Migrationsphase 4 – Konfiguration unterstützener Dienste

Gilt für: Active Directory Rights Management Services, Azure Information Protection, Office 365

Relevant für:AIP Unified Labeling Client and Classic Client

Hinweis

Um eine einheitliche und optimierte Benutzererfahrung zu bieten, werden der klassische Azure Information Protection-Client und die Bezeichnungsverwaltung im Azure-Portal ab dem 31. März 2021 nicht mehr unterstützt. Für den klassischen Client wird kein weiterer Support bereitgestellt, und Wartungsversionen werden nicht mehr veröffentlicht.

Der klassische Client wird offiziell eingestellt und wird am 31. März 2022 eingestellt.

Alle aktuellen Kunden des klassischen Azure Information Protection-Clients müssen zur einheitlichen Microsoft Information Protection Beschriftungsplattform migrieren und ein Upgrade auf den einheitlichen Beschriftungsclient durchführen. Weitere Informationen finden Sie in unserem Migrationsblog.

Verwenden Sie die folgenden Informationen für Phase 4 der Migration von AD RMS zu Azure Information Protection. Diese Verfahren umfassen die Schritte 8 bis 9 von Migrieren von AD RMS zu Azure Information Protection.

Schritt 8. Konfigurieren der IRM-Integration für Exchange Online

Wichtig

Sie können nicht steuern, welche Empfänger migrierte Benutzer möglicherweise für geschützte E-Mails auswählen.

Stellen Sie daher sicher, dass alle Benutzer und E-Mail-aktivierten Gruppen in Ihrer Organisation über ein Konto in Azure AD, das mit Azure Information Protection verwendet werden kann.

Weitere Informationen finden Sie unter Vorbereiten von Benutzern und Gruppen für Azure Information Protection.

Gehen Sie unabhängig von der gewählten Azure Information Protection-Mandantenschlüsseltopologie wie folgt vor:

  1. Voraussetzung:Damit Exchange Online E-Mails entschlüsseln können, die durch AD RMS geschützt sind, muss sie wissen, dass die AD RMS-URL für Ihren Cluster dem Schlüssel entspricht, der in Ihrem Mandanten verfügbar ist.

    Dies geschieht mit dem DNS SRV-Eintrag für Ihren AD RMS-Cluster, der auch zum Neukonfigurieren Office Clients für die Verwendung von Azure Information Protection verwendet wird.

    Wenn Sie den DNS SRV-Eintrag für die Neukonfiguration des Clients in Schritt 7nicht erstellt haben, erstellen Sie diesen Eintrag jetzt zur Unterstützung Exchange Online. Anweisungen

    Wenn dieser DNS-Eintrag vorhanden ist, können Benutzer, die Outlook im Web und mobile E-Mail-Clients verwenden, AD RMS-geschützte E-Mails in diesen Apps anzeigen, und Exchange kann den aus AD RMS importierten Schlüssel zum Entschlüsseln, Indizieren, Journal und Schützen von Inhalten verwenden, die durch AD RMS geschützt wurden.

  2. Führen Sie Exchange Online Get-IRMConfiguration aus.

    Wenn Sie Hilfe beim Ausführen dieses Befehls benötigen, lesen Sie die schrittweisen Anleitungen Exchange Online: IRM-Konfiguration.

    Überprüfen Sie in der Ausgabe, ob AzureRMSLicensingEnabled auf True festgelegt ist:

    • Wenn AzureRMSLicensingEnabled auf Truefestgelegt ist, ist für diesen Schritt keine weitere Konfiguration erforderlich.

    • Wenn AzureRMSLicensingEnabled auf Falsefestgelegt ist, führen Sie aus, und vergewissern Sie sich, dass Exchange Online jetzt für die Verwendung des Azure Rights Management-Diensts bereit ist.

      Weitere Informationen finden Sie unter den Überprüfungsschritten unter Einrichten neuer Microsoft 365-Nachrichtenverschlüsselung, die auf Azure Information Protection aufgebaut ist.

Schritt 9. Konfigurieren der IRM-Integration für Exchange Server und SharePoint Server

Wenn Sie die IrM-Funktionalität (Information Rights Management) von Exchange Server oder SharePoint Server mit AD RMS verwendet haben, müssen Sie den RMS-Connector (Rights Management Connector) bereitstellen.

Der Connector fungiert als Kommunikationsschnittstelle (Relay) zwischen Ihren lokalen Servern und dem Schutzdienst für Azure Information Protection.

Dieser Schritt behandelt das Installieren und Konfigurieren des Connectors, das Deaktivieren von IRM für Exchange und SharePoint sowie das Konfigurieren dieser Server für die Verwendung des Connectors.

Und schließlich: Wenn Sie AD RMS .xml-Datenkonfigurationsdateien importiert haben, die zum Schützen von E-Mail-Nachrichten in Azure Information Protection verwendet wurden, müssen Sie die Registrierung auf den Exchange Server-Computern manuell bearbeiten, um alle URLs der vertrauenswürdigen Veröffentlichungsdomäne an den RMS-Connector umzuleiten.

Hinweis

Bevor Sie beginnen, überprüfen Sie die Versionen der lokalen Server, die der Azure Rights Management-Dienst unterstützt, von lokalen Servern, die Azure RMS unterstützen.

Installieren und Konfigurieren des RMS-Connectors

Folgen Sie den Anweisungen im Artikel Bereitstellen des Microsoft Rights Management-Connectors, und führen Sie die Schritte 1 bis 4 aus.

Starten Sie Schritt 5 noch nicht in den Connectoranweisungen.

Deaktivieren von IRM auf Exchange und Entfernen der AD RMS-Konfiguration

Wichtig

Wenn Sie IRM noch nicht auf einem Ihrer Exchange konfiguriert haben, müssen Sie nur die Schritte 2 und 6 ausführen.

Führen Sie alle diese Schritte aus, wenn alle Lizenzierungs-URLs aller AD RMS-Cluster nicht im Parameter LicensingLocation angezeigt werden, wenn Sie Get-IRMConfiguration ausführen.

  1. Suchen Sie auf jedem Exchange-Server den folgenden Ordner, und löschen Sie alle Einträge in diesem Ordner: \ProgramData\Microsoft\DRM\Server\S-1-5-18

  2. Führen Sie auf einem der Exchange-Server die folgenden PowerShell-Befehle aus, um sicherzustellen, dass Benutzer E-Mails lesen können, die mithilfe von Azure Rights Management geschützt sind.

    Ersetzen Sie vor dem Ausführen dieser Befehle Ihre eigene Azure Rights Management-Dienst-URL durch Ihre Mandanten-URL. >

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation 
    $list += "<Your Tenant URL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    

    Wenn Sie jetzt Get-IRMConfigurationausführen, sollten alle IHRE AD RMS-Clusterlizenzierungs-URLs und die Azure Rights Management-Dienst-URL für den Parameter LicensingLocation angezeigt werden.

  3. Deaktivieren Sie jetzt IRM-Features für Nachrichten, die an interne Empfänger gesendet werden:

    Set-IRMConfiguration -InternalLicensingEnabled $false
    
  4. Verwenden Sie dann dasselbe Cmdlet zum Deaktivieren von IRM in Microsoft Office Outlook Web App und in Microsoft Exchange ActiveSync:

    Set-IRMConfiguration -ClientAccessServerEnabled $false
    
  5. Verwenden Sie zum Schluss dasselbe Cmdlet, um alle zwischengespeicherten Zertifikate zu löschen:

    Set-IRMConfiguration -RefreshServerCertificates
    
  6. Setzen Sie Exchange Server auf jedem Gerät IIS zurück, indem Sie beispielsweise als Administrator eine Eingabeaufforderung ausführen und iisreset eingeben.

Deaktivieren von IRM auf SharePoint Und Entfernen der AD RMS-Konfiguration

  1. Stellen Sie sicher, dass keine Dokumente aus RMS-geschützten Bibliotheken ausgecheckt sind. Sind diese verfügbar, kann am Ende dieses Verfahrens nicht mehr auf sie zugegriffen werden.

  2. Klicken Sie SharePoint der Website für die Zentraladministration der Zentraladministration im Abschnitt Schnellstart auf Sicherheit.

  3. Klicken Sie auf der Seite Sicherheit im Abschnitt Informationsrichtlinie auf Verwaltung von Informationsrechten konfigurieren.

  4. Wählen Sie auf der Seite Information Rights Management im Abschnitt Information Rights Management die Option IrMnicht auf diesem Server verwenden aus, und klicken Sie dann auf OK.

  5. Löschen Sie auf jedem SharePoint Server-Computer den Inhalt des Ordners \ProgramData\Microsoft\MSIPC\Server\SID des Kontos, auf dem SharePoint <<

Konfigurieren Exchange und SharePoint für die Verwendung des Connectors

  1. Kehren Sie zu den Anweisungen zur Bereitstellung des RMS-Connectors zurück: Schritt 5: Konfigurieren von Servern für die Verwendung des RMS-Connectors

    Wenn Sie nur über SharePoint verfügen, wechseln Sie direkt zu Nächste Schritte, um die Migration fortzufahren.

  2. Fügen Sie auf jedem Exchange Server die Registrierungsschlüssel im nächsten Abschnitt für jede zu importierende Konfigurationsdatendatei (.xml) manuell hinzu, um die URLs der vertrauenswürdigen Veröffentlichungsdomäne an den RMS-Connector umzuleiten. Diese Registrierungseinträge sind migrationsspezifisch und werden nicht vom Serverkonfigurationstool für den Microsoft RMS-Connector hinzugefügt.

    Wenn Sie diese Registrierungsbearbeitungen vornehmen, befolgen Sie die folgenden Anweisungen:

    • Ersetzen Sie den Verbinder-FQDN durch den Namen, den Sie in DNS für den Connector definiert haben. Beispiel: rmsconnector.contoso.com.

    • Verwenden Sie das HTTP- oder HTTPS-Präfix für die Connector-URL, je nachdem, ob Sie den Connector für die Verwendung von HTTP oder HTTPS für die Kommunikation mit den lokalen Servern konfiguriert haben.

Registrierungsbearbeitungen für Exchange

Fügen Sie Exchange Server die folgenden Registrierungswerte zu LicenseServerRedirection hinzu, je nach ihrer Exchange:

  1. Fügen Sie Exchange 2013 und Exchange 2016den folgenden Registrierungswert hinzu:

    • Registrierungspfad:

    • Typ:Reg_SZ

    • Wert:

    • Daten:Je nachdem, ob Sie HTTP oder HTTPS von Ihrem Exchange zum RMS-Connector verwenden, ist eine der folgenden Punkte zu sehen:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

  2. Fügen Exchange 2013 den folgenden zusätzlichen Registrierungswert hinzu:

    • Registrierungspfad:

    • Typ:Reg_SZ

    • Wert:

    • Daten:Je nachdem, ob Sie HTTP oder HTTPS von Ihrem Exchange zum RMS-Connector verwenden, ist eine der folgenden Punkte zu sehen:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

Nächste Schritte

Um die Migration fortzufahren, wechseln Sie zu Phase 5 – nach den Migrationsaufgaben.