Faza 4 migracji — konfiguracja usług pomocniczych

Skorzystaj z poniższych informacji w fazie 4 migracji z usług AD RMS do usługi Azure Information Protection. Te procedury obejmują kroki od 8 do 9 z sekcji Migrowanie z usług AD RMS do usługi Azure Information Protection.

Krok 8. Konfigurowanie integracji usługi IRM dla usługi Exchange Online

Ważne

Nie można kontrolować, którzy adresaci migrowali użytkowników, mogą wybrać dla chronionych wiadomości e-mail.

W związku z tym upewnij się, że wszyscy użytkownicy i grupy obsługujące pocztę w organizacji mają konto w usłudze Microsoft Entra ID, którego można używać z usługą Azure Information Protection.

Aby uzyskać więcej informacji, zobacz Przygotowywanie użytkowników i grup dla usługi Azure Information Protection.

Niezależnie od wybranej topologii klucza dzierżawy usługi Azure Information Protection wykonaj następujące czynności:

1. Wymaganie wstępne: aby usługa Exchange Online mogła odszyfrować wiadomości e-mail chronione przez usługę AD RMS, musi wiedzieć, że adres URL usług AD RMS dla klastra odpowiada kluczowi dostępnemu w dzierżawie.

   Odbywa się to za pomocą rekordu SRV DNS dla klastra usług AD RMS, który jest również używany do ponownego konfigurowania klientów pakietu Office w celu korzystania z usługi Azure Information Protection.

   Jeśli nie utworzono rekordu SRV DNS dla ponownej konfiguracji klienta w kroku 7, utwórz ten rekord teraz, aby obsługiwać usługę Exchange Online. Instrukcje

   Gdy ten rekord DNS jest w miejscu, użytkownicy korzystający z Outlook w sieci Web i mobilnych klientów poczty e-mail będą mogli wyświetlać chronione wiadomości e-mail usługi AD RMS w tych aplikacjach, a program Exchange będzie mógł użyć klucza zaimportowanego z usług AD RMS do odszyfrowywania, indeksowania, dziennika i ochrony zawartości chronionej przez usługi AD RMS.

2. Uruchom polecenie Get-IRMConfiguration usługi Exchange Online.

   Jeśli potrzebujesz pomocy przy uruchamianiu tego polecenia, zapoznaj się z instrukcjami krok po kroku z usługi Exchange Online: konfiguracja usługi IRM.

   Z danych wyjściowych sprawdź, czy parametr AzureRMSLicensingEnabled ma wartość True:

   • Jeśli parametr AzureRMSLicensingEnabled ma wartość True, do tego kroku nie jest wymagana żadna dalsza konfiguracja.

   • Jeśli parametr AzureRMSLicensingEnabled ma wartość False, uruchom polecenie Set-IRMConfiguration -AzureRMSLicensingEnabled $true , a następnie upewnij się, że usługa Exchange Online jest teraz gotowa do korzystania z usługi Azure Rights Management.

     Aby uzyskać więcej informacji, zobacz kroki weryfikacji opisane w temacie Konfigurowanie nowych funkcji szyfrowania komunikatów platformy Microsoft 365 opartych na usłudze Azure Information Protection.

Krok 9. Konfigurowanie integracji usługi IRM dla programu Exchange Server i programu SharePoint Server

Jeśli używasz funkcji zarządzanie prawami do informacji (IRM) programu Exchange Server lub SharePoint Server z usługami AD RMS, należy wdrożyć łącznik usługi Rights Management (RMS).

Łącznik działa jako interfejs komunikacyjny (przekaźnik) między serwerami lokalnymi a usługą ochrony usługi Azure Information Protection.

Ten krok obejmuje instalowanie i konfigurowanie łącznika, wyłączanie usługi IRM dla programów Exchange i SharePoint oraz konfigurowanie tych serwerów do korzystania z łącznika.

Na koniec, jeśli zaimportowano pliki konfiguracji danych .xml usług AD RMS, które zostały użyte do ochrony wiadomości e-mail w usłudze Azure Information Protection, należy ręcznie edytować rejestr na komputerach z programem Exchange Server, aby przekierować wszystkie zaufane adresy URL domen publikowania do łącznika usługi RMS.

Uwaga

Przed rozpoczęciem sprawdź wersje serwerów lokalnych, które obsługuje usługa Azure Rights Management, z serwerów lokalnych obsługujących usługę Azure RMS.

Instalowanie i konfigurowanie łącznika usługi RMS

Postępuj zgodnie z instrukcjami w artykule Wdrażanie łącznika usługi Microsoft Rights Management i wykonaj kroki od 1 do 4.

Nie uruchamiaj jeszcze kroku 5 z instrukcji łącznika.

Wyłączanie usługi IRM na serwerach Exchange i usuwanie konfiguracji usług AD RMS

Ważne

Jeśli usługa IRM nie została jeszcze skonfigurowana na żadnym z serwerów programu Exchange, wykonaj tylko kroki 2 i 6.

Wykonaj wszystkie te kroki, jeśli wszystkie adresy URL licencjonowania wszystkich klastrów usług AD RMS nie są wyświetlane w parametrze LicensingLocation po uruchomieniu polecenia Get-IRMConfiguration.

1. Na każdym serwerze Exchange znajdź następujący folder i usuń wszystkie wpisy w tym folderze: \ProgramData\Microsoft\DRM\Server\S-1-5-18

2. Na jednym z serwerów exchange uruchom następujące polecenia programu PowerShell, aby upewnić się, że użytkownicy będą mogli odczytywać wiadomości e-mail chronione przy użyciu usługi Azure Rights Management.

   Przed uruchomieniem tych poleceń zastąp własny adres URL usługi Azure Rights Management adresem <URL> twojej dzierżawy.

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation 
   $list += "<Your Tenant URL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   

   Teraz po uruchomieniu polecenia Get-IRMConfiguration powinny zostać wyświetlone wszystkie adresy URL licencjonowania klastra usług AD RMS i adres URL usługi Azure Rights Management dla parametru LicensingLocation .

3. Teraz wyłącz funkcje usługi IRM dla wiadomości wysyłanych do adresatów wewnętrznych:

   Set-IRMConfiguration -InternalLicensingEnabled $false
   

4. Następnie użyj tego samego polecenia cmdlet, aby wyłączyć usługę IRM w aplikacji Microsoft Office Outlook Web App i w programie Microsoft Exchange ActiveSync:

   Set-IRMConfiguration -ClientAccessServerEnabled $false
   

5. Na koniec użyj tego samego polecenia cmdlet, aby wyczyścić wszystkie buforowane certyfikaty:

   Set-IRMConfiguration -RefreshServerCertificates
   

6. Na każdym serwerze Exchange zresetuj usługi IIS, na przykład, uruchamiając wiersz polecenia jako administrator i wpisując iisreset.

Wyłączanie usługi IRM na serwerach programu SharePoint i usuwanie konfiguracji usług AD RMS

1. Upewnij się, że nie ma dokumentów wyewidencjonowany z bibliotek chronionych przez usługę RMS. Jeśli istnieją, staną się one niedostępne na końcu tej procedury.

2. W witrynie sieci Web Administracja istration programu SharePoint Central w sekcji Szybkie uruchamianie kliknij pozycję Zabezpieczenia.

3. Na stronie Zabezpieczenia w sekcji Zasady informacji kliknij pozycję Konfiguruj zarządzanie prawami do informacji.

4. Na stronie Zarządzanie prawami do informacji w sekcji Zarządzanie prawami do informacji wybierz pozycję Nie używaj usługi IRM na tym serwerze, a następnie kliknij przycisk OK.

5. Na każdym z komputerów programu SharePoint Server usuń zawartość folderu \ProgramData\Microsoft\MSIPC\Server\<SID konta z uruchomionym programem SharePoint Server>.

Konfigurowanie programu Exchange i programu SharePoint do korzystania z łącznika

1. Wróć do instrukcji dotyczących wdrażania łącznika usługi RMS: Krok 5. Konfigurowanie serwerów do korzystania z łącznika usługi RMS

   Jeśli masz tylko program SharePoint Server, przejdź bezpośrednio do sekcji Następne kroki , aby kontynuować migrację.

2. Na każdym serwerze Exchange ręcznie dodaj klucze rejestru w następnej sekcji dla każdego zaimportowanego pliku danych konfiguracji (xml), aby przekierować zaufane adresy URL domeny publikowania do łącznika usługi RMS. Te wpisy rejestru są specyficzne dla migracji i nie są dodawane przez narzędzie konfiguracji serwera dla łącznika usługi Microsoft RMS.

   Podczas wprowadzania tych edycji rejestru wykonaj następujące instrukcje:

   • Zastąp nazwę FQDN łącznika nazwą zdefiniowaną w systemie DNS dla łącznika. Na przykład rmsconnector.contoso.com.

   • Użyj prefiksu HTTP lub HTTPS dla adresu URL łącznika, w zależności od tego, czy skonfigurowano łącznik do komunikacji z serwerami lokalnymi przy użyciu protokołu HTTP lub HTTPS.

Zmiany rejestru dla programu Exchange

Dla wszystkich serwerów Exchange dodaj następujące wartości rejestru do LicenseServerRedirection, w zależności od wersji programu Exchange:

1. W przypadku programów Exchange 2013 i Exchange 2016 dodaj następującą wartość rejestru:

   • Ścieżka rejestru: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Typ: Reg_SZ

   • Wartość: https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

   • Dane: Jeden z następujących elementów, w zależności od tego, czy używasz protokołu HTTP, czy HTTPS z serwera Exchange do łącznika usługi RMS:

     • http://<connector FQDN>/_wmcs/licensing

     • https://<connector FQDN>/_wmcs/licensing

2. W przypadku programu Exchange 2013 dodaj następującą dodatkową wartość rejestru:

   • Ścieżka rejestru: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Typ: Reg_SZ

   • Wartość: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

   • Dane: Jeden z następujących elementów, w zależności od tego, czy używasz protokołu HTTP, czy HTTPS z serwera Exchange do łącznika usługi RMS:

     • http://<connector FQDN>/_wmcs/licensing

     • https://<connector FQDN>/_wmcs/licensing

Następne kroki

Aby kontynuować migrację, przejdź do fazy 5 — zadania po migracji.