Migrera AD RMS till Azure RMS i Exchange Online

Den 28 februari 2021 upphörde Microsoft stöd för en specifik konfiguration för användare som har Exchange Online-postlådor. Med konfigurationen kan användarna se och skapa innehåll som skyddas av AD RMS (Active Directory Rights Management Services).

Påverkan på kunder

Om du fastställer att organisationen påverkas måste du följa stegen som listas i avsnittet "Åtgärdssteg". Annars kan inte användare som har postlådor i Exchange Online längre visa eller skapa e-postmeddelanden som skyddas av AD RMS via Outlook på webben eller Outlook för iOS och Android. Användare kan fortfarande visa meddelanden som skyddas av AD RMS med hjälp av Microsoft Outlook-skrivbordsklienten i Windows.

E-postflödesregler i Exchange Online som är konfigurerade för att skydda meddelanden med AD RMS kommer inte heller att gälla längre.

Andra funktioner som kräver dekryptering av AD RMS-skyddade meddelanden i Exchange Online dekrypterar inte längre sådana meddelanden. Dessa meddelanden lämnas i krypterat tillstånd. Sådana funktioner omfattar eDiscovery, journalföring, kontroll efter transportregler och indexering.

Så här tar du reda på om du påverkas

Om organisationen inte använder AD RMS påverkar inte det här problemet dig och du kan bortse från resten av artikeln. Organisationer som använder Azure Rights Management Services (Azure RMS) och Azure Information Protection påverkas inte.

Om organisationen använder AD RMS, men du inte har implementerat integreringen av AD RMS i Exchange Online genom att importera dina AD RMS-nycklar till Exchange Online, påverkas du inte heller av den här ändringen.

Om någon av användarna har lokala Microsoft Exchange Server-postlådor kommer de inte att påverkas av den här ändringen.

Ta reda på om du har ställt in integrering mellan AD RMS och Exchange Online genom att ansluta till Exchange Online PowerShell och sedan köra följande cmdlet:

Get-IRMConfiguration

Utdata för den här cmdleten ser ut ungefär så här:

InternalLicensingEnabled                      : True

ExternalLicensingEnabled                      : True

AzureRMSLicensingEnabled                      : False

TransportDecryptionSetting                    : Optional

JournalReportDecryptionEnabled                : True

SimplifiedClientAccessEnabled                 : True

ClientAccessServerEnabled                     : True

SearchEnabled                                 : True

EDiscoverySuperUserEnabled                    : True

DecryptAttachmentFromPortal                   : False

DecryptAttachmentForEncryptOnly               : False

SystemCleanupPeriod                           : 0

SimplifiedClientAccessEncryptOnlyDisabled     : False

SimplifiedClientAccessDoNotForwardDisabled    : False

EnablePdfEncryption                           : False

AutomaticServiceUpdateEnabled                 : True

RMSOnlineKeySharingLocation                   :

RMSOnlineVersion                              :

ServiceLocation                               :

PublishingLocation                            :

LicensingLocation                             :

Om resultatet visar att InternalLicensingEnabled är inställt på True och att AzureRMSLicensingEnabled är inställt på Falskt, innebär det att du påverkas potentiellt av den här utfasningen. I det här fallet måste du använda någon av metoderna som finns i avsnittet "Åtgärdssteg".

Anteckning

Om du har den här konfigurationen aktiverad men inte längre använder AD RMS i organisationen behöver du inte köra de här stegen. Men vi rekommenderar att du fortfarande gör det eftersom det kan finnas skyddat innehåll som du inte är medveten om att det används i din organisation.

Om du vill ha mer information om de AD RMS-nycklar som du har importerat till Exchange Online kör du cmdleten Get-RMSTrustedPublishingDomain. Då identifieras alla betrodda publiceringsdomäner (TPDs) som påverkas i Exchange Online. TPDs används för att paketera AD RMS- och Azure RMS-nycklar.

Åtgärdssteg

Om din organisation påverkas av den här ändringen använder du någon av följande åtgärdsmetoder efter behov.

Metod 1: Gör ingenting

Om organisationen inte använder AD RMS ofta för att skydda e-postmeddelanden, eller om du bara har ett fåtal användare som har postlådor i Exchange Online, bör funktionsbortfallna som orsakas av den här ändringen inte påverka organisationen i någon större utsträckning. I det här fallet kan du välja att inte vidta några åtgärder och acceptera följande konsekvenser:

  • Användare som har postlådor i Exchange Online kan inte längre använda Outlook på webben eller Outlook för iOS och Android för att visa e-postmeddelanden som skyddas av AD RMS. De användarna kommer att fortsätta att kunna visa skyddade meddelanden i Outlook-klienten på datorn i Windows.

  • Användare som har postlådor i Exchange Online kan inte längre tillämpa skydd genom att använda AD RMS-mallar eller genom att använda funktionen Vidarebefordra inte i Outlook på webben.

  • E-postflödet i Exchange Online som är konfigurerat för att skydda e-postmeddelanden med AD RMS kommer inte längre att gälla.

  • Funktioner som kräver dekryptering av AD RMS-skyddade e-postmeddelanden i Exchange Online kan inte längre dekryptera sådana meddelanden. Dessa meddelanden lämnas i krypterad form. Sådana funktioner omfattar eDiscovery, journalföring, kontroll efter transportregler och indexering.

Metod 2: Använd AD RMS-tangenten

Importera AD RMS-nyckeln till Azure RMS och konfigurera Exchange Online så att den nyckeln används för att hantera skyddat innehåll. Om du påverkas av den här ändringen har du redan importerat nyckeln från AD RMS till Exchange Online. Processen för att importera AD RMS-nyckeln till Azure RMS är liknande, förutom att det innebär att du importerar nyckeln till en annan plats.

Även om de här åtgärdsstegen är en del av stegen som används för att migrera från AD RMS till Azure RMS krävs det inte att du slutför en fullständig migrering från AD RMS till Azure RMS. De här stegen ändrar inte heller klientmiljön eller de nycklar och principer som används i miljön. Användarna kommer inte att se de ändringar som görs i de här stegen och kommer inte heller att behöva någon ytterligare utbildning eller information för dem. När du har kört de här stegen kommer användarna fortfarande att använda AD RMS för att skydda innehåll.

Gör följande:

  1. Exportera AD RMS TPD till Azure RMS. Anvisningarna för hur du gör det finns under Migrering fas 2 – serverkonfiguration för AD RMS.

  2. Konfigurera Azure RMS i skrivskyddsläge genom att konfigurera en princip för onboarding-kontroll som undantar alla användare.

    Det här steget handlar om att skapa en tom AAD-grupp och tilldela den till onboarding-kontrollprincipen genom att köra följande PowerShell-skript:

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "{Group’s GUID}"
    

    Mer information finns i "Steg 2. Avsnittet Förbereda för klientmigrering" i Migrering fas 1 – förberedelse.

  3. Konfigurera Exchange Online för att använda nyckeln som lagras i Azure RMS för skydd i stället för att använda kopian av nyckeln som ursprungligen importerades till Exchange Online-tjänsten. Det gör du genom att köra följande kommando:

    $irmConfig = Get-IRMConfiguration
    
    $list = $irmConfig.LicensingLocation
    
    $list += "<Your Azure RMS URL>/_wmcs/licensing"
    
    Set-IRMConfiguration Set-IRMConfiguration -AzureRMSLicensing $True -LicensingLocation $list**
    

    Ta reda på Azure RMS-URL:en genom att ansluta till Azure Information Protection PowerShell och köra följande cmdlet:

    Get-AipServiceConfiguration
    
  4. Konfigurera relevanta DNS SRV-poster som pekar på Exchange Online. Relevanta poster är de poster där Azure RMS har de artefakter som behövs för att licensiera innehåll som skyddas av AD RMS. De nödvändiga DNS-posterna diskuteras i "Steg 8. Konfigurera IRM-integrering för Exchange Online" i avsnittet Migrering fas 4 – stöd för tjänstkonfiguration.

När du har slutfört de här stegen kan alla användare som använder AD RMS fortsätta att använda det. Det finns bara en ändring: Innehåll som skyddas av Exchange Online-användare genom att använda Outlook på webben eller en Exchange Online-transportregel krypteras i stället genom att använda Azure RMS tillsammans med samma nyckel som lagras i AD RMS och som nu har en Azure RMS-URL i sin licens. Det innebär att användare som använder det här innehållet måste göra begäranden till Azure RMS om att skaffa licenser. Dessa begäranden hanteras automatiskt av Outlook-klienter utan negativa effekter på grund av de onboarding-kontroller som du konfigurerade i steg 2 i den här metoden.

Kommentarer:

  • Om det finns lokala Exchange-servrar i miljön som för närvarande är integrerade med AD RMS krävs ytterligare en konfiguration för att säkerställa att dessa servrar kan dekryptera innehåll som skyddas av Exchange Online-användare. I det här steget får du omdirigeringar som dirigerar Azure RMS-WEBBADRESSerna till AD RMS-klusteren. Konfigurera följande registervärden på varje Exchange-server:

    [HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection]
    “https://[5241e6fb-b220-4cf6-9b95-8889a5b02b52.rms.na.aadrm.com]/_wmcs/licensing” = “https://[AD RMS Intranet Licensing URL]/_wmcs/licensing”
    

    Ersätt värdena mellan hakparenteserna i den här registerundernyckeln med Azure RMS-URL:en i organisationens klientorganisation och AD RMS-kluster-URL:en. Se steg 3 i den här metoden för information om hur du tar reda på URL-adressen.

  • Om några tredje parts program för närvarande används i den miljö som är integrerad för att använda AD RMS-skyddade e-postmeddelanden, måste dessa program revideras när ändringen har gjorts. Den här ändringen är att avgöra om några åtgärder behövs för att se till att programmen fortfarande kan bearbeta meddelanden som skyddas av Exchange Online.

Metod 3: Migrera AD RMS till Azure RMS (rekommenderas)

Det här är den rekommenderade metoden för kunder som kan investera den tid och arbete som krävs. Den här metoden kräver betydande arbete och planering, men den maximerar fördelarna eftersom den gör att organisationen kan fortsätta att använda funktionerna i Azure Information Protection och Azure RMS. Den här funktionen är betydligt mer omfattande än den som finns i AD RMS.

Anvisningar om hur du migrerar från AD RMS till Azure RMS finns i Migrera från AD RMS till Azure Information Protection.

Anteckning

Om du har kört stegen från Metod 2 och väljer att köra Metod 3 senare kan du hoppa över samma steg när du gör den fullständiga migreringen till Azure RMS. Det beror på att Metod 2-stegen är en del av stegen för den fullständiga migreringen.