1. migrálási fázis – előkészítés

  • Cikk

Az AD RMS-ből az Azure Information Protectionbe való migrálás első fázisához használja az alábbi információkat. Ezek az eljárások az AD RMS-ből az Azure Information Protectionbe való migrálástól az 1–3. lépésig terjednek ki, és a környezetet a felhasználókra gyakorolt hatás nélkül előkészítik a migrálásra.

1. lépés: Az AIPService PowerShell-modul telepítése és a bérlő URL-címének azonosítása

Telepítse az AIPService modult, amely lehetővé teszi az Azure Information Protection adatvédelmi szolgáltatásának konfigurálását és kezelését.

Útmutatásért tekintse meg az AIPService PowerShell-modul telepítését ismertető cikket.

A migrálási utasítások némelyikének elvégzéséhez ismernie kell a bérlő Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címét, hogy helyettesíthesse azt, amikor a bérlő URL-címére ><mutató hivatkozásokat lát.

A Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címe a következő formátumú: {GUID}.rms.[Region].aadrm.com. Például: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

A Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címének azonosítása

  1. Csatlakozás a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz, és amikor a rendszer kéri, adja meg a bérlő globális rendszergazdájának hitelesítő adatait:

    Connect-AipService

  2. A bérlő konfigurációjának lekérése:

    Get-AipServiceConfiguration

  3. Másolja ki a LicensingIntranetDistributionPointUrl elemhez megjelenített értéket, és ebből a sztringből távolítsa el/_wmcs\licensing.

    Mi marad az Azure Information Protection-bérlő Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címe. Ezt az értéket a következő áttelepítési utasítások gyakran lerövidítik a bérlő URL-címére .

    A következő PowerShell-parancs futtatásával ellenőrizheti, hogy a megfelelő értékkel rendelkezik-e:

    (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]

2. lépés: Felkészülés az ügyfélmigrálásra

A legtöbb migrálás esetében nem praktikus az összes ügyfelet egyszerre migrálni. Az ügyfeleket valószínűleg kötegekben migrálja.

Ez azt jelenti, hogy egyes ügyfelek egy ideig az Azure Information Protectiont használják, mások pedig továbbra is az AD RMS-t használják. Az előre telepített és a migrált felhasználók támogatásához használjon előkészítési vezérlőket, és helyezzen üzembe egy premigrációs szkriptet.

Feljegyzés

Erre a lépésre az áttelepítési folyamat során van szükség, hogy azok a felhasználók, akik még nem migráltak, olyan tartalmakat tudjanak felhasználni, amelyeket a Azure Tartalomvédelmi szolgáltatások használó migrált felhasználók védettek.

Felkészülés az ügyfélmigrálásra

  1. Hozzon létre például egy AIPMigrated nevű csoportot. Ez a csoport létrehozható az Active Directoryban, és szinkronizálható a felhőbe, vagy létrehozható a Microsoft 365-ben vagy a Microsoft Entra ID-ban.

    Jelenleg ne rendeljen hozzá felhasználókat ehhez a csoporthoz. Egy későbbi lépésben, amikor a felhasználók áttelepítése történik, adja hozzá őket a csoporthoz.

  2. Jegyezze fel a csoport objektumazonosítóját az alábbi módszerek egyikével.

    • Használja a Microsoft Graph PowerShellt. Használja például a Get-MgGroup parancsot.
    • Másolja ki a csoport objektumazonosítóját az Azure Portalról.

  3. Konfigurálja ezt a csoportot a vezérlők előkészítéséhez, hogy csak a csoport tagjai használhassanak Azure Tartalomvédelmi szolgáltatások a tartalom védelméhez.

    Ehhez a konfigurációhoz egy PowerShell-munkamenetben csatlakozzon a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz. Amikor a rendszer kéri, adja meg a globális rendszergazdai hitelesítő adatait.

    Connect-AipService

    Konfigurálja ezt a csoportot a vezérlők előkészítéséhez, és helyettesítse a jelen példában szereplő csoportobjektum-azonosítót. Amikor a rendszer kéri, a megerősítéshez írja be az Y értéket.

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp

  4. Töltse le a Migration-Scripts.zip fájlt.

  5. Bontsa ki a fájlokat, és kövesse az Prepare-Client.cmd utasításait, hogy tartalmazza az AD RMS-fürt extranetes licencelési URL-címének kiszolgálónevét. A név megkereséséhez hajtsa végre az alábbi lépéseket.

    1. Az Active Directory Rights Management Services konzolján válassza ki a fürt nevét.

    2. A Fürt részletei információiból másolja ki a kiszolgáló nevét az extranetes fürt URL-címeinek licencelési értékéből. Például: rmscluster.contoso.com.

    Fontos

    Az utasítások közé tartozik az adrms.contoso.com példacímeinek lecserélése az AD RMS-kiszolgáló címére.

    Ha ezt teszi, ügyeljen arra, hogy a címek előtt és után ne legyenek további szóközök. A további szóközök megszakítják a migrálási szkriptet, és nagyon nehéz azonosítani a probléma kiváltó okát.

    Egyes szerkesztőeszközök automatikusan szóközt adnak a szöveg beillesztése után.

  6. Telepítse ezt a szkriptet az összes Windows-számítógépen, hogy az ügyfelek áttelepítésekor a migrálni kívánt ügyfelek továbbra is kommunikáljanak az AD RMS szolgáltatással, még akkor is, ha olyan tartalmat használnak, amelyet a Azure Tartalomvédelmi szolgáltatások szolgáltatást használó migrált ügyfelek védenek.

    A szkript üzembe helyezéséhez csoportházirendet vagy más szoftvertelepítési mechanizmust használhat.

3. lépés: Az Exchange üzembe helyezésének előkészítése migrálásra

Ha a helyszíni Exchange-t vagy az Exchange Online-t használja, előfordulhat, hogy korábban integrálta az Exchange-et az AD RMS üzembe helyezésével. Ebben a lépésben konfigurálja őket úgy, hogy a meglévő AD RMS-konfigurációval támogassák az Azure RMS által védett tartalmakat.

Győződjön meg arról, hogy rendelkezik a bérlőhöz tartozó Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címével, hogy ezt az értéket <helyettesíthesse a YourTenantURL> értékkel az alábbi parancsokban.

Tegye az alábbiak egyikét attól függően, hogy a helyszíni Exchange-et vagy az Exchange Online-t integrálta-e az AD RMS-sel:

Ha integrálta az Exchange Online-t az AD RMS-sel

  1. Nyisson meg egy Exchange Online PowerShell-munkamenetet.

  2. Futtassa a következő PowerShell-parancsokat egyenként vagy szkriptben.

    $irmConfig = Get-IRMConfiguration
$list = $irmConfig.LicensingLocation
$list += "<YourTenantURL>/_wmcs/licensing"
Set-IRMConfiguration -LicensingLocation $list
Set-IRMConfiguration -internallicensingenabled $false
Set-IRMConfiguration -internallicensingenabled $true

Ha integrálta a helyszíni Exchange-t az AD RMS-sel

Minden Exchange-szervezethez adjon hozzá beállításjegyzék-értékeket az egyes Exchange-kiszolgálókon, majd futtassa a PowerShell-parancsokat:

  1. Ha Exchange 2013-as vagy Exchange 2016-os verzióval rendelkezik, adja hozzá a következő beállításjegyzék-értéket:

    • Beállításjegyzék elérési útja: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Típus: Reg_SZ

    • Érték: https://\<Your Tenant URL\>/_wmcs/licensing

    • Adatok: https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

  2. Futtassa a következő PowerShell-parancsokat egyenként vagy szkriptben:

    $irmConfig = Get-IRMConfiguration
$list = $irmConfig.LicensingLocation
$list += "<YourTenantURL>/_wmcs/licensing"
Set-IRMConfiguration -LicensingLocation $list
Set-IRMConfiguration -internallicensingenabled $false
Set-IRMConfiguration -RefreshServerCertificates
Set-IRMConfiguration -internallicensingenabled $true
IISReset

Miután futtatta ezeket a parancsokat az Exchange Online-hoz vagy a helyszíni Exchange-hez, ha az Exchange-telepítés úgy lett konfigurálva, hogy támogassa az AD RMS által védett tartalmakat, akkor az áttelepítés után az Azure RMS által védett tartalmakat is támogatja.

Az Exchange-telepítés továbbra is az AD RMS használatával támogatja a védett tartalmakat a migrálás egy későbbi lépéséig.

Következő lépések

Ugrás a 2. fázisra – kiszolgálóoldali konfiguráció.