Faza 5 migracji — zadania po migracji

Skorzystaj z poniższych informacji dotyczących fazy 5 migracji z usług AD RMS do usługi Azure Information Protection. Te procedury obejmują kroki od 10 do 12 z sekcji Migrowanie z usług AD RMS do usługi Azure Information Protection.

Krok 10. Anulowanie aprowizacji usług AD RMS

Usuń punkt usługi Połączenie ion (SCP) z usługi Active Directory, aby uniemożliwić komputerom odnajdywanie lokalnej infrastruktury usługi Rights Management. Jest to opcjonalne dla istniejących klientów migrowanych z powodu przekierowania skonfigurowanego w rejestrze (na przykład przez uruchomienie skryptu migracji). Jednak usunięcie punktu połączenia usługi uniemożliwia nowym klientom i potencjalnie usługom i narzędziom związanym z usługą RMS znalezienie punktu połączenia połączenia po zakończeniu migracji. Na tym etapie wszystkie połączenia komputerów powinny przejść do usługi Azure Rights Management.

Aby usunąć punkt połączenia usługi, upewnij się, że użytkownik jest zalogowany jako administrator przedsiębiorstwa domeny, a następnie wykonaj następującą procedurę:

1. W konsoli Usługi Active Directory Rights Management kliknij prawym przyciskiem myszy klaster usług AD RMS, a następnie kliknij polecenie Właściwości.

2. Kliknij kartę SCP .

3. Zaznacz pole wyboru Zmień punkt połączenia usługi.

4. Wybierz pozycję Usuń bieżący punkt połączenia, a następnie kliknij przycisk OK.

Teraz monitoruj serwery usług AD RMS pod kątem aktywności. Na przykład sprawdź żądania w raporcie kondycji systemu, tabeli ServiceRequest lub przeprowadź inspekcję dostępu użytkownika do chronionej zawartości.

Po potwierdzeniu, że klienci usługi RMS nie komunikują się już z tymi serwerami i że klienci pomyślnie korzystają z usługi Azure Information Protection, można usunąć rolę serwera usług AD RMS z tych serwerów. Jeśli używasz dedykowanych serwerów, warto najpierw najpierw wyłączyć serwery przez pewien czas. Daje to czas, aby upewnić się, że nie ma żadnych zgłoszonych problemów, które mogą wymagać ponownego uruchomienia tych serwerów w celu zapewnienia ciągłości usługi podczas badania, dlaczego klienci nie korzystają z usługi Azure Information Protection.

Po anulowaniu aprowizacji serwerów usług AD RMS warto skorzystać z okazji przejrzenia szablonu i etykiet. Na przykład przekonwertuj szablony na etykiety, skonsoliduj je, aby użytkownicy mieli mniej możliwości wyboru lub ponownie je skonfigurowali. Jest to również dobry moment na opublikowanie szablonów domyślnych.

W przypadku etykiet poufności i klienta ujednoliconego etykietowania użyj portal zgodności Microsoft Purview. Aby uzyskać więcej informacji, zobacz dokumentację platformy Microsoft 365.

Ważne

Po zakończeniu tej migracji klaster usług AD RMS nie może być używany z usługą Azure Information Protection i opcją przechowywania własnego klucza (HYOK).

Dodatkowa konfiguracja dla komputerów z pakietem Office 2010

Ważne

Wsparcie dodatkowe pakietu Office 2010 zakończyło się 13 października 2020 r. Aby uzyskać więcej informacji, zobacz AIP i starsze wersje systemu Windows i pakietu Office.

Jeśli zmigrowani klienci korzystają z pakietu Office 2010, użytkownicy mogą napotkać opóźnienia podczas otwierania chronionej zawartości po anulowaniu aprowizacji serwerów usług AD RMS. Użytkownicy mogą też zobaczyć komunikaty, że nie mają poświadczeń do otwierania chronionej zawartości. Aby rozwiązać te problemy, utwórz przekierowanie sieciowe dla tych komputerów, które przekierowuje nazwę FQDN adresu URL usług AD RMS do lokalnego adresu IP komputera (127.0.0.1). Można to zrobić, konfigurując plik hostów lokalnych na każdym komputerze lub przy użyciu systemu DNS.

• Przekierowanie za pośrednictwem pliku hostów lokalnych: Dodaj następujący wiersz w pliku hostów lokalnych, zastępując <AD RMS URL FQDN> wartość klastra usług AD RMS bez prefiksów lub stron sieci Web:

  127.0.0.1 <AD RMS URL FQDN>
  

• Przekierowanie za pośrednictwem systemu DNS: utwórz nowy rekord hosta (A) dla nazwy FQDN adresu URL usług AD RMS, który ma adres IP 127.0.0.1.

Krok 11. Wykonywanie zadań migracji klienta

W przypadku klientów urządzeń przenośnych i komputerów Mac: usuń rekordy SRV DNS utworzone podczas wdrażania rozszerzenia urządzenia przenośnego usług AD RMS.

Po propagacji tych zmian DNS ci klienci będą automatycznie odnajdywać i rozpoczynać korzystanie z usługi Azure Rights Management. Jednak komputery Mac z uruchomionym pakietem Office buforować informacje z usług AD RMS. W przypadku tych komputerów ten proces może potrwać do 30 dni.

Aby wymusić natychmiastowe uruchomienie procesu odnajdywania na komputerach Mac, w pęku kluczy wyszukaj ciąg "adal" i usuń wszystkie wpisy biblioteki ADAL. Następnie uruchom następujące polecenia na tych komputerach:

rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

Gdy wszystkie istniejące komputery z systemem Windows zostały zmigrowane do usługi Azure Information Protection, nie ma powodu, aby nadal używać kontrolek dołączania i obsługiwać grupę AIPMigrated utworzoną na potrzeby procesu migracji.

Najpierw usuń kontrolki dołączania, a następnie możesz usunąć grupę AIPMigrated i dowolną utworzoną metodę wdrażania oprogramowania w celu wdrożenia skryptów migracji.

Aby usunąć kontrolki dołączania:

1. W sesji programu PowerShell połącz się z usługą Azure Rights Management i po wyświetleniu monitu określ poświadczenia administratora globalnego:

   Connect-AipService
   
   

2. Uruchom następujące polecenie i wprowadź wartość Y , aby potwierdzić:

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
   

   Należy pamiętać, że to polecenie usuwa wszelkie wymuszanie licencji usługi Azure Rights Management, dzięki czemu wszystkie komputery mogą chronić dokumenty i wiadomości e-mail.

3. Upewnij się, że kontrolki dołączania nie są już ustawione:

   Get-AipServiceOnboardingControlPolicy
   

   W danych wyjściowych licencja powinna zawierać wartość False i nie ma identyfikatora GUID wyświetlanego dla wartości SecurityGroupOjbectId

Na koniec, jeśli używasz pakietu Office 2010 i włączono zadanie ad RMS Rights Policy Template Management (Automated) w bibliotece Harmonogram zadań systemu Windows, wyłącz to zadanie, ponieważ nie jest używane przez klienta usługi Azure Information Protection.

To zadanie jest zwykle włączone przy użyciu zasad grupy i obsługuje wdrożenie usług AD RMS. To zadanie można znaleźć w następującej lokalizacji: Microsoft>Windows> Usługi Active Directory Rights Management Client.

Ważne

Wsparcie dodatkowe pakietu Office 2010 zakończyło się 13 października 2020 r. Aby uzyskać więcej informacji, zobacz AIP i starsze wersje systemu Windows i pakietu Office.

Krok 12. Ponowne tworzenie klucza dzierżawy usługi Azure Information Protection

Ten krok jest wymagany po zakończeniu migracji, jeśli wdrożenie usług AD RMS używało trybu kryptograficznego 1 usługi RMS, ponieważ ten tryb używa klucza 1024-bitowego i algorytmu SHA-1. Ta konfiguracja jest uważana za niewystarczającą ochronę. Firma Microsoft nie popiera używania niższych długości kluczy, takich jak 1024-bitowe klucze RSA i skojarzone z nim użycie protokołów, które oferują nieodpowiedni poziom ochrony, na przykład SHA-1.

Zmiana klucza powoduje ochronę, która używa trybu kryptograficznego 2 usługi RMS, co powoduje użycie klucza 2048-bitowego i algorytmu SHA-256.

Nawet jeśli wdrożenie usług AD RMS korzystało z trybu kryptograficznego 2, nadal zalecamy wykonanie tego kroku, ponieważ nowy klucz pomaga chronić dzierżawę przed potencjalnymi naruszeniami zabezpieczeń klucza usług AD RMS.

Podczas ponownego tworzenia klucza dzierżawy usługi Azure Information Protection (znanego również jako "rolling your key") aktualnie aktywny klucz jest archiwizowany, a usługa Azure Information Protection zacznie używać innego określonego klucza. Ten inny klucz może być nowym kluczem utworzonym w usłudze Azure Key Vault lub domyślnym kluczem, który został automatycznie utworzony dla dzierżawy.

Przejście z jednego klucza do drugiego nie dzieje się natychmiast, ale w ciągu kilku tygodni. Ponieważ nie jest to natychmiastowe, nie należy czekać, aż podejrzewasz naruszenie oryginalnego klucza, ale wykonaj ten krok natychmiast po zakończeniu migracji.

Aby ponownie zapisać klucz dzierżawy usługi Azure Information Protection:

• Jeśli klucz dzierżawy jest zarządzany przez firmę Microsoft: uruchom polecenie cmdlet programu PowerShell Set-AipServiceKeyProperties i określ identyfikator klucza, który został automatycznie utworzony dla dzierżawy. Wartość do określenia można zidentyfikować, uruchamiając polecenie cmdlet Get-AipServiceKeys . Klucz, który został utworzony automatycznie dla dzierżawy, ma najstarszą datę utworzenia, dzięki czemu można go zidentyfikować przy użyciu następującego polecenia:

  (Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
  

• Jeśli klucz dzierżawy jest zarządzany przez Ciebie (BYOK): W usłudze Azure Key Vault powtórz proces tworzenia klucza dla dzierżawy usługi Azure Information Protection, a następnie ponownie uruchom polecenie cmdlet Use-AipServiceKeyVaultKey , aby określić identyfikator URI dla tego nowego klucza.

Aby uzyskać więcej informacji na temat zarządzania kluczem dzierżawy usługi Azure Information Protection, zobacz Operacje dla klucza dzierżawy usługi Azure Information Protection.

Następne kroki

Po zakończeniu migracji przejrzyj plan wdrożenia usługi AIP dotyczący klasyfikacji, etykietowania i ochrony , aby zidentyfikować inne zadania wdrażania, które mogą być konieczne.