Delen via


Migratiefase 5 - taken na migratie

Gebruik de volgende informatie voor fase 5 van de migratie van AD RMS naar Azure Information Protection. Deze procedures hebben betrekking op stap 10 tot en met 12 van migreren van AD RMS naar Azure Information Protection.

Stap 10: De inrichting van AD RMS ongedaan maken

Verwijder het SCP (Service Verbinding maken ion Point) uit Active Directory om te voorkomen dat computers uw on-premises Rights Management-infrastructuur detecteren. Dit is optioneel voor de bestaande clients die u hebt gemigreerd vanwege de omleiding die u in het register hebt geconfigureerd (bijvoorbeeld door het migratiescript uit te voeren). Het verwijderen van het SCP voorkomt echter dat nieuwe clients en mogelijk RMS-gerelateerde services en hulpprogramma's het SCP vinden wanneer de migratie is voltooid. Op dit moment moeten alle computerverbindingen naar de Azure Rights Management-service gaan.

Als u het SCP wilt verwijderen, moet u ervoor zorgen dat u bent aangemeld als domeinbeheerder en gebruikt u vervolgens de volgende procedure:

  1. Klik in de Active Directory Rights Management Services-console met de rechtermuisknop op het AD RMS-cluster en klik vervolgens op Eigenschappen.

  2. Klik op het tabblad SCP .

  3. Schakel het selectievakje SCP wijzigen in.

  4. Selecteer Huidige SCP verwijderen en klik vervolgens op OK.

Bewaak nu uw AD RMS-servers voor activiteit. Controleer bijvoorbeeld de aanvragen in het rapport Systeemstatus, de tabel ServiceRequest of controleer de gebruikerstoegang tot beveiligde inhoud.

Wanneer u hebt bevestigd dat RMS-clients niet meer communiceren met deze servers en dat clients azure Information Protection gebruiken, kunt u de AD RMS-serverfunctie van deze servers verwijderen. Als u toegewezen servers gebruikt, kunt u de voorkeur geven aan de voorzichtige stap om de servers gedurende een bepaalde periode af te sluiten. Dit geeft u de tijd om ervoor te zorgen dat er geen gemelde problemen zijn waardoor u deze servers mogelijk opnieuw moet opstarten voor servicecontinuïteit terwijl u onderzoekt waarom clients azure Information Protection niet gebruiken.

Nadat u de inrichting van uw AD RMS-servers ongedaan hebt gemaakt, kunt u de mogelijkheid gebruiken om uw sjabloon en labels te controleren. Converteer sjablonen bijvoorbeeld naar labels, consolideert ze zodat gebruikers er minder uit kunnen kiezen of configureer ze opnieuw. Dit is ook een goed moment om standaardsjablonen te publiceren.

Gebruik de Microsoft Purview-nalevingsportal voor vertrouwelijkheidslabels en de geïntegreerde labelclient. Zie de Microsoft 365-documentatie voor meer informatie.

Belangrijk

Aan het einde van deze migratie kan uw AD RMS-cluster niet worden gebruikt met Azure Information Protection en de HYOK-optie (Hold Your Own Key).

Aanvullende configuratie voor computers met Office 2010

Belangrijk

De uitgebreide ondersteuning voor Office 2010 is beëindigd op 13 oktober 2020. Zie AIP en oudere Versies van Windows en Office voor meer informatie.

Als gemigreerde clients Office 2010 uitvoeren, kunnen gebruikers vertraging ondervinden bij het openen van beveiligde inhoud nadat de INRICHTING van onze AD RMS-servers ongedaan is gemaakt. Of gebruikers zien mogelijk berichten dat ze geen referenties hebben om beveiligde inhoud te openen. Als u deze problemen wilt oplossen, maakt u een netwerkomleiding voor deze computers, waarmee de AD RMS URL-FQDN wordt omgeleid naar het lokale IP-adres van de computer (127.0.0.1). U kunt dit doen door het lokale hosts-bestand op elke computer te configureren of door DNS te gebruiken.

  • Omleiding via lokaal hosts-bestand: voeg de volgende regel toe aan het lokale hosts-bestand, waarbij u de waarde voor uw AD RMS-cluster vervangt <AD RMS URL FQDN> , zonder voorvoegsels of webpagina's:

    127.0.0.1 <AD RMS URL FQDN>
    
  • Omleiding via DNS: maak een nieuwe hostrecord (A) voor uw AD RMS URL-FQDN met het IP-adres 127.0.0.1.

Stap 11: clientmigratietaken voltooien

Voor clients met mobiele apparaten en Mac-computers: verwijder de DNS SRV-records die u hebt gemaakt bij het implementeren van de extensie voor mobiele AD RMS-apparaten.

Wanneer deze DNS-wijzigingen zijn doorgegeven, detecteren en gebruiken deze clients automatisch de Azure Rights Management-service. Mac-computers waarop Office Mac wordt uitgevoerd, worden echter in de cache opgeslagen in de cache van AD RMS. Voor deze computers kan dit proces tot 30 dagen duren.

Als u wilt afdwingen dat Mac-computers het detectieproces onmiddellijk uitvoeren, zoekt u in de sleutelhanger naar 'adal' en verwijdert u alle ADAL-vermeldingen. Voer vervolgens de volgende opdrachten uit op deze computers:


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

Wanneer al uw bestaande Windows-computers zijn gemigreerd naar Azure Information Protection, is er geen reden om onboarding-besturingselementen te blijven gebruiken en de AIPMigrated-groep te onderhouden die u hebt gemaakt voor het migratieproces.

Verwijder eerst de besturingselementen voor onboarding en vervolgens kunt u de AIPMigrated-groep en elke software-implementatiemethode verwijderen die u hebt gemaakt om de migratiescripts te implementeren.

De besturingselementen voor onboarding verwijderen:

  1. Maak in een PowerShell-sessie verbinding met de Azure Rights Management-service en geef desgevraagd uw globale beheerdersreferenties op:

    Connect-AipService
    
    
  2. Voer de volgende opdracht uit en voer Y in om te bevestigen:

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
    

    Houd er rekening mee dat met deze opdracht alle licenties worden afgedwongen voor de Azure Rights Management-beveiligingsservice, zodat alle computers documenten en e-mailberichten kunnen beveiligen.

  3. Controleer of onboarding-besturingselementen niet meer zijn ingesteld:

    Get-AipServiceOnboardingControlPolicy
    

    In de uitvoer moet De licentie False weergeven en er wordt geen GUID weergegeven voor de SecurityGroupOjbectId

Als u Office 2010 gebruikt en u de ad RMS Rights Policy Template Management -taak (geautomatiseerd) hebt ingeschakeld in de Windows Task Scheduler-bibliotheek, schakelt u deze taak uit omdat deze niet wordt gebruikt door de Azure Information Protection-client.

Deze taak wordt doorgaans ingeschakeld met behulp van groepsbeleid en ondersteunt een AD RMS-implementatie. U vindt deze taak op de volgende locatie: Microsoft>Windows>Active Directory Rights Management Services-client.

Belangrijk

De uitgebreide ondersteuning voor Office 2010 is beëindigd op 13 oktober 2020. Zie AIP en oudere Versies van Windows en Office voor meer informatie.

Stap 12: Uw Azure Information Protection-tenantsleutel opnieuw versleutelen

Deze stap is vereist wanneer de migratie is voltooid als uw AD RMS-implementatie rms cryptografische modus 1 gebruikt, omdat deze modus gebruikmaakt van een 1024-bits sleutel en SHA-1. Deze configuratie wordt beschouwd als onvoldoende beschermingsniveau. Microsoft onderschrijft niet het gebruik van lagere sleutellengten, zoals 1024-bits RSA-sleutels en het bijbehorende gebruik van protocollen die onvoldoende beschermingsniveaus bieden, zoals SHA-1.

Opnieuw versleutelen resulteert in beveiliging die gebruikmaakt van RMS Cryptographic Mode 2, wat resulteert in een 2048-bits sleutel en SHA-256.

Zelfs als uw AD RMS-implementatie cryptografische modus 2 gebruikte, raden we u nog steeds aan deze stap uit te voeren, omdat een nieuwe sleutel helpt uw tenant te beschermen tegen mogelijke beveiligingsschendingen voor uw AD RMS-sleutel.

Wanneer u uw Azure Information Protection-tenantsleutel opnieuw versleutelt (ook wel 'rolling your key' genoemd), wordt de huidige actieve sleutel gearchiveerd en begint Azure Information Protection een andere sleutel te gebruiken die u opgeeft. Deze andere sleutel kan een nieuwe sleutel zijn die u maakt in Azure Key Vault of de standaardsleutel die automatisch is gemaakt voor uw tenant.

Overstappen van de ene sleutel naar de andere gebeurt niet onmiddellijk, maar over een paar weken. Omdat het niet onmiddellijk is, wacht u pas totdat u een inbreuk op de oorspronkelijke sleutel vermoedt, maar voer deze stap uit zodra de migratie is voltooid.

Uw Azure Information Protection-tenantsleutel opnieuw versleutelen:

  • Als uw tenantsleutel wordt beheerd door Microsoft: voer de PowerShell-cmdlet Set-AipServiceKeyProperties uit en geef de sleutel-id op voor de sleutel die automatisch is gemaakt voor uw tenant. U kunt de waarde identificeren die u wilt opgeven door de cmdlet Get-AipServiceKeys uit te voeren. De sleutel die automatisch is gemaakt voor uw tenant heeft de oudste aanmaakdatum, zodat u deze kunt identificeren met behulp van de volgende opdracht:

    (Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
    
  • Als uw tenantsleutel wordt beheerd door u (BYOK): herhaal in Azure Key Vault het proces voor het maken van de sleutel voor uw Azure Information Protection-tenant en voer vervolgens de cmdlet Use-AipServiceKeyVaultKey opnieuw uit om de URI voor deze nieuwe sleutel op te geven.

Zie Bewerkingen voor uw Azure Information Protection-tenantsleutel voor uw Azure Information Protection-tenantsleutel voor meer informatie over het beheren van uw Azure Information Protection-tenantsleutel.

Volgende stappen

Nu u de migratie hebt voltooid, bekijkt u het AIP-implementatieschema voor classificatie, labeling en beveiliging om andere implementatietaken te identificeren die u mogelijk moet uitvoeren.