5. migrálási fázis – migrálás utáni feladatok

Az AD RMS-ből az Azure Information Protectionbe való migrálás 5. fázisához használja az alábbi információkat. Ezek az eljárások az AD RMS-ből az Azure Information Protectionbe való migrálástól a 10–12. lépésig terjednek.

10. lépés: Az AD RMS deprovision

Távolítsa el a Service Csatlakozás ion Point (SCP) elemet az Active Directoryból, hogy megakadályozza a számítógépek számára a helyszíni Rights Management-infrastruktúra felderítését. Ez a beállításjegyzékben konfigurált átirányítás (például az áttelepítési szkript futtatásával) miatt áttelepített meglévő ügyfelek esetében nem kötelező. Az SCP eltávolítása azonban megakadályozza, hogy az áttelepítés befejezésekor az új ügyfelek és az RMS-hez kapcsolódó szolgáltatások és eszközök megtalálják az SCP-t. Ezen a ponton minden számítógép-kapcsolatnak a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz kell mennie.

Az SCP eltávolításához győződjön meg arról, hogy tartományi vállalati rendszergazdaként van bejelentkezve, majd kövesse az alábbi eljárást:

1. Az Active Directory Rights Management Services konzolon kattintson a jobb gombbal az AD RMS-fürtre, majd kattintson a Tulajdonságok parancsra.

2. Kattintson az SCP fülre.

3. Jelölje be az SCP módosítása jelölőnégyzetet.

4. Válassza az Aktuális SCP eltávolítása lehetőséget, majd kattintson az OK gombra.

Most figyelje az AD RMS-kiszolgálók tevékenységét. Ellenőrizze például a System Health-jelentésben, a ServiceRequest táblában vagy a védett tartalmakhoz való felhasználói hozzáférés naplózásában szereplő kéréseket.

Ha megerősítette, hogy az RMS-ügyfelek már nem kommunikálnak ezekkel a kiszolgálókkal, és hogy az ügyfelek sikeresen használják az Azure Information Protectiont, eltávolíthatja az AD RMS-kiszolgálói szerepkört ezekről a kiszolgálókról. Ha dedikált kiszolgálókat használ, érdemes lehet megfontolni a kiszolgálók egy ideig történő leállításának óvatos lépését. Ez időt ad arra, hogy meggyőződjön arról, hogy nincsenek olyan jelentett problémák, amelyek miatt újra kell indítania ezeket a kiszolgálókat a szolgáltatás folytonossága érdekében, miközben megvizsgálja, hogy az ügyfelek miért nem használják az Azure Information Protectiont.

Miután megszüntette az AD RMS-kiszolgálók kiépítését, érdemes lehet kihasználni a lehetőséget, hogy áttekintse a sablont és a címkéket. A sablonok például címkékké alakíthatók, összevonhatók, így a felhasználók kevesebb közül választhatnak, vagy újrakonfigurálhatják őket. Itt az ideje az alapértelmezett sablonok közzétételének is.

A bizalmassági címkékhez és az egyesített címkézési ügyfélhez használja a Microsoft Purview megfelelőségi portál. További információkért tekintse meg a Microsoft 365 dokumentációját.

Fontos

A migrálás végén az AD RMS-fürt nem használható az Azure Information Protection és a saját kulcs (HYOK) beállítással.

További konfiguráció az Office 2010-et futtató számítógépekhez

Fontos

Az Office 2010 kiterjesztett támogatása 2020. október 13-án megszűnt. További információt az AIP és az örökölt Windows- és Office-verziókban talál.

Ha a migrált ügyfelek office 2010-et futtatnak, a felhasználók késéssel nyithatnak meg védett tartalmakat az AD RMS-kiszolgálók kiépítésének megszüntetése után. Vagy előfordulhat, hogy a felhasználók olyan üzeneteket látnak, amelyek nem rendelkeznek hitelesítő adatokkal a védett tartalom megnyitásához. A problémák megoldásához hozzon létre egy hálózati átirányítást ezekhez a számítógépekhez, amely átirányítja az AD RMS URL-címének teljes tartománynevét a számítógép helyi IP-címére (127.0.0.1). Ezt úgy teheti meg, hogy konfigurálja a helyi gazdagépfájlt az egyes számítógépeken, vagy a DNS használatával.

• Átirányítás helyi gazdagépfájlon keresztül: Adja hozzá a következő sort a helyi gazdagépfájlhoz, és cserélje le <AD RMS URL FQDN> az AD RMS-fürt értékét előtagok és weblapok nélkül:

  127.0.0.1 <AD RMS URL FQDN>
  

• Átirányítás DNS-en keresztül: Hozzon létre egy új gazdagéprekordot (A) az AD RMS URL-cím teljes tartománynevéhez, amelynek IP-címe 127.0.0.1.

11. lépés: Ügyfélmigrálási feladatok elvégzése

Mobileszköz-ügyfelek és Mac számítógépek esetén: Távolítsa el az AD RMS mobileszköz-bővítmény telepítésekor létrehozott DNS SRV-rekordokat.

A DNS-módosítások propagálása után ezek az ügyfelek automatikusan felfedezik és elkezdik használni a Azure Tartalomvédelmi szolgáltatások szolgáltatást. Az Office Macet futtató Mac számítógépek azonban az AD RMS-ből gyorsítótárazják az információkat. Ezeknél a számítógépeknél ez a folyamat akár 30 napot is igénybe vehet.

Ha a Mac számítógépeket arra szeretné kényszeríteni, hogy azonnal futtassa a felderítési folyamatot, a kulcskarikában keressen rá az "adal" kifejezésre, és törölje az összes ADAL-bejegyzést. Ezután futtassa a következő parancsokat ezeken a számítógépeken:

rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

Amikor az összes meglévő Windows-számítógépe át lett migrálva az Azure Information Protectionbe, nincs ok arra, hogy továbbra is használja az előkészítési vezérlőket, és fenntartsa a migrálási folyamathoz létrehozott AIPMigrated csoportot.

Először távolítsa el az előkészítési vezérlőket, majd törölheti az AIPMigrated csoportot és a migrálási szkriptek üzembe helyezéséhez létrehozott szoftvertelepítési módszereket.

Az előkészítési vezérlők eltávolítása:

1. PowerShell-munkamenetben csatlakozzon a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz, és amikor a rendszer kéri, adja meg a globális rendszergazdai hitelesítő adatait:

   Connect-AipService
   
   

2. Futtassa a következő parancsot, és erősítse meg az Y értéket:

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
   

   Vegye figyelembe, hogy ez a parancs eltávolítja a Azure Tartalomvédelmi szolgáltatások védelmi szolgáltatáshoz tartozó licenckényszerítéseket, hogy minden számítógép megvédhesse a dokumentumokat és az e-maileket.

3. Győződjön meg arról, hogy az előkészítési vezérlők már nincsenek beállítva:

   Get-AipServiceOnboardingControlPolicy
   

   A kimenetben a licencnek hamisnak kell lennie, és nem jelenik meg GUID a SecurityGroupOjbectId azonosítóhoz

Végül, ha office 2010-et használ, és engedélyezte az AD RMS tartalomvédelmi szabályzatsablon-kezelési (automatizált) feladatát a Windows feladatütemezőtárban, tiltsa le ezt a feladatot, mert az Azure Information Protection-ügyfél nem használja.

Ez a feladat általában csoportházirend használatával van engedélyezve, és támogatja az AD RMS üzembe helyezését. Ezt a feladatot a következő helyen találja: Microsoft>Windows>Active Directory Rights Management Services-ügyfél.

Fontos

Az Office 2010 kiterjesztett támogatása 2020. október 13-án megszűnt. További információt az AIP és az örökölt Windows- és Office-verziókban talál.

12. lépés: Az Azure Information Protection-bérlőkulcs újrakulcsolása

Erre a lépésre akkor van szükség, ha az AD RMS üzembe helyezése RMS 1 titkosítási módot használt, mert ez a mód 1024 bites kulcsot és SHA-1-et használ. Ez a konfiguráció nem megfelelő szintű védelmet kínál. A Microsoft nem támogatja az olyan alacsonyabb kulcshosszok használatát, mint például az 1024 bites RSA-kulcsok és a nem megfelelő szintű védelmet nyújtó protokollok, például az SHA-1 használata.

Az újrakulcsolás az RMS 2. titkosítási módot használó védelmet eredményez, amely 2048 bites kulcsot és SHA-256-ot eredményez.

Még ha az AD RMS üzembe helyezése 2. titkosítási módot is használt, akkor is javasoljuk, hogy tegye ezt a lépést, mert egy új kulcs segít megvédeni a bérlőt az AD RMS-kulcs esetleges biztonsági incidenseitől.

Amikor újrakulcsozza az Azure Information Protection-bérlőkulcsot (más néven "a kulcs gördülését"), a rendszer archiválja az aktuálisan aktív kulcsot, és az Azure Information Protection egy másik, Ön által megadott kulcsot használ. Ez a különböző kulcs lehet az Azure Key Vaultban létrehozott új kulcs, vagy a bérlő számára automatikusan létrehozott alapértelmezett kulcs.

Az egyik kulcsról a másikra való áttérés nem történik meg azonnal, hanem néhány hét alatt. Mivel ez nem azonnali, ne várjon, amíg az eredeti kulcs megsértésére gyanakszik, de a migrálás befejezése után végezze el ezt a lépést.

Az Azure Information Protection-bérlőkulcs újrakulcsolása:

• Ha a bérlőkulcsot a Microsoft kezeli: Futtassa a Set-AipServiceKeyProperties PowerShell-parancsmagot, és adja meg a bérlőhöz automatikusan létrehozott kulcs kulcsazonosítóját. A Get-AipServiceKeys parancsmag futtatásával azonosíthatja a megadható értéket. A bérlő számára automatikusan létrehozott kulcs a legrégebbi létrehozási dátummal rendelkezik, így a következő paranccsal azonosíthatja:

  (Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
  

• Ha a bérlőkulcsot Ön kezeli (BYOK):Az Azure Key Vaultban ismételje meg az Azure Information Protection-bérlő kulcslétrehozási folyamatát, majd futtassa újra a Use-AipServiceKeyVaultKey parancsmagot az új kulcs URI-jának megadásához.

Az Azure Information Protection-bérlőkulcs kezelésével kapcsolatos további információkért lásd az Azure Information Protection-bérlőkulcs műveleteit.

Következő lépések

Most, hogy befejezte a migrálást, tekintse át az AIP üzembe helyezési ütemtervét a besoroláshoz, címkézéshez és védelemhez , hogy azonosítsa az esetlegesen szükséges egyéb üzembehelyezési feladatokat.