1. migrálási fázis – előkészítés
Az AD RMS-ből az Azure Information Protectionbe való migrálás első fázisához használja az alábbi információkat. Ezek az eljárások az AD RMS-ből az Azure Information Protectionbe való migrálástól az 1–3. lépésig terjednek ki, és a környezetet a felhasználókra gyakorolt hatás nélkül előkészítik a migrálásra.
1. lépés: Az AIPService PowerShell-modul telepítése és a bérlő URL-címének azonosítása
Telepítse az AIPService modult, amely lehetővé teszi az Azure Information Protection adatvédelmi szolgáltatásának konfigurálását és kezelését.
Útmutatásért tekintse meg az AIPService PowerShell-modul telepítését ismertető cikket.
A migrálási utasítások némelyikének elvégzéséhez ismernie kell a bérlő Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címét, hogy helyettesíthesse azt, amikor a bérlő URL-címére ><mutató hivatkozásokat lát.
A Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címe a következő formátumú: {GUID}.rms.[Region].aadrm.com. Például: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
A Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címének azonosítása
Csatlakozás a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz, és amikor a rendszer kéri, adja meg a bérlő globális rendszergazdájának hitelesítő adatait:
Connect-AipService
A bérlő konfigurációjának lekérése:
Get-AipServiceConfiguration
Másolja ki a LicensingIntranetDistributionPointUrl elemhez megjelenített értéket, és ebből a sztringből távolítsa el
/_wmcs\licensing
.Mi marad az Azure Information Protection-bérlő Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címe. Ezt az értéket a következő áttelepítési utasítások gyakran lerövidítik a bérlő URL-címére .
A következő PowerShell-parancs futtatásával ellenőrizheti, hogy a megfelelő értékkel rendelkezik-e:
(Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
2. lépés: Felkészülés az ügyfélmigrálásra
A legtöbb migrálás esetében nem praktikus az összes ügyfelet egyszerre migrálni. Az ügyfeleket valószínűleg kötegekben migrálja.
Ez azt jelenti, hogy egyes ügyfelek egy ideig az Azure Information Protectiont használják, mások pedig továbbra is az AD RMS-t használják. Az előre telepített és a migrált felhasználók támogatásához használjon előkészítési vezérlőket, és helyezzen üzembe egy premigrációs szkriptet.
Feljegyzés
Erre a lépésre az áttelepítési folyamat során van szükség, hogy azok a felhasználók, akik még nem migráltak, olyan tartalmakat tudjanak felhasználni, amelyeket a Azure Tartalomvédelmi szolgáltatások használó migrált felhasználók védettek.
Felkészülés az ügyfélmigrálásra
Hozzon létre például egy AIPMigrated nevű csoportot. Ez a csoport létrehozható az Active Directoryban, és szinkronizálható a felhőbe, vagy létrehozható a Microsoft 365-ben vagy a Microsoft Entra ID-ban.
Jelenleg ne rendeljen hozzá felhasználókat ehhez a csoporthoz. Egy későbbi lépésben, amikor a felhasználók áttelepítése történik, adja hozzá őket a csoporthoz.
Jegyezze fel a csoport objektumazonosítóját az alábbi módszerek egyikével.
- Használja a Microsoft Graph PowerShellt. Használja például a Get-MgGroup parancsot.
- Másolja ki a csoport objektumazonosítóját az Azure Portalról.
Konfigurálja ezt a csoportot a vezérlők előkészítéséhez, hogy csak a csoport tagjai használhassanak Azure Tartalomvédelmi szolgáltatások a tartalom védelméhez.
Ehhez a konfigurációhoz egy PowerShell-munkamenetben csatlakozzon a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz. Amikor a rendszer kéri, adja meg a globális rendszergazdai hitelesítő adatait.
Connect-AipService
Konfigurálja ezt a csoportot a vezérlők előkészítéséhez, és helyettesítse a jelen példában szereplő csoportobjektum-azonosítót. Amikor a rendszer kéri, a megerősítéshez írja be az Y értéket.
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
Töltse le a Migration-Scripts.zip fájlt.
Bontsa ki a fájlokat, és kövesse az Prepare-Client.cmd utasításait, hogy tartalmazza az AD RMS-fürt extranetes licencelési URL-címének kiszolgálónevét. A név megkereséséhez hajtsa végre az alábbi lépéseket.
Az Active Directory Rights Management Services konzolján válassza ki a fürt nevét.
A Fürt részletei információiból másolja ki a kiszolgáló nevét az extranetes fürt URL-címeinek licencelési értékéből. Például: rmscluster.contoso.com.
Fontos
Az utasítások közé tartozik az adrms.contoso.com példacímeinek lecserélése az AD RMS-kiszolgáló címére.
Ha ezt teszi, ügyeljen arra, hogy a címek előtt és után ne legyenek további szóközök. A további szóközök megszakítják a migrálási szkriptet, és nagyon nehéz azonosítani a probléma kiváltó okát.
Egyes szerkesztőeszközök automatikusan szóközt adnak a szöveg beillesztése után.
Telepítse ezt a szkriptet az összes Windows-számítógépen, hogy az ügyfelek áttelepítésekor a migrálni kívánt ügyfelek továbbra is kommunikáljanak az AD RMS szolgáltatással, még akkor is, ha olyan tartalmat használnak, amelyet a Azure Tartalomvédelmi szolgáltatások szolgáltatást használó migrált ügyfelek védenek.
A szkript üzembe helyezéséhez csoportházirendet vagy más szoftvertelepítési mechanizmust használhat.
3. lépés: Az Exchange üzembe helyezésének előkészítése migrálásra
Ha a helyszíni Exchange-t vagy az Exchange Online-t használja, előfordulhat, hogy korábban integrálta az Exchange-et az AD RMS üzembe helyezésével. Ebben a lépésben konfigurálja őket úgy, hogy a meglévő AD RMS-konfigurációval támogassák az Azure RMS által védett tartalmakat.
Győződjön meg arról, hogy rendelkezik a bérlőhöz tartozó Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címével, hogy ezt az értéket <helyettesíthesse a YourTenantURL> értékkel az alábbi parancsokban.
Tegye az alábbiak egyikét attól függően, hogy a helyszíni Exchange-et vagy az Exchange Online-t integrálta-e az AD RMS-sel:
Ha integrálta az Exchange Online-t az AD RMS-sel
Nyisson meg egy Exchange Online PowerShell-munkamenetet.
Futtassa a következő PowerShell-parancsokat egyenként vagy szkriptben.
$irmConfig = Get-IRMConfiguration $list = $irmConfig.LicensingLocation $list += "<YourTenantURL>/_wmcs/licensing" Set-IRMConfiguration -LicensingLocation $list Set-IRMConfiguration -internallicensingenabled $false Set-IRMConfiguration -internallicensingenabled $true
Ha integrálta a helyszíni Exchange-t az AD RMS-sel
Minden Exchange-szervezethez adjon hozzá beállításjegyzék-értékeket az egyes Exchange-kiszolgálókon, majd futtassa a PowerShell-parancsokat:
Ha Exchange 2013-as vagy Exchange 2016-os verzióval rendelkezik, adja hozzá a következő beállításjegyzék-értéket:
Beállításjegyzék elérési útja:
HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection
Típus: Reg_SZ
Érték:
https://\<Your Tenant URL\>/_wmcs/licensing
Adatok:
https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing
Futtassa a következő PowerShell-parancsokat egyenként vagy szkriptben:
$irmConfig = Get-IRMConfiguration $list = $irmConfig.LicensingLocation $list += "<YourTenantURL>/_wmcs/licensing" Set-IRMConfiguration -LicensingLocation $list Set-IRMConfiguration -internallicensingenabled $false Set-IRMConfiguration -RefreshServerCertificates Set-IRMConfiguration -internallicensingenabled $true IISReset
Miután futtatta ezeket a parancsokat az Exchange Online-hoz vagy a helyszíni Exchange-hez, ha az Exchange-telepítés úgy lett konfigurálva, hogy támogassa az AD RMS által védett tartalmakat, akkor az áttelepítés után az Azure RMS által védett tartalmakat is támogatja.
Az Exchange-telepítés továbbra is az AD RMS használatával támogatja a védett tartalmakat a migrálás egy későbbi lépéséig.