Migrowanie z usługi AD RMS do usługi Azure Information Protection
Skorzystaj z poniższego zestawu instrukcji, aby przeprowadzić migrację wdrożenia Usługi Active Directory Rights Management (AD RMS) do usługi Azure Information Protection.
Po migracji serwery usług AD RMS nie są już używane, ale użytkownicy nadal mają dostęp do dokumentów i wiadomości e-mail chronionych przez organizację przy użyciu usług AD RMS. Nowo chroniona zawartość będzie używać usługi Azure Rights Management (Azure RMS) z usługi Azure Information Protection.
Zalecane czytanie przed migracją do usługi Azure Information Protection
Mimo że nie jest to wymagane, warto zapoznać się z poniższą dokumentacją przed rozpoczęciem migracji. Ta wiedza zapewnia lepszą wiedzę na temat sposobu działania technologii, gdy jest ona odpowiednia dla kroku migracji.
Planowanie i wdrażanie klucza dzierżawy usługi Azure Information Protection: Zapoznaj się z opcjami zarządzania kluczami dla dzierżawy usługi Azure Information Protection, w której odpowiednikiem klucza SLC w chmurze jest zarządzana przez firmę Microsoft (domyślnie) lub zarządzana przez Ciebie (konfiguracja "bring your own key" lub BYOK).
Odnajdywanie usługi RMS: w tej sekcji informacji o wdrożeniu klienta usługi RMS wyjaśniono, że kolejność odnajdywania usług to rejestr, a następnie punkt połączenia usługi (SCP), a następnie chmura. Podczas procesu migracji, gdy punkt połączenia usługi jest nadal zainstalowany, należy skonfigurować klientów z ustawieniami rejestru dla dzierżawy usługi Azure Information Protection, aby nie używali klastra usług AD RMS zwróconego z punktu połączenia usługi.
Omówienie łącznika usługi Microsoft Rights Management: w tej sekcji z dokumentacji łącznika usługi RMS wyjaśniono, jak serwery lokalne mogą łączyć się z usługą Azure Rights Management w celu ochrony dokumentów i wiadomości e-mail.
Ponadto jeśli nie znasz sposobu działania usług AD RMS, warto zapoznać się z tematem Jak działa usługa Azure RMS? Pod maską , aby ułatwić określenie, które procesy technologiczne są takie same lub różne dla wersji chmury.
Wymagania wstępne dotyczące migrowania usług AD RMS do usługi Azure Information Protection
Przed rozpoczęciem migracji do usługi Azure Information Protection upewnij się, że zostały spełnione następujące wymagania wstępne i że rozumiesz wszelkie ograniczenia.
Obsługiwane wdrożenie usługi RMS:
Następujące wersje usług AD RMS obsługują migrację do usługi Azure Information Protection:
Windows Server 2012 (x64)
Windows Server 2012 R2 (x64)
Windows Server 2016 (x64)
Obsługiwane są wszystkie prawidłowe topologie usług AD RMS:
Pojedynczy las, pojedynczy klaster usługi RMS
Pojedynczy las, wiele klastrów usługi RMS tylko do licencjonowania
Wiele lasów, wiele klastrów usługi RMS
Uwaga
Domyślnie wiele klastrów usług AD RMS jest migrowanych do jednej dzierżawy dla usługi Azure Information Protection. Jeśli chcesz, aby oddzielne dzierżawy usługi Azure Information Protection były traktowane jako różne migracje. Nie można zaimportować klucza z jednego klastra usługi RMS do więcej niż jednej dzierżawy.
Wszystkie wymagania dotyczące uruchamiania usługi Azure Information Protection, w tym subskrypcji usługi Azure Information Protection (usługa Azure Rights Management nie jest aktywowana):
Zobacz Wymagania dotyczące usługi Azure Information Protection.
Klient usługi Azure Information Protection jest wymagany do klasyfikacji i etykietowania oraz opcjonalne, ale zalecane , jeśli chcesz chronić tylko dane.
Aby uzyskać więcej informacji, zobacz przewodniki administratora dotyczące klienta ujednoliconego etykietowania usługi Azure Information Protection.
Mimo że przed rozpoczęciem migracji z usług AD RMS musisz mieć subskrypcję usługi Azure Information Protection, zalecamy, aby usługa Rights Management dla dzierżawy nie została aktywowana przed rozpoczęciem migracji.
Proces migracji obejmuje ten krok aktywacji po wyeksportowaniu kluczy i szablonów z usług AD RMS i zaimportowaniu ich do dzierżawy usługi Azure Information Protection. Jeśli jednak usługa Rights Management jest już aktywowana, nadal można przeprowadzić migrację z usług AD RMS, wykonując kilka dodatkowych kroków.
Tylko pakiet Office 2010:
Jeśli masz komputery z pakietem Office 2010, musisz zainstalować klienta usługi Azure Information Protection, aby umożliwić uwierzytelnianie użytkowników w usługach w chmurze.
Ważne
Wsparcie dodatkowe pakietu Office 2010 zakończyło się 13 października 2020 r. Aby uzyskać więcej informacji, zobacz AIP i starsze wersje systemu Windows i pakietu Office.
Przygotowanie do usługi Azure Information Protection:
Synchronizacja katalogów między katalogami lokalnymi i identyfikatorem Entra firmy Microsoft
Grupy obsługujące pocztę w identyfikatorze Entra firmy Microsoft
Zobacz Przygotowywanie użytkowników i grup dla usługi Azure Information Protection.
Jeśli używasz funkcji zarządzania prawami do informacji (IRM) programu Exchange Server (na przykład reguł transportu i programu Outlook Web Access) lub programu SharePoint Server z usługami AD RMS:
Zaplanuj krótki okres, gdy usługa IRM nie będzie dostępna na tych serwerach
Po migracji można nadal używać usługi IRM na tych serwerach. Jednak jednym z kroków migracji jest tymczasowe wyłączenie usługi IRM, zainstalowanie i skonfigurowanie łącznika, ponowne skonfigurowanie serwerów, a następnie ponowne włączenie usługi IRM.
Jest to jedyna przerwa w działaniu usługi podczas procesu migracji.
Jeśli chcesz zarządzać własnym kluczem dzierżawy usługi Azure Information Protection przy użyciu klucza chronionego przez moduł HSM:
- Ta opcjonalna konfiguracja wymaga usługi Azure Key Vault i subskrypcji platformy Azure, która obsługuje usługę Key Vault z kluczami chronionymi przez moduł HSM. Aby uzyskać więcej informacji, zobacz stronę Cennik usługi Azure Key Vault.
Zagadnienia dotyczące trybu kryptograficznego
Jeśli klaster usług AD RMS jest obecnie w trybie kryptograficznym 1, nie uaktualnij klastra do trybu kryptograficznego 2 przed rozpoczęciem migracji. Zamiast tego należy przeprowadzić migrację przy użyciu trybu kryptograficznego 1 i można ponownie użyć klucza dzierżawy na końcu migracji jako jednego z zadań po migracji.
Aby potwierdzić tryb kryptograficzny usług AD RMS dla systemów Windows Server 2012 R2 i Windows 2012: karta Ogólne właściwości klastra usług >AD RMS.
Ograniczenia migracji
Jeśli masz oprogramowanie i klientów, którzy nie są obsługiwani przez usługę Rights Management używaną przez usługę Azure Information Protection, nie będą mogli chronić ani korzystać z zawartości chronionej przez usługę Azure Rights Management. Zapoznaj się z sekcjami obsługiwanych aplikacji i klientów w temacie Wymagania dotyczące usługi Azure Information Protection.
Jeśli wdrożenie usług AD RMS jest skonfigurowane do współpracy z partnerami zewnętrznymi (na przykład przy użyciu zaufanych domen użytkowników lub federacji), muszą również przeprowadzić migrację do usługi Azure Information Protection w tym samym czasie co migracja lub jak najszybciej później. Aby nadal uzyskiwać dostęp do zawartości chronionej wcześniej przez organizację przy użyciu usługi Azure Information Protection, należy wprowadzić zmiany konfiguracji klienta podobne do tych, które zostały wprowadzone i uwzględnione w tym dokumencie.
Ze względu na możliwe odmiany konfiguracji, które mogą mieć partnerzy, dokładne instrukcje dotyczące tej rekonfiguracji są poza zakresem tego dokumentu. Zapoznaj się jednak z następną sekcją, aby uzyskać wskazówki dotyczące planowania i uzyskać dodatkową pomoc, skontaktuj się z pomoc techniczna firmy Microsoft.
Planowanie migracji w przypadku współpracy z partnerami zewnętrznymi
Uwzględnij partnerów usług AD RMS w fazie planowania migracji, ponieważ muszą również przeprowadzić migrację do usługi Azure Information Protection. Przed wykonaniem dowolnego z poniższych kroków migracji upewnij się, że istnieją następujące elementy:
Mają dzierżawę firmy Microsoft Entra, która obsługuje usługę Azure Rights Management.
Na przykład mają subskrypcję usługi Office 365 E3 lub E5 albo subskrypcję pakietu Enterprise Mobility + Security albo autonomiczną subskrypcję usługi Azure Information Protection.
Usługa Azure Rights Management nie została jeszcze aktywowana, ale zna adres URL usługi Azure Rights Management.
Mogą uzyskać te informacje, instalując narzędzie Azure Rights Management Tool, łącząc się z usługą (Połączenie-AipService), a następnie wyświetlając informacje o dzierżawie usługi Azure Rights Management (Get-AipServiceConfiguration).
Udostępniają one adresy URL dla klastra usług AD RMS i adresu URL usługi Azure Rights Management, dzięki czemu można skonfigurować migrowanych klientów w celu przekierowania żądań dotyczących zawartości chronionej przez usługę AD RMS do usługi Azure Rights Management swojej dzierżawy. Instrukcje dotyczące konfigurowania przekierowania klienta znajdują się w kroku 7.
Przed rozpoczęciem migracji użytkowników importują swoje klucze główne klastra usług AD RMS (SLC) do dzierżawy. Podobnie przed rozpoczęciem migracji użytkowników należy zaimportować klucze główne klastra usług AD RMS. Instrukcje dotyczące importowania klucza zostały omówione w tym procesie migracji, krok 4. Eksportuj dane konfiguracji z usług AD RMS i zaimportuj je do usługi Azure Information Protection.
Omówienie kroków migracji usług AD RMS do usługi Azure Information Protection
Kroki migracji można podzielić na pięć faz, które mogą być wykonywane w różnym czasie i przez różnych administratorów.
Faza 1. Przygotowanie migracji
Aby uzyskać więcej informacji, zobacz FAZA 1: PRZYGOTOWANIE MIGRACJI.
Krok 1. Instalowanie modułu programu PowerShell usługi AIPService i identyfikowanie adresu URL dzierżawy
Proces migracji wymaga uruchomienia co najmniej jednego polecenia cmdlet programu PowerShell z modułu AIPService. Aby wykonać wiele kroków migracji, musisz znać adres URL usługi Azure Rights Management dzierżawy. Tę wartość można określić przy użyciu programu PowerShell.
Krok 2. Przygotowanie do migracji klienta
Jeśli nie możesz migrować wszystkich klientów jednocześnie i przeprowadzisz migrację ich w partiach, użyj kontrolek dołączania i wdróż skrypt przed migracją. Jeśli jednak zmigrujesz wszystkie elementy w tym samym czasie, a nie przeprowadzisz migracji etapowej, możesz pominąć ten krok.
Krok 3. Przygotowanie wdrożenia programu Exchange do migracji
Ten krok jest wymagany, jeśli obecnie używasz funkcji IRM usługi Exchange Online lub lokalnej usługi Exchange do ochrony wiadomości e-mail. Jeśli jednak zmigrujesz wszystkie elementy w tym samym czasie, a nie przeprowadzisz migracji etapowej, możesz pominąć ten krok.
Faza 2. Konfiguracja po stronie serwera dla usług AD RMS
Aby uzyskać więcej informacji, zobacz FAZA 2: KONFIGURACJA PO STRONIE SERWERA DLA USŁUG AD RMS.
Krok 4. Eksportowanie danych konfiguracji z usług AD RMS i importowanie ich do usługi Azure Information Protection
Dane konfiguracji (klucze, szablony, adresy URL) można wyeksportować z usługi AD RMS do pliku XML, a następnie przekazać ten plik do usługi Azure Rights Management z usługi Azure Information Protection przy użyciu polecenia cmdlet Import-AipServiceTpd programu PowerShell. Następnie zidentyfikuj zaimportowany klucz certyfikatu licencjodawcy serwera (SLC) do użycia jako klucz dzierżawy dla usługi Azure Rights Management. W zależności od konfiguracji klucza usług AD RMS mogą być potrzebne dodatkowe kroki:
Migracja klucza chronionego przez oprogramowanie do klucza chronionego przez oprogramowanie:
Centralnie zarządzane klucze oparte na hasłach w usługach AD RMS do zarządzanego przez firmę Microsoft klucza dzierżawy usługi Azure Information Protection. Jest to najprostsza ścieżka migracji i nie są wymagane żadne dodatkowe kroki.
Migracja klucza chronionego przez moduł HSM do klucza chronionego przez moduł HSM:
Klucze przechowywane przez moduł HSM dla usług AD RMS do klucza dzierżawy usługi Azure Information Protection zarządzanego przez klienta (scenariusz "bring your own key" lub BYOK). Wymaga to wykonania dodatkowych kroków w celu przeniesienia klucza z lokalnego modułu HSM nCipher do usługi Azure Key Vault i autoryzowania usługi Azure Rights Management do korzystania z tego klucza. Istniejący klucz chroniony przez moduł HSM musi być chroniony przez moduł; Klucze chronione przez protokół OCS nie są obsługiwane przez usługi Rights Management.
Migracja klucza chronionego przez oprogramowanie do klucza chronionego przez moduł HSM:
Centralnie zarządzane klucze oparte na hasłach w usługach AD RMS do klucza dzierżawy usługi Azure Information Protection zarządzanego przez klienta (scenariusz "bring your own key" lub BYOK). Wymaga to największej konfiguracji, ponieważ należy najpierw wyodrębnić klucz oprogramowania i zaimportować go do lokalnego modułu HSM, a następnie wykonać dodatkowe kroki, aby przenieść klucz z lokalnego modułu HSM nCipher do modułu HSM usługi Azure Key Vault i autoryzować usługę Azure Rights Management do używania magazynu kluczy, który przechowuje klucz.
Krok 5. Aktywowanie usługi Azure Rights Management
Jeśli to możliwe, wykonaj ten krok po procesie importowania, a nie przed nim. Dodatkowe kroki są wymagane, jeśli usługa została aktywowana przed importem.
Krok 6. Konfigurowanie zaimportowanych szablonów
Podczas importowania szablonów zasad praw ich stan jest archiwizowany. Jeśli chcesz, aby użytkownicy mogli je wyświetlać i używać, musisz zmienić stan szablonu, aby został opublikowany w klasycznym portalu Azure.
Faza 3. Konfiguracja po stronie klienta
Aby uzyskać więcej informacji, zobacz FAZA 3: KONFIGURACJA PO STRONIE KLIENTA.
Krok 7. Ponowne konfigurowanie komputerów z systemem Windows w celu korzystania z usługi Azure Information Protection
Istniejące komputery z systemem Windows muszą zostać ponownie skonfigurowane do korzystania z usługi Azure Rights Management zamiast usług AD RMS. Ten krok dotyczy komputerów w organizacji oraz komputerów w organizacjach partnerskich, jeśli współpracowano z nimi podczas korzystania z usług AD RMS.
Faza 4. Konfiguracja usług pomocniczych
Aby uzyskać więcej informacji, zobacz FAZA 4: KONFIGURACJA USŁUG POMOCNICZYCH.
Krok 8. Konfigurowanie integracji usługi IRM dla usługi Exchange Online
Ten krok umożliwia ukończenie migracji usług AD RMS dla usługi Exchange Online do korzystania z usługi Azure Rights Management.
Krok 9. Konfigurowanie integracji usługi IRM dla programu Exchange Server i programu SharePoint Server
W tym kroku wykonasz migrację usług AD RMS dla lokalnego programu Exchange lub SharePoint, aby korzystać z usługi Azure Rights Management, która wymaga wdrożenia łącznika usługi Rights Management.
Faza 5. Zadania po migracji
Aby uzyskać więcej informacji, zobacz FAZA 5: ZADANIA PO MIGRACJI.
Krok 10. Anulowanie aprowizacji usług AD RMS
Po potwierdzeniu, że wszystkie komputery z systemem Windows korzystają z usługi Azure Rights Management i nie uzyskują już dostępu do serwerów usług AD RMS, możesz anulować aprowizowanie wdrożenia usług AD RMS.
Krok 11. Wykonywanie zadań migracji klienta
Jeśli rozszerzenie urządzenia przenośnego zostało wdrożone w celu obsługi urządzeń przenośnych, takich jak telefony z systemem iOS i tablety, telefony z systemem Android i tablety, telefony z systemem Windows i tablety oraz komputery Mac, należy usunąć rekordy SRV w systemie DNS, które przekierowowały tych klientów do korzystania z usług AD RMS.
Kontrolki dołączania skonfigurowane podczas fazy przygotowywania nie są już potrzebne. Jeśli jednak nie użyto kontrolek dołączania, ponieważ wybrano migrację wszystkich elementów w tym samym czasie, zamiast przeprowadzić migrację etapową, możesz pominąć instrukcje usuwania kontrolek dołączania.
Jeśli na komputerach z systemem Windows działa pakiet Office 2010, sprawdź, czy należy wyłączyć zadanie Zarządzanie szablonami zasad praw usługi AD RMS (zautomatyzowane).
Ważne
Wsparcie dodatkowe pakietu Office 2010 zakończyło się 13 października 2020 r. Aby uzyskać więcej informacji, zobacz AIP i starsze wersje systemu Windows i pakietu Office.
Krok 12. Ponowne tworzenie klucza dzierżawy usługi Azure Information Protection
Ten krok jest zalecany, jeśli przed migracją nie uruchomiono trybu kryptograficznego 2.
Następne kroki
Aby rozpocząć migrację, przejdź do fazy 1 — przygotowanie.