迁移第 4 阶段 - 支持服务配置

使用以下信息,完成从 AD RMS 迁移到 Azure 信息保护的第 4 阶段。 这些过程包括从 AD RMS 迁移到 Azure 信息保护的步骤 8-9。

步骤 8。 为 Exchange Online 配置 IRM 集成

重要

无法控制迁移后的用户可能会为受保护的电子邮件选择哪些收件人。

因此,请确保贵组织中的所有用户和启用了电子邮件的组在 Azure AD 中都有一个可以与 Azure 信息保护一起使用的帐户。

有关详细信息,请参阅准备用户和组以便使用 Azure 信息保护

无论你选择何种 Azure 信息保护租户密钥拓扑,都要执行以下操作:

  1. 先决条件:要使 Exchange Online 能够解密受 AD RMS 保护的电子邮件,它需要知道群集的 AD RMS URL 对应于租户中的可用密钥。

    这是通过 AD RMS 群集的 DNS SRV 记录完成,此记录还用于将 Office 客户端重新配置为使用 Azure 信息保护。

    如果你没有在步骤 7 中创建用于客户端重新配置的 DNS SRV 记录,请立即创建此记录以支持 Exchange Online。 说明

    此 DNS 记录就位后,使用 Outlook 网页版和移动电子邮件客户端的用户便能在这些应用中查看受 AD RMS 保护的电子邮件,并且 Exchange 可以使用你从 AD RMS 导入的密钥,对已受 AD RMS 保护的内容执行解密、编制索引、日志记录和保护操作。

  2. 运行 Exchange Online Get-IRMConfiguration 命令。

    如需运行此命令的帮助,请参阅 Exchange Online:IRM 配置中的分步说明。

    在输出中,检查“AzureRMSLicensingEnabled”是否设置为“True”:

    • 如果 AzureRMSLicensingEnabled 设置为 True,则本步骤无需进行其他配置。

    • 如果 AzureRMSLicensingEnabled 设置为 False,请运行 Set-IRMConfiguration -AzureRMSLicensingEnabled $true 并确认 Exchange Online 现在已准备好使用 Azure Rights Management 服务。

      有关详细信息,请参阅设置在 Azure 信息保护基础上构建的新的 Microsoft 365 邮件加密功能中的验证步骤。

步骤 9. 为 Exchange Server 和 SharePoint Server 配置 IRM 集成

如果你已将 Exchange Server 或 SharePoint Server 的信息权限管理 (IRM) 功能与 AD RMS 一起使用,则需要部署 Rights Management (RMS) 连接器。

连接器充当本地服务器和 Azure 信息保护的保护服务之间的通信接口(一个中继)。

此步骤包括安装和配置连接器、对 Exchange 和 SharePoint 禁用 IRM,以及配置这些服务器以使用该连接器。

最后,如果你已经在 Azure 信息保护中导入了用于保护电子邮件消息的 AD RMS .xml 数据配置文件,则必须手动编辑 Exchange Server 计算机上的注册表,将所有受信任的发布域 URL 重定向到 RMS 连接器。

备注

在开始之前,请从支持 Azure RMS 的本地服务器中核实 Azure Rights Management 服务所支持的本地服务器的版本。

安装并配置 RMS 连接器

请遵循部署 Microsoft Rights Management 连接器一文中的说明,并执行步骤 1 到步骤 4。

但不要执行连接器说明中的步骤 5。

在 Exchange 服务器上禁用 IRM 并删除 AD RMS 配置

重要

如果尚未在任何 Exchange 服务器上配置 IRM,只需执行步骤 2 和 6 即可。

运行 Get-IRMConfiguration 时,如果所有 AD RMS 群集的所有许可 URL 未显示在 LicensingLocation 参数中,则执行所有这些步骤。

  1. 在每个 Exchange 服务器上,找到以下文件夹,并删除该文件夹中的所有条目:\ProgramData\Microsoft\DRM\Server\S-1-5-18

  2. 在其中一台 Exchange Server 中,运行以下 PowerShell 命令,以确保用户能够读取使用 Azure Rights Management 保护的电子邮件。

    在运行这些命令之前,将你自己的 Azure Rights Management 服务 URL 替换为<你的租户 URL>。

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation 
    $list += "<Your Tenant URL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    

    现在,运行 Get-IRMConfiguration 时,应会看到所有 AD RMS 群集许可 URL 和 Azure Rights Management 服务 URL 显示在 LicensingLocation 参数中。

  3. 现在对向外部收件人发送的消息禁用 IRM 功能:

    Set-IRMConfiguration -InternalLicensingEnabled $false
    
  4. 然后使用同一 cmdlet 在 Microsoft Office Outlook Web App 和 Microsoft Exchange ActiveSync 中禁用 IRM:

    Set-IRMConfiguration -ClientAccessServerEnabled $false
    
  5. 最后,使用同一 cmdlet 清除所有缓存的证书:

    Set-IRMConfiguration -RefreshServerCertificates
    
  6. 现在,在每个 Exchange 服务器上重置 IIS,例如,通过以管理员身份运行命令提示符并键入 iisreset

在 SharePoint 服务器上禁用 IRM 并删除 AD RMS 配置

  1. 请确保没有文档从 RMS 保护的库中签出。 如果有,这些文档将在此过程结束时变为不可访问。

  2. 在 SharePoint 管理中心网站的“快速启动”部分中,单击“安全性”

  3. 在“安全性”页的“信息策略”部分中,单击“配置信息权限管理”

  4. 在“信息权限管理”页的“信息权限管理”部分中,选择“不在此服务器上使用 IRM”,然后单击“确定”

  5. 在每台 SharePoint Server 计算机上,删除文件夹“\ProgramData\Microsoft\MSIPC\Server\<运行 SharePoint Server 的帐户的 SID>”的内容。

配置 Exchange 和 SharePoint 以使用连接器

  1. 返回到部署 RMS 连接器的说明:步骤 5:配置服务器以使用 RMS 连接器

    如果仅具有 SharePoint Server,请直接转到后续步骤继续该迁移。

  2. 在每台 Exchange Server 上,手动为下一节中的每个已导入的配置数据文件 (.xml) 添加注册表项,将受信任的发布域 URL 重定向到 RMS 连接器。 这些注册表项特定于迁移,并且不是通过 Microsoft RMS 连接器的服务器配置工具添加的。

    进行这些注册表编辑时,请使用以下说明:

    • 连接器 FQDN 替换为你在 DNS 中为该连接器定义的名称。 例如 rmsconnector.contoso.com

    • 对连接器 URL 使用 HTTP 或 HTTPS 前缀,具体取决于你已将连接器配置为使用 HTTP 还是使用 HTTPS 与本地服务器通信。

Exchange 的注册表编辑

对于所有 Exchange 服务器,将以下注册表值添加到 LicenseServerRedirection,具体视 Exchange 版本而定:

  1. 对于 Exchange 2013 和 Exchange 2016,请添加以下注册表值:

    • 注册表路径:HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • 类型:Reg_SZ

    • https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

    • 数据:以下两者之一,具体取决于从 Exchange 服务器到 RMS 连接器是使用 HTTP 还是 HTTPS:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

  2. 对于 Exchange 2013,请添加以下附加注册表值:

    • 注册表路径:HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • 类型:Reg_SZ

    • https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

    • 数据:以下两者之一,具体取决于从 Exchange 服务器到 RMS 连接器是使用 HTTP 还是 HTTPS:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

后续步骤

若要继续迁移,请转到第 5 阶段 - 迁移后任务