Fáze migrace 4 – podpora konfigurace služeb

  • Článek

Pro fázi 4 migrace ze služby AD RMS na Azure Information Protection použijte následující informace. Tyto postupy zahrnují kroky 8 až 9 z migrace z AD RMS na Azure Information Protection.

Krok 8: Konfigurace integrace IRM pro Exchange Online

Důležité

U chráněných e-mailů nemůžete určit, kteří příjemci migrovaní uživatelé můžou vybrat.

Proto se ujistěte, že všichni uživatelé a poštovní skupiny ve vaší organizaci mají účet v MICROSOFT Entra ID, které je možné použít se službou Azure Information Protection.

Další informace najdete v tématu Příprava uživatelů a skupin pro Azure Information Protection.

Bez ohledu na zvolenou topologii klíče tenanta služby Azure Information Protection postupujte takto:

  1. Předpoklad: Aby Exchange Online mohl dešifrovat e-maily chráněné službou AD RMS, musí vědět, že adresa URL služby AD RMS pro váš cluster odpovídá klíči, který je k dispozici ve vašem tenantovi.

    To se provádí se záznamem DNS SRV pro váš cluster AD RMS, který se také používá k překonfigurování klientů Office na používání služby Azure Information Protection.

    Pokud jste nevytvořili záznam DNS SRV pro rekonfiguraci klienta v kroku 7, vytvořte tento záznam pro podporu Exchange Online. Pokyny

    Když je tento záznam DNS zavedený, budou moct uživatelé používající Outlook na webu a mobilní e-mailové klienty zobrazit e-maily chráněné službou AD RMS v těchto aplikacích a Exchange bude moct použít klíč, který jste naimportovali ze služby AD RMS, k dešifrování, indexování, deníku a ochraně obsahu chráněného službou AD RMS.

  2. Spusťte příkaz Exchange Online Get-IRMConfiguration .

    Pokud potřebujete pomoc se spuštěním tohoto příkazu, přečtěte si podrobné pokyny z Exchange Online: Konfigurace IRM.

    Ve výstupu zkontrolujte, jestli je Služba AzureRMSLicensingEnabled nastavená na Hodnotu True:

Krok 9: Konfigurace integrace IRM pro Exchange Server a SharePoint Server

Pokud jste použili funkci SPRÁVA přístupových práv k informacím (IRM) systému Exchange Server nebo SharePoint Server se službou AD RMS, budete muset nasadit konektor Rights Management (RMS).

Konektor funguje jako komunikační rozhraní (přenos) mezi místními servery a službou ochrany pro Azure Information Protection.

Tento krok popisuje instalaci a konfiguraci konektoru, zakázání IRM pro Exchange a SharePoint a konfiguraci těchto serverů pro použití konektoru.

Pokud jste naimportovali konfigurační soubory AD RMS .xml, které byly použity k ochraně e-mailových zpráv ve službě Azure Information Protection, musíte ručně upravit registr na počítačích s Exchange Serverem a přesměrovat všechny důvěryhodné adresy URL domény publikování na konektor SLUŽBY RMS.

Poznámka:

Než začnete, zkontrolujte verze místních serverů, které služba Azure Rights Management podporuje, z místních serverů, které podporují Azure RMS.

Instalace a konfigurace konektoru SLUŽBY RMS

Postupujte podle pokynů v článku Nasazení konektoru Microsoft Rights Management a proveďte kroky 1 až 4.

Nespustíte krok 5 z pokynů ke konektoru.

Zakázání TECHNOLOGIE IRM na serverech Exchange a odebrání konfigurace služby AD RMS

Důležité

Pokud jste ještě nenakonfigurovali IRM na žádném ze serverů Exchange, proveďte jenom kroky 2 a 6.

Všechny tyto kroky proveďte, pokud se při spuštění get-IRMConfiguration nezobrazí všechny adresy URL licencí všech clusterů AD RMS v parametru LicensingLocation.

  1. Na každém serveru Exchange vyhledejte následující složku a odstraňte všechny položky v této složce: \ProgramData\Microsoft\DRM\Server\S-1-5-18.

  2. Na jednom ze serverů Exchange spusťte následující příkazy PowerShellu, abyste zajistili, že uživatelé budou moct číst e-maily chráněné pomocí azure Rights Management.

    Před spuštěním těchto příkazů nahraďte vlastní adresou URL služby Azure Rights Management adresu <URL> vašeho tenanta.

    $irmConfig = Get-IRMConfiguration
$list = $irmConfig.LicensingLocation 
$list += "<Your Tenant URL>/_wmcs/licensing"
Set-IRMConfiguration -LicensingLocation $list

    Když teď spustíte Get-IRMConfiguration, měli byste vidět všechny adresy URL licencování clusteru AD RMS a adresu URL služby Azure Rights Management zobrazenou pro parametr LicensingLocation .

  3. Teď zakažte funkce IRM pro zprávy, které se odesílají interním příjemcům:

    Set-IRMConfiguration -InternalLicensingEnabled $false

  4. Pak pomocí stejné rutiny zakažte IRM ve webové aplikaci aplikace Microsoft Office Outlook a v Microsoft protokol Exchange ActiveSync:

    Set-IRMConfiguration -ClientAccessServerEnabled $false

  5. Nakonec pomocí stejné rutiny vymažte všechny certifikáty uložené v mezipaměti:

    Set-IRMConfiguration -RefreshServerCertificates

  6. Na každém Serveru Exchange teď resetujte službu IIS, například spuštěním příkazového řádku jako správce a zadáním iisreset.

Zakázání TECHNOLOGIE IRM na sharepointových serverech a odebrání konfigurace služby AD RMS

  1. Ujistěte se, že nejsou rezervované žádné dokumenty z knihoven chráněných službou RMS. Pokud ano, budou na konci tohoto postupu nedostupné.

  2. Na webu Centrální Správa istrace služby SharePoint klikněte v části Snadné spuštění na položku Zabezpečení.

  3. Na stránce Zabezpečení v části Zásady informací klikněte na Konfigurovat správu přístupových práv k informacím.

  4. Na stránce Správa přístupových práv k informacím v části Správa přístupových práv k informacím vyberte na tomto serveru možnost Nepoužívat TECHNOLOGII IRM a klikněte na tlačítko OK.

  5. Na každém počítači se SharePoint Serverem odstraňte obsah složky \ProgramData\Microsoft\MSIPC\Server\<SID účtu, na kterém běží SharePoint Server>.

Konfigurace Exchange a SharePointu pro použití konektoru

  1. Vraťte se k pokynům pro nasazení služby RMS Connector: Krok 5: Konfigurace serverů pro použití služby RMS Connector

    Pokud máte jenom SharePoint Server, přejděte přímo na Další kroky a pokračujte v migraci.

  2. Na každém Exchange Serveru ručně přidejte klíče registru v další části pro každý soubor konfiguračních dat (.xml), který jste naimportovali, a přesměrujte adresy URL důvěryhodné domény publikování na konektor SLUŽBY RMS. Tyto položky registru jsou specifické pro migraci a nejsou přidány nástrojem pro konfiguraci serveru pro microsoft RMS Connector.

    Při provádění těchto úprav registru postupujte podle následujících pokynů:

    • Plně kvalifikovaný název domény konektoru nahraďte názvem, který jste definovali v DNS konektoru. Například rmsconnector.contoso.com.

    • Pro adresu URL konektoru použijte předponu HTTP nebo HTTPS v závislosti na tom, jestli jste konektor nakonfigurovali tak, aby ke komunikaci s místními servery používal protokol HTTP nebo HTTPS.

Úpravy registru pro Exchange

Pro všechny servery Exchange přidejte následující hodnoty registru do LicenseServerRedirection v závislosti na vašich verzích Exchange:

  1. Pro Exchange 2013 i Exchange 2016 přidejte následující hodnotu registru:

    • Cesta k registru: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Typ: Reg_SZ

    • Hodnota: https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

    • Data: Jedna z následujících možností v závislosti na tom, jestli používáte HTTP nebo HTTPS ze serveru Exchange do konektoru SLUŽBY RMS:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

  2. Pro Exchange 2013 přidejte následující další hodnotu registru:

    • Cesta k registru: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Typ: Reg_SZ

    • Hodnota: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

    • Data: Jedna z následujících možností v závislosti na tom, jestli používáte HTTP nebo HTTPS ze serveru Exchange do konektoru SLUŽBY RMS:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

Další kroky

Pokud chcete pokračovat v migraci, přejděte do fáze 5 – po dokončení migrace.