对于从 AD RMS 迁移到 Azure 信息保护的第 4 阶段,请使用以下信息。 这些过程涉及从 AD RMS 迁移到 Azure 信息保护的步骤 8 到 9。
步骤 8:为 Exchange Online 配置 IRM 集成
重要
无法控制哪些收件人迁移的用户可能会为受保护的电子邮件选择。
因此,请确保组织中的所有用户和启用邮件的组都有一个帐户,Microsoft Entra ID 中可用于 Azure 信息保护。
有关详细信息,请参阅 了解用户帐户和组如何使用 Azure Rights Management 服务。
无论选择的 Azure 信息保护租户密钥拓扑如何,请执行以下作:
先决条件:若要使 Exchange Online 能够解密受 AD RMS 保护的电子邮件,需要知道群集的 AD RMS URL 对应于租户中可用的密钥。
这是使用 AD RMS 群集的 DNS SRV 记录完成的,该记录还用于重新配置 Office 客户端以使用 Azure 信息保护。
如果未在 步骤 7 中创建用于客户端重新配置的 DNS SRV 记录,请立即创建此记录以支持 Exchange Online。 指示
建立此 DNS 记录后,使用 Outlook 网页版和移动电子邮件客户端的用户将能够在这些应用中查看受 AD RMS 保护的电子邮件,Exchange 将能够使用从 AD RMS 导入的密钥来解密、编制索引、日记和保护受 AD RMS 保护的内容。
运行 Exchange Online Get-IRMConfiguration 命令。
在输出中,检查 AzureRMSLicensingEnabled 是否设置为 True:
如果 AzureRMSLicensingEnabled 设置为 True,则此步骤无需进一步配置。
如果 AzureRMSLicensingEnabled 设置为 False,请运行
Set-IRMConfiguration -AzureRMSLicensingEnabled $true并确认 Exchange Online 现已准备好使用 Azure Rights Management 服务。有关详细信息,请参阅基于 Azure 信息保护设置新的Microsoft 365 消息加密功能的验证步骤。
步骤 9:为 Exchange Server 和 SharePoint Server 配置 IRM 集成
如果已将 Exchange Server 或 SharePoint Server 的信息权限管理(IRM)功能与 AD RMS 配合使用,则需要部署 Rights Management (RMS) 连接器。
连接器充当本地服务器与 Azure 信息保护保护保护服务之间的通信接口(中继)。
此步骤介绍如何安装和配置连接器、禁用 Exchange 和 SharePoint 的 IRM,以及配置这些服务器以使用连接器。
最后,如果已导入 AD RMS .xml 用于保护 Azure 信息保护中的电子邮件的数据配置文件,则必须手动编辑 Exchange Server 计算机上的注册表,以将所有受信任的发布域 URL 重定向到 RMS 连接器。
注释
在开始之前,请检查 Azure Rights Management 服务支持与 Rights Management 连接器一起支持的本地服务器版本。
安装和配置 RMS 连接器
使用 部署 Microsoft Rights Management 连接器 文章中的说明,并执行步骤 1 到 4。
请勿从连接器说明开始步骤 5。
在 Exchange Server 上禁用 IRM 并删除 AD RMS 配置
重要
如果尚未在任何 Exchange 服务器上配置 IRM,只需执行步骤 2 和步骤 6。
运行 Get-IRMConfiguration 时,如果所有 AD RMS 群集的所有许可 URL 未显示在 LicensingLocation 参数中,请执行所有这些步骤。
在每个 Exchange 服务器上,找到以下文件夹并删除该文件夹中的所有条目: \ProgramData\Microsoft\DRM\Server\S-1-5-18
从其中一个 Exchange 服务器运行以下 PowerShell 命令,以确保用户能够读取使用 Azure Rights Management 保护的电子邮件。
运行这些命令之前,请将自己的 Azure Rights Management 服务 URL 替换为 <租户 URL>。
$irmConfig = Get-IRMConfiguration $list = $irmConfig.LicensingLocation $list += "<Your Tenant URL>/_wmcs/licensing" Set-IRMConfiguration -LicensingLocation $list现在,运行 Get-IRMConfiguration 时,应会看到所有 AD RMS 群集许可 URL 以及为 LicensingLocation 参数显示的 Azure Rights Management 服务 URL。
现在,为发送给内部收件人的邮件禁用 IRM 功能:
Set-IRMConfiguration -InternalLicensingEnabled $false然后使用同一 cmdlet 在 Microsoft Office Outlook Web App 和 Microsoft Exchange ActiveSync 中禁用 IRM:
Set-IRMConfiguration -ClientAccessServerEnabled $false最后,使用相同的 cmdlet 清除任何缓存的证书:
Set-IRMConfiguration -RefreshServerCertificates在每个 Exchange Server 上,现在通过以管理员身份运行命令提示符并键入 iisreset 来重置 IIS。
在 SharePoint Server 上禁用 IRM 并删除 AD RMS 配置
确保没有从受 RMS 保护的库中签出的文档。 如果存在,则此过程结束时,它们将变得不可访问。
在 SharePoint 管理中心网站上,在 “快速启动 ”部分中,单击“ 安全性”。
在 “安全 ”页上的“ 信息策略 ”部分中,单击“ 配置信息权限管理”。
在 “信息权限管理 ”页上的“ 信息权限管理 ”部分中,选择 “在此服务器上不使用 IRM”,然后单击“ 确定”。
在每个 SharePoint Server 计算机上,删除<\>SID 的内容。
将 Exchange 和 SharePoint 配置为使用连接器
返回到部署 RMS 连接器的说明: 步骤 5:配置服务器以使用 RMS 连接器
如果只有 SharePoint Server,请直接转到 后续步骤 以继续迁移。
在每个 Exchange Server 上,为导入的每个配置数据文件(.xml)手动添加下一部分中的注册表项,以将受信任的发布域 URL 重定向到 RMS 连接器。 这些注册表项特定于迁移,并且不会由Microsoft RMS 连接器的服务器配置工具添加。
进行这些注册表编辑时,请使用以下说明:
将 连接器 FQDN 替换为在 DNS 中为连接器定义的名称。 例如, rmsconnector.contoso.com。
使用连接器 URL 的 HTTP 或 HTTPS 前缀,具体取决于是否已将连接器配置为使用 HTTP 或 HTTPS 与本地服务器通信。
Exchange 的注册表编辑
对于所有 Exchange 服务器,根据 Exchange 的版本,将以下注册表值添加到 LicenseServerRedirection:
对于 Exchange 2013 和 Exchange 2016,请添加以下注册表值:
注册表路径:
HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection类型:Reg_SZ
值:
https://<AD RMS Intranet Licensing URL>/_wmcs/licensing数据:以下项之一,具体取决于是使用 HTTP 还是 HTTPS 从 Exchange 服务器到 RMS 连接器:
http://<connector FQDN>/_wmcs/licensinghttps://<connector FQDN>/_wmcs/licensing
对于 Exchange 2013,请添加以下附加注册表值:
注册表路径:
HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection类型:Reg_SZ
值:
https://<AD RMS Extranet Licensing URL>/_wmcs/licensing数据:以下项之一,具体取决于是使用 HTTP 还是 HTTPS 从 Exchange 服务器到 RMS 连接器:
http://<connector FQDN>/_wmcs/licensinghttps://<connector FQDN>/_wmcs/licensing
后续步骤
若要继续迁移,请转到 第 5 阶段 -post 迁移任务。