Migrationsphase 2 – serverseitige Konfiguration für AD RMS
Verwenden Sie die folgenden Informationen für Phase 2 der Migration von AD RMS zu Azure Information Protection. Diese Vorgehensweise umfasst die Schritte 4 bis 6 der Migration von AD RMS zu Azure Information Protection.
Schritt 4: Exportieren von Konfigurationsdaten aus AD RMS und Importieren in Azure Information Protection
Dieser Schritt besteht aus zwei Teilen:
Exportieren der Konfigurationsdaten aus AD RMS durch Exportieren der vertrauenswürdigen Veröffentlichungsdomänen (TPDs) in eine XML-Datei. Dieser Prozess ist bei allen Migrationen identisch.
Importieren der Konfigurationsdaten in Azure Information Protection. Für diesen Schritt gibt es unterschiedliche Prozesse, je nach ihrer aktuellen Konfiguration der AD RMS-Bereitstellung und Ihrer bevorzugten Topologie für Ihren Azure RMS-Mandantenschlüssel.
Exportieren der Konfigurationsdaten aus AD RMS
Halten Sie bei allen AD RMS-Cluster für alle vertrauenswürdigen Veröffentlichungsdomänen mit geschützten Inhalten für Ihre nach der folgenden Vorgehensweise. Bei nur die Lizenzierung betreffenden Clustern ist diese Vorgehensweise nicht erforderlich.
Exportieren der Konfigurationsdaten (Informationen zur vertrauenswürdigen Veröffentlichungsdomäne)
Melden Sie sich beim AD RMS-Cluster als Benutzer mit AD RMS-Administratorberechtigungen an.
Erweitern Sie in der AD RMS-Verwaltungskonsole (Active Directory Rights Management Services) den AD RMS-Clusternamen, erweitern Sie Vertrauensrichtlinien und klicken Sie dann auf Vertrauenswürdige Veröffentlichungsdomänen.
Wählen Sie im Ergebnisfeld die vertrauenswürdige Veröffentlichungsdomäne aus und klicken Sie dann im Aktionsbereich auf Vertrauenswürdige Veröffentlichungsdomäne exportieren.
Im Dialog Vertrauenswürdige Veröffentlichungsdomäne exportieren:
Klicken Sie auf Speichern unter zum Speichern unter einem Pfad und Dateinamen Ihrer Wahl. Geben Sie unbedingt das Suffix .xml an (es wird nicht automatisch angefügt).
Geben Sie ein sicheres Kennwort an und bestätigen Sie es. Merken Sie sich dieses Kennwort, denn sie brauchen es später, wenn Sie die Konfigurationsdaten in Azure Information Protection importieren.
Aktivieren Sie nicht das Kontrollkästchen zum Speichern der Datei mit der vertrauenswürdigen Domäne in RMS Version 1.0.
Wenn Sie alle vertrauenswürdigen Veröffentlichungsdomänen exportiert haben, können Sie mit dem Importieren dieser Daten in Azure Information Protection beginnen.
Beachten Sie, dass die vertrauenswürdigen Veröffentlichungsdomänen die Schlüssel des lizenzgebenden Serverzertifikats (SLC) zum Entschlüsseln zuvor geschützter Dateien enthalten. Daher ist es wichtig, alle vertrauenswürdigen Veröffentlichungsdomänen und nicht nur die derzeit aktive zu exportieren (und später in Azure zu importieren).
Sie verfügen beispielsweise über mehrere vertrauenswürdige Veröffentlichungsdomänen, wenn Sie ein Upgrade ihrer AD RMS-Server vom Kryptografiemodus 1 auf den Kryptografiemodus 2 durchgeführt haben. Wenn Sie die vertrauenswürdige Veröffentlichungsdomäne mit dem archivierten Schlüssel, der den Kryptografiemodus 1 verwendet hat, nicht exportieren und importieren, können die Benutzer am Ende der Migration keine Inhalte öffnen, die mit dem Schlüssel des Kryptografiemodus 1 geschützt wurden.
Importieren der Konfigurationsdaten in Azure Information Protection
Die genaue Vorgehensweise für diesen Schritt ist von ihrer aktuellen Konfiguration der AD RMS-Bereitstellung und Ihrer bevorzugten Topologie für Ihren Azure RMS-Mandantenschlüssel abhängig.
Ihre aktuelle AD RMS-Bereitstellung verwendet eine der folgenden Konfigurationen für den Schlüssel des lizenzgebenden Serverzertifikats (SLC):
Kennwortschutz in der AD RMS-Datenbank. Dies ist die Standardkonfiguration.
HSM-Schutz durch Verwendung eines nCipher-Hardware-Sicherheitsmoduls (HSM).
HSM-Schutz durch Verwendung eines Hardware-Sicherheitsmoduls (HSM) von einem anderen Anbieter als nCipher.
Durch einen externen Kryptografieanbieter geschütztes Kennwort.
Hinweis
Weitere Informationen zur Verwendung von Hardwaresicherheitsmodulen mit AD RMS finden Sie unter Verwenden von AD RMS mit Hardwaresicherheitsmodulen.
Die beiden Topologieoptionen für den Azure Information Protection-Mandantenschlüssel sind: Microsoft verwaltet Ihren Mandantenschlüssel (von Microsoft verwaltet) oder Sie verwalten Ihren Mandantenschlüssel (vom Kunden verwaltet) in Azure Key Vault. Wenn Sie Ihren eigenen Azure Information Protection-Mandant-Schlüssel verwalten, wird dies manchmal als "Bring Your Own Key" (BYOK) bezeichnet. Weitere Informationen finden Sie im Artikel Planen und Implementieren Ihres Azure Information Protection-Mandantenschlüssels.
Anhand der folgenden Tabelle können Sie die richtige Vorgehensweise für Ihre Migration ermitteln.
Aktuelle AD RMS-Bereitstellung | Gewählte Topologie für den Azure Information Protection-Mandantenschlüssel | Migrationsanweisungen |
---|---|---|
Kennwortschutz in der AD RMS-Datenbank | von Microsoft verwaltet | Gehen Sie das Verfahren Migration softwaregeschützter Schlüssel zu softwaregeschützten Schlüsseln hinter dieser Tabelle durch. Das ist der einfachste Migrationspfad, bei dem Sie nur Ihre Konfigurationsdaten zu Azure Information Protection übertragen müssen. |
HSM-Schutz mithilfe eines nCipher nShield-Hardwaresicherheitsmoduls (HSM). | Vom Kunden verwaltet (BYOK) | Gehen Sie die Vorgehensweise zur Migration durch HSM geschützter Schlüssel zu durch HSM geschützten Schlüsseln im Anschluss an diese Tabelle durch. Dies erfordert das Azure Key Vault BYOK-Toolset und drei Sätze von Schritten, um zuerst den Schlüssel von Ihrem lokalen HSM zu den Azure Key Vault-HSMs zu übertragen, dann den Azure Rights Management-Dienst von Azure Information Protection zur Verwendung Ihres Mandantenschlüssel zu autorisieren und zuletzt Ihre Konfigurationsdaten zu Azure Information Protection zu übertragen. |
Kennwortschutz in der AD RMS-Datenbank | Vom Kunden verwaltet (BYOK) | Gehen Sie das Verfahren Migration softwaregeschützter Schlüssel zu HSM-geschützten Schlüsseln hinter dieser Tabelle durch. Dies erfordert das Azure Key Vault BYOK-Toolset und vier Sätze Schritte, um zuerst Ihren Softwareschlüssel zu extrahieren und in ein lokales HSM zu importieren, dann den Schlüssel von Ihrem lokalen HSM zu den Azure Information Protection-HSMs zu übertragen, anschließend Ihre Key Vault-Daten zu Azure Information Protection zu übertragen und zuletzt Ihre Konfigurationsdaten zu Azure Information Protection zu übertragen. |
HSM-Schutz durch Verwendung eines Hardware-Sicherheitsmoduls (HSM) von einem anderen Anbieter als nCipher | Vom Kunden verwaltet (BYOK) | Wenden Sie sich an den Lieferanten Ihres HSM, um Anweisungen zur Übertragung Ihres Schlüssels aus diesem HSM in ein nCipher nShield-Hardwaresicherheitsmodul (HSM) zu erhalten. Gehen Sie anschließend die Anweisungen für das Verfahren Migration durch HSM geschützter Schlüssel zu durch HSM geschützten Schlüsseln hinter dieser Tabelle durch. |
Durch einen externen Kryptografieanbieter geschütztes Kennwort | Vom Kunden verwaltet (BYOK) | Wenden Sie sich an den Lieferanten Ihres Kryptografieanbieters, um Anweisungen zur Übertragung Ihres Schlüssels in ein nCipher nShield-Hardwaresicherheitsmodul (HSM) zu erhalten. Gehen Sie anschließend die Anweisungen für das Verfahren Migration durch HSM geschützter Schlüssel zu durch HSM geschützten Schlüsseln hinter dieser Tabelle durch. |
Wenn Sie einen durch HSM geschützten Schlüssel haben, den Sie nicht exportieren können, können Sie dennoch zu Azure Information Protection migrieren, indem Sie Ihren AD RMS-Cluster für einen schreibgeschützten Modus konfigurieren. In diesem Modus können zuvor geschützte Inhalte weiterhin geöffnet werden, aber neu geschützte Inhalte verwenden einen neuen Mandantenschlüssel, der von Ihnen verwaltet (BYOK) oder von Microsoft verwaltet wird. Weitere Informationen finden Sie unter Verfügbares Update für Office, um Migrationen von AD RMS zu Azure RMS zu unterstützen.
Bevor Sie mit dieser entscheidenden Vorgehensweise zur Migration beginnen, sollten Sie sich vergewissern, dass Sie auf die XML-Dateien zugreifen können, die Sie zuvor beim Exportieren der vertrauenswürdigen Veröffentlichungsdomänen erstellt haben. Diese können beispielsweise auf einem USB-Stick gespeichert werden, den Sie vom AD RMS-Server auf die mit dem Internet verbundene Arbeitsstation übertragen.
Hinweis
Wie auch immer Sie diese Dateien speichern, müssen Sie zu ihrem Schutz bewährte Sicherheitsmethoden anwenden, da diese Daten Ihren privaten Schlüssel enthalten.
Wählen Sie zum Abschluss von Schritt 4 die Anweisungen für Ihren Migrationspfad aus:
- Softwaregeschützter Schlüssel zu softwaregeschütztem Schlüssel
- Durch HSM geschützter Schlüssel zu durch HSM geschütztem Schlüssel
- Softwaregeschützter Schlüssel zu durch HSM geschütztem Schlüssel
Schritt 5: Aktivieren des Azure Rights Management-Diensts
Öffnen Sie eine PowerShell-Sitzung, und führen Sie die folgenden Befehle aus:
Stellen Sie eine Verbindung zum Azure Rights Management-Dienst her und geben Sie bei der entsprechenden Aufforderung Ihre Anmeldedaten als globaler Administrator an:
Connect-AipService
Aktivieren des Azure Rights Management-Diensts:
Enable-AipService
Was geschieht, wenn Ihr Azure Information Protection-Mandant bereits aktiviert ist? Wenn der Azure Rights Management-Dienst bereits für Ihre Organisation aktiviert ist und Sie benutzerdefinierte Vorlagen erstellt haben, die Sie nach der Migration verwenden möchten, müssen Sie diese Vorlagen exportieren und importieren. Die Vorgehensweise dafür wird im nächsten Schritt behandelt.
Schritt 6: Konfigurieren importierter Vorlagen
Da die von Ihnen importierten Vorlagen den Standardstatus Archiviert haben, müssen Sie diesen Status in Veröffentlicht ändern, wenn Benutzer in der Lage sein sollen, diese Vorlagen mit dem Azure Rights Management-Dienst zu verwenden..
Vorlagen, die Sie aus AD RMS importieren, haben das gleiche Aussehen und Verhalten wie benutzerdefinierte Vorlagen, die Sie im Azure-Portal erstellen können. Informationen zum Ändern importierter Vorlagen, die veröffentlicht werden sollen, damit Benutzer sie sehen und aus Anwendungen auswählen können, finden Sie unter Konfigurieren und Verwalten von Vorlagen für Azure Information Protection.
Neben der Veröffentlichung ihrer neu importierten Vorlagen gibt es nur zwei wichtige Änderungen an den Vorlagen, die Sie gegebenenfalls vornehmen müssen, bevor Sie mit der Migration fortfahren. Für eine einheitliche Benutzererfahrung während des Migrationsprozesses sollten Sie keine weiteren Änderungen an den importierten Vorlagen vornehmen, die beiden in Azure Information Protection enthaltenen Standardvorlagen nicht veröffentlichen sind und vorerst keine neuen Vorlagen erstellen. Warten Sie stattdessen, bis der Migrationsprozess abgeschlossen ist und die Bereitstellung der AD RMS-Server aufgehoben ist.
Die für diesen Schritt gegebenenfalls vorzunehmenden Vorlagenänderungen:
Wenn Sie vor der Migration benutzerdefinierte Azure Information Protection-Vorlagen erstellt haben, müssen Sie sie manuell exportieren und importieren.
Wenn Ihre Vorlagen in AD RMS die Gruppe JEDER verwendet haben, müssen Sie eventuell Benutzer oder Gruppen manuell hinzufügen.
In AD RMS hat die Gruppe JEDER allen von Ihrem lokalen Active Directory authentifizierten Benutzern Rechte gewährt, aber diese Gruppe wird von Azure Information Protection nicht unterstützt. Die nächstliegende Entsprechung ist eine Gruppe, die für alle Benutzer in Ihrem Microsoft Entra-Mandanten automatisch erstellt wird. Wenn Sie die Gruppe JEDER für Ihre AD RMS-Vorlagen verwendet haben, müssen Sie gegebenenfalls Benutzer und die ihnen zu gewährenden Rechte hinzufügen.
Vorgehensweise, wenn Sie vor der Migration benutzerdefinierte Vorlagen erstellt haben
Wenn Sie vor der Migration – entweder vor oder nach der Aktivierung des Azure Rights Management-Diensts – benutzerdefinierte Vorlagen erstellt haben, stehen die Vorlagen den Benutzern nach der Migration nicht zur Verfügung, auch wenn sie auf Veröffentlicht festgelegt wurden. Um sie für Benutzer verfügbar zu machten, müssen Sie zuerst folgendermaßen vorgehen:
Identifizieren Sie diese Vorlagen und notieren Sie sich ihre Vorlagen-ID, indem Sie den Befehl Get-AipServiceTemplate ausführen.
Exportieren Sie die Vorlagen mit dem Azure RMS PowerShell-Cmdlet Export-AipServiceTemplate.
Importieren Sie die Vorlagen mit dem Azure RMS PowerShell-Cmdlet, Import-AipServiceTemplate.
Sie können diese Vorlagen dann wie jede andere Vorlage, die Sie nach der Migration erstellen, veröffentlichen oder archivieren.
Vorgehensweise, wenn Ihre Vorlagen in AD RMS die Gruppe JEDER verwendet haben
Wenn Ihre Vorlagen in AD RMS die Gruppe ANYONE verwendet haben, heißt die entsprechende Gruppe in Azure Information Protection AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@<tenant_name>.onmicrosoft.com. Für Contoso könnte diese Gruppe z. B. folgendermaßen aussehen: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com. Diese Gruppe enthält alle Benutzer aus Ihrem Microsoft Entra-Mandanten.
Wenn Sie Vorlagen und Bezeichnungen im Azure-Portal verwalten, wird diese Gruppe in Microsoft Entra ID als Domänenname Ihres Mandanten angezeigt. Für Contoso könnte diese Gruppe z. B. folgendermaßen aussehen: contoso.onmicrosoft.com. Um diese Gruppe hinzuzufügen, wird die Option Hinzufügen <Organisationsname> - Alle Mitglieder.
Wenn Sie nicht sicher sind, ob Ihre AD RMS-Vorlagen die Gruppe JEDER enthalten, können Sie diese Vorlagen mit dem folgenden Windows PowerShell-Beispielskript ermitteln. Weitere Informationen zur Verwendung von Windows PowerShell mit AD RMS finden Sie unter Verwenden von Windows PowerShell zur Verwaltung von AD RMS.
Sie können Vorlagen problemlos externe Benutzer hinzufügen, wenn Sie diese Vorlagen im Azure-Portal in Bezeichnungen konvertieren. Wählen Sie dann im Bereich Berechtigungen hinzufügen die Option Details eingeben, um die E-Mail-Adressen für diese Benutzer manuell anzugeben.
Weitere Informationen zu dieser Konfiguration finden Sie unter Konfigurieren einer Bezeichnung für Rights Management-Schutz.
Windows PowerShell-Beispielskript zum Ermitteln von AD RMS-Vorlagen, die die Gruppe JEDER enthalten
Dieser Abschnitt enthält das Beispielskript, mit dem Sie AD RMS-Vorlagen ermitteln können, die die Gruppe JEDER definiert haben, wie im vorherigen Abschnitt beschrieben.
Haftungsausschluss: Dieses Beispielskript wird unter keinem Microsoft-Standardsupportprogramm oder -dienst unterstützt. Es wird in der vorliegenden Form ohne jegliche Gewährleistung bereitgestellt.
import-module adrmsadmin
New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost -Force
$ListofTemplates=dir MyRmsAdmin:\RightsPolicyTemplate
foreach($Template in $ListofTemplates)
{
$templateID=$Template.id
$rights = dir MyRmsAdmin:\RightsPolicyTemplate\$Templateid\userright
$templateName=$Template.DefaultDisplayName
if ($rights.usergroupname -eq "anyone")
{
$templateName = $Template.defaultdisplayname
write-host "Template " -NoNewline
write-host -NoNewline $templateName -ForegroundColor Red
write-host " contains rights for " -NoNewline
write-host ANYONE -ForegroundColor Red
}
}
Remove-PSDrive MyRmsAdmin -force
Nächste Schritte
Gehen Sie zu Phase 3 – Clientseitige Konfiguration.