Migreren van AD RMS naar Azure Information Protection

Voer de volgende instructies uit om uw Active Directory Rights Management Services (AD RMS)-implementatie te migreren naar Azure Information Protection.

Na de migratie zijn uw AD RMS-servers niet langer in gebruik, maar gebruikers hebben nog steeds toegang tot documenten en e-mailberichten die uw organisatie heeft beveiligd met AD RMS. Nieuw beveiligde inhoud maakt gebruik van de Azure Rights Management-service (Azure RMS) van Azure Information Protection.

Aanbevolen materiaal om te lezen voordat u naar Azure Information Protection migreert

Hoewel dit niet vereist is, is het wellicht handig de volgende documentatie te lezen voordat u de migratie start. Deze kennis biedt u een beter inzicht in hoe de technologie werkt wanneer dit relevant is voor uw migratiestap.

• Uw tenant Azure Information Protection-tenantsleutel plannen en implementeren: begrijp de belangrijkste opties voor sleutelbeheer waarover u beschikt voor uw Azure Information Protection-tenant, waarbij het equivalent van uw SLC-sleutel in de cloud wordt beheerd door Microsoft (standaard) of door uzelf (de 'Bring Your Own Key'- of BYOK-configuratie).

• RMS-servicedetectie: in deze sectie van de implementatie van de RMS-client wordt uitgelegd dat de volgorde voor servicedetectie register is, vervolgens serviceaansluitpunt (SCP) en vervolgens cloud. Tijdens het migratieproces, wanneer de SCP nog steeds is geïnstalleerd, configureert u clients met registerinstellingen voor uw Azure Information Protection-tenant, zodat deze geen gebruik maken van het AD RMS-cluster dat door het SCP wordt geretourneerd.

• Overzicht van de Microsoft Rights Management-connector: in deze sectie van de documentatie over de RMS-connector wordt uitgelegd hoe uw lokale servers verbinding kunnen maken met de Azure Rights Management-service om documenten en e‑mailberichten te beveiligen.

Als u niet bekend bent met de werking van AD RMS, is het misschien handig om te lezen hoe Azure RMS werkt? Onder de schermen om u te helpen identificeren welke technologieprocessen hetzelfde of verschillend zijn voor de cloudversie.

Vereisten om te migreren van AD RMS naar Azure Information Protection

Voordat u begint aan de migratie naar Azure Information Protection, dient u ervoor te zorgen dat aan de volgende vereisten is voldaan en dat u eventuele beperkingen begrijpt.

• Een ondersteunde RMS-implementatie:

  • De volgende versies van AD RMS ondersteunen een migratie naar Azure Information Protection:

    • Windows Server 2012 (x64)

    • Windows Server 2012 R2 (x64)

    • Windows Server 2016 (x64)

  • Alle geldige AD RMS-topologieën worden ondersteund:

    • Eén forest, één RMS-cluster

    • Eén forest, meerdere RMS-clusters met alleen licentieverlening

    • Meerdere forests, meerdere RMS clusters

    Notitie

    Standaard migreren meerdere AD RMS-clusters naar één tenant voor Azure Information Protection. Als u afzonderlijke tenants voor Azure Information Protection wilt, moet u deze behandelen als verschillende migraties. Een sleutel van één RMS-cluster kan niet worden geïmporteerd in meer dan één tenant.

• Alle vereisten voor het uitvoeren van Azure Information Protection, inclusief een abonnement voor Azure Information Protection (de Azure Rights Management-service is niet geactiveerd):

  Zie Vereisten voor Azure Information Protection.

  De Azure Information Protection-client is vereist voor classificatie en labeling, en optioneel, maar wordt aanbevolen als u alleen gegevens wilt beveiligen.

  Zie de beheerdershandleidingen voor de Azure Information Protection geïntegreerde labelclient voor meer informatie.

  Hoewel u een abonnement op Azure Information Protection moet hebben voordat u vanuit AD RMS kunt migreren, wordt afgeraden de Rights Management-service voor uw tenant vóór de migratie te activeren.

  Het migratieproces omvat deze activeringsstap nadat u sleutels en sjablonen hebt geëxporteerd vanuit AD RMS en deze hebt geïmporteerd in uw tenant voor Azure Information Protection. Als de Rights Management-service echter al is geactiveerd, kunt u nog steeds met enkele extra stappen migreren vanuit AD RMS.

  Alleen Office 2010:

  Als u computers met Office 2010 hebt, moet u de Azure Information Protection-client installeren om gebruikers te kunnen verifiëren bij cloudservices.

  Belangrijk

  Uitgebreide ondersteuning voor Office 2010 is beëindigd op 13 oktober 2020. Zie AIP en oudere versies van Windows en Office voor meer informatie.

• Voorbereiding voor Azure Information Protection:

  • Mapsynchronisatie tussen uw lokale map en Azure Active Directory

  • Groepen met e-mail in Azure Active Directory

    Zie Gebruikers en groepen voorbereiden voor Azure Information Protection.

• Als u de functie Information Rights Management (IRM) van Exchange Server (bijvoorbeeld transportregels en Outlook Web Access) of SharePoint Server met AD RMS hebt gebruikt:

  • Houd rekening met een korte periode waarin IRM niet beschikbaar is op deze servers

    U kunt IRM na de migratie blijven gebruiken op deze servers. Een van de migratiestappen is echter de IRM-service tijdelijk te deactiveren, een connector te installeren en te configureren, de servers opnieuw te configureren en vervolgens IRM opnieuw in te schakelen.

    Dit is de enige serviceonderbreking tijdens het migratieproces.

• Als u uw eigen Azure Information Protection-tenantsleutel wilt beheren met een met HSM beveiligde sleutel:

  • Voor deze optionele configuratie moet u Azure Key Vault en een Azure-abonnement hebben dat ondersteuning biedt voor Key Vault met HSM beveiligde sleutels. Zie de pagina met prijzen voor Azure Key Vault voor meer informatie.

Overwegingen over de cryptografische modus

Als uw AD RMS-cluster zich momenteel in cryptografische modus 1 bevindt, moet u het cluster niet upgraden naar cryptografische modus 2 voordat u de migratie start. Migreer in plaats daarvan met cryptografische modus 1 en u kunt uw tenantsleutel aan het einde van de migratie opnieuw versleutelen als een van de taken na de migratie.

De cryptografische ad RMS-modus voor Windows Server 2012 R2 en Windows 2012 bevestigen: tabblad Algemeen van AD RMS-clustereigenschappen>.

Migratiebeperkingen

• Als u beschikt over software en clients die niet worden ondersteund door de Rights Management-service die wordt gebruikt door Azure Information Protection, kan inhoud die wordt beveiligd door Azure Rights Management niet door deze software of clients worden beveiligd of gebruikt. Controleer de secties ondersteunde toepassingen en clients in vereisten voor Azure Information Protection.

• Als uw AD RMS-implementatie is geconfigureerd voor samenwerking met externe partners (bijvoorbeeld via vertrouwde gebruikersdomeinen of federatie), moeten zij ook migreren naar Azure Information Protection op hetzelfde moment als u dat doet of anders zo spoedig mogelijk daarna. Om toegang te blijven houden tot inhoud die uw organisatie voorheen beveiligde met Azure Information Protection, moeten zij wijzigingen in de clientconfiguratie aanbrengen die vergelijkbaar zijn met de uwe en die worden vermeld in dit document.

  Vanwege de mogelijke configuratieverschillen bij uw partners vallen de exacte instructies voor deze herconfiguratie buiten het bereik van dit document. Zie echter de volgende sectie, Contact opnemen met Microsoft Support, voor planningsrichtlijnen en meer informatie.

Migratieplanning als u met externe partners samenwerkt

Neem uw AD RMS-partners op in de planningsfase voor migratie omdat zij ook moeten migreren naar Azure Information Protection. Voordat u een van de volgende migratiestappen uitvoert, moet het volgende aanwezig zijn:

• Ze hebben een Azure Active Directory-tenant die ondersteuning biedt voor de Azure Rights Management-service.

  Ze hebben bijvoorbeeld een Office 365 E3- of E5-abonnement, of een Enterprise Mobility + Security-abonnement, of een zelfstandig abonnement voor Azure Information Protection.

• Hun Azure Rights Management-service is nog niet geactiveerd, maar ze kennen wel de URL van hun Azure Rights Management-service.

  Ze kunnen deze informatie verkrijgen door het hulpprogramma Azure Rights Management te installeren, verbinding te maken met de service (Connect-AipService) en vervolgens hun tenantgegevens weer te geven voor de Azure Rights Management-service (Get-AipServiceConfiguration).

• Ze geven u de URL's voor hun AD RMS-cluster en de URL van hun Azure Rights Management-service, zodat u uw gemigreerde clients kunt configureren om aanvragen voor hun beveiligde AD RMS-inhoud om te leiden naar de Azure Rights Management-service van hun tenant. Stap 7 biedt instructies voor het configureren van clientomleiding.

• Ze importeren de hoofdsleutels van hun AD RMS-cluster in hun tenant voordat u begint met de migratie van uw gebruikers. En op dezelfde wijze moet u de hoofdsleutels van uw AD RMS-cluster importeren voordat zij hun gebruikers gaan migreren. Instructies voor het importeren van de sleutel worden behandeld in dit migratieproces, stap 4. Configuratiegegevens exporteren uit AD RMS en importeren in Azure Information Protection.

Overzicht van de stappen voor de migratie van AD RMS naar Azure Information Protection

De migratiestappen kunnen worden onderverdeeld in vijf fasen die kunnen worden uitgevoerd op verschillende tijdstippen en door verschillende beheerders.

Fase 1: Migratievoorbereiding

Zie FASE 1: MIGRATIEVOORBEREIDING voor meer informatie.

Stap 1: Installeer de AIPService PowerShell-module en identificeer uw tenant-URL

Voor het migratieproces moet u een of meer PowerShell-cmdlets uitvoeren vanuit de module AIPService. U moet de URL van de Azure Rights Management-service van uw tenant kennen om veel van de migratiestappen uit te voeren en u kunt deze waarde in identiteiten herkennen met behulp van PowerShell.

Stap 2. Clientmigratie voorbereiden

Als u niet alle clients tegelijk kunt migreren, maar dat in batches gaat doen, gebruik dan voorbereidingsopties en implementeer een pre-migratiescript. Als u echter alles tegelijk migreert in plaats van een gefaseerde migratie uit te voeren, kunt u deze stap overslaan.

Stap 3. Uw Exchange-implementatie voorbereiden voor migratie

Deze stap is vereist als u momenteel de IRM-functie van Exchange Online of Exchange on-premises gebruikt om e-mailberichten te beveiligen. Als u echter alles tegelijk migreert in plaats van een gefaseerde migratie uit te voeren, kunt u deze stap overslaan.

Fase 2: Configuratie aan serverzijde voor AD RMS

Zie FASE 2: CONFIGURATIE AAN SERVERZIJDE VOOR AD RMS voor meer informatie.

Stap 4. De configuratiegegevens vanuit AD RMS exporteren en in Azure Information Protection importeren

U exporteert de configuratiegegevens (sleutels, sjablonen, URL's) van AD RMS naar een XML-bestand en uploadt dat bestand vervolgens naar de Azure Rights Management-service vanuit Azure Information Protection met behulp van de Import-AipServiceTpd PowerShell-cmdlet. Identificeer vervolgens de sleutel voor serverlicentiecertificaten die moet worden gebruikt als tenantsleutel voor de Azure Rights Management-service. Afhankelijk van de configuratie van uw AD RMS-sleutel kunnen er extra stappen nodig zijn:

• Migratie van met software beschermde sleutel naar met software beschermde sleutel:

  Centraal beheerde sleutels op basis van wachtwoorden in AD RMS naar door Microsoft beheerde Azure Information Protection-tenantsleutel. Dit is het eenvoudigste migratiepad waarvoor geen extra stappen zijn vereist.

• Migratie van met HSM beveiligde sleutel naar met HSM beveiligde sleutel:

  Sleutels die zijn opgeslagen door een HSM voor AD RMS naar door de klant beheerde Azure Information Protection-tenantsleutel (BYOK-scenario (Bring Your Own Key)). Hiervoor zijn aanvullende stappen vereist om de sleutel van uw on-premises nCipher HSM over te dragen naar Azure Key Vault en de Azure Rights Management-service te autoriseren om deze sleutel te gebruiken. Uw bestaande, met HSM beveiligde sleutel moet modulair beveiligd zijn. Met OCS beveiligde sleutels worden niet ondersteund door de Rights Management-services.

• Migratie van met software beschermde sleutel naar met HSM beschermde sleutel:

  Centraal beheerde sleutels op basis van wachtwoorden in AD RMS naar door de klant beheerde Azure Information Protection-tenantsleutel (BYOK-scenario (Bring Your Own Key)). Hiervoor is de meeste configuratie vereist, omdat u eerst uw softwaresleutel moet extraheren en deze moet importeren in een on-premises HSM. Voer vervolgens de extra stappen uit om de sleutel over te dragen van uw on-premises nCipher HSM naar een Azure Key Vault HSM en autoriseren de Azure Rights Management-service om de sleutelkluis te gebruiken die de sleutel opslaat.

Stap 5. De Azure Rights Management-service activeren

Voer deze stap zo mogelijk uit na het importproces en niet ervoor. Als de service is geactiveerd voordat de importbewerking is uitgevoerd, zijn er aanvullende stappen vereist.

Stap 6. Geïmporteerde sjablonen configureren

Wanneer u uw rechtenbeleidssjablonen importeert, wordt de status ervan gearchiveerd. Als u wilt dat gebruikers de sjablonen kunnen zien en gebruiken, moet u de sjabloonstatus in de klassieke Azure-portal wijzigen in Gepubliceerd.

Fase 3: Configuratie aan clientzijde

Zie FASE 3: CONFIGURATIE AAN CLIENTZIJDE voor meer informatie.

Stap 7: Windows-computers opnieuw configureren voor het gebruik van Azure Information Protection

Bestaande Windows-computers moeten opnieuw worden geconfigureerd om de Azure Rights Management-service te gebruiken in plaats van AD RMS. Deze stap is van toepassing op computers in uw organisatie en op computers in partnerorganisaties als u hiermee hebt samengewerkt terwijl u AD RMS uitvoerde.

Fase 4: Configuratie van ondersteunende services

Zie FASE 4: CONFIGURATIE VAN ONDERSTEUNENDE SERVICES voor meer informatie.

Stap 8. IRM-integratie voor Exchange Online configureren

Met deze stap wordt de AD RMS-migratie voor Exchange Online voltooid voor gebruik van de Azure Rights Management-service.

Stap 9: IRM-integratie voor Exchange Server en SharePoint Server configureren

Met deze stap wordt de AD RMS-migratie voor Exchange of SharePoint on-premises voltooid voor gebruik van de Azure Rights Management-service, waarvoor de Rights Management-connector moet worden geïmplementeerd.

Fase 5: Taken na migratie

Zie FASE 5: TAKEN NA MIGRATIE voor meer informatie.

Stap 10. Inrichting van AD RMS beëindigen

Wanneer u hebt bevestigd dat alle Windows-computers de Azure Rights Management-service gebruiken en geen toegang meer hebben tot uw AD RMS-servers, kunt u de inrichting van uw AD RMS-implementatie ongedaan maken.

Stap 11: Clientmigratietaken voltooien

Als u de extensie voor mobiele apparaten hebt geïmplementeerd ter ondersteuning van mobiele apparaten zoals iOS-telefoons en iPads, Android-telefoons en -tablets, Windows-telefoons en -tablets en Mac-computers, moet u de SRV-records in DNS verwijderen die deze clients hebben omgeleid om AD RMS te gebruiken.

De voorbereidingsopties die u hebt geconfigureerd tijdens de voorbereidingsfase zijn niet meer nodig. Als u echter geen besturingselementen voor onboarding hebt gebruikt, omdat u ervoor hebt gekozen om alles tegelijkertijd te migreren in plaats van een gefaseerde migratie uit te voeren, kunt u de instructies overslaan om de onboarding-besturingselementen te verwijderen.

Als op uw Windows-computers Office 2010 wordt uitgevoerd, controleert u of u de ad RMS Rights Template Management-taak (geautomatiseerd) moet uitschakelen.

Belangrijk

Uitgebreide ondersteuning voor Office 2010 is beëindigd op 13 oktober 2020. Zie AIP en oudere versies van Windows en Office voor meer informatie.

Stap 12: Uw Azure Information Protection-tenantsleutel opnieuw versleutelen

Deze stap wordt aanbevolen als u vóór de migratie niet in cryptografische modus 2 werd uitgevoerd.

Volgende stappen

Voor het starten van de migratie gaat u naar Fase 1 - voorbereiding.