第 5 阶段 – 迁移后任务
对于“从 AD RMS 迁移到 Azure 信息保护”的第 5 阶段,使用以下信息。 这些过程涵盖从 AD RMS 迁移到 Azure 信息保护的步骤 10 至步骤 12。
步骤 10:取消设置 AD RMS
从 Active Directory 中删除服务连接点 (SCP),以防止计算机发现本地 Rights Management 基础结构。 对于迁移的现有客户端来说,这是可选的,因为在注册表中配置了重定向(例如,通过运行迁移脚本)。 但是,删除 SCP 会阻止新客户端和潜在的 RMS 相关服务和工具在迁移完成后查找 SCP。 此时,所有计算机连接都应转到 Azure Rights Management Service。
要删除 SCP,确保以域企业管理员身份登录,然后使用以下过程:
在 Active Directory Rights Management Services 控制台中,右键单击 AD RMS 群集,然后单击“属性”。
单击“SCP”选项卡。
选中“更改 SCP”复选框。
选择“删除当前 SCP”,然后单击“确定”。
现在监视 AD RMS 服务器的活动。 例如,检查系统健康状况状况报告中的请求、ServiceRequest 表或审核用户对受保护的内容的访问权限。
确认 RMS 客户端不再与这些服务器通信并且客户端已成功使用 Azure 信息保护后,则可以从这些服务器中删除 AD RMS 服务器角色。 如果你使用的是专用服务器,你可能希望采取警告步骤,即先关闭服务器一段时间。 这使你有时间确保在调查客户端不使用 Azure 信息保护的原因时,没有报告可能需要重新启动这些服务器以实现服务连续性的问题。
取消预配 AD RMS 服务器后,可能想要利用此机会来查看模板和标签。 例如,将模板转换为标签,将其合并使用户有较少的选项,或重新配置它们。 这也是发布默认模板的好时机。
对于敏感度标签和统一标记客户端,使用 Microsoft Purview 合规门户。 有关详细信息,请参阅 Microsoft 365 文档。
重要
在此迁移结束时,AD RMS 群集不能与 Azure 信息保护和“保存自己的密钥(HYOK)”选项配合使用。
运行 Office 2010 的计算机的其他配置
重要
Office 2010 外延支持已于 2020 年 10 月 13 日结束。 有关详细信息,请参阅 AIP 和旧版 Windows 和 Office 版本。
如果已迁移的客户端运行 Office 2010,则在取消预配 AD RMS 服务器后,用户可能会遇到打开受保护的内容的延迟。 或者,用户可能会看到没有用于打开受保护的内容的凭据的消息。 若要解决这些问题,请为这些计算机创建网络重定向,这样会将 AD RMS URL FQDN 重定向到计算机的本地 IP 地址 (127.0.0.1)。 可以通过在每台计算机上配置本地主机文件或使用 DNS 来完成此操作。
通过本地主机文件的重定向:在本地主机文件中添加以下行,将
<AD RMS URL FQDN>
替换为 AD RMS 群集的值,不带前缀或网页:127.0.0.1 <AD RMS URL FQDN>
通过 DNS 的重定向:为 AD RMS URL FQDN 创建新的主机 A 记录,它具有 IP 地址 127.0.0.1。
步骤 11:完成客户端迁移任务
对于移动设备客户端和 Mac 计算机:删除在部署 AD RMS 移动设备扩展时创建的 DNS SRV 记录。
传播这些 DNS 更改后,这些客户端将自动发现并开始使用 Azure Rights Management 服务。 但是,运行 Office Mac 的 Mac 计算机会缓存 AD RMS 中的信息。 对于这些计算机,此过程最长可能需要 30 天。
要强制 Mac 计算机立即运行发现过程,在密钥链中搜索“adal”并删除所有 ADAL 条目。 然后,在计算机上运行以下命令:
rm -r ~/Library/Cache/MSRightsManagement
rm -r ~/Library/Caches/com.microsoft.RMS-XPCService
rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services
rm -r ~/Library/Containers/com.microsoft.RMS-XPCService
rm -r ~/Library/Containers/com.microsoft.RMSTestApp
rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist
killall cfprefsd
所有现有 Windows 计算机都迁移到 Azure 信息保护时,没有理由继续使用载入控件并维护为迁移过程创建的“AIPMigrated”组。
首先删除载入控件,然后可以删除“AIPMigrated”组和为部署迁移脚本而创建的任何软件部署方法。
要删除载入控件,请执行以下操作:
在 PowerShell 会话中,连接到 Azure Rights Management Service,并在出现提示时指定全局管理员的凭证:
Connect-AipService
运行以下命令,然后输入“Y”以确认:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
请注意,此命令会删除 Azure Rights Management 保护服务的任何许可强制实施,以便所有计算机都可以保护文档和电子邮件。
确认不再设置载入控件:
Get-AipServiceOnboardingControlPolicy
在输出中,“许可”应显示“False”,并且不显示“SecurityGroupOjbectId”的 GUID
最后,如果使用 Office 2010,并且已在 Windows 任务计划程序库中启用“AD RMS 权限策略模板管理(自动化)”任务,则禁用此任务,因为它未由 Azure 信息保护客户端使用。
此任务通常通过使用组策略启用,并支持 AD RMS 部署。 可以在以下位置找到此任务:“Microsoft”>“Windows”>“Active Directory Rights Management Services 客户端”。
重要
Office 2010 外延支持已于 2020 年 10 月 13 日结束。 有关详细信息,请参阅 AIP 和旧版 Windows 和 Office 版本。
步骤 12:重新生成 Azure 信息保护租户密钥
迁移完成时,如果 AD RMS 部署使用的是 RMS 加密模式 1,则此步骤是必需的,因为此模式使用 1024 位密钥和 SHA-1。 此配置被认为无法提供充分的保护。 Microsoft 不认可使用较短的密钥长度(如 1024 位 RSA 密钥)以及相关的使用无法提供充分保护的协议(如 SHA-1)的行为。
重新生成密钥导致使用 RMS 加密模式 2 的保护,这会导致 2048 位密钥和 SHA-256。
即使 AD RMS 部署使用加密模式 2,仍建议执行此步骤,因为新密钥有助于保护租户,避免 AD RMS 密钥出现潜在的安全漏洞。
重新生成 Azure 信息保护租户密钥(也称为“滚动密钥”)时,当前处于活动状态的密钥已存档,Azure 信息保护将开始使用指定的其他密钥。 此不同的密钥可以是在 Azure Key Vault 中创建的新密钥,也可以是为租户自动创建的默认密钥。
从一个密钥移到另一个密钥并不会立即发生,而是经过几周才会发生。 因为这不是立即进行的,所以不要等到怀疑原始密钥遭到破坏时才执行此步骤,而是在迁移完成后立即执行此步骤。
重新生成 Azure 信息保护租户密钥:
如果租户密钥由 Microsoft 管理:运行 PowerShell cmdlet Set-AipServiceKeyProperties 并为自动为租户创建的密钥指定密钥标识符。 可以通过运行 Get-AipServiceKeys cmdlet 来标识要指定的值。 为租户自动创建的密钥具有最早的创建日期,因此可以使用以下命令来标识该密钥:
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
如果租户密钥由你 (BYOK) 管理:在 Azure Key Vault 中,为 Azure 信息保护租户重复密钥创建过程,然后再次运行 Use-AipServiceKeyVaultKey cmdlet 以为这一新密钥指定 URI。
有关管理 Azure 信息保护租户密钥的详细信息,请参阅 Azure 信息保护租户密钥的操作。
后续步骤
完成迁移后,即可查看用于分类、标签和保护的 AIP 部署路线图以标识可能需要执行的任何其他部署任务。