Fase 4 della migrazione: configurazione dei servizi di supporto

Usare le informazioni seguenti per la fase 4 della migrazione da AD RMS ad Azure Information Protection. Queste procedure illustrano i passaggi da 8 a 9 dalla migrazione da AD RMS ad Azure Information Protection.

Passaggio 8: Configurare l'integrazione IRM per Exchange Online

Importante

Non è possibile controllare quali destinatari migrati potrebbero selezionare per i messaggi di posta elettronica protetti.

Assicurarsi pertanto che tutti gli utenti e i gruppi abilitati alla posta elettronica dell'organizzazione dispongano di un account in MICROSOFT Entra ID che può essere usato con Azure Information Protection.

Per altre informazioni, vedere Preparazione di utenti e gruppi per Azure Information Protection.

Indipendentemente dalla topologia della chiave del tenant di Azure Information Protection scelta, eseguire le operazioni seguenti:

1. Prerequisito: per consentire a Exchange Online di decrittografare i messaggi di posta elettronica protetti da AD RMS, è necessario sapere che l'URL di AD RMS per il cluster corrisponde alla chiave disponibile nel tenant.

   Questa operazione viene eseguita con il record SRV DNS per il cluster AD RMS usato anche per riconfigurare i client Office per l'uso di Azure Information Protection.

   Se non è stato creato il record SRV DNS per la riconfigurazione del client nel passaggio 7, creare questo record per supportare Exchange Online. Istruzioni

   Quando è presente questo record DNS, gli utenti che usano Outlook sul web e i client di posta elettronica per dispositivi mobili potranno visualizzare i messaggi di posta elettronica protetti da AD RMS in tali app e Exchange sarà in grado di usare la chiave importata da AD RMS per decrittografare, indicizzare, registrare e proteggere il contenuto protetto da AD RMS.

2. Eseguire il comando Get-IRMConfiguration di Exchange Online.

   Per informazioni sull'esecuzione di questo comando, vedere le istruzioni dettagliate di Exchange Online: Configurazione IRM.

   Dall'output verificare se AzureRMSLicensingEnabled è impostato su True:

   • Se AzureRMSLicensingEnabled è impostato su True, non sono necessarie altre configurazioni per questo passaggio.

   • Se AzureRMSLicensingEnabled è impostato su False, eseguire Set-IRMConfiguration -AzureRMSLicensingEnabled $true e verificare che Exchange Online sia ora pronto per l'uso del servizio Azure Rights Management.

     Per altre informazioni, vedere i passaggi di verifica in Configurare le nuove funzionalità di Crittografia messaggi di Microsoft 365 basate su Azure Information Protection.

Passaggio 9: Configurare l'integrazione IRM per Exchange Server e SharePoint Server

Se è stata usata la funzionalità Information Rights Management (IRM) di Exchange Server o SharePoint Server con AD RMS, sarà necessario distribuire il connettore Rights Management (RMS).

Il connettore funge da interfaccia di comunicazione (un inoltro) tra i server locali e il servizio di protezione per Azure Information Protection.

Questo passaggio illustra l'installazione e la configurazione del connettore, la disabilitazione di IRM per Exchange e SharePoint e la configurazione di questi server per l'uso del connettore.

Infine, se sono stati importati i file di configurazione dei dati XML di AD RMS usati per proteggere i messaggi di posta elettronica in Azure Information Protection, è necessario modificare manualmente il Registro di sistema nei computer di Exchange Server per reindirizzare tutti gli URL di dominio di pubblicazione attendibili al connettore RMS.

Nota

Prima di iniziare, controllare le versioni dei server locali supportati dal servizio Azure Rights Management dai server locali che supportano Azure RMS.

Installare e configurare il connettore RMS

Usare le istruzioni nell'articolo Distribuzione del connettore Microsoft Rights Management ed eseguire i passaggi da 1 a 4.

Non avviare ancora il passaggio 5 dalle istruzioni del connettore.

Disabilitare IRM nei server Exchange e rimuovere la configurazione di AD RMS

Importante

Se non è ancora stato configurato IRM in uno dei server Exchange, eseguire solo i passaggi 2 e 6.

Eseguire tutti questi passaggi se tutti gli URL di licenza di tutti i cluster AD RMS non vengono visualizzati nel parametro LicensingLocation quando si esegue Get-IRMConfiguration.

1. In ogni server exchange individuare la cartella seguente ed eliminare tutte le voci della cartella: \ProgramData\Microsoft\DRM\Server\S-1-5-18

2. Da uno dei server Exchange eseguire i comandi di PowerShell seguenti per assicurarsi che gli utenti possano leggere i messaggi di posta elettronica protetti tramite Azure Rights Management.

   Prima di eseguire questi comandi, sostituire il proprio URL del servizio Azure Rights Management per <l'URL> del tenant.

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation 
   $list += "<Your Tenant URL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   

   Quando si esegue Get-IRMConfiguration, verranno visualizzati tutti gli URL delle licenze del cluster AD RMS e l'URL del servizio Azure Rights Management visualizzati per il parametro LicensingLocation .

3. Disabilitare ora le funzionalità IRM per i messaggi inviati ai destinatari interni:

   Set-IRMConfiguration -InternalLicensingEnabled $false
   

4. Usare quindi lo stesso cmdlet per disabilitare IRM in Microsoft Office Outlook Web App e in Microsoft Exchange ActiveSync:

   Set-IRMConfiguration -ClientAccessServerEnabled $false
   

5. Usare infine lo stesso cmdlet per cancellare tutti i certificati memorizzati nella cache:

   Set-IRMConfiguration -RefreshServerCertificates
   

6. In ogni Exchange Server reimpostare IIS, ad esempio eseguendo un prompt dei comandi come amministratore e digitando iisreset.

Disabilitare IRM nei server SharePoint e rimuovere la configurazione di AD RMS

1. Assicurarsi che non siano presenti documenti archiviati dalle librerie protette da RMS. In caso affermativo, saranno inaccessibili alla fine di questa procedura.

2. Nel sito Web Amministrazione istration di SharePoint Central fare clic su Sicurezza nella sezione Avvio rapido.

3. Nella sezione Criteri informazioni della pagina Sicurezza fare clic su Configura Information Rights Management.

4. Nella sezione Information Rights Management della pagina Information Rights Management selezionare Non usare IRM nel server e quindi fare clic su OK.

5. In ogni computer di SharePoint Server eliminare il contenuto della cartella \ProgramData\Microsoft\MSIPC\Server\<SID dell'account che esegue SharePoint Server>.

Configurare Exchange e SharePoint per l'uso del connettore

1. Tornare alle istruzioni per la distribuzione del connettore RMS: Passaggio 5: Configurazione dei server per l'uso del connettore RMS

   Se è disponibile solo SharePoint Server, passare direttamente a Passaggi successivi per continuare la migrazione.

2. In ogni server di Exchange aggiungere manualmente le chiavi del Registro di sistema nella sezione successiva per ogni file di dati di configurazione (con estensione xml) importato, per reindirizzare gli URL del dominio di pubblicazione attendibile al connettore RMS. Queste voci del Registro di sistema sono specifiche per la migrazione e non vengono aggiunte dallo strumento di configurazione del server per il connettore Microsoft RMS.

   Quando si apportano queste modifiche al Registro di sistema, usare le istruzioni seguenti:

   • Sostituire il nome di dominio completo del connettore con il nome definito in DNS per il connettore. Ad esempio, rmsconnector.contoso.com.

   • Usare il prefisso HTTP o HTTPS per l'URL del connettore, a seconda che il connettore sia stato configurato per l'uso di HTTP o HTTPS per comunicare con i server locali.

Modifiche del Registro di sistema per Exchange

Per tutti i server Exchange, aggiungere i valori del Registro di sistema seguenti a LicenseServerRedirection, a seconda delle versioni di Exchange:

1. Per Exchange 2013 ed Exchange 2016, aggiungere il seguente valore del Registro di sistema:

   • Percorso del Registro di sistema: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Tipo: Reg_SZ

   • Valore: https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

   • Dati: uno dei seguenti, a seconda che si usi HTTP o HTTPS dal server Exchange al connettore RMS:

     • http://<connector FQDN>/_wmcs/licensing

     • https://<connector FQDN>/_wmcs/licensing

2. Per Exchange 2013, aggiungere il seguente valore aggiuntivo del Registro di sistema:

   • Percorso del Registro di sistema: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Tipo: Reg_SZ

   • Valore: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

   • Dati: uno dei seguenti, a seconda che si usi HTTP o HTTPS dal server Exchange al connettore RMS:

     • http://<connector FQDN>/_wmcs/licensing

     • https://<connector FQDN>/_wmcs/licensing

Passaggi successivi

Per continuare la migrazione, passare alle attività di fase 5 post-migrazione.