Freigeben über


Migrieren von AD RMS zu Azure Information Protection

Gehen Sie zum Migrieren Ihrer Active Directory Rights Management Services (AD RMS)-Bereitstellung zu Azure Information Protection nach den folgenden Anweisungen vor.

Nach der Migration sind Ihre AD RMS-Server nicht mehr in Betrieb, aber die Benutzer haben weiterhin Zugriff auf Dokumente und E-Mail-Nachrichten, die Ihr Unternehmen mit AD RMS geschützt hat. Neu geschützte Inhalte verwenden den Azure Rights Management-Dienst (Azure RMS) aus Azure Information Protection.

Wenn auch nicht unbedingt erforderlich, könnte es doch hilfreich sein, die folgende Dokumentation vor Beginn der Migration zu lesen. Diese Kenntnisse sorgen für ein besseres Verständnis der Funktionsweise der Technologie, wenn sie für Ihren Migrationsschritt relevant ist.

  • Planen und Implementieren Ihres Azure Information Protection-Mandantenschlüssels: Sie sollten die Optionen für die Schlüsselverwaltung verstehen, die Ihnen für Ihren Azure Information Protection-Mandanten zur Verfügung stehen. Dabei die Entsprechung Ihres SLC-Schlüssels in der Cloud entweder von Microsoft verwaltet (Standard) oder von Ihnen verwaltet („Bring your own key“- oder BYOK-Konfiguration).

  • RMS-Dienst-Ermittlung: In diesem Abschnitt der RMS-Client-Bereitstellungshinweise wird erklärt, dass die Reihenfolge für die Dienstsuche Register, dann Service Connection Point (SCP), dann Cloud ist. Während des Migrationsprozesses konfigurieren Sie bei noch installiertem SCP Clients mit Registrierungseinstellungen für Ihren Azure Information Protection-Mandanten, sodass sie den vom SCP zurückgegebenen AD RMS-Cluster nicht verwenden.

  • Übersicht über den Microsoft Rights Management-Connector: In diesem Abschnitt aus der Dokumentation zum RMS-Connector wird erläutert, wie Ihre lokalen Server eine Verbindung mit dem Azure Rights Management-Dienst herstellen können, um Dokumente und E-Mails zu schützen.

Wenn Sie mit der Funktionsweise von AD RMS nicht vertraut sind, ist es vielleicht nützlich, Wie funktioniert Azure RMS? Unter der Haube, um zu erkennen, welche technologischen Prozesse in der Cloud-Version gleich oder anders sind.

Voraussetzungen für die Migration von AD RMS zu Azure Information Protection

Stellen Sie vor Beginn der Migration zu Azure Information Protection sicher, dass die folgenden Voraussetzungen erfüllt sind und dass Sie alle Einschränkungen verstehen.

  • Unterstützte RMS-Bereitstellung

    • Die folgenden Versionen von AD RMS unterstützen eine Migration zu Azure Information Protection:

      • Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)

    • Alle gültigen AD RMS-Topologien werden unterstützt:

      • Einzelne Gesamtstruktur, einzelner RMS-Cluster

      • Einzelne Gesamtstruktur, mehrere nur die Lizenzierung betreffende RMS-Cluster

      • Mehrere Gesamtstrukturen, mehrere RMS-Cluster

      Hinweis

      Standardmäßig migrieren mehrere AD RMS-Cluster zu einem einzigen Mandanten für Azure Information Protection. Wenn Sie separate Mandanten für Azure Information Protection wünschen, müssen Sie sie als unterschiedliche Migrationen behandeln. Ein Schlüssel aus einem RMS-Cluster kann nicht in mehrere Mandanten importiert werden.

  • Alle Voraussetzungen für die Ausführung von Azure Information Protection, einschließlich eines Abonnements für Azure Information Protection (der Azure Rights Management Service ist nicht aktiviert):

    Siehe Anforderungen für Azure Information Protection.

    Der Azure Information Protection Client ist für die Klassifizierung und Bezeichnung erforderlich und optional, aber empfohlen, wenn Sie nur Daten schützen möchten.

    Weitere Informationen finden Sie in den Administratorhandbüchern für den Azure Information Protection Unified Labeling Client.

    Obwohl Sie über ein Abonnement für Azure Information Protection verfügen müssen, bevor Sie von AD RMS migrieren können, empfehlen wir, den Rights Management-Dienst für Ihren Mandanten nicht zu aktivieren, bevor die Migration beginnt.

    Der Migrationsprozess beinhaltet diesen Aktivierungsschritt, nachdem Sie Schlüssel und Vorlagen aus AD RMS exportiert und in Ihren Mandanten für Azure Information Protection importiert haben. Wenn der Rights Management-Dienst jedoch bereits aktiviert ist, können Sie mit einigen zusätzlichen Schritten dennoch von AD RMS migrieren.

    Nur Office 2010:

    Wenn Sie über Computer verfügen, auf denen Office 2010 ausgeführt wird, müssen Sie den Azure Information Protection-Client installieren, um die Möglichkeit zu bieten, Benutzer bei Cloud-Diensten zu authentifizieren.

    Wichtig

    Der erweiterte Support für Office 2010 endete am 13. Oktober 2020. Weitere Informationen finden Sie unter AIP und ältere Windows- und Office-Versionen.

  • Vorbereitung für Azure Information Protection:

  • Wenn Sie die IRM-Funktionalität (Information Rights Management) von Exchange-Server (z. B. Transportregeln und Outlook Web Access) oder SharePoint Server mit AD RMS verwendet haben:

    • Planen Sie einen kurzen Zeitraum ein, in dem IRM auf diesen Servern nicht verfügbar ist

      Sie können IRM nach der Migration wieder auf diesen Servern verwenden. Einer der Migrationsschritte besteht jedoch darin, den IRM-Dienst vorübergehend zu deaktivieren, einen Connector zu installieren und zu konfigurieren, die Server neu zu konfigurieren und dann IRM erneut zu aktivieren.

      Dies ist die einzige Unterbrechung des Diensts während des Migrationsprozesses.

  • Wenn Sie Ihren eigenen Azure Information Protection-Mandantenschlüssel unter Verwendung eines durch HSM geschützten Schlüssels verwalten möchten:

    • Diese optionale Konfiguration erfordert Azure Key Vault und ein Azure-Abonnement, das Key Vault mit durch HSM geschützten Schlüsseln unterstützt. Weitere Informationen finden Sie auf der Seite Azure Key Vault-Preise.

Überlegungen zum Kryptografiemodus

Wenn sich Ihr AD RMS-Cluster derzeit im Kryptografiemodus 1 befindet, sollten Sie vor Beginn der Migration kein Upgrade des Clusters auf Kryptografiemodus 2 vornehmen. Migrieren Sie stattdessen mit dem Kryptografiemodus 1. Sie können ihren Mandantenschlüssel am Ende der Migration als eine der Aufgaben nach der Migration neu vergeben.

So bestätigen Sie den AD RMS-Kryptomodus für Windows Server 2012 R2 und Windows 2012: AD RMS cluster properties >General tab.

Einschränkungen bei der Migration

  • Wenn Sie über Software und Clients verfügen, die von dem von Azure Information Protection verwendeten Rights Management-Dienst nicht unterstützt werden, können sie Inhalte, die durch Azure Rights Management geschützt sind, nicht schützen oder nutzen. Überprüfen Sie unbedingt die Abschnitte zu den unterstützten Anwendungen und Clients in Anforderungen für Azure Information Protection.

  • Wenn Ihre AD RMS-Bereitstellung für die Zusammenarbeit mit externen Partnern konfiguriert ist (z. B. über vertrauenswürdige Benutzerdomänen oder Partnerverbund), müssen diese entweder gleichzeitig mit Ihrer Migration oder so bald wie möglich danach ebenfalls zu Azure Information Protection migrieren. Um weiterhin auf Inhalte zugreifen zu können, die Ihre Organisation zuvor mit Azure Information Protection geschützt hat, müssen sie ähnliche Änderungen an der Clientkonfiguration vornehmen, wie Sie vornehmen und in diesem Dokument enthalten sind.

    Aufgrund der möglichen abweichenden Konfigurationen Ihrer Partner fallen genaue Anweisungen für diese Neukonfiguration nicht in den Rahmen dieses Dokument. Im nächsten Abschnitt finden Sie jedoch Anleitungen zur Planung. Wenn Sie weitere Hilfe benötigen, wenden Sie sich an Microsoft-Support.

Migrationsplanung bei Zusammenarbeit mit externen Partnern

Beziehen Sie Ihre AD RMS-Partner in die Planungsphase für die Migration ein, da sie ebenfalls zu Azure Information Protection migrieren müssen. Bevor Sie einen der folgenden Migrationsschritte ausführen, müssen Sie sich vergewissern, dass Folgendes vorhanden ist:

  • Sie verfügen über einen Microsoft Entra-Mandanten, der den Azure Rights Management-Dienst unterstützt.

    Sie verfügen beispielsweise über ein Office 365 E3- oder E5-Abonnement oder ein Enterprise Mobility + Security-Abonnement oder ein eigenständiges Abonnement für Azure Information Protection.

  • Ihr Azure Rights Management-Dienst ist noch nicht aktiviert, aber sie kennen die URL ihres Azure Rights Management-Diensts.

    Sie können diese Informationen abrufen, indem sie das Azure Rights Management Tool installieren, eine Verbindung zum Dienst herstellen (Connect-AipService) und dann ihre Mieterinformationen für den Azure Rights Management-Dienst einsehen (Get-AipServiceConfiguration).

  • Sie stellen Ihnen die URLs ihrer AD RMS-Cluster und die URL ihres Azure Rights Management-Diensts bereit, damit Sie Ihre migrierten Clients so konfigurieren können, dass Anforderungen für ihre AD RMS-geschützten Inhalte an den Azure Rights Management-Dienst ihres Mandanten umgeleitet werden. Anweisungen zum Konfigurieren der Clientumleitung finden Sie in Schritt 7.

  • Sie importieren ihre AD RMS-Clusterstammschlüssel (SLC) in ihren Mandanten, bevor Sie mit der Migration Ihrer Benutzer beginnen. Ebenso müssen Sie Ihre AD RMS-Clusterstammschlüssel importieren, bevor sie mit der Migration ihrer Benutzer beginnen. Anweisungen zum Importieren des Schlüssels sind in diesem Migrationsprozess enthalten, Schritt 4. Exportieren Sie Konfigurationsdaten aus AD RMS und importieren Sie sie in Azure Information Protection.

Übersicht über die Schritte zum Migrieren von AD RMS zu Azure Information Protection

Die Migrationsschritte können in fünf Phasen unterteilt werden, die zu unterschiedlichen Zeiten und von verschiedenen Administratoren durchgeführt werden können.

Phase 1: Vorbereitung der Migration

Für weitere Informationen siehe PHASE 1: MIGRATIONSVORBEREITUNG.

Schritt 1: Installieren Sie das AIPService PowerShell-Modul und identifizieren Sie die URL Ihres Mandanten

Für den Migrationsprozess müssen Sie eines oder mehrere der PowerShell-Cmdlets aus dem AIPService-Modul ausführen. Für viele der Migrationsschritte müssen Sie die Azure Rights Management-Dienst-URL Ihres Mandanten kennen. Sie können diesen Wert über PowerShell ermitteln.

Schritt 2. Vorbereitung der Clientmigration

Wenn Sie nicht alle Clients gleichzeitig migrieren können und sie in Batches migrieren, müssen Sie Onboarding-Steuerelemente verwenden und ein Vormigrationsskript . Wenn Sie jedoch alles gleichzeitig migrieren und keine schrittweise Migration vornehmen, können Sie diesen Schritt überspringen.

Schritt 3: Vorbereiten der Exchange-Bereitstellung für die Migration

Dieser Schritt ist erforderlich, wenn Sie derzeit das IRM-Feature von Exchange Online oder Exchange lokal zum Schützen von E-Mails verwenden. Wenn Sie jedoch alles gleichzeitig migrieren und keine schrittweise Migration vornehmen, können Sie diesen Schritt überspringen.

Phase 2: Server-seitige Konfiguration für AD RMS

Für weitere Informationen siehe PHASE 2: SERVER-SEITIGE KONFIGURATION FÜR AD RMS.

Schritt 4. Exportieren von Konfigurationsdaten aus AD RMS und Importieren in Azure Information Protection

Sie exportieren die Konfigurationsdaten (Schlüssel, Vorlagen, URLs) aus AD RMS in eine XML-Datei und laden diese Datei dann über Azure Information Protection mit dem PowerShell-Cmdlet Import-AipServiceTpd in den Azure Rights Management-Dienst hoch. Bestimmen Sie dann, welcher importierte Schlüssel des lizenzgebenden Serverzertifikats (SLC)als Mandantenschlüssel für den Azure Rights Management-Dienst verwendet werden soll. Je nach AD RMS-Schlüsselkonfiguration sind möglicherweise weitere Schritte erforderlich:

  • Softwaregeschützter Schlüssel zu softwaregeschütztem Schlüssel:

    Zentral verwaltete, kennwortbasierte Schlüssel in AD RMS zu von Microsoft verwaltetem Azure Information Protection-Mandantenschlüssel. Dies ist der einfachste Migrationspfad, und es sind keine weiteren Schritte erforderlich.

  • Migration durch HSM geschützter Schlüssel zu durch HSM geschützten Schlüsseln

    Schlüssel, die von einem HSM für AD RMS gespeichert werden, zu vom Kunden verwaltetem Azure Information Protection-Mandantenschlüssel („Bring your own key“ oder BYOK-Szenario). Dies erfordert zusätzliche Schritte zur Übertragung des Schlüssels von Ihrem lokalen nCipher HSM zu Azure Key Vault und zur Autorisierung des Azure Rights Management-Dienstes zur Verwendung dieses Schlüssels. Ihr vorhandener durch HSM geschützter Schlüssel muss modulgeschützt sein. OCS-geschützte Schlüssel werden von Rights Management-Diensten nicht unterstützt.

  • Migration softwaregeschützter Schlüssel zu durch HSM geschütztem Schlüssel:

    Zentral verwaltete, kennwortbasierte Schlüssel in AD RMS zu vom Kunden verwaltete Azure Information Protection-Mandantenschlüssel („Bring your own key“ oder BYOK-Szenario). Dies erfordert die meiste Konfiguration, da Sie zunächst Ihren Softwareschlüssel extrahieren und in ein lokales HSM importieren müssen. Anschließend müssen Sie die zusätzlichen Schritte durchführen, um den Schlüssel von Ihrem lokalen nCipher-HSM auf ein Azure Key Vault-HSM zu übertragen und den Azure Rights Management-Dienst zur Verwendung des Schlüsseltresors zu autorisieren, in dem der Schlüssel gespeichert ist.

Schritt 5. Aktivieren des Azure Rights Management-Diensts

Führen Sie diesen Schritt möglichst nach und nicht vor dem Importvorgang aus. Es sind zusätzliche Schritte erforderlich, wenn der Dienst vor dem Import aktiviert wurde.

Schritt 6. Konfigurieren importierter Vorlagen

Wenn Sie Ihre Richtlinienvorlagen für Rechte importieren, wird deren Status archiviert. Wenn Benutzer in der Lage sein sollen sie anzuzeigen und zu verwenden, müssen Sie den Vorlagenstatus so ändern, dass er im klassischen Azure-Portal veröffentlicht wird.

Phase 3: Clientseitige Konfiguration

Für weitere Informationen siehe PHASE 3: CLIENT-SEITIGE KONFIGURATION.

Schritt 7: Neukonfigurieren von Windows-Computern für die Verwendung von Azure Information Protection

Vorhandene Windows-Computer müssen so neu konfiguriert werden, dass der Azure Rights Management-Dienst anstelle von AD RMS verwendet wird. Dieser Schritt gilt für Computer in Ihrer Organisation und für Computer in Partnerorganisationen, wenn Sie während der Ausführung von AD RMS mit ihnen zusammengearbeitet haben.

Phase 4: Konfiguration unterstützender Dienste

Für weitere Informationen siehe PHASE 4: KONFIGURATION DER UNTERSTÜTZENDEN DIENSTE.

Schritt 8: Konfigurieren der IRM-Integration für Exchange Online

Dieser Schritt schließt die AD RMS-Migration für Exchange Online ab, sodass jetzt der Azure Rights Management-Dienst verwendet wird.

Schritt 9: Konfigurieren der IRM-Integration für Exchange-Server und SharePoint Server

Dieser Schritt schließt die AD RMS-Migration für Exchange oder SharePoint lokal ab, sodass jetzt der Azure Rights Management-Dienst verwendet wird, der die Bereitstellung des Rights Management-Connectors erfordert.

Phase 5: Aufgaben nach der Migration

Für weitere Informationen siehe PHASE 5: AUFGABEN NACH DER MIGRATION.

Schritt 10: Aufheben der Bereitstellung von AD RMS

Wenn Sie sich vergewissert haben, dass alle Windows-Computer den Azure Rights Management-Dienst verwenden und nicht mehr auf Ihre AD RMS-Server zugreifen, können Sie ihre AD RMS-Bereitstellung aufheben.

Schritt 11: Ausführen von Aufgaben zur Clientmigration

Wenn Sie die Mobilgeräteerweiterung zur Unterstützung mobiler Geräte wie iOS-Smartphones und iPads, Android-Smartphones und -Tablets, Windows-Smartphones und -Tablets und Mac-Computer bereitgestellt haben, müssen Sie die SRV-Einträge in DNS entfernen, die diese Clients zur Verwendung von AD RMS umgeleitet haben.

Die Onboarding-Steuerelemente, die Sie während der Vorbereitungsphase konfiguriert haben, sind nicht mehr erforderlich. Wenn Sie jedoch keine Onboarding-Steuerelemente verwendet haben, weil Sie alles gleichzeitig migriert und keine schrittweise Migration vorgenommen haben, können Sie die Anweisungen zum Entfernen der Onboarding-Steuerelemente überspringen.

Wenn auf Ihren Windows-Computern Office 2010 ausgeführt wird, müssen Sie überprüfen, ob Sie die Aufgabe AD RMS-Richtlinienvorlagenverwaltung (Automatisiert) deaktivieren müssen.

Wichtig

Der erweiterte Support für Office 2010 endete am 13. Oktober 2020. Weitere Informationen finden Sie unter AIP und ältere Windows- und Office-Versionen.

Schritt 12: Geben Sie den Schlüssel Ihres Azure Information Protection-Mandanten neu ein

Dieser Schritt wird empfohlen, wenn Sie vor der Migration nicht mit dem Kryptografiemodus 2 gearbeitet haben.

Nächste Schritte

Gehen sie zum Starten der Migration zu Phase 1 – Vorbereitung.