Está disponível uma atualização para o Office para apoiar as migrações de AD RMS para O RMS Azure

Nota

O Office 365 ProPlus está a ser renomeado para Aplicações do Microsoft 365 para empresas. Para obter mais informações sobre essa alteração, leia este post no blog.

Sintomas

Se uma organização tiver serviços de gestão de direitos de diretório ativo (AD RMS) implantados e quiser migrar para a Azure Information Protection, o processo típico de migração envolve exportar as chaves-raiz do cluster RMS da AD e importá-las para O RMS Azure. O Azure RMS é um serviço que faz parte da plataforma de Proteção de Informação do Azure.

Em alguns casos, um cluster RMS AD pode ser configurado de uma forma que impeça que as chaves sejam exportadas e importadas para a nuvem. Este comportamento pode ocorrer se uma das seguintes condições for verdadeira:

  • As chaves são marcadas como não exportáveis e protegidas por um módulo de segurança de hardware que não é suportado diretamente pela Azure Information Protection.
  • A chave está num módulo de segurança de hardware para o qual não estão disponíveis os cartões de operador ou outros artefactos necessários para a exportação chave.

Resolução

Está disponível uma correção que permite aos clientes RMS do MSIPC continuar a utilizar a AD RMS para consumir conteúdo previamente protegido sem conceder a capacidade de proteger novos conteúdos utilizando estas teclas. A correção permite que os clientes protejam e consumam conteúdos utilizando o Azure RMS.

Esta atualização está disponível a partir do Microsoft Update. Para mais informações, consulte o Windows Update FAQ.

Esta correção está disponível para o Microsoft Office 2013, Office 2016 e outras aplicações MSIPC que são desenvolvidas utilizando o MSIPC SDK 2.1.

A atualização está disponível para as seguintes versões do Office:

  • Versão 15.0.4849.1000 do Office 2013, ou versões posteriores
  • Office 2016 MSI versão 16.0.4496.1000, ou versões posteriores.
  • Office 2016 C2R versão 16.0.7407.1000, ou versões posteriores

Para definir o RMS AD no modo de leitura apenas depois de instalar a correção nos clientes Windows que estão a executar o Office 2013, Office 2016 ou outras aplicações desenvolvidas através da utilização do MSIPC SDK, tem de negar o acesso à página Publish.asmx. To do this, follow these steps:

  1. Inicie sessão em cada servidor AD RMS que é utilizado pelos utilizadores para proteger o conteúdo: Clique em Iniciar, apontar para Ferramentas Administrativas, e, em seguida, clique em Internet Information Services (IIS) Manager.

  2. Se aparecer a caixa de diálogo de controlo de conta do utilizador, confirme que a ação exibida é o que deseja e, em seguida, clique em Continuar.

  3. Expandir o nó de domínio, expandir sites, expandir o Web Site predefinido e, em seguida, expandir _wmcs.

    Nota Esteja ciente de que pode ter instalado AD RMS num site diferente do website predefinido. Se for esse o caso, tem de ajustar o caminho acima em conformidade.

  4. Clique na pasta de licenciamento e, em seguida, clique em Mudar para Visualizaçãode Conteúdo .

  5. Clique à direita Em Publish.asmxe, em seguida, clique em Switch para Visualizaçãode Funcionalidades .

  6. Em IIS, a autenticaçãode dois cliques. Certifique-se de que a Autenticação Anónima está desativada (esteja ciente de que esta autenticação irá desativar a colaboração com outras empresas que utilizam trocas de domínio de utilizador fidedignos).

  7. Clique novamente no diretório de licenciamento e, em seguida, clique em Switch para Visualizaçãode Conteúdo .

  8. Clique na direita Em Publish.asmxe, em seguida, clique em Permissões de Edição.

  9. No painel 'Segurança', clique em Editar, e depois clique em Adicionar.

  10. Introduza o nome do grupo que pretende evitar de proteger o conteúdo utilizando AD RMS, clique em OKe clique em Controlo Completo na coluna Negar. Para negar a todos os utilizadores a capacidade de proteger os conteúdos com RMS AD, use todos como o grupo.

  11. Clique em OK.

  12. Gerente próximo do IIS.

Assim que o IIS estiver configurado desta forma em todos os nós AD RMS, pode confirmar que um cliente pode utilizar AD RMS no modo de leitura apenas através da seguinte ação:

  1. Comece com um cliente que não esteja configurado para utilizar a AD RMS ou o Azure RMS. Abra conteúdo que foi protegido através da utilização de RMS AD.
  2. Em seguida, tente proteger novos conteúdos. Não poderá realizar esta operação.

Um cliente que foi configurado para utilizar o Azure RMS também será capaz de consumir conteúdo a partir de RMS AD sem afetar a sua configuração anterior com o Azure RMS. Depois de o cliente consumir conteúdo a partir de RMS AD, eles continuarão a proteger o conteúdo utilizando o Azure RMS.

Se configurar o IIS como parte do processo de desprovisionamento para AD RMS, também deve utilizar a consola AD RMS para não publicar o ponto de ligação ao serviço AD RMS.

Mais Informações

Durante uma migração típica da AD RMS para a Proteção de Informação Azure, a chave-raiz (conhecida como Certificado de Licença de Servidor [SLC]) do cluster AD RMS que é utilizado para proteger o conteúdo é exportada do cluster e importada para a parte do serviço Azure RMS da plataforma azure Information Protection. Em seguida, os clientes windows estão configurados para redirecionar pedidos de licenças para abrir conteúdo que está protegido pelo cluster AD RMS para o serviço Azure RMS. A RMS emite então as licenças de acordo com a política do documento e outros artefactos que permitem ao cliente utilizar AD RMS para proteger conteúdos.

Entre estes artefactos, os clientes windows obtêm o Certificado de Licenciamento de Cliente (CLC) através da chamada APIs que estão disponíveis em Publish.asmx no cluster AD RMS. Assim que o CLC é emitido, este certificado permite ao cliente proteger o conteúdo utilizando chaves associadas à chave SLC do cluster AD RMS.

Ao negar o acesso a estas APIs, um cliente que tenha esta correção instalada e que esteja configurado para utilizar o Azure RMS pode consumir conteúdo a partir de RMS AD sem receber um CLC da AD RMS. Isto permite que o cliente continue a utilizar o Azure RMS para proteger todos os novos conteúdos, mantendo o acesso a conteúdos anteriormente protegidos com RMS AD, mesmo que a chave RMS AD não tenha sido importada para O RMS Azure.

Isto permite uma eliminação gradual gradual da infraestrutura RMS AD porque novos conteúdos são protegidos usando O RMS Azure até que o conteúdo protegido por AD RMS seja reprotegido pelas novas teclas em RMS Azure ou já não é relevante. Em seguida, o cluster RMS AD e o seu SLC podem ser desativados.

Ainda necessita de ajuda? Vá para Comunidade Microsoft