2. migrálási fázis – az AD RMS kiszolgálóoldali konfigurációja

  • Cikk

Az AD RMS-ből az Azure Information Protectionbe való migrálás 2. fázisához használja az alábbi információkat. Ezek az eljárások az AD RMS-ből az Azure Information Protectionbe való migrálás 4. és 6. lépését ismertetik.

4. lépés: Konfigurációs adatok exportálása az AD RMS-ből és importálása az Azure Information Protectionbe

Ez a lépés egy kétrészes folyamat:

  1. Exportálja a konfigurációs adatokat az AD RMS-ből a megbízható közzétételi tartományok (TPD-k) .xml-fájlba való exportálásával. Ez a folyamat minden áttelepítés esetében ugyanaz.

  2. Importálja a konfigurációs adatokat az Azure Information Protectionbe. Ennek a lépésnek különböző folyamatai vannak az AD RMS jelenlegi üzembehelyezési konfigurációjától és az Azure RMS-bérlőkulcs előnyben részesített topológiájától függően.

Konfigurációs adatok exportálása az AD RMS-ből

Végezze el az alábbi eljárást az összes AD RMS-fürtön az összes olyan megbízható közzétételi tartomány esetében, amely védett tartalommal rendelkezik a szervezet számára. Ezt az eljárást nem kell csak licencelési fürtökön futtatnia.

A konfigurációs adatok exportálása (megbízható közzétételi tartomány adatai)

  1. Jelentkezzen be az AD RMS-fürtbe felhasználóként az AD RMS felügyeleti engedélyekkel.

  2. Az AD RMS felügyeleti konzolján (Active Directory Rights Management Services) bontsa ki az AD RMS-fürt nevét, bontsa ki a megbízhatósági szabályzatokat, majd kattintson a Megbízható közzétételi tartományok elemre.

  3. Az eredmények ablaktáblán válassza ki a megbízható közzétételi tartományt, majd a Műveletek panelen kattintson a Megbízható közzétételi tartomány exportálása elemre.

  4. A Megbízható közzétételi tartomány exportálása párbeszédpanelen:

    • Kattintson a Mentés másként gombra, és mentse az elérési utat és egy tetszőleges fájlnevet. Mindenképpen adja meg az .xml fájlt a fájlnévkiterjesztésként (ez nem lesz automatikusan hozzáfűzve).

    • Adjon meg és erősítse meg az erős jelszót. Ne feledje ezt a jelszót, mert később szüksége lesz rá, amikor a konfigurációs adatokat az Azure Information Protectionbe importálja.

    • Ne jelölje be a jelölőnégyzetet, ha a megbízható tartományfájlt az RMS 1.0-s verziójában szeretné menteni.

Amikor exportálta az összes megbízható közzétételi tartományt, készen áll arra, hogy elindítsa az eljárást az adatok Azure Information Protectionbe való importálásához.

Vegye figyelembe, hogy a megbízható közzétételi tartományok tartalmazzák a korábban védett fájlok visszafejtéséhez szükséges kiszolgálói licencelési tanúsítvány (SLC) kulcsokat, ezért fontos, hogy exportálja (és később importálja az Azure-ba) az összes megbízható közzétételi tartományt, és ne csak a jelenleg aktívakat.

Ha például az AD RMS-kiszolgálókat az 1. titkosítási módról a 2. titkosítási módra frissítette, több megbízható közzétételi tartománnyal fog rendelkezni. Ha nem exportálja és importálja az 1. titkosítási módot használó archivált kulcsot tartalmazó megbízható közzétételi tartományt, a migrálás végén a felhasználók nem fogják tudni megnyitni az 1. titkosítási móddal védett tartalmat.

A konfigurációs adatok importálása az Azure Information Protectionbe

A lépés pontos eljárásai az AD RMS jelenlegi üzembehelyezési konfigurációjától és az Azure Information Protection-bérlőkulcs előnyben részesített topológiájától függnek.

Az AD RMS jelenlegi üzembe helyezése a következő konfigurációk egyikét használja a kiszolgáló licencadó tanúsítványának (SLC) kulcsához:

  • Jelszóvédelem az AD RMS-adatbázisban. Ez az alapértelmezett beállítás.

  • HSM-védelem nCipher hardveres biztonsági modul (HSM) használatával.

  • HSM-védelem az nCiphertől eltérő szállítótól származó hardveres biztonsági modul (HSM) használatával.

  • Külső titkosítási szolgáltatóval védett jelszó.

Megjegyzés:

További információ a hardveres biztonsági modulok AD RMS-sel való használatáról: Az AD RMS használata hardveres biztonsági modulokkal.

A két Azure Information Protection-bérlőkulcs-topológia a következő: A Microsoft kezeli a bérlőkulcsot (Microsoft által felügyelt), vagy ön kezeli a bérlőkulcsot (ügyfél által felügyelt) az Azure Key Vaultban. Ha saját Azure Information Protection-bérlőkulcsot kezel, azt néha "saját kulcs használata" (BYOK) néven is nevezik. További információ: Az Azure Information Protection-bérlőkulcs tervezéséről és implementálásáról szóló cikk.

Az alábbi táblázat segítségével megállapíthatja, hogy melyik eljárást használja a migráláshoz.

Az AD RMS aktuális üzembe helyezése Kiválasztott Azure Information Protection-bérlőkulcs-topológia Áttelepítési utasítások
Jelszóvédelem az AD RMS-adatbázisban Microsoft által felügyelt A tábla után tekintse meg a szoftveres védelem alatt álló kulcs szoftveres védelem alatt álló kulcs migrálási eljárását.

Ez a legegyszerűbb migrálási útvonal, és csak a konfigurációs adatok Azure Information Protectionbe való átvitelét igényli.
HSM-védelem nCipher nShield hardveres biztonsági modul (HSM) használatával Ügyfél által felügyelt (BYOK) A táblázat után tekintse meg a HSM által védett kulcsot a HSM által védett kulcs migrálási eljárásához.

Ehhez az Azure Key Vault BYOK-eszközkészletre és három lépéskészletre van szükség ahhoz, hogy először átvigye a kulcsot a helyszíni HSM-ből az Azure Key Vault HSM-jeibe, majd engedélyezze a Azure Tartalomvédelmi szolgáltatások szolgáltatást az Azure Information Protectiontől a bérlőkulcs használatára, végül pedig a konfigurációs adatokat az Azure Information Protectionbe.
Jelszóvédelem az AD RMS-adatbázisban Ügyfél által felügyelt (BYOK) A táblázat után tekintse meg a szoftver által védett kulcsot a HSM által védett kulcs migrálási eljárásához.

Ehhez szükség van az Azure Key Vault BYOK-eszközkészletére és négy lépéskészletére, hogy először kinyerje a szoftverkulcsot, majd importálja azt egy helyszíni HSM-be, majd a kulcsot a helyszíni HSM-ből az Azure Information Protection HSM-be, majd a Key Vault-adatokat az Azure Information Protectionbe, végül pedig a konfigurációs adatokat az Azure Information Protectionbe.
HSM-védelem az nCiphertől eltérő szállítótól származó hardveres biztonsági modul (HSM) használatával Ügyfél által felügyelt (BYOK) A HSM szállítójához fordulva megtudhatja, hogyan viheti át a kulcsot erről a HSM-ről egy nCipher nShield hardveres biztonsági modulra (HSM). Ezután kövesse a HSM által védett kulcsra vonatkozó utasításokat a HSM által védett kulcs áttelepítési eljárásához a táblázat után.
Külső titkosítási szolgáltatóval védett jelszó Ügyfél által felügyelt (BYOK) A kulcs nCipher nShield hardveres biztonsági modulba (HSM) való átvitelével kapcsolatos útmutatásért forduljon a titkosítási szolgáltató szállítójához. Ezután kövesse a HSM által védett kulcsra vonatkozó utasításokat a HSM által védett kulcs áttelepítési eljárásához a táblázat után.

Ha HSM által védett kulccsal rendelkezik, amelyet nem tud exportálni, az AD RMS-fürt írásvédett üzemmódra való konfigurálásával továbbra is migrálhat az Azure Information Protectionbe. Ebben a módban a korábban védett tartalmak továbbra is megnyithatók, de az újonnan védett tartalmak egy új bérlőkulcsot használnak, amelyet Ön (BYOK) vagy a Microsoft felügyel. További információt az AD RMS-ről az Azure RMS-be történő migrálást támogató Frissítés az Office-hoz című témakörben talál.

Mielőtt elkezdené ezeket a kulcsmigrálási eljárásokat, győződjön meg arról, hogy hozzáfér a korábban létrehozott .xml-fájlokhoz, amikor exportálta a megbízható közzétételi tartományokat. Ezek például egy USB-meghajtóra menthetők, amelyet az AD RMS-kiszolgálóról az internethez csatlakoztatott munkaállomásra helyez át.

Megjegyzés:

Ezeket a fájlokat azonban tárolja, biztonsági ajánlott eljárásokkal védheti őket, mivel ezek az adatok tartalmazzák a titkos kulcsot.

A 4. lépés végrehajtásához válassza ki és válassza ki az áttelepítési útvonal utasításait:

5. lépés: A Azure Tartalomvédelmi szolgáltatások szolgáltatás aktiválása

Nyisson meg egy PowerShell-munkamenetet, és futtassa a következő parancsokat:

  1. Csatlakozás a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz, és amikor a rendszer kéri, adja meg a globális rendszergazdai hitelesítő adatait:

    Connect-AipService

  2. A Azure Tartalomvédelmi szolgáltatások szolgáltatás aktiválása:

    Enable-AipService

Mi a teendő, ha az Azure Information Protection-bérlő már aktiválva van? Ha a Azure Tartalomvédelmi szolgáltatások szolgáltatás már aktiválva van a szervezet számára, és a migrálás után használni kívánt egyéni sablonokat hozott létre, exportálnia és importálnia kell ezeket a sablonokat. Ezt az eljárást a következő lépés ismerteti.

6. lépés: Importált sablonok konfigurálása

Mivel az importált sablonok alapértelmezett archivált állapottal rendelkeznek, ezt az állapotot közzé kell tenni, ha azt szeretné, hogy a felhasználók használni tudják ezeket a sablonokat a Azure Tartalomvédelmi szolgáltatások szolgáltatással.

Az AD RMS-ből importált sablonok ugyanúgy néznek ki és viselkednek, mint az Azure Portalon létrehozható egyéni sablonok. Ha módosítani szeretné az importált sablonok közzétételét, hogy a felhasználók láthassák és kiválaszthassák őket az alkalmazásokból, tekintse meg az Azure Information Protection sablonjainak konfigurálását és kezelését ismertető témakört.

Az újonnan importált sablonok közzététele mellett csak két fontos módosítást kell elvégeznie a sablonokon, mielőtt folytathatná a migrálást. Ha konzisztensebb felhasználói élményt szeretne a migrálási folyamat során, ne módosítsa az importált sablonokat, és ne tegye közzé az Azure Information Protectionhez tartozó két alapértelmezett sablont, és ne hozzon létre új sablonokat. Ehelyett várjon, amíg az áttelepítési folyamat befejeződik, és megszüntette az AD RMS-kiszolgálókat.

Az ehhez a lépéshez szükséges sablonmódosítások:

  • Ha a migrálás előtt egyéni Azure Information Protection-sablonokat hozott létre, manuálisan kell exportálnia és importálnia őket.

  • Ha az AD RMS-sablonjai a BÁRKI csoportot használták, előfordulhat, hogy manuálisan kell hozzáadnia felhasználókat vagy csoportokat.

    Az AD RMS-ben a BÁRKI csoport jogosultságokat adott az helyi Active Directory által hitelesített összes felhasználónak, és ezt a csoportot az Azure Information Protection nem támogatja. A szekrény megfelelője egy olyan csoport, amely automatikusan létrejön a Microsoft Entra-bérlő összes felhasználója számára. Ha a BÁRKI csoportot használta az AD RMS-sablonjaihoz, előfordulhat, hogy hozzá kell adnia a felhasználókat és az őket megadó jogokat.

Eljárás, ha egyéni sablonokat hozott létre a migrálás előtt

Ha a migrálás előtt egyéni sablonokat hozott létre a Azure Tartalomvédelmi szolgáltatások szolgáltatás aktiválása előtt vagy után, a sablonok az áttelepítés után sem lesznek elérhetők a felhasználók számára, még akkor sem, ha közzétételre lettek állítva. Ahhoz, hogy elérhetővé tegye őket a felhasználók számára, először a következőket kell tennie:

  1. Azonosítsa ezeket a sablonokat, és jegyezze fel a sablonazonosítóját a Get-AipServiceTemplate futtatásával.

  2. Exportálja a sablonokat az Azure RMS PowerShell-parancsmag, az Export-AipServiceTemplate használatával.

  3. Importálja a sablonokat az Azure RMS PowerShell-parancsmag, az Import-AipServiceTemplate használatával.

Ezután közzéteheti vagy archiválhatja ezeket a sablonokat, ahogyan az áttelepítés után létrehozott többi sablont is.

Eljárás, ha az AD RMS-sablonjai a BÁRKI csoportot használták

Ha az AD RMS-ben használt sablonjai a BÁRKI csoportot használták, az Azure Information Protection legközelebbi megfelelő csoportjának neve AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@<tenant_name.onmicrosoft.com>. Ez a csoport például a Contoso esetében a következőhöz hasonlóan nézhet ki: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com. Ez a csoport a Microsoft Entra-bérlő összes felhasználóját tartalmazza.

Amikor sablonokat és címkéket kezel az Azure Portalon, ez a csoport a bérlő tartományneveként jelenik meg a Microsoft Entra-azonosítóban. Ez a csoport például a Contoso esetében a következőhöz hasonlóan nézhet ki: contoso.onmicrosoft.com. A csoport hozzáadásához a beállítás megjeleníti a Szervezet neve> hozzáadása <– Minden tag lehetőséget.

Ha nem biztos abban, hogy az AD RMS-sablonok tartalmazzák-e a BÁRKI csoportot, az alábbi Windows PowerShell-példaszkripttel azonosíthatja ezeket a sablonokat. További információ a Windows PowerShell AD RMS-lel való használatáról: Az AD RMS Rendszergazda a Windows PowerShell használata.

Ha ezeket a sablonokat címkékké alakítja az Azure Portalon, egyszerűen hozzáadhat külső felhasználókat a sablonokhoz. Ezután az Engedélyek hozzáadása panelen válassza az Enter details (Adatok megadása) lehetőséget a felhasználók e-mail-címeinek manuális megadásához.

Erről a konfigurációról további információt a Rights Management-védelem címkéinek konfigurálása című témakörben talál.

Windows PowerShell-példaszkript a BÁRKI csoportot tartalmazó AD RMS-sablonok azonosításához

Ez a szakasz a mintaszkriptet tartalmazza, amely segít azonosítani azokat az AD RMS-sablonokat, amelyekben a BÁRKI csoport van definiálva, az előző szakaszban leírtak szerint.

Jogi nyilatkozat: Ez a mintaszkript nem támogatott a Microsoft standard támogatási programja vagy szolgáltatása esetében. Ez a példaszkript az AS IS-hez tartozik, és semmilyen garancia nem vonatkozik rá.

import-module adrmsadmin

New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost -Force

$ListofTemplates=dir MyRmsAdmin:\RightsPolicyTemplate

foreach($Template in $ListofTemplates)
{
                $templateID=$Template.id

                $rights = dir MyRmsAdmin:\RightsPolicyTemplate\$Templateid\userright

     $templateName=$Template.DefaultDisplayName

        if ($rights.usergroupname -eq "anyone")

                         {
                           $templateName = $Template.defaultdisplayname

                           write-host "Template " -NoNewline

                           write-host -NoNewline $templateName -ForegroundColor Red

                           write-host " contains rights for " -NoNewline

                           write-host ANYONE  -ForegroundColor Red
                         }
 }
Remove-PSDrive MyRmsAdmin -force

Következő lépések

Ugrás a 3. fázisra – ügyféloldali konfiguráció.