Exchange ne peut pas déchiffrer les messages IRM protégés par Azure RMS une fois MSIPC activé

Symptômes 

Prenons l’exemple du scénario suivant :

• Dans Microsoft Exchange Server 2019 ou 2016, vous activez une pile Microsoft Information Protection Client (MSIPC) en suivant les étapes fournies dans Activer la prise en charge du contenu chiffré AES256-CBC dans Exchange Server unité de stockage d’août 2023.

• Vous recevez des messages IRM protégés par un modèle RMS (Azure Rights Management Services) qui attribue des autorisations à « Tous les utilisateurs et groupes de votre organization ».

• Vous utilisez le client Outlook sur le Web (OWA) pour accéder aux messages protégés.

Dans ce scénario, vous remarquez que Exchange Server ne peut plus déchiffrer les messages IRM.

État  

Microsoft a confirmé qu’il s’agit d’un problème connu dans les produits répertoriés dans la section « S’applique à » et travaille sur une solution pour y remédier. 

Solution de contournement

Pour contourner ce problème, appliquez l'une des méthodes suivantes : 

• Utilisez le client Outlook au lieu d’OWA pour accéder aux messages protégés par IRM.

• Créez un groupe de distribution dynamique (DDG) qui inclut toutes les boîtes aux lettres utilisateur hébergées sur Exchange Server localement. Pour ce faire, exécutez les applets de commande PowerShell suivantes :

  1. Créez le DDG :
     
     New-DynamicDistributionGroup allstaff -PrimarySmtpAddress allstaff-7184ab3f-ccd1-46f3-8233-3e09e9cf0e66@contoso.onmicrosoft.com -IncludedRecipients Mailbox -RecipientContainer 'contoso.com'

  2. Masquez le DDG et empêchez-le de recevoir des e-mails : Set-DynamicDistributionGroup -Name allstaff -HiddenFromAddressListsEnabled $true -AcceptMessagesOnlyFrom administrator@contoso.com
     
     

• Créez un groupe de distribution (DG). Pour ce faire, exécutez les applets de commande PowerShell suivantes : 

  1. Créez le DG :

     New-DistributionGroup -Name allstaff -PrimarySmtpAddress allstaff-7184ab3f-ccd1-46f3-8233-3e09e9cf0e66@contoso.onmicrosoft.com

  2. Empêchez la DG de recevoir des e-mails :

     Set-DistributionGroup -Name allstaff -HiddenFromAddressListsEnabled $true -AcceptMessagesOnlyFrom administrator@contoso.com 

  3. Ajoutez tous les utilisateurs qui ont des boîtes aux lettres hébergées sur Exchange Server localement : 

     Add-DistributionGroupMember -Identity allstaff -Member user01@contoso.com