Como migrar o AD RMS para o Azure RMS no Exchange Online
Em 28 de fevereiro de 2021, a Microsoft encerrou o suporte para uma configuração específica para usuários que têm caixas de correio Exchange Online. A configuração permite que esses usuários vejam e criem conteúdo protegido pelo AD RMS (Active Directory Rights Management Services).
Efeito sobre os clientes
Se você determinar que sua organização foi afetada, você deverá seguir as etapas listadas na seção "Etapas de correção". Caso contrário, os usuários que têm caixas de correio no Exchange Online não poderão mais exibir ou criar mensagens de email protegidas pelo AD RMS por meio de Outlook na Web ou Outlook para iOS e Android. Os usuários ainda poderão exibir mensagens protegidas pelo AD RMS usando o cliente da área de trabalho do Microsoft Outlook no Windows.
As regras de fluxo de email em Exchange Online configuradas para proteger mensagens usando o AD RMS também não estarão mais em vigor.
Outra funcionalidade que requer a descriptografia de mensagens protegidas pelo AD RMS no Exchange Online não descriptografará mais essas mensagens. Essas mensagens serão deixadas no estado criptografado. Essa funcionalidade inclui descoberta eletrônica, journaling, inspeção por regras de transporte e indexação.
Como determinar se você foi afetado
Se sua organização não estiver usando o AD RMS, esse problema não afetará você e você poderá ignorar com segurança o restante do artigo. As organizações que estão usando o Azure Rights Management Services (Azure RMS) e o Azure Proteção de Informações não são afetadas.
Se sua organização estiver usando o AD RMS, mas você não implementou a integração do AD RMS no Exchange Online importando suas chaves do AD RMS para Exchange Online, você também não será afetado por essa alteração.
Se algum de seus usuários tiver caixas de correio locais Microsoft Exchange Server, eles não serão afetados por essa alteração.
Para determinar se você configurou a integração entre o AD RMS e o Exchange Online, conecte-se ao Exchange Online PowerShell e execute o seguinte cmdlet:
Get-IRMConfiguration
A saída deste cmdlet deve se assemelhar ao seguinte:
InternalLicensingEnabled : True
ExternalLicensingEnabled : True
AzureRMSLicensingEnabled : False
TransportDecryptionSetting : Optional
JournalReportDecryptionEnabled : True
SimplifiedClientAccessEnabled : True
ClientAccessServerEnabled : True
SearchEnabled : True
EDiscoverySuperUserEnabled : True
DecryptAttachmentFromPortal : False
DecryptAttachmentForEncryptOnly : False
SystemCleanupPeriod : 0
SimplifiedClientAccessEncryptOnlyDisabled : False
SimplifiedClientAccessDoNotForwardDisabled : False
EnablePdfEncryption : False
AutomaticServiceUpdateEnabled : True
RMSOnlineKeySharingLocation :
RMSOnlineVersion :
ServiceLocation :
PublishingLocation :
LicensingLocation :
Se a saída mostrar que InternalLicensingEnabled está definido como True e que o AzureRMSLicensingEnabled está definido como False, isso significa que você pode ser afetado por essa preterição. Nesse caso, você deve usar um dos métodos fornecidos na seção "Etapas de correção".
Observação
Se você tiver essa configuração habilitada, mas não usar mais o AD RMS em sua organização, não precisará executar essas etapas. No entanto, recomendamos que você ainda faça isso porque pode haver conteúdo protegido que você não esteja ciente de que está em uso em sua organização.
Para obter mais informações sobre as chaves do AD RMS importadas para Exchange Online, execute o cmdlet Get-RMSTrustedPublishingDomain. Isso identificará todos os TPDs (Domínios de Publicação Confiável) afetados no Exchange Online. Os TPDs são usados para empacotar as chaves AD RMS e Azure RMS.
Etapas de correção
Se sua organização for afetada por essa alteração, use um dos seguintes métodos de correção, conforme apropriado.
Método 1: não fazer nada
Se sua organização não usar frequentemente o AD RMS para proteger mensagens de email ou se você tiver apenas alguns usuários que têm caixas de correio em Exchange Online, a perda de funcionalidade causada por essa alteração não deve afetar significativamente sua organização. Nesse caso, você pode optar por não tomar nenhuma etapa de correção e aceitar as seguintes consequências:
Os usuários que têm caixas de correio no Exchange Online não poderão mais usar Outlook na Web ou Outlook para iOS e Android para exibir mensagens de email protegidas pelo AD RMS. Esses usuários continuarão a poder exibir mensagens protegidas no cliente da área de trabalho do Outlook no Windows.
Os usuários que têm caixas de correio no Exchange Online não poderão mais aplicar proteção usando modelos do AD RMS ou usando o recurso Não Encaminhar em Outlook na Web.
O fluxo de email no Exchange Online configurado para proteger mensagens de email usando o AD RMS não estará mais em vigor.
A funcionalidade que requer a descriptografia de mensagens de email protegidas pelo AD RMS no Exchange Online não será mais capaz de descriptografar essas mensagens. Essas mensagens serão deixadas em um estado criptografado. Essa funcionalidade inclui descoberta eletrônica, journaling, inspeção por regras de transporte e indexação.
Método 2: usar a chave do AD RMS
Importe a chave do AD RMS para o Azure RMS e configure Exchange Online para usar essa chave para lidar com o conteúdo protegido. Se você for afetado por essa alteração, já importou sua chave do AD RMS para Exchange Online. O processo para importar a chave do AD RMS para o Azure RMS é semelhante, exceto que envolve importar a chave para um local diferente.
Embora essas etapas de correção sejam um subconjunto das etapas usadas para migrar do AD RMS para o Azure RMS, elas não exigem que você conclua uma migração completa do AD RMS para o Azure RMS. Essas etapas também não alteram o ambiente do cliente nem as chaves e as políticas usadas no ambiente. Os usuários não verão as alterações feitas por essas etapas, nem precisarão de treinamento ou conscientização adicionais por causa delas. Depois de executar essas etapas, seus usuários ainda usarão o AD RMS para proteger o conteúdo.
Faça o seguinte:
Exporte seu TPD do AD RMS para o Azure RMS. As etapas para fazer isso estão documentadas na fase 2 de migração – configuração do lado do servidor para AD RMS.
Configure o Azure RMS no modo somente leitura configurando uma política de controle de integração que exclua todos os usuários.
Esta etapa envolve criar um grupo de Microsoft Entra vazio e atribuí-lo à política de controle de integração executando o seguinte script do PowerShell:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "{Group’s GUID}"
Para obter mais informações, confira a "Etapa 2. Prepare-se para a migração do cliente" seção de Migração fase 1 – preparação.
Configure Exchange Online para usar a chave armazenada no Azure RMS para proteção em vez de usar a cópia da chave que foi originalmente importada para o serviço Exchange Online. Para fazer isso, execute o seguinte comando:
$irmConfig = Get-IRMConfiguration $list = $irmConfig.LicensingLocation $list += "<Your Azure RMS URL>/_wmcs/licensing" Set-IRMConfiguration Set-IRMConfiguration -AzureRMSLicensing $True -LicensingLocation $list**
Para determinar a URL do Azure RMS, conecte-se ao Azure Proteção de Informações PowerShell e execute o seguinte cmdlet:
Get-AipServiceConfiguration
Configure os registros de SRV DNS relevantes que apontam para Exchange Online. Os registros relevantes são aqueles para os quais o Azure RMS tem os artefatos necessários para habilitar o conteúdo protegido pelo AD RMS. Os registros DNS necessários são discutidos na "Etapa 8. Configurar a integração do IRM para Exchange Online" da fase 4 de migração – configuração de serviços de suporte.
Depois de concluir essas etapas, todos os usuários que atualmente usam o AD RMS poderão continuar a usá-lo. Haverá apenas uma alteração: o conteúdo protegido por usuários Exchange Online usando Outlook na Web ou uma regra de transporte Exchange Online será criptografado usando o Azure RMS junto com a mesma chave armazenada no AD RMS e que agora tem uma URL do Azure RMS em sua licença. Isso significa que os usuários que estão consumindo esse conteúdo devem fazer solicitações ao Azure RMS para adquirir licenças. Essas solicitações serão tratadas automaticamente pelos clientes do Outlook sem efeitos adversos devido aos controles de integração que você configurou na etapa 2 desse método.
Observações:
Se houver servidores do Exchange locais no ambiente que estão atualmente integrados ao AD RMS, uma configuração adicional será necessária para garantir que esses servidores possam descriptografar o conteúdo protegido por Exchange Online usuários. Esta etapa fornece redirecionamentos que apontam as URLs do Azure RMS para os clusters do AD RMS. Configure os seguintes valores de registro em cada servidor do Exchange:
[HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection] “https://[5241e6fb-b220-4cf6-9b95-8889a5b02b52.rms.na.aadrm.com]/_wmcs/licensing” = “https://[AD RMS Intranet Licensing URL]/_wmcs/licensing”
Nesta subchave de registro, substitua os valores entre os colchetes pela URL do Azure RMS no locatário da organização e pela URL do cluster do AD RMS. Consulte a etapa 3 neste método para obter detalhes sobre como determinar essa URL.
Se algum aplicativo de terceiros estiver atualmente em uso no ambiente integrado para consumir mensagens de email protegidas pelo AD RMS, esses aplicativos deverão ser revisados após a alteração. Essa revisão é para determinar se alguma ação é necessária para garantir que os aplicativos ainda possam processar mensagens protegidas por Exchange Online.
Método 3: Migrar o AD RMS para o Azure RMS (preferencial)
Este é o método de correção preferencial para clientes que podem investir o tempo e o esforço necessários. Embora esse método exija esforço e planejamento consideráveis, ele maximiza os benefícios porque permite que a organização continue a usar a funcionalidade do Azure Proteção de Informações e do Azure RMS. Essa funcionalidade é significativamente mais extensa do que a disponível no AD RMS.
Para obter diretrizes para migrar do AD RMS para o Azure RMS, consulte Migrando do AD RMS para o Azure Proteção de Informações.
Observação
Se você tiver executado as etapas do Método 2 e optar por executar o Método 3 posteriormente, poderá ignorar essas mesmas etapas ao fazer a migração completa para o Azure RMS. Isso ocorre porque as etapas do Método 2 são um subconjunto das etapas para a migração completa.