Phase 4 de migration : configuration des services de prise en charge
Utilisez les informations suivantes pour la phase 4 de la migration d’AD RMS vers Azure Information Protection. Ces procédures couvrent les étapes 8 à 9 de la migration d’AD RMS vers Azure Information Protection.
Étape 8 : Configurer l’intégration IRM pour Exchange Online
Important
Vous ne pouvez pas contrôler les destinataires migrés que les utilisateurs peuvent sélectionner pour les e-mails protégés.
Par conséquent, assurez-vous que tous les utilisateurs et groupes avec extension messagerie de votre organisation disposent d’un compte dans Microsoft Entra ID qui peut être utilisé avec Azure Information Protection.
Pour plus d’informations, consultez Préparation d’utilisateurs et de groupes pour Azure Information Protection.
Quelle que soit la topologie de clé de locataire Azure Information Protection que vous avez choisie, procédez comme suit :
Prérequis : pour qu’Exchange Online puisse déchiffrer les e-mails protégés par AD RMS, il doit savoir que l’URL AD RMS de votre cluster correspond à la clé disponible dans votre locataire.
Cette opération est effectuée avec l’enregistrement SRV DNS de votre cluster AD RMS qui est également utilisé pour reconfigurer les clients Office afin d’utiliser Azure Information Protection.
Si vous n’avez pas créé l’enregistrement SRV DNS pour la reconfiguration du client à l’étape 7, créez cet enregistrement maintenant pour prendre en charge Exchange Online. Instructions
Lorsque cet enregistrement DNS est en place, les utilisateurs utilisant des clients de messagerie Outlook sur le web et mobiles pourront afficher les e-mails protégés AD RMS dans ces applications, et Exchange pourra utiliser la clé que vous avez importée à partir d’AD RMS pour déchiffrer, indexer, journaliser et protéger le contenu protégé par AD RMS.
Exécutez la commande Exchange Online Get-IRMConfiguration.
Si vous avez besoin d’aide pour exécuter cette commande, consultez les instructions pas à pas d’Exchange Online : configuration IRM.
À partir de la sortie, vérifiez si AzureRMSLicensingEnabled a la valeur True :
Si AzureRMSLicensingEnabled est défini sur la valeur True, aucune autre configuration n’est nécessaire pour cette étape.
Si AzureRMSLicensingEnabled est défini sur la valeur False, exécutez
Set-IRMConfiguration -AzureRMSLicensingEnabled $trueet vérifiez qu’Exchange Online est maintenant prêt à utiliser le service Azure Rights Management.Pour plus d’informations, consultez les étapes de vérification de Configuration de nouvelles fonctionnalités de chiffrement des messages Microsoft 365 basées sur Azure Information Protection.
Étape 9 : Configurer l’intégration IRM pour Exchange Server et SharePoint Server
Si vous avez utilisé la fonctionnalité des services RMS (IRM) d’Exchange Server ou SharePoint Server avec AD RMS, vous devez déployer le connecteur Rights Management (RMS).
Le connecteur agit en tant qu’interface de communication (relais) entre vos serveurs locaux et le service de protection pour Azure Information Protection.
Cette étape couvre l’installation et la configuration du connecteur, la désactivation de la gestion des droits relatifs à l’information pour Exchange et SharePoint et la configuration de ces serveurs pour utiliser le connecteur.
Enfin, si vous avez importé des fichiers de configuration de données .xml AD RMS utilisés pour protéger les messages électroniques dans Azure Information Protection, vous devez modifier manuellement le Registre sur les ordinateurs Exchange Server pour rediriger toutes les URL de domaine d’éditeur approuvé vers le connecteur RMS.
Remarque
Avant de commencer, vérifiez les versions des serveurs locaux pris en charge par le service Azure Rights Management, à partir des serveurs locaux qui prennent en charge Azure RMS.
Installer et configurer le connecteur RMS
Suivez les instructions de l’article Déploiement du connecteur Microsoft Rights Management et effectuez les étapes 1 à 4.
Ne commencez pas encore l’étape 5 à partir des instructions du connecteur.
Désactiver IRM sur les serveurs Exchange et supprimer la configuration AD RMS
Important
Si vous n’avez pas encore configuré IRM sur vos serveurs Exchange, effectuez uniquement les étapes 2 et 6.
Effectuez toutes ces étapes si toutes les URL de licence de tous vos clusters AD RMS ne sont pas affichées dans le paramètre LicensingLocation lorsque vous exécutez Get-IRMConfiguration.
Sur chaque serveur Exchange, recherchez le dossier suivant et supprimez toutes les entrées de ce dossier : \ProgramData\Microsoft\DRM\Server\S-1-5-18
À partir de l’un des serveurs Exchange, exécutez les commandes PowerShell suivantes pour vous assurer que les utilisateurs pourront lire des e-mails protégés à l’aide d’Azure Rights Management.
Avant d’exécuter ces commandes, remplacez votre propre URL de service Azure Rights Management par <votre URL de locataire>.
$irmConfig = Get-IRMConfiguration $list = $irmConfig.LicensingLocation $list += "<Your Tenant URL>/_wmcs/licensing" Set-IRMConfiguration -LicensingLocation $listMaintenant, lorsque vous exécutez Get-IRMConfiguration, vous devez voir toutes vos URL de licence de cluster AD RMS et l’URL de votre service Azure Rights Management affichée pour le paramètre LicensingLocation.
Désactivez maintenant les fonctionnalités IRM des messages envoyés aux destinataires internes :
Set-IRMConfiguration -InternalLicensingEnabled $falseUtilisez ensuite la même applet de commande pour désactiver IRM dans l’application Web Microsoft Office Outlook et dans Microsoft Exchange ActiveSync :
Set-IRMConfiguration -ClientAccessServerEnabled $falseEnfin, utilisez la même applet de commande pour effacer les certificats mis en cache :
Set-IRMConfiguration -RefreshServerCertificatesSur chaque serveur Exchange Server, réinitialisez IIS, par exemple, en exécutant une invite de commandes en tant qu’administrateur et en tapant iisreset.
Désactiver IRM sur les serveurs SharePoint et supprimer la configuration AD RMS
Assurez-vous qu’aucun document n’est supprimé des bibliothèques protégées par RMS. S’il y en a, elles seront inaccessibles à la fin de cette procédure.
Sur le site Web SharePoint Central Administration, dans la section Lancement rapide, cliquez sur Sécurité.
Sur la page Sécurité, dans la section Stratégie d’information, cliquez sur Configurer la gestion des droits relatifs aux informations.
Dans la page Gestion des droits relatifs à l’information, dans la section Gestion des droits relatifs à l’information, sélectionnez Ne pas utiliser IRM sur ce serveur, puis cliquez sur OK.
Sur chacun des ordinateurs SharePoint Server, supprimez le contenu du dossier \ProgramData\Microsoft\MSIPC\Server\<SID du compte exécutant SharePoint Server>.
Configurer Exchange et SharePoint pour utiliser le connecteur
Revenez aux instructions relatives au déploiement du connecteur RMS : Étape 5 : Configuration des serveurs pour utiliser le connecteur RMS
Si vous disposez uniquement de SharePoint Server, passez directement aux étapes suivantes pour poursuivre la migration.
Sur chaque serveur Exchange Server, ajoutez manuellement les clés de Registre dans la section suivante pour chaque fichier de données de configuration (.xml) que vous avez importé, pour rediriger les URL de domaine de publication approuvées vers le connecteur RMS. Ces entrées de Registre sont spécifiques à la migration et ne sont pas ajoutées par l’outil de configuration de serveur pour le connecteur Microsoft RMS.
Lorsque vous effectuez ces modifications de Registre, utilisez les instructions suivantes :
Remplacez le FQDN du connecteur par le nom que vous avez défini dans DNS pour le connecteur. Par exemple, rmsconnector.contoso.com.
Utilisez le préfixe HTTPS pour l’URL du connecteur si vous avez configuré le connecteur pour utiliser HTTP ou HTTPS pour communiquer avec vos serveurs sur site.
Modifications du Registre pour Exchange
Pour tous les serveurs Exchange, ajoutez les valeurs de Registre suivantes à LicenseServerRedirection, en fonction de vos versions d’Exchange :
Pour Exchange 2013 et Exchange 2016, ajoutez la valeur de Registre suivante :
Chemin du Registre :
HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirectionType : Reg_SZ
Valeur :
https://<AD RMS Intranet Licensing URL>/_wmcs/licensingDonnées : l’une des opérations suivantes, selon que vous utilisez HTTP ou HTTPS à partir de votre serveur Exchange vers le connecteur RMS :
http://<connector FQDN>/_wmcs/licensinghttps://<connector FQDN>/_wmcs/licensing
Pour Exchange 2013, ajoutez la valeur de Registre supplémentaire suivante :
Chemin du Registre :
HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirectionType : Reg_SZ
Valeur :
https://<AD RMS Extranet Licensing URL>/_wmcs/licensingDonnées : l’une des opérations suivantes, selon que vous utilisez HTTP ou HTTPS à partir de votre serveur Exchange vers le connecteur RMS :
http://<connector FQDN>/_wmcs/licensinghttps://<connector FQDN>/_wmcs/licensing
Étapes suivantes
Pour poursuivre la migration, accédez à la phase 5 - tâches post-migration.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour