Этап миграции 4. Поддержка конфигурации служб

Используйте следующие сведения для этапа 4 миграции с AD RMS в Azure Information Protection. Эти процедуры охватывают шаги 8–9 от миграции из AD RMS в Azure Information Protection.

Шаг 8. Настройка интеграции IRM для Exchange Online

Независимо от выбранной топологии ключа клиента Azure Information Protection сделайте следующее:

1. Необходимые условия. Чтобы Exchange Online мог расшифровать сообщения электронной почты, защищенные AD RMS, необходимо знать, что URL-адрес AD RMS для кластера соответствует ключу, который доступен в вашем клиенте.

   Это делается с записью DNS SRV для кластера AD RMS, которая также используется для перенастройки клиентов Office для использования Azure Information Protection.

   Если вы не создали запись DNS SRV для перенастройки клиента на шаге 7, создайте эту запись для поддержки Exchange Online. Резолюция

   При использовании этой записи DNS пользователи, использующие Outlook в Интернете и мобильных клиентах электронной почты, смогут просматривать защищенные электронные письма AD RMS в этих приложениях, а Exchange сможет использовать ключ, импортированный из AD RMS, для расшифровки, индекса, журнала и защиты содержимого, защищенного AD RMS.

2. Выполните команду Get-IRMConfiguration Exchange Online.

   В выходных данных проверьте, задано ли для AzureRMSLicensingEnabled значение True:

   • Если для этого шага для AzureRMSLicensingEnabled задано значение True, для этого шага не требуется дополнительная конфигурация.

   • Если Для AzureRMSLicensingEnabledзадано значение False, запустите Set-IRMConfiguration -AzureRMSLicensingEnabled $true и убедитесь, что Exchange Online теперь готов использовать службу Azure Rights Management.

     Дополнительные сведения см. в статье " Настройка новых возможностей шифрования сообщений Microsoft 365", созданных на основе Azure Information Protection.

Шаг 9. Настройка интеграции IRM для Exchange Server и SharePoint Server

Если вы использовали функцию управления правами на доступ к данным (IRM) Exchange Server или SharePoint Server с AD RMS, необходимо развернуть соединитель Управления правами (RMS).

Соединитель выступает в качестве интерфейса связи (ретранслятора) между локальными серверами и службой защиты для Azure Information Protection.

На этом шаге рассматривается установка и настройка соединителя, отключение IRM для Exchange и SharePoint и настройка этих серверов для использования соединителя.

Наконец, если вы импортировали AD RMS .xml файлы конфигурации данных, которые использовались для защиты сообщений электронной почты в Azure Information Protection, необходимо вручную изменить реестр на компьютерах Exchange Server, чтобы перенаправить все URL-адреса доверенных доменов публикации в соединитель RMS.

Установка и настройка соединителя RMS

Используйте инструкции в статье "Развертывание соединителя Microsoft Rights Management" и выполните шаги 1 хотя 4.

Еще не запустите шаг 5 из инструкций соединителя.

Отключение IRM на серверах Exchange Server и удаление конфигурации AD RMS

1. На каждом сервере Exchange найдите следующую папку и удалите все записи в этой папке: \ProgramData\Microsoft\DRM\Server\S-1-5-18

2. На одном из серверов Exchange выполните следующие команды PowerShell, чтобы пользователи могли читать сообщения электронной почты, защищенные с помощью Azure Rights Management.

   Перед выполнением этих команд замените собственный URL-адрес службы Azure Rights Management для <URL-адреса> клиента.

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation 
   $list += "<Your Tenant URL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   

   Теперь при запуске Get-IRMConfiguration вы увидите все URL-адреса лицензирования кластера AD RMS и URL-адрес службы Azure Rights Management, отображаемый для параметра LicensingLocation .

3. Теперь отключите функции IRM для сообщений, отправляемых внутренним получателям:

   Set-IRMConfiguration -InternalLicensingEnabled $false
   

4. Затем используйте тот же командлет, чтобы отключить IRM в Microsoft Office Outlook Web App и в Microsoft Exchange ActiveSync:

   Set-IRMConfiguration -ClientAccessServerEnabled $false
   

5. Наконец, используйте тот же командлет, чтобы очистить все кэшированные сертификаты:

   Set-IRMConfiguration -RefreshServerCertificates
   

6. На каждом сервере Exchange Server теперь сбрасывайте iis, например, выполнив командную строку в качестве администратора и введя iisreset.

Отключение IRM на серверах SharePoint и удаление конфигурации AD RMS

1. Убедитесь, что документы не извлечены из защищенных RMS библиотек. Если есть, они будут недоступны в конце этой процедуры.

2. На веб-сайте центра администрирования SharePoint в разделе быстрого запуска щелкните "Безопасность".

3. На странице "Безопасность" в разделе " Политика информации " щелкните "Настройка управления правами на доступ к данным".

4. На странице "Управление правами на доступ к данным" в разделе "Управление правами надоступ к данным " выберите "Не использовать IRM" на этом сервере, а затем нажмите кнопку "ОК".

5. На каждом из компьютеров SharePoint Server удалите содержимое папки \ProgramData\Microsoft\MSIPC\Server\<SID учетной записи под управлением SharePoint Server>.

Настройка Exchange и SharePoint для использования соединителя

1. Вернитесь к инструкциям по развертыванию соединителя RMS: шаг 5. Настройка серверов для использования соединителя RMS

   Если у вас только SharePoint Server, перейдите непосредственно к следующим шагам , чтобы продолжить миграцию.

2. На каждом сервере Exchange Server вручную добавьте разделы реестра в следующем разделе для каждого импортированного файла данных конфигурации (.xml), чтобы перенаправить URL-адреса доверенного домена публикации в соединитель RMS. Эти записи реестра относятся к миграции и не добавляются средством настройки сервера для соединителя Microsoft RMS.

   При внесении этих изменений в реестр используйте следующие инструкции:

   • Замените полное доменное имя соединителя именем, определенным в DNS для соединителя. Например, rmsconnector.contoso.com.

   • Используйте префикс HTTP или HTTPS для URL-адреса соединителя в зависимости от того, настроен ли соединитель использовать ПРОТОКОЛ HTTP или HTTPS для взаимодействия с локальными серверами.

Изменения реестра для Exchange

Для всех серверов Exchange добавьте следующие значения реестра в LicenseServerRedirection в зависимости от версий Exchange:

1. Для Exchange 2013 и Exchange 2016 добавьте следующее значение реестра:

   • Путь к реестру: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Тип: Reg_SZ

   • Значение: https://<AD RMS Intranet Licensing URL>/_wmcs/licensing

   • Данные: одно из следующих вариантов в зависимости от того, используете ли вы HTTP или HTTPS с сервера Exchange Server в соединитель RMS:

     • http://<connector FQDN>/_wmcs/licensing

     • https://<connector FQDN>/_wmcs/licensing

2. Для Exchange 2013 добавьте следующее дополнительное значение реестра:

   • Путь к реестру: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Тип: Reg_SZ

   • Значение: https://<AD RMS Extranet Licensing URL>/_wmcs/licensing

   • Данные: одно из следующих вариантов в зависимости от того, используете ли вы HTTP или HTTPS с сервера Exchange Server в соединитель RMS:

     • http://<connector FQDN>/_wmcs/licensing

     • https://<connector FQDN>/_wmcs/licensing

Дальнейшие шаги

Чтобы продолжить миграцию, перейдите на этап 5 -post задач миграции.