Udostępnij za pośrednictwem


Faza 1 migracji — przygotowanie

Skorzystaj z poniższych informacji dotyczących fazy 1 migracji z usług AD RMS do usługi Azure Information Protection. Te procedury obejmują kroki od 1 do 3 z sekcji Migrowanie z usług AD RMS do usługi Azure Information Protection i przygotowanie środowiska do migracji bez żadnego wpływu na użytkowników.

Krok 1. Instalowanie modułu programu PowerShell usługi AIPService i identyfikowanie adresu URL dzierżawy

Zainstaluj moduł AIPService, aby umożliwić konfigurowanie usługi zapewniającej ochronę danych w usłudze Azure Information Protection i zarządzanie nią.

Aby uzyskać instrukcje, zobacz Instalowanie modułu AIPService programu PowerShell.

Aby wykonać niektóre instrukcje migracji, musisz znać adres URL usługi Azure Rights Management dla dzierżawy, aby zastąpić go, gdy zobaczysz odwołania do <adresu URL> dzierżawy.

Adres URL usługi Azure Rights Management ma następujący format: {GUID}.rms.[Region].aadrm.com. Na przykład: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

Aby zidentyfikować adres URL usługi Azure Rights Management

  1. Połączenie do usługi Azure Rights Management i po wyświetleniu monitu wprowadź poświadczenia administratora globalnego dzierżawy:

    Connect-AipService
    
  2. Pobierz konfigurację dzierżawy:

    Get-AipServiceConfiguration
    
  3. Skopiuj wartość wyświetlaną dla elementu LicensingIntranetDistributionPointUrl, a następnie usuń wartość z tego ciągu /_wmcs\licensing.

    Pozostaje Twój adres URL usługi Azure Rights Management dla dzierżawy usługi Azure Information Protection. Ta wartość jest często skracana do adresu URL dzierżawy w poniższych instrukcjach migracji.

    Możesz sprawdzić, czy masz poprawną wartość, uruchamiając następujące polecenie programu PowerShell:

    (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
    

Krok 2. Przygotowanie do migracji klienta

W przypadku większości migracji nie jest praktyczne migrowanie wszystkich klientów jednocześnie. Prawdopodobnie migrujesz klientów w partiach.

Oznacza to, że przez jakiś czas niektórzy klienci korzystają z usługi Azure Information Protection, a niektóre nadal będą korzystać z usług AD RMS. Aby obsługiwać zarówno użytkowników premiowanych, jak i migrowanych, użyj kontrolek dołączania i wdróż skrypt premigration.

Uwaga

Ten krok jest wymagany podczas procesu migracji, aby użytkownicy, którzy jeszcze nie zmigrowali, mogli korzystać z zawartości chronionej przez zmigrowanych użytkowników, którzy korzystają teraz z usługi Azure Rights Management.

Aby przygotować się do migracji klienta

  1. Utwórz grupę, na przykład o nazwie AIPMigrated. Tę grupę można utworzyć w usłudze Active Directory i zsynchronizować z chmurą lub utworzyć ją w usłudze Microsoft 365 lub Microsoft Entra ID.

    Nie przypisuj obecnie żadnych użytkowników do tej grupy. W późniejszym kroku po przeprowadzeniu migracji użytkowników dodaj je do grupy.

  2. Zanotuj identyfikator obiektu tej grupy przy użyciu jednej z następujących metod.

    • Użyj programu Microsoft Graph PowerShell. Na przykład użyj polecenia Get-MgGroup .
    • Skopiuj identyfikator obiektu grupy z witryny Azure Portal.
  3. Skonfiguruj tę grupę na potrzeby kontrolek dołączania, aby zezwalać tylko osobom w tej grupie na używanie usługi Azure Rights Management do ochrony zawartości.

    Aby wykonać tę konfigurację, w sesji programu PowerShell połącz się z usługą Azure Rights Management. Po wyświetleniu monitu określ poświadczenia administratora globalnego.

    Connect-AipService
    

    Skonfiguruj tę grupę na potrzeby kontrolek dołączania, podstawiając identyfikator obiektu grupy dla tej w tym przykładzie. Po wyświetleniu monitu wprowadź wartość Y , aby potwierdzić.

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
    
  4. Pobierz plik Migration-Scripts.zip.

  5. Wyodrębnij pliki i postępuj zgodnie z instrukcjami w Prepare-Client.cmd, aby zawierała nazwę serwera dla adresu URL licencjonowania ekstranetu klastra usług AD RMS. Aby zlokalizować tę nazwę, wykonaj następujące kroki.

    1. W konsoli Usługi Active Directory Rights Management wybierz nazwę klastra.

    2. Z informacji o szczegółach klastra skopiuj nazwę serwera z wartości Licencjonowanie z sekcji Adresy URL klastra ekstranetu. Na przykład: rmscluster.contoso.com.

    Ważne

    Instrukcje obejmują zastępowanie przykładowych adresów adrms.contoso.com adresami serwerów usług AD RMS.

    W takim przypadku należy zachować ostrożność, że nie ma dodatkowych spacji przed lub po adresach. Dodatkowe spacje spowodują przerwanie skryptu migracji i jest bardzo trudne do zidentyfikowania jako głównej przyczyny problemu.

    Niektóre narzędzia do edycji automatycznie dodają spację po wklejeniu tekstu.

  6. Wdróż ten skrypt na wszystkich komputerach z systemem Windows, aby upewnić się, że po rozpoczęciu migracji klientów, klienci nie zostaną jeszcze zmigrowane, będą nadal komunikować się z usługami AD RMS, nawet jeśli korzystają z zawartości chronionej przez zmigrowanych klientów, którzy korzystają teraz z usługi Azure Rights Management.

    Do wdrożenia tego skryptu można użyć zasad grupy lub innego mechanizmu wdrażania oprogramowania.

Krok 3. Przygotowanie wdrożenia programu Exchange do migracji

Jeśli używasz lokalnego programu Exchange lub usługi Exchange Online, być może wcześniej zintegrowano program Exchange z wdrożeniem usług AD RMS. W tym kroku skonfiguruj je tak, aby korzystały z istniejącej konfiguracji usług AD RMS do obsługi zawartości chronionej przez usługę Azure RMS.

Upewnij się, że masz adres URL usługi Azure Rights Management dla dzierżawy , aby zastąpić tę wartość atrybutem <YourTenantURL> w następujących poleceniach.

Wykonaj jedną z następujących czynności, w zależności od tego, czy zintegrowano lokalny program Exchange, czy usługę Exchange Online z usługami AD RMS:

Jeśli zintegrowano usługę Exchange Online z usługami AD RMS

  1. Otwórz sesję programu PowerShell usługi Exchange Online.

  2. Uruchom następujące polecenia programu PowerShell pojedynczo lub w skrycie.

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -internallicensingenabled $true 
    

Jeśli zintegrowano lokalny program Exchange z usługą AD RMS

Dla każdej organizacji programu Exchange dodaj wartości rejestru na każdym serwerze Exchange, a następnie uruchom polecenia programu PowerShell:

  1. Jeśli masz program Exchange 2013 lub Exchange 2016, dodaj następującą wartość rejestru:

    • Ścieżka rejestru: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Typ: Reg_SZ

    • Wartość: https://\<Your Tenant URL\>/_wmcs/licensing

    • Dane: https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

  2. Uruchom następujące polecenia programu PowerShell( jeden po jednym lub w skrycie):

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -RefreshServerCertificates
    Set-IRMConfiguration -internallicensingenabled $true
    IISReset
    

Po uruchomieniu tych poleceń dla lokalnej usługi Exchange Online lub exchange, jeśli wdrożenie programu Exchange zostało skonfigurowane do obsługi zawartości chronionej przez usługę AD RMS, będzie również obsługiwać zawartość chronioną przez usługę Azure RMS po migracji.

Wdrożenie programu Exchange nadal używa usług AD RMS do obsługi chronionej zawartości do późniejszego kroku migracji.

Następne kroki

Przejdź do fazy 2 — konfiguracja po stronie serwera.