Compartilhar via


Fase 4 da migração – configuração de serviços de suporte

Use as informações a seguir para a fase 4 da migração do AD RMS para a Proteção de Informações do Azure. Esses procedimentos abrangem as etapas 8 a 9 de Migrar do AD RMS para a Proteção de Informações do Azure.

Etapa 8: Configurar a integração do IRM para o Exchange Online

Importante

Não é possível controlar quais destinatários os usuários migrados podem selecionar para emails protegidos.

Portanto, verifique se todos os usuários e grupos habilitados para email em sua organização têm uma conta do Microsoft Entra ID que pode ser usada com a Proteção de Informações do Azure.

Para obter mais informações, consulte Preparando usuários e grupos para a Proteção de Informações do Azure.

Independentemente da topologia de chave de locatário da Proteção de Informações do Azure que você escolheu, faça o seguinte:

  1. Pré-requisito: para que o Exchange Online possa descriptografar emails protegidos pelo AD RMS, ele precisa saber que a URL do AD RMS do cluster corresponde à chave disponível no locatário.

    Isso é feito com o registro SRV do DNS para seu cluster do AD RMS que também é usado para reconfigurar clientes do Office para usar a Proteção de Informações do Azure.

    Se você não criou o registro SRV do DNS para reconfiguração do cliente na etapa 7, crie esse registro agora para oferecer suporte ao Exchange Online. Instruções

    Quando esse registro DNS estiver em vigor, os usuários que usam o Outlook na web e os clientes de email móvel poderão exibir emails protegidos pelo AD RMS nesses aplicativos e o Exchange poderá usar a chave importada do AD RMS para descriptografar, indexar, lançar em diário e proteger o conteúdo protegido pelo AD RMS.

  2. Execute o comando Get-IRMConfiguration do Exchange Online.

    Se precisar de ajuda para executar esse comando, consulte as instruções passo a passo do Exchange Online: configuração do IRM.

    Na saída, verifique se AzureRMSLicensingEnabled está configurado como verdadeiro:

Etapa 9: Configurar a integração do IRM para o Exchange Server e o SharePoint Server

Se você tiver usado a funcionalidade Gerenciamento de Direitos de Informação (IRM) do Exchange Server ou do SharePoint Server com AD RMS, será necessário implantar o conector do Rights Management (RMS).

O conector atua como uma interface de comunicação (uma retransmissão) entre seus servidores locais e o serviço de proteção para a Proteção de Informações do Azure.

Esta etapa aborda a instalação e a configuração do conector, a desabilitação do IRM para o Exchange e para o SharePoint e a configuração desses servidores para usar o conector.

Por fim, se você tiver importado arquivos de configuração de dados .xml do AD RMS que foram usados para proteger mensagens de email na Proteção de Informações do Azure, você deverá editar manualmente o registro nos computadores do Exchange Server para redirecionar todas as URLs de domínio de publicação confiáveis para o conector RMS.

Observação

Antes de começar, verifique as versões dos servidores locais que o serviço Azure Rights Management suporta, a partir de servidores locais que dão suporte ao Azure RMS.

Instalar e configurar o conector RMS

Use as instruções no artigo implantando o conector do Microsoft Rights Management e execute as etapas 1 a 4.

Não inicie ainda a etapa 5 a partir das instruções do conector.

Desabilitar o IRM em servidores Exchange e remover a configuração do AD RMS

Importante

Se você ainda não configurou o IRM em nenhum dos servidores Exchange, siga apenas as etapas 2 e 6.

Execute todas essas etapas se todas as URLs de licenciamento de todos os clusters do AD RMS não forem exibidas no parâmetro LicensingLocation ao executar Get-IRMConfiguration.

  1. Em cada servidor Exchange, localize a seguinte pasta e exclua todas as entradas nessa pasta: \ProgramData\Microsoft\DRM\Server\S-1-5-18

  2. Em um dos servidores Exchange, execute os seguintes comandos do PowerShell para garantir que os usuários possam ler emails protegidos usando o Azure Rights Management.

    Antes de executar esses comandos, substitua sua própria URL do serviço Azure Rights Management por <sua URL do locatário>.

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation 
    $list += "<Your Tenant URL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    

    Agora, ao executar Get-IRMConfiguration, você verá todas as suas URLs de licenciamento de cluster do AD RMS e a sua URL do serviço Azure Rights Management exibidas para o parâmetro LicensingLocation.

  3. Agora, desative os recursos de IRM para mensagens enviadas a destinatários internos:

    Set-IRMConfiguration -InternalLicensingEnabled $false
    
  4. Em seguida, use o mesmo cmdlet para desabilitar o IRM no Microsoft Office Outlook Web App e no Microsoft Exchange ActiveSync:

    Set-IRMConfiguration -ClientAccessServerEnabled $false
    
  5. Por fim, use o mesmo cmdlet para limpar todos os certificados armazenados em cache:

    Set-IRMConfiguration -RefreshServerCertificates
    
  6. Agora, redefina o IIS em cada Exchange Server, por exemplo, executando um prompt de comando como administrador e digitando iisreset.

Desabilite o IRM no SharePoint Servers e remova a configuração do AD RMS

  1. Verifique se não há nenhum documento com check-out de bibliotecas protegidas por RMS. Se houver, ficarão inacessíveis ao final deste procedimento.

  2. No site da Administração Central do SharePoint, na seção de Início Rápido, clique em Segurança.

  3. Na página Segurança, na seção Política de Informações, clique em Configurar o gerenciamento de direitos de informação.

  4. Na página Gerenciamento de Direitos de Informação, na seção Gerenciamento de Direitos de Informação, selecione Não usar IRM neste servidor e clique em OK.

  5. Em cada um dos computadores do SharePoint Server, exclua o conteúdo da pasta \ProgramData\Microsoft\MSIPC\Server\<SID da conta que está executando o SharePoint Server>.

Configurar o Exchange e o SharePoint para usar o conector

  1. Retorne às instruções para implantar o conector RMS: Etapa 5: Configurando servidores para usar o conector RMS

    Se você tiver apenas o SharePoint Server, vá direto para Próximas etapas para continuar a migração.

  2. Em cada Exchange Server, adicione manualmente as chaves do registro na próxima seção para cada arquivo de dados de configuração (.xml) importado para redirecionar as URLs de domínio de publicação confiáveis para o conector RMS. Essas entradas do registro são específicas para migração e não são adicionadas pela ferramenta de configuração do servidor para o conector Microsoft RMS.

    Quando você fizer essas edições do registro, use as seguintes instruções:

    • Substitua o FQDN do conector pelo nome que você definiu no DNS para o conector. Por exemplo, rmsconnector.contoso.com.

    • Use o prefixo HTTP ou HTTPS para a URL do conector de acordo com a forma que você configurou o conector para usar HTTP ou HTTPS para se comunicar com seus servidores locais.

Edições do registro para o Exchange

Para todos os servidores Exchange, adicione os seguintes valores do registro a LicenseServerRedirection, dependendo de suas versões do Exchange:

  1. Para o Exchange 2013 e o Exchange 2016, adicione o seguinte valor do registro:

    • Caminho do registro: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Tipo: Reg_SZ

    • Valor: https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

    • Dados: um dos seguintes, dependendo se você estiver usando HTTP ou HTTPS do servidor Exchange para o conector RMS:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

  2. Para o Exchange 2013, adicione o seguinte valor adicional do registro:

    • Caminho do registro: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Tipo: Reg_SZ

    • Valor: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

    • Dados: um dos seguintes, dependendo se você estiver usando HTTP ou HTTPS do servidor Exchange para o conector RMS:

      • http://<connector FQDN>/_wmcs/licensing

      • https://<connector FQDN>/_wmcs/licensing

Próximas etapas

Para continuar a migração, vá para a fase 5 - tarefas pós-migração.