通过

如何在 Exchange Online 中将 AD RMS 迁移到 Azure RMS

  • 项目
  • 适用于:
    Exchange Online

2021 年 2 月 28 日,Microsoft 终止了对具有Exchange Online邮箱的用户的特定配置的支持。 该配置允许这些用户查看和创建受 Active Directory Rights Management Services (AD RMS) 保护的内容。

对客户的影响

如果确定组织受到影响,则必须遵循“修正步骤”部分中列出的步骤。 否则,Exchange Online中具有邮箱的用户将无法再通过 Outlook 网页版 或 Outlook for iOS 和 Android 查看或创建受 AD RMS 保护的电子邮件。 用户仍可以使用 Windows 上的 Microsoft Outlook 桌面客户端查看受 AD RMS 保护的邮件。

Exchange Online中配置为使用 AD RMS 保护邮件的邮件流规则也将不再有效。

要求在 Exchange Online 中解密受 AD RMS 保护的消息的其他功能将不再解密此类消息。 这些消息将保持加密状态。 此类功能包括电子数据展示、日记、按传输规则进行的检查和索引编制。

如何确定你是否受到影响

如果你的组织未使用 AD RMS,则此问题不会影响你,你可以放心地忽略本文的其余部分。 使用 Azure Rights Management Services (Azure RMS) 和 Azure 信息保护的组织不受影响。

如果你的组织正在使用 AD RMS,但你尚未通过将 AD RMS 密钥导入到 Exchange Online 来实现在 Exchange Online 中 AD RMS 的集成,则你也不会受到此更改的影响。

如果任何用户具有本地Microsoft Exchange Server邮箱,则不会受到此更改的影响。

若要确定是否在 AD RMS 和Exchange Online之间设置了集成,请连接到 Exchange Online PowerShell,然后运行以下 cmdlet:

Get-IRMConfiguration

此 cmdlet 的输出应如下所示:

InternalLicensingEnabled                      : True

ExternalLicensingEnabled                      : True

AzureRMSLicensingEnabled                      : False

TransportDecryptionSetting                    : Optional

JournalReportDecryptionEnabled                : True

SimplifiedClientAccessEnabled                 : True

ClientAccessServerEnabled                     : True

SearchEnabled                                 : True

EDiscoverySuperUserEnabled                    : True

DecryptAttachmentFromPortal                   : False

DecryptAttachmentForEncryptOnly               : False

SystemCleanupPeriod                           : 0

SimplifiedClientAccessEncryptOnlyDisabled     : False

SimplifiedClientAccessDoNotForwardDisabled    : False

EnablePdfEncryption                           : False

AutomaticServiceUpdateEnabled                 : True

RMSOnlineKeySharingLocation                   :

RMSOnlineVersion                              :

ServiceLocation                               :

PublishingLocation                            :

LicensingLocation                             :

如果输出显示 InternalLicensingEnabled 设置为 True ,并且 AzureRMSLicensingEnabled 设置为 False,则表示可能会受到此弃用的影响。 在这种情况下,必须使用“修正步骤”部分提供的方法之一。

注意

如果已启用此配置,但不再在组织中使用 AD RMS,则无需运行这些步骤。 但是,我们建议你仍然这样做,因为可能存在你不知道组织中正在使用的受保护内容。

有关导入Exchange Online的 AD RMS 密钥的详细信息,请运行 Get-RMSTrustedPublishingDomain cmdlet。 这将标识Exchange Online中受影响的所有受信任的发布域 (TPD) 。 TPD 用于打包 AD RMS 和 Azure RMS 密钥。

修正步骤

如果组织受到此更改的影响,请根据需要使用以下修正方法之一。

方法 1:不执行任何操作

如果你的组织不经常使用 AD RMS 来保护电子邮件,或者只有少数用户在Exchange Online中具有邮箱,则此更改导致的功能丢失不应对组织产生重大影响。 在这种情况下,可以选择不执行任何修正步骤,并接受以下后果:

  • 在 Exchange Online 中拥有邮箱的用户将无法再使用 Outlook 网页版 或 Outlook for iOS 和 Android 查看受 AD RMS 保护的电子邮件。 这些用户将继续能够在 Windows 上的 Outlook 桌面客户端中查看受保护的邮件。

  • Exchange Online中具有邮箱的用户将无法再通过使用 AD RMS 模板或Outlook 网页版中的“请勿转发”功能来应用保护。

  • Exchange Online中配置为使用 AD RMS 保护电子邮件的邮件流将不再有效。

  • 要求在 Exchange Online 中解密受 AD RMS 保护的电子邮件的功能将无法再解密此类邮件。 这些消息将保持加密状态。 此类功能包括电子数据展示、日记、按传输规则进行的检查和索引编制。

方法 2:使用 AD RMS 密钥

将 AD RMS 密钥导入 Azure RMS,并将Exchange Online配置为使用该密钥来处理受保护的内容。 如果受此更改的影响,则已将密钥从 AD RMS 导入到Exchange Online。 将 AD RMS 密钥导入 Azure RMS 的过程类似,只不过涉及到将密钥导入其他位置。

尽管这些修正步骤是用于从 AD RMS 迁移到 Azure RMS 的步骤的子集,但它们不要求完成从 AD RMS 到 Azure RMS 的完整迁移。 这些步骤也不会更改客户端环境或环境中使用的密钥和策略。 用户不会看到这些步骤所做的更改,也不需要任何额外的培训或意识。 运行这些步骤后,用户仍将使用 AD RMS 来保护内容。

请执行以下操作:

  1. 将 AD RMS TPD 导出到 Azure RMS。 迁移 阶段 2 - AD RMS 的服务器端配置中介绍了执行此操作的步骤。

  2. 通过设置排除所有用户的加入控制策略,在只读模式下配置 Azure RMS。

    此步骤涉及创建一个空Microsoft Entra组,并通过运行以下 PowerShell 脚本将其分配给载入控制策略:

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "{Group’s GUID}"

    有关详细信息,请参阅 “步骤 2。准备客户端迁移“部分迁移阶段 1 - 准备

  3. 将Exchange Online配置为使用 Azure RMS 中存储的密钥进行保护,而不是使用最初导入到 Exchange Online 服务的密钥副本。 为此,请运行下列命令:

    $irmConfig = Get-IRMConfiguration

$list = $irmConfig.LicensingLocation

$list += "<Your Azure RMS URL>/_wmcs/licensing"

Set-IRMConfiguration Set-IRMConfiguration -AzureRMSLicensing $True -LicensingLocation $list**

    若要确定 Azure RMS URL,请连接到 Azure 信息保护 PowerShell,并运行以下 cmdlet:

    Get-AipServiceConfiguration

  4. 配置指向Exchange Online的相关 DNS SRV 记录。 相关记录是 Azure RMS 具有允许其许可受 AD RMS 保护的内容所需的项目。 所需的 DNS 记录在“步骤 8”中讨论。为Exchange Online配置 IRM 集成“部分的迁移阶段 4 - 支持服务配置

完成这些步骤后,当前使用 AD RMS 的所有用户都可以继续使用它。 只有一项更改:受Exchange Online用户使用Outlook 网页版或Exchange Online传输规则保护的内容将改为将 Azure RMS 与存储在 AD RMS 中的同一密钥一起加密,并且其许可证中现在具有 Azure RMS URL。 这意味着使用此内容的用户必须向 Azure RMS 发出请求以获取许可证。 由于在此方法的步骤 2 中配置的加入控件,Outlook 客户端将自动处理这些请求,而不会产生任何不利影响。

注意:

  • 如果环境中存在当前与 AD RMS 集成的本地 Exchange 服务器,则需要一个额外的配置,以确保这些服务器可以解密受Exchange Online用户保护的内容。 此步骤提供将 Azure RMS URL 指向 AD RMS 群集的重定向。 在每个 Exchange 服务器上配置以下注册表值:

    [HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection]
“https://[5241e6fb-b220-4cf6-9b95-8889a5b02b52.rms.na.aadrm.com]/_wmcs/licensing” = “https://[AD RMS Intranet Licensing URL]/_wmcs/licensing”

    在此注册表子项中,将括号之间的值替换为组织的租户中的 Azure RMS URL 和 AD RMS 群集 URL。 有关如何确定此 URL 的详细信息,请参阅此方法中的步骤 3。

  • 如果在集成以使用受 AD RMS 保护的电子邮件的环境中当前正在使用任何第三方应用程序,则必须在进行更改后修改这些应用程序。 此修订版用于确定是否需要执行任何操作,以确保应用程序仍可处理受Exchange Online保护的消息。

方法 3:将 AD RMS 迁移到 Azure RMS (首选)

对于可以投入必要时间和精力的客户来说,这是首选的修正方法。 虽然此方法需要大量的工作量和规划,但它可以最大程度地提高优势,因为它允许组织继续使用 Azure 信息保护和 Azure RMS 的功能。 此功能比 AD RMS 中提供的功能要广泛得多。

有关从 AD RMS 迁移到 Azure RMS 的指南,请参阅从 AD RMS 迁移到 Azure 信息保护

注意

如果已运行方法 2 中的步骤,并且选择稍后运行方法 3,则可以在完全迁移到 Azure RMS 时跳过这些步骤。 这是因为方法 2 步骤是完整迁移步骤的子集。