Bagikan melalui

Migrasi fase 4 - konfigurasi layanan pendukung

  • Artikel

Gunakan informasi berikut untuk Fase 4 migrasi dari AD RMS ke Perlindungan Informasi Azure. Prosedur ini mencakup langkah 8 hingga 9 dari Migrasi dari AD RMS ke Perlindungan Informasi Azure.

Langkah 8: Mengonfigurasi integrasi IRM untuk Exchange Online

Penting

Anda tidak dapat mengontrol penerima mana yang mungkin dipilih pengguna yang dimigrasikan untuk email yang dilindungi.

Oleh karena itu, pastikan bahwa semua pengguna dan grup yang diaktifkan email di organisasi Anda memiliki akun di ID Microsoft Entra yang dapat digunakan dengan Perlindungan Informasi Azure.

Untuk informasi selengkapnya, lihat Menyiapkan pengguna dan grup untuk Perlindungan Informasi Azure.

Terlepas dari topologi kunci penyewa Perlindungan Informasi Azure yang Anda pilih, lakukan hal berikut:

  1. Prasyarat: Agar Exchange Online dapat mendekripsi email yang dilindungi oleh AD RMS, perlu diketahui bahwa URL AD RMS untuk kluster Anda sesuai dengan kunci yang tersedia di penyewa Anda.

    Ini dilakukan dengan catatan DNS SRV untuk kluster AD RMS Anda yang juga digunakan untuk mengonfigurasi ulang klien Office untuk menggunakan Perlindungan Informasi Azure.

    Jika Anda tidak membuat catatan DNS SRV untuk konfigurasi ulang klien di langkah 7, buat catatan ini sekarang untuk mendukung Exchange Online. Petunjuk

    Ketika catatan DNS ini diberlakukan, pengguna yang menggunakan Outlook di web dan klien email seluler akan dapat melihat email yang dilindungi AD RMS di aplikasi tersebut, dan Exchange akan dapat menggunakan kunci yang Anda impor dari AD RMS untuk mendekripsi, mengindeks, jurnal, dan melindungi konten yang telah dilindungi oleh AD RMS.

  2. Jalankan perintah Exchange Online Get-IRMConfiguration .

    Jika Anda memerlukan bantuan untuk menjalankan perintah ini, lihat instruksi langkah demi langkah dari Exchange Online: Konfigurasi IRM.

    Dari output, periksa apakah AzureRMSLicensingEnabled diatur ke True:

    • Jika AzureRMSLicensingEnabled diatur ke True, tidak diperlukan konfigurasi lebih lanjut untuk langkah ini.

    • Jika AzureRMSLicensingEnabled diatur False, jalankan Set-IRMConfiguration -AzureRMSLicensingEnabled $true lalu konfirmasikan bahwa Exchange Online sekarang siap untuk menggunakan layanan Azure Rights Management.

      Untuk informasi selengkapnya, lihat langkah-langkah verifikasi dari Menyiapkan kemampuan Enkripsi Pesan Microsoft 365 baru yang dibangun di atas Perlindungan Informasi Azure.

Langkah 9: Mengonfigurasi integrasi IRM untuk Server Exchange dan SharePoint Server

Jika Anda telah menggunakan fungsionalitas Manajemen Hak Informasi (IRM) Server Exchange atau SharePoint Server dengan AD RMS, Anda harus menyebarkan konektor Rights Management (RMS).

Konektor bertindak sebagai antarmuka komunikasi (relai) antara server lokal Anda dan layanan perlindungan untuk Perlindungan Informasi Azure.

Langkah ini mencakup menginstal dan mengonfigurasi konektor, menonaktifkan IRM untuk Exchange dan SharePoint, dan mengonfigurasi server ini untuk menggunakan konektor.

Terakhir, jika Anda telah mengimpor file konfigurasi data .xml AD RMS yang digunakan untuk melindungi pesan email ke Perlindungan Informasi Azure, Anda harus mengedit registri secara manual di komputer Server Exchange untuk mengalihkan semua URL domain penerbitan tepercaya ke konektor RMS.

Catatan

Sebelum memulai, periksa versi server lokal yang didukung layanan Azure Rights Management, dari Server lokal yang mendukung Azure RMS.

Menginstal dan mengonfigurasi konektor RMS

Gunakan instruksi dalam artikel Menyebarkan konektor Microsoft Rights Management, dan lakukan langkah 1 meskipun 4.

Jangan mulai langkah 5 dari instruksi konektor.

Nonaktifkan IRM pada Server Exchange dan hapus konfigurasi AD RMS

Penting

Jika Anda belum mengonfigurasi IRM di salah satu server Exchange Anda, lakukan langkah 2 dan 6 saja.

Lakukan semua langkah ini jika semua URL lisensi dari semua kluster AD RMS Anda tidak ditampilkan dalam parameter LicensingLocation saat Anda menjalankan Get-IRMConfiguration.

  1. Di setiap server Exchange, temukan folder berikut dan hapus semua entri di folder tersebut: \ProgramData\Microsoft\DRM\Server\S-1-5-18

  2. Dari salah satu server Exchange, jalankan perintah PowerShell berikut untuk memastikan bahwa pengguna akan dapat membaca email yang dilindungi dengan menggunakan Azure Rights Management.

    Sebelum Anda menjalankan perintah ini, ganti URL layanan Azure Rights Management Anda sendiri untuk <URL> Penyewa Anda.

    $irmConfig = Get-IRMConfiguration
$list = $irmConfig.LicensingLocation 
$list += "<Your Tenant URL>/_wmcs/licensing"
Set-IRMConfiguration -LicensingLocation $list

    Sekarang saat Menjalankan Get-IRMConfiguration, Anda akan melihat semua URL lisensi kluster AD RMS dan URL layanan Azure Rights Management Anda yang ditampilkan untuk parameter LicensingLocation .

  3. Sekarang nonaktifkan fitur IRM untuk pesan yang dikirim ke penerima internal:

    Set-IRMConfiguration -InternalLicensingEnabled $false

  4. Kemudian gunakan cmdlet yang sama untuk menonaktifkan IRM di Microsoft Office Outlook Web App dan di Microsoft Exchange ActiveSync:

    Set-IRMConfiguration -ClientAccessServerEnabled $false

  5. Terakhir, gunakan cmdlet yang sama untuk menghapus sertifikat cache apa pun:

    Set-IRMConfiguration -RefreshServerCertificates

  6. Pada setiap Server Exchange, sekarang reset IIS, misalnya, dengan menjalankan prompt perintah sebagai administrator dan mengetik iisreset.

Menonaktifkan IRM di SharePoint Server dan menghapus konfigurasi AD RMS

  1. Pastikan tidak ada dokumen yang dicek keluar dari pustaka yang dilindungi RMS. Jika ada, mereka akan menjadi tidak dapat diakses di akhir prosedur ini.

  2. Pada situs Web Administrasi Pusat SharePoint, di bagian Luncur Cepat, klik Keamanan.

  3. Pada halaman Keamanan , di bagian Kebijakan Informasi, klik Konfigurasikan manajemen hak informasi.

  4. Pada halaman Manajemen Hak Informasi, di bagian Manajemen Hak Informasi, pilih Jangan gunakan IRM di server ini, lalu klik OK.

  5. Pada setiap komputer SharePoint Server, hapus konten folder \ProgramData\Microsoft\MSIPC\Server\<SID akun yang menjalankan SharePoint Server>.

Mengonfigurasi Exchange dan SharePoint untuk menggunakan konektor

  1. Kembali ke instruksi untuk menyebarkan konektor RMS: Langkah 5: Mengonfigurasi server untuk menggunakan konektor RMS

    Jika Anda hanya memiliki SharePoint Server, langsung masuk ke Langkah berikutnya untuk melanjutkan migrasi.

  2. Pada setiap Server Exchange, tambahkan kunci registri secara manual di bagian berikutnya untuk setiap file data konfigurasi (.xml) yang Anda impor, untuk mengalihkan URL domain penerbitan tepercaya ke konektor RMS. Entri registri ini khusus untuk migrasi dan tidak ditambahkan oleh alat konfigurasi server untuk konektor Microsoft RMS.

    Saat Anda melakukan pengeditan registri ini, gunakan instruksi berikut:

    • Ganti konektor FQDN dengan nama yang Anda tentukan di DNS untuk konektor. Misalnya, rmsconnector.contoso.com.

    • Gunakan awalan HTTP atau HTTPS untuk URL konektor, tergantung pada apakah Anda telah mengonfigurasi konektor untuk menggunakan HTTP atau HTTPS untuk berkomunikasi dengan server lokal Anda.

Pengeditan registri untuk Exchange

Untuk semua server Exchange, tambahkan nilai registri berikut ke LicenseServerRedirection, bergantung pada versi Exchange Anda:

  1. Untuk Exchange 2013 dan Exchange 2016, tambahkan nilai registri berikut:

    • Jalur registri: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Jenis: Reg_SZ

    • Nilai: https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

    • Data: Salah satu hal berikut, bergantung pada apakah Anda menggunakan HTTP atau HTTPS dari server Exchange Anda ke konektor RMS:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

  2. Untuk Exchange 2013, tambahkan nilai registri tambahan berikut:

    • Jalur registri: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Jenis: Reg_SZ

    • Nilai: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

    • Data: Salah satu hal berikut, bergantung pada apakah Anda menggunakan HTTP atau HTTPS dari server Exchange Anda ke konektor RMS:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

Langkah berikutnya

Untuk melanjutkan migrasi, buka fase 5 -pasca-tugas migrasi.