Migreringsfas 4 – stöd för tjänstkonfiguration

  • Artikel

Använd följande information för fas 4 av migrering från AD RMS till Azure Information Protection. De här procedurerna omfattar steg 8 till och med 9 från Migrera från AD RMS till Azure Information Protection.

Steg 8: Konfigurera IRM-integrering för Exchange Online

Viktigt!

Du kan inte styra vilka mottagare som migrerade användare kan välja för skyddade e-postmeddelanden.

Kontrollera därför att alla användare och e-postaktiverade grupper i din organisation har ett konto i Microsoft Entra-ID som kan användas med Azure Information Protection.

Mer information finns i Förbereda användare och grupper för Azure Information Protection.

Oavsett topologin för Azure Information Protection-klientnyckeln som du har valt gör du följande:

  1. Krav: För att Exchange Online ska kunna dekryptera e-postmeddelanden som skyddas av AD RMS måste du veta att AD RMS-URL:en för klustret motsvarar nyckeln som är tillgänglig i din klientorganisation.

    Detta görs med DNS SRV-posten för ditt AD RMS-kluster som också används för att konfigurera om Office-klienter för användning av Azure Information Protection.

    Om du inte skapade DNS SRV-posten för klientomkonfiguration i steg 7 skapar du den här posten nu för att stödja Exchange Online. Instruktioner

    När den här DNS-posten är på plats kan användare som använder Outlook på webben och mobila e-postklienter visa AD RMS-skyddade e-postmeddelanden i dessa appar, och Exchange kommer att kunna använda nyckeln som du importerade från AD RMS för att dekryptera, indexera, journala och skydda innehåll som har skyddats av AD RMS.

  2. Kör kommandot Exchange Online Get-IRMConfiguration .

    Om du behöver hjälp med att köra det här kommandot kan du läsa stegvisa instruktioner från Exchange Online: IRM Configuration.

    Från utdata kontrollerar du om AzureRMSLicensingEnabled är inställt på Sant:

Steg 9: Konfigurera IRM-integrering för Exchange Server och SharePoint Server

Om du har använt IRM-funktionerna (Information Rights Management) i Exchange Server eller SharePoint Server med AD RMS måste du distribuera RMS-anslutningstjänsten (Rights Management).

Anslutningsappen fungerar som ett kommunikationsgränssnitt (ett relä) mellan dina lokala servrar och skyddstjänsten för Azure Information Protection.

Det här steget beskriver hur du installerar och konfigurerar anslutningsappen, inaktiverar IRM för Exchange och SharePoint och konfigurerar dessa servrar för att använda anslutningsappen.

Om du har importerat AD RMS .xml-datakonfigurationsfiler som användes för att skydda e-postmeddelanden till Azure Information Protection, måste du manuellt redigera registret på Exchange Server-datorerna för att omdirigera alla url:er för betrodd publiceringsdomän till RMS-anslutningstjänsten.

Kommentar

Innan du börjar kontrollerar du vilka versioner av de lokala servrarna som Azure Rights Management-tjänsten stöder, från lokala servrar som stöder Azure RMS.

Installera och konfigurera RMS-anslutningstjänsten

Använd anvisningarna i artikeln Distribuera Microsoft Rights Management-anslutningsappen och utför steg 1 till och med 4.

Starta inte steg 5 ännu från anslutningsanvisningen.

Inaktivera IRM på Exchange-servrar och ta bort AD RMS-konfiguration

Viktigt!

Om du ännu inte har konfigurerat IRM på någon av dina Exchange-servrar gör du bara steg 2 och 6.

Utför alla dessa steg om alla licensierings-URL:er för alla dina AD RMS-kluster inte visas i parametern LicensingLocation när du kör Get-IRMConfiguration.

  1. Leta upp följande mapp på varje Exchange-server och ta bort alla poster i mappen: \ProgramData\Microsoft\DRM\Server\S-1-5-18

  2. Från en av Exchange-servrarna kör du följande PowerShell-kommandon för att säkerställa att användarna kan läsa e-postmeddelanden som skyddas med hjälp av Azure Rights Management.

    Innan du kör de här kommandona ersätter du din egen URL för Azure Rights Management-tjänsten med din klient-URL>.<

    $irmConfig = Get-IRMConfiguration
$list = $irmConfig.LicensingLocation 
$list += "<Your Tenant URL>/_wmcs/licensing"
Set-IRMConfiguration -LicensingLocation $list

    Nu när du kör Get-IRMConfiguration bör du se alla url:er för AD RMS-klusterlicensiering och din Url för Azure Rights Management-tjänsten som visas för parametern LicensingLocation .

  3. Inaktivera nu IRM-funktioner för meddelanden som skickas till interna mottagare:

    Set-IRMConfiguration -InternalLicensingEnabled $false

  4. Använd sedan samma cmdlet för att inaktivera IRM i Microsoft Office Outlook Web App och i Microsoft Exchange ActiveSync:

    Set-IRMConfiguration -ClientAccessServerEnabled $false

  5. Slutligen använder du samma cmdlet för att rensa alla cachelagrade certifikat:

    Set-IRMConfiguration -RefreshServerCertificates

  6. På varje Exchange Server återställer du nu IIS, till exempel genom att köra en kommandotolk som administratör och skriva iisreset.

Inaktivera IRM på SharePoint-servrar och ta bort AD RMS-konfiguration

  1. Kontrollera att inga dokument är utcheckade från RMS-skyddade bibliotek. Om så är fallet blir de otillgängliga i slutet av den här proceduren.

  2. Klicka på Säkerhet i avsnittet Snabbstart på webbplatsen central administration i SharePoint.

  3. På sidan Säkerhet går du till avsnittet Informationsprincip och klickar på Konfigurera hantering av informationsrättigheter.

  4. På sidan Information Rights Management går du till avsnittet Information Rights Management och väljer Använd inte IRM på den här servern och klickar sedan på OK.

  5. På var och en av SharePoint Server-datorerna tar du bort innehållet i mappen \ProgramData\Microsoft\MSIPC\Server\<SID för kontot som kör SharePoint Server>.

Konfigurera Exchange och SharePoint för att använda anslutningsappen

  1. Gå tillbaka till anvisningarna för att distribuera RMS-anslutningstjänsten: Steg 5: Konfigurera servrar för att använda RMS-anslutningstjänsten

    Om du bara har SharePoint Server går du direkt till Nästa steg för att fortsätta migreringen.

  2. På varje Exchange Server lägger du till registernycklarna manuellt i nästa avsnitt för varje konfigurationsdatafil (.xml) som du har importerat för att omdirigera url:erna för den betrodda publiceringsdomänen till RMS-anslutningstjänsten. Dessa registerposter är specifika för migrering och läggs inte till av serverkonfigurationsverktyget för Microsoft RMS-anslutningstjänsten.

    När du gör dessa registerredigeringar använder du följande instruktioner:

    • Ersätt anslutnings-FQDN med det namn som du definierade i DNS för anslutningsappen. Till exempel rmsconnector.contoso.com.

    • Använd HTTP- eller HTTPS-prefixet för anslutningsadressen, beroende på om du har konfigurerat anslutningsappen för att använda HTTP eller HTTPS för att kommunicera med dina lokala servrar.

Registerredigeringar för Exchange

För alla Exchange-servrar lägger du till följande registervärden i LicenseServerRedirection, beroende på dina versioner av Exchange:

  1. För både Exchange 2013 och Exchange 2016 lägger du till följande registervärde:

    • Registersökväg: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Typ: Reg_SZ

    • Värde: https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

    • Data: Något av följande beroende på om du använder HTTP eller HTTPS från Exchange-servern till RMS-anslutningstjänsten:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

  2. För Exchange 2013 lägger du till följande ytterligare registervärde:

    • Registersökväg: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Typ: Reg_SZ

    • Värde: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

    • Data: Något av följande beroende på om du använder HTTP eller HTTPS från Exchange-servern till RMS-anslutningstjänsten:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

Nästa steg

Om du vill fortsätta migreringen går du till fas 5 – uppgifter efter migreringen.