Этап миграции 5. Задачи после миграции
Используйте следующие сведения для этапа 5 миграции из AD RMS в Azure Information Protection. Эти процедуры охватывают шаги 10–12 от миграции с AD RMS в Azure Information Protection.
Шаг 10. Отмена подготовки AD RMS
Удалите службу Подключение point (SCP) из Active Directory, чтобы предотвратить обнаружение локальной инфраструктуры Rights Management на компьютерах. Это необязательно для существующих клиентов, перенесенных из-за перенаправления, настроенного в реестре (например, при запуске скрипта миграции). Однако при удалении SCP новые клиенты и потенциально связанные с RMS службы и средства не будут находить SCP после завершения миграции. На этом этапе все подключения к компьютеру должны перейти в службу Azure Rights Management.
Чтобы удалить SCP, убедитесь, что вы вошли в систему в качестве администратора домена, а затем выполните следующую процедуру:
В консоли службы Active Directory Rights Management щелкните правой кнопкой мыши кластер AD RMS и выберите пункт "Свойства".
Щелкните вкладку SCP .
Выберите поле "Изменить SCP" проверка.
Нажмите кнопку " Удалить текущую SCP" и нажмите кнопку "ОК".
Теперь отслеживайте серверы AD RMS для действий. Например, проверка запросы в отчете о работоспособности системы, таблицу ServiceRequest или аудит доступа пользователя к защищенному содержимому.
После подтверждения того, что клиенты RMS больше не взаимодействуют с этими серверами и что клиенты успешно используют Azure Information Protection, можно удалить роль сервера AD RMS с этих серверов. Если вы используете выделенные серверы, вы можете предпочесть осторожный шаг первого завершения работы серверов в течение определенного периода времени. Это дает вам время, чтобы убедиться, что отсутствуют сообщаемые проблемы, которые могут потребовать перезапуска этих серверов для непрерывности служб при изучении того, почему клиенты не используют Azure Information Protection.
После отмены подготовки серверов AD RMS вы можете воспользоваться возможностью просмотреть шаблон и метки. Например, преобразуйте шаблоны в метки, консолидируйте их, чтобы пользователи имели меньше вариантов выбора или перенастройки. Это также было бы хорошим временем для публикации шаблонов по умолчанию.
Для меток конфиденциальности и клиента унифицированных меток используйте Портал соответствия требованиям Microsoft Purview. Дополнительные сведения см. в документации по Microsoft 365.
Важно!
В конце этой миграции кластер AD RMS не может использоваться с Azure Information Protection и параметром хранения собственного ключа (HYOK).
Дополнительная конфигурация для компьютеров под управлением Office 2010
Важно!
Расширенная поддержка Office 2010 закончилась 13 октября 2020 г. Дополнительные сведения см. в статье AIP и устаревшие версии Windows и Office.
Если перенесенные клиенты запускают Office 2010, пользователи могут столкнуться с задержками при открытии защищенного содержимого после отмены подготовки серверов AD RMS. Кроме того, пользователи могут видеть сообщения, у которых нет учетных данных для открытия защищенного содержимого. Чтобы устранить эти проблемы, создайте перенаправление сети для этих компьютеров, которое перенаправляет полное доменное имя URL-адреса AD RMS на локальный IP-адрес компьютера (127.0.0.1). Это можно сделать, настроив файл локальных узлов на каждом компьютере или с помощью DNS.
Перенаправление с помощью файла локальных узлов: добавьте следующую строку в файл локальных узлов, заменив
<AD RMS URL FQDN>значение кластера AD RMS без префиксов или веб-страниц:127.0.0.1 <AD RMS URL FQDN>Перенаправление через DNS: создайте запись узла (A) для полного доменного имени URL-адреса AD RMS, который имеет IP-адрес 127.0.0.1.
Шаг 11. Выполнение задач миграции клиента
Для клиентов мобильных устройств и компьютеров Mac: удалите записи DNS SRV, созданные при развертывании расширения мобильного устройства AD RMS.
При распространении этих изменений DNS эти клиенты автоматически обнаруживают и начинают использовать службу Azure Rights Management. Однако компьютеры Mac под управлением Office Mac кэшируют сведения из AD RMS. Для этих компьютеров этот процесс может занять до 30 дней.
Чтобы принудить компьютеры Mac немедленно запустить процесс обнаружения, в связка ключей найдите "adal" и удалите все записи ADAL. Затем выполните следующие команды на следующих компьютерах:
rm -r ~/Library/Cache/MSRightsManagement
rm -r ~/Library/Caches/com.microsoft.RMS-XPCService
rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services
rm -r ~/Library/Containers/com.microsoft.RMS-XPCService
rm -r ~/Library/Containers/com.microsoft.RMSTestApp
rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist
killall cfprefsd
Когда все существующие компьютеры Windows перенесены в Azure Information Protection, нет причин продолжать использовать элементы управления подключения и поддерживать группу AIPMigrated , созданную для процесса миграции.
Сначала удалите элементы управления подключением, а затем удалите группу AIPMigrated и любой метод развертывания программного обеспечения, созданный для развертывания скриптов миграции.
Чтобы удалить элементы управления подключением, выполните следующие действия.
В сеансе PowerShell подключитесь к службе Azure Rights Management и при появлении запроса укажите учетные данные глобального администратора:
Connect-AipServiceВыполните следующую команду и введите Y , чтобы подтвердить:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $FalseОбратите внимание, что эта команда удаляет все принудительное применение лицензий для службы защиты Azure Rights Management, чтобы все компьютеры могли защищать документы и сообщения электронной почты.
Убедитесь, что элементы управления подключением больше не заданы:
Get-AipServiceOnboardingControlPolicyВ выходных данных лицензия должна отображать значение False, и для SecurityGroupOjbectId не отображается GUID.
Наконец, если вы используете Office 2010 и включили задачу ad RMS Rights Template Management (Автоматизированная) в библиотеке планировщика задач Windows, отключите эту задачу, так как она не используется клиентом Azure Information Protection.
Обычно эта задача включена с помощью групповой политики и поддерживает развертывание AD RMS. Эту задачу можно найти в следующем расположении: Клиент Microsoft>Windows> службы Active Directory Rights Management.
Важно!
Расширенная поддержка Office 2010 закончилась 13 октября 2020 г. Дополнительные сведения см. в статье AIP и устаревшие версии Windows и Office.
Шаг 12. Повторное создание ключа клиента Azure Information Protection
Этот шаг необходим при завершении миграции, если развертывание AD RMS использовало режим шифрования RMS 1, так как этот режим использует 1024-разрядный ключ и SHA-1. Эта конфигурация считается недостаточной степенью защиты. Корпорация Майкрософт не поддерживает использование более низких длин ключей, таких как 1024-разрядные ключи RSA и связанное использование протоколов, которые обеспечивают недостаточный уровень защиты, например SHA-1.
Переключение приводит к защите, которая использует режим шифрования RMS 2, что приводит к 2048-разрядному ключу и SHA-256.
Даже если развертывание AD RMS использовало режим шифрования 2, мы по-прежнему рекомендуем выполнить этот шаг, так как новый ключ помогает защитить клиента от потенциальных нарушений безопасности до ключа AD RMS.
При повторном создании ключа клиента Azure Information Protection (также известного как "переключение ключа"), текущий активный ключ архивируется, а Azure Information Protection начинает использовать другой ключ, указанный вами. Этот другой ключ может быть новым ключом, созданным в Azure Key Vault, или ключом по умолчанию, который был автоматически создан для вашего клиента.
Переход от одного ключа к другому не происходит сразу, но через несколько недель. Так как это не немедленно, не подождите, пока не подозреваете нарушение исходного ключа, но выполните этот шаг сразу после завершения миграции.
Чтобы повторно создать ключ клиента Azure Information Protection, выполните следующие действия.
Если ключ клиента управляется корпорацией Майкрософт: запустите командлет PowerShell Set-AipServiceKeyProperties и укажите идентификатор ключа для ключа, который был автоматически создан для вашего клиента. Вы можете определить значение, которое нужно указать, выполнив командлет Get-AipServiceKeys . Ключ, который был автоматически создан для вашего клиента, имеет старую дату создания, чтобы ее можно было определить с помощью следующей команды:
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1Если ключ клиента управляется вами (BYOK): в Azure Key Vault повторите процесс создания ключа для клиента Azure Information Protection, а затем снова запустите командлет Use-AipServiceKeyVaultKey , чтобы указать универсальный код ресурса (URI) для этого нового ключа.
Дополнительные сведения об управлении ключом клиента Azure Information Protection см. в разделе "Операции" для ключа клиента Azure Information Protection.
Следующие шаги
Теперь, когда вы завершили миграцию, просмотрите план развертывания AIP для классификации, маркировки и защиты , чтобы определить все другие задачи развертывания, которые может потребоваться выполнить.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по