Migreren van ADRMS naar Azure Information Protection
Gebruik de volgende set instructies voor het migreren van uw Ad RMS-implementatie (Active Directory Rights Management Services) naar Azure Information Protection.
Na de migratie worden uw AD RMS-servers niet meer gebruikt, maar hebben gebruikers nog steeds toegang tot documenten en e-mailberichten die uw organisatie heeft beveiligd met AD RMS. Nieuw beveiligde inhoud gebruikt de Azure Rights Management-service (Azure RMS) van Azure Information Protection.
Aanbevolen leesinformatie voordat u migreert naar Azure Information Protection
Hoewel dit niet vereist is, is het wellicht handig om de volgende documentatie te lezen voordat u de migratie start. Deze kennis biedt u een beter inzicht in hoe de technologie werkt wanneer deze relevant is voor uw migratiestap.
Uw Azure Information Protection-tenantsleutel plannen en implementeren: inzicht in de opties voor sleutelbeheer die u hebt voor uw Azure Information Protection-tenant, waarbij uw SLC-sleutel equivalent in de cloud wordt beheerd door Microsoft (de standaardinstelling) of wordt beheerd door u (de 'Bring Your Own Key' of BYOK-configuratie).
RMS-servicedetectie: In deze sectie van de implementatie van de RMS-client wordt uitgelegd dat de volgorde voor servicedetectie register is, vervolgens serviceaansluitpunt (SCP) en vervolgens cloud. Tijdens het migratieproces wanneer de SCP nog steeds is geïnstalleerd, configureert u clients met registerinstellingen voor uw Azure Information Protection-tenant, zodat ze het AD RMS-cluster dat is geretourneerd door het SCP niet gebruiken.
Overzicht van de Microsoft Rights Management-connector: in deze sectie in de documentatie van de RMS-connector wordt uitgelegd hoe uw on-premises servers verbinding kunnen maken met de Azure Rights Management-service om documenten en e-mailberichten te beveiligen.
Als u niet bekend bent met hoe AD RMS werkt, is het wellicht handig om te lezen hoe Azure RMS werkt? Onder de schermen om u te helpen identificeren welke technologieprocessen hetzelfde of verschillend zijn voor de cloudversie.
Vereisten voor het migreren van AD RMS naar Azure Information Protection
Voordat u de migratie naar Azure Information Protection start, moet u ervoor zorgen dat aan de volgende vereisten wordt voldaan en dat u eventuele beperkingen begrijpt.
Een ondersteunde RMS-implementatie:
De volgende versies van AD RMS ondersteunen een migratie naar Azure Information Protection:
Windows Server 2012 (x64)
Windows Server 2012 R2 (x64)
Windows Server 2016 (x64)
Alle geldige AD RMS-topologieën worden ondersteund:
Eén forest, één RMS-cluster
Eén forest, meerdere RMS-clusters met licentieverlening
Meerdere forests, meerdere RMS-clusters
Notitie
Standaard migreren meerdere AD RMS-clusters naar één tenant voor Azure Information Protection. Als u afzonderlijke tenants voor Azure Information Protection wilt, moet u deze behandelen als verschillende migraties. Een sleutel van één RMS-cluster kan niet worden geïmporteerd in meer dan één tenant.
Alle vereisten voor het uitvoeren van Azure Information Protection, inclusief een abonnement voor Azure Information Protection (de Azure Rights Management-service is niet geactiveerd):
Zie Vereisten voor Azure Information Protection.
De Azure Information Protection-client is vereist voor classificatie en labeling en optioneel, maar wordt aanbevolen als u alleen gegevens wilt beveiligen.
Zie de beheerdershandleidingen voor de geïntegreerde Labelclient van Azure Information Protection voor meer informatie.
Hoewel u een abonnement voor Azure Information Protection moet hebben voordat u kunt migreren vanuit AD RMS, raden we u aan de Rights Management-service voor uw tenant niet te activeren voordat u de migratie start.
Het migratieproces omvat deze activeringsstap nadat u sleutels en sjablonen uit AD RMS hebt geëxporteerd en deze hebt geïmporteerd in uw tenant voor Azure Information Protection. Als de Rights Management-service echter al is geactiveerd, kunt u nog steeds migreren vanuit AD RMS met een aantal extra stappen.
Alleen Office 2010:
Als u computers met Office 2010 hebt, moet u de Azure Information Protection-client installeren om gebruikers te kunnen verifiëren bij cloudservices.
Belangrijk
De uitgebreide ondersteuning voor Office 2010 is beëindigd op 13 oktober 2020. Zie AIP en oudere Versies van Windows en Office voor meer informatie.
Voorbereiding voor Azure Information Protection:
Adreslijstsynchronisatie tussen uw on-premises adreslijst en Microsoft Entra-id
Groepen met e-mail in Microsoft Entra-id
Zie Gebruikers en groepen voorbereiden voor Azure Information Protection.
Als u de IRM-functionaliteit (Information Rights Management) van Exchange Server (bijvoorbeeld transportregels en Outlook Web Access) of SharePoint Server met AD RMS hebt gebruikt:
Een korte periode plannen wanneer IRM niet beschikbaar is op deze servers
U kunt IRM blijven gebruiken op deze servers na de migratie. Een van de migratiestappen is echter om de IRM-service tijdelijk uit te schakelen, een connector te installeren en te configureren, de servers opnieuw te configureren en vervolgens IRM opnieuw in te schakelen.
Dit is de enige onderbreking van de service tijdens het migratieproces.
Als u uw eigen Azure Information Protection-tenantsleutel wilt beheren met behulp van een met HSM beveiligde sleutel:
- Voor deze optionele configuratie zijn Azure Key Vault en een Azure-abonnement vereist dat Key Vault ondersteunt met met HSM beveiligde sleutels. Zie de pagina met prijzen voor Azure Key Vault voor meer informatie.
Overwegingen voor cryptografische modus
Als uw AD RMS-cluster zich momenteel in cryptografische modus 1 bevindt, moet u het cluster niet upgraden naar cryptografische modus 2 voordat u de migratie start. Migreer in plaats daarvan met cryptografische modus 1 en u kunt uw tenantsleutel aan het einde van de migratie opnieuw versleutelen als een van de taken na de migratie.
De cryptografische modus van AD RMS voor Windows Server 2012 R2 en Windows 2012 bevestigen: tabblad Algemeen ad RMS-clustereigenschappen>.
Migratiebeperkingen
Als u software en clients hebt die niet worden ondersteund door de Rights Management-service die wordt gebruikt door Azure Information Protection, kunnen ze geen inhoud beveiligen of gebruiken die wordt beveiligd door Azure Rights Management. Controleer de secties ondersteunde toepassingen en clients in vereisten voor Azure Information Protection.
Als uw AD RMS-implementatie is geconfigureerd om samen te werken met externe partners (bijvoorbeeld door gebruik te maken van vertrouwde gebruikersdomeinen of federatie), moeten ze ook migreren naar Azure Information Protection op hetzelfde moment als uw migratie, of zo snel mogelijk daarna. Als u toegang wilt blijven krijgen tot inhoud die uw organisatie eerder heeft beveiligd met behulp van Azure Information Protection, moeten ze wijzigingen aanbrengen in de clientconfiguratie die vergelijkbaar zijn met de inhoud die u aanbrengt en die in dit document zijn opgenomen.
Vanwege de mogelijke configuratievariaties die uw partners kunnen hebben, vallen exacte instructies voor deze herconfiguratie buiten het bereik van dit document. Zie echter de volgende sectie voor planningsrichtlijnen en voor aanvullende hulp, neem contact op met Microsoft Ondersteuning.
Migratieplanning als u samenwerkt met externe partners
Neem uw AD RMS-partners op in uw planningsfase voor migratie, omdat ze ook moeten migreren naar Azure Information Protection. Voordat u een van de volgende migratiestappen uitvoert, moet u ervoor zorgen dat het volgende is ingesteld:
Ze hebben een Microsoft Entra-tenant die ondersteuning biedt voor de Azure Rights Management-service.
Ze hebben bijvoorbeeld een Office 365 E3- of E5-abonnement, of een Enterprise Mobility + Security-abonnement of een zelfstandig abonnement voor Azure Information Protection.
Hun Azure Rights Management-service is nog niet geactiveerd, maar ze weten de URL van hun Azure Rights Management-service.
Ze kunnen deze informatie ophalen door het Azure Rights Management-hulpprogramma te installeren, verbinding te maken met de service (Verbinding maken-AipService) en vervolgens hun tenantgegevens voor de Azure Rights Management-service (Get-AipServiceConfiguration) te bekijken.
Ze bieden u de URL's voor hun AD RMS-cluster en de URL van de Azure Rights Management-service, zodat u uw gemigreerde clients kunt configureren om aanvragen voor hun met AD RMS beveiligde inhoud om te leiden naar de Azure Rights Management-service van hun tenant. Instructies voor het configureren van clientomleiding bevinden zich in stap 7.
Ze importeren hun AD RMS-clusterhoofdsleutels (SLC) in hun tenant voordat u begint met het migreren van uw gebruikers. Op dezelfde manier moet u de hoofdsleutels van uw AD RMS-cluster importeren voordat ze hun gebruikers gaan migreren. Instructies voor het importeren van de sleutel worden behandeld in dit migratieproces, stap 4. Exporteer configuratiegegevens uit AD RMS en importeer deze in Azure Information Protection.
Overzicht van de stappen voor het migreren van AD RMS naar Azure Information Protection
De migratiestappen kunnen worden onderverdeeld in vijf fasen die op verschillende momenten kunnen worden uitgevoerd en door verschillende beheerders.
Fase 1: Migratievoorbereiding
Zie FASE 1: MIGRATIEVOORBEREIDING voor meer informatie.
Stap 1: Installeer de AIPService PowerShell-module en identificeer uw tenant-URL
Voor het migratieproces moet u een of meer PowerShell-cmdlets uitvoeren vanuit de AIPService-module. U moet weten wat de URL van de Azure Rights Management-service van uw tenant is om veel van de migratiestappen uit te voeren en u kunt deze waarde identiteit geven met behulp van PowerShell.
Stap 2. Voorbereiden op clientmigratie
Als u niet alle clients tegelijk kunt migreren en deze in batches wilt migreren, gebruikt u onboarding-besturingselementen en implementeert u een script vóór de migratie. Als u echter alles tegelijk migreert in plaats van een gefaseerde migratie uit te voeren, kunt u deze stap overslaan.
Stap 3: Uw Exchange-implementatie voorbereiden voor migratie
Deze stap is vereist als u momenteel de IRM-functie van Exchange Online of Exchange On-premises gebruikt om e-mailberichten te beveiligen. Als u echter alles tegelijk migreert in plaats van een gefaseerde migratie uit te voeren, kunt u deze stap overslaan.
Fase 2: Configuratie aan serverzijde voor AD RMS
Zie FASE 2: CONFIGURATIE AAN SERVERZIJDE VOOR AD RMS voor meer informatie.
Stap 4. Configuratiegegevens exporteren uit AD RMS en deze importeren in Azure Information Protection
U exporteert de configuratiegegevens (sleutels, sjablonen, URL's) van AD RMS naar een XML-bestand en uploadt dat bestand vervolgens naar de Azure Rights Management-service vanuit Azure Information Protection met behulp van de PowerShell-cmdlet Import-AipServiceTpd. Bepaal vervolgens welke geïmporteerde SLC-sleutel (Server Licentiecertificaat) moet worden gebruikt als uw tenantsleutel voor de Azure Rights Management-service. Er zijn mogelijk extra stappen nodig, afhankelijk van de configuratie van uw AD RMS-sleutel:
Migratie van met software beveiligde sleutel naar met software beveiligde sleutel:
Centraal beheerde sleutels op basis van wachtwoorden in AD RMS naar door Microsoft beheerde Azure Information Protection-tenantsleutel. Dit is het eenvoudigste migratiepad en er zijn geen extra stappen vereist.
Migratie van met HSM beveiligde sleutel naar met HSM beveiligde sleutel:
Sleutels die zijn opgeslagen door een HSM voor AD RMS naar door de klant beheerde Azure Information Protection-tenantsleutel (het 'Bring Your Own Key'- of BYOK-scenario). Hiervoor zijn aanvullende stappen vereist voor het overdragen van de sleutel van uw on-premises nCipher HSM naar Azure Key Vault en het autoriseren van de Azure Rights Management-service om deze sleutel te gebruiken. Uw bestaande met HSM beveiligde sleutel moet worden beveiligd met een module; Met OCS beveiligde sleutels worden niet ondersteund door Rights Management-services.
Migratie van met software beveiligde sleutel naar met HSM beveiligde sleutel:
Centraal beheerde sleutels op basis van wachtwoorden in AD RMS naar door de klant beheerde Azure Information Protection-tenantsleutel (het 'Bring Your Own Key' of BYOK-scenario). Hiervoor is de meeste configuratie vereist, omdat u eerst uw softwaresleutel moet extraheren en moet importeren in een on-premises HSM. Voer vervolgens de extra stappen uit om de sleutel over te dragen van uw on-premises nCipher HSM naar een Azure Key Vault HSM en autoriseren de Azure Rights Management-service om de sleutelkluis te gebruiken die de sleutel opslaat.
Stap 5. De Azure Rights Management-service activeren
Voer indien mogelijk deze stap uit na het importproces en niet vóór. Aanvullende stappen zijn vereist als de service vóór het importeren is geactiveerd.
Stap 6. Geïmporteerde sjablonen configureren
Wanneer u uw rechtenbeleidssjablonen importeert, wordt hun status gearchiveerd. Als u wilt dat gebruikers deze kunnen zien en gebruiken, moet u de sjabloonstatus wijzigen om te worden gepubliceerd in de klassieke Azure-portal.
Fase 3: Configuratie aan clientzijde
Zie FASE 3: CONFIGURATIE AAN CLIENTZIJDE voor meer informatie.
Stap 7: Windows-computers opnieuw configureren voor het gebruik van Azure Information Protection
Bestaande Windows-computers moeten opnieuw worden geconfigureerd voor het gebruik van de Azure Rights Management-service in plaats van AD RMS. Deze stap is van toepassing op computers in uw organisatie en op computers in partnerorganisaties als u met hen hebt samengewerkt terwijl u AD RMS uitvoert.
Fase 4: Configuratie van ondersteunende services
Zie FASE 4: CONFIGURATIE VAN ONDERSTEUNENDE SERVICES voor meer informatie.
Stap 8: IRM-integratie configureren voor Exchange Online
Met deze stap voltooit u de AD RMS-migratie voor Exchange Online om nu de Azure Rights Management-service te gebruiken.
Stap 9: IRM-integratie configureren voor Exchange Server en SharePoint Server
Met deze stap voltooit u de AD RMS-migratie voor Exchange of SharePoint on-premises om nu de Azure Rights Management-service te gebruiken. Hiervoor moet de Rights Management-connector worden geïmplementeerd.
Fase 5: Taken na migratie
Zie FASE 5: TAKEN NA MIGRATIE voor meer informatie.
Stap 10: De inrichting van AD RMS ongedaan maken
Wanneer u hebt bevestigd dat alle Windows-computers gebruikmaken van de Azure Rights Management-service en geen toegang meer hebben tot uw AD RMS-servers, kunt u de inrichting van uw AD RMS-implementatie ongedaan maken.
Stap 11: clientmigratietaken voltooien
Als u de extensie voor mobiele apparaten hebt geïmplementeerd ter ondersteuning van mobiele apparaten, zoals iOS-telefoons en iPads, Android-telefoons en -tablets, Windows-telefoons en -tablets en Mac-computers, moet u de SRV-records in DNS verwijderen die deze clients hebben omgeleid om AD RMS te gebruiken.
De onboarding-besturingselementen die u tijdens de voorbereidingsfase hebt geconfigureerd, zijn niet meer nodig. Als u echter geen onboarding-besturingselementen hebt gebruikt omdat u ervoor hebt gekozen om alles tegelijkertijd te migreren in plaats van een gefaseerde migratie uit te voeren, kunt u de instructies overslaan om de onboarding-besturingselementen te verwijderen.
Als op uw Windows-computers Office 2010 wordt uitgevoerd, controleert u of u de taak AD RMS Rights Policy Template Management (geautomatiseerd) moet uitschakelen.
Belangrijk
De uitgebreide ondersteuning voor Office 2010 is beëindigd op 13 oktober 2020. Zie AIP en oudere Versies van Windows en Office voor meer informatie.
Stap 12: Uw Azure Information Protection-tenantsleutel opnieuw versleutelen
Deze stap wordt aanbevolen als u vóór de migratie niet in cryptografische modus 2 werd uitgevoerd.
Volgende stappen
Als u de migratie wilt starten, gaat u naar fase 1 - voorbereiding.