在已有 AD RMS 的情况下为 Azure Rights Management 准备环境

适用范围:**Azure 信息保护Office 365

相关客户端:适用于 Windows 的 Azure 信息保护统一标签客户端和经典客户端**

备注

为了提供统一、简化的客户体验,Azure 门户中的 Azure 信息保护经典客户端和标签管理已于 2021 年 3 月 31 日弃用 。 虽然经典客户端可以继续按配置运行,但不提供进一步的支持,也不再发布经典客户端的维护版本。

建议迁移到统一标记并升级到统一标记客户端。 有关详细信息,请查看我们最近的弃用博客

重要

使用 Active Directory Rights Management Services (AD RMS) 时的指南

如果 Azure Rights Management 服务已激活,且同时还要使用 AD RMS,这样的组合不兼容。 无需执行额外的步骤,一些计算机即可能会自动开始使用 Azure Rights Management 服务,并且还连接到你的 AD RMS 群集。 这种方案不受支持,且结果不可靠,因此请务必采取其他措施。

若要检查是否已部署 AD RMS,请执行以下操作:

  1. 虽然是可选的,但大多数 AD RMS 部署都会将服务连接点 (SCP) 发布到 Active Directory,以便域计算机能够发现 AD RMS 群集。

    使用 ADSI 编辑功能,确定是否已在 Active Directory 中发布 SCP:CN=Configuration [server name], CN=Services, CN=RightsManagementServices, CN=SCP

  2. 如果不要使用 SCP,必须使用以下 Windows 注册表来配置连接到 AD RMS 群集的 Windows 计算机,以实现客户端服务发现或授权重定向:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocationHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\ServiceLocation

    若要详细了解这些注册表配置,请参阅使用 Windows 注册表启用客户端服务发现重定向授权服务器流量

如果为组织部署了 AD RMS,请考虑能否迁移到 Azure 信息保护。 与 AD RMS 相比,Azure 信息保护有许多优势。 例如,为移动设备提供更好的支持以及与 Microsoft 365 服务、Exchange Server 和 SharePoint Server 集成。 有关详细信息,请参阅比较 Azure 信息保护和 AD RMS

迁移到 Azure 信息保护后,不会失去对以前受保护内容的访问权限,也不必取消保护或重新保护内容。 即使在取消预配 AD RMS 后,仍可以打开受 AD RMS 保护的文档和电子邮件。

无论决定是迁移到 Azure 信息保护,还是接受使用当前 AD RMS 部署存在的限制,都必须先确保已停用 Azure Rights Management 服务。 有关说明,请按照适用的方案步骤操作:

你的订阅是在 2018 年 2 月期间或之后购买的

至 2018 年 2 月底,包含 Azure 信息保护的新订阅默认激活 Azure 权限管理服务。 如果此服务已自动激活,且同时还要使用 Active Directory Rights Management Services (AD RMS),这样的组合不兼容。因此,请务必尽快停用 Azure Rights Management 服务。

步骤 1:停用 Azure Rights Management

使用以下某个过程来停用 Azure Rights Management。

提示

也可以使用 Windows PowerShell cmdlet Disable-AipService 来停用 Azure Rights Management 服务。

从 Microsoft 365 管理中心停用权限管理

  1. 转到 Microsoft 365 管理员的“Rights Management”页

    如果系统提示登录,请使用 Microsoft 365 的全局管理员帐户。

  2. 在“权限管理”页中,单击“停用”。

  3. 当看到“是否要停用 Rights Management?”的提示时,请单击“停用”。

现在,应会显示“权限管理未激活”和用于激活的选项。

从 Azure 门户停用 Rights Management

  1. 如果尚未这样做,请打开新的浏览器窗口,登录到 Azure 门户, 然后导航到“Azure 信息保护”窗格。

    例如,在资源、服务和文档的搜索框中:开始键入“信息”并选择“Azure 信息保护”。

    如果以前未访问过“Azure 信息保护”窗格,请查看只执行一次的其他步骤,以便将此窗格添加到门户。

  2. 选择菜单选项中的“保护激活”。

  3. 在“Azure 信息保护 - 保护激活”窗格中,选择“停用” 。 选择“是”以确认你的选择。

信息栏会显示“停用已成功完成”且“停用”现在已替换为“激活”。

步骤 2:开始规划迁移

请参阅迁移指南: 从 AD RMS 迁移到 Azure 信息保护

订阅是在 2018 年 2 月之前或期间购买,且已安装 Exchange Online

Microsoft 即将开始为包含 Azure Rights Management 或 Azure 信息保护的订阅以及使用 Exchange Online 的租户激活 Azure Rights Management 服务。 对于这些租户,自动激活将于 2018 年 8 月 1 日开始推出。

如果此服务已自动激活,且同时还要使用 AD RMS,这样的组合不兼容。因此,请务必让租户选择退出自动服务更新。

第 1 步:选择退出自动服务更新

运行以下 Set-IRMConfiguration Exchange Online PowerShell 命令:Set-IRMConfiguration -AutomaticServiceUpdateEnabled $false

详细信息

步骤 2:开始规划迁移

请参阅迁移指南: 从 AD RMS 迁移到 Azure 信息保护

配置 Azure 信息保护时,可看到“激活保护”的选项

“Azure 信息保护 - 保护激活”窗格中提供用于激活 Azure Rights Management 服务的选项。

如果还要使用 AD RMS,请勿选择“激活”选项。 当 Azure Rights Management 服务未激活时,仍然可以对仅应用分类的标签使用 Azure 信息保护。 将为你创建不包含数据保护的特殊默认策略,并且在激活 Azure Rights Management 服务之前,这些配置选项仍然不可用。

步骤 1:为分类和标签配置 Azure 信息保护策略 - 不带保护

在“Azure 信息保护 - 标签”窗格中,查看和配置不包括数据保护选项的标签。 若要详细了解如何配置标签和策略设置,请参阅配置 Azure 信息保护策略

步骤 2:开始规划迁移

请参阅迁移指南: 从 AD RMS 迁移到 Azure 信息保护

第 3 步:为实现保护而配置标签

在迁移过程中激活 Azure Rights Management 服务后,可以为数据保护配置标签。 但是,如果分批迁移用户,请确保应用保护的标签的适用范围仅为已迁移用户。