Fase de migração 1 - preparação

Use as informações a seguir para a Fase 1 da migração do AD RMS para a Proteção de Informações do Azure. Esses procedimentos abrangem as etapas 1 a 3 de Migração do AD RMS para a Proteção de Informações do Azure e preparam seu ambiente para a migração sem qualquer efeito para seus usuários.

Etapa 1: Instalar o módulo AIPService PowerShell e identificar a URL do locatário

Instale o módulo AIPService para permitir que você configure e gerencie o serviço que fornece a proteção de dados para a Proteção de Informações do Azure.

Para obter instruções, consulte Instalando o módulo AIPService PowerShell.

Para concluir algumas das instruções de migração, você precisa saber a URL do serviço Azure Rights Management para seu locatário, para que possa substituí-la quando vir referências à <URL> do locatário.

A URL do serviço Azure Rights Management tem o seguinte formato: {GUID}.rms.[Region].aadrm.com. Por exemplo: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

Para identificar a URL do serviço Azure Rights Management

1. Conecte-se ao serviço Azure Rights Management e, quando solicitado, insira as credenciais do administrador global do seu locatário:

   Connect-AipService
   

2. Obtenha a configuração do seu inquilino:

   Get-AipServiceConfiguration
   

3. Copie o valor exibido para LicensingIntranetDistributionPointUrl e, dessa cadeia de caracteres, remova /_wmcs\licensing.

   O que resta é a URL do serviço Azure Rights Management para seu locatário da Proteção de Informações do Azure. Esse valor geralmente é encurtado para Sua URL de locatário nas instruções de migração a seguir.

   Você pode verificar se tem o valor correto executando o seguinte comando do PowerShell:

   (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
   

Etapa 2: Preparar para a migração do cliente

Para a maioria das migrações, não é prático migrar todos os clientes de uma só vez. É provável que você migre clientes em lotes.

Isso significa que, por algum tempo, alguns clientes usam a Proteção de Informações do Azure e outros ainda usarão o AD RMS. Para dar suporte a usuários pré-migrados e migrados, use controles de integração e implante um script de pré-migração.

Nota

Esta etapa é necessária durante o processo de migração para que os usuários que ainda não migraram possam consumir conteúdo que foi protegido por usuários migrados que agora estão usando o Azure Rights Management.

Para preparar a migração do cliente

1. Crie um grupo, por exemplo, chamado AIPMigrated. Esse grupo pode ser criado no Ative Directory e sincronizado com a nuvem, ou pode ser criado no Microsoft 365 ou no Microsoft Entra ID.

   Não atribua nenhum usuário a esse grupo no momento. Em uma etapa posterior, quando os usuários forem migrados, adicione-os ao grupo.

2. Anote a ID do objeto desse grupo usando um dos seguintes métodos.

   • Use Microsoft Graph PowerShell. Por exemplo, use o comando Get-MgGroup .
   • Copie a ID do objeto do grupo do portal do Azure.

3. Configure este grupo para controles de integração para permitir que apenas as pessoas desse grupo usem o Azure Rights Management para proteger o conteúdo.

   Para fazer essa configuração, em uma sessão do PowerShell, conecte-se ao serviço Azure Rights Management. Quando solicitado, especifique suas credenciais de administrador global.

   Connect-AipService
   

   Configure esse grupo para controles de integração, substituindo o ID do objeto do grupo pelo deste exemplo. Quando solicitado, digite Y para confirmar.

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
   

4. Transfira o ficheiro Migration-Scripts.zip.

5. Extraia os ficheiros e siga as instruções no Prepare-Client.cmd, para que contenha o nome do servidor para o URL de licenciamento da extranet do cluster AD RMS. Para localizar esse nome, siga as etapas a seguir.

   1. No console do Ative Directory Rights Management Services, selecione o nome do cluster.

   2. Nas informações Detalhes do cluster, copie o nome do servidor do valor Licenciamento da seção URLs do cluster de extranet. Por exemplo: rmscluster.contoso.com.

   Importante

   As instruções incluem a substituição de endereços de exemplo de adrms.contoso.com por endereços de servidor AD RMS.

   Ao fazer isso, tenha cuidado para que não haja espaços adicionais antes ou depois de seus endereços. Espaços extras quebrarão o script de migração e é muito difícil identificar como a causa raiz do problema.

   Algumas ferramentas de edição adicionam automaticamente um espaço depois de colar texto.

6. Implante esse script em todos os computadores Windows para garantir que, quando você começar a migrar clientes, os clientes ainda a serem migrados continuem a se comunicar com o AD RMS, mesmo que consumam conteúdo protegido por clientes migrados que agora estão usando o serviço Azure Rights Management.

   Você pode usar a Diretiva de Grupo ou outro mecanismo de implantação de software para implantar esse script.

Etapa 3: Preparar a implantação do Exchange para migração

Se você usa o Exchange local ou o Exchange online, talvez tenha integrado anteriormente o Exchange à implantação do AD RMS. Nesta etapa, configure-os para usar a configuração existente do AD RMS para dar suporte ao conteúdo protegido pelo Azure RMS.

Certifique-se de que tem o URL do serviço Azure Rights Management para o seu inquilino para que possa substituir este valor por <YourTenantURL> nos comandos seguintes.

Siga um destes procedimentos, dependendo se você integrou o Exchange local ou o Exchange Online com o AD RMS:

• Exchange integrado no local com AD RMS
• Exchange Online integrado com AD RMS

Se tiver integrado o Exchange Online com o AD RMS

1. Abra uma sessão do PowerShell do Exchange Online.

2. Execute os seguintes comandos do PowerShell, um a um, ou em um script.

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -internallicensingenabled $true 
   

Se tiver integrado o Exchange no local com o AD RMS

Para cada organização do Exchange, adicione valores do Registro em cada servidor Exchange e execute os comandos do PowerShell:

1. Se você tiver o Exchange 2013 ou o Exchange 2016, adicione o seguinte valor do Registro:

   • Caminho do registo: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Tipo: Reg_SZ

   • Valor: https://\<Your Tenant URL\>/_wmcs/licensing

   • Dados: https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

2. Execute os seguintes comandos do PowerShell, um a um ou em um script:

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -RefreshServerCertificates
   Set-IRMConfiguration -internallicensingenabled $true
   IISReset
   

Depois de executar esses comandos para o Exchange Online ou o Exchange local, se sua implantação do Exchange foi configurada para dar suporte a conteúdo protegido pelo AD RMS, ele também dará suporte ao conteúdo protegido pelo Azure RMS após a migração.

Sua implantação do Exchange continua a usar o AD RMS para dar suporte a conteúdo protegido até uma etapa posterior da migração.

Próximos passos

Vá para a fase 2 - configuração do lado do servidor.