在已有 AD RMS 的情况下为 Azure Rights Management 准备环境
重要
使用 Active Directory Rights Management Services (AD RMS) 时的指南
如果 Azure Rights Management 服务已激活,且同时还要使用 AD RMS,这样的组合不兼容。 无需执行额外的步骤,一些计算机即可能会自动开始使用 Azure Rights Management 服务,并且还连接到你的 AD RMS 群集。 这种方案不受支持,且结果不可靠,因此请务必采取其他措施。
若要检查是否已部署 AD RMS,请执行以下操作:
虽然是可选的,但大多数 AD RMS 部署都会将服务连接点 (SCP) 发布到 Active Directory,以便域计算机能够发现 AD RMS 群集。
使用 ADSI 编辑功能,确定是否已在 Active Directory 中发布 SCP:
CN=Configuration [server name], CN=Services, CN=RightsManagementServices, CN=SCP
如果不要使用 SCP,必须使用以下 Windows 注册表来配置连接到 AD RMS 群集的 Windows 计算机,以实现客户端服务发现或授权重定向:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation
或HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\ServiceLocation
若要详细了解这些注册表配置,请参阅使用 Windows 注册表启用客户端服务发现和重定向授权服务器流量。
如果为组织部署了 AD RMS,请考虑能否迁移到 Azure 信息保护。 与 AD RMS 相比,Azure 信息保护有许多优势。 例如,为移动设备提供更好的支持以及与 Microsoft 365 服务、Exchange Server 和 SharePoint Server 集成。 有关详细信息,请参阅比较 Azure 信息保护和 AD RMS。
迁移到 Azure 信息保护后,不会失去对以前受保护内容的访问权限,也不必取消保护或重新保护内容。 即使在取消预配 AD RMS 后,仍可以打开受 AD RMS 保护的文档和电子邮件。
无论决定是迁移到 Azure 信息保护,还是接受使用当前 AD RMS 部署存在的限制,都必须先确保已停用 Azure Rights Management 服务。 有关说明,请按照适用的方案步骤操作:
你的订阅是在 2018 年 2 月期间或之后购买的
至 2018 年 2 月底,包含 Azure 信息保护的新订阅默认激活 Azure 权限管理服务。 如果此服务已自动激活,且同时还要使用 Active Directory Rights Management Services (AD RMS),这样的组合不兼容。因此,请务必尽快停用 Azure Rights Management 服务。
步骤 1:停用 Azure Rights Management
使用以下某个过程来停用 Azure Rights Management。
提示
也可以使用 Windows PowerShell cmdlet Disable-AipService 来停用 Azure Rights Management 服务。
从 Microsoft 365 管理中心停用权限管理
转到 Microsoft 365 管理员的“Rights Management”页。
如果系统提示登录,请使用 Microsoft 365 的全局管理员帐户。
在“权限管理”页中,单击“停用”。
当看到“是否要停用 Rights Management?”的提示时,请单击“停用”。
现在,应会显示“权限管理未激活”和用于激活的选项。
从 Azure 门户停用 Rights Management
如果尚未这样做,请打开新的浏览器窗口,登录到 Azure 门户, 然后导航到“Azure 信息保护”窗格。
例如,在资源、服务和文档的搜索框中:开始键入“信息”并选择“Azure 信息保护”。
如果以前未访问过“Azure 信息保护”窗格,请查看只执行一次的其他步骤,以便将此窗格添加到门户。
选择菜单选项中的“保护激活”。
在“Azure 信息保护 - 保护激活”窗格中,选择“停用” 。 选择“是”以确认你的选择。
信息栏会显示“停用已成功完成”且“停用”现在已替换为“激活”。
步骤 2:开始规划迁移
请参阅迁移指南:从 AD RMS 迁移到 Azure 信息保护
订阅是在 2018 年 2 月之前或期间购买,且已安装 Exchange Online
Microsoft 即将开始为包含 Azure Rights Management 或 Azure 信息保护的订阅以及使用 Exchange Online 的租户激活 Azure Rights Management 服务。 对于这些租户,自动激活将于 2018 年 8 月 1 日开始推出。
如果此服务已自动激活,且同时还要使用 AD RMS,这样的组合不兼容。因此,请务必让租户选择退出自动服务更新。
第 1 步:选择退出自动服务更新
运行以下 Set-IRMConfiguration 交换在线 PowerShell 命令:Set-IRMConfiguration -AutomaticServiceUpdateEnabled $false
步骤 2:开始规划迁移
请参阅迁移指南:从 AD RMS 迁移到 Azure 信息保护
配置 Azure 信息保护时,可看到“激活保护”的选项
“Azure 信息保护 - 保护激活”窗格中提供用于激活 Azure Rights Management 服务的选项。
如果还要使用 AD RMS,请勿选择“激活”选项。 当 Azure Rights Management 服务未激活时,仍然可以对仅应用分类的标签使用 Azure 信息保护。 将为你创建不包含数据保护的特殊默认策略,并且在激活 Azure Rights Management 服务之前,这些配置选项仍然不可用。
步骤 1:为分类和标签配置 Azure 信息保护策略 - 不带保护
在“Azure 信息保护 - 标签”窗格中,查看和配置不包括数据保护选项的标签。 若要详细了解如何配置标签和策略设置,请参阅配置 Azure 信息保护策略。
步骤 2:开始规划迁移
请参阅迁移指南:从 AD RMS 迁移到 Azure 信息保护
步骤 3:配置保护的标签
在迁移过程中激活 Azure Rights Management 服务后,可以为数据保护配置标签。 但是,如果分批迁移用户,请确保应用保护的标签的适用范围仅为已迁移用户。