Migrationsphase 4 – Konfiguration unterstützender Dienste

Verwenden Sie die folgenden Informationen für Phase 4 der Migration von AD RMS zu Azure Information Protection. Diese Vorgehensweise umfasst die Schritte 8 bis 9 der Migration von AD RMS zu Azure Information Protection.

Schritt 8: Konfigurieren der IRM-Integration für Exchange Online

Wichtig

Sie können nicht steuern, welche Empfänger migrierte Benutzer möglicherweise für geschützte E-Mails auswählen.

Stellen Sie daher sicher, dass alle Benutzer und E-Mail-aktivierten Gruppen in Ihrer Organisation über ein Konto in Microsoft Entra ID verfügen, das mit Azure Information Protection verwendet werden kann.

Weitere Informationen finden Sie unter Vorbereiten von Benutzern und Gruppen für Azure Information Protection.

Unabhängig von der gewählten Azure Information Protection-Mieterschlüsseltopologie müssen Sie Folgendes tun:

  1. Voraussetzung: Damit Exchange Online in der Lage ist, E-Mails zu entschlüsseln, die durch AD RMS geschützt sind, muss es wissen, dass die AD RMS-URL für Ihren Cluster dem Schlüssel entspricht, der in Ihrem Mandanten verfügbar ist.

    Dies geschieht mit dem DNS-SRV-Eintrag für Ihren AD RMS-Cluster, der auch zum Neukonfigurieren von Office-Clients zur Verwendung von Azure Information Protection verwendet wird.

    Wenn Sie den DNS SRV-Eintrag für die Client-Neukonfiguration nicht in Schritt 7 erstellt haben, erstellen Sie diesen Eintrag jetzt, um Exchange Online zu unterstützen. Anweisungen

    Wenn dieser DNS-Eintrag eingerichtet ist, können Benutzer, die Outlook im Web und mobile E-Mail-Clients verwenden, AD RMS-geschützte E-Mails in diesen Apps anzeigen, und Exchange kann mit dem von Ihnen aus AD RMS importierten Schlüssel Inhalte entschlüsseln, einen Index oder ein Journal erstellen und Inhalte schützen, die durch AD RMS geschützt wurden.

  2. Führen Sie den Befehl Exchange Online Get-IRMConfiguration aus.

    Wenn Sie Hilfe beim Ausführen dieses Befehls benötigen, lesen Sie die schrittweisen Anleitungen aus Exchange Online: IRM-Konfiguration.

    Prüfen Sie in der Ausgabe, ob AzureRMSLicensingEnabled auf True gesetzt ist:

Schritt 9: Konfigurieren der IRM-Integration für Exchange-Server und SharePoint Server

Wenn Sie die Information Rights Management (IRM)-Funktionalität von Exchange Server oder SharePoint Server mit AD RMS verwendet haben, müssen Sie den Rights Management (RMS)-Connector bereitstellen.

Der Connector fungiert als Kommunikationsschnittstelle (ein Relay) zwischen Ihren lokalen Servern und dem Schutzdienst für Azure Information Protection.

In diesem Schritt wird das Installieren und Konfigurieren des Connectors, das Deaktivieren von IRM für Exchange und SharePoint sowie das Konfigurieren dieser Server für die Verwendung des Connectors behandelt.

Wenn Sie schließlich AD RMS .xml-Datenkonfigurationsdateien, die zum Schutz von E-Mail-Nachrichten verwendet wurden, in Azure Information Protection importiert haben, müssen Sie die Registrierung auf den Exchange Server-Computern manuell bearbeiten, um alle vertrauenswürdigen Veröffentlichungsdomänen-URLs an den RMS-Connector umzuleiten.

Hinweis

Überprüfen Sie vor Beginn die Versionen der lokalen Server, die der Azure Rights Management-Dienst unterstützt, unter Lokale Server, die Azure RMS unterstützen.

Installieren und Konfigurieren des RMS-Connectors

Verwenden Sie die Anweisungen im Artikel Bereitstellung des Microsoft Rights Management-Connectors und führen Sie die Schritte 1 bis 4 aus.

Starten Sie Schritt 5 noch nicht aus den Anweisungen für den Connector.

Deaktivieren von IRM auf Exchange-Servern und Entfernen der AD RMS-Konfiguration

Wichtig

Wenn Sie IRM noch nicht auf einem Ihrer Exchange-Server konfiguriert haben, führen Sie die Schritte 2 und 6 aus.

Führen Sie alle diese Schritte aus, wenn beim Ausführen von Get-IRMConfiguration nicht alle Lizenzierungs-URLs aller AD RMS-Cluster im Parameter LicensingLocation angezeigt werden.

  1. Suchen Sie auf jedem Exchange Server den folgenden Ordner, und löschen Sie alle Einträge in diesem Ordner: \ProgramData\Microsoft\DRM\Server\S-1-5-18

  2. Führen Sie auf einem der Exchange-Server die folgenden PowerShell-Befehle aus, um sicherzustellen, dass Benutzer E-Mails lesen können, die durch das Azure Rights Management geschützt sind.

    Bevor Sie diese Befehle ausführen, ersetzen Sie Ihre eigene Azure Rights Management Service-URL für <Ihre Mandant-URL>.

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation 
    $list += "<Your Tenant URL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    

    Wenn Sie nun Get-IRMConfiguration ausführen, sollten Sie alle Lizenzierungs-URLs Ihres AD RMS-Clusters und die URL Ihres Azure Rights Management-Dienstes für den Parameter LicensingLocation angezeigt bekommen.

  3. Deaktivieren Sie jetzt IRM-Features für Nachrichten, die an interne Empfänger gesendet werden:

    Set-IRMConfiguration -InternalLicensingEnabled $false
    
  4. Deaktivieren Sie dann mit demselben Cmdlet IRM in Microsoft Office Outlook Web App und in Microsoft Exchange ActiveSync:

    Set-IRMConfiguration -ClientAccessServerEnabled $false
    
  5. Verwenden Sie zum Schluss dasselbe Cmdlet, um zwischengespeicherte Zertifikate zu löschen:

    Set-IRMConfiguration -RefreshServerCertificates
    
  6. Setzen Sie auf jedem Exchange Server IIS zurück, z. B. durch Ausführen einer Eingabeaufforderung als Administrator und Eingeben von iisreset.

Deaktivieren von IRM auf SharePoint-Servern und Entfernen der AD RMS-Konfiguration

  1. Stellen Sie sicher, dass keine Dokumente aus RMS-geschützten Bibliotheken ausgecheckt sind. Falls doch, werden sie am Ende dieses Verfahrens nicht mehr zugänglich sein.

  2. Klicken Sie auf der Website für die SharePoint-Zentraladministration im Abschnitt Schnellstart auf Sicherheit.

  3. Klicken Sie auf der Seite Sicherheit im Abschnitt Informationsrichtlinie auf Konfigurieren des Information Rights Management.

  4. Wählen Sie auf der Seite Information Rights Management im Abschnitt Information Rights Management die Option IRM auf diesem Server nicht verwenden aus und klicken Sie dann auf OK.

  5. Löschen Sie auf jedem der SharePoint Server-Computer den Inhalt des Ordners <\ProgramData\Microsoft\MSIPC\Server\>.

Konfigurieren von Exchange und SharePoint für die Verwendung des Connectors

  1. Kehren Sie zu den Anweisungen für die Bereitstellung des RMS-Connectors zurück: Schritt 5: Konfigurieren von Servern für die Verwendung des RMS-Connectors

    Wenn Sie nur über SharePoint Server verfügen, gehen Sie direkt zu Nächste Schritte, um die Migration fortzusetzen.

  2. Fügen Sie auf jedem Exchange-Server im nächsten Abschnitt die Registrierungsschlüssel für jede importierte Konfigurationsdatendatei (.xml) manuell hinzu, um die URLs der vertrauenswürdigen Veröffentlichungsdomäne zum RMS-Connector umzuleiten. Diese Registrierungseinträge sind spezifisch für die Migration und werden vom Serverkonfigurationstool nicht für den Microsoft RMS-Connector hinzugefügt.

    Wenn Sie diese Änderungen an der Registrierung vornehmen, müssen Sie nach den folgenden Anweisungen vorgehen:

    • Ersetzen Sie den Connector-FQDN durch den Namen, den Sie im DNS für den Connector definiert haben. Beispiel: rmsconnector.contoso.com.

    • Verwenden Sie das HTTP- oder HTTPS-Präfix für die Konnektor-URL, je nachdem, ob Sie den Konnektor für die Kommunikation mit Ihren lokalen Servern über HTTP oder HTTPS konfiguriert haben.

Änderungen an der Registrierung für Exchange

Fügen Sie für alle Exchange-Server abhängig von Ihren Exchange-Versionen die folgenden Registrierungswerte zu LicenseServerRedirection hinzu:

  1. Fügen Sie sowohl für Exchange 2013 als auch für Exchange 2016 den folgenden Registrierungswert hinzu:

    • Registrierungspfad: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Typ: Reg_SZ

    • Wert: https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

    • Daten: Einer der folgenden Einträge, je nachdem, ob Sie HTTP oder HTTPS von Ihrem Exchange-Server zum RMS-Connector verwenden:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

  2. Fügen Sie für Exchange 2013 den folgenden zusätzlichen Registrierungswert hinzu:

    • Registrierungspfad: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Typ: Reg_SZ

    • Wert: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

    • Daten: Einer der folgenden Einträge, je nachdem, ob Sie HTTP oder HTTPS von Ihrem Exchange-Server zum RMS-Connector verwenden:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

Nächste Schritte

Gehen Sie zum Fortsetzen der Migration zu Phase 5 – Aufgaben nach der Migration.