Fase de migración 1: preparación

Use la siguiente información para la fase 1 de migración de AD RMS a Azure Information Protection. Estos procedimientos abarcan los pasos 1 a 3 de la migración de AD RMS a Azure Information Protection y preparar el entorno para la migración sin ningún impacto para los usuarios.

Paso 1: Instalar el módulo AIPService PowerShell e identificar la dirección URL del espacio empresarial

Instale el módulo AIPService para que pueda configurar y administrar el servicio que proporciona la protección de datos para Azure Information Protection.

Para obtener instrucciones, consulte Instalar el módulo AIPService PowerShell.

Para completar algunas de las instrucciones de migración, necesitará conocer la dirección URL del servicio de Azure Rights Management para su inquilino, de modo que pueda sustituirla por cuando vea referencias a <la dirección URL> de su inquilino.

La dirección URL del servicio Azure Rights Management tiene el siguiente formato: {GUID}.rms.[Region].aadrm.com. Por ejemplo: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

Para identificar la dirección URL del servicio Azure Rights Management

  1. Conectar al servicio Azure Rights Management y, cuando se le solicite, escriba las credenciales del administrador global de su inquilino:

    Connect-AipService
    
  2. Obtenga la configuración de su inquilino:

    Get-AipServiceConfiguration
    
  3. Copie el valor mostrado para LicensingIntranetDistributionPointUrl y, desde esta cadena, quite /_wmcs\licensing.

    Lo que queda es la dirección URL del servicio Azure Rights Management de su inquilino de Azure Information Protection. Este valor se abrevia a menudo a la dirección URL de su espacio empresarial en las siguientes instrucciones de migración.

    Puede comprobar que tiene el valor correcto ejecutando el siguiente comando de PowerShell:

    (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
    

Paso 2. Prepararse para la migración de clientes

En la mayoría de las migraciones, no es práctico migrar todos los clientes a la vez, por lo que es probable que migre clientes en lotes.

Esto significa que durante un período de tiempo, algunos clientes usarán Azure Information Protection y otros seguirán usando AD RMS. Para admitir los usuarios migrados previamente, use los controles de incorporación e implemente un script anterior a la migración.

Nota

Este paso es necesario durante el proceso de migración para que los usuarios que aún no lo han migrado puedan consumir contenido protegido por los usuarios migrados que ahora usan Azure Rights Management.

Para prepararse para la migración de clientes

  1. Cree un grupo, por ejemplo, denominado AIPMigrated. Este grupo se puede crear en Active Directory y sincronizarse con la nube, o puede crearse en Microsoft 365 o Azure Active Directory.

    No asigne ningún usuario a este grupo en este momento. En un paso posterior, cuando los usuarios se migren, los agregará al grupo.

  2. Anote el id. de objeto de este grupo mediante uno de los métodos siguientes:

    • Use Azure AD PowerShell. Por ejemplo, para la versión 1.0 del módulo, use el comando [Get-MsolGroup]/powershell/module/msonline/get-msolgroup).
    • Copie el id. de objeto del grupo de la Azure Portal.
  3. Configure este grupo para controles de incorporación para permitir que solo los usuarios de este grupo usen Azure Rights Management para proteger el contenido.

    Para ello, en una sesión de PowerShell, conéctese al servicio Azure Rights Management. Cuando se le solicite, especifique sus credenciales de administrador global:

    Connect-AipService
    

    Configure este grupo para los controles de incorporación, sustituyendo el id. de objeto de grupo por el de este ejemplo. Cuando se le solicite, escriba Y para confirmar.

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
    
  4. Descargue el archivo Migration-Scripts.zip .

  5. Extraiga los archivos y siga las instrucciones de Prepare-Client.cmd para que contenga el nombre del servidor de la dirección URL de licencias de extranet del clúster de AD RMS. Para localizar este nombre, haga lo siguiente:

    1. En la consola de Active Directory Rights Management Services, haga clic en el nombre del clúster.

    2. En la información Detalles del clúster , copie el nombre del servidor del valor licencia de la sección URL del clúster de extranet. Por ejemplo: rmscluster.contoso.com.

    Importante

    Las instrucciones incluyen la sustitución de direcciones de ejemplo de adrms.contoso.com con las direcciones del servidor de AD RMS.

    Al hacer esto, tenga cuidado de que no haya espacios adicionales antes o después de las direcciones. Los espacios adicionales romperán el script de migración y es muy difícil identificar como la causa raíz del problema.

    Algunas herramientas de edición agregan automáticamente un espacio después de pegar texto.

  6. Implemente este script en todos los equipos Windows para asegurarse de que, cuando empiece a migrar clientes, los clientes que aún no se migrarán se seguirán comunicando con AD RMS incluso si consumen contenido protegido por los clientes migrados que ahora usan el servicio Azure Rights Management.

    Puede usar directiva de grupo u otro mecanismo de implementación de software para implementar este script.

Paso 3. Preparar la implementación de Exchange para la migración

Si usa Exchange local o Exchange en línea, es posible que previamente haya integrado Exchange con la implementación de AD RMS. En este paso, los configurará para usar la configuración de AD RMS existente para admitir contenido protegido por Azure RMS.

Asegúrese de que tiene la dirección URL del servicio de Azure Rights Management para su espacio empresarial, de modo que pueda sustituir este valor por <YourTenantURL> en los comandos siguientes.

Siga uno de estos procedimientos, dependiendo de si ha integrado Exchange local o Exchange Online con AD RMS:

Si ha integrado Exchange Online con AD RMS

  1. Abra una sesión de PowerShell Exchange Online.

  2. Ejecute los siguientes comandos de PowerShell uno por uno o en un script:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -internallicensingenabled $true 
    

Si ha integrado Exchange localmente con AD RMS

Para cada Exchange organización, agregue valores del Registro en cada Exchange servidor y, a continuación, ejecute los comandos de PowerShell:

  1. Si tiene Exchange 2013 o Exchange 2016, agregue el siguiente valor del Registro:

    • Ruta de registro: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Tipo: Reg_SZ

    • Valor: https://\<Your Tenant URL\>/_wmcs/licensing

    • Datos: https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

  2. Ejecute los siguientes comandos de PowerShell, ya sea uno por uno o en un script:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -RefreshServerCertificates
    Set-IRMConfiguration -internallicensingenabled $true
    IISReset
    

Después de ejecutar estos comandos para Exchange Online o Exchange local, si la implementación de Exchange se configuró para admitir contenido protegido por AD RMS, también admitirá contenido protegido por Azure RMS después de la migración.

La implementación de Exchange seguirá usando AD RMS para admitir contenido protegido hasta un paso posterior de la migración.

Pasos siguientes

Vaya a la fase 2 : configuración del lado del servidor.