Fase 1 della migrazione - Preparazione

Usare le informazioni seguenti per la fase 1 della migrazione da AD RMS ad Azure Information Protection. Queste procedure illustrano i passaggi da 1 a 3 dalla migrazione da AD RMS ad Azure Information Protection e preparare l'ambiente per la migrazione senza alcun effetto per gli utenti.

Passaggio 1: Installare il modulo PowerShell AIPService e identificare l'URL del tenant

Installare il modulo AIPService per consentire di configurare e gestire il servizio che fornisce la protezione dei dati per Azure Information Protection.

Per istruzioni, vedere Installazione del modulo PowerShell AIPService.

Per completare alcune delle istruzioni di migrazione, è necessario conoscere l'URL del servizio Azure Rights Management per il tenant, in modo da poterlo sostituire quando vengono visualizzati i riferimenti all'URL <>del tenant.

L'URL del servizio Azure Rights Management ha il formato seguente: {GUID}.rms.[Region].aadrm.com. Ad esempio: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

Per identificare l'URL del servizio Azure Rights Management

1. Connessione al servizio Azure Rights Management e, quando richiesto, immettere le credenziali per l'amministratore globale del tenant:

   Connect-AipService
   

2. Ottenere la configurazione del tenant:

   Get-AipServiceConfiguration
   

3. Copiare il valore visualizzato per LicensingIntranetDistributionPointUrl e da questa stringa rimuovere /_wmcs\licensing.

   Resta l'URL del servizio Azure Rights Management per il tenant di Azure Information Protection. Questo valore viene spesso abbreviato nell'URL del tenant nelle istruzioni di migrazione seguenti.

   È possibile verificare di avere il valore corretto eseguendo il comando di PowerShell seguente:

   (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
   

Passaggio 2: Preparare la migrazione client

Per la maggior parte delle migrazioni, non è pratico eseguire la migrazione di tutti i client contemporaneamente. È probabile che si esegue la migrazione dei client in batch.

Ciò significa che per un certo periodo di tempo alcuni client usano Azure Information Protection e alcuni usano ancora AD RMS. Per supportare sia gli utenti premigrati che gli utenti migrati, usare i controlli di onboarding e distribuire uno script di premigration.

Nota

Questo passaggio è necessario durante il processo di migrazione in modo che gli utenti che non hanno ancora eseguito la migrazione possano utilizzare il contenuto protetto dagli utenti migrati che ora usano Azure Rights Management.

Per prepararsi alla migrazione client

1. Creare un gruppo, ad esempio denominato AIPMigrated. Questo gruppo può essere creato in Active Directory e sincronizzato con il cloud oppure può essere creato in Microsoft 365 o microsoft Entra ID.

   Non assegnare utenti a questo gruppo in questo momento. In un passaggio successivo, quando gli utenti vengono migrati, aggiungerli al gruppo.

2. Prendere nota dell'ID oggetto di questo gruppo usando uno dei metodi seguenti.

   • Usare Microsoft Graph PowerShell. Ad esempio, usare il comando Get-MgGroup .
   • Copiare l'ID oggetto del gruppo dal portale di Azure.

3. Configurare questo gruppo per i controlli di onboarding per consentire solo agli utenti di questo gruppo di usare Azure Rights Management per proteggere il contenuto.

   A tale scopo, in una sessione di PowerShell connettersi al servizio Azure Rights Management. Quando richiesto, specificare le credenziali di amministratore globale.

   Connect-AipService
   

   Configurare questo gruppo per i controlli di onboarding, sostituendo l'ID oggetto gruppo per quello in questo esempio. Quando richiesto, immettere Y per confermare.

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
   

4. Scaricare il file Migration-Scripts.zip.

5. Estrarre i file e seguire le istruzioni riportate in Prepare-Client.cmd, in modo che contenga il nome del server per l'URL delle licenze Extranet del cluster AD RMS. Per individuare questo nome, seguire questa procedura.

   1. Nella console di Active Directory Rights Management Services selezionare il nome del cluster.

   2. Nelle informazioni dettagli cluster copiare il nome del server dal valore Licensing (Licenze) dalla sezione URL del cluster Extranet. Ad esempio: rmscluster.contoso.com.

   Importante

   Le istruzioni includono la sostituzione degli indirizzi di esempio di adrms.contoso.com con gli indirizzi del server AD RMS.

   Quando si esegue questa operazione, prestare attenzione che non ci siano spazi aggiuntivi prima o dopo gli indirizzi. Gli spazi aggiuntivi interromperanno lo script di migrazione ed è molto difficile da identificare come causa radice del problema.

   Alcuni strumenti di modifica aggiungono automaticamente uno spazio dopo aver incollato il testo.

6. Distribuire questo script in tutti i computer Windows per assicurarsi che quando si inizia a eseguire la migrazione dei client, i client ancora da migrare continuano a comunicare con AD RMS anche se utilizzano contenuto protetto dai client migrati che ora usano il servizio Azure Rights Management.

   È possibile usare Criteri di gruppo o un altro meccanismo di distribuzione software per distribuire questo script.

Passaggio 3: Preparare la distribuzione di Exchange per la migrazione

Se si usa Exchange locale o Exchange Online, è possibile che Exchange sia stato integrato in precedenza con la distribuzione di AD RMS. In questo passaggio configurarli in modo da usare la configurazione di AD RMS esistente per supportare il contenuto protetto da Azure RMS.

Assicurarsi di avere l'URL del servizio Azure Rights Management per il tenant in modo che sia possibile sostituire questo valore per <YourTenantURL> nei comandi seguenti.

Eseguire una delle operazioni seguenti, a seconda che Exchange locale o Exchange Online sia integrato con AD RMS:

• Exchange locale integrato con AD RMS
• Exchange Online integrato con AD RMS

Se Exchange Online è stato integrato con AD RMS

1. Aprire una sessione di PowerShell di Exchange Online.

2. Eseguire i comandi di PowerShell seguenti uno per uno o in uno script.

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -internallicensingenabled $true 
   

Se Exchange locale è stato integrato con AD RMS

Per ogni organizzazione di Exchange, aggiungere i valori del Registro di sistema in ogni server Exchange e quindi eseguire i comandi di PowerShell:

1. Se si dispone di Exchange 2013 o Exchange 2016, aggiungere il valore del Registro di sistema seguente:

   • Percorso del Registro di sistema: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Tipo: Reg_SZ

   • Valore: https://\<Your Tenant URL\>/_wmcs/licensing

   • Dati: https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

2. Eseguire i comandi di PowerShell seguenti, uno per uno o in uno script:

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -RefreshServerCertificates
   Set-IRMConfiguration -internallicensingenabled $true
   IISReset
   

Dopo aver eseguito questi comandi per Exchange Online o Exchange locale, se la distribuzione di Exchange è stata configurata per supportare il contenuto protetto da AD RMS, supporterà anche il contenuto protetto da Azure RMS dopo la migrazione.

La distribuzione di Exchange continua a usare AD RMS per supportare il contenuto protetto fino a un passaggio successivo della migrazione.

Passaggi successivi

Passare alla fase 2: configurazione lato server.