Fase de migração 4 - suporte à configuração de serviços

  • Artigo

Use as informações a seguir para a Fase 4 da migração do AD RMS para a Proteção de Informações do Azure. Esses procedimentos abrangem as etapas 8 a 9 de Migração do AD RMS para a Proteção de Informações do Azure.

Etapa 8: Configurar a integração do IRM para o Exchange Online

Importante

Não é possível controlar quais destinatários os usuários migrados podem selecionar para e-mails protegidos.

Portanto, certifique-se de que todos os usuários e grupos habilitados para email em sua organização tenham uma conta na ID do Microsoft Entra que possa ser usada com a Proteção de Informações do Azure.

Para obter mais informações, consulte Preparando usuários e grupos para a Proteção de Informações do Azure.

Independentemente da topologia de chave de locatário da Proteção de Informações do Azure escolhida, faça o seguinte:

  1. Pré-requisito: para que o Exchange Online possa desencriptar e-mails protegidos pelo AD RMS, precisa de saber que o AD RMS URL do cluster corresponde à chave disponível no seu inquilino.

    Isso é feito com o registro SRV DNS para seu cluster AD RMS que também é usado para reconfigurar clientes do Office para usar a Proteção de Informações do Azure.

    Se você não criou o registro SRV DNS para reconfiguração do cliente na etapa 7, crie esse registro agora para oferecer suporte ao Exchange Online. Instruções

    Quando esse registro DNS estiver em vigor, os usuários que usam o Outlook na Web e clientes de email móveis poderão exibir emails protegidos pelo AD RMS nesses aplicativos, e o Exchange poderá usar a chave importada do AD RMS para descriptografar, indexar, registrar no diário e proteger o conteúdo que foi protegido pelo AD RMS.

  2. Execute o comando Get-IRMConfiguration do Exchange Online.

    Se precisar de ajuda para executar esse comando, consulte as instruções passo a passo do Exchange Online: Configuração do IRM.

    Na saída, verifique se AzureRMSLicensingEnabled está definido como True:

    • Se AzureRMSLicensingEnabled estiver definido como True, nenhuma configuração adicional será necessária para esta etapa.

    • Se AzureRMSLicensingEnabled estiver definido como False, execute Set-IRMConfiguration -AzureRMSLicensingEnabled $true e confirme se o Exchange Online agora está pronto para usar o serviço Azure Rights Management.

      Para obter mais informações, consulte as etapas de verificação de Configurar novos recursos de Criptografia de Mensagem do Microsoft 365 criados com base na Proteção de Informações do Azure.

Etapa 9: Configurar a integração do IRM para o Exchange Server e o SharePoint Server

Se tiver utilizado a funcionalidade de Gestão de Direitos de Informação (IRM) do Exchange Server ou do SharePoint Server com AD RMS, terá de implementar o conector de Gestão de Direitos (RMS).

O conector atua como uma interface de comunicação (uma retransmissão) entre seus servidores locais e o serviço de proteção da Proteção de Informações do Azure.

Esta etapa aborda a instalação e configuração do conector, a desativação do IRM para Exchange e SharePoint e a configuração desses servidores para usar o conector.

Por fim, se tiver importado ficheiros de configuração de dados do AD RMS .xml que foram utilizados para proteger mensagens de correio eletrónico para a Proteção de Informações do Azure, tem de editar manualmente o registo nos computadores do Exchange Server para redirecionar todos os URLs de domínio de publicação fidedignos para o conector RMS.

Nota

Antes de começar, verifique as versões dos servidores locais suportados pelo serviço Azure Rights Management, a partir de Servidores locais que suportam o Azure RMS.

Instalar e configurar o conector RMS

Use as instruções no artigo Implantando o conector do Microsoft Rights Management e execute as etapas 1 a 4.

Não inicie o passo 5 ainda a partir das instruções do conector.

Desabilitar o IRM em servidores Exchange e remover a configuração do AD RMS

Importante

Se você ainda não configurou o IRM em nenhum dos seus servidores Exchange, execute apenas as etapas 2 e 6.

Execute todas estas etapas se todas as URLs de licenciamento de todos os clusters AD RMS não forem exibidas no parâmetro LicensingLocation ao executar Get-IRMConfiguration.

  1. Em cada servidor Exchange, localize a seguinte pasta e exclua todas as entradas nessa pasta: \ProgramData\Microsoft\DRM\Server\S-1-5-18

  2. Em um dos servidores Exchange, execute os seguintes comandos do PowerShell para garantir que os usuários possam ler emails protegidos usando o Azure Rights Management.

    Antes de executar esses comandos, substitua sua própria URL de serviço do Azure Rights Management pela <URL> do seu locatário.

    $irmConfig = Get-IRMConfiguration
$list = $irmConfig.LicensingLocation 
$list += "<Your Tenant URL>/_wmcs/licensing"
Set-IRMConfiguration -LicensingLocation $list

    Agora, ao executar Get-IRMConfiguration, você verá todas as URLs de licenciamento de cluster do AD RMS e a URL do serviço Azure Rights Management exibidas para o parâmetro LicensingLocation .

  3. Agora, desative os recursos de IRM para mensagens enviadas a destinatários internos:

    Set-IRMConfiguration -InternalLicensingEnabled $false

  4. Em seguida, use o mesmo cmdlet para desabilitar o IRM no Microsoft Office Outlook Web App e no Microsoft Exchange ActiveSync:

    Set-IRMConfiguration -ClientAccessServerEnabled $false

  5. Por fim, use o mesmo cmdlet para limpar todos os certificados armazenados em cache:

    Set-IRMConfiguration -RefreshServerCertificates

  6. Em cada Exchange Server, agora redefina o IIS, por exemplo, executando um prompt de comando como administrador e digitando iisreset.

Desabilitar o IRM em SharePoint Servers e remover a configuração do AD RMS

  1. Certifique-se de que não há nenhum documento com check-out de bibliotecas protegidas pelo RMS. Se existirem, tornar-se-ão inacessíveis no final deste procedimento.

  2. No site da Administração Central do SharePoint, na seção Início Rápido, clique em Segurança.

  3. Na página Segurança, na seção Política de Informações, clique em Configurar gerenciamento de direitos de informação.

  4. Na página Gerenciamento de Direitos de Informação, na seção Gerenciamento de Direitos de Informação, selecione Não usar IRM neste servidor e clique em OK.

  5. Em cada um dos computadores do SharePoint Server, exclua o conteúdo da pasta \ProgramData\Microsoft\MSIPC\Server\<SID da conta que executa o SharePoint Server>.

Configurar o Exchange e o SharePoint para usar o conector

  1. Retorne às instruções para implantar o conector RMS: Etapa 5: Configurando servidores para usar o conector RMS

    Se você tiver apenas o SharePoint Server, vá direto para Próximas etapas para continuar a migração.

  2. Em cada Exchange Server, adicione manualmente as chaves do Registro na próxima seção para cada arquivo de dados de configuração (.xml) importado, para redirecionar as URLs de domínio de publicação confiáveis para o conector RMS. Essas entradas do Registro são específicas para a migração e não são adicionadas pela ferramenta de configuração do servidor para o conector Microsoft RMS.

    Quando você fizer essas edições do registro, use as seguintes instruções:

    • Substitua o FQDN do conector pelo nome que você definiu no DNS para o conector. Por exemplo, rmsconnector.contoso.com.

    • Use o prefixo HTTP ou HTTPS para a URL do conector, dependendo se você configurou o conector para usar HTTP ou HTTPS para se comunicar com seus servidores locais.

Edições do Registro para o Exchange

Para todos os servidores Exchange, adicione os seguintes valores do Registro a LicenseServerRedirection, dependendo de suas versões do Exchange:

  1. Para o Exchange 2013 e o Exchange 2016, adicione o seguinte valor do Registro:

    • Caminho do registo: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Tipo: Reg_SZ

    • Valor: https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

    • Dados: um dos seguintes, dependendo se você estiver usando HTTP ou HTTPS do servidor Exchange para o conector RMS:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

  2. Para o Exchange 2013, adicione o seguinte valor adicional do Registro:

    • Caminho do registo: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Tipo: Reg_SZ

    • Valor: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

    • Dados: um dos seguintes, dependendo se você estiver usando HTTP ou HTTPS do servidor Exchange para o conector RMS:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

Próximos passos

Para continuar a migração, vá para a fase 5 - tarefas pós-migração.