重要
使用 Active Directory Rights Management Services (AD RMS) 时的指南
如果 Azure Rights Management 服务已激活,且同时还要使用 AD RMS,这样的组合不兼容。 无需执行额外的步骤,一些计算机即可能会自动开始使用 Azure Rights Management 服务,并且还连接到你的 AD RMS 群集。 这种方案不受支持,且结果不可靠,因此请务必采取其他措施。
若要检查是否已部署 AD RMS,请执行以下操作:
虽然是可选的,但大多数 AD RMS 部署都会将服务连接点 (SCP) 发布到 Active Directory,以便域计算机能够发现 AD RMS 群集。
使用 ADSI 编辑功能,确定是否已在 Active Directory 中发布 SCP:
CN=Configuration [server name], CN=Services, CN=RightsManagementServices, CN=SCP如果不要使用 SCP,必须使用以下 Windows 注册表来配置连接到 AD RMS 群集的 Windows 计算机,以实现客户端服务发现或授权重定向:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation或HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\MSIPC\ServiceLocation若要详细了解这些注册表配置,请参阅使用 Windows 注册表启用客户端服务发现和重定向授权服务器流量。
如果为组织部署了 AD RMS,请考虑能否迁移到 Azure 信息保护。 与 AD RMS 相比,Azure 信息保护有许多优势。 例如,为移动设备提供更好的支持以及与 Microsoft 365 服务、Exchange Server 和 SharePoint Server 集成。 有关详细信息,请参阅比较 Azure 信息保护和 AD RMS。
迁移到 Azure 信息保护后,不会失去对以前受保护内容的访问权限,也不必取消保护或重新保护内容。 即使在取消预配 AD RMS 后,仍可以打开受 AD RMS 保护的文档和电子邮件。
无论决定是迁移到 Azure 信息保护,还是接受使用当前 AD RMS 部署存在的限制,都必须先确保已停用 Azure Rights Management 服务。 有关说明,请按照适用的方案步骤操作:
你的订阅是在 2018 年 2 月期间或之后购买的
至 2018 年 2 月底,包含 Azure 信息保护的新订阅默认激活 Azure 权限管理服务。 如果此服务已自动激活,且同时还要使用 Active Directory Rights Management Services (AD RMS),这样的组合不兼容。因此,请务必尽快停用 Azure Rights Management 服务。
步骤 1:停用 Azure Rights Management
使用以下某个过程来停用 Azure Rights Management。
提示
也可以使用 Windows PowerShell cmdlet Disable-AipService 来停用 Azure Rights Management 服务。
从 Microsoft 365 管理中心停用权限管理
转到 Microsoft 365 管理员的“Rights Management”页。
如果系统提示登录,请使用 Microsoft 365 的全局管理员帐户。
在“权限管理”页中,单击“停用”。
当看到“是否要停用 Rights Management?”的提示时,请单击“停用”。
现在,应会显示“权限管理未激活”和用于激活的选项。
从 Azure 门户停用 Rights Management
如果尚未这样做,请打开新的浏览器窗口,登录到 Azure 门户, 然后导航到“Azure 信息保护”窗格。
例如,在资源、服务和文档的搜索框中:开始键入“信息”并选择“Azure 信息保护”。
如果以前未访问过“Azure 信息保护”窗格,请查看只执行一次的其他步骤,以便将此窗格添加到门户。
选择菜单选项中的“保护激活”。
在“Azure 信息保护 - 保护激活”窗格中,选择“停用” 。 选择“是”以确认你的选择。
信息栏会显示“停用已成功完成”且“停用”现在已替换为“激活”。
订阅是在 2018 年 2 月之前或期间购买,且已安装 Exchange Online
Microsoft 即将开始为包含 Azure Rights Management 或 Azure 信息保护的订阅以及使用 Exchange Online 的租户激活 Azure Rights Management 服务。 对于这些租户,自动激活将于 2018 年 8 月 1 日开始推出。
如果此服务已自动激活,且同时还要使用 AD RMS,这样的组合不兼容。因此,请务必让租户选择退出自动服务更新。
第 1 步:选择退出自动服务更新
运行以下 Set-IRMConfiguration 交换在线 PowerShell 命令:Set-IRMConfiguration -AutomaticServiceUpdateEnabled $false
配置 Azure 信息保护时,可看到“激活保护”的选项
“Azure 信息保护 - 保护激活”窗格中提供用于激活 Azure Rights Management 服务的选项。
如果还要使用 AD RMS,请勿选择“激活”选项。 当 Azure Rights Management 服务未激活时,仍然可以对仅应用分类的标签使用 Azure 信息保护。 将为你创建不包含数据保护的特殊默认策略,并且在激活 Azure Rights Management 服务之前,这些配置选项仍然不可用。
步骤 1:为分类和标签配置 Azure 信息保护策略 - 不带保护
在“Azure 信息保护 - 标签”窗格中,查看和配置不包括数据保护选项的标签。 若要详细了解如何配置标签和策略设置,请参阅配置 Azure 信息保护策略。
第 2 步:为实现保护而配置标签
在迁移过程中激活 Azure Rights Management 服务后,可以为数据保护配置标签。 但是,如果分批迁移用户,请确保应用保护的标签的适用范围仅为已迁移用户。