Fáze migrace 4 – podpora konfigurace služeb
Pro fázi 4 migrace ze služby AD RMS na Azure Information Protection použijte následující informace. Tyto postupy zahrnují kroky 8 až 9 z migrace z AD RMS na Azure Information Protection.
Krok 8: Konfigurace integrace IRM pro Exchange Online
Důležité
U chráněných e-mailů nemůžete určit, kteří příjemci migrovaní uživatelé můžou vybrat.
Proto se ujistěte, že všichni uživatelé a poštovní skupiny ve vaší organizaci mají účet v MICROSOFT Entra ID, které je možné použít se službou Azure Information Protection.
Další informace najdete v tématu Příprava uživatelů a skupin pro Azure Information Protection.
Bez ohledu na zvolenou topologii klíče tenanta služby Azure Information Protection postupujte takto:
Předpoklad: Aby Exchange Online mohl dešifrovat e-maily chráněné službou AD RMS, musí vědět, že adresa URL služby AD RMS pro váš cluster odpovídá klíči, který je k dispozici ve vašem tenantovi.
To se provádí se záznamem DNS SRV pro váš cluster AD RMS, který se také používá k překonfigurování klientů Office na používání služby Azure Information Protection.
Pokud jste nevytvořili záznam DNS SRV pro rekonfiguraci klienta v kroku 7, vytvořte tento záznam pro podporu Exchange Online. Pokyny
Když je tento záznam DNS zavedený, budou moct uživatelé používající Outlook na webu a mobilní e-mailové klienty zobrazit e-maily chráněné službou AD RMS v těchto aplikacích a Exchange bude moct použít klíč, který jste naimportovali ze služby AD RMS, k dešifrování, indexování, deníku a ochraně obsahu chráněného službou AD RMS.
Spusťte příkaz Exchange Online Get-IRMConfiguration .
Pokud potřebujete pomoc se spuštěním tohoto příkazu, přečtěte si podrobné pokyny z Exchange Online: Konfigurace IRM.
Ve výstupu zkontrolujte, jestli je Služba AzureRMSLicensingEnabled nastavená na Hodnotu True:
Pokud je azureRMSLicensingEnabled nastavená na Hodnotu True, není pro tento krok potřeba žádná další konfigurace.
Pokud je v AzureRMSLicensingEnabled nastavená false, spusťte
Set-IRMConfiguration -AzureRMSLicensingEnabled $truea ověřte, že Exchange Online je teď připravený k používání služby Azure Rights Management.Další informace najdete v postupu ověření v tématu Nastavení nových funkcí šifrování zpráv Microsoftu 365 založených na službě Azure Information Protection.
Krok 9: Konfigurace integrace IRM pro Exchange Server a SharePoint Server
Pokud jste použili funkci SPRÁVA přístupových práv k informacím (IRM) systému Exchange Server nebo SharePoint Server se službou AD RMS, budete muset nasadit konektor Rights Management (RMS).
Konektor funguje jako komunikační rozhraní (přenos) mezi místními servery a službou ochrany pro Azure Information Protection.
Tento krok popisuje instalaci a konfiguraci konektoru, zakázání IRM pro Exchange a SharePoint a konfiguraci těchto serverů pro použití konektoru.
Pokud jste naimportovali konfigurační soubory AD RMS .xml, které byly použity k ochraně e-mailových zpráv ve službě Azure Information Protection, musíte ručně upravit registr na počítačích s Exchange Serverem a přesměrovat všechny důvěryhodné adresy URL domény publikování na konektor SLUŽBY RMS.
Poznámka:
Než začnete, zkontrolujte verze místních serverů, které služba Azure Rights Management podporuje, z místních serverů, které podporují Azure RMS.
Instalace a konfigurace konektoru SLUŽBY RMS
Postupujte podle pokynů v článku Nasazení konektoru Microsoft Rights Management a proveďte kroky 1 až 4.
Nespustíte krok 5 z pokynů ke konektoru.
Zakázání TECHNOLOGIE IRM na serverech Exchange a odebrání konfigurace služby AD RMS
Důležité
Pokud jste ještě nenakonfigurovali IRM na žádném ze serverů Exchange, proveďte jenom kroky 2 a 6.
Všechny tyto kroky proveďte, pokud se při spuštění get-IRMConfiguration nezobrazí všechny adresy URL licencí všech clusterů AD RMS v parametru LicensingLocation.
Na každém serveru Exchange vyhledejte následující složku a odstraňte všechny položky v této složce: \ProgramData\Microsoft\DRM\Server\S-1-5-18.
Na jednom ze serverů Exchange spusťte následující příkazy PowerShellu, abyste zajistili, že uživatelé budou moct číst e-maily chráněné pomocí azure Rights Management.
Před spuštěním těchto příkazů nahraďte vlastní adresou URL služby Azure Rights Management adresu <URL> vašeho tenanta.
$irmConfig = Get-IRMConfiguration $list = $irmConfig.LicensingLocation $list += "<Your Tenant URL>/_wmcs/licensing" Set-IRMConfiguration -LicensingLocation $listKdyž teď spustíte Get-IRMConfiguration, měli byste vidět všechny adresy URL licencování clusteru AD RMS a adresu URL služby Azure Rights Management zobrazenou pro parametr LicensingLocation .
Teď zakažte funkce IRM pro zprávy, které se odesílají interním příjemcům:
Set-IRMConfiguration -InternalLicensingEnabled $falsePak pomocí stejné rutiny zakažte IRM ve webové aplikaci aplikace Microsoft Office Outlook a v Microsoft protokol Exchange ActiveSync:
Set-IRMConfiguration -ClientAccessServerEnabled $falseNakonec pomocí stejné rutiny vymažte všechny certifikáty uložené v mezipaměti:
Set-IRMConfiguration -RefreshServerCertificatesNa každém Serveru Exchange teď resetujte službu IIS, například spuštěním příkazového řádku jako správce a zadáním iisreset.
Zakázání TECHNOLOGIE IRM na sharepointových serverech a odebrání konfigurace služby AD RMS
Ujistěte se, že nejsou rezervované žádné dokumenty z knihoven chráněných službou RMS. Pokud ano, budou na konci tohoto postupu nedostupné.
Na webu Centrální Správa istrace služby SharePoint klikněte v části Snadné spuštění na položku Zabezpečení.
Na stránce Zabezpečení v části Zásady informací klikněte na Konfigurovat správu přístupových práv k informacím.
Na stránce Správa přístupových práv k informacím v části Správa přístupových práv k informacím vyberte na tomto serveru možnost Nepoužívat TECHNOLOGII IRM a klikněte na tlačítko OK.
Na každém počítači se SharePoint Serverem odstraňte obsah složky \ProgramData\Microsoft\MSIPC\Server\<SID účtu, na kterém běží SharePoint Server>.
Konfigurace Exchange a SharePointu pro použití konektoru
Vraťte se k pokynům pro nasazení služby RMS Connector: Krok 5: Konfigurace serverů pro použití služby RMS Connector
Pokud máte jenom SharePoint Server, přejděte přímo na Další kroky a pokračujte v migraci.
Na každém Exchange Serveru ručně přidejte klíče registru v další části pro každý soubor konfiguračních dat (.xml), který jste naimportovali, a přesměrujte adresy URL důvěryhodné domény publikování na konektor SLUŽBY RMS. Tyto položky registru jsou specifické pro migraci a nejsou přidány nástrojem pro konfiguraci serveru pro microsoft RMS Connector.
Při provádění těchto úprav registru postupujte podle následujících pokynů:
Plně kvalifikovaný název domény konektoru nahraďte názvem, který jste definovali v DNS konektoru. Například rmsconnector.contoso.com.
Pro adresu URL konektoru použijte předponu HTTP nebo HTTPS v závislosti na tom, jestli jste konektor nakonfigurovali tak, aby ke komunikaci s místními servery používal protokol HTTP nebo HTTPS.
Úpravy registru pro Exchange
Pro všechny servery Exchange přidejte následující hodnoty registru do LicenseServerRedirection v závislosti na vašich verzích Exchange:
Pro Exchange 2013 i Exchange 2016 přidejte následující hodnotu registru:
Cesta k registru:
HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirectionTyp: Reg_SZ
Hodnota:
https://<AD RMS Intranet Licensing URL>/_wmcs/licensingData: Jedna z následujících možností v závislosti na tom, jestli používáte HTTP nebo HTTPS ze serveru Exchange do konektoru SLUŽBY RMS:
http://<connector FQDN>/_wmcs/licensinghttps://<connector FQDN>/_wmcs/licensing
Pro Exchange 2013 přidejte následující další hodnotu registru:
Cesta k registru:
HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirectionTyp: Reg_SZ
Hodnota:
https://<AD RMS Extranet Licensing URL>/_wmcs/licensingData: Jedna z následujících možností v závislosti na tom, jestli používáte HTTP nebo HTTPS ze serveru Exchange do konektoru SLUŽBY RMS:
http://<connector FQDN>/_wmcs/licensinghttps://<connector FQDN>/_wmcs/licensing
Další kroky
Pokud chcete pokračovat v migraci, přejděte do fáze 5 – po dokončení migrace.