Compartir a través de


Fase de migración 2: Configuración del servidor para AD RMS

Use la siguiente información para la fase 2 de la migración de AD RMS a Azure Information Protection. Estos procedimientos abarcan los pasos 4 a 6 de Migración de AD RMS a Azure Information Protection.

Paso 4: Exportación de datos de configuración desde AD RMS y su importación a Azure Information Protection

Este paso es un proceso en dos partes:

  1. Exporte los datos de configuración de AD RMS exportando los dominios de publicación de confianza (TPD) a un archivo .xml. Este proceso es el mismo para todas las migraciones.

  2. Importe los datos de configuración en Azure Information Protection. Hay diferentes procesos para este paso, en función de la configuración de implementación de AD RMS actual y de la topología preferida para la clave de inquilino de Azure RMS.

Exportación de los datos de configuración desde AD RMS

Realice el procedimiento siguiente en todos los clústeres de AD RMS para todos los dominios de publicación de confianza que tengan contenido protegido para su organización. No es necesario ejecutar este procedimiento en clústeres de solo concesión de licencias.

Para exportar los datos de configuración (información de dominio de publicación de confianza)

  1. Inicie sesión en el clúster de AD RMS como usuario con permisos de administración de AD RMS.

  2. En la consola de administración de AD RMS (Active Directory Rights Management Services), expanda el nombre del clúster de AD RMS, expanda Directivas de confianza y, a continuación, haga clic en Dominios de publicación de confianza.

  3. En el panel de resultados, seleccione el dominio de publicación de confianza y, a continuación, en el panel Acciones, haga clic en Exportar dominio de publicación de confianza.

  4. En el cuadro de diálogo Exportar dominio de publicación de confianza:

    • Haga clic en Guardar como y guarde en la ruta de acceso y un nombre de archivo de su elección. Asegúrese de especificar .xml como la extensión de nombre de archivo (no se anexa automáticamente).

    • Especifique y confirme una contraseña segura. Recuerde esta contraseña, ya que la necesitará más adelante al importar los datos de configuración a Azure Information Protection.

    • No active la casilla para guardar el archivo de dominio de confianza en RMS versión 1.0.

Cuando haya exportado todos los dominios de publicación de confianza, estará listo para iniciar el procedimiento para importar estos datos a Azure Information Protection.

Tenga en cuenta que los dominios de publicación de confianza incluyen las claves del certificado de licencia de servidor (SLC) para descifrar los archivos protegidos anteriormente, por lo que es importante exportar (e importar posteriormente en Azure) todos los dominios de publicación de confianza y no solo el que está activo actualmente.

Por ejemplo, tendrá varios dominios de publicación de confianza si actualizó los servidores de AD RMS del modo criptográfico 1 al modo criptográfico 2. Si no exporta e importa el dominio de publicación de confianza que contiene la clave archivada que usó el modo criptográfico 1, al final de la migración, los usuarios no podrán abrir contenido protegido con la clave de modo criptográfico 1.

Importación de los datos de configuración a Azure Information Protection

Los procedimientos exactos de este paso dependen de la configuración de implementación actual de AD RMS y de la topología preferida para la clave de inquilino de Azure Information Protection.

La implementación actual de AD RMS usa una de las siguientes configuraciones para la clave de certificado de licenciante de servidor (SLC):

  • Protección con contraseña en la base de datos de AD RMS. Esta es la configuración predeterminada.

  • Protección de HSM mediante un módulo de seguridad de hardware (HSM) nCipher.

  • Protección de HSM mediante un módulo de seguridad de hardware (HSM) de un proveedor distinto de nCipher.

  • Contraseña protegida mediante un proveedor criptográfico externo.

Nota:

Para más información acerca del uso de módulos de seguridad de hardware con AD RMS, consulte Uso de AD RMS con módulos de seguridad de hardware.

Las dos opciones de topología de clave de inquilino de Azure Information Protection son: Microsoft administra la clave de inquilino (administrada por Microsoft) o el usuario administra su clave de inquilino (administrada por el cliente) en Azure Key Vault. El proceso de administrar su propia clave de inquilino de Azure Information Protection a veces se conoce como BYOK o "Bring Your Own Key". Para más información, consulte el artículo Planeamiento e implementación de su clave de inquilino de Azure Information Protection.

Use la tabla siguiente para identificar qué procedimiento usar para la migración.

Implementación actual de AD RMS Topología de clave de inquilino de Azure Information Protection elegida Instrucciones de migración
Protección con contraseña en la base de datos de AD RMS Administrado por Microsoft Consulte el procedimiento de Migración entre claves protegidas por software después de esta tabla.

Esta es la ruta de migración más sencilla y solo requiere que transfiera los datos de configuración a Azure Information Protection.
Protección de HSM mediante un módulo de seguridad de hardware (HSM) nCipher nShield. Administrado por el cliente (BYOK) Consulte el procedimiento de Migración entre claves protegidas por HSM después de esta tabla.

Esto requiere el conjunto de herramientas BYOK de Azure Key Vault y tres conjuntos de pasos para transferir primero la clave de su HSM local a los HSM de Azure Key Vault y, a continuación, autorizar al servicio Azure Rights Management desde Azure Information Protection para usar la clave de inquilino y, por último, transferir los datos de configuración a Azure Information Protection.
Protección con contraseña en la base de datos de AD RMS Administrado por el cliente (BYOK) Consulte el procedimiento de Migración de claves protegidas por software a claves protegidas por HSM después de esta tabla.

Esto requiere el conjunto de herramientas BYOK de Azure Key Vault y cuatro conjuntos de pasos para extraer primero la clave de software e importarla a un HSM local y, a continuación, transferir la clave de su HSM local a los HSM de Azure Information Protection, luego transferir los datos de Key Vault a Azure Information Protection y, por último, transferir los datos de configuración a Azure Information Protection.
Protección de HSM mediante un módulo de seguridad de hardware (HSM) de un proveedor distinto de nCipher Administrado por el cliente (BYOK) Póngase en contacto con el proveedor de HSM para obtener instrucciones sobre cómo transferir la clave de este HSM a un módulo de seguridad de hardware (HSM) nCipher nShield. A continuación, siga las instrucciones del procedimiento de Migración entre claves protegidas por HSM después de esta tabla.
Contraseña protegida mediante un proveedor criptográfico externo Administrado por el cliente (BYOK) Póngase en contacto con el proveedor de servicios criptográficos para obtener instrucciones sobre cómo transferir la clave a un módulo de seguridad de hardware (HSM) nCipher nShield. A continuación, siga las instrucciones del procedimiento de Migración entre claves protegidas por HSM después de esta tabla.

Si tiene una clave protegida con HSM que no se puede exportar, todavía puede migrar a Azure Information Protection configurando el clúster de AD RMS para un modo de solo lectura. En este modo, el contenido protegido previamente todavía se puede abrir, pero el contenido recién protegido usa una nueva clave de inquilino administrada por el usuario (BYOK) o administrada por Microsoft. Para más información, consulte Hay disponible una actualización para que Office admita migraciones de AD RMS a Azure RMS.

Antes de iniciar estos procedimientos clave de migración, asegúrese de que puede acceder a los archivos .xml que creó anteriormente al exportar los dominios de publicación de confianza. Por ejemplo, se pueden guardar en una unidad USB que se mueve del servidor de AD RMS a la estación de trabajo conectada a internet.

Nota:

Sea como sea que almacene estos archivos, use los procedimientos recomendados de seguridad para protegerlos porque estos datos incluyen la clave privada.

Para completar el paso 4, elija y seleccione las instrucciones de su ruta de migración:

Paso 5: Activación del servicio Azure Rights Management

Abra una sesión de PowerShell y ejecute los comandos siguientes:

  1. Conéctese al servicio Azure Rights Management y, cuando se le solicite, especifique las credenciales de administrador global:

    Connect-AipService
    
  2. Active el servicio Azure Rights Management:

    Enable-AipService
    

¿Qué ocurre si el inquilino de Azure Information Protection ya está activado? Si el servicio Azure Rights Management ya está activado para su organización y ha creado plantillas personalizadas que desea usar después de la migración, debe exportar e importar estas plantillas. Este procedimiento se describe en el paso siguiente.

Paso 6: Configuración de la plantillas importadas

Dado que las plantillas que importó tienen un estado predeterminado de Archivado, debe cambiar este estado a Publicado si desea que los usuarios puedan usar estas plantillas con el servicio Azure Rights Management.

Las plantillas que importe desde AD RMS tienen un aspecto similar a, y se comportan igual que, las plantillas personalizadas que puede crear en Azure Portal. Para cambiar las plantillas importadas que se van a publicar para que los usuarios puedan verlas y seleccionarlas en aplicaciones, consulte Configuración y administración de plantillas para Azure Information Protection.

Además de publicar las plantillas recién importadas, hay solo dos cambios importantes para las plantillas que es posible que tenga que realizar antes de continuar con la migración. Para obtener una experiencia más coherente para los usuarios durante el proceso de migración, no realice cambios adicionales en las plantillas importadas y no publique las dos plantillas predeterminadas que vienen con Azure Information Protection ni cree nuevas plantillas en este momento. Alternativamente, espere a que se complete el proceso de migración y haya desaprovisionado los servidores de AD RMS.

Estos son los cambios de plantilla que es posible que deba realizar para este paso:

  • Si creó plantillas personalizadas de Azure Information Protection antes de la migración, debe exportarlas e importarlas manualmente.

  • Si las plantillas de AD RMS usaban el grupo ANYONE, es posible que tenga que agregar manualmente usuarios o grupos.

    En AD RMS, el grupo ANYONE concedió derechos a todos los usuarios autenticados por su Active Directory local, y este grupo no es compatible con Azure Information Protection. El equivalente más cercano es un grupo que se crea automáticamente para todos los usuarios del inquilino de Microsoft Entra. Si usaba el grupo ANYONE para las plantillas de AD RMS, es posible que tenga que agregar usuarios y los derechos que desea conceder.

Procedimiento si ha creado plantillas personalizadas antes de la migración

Si creó plantillas personalizadas antes de la migración, ya sea antes o después de activar el servicio Azure Rights Management, las plantillas no estarán disponibles para los usuarios después de la migración, incluso si se establecieron en Publicado. Para que estén disponibles para los usuarios, primero debe hacer lo siguiente:

  1. Identifique estas plantillas y anote su identificador de plantilla mediante la ejecución de Get-AipServiceTemplate.

  2. Exporte las plantillas mediante el cmdlet de PowerShell de Azure RMS, Export-AipServiceTemplate.

  3. Importe las plantillas mediante el cmdlet de PowerShell de Azure RMS, Import-AipServiceTemplate.

Después, puede publicar o archivar estas plantillas como haría con cualquier otra plantilla que cree después de la migración.

Procedimiento si las plantillas de AD RMS usaron el grupo ANYONE

Si las plantillas de AD RMS usan el grupo ANYONE, el grupo equivalente más cercano de Azure Information Protection se denomina AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@<nombre_inquilino>.onmicrosoft.com. Por ejemplo, este grupo podría ser similar al siguiente para Contoso: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com. Este grupo contiene todos los usuarios del inquilino de Microsoft Entra.

Al administrar plantillas y etiquetas en Azure Portal, este grupo se muestra como el nombre de dominio del inquilino en Microsoft Entra ID. Por ejemplo, este grupo podría tener un aspecto similar al siguiente para Contoso: contoso.onmicrosoft.com. Para agregar este grupo, la opción muestra Agregar <nombre de organización>: Todos los miembros.

Si no está seguro de si las plantillas de AD RMS incluyen el grupo ANYONE, puede usar el siguiente script de Windows PowerShell de ejemplo para identificar estas plantillas. Para más información acerca de cómo usar Windows PowerShell con AD RMS, consulte Uso de Windows PowerShell para administrar AD RMS.

Puede agregar fácilmente usuarios externos a plantillas al convertir estas plantillas en etiquetas en Azure Portal. A continuación, en el panel Agregar permisos, elija Especificar detalles para especificar manualmente las direcciones de correo electrónico de estos usuarios.

Para más información acerca de esta configuración, consulte Configuración de una etiqueta para la protección de Rights Management.

Script de Windows PowerShell de ejemplo para identificar plantillas de AD RMS que incluyen el grupo ANYONE

Esta sección contiene el script de ejemplo para ayudarle a identificar las plantillas de AD RMS que tengan definido el grupo ANYONE, tal como se describe en la sección anterior.

Aviso de declinación de responsabilidades: este script de ejemplo no es compatible con ningún servicio o programa de soporte técnico estándar de Microsoft. Este script de ejemplo se proporciona TAL CUAL sin garantía de ningún tipo.

import-module adrmsadmin

New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost -Force

$ListofTemplates=dir MyRmsAdmin:\RightsPolicyTemplate

foreach($Template in $ListofTemplates)
{
                $templateID=$Template.id

                $rights = dir MyRmsAdmin:\RightsPolicyTemplate\$Templateid\userright

     $templateName=$Template.DefaultDisplayName

        if ($rights.usergroupname -eq "anyone")

                         {
                           $templateName = $Template.defaultdisplayname

                           write-host "Template " -NoNewline

                           write-host -NoNewline $templateName -ForegroundColor Red

                           write-host " contains rights for " -NoNewline

                           write-host ANYONE  -ForegroundColor Red
                         }
 }
Remove-PSDrive MyRmsAdmin -force

Pasos siguientes

Vaya a Fase 3: Configuración del cliente.