Server 사서함이 있는 사용자는 이 변경의 영향을 받지 않습니다.

AD RMS와 Exchange Online 간의 통합을 설정했는지 여부를 확인하려면 Exchange Online PowerShell에 연결한 다음 다음 cmdlet을 실행합니다.

Get-IRMConfiguration

이 cmdlet의 출력은 다음과 유사합니다.

InternalLicensingEnabled                      : True

ExternalLicensingEnabled                      : True

AzureRMSLicensingEnabled                      : False

TransportDecryptionSetting                    : Optional

JournalReportDecryptionEnabled                : True

SimplifiedClientAccessEnabled                 : True

ClientAccessServerEnabled                     : True

SearchEnabled                                 : True

EDiscoverySuperUserEnabled                    : True

DecryptAttachmentFromPortal                   : False

DecryptAttachmentForEncryptOnly               : False

SystemCleanupPeriod                           : 0

SimplifiedClientAccessEncryptOnlyDisabled     : False

SimplifiedClientAccessDoNotForwardDisabled    : False

EnablePdfEncryption                           : False

AutomaticServiceUpdateEnabled                 : True

RMSOnlineKeySharingLocation                   :

RMSOnlineVersion                              :

ServiceLocation                               :

PublishingLocation                            :

LicensingLocation                             :

출력에 InternalLicensingEnabled 가 True 로 설정되어 있고 AzureRMSLicensingEnabled 가 False로 설정된 것으로 표시되면 이 사용 중단의 영향을 받을 수 있습니다. 이 경우 "수정 단계" 섹션에 제공된 메서드 중 하나를 사용해야 합니다.

참고

이 구성을 사용하도록 설정했지만 organization AD RMS를 더 이상 사용하지 않는 경우 이러한 단계를 실행할 필요가 없습니다. 그러나 organization 사용 중인 것으로 인식하지 못하는 보호된 콘텐츠가 있을 수 있으므로 이 작업을 수행하는 것이 좋습니다.

Exchange Online 가져온 AD RMS 키에 대한 자세한 내용은 Get-RMSTrustedPublishingDomain cmdlet을 실행합니다. 그러면 Exchange Online 영향을 받는 모든 TPD(신뢰할 수 있는 게시 도메인)가 식별됩니다. TPD는 AD RMS 및 Azure RMS 키를 패키지하는 데 사용됩니다.

수정 단계

organization 이 변경의 영향을 받는 경우 다음과 같은 수정 방법 중 하나를 적절하게 사용합니다.

방법 1: 아무 것도 수행하지 않음

organization AD RMS를 자주 사용하여 전자 메일 메시지를 보호하지 않거나 Exchange Online 사서함이 있는 사용자가 몇 명뿐인 경우 이 변경으로 인한 기능 손실이 organization 크게 영향을 미치지 않습니다. 이 경우 수정 단계를 수행하지 않고 다음 결과를 수락하도록 선택할 수 있습니다.

• Exchange Online 사서함이 있는 사용자는 더 이상 웹용 Outlook 또는 iOS 및 Android용 Outlook을 사용하여 AD RMS로 보호되는 전자 메일 메시지를 볼 수 없습니다. 이러한 사용자는 Windows의 Outlook 데스크톱 클라이언트에서 보호된 메시지를 계속 볼 수 있습니다.

• Exchange Online 사서함이 있는 사용자는 더 이상 AD RMS 템플릿을 사용하거나 웹용 Outlook 전달 금지 기능을 사용하여 보호를 적용할 수 없습니다.

• AD RMS를 사용하여 전자 메일 메시지를 보호하도록 구성된 Exchange Online 메일 흐름은 더 이상 적용되지 않습니다.

• Exchange Online AD RMS로 보호되는 전자 메일 메시지의 암호 해독이 필요한 기능은 더 이상 이러한 메시지의 암호를 해독할 수 없습니다. 이러한 메시지는 암호화된 상태로 남게 됩니다. 이러한 기능에는 eDiscovery, 저널링, 전송 규칙별 검사 및 인덱싱이 포함됩니다.

방법 2: AD RMS 키 사용

AD RMS 키를 Azure RMS로 가져오고 해당 키를 사용하여 보호된 콘텐츠를 처리하도록 Exchange Online 구성합니다. 이 변경의 영향을 받는 경우 AD RMS에서 Exchange Online 키를 이미 가져왔습니다. AD RMS 키를 Azure RMS로 가져오는 프로세스는 키를 다른 위치로 가져오는 것을 제외하고는 비슷합니다.

이러한 수정 단계는 AD RMS에서 Azure RMS로 마이그레이션하는 데 사용되는 단계의 하위 집합이지만 AD RMS에서 Azure RMS로 전체 마이그레이션을 완료할 필요는 없습니다. 또한 이러한 단계는 클라이언트 환경 또는 환경에서 사용되는 키와 정책을 변경하지 않습니다. 사용자는 이러한 단계에 의해 변경된 내용을 볼 수 없으며, 추가 학습 또는 인식이 필요하지 않습니다. 이러한 단계를 실행한 후에도 사용자는 AD RMS를 사용하여 콘텐츠를 보호합니다.

다음을 수행합니다.

1. AD RMS TPD를 Azure RMS로 내보냅니다. 이 작업을 수행하는 단계는 AD RMS에 대한 마이그레이션 2단계 - 서버 쪽 구성에 설명되어 있습니다.

2. 모든 사용자를 제외하는 온보딩 제어 정책을 설정하여 읽기 전용 모드에서 Azure RMS를 구성합니다.

   이 단계에서는 빈 Microsoft Entra 그룹을 만들고 다음 PowerShell 스크립트를 실행하여 온보딩 제어 정책에 할당합니다.

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "{Group’s GUID}"
   

   자세한 내용은 "2단계를 참조하세요. 클라이언트 마이그레이션 준비" 마이그레이션 1단계의 섹션 - 준비.

3. 원래 Exchange Online 서비스로 가져온 키의 복사본을 사용하는 대신 보호를 위해 Azure RMS에 저장된 키를 사용하도록 Exchange Online 구성합니다. 이렇게 하려면 다음 명령을 실행합니다.

   $irmConfig = Get-IRMConfiguration
   
   $list = $irmConfig.LicensingLocation
   
   $list += "<Your Azure RMS URL>/_wmcs/licensing"
   
   Set-IRMConfiguration Set-IRMConfiguration -AzureRMSLicensing $True -LicensingLocation $list**
   

   Azure RMS URL을 확인하려면 Azure Information Protection PowerShell에 연결하고 다음 cmdlet을 실행합니다.

   Get-AipServiceConfiguration
   

4. Exchange Online 가리키는 관련 DNS SRV 레코드를 구성합니다. 관련 레코드는 Azure RMS에 AD RMS로 보호되는 콘텐츠 라이선스를 사용하도록 설정하는 데 필요한 아티팩트가 있는 레코드입니다. 필요한 DNS 레코드는 "8단계"에서 설명합니다. 마이그레이션 4단계 - 지원 서비스 구성의 Exchange Online" 섹션에 대한 IRM 통합을 구성합니다.

이러한 단계를 완료한 후에는 현재 AD RMS를 사용하는 모든 사용자가 계속 사용할 수 있습니다. 단 하나의 변경 사항이 있습니다. 웹용 Outlook 또는 Exchange Online 전송 규칙을 사용하여 Exchange Online 사용자가 보호하는 콘텐츠는 AD RMS에 저장되고 라이선스에 Azure RMS URL이 있는 동일한 키와 함께 Azure RMS를 사용하여 암호화됩니다. 즉, 이 콘텐츠를 사용하는 사용자는 Azure RMS에 라이선스를 획득하도록 요청해야 합니다. 이러한 요청은 이 메서드의 2단계에서 구성한 온보딩 컨트롤로 인해 부정적인 영향 없이 Outlook 클라이언트에서 자동으로 처리됩니다.

참고:

• 현재 AD RMS와 통합된 환경에 온-프레미스 Exchange 서버가 있는 경우 이러한 서버가 Exchange Online 사용자에 의해 보호되는 콘텐츠의 암호를 해독할 수 있도록 한 가지 추가 구성이 필요합니다. 이 단계에서는 Azure RMS URL을 AD RMS 클러스터로 리디렉션합니다. 각 Exchange 서버에서 다음 레지스트리 값을 구성합니다.

  [HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection]
  “https://[5241e6fb-b220-4cf6-9b95-8889a5b02b52.rms.na.aadrm.com]/_wmcs/licensing” = “https://[AD RMS Intranet Licensing URL]/_wmcs/licensing”
  

  이 레지스트리 하위 키에서 대괄호 사이의 값을 organization 테넌트의 Azure RMS URL과 AD RMS 클러스터 URL로 바꿉니다. 이 URL을 확인하는 방법에 대한 자세한 내용은 이 메서드의 3단계를 참조하세요.

• AD RMS로 보호되는 전자 메일 메시지를 사용하기 위해 통합된 환경에서 현재 사용 중인 타사 애플리케이션이 있는 경우 변경 후 이러한 애플리케이션을 수정해야 합니다. 이 수정 버전은 애플리케이션이 Exchange Online 의해 보호되는 메시지를 계속 처리할 수 있도록 하는 데 필요한 작업이 있는지 여부를 결정하는 것입니다.

방법 3: AD RMS를 Azure RMS로 마이그레이션(기본 설정)

이는 필요한 시간과 노력을 투자할 수 있는 고객을 위한 기본 수정 방법입니다. 이 방법에는 상당한 노력과 계획이 필요하지만 organization Azure Information Protection 및 Azure RMS의 기능을 계속 사용할 수 있으므로 이점을 최대화합니다. 이 기능은 AD RMS에서 사용할 수 있는 것보다 훨씬 더 광범위합니다.

AD RMS에서 Azure RMS로 마이그레이션하기 위한 지침은 AD RMS에서 Azure Information Protection 마이그레이션을 참조하세요.

참고

메서드 2에서 단계를 실행하고 나중에 메서드 3을 실행하도록 선택한 경우 Azure RMS로 전체 마이그레이션을 수행할 때 동일한 단계를 건너뛸 수 있습니다. 이는 메서드 2 단계가 전체 마이그레이션에 대한 단계의 하위 집합이기 때문입니다.