移轉階段 4 - 支援服務設定

針對從 AD RMS 移轉至 Azure 資訊保護的第 4 階段，請使用下列資訊。這些程式涵蓋從 AD RMS 移轉至 Azure 資訊保護的步驟 8 到 9。

步驟 8：設定 Exchange Online 的 IRM 整合

重要

您無法控制哪些收件者移轉的使用者可能會選取受保護的電子郵件。

因此，請確定組織中所有使用者和啟用郵件的群組都有 Microsoft Entra 識別碼中的帳戶，可與 Azure 資訊保護搭配使用。

如需詳細資訊，請參閱準備 Azure 資訊保護的使用者和群組。

無論您選擇的 Azure 資訊保護租使用者金鑰拓撲為何，請執行下列動作：

必要條件 ：若要讓 Exchange Online 能夠解密受 AD RMS 保護的電子郵件，它必須知道叢集的 AD RMS URL 對應至租使用者中可用的金鑰。

這會使用 AD RMS 叢集的 DNS SRV 記錄來完成，此記錄也可用來重新設定 Office 用戶端以使用 Azure 資訊保護。

如果您未在步驟 7 中建立用戶端重新設定的 DNS SRV 記錄，請立即建立此記錄以支援 Exchange Online。指示

當此 DNS 記錄就緒時，使用 Outlook 網頁版和行動電子郵件用戶端的使用者將能夠檢視這些應用程式中受 AD RMS 保護的電子郵件，而 Exchange 將能夠使用您從 AD RMS 匯入的金鑰來解密、編制索引、日誌和保護 AD RMS 保護的內容。
執行 Exchange Online Get-IRMConfiguration 命令。

如果您需要執行此命令的協助，請參閱 Exchange Online：IRM 組態中的逐步指示。

從輸出中，檢查 AzureRMSLicensingEnabled 是否設定為 True ：
- 如果 AzureRMSLicensingEnabled 設定為 True ，則此步驟不需要進一步設定。
- 如果 AzureRMSLicensingEnabled 設定 為 False ，請執行 Set-IRMConfiguration -AzureRMSLicensingEnabled $true ，然後確認 Exchange Online 現在已準備好使用 Azure Rights Management 服務。
  
  如需詳細資訊，請參閱設定以 Azure 資訊保護為基礎的新 Microsoft 365 訊息加密功能中的驗證步驟。

如果您已搭配 AD RMS 使用 Exchange Server 或 SharePoint Server 的資訊版權管理（IRM）功能，則必須部署 Rights Management （RMS）連接器。

連接器可作為內部部署伺服器與 Azure 資訊保護保護服務之間的通訊介面（轉接器）。

此步驟涵蓋安裝和設定連接器、停用 Exchange 和 SharePoint 的 IRM，以及設定這些伺服器以使用連接器。

最後，如果您匯入了用來保護 Azure 資訊保護中電子郵件訊息的 AD RMS .xml 資料組態檔，您必須手動編輯 Exchange Server 電腦上的登錄，以將所有受信任的發佈網域 URL 重新導向至 RMS 連接器。

注意

開始之前，請先從支援 Azure RMS 的內部部署伺服器，檢查 Azure Rights Management Service 支援的內部部署伺服器版本。

使用部署 Microsoft Rights Management 連接器一文中的指示，並執行步驟 1 到 4。

請勿從連接器指示啟動步驟 5。

重要

如果您尚未在任何 Exchange 伺服器上設定 IRM，請只執行步驟 2 和 6。

如果您執行 Get-IRMConfiguration 時，所有 AD RMS 叢集的所有授權 URL 都不會顯示在 LicensingLocation 參數中，請執行所有這些步驟。

在每個 Exchange 伺服器上，找出下列資料夾，並刪除該資料夾中的所有專案： \ProgramData\Microsoft\DRM\Server\S-1-5-18
從其中一部 Exchange 伺服器執行下列 PowerShell 命令，以確保使用者能夠讀取使用 Azure Rights Management 保護的電子郵件。

執行這些命令之前，請以您自己的 Azure Rights Management 服務 URL 取代為您的 < 租使用者 URL > 。
```
$irmConfig = Get-IRMConfiguration
$list = $irmConfig.LicensingLocation 
$list += "<Your Tenant URL>/_wmcs/licensing"
Set-IRMConfiguration -LicensingLocation $list
```
現在當您執行 Get-IRMConfiguration 時，您應該會看到所有 AD RMS 叢集授權 URL，以及針對 LicensingLocation 參數顯示的 Azure Rights Management 服務 URL。
現在，針對傳送給內部收件者的訊息停用 IRM 功能：
```
Set-IRMConfiguration -InternalLicensingEnabled $false
```
然後使用相同的 Cmdlet 在 Microsoft Office Outlook Web App 和 Microsoft Exchange ActiveSync 中停用 IRM：
```
Set-IRMConfiguration -ClientAccessServerEnabled $false
```
最後，使用相同的 Cmdlet 來清除任何快取的憑證：
```
Set-IRMConfiguration -RefreshServerCertificates
```
在每個 Exchange Server 上，現在重設 IIS，例如，以系統管理員身分執行命令提示字元並輸入 iisreset 。

請確定沒有從 RMS 保護的程式庫取出的檔。如果有的話，此程式結束時將會變成無法存取。
在 SharePoint Central 管理員istration 網站上，按一下 [快速啟動 ] 區段中的 [ 安全性 ]。
在 [ 安全性] 頁面上的 [資訊原則 ] 區段中，按一下 [ 設定資訊版權管理 ]。
在 [ 資訊版權管理] 頁面上的 [資訊版權管理 ] 區段中，選取 [不要在此伺服器上 使用 IRM]，然後按一下 [ 確定 ]。
在每個 SharePoint Server 電腦上，刪除執行 SharePoint Server 之帳戶的 \ProgramData\Microsoft\MSIPC\Server > \ < SID 資料夾內容。

返回部署 RMS 連接器的指示：步驟 5：設定伺服器以使用 RMS 連接器

如果您只有 SharePoint Server，請直接移至後續步驟以繼續移轉。
在每個 Exchange Server 上，針對您匯入的每個組態資料檔案（.xml）手動新增下一節中的登錄機碼，以將受信任的發佈網域 URL 重新導向至 RMS 連接器。這些登錄專案是移轉的特定專案，而且不會由 Microsoft RMS 連接器的伺服器組態工具新增。

當您進行這些登錄編輯時，請使用下列指示：
- 將連接器 FQDN 取代為您在 DNS 中為連接器定義的名稱。例如， rmsconnector.contoso.com 。
- 根據您已將連接器設定為使用 HTTP 或 HTTPS 與內部部署伺服器通訊，使用連接器 URL 的 HTTP 或 HTTPS 前置詞。

針對所有 Exchange 伺服器，根據您的 Exchange 版本，將下列登錄值新增至 LicenseServerRedirection：