Migrasi fase 1 - persiapan

Gunakan informasi berikut untuk Fase 1 migrasi dari AD RMS ke Perlindungan Informasi Azure. Prosedur ini mencakup langkah 1 hingga 3 dari Migrasi dari AD RMS ke Perlindungan Informasi Azure dan menyiapkan lingkungan Anda untuk migrasi tanpa pengaruh apa pun kepada pengguna Anda.

Langkah 1: Instal modul AIPService PowerShell dan identifikasi URL penyewa Anda

Instal modul AIPService untuk memungkinkan Anda mengonfigurasi dan mengelola layanan yang memberikan perlindungan data untuk Perlindungan Informasi Azure.

Untuk petunjuknya, lihat Menginstal modul AIPService PowerShell.

Untuk menyelesaikan beberapa instruksi migrasi, Anda perlu mengetahui URL layanan Manajemen Hak Azure untuk penyewa Anda, sehingga Anda dapat menggantinya saat melihat referensi ke <URL> Penyewa Anda.

URL layanan Azure Rights Management Anda memiliki format berikut: {GUID}.rms.[Region].aadrm.com. Misalnya: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

Untuk mengidentifikasi URL layanan Azure Rights Management Anda

1. Koneksi ke layanan Azure Rights Management dan saat diminta, masukkan kredensial untuk administrator global penyewa Anda:

   Connect-AipService
   

2. Dapatkan konfigurasi penyewa Anda:

   Get-AipServiceConfiguration
   

3. Salin nilai yang ditampilkan untuk LicensingIntranetDistributionPointUrl, dan dari string ini, hapus /_wmcs\licensing.

   Yang tersisa adalah URL layanan Azure Rights Management Anda untuk penyewa Perlindungan Informasi Azure Anda. Nilai ini sering disingkat ke URL penyewa Anda dalam instruksi migrasi berikut.

   Anda dapat memverifikasi bahwa Anda memiliki nilai yang benar dengan menjalankan perintah PowerShell berikut ini:

   (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
   

Langkah 2: Bersiap untuk migrasi klien

Untuk sebagian besar migrasi, tidak praktis untuk memigrasikan semua klien sekaligus. Anda kemungkinan memigrasikan klien dalam batch.

Ini berarti bahwa selama beberapa waktu, beberapa klien menggunakan Perlindungan Informasi Azure dan beberapa masih akan menggunakan AD RMS. Untuk mendukung pengguna yang dipramigrasikan dan dimigrasikan, gunakan kontrol orientasi dan sebarkan skrip pramigrasi.

Catatan

Langkah ini diperlukan selama proses migrasi sehingga pengguna yang belum bermigrasi dapat menggunakan konten yang telah dilindungi oleh pengguna yang dimigrasikan yang sekarang menggunakan Azure Rights Management.

Untuk mempersiapkan migrasi klien

1. Buat grup, misalnya, bernama AIPMigrated. Grup ini dapat dibuat di Direktori Aktif dan disinkronkan ke cloud, atau dapat dibuat di Microsoft 365 atau ID Microsoft Entra.

   Jangan tetapkan pengguna apa pun ke grup ini saat ini. Pada langkah selanjutnya, saat pengguna dimigrasikan, tambahkan mereka ke grup.

2. Catat ID objek grup ini menggunakan salah satu metode berikut.

   • Gunakan Microsoft Graph PowerShell. Misalnya, gunakan perintah Get-MgGroup .
   • Salin ID objek grup dari portal Azure.

3. Konfigurasikan grup ini untuk kontrol orientasi untuk memperbolehkan hanya orang dalam grup ini menggunakan Manajemen Hak Azure untuk melindungi isi.

   Untuk melakukan konfigurasi ini, dalam sesi PowerShell, sambungkan ke layanan Azure Rights Management. Saat diminta, tentukan kredensial admin global Anda.

   Connect-AipService
   

   Konfigurasikan grup ini untuk kontrol onboarding, ganti ID objek grup Anda dengan yang ada dalam contoh ini. Saat diminta, masukkan Y untuk mengonfirmasi.

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
   

4. Unduh file Migration-Scripts.zip.

5. Ekstrak file dan ikuti instruksi di Prepare-Client.cmd, sehingga berisi nama server untuk URL lisensi ekstranet kluster AD RMS Anda. Untuk menemukan nama ini, lakukan langkah-langkah berikut.

   1. Dari konsol Layanan Active Directory Rights Management, pilih nama kluster.

   2. Dari informasi Detail Kluster, salin nama server dari nilai Lisensi dari bagian URL kluster ekstranet. Misalnya: rmscluster.contoso.com.

   Penting

   Instruksinya termasuk mengganti alamat contoh adrms.contoso.com dengan alamat server AD RMS Anda.

   Ketika Anda melakukan ini, berhati-hatilah bahwa tidak ada ruang tambahan sebelum atau sesudah alamat Anda. Ruang ekstra akan merusak skrip migrasi, dan sangat sulit diidentifikasi sebagai akar penyebab masalah.

   Beberapa alat pengeditan secara otomatis menambahkan spasi setelah menempelkan teks.

6. Sebarkan skrip ini ke semua komputer Windows untuk memastikan bahwa ketika Anda mulai memigrasikan klien, klien belum dimigrasikan terus berkomunikasi dengan AD RMS bahkan jika mereka menggunakan konten yang dilindungi oleh klien yang dimigrasikan yang sekarang menggunakan layanan Azure Rights Management.

   Anda dapat menggunakan Kebijakan Grup atau mekanisme penyebaran perangkat lunak lain untuk menyebarkan skrip ini.

Langkah 3: Siapkan penyebaran Exchange Anda untuk migrasi

Jika Anda menggunakan Exchange lokal atau Exchange online, Anda mungkin sebelumnya telah mengintegrasikan Exchange dengan penyebaran AD RMS Anda. Dalam langkah ini, konfigurasikan untuk menggunakan konfigurasi AD RMS yang ada untuk mendukung konten yang dilindungi oleh Azure RMS.

Pastikan Anda memiliki URL layanan Azure Rights Management untuk penyewa sehingga Anda dapat mengganti nilai ini untuk <YourTenantURL> dalam perintah berikut.

Lakukan salah satu hal berikut ini, bergantung pada apakah Anda mengintegrasikan Exchange lokal atau Exchange Online dengan AD RMS:

• Pertukaran Terintegrasi lokal dengan AD RMS
• Exchange Online Terintegrasi dengan AD RMS

Jika Anda telah mengintegrasikan Exchange Online dengan AD RMS

1. Buka sesi Exchange Online PowerShell.

2. Jalankan perintah PowerShell berikut ini satu per satu, atau dalam skrip.

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -internallicensingenabled $true 
   

Jika Anda telah mengintegrasikan Exchange lokal dengan AD RMS

Untuk setiap organisasi Exchange, tambahkan nilai registri di setiap server Exchange, lalu jalankan perintah PowerShell:

1. Jika Anda memiliki Exchange 2013 atau Exchange 2016, tambahkan nilai registri berikut:

   • Jalur registri: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Jenis: Reg_SZ

   • Nilai: https://\<Your Tenant URL\>/_wmcs/licensing

   • Data: https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

2. Jalankan perintah PowerShell berikut ini, baik satu per satu, atau dalam skrip:

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -RefreshServerCertificates
   Set-IRMConfiguration -internallicensingenabled $true
   IISReset
   

Setelah Anda menjalankan perintah ini untuk Exchange Online atau Exchange lokal, jika penyebaran Exchange Anda dikonfigurasi untuk mendukung konten yang dilindungi oleh AD RMS, itu juga akan mendukung konten yang dilindungi oleh Azure RMS setelah migrasi.

Penyebaran Exchange Anda terus menggunakan AD RMS untuk mendukung konten yang dilindungi hingga langkah selanjutnya dalam migrasi.

Langkah berikutnya

Buka fase 2 - konfigurasi sisi server.