Exchange non riesce a decrittografare i messaggi IRM protetti da Azure RMS dopo l'abilitazione di MSIPC

Sintomi 

Si consideri lo scenario seguente:

• In Microsoft Exchange Server 2019 o 2016, abiliti uno stack Microsoft Information Protection Client (MSIPC) seguendo la procedura descritta in Abilitare il supporto per il contenuto crittografato con AES256-CBC in Exchange Server agosto 2023.

• Si ricevono messaggi IRM protetti da un modello di Azure Rights Management Services (RMS) che assegna autorizzazioni a "Tutti gli utenti e i gruppi dell'organizzazione".

• Per accedere ai messaggi protetti si usa il client Outlook sul Web (OWA).

In questo scenario, si nota che Exchange Server non può più decrittografare i messaggi IRM.

Stato  

Microsoft ha confermato che si tratta di un problema noto nei prodotti elencati nella sezione "Si applica a" e sta lavorando a una soluzione per risolverlo. 

Soluzione alternativa

Per risolvere il problema, usare uno dei metodi seguenti: 

• Usare il client Outlook invece di OWA per accedere ai messaggi protetti con IRM.

• Creare un gruppo di distribuzione dinamico (DDG) che includa tutte le cassette postali utente ospitate in Exchange Server locale. A questo scopo, eseguire i cmdlet di PowerShell seguenti:

  1. Creare il DDG:
     
     New-DynamicDistributionGroup allstaff -PrimarySmtpAddress allstaff-7184ab3f-ccd1-46f3-8233-3e09e9cf0e66@contoso.onmicrosoft.com -IncludedRecipients Mailbox -RecipientContainer 'contoso.com'

  2. Nascondere l'oggetto DDG e impedirne la ricezione:
     
     Set-DynamicDistributionGroup -Name allstaff -HiddenFromAddressListsEnabled $true -AcceptMessagesOnlyFrom administrator@contoso.com

• Creare un gruppo di distribuzione. A questo scopo, eseguire i cmdlet di PowerShell seguenti: 

  1. Creare il dg:

     New-DistributionGroup -Name allstaff -PrimarySmtpAddress allstaff-7184ab3f-ccd1-46f3-8233-3e09e9cf0e66@contoso.onmicrosoft.com

  2. Impedire al dg di ricevere posta elettronica:

     Set-DistributionGroup -Name allstaff -HiddenFromAddressListsEnabled $true -AcceptMessagesOnlyFrom administrator@contoso.com 

  3. Aggiungere tutti gli utenti che hanno cassette postali ospitate in Exchange Server locale: 

     Add-DistributionGroupMember -Identity allstaff -Member user01@contoso.com