Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Use o seguinte conjunto de instruções para migrar sua implantação do AD RMS (Active Directory Rights Management Services) para a Proteção de Informações do Azure.
Após a migração, seus servidores do AD RMS não estão mais em uso, mas os usuários ainda têm acesso a documentos e mensagens de email que sua organização protegeu usando o AD RMS. O conteúdo recém-protegido usará o Azure RMS (serviço Azure Rights Management) da Proteção de Informações do Azure.
Leitura recomendada antes de migrar para a Proteção de Informações do Azure
Embora não seja necessário, você pode achar útil ler a documentação a seguir antes de iniciar a migração. Esse conhecimento fornece uma melhor compreensão de como a tecnologia funciona quando ela é relevante para sua etapa de migração.
Gerenciando a chave raiz para seu serviço do Azure Rights Management: entenda as opções de gerenciamento de chaves que você tem para o locatário da Proteção de Informações do Azure em que sua chave SLC equivalente na nuvem é gerenciada pela Microsoft (o padrão) ou gerenciada por você (a configuração "traga sua própria chave" ou BYOK).
Descoberta de serviço do RMS: esta seção das notas de implantação do cliente RMS explica que o pedido de descoberta de serviço é o Registro e, em seguida, o SCP (ponto de conexão de serviço) e, em seguida, a nuvem. Durante o processo de migração, quando o SCP ainda estiver instalado, você definirá clientes com configurações de registro para o locatário da Proteção de Informações do Azure para que eles não usem o cluster do AD RMS retornado do SCP.
Visão geral do conector do Microsoft Rights Management: esta seção da documentação do conector do RMS explica como seus servidores locais podem se conectar ao serviço do Azure Rights Management para proteger documentos e emails.
Além disso, se você não estiver familiarizado com o funcionamento do AD RMS, poderá achar útil ler como o serviço do Azure Rights Management funciona: Detalhes técnicos para ajudá-lo a identificar quais processos de tecnologia são iguais ou diferentes para a versão de nuvem.
Pré-requisitos para migrar o AD RMS para a Proteção de Informações do Azure
Antes de iniciar a migração para a Proteção de Informações do Azure, verifique se os pré-requisitos a seguir estão em vigor e se você entende as limitações.
Uma implantação RMS com suporte:
As seguintes versões do AD RMS dão suporte a uma migração para a Proteção de Informações do Azure:
Windows Server 2012 (x64)
Windows Server 2012 R2 (x64)
Windows Server 2016 (x64)
Todas as topologias válidas do AD RMS têm suporte:
Floresta única, cluster RMS único
Floresta única, vários clusters RMS somente licenciamento
Várias florestas, vários clusters RMS
Observação
Por padrão, vários clusters do AD RMS migram para um único locatário para a Proteção de Informações do Azure. Se você quiser locatários separados para a Proteção de Informações do Azure, deverá tratá-los como migrações diferentes. Uma chave de um cluster RMS não pode ser importada para mais de um locatário.
Todos os requisitos para executar a Proteção de Informações do Azure, incluindo uma assinatura da Proteção de Informações do Azure (o serviço Azure Rights Management não está ativado):
Consulte os Requisitos para o serviço Azure Rights Management.
O cliente da Proteção de Informações do Azure é necessário para classificação e rotulagem e opcional, mas recomendado se você quiser proteger apenas os dados.
Para obter mais informações, consulte os guias de administrador para o cliente de rotulagem unificada da Proteção de Informações do Azure.
Embora você precise ter uma assinatura da Proteção de Informações do Azure antes de migrar do AD RMS, recomendamos que o serviço Rights Management para seu locatário não seja ativado antes de iniciar a migração.
O processo de migração inclui essa etapa de ativação depois de exportar chaves e modelos do AD RMS e importá-los para seu locatário para a Proteção de Informações do Azure. No entanto, se o serviço Rights Management já estiver ativado, você ainda poderá migrar do AD RMS com algumas etapas adicionais.
Somente o Office 2010:
Se você tiver computadores que executam o Office 2010, deverá instalar o cliente da Proteção de Informações do Azure para fornecer a capacidade de autenticar usuários em serviços de nuvem.
Importante
O suporte estendido do Office 2010 terminou em 13 de outubro de 2020.
Preparação para a Proteção de Informações do Azure:
Sincronização de diretório entre seu diretório local e a ID do Microsoft Entra
Grupos habilitados para email no Microsoft Entra ID
Veja como contas e grupos de usuários usam o serviço Azure Rights Management.
Se você tiver usado a funcionalidade IRM (Information Rights Management) do Exchange Server (por exemplo, regras de transporte e Outlook Web Access) ou SharePoint Server com o AD RMS:
Planeje por um curto período de tempo em que o IRM não estará disponível nesses servidores
Você pode continuar a usar o IRM nesses servidores após a migração. No entanto, uma das etapas de migração é desabilitar temporariamente o serviço IRM, instalar e configurar um conector, reconfigurar os servidores e reabilitar o IRM.
Essa é a única interrupção no serviço durante o processo de migração.
Se você quiser gerenciar sua própria chave de locatário da Proteção de Informações do Azure usando uma chave protegida por HSM:
- Essa configuração opcional requer o Azure Key Vault e uma assinatura do Azure que dá suporte ao Key Vault com chaves protegidas por HSM. Para obter mais informações, consulte a página preços do Azure Key Vault.
Considerações sobre o modo criptográfico
Se o cluster do AD RMS estiver atualmente no Modo Criptográfico 1, não atualize o cluster para o Modo Criptográfico 2 antes de iniciar a migração. Em vez disso, migre usando o Modo Criptográfico 1 e você pode rechavear sua chave de locatário no final da migração, como uma das tarefas pós-migração.
Para confirmar o modo criptográfico do AD RMS para Windows Server 2012 R2 e Windows 2012: guia Geral das propriedades >cluster do AD RMS.
Limitações de migração
Se você tiver software e clientes que não têm suporte pelo serviço Rights Management, eles não poderão criptografar ou consumir conteúdo criptografado pelo serviço Azure Rights Management.
Se a implantação do AD RMS estiver configurada para colaborar com parceiros externos (por exemplo, usando domínios de usuário confiáveis ou federação), eles também deverão migrar para a Proteção de Informações do Azure ao mesmo tempo que a migração ou o mais rápido possível posteriormente. Para continuar acessando o conteúdo que sua organização protegeu anteriormente usando a Proteção de Informações do Azure, eles devem fazer alterações de configuração de cliente semelhantes às que você faz e incluídas neste documento.
Devido às possíveis variações de configuração que seus parceiros podem ter, as instruções exatas para essa reconfiguração estão fora do escopo deste documento. No entanto, consulte a próxima seção para obter diretrizes de planejamento e para obter ajuda adicional, entre em contato com o Suporte da Microsoft.
Planejamento de migração se você colaborar com parceiros externos
Inclua seus parceiros do AD RMS em sua fase de planejamento para migração, pois eles também devem migrar para a Proteção de Informações do Azure. Antes de executar qualquer uma das seguintes etapas de migração, verifique se o seguinte está em vigor:
Eles têm um locatário do Microsoft Entra que dá suporte ao serviço Azure Rights Management.
Por exemplo, eles têm uma assinatura do Office 365 E3 ou E5 ou uma assinatura do Enterprise Mobility + Security ou uma assinatura autônoma para a Proteção de Informações do Azure.
O serviço Azure Rights Management ainda não foi ativado, mas eles conhecem a URL do serviço Azure Rights Management.
Eles podem obter essas informações instalando a Ferramenta de Gerenciamento de Direitos do Azure, conectando-se ao serviço (Connect-AipService) e exibindo suas informações de locatário para o serviço Azure Rights Management (Get-AipServiceConfiguration).
Eles fornecem as URLs para o cluster do AD RMS e a URL do serviço do Azure Rights Management, para que você possa configurar seus clientes migrados para redirecionar solicitações de conteúdo protegido do AD RMS para o serviço do Azure Rights Management do locatário. As instruções para configurar o redirecionamento do cliente estão na etapa 7.
Eles importam as chaves raiz do cluster (SLC) do AD RMS para o locatário antes de você começar a migrar seus usuários. Da mesma forma, você deve importar as chaves raiz do cluster do AD RMS antes que elas comecem a migrar seus usuários. As instruções para importar a chave são abordadas neste processo de migração, Etapa 4. Exporte dados de configuração do AD RMS e importe-os para a Proteção de Informações do Azure.
Visão geral das etapas para migrar o AD RMS para a Proteção de Informações do Azure
As etapas de migração podem ser divididas em cinco fases que podem ser feitas em momentos diferentes e por administradores diferentes.
Fase 1: Preparação para a migração
Para obter mais informações, consulte A FASE 1: PREPARAÇÃO DA MIGRAÇÃO.
Etapa 1: instalar o módulo AIPService PowerShell e identificar a URL do locatário
O processo de migração exige que você execute um ou mais cmdlets do PowerShell do módulo AIPService. Você precisará saber a URL do serviço do Azure Rights Management do locatário para concluir muitas das etapas de migração e pode identificar esse valor usando o PowerShell.
Etapa 2. Preparar-se para a migração do cliente
Se você não puder migrar todos os clientes de uma só vez e migre-os em lotes, use controles de integração e implante um script de pré-migração. No entanto, se você migrar tudo ao mesmo tempo em vez de fazer uma migração em fases, poderá ignorar essa etapa.
Etapa 3: Preparar sua implantação do Exchange para migração
Essa etapa será necessária se você atualmente usar o recurso IRM do Exchange Online ou do Exchange local para proteger emails. No entanto, se você migrar tudo ao mesmo tempo em vez de fazer uma migração em fases, poderá ignorar essa etapa.
Fase 2: Configuração do lado do servidor para o AD RMS
Para obter mais informações, consulte PHASE 2: SERVER-SIDE CONFIGURATION FOR AD RMS.
Etapa 4. Exportar dados de configuração do AD RMS e importá-los para a Proteção de Informações do Azure
Exporte os dados de configuração (chaves, modelos, URLs) do AD RMS para um arquivo XML e carregue esse arquivo no serviço Azure Rights Management da Proteção de Informações do Azure usando o cmdlet Import-AipServiceTpd PowerShell. Em seguida, identifique qual chave SLC (Certificado de Licenciamento de Servidor) importada usar como sua chave de locatário para o serviço do Azure Rights Management. Etapas adicionais podem ser necessárias, dependendo da configuração de chave do AD RMS:
Chave protegida por software para migração de chave protegida por software:
Chaves baseadas em senha gerenciadas centralmente no AD RMS para a chave de locatário da Proteção de Informações do Azure gerenciada pela Microsoft. Esse é o caminho de migração mais simples e nenhuma etapa adicional é necessária.
Chave protegida por HSM para migração de chave protegida por HSM:
Chaves armazenadas por um HSM para AD RMS para a chave de locatário da Proteção de Informações do Azure gerenciada pelo cliente (o cenário "traga sua própria chave" ou BYOK). Isso requer etapas adicionais para transferir a chave do seu HSM nCipher local para o Azure Key Vault e autorizar o serviço Azure Rights Management a usar essa chave. Sua chave protegida por HSM existente deve ser protegida por módulo; As chaves protegidas por OCS não são compatíveis com os serviços do Rights Management.
Chave protegida por software para migração de chave protegida por HSM:
Chaves baseadas em senha centralmente gerenciadas no AD RMS para a chave de locatário da Proteção de Informações do Azure gerenciada pelo cliente (o cenário "traga sua própria chave" ou BYOK). Isso requer a maior configuração porque você deve primeiro extrair sua chave de software e importá-la para um HSM local e, em seguida, executar as etapas adicionais para transferir a chave do seu HSM nCipher local para um HSM do Azure Key Vault e autorizar o serviço Azure Rights Management a usar o cofre de chaves que armazena a chave.
Etapa 5. Ativar o serviço Azure Rights Management
Se possível, execute esta etapa após o processo de importação e não antes. Etapas adicionais serão necessárias se o serviço tiver sido ativado antes da importação.
Etapa 6. Configurar modelos importados
Quando você importa seus modelos de política de direitos, o status deles é arquivado. Se quiser que os usuários possam vê-los e usá-los, altere o status do modelo a ser publicado no portal clássico do Azure.
Fase 3: Configuração do lado do cliente
Para obter mais informações, consulte PHASE 3: CLIENT-SIDE CONFIGURATION.
Etapa 7: Reconfigurar computadores Windows para usar a Proteção de Informações do Azure
Os computadores Windows existentes devem ser reconfigurados para usar o serviço Azure Rights Management em vez do AD RMS. Esta etapa se aplica a computadores em sua organização e a computadores em organizações parceiras se você tiver colaborado com eles durante a execução do AD RMS.
Fase 4: Configuração de serviços de suporte
Para obter mais informações, consulte A FASE 4: CONFIGURAÇÃO DE SERVIÇOS DE SUPORTE.
Etapa 8: Configurar a integração do IRM para o Exchange Online
Esta etapa conclui a migração do AD RMS para o Exchange Online para usar agora o serviço Azure Rights Management.
Etapa 9: Configurar a integração do IRM para o Exchange Server e o SharePoint Server
Esta etapa conclui a migração do AD RMS para Exchange ou SharePoint local para usar agora o serviço Azure Rights Management, que exige a implantação do conector do Rights Management.
Fase 5: Tarefas pós-migração
Para obter mais informações, consulte A FASE 5: TAREFAS PÓS-MIGRAÇÃO.
Etapa 10: Desprovisionar o AD RMS
Quando você confirmar que todos os computadores Windows estão usando o serviço Azure Rights Management e não estão mais acessando seus servidores do AD RMS, você pode desprovisionar sua implantação do AD RMS.
Etapa 11: Concluir tarefas de migração do cliente
Se você implantou a extensão de dispositivo móvel para dar suporte a dispositivos móveis, como telefones iOS e iPads, telefones e tablets Android, telefones Windows e tablets e computadores Mac, deverá remover os registros SRV no DNS que redirecionaram esses clientes para usar o AD RMS.
Os controles de integração configurados durante a fase de preparação não são mais necessários. No entanto, se você não usou controles de integração porque optou por migrar tudo ao mesmo tempo em vez de fazer uma migração em fases, ignore as instruções para remover os controles de integração.
Se os computadores Windows estiverem executando o Office 2010, verifique se você precisa desabilitar a tarefa Gerenciamento de Modelos de Política de Direitos do AD RMS (Automatizado ).
Importante
O suporte estendido do Office 2010 terminou em 13 de outubro de 2020.
Etapa 12: rechave sua chave de locatário da Proteção de Informações do Azure
Essa etapa será recomendada se você não estiver em execução no Modo Criptográfico 2 antes da migração.
Próximas etapas
Para iniciar a migração, vá para a Fase 1 – preparação.