Migrowanie z usługi AD RMS do usługi Azure Information Protection

Poniższy zestaw instrukcji dotyczy migracji wdrożenia usług Active Directory Rights Management (AD RMS) do usługi Azure Information Protection.

Po zakończeniu migracji serwery usług AD RMS nie będą już używane, ale użytkownicy będą nadal mieć dostęp do dokumentów i wiadomości e-mail, które organizacja chroniła za pomocą usług AD RMS. W przypadku nowo chronionej zawartości będzie używana usługa Azure Rights Management (Azure RMS) dostępna w ramach usługi Azure Information Protection.

Zalecamy przeczytanie przez migrowaniem do usługi Azure Information Protection

Mimo że nie jest to wymagane, przeczytanie poniższej dokumentacji przed rozpoczęciem migracji może okazać się pomocne. Dzięki uzyskanej w ten sposób wiedzy można lepiej zrozumieć, jak technologia działa w procesie migracji.

• Planowanie i wdrażanie klucza dzierżawy usługi Azure Information Protection: poznaj opcje zarządzania kluczami w swojej dzierżawie usługi Azure Information Protection, gdzie odpowiednik klucza SLC w chmurze jest zarządzany przez firmę Microsoft (ustawienie domyślne) lub przez użytkownika (konfiguracja BYOK („bring your own key”).

• Odnajdywanie usługi RMS: w tej sekcji notatek wdrażania klienta usługi RMS wyjaśniono, że kolejność odnajdywania usług to rejestr, a następnie punkt połączenia usługi (SCP), a następnie chmura. Podczas procesu migracji, gdy punkt połączenia usługi jest nadal zainstalowany, należy skonfigurować klientów przy użyciu ustawień rejestru dla dzierżawy usługi Azure Information Protection, tak aby nie używali oni klastra usługi AD RMS zwróconego z punktu połączenia usługi.

• Omówienie łącznika usługi Microsoft Rights Management: w tej sekcji dokumentacji dotyczącej łącznika usług RMS objaśniono sposób łączenia serwerów lokalnych z usługą Azure Rights Management, aby chronić dokumenty i wiadomości e-mail.

Ponadto jeśli nie znasz sposobu działania usług AD RMS, warto zapoznać się z tematem Jak działa usługa Azure RMS? Pod maską , aby ułatwić określenie, które procesy technologiczne są takie same lub inne dla wersji chmury.

Wymagania wstępne dotyczące migracji usługi AD RMS do usługi Azure Information Protection

Przed rozpoczęciem migracji do usługi Azure Information Protection upewnij się, że zostały spełnione następujące wymagania wstępne oraz że znasz wszystkie ograniczenia.

• Obsługiwane wdrożenie usługi RMS:

  • Następujące wersje usługi AD RMS obsługują migrację do usługi Azure Information Protection:

    • Windows Server 2012 (x64)

    • Windows Server 2012 R2 (x64)

    • Windows Server 2016 (x64)

  • Obsługiwane są wszystkie prawidłowe topologie usług AD RMS:

    • Pojedynczy las, pojedynczy klaster RMS

    • Pojedynczy las, wiele klastrów RMS przeznaczonych tylko do licencjonowania

    • Wiele lasów, wiele klastrów RMS

    Uwaga

    Domyślnie wiele klastrów usług AD RMS przeprowadza migrację do jednej dzierżawy dla usługi Azure Information Protection. Jeśli potrzebujesz oddzielnych dzierżaw dla usługi Azure Information Protection, musisz potraktować je jako różne migracje. Nie można zaimportować klucza z jednego klastra RMS do więcej niż jednej dzierżawy.

• Wszystkie wymagania dotyczące uruchamiania usługi Azure Information Protection, w tym subskrypcji usługi Azure Information Protection (usługa Azure Rights Management nie jest aktywowana):

  Zobacz artykuł Wymagania dotyczące usługi Azure Information Protection.

  Klient usługi Azure Information Protection jest wymagany do klasyfikacji i etykietowania oraz opcjonalne, ale zalecane, jeśli chcesz chronić tylko dane.

  Aby uzyskać więcej informacji, zobacz przewodniki administratora dla klienta ujednoliconego etykietowania platformy Azure Information Protection.

  Mimo że do wykonania migracji z usługi AD RMS niezbędna jest subskrypcja usługi Azure Information Protection, zaleca się nie aktywować usługi Rights Management dla dzierżawy przed rozpoczęciem migracji.

  Proces migracji obejmuje ten krok aktywacji po wyeksportowaniu kluczy i szablonów z usługi AD RMS i zaimportowaniu ich do dzierżawy usługi Azure Information Protection. Jeśli jednak usługa Rights Management została już aktywowana, nadal można przeprowadzić migrację z usługi AD RMS, wykonując dodatkowe kroki.

  Tylko pakiet Office 2010:

  Jeśli masz komputery z pakietem Office 2010, musisz zainstalować klienta usługi Azure Information Protection, aby zapewnić możliwość uwierzytelniania użytkowników w usługach w chmurze.

  Ważne

  Wsparcie dodatkowe pakietu Office 2010 zakończyło się 13 października 2020 r. Aby uzyskać więcej informacji, zobacz AIP i starsze wersje systemu Windows i pakietu Office.

• Przygotowanie do Information Protection platformy Azure:

  • Synchronizacja katalogów między katalogiem lokalnym i usługą Azure Active Directory

  • Grupy z włączoną obsługą poczty w usłudze Azure Active Directory

    Zobacz artykuł Przygotowywanie użytkowników i grup do korzystania z usługi Azure Information Protection.

• W przypadku użycia funkcji Zarządzanie prawami do informacji (IRM, Information Rights Management) programu Exchange Server (np. reguł transportu i programu Outlook Web Access) lub programu SharePoint Server z usługami AD RMS:

  • Planowanie na potrzeby krótkiego okresu, gdy funkcja IRM będzie niedostępna na tych serwerach

    Po zakończeniu migracji można nadal korzystać z funkcji IRM na tych serwerach. Proces migracji obejmuje jednak tymczasowe wyłączenie usługi IRM, zainstalowanie i skonfigurowanie łącznika, ponowne skonfigurowanie serwerów i ponowne włączenie funkcji IRM.

    Jest to jedyne zakłócenie działania usługi podczas migracji.

• Jeśli chcesz zarządzać własnym kluczem dzierżawy usługi Azure Information Protection przy użyciu klucza chronionego za pomocą modułu HSM:

  • Ta opcjonalna konfiguracja wymaga usługi Azure Key Vault oraz subskrypcji platformy Azure obsługującej usługę Key Vault z kluczami chronionymi za pomocą modułu HSM. Aby uzyskać więcej informacji, zobacz stronę Cennik usługi Azure Key Vault.

Zagadnienia dotyczące trybu kryptograficznego

Jeśli klaster usług AD RMS jest obecnie w trybie kryptograficznym 1, przed rozpoczęciem migracji nie uaktualnij klastra do trybu kryptograficznego 2. Zamiast tego przeprowadź migrację przy użyciu trybu kryptograficznego 1 i możesz ponownie użyć klucza dzierżawy na końcu migracji jako jeden z zadań po migracji.

Aby potwierdzić tryb kryptograficzny usług AD RMS dla Windows Server 2012 R2 i Windows 2012: właściwości >klastra usług AD RMS karta Ogólne.

Ograniczenia migracji

• Jeśli masz oprogramowanie i klientów nieobsługiwanych w usłudze Rights Management używanej przez usługę Azure Information Protection, nie będzie można przy ich użyciu chronić ani korzystać z zawartości chronionej przez usługę Azure Rights Management. Zapoznaj się z sekcjami obsługiwanych aplikacji i klientów z sekcji Wymagania dotyczące usługi Azure Information Protection.

• Jeśli Twoje wdrożenie usługi AD RMS jest skonfigurowane do współpracy z partnerami zewnętrznymi (np. przy użyciu zaufanych domen użytkowników lub federacji), muszą oni migrować do usługi Azure Information Protection w tym samym czasie lub możliwie szybko po zakończeniu Twojej migracji. Aby nadal uzyskiwać dostęp do zawartości, którą organizacja wcześniej chroniła za pomocą usługi Azure Information Protection, muszą oni wprowadzić zmiany konfiguracji klienta podobne do wprowadzonych przez Ciebie i uwzględnionych w tym dokumencie.

  Z powodu możliwych wariantów konfiguracji używanych przez partnerów dokładne instrukcje dotyczące tego procesu ponownej konfiguracji wykraczają poza zakres tego dokumentu. Zapoznaj się jednak z następną sekcją, która zawiera wskazówki dotyczące planowania. Aby uzyskać dodatkową pomoc, skontaktuj się z pomocą techniczną firmy Microsoft.

Planowanie migracji we współpracy z partnerami zewnętrznymi

W fazie planowania migracji należy uwzględnić partnerów usług AD RMS, ponieważ oni również muszą przeprowadzić migrację do usługi Azure Information Protection. Przed wykonaniem dowolnego z poniższych kroków migracji upewnij się, że partnerzy spełnili następujące warunki:

• Mają dzierżawę usługi Azure Active Directory, która obsługuje usługę Azure Rights Management.

  Na przykład mają subskrypcję pakietu Office 365 E3 lub E5 albo subskrypcję pakietu Enterprise Mobility + Security lub autonomiczną subskrypcję usługi Azure Information Protection.

• Ich usługa Azure Rights Management nie została jeszcze aktywowana, ale znają swój adres URL usługi Azure Rights Management.

  Mogą uzyskać te informacje, instalując narzędzie Azure Rights Management, łącząc się z usługą (Connect-AipService), a następnie wyświetlając informacje o dzierżawie usługi Azure Rights Management (Get-AipServiceConfiguration).

• Udostępnili Ci adresy URL swojego klastra usług AD RMS i swój adres URL usługi Azure Rights Management, aby umożliwić Ci skonfigurowanie migrowanych klientów w celu przekierowywania żądań dotyczących zawartości chronionej przez usługi AD RMS partnerów do ich dzierżawy usługi Azure Rights Management. Instrukcje dotyczące konfigurowania przekierowywania klienta znajdują się w kroku 7.

• Zaimportowali swoje klucze główne klastra AD RMS (klucze SLC) do swojej dzierżawy, zanim rozpoczniesz migrację swoich użytkowników. Analogicznie musisz zaimportować swoje klucze główne klastra usług AD RMS, zanim partnerzy rozpoczną migrację swoich użytkowników. Instrukcje dotyczące importowania klucza zostały omówione w tym procesie migracji, krok 4. Wyeksportuj dane konfiguracji z usług AD RMS i zaimportuj je do usługi Azure Information Protection.

Omówienie kroków migracji usługi AD RMS do usługi Azure Information Protection

Kroki migracji można podzielić na pięć faz, które mogą realizować różni administratorzy w różnych terminach.

Faza 1. Przygotowywanie migracji

Aby uzyskać więcej informacji, zobacz FAZA 1: PRZYGOTOWYWANIE MIGRACJI.

Krok 1. Instalowanie modułu programu PowerShell usługi AIPService i identyfikowanie adresu URL dzierżawy

Proces migracji wymaga uruchomienia co najmniej jednego polecenia cmdlet programu PowerShell z modułu AIPService. Musisz znać adres URL usługi Azure Rights Management dzierżawy, aby wykonać wiele kroków migracji, a tę wartość można określić przy użyciu programu PowerShell.

Krok 2. Przygotowanie do migracji klientów

Jeśli nie można przeprowadzić migracji wszystkich klientów równocześnie i będą oni migrowani w partiach, należy użyć kontrolek dołączania i wdrożyć skrypt przed migracją. Jeśli jednak zmigrujesz wszystko w tym samym czasie, a nie przeprowadzić migracji etapowej, możesz pominąć ten krok.

Krok 3. Przygotowanie wdrożenia programu Exchange na potrzeby migracji

Ten krok jest wymagany, jeśli używana jest funkcja IRM usługi Exchange Online lub lokalnego programu Exchange do ochrony wiadomości e-mail. Jeśli jednak zmigrujesz wszystko w tym samym czasie, a nie przeprowadzić migracji etapowej, możesz pominąć ten krok.

Faza 2. Konfiguracja po stronie serwera dla usług AD RMS

Aby uzyskać więcej informacji, zobacz FAZA 2: KONFIGURACJA PO STRONIE SERWERA DLA USŁUG AD RMS.

Krok 4. Eksportowanie danych konfiguracji z usługi AD RMS i importowanie ich do usługi Azure Information Protection

Dane konfiguracji (klucze, szablony, adresy URL) są eksportowane z usług AD RMS do pliku XML, a następnie przekazujesz ten plik do usługi Azure Rights Management z usługi Azure Information Protection przy użyciu polecenia cmdlet Import-AipServiceTpd programu PowerShell. Następnie należy zidentyfikować importowany klucz certyfikatu licencjodawcy serwera (SLC), który ma zostać użyty jako klucz dzierżawy usługi Azure Rights Management. W zależności od konfiguracji klucza usług AD RMS konieczne może być wykonanie dodatkowych kroków:

• Migracja klucza chronionego przez oprogramowanie do klucza chronionego przez oprogramowanie:

  centralnie zarządzane klucze chronione hasłem w usłudze AD RMS do klucza dzierżawy usługi Azure Information Protection zarządzanego przez firmę Microsoft. Jest to najprostsza ścieżka migracji i żadne dodatkowe kroki nie są wymagane.

• Migracja klucza chronionego przez moduł HSM do klucza chronionego przez moduł HSM:

  klucze przechowywane w module HSM dla usługi AD RMS do zarządzanego przez klienta klucza dzierżawy usługi Azure Information Protection (scenariusz „użyj własnego klucza” lub BYOK). Wymaga to wykonania dodatkowych kroków w celu przeniesienia klucza z lokalnego modułu HSM nCipher do usługi Azure Key Vault i autoryzowania usługi Azure Rights Management do używania tego klucza. Istniejący klucz chroniony przez moduł HSM musi podlegać ochronie przy użyciu modułu; klucze chronione przez serwer OCS nie są obsługiwane przez usługi Rights Management.

• Migracja klucza chronionego przez oprogramowanie do klucza chronionego przez moduł HSM:

  centralnie zarządzane klucze chronione hasłem w usłudze AD RMS do zarządzanego przez klienta klucza dzierżawy usługi Azure Information Protection (scenariusz „użyj własnego klucza” lub BYOK). Wymaga to największej konfiguracji, ponieważ należy najpierw wyodrębnić klucz oprogramowania i zaimportować go do lokalnego modułu HSM, a następnie wykonać dodatkowe kroki, aby przenieść klucz z lokalnego modułu HSM nCipher do modułu HSM usługi Azure Key Vault i autoryzować usługę Azure Rights Management do używania magazynu kluczy, który przechowuje klucz.

Krok 5. Aktywowanie usługi Azure Rights Management

Jeśli to możliwe, ten krok należy wykonać po zakończeniu procesu importowania, a nie przed jego rozpoczęciem. Jeśli usługa została aktywowana przed importem, wymagane jest wykonanie dodatkowych kroków.

Krok 6. Konfigurowanie importowanych szablonów

Stan importowanych szablonów zasad praw jest określony jako zarchiwizowane. Jeśli chcesz, aby użytkownicy mogli widzieć szablony i z nich korzystać, zmień stan szablonów w celu ich opublikowania w klasycznej witrynie Azure Portal.

Faza 3. Konfiguracja po stronie klienta

Aby uzyskać więcej informacji, zobacz FAZA 3: KONFIGURACJA PO STRONIE KLIENTA.

Krok 7. Ponowne konfigurowanie komputerów z systemem Windows do korzystania z usługi Azure Information Protection

Aby korzystać z usługi Azure Rights Management zamiast usług AD RMS, należy ponownie skonfigurować istniejące komputery z systemem Windows. Ten krok dotyczy komputerów w organizacji oraz komputerów w organizacjach partnerów, jeśli współpracowali z Tobą podczas korzystania z usług AD RMS.

Faza 4. Konfiguracja usług pomocniczych

Aby uzyskać więcej informacji, zobacz FAZA 4: KONFIGURACJA USŁUG POMOCNICZYCH.

Krok 8. Konfigurowanie integracji funkcji IRM na potrzeby usługi Exchange Online

Ten krok jest wykonywany w celu ukończenia migracji usług AD RMS dla usługi Exchange Online, aby korzystała teraz z usługi Azure Rights Management.

Krok 9. Konfigurowanie integracji funkcji IRM na potrzeby programów Exchange Server i SharePoint Server

Ten krok jest wykonywany w celu ukończenia migracji usług AD RMS dla lokalnego programu Exchange lub SharePoint, aby korzystał z usługi Azure Rights Management, co wymaga wdrożenia łącznika usługi Rights Management.

Faza 5. Zadania po migracji

Aby uzyskać więcej informacji, zobacz FAZA 5: ZADANIA PO MIGRACJI.

Krok 10. Anulowanie obsługi usług AD RMS

Po potwierdzeniu, że wszystkie komputery z systemem Windows korzystają z usługi Azure Rights Management i nie uzyskują już dostępu do serwerów usług AD RMS, możesz anulować aprowizowanie wdrożenia usług AD RMS.

Krok 11. Wykonywanie zadań migracji klienta

Jeśli rozszerzenie urządzenia przenośnego zostało wdrożone w celu obsługi urządzeń przenośnych, takich jak telefony z systemem iOS i tablety iPad, telefony i tablety z systemem Android, telefony z systemem Windows i tablety oraz komputery Mac, należy usunąć rekordy SRV w systemie DNS, które przekierowowały tych klientów do korzystania z usług AD RMS.

Kontrolki dołączania skonfigurowane w fazie przygotowania nie są już potrzebne. Jeśli jednak nie użyto kontrolek dołączania, ponieważ wybrano migrację wszystkich elementów w tym samym czasie, zamiast przeprowadzić migrację etapową, możesz pominąć instrukcje usuwania kontrolek dołączania.

Jeśli na komputerach z systemem Windows działa pakiet Office 2010, sprawdź, czy musisz wyłączyć zadanie Zarządzanie szablonami zasad praw usługi AD RMS (zautomatyzowane).

Ważne

Wsparcie dodatkowe pakietu Office 2010 zakończyło się 13 października 2020 r. Aby uzyskać więcej informacji, zobacz AIP i starsze wersje systemu Windows i pakietu Office.

Krok 12. Wymiana klucza dzierżawy usługi Azure Information Protection

Ten krok jest zalecany, jeśli nie uruchomiono w trybie kryptograficznym 2 przed migracją.

Następne kroki

Aby rozpocząć migrację, przejdź do fazy 1 — przygotowania.