迁移第 4 阶段 – 支持服务配置

  • 项目

对于“从 AD RMS 迁移到 Azure 信息保护”的第 4 阶段,使用以下信息。 这些过程涵盖从 AD RMS 迁移到 Azure 信息保护的步骤 8 至步骤 9。

步骤 8:为 Exchange Online 配置 IRM 集成

重要

无法控制迁移后的用户可能会为受保护的电子邮件选择哪些收件人。

因此,确保贵组织中的所有用户和启用了电子邮件的组在 Microsoft Entra ID 中都有一个可以与 Azure 信息保护一起使用的帐户。

有关详细信息,请参阅准备用户和组以便使用 Azure 信息保护

无论你选择何种 Azure 信息保护租户密钥拓扑,都要执行以下操作:

  1. 先决条件:要使 Exchange Online 能够解密受 AD RMS 保护的电子邮件,它需要知道群集的 AD RMS URL 对应于租户中的可用密钥。

    这是通过 AD RMS 群集的 DNS SRV 记录完成的,该记录还用于重新配置 Office 客户端以使用 Azure 信息保护。

    如果你没有在步骤 7 中创建用于客户端重新配置的 DNS SRV 记录,请立即创建此记录以支持 Exchange Online。 说明

    建立此 DNS 记录后,使用 Outlook 网页版和移动电子邮件客户端的用户能够在这些应用中查看受 AD RMS 保护的电子邮件,并且 Exchange 将能够使用从 AD RMS 导入的密钥来解密、编制索引、记录日记和保护受 AD RMS 保护的内容。

  2. 运行 Exchange Online Get-IRMConfiguration 命令。

    如果需要运行此命令的帮助,请参阅 Exchange Online:IRM 配置中的分步说明。

    在输出中,检查“AzureRMSLicensingEnabled”是否设置为“True”:

    • 如果 AzureRMSLicensingEnabled 设置为 True,则本步骤无需进行其他配置。

    • 如果 AzureRMSLicensingEnabled 设置为 False,请运行 Set-IRMConfiguration -AzureRMSLicensingEnabled $true 并确认 Exchange Online 现在已准备好使用 Azure Rights Management 服务。

      有关详细信息,请参阅设置在 Azure 信息保护基础上构建的新的 Microsoft 365 邮件加密功能中的验证步骤。

步骤 9:为 Exchange Server 和 SharePoint Server 配置 IRM 集成

如果你已将 Exchange Server 或 SharePoint Server 的信息权限管理 (IRM) 功能与 AD RMS 一起使用,则需要部署 Rights Management (RMS) 连接器。

连接器充当本地服务器和 Azure 信息保护的保护服务之间的通信接口(一个中继)。

此步骤涵盖安装和配置连接器、禁用 Exchange 和 SharePoint 的 IRM,以及配置这些服务器以使用连接器。

最后,如果你已经在 Azure 信息保护中导入了用于保护电子邮件消息的 AD RMS .xml 数据配置文件,则必须手动编辑 Exchange Server 计算机上的注册表,将所有受信任的发布域 URL 重定向到 RMS 连接器。

注意

在开始之前,在支持 Azure RMS 的本地服务器中检查 Azure Rights Management Service 支持的本地服务器版本。

安装并配置 RMS 连接器

请遵循部署 Microsoft Rights Management 连接器一文中的说明,并执行步骤 1 到步骤 4。

请勿从连接器说明开始步骤 5。

在 Exchange Server 上禁用 IRM 并删除 AD RMS 配置

重要

如果尚未在任何 Exchange 服务器上配置 IRM,只需执行步骤 2 和 6 即可。

运行 Get-IRMConfiguration 时,如果所有 AD RMS 群集的所有许可 URL 未显示在 LicensingLocation 参数中,则执行所有这些步骤。

  1. 在每个 Exchange 服务器上,找到以下文件夹,并删除该文件夹中的所有条目:\ProgramData\Microsoft\DRM\Server\S-1-5-18

  2. 从其中一个 Exchange 服务器运行以下 PowerShell 命令,以确保用户能够读取使用 Azure Rights Management 保护的电子邮件。

    在运行这些命令之前,将你自己的 Azure Rights Management 服务 URL 替换为<你的租户 URL>

    $irmConfig = Get-IRMConfiguration
$list = $irmConfig.LicensingLocation 
$list += "<Your Tenant URL>/_wmcs/licensing"
Set-IRMConfiguration -LicensingLocation $list

    现在,运行 Get-IRMConfiguration 时,应会看到所有 AD RMS 群集许可 URL 和 Azure Rights Management 服务 URL 显示在 LicensingLocation 参数中。

  3. 现在对发送给内部收件人的消息禁用 IRM 功能:

    Set-IRMConfiguration -InternalLicensingEnabled $false

  4. 然后使用同一 cmdlet 在 Microsoft Office Outlook Web 应用和 Microsoft Exchange ActiveSync 中禁用 IRM:

    Set-IRMConfiguration -ClientAccessServerEnabled $false

  5. 最后,使用同一 cmdlet 清除任何缓存的证书:

    Set-IRMConfiguration -RefreshServerCertificates

  6. 现在在每个 Exchange Server 上重置 IIS,例如,通过以管理员身份运行命令提示符并键入“iisreset”。

在 SharePoint Server 上禁用 IRM 并删除 AD RMS 配置

  1. 确保没有从受 RMS 保护的库中签出任何文档。 如果有签出的文档,则此过程结束时将无法访问这些文档。

  2. 在 SharePoint 管理中心网站上,在“快速启动”部分中,单击“安全”。

  3. 在“安全”页面上的“信息策略”部分中,单击“配置信息权限管理”。

  4. 在“信息权限管理”页面上的“信息权限管理”部分中,选择“不在此服务器上使用 IRM”,然后单击“确定”。

  5. 在每台 SharePoint Server 计算机上,删除文件夹“\ProgramData\Microsoft\MSIPC\Server\<运行 SharePoint Server 的帐户的 SID>”的内容。

配置 Exchange 和 SharePoint 以使用连接器

  1. 返回到部署 RMS 连接器的说明:步骤 5:配置服务器以使用 RMS 连接器

    如果只有 SharePoint Server,直接转到下一步以继续迁移。

  2. 在每个 Exchange Server 上,为导入的每个配置数据文件 (.xml) 手动添加下一部分中的注册表项,以将受信任的发布域 URL 重定向到 RMS 连接器。 这些注册表项特定于迁移,并且不由 Microsoft RMS 连接器的服务器配置工具添加。

    进行这些注册表编辑时,使用以下说明:

    • 将“连接器 FQDN”替换为在 DNS 中为连接器定义的名称。 例如 rmsconnector.contoso.com

    • 使用连接器 URL 的 HTTP 或 HTTPS 前缀,具体取决于是否已将连接器配置为使用 HTTP 或 HTTPS 与本地服务器通信。

Exchange 的注册表编辑

对于所有 Exchange 服务器,根据 Exchange 的版本,将以下注册表值添加到 LicenseServerRedirection:

  1. 对于 Exchange 2013 和 Exchange 2016,请添加以下注册表值:

    • 注册表路径:HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • 类型:Reg_SZ

    • https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

    • 数据:以下两者之一,具体取决于从 Exchange 服务器到 RMS 连接器是使用 HTTP 还是 HTTPS:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

  2. 对于 Exchange 2013,请添加以下附加注册表值:

    • 注册表路径:HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • 类型:Reg_SZ

    • https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

    • 数据:以下两者之一,具体取决于从 Exchange 服务器到 RMS 连接器是使用 HTTP 还是 HTTPS:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

后续步骤

要继续迁移,转到第 5 阶段 – 发布迁移任务