Migratiefase 4 : configuratie van ondersteunende services

Gebruik de volgende informatie voor fase 4 van de migratie van AD RMS naar Azure Information Protection. Deze procedures hebben betrekking op stap 8 tot en met 9 van migreren van AD RMS naar Azure Information Protection.

Stap 8: IRM-integratie configureren voor Exchange Online

Belangrijk

U kunt niet bepalen welke geadresseerden gemigreerde gebruikers kunnen selecteren voor beveiligde e-mailberichten.

Zorg er daarom voor dat alle gebruikers en groepen met e-mail in uw organisatie een account in Microsoft Entra-id hebben dat kan worden gebruikt met Azure Information Protection.

Zie Gebruikers en groepen voorbereiden voor Azure Information Protection voor meer informatie.

Ga als volgt te werk, ongeacht de topologie van de Azure Information Protection-tenantsleutel die u hebt gekozen:

1. Vereiste: Exchange Online moet weten dat de AD RMS-URL voor uw cluster overeenkomt met de sleutel die beschikbaar is in uw tenant om e-mailberichten te ontsleutelen die worden beveiligd door AD RMS.

   Dit wordt gedaan met de DNS SRV-record voor uw AD RMS-cluster dat ook wordt gebruikt om Office-clients opnieuw te configureren voor het gebruik van Azure Information Protection.

   Als u de DNS SRV-record niet hebt gemaakt voor herconfiguratie van clients in stap 7, maakt u deze record nu ter ondersteuning van Exchange Online. Instructies

   Wanneer deze DNS-record is ingesteld, kunnen gebruikers die webversie van Outlook en mobiele e-mailclients gebruiken, beveiligde e-mailberichten van AD RMS in die apps bekijken. Exchange kan de sleutel die u hebt geïmporteerd uit AD RMS gebruiken voor het ontsleutelen, indexeren, logboeken en beveiligen van inhoud die is beveiligd door AD RMS.

2. Voer de opdracht Exchange Online Get-IRMConfiguration uit.

   Als u hulp nodig hebt bij het uitvoeren van deze opdracht, raadpleegt u de stapsgewijze instructies van Exchange Online: IRM-configuratie.

   Controleer in de uitvoer of AzureRMSLicensingEnabled is ingesteld op True:

   • Als AzureRMSLicensingEnabled is ingesteld op True, is er geen verdere configuratie nodig voor deze stap.

   • Als AzureRMSLicensingEnabled onwaar is ingesteld, voert u deze uit Set-IRMConfiguration -AzureRMSLicensingEnabled $true en bevestigt u dat Exchange Online nu klaar is om de Azure Rights Management-service te gebruiken.

     Zie voor meer informatie de verificatiestappen van het instellen van nieuwe mogelijkheden voor Microsoft 365-berichtversleuteling die zijn gebouwd boven op Azure Information Protection.

Stap 9: IRM-integratie configureren voor Exchange Server en SharePoint Server

Als u de IRM-functionaliteit (Information Rights Management) van Exchange Server of SharePoint Server hebt gebruikt met AD RMS, moet u de Rights Management-connector (RMS) implementeren.

De connector fungeert als een communicatie-interface (een relay) tussen uw on-premises servers en de beveiligingsservice voor Azure Information Protection.

Deze stap omvat het installeren en configureren van de connector, het uitschakelen van IRM voor Exchange en SharePoint en het configureren van deze servers voor het gebruik van de connector.

Als u ten slotte AD RMS .xml-gegevensconfiguratiebestanden hebt geïmporteerd die zijn gebruikt om e-mailberichten te beveiligen in Azure Information Protection, moet u het register op de Exchange Server-computers handmatig bewerken om alle URL's van vertrouwde publicatiedomeinen om te leiden naar de RMS-connector.

Notitie

Voordat u begint, controleert u de versies van de on-premises servers die door de Azure Rights Management-service worden ondersteund, van on-premises servers die Azure RMS ondersteunen.

De RMS-connector installeren en configureren

Gebruik de instructies in het artikel De Microsoft Rights Management-connector implementeren en voer stap 1 tot en met 4 uit.

Start stap 5 nog niet vanuit de instructies voor de connector.

IRM uitschakelen op Exchange-servers en AD RMS-configuratie verwijderen

Belangrijk

Als u IRM nog niet hebt geconfigureerd op een van uw Exchange-servers, voert u stap 2 en 6 uit.

Voer al deze stappen uit als alle licentie-URL's van al uw AD RMS-clusters niet worden weergegeven in de parameter LicensingLocation wanneer u Get-IRMConfiguration uitvoert.

1. Zoek op elke Exchange-server de volgende map en verwijder alle vermeldingen in die map: \ProgramData\Microsoft\DRM\Server\S-1-5-18

2. Voer vanaf een van de Exchange-servers de volgende PowerShell-opdrachten uit om ervoor te zorgen dat gebruikers e-mailberichten kunnen lezen die zijn beveiligd met behulp van Azure Rights Management.

   Voordat u deze opdrachten uitvoert, vervangt u de URL van uw eigen Azure Rights Management-service door uw tenant-URL>.<

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation 
   $list += "<Your Tenant URL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   

   Wanneer u Get-IRMConfiguration uitvoert, ziet u nu alle URL's voor licentieverlening voor AD RMS-clusters en de URL van uw Azure Rights Management-service die wordt weergegeven voor de parameter LicensingLocation.

3. Schakel nu IRM-functies uit voor berichten die naar interne geadresseerden worden verzonden:

   Set-IRMConfiguration -InternalLicensingEnabled $false
   

4. Gebruik vervolgens dezelfde cmdlet om IRM uit te schakelen in Microsoft Office Outlook Web App en in Microsoft Exchange ActiveSync:

   Set-IRMConfiguration -ClientAccessServerEnabled $false
   

5. Gebruik tot slot dezelfde cmdlet om alle certificaten in de cache te wissen:

   Set-IRMConfiguration -RefreshServerCertificates
   

6. Stel iiS nu opnieuw in op elke Exchange-server door bijvoorbeeld een opdrachtprompt uit te voeren als beheerder en iisreset te typen.

IRM op SharePoint-servers uitschakelen en AD RMS-configuratie verwijderen

1. Zorg ervoor dat er geen documenten zijn uitgecheckt uit met RMS beveiligde bibliotheken. Als dat zo is, worden ze aan het einde van deze procedure ontoegankelijk.

2. Klik op de sharePoint Central-website Beheer istration in de sectie Snel starten op Beveiliging.

3. Klik op de pagina Beveiliging in de sectie Informatiebeleid op Information Rights Management configureren.

4. Selecteer op de pagina Information Rights Management in de sectie Information Rights Management de optie IRM niet gebruiken op deze server en klik vervolgens op OK.

5. Verwijder op elk van de SharePoint Server-computers de inhoud van de map \ProgramData\Microsoft\MSIPC\Server\<SID van het account waarop SharePoint Server> wordt uitgevoerd.

Exchange en SharePoint configureren voor het gebruik van de connector

1. Ga terug naar de instructies voor het implementeren van de RMS-connector: Stap 5: Servers configureren voor gebruik van de RMS-connector

   Als u alleen SharePoint Server hebt, gaat u rechtstreeks naar Volgende stappen om de migratie voort te zetten.

2. Voeg op elke Exchange-server handmatig de registersleutels toe in de volgende sectie voor elk configuratiegegevensbestand (.xml) dat u hebt geïmporteerd, om de URL's van het vertrouwde publicatiedomein om te leiden naar de RMS-connector. Deze registervermeldingen zijn specifiek voor migratie en worden niet toegevoegd door het hulpprogramma voor serverconfiguratie voor de Microsoft RMS-connector.

   Wanneer u deze registerbewerkingen uitvoert, gebruikt u de volgende instructies:

   • Vervang de FQDN van de connector door de naam die u hebt gedefinieerd in DNS voor de connector. Bijvoorbeeld rmsconnector.contoso.com.

   • Gebruik het HTTP- of HTTPS-voorvoegsel voor de connector-URL, afhankelijk van of u de connector hebt geconfigureerd voor het gebruik van HTTP of HTTPS om te communiceren met uw on-premises servers.

Registerbewerkingen voor Exchange

Voor alle Exchange-servers voegt u de volgende registerwaarden toe aan LicenseServerRedirection, afhankelijk van uw versies van Exchange:

1. Voor zowel Exchange 2013 als Exchange 2016 voegt u de volgende registerwaarde toe:

   • Registerpad: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Type: Reg_SZ

   • Waarde: https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

   • Gegevens: een van de volgende opties, afhankelijk van of u HTTP of HTTPS van uw Exchange-server gebruikt naar de RMS-connector:

     • http://<connector FQDN>/_wmcs/licensing

     • https://<connector FQDN>/_wmcs/licensing

2. Voor Exchange 2013 voegt u de volgende extra registerwaarde toe:

   • Registerpad: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Type: Reg_SZ

   • Waarde: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

   • Gegevens: een van de volgende opties, afhankelijk van of u HTTP of HTTPS van uw Exchange-server gebruikt naar de RMS-connector:

     • http://<connector FQDN>/_wmcs/licensing

     • https://<connector FQDN>/_wmcs/licensing

Volgende stappen

Als u de migratie wilt voortzetten, gaat u naar fase 5- na migratietaken.