迁移第 4 阶段 - 支持服务配置

适用于:Active Directory Rights Management Services、Azure 信息保护Office 365**

相关内容:AIP 统一标记客户端和经典客户端

备注

为了提供统一、简化的客户体验,Azure 门户中的 Azure 信息保护经典客户端和标签管理已于 2021 年 3 月 31 日弃用 。 虽然经典客户端可以继续按配置运行,但不提供进一步的支持,也不再发布经典客户端的维护版本。

建议迁移到统一标记并升级到统一标记客户端。 有关详细信息,请查看我们最近的弃用博客

使用以下信息,完成从 AD RMS 迁移到 Azure 信息保护的第 4 阶段。 这些过程包括从 AD RMS 迁移到 Azure 信息保护的步骤 8-9。

步骤 8。 为 Exchange Online 配置 IRM 集成

重要

你无法控制迁移的用户可以选择哪些收件人来接收受保护的电子邮件。

因此,请确保组织中所有用户和启用了邮件的组在 Azure AD 中都有一个可以与 Azure 信息保护。

有关详细信息,请参阅准备用户和组以便使用 Azure 信息保护

无论选择Azure 信息保护租户密钥拓扑,都执行以下操作:

  1. 先决条件:Exchange Online能够解密受 AD RMS 保护的电子邮件,需要知道群集的 AD RMS URL 对应于租户中可用的密钥。

    这是通过 AD RMS 群集的 DNS SRV 记录完成,此记录还用于将 Office 客户端重新配置为使用 Azure 信息保护。

    如果未在步骤7中为客户端重新配置创建 DNS SRV 记录,则现在创建此记录以支持Exchange Online。 说明

    此 DNS 记录就位后,使用 Outlook 网页版和移动电子邮件客户端的用户便能在这些应用中查看受 AD RMS 保护的电子邮件,并且 Exchange 可以使用你从 AD RMS 导入的密钥,对已受 AD RMS 保护的内容执行解密、编制索引、日志记录和保护操作。

  2. 运行 Exchange Online Get-IRMConfiguration命令。

    如需运行此命令的帮助,请参阅 Exchange Online:IRM 配置中的分步说明。

    在输出中,检查“AzureRMSLicensingEnabled”是否设置为“True”:

    • 如果 AzureRMSLicensingEnabled 设置为 True, 则此步骤无需进一步配置。

    • 如果 AzureRMSLicensingEnabled 设置为 False, 请运行 ,Exchange Online确认现在是否已准备好使用 Set-IRMConfiguration -AzureRMSLicensingEnabled $true Azure Rights Management 服务。

      有关详细信息,请参阅设置基于 Microsoft 365 的新消息加密功能中的验证Azure 信息保护。

步骤 9. 为 Exchange Server 和 SharePoint Server 配置 IRM 集成

如果已使用 Exchange Server 或 SharePoint AD RMS server 的 Rights Management (IRM) 功能,则需要部署 Rights Management (RMS) 连接器。

连接器充当本地服务器 (保护) 服务之间的中继通信接口Azure 信息保护。

此步骤包括安装和配置连接器、对 Exchange 和 SharePoint 禁用 IRM,以及配置这些服务器以使用该连接器。

最后,如果已导入用于保护 Azure 信息保护 中电子邮件的 AD RMS .xml 数据配置文件,则必须手动编辑 Exchange Server 计算机上的注册表,以将所有受信任的发布域 URL 重定向到 RMS 连接器。

备注

在开始之前,请从支持 Azure RMS 的本地服务器中核实 Azure Rights Management 服务所支持的本地服务器的版本。

安装并配置 RMS 连接器

使用部署 Microsoft Rights Management 连接器 一文的说明,并执行步骤 1 到 4。

但不要执行连接器说明中的步骤 5。

在 Exchange 服务器上禁用 IRM 并删除 AD RMS 配置

重要

如果尚未在任何客户端服务器上配置 IRM,Exchange步骤 2 和 6。

如果在运行 Get-IRMConfiguration时,所有 AD RMS 群集的所有许可 URL 未显示在 LicensingLocation 参数中,请执行所有这些步骤。

  1. 在每个 Exchange 服务器上,找到以下文件夹并删除该文件夹中的所有条目 :\ProgramData\Microsoft\DRM\Server\S-1-5-18

  2. 在其中一台 Exchange Server 中,运行以下 PowerShell 命令,以确保用户能够读取使用 Azure Rights Management 保护的电子邮件。

    在运行这些命令之前,请替换自己的 Azure Rights Management服务 <Your Tenant URL> URL。

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation 
    $list += "<Your Tenant URL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    

    现在,运行 Get-IRMConfiguration时,应会看到所有 AD RMS 群集许可 URL 以及为 LicensingLocation 参数显示的 Azure Rights Management 服务 URL。

  3. 现在对向外部收件人发送的消息禁用 IRM 功能:

    Set-IRMConfiguration -InternalLicensingEnabled $false
    
  4. 然后使用同一 cmdlet 在 Microsoft Office Outlook Web App 和 Microsoft Exchange ActiveSync 中禁用 IRM:

    Set-IRMConfiguration -ClientAccessServerEnabled $false
    
  5. 最后,使用同一 cmdlet 清除所有缓存的证书:

    Set-IRMConfiguration -RefreshServerCertificates
    
  6. 现在,在每个 Exchange 服务器上重置 IIS,例如,通过以管理员身份运行命令提示符并键入 iisreset

在 SharePoint 服务器上禁用 IRM 并删除 AD RMS 配置

  1. 请确保没有文档从 RMS 保护的库中签出。 如果有,这些文档将在此过程结束时变为不可访问。

  2. 在 SharePoint 管理中心网站的“快速启动”部分中,单击“安全性”。

  3. 在“安全性”页的“信息策略”部分中,单击“配置信息权限管理”。

  4. 在“信息权限管理”页的“信息权限管理”部分中,选择“不在此服务器上使用 IRM”,然后单击“确定”。

  5. 在每个 SharePoint Server 计算机上,删除运行 SharePoint Server>的帐户的文件夹 \ProgramData\Microsoft\MSIPC\Server \ < SID 的内容

配置 Exchange 和 SharePoint 以使用连接器

  1. 返回到部署 RMS 连接器的说明:步骤 5:配置服务器以使用 RMS 连接器

    如果仅具有 SharePoint Server,请直接转到后续步骤继续该迁移。

  2. 在每台 Exchange Server 上,手动为下一节中的每个已导入的配置数据文件 (.xml) 添加注册表项,将受信任的发布域 URL 重定向到 RMS 连接器。 这些注册表项特定于迁移,并且不是通过 Microsoft RMS 连接器的服务器配置工具添加的。

    进行这些注册表编辑时,请使用以下说明:

    • 连接器 FQDN 替换为你在 DNS 中为该连接器定义的名称。 例如 rmsconnector.contoso.com

    • 对连接器 URL 使用 HTTP 或 HTTPS 前缀,具体取决于你已将连接器配置为使用 HTTP 还是使用 HTTPS 与本地服务器通信。

Exchange 的注册表编辑

对于所有 Exchange 服务器,将以下注册表值添加到 LicenseServerRedirection,具体视 Exchange 版本而定:

  1. 对于 2013 Exchange 2016 Exchange, 请添加以下注册表值:

    • 注册表路径HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • 类型:Reg_SZ

    • https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

    • 数据:以下两者之一,具体取决于从 Exchange 服务器到 RMS 连接器是使用 HTTP 还是 HTTPS:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

  2. 对于 Exchange 2013,请添加以下附加注册表值:

    • 注册表路径HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • 类型:Reg_SZ

    • https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

    • 数据:以下两者之一,具体取决于从 Exchange 服务器到 RMS 连接器是使用 HTTP 还是 HTTPS:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

后续步骤

若要继续迁移,请转到第 5 阶段 - 迁移后任务