Office에서 AD RMS에서 Azure RMS로의 마이그레이션을 지원 하기 위한 업데이트가 제공 됩니다.

참고

Office 365 ProPlus엔터프라이즈용 Microsoft 365 앱으로 이름이 바뀌고 있습니다. 이 변경에 대한 자세한 내용은 이 블로그 게시물을 참조하세요.

증상

조직에서 AD RMS (Active Directory Rights Management Services)를 배포 하 고 Azure Information Protection으로 마이그레이션하려는 경우 일반적인 마이그레이션 프로세스에 AD RMS 클러스터에서 루트 키를 내보내고 Azure RMS로 가져오는 작업이 포함 됩니다. Azure RMS는 Azure Information Protection 플랫폼의 일부인 서비스입니다.

경우에 따라 클라우드로 키를 내보내고 가져올 수 없도록 하는 방식으로 AD RMS 클러스터가 구성 될 수 있습니다. 이 문제는 다음 조건 중 하나에 해당 하는 경우 발생할 수 있습니다.

  • 키가 내보낼 수 없는 것으로 표시 되 고 Azure Information Protection에서 직접 지원 되지 않는 하드웨어 보안 모듈에 의해 보호 됩니다.
  • 키를 내보내는 데 필요한 교환원 카드나 다른 아티팩트를 사용할 수 없는 하드웨어 보안 모듈의 경우

해결 방법

MSIPC RMS 클라이언트가 계속 해 서 AD RMS를 사용 하 여 새 콘텐츠를 보호 하는 기능을 사용 하지 않고 이전에 보호 된 콘텐츠를 사용할 수 있도록 하는 수정 프로그램을 사용할 수 있습니다. 이 수정 프로그램은 클라이언트가 Azure RMS를 사용 하 여 콘텐츠를 보호 하 고 사용할 수 있도록 합니다.

이 업데이트는 Microsoft Update에서 사용할 수 있습니다. 자세한 내용은 Windows UPDATE FAQ를 참조 하세요.

이 수정은 Microsoft Office 2013, Office 2016 및 기타 MSIPC 응용 프로그램에서 MSIPC SDK 2.1을 사용 하 여 개발 하는 경우에 사용할 수 있습니다.

다음 버전의 Office에 대 한 업데이트를 사용할 수 있습니다.

  • Office 2013 버전 15.0.4849.1000 이상 버전
  • Office 2016 MSI 버전 16.0.4496.1000 이상 버전
  • Office 2016 C2R 버전 16.0.7407.1000 이상 버전

Office 2013, Office 2016 또는 MSIPC SDK를 사용 하 여 개발한 기타 응용 프로그램을 실행 하는 Windows 클라이언트에 수정 프로그램을 설치한 후에 AD RMS를 읽기 전용 모드로 설정 하려면 게시 .asmx 페이지에 대 한 액세스를 거부 해야 합니다. 이렇게 하려면 다음 단계를 따르세요.

  1. 사용자가 콘텐츠를 보호 하는 데 사용 하는 각 AD RMS 서버에 로그온 합니다. 시작을 클릭 하 고 관리 도구를 가리킨 다음 IIS (인터넷 정보 서비스) 관리자를 클릭 합니다.

  2. 사용자 계정 컨트롤 대화 상자가 표시 되 면 표시 된 작업이 원하는 대로 진행 되는지 확인 한 다음 계속을 클릭 합니다.

  3. 도메인 노드를 확장 하 고, 사이트, 기본 웹 사이트를 차례로 확장 한 다음 _wmcs을 확장 합니다.

    참고 사항 기본 웹 사이트가 아닌 웹 사이트에 AD RMS를 설치 했을 수 있습니다. 이 경우 위의 경로를 적절 하 게 조정 해야 합니다.

  4. 라이선스 폴더를 마우스 오른쪽 단추로 클릭 한 다음 콘텐츠 보기로 전환을클릭 합니다.

  5. 게시 .asmx를 마우스 오른쪽 단추로 클릭 한 다음 기능 보기로 전환을클릭 합니다.

  6. IIS에서 인증을 두 번 클릭 합니다. 익명 인증이 사용 하지 않도록 설정 되어 있는지 확인 하세요 (이 인증은 트러스트 된 사용자 도메인 교환을 사용 하는 다른 회사와의 공동 작업을 사용 하지 않도록 설정 됨).

  7. 라이선스 디렉터리를 다시 마우스 오른쪽 단추로 클릭 한 다음 콘텐츠 보기로 전환을클릭 합니다.

  8. 게시 .asmx를 마우스 오른쪽 단추로 클릭 하 고 사용 권한 편집을 클릭 합니다.

  9. 보안 창에서 편집을 클릭 한 다음 추가를 클릭 합니다.

  10. AD RMS를 사용 하 여 콘텐츠를 보호 하지 못하게 할 그룹의 이름을 입력 하 고 확인을 클릭 한 다음 거부 열에서 모든 권한을 클릭 합니다. 모든 사용자가 AD RMS를 사용 하 여 콘텐츠를 보호 하는 기능을 거부 하려면 모든 사람 을 그룹으로 사용 합니다.

  11. 확인을 클릭합니다.

  12. IIS 관리자를 닫습니다.

IIS가 모든 AD RMS 노드에서 이러한 방식으로 구성 되는 즉시 다음 작업을 수행 하 여 클라이언트에서 AD RMS를 읽기 전용 모드로 사용할 수 있는지 확인할 수 있습니다.

  1. AD RMS 또는 Azure RMS를 사용 하도록 구성 되지 않은 클라이언트에서 시작 합니다. AD RMS를 사용 하 여 보호 된 콘텐츠를 엽니다.
  2. 다음으로 새 콘텐츠를 보호 해 봅니다. 이 작업을 수행할 수 없습니다.

Azure RMS를 사용 하도록 구성 된 클라이언트는 Azure RMS를 사용한 이전 구성에 영향을 주지 않고 AD RMS의 콘텐츠를 사용할 수 있습니다. 클라이언트가 AD RMS의 콘텐츠를 사용한 후에는 Azure RMS를 사용 하 여 콘텐츠를 계속 보호 합니다.

AD RMS에 대 한 프로 비전 프로세스의 일부로 IIS를 구성 하는 경우 ad rms 콘솔을 사용 하 여 AD RMS 서비스 연결 지점을 게시 취소 해야 합니다.

추가 정보

AD RMS에서 Azure Information Protection으로의 일반적인 마이그레이션 작업을 수행 하는 동안 콘텐츠를 보호 하는 데 사용 되는 AD RMS 클러스터의 루트 키 (SLC (서버 사용 허가자 인증서)를 클러스터에서 내보내어 Azure Information Protection 플랫폼의 Azure RMS 서비스 부분으로 가져옵니다. 그런 다음 Windows 클라이언트는 AD RMS 클러스터에서 Azure RMS 서비스로 보호 되는 오픈 콘텐츠로 라이선스에 대 한 요청을 리디렉션하도록 구성 합니다. 그러면 RMS가 문서에 있는 정책 및 다른 아티팩트에서 콘텐츠 보호를 위해 AD RMS를 사용할 수 있도록 하는 기타 아티팩트에 따라 라이선스를 발급 합니다.

이러한 아티팩트 중에서 Windows 클라이언트는 AD RMS 클러스터의 게시에서 사용 가능한 Api를 호출 하 여 CLC (클라이언트 사용 허가자 인증서)를 가져옵니다. CLC가 발급 되는 즉시이 인증서는 클라이언트에서 AD RMS 클러스터의 SLC 키와 연결 된 키를 사용 하 여 콘텐츠를 보호할 수 있도록 합니다.

이러한 Api에 대 한 액세스를 거부 하 여이 수정 프로그램을 설치 하 고 Azure RMS를 사용 하도록 구성 된 클라이언트는 ad RMS에서 CLC를 수신 하지 않고 AD RMS의 콘텐츠를 사용할 수 있습니다. 이를 통해 클라이언트는 AD rms 키를 Azure RMS로 가져오지 않은 경우에도 이전에 AD RMS로 보호 된 콘텐츠에 대 한 액세스를 유지 하면서 Azure RMS를 계속 사용 하 여 모든 새 콘텐츠를 보호할 수 있습니다.

이렇게 하면 AD rms로 보호 되는 콘텐츠가 Azure RMS의 새 키로 다시 보호 되거나 더 이상 관련이 없을 때까지 Azure RMS를 사용 하 여 새 콘텐츠를 보호 하는 AD RMS 인프라의 점진적 단계를 수행할 수 있습니다. 그런 다음 AD RMS 클러스터 및 해당 SLC를 해제할 수 있습니다.

아직 해결되지 않았습니까? Microsoft 커뮤니티로 이동하세요.