Exchange Online'te AD RMS'yi Azure RMS'ye geçirme

28 Şubat 2021 tarihinde Microsoft, posta kutusu kullanan kullanıcılar için belirli bir yapılandırma desteğini Exchange Online sona erdi. Yapılandırma, bu kullanıcıların e-posta (AD RMS) tarafından korunan içeriği görmelerini Active Directory Rights Management Services olanak sağlar.

Müşteriler üzerindeki etkisi

Kuruluşun bundan etkilendiğini belirlersanız, "Düzeltme adımları" bölümünde listelenen adımları izleyebilirsiniz. Aksi takdirde, Exchange Online'de posta kutuları olan kullanıcılar artık iOS ve Android için WEB ÜZERINDE OUTLOOK veya Outlook aracılığıyla AD RMS tarafından korunan e-posta iletilerini görüntülemeyecek veya oluşturamaz. Kullanıcılar, Microsoft Outlook masaüstü istemcisini kullanarak AD RMS tarafından korunan iletileri Windows.

AD RMS Exchange Online iletileri korumak üzere yapılandırılmış olan posta akışı kuralları da artık geçerli olmaz.

E-posta ağlarında AD RMS korumalı iletilerin şifresini çözmeyi gerektiren Exchange Online bu tür iletilerin şifresini çözmez. Bu iletiler şifreli durumda bırakılır. Bu tür işlevler eBulma, günlük oluşturma, aktarım kurallarına göre denetleme ve dizin oluşturmadır.

Etkileniyor olup olmadığını belirleme

If your organization is not using AD RMS, this issue not affect you, and you can safely ignore the rest of the article. Azure Rights Management Services (Azure RMS) ve Azure Information Protection kullanan kuruluşlar etkilenmez.

Organizasyonunız AD RMS kullanıyorsa, ancak AD RMS anahtarlarınızı Exchange Online'e aktararak Exchange Online'te AD RMS tümleştirmesi uygulamadısanız, bu değişiklikten de etkilenmezsiniz.

Kullanıcılardan herhangi biri şirket içinde veya posta Microsoft Exchange Server varsa, bu değişiklikten etkilenmezler.

AD RMS ile Exchange Online arasında tümleştirme ayar isteyip Exchange Online için, Exchange Online cmdlet'ini çalıştırın:

Get-IRMConfiguration

Bu cmdlet'in çıkışı aşağıdakine benzer:

InternalLicensingEnabled                      : True

ExternalLicensingEnabled                      : True

AzureRMSLicensingEnabled                      : False

TransportDecryptionSetting                    : Optional

JournalReportDecryptionEnabled                : True

SimplifiedClientAccessEnabled                 : True

ClientAccessServerEnabled                     : True

SearchEnabled                                 : True

EDiscoverySuperUserEnabled                    : True

DecryptAttachmentFromPortal                   : False

DecryptAttachmentForEncryptOnly               : False

SystemCleanupPeriod                           : 0

SimplifiedClientAccessEncryptOnlyDisabled     : False

SimplifiedClientAccessDoNotForwardDisabled    : False

EnablePdfEncryption                           : False

AutomaticServiceUpdateEnabled                 : True

RMSOnlineKeySharingLocation                   :

RMSOnlineVersion                              :

ServiceLocation                               :

PublishingLocation                            :

LicensingLocation                             :

Çıkışta InternalLicensingEnabled'in True olarak ayarlendiği ve AzureRMSLicensingEnabled'in False olarak ayarlendiği gösterilse, bu durumdan etkileneceksiniz demektir. Bu durumda, "Düzeltme adımları" bölümünde sağlanan yöntemlerden birini kullanabilirsiniz.

Not

Bu yapılandırmayı etkinleştirdiyseniz ancak artık kuruluşta AD RMS kullanıyorsanız, bu adımları çalıştırmanız yoktur. Bununla birlikte, bunu yine de yapmanızı öneririz, çünkü sizin fark olmadığınız korumalı içerikler olabilir ve bu içerikler organizasyonda kullanılabilir.

Exchange Online'e aktarmış olduğunuz AD RMS anahtarları hakkında daha fazla bilgi için, Get-RMSTrustedPublishingDomain cmdlet'ini çalıştırın. Bu, çalışma sayfasında etkilenen tüm Güvenilen Yayımlama Etki Alanlarını (TPD) Exchange Online. TPD'ler AD RMS ve Azure RMS anahtarlarını paketlerken kullanılır.

Düzeltme adımları

Bu değişiklik, sizin için önemli bir sorunsa, aşağıdaki düzeltme yöntemlerinden birini ve uygun şekilde kullanın.

Yöntem 1: Hiçbir şey yapma

E-posta iletilerini korumak için, kuruluşta sık sık AD RMS yoksa veya Exchange Online'te posta kutusu olan yalnızca birkaç kullanıcınız varsa, bu değişiklik nedeniyle oluşan işlev kaybı, kurumlarınızı önemli ölçüde etkilemez. Bu durumda, herhangi bir düzeltme adımı atmayacaklarını ve aşağıdaki sonuçları kabul etmeyebilirsiniz:

  • Exchange Online'da posta kutuları olan kullanıcılar artık iOS ve Android için Web üzerinde Outlook veya Outlook'i kullanarak AD RMS tarafından korunan e-posta iletilerini görüntülemeyecek. Bu kullanıcılar, korumalı iletileri masaüstü istemcisinde Outlook masaüstü istemcisinde görüntülemeye Windows.

  • Exchange Online'da posta kutuları olan kullanıcılar, artık AD RMS şablonlarını kullanarak veya Web üzerinde Outlook'te Iletme özelliğini kullanarak koruma uygulayamaz.

  • AD RMS Exchange Online e-posta iletilerini korumak üzere yapılandırılan posta akışı artık geçerli olmaz.

  • E-posta ağlarında AD RMS korumalı e-posta iletilerinin şifresini çözmeyi Exchange Online işlevleri artık bu tür iletilerin şifresini çözemeyecektir. Bu iletiler şifreli bir durumda bırakılır. Bu tür işlevler eBulma, günlük oluşturma, aktarım kurallarına göre denetleme ve dizin oluşturmadır.

Yöntem 2: AD RMS anahtarınızı kullanma

AD RMS anahtarınızı Azure RMS'ye aktarın ve Exchange Online içeriği işlemek için bu anahtarı kullanmak üzere yapılandırın. Bu değişiklik sizi de etkiliyorsa, anahtarınızı ad RMS'den Başka bir Exchange Online. AD RMS anahtarınızı Azure RMS'ye aktarma işlemi, anahtarınızı başka bir konuma aktarmayı da içerdiği dışında benzer bir işlemdir.

Bu düzeltme adımları, AD RMS'den Azure RMS'ye geçirmek için kullanılan adımların bir alt kümesi olsa da, AD RMS'den Azure RMS'ye tam geçiş işlemi tamamlamanız gerektirmez. Bu adımlar istemci ortamını veya ortamda kullanılan anahtarları ve ilkeleri de değiştirmez. Kullanıcılar bu adımlarda yapılan değişiklikleri göremz ve onlar nedeniyle ek eğitime veya farkındalıka da ihtiyaç olmaz. Bu adımları çalıştırdikten sonra, kullanıcılarınız içeriği korumak için AD RMS'yi kullanmaya devam ediyor.

Aşağıdakileri yapın:

  1. AD RMS TPD'nizi Azure RMS'ye aktarın. Bunu yapma adımları, Geçiş aşaması 2 - AD RMS için sunucu tarafı yapılandırmasında belge belge içerir.

  2. Azure RMS'yi salt okunur modda yapılandırmak için tüm kullanıcıları dışlamak üzere bir ekleme denetimi ilkesi ayarlama.

    Bu adım, boş bir AAD oluşturma ve aşağıdaki PowerShell betiği çalıştırarak bu grubu ekleme denetimi ilkesine atamayı içerir:

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "{Group’s GUID}"
    

    Daha fazla bilgi için bkz. "2. Adım. Geçiş aşaması 1 – hazırlık bölümünün İstemci geçişi için hazırlık" bölümü.

  3. Bu Exchange Online, özgün olarak Exchange Online hizmetine alınan anahtarın kopyasını kullanmak yerine, Azure RMS'de depolanan anahtarın bir kopyasını kullanmak Exchange Online yapılandırabilirsiniz. Bunu yapmak için aşağıdaki komutu çalıştırın:

    $irmConfig = Get-IRMConfiguration
    
    $list = $irmConfig.LicensingLocation
    
    $list += "<Your Azure RMS URL>/_wmcs/licensing"
    
    Set-IRMConfiguration Set-IRMConfiguration -AzureRMSLicensing $True -LicensingLocation $list**
    

    Azure RMS URL'sini belirlemek için, Azure Information Protection PowerShell'e bağlanın ve aşağıdaki cmdlet'i çalıştırın:

    Get-AipServiceConfiguration
    
  4. Belirli bir etki alanıyla ilgili DNS SRV Exchange Online. İlgili kayıtlar, AD RMS tarafından korunan içeriği lisanslamalarını sağlamak için Azure RMS'de gerekli yapıların olduğu kayıtlardır. Gerekli DNS kayıtları , "8. Adım. Geçiş aşaması 4 - Exchange Online yapılandırmasının"Geçiş için IRM tümleştirmesi" bölümünü yapılandırma.

Bu adımları tamamlandıktan sonra, şu anda AD RMS kullanan tüm kullanıcılar bunu kullanmaya devam edecektir. Yalnızca bir değişiklik olur: Bunun yerine, Exchange Online kullanıcıları tarafından Web üzerinde Outlook veya Exchange Online aktarım kuralı kullanılarak korunan içerik, Azure RMS'de depolanan ve şimdi lisanslarında Azure RMS URL'si olan anahtarla birlikte kullanılarak şifrelenir. Başka bir ifadeyle, bu içeriği kullanan kullanıcıların lisansları almak için Azure RMS'ye istekte olması gerekir. Bu istekler, bu Outlook adım 2'de yapılandırılan ekleme denetimleri nedeniyle hiçbir olumsuz etki olmadan müşteri tarafından otomatik olarak ele edilir.

Notlar:

  • Şu anda AD RMS ile tümleştirilmiş ortamda şirket içi Exchange sunucuları varsa, bu sunucuların kullanıcılar tarafından korunan içeriğin şifresini çöze olduğundan emin olmak için ek bir yapılandırma Exchange Online gerekir. Bu adım, Azure RMS URL'lerini AD RMS kümelere yönlendiren yeniden yönlendirmeler sağlar. Her bir sunucu için aşağıdaki kayıt defteri Exchange yapılandırabilirsiniz:

    [HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection]
    “https://[5241e6fb-b220-4cf6-9b95-8889a5b02b52.rms.na.aadrm.com]/_wmcs/licensing” = “https://[AD RMS Intranet Licensing URL]/_wmcs/licensing”
    

    Bu kayıt defteri alt anahtarında, köşeli ayraçlar arasındaki değerleri kuruluşun kiracısı Azure RMS URL'si ve AD RMS küme URL'si ile değiştirin. Bu URL'yi belirlemeyle ilgili ayrıntılar için bu yöntemin 3. adımına bakın.

  • Ad RMS korumalı e-posta iletilerini kullanmak üzere tümleşik bir ortamda herhangi bir üçüncü taraf uygulaması şu anda kullanıyorsa, değişiklik yapıldıktan sonra bu uygulamaların gözden geçirilmesi gerekir. Bu düzeltme, uygulamaların tüm uygulamalar tarafından korunan iletileri işleye devam etmek için gerekli eylemlerin gerekli olup olmadığını Exchange Online.

3. Yöntem: AD RMS'yi Azure RMS'ye geçirme (tercih edilir)

Bu, gerekli zamanı ve çabayı yatıran müşteriler için tercih edilen düzeltme yöntemidir. Bu yöntem önemli ölçüde çaba ve planlama gerektiriyor, ancak kuruluşun Azure Information Protection ve Azure RMS işlevlerini kullanmaya devam ettiği için bu yöntemin avantajları en üst düzeye çıkar. Bu işlev, AD RMS'de kullanılabilenden çok daha kapsamlıdır.

AD RMS'den Azure RMS'ye geçiş kılavuzu için bkz. AD RMS'den Azure Information Protection'a geçiş.

Not

Yöntem 2'den adımları çalıştırdıysanız ve Yöntem 3'ü daha sonra çalıştırmayı seçtiysanız, Azure RMS'ye tam geçişte de aynı adımları atlayabilirsiniz. Çünkü Yöntem 2 adımları, tam geçiş için adımların bir alt kümesidir.