如何在 Exchange Online 中将 AD RMS 迁移到 Azure RMS

2021 年 2 月 28 日,Microsoft 终止了对具有 Exchange Online 邮箱的用户的特定配置的支持。 该配置允许这些用户查看和创建受 AD RMS Active Directory Rights Management Services (保护) 。

对客户的影响

如果确定组织受到影响,则必须按照"修正步骤"一节中列出的步骤操作。 否则,在 Exchange Online 中拥有邮箱的用户将无法通过 Outlook 网页版或 Outlook for iOS 和 Outlook for Android 查看或创建受 AD RMS 保护的电子邮件。 用户仍可使用 Windows 上的 Microsoft Outlook 桌面客户端查看受 AD RMS 保护的邮件。

Exchange Online 中配置为使用 AD RMS 保护邮件的邮件流规则也将不再有效。

Exchange Online 中需要解密受 AD RMS 保护的邮件的其他功能将不再解密此类邮件。 这些邮件将离开加密状态。 此类功能包括电子数据展示、日记、传输规则检查和索引编制。

如何确定是否受到影响

如果您的组织没有使用 AD RMS,则此问题不会影响您,您可以放心地忽略本文的其余部分。 使用 Azure 权限管理服务 (Azure RMS) Azure 信息保护不受影响。

如果您的组织使用的是 AD RMS,但您尚未通过将 AD RMS 密钥导入 Exchange Online 来实施 Exchange Online 中的 AD RMS 集成,您也不受此更改的影响。

如果任何用户在本地拥有Microsoft Exchange Server邮箱,则这些用户将不会受到此更改的影响。

若要确定是否已设置 AD RMS 和 Exchange Online 之间的集成,请连接到 Exchange Online PowerShell,然后运行以下 cmdlet:

Get-IRMConfiguration

此 cmdlet 的输出应类似于以下内容:

InternalLicensingEnabled                      : True

ExternalLicensingEnabled                      : True

AzureRMSLicensingEnabled                      : False

TransportDecryptionSetting                    : Optional

JournalReportDecryptionEnabled                : True

SimplifiedClientAccessEnabled                 : True

ClientAccessServerEnabled                     : True

SearchEnabled                                 : True

EDiscoverySuperUserEnabled                    : True

DecryptAttachmentFromPortal                   : False

DecryptAttachmentForEncryptOnly               : False

SystemCleanupPeriod                           : 0

SimplifiedClientAccessEncryptOnlyDisabled     : False

SimplifiedClientAccessDoNotForwardDisabled    : False

EnablePdfEncryption                           : False

AutomaticServiceUpdateEnabled                 : True

RMSOnlineKeySharingLocation                   :

RMSOnlineVersion                              :

ServiceLocation                               :

PublishingLocation                            :

LicensingLocation                             :

如果输出显示 InternalLicensingEnabled 设置为 True, 并且 AzureRMSLicensingEnabled 设置为 False, 则意味着你可能会受到此弃用的影响。 在这种情况下,必须使用"修正步骤"部分中提供的方法之一。

备注

如果已启用此配置,但组织中不再使用 AD RMS,则无需运行这些步骤。 但是,我们建议您仍然这样做,因为您可能不知道您的组织中正使用受保护的内容。

有关导入到 Exchange Online 中的 AD RMS 密钥详细信息,请运行 Get-RMSTrustedPublishingDomain cmdlet。 这将标识 Exchange Online 中 (所有受信任) 域和 TPD。 TPD 用于打包 AD RMS 和 Azure RMS 密钥。

修正步骤

如果您的组织受此更改影响,请根据情况使用以下修正方法之一。

方法 1:不执行任何操作

如果您的组织不经常使用 AD RMS 保护电子邮件,或者如果您只有少数用户在 Exchange Online 中拥有邮箱,则此更改导致的功能丢失应该不会显著影响您的组织。 在这种情况下,你可以选择不执行任何修正步骤,并接受以下后果:

  • 在 Exchange Online 中拥有邮箱的用户将不再能够使用 Outlook 网页版或 Outlook for iOS 和 Outlook for Android 查看受 AD RMS 保护的电子邮件。 这些用户将继续能够在 Windows 上的 Outlook 桌面客户端中查看受保护的邮件。

  • 在 Exchange Online 中拥有邮箱的用户将不再能够使用 AD RMS 模板或 Web 上的 Outlook 中的"不要转发"功能应用保护。

  • 配置为使用 AD RMS 保护电子邮件的 Exchange Online 中的邮件流将不再有效。

  • Exchange Online 中需要解密受 AD RMS 保护的电子邮件的功能将无法再解密此类邮件。 这些邮件将离开加密状态。 此类功能包括电子数据展示、日记、传输规则检查和索引编制。

方法 2:使用 AD RMS 密钥

将 AD RMS 密钥导入 Azure RMS,并配置 Exchange Online 以使用该密钥处理受保护的内容。 如果受此更改影响,则你已将密钥从 AD RMS 导入 Exchange Online。 将 AD RMS 密钥导入 Azure RMS 的过程与此类似,只是涉及将密钥导入到其他位置。

尽管这些修正步骤是用于从 AD RMS 迁移到 Azure RMS 的步骤的子集,但不需要完成从 AD RMS 到 Azure RMS 的完整迁移。 这些步骤不会更改客户端环境或环境中使用的密钥和策略。 用户将不会看到这些步骤所做的更改,也不需要任何额外的培训或意识。 运行这些步骤后,用户仍将使用 AD RMS 来保护内容。

请执行以下操作:

  1. 将 AD RMS TPD 导出到 Azure RMS。 为此,步骤记录在迁移阶段 2 - AD RMS 的服务器端配置中

  2. 通过设置排除所有用户的载入控制策略,在只读模式下配置 Azure RMS。

    此步骤涉及创建空 AAD 组,并运行以下 PowerShell 脚本将其分配给载入控制策略:

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "{Group’s GUID}"
    

    有关详细信息,请参阅"步骤 2.迁移阶段 1 - 准备 的"准备客户端迁移"部分

  3. 将 Exchange Online 配置为使用 Azure RMS 中存储的密钥进行保护,而不是使用最初导入 Exchange Online 服务的密钥副本。 为此,请运行下列命令:

    $irmConfig = Get-IRMConfiguration
    
    $list = $irmConfig.LicensingLocation
    
    $list += "<Your Azure RMS URL>/_wmcs/licensing"
    
    Set-IRMConfiguration Set-IRMConfiguration -AzureRMSLicensing $True -LicensingLocation $list**
    

    若要确定 Azure RMS URL,请连接到 Azure 信息保护 PowerShell 并运行以下 cmdlet:

    Get-AipServiceConfiguration
    
  4. 配置指向 Exchange Online 的相关 DNS SRV 记录。 相关记录是 Azure RMS 具有必要的项目以允许其许可受 AD RMS 保护的内容的记录。 "步骤 8 中讨论了所需的 DNS 记录。配置 Exchange Online 的 IRM 集成"的迁移阶段 4 - 支持服务配置 部分

完成这些步骤后,当前使用 AD RMS 的所有用户都可以继续使用它。 只有一项更改:使用 Outlook 网页版或 Exchange Online 传输规则受 Exchange Online 用户保护的内容将改为使用 Azure RMS 以及存储在 AD RMS 中的相同密钥进行加密,且其许可证中现在具有 Azure RMS URL。 这意味着使用此内容的用户必须请求 Azure RMS 获取许可证。 由于在此方法的步骤 2 中配置的载入控件,这些请求将由 Outlook 客户端自动处理,没有任何负面影响。

注意:

  • 如果环境中当前有本地 Exchange 服务器与 AD RMS 集成,则还需要进行一个额外的配置,以确保这些服务器可以解密受 Exchange Online 用户保护的内容。 此步骤提供将 Azure RMS URL 指向 AD RMS 群集的重定向。 在每个 Exchange 服务器上配置以下注册表值:

    [HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection]
    “https://[5241e6fb-b220-4cf6-9b95-8889a5b02b52.rms.na.aadrm.com]/_wmcs/licensing” = “https://[AD RMS Intranet Licensing URL]/_wmcs/licensing”
    

    在此注册表子项中,将括号中的值替换为组织租户中的 Azure RMS URL 和 AD RMS 群集 URL。 请参阅此方法中的步骤 3,了解有关如何确定此 URL 的详细信息。

  • 如果当前在集成使用受 AD RMS 保护的电子邮件的环境中使用了任何第三方应用程序,则必须在更改后修改这些应用程序。 此修订用于确定是否需要执行任何操作,以确保应用程序仍可处理受 Exchange Online 保护的邮件。

方法 3:将 AD RMS 迁移到 Azure RMS (首选)

对于可以投入必要时间和精力的客户,这是首选的修正方法。 虽然此方法需要投入大量精力和进行规划,但它能够最大限度地利用优势,因为它可让组织继续使用 Azure 信息保护和 Azure RMS 的功能。 此功能比 AD RMS 中提供的功能范围要大很多。

有关从 AD RMS 迁移到 Azure RMS 的指南,请参阅从 AD RMS 迁移到 Azure 信息保护

备注

如果已运行方法 2 中的步骤,并且选择稍后运行方法 3,则当您执行到 Azure RMS 的完整迁移时,可以跳过相同的步骤。 这是因为方法 2 步骤是完整迁移步骤的子集。