Phase de migration 4 : Configuration des services de prise en charge

s’applique à: services AD RMS (Active Directory Rights Management Services), Azure Information Protection, Office 365

Concerne : Client d’étiquetage unifié AIP et client classique

Notes

Pour fournir une expérience client unifiée et homogène, le client classique Azure Information Protection et la gestion des étiquettes dans le portail Azure sont dépréciés depuis le 31 mars 2021. Le client classique continue de fonctionner selon la configuration, mais aucun support n’est fourni, et les versions de maintenance ne sont plus publiées pour le client classique.

Nous vous recommandons de passer à l’étiquetage unifié et d’effectuer la mise à niveau vers le client d’étiquetage unifié. En savoir plus sur notre récent blog de dépréciation.

Utilisez les informations suivantes pour la Phase 4 de la migration d’AD RMS vers Azure Information Protection. Ces procédures couvrent les étapes 8 et 9 de la rubrique Migration d’AD RMS vers Azure Information Protection.

Étape 8 : Configurer l'intégration de l'IRM pour Exchange Online

Important

Vous ne pouvez pas contrôler les destinataires que les utilisateurs migrés peuvent sélectionner pour les e-mails protégés.

Par conséquent, assurez-vous que tous les utilisateurs et groupes à extension messagerie de votre organisation ont un compte dans Azure AD qui peut être utilisé avec Azure Information Protection.

Pour plus d’informations, consultez Préparation des utilisateurs et groupes pour Azure Information Protection.

Quelle que soit la topologie de clé de locataire Azure Information Protection que vous avez choisie, procédez comme suit :

  1. condition préalable: pour que Exchange Online puisse déchiffrer les messages électroniques protégés par AD RMS, il faut savoir que l’URL AD RMS pour votre cluster correspond à la clé qui est disponible dans votre locataire.

    Pour ce faire, la SRV du DNS doit être enregistrée pour votre cluster AD RMS, qui est également utilisé pour reconfigurer les clients Office afin d’utiliser Azure Information Protection.

    Si vous n’avez pas créé l’enregistrement DNS SRV pour la reconfiguration du client à l' étape 7, créez-le maintenant pour prendre en charge Exchange Online. Instructions

    Quand cet enregistrement DNS est en place, les utilisateurs d’Outlook sur des clients de messagerie web et mobiles peuvent afficher les e-mails protégés par les services AD RMS dans ces applications, et Exchange sera en mesure d’utiliser la clé que vous avez importée à partir d’AD RMS pour déchiffrer, indexer, journaliser et protéger le contenu qui a été protégé par AD RMS.

  2. exécutez la commande Exchange Online IRMConfiguration .

    Si vous avez besoin d’aide pour exécuter cette commande, consultez les instructions détaillées dans Exchange Online : Configuration d’IRM.

    Dans la sortie, vérifiez si AzureRMSLicensingEnabled a la valeur True:

Étape 9. Configurer l’intégration d’IRM pour Exchange Server et SharePoint Server

si vous avez utilisé la fonctionnalité de Rights Management d’informations (IRM) de Exchange Server ou SharePoint Server avec AD RMS, vous devez déployer le connecteur Rights Management (RMS).

Le connecteur agit comme une interface de communication (relais) entre vos serveurs locaux et le service de protection pour Azure Information Protection.

Cette étape aborde l’installation et la configuration du connecteur, la désactivation d’IRM pour Exchange et SharePoint, ainsi que la configuration de ces serveurs pour utiliser le connecteur.

enfin, si vous avez importé AD RMS .xml fichiers de configuration des données qui ont été utilisés pour protéger les messages électroniques dans Azure Information Protection, vous devez modifier manuellement le registre sur les ordinateurs Exchange Server pour rediriger toutes les url de trusted publishing domain vers le connecteur RMS.

Notes

Avant de commencer, vérifiez les versions des serveurs locaux prises en charge par le service Azure Rights Management, dans Serveurs locaux prenant en charge Azure RMS.

Installation et configuration du connecteur RMS

Suivez les instructions de l’article déploiement du connecteur Microsoft Rights Management et effectuez les étapes 1 à 4.

Ne démarrez pas encore l’étape 5 à partir des instructions du connecteur.

Désactivation de l'IRM sur les serveurs Exchange et suppression de la configuration AD RMS

Important

si vous n’avez pas encore configuré IRM sur l’un de vos serveurs Exchange, effectuez simplement les étapes 2 et 6.

Effectuez toutes ces étapes si toutes les URL de licence de tous vos clusters de AD RMS ne sont pas affichées dans le paramètre LicensingLocation lorsque vous exécutez la méthode IRMConfiguration.

  1. Sur chaque serveur Exchange, recherchez le dossier suivant, puis supprimez toutes ses entrées : \ProgramData\Microsoft\DRM\Server\S-1-5-18

  2. À partir de l’un des serveurs Exchange, exécutez les commandes PowerShell suivantes pour vérifier que les utilisateurs seront en mesure de lire les e-mails qui sont protégés à l’aide d’Azure Rights Management.

    avant d’exécuter ces commandes, remplacez votre propre URL de service Azure Rights Management par <Your Tenant URL> .

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation 
    $list += "<Your Tenant URL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    

    désormais, lorsque vous exécutez la IRMConfiguration, vous devriez voir toutes vos url de licence de cluster AD RMS et votre url de service de Azure Rights Management affichée pour le paramètre LicensingLocation .

  3. Désactivez maintenant les fonctionnalités IRM pour les messages envoyés à des destinataires internes :

    Set-IRMConfiguration -InternalLicensingEnabled $false
    
  4. Utilisez ensuite la même applet de commande pour désactiver IRM dans Microsoft Office Outlook Web App et dans Microsoft Exchange ActiveSync :

    Set-IRMConfiguration -ClientAccessServerEnabled $false
    
  5. Enfin, utilisez la même applet de commande pour effacer les certificats mis en cache :

    Set-IRMConfiguration -RefreshServerCertificates
    
  6. Sur chaque serveur Exchange, réinitialisez IIS, par exemple, en exécutant une invite de commandes en tant qu'administrateur et en tapant iisreset.

Désactivation d'IRM sur les serveurs SharePoint et suppression de la configuration AD RMS

  1. Assurez-vous qu'aucun document n'est extrait des bibliothèques protégées par RMS. Les documents extraits deviendront inaccessibles à la fin de cette procédure.

  2. Sur le site web Administration centrale de SharePoint, dans la section Lancement rapide, cliquez sur Sécurité.

  3. Dans la page Sécurité, dans la section Stratégie d'information, cliquez sur Configurer la gestion des droits relatifs à l'information.

  4. Dans la page Gestion des droits relatifs à l'information, dans la section Gestion des droits relatifs à l'information, sélectionnez Ne pas utiliser IRM sur ce serveur, puis cliquez sur OK.

  5. Sur chaque ordinateur SharePoint Server, supprimez le contenu du dossier \ProgramData\Microsoft\MSIPC\Server\<SID du compte exécutant SharePoint Server>.

Configurer Exchange et SharePoint pour utiliser le connecteur

  1. Revenez aux instructions pour le déploiement du connecteur RMS : Étape 5 : Configuration de serveurs afin d’utiliser le connecteur RMS

    Si vous ne disposez que de SharePoint Server, accédez directement à Étapes suivantes pour poursuivre la migration.

  2. Sur chaque serveur Exchange, ajoutez manuellement les clés de Registre dans la section suivante pour chaque fichier de données de configuration (.xml) que vous avez importé pour rediriger les URL de domaine de publication approuvé vers le connecteur RMS. Ces entrées de Registre sont spécifiques de la migration et ne sont pas ajoutées par l'outil de configuration de serveur pour le connecteur Microsoft RMS.

    Lorsque vous apportez ces modifications au Registre, suivez les instructions suivantes :

    • Remplacez FQDN du connecteur par le nom défini dans DNS pour le connecteur. Par exemple, rmsconnector.contoso.com.

    • Utilisez le préfixe HTTP ou HTTPS pour l'URL du connecteur, selon que vous avez configuré le connecteur pour utiliser le protocole HTTP ou HTTPS pour communiquer avec vos serveurs locaux.

Modifications du Registre pour Exchange

Pour tous les serveurs Exchange, ajoutez les valeurs de registre suivantes pour LicenseServerRedirection, selon les versions d’Exchange :

  1. pour Exchange 2013 et Exchange 2016, ajoutez la valeur de registre suivante :

    • Chemin du Registre: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Type: REG_SZ

    • Valeur : https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

    • données: l’une des options suivantes, selon que vous utilisez le protocole http ou https entre votre serveur Exchange et le connecteur RMS :

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

  2. pour Exchange 2013, ajoutez la valeur de registre supplémentaire suivante :

    • Chemin du Registre: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Type: REG_SZ

    • Valeur : https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

    • données: l’une des options suivantes, selon que vous utilisez le protocole http ou https entre votre serveur Exchange et le connecteur RMS :

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

Étapes suivantes

Pour poursuivre la migration, passez à la Phase 5 - Tâches de post-migration.