從 AD RMS 遷移至 Azure 資訊保護
使用下列一組指示,將 Active Directory Rights Management Services (AD RMS) 部署移轉至 Azure 資訊保護。
移轉之後,您的 AD RMS 伺服器已不再使用,但使用者仍然可以存取組織使用 AD RMS 保護的文件和電子郵件訊息。 新受保護的內容將使用來自 Azure 資訊保護 的 Azure Rights Management Service (Azure RMS)。
移轉至 Azure 資訊保護 之前建議閱讀
雖然並非必要,但在開始移轉之前,您可能會發現閱讀下列檔很有用。 這項知識可讓您更了解當技術與移轉步驟相關時的運作方式。
規劃和實作 Azure 資訊保護 租使用者金鑰:瞭解您為 Azure 資訊保護 租使用者提供的密鑰管理選項,其中您的 SLC 密鑰會由 Microsoft 管理(預設值)或由您管理(「攜帶您自己的密鑰」或 BYOK 組態)。
RMS 服務探索:RMS 用戶端部署注意事項的這一節說明服務探索的順序是登錄,然後是服務連接點 (SCP),然後是雲端。 在安裝 SCP 的移轉程式期間,您會使用 Azure 資訊保護 租使用者的登入設定來設定用戶端,使其不會使用 SCP 傳回的 AD RMS 叢集。
Microsoft Rights Management 連接器概觀:RMS 連接器檔的本節說明您的內部部署伺服器如何連線到 Azure Rights Management 服務來保護文件和電子郵件。
此外,如果您不熟悉 AD RMS 的運作方式,您可能會發現閱讀 Azure RMS 如何運作會很有用?在幕後 ,協助您識別雲端版本哪些技術程式是相同或不同的。
將AD RMS遷移至 Azure 資訊保護 的必要條件
開始移轉至 Azure 資訊保護 之前,請確定下列必要條件已就緒,並瞭解任何限制。
支援的 RMS 部署:
下列 AD RMS 版本支援移轉至 Azure 資訊保護:
Windows Server 2012 (x64)
Windows Server 2012 R2 (x64)
Windows Server 2016 (x64)
支援所有有效的 AD RMS 拓撲:
單一樹系、單一 RMS 叢集
單一樹系,多個僅限授權的 RMS 叢集
多個樹系、多個 RMS 叢集
注意
根據預設,多個 AD RMS 叢集會移轉至 Azure 資訊保護 的單一租使用者。 如果您想要個別的 Azure 租使用者 資訊保護,您必須將它們視為不同的移轉。 無法將一個 RMS 叢集中的金鑰匯入至一個以上的租使用者。
執行 Azure 資訊保護 的所有需求,包括 Azure 資訊保護 的訂用帳戶(未啟用 Azure Rights Management 服務):
請參閱 Azure 資訊保護 的需求。
分類和標籤需要 Azure 資訊保護 用戶端,而且是選擇性的,但建議您只保護數據。
如需詳細資訊,請參閱 Azure 資訊保護 統一卷標用戶端的管理指南。
雖然您必須先有 Azure 資訊保護 訂用帳戶,才能從 AD RMS 移轉,但建議您在開始移轉之前,未啟用租使用者的 Rights Management 服務。
移轉程式會在您從 AD RMS 匯出金鑰和範本,並將其匯入至 Azure 租使用者的 azure 資訊保護 之後,就會包含此啟用步驟。 不過,如果 Rights Management 服務已啟動,您仍然可以使用一些額外的步驟從 AD RMS 移轉。
僅限 Office 2010:
如果您有執行 Office 2010 的電腦,您必須安裝 Azure 資訊保護 用戶端,以提供向雲端服務驗證使用者的能力。
重要
Office 2010 延長支援已於 2020 年 10 月 13 日結束。 如需詳細資訊,請參閱 AIP 和舊版 Windows 和 Office 版本。
準備 Azure 資訊保護:
內部部署目錄與 Microsoft Entra ID 之間的目錄同步處理
Microsoft Entra 識別碼中啟用郵件的群組
請參閱準備 Azure 資訊保護 的使用者和群組。
如果您已使用 Exchange Server 的信息版權管理 (IRM) 功能(例如傳輸規則和 Outlook Web 存取)或 SharePoint Server 搭配 AD RMS:
在這些伺服器上無法使用 IRM 的短時間內規劃
移轉之後,您可以在這些伺服器上繼續使用 IRM。 不過,其中一個移轉步驟是暫時停用 IRM 服務、安裝和設定連接器、重新設定伺服器,然後重新啟用 IRM。
這是移轉程式期間唯一的服務中斷。
如果您想要使用受 HSM 保護的金鑰來管理自己的 Azure 資訊保護 租使用者金鑰:
- 此選擇性設定需要 Azure 金鑰保存庫 和 Azure 訂用帳戶,其支援使用受 HSM 保護的密鑰 金鑰保存庫。 如需詳細資訊,請參閱 Azure 金鑰保存庫 定價頁面。
密碼編譯模式考慮
如果您的 AD RMS 叢集目前處於密碼編譯模式 1,在開始移轉之前,請勿將叢集升級為密碼編譯模式 2。 相反地,使用密碼編譯模式 1 進行移轉,您可以在移轉結束時重新設定租使用者密鑰,作為移轉後工作的其中一項。
若要確認 Windows Server 2012 R2 和 Windows 2012 的 AD RMS 密碼編譯模式: AD RMS 叢集 屬性 >[一般 ] 索引標籤。
移轉限制
如果您有 Azure 資訊保護 所使用 Rights Management 服務不支援的軟體和用戶端,將無法保護或取用受 Azure Rights Management 保護的內容。 請務必檢查 Azure 資訊保護 需求中支援的應用程式和用戶端區段。
如果您的 AD RMS 部署已設定為與外部合作夥伴共同作業(例如,使用受信任的使用者網域或同盟),他們也必須同時移轉至 Azure 資訊保護,或之後儘快移轉。 若要繼續存取您組織先前使用 Azure 資訊保護 保護的內容,它們必須進行用戶端設定變更,這些變更與您所做的類似,並包含在本檔中。
由於合作夥伴可能擁有的設定變化,因此此重新設定的確切指示已超過本檔的範圍。 不過,請參閱下一節以取得規劃指引,如需其他說明,請連絡 Microsoft 支援服務。
如果您與外部合作夥伴共同作業,則移轉規劃
在您的規劃階段中包含AD RMS合作夥伴以進行移轉,因為它們也必須移轉至 Azure 資訊保護。 在您執行下列任何移轉步驟之前,請確定下列專案已就緒:
他們有支援 Azure Rights Management 服務的 Microsoft Entra 租使用者。
例如,他們擁有 Office 365 E3 或 E5 訂用帳戶、Enterprise Mobility + Security 訂用帳戶,或 Azure 資訊保護 的獨立訂用帳戶。
其 Azure Rights Management 服務尚未啟用,但他們知道其 Azure Rights Management 服務 URL。
他們可以安裝 Azure Rights Management Tool、連線至服務 (連線-AipService),然後檢視其 Azure Rights Management Service 的租用戶資訊 (Get-AipServiceConfiguration) 來取得此資訊。
它們會提供其 AD RMS 叢集及其 Azure Rights Management 服務 URL 的 URL,以便設定移轉的用戶端,將 AD RMS 受保護內容的要求重新導向至其租使用者的 Azure Rights Management 服務。 設定用戶端重新導向的指示位於步驟 7 中。
他們會先將其AD RMS 叢集根金鑰 (SLC) 匯入其租使用者,再開始移轉使用者。 同樣地,您必須先匯入 AD RMS 叢集根密鑰,才能開始移轉其使用者。 此移轉程式的步驟 4 涵蓋匯入金鑰的指示。從 AD RMS 匯出組態數據,並將其匯入至 Azure 資訊保護。
將 AD RMS 遷移至 Azure 資訊保護 的步驟概觀
移轉步驟可以分成五個階段,這些階段可以在不同時間完成,並由不同的系統管理員執行。
階段 1:移轉準備
如需詳細資訊,請參閱階段 1:移轉準備。
步驟 1:安裝 AIPService PowerShell 模組並識別您的租使用者 URL
移轉程式會要求您從 AIPService 模組執行一或多個 PowerShell Cmdlet。 您必須知道租使用者的 Azure Rights Management 服務 URL,才能完成許多移轉步驟,而且您可以使用 PowerShell 來識別此值。
步驟 2。 準備客戶端移轉
如果您無法一次移轉所有用戶端,並以批次方式移轉它們,請使用上線控件並部署移轉前腳本。 不過,如果您要同時移轉所有專案,而不是進行分階段移轉,您可以略過此步驟。
步驟 3:準備 Exchange 部署以進行移轉
如果您目前使用 Exchange Online 或 Exchange 內部部署的 IRM 功能來保護電子郵件,則需要此步驟。 不過,如果您要同時移轉所有專案,而不是進行分階段移轉,您可以略過此步驟。
階段 2:AD RMS 的伺服器端設定
如需詳細資訊,請參閱 階段 2:AD RMS 的伺服器端設定。
步驟 4. 從 AD RMS 匯出組態數據,並將其匯入 Azure 資訊保護
您可以使用 Import-AipServiceTpd PowerShell Cmdlet,將組態數據(密鑰、範本、URL)從 AD RMS 匯出至 XML 檔案,然後將該檔案上傳至 Azure 資訊保護 的 Azure Rights Management 服務。 然後,識別要作為 Azure Rights Management 服務的租使用者密鑰使用的匯入伺服器授權憑證 (SLC) 密鑰。 視您的 AD RMS 金鑰組態而定,可能需要其他步驟:
軟體保護金鑰移轉至軟體保護的金鑰:
AD RMS 中集中管理的密碼型密鑰到 Microsoft 管理的 Azure 資訊保護 租使用者金鑰。 這是最簡單的移轉路徑,不需要其他步驟。
HSM 保護的金鑰移轉至受 HSM 保護的金鑰:
HSM 針對客戶管理的 Azure 資訊保護 租使用者密鑰儲存的 HSM 金鑰(「攜帶您自己的密鑰」或 BYOK 案例)。 這需要額外的步驟,才能將密鑰從內部部署 nCipher HSM 傳輸到 Azure 金鑰保存庫,並授權 Azure Rights Management 服務使用此密鑰。 您現有的 HSM 保護金鑰必須受到模組保護;Rights Management 服務不支援受 OCS 保護的密鑰。
受軟體保護的金鑰移轉至 HSM 保護的金鑰:
在 AD RMS 中集中管理、密碼型金鑰到客戶管理的 Azure 資訊保護 租使用者金鑰(「攜帶您自己的金鑰」或 BYOK 案例)。 這需要最多的設定,因為您必須先擷取軟體密鑰並將其匯入內部部署 HSM,然後執行其他步驟,將密鑰從內部部署 nCipher HSM 傳輸到 Azure 金鑰保存庫 HSM,並授權 Azure Rights Management 服務使用儲存密鑰的金鑰保存庫。
步驟 5: 啟用 Azure Rights Management 服務
可能的話,請在匯入程序之後執行此步驟,而不是之前。 如果在匯入之前啟動服務,則需要額外的步驟。
步驟 6。 設定匯入的範本
當您匯入許可權原則範本時,其狀態會封存。 如果您希望使用者能夠查看並使用它們,您必須將範本狀態變更為在 Azure 傳統入口網站中發布。
階段3:客戶端設定
如需詳細資訊,請參閱 階段 3:客戶端設定。
步驟 7:重新設定 Windows 計算機以使用 Azure 資訊保護
現有的 Windows 計算機必須重新設定為使用 Azure Rights Management 服務,而不是 AD RMS。 如果您在執行 AD RMS 時已與他們共同作業,此步驟適用於您組織中的電腦,以及合作夥伴組織中的電腦。
階段 4:支援服務設定
如需詳細資訊,請參閱階段 4:支援服務組態。
步驟 8:設定 Exchange Online 的 IRM 整合
此步驟會完成 Exchange Online 的 AD RMS 移轉,以使用 Azure Rights Management 服務。
步驟 9:設定 Exchange Server 和 SharePoint Server 的 IRM 整合
此步驟會完成 Exchange 或 SharePoint 內部部署的 AD RMS 移轉,現在使用需要部署 Rights Management 連接器的 Azure Rights Management 服務。
階段5:移轉後工作
如需詳細資訊,請參閱階段 5:移轉後工作。
步驟 10:取消布建 AD RMS
當您確認所有 Windows 計算機都使用 Azure Rights Management 服務,且不再存取 AD RMS 伺服器時,您可以取消布建 AD RMS 部署。
步驟 11:完成用戶端移轉工作
如果您已部署行動 裝置擴充 功能以支援 iOS 手機和 iPad、Android 手機和平板電腦、Windows 手機和平板電腦和 Mac 電腦等行動裝置,您必須移除 DNS 中重新導向這些用戶端以使用 AD RMS 的 SRV 記錄。
您不再需要在準備階段設定的上線控制件。 不過,如果您未使用上線控件,因為您選擇同時移轉所有專案,而不是進行分階段移轉,您可以略過指示來移除上線控件。
如果您的 Windows 計算機正在執行 Office 2010,請檢查您是否需要停用 AD RMS Rights Policy Template Management (自動化) 工作。
重要
Office 2010 延長支援已於 2020 年 10 月 13 日結束。 如需詳細資訊,請參閱 AIP 和舊版 Windows 和 Office 版本。
步驟 12:重設 Azure 資訊保護 租使用者密鑰
如果您在移轉之前未在密碼編譯模式 2 中執行,建議您執行此步驟。
下一步
若要開始移轉,請移至 階段 1 - 準備。