Compartir a través de


Migración desde AD RMS a Azure Information Protection

Use el siguiente conjunto de instrucciones para migrar la implementación de Active Directory Rights Management Services (AD RMS) a Azure Information Protection.

Después de la migración, los servidores de AD RMS ya no están en uso, pero los usuarios todavía tienen acceso a documentos y mensajes de correo electrónico protegidos por su organización mediante AD RMS. El contenido recién protegido usará el servicio Azure Rights Management (Azure RMS) de Azure Information Protection.

Aunque no es necesario, es posible que le resulte útil leer la siguiente documentación antes de iniciar la migración. Este conocimiento le proporciona una mejor comprensión de cómo funciona la tecnología cuando es relevante para el paso de migración.

  • Planeación e implementación de la clave de inquilino de Azure Information Protection: comprenda las opciones de administración de claves que tiene para el inquilino de Azure Information Protection, donde Microsoft administra la clave SLC equivalente en la nube (la opción predeterminada) o el usuario la administra (la configuración BYOK o "Bring Your Own Key").

  • Detección de servicios RMS: en esta sección de las notas de implementación del cliente RMS se explica que el orden de detección de servicios es el registro, a continuación, el punto de conexión de servicio (SCP) y, a continuación, la nube. Durante el proceso de migración, cuando el SCP todavía está instalado, se configuran los clientes con la configuración del Registro para el inquilino de Azure Information Protection, para que no usen el clúster de AD RMS devuelto desde SCP.

  • Introducción al conector Microsoft Rights Management: en esta sección de la documentación del conector RMS se explica cómo los servidores locales pueden conectarse al servicio Azure Rights Management para proteger documentos y correos electrónicos.

Además, si no está familiarizado con el funcionamiento de AD RMS, es posible que le resulte útil leer ¿Cómo funciona Azure RMS en segundo plano? para ayudarle a identificar qué procesos tecnológicos son los mismos o diferentes para la versión en la nube.

Requisitos previos para migrar AD RMS a Azure Information Protection

Antes de iniciar la migración a Azure Information Protection, asegúrese de que se cumplen los siguientes requisitos previos y que comprende las limitaciones.

  • Una implementación de RMS compatible:

    • Las siguientes versiones de AD RMS admiten una migración a Azure Information Protection:

      • Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)

    • Se admiten todas las topologías de AD RMS válidas:

      • Bosque único, clúster de RMS único

      • Bosque único, varios clústeres de RMS de solo licencia

      • Varios bosques, varios clústeres de RMS

      Nota:

      De forma predeterminada, varios clústeres de AD RMS se migran a un único inquilino para Azure Information Protection. Si quiere inquilinos independientes para Azure Information Protection, debe tratarlos como migraciones diferentes. No se puede importar una clave de un clúster de RMS a más de un inquilino.

  • Todos los requisitos para ejecutar Azure Information Protection, incluida una suscripción a Azure Information Protection (el servicio Azure Rights Management no está activado):

    Consulte Requisitos para Azure Information Protection.

    El cliente de Azure Information Protection es necesario para la clasificación y el etiquetado, y opcional, pero recomendado si solo desea proteger los datos.

    Para más información, consulte las guías del administrador para el cliente de etiquetado unificado de Azure Information Protection.

    Aunque debe tener una suscripción para Azure Information Protection antes de poder migrar desde AD RMS, se recomienda que el servicio Rights Management para el inquilino no esté activado antes de iniciar la migración.

    El proceso de migración incluye este paso de activación después de haber exportado claves y plantillas de AD RMS e importarlas al inquilino para Azure Information Protection. Sin embargo, si el servicio Rights Management ya está activado, todavía puede migrar desde AD RMS con algunos pasos adicionales.

    Solo Office 2010:

    Si tiene equipos que ejecutan Office 2010, debe instalar el cliente de Azure Information Protection para proporcionar la capacidad de autenticar a los usuarios en los servicios en la nube.

    Importante

    El soporte extendido de Office 2010 finalizó el 13 de octubre de 2020. Para más información, consulte AIP y versiones heredadas de Windows y Office.

  • Preparación para Azure Information Protection:

  • Si ha usado la funcionalidad Information Rights Management (IRM) de Exchange Server (por ejemplo, reglas de transporte y Outlook Web Access) o SharePoint Server con AD RMS:

    • Planee un breve período de tiempo en el que IRM no estará disponible en estos servidores.

      Puede seguir usando IRM en estos servidores después de la migración. Sin embargo, uno de los pasos de migración es deshabilitar temporalmente el servicio IRM, instalar y configurar un conector, volver a configurar los servidores y, a continuación, volver a habilitar IRM.

      Esta es la única interrupción del servicio durante el proceso de migración.

  • Si desea administrar su propia clave de inquilino de Azure Information Protection mediante una clave protegida por HSM:

    • Esta configuración opcional requiere Azure Key Vault y una suscripción de Azure que admita Key Vault con claves protegidas con HSM. Para más información, consulte la página de precios de Azure Key Vault.

Consideraciones sobre el modo criptográfico

Si el clúster de AD RMS está actualmente en modo criptográfico 1, no actualice el clúster al modo criptográfico 2 antes de iniciar la migración. Alternativamente, migre mediante el modo criptográfico 1 y puede volver a asignar claves a la clave de inquilino al final de la migración, como una de las tareas posteriores a la migración.

Para confirmar el modo criptográfico de AD RMS para Windows Server 2012 R2 y Windows 2012: propiedades del clúster de AD RMS> pestaña General.

Limitaciones de la migración

  • Si tiene software y clientes que no son compatibles con el servicio Rights Management que usa Azure Information Protection, no podrán proteger ni consumir contenido protegido por Azure Rights Management. Asegúrese de comprobar las secciones de clientes y aplicaciones admitidas en Requisitos de Azure Information Protection.

  • Si la implementación de AD RMS está configurada para colaborar con asociados externos (por ejemplo, mediante dominios de usuario de confianza o federación), también deben migrar a Azure Information Protection al mismo tiempo que la migración o lo antes posible. Para seguir accediendo al contenido protegido previamente por su organización mediante Azure Information Protection, deben realizar cambios de configuración de cliente similares a los que realice e incluirlos en este documento.

    Debido a las posibles variaciones de configuración que pueden tener los asociados, las instrucciones exactas para esta reconfiguración están fuera del ámbito de este documento. Sin embargo, consulte la sección siguiente para obtener instrucciones de planeación y, para obtener ayuda adicional, póngase en contacto con el Soporte técnico de Microsoft.

Planeamiento de la migración si colabora con asociados externos

Incluya los asociados de AD RMS en la fase de planeación para la migración, ya que también deben migrar a Azure Information Protection. Antes de realizar cualquiera de los pasos de migración siguientes, asegúrese de que se ha implementado lo siguiente:

  • Tienen un inquilino de Microsoft Entra que admite el servicio Azure Rights Management.

    Por ejemplo, tienen una suscripción de Office 365 E3 o E5, una suscripción de Enterprise Mobility + Security o una suscripción independiente para Azure Information Protection.

  • Su servicio Azure Rights Management aún no está activado, pero conocen su dirección URL del servicio Azure Rights Management.

    Pueden obtener esta información mediante la instalación de azure Rights Management Tool, conectándose al servicio (Connect-AipService) y, a continuación, visualizando la información del inquilino para el servicio Azure Rights Management (Get-AipServiceConfiguration).

  • Proporcionan las direcciones URL de su clúster de AD RMS y su dirección URL del servicio Azure Rights Management para que pueda configurar los clientes migrados para redirigir las solicitudes de contenido protegido de AD RMS al servicio Azure Rights Management de su inquilino. Las instrucciones para configurar el redireccionamiento de cliente se encuentran en el paso 7.

  • Importan sus claves raíz del clúster de AD RMS (SLC) en su inquilino antes de empezar a migrar los usuarios. Del mismo modo, debe importar las claves raíz del clúster de AD RMS antes de empezar a migrar sus usuarios. Las instrucciones para importar la clave se tratan en este proceso de migración, Paso 4. Exportación de datos de configuración desde AD RMS y su importación a Azure Information Protection.

Información general sobre los pasos para migrar AD RMS a Azure Information Protection

Los pasos de migración se pueden dividir en cinco fases que se pueden realizar en momentos diferentes y por parte de distintos administradores.

Fase 1: Preparación de la migración

Para más información, consulte FASE 1: PREPARACIÓN DE LA MIGRACIÓN.

Paso 1: Instalación del módulo de PowerShell AIPService e identificación de la dirección URL del inquilino

El proceso de migración requiere que ejecute uno o varios de los cmdlets de PowerShell desde el módulo AIPService. Deberá conocer la dirección URL del servicio Azure Rights Management del inquilino para completar muchos de los pasos de migración y puede identificar este valor mediante PowerShell.

Paso 2. Preparación para la migración del cliente

Si no puede migrar todos los clientes a la vez y va a migrarlos en lotes, use controles de incorporación e implemente un script previo a la migración. Sin embargo, si va a migrarlo todo al mismo tiempo en lugar de realizar una migración por fases, puede omitir este paso.

Paso 3: Preparación de la implementación de Exchange para la migración

Este paso es necesario si actualmente usa la característica IRM de Exchange Online o Exchange local para proteger los correos electrónicos. Sin embargo, si va a migrarlo todo al mismo tiempo en lugar de realizar una migración por fases, puede omitir este paso.

Fase 2: Configuración del servidor para AD RMS

Para más información, consulte FASE 2: CONFIGURACIÓN DEL SERVIDOR PARA AD RMS.

Paso 4. Exportación de datos de configuración desde AD RMS y su importación a Azure Information Protection

Exporta los datos de configuración (claves, plantillas, direcciones URL) de AD RMS a un archivo XML y, a continuación, carga ese archivo en el servicio Azure Rights Management desde Azure Information Protection mediante el cmdlet import-AipServiceTpd de PowerShell. A continuación, identifique la clave de certificado de licencia de servidor (SLC) importada que se va a usar como clave de inquilino para el servicio Azure Rights Management. Es posible que se necesiten pasos adicionales, en función de la configuración de la clave de AD RMS:

  • Migración entre claves protegidas por software:

    Claves basadas en contraseña administradas de forma centralizada en AD RMS a claves de inquilino de Azure Information Protection administradas por Microsoft. Esta es la ruta de migración más sencilla y no se requieren pasos adicionales.

  • Migración entre claves protegidas por HSM:

    Claves almacenadas por un HSM para AD RMS en la clave de inquilino de Azure Information Protection administrada por el cliente (el escenario BYOK o "Bring Your Own Key"). Esto requiere pasos adicionales para transferir la clave de HSM nCipher local a Azure Key Vault y autorizar al servicio Azure Rights Management a usar esta clave. La clave protegida por HSM existente debe estar protegida por módulos; los servicios de Rights Management no admiten las claves protegidas con OCS.

  • Migración de claves protegidas por software a claves protegidas por HSM:

    Claves basadas en contraseña administradas de forma centralizada en AD RMS a claves de inquilino de Azure Information Protection administradas por el cliente (el escenario "Bring Your Own Key" o BYOK). Esto requiere el máximo de configuración porque primero debe extraer la clave de software e importarla a un HSM local y, a continuación, realizar los pasos adicionales para transferir la clave de HSM nCipher local a un HSM de Azure Key Vault y autorizar al servicio Azure Rights Management a usar el almacén de claves que almacena la clave.

Paso 5. Activar el servicio Azure Rights Management

Si es posible, realice este paso después del proceso de importación y no antes. Se requieren pasos adicionales si el servicio se activó antes de la importación.

Paso 6. Configuración de la plantillas importadas

Al importar las plantillas de directiva de derechos, su estado es archivado. Si desea que los usuarios puedan verlos y usarlos, debe cambiar el estado de la plantilla para que se publique en el portal de Azure clásico.

Fase 3: Configuración del cliente

Para más información, consulte FASE 3: CONFIGURACIÓN DEL CLIENTE.

Paso 7: Reconfiguración de equipos Windows para usar Azure Information Protection

Los equipos Windows existentes deben volver a configurarse para usar el servicio Azure Rights Management en lugar de AD RMS. Este paso se aplica a los equipos de su organización y a los equipos de las organizaciones asociadas si ha colaborado con ellos mientras ejecutaba AD RMS.

Fase 4: Configuración de servicios de soporte técnico

Para más información, consulte FASE 4: COMPATIBILIDAD CON LA CONFIGURACIÓN DE SERVICIOS.

Paso 8: Configuración de la integración de IRM para Exchange Online

Este paso completa la migración de AD RMS para Exchange Online para que ahora use el servicio Azure Rights Management.

Paso 9: Configuración de la integración de IRM para Exchange Server y SharePoint Server

Este paso completa la migración de AD RMS para Exchange o SharePoint local para usar ahora el servicio Azure Rights Management, que requiere la implementación del conector Rights Management.

Fase 5: Tareas posteriores a la migración

Para más información, consulte FASE 5: TAREAS POSTERIORES A LA MIGRACIÓN.

Paso 10: Desaprovisionamiento de AD RMS

Cuando haya confirmado que todos los equipos Windows usan el servicio Azure Rights Management y ya no tienen acceso a los servidores de AD RMS, puede desaprovisionar la implementación de AD RMS.

Paso 11: Finalización de las tareas de migración de cliente

Si ha implementado la extensión de dispositivo móvil para admitir dispositivos móviles como teléfonos iOS y iPads, teléfonos y tabletas Android, teléfonos y tabletas Windows, y equipos Mac, debe quitar los registros SRV en DNS que redirigieron a estos clientes para usar AD RMS.

Los controles de incorporación que configuró durante la fase de preparación ya no son necesarios. Sin embargo, si no ha usado controles de incorporación porque eligió migrar todo al mismo tiempo en lugar de realizar una migración por fases, puede omitir las instrucciones para quitar los controles de incorporación.

Si los equipos Windows ejecutan Office 2010, compruebe si necesita deshabilitar la tarea AD RMS Rights Policy Management (Automated).

Importante

El soporte extendido de Office 2010 finalizó el 13 de octubre de 2020. Para más información, consulte AIP y versiones heredadas de Windows y Office.

Paso 12: Volver a especificar la clave de inquilino de Azure Information Protection

Este paso se recomienda si no se estaba ejecutando en modo criptográfico 2 antes de la migración.

Pasos siguientes

Para iniciar la migración, vaya a Fase 1: Preparación.