Подготовка среды для Rights Management Azure при наличии AD RMS

Область применения: Azure Information Protection, Office 365

Относится к: Azure Information Protection унифицированный клиент меток и классический клиент для Windows .

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения см. в недавней записи блога о прекращении использования.

Важно!

Рекомендации по использованию служб Active Directory Rights Management (AD RMS)

Если у вас активирована служба Azure Rights Management и одновременно используется AD RMS, такая комбинация несовместима. Без дополнительных действий некоторые компьютеры могут автоматически начать использовать службу Azure Rights Management, но также подключиться к кластеру AD RMS. Этот сценарий не поддерживается и дает ненадежные результаты, поэтому вам необходимо выполнить ряд дополнительных действий.

Чтобы проверить, развернуто ли AD RMS, выполните следующие действия.

  1. Хотя это необязательно, в большинстве случаев развертывания AD RMS публикуют в Active Directory точку подключения службы (SCP), чтобы компьютеры домена могли обнаруживать кластер AD RMS.

    Используйте "Редактирование ADSI", чтобы проверить наличие точки подключения службы, опубликованной в Active Directory: CN=Configuration [server name], CN=Services, CN=RightsManagementServices, CN=SCP

  2. Если вы не используете точку подключения службы, подключенные к кластеру AD RMS компьютеры Windows должны использовать обнаружение службы на стороне клиента или перенаправление лицензирования с помощью реестра Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation или HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\ServiceLocation

    Дополнительные сведения об этих конфигурациях реестра см. в разделах Включение обнаружения службы на стороне клиента с помощью реестра Windows и Перенаправление трафика сервера лицензирования.

Если для вашей организации развернута служба AD RMS, оцените возможность миграции на Azure Information Protection. Azure Information Protection предоставляет множество преимуществ по сравнению с AD RMS. Например, улучшенная поддержка мобильных устройств и интеграция с Microsoft 365ными службами, а также с Exchange Server и SharePoint Server. Подробнее см. статью Сравнение Azure Information Protection и AD RMS.

При переходе на Azure Information Protection вы не теряете доступ к ранее защищенному содержимому, и вам не придется отменять защиту или повторно защищать содержимое. Документы и сообщения электронной почты, которые были защищены с помощью AD RMS, по-прежнему могут быть открыты даже после отмены подготовки AD RMS.

Независимо от вашего выбора — перейти на Azure Information Protection или смириться с ограничениями текущего развертывания AD RMS — необходимо убедиться, что служба Azure Rights Management деактивирована. Для этого вы можете воспользоваться инструкцией для вашего сценария.

Подписка была приобретена не раньше февраля 2018 г.

С конца февраля 2018 г. новые подписки, включающие Azure Information Protection, теперь активируют службу Azure Rights Management по умолчанию. Если служба была активирована автоматически и вы также используете службы Active Directory Rights Management (AD RMS), такая комбинация несовместима, поэтому необходимо как можно быстрее отключить службу Azure Rights Management.

Шаг 1. Деактивация Azure Rights Management

Используйте одну из следующих процедур для отключения Azure Rights Management.

Совет

Для деактивации службы Rights Management Azure можно также использовать командлет Windows PowerShell Disable-аипсервице.

Для отключения Rights Management из центра администратора Microsoft 365

  1. Перейдите на страницу Rights Management для Microsoft 365 администраторов.

    Если появится запрос на вход, используйте учетную запись глобального администратора для Microsoft 365.

  2. На странице Управление правами щелкните Отключить.

  3. При появлении запроса Вы хотите отключить службу Rights Management? нажмите кнопку Отключить.

Теперь должна отобразиться надпись Служба Rights Management не активирована и параметр для активации.

Деактивация Rights Management на портале Azure

  1. Если вы еще этого не сделали, откройте новое окно в браузере и войдите на портал Azure. Затем перейдите в область Azure Information Protection.

    Например, в поле поиска ресурсов, служб и документов введите Information и в результатах выберите Azure Information Protection.

    Если вы ранее не открывали панель Azure Information Protection, ознакомьтесь с дополнительными шагами , чтобы добавить эту панель на портал.

  2. Выберите Активация защиты из меню.

  3. На панели активация Azure Information Protection-Protection выберите Отключить. Нажмите кнопку Да для подтверждения выбора.

На информационной панели отображается сообщение Деактивация успешно завершена, а состояние Деактивировать заменится на Активировать.

Шаг 2. Планирование миграции

Следуйте указаниям по миграции: Миграция с AD RMS на Azure Information Protection.

Подписка была приобретена в феврале 2018 г. или ранее и вы используете Exchange Online

Майкрософт запускает активацию службы Azure Rights Management для подписок, в которых содержится Azure Rights Management или Azure Information Protection, а клиенты используют Exchange Online. Для этих клиентов автоматическая активация начинается с 1 августа 2018 г.

Если служба будет автоматически активирована, и вы также используете службы AD RMS, такая комбинация несовместима, поэтому очень важно, чтобы клиент отказался от автоматического обновления.

Шаг 1: Отказ от автоматического обновления службы

Используйте следующую команду Set-IRMConfiguration PowerShell для Exchange Online: Set-IRMConfiguration -AutomaticServiceUpdateEnabled $false

Дополнительные сведения

Шаг 2. Планирование миграции

Следуйте указаниям по миграции: Миграция с AD RMS на Azure Information Protection.

При настройке Azure Information Protection отображается параметр для активации защиты

На панели активации Azure Information Protection-Protection можно активировать службу Rights Management Azure.

Если вы также используете AD RMS, не выбирайте параметр Активировать. Если служба Azure Rights Management не активирована, вы по-прежнему можете использовать Azure Information Protection для меток, которые применяются только для классификации. Создается специальная политика по умолчанию, не содержащая защиту данных, а параметры конфигурации остаются недоступными до активации службы Azure Rights Management.

Шаг 1. Настройка политики Azure Information Protection для классификации и присвоения меток — без защиты

В области Azure Information Protection-метки просмотрите и настройте метки, которые не включают параметры защиты данных. Дополнительные сведения о настройке меток и политики см. в статье Настройка политики Azure Information Protection.

Шаг 2. Планирование миграции

Следуйте указаниям по миграции: Миграция с AD RMS на Azure Information Protection.

Шаг 3. Настройка меток для защиты

После активации службы Azure Rights Management в рамках процесса миграции вы можете настроить метки для защиты. Если же вы переносите пользователей в пакетах, ограничьте область действия применяющих защиту меток только перенесенными пользователями.