移轉階段 5 - 移轉後工作
針對從 AD RMS 移轉至 Azure 資訊保護的第 5 階段,請使用下列資訊。 這些程式涵蓋從 AD RMS 移轉至 Azure 資訊保護 的步驟 10 到 12。
步驟 10:取消布建 AD RMS
從 Active Directory 移除服務連線點 (SCP),以防止電腦探索內部部署 Rights Management 基礎結構。 對於您移轉的現有用戶端而言,這是選擇性的,因為您在登錄中設定的重新導向 (例如,藉由執行移轉腳本)。 不過,移除 SCP 可防止新的用戶端和潛在的 RMS 相關服務和工具在移轉完成時尋找 SCP。 此時,所有電腦連線都應該移至 Azure Rights Management 服務。
若要移除 SCP,請確定您已以網域企業系統管理員身分登入,然後使用下列程式:
在 Active Directory Rights Management Services 主控台中,以滑鼠右鍵按一下 AD RMS 叢集,然後按一下 [ 內容 ]。
按一下 [SCP ] 索引 標籤。
選取 [ 變更 SCP] 核取方塊。
選取 [ 移除目前的 SCP ],然後按一下 [ 確定 ]。
現在監視 AD RMS 伺服器的活動。 例如,檢查 系統健康情況報告中 的要求、 ServiceRequest 資料表 或 稽核使用者對受保護內容的 存取權。
當您確認 RMS 用戶端不再與這些伺服器通訊,且用戶端已成功使用 Azure 資訊保護時,您可以從這些伺服器移除 AD RMS 伺服器角色。 如果您使用專用伺服器,您可能會偏好先關閉伺服器一段時間的警告步驟。 這可讓您在調查用戶端未使用 Azure 資訊保護的原因時,有時間確定沒有回報的問題,可能會要求您重新開機這些伺服器以取得服務持續性。
取消布建 AD RMS 伺服器之後,您可能想要有機會檢閱您的範本和標籤。 例如,將範本轉換成標籤、合併它們,讓使用者選擇較少,或重新設定它們。 這也是發佈預設範本的好時機。
針對敏感度標籤和統一標籤用戶端,請使用Microsoft Purview 合規性入口網站。 如需詳細資訊,請參閱 Microsoft 365 檔。
重要
在此移轉結束時,您的 AD RMS 叢集無法與 Azure 資訊保護 搭配使用,且保留您自己的金鑰 ( HYOK ) 選項。
執行 Office 2010 的電腦的其他設定
重要
Office 2010 延長支援已于 2020 年 10 月 13 日結束。 如需詳細資訊,請參閱 AIP 和舊版 Windows 和 Office 版本 。
如果移轉的用戶端執行 Office 2010,在取消布建 AD RMS 伺服器之後,使用者可能會在開啟受保護的內容時遇到延遲。 或者,使用者可能會看到沒有認證可開啟受保護內容的訊息。 若要解決這些問題,請為這些電腦建立網路重新導向,以將 AD RMS URL FQDN 重新導向至電腦的本機 IP 位址(127.0.0.1)。 您可以在每部電腦上設定本機主機檔案,或使用 DNS 來執行此動作。
透過本機主機檔案重新導向:在本機主機檔案 中新增下列這一行,將 取代
<AD RMS URL FQDN>
為 AD RMS 叢集的值,不含前置詞或網頁:127.0.0.1 <AD RMS URL FQDN>
透過 DNS 重新導向:為您的 AD RMS URL FQDN 建立新的主機 (A) 記錄,其 IP 位址為 127.0.0.1。
步驟 11:完成用戶端移轉工作
針對行動裝置用戶端和 Mac 電腦:移除您在部署 AD RMS 行動裝置擴充 功能時所建立的 DNS SRV 記錄。
當這些 DNS 變更傳播時,這些用戶端會自動探索並開始使用 Azure Rights Management 服務。 不過,執行 Office Mac 的 Mac 電腦會從 AD RMS 快取資訊。 對於這些電腦,此程式最多可能需要 30 天的時間。
若要強制 Mac 電腦立即執行探索程式,請在金鑰鏈中搜尋「adal」並刪除所有 ADAL 專案。 然後,在這些電腦上執行下列命令:
rm -r ~/Library/Cache/MSRightsManagement
rm -r ~/Library/Caches/com.microsoft.RMS-XPCService
rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services
rm -r ~/Library/Containers/com.microsoft.RMS-XPCService
rm -r ~/Library/Containers/com.microsoft.RMSTestApp
rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist
killall cfprefsd
當所有現有的 Windows 電腦都移轉至 Azure 資訊保護時,沒有理由繼續使用上線控制項,並維護 您為移轉程式建立的 AIPMigrated 群組。
請先移除上線控制項,然後您可以刪除 AIPMigrated 群組和您建立以部署移轉腳本的任何軟體部署方法。
若要移除上線控制項:
在 PowerShell 會話中,連線到 Azure Rights Management 服務,並在出現提示時指定您的全域管理員認證:
Connect-AipService
執行下列命令,然後輸入 Y 以確認:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
請注意,此命令會移除 Azure Rights Management 保護服務的任何授權強制執行,讓所有電腦都能保護檔和電子郵件。
確認已不再設定上線控制項:
Get-AipServiceOnboardingControlPolicy
在輸出中, 授權 應該會顯示 False ,而且沒有針對 SecurityGroupOjbectId 顯示 GUID
最後,如果您使用 Office 2010,且已在 Windows 工作排程器程式庫中啟用 AD RMS Rights Policy Template Management (自動化) 工作,請停用此工作,因為 Azure 資訊保護 用戶端不會使用它。
此工作通常會使用群組原則來啟用,並支援 AD RMS 部署。 您可以在下列位置找到這項工作: Microsoft > Windows > Active Directory Rights Management Services Client。
重要
Office 2010 延長支援已于 2020 年 10 月 13 日結束。 如需詳細資訊,請參閱 AIP 和舊版 Windows 和 Office 版本 。
步驟 12:重設 Azure 資訊保護租使用者金鑰
如果您的 AD RMS 部署使用 RMS 密碼編譯模式 1,因為此模式使用 1024 位金鑰和 SHA-1,則需要此步驟。 此設定被視為提供不足的保護層級。 Microsoft 不會背書使用較低的金鑰長度,例如 1024 位 RSA 金鑰,以及提供保護層級不足的通訊協定的相關使用,例如 SHA-1。
重設金鑰會導致使用 RMS 密碼編譯模式 2 的保護,這會導致 2048 位金鑰和 SHA-256。
即使您的 AD RMS 部署使用密碼編譯模式 2,我們仍建議您執行此步驟,因為新的金鑰有助於保護您的租使用者免于 AD RMS 金鑰的潛在安全性缺口。
當您重設 Azure 資訊保護租使用者金鑰(也稱為「輪替金鑰」時,目前的作用中金鑰會封存,而 Azure 資訊保護會開始使用不同的您指定的金鑰。 這個不同的金鑰可能是您在 Azure 金鑰保存庫中建立的新金鑰,或為租使用者自動建立的預設金鑰。
從一個金鑰移到另一個金鑰不會立即發生,但幾個星期。 因為它不是立即的,請勿等到您懷疑違反原始金鑰,但只要移轉完成就執行此步驟。
若要重設 Azure 資訊保護租使用者金鑰:
如果您的租使用者金鑰是由 Microsoft 管理:執行 PowerShell Cmdlet Set-AipServiceKeyProperties ,並指定為租使用者自動建立之金鑰的金鑰識別碼。 您可以執行 Get-AipServiceKeys Cmdlet 來識別要指定的值。 為租使用者自動建立的金鑰具有最舊的建立日期,因此您可以使用下列命令來識別它:
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
如果您的租使用者金鑰是由您管理(BYOK) :在 Azure 金鑰保存庫中,針對您的 Azure 資訊保護租使用者重複金鑰建立程式,然後再次執行 Use-AipServiceKeyVaultKey Cmdlet 來指定這個新金鑰的 URI。
如需管理 Azure 資訊保護 租使用者金鑰的詳細資訊,請參閱 Azure 資訊保護租使用者金鑰 的作業。
下一步
現在您已經完成移轉,請檢閱 AIP 部署藍圖中的分類、標記和保護 ,以識別您可能需要執行的任何其他部署工作。