Migrálás az AD RMS-ből az Azure Information Protectionbe
Az Active Directory Rights Management Services (AD RMS) üzembe helyezésének az Azure Information Protectionbe való migrálásához kövesse az alábbi utasításokat.
Az áttelepítés után az AD RMS-kiszolgálók már nem használhatók, de a felhasználók továbbra is hozzáférhetnek a szervezet által az AD RMS használatával védett dokumentumokhoz és e-mailekhez. Az újonnan védett tartalom az Azure Information Protection Azure Tartalomvédelmi szolgáltatások szolgáltatását (Azure RMS) fogja használni.
Ajánlott olvasás az Azure Information Protectionbe való migrálás előtt
Bár nem kötelező, a migrálás megkezdése előtt hasznos lehet elolvasni az alábbi dokumentációt. Ez a tudás jobban megismeri a technológia működését, ha az a migrálási lépés szempontjából releváns.
Az Azure Information Protection-bérlőkulcs megtervezése és implementálása: Ismerje meg az Azure Information Protection-bérlőhöz tartozó kulcskezelési lehetőségeket, ahol az SLC-kulcs megfelelőjét a felhőben a Microsoft felügyeli (az alapértelmezett), vagy Ön felügyeli (a "saját kulcs használata" vagy a BYOK-konfiguráció).
RMS-szolgáltatásfelderítés: Az RMS-ügyfél üzembehelyezési megjegyzéseinek ezen szakasza azt ismerteti, hogy a szolgáltatásfelderítés sorrendje a beállításjegyzék, majd a szolgáltatáskapcsolati pont (SCP), majd a felhő. A migrálási folyamat során, amikor az SCP még telepítve van, konfigurálja az ügyfelek beállításjegyzék-beállításait az Azure Information Protection-bérlőhöz, hogy ne használják az SCP-ből visszaadott AD RMS-fürtöt.
A Microsoft Rights Management-összekötő áttekintése: Az RMS-összekötő dokumentációjának ez a szakasza bemutatja, hogyan csatlakozhatnak a helyszíni kiszolgálók a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz a dokumentumok és e-mailek védelme érdekében.
Ha nem ismeri az AD RMS működését, hasznos lehet elolvasni az Azure RMS működését? A motorháztető alatt azonosíthatja, hogy mely technológiai folyamatok azonosak vagy különböznek a felhőverzióhoz.
Az AD RMS Azure Information Protectionbe való migrálásának előfeltételei
Mielőtt megkezdené az Azure Information Protectionre való migrálást, győződjön meg arról, hogy a következő előfeltételek teljesülnek, és tisztában van a korlátozásokkal.
Támogatott RMS-telepítés:
Az AD RMS alábbi kiadásai támogatják az Azure Information Protectionbe való migrálást:
Windows Server 2012 (x64)
Windows Server 2012 R2 (x64)
Windows Server 2016 (x64)
Minden érvényes AD RMS-topológia támogatott:
Egyerdős, önálló RMS-fürt
Egyerdős, csak licenceléssel rendelkező RMS-fürtök
Több erdő, több RMS-fürt
Megjegyzés:
Alapértelmezés szerint több AD RMS-fürt áttelepítése egyetlen bérlőre az Azure Information Protection számára. Ha külön bérlőket szeretne használni az Azure Information Protectionhez, különböző migrálásként kell kezelnie őket. Egy RMS-fürtből származó kulcs nem importálható egynél több bérlőbe.
Az Azure Information Protection futtatásának minden követelménye, beleértve az Azure Information Protection-előfizetést is (a Azure Tartalomvédelmi szolgáltatások szolgáltatás nincs aktiválva):
Lásd az Azure Information Protection követelményeit.
Az Azure Information Protection-ügyfél szükséges a besoroláshoz és a címkézéshez, és nem kötelező, de csak akkor ajánlott, ha csak az adatokat szeretné védeni.
További információt az Azure Information Protection egyesített címkézési ügyfél felügyeleti útmutatóiban talál.
Bár az AD RMS-ből való migrálás előtt rendelkeznie kell egy Azure Information Protection-előfizetéssel, javasoljuk, hogy a migrálás megkezdése előtt ne aktiválja a bérlői Rights Management szolgáltatást.
Az áttelepítési folyamat tartalmazza ezt az aktiválási lépést, miután exportálta a kulcsokat és a sablonokat az AD RMS-ből, és importálta őket az Azure Information Protection bérlőjéhez. Ha azonban a Rights Management szolgáltatás már aktiválva van, néhány további lépéssel továbbra is migrálhat az AD RMS-ből.
Csak Office 2010 esetén:
Ha office 2010-et futtató számítógépekkel rendelkezik, telepítenie kell az Azure Information Protection-ügyfelet , hogy lehetővé teszi a felhasználók hitelesítését a felhőszolgáltatásokban.
Fontos
Az Office 2010 kiterjesztett támogatása 2020. október 13-án megszűnt. További információt az AIP és az örökölt Windows- és Office-verziókban talál.
Az Azure Information Protection előkészítése:
Címtár-szinkronizálás a helyszíni címtár és a Microsoft Entra-azonosító között
Levelezési csoportok a Microsoft Entra-azonosítóban
Lásd: Felhasználók és csoportok előkészítése az Azure Information Protectionhez.
Ha az Exchange Server (például az átviteli szabályok és az Outlook Web Access) vagy a SharePoint Server tartalomvédelmi (IRM) funkcióját használta az AD RMS-sel:
Tervezze meg rövid ideig, amikor az IRM nem lesz elérhető ezeken a kiszolgálókon
A migrálás után továbbra is használhatja az IRM-et ezeken a kiszolgálókon. Az áttelepítés egyik lépése azonban az IRM szolgáltatás ideiglenes letiltása, egy összekötő telepítése és konfigurálása, a kiszolgálók újrakonfigurálása, majd az IRM újbóli engedélyezése.
Ez az egyetlen szolgáltatáskimaradás a migrálási folyamat során.
Ha HSM által védett kulccsal szeretné kezelni a saját Azure Information Protection-bérlőkulcsát:
- Ehhez az opcionális konfigurációhoz az Azure Key Vaultra és egy olyan Azure-előfizetésre van szükség, amely támogatja a Key Vaultot HSM-védelemmel ellátott kulcsokkal. További információkért tekintse meg az Azure Key Vault díjszabási oldalát.
Titkosítási móddal kapcsolatos szempontok
Ha az AD RMS-fürt jelenleg 1. titkosítási módban van, az áttelepítés megkezdése előtt ne frissítse a fürtöt 2. titkosítási módra. Ehelyett migrálás 1. titkosítási móddal, és a migrálás utáni feladatok egyikeként újrakulcsolhatja a bérlőkulcsot az áttelepítés végén.
A Windows Server 2012 R2 és a Windows 2012 AD RMS-fürt tulajdonságainak >Általános lapja az AD RMS titkosítási módjának megerősítéséhez.
A migrálásra vonatkozó korlátozások
Ha olyan szoftverei és ügyfelei vannak, amelyeket az Azure Information Protection által használt Rights Management szolgáltatás nem támogat, nem fogják tudni védeni vagy felhasználni a Azure Tartalomvédelmi szolgáltatások által védett tartalmakat. Mindenképpen ellenőrizze az Azure Information Protection követelményeiből származó támogatott alkalmazás- és ügyfélszakaszokat.
Ha az AD RMS üzembe helyezése külső partnerekkel való együttműködésre van konfigurálva (például megbízható felhasználói tartományok vagy összevonások használatával), akkor a migrálással egy időben vagy a lehető leghamarabb az Azure Information Protectionbe is át kell migrálniuk. Ahhoz, hogy továbbra is hozzáférhessen a szervezet által korábban az Azure Information Protection használatával védett tartalmakhoz, az ügyfélkonfigurációs módosításokat az Ön által végrehajtotthoz hasonlóan kell elvégeznie, és tartalmaznia kell a dokumentumot.
A partnerek lehetséges konfigurációs változatai miatt az újrakonfigurálásra vonatkozó pontos utasítások nem tartoznak a dokumentum hatókörébe. A tervezési útmutatót a következő szakaszban találja, és további segítségért forduljon Microsoft ügyfélszolgálata.
Migrálás tervezése külső partnerekkel való együttműködés esetén
Vegye fel az AD RMS-partnereket a migrálás tervezési fázisára, mert nekik is át kell költözniük az Azure Information Protectionbe. Az alábbi migrálási lépések elvégzése előtt győződjön meg arról, hogy a következő lépések vannak érvényben:
Rendelkezik egy Microsoft Entra-bérlővel, amely támogatja a Azure Tartalomvédelmi szolgáltatások szolgáltatást.
Például Office 365 E3 csomag vagy E5-előfizetéssel, Enterprise Mobility + Security előfizetéssel vagy önálló Azure Information Protection-előfizetéssel rendelkeznek.
A Azure Tartalomvédelmi szolgáltatások szolgáltatás még nincs aktiválva, de ismerik Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címét.
Ezeket az információkat a Azure Tartalomvédelmi szolgáltatások eszköz telepítésével, a szolgáltatáshoz való csatlakozással (Csatlakozás-AipService) és a Azure Tartalomvédelmi szolgáltatások szolgáltatás bérlői adatainak megtekintésével (Get-AipServiceConfiguration) szerezhetik be.
Az AD RMS-fürt url-címét és a Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címét biztosítják, így konfigurálhatja, hogy a migrált ügyfelek átirányítsák az AD RMS által védett tartalomra vonatkozó kéréseket a bérlő Azure Tartalomvédelmi szolgáltatások szolgáltatására. Az ügyfélátirányítás konfigurálására vonatkozó utasítások a 7. lépésben találhatók.
A felhasználók áttelepítése előtt importálják az AD RMS-fürt gyökérkulcsait (SLC) a bérlőjükbe. Hasonlóképpen importálnia kell az AD RMS-fürt gyökérkulcsait, mielőtt megkezdik a felhasználók áttelepítését. A kulcs importálására vonatkozó utasításokat ebben a migrálási folyamat, a 4. lépés ismerteti. Exportálja a konfigurációs adatokat az AD RMS-ből, és importálja azOkat az Azure Information Protectionbe.
Az AD RMS Azure Information Protectionbe való migrálásának lépéseinek áttekintése
A migrálási lépések öt fázisra oszthatók, amelyeket különböző időpontokban és különböző rendszergazdák végezhetnek el.
1. fázis: Migrálás előkészítése
További információ: PHA Standard kiadás 1: MIGRATION PREPARATION.
1. lépés: Az AIPService PowerShell-modul telepítése és a bérlő URL-címének azonosítása
Az áttelepítési folyamathoz egy vagy több PowerShell-parancsmagot kell futtatnia az AIPService modulból. A migrálási lépések végrehajtásához ismernie kell a bérlő Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címét, és ezt az értéket a PowerShell használatával identitással is megadhatja.
Step 2. Felkészülés az ügyfélmigrálásra
Ha nem tudja egyszerre áttelepíteni az összes ügyfelet, és kötegekben fogja áttelepíteni őket, használja az előkészítési vezérlőket, és telepítsen egy áttelepítés előtti szkriptet. Ha azonban a szakaszos migrálás helyett mindent egyszerre migrál, kihagyhatja ezt a lépést.
3. lépés: Az Exchange üzembe helyezésének előkészítése migrálásra
Erre a lépésre akkor van szükség, ha jelenleg az Exchange Online vagy a helyszíni Exchange IRM szolgáltatását használja az e-mailek védelméhez. Ha azonban a szakaszos migrálás helyett mindent egyszerre migrál, kihagyhatja ezt a lépést.
2. fázis: Az AD RMS kiszolgálóoldali konfigurációja
További információ: PHA Standard kiadás 2: Standard kiadás RVER-SIDE CONFIGURATION for AD RMS.
Step 4. Konfigurációs adatok exportálása az AD RMS-ből és importálás az Azure Information Protectionbe
Exportálja a konfigurációs adatokat (kulcsokat, sablonokat, URL-címeket) az AD RMS-ből egy XML-fájlba, majd az Import-AipServiceTpd PowerShell parancsmaggal feltölti a fájlt a Azure Tartalomvédelmi szolgáltatások szolgáltatásba az Azure Information Protectionből. Ezután állapítsa meg, hogy melyik importált kiszolgálói licencadó tanúsítványkulcsot (SLC) használja bérlőkulcsként a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz. Az AD RMS-kulcs konfigurációjától függően további lépésekre lehet szükség:
Szoftveres védelem alatt álló kulcs szoftveres védelem alatt álló kulcs migrálása:
Központilag felügyelt, jelszóalapú kulcsok az AD RMS-ben a Microsoft által felügyelt Azure Information Protection-bérlőkulcshoz. Ez a legegyszerűbb migrálási útvonal, és nincs szükség további lépésekre.
HSM által védett kulcs A HSM által védett kulcs migrálása:
Az AD RMS-hez készült HSM által az ügyfél által felügyelt Azure Information Protection-bérlőkulcshoz tárolt kulcsok (a "saját kulcs használata" vagy a BYOK-forgatókönyv). Ehhez további lépésekre van szükség a kulcs helyszíni nCipher HSM-ből az Azure Key Vaultba való átviteléhez, és engedélyezni kell a Azure Tartalomvédelmi szolgáltatások szolgáltatást a kulcs használatára. A meglévő HSM által védett kulcsnak modulvédettnek kell lennie; Az OCS által védett kulcsokat a Rights Management-szolgáltatások nem támogatják.
Szoftver által védett kulcs A HSM által védett kulcs migrálása:
Központilag felügyelt, jelszóalapú kulcsok az AD RMS-ben az ügyfél által felügyelt Azure Information Protection-bérlőkulcshoz (a "saját kulcs használata" vagy a BYOK-forgatókönyv). Ehhez a legtöbb konfigurációra van szükség, mert először ki kell nyernie a szoftverkulcsot, és importálnia kell egy helyszíni HSM-be, majd meg kell tennie a további lépéseket a kulcs helyszíni nCipher HSM-ből egy Azure Key Vault HSM-be való átviteléhez, és engedélyeznie kell a Azure Tartalomvédelmi szolgáltatások szolgáltatást a kulcsot tároló kulcstartó használatára.
5. lépés A Azure Tartalomvédelmi szolgáltatások szolgáltatás aktiválása
Ha lehetséges, ezt a lépést az importálási folyamat után végezze el, és ne előtte. További lépésekre van szükség, ha a szolgáltatást az importálás előtt aktiválták.
6. lépés Importált sablonok konfigurálása
A tartalomvédelmi szabályzatsablonok importálásakor az állapotuk archiválva lesz. Ha azt szeretné, hogy a felhasználók láthassák és használhassák őket, módosítania kell a sablon állapotát, hogy közzé lehessen tenni őket a klasszikus Azure-portálon.
3. fázis: Ügyféloldali konfiguráció
További információ: PHA Standard kiadás 3: ÜGYFÉLOLDALI KONFIGURÁCIÓ.
7. lépés: Windows rendszerű számítógépek újrakonfigurálását az Azure Information Protection használatára
A meglévő Windows rendszerű számítógépeket újra kell konfigurálni, hogy az AD RMS helyett a Azure Tartalomvédelmi szolgáltatások szolgáltatást használják. Ez a lépés a szervezet számítógépeire és a partnerszervezetek számítógépeire vonatkozik, ha az AD RMS futtatása során együttműködött velük.
4. fázis: Támogató szolgáltatások konfigurálása
További információ: PHA Standard kiadás 4: SUPPORTING Standard kiadás RVICES CONFIGURATION.
8. lépés: IRM-integráció konfigurálása az Exchange Online-hoz
Ez a lépés befejezi az Exchange Online AD RMS migrálását a Azure Tartalomvédelmi szolgáltatások szolgáltatás használatához.
9. lépés: Az Exchange Server és a SharePoint Server IRM-integrációjának konfigurálása
Ez a lépés befejezi az Exchange vagy a SharePoint helyszíni AD RMS-migrálását a Azure Tartalomvédelmi szolgáltatások szolgáltatás használatához, amelyhez telepíteni kell a Rights Management-összekötőt.
5. fázis: Áttelepítés utáni feladatok
További információ: PHA Standard kiadás 5: POST MIGRATION TASKS.
10. lépés: Az AD RMS deprovision
Ha meggyőződött arról, hogy minden Windows-számítógép használja a Azure Tartalomvédelmi szolgáltatások szolgáltatást, és már nem fér hozzá az AD RMS-kiszolgálókhoz, megszüntetheti az AD RMS üzembe helyezését.
11. lépés: Ügyfélmigrálási feladatok elvégzése
Ha a mobileszköz-bővítményt olyan mobileszközök támogatására telepítette, mint az iOS-telefonok és iPadek, androidos telefonok és táblagépek, Windows rendszerű telefonok és táblagépek, valamint Mac számítógépek, el kell távolítania azokat az SRV-rekordokat a DNS-ben, amelyek átirányították ezeket az ügyfeleket az AD RMS használatára.
Az előkészítési fázisban konfigurált előkészítési vezérlőkre már nincs szükség. Ha azonban nem használta az előkészítési vezérlőket, mert úgy döntött, hogy mindent egyszerre migrál ahelyett, hogy fázisos migrálást végez, kihagyhatja az utasításokat az előkészítési vezérlők eltávolításához.
Ha Windows rendszerű számítógépei Office 2010-et futtatnak, ellenőrizze, hogy le kell-e tiltania az AD RMS tartalomvédelmi szabályzatsablon-kezelési (automatizált) feladatát.
Fontos
Az Office 2010 kiterjesztett támogatása 2020. október 13-án megszűnt. További információt az AIP és az örökölt Windows- és Office-verziókban talál.
12. lépés: Az Azure Information Protection-bérlőkulcs újrakulcsolása
Ez a lépés akkor ajánlott, ha a migrálás előtt nem a 2. titkosítási módban futott.
Következő lépések
A migrálás elindításához lépjen az 1. fázisra – előkészítés.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: