Этап миграции 1 — подготовка

Используйте следующие сведения для этапа 1 миграции из AD RMS в Azure Information Protection. Эти процедуры охватывают шаги 1–3 от миграции с AD RMS в Azure Information Protection и подготовка среды к миграции без каких-либо последствий для пользователей.

Шаг 1. Установка модуля PowerShell AIPService и определение URL-адреса клиента

Установите модуль AIPService, чтобы настроить службу и управлять ею, которая обеспечивает защиту данных для Azure Information Protection.

Инструкции см. в разделе "Установка модуля AIPService PowerShell".

Чтобы выполнить некоторые инструкции по миграции, необходимо знать URL-адрес службы Azure Rights Management для клиента, чтобы вы могли заменить его при отображении ссылок на <URL-адрес> клиента.

URL-адрес службы Azure Rights Management имеет следующий формат: {GUID}.rms.[Регион].aadrm.com. Например, 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

Определение URL-адреса службы Azure Rights Management

1. Подключение в службу Azure Rights Management и при появлении запроса введите учетные данные для глобального администратора клиента:

   Connect-AipService
   

2. Получите конфигурацию клиента:

   Get-AipServiceConfiguration
   

3. Скопируйте значение, отображаемое для LicensingIntranetDistributionPointUrl, и из этой строки удалите /_wmcs\licensing.

   Что остается url-адрес службы Azure Rights Management для клиента Azure Information Protection. Это значение часто сокращается до URL-адреса клиента в следующих инструкциях по миграции.

   Чтобы убедиться, что у вас есть правильное значение, выполните следующую команду PowerShell:

   (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
   

Шаг 2. Подготовка к миграции клиента

Для большинства миграций практически не рекомендуется одновременно переносить все клиенты. Скорее всего, вы переносите клиенты в пакетах.

Это означает, что в течение некоторого времени некоторые клиенты используют Azure Information Protection, и некоторые по-прежнему будут использовать AD RMS. Для поддержки предварительно подготовленных и перенесенных пользователей используйте элементы управления подключения и разверните скрипт предварительной подготовки.

Примечание.

Этот шаг необходим во время процесса миграции, чтобы пользователи, которые еще не перенесены, могли использовать содержимое, защищенное перенесенными пользователями, которые теперь используют Azure Rights Management.

Подготовка к миграции клиента

1. Создайте группу, например AIPMigrated. Эту группу можно создать в Active Directory и синхронизировать с облаком или создать ее в Microsoft 365 или в идентификаторе Microsoft Entra.

   Не назначайте пользователей этой группе в настоящее время. На следующем шаге при переносе пользователей добавьте их в группу.

2. Запишите идентификатор объекта этой группы с помощью одного из следующих методов.

   • Используйте Microsoft Graph PowerShell. Например, используйте команду Get-MgGroup .
   • Скопируйте идентификатор объекта группы из портал Azure.

3. Настройте эту группу для подключения элементов управления, чтобы разрешить только пользователям в этой группе использовать Azure Rights Management для защиты содержимого.

   Для этого в сеансе PowerShell подключитесь к службе Azure Rights Management. При появлении запроса укажите учетные данные глобального администратора.

   Connect-AipService
   

   Настройте эту группу для элементов управления подключением, заменив идентификатор объекта группы для этого примера. При появлении запроса введите Y , чтобы подтвердить.

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
   

4. Скачайте файл Migration-Scripts.zip.

5. Извлеките файлы и следуйте инструкциям в Prepare-Client.cmd, чтобы он содержал имя сервера для URL-адреса лицензирования экстрасети кластера AD RMS. Чтобы найти это имя, выполните следующие действия.

   1. В консоли службы Active Directory Rights Management выберите имя кластера.

   2. Из сведений о кластере скопируйте имя сервера из значения лицензирования из раздела URL-адресов кластера экстрасети. Например, rmscluster.contoso.com.

   Важно!

   Инструкции включают замену примеров адресов adrms.contoso.com с адресами сервера AD RMS.

   При этом будьте осторожны, что нет дополнительных пробелов до или после адресов. Дополнительные пробелы разорвают скрипт миграции и очень трудно определить в качестве основной причины проблемы.

   Некоторые средства редактирования автоматически добавляют пробел после вставки текста.

6. Разверните этот скрипт на всех компьютерах Windows, чтобы гарантировать, что при запуске миграции клиентов клиенты еще не будут перенесены, продолжайте взаимодействовать с AD RMS, даже если они используют содержимое, защищенное перенесенными клиентами, которые теперь используют службу Azure Rights Management.

   Для развертывания этого скрипта можно использовать групповую политику или другой механизм развертывания программного обеспечения.

Шаг 3. Подготовка развертывания Exchange для миграции

Если вы используете Локальную среду Exchange или Exchange Online, возможно, вы ранее интегрировали Exchange с развертыванием AD RMS. На этом шаге настройте их для использования существующей конфигурации AD RMS для поддержки содержимого, защищенного Azure RMS.

Убедитесь, что у вас есть URL-адрес службы Azure Rights Management для клиента , чтобы вы могли заменить это значение <для YourTenantURL> в следующих командах.

Выполните одно из следующих действий, в зависимости от того, интегрирована ли локальная среда Exchange или Exchange Online с AD RMS:

• Встроенная локальная среда Exchange с AD RMS
• Интегрированная служба Exchange Online с AD RMS

Если вы интегрированы Exchange Online с AD RMS

1. Откройте сеанс Exchange Online PowerShell.

2. Выполните следующие команды PowerShell по одному или в скрипте.

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -internallicensingenabled $true 
   

Если вы интегрировали Exchange в локальной среде с AD RMS

Для каждой организации Exchange добавьте значения реестра на каждом сервере Exchange, а затем выполните команды PowerShell:

1. Если у вас есть Exchange 2013 или Exchange 2016, добавьте следующее значение реестра:

   • Путь в реестре: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Тип: Reg_SZ

   • Значение: https://\<Your Tenant URL\>/_wmcs/licensing

   • Данные: https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

2. Выполните следующие команды PowerShell, по одному или в скрипте:

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -RefreshServerCertificates
   Set-IRMConfiguration -internallicensingenabled $true
   IISReset
   

После выполнения этих команд для локальной среды Exchange Online или Exchange, если развертывание Exchange было настроено для поддержки содержимого, защищенного AD RMS, оно также будет поддерживать содержимое, защищенное Azure RMS после миграции.

Развертывание Exchange продолжает использовать AD RMS для поддержки защищенного содержимого до последующего шага миграции.

Следующие шаги

Перейдите к этапу 2 — конфигурация на стороне сервера.