Этап миграции 4. Поддержка конфигурации служб

Используйте следующие сведения для этапа 4 миграции с AD RMS в Azure Information Protection. Эти процедуры охватывают шаги 8–9 от миграции из AD RMS в Azure Information Protection.

Шаг 8. Настройка интеграции IRM для Exchange Online

Важно!

Вы не можете контролировать, какие получатели перенесенных пользователей могут выбрать для защищенных сообщений электронной почты.

Поэтому убедитесь, что все пользователи и группы с поддержкой почты в организации имеют учетную запись в идентификаторе Microsoft Entra, который можно использовать с Azure Information Protection.

Дополнительные сведения см. в статье "Подготовка пользователей и групп для Azure Information Protection".

Независимо от выбранной топологии ключа клиента Azure Information Protection сделайте следующее:

  1. Необходимые условия. Чтобы Exchange Online мог расшифровать сообщения электронной почты, защищенные AD RMS, необходимо знать, что URL-адрес AD RMS для кластера соответствует ключу, который доступен в вашем клиенте.

    Это делается с записью DNS SRV для кластера AD RMS, которая также используется для перенастройки клиентов Office для использования Azure Information Protection.

    Если запись DNS SRV не была создана для перенастройки клиента на шаге 7, создайте эту запись для поддержки Exchange Online. Инструкции

    При использовании этой записи DNS пользователи, использующие Outlook в Интернете и мобильные клиенты электронной почты, смогут просматривать защищенные электронные письма AD RMS в этих приложениях, а Exchange сможет использовать ключ, импортированный из AD RMS, для расшифровки, индекса, журнала и защиты содержимого, защищенного AD RMS.

  2. Выполните команду Get-IRMConfiguration Exchange Online.

    Если вам нужна помощь в выполнении этой команды, см. пошаговые инструкции из Exchange Online: конфигурация IRM.

    Из выходных данных проверка, задано ли для AzureRMSLicensingEnabled значение True:

Шаг 9. Настройка интеграции IRM для Exchange Server и SharePoint Server

Если вы использовали функции Управления правами на доступ к данным (IRM) Exchange Server или SharePoint Server с AD RMS, необходимо развернуть соединитель Rights Management (RMS).

Соединитель выступает в качестве интерфейса связи (ретранслятора) между локальными серверами и службой защиты для Azure Information Protection.

На этом шаге рассматривается установка и настройка соединителя, отключение IRM для Exchange и SharePoint и настройка этих серверов для использования соединителя.

Наконец, если вы импортировали файлы конфигурации данных AD RMS .XML, которые использовались для защиты сообщений электронной почты в Azure Information Protection, необходимо вручную изменить реестр на компьютерах Exchange Server, чтобы перенаправить все URL-адреса доверенных доменов публикации в соединитель RMS.

Примечание.

Перед началом работы проверка версии локальных серверов, поддерживаемых службой Azure Rights Management, с локальных серверов, поддерживающих Azure RMS.

Установка и настройка соединителя RMS

Используйте инструкции в статье "Развертывание соединителя Microsoft Rights Management" и выполните шаги 1 хотя 4.

Не запускайте шаг 5 еще из инструкций соединителя.

Отключение IRM на серверах Exchange Server и удаление конфигурации AD RMS

Важно!

Если вы еще не настроили IRM на любом из серверов Exchange, выполните действия 2 и 6.

Выполните все эти действия, если все URL-адреса лицензирования всех кластеров AD RMS не отображаются в параметре LicensingLocation при запуске Get-IRMConfiguration.

  1. На каждом сервере Exchange найдите следующую папку и удалите все записи в этой папке: \ProgramData\Microsoft\DRM\Server\S-1-5-18

  2. На одном из серверов Exchange выполните следующие команды PowerShell, чтобы пользователи могли читать сообщения электронной почты, защищенные с помощью Azure Rights Management.

    Перед выполнением этих команд замените собственный URL-адрес службы Azure Rights Management для <URL-адреса> клиента.

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation 
    $list += "<Your Tenant URL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    

    Теперь при запуске Get-IRMConfiguration вы увидите все URL-адреса лицензирования кластера AD RMS и URL-адрес службы Azure Rights Management, отображаемый для параметра LicensingLocation .

  3. Теперь отключите функции IRM для сообщений, отправляемых внутренним получателям:

    Set-IRMConfiguration -InternalLicensingEnabled $false
    
  4. Затем используйте тот же командлет, чтобы отключить IRM в Microsoft Office Outlook Web App и в Microsoft Exchange ActiveSync:

    Set-IRMConfiguration -ClientAccessServerEnabled $false
    
  5. Наконец, используйте тот же командлет, чтобы очистить все кэшированные сертификаты:

    Set-IRMConfiguration -RefreshServerCertificates
    
  6. На каждом сервере Exchange Server теперь сбрасывайте iis, например, выполнив командную строку в качестве администратора и введя iisreset.

Отключение IRM на серверах SharePoint и удаление конфигурации AD RMS

  1. Убедитесь, что документы проверка не проверка из библиотек, защищенных RMS. Если есть, они будут недоступны в конце этой процедуры.

  2. На веб-сайте SharePoint Central Администратор istration в разделе быстрого запуска нажмите кнопку "Безопасность".

  3. На странице "Безопасность" в разделе "Политика информации" щелкните "Настройка управления правами на доступ к данным".

  4. На странице "Управление правами на доступ к данным" в разделе "Управление правами на доступ к данным" выберите "Не использовать IRM" на этом сервере, а затем нажмите кнопку "ОК".

  5. На каждом из компьютеров SharePoint Server удалите содержимое папки \ProgramData\Microsoft\MSIPC\Server\<SID учетной записи под управлением SharePoint Server>.

Настройка Exchange и SharePoint для использования соединителя

  1. Вернитесь к инструкциям по развертыванию соединителя RMS: шаг 5. Настройка серверов для использования соединителя RMS

    Если у вас только SharePoint Server, перейдите непосредственно к следующим шагам , чтобы продолжить миграцию.

  2. На каждом сервере Exchange Server вручную добавьте разделы реестра в следующем разделе для каждого импортированного файла данных конфигурации (XML), чтобы перенаправить URL-адреса доверенного домена публикации в соединитель RMS. Эти записи реестра относятся к миграции и не добавляются средством настройки сервера для соединителя Microsoft RMS.

    При внесении этих изменений в реестр используйте следующие инструкции:

    • Замените полное доменное имя соединителя именем, определенным в DNS для соединителя. Например, rmsconnector.contoso.com.

    • Используйте префикс HTTP или HTTPS для URL-адреса соединителя в зависимости от того, настроен ли соединитель использовать ПРОТОКОЛ HTTP или HTTPS для взаимодействия с локальными серверами.

Изменения реестра для Exchange

Для всех серверов Exchange добавьте следующие значения реестра в LicenseServerRedirection в зависимости от версий Exchange:

  1. Для Exchange 2013 и Exchange 2016 добавьте следующее значение реестра:

    • Путь в реестре: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Тип: Reg_SZ

    • Значение: https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

    • Данные: одно из следующих элементов в зависимости от того, используете ли вы HTTP или HTTPS с сервера Exchange Server в соединитель RMS:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

  2. Для Exchange 2013 добавьте следующее дополнительное значение реестра:

    • Путь в реестре: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Тип: Reg_SZ

    • Значение: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

    • Данные: одно из следующих элементов в зависимости от того, используете ли вы HTTP или HTTPS с сервера Exchange Server в соединитель RMS:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

Следующие шаги

Чтобы продолжить миграцию, перейдите к этапу 5 -post migration tasks.