更新可供用户Office AD RMS 到 Azure RMS 的迁移
备注
Office 365 ProPlus 正在重命名为 适用于企业的 Microsoft 365 应用。 有关此更改的详细信息, 请阅读此博客文章。
症状
如果组织已Active Directory Rights Management Services (AD RMS) 并想要迁移到 Azure 信息保护,则典型的迁移过程包括从 AD RMS 群集导出根密钥,然后将它们导入 Azure RMS。 Azure RMS 是 Azure 信息保护平台中的一项服务。
在某些情况下,AD RMS 群集可能会配置为阻止将密钥导出并导入云。 如果满足下列条件之一,则可能会发生此行为:
- 密钥标记为不可导出,并受 Azure 信息保护不直接支持的硬件安全模块保护。
- 密钥位于硬件安全模块中,其运算符卡或密钥导出所需的其他项目不可用。
解决方案
可使用修复程序Office MSIPC RMS 客户端继续使用 AD RMS 来使用以前受保护的内容,而无需授予使用这些密钥保护新内容的能力。 通过修复,客户端可以使用 Azure RMS 保护和使用内容。
此更新可从 Microsoft 更新获得。 有关详细信息,请参阅更新Windows常见问题解答。
此修补程序适用于 Microsoft Office 2013、Office 2016 和使用 MSIPC SDK 2.1 开发的其他 MSIPC 应用程序。
此更新适用于以下版本的 Office:
- Office 2013 版本 15.0.4849.1000 或更高版本
- Office 2016 MSI 版本 16.0.4496.1000 或更高版本。
- Office 2016 C2R 版本 16.0.7407.1000 或更高版本
若要在运行 Office 2013、Office 2016 或其他使用 MSIPC SDK 开发的应用程序的 Windows 客户端上安装修补程序后,以只读模式设置 AD RMS,您必须拒绝访问 Publish.asmx 页面。 为此,请按照下列步骤操作:
登录到用户用于保护内容的每个 AD RMS 服务器:单击"开始",指向"管理工具",然后单击"Internet Information Services (IIS) 管理器"。
如果显示 "用户帐户控制"对话框,请确认显示的操作是您想要的操作,然后单击"继续 "。
展开域节点,展开网站,展开默认网站,然后展开 _ wmcs。
注意 请注意,您可能在默认网站外的网站中安装了 AD RMS。 如果是这种情况,必须相应地调整上述路径。
右键单击许可文件夹,然后单击 切换到内容视图。
右键单击 "Publish.asmx", 然后单击"切换到功能视图"。
在"IIS"下,双击"身份验证 "。 确保已 禁用 匿名身份验证 (请注意,此身份验证将禁用与使用受信任的用户域交换系统的其他) 。
再次右键单击许可目录,然后单击"切换到内容视图"。
右键单击 "Publish.asmx", 然后单击"编辑权限"。
在"安全性" 窗格中,单击 "编辑", 然后单击"添加 "。
输入要阻止使用 AD RMS 保护内容的组的名称,单击"确定",然后单击"拒绝"列中 的"完全控制"。 若要拒绝所有用户使用 AD RMS 保护内容的能力,请使用 Everyone 作为组。
单击“确定”。
关闭 IIS 管理器。
一旦在所有 AD RMS 节点上通过此方式配置 IIS,就可以通过执行以下操作确认客户端可以在只读模式下使用 AD RMS:
- 从未配置为使用 AD RMS 或 Azure RMS 的客户端开始。 打开使用 AD RMS 保护的内容。
- 接下来,尝试保护新内容。 您将无法执行此操作。
配置为使用 Azure RMS 的客户端还将能够使用来自 AD RMS 的内容,而不会影响之前使用 Azure RMS 的配置。 客户端使用 AD RMS 中的内容后,他们将继续使用 Azure RMS 保护内容。
如果将 IIS 配置为 AD RMS 的取消设置过程的一部分,则还应使用 AD RMS 控制台取消发布 AD RMS 服务连接点。
更多信息
在从 AD RMS 迁移到 Azure 信息保护的典型迁移过程中,用于保护内容的 AD RMS 群集的根密钥 (称为服务器许可方证书 [SLC]) ,该根密钥从群集导出并导入 Azure 信息保护平台的 Azure RMS 服务部分。 然后,Windows客户端配置为将许可证请求重定向到 Azure RMS 服务,以打开受 AD RMS 群集保护的内容。 然后,RMS 根据文档中的策略和其他使客户端能够使用 AD RMS 来保护内容的项目颁发许可证。
在这些项中,Windows客户端通过调用 AD RMS 群集中 Publish.asmx 下提供的 API 来获取客户端许可方证书 (CLC) 。 颁发 CLC 后,此证书使客户端能够使用与 AD RMS 群集的 SLC 密钥关联的密钥来保护内容。
通过拒绝访问这些 API,安装了此修补程序且配置为使用 Azure RMS 的客户端可以使用来自 AD RMS 的内容,而无需从 AD RMS 接收 CLC。 这使客户端能够继续使用 Azure RMS 来保护所有新内容,同时保留对以前受 AD RMS 保护的内容的访问权限,即使 AD RMS 密钥尚未导入 Azure RMS。
这允许逐步逐步退出 AD RMS 基础结构,因为新内容使用 Azure RMS 进行保护,直到受 AD RMS 保护的内容由 Azure RMS 中的新密钥重新保护,否则这些内容不再相关。 然后,可以停用 AD RMS 群集及其 SLC。
仍然需要帮助? 请转到 Microsoft 社区。