Fase 4 de la migración: configuración de servicios auxiliares

Se aplica a: Active Directory Rights Management Services, Azure Information Protection, Office 365

Pertinente para: cliente de etiquetado unificado de AIP y cliente clásico de AIP

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso desde el 31 de marzo de 2021. Aunque el cliente clásico sigue funcionando como está configurado, no se proporcionará ningún soporte adicional, y las versiones de mantenimiento ya no se publicarán para el cliente clásico.

Se recomienda migrar al etiquetado unificado y actualizar al cliente de etiquetado unificado. Obtenga más información en nuestro último blog sobre desuso.

Use la información siguiente para la fase 4 de la migración desde AD RMS a Azure Information Protection. En estos procedimientos se describen los pasos 8 y 9 de la Migración desde AD RMS a Azure Information Protection.

Paso 8. Configure la integración de IRM en Exchange Online.

Importante

No puede controlar qué destinatarios pueden seleccionar los usuarios migrados para los correos electrónicos protegidos.

Por lo tanto, asegúrese de que todos los usuarios y grupos habilitados para correo de su organización tienen una cuenta en Azure AD que se puede usar con Azure Information Protection.

Para más información, consulte Preparación de usuarios y grupos para Azure Information Protection.

Independientemente de la Azure Information Protection de clave de inquilino que haya elegido, haga lo siguiente:

  1. Requisito previo: para que Exchange Online pueda descifrar los correos electrónicos protegidos por AD RMS, debe saber que la dirección URL de AD RMS del clúster corresponde a la clave que está disponible en el inquilino.

    Esto se hace con el registro SRV de DNS para el clúster de AD RMS que también se usa para volver a configurar los clientes de Office a fin de usar Azure Information Protection.

    Si no ha creado el registro SRV de DNS para la reconfiguración del cliente en el paso 7,cree este registro ahora para admitir Exchange Online. Instrucciones

    Cuando este registro de DNS está en su lugar, los usuarios con Outlook en los clientes de correo electrónico y en la web podrán ver los correos electrónicos protegidos con AD RMS en esas aplicaciones, y Exchange podrá usar la clave importada desde AD RMS para descifrar, indexar y proteger el contenido que se ha protegido por AD RMS, así como escribir notas.

  2. Ejecute el comando Get-IRMConfiguration de Exchange Online.

    Si necesita ayuda para ejecutar este comando, consulte las instrucciones detalladas de Exchange Online: Configuración de IRM.

    En la salida, compruebe si AzureRMSLicensingEnabled está establecido en True:

    • Si AzureRMSLicensingEnabled está establecido en True, no se necesita ninguna configuración adicional para este paso.

    • Si AzureRMSLicensingEnabled está establecido en False, ejecute y confirme que Exchange Online ya está listo para usar el servicio Set-IRMConfiguration -AzureRMSLicensingEnabled $true Rights Management Azure.

      Para obtener más información, vea los pasos de comprobación de Configuración de nuevas funcionalidades de cifrado Microsoft 365 mensajescreadas sobre Azure Information Protection .

Paso 9. Configuración de la integración de IRM para Exchange Server y SharePoint Server

Si ha usado la funcionalidad information Rights Management (IRM) de Exchange Server o SharePoint Server con AD RMS, deberá implementar el conector Rights Management (RMS).

El conector actúa como una interfaz de comunicaciones (una retransmisión) entre los servidores locales y el servicio de protección para Azure Information Protection.

En este paso se describe cómo instalar y configurar el conector, deshabilitar IRM para Exchange y SharePoint y configurar estos servidores para usar el conector.

Por último, si ha importado AD RMS archivos de configuración de datos .xml que se usaron para proteger los mensajes de correo electrónico en Azure Information Protection, debe editar manualmente el Registro en los equipos de Exchange Server para redirigir todas las direcciones URL de dominio de publicación de confianza al conector RMS.

Nota

Antes de empezar, compruebe las versiones de los servidores locales que son compatibles con el servicio Azure Rights Management desde On-premises servers that support Azure RMS (Servidores locales compatibles con Azure RMS).

Instalar y configurar el conector RMS

Siga las instrucciones del artículo Implementación del conector Rights Management Microsoft y realice los pasos del 1 al 4.

Aún no empiece el paso 5 de las instrucciones del conector.

Deshabilitar IRM en servidores de Exchange y quitar la configuración de AD RMS

Importante

Si aún no ha configurado IRM en ninguno de los servidores de Exchange, siga los pasos 2 y 6.

Siga estos pasos si todas las direcciones URL de licencia de todos los clústeres de AD RMS no se muestran en el parámetro LicensingLocation al ejecutar Get-IRMConfiguration.

  1. En cada servidor Exchange, busque la carpeta siguiente y elimine todas las entradas de esa carpeta: \ProgramData\Microsoft\DRM\Server\S-1-5-18

  2. Desde uno de los servidores de Exchange, ejecute los siguientes comandos de PowerShell para asegurarse de que los usuarios puedan leer los correos electrónicos que se protegen mediante Azure Rights Management.

    Antes de ejecutar estos comandos, sustituya su propia dirección URL del servicio Rights Management Azure por <Your Tenant URL> .

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation 
    $list += "<Your Tenant URL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    

    Ahora, al ejecutar Get-IRMConfiguration,debería ver todas las direcciones URL de licencia del clúster de AD RMS y la dirección URL del servicio Azure Rights Management para el parámetro LicensingLocation.

  3. Ahora, deshabilite las características de IRM para los mensajes enviados a destinatarios internos:

    Set-IRMConfiguration -InternalLicensingEnabled $false
    
  4. Después, use el mismo cmdlet para deshabilitar IRM en Microsoft Office Outlook Web App y en Microsoft Exchange ActiveSync:

    Set-IRMConfiguration -ClientAccessServerEnabled $false
    
  5. Por último, use el mismo cmdlet para borrar los certificados almacenados en la memoria caché:

    Set-IRMConfiguration -RefreshServerCertificates
    
  6. En cada Exchange Server, restablezca ahora IIS, por ejemplo, mediante la ejecución de un símbolo del sistema como administrador y escriba iisreset.

Deshabilitar IRM en servidores de SharePoint y quitar la configuración de AD RMS

  1. Asegúrese de que no hay ningún documento desprotegido desde bibliotecas protegidas con RMS. Si hay, quedarán inaccesibles al final de este procedimiento.

  2. En el sitio web de Administración central de SharePoint, en la sección Inicio rápido, haga clic en Seguridad.

  3. En la página Seguridad, en la Directiva de información, haga clic en Configurar Information Rights Management.

  4. En la página Information Rights Management, en la sección Information Rights Management, seleccione No use IRM en este servidor y, a continuación, haga clic en Aceptar.

  5. En cada uno de los equipos de SharePoint Server, elimine el contenido de la carpeta \ProgramData\Microsoft\MSIPC\Server SID de la cuenta que ejecuta \ < SharePoint Server>.

Configuración de Exchange y SharePoint para que usen el conector

  1. Vuelva a las instrucciones para implementar el conector RMS: Paso 5: configuración de servidores para que usen el conector RMS

    Si solo tiene SharePoint Server, vaya directamente a Pasos siguientes para continuar con la migración.

  2. En cada Exchange Server, agregue de forma manual las claves del Registro en la sección siguiente por cada archivo de datos de configuración (.xml) que haya importado para redirigir las direcciones URL de dominios de publicación de confianza al conector RMS. Estas entradas del Registro son específicas para la migración y no se agregan mediante la herramienta de configuración de servidor para el conector RMS de Microsoft.

    Al realizar estas modificaciones del registro, utilice las siguientes instrucciones:

    • Reemplace FQDN de conector por el nombre que haya definido en el DNS del conector. Por ejemplo, rmsconnector.contoso.com.

    • Use el prefijo HTTP o HTTPS para la dirección URL del conector, en función de si ha configurado el conector para usar HTTP o HTTPS para comunicarse con los servidores locales.

Modificaciones del Registro para Exchange

Para todos los servidores de Exchange, agregue los siguientes valores del Registro a LicenseServerRedirection, según las versiones de Exchange:

  1. Para Exchange 2013 y Exchange 2016, agregue el siguiente valor del Registro:

    • Ruta de acceso del Registro:HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Escriba: Reg_SZ

    • Valor: https://\<AD RMS Intranet Licensing URL\>/_wmcs/licensing

    • Datos: uno de los siguientes, en función de si usa HTTP o HTTPS desde el servidor Exchange al conector RMS:

      • http://\<connector FQDN\>/_wmcs/licensing

      • https://\<connector FQDN\>/_wmcs/licensing

  2. Para Exchange 2013, agregue el siguiente valor del Registro adicional:

    • Ruta de acceso del Registro:HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Escriba: Reg_SZ

    • Valor: https:// <AD RMS Extranet Licensing URL> /_wmcs/licensing

    • Datos: uno de los siguientes, en función de si usa HTTP o HTTPS desde el servidor Exchange al conector RMS:

      • http://\<connector FQDN\>/_wmcs/licensing

      • https://\<connector FQDN\>/_wmcs/licensing

Pasos siguientes

Para continuar con la migración, vaya a Fase 5: tareas posteriores a la migración.