Переход с AD RMS на службу Azure Information Protection

Используйте следующий набор инструкций, чтобы перенести развертывание служб Active Directory Rights Management Services (AD RMS) в Azure Information Protection.

После миграции серверы AD RMS больше не будут работать, но пользователи по-прежнему будут иметь доступ к документам и сообщениям электронной почты, которые ваша организация защитила с помощью AD RMS. Новое защищаемое содержимое будет использовать службу Azure Rights Management (Azure RMS) из Azure Information Protection.

Хоть это и необязательно, вы можете ознакомиться со следующей документацией перед началом миграции. Эти сведения помогут вам лучше понять принцип действия этой технологии в соответствии с этапами миграции.

  • Планирование и реализация ключа клиента Azure Information Protection. Сведения о возможностях управления ключами, доступных для клиента Azure Information Protection, в ситуациях когда эквивалент ключа SLC в облаке управляется средствами Майкрософт (по умолчанию) или вами (конфигурация BYOK).

  • Обнаружение службы RMS. В этом разделе заметок о развертывании клиента RMS объясняется, что порядок обнаружения служб — это реестр, а затем точка подключения службы (SCP), а затем облако. В процессе миграции при наличии установленной точки подключения службы (SCP) вам потребуется настроить параметры для клиентских систем клиента Azure Information Protection так, чтобы они не использовали кластер AD RMS, возвращенный точкой SCP.

  • Общие сведения о соединителе Microsoft Rights Management. В этом разделе документации по соединителю RMS объясняется, каким образом локальные серверы могут подключаться к службе управления правами Azure для защиты документов и сообщений электронной почты.

Кроме того, если вы не знакомы с работой AD RMS, возможно, вам будет полезно прочитать, как работает Azure RMS? Чтобы определить, какие технологические процессы одинаковы или отличаются для облачной версии.

Предварительные требования для перехода со службы AD RMS на Azure Information Protection

Перед миграцией на Azure Information Protection убедитесь в выполнении следующих предварительных требований, а также ознакомьтесь с существующими ограничениями.

  • Поддерживаемое развертывание RMS:

    • Следующие версии службы AD RMS поддерживают переход на Azure Information Protection:

      • Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)

    • Поддерживаются все допустимые топологии службы AD RMS.

      • Один лес, один кластер службы RMS

      • Один лес, несколько кластеров лицензирования службы RMS

      • Несколько лесов, несколько кластеров службы RMS

      Примечание

      По умолчанию несколько кластеров службы AD RMS переносятся в один клиент Azure Information Protection. Если вам нужны раздельные клиенты Azure Information Protection, выполните их миграцию по отдельности. Ключ одного кластера службы RMS можно импортировать не более чем в один клиент.

  • Все требования для запуска Information Protection Azure, включая подписку на Azure Information Protection (служба Azure Rights Management не активирована):

    См. статью Требования для Azure Information Protection.

    Клиент Azure Information Protection требуется для классификации и маркировки, а также необязательный, но рекомендуется, если вы хотите защитить только данные.

    Дополнительные сведения см. в руководствах администратора для клиента унифицированных меток Azure Information Protection.

    Хотя перед переносом из службы AD RMS необходимо иметь подписку на Azure Information Protection, не рекомендуется активировать службу Rights Management для клиента до начала переноса.

    Процесс переноса предусматривает шаг активации после экспорта ключей и шаблонов из службы AD RMS и их импорта в клиент Azure Information Protection. Если служба Rights Management уже активирована, можно осуществить перенос из AD RMS, выполнив несколько дополнительных действий.

    Только Office 2010:

    Если у вас есть компьютеры под управлением Office 2010, необходимо установить клиент Azure Information Protection, чтобы предоставить возможность проверки подлинности пользователей в облачных службах.

    Важно!

    Расширенная поддержка Office 2010 завершилась13 октября 2020 г. Дополнительные сведения см. в разделе AIP и устаревшие версии Windows и Office.

  • Подготовка к Information Protection Azure:

  • При использовании функции управления правами на доступ к данным (IRM) Exchange Server (например, правил транспортировки и Outlook Web App) или SharePoint Server с AD RMS:

    • В ходе планирования следует учесть небольшой период времени, когда функция IRM будет недоступна на этих серверах.

      После переноса можно продолжить использовать IRM на этих серверах. Однако на одном из шагов переноса служба IRM временно отключается, устанавливается и настраивается соединитель; выполняется повторная настройка серверов, а затем снова включается служба IRM.

      Это единственный перерыв в работе службы во время процесса переноса.

  • При необходимости управлять собственным ключом клиента Azure Information Protection с помощью ключа HSM:

    • Эта дополнительная настройка требует наличия хранилища ключей Azure и подписки Azure, которая поддерживает хранилище ключей с ключами, защищенными аппаратным модулем безопасности. Дополнительные сведения см. на странице цен на Azure 密钥保管库.

Особенности режима шифрования

Если ваш кластер AD RMS находится в режиме шифрования 1, не обновляйте кластер до режима шифрования 2 перед началом миграции. Вместо этого выполните миграцию с помощью режима шифрования 1, и вы сможете повторно создать ключ клиента в конце миграции в рамках одной из задач, выполняемых после миграции.

Чтобы подтвердить режим шифрования AD RMS для Windows Server 2012 R2 и Windows 2012: вкладка "Общие" свойств >кластера AD RMS.

Ограничения миграции

  • Имеющееся программное обеспечение и клиенты, которые не поддерживаются службой Rights Management, используемой Azure Information Protection, не смогут защищать или использовать содержимое, защищаемое службой Azure Rights Management. Обязательно проверьте поддерживаемые приложения и клиенты из раздела "Требования" для Azure Information Protection.

  • Если развертывание AD RMS настроено для совместной работы с внешними партнерами (например, с помощью доверенных доменов пользователей или федерации), их необходимо перенести в Azure Information Protection одновременно с переносом либо как можно быстрее после его завершения. Чтобы продолжить обращаться к содержимому, которое было ранее защищено организацией с помощью Azure Information Protection, необходимо внести в конфигурацию клиентов изменения, похожие на те, которые приведены в этом документе.

    Из-за возможных различий в настройках для ваших партнеров точные инструкции для перенастройки находятся вне области рассмотрения этого документа. За рекомендациями по планированию и дополнительными справочными сведениями обратитесь в службу поддержки Майкрософт.

Планирование миграции при совместной работе с внешними партнерами

Включите своих партнеров AD RMS в этап планирования миграции, так как их также необходимо перенести в Azure Information Protection. Перед выполнением следующих шагов миграции убедитесь, что соблюдены следующие условия.

  • Наличие у партнеров клиента Azure Active Directory, который поддерживает службы Azure Rights Management.

    Например, у них есть подписка Office 365 E3 или E5, или подписка Enterprise Mobility + Security, или автономная подписка на Azure Information Protection.

  • Их служба Azure Rights Management еще не активирована, но они знают URL-адрес службы Azure Rights Management.

    Эти сведения можно получить, установив средство управления правами Azure, подключив службу (Connect-AipService), а затем просмотрев сведения о клиенте для службы Azure Rights Management (Get-AipServiceConfiguration).

  • Они предоставляют URL-адреса для своих кластеров AD RMS и URL-адрес службы Azure Rights Management, чтобы вы могли настроить перенесенные клиенты для перенаправления запросов на их защищенное содержимое AD RMS к их службе Azure Rights Management клиента. Инструкции по настройке перенаправления клиента см. на шаге 7.

  • Им следует импортировать свои корневые ключи кластера (SLC) AD RMS в клиент до того, как вы начнете переносить своих пользователей. Аналогичным образом вам следует импортировать корневые ключи кластера AD RMS до того, как они начнут переносить своих пользователей. Инструкции по импорту ключа рассматриваются в этом процессе миграции, шаг 4. Экспортируйте данные конфигурации из AD RMS и импортируйте их в Azure Information Protection.

Обзор шагов миграции со службы AD RMS на Azure Information Protection

Шаги миграции можно разделить на 5 этапов, которые могут выполняться в разное время разными администраторами.

Этап 1. Подготовка миграции

Дополнительные сведения см. в разделе "ЭТАП 1. ПОДГОТОВКА МИГРАЦИИ".

Шаг 1. Установка модуля PowerShell AIPService и определение URL-адреса клиента

Процесс миграции требует выполнения одного или нескольких командлетов PowerShell из модуля AIPService. Для большей части действий по миграции необходимо знать URL-адрес службы Azure Rights Management. Это значение можно узнать с помощью PowerShell.

Шаг 2. Подготовка к миграции клиентов

Если невозможно перенести все клиенты одновременно, но вы планируете перенести их в пакетном режиме, используйте элементы управления переходом и разверните скрипт, выполняемый перед миграцией. Но вы планируете перенести все одновременно, а не в ходе поэтапной миграции, этот шаг можно пропустить.

Шаг 3. Подготовка развертывания Exchange для миграции

Этот шаг является обязательным, если в настоящее время используется функция IRM для Exchange Online или локального Exchange для защиты сообщений электронной почты. Но вы планируете перенести все одновременно, а не в ходе поэтапной миграции, этот шаг можно пропустить.

Этап 2. Конфигурация на стороне сервера для AD RMS

Дополнительные сведения см. в РАЗДЕЛЕ "ЭТАП 2. КОНФИГУРАЦИЯ НА СТОРОНЕ СЕРВЕРА ДЛЯ AD RMS".

Шаг 4. Экспорт данных конфигурации из AD RMS и их импорт в Azure Information Protection

Данные конфигурации (ключи, шаблоны, URL-адреса) из AD RMS экспортируются в XML-файл, а затем передаются в службу Azure Rights Management из Azure Information Protection с помощью командлета PowerShell Import-AipServiceTpd. Затем укажите, какой ключ импортированных сертификатов лицензиара сервера (SLC) использовать в качестве ключа клиента для службы Azure Rights Management. Могут понадобиться дополнительные шаги в зависимости от конфигурации ключа службы AD RMS.

  • Перенос программно защищенного ключа в программно защищенный ключ:

    централизованно управляемый перенос ключей на базе паролей в службе AD RMS в ключ клиента Azure Information Protection под управлением Майкрософт. Это простейший способ переноса, и дополнительные действия не требуются.

  • Перенос ключей с защитой HSM на ключ, защищенный устройством HSM:

    перенос ключей, хранимых в HSM, для службы AD RMS в ключи клиента Azure Information Protection под управлением пользователя (сценарий "используй свой ключ" или BYOK). Для этого требуются дополнительные действия по переносу ключа из локального модуля HSM nCipher в Azure 密钥保管库 и авторизации службы Azure Rights Management для использования этого ключа. Ваш существующий ключ, защищаемый с помощью аппаратного модуля безопасности, должен быть защищен таким модулем; ключи, защищенные периодически подключаемыми системами, не поддерживаются службой управления правами.

  • Перенос программно защищенного ключа в ключ, защищенный с помощью аппаратного модуля безопасности:

    централизованно управляемый перенос ключей на базе паролей в службе AD RMS в ключи клиента Azure Information Protection под управлением пользователя (сценарий "используй свой ключ" или BYOK). Для этого требуется большая конфигурация, так как сначала необходимо извлечь ключ программного обеспечения и импортировать его в локальный модуль HSM, а затем выполнить дополнительные действия для передачи ключа из локального модуля HSM nCipher в устройство HSM azure 密钥保管库 HSM и авторизовать службу Azure Rights Management для использования хранилища ключей, в котором хранится ключ.

Шаг 5. Активация службы Azure Rights Management

Если это возможно, выполните этот шаг после завершения процесса импорта, а не до него. Дополнительные действия нужны, если служба была активирована перед приглашением.

Шаг 6. Настройте импортированные шаблоны.

При импорте шаблонов политик прав происходит архивирование их состояний. Чтобы пользователи имели возможность видеть и использовать их, необходимо изменить состояние шаблонов на "опубликованные" на классическом портале Azure.

Этап 3. Настройка на стороне клиента

Дополнительные сведения см. в разделе "ЭТАП 3: КОНФИГУРАЦИЯ НА СТОРОНЕ КЛИЕНТА".

Шаг 7. Перевод компьютеров с Windows на Azure Information Protection

Необходимо изменить конфигурацию существующих компьютеров Windows для использования службы Azure Rights Management вместо службы AD RMS. Этот шаг применяется к компьютерам в организации и к компьютерам в организации партнера, если с ним осуществлялась совместная работа во время использования службы AD RMS.

Этап 4. Настройка вспомогательных служб

Дополнительные сведения см. на ЭТАПЕ 4: ПОДДЕРЖКА КОНФИГУРАЦИИ СЛУЖБ.

Шаг 8. Настройка интеграции IRM для Exchange Online

Этот шаг завершает процесс миграции AD RMS для Exchange Online, чтобы использовать службу Azure Rights Management.

Шаг 9. Настройка интеграции IRM для Exchange Server и SharePoint Server

Этот шаг завершает процесс миграции AD RMS для локальной среды Exchange или SharePoint, чтобы использовать службу Azure Rights Management, для которой требуется развертывание соединителя службы Rights Management.

Этап 5. Задачи после миграции

Дополнительные сведения см. на этапе 5. ЗАДАЧИ ПОСЛЕ МИГРАЦИИ.

Шаг 10. Вывод службы AD RMS из эксплуатации

Убедившись, что все компьютеры с Windows используют службу Azure Rights Management и больше не обращаются к серверам службы AD RMS, можно удалить развертывание службы AD RMS.

Шаг 11. Завершение задач миграции клиента

Если вы развернули расширение для мобильных устройств для поддержки мобильных устройств, например телефонов с iOS и устройств iPad, телефонов и планшетов с Android, Windows и компьютеров Mac, необходимо удалить записи SRV в DNS, которые перенаправляли эти клиенты на использование AD RMS.

Элементы управления перехода, настроенные на этапе подготовки, больше не нужны. Но если вы не использовали элементы управления перехода, так как выбрали перенос всех данных одновременно, а не в ходе поэтапной миграции, можно пропустить инструкции по удалению элементов управления перехода.

Если на компьютерах с Windows установлен набор Office 2010, проверьте, требуется ли отключить задачу Управление шаблоном политики для прав службы AD RMS (автоматически).

Важно!

Расширенная поддержка Office 2010 завершилась13 октября 2020 г. Дополнительные сведения см. в разделе AIP и устаревшие версии Windows и Office.

Шаг 12. Повторное создание ключа клиента azure Information Protection

Этот шаг рекомендуется, если вы не работали в режиме шифрования 2 до миграции.

Дальнейшие шаги

Чтобы начать миграцию, перейдите к статье Этап 1. Подготовка.