Fase de migración 4: Configuración de servicios de soporte técnico

Use la siguiente información para la fase 4 de la migración de AD RMS a Azure Information Protection. Estos procedimientos abarcan los pasos del 8 al 9 de Migración de AD RMS a Azure Information Protection.

Paso 8: Configuración de la integración de IRM para Exchange Online

Importante

No puede controlar qué usuarios con destinatarios migrados puede seleccionar para los correos electrónicos protegidos.

Por lo tanto, asegúrese de que todos los usuarios y grupos habilitados para correo de su organización tengan una cuenta en Microsoft Entra ID que se pueda usar con Azure Information Protection.

Para más información, consulte Preparación de usuarios y grupos para Azure Information Protection.

Independientemente de la topología de clave de inquilino de Azure Information Protection que elija, haga lo siguiente:

1. Requisito previo: para que Exchange Online pueda descifrar los correos electrónicos protegidos por AD RMS, debe saber que la dirección URL de AD RMS del clúster corresponde a la clave que está disponible en el inquilino.

   Esto se hace con el registro SRV de DNS para el clúster de AD RMS que también se usa para volver a configurar los clientes de Office para usar Azure Information Protection.

   Si no ha creado el registro SRV de DNS para la reconfiguración del cliente en el paso 7, cree este registro ahora para admitir Exchange Online. Instrucciones

   Cuando se aplica este registro de DNS, los usuarios que usan Outlook en la Web y los clientes de correo electrónico móvil podrán ver los correos electrónicos protegidos de AD RMS en esas aplicaciones y Exchange podrá usar la clave que importó de AD RMS para descifrar, indexar, diarizar y proteger el contenido protegido por AD RMS.

2. Ejecute el comando Get-IRMConfiguration de Exchange Online.

   Si necesita ayuda para ejecutar este comando, consulte las instrucciones paso a paso de Exchange Online: Configuración de IRM.

   En la salida, compruebe si AzureRMSLicensingEnabled está establecido en True:

   • Si AzureRMSLicensingEnabled está establecido en True, no se necesita ninguna configuración adicional para este paso.

   • Si AzureRMSLicensingEnabled está establecido en False, ejecute Set-IRMConfiguration -AzureRMSLicensingEnabled $true y confirme que Exchange Online ya está listo para usar el servicio Azure Rights Management.

     Para más información, consulte los pasos de comprobación de Configuración de nuevas funcionalidades de cifrado de mensajes de Microsoft 365 basadas en Azure Information Protection.

Paso 9: Configuración de la integración de IRM para Exchange Server y SharePoint Server

Si ha usado la funcionalidad Information Rights Management (IRM) de Exchange Server o SharePoint Server con AD RMS, deberá implementar el conector Rights Management (RMS).

El conector actúa como una interfaz de comunicaciones (una retransmisión) entre los servidores locales y el servicio de protección para Azure Information Protection.

En este paso se describe la instalación y configuración del conector, la deshabilitación de IRM para Exchange y SharePoint y la configuración de estos servidores para usar el conector.

Por último, si ha importado archivos de configuración de datos .xml de AD RMS que se usaron para proteger los mensajes de correo electrónico en Azure Information Protection, debe editar manualmente el registro en los equipos de Exchange Server para redirigir todas las direcciones URL de dominio de publicación de confianza al conector RMS.

Nota:

Antes de empezar, compruebe las versiones de los servidores locales que admite el servicio Azure Rights Management, desde Servidores locales que admiten Azure RMS.

Instalación y configuración del conector RMS

Siga las instrucciones del artículo Implementación del conector Microsoft Rights Management y realice los pasos 1 a 4.

No inicie el paso 5 todavía desde las instrucciones del conector.

Deshabilitar IRM en servidores Exchange y quitar la configuración de AD RMS

Importante

Si aún no ha configurado IRM en ninguno de los servidores Exchange, siga los pasos 2 y 6.

Realice todos estos pasos si no se muestran todas las direcciones URL de concesión de licencias de todos los clústeres de AD RMS en el parámetro LicensingLocation al ejecutar Get-IRMConfiguration.

1. En cada servidor Exchange, busque la carpeta siguiente y elimine todas las entradas de esa carpeta: \ProgramData\Microsoft\DRM\Server\S-1-5-18

2. Desde uno de los servidores Exchange, ejecute los siguientes comandos de PowerShell para asegurarse de que los usuarios podrán leer correos electrónicos protegidos mediante Azure Rights Management.

   Antes de ejecutar estos comandos, sustituya su propia dirección URL del servicio Azure Rights Management por la <dirección URL del inquilino>.

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation 
   $list += "<Your Tenant URL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   

   Ahora, al ejecutar Get-IRMConfiguration, debería ver todas las direcciones URL de concesión de licencias del clúster de AD RMS y la dirección URL del servicio Azure Rights Management que se muestra para el parámetro LicensingLocation.

3. Ahora, deshabilite las características de IRM para los mensajes que se envían a destinatarios internos:

   Set-IRMConfiguration -InternalLicensingEnabled $false
   

4. A continuación, use el mismo cmdlet para deshabilitar IRM en la aplicación web de Microsoft Office Outlook y en Microsoft Exchange ActiveSync:

   Set-IRMConfiguration -ClientAccessServerEnabled $false
   

5. Por último, use el mismo cmdlet para borrar los certificados almacenados en caché:

   Set-IRMConfiguration -RefreshServerCertificates
   

6. En cada servidor Exchange, restablezca ahora IIS, por ejemplo, ejecutando un símbolo del sistema como administrador y escribiendo iisreset.

Deshabilitar IRM en servidores SharePoint y quitar la configuración de AD RMS

1. Asegúrese de que no hay documentos desprotegidos de bibliotecas protegidas por RMS. Si existen, serán inaccesibles al final de este procedimiento.

2. En el sitio web de Administración central de SharePoint, en la sección Inicio rápido, haga clic en Seguridad.

3. En la página Seguridad, en la sección Directiva de información, haga clic en Configuración de Information Rights Management.

4. En la página Information Rights Management, en la sección Information Rights Management, seleccione No usar IRM en este servidor y, a continuación, haga clic en Aceptar.

5. En cada uno de los equipos de SharePoint Server, elimine el contenido de la carpeta \ProgramData\Microsoft\MSIPC\Server\<SID de la cuenta que ejecuta SharePoint Server>.

Configurar Exchange y SharePoint para usar el conector

1. Vuelva a las instrucciones para implementar el conector RMS: Paso 5: Configuración de servidores para usar el conector RMS

   Si solo tiene SharePoint Server, vaya directamente a Pasos siguientes para continuar con la migración.

2. En cada servidor Exchange Server, agregue manualmente las claves del Registro en la sección siguiente para cada archivo de datos de configuración (.xml) que importó, para redirigir las direcciones URL del dominio de publicación de confianza al conector RMS. Estas entradas del Registro son específicas de la migración y no las agrega la herramienta de configuración del servidor para el conector Microsoft RMS.

   Al realizar estas modificaciones del Registro, siga estas instrucciones:

   • Reemplace el FQDN del conector por el nombre que definió en DNS para el conector. Por ejemplo, rmsconnector.contoso.com.

   • Use el prefijo HTTP o HTTPS para la dirección URL del conector, en función de si ha configurado el conector para usar HTTP o HTTPS para comunicarse con los servidores locales.

Modificaciones del Registro para Exchange

Para todos los servidores de Exchange, agregue los siguientes valores del Registro a LicenseServerRedirection, en función de las versiones de Exchange:

1. Para Exchange 2013 y Exchange 2016, agregue el siguiente valor del Registro:

   • Ruta de acceso del Registro: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Tipo: Reg_SZ

   • Valor: https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

   • Datos: uno de los siguientes, dependiendo de si usa HTTP o HTTPS desde el servidor Exchange al conector RMS:

     • http://<connector FQDN>/_wmcs/licensing

     • https://<connector FQDN>/_wmcs/licensing

2. Para Exchange 2013, agregue el siguiente valor adicional del Registro:

   • Ruta de acceso del Registro: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Tipo: Reg_SZ

   • Valor: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

   • Datos: uno de los siguientes, dependiendo de si usa HTTP o HTTPS desde el servidor Exchange al conector RMS:

     • http://<connector FQDN>/_wmcs/licensing

     • https://<connector FQDN>/_wmcs/licensing

Pasos siguientes

Para continuar con la migración, vaya a Fase 5: Tareas posteriores a la migración.