Fase di migrazione 1 - preparazione

Usare le informazioni seguenti per la fase 1 della migrazione da AD RMS ad Azure Information Protection. Queste procedure illustrano i passaggi da 1 a 3 dalla migrazione da AD RMS ad Azure Information Protection e preparano l'ambiente per la migrazione senza alcun impatto sugli utenti.

Passaggio 1: Installare il modulo AIPService PowerShell e identificare l'URL del tenant

Installare il modulo AIPService per consentire di configurare e gestire il servizio che fornisce la protezione dei dati per Azure Information Protection.

Per istruzioni, vedere Installazione del modulo AIPService PowerShell.

Per completare alcune istruzioni di migrazione, è necessario conoscere l'URL del servizio Azure Rights Management per il tenant, in modo da poterlo sostituire quando vengono visualizzati i riferimenti all'URL<> tenant.

L'URL del servizio Azure Rights Management ha il formato seguente: {GUID}.rms.[Region].aadrm.com. Ad esempio: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

Per identificare l'URL del servizio Azure Rights Management

  1. Connessione al servizio Azure Rights Management e, quando richiesto, immettere le credenziali per l'amministratore globale del tenant:

    Connect-AipService
    
  2. Ottenere la configurazione del tenant:

    Get-AipServiceConfiguration
    
  3. Copiare il valore visualizzato per LicensingIntranetDistributionPointUrl e da questa stringa rimuovere /_wmcs\licensing.

    Ciò che rimane è l'URL del servizio Azure Rights Management per il tenant di Azure Information Protection. Questo valore viene spesso abbreviato in URL tenant nelle istruzioni di migrazione seguenti.

    È possibile verificare di avere il valore corretto eseguendo il comando di PowerShell seguente:

    (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
    

Passaggio 2. Preparare la migrazione client

Per la maggior parte delle migrazioni, non è pratico eseguire la migrazione di tutti i client contemporaneamente, quindi è probabile che si eservi la migrazione dei client in batch.

Questo significa che per un certo periodo di tempo alcuni client usano Azure Information Protection mentre altri usano ancora AD RMS. Per supportare gli utenti pre-migrati e migrati, usare i controlli di onboarding e distribuire uno script di pre-migrazione.

Nota

Questo passaggio è necessario durante il processo di migrazione, in modo che gli utenti che non hanno ancora eseguito la migrazione possano usare contenuto protetto dagli utenti migrati che ora usano Azure Rights Management.

Per preparare la migrazione client

  1. Creare, ad esempio, un gruppo denominato AIPMigrated. Questo gruppo può essere creato in Active Directory e sincronizzato con il cloud oppure può essere creato in Microsoft 365 o Azure Active Directory.

    Al momento non assegnare utenti a questo gruppo. In un passaggio successivo, quando viene eseguita la migrazione degli utenti, verranno aggiunti al gruppo.

  2. Prendere nota dell'ID oggetto di questo gruppo utilizzando uno dei metodi seguenti:

    • Usare Azure AD PowerShell. Ad esempio, per la versione 1.0 del modulo, usa il comando [Get-MsolGroup]/powershell/module/msonline/get-msolgroup).
    • Copiare l'ID oggetto del gruppo dal portale di Azure.
  3. Configurare questo gruppo per i controlli di onboarding in modo che solo gli utenti di questo gruppo possano usare Azure Rights Management per proteggere il contenuto.

    A tale scopo, in una sessione di PowerShell connettersi al servizio Azure Rights Management. Quando richiesto, specificare le credenziali di amministratore globale:

    Connect-AipService
    

    Configurare questo gruppo per i controlli di onboarding sostituendo l'ID oggetto gruppo a quello di questo esempio. Quando richiesto, immettere Y per confermare.

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
    
  4. Scaricare il file Migration-Scripts.zip .

  5. Estrarre i file e seguire le istruzioni in Prepare-Client.cmd, in modo che contenga il nome del server per l'URL delle licenze Extranet del cluster AD RMS. Per individuare questo nome, eseguire le operazioni seguenti:

    1. Dalla console Active Directory Rights Management Services fare clic sul nome del cluster.

    2. Dalle informazioni dettagli cluster copiare il nome del server dal valore Licensing dalla sezione URL del cluster Extranet. Ad esempio: rmscluster.contoso.com.

    Importante

    Le istruzioni includono la sostituzione degli indirizzi di esempio di adrms.contoso.com con gli indirizzi server AD RMS.

    Quando si esegue questa operazione, prestare attenzione che non siano presenti spazi aggiuntivi prima o dopo gli indirizzi. Gli spazi aggiuntivi interromperanno lo script di migrazione ed è molto difficile identificarlo come causa principale del problema.

    Alcuni strumenti di modifica aggiungono automaticamente uno spazio dopo aver incollato il testo.

  6. Distribuire questo script in tutti i computer Windows per assicurarsi che quando si inizia a eseguire la migrazione dei client, i client ancora da spostare continuino a comunicare con AD RMS anche se utilizzano contenuto protetto dai client di cui è stata eseguita la migrazione che usano ora il servizio Azure Rights Management.

    Per distribuire questo script è possibile usare Criteri di gruppo o un altro meccanismo di distribuzione del software.

Passaggio 3. Preparare la distribuzione Exchange per la migrazione

Se si usa Exchange locale o Exchange online, è possibile che in precedenza sia stato integrato Exchange con la distribuzione di AD RMS. In questo passaggio verranno configurati in modo da usare la configurazione AD RMS esistente per supportare il contenuto protetto da Azure RMS.

Assicurarsi di avere l'URL del servizio Azure Rights Management per il tenant in modo da poter sostituire questo valore con <YourTenantURL> nei comandi seguenti.

Eseguire una delle operazioni seguenti, a seconda che sia stato integrato Exchange locale o Exchange Online con AD RMS:

Se è stato integrato Exchange Online con AD RMS

  1. Aprire una sessione di PowerShell Exchange Online.

  2. Eseguire i comandi di PowerShell seguenti uno alla una o in uno script:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -internallicensingenabled $true 
    

Se è stato integrato Exchange locale con AD RMS

Per ogni Exchange organizzazione, aggiungere valori del Registro di sistema in ogni server Exchange, quindi eseguire i comandi di PowerShell:

  1. Se si ha Exchange 2013 o Exchange 2016, aggiungere il valore del Registro di sistema seguente:

    • Percorso del Registro di sistema: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Tipo: Reg_SZ

    • Valore: https://\<Your Tenant URL\>/_wmcs/licensing

    • Dati: https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

  2. Eseguire i comandi di PowerShell seguenti, uno alla uno, o in uno script:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -RefreshServerCertificates
    Set-IRMConfiguration -internallicensingenabled $true
    IISReset
    

Dopo aver eseguito questi comandi per Exchange Online o Exchange locale, se la distribuzione Exchange è stata configurata per supportare il contenuto protetto da AD RMS, supporterà anche il contenuto protetto da Azure RMS dopo la migrazione.

La distribuzione Exchange continuerà a usare AD RMS per supportare il contenuto protetto fino a un passaggio successivo della migrazione.

Passaggi successivi

Passare alla fase 2 - configurazione lato server.