Migratiefase 1 - voorbereiding

Gebruik de volgende informatie voor fase 1 van de migratie van AD RMS naar Azure Information Protection. Deze procedures hebben betrekking op stap 1 tot en met 3 van migreren van AD RMS naar Azure Information Protection en het voorbereiden van uw omgeving op migratie zonder dat dit van invloed is op uw gebruikers.

Stap 1: Installeer de AIPService PowerShell-module en identificeer uw tenant-URL

Installeer de AIPService-module zodat u de service kunt configureren en beheren die de gegevensbeveiliging voor Azure Information Protection biedt.

Zie De AIPService PowerShell-module installeren voor instructies.

Als u enkele migratie-instructies wilt voltooien, moet u de URL van de Azure Rights Management-service voor uw tenant weten, zodat u deze kunt vervangen wanneer u verwijzingen naar <uw tenant-URL> ziet.

De URL van uw Azure Rights Management-service heeft de volgende indeling: {GUID}.rms.[Regio].aadrm.com. Bijvoorbeeld: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

De URL van uw Azure Rights Management-service identificeren

1. Verbinding maken naar de Azure Rights Management-service en voer desgevraagd de referenties in voor de globale beheerder van uw tenant:

   Connect-AipService
   

2. De configuratie van uw tenant ophalen:

   Get-AipServiceConfiguration
   

3. Kopieer de waarde die wordt weergegeven voor LicensingIntranetDistributionPointUrl en verwijder /_wmcs\licensinguit deze tekenreeks.

   Wat resteert is de URL van uw Azure Rights Management-service voor uw Azure Information Protection-tenant. Deze waarde wordt vaak ingekort tot de URL van uw tenant in de volgende migratie-instructies.

   U kunt controleren of u de juiste waarde hebt door de volgende PowerShell-opdracht uit te voeren:

   (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
   

Stap 2: Voorbereiden op clientmigratie

Voor de meeste migraties is het niet praktisch om alle clients tegelijk te migreren. U migreert waarschijnlijk clients in batches.

Dit betekent dat sommige clients gedurende enige tijd Gebruikmaken van Azure Information Protection en sommige nog steeds AD RMS gebruiken. Als u zowel vooraf gemigreerde als gemigreerde gebruikers wilt ondersteunen, gebruikt u onboarding-besturingselementen en implementeert u een premigratiescript.

Notitie

Deze stap is vereist tijdens het migratieproces, zodat gebruikers die nog niet zijn gemigreerd inhoud kunnen gebruiken die is beveiligd door gemigreerde gebruikers die nu Gebruikmaken van Azure Rights Management.

Voorbereiden op clientmigratie

1. Maak bijvoorbeeld een groep met de naam AIPMigrated. Deze groep kan worden gemaakt in Active Directory en gesynchroniseerd met de cloud, of kan worden gemaakt in Microsoft 365 of Microsoft Entra-id.

   Wijs op dit moment geen gebruikers toe aan deze groep. Wanneer gebruikers worden gemigreerd, voegt u deze in een latere stap toe aan de groep.

2. Noteer de object-id van deze groep met behulp van een van de volgende methoden.

   • Gebruik Microsoft Graph PowerShell. Gebruik bijvoorbeeld de opdracht Get-MgGroup .
   • Kopieer de object-id van de groep vanuit Azure Portal.

3. Configureer deze groep voor onboarding-besturingselementen zodat alleen personen in deze groep Azure Rights Management kunnen gebruiken om inhoud te beveiligen.

   Als u deze configuratie wilt uitvoeren, maakt u in een PowerShell-sessie verbinding met de Azure Rights Management-service. Geef desgevraagd uw globale beheerdersreferenties op.

   Connect-AipService
   

   Configureer deze groep voor onboarding-besturingselementen, waarbij u de id van uw groepsobject vervangt door de id in dit voorbeeld. Voer Y in als u hierom wordt gevraagd.

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
   

4. Download het Migration-Scripts.zip-bestand.

5. Pak de bestanden uit en volg de instructies in Prepare-Client.cmd, zodat deze de servernaam voor de extranet-URL van uw AD RMS-cluster bevat. Ga als volgt te werk om deze naam te vinden.

   1. Selecteer in de Active Directory Rights Management Services-console de clusternaam.

   2. Kopieer in de informatie over clusterdetails de servernaam uit de licentiewaarde uit de sectie URL's van het extranetcluster. Bijvoorbeeld: rmscluster.contoso.com.

   Belangrijk

   De instructies omvatten het vervangen van voorbeeldadressen van adrms.contoso.com door uw AD RMS-serveradressen.

   Wanneer u dit doet, moet u voorzichtig zijn dat er geen extra spaties voor of na uw adressen zijn. Extra spaties breken het migratiescript af en is erg moeilijk te identificeren als de hoofdoorzaak van het probleem.

   Sommige bewerkingsprogramma's voegen automatisch een spatie toe nadat u tekst hebt geplakt.

6. Implementeer dit script op alle Windows-computers om ervoor te zorgen dat wanneer u clients gaat migreren, clients die nog moeten worden gemigreerd, blijven communiceren met AD RMS, zelfs als ze inhoud gebruiken die wordt beveiligd door gemigreerde clients die nu gebruikmaken van de Azure Rights Management-service.

   U kunt Groepsbeleid of een ander software-implementatiemechanisme gebruiken om dit script te implementeren.

Stap 3: Uw Exchange-implementatie voorbereiden voor migratie

Als u Exchange on-premises of Exchange Online gebruikt, hebt u Exchange mogelijk eerder geïntegreerd met uw AD RMS-implementatie. In deze stap configureert u deze voor het gebruik van de bestaande AD RMS-configuratie ter ondersteuning van inhoud die wordt beveiligd door Azure RMS.

Zorg ervoor dat u de URL van uw Azure Rights Management-service voor uw tenant hebt, zodat u deze waarde kunt vervangen door <YourTenantURL> in de volgende opdrachten.

Voer een van de volgende handelingen uit, afhankelijk van of u Exchange On-Premises of Exchange Online hebt geïntegreerd met AD RMS:

• Geïntegreerde Exchange on-premises met AD RMS
• Geïntegreerde Exchange Online met AD RMS

Als u Exchange Online hebt geïntegreerd met AD RMS

1. Open een Exchange Online PowerShell-sessie.

2. Voer de volgende PowerShell-opdrachten één voor één uit of in een script.

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -internallicensingenabled $true 
   

Als u Exchange on-premises hebt geïntegreerd met AD RMS

Voeg voor elke Exchange-organisatie registerwaarden toe op elke Exchange-server en voer vervolgens PowerShell-opdrachten uit:

1. Als u Exchange 2013 of Exchange 2016 hebt, voegt u de volgende registerwaarde toe:

   • Registerpad: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Type: Reg_SZ

   • Waarde: https://\<Your Tenant URL\>/_wmcs/licensing

   • Gegevens: https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

2. Voer de volgende PowerShell-opdrachten uit, één voor één of in een script:

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -RefreshServerCertificates
   Set-IRMConfiguration -internallicensingenabled $true
   IISReset
   

Nadat u deze opdrachten voor Exchange Online of Exchange on-premises hebt uitgevoerd, wordt na de migratie ook inhoud ondersteund die is beveiligd door AD RMS als uw Exchange-implementatie is geconfigureerd ter ondersteuning van inhoud die door AD RMS is beveiligd.

Uw Exchange-implementatie blijft AD RMS gebruiken ter ondersteuning van beveiligde inhoud tot een latere stap in de migratie.

Volgende stappen

Ga naar fase 2: configuratie aan de serverzijde.