Migreringsfas 1 – förberedelse

Använd följande information för fas 1 av migrering från AD RMS till Azure Information Protection. De här procedurerna omfattar steg 1 till och med 3 från Migrera från AD RMS till Azure Information Protection och förbereder din miljö för migrering utan att det påverkar användarna.

Steg 1: Installera AIPService PowerShell-modulen och identifiera din klient-URL

Installera AIPService-modulen så att du kan konfigurera och hantera tjänsten som tillhandahåller dataskyddet för Azure Information Protection.

Anvisningar finns i Installera AIPService PowerShell-modulen.

För att slutföra några av migreringsinstruktionerna behöver du känna till Url:en för Azure Rights Management-tjänsten för din klientorganisation, så att du kan ersätta den med när du ser referenser till din klient-URL>.<

Url:en för Azure Rights Management-tjänsten har följande format: {GUID}.rms.[Region].aadrm.com. Till exempel: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

Så här identifierar du url:en för Azure Rights Management-tjänsten

1. Anslut till Azure Rights Management-tjänsten och när du uppmanas till det anger du autentiseringsuppgifterna för din klientorganisations globala administratör:

   Connect-AipService
   

2. Hämta klientorganisationens konfiguration:

   Get-AipServiceConfiguration
   

3. Kopiera värdet som visas för LicensingIntranetDistributionPointUrl och ta bort /_wmcs\licensingfrån den här strängen .

   Det som återstår är url:en för Azure Rights Management-tjänsten för din Azure Information Protection-klientorganisation. Det här värdet förkortas ofta till din klient-URL i följande migreringsinstruktioner.

   Du kan kontrollera att du har rätt värde genom att köra följande PowerShell-kommando:

   (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
   

Steg 2: Förbered för klientmigrering

För de flesta migreringar är det inte praktiskt att migrera alla klienter samtidigt. Du migrerar förmodligen klienter i batchar.

Det innebär att vissa klienter under en tid använder Azure Information Protection och vissa fortfarande använder AD RMS. Om du vill stödja både förmigrerade och migrerade användare använder du registreringskontroller och distribuerar ett förmigreringsskript.

Kommentar

Det här steget krävs under migreringsprocessen så att användare som ännu inte har migrerat kan använda innehåll som har skyddats av migrerade användare som nu använder Azure Rights Management.

Förbereda för klientmigrering

1. Skapa en grupp med namnet AIPMigrated. Den här gruppen kan skapas i Active Directory och synkroniseras till molnet, eller så kan den skapas i Microsoft 365 eller Microsoft Entra-ID.

   Tilldela inga användare till den här gruppen just nu. När användarna migreras i ett senare steg lägger du till dem i gruppen.

2. Anteckna den här gruppens objekt-ID med någon av följande metoder.

   • Använd Microsoft Graph PowerShell. Använd till exempel kommandot Get-MgGroup .
   • Kopiera objekt-ID :t för gruppen från Azure-portalen.

3. Konfigurera den här gruppen för registrering av kontroller så att endast personer i den här gruppen kan använda Azure Rights Management för att skydda innehåll.

   Om du vill göra den här konfigurationen ansluter du till Azure Rights Management-tjänsten i en PowerShell-session. När du uppmanas till det anger du dina autentiseringsuppgifter för global administratör.

   Connect-AipService
   

   Konfigurera den här gruppen för registrering av kontroller och ersätt ditt gruppobjekt-ID för den i det här exemplet. När du uppmanas till det anger du Y för att bekräfta.

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
   

4. Ladda ned filen Migration-Scripts.zip .

5. Extrahera filerna och följ anvisningarna i Prepare-Client.cmd, så att de innehåller servernamnet för ad RMS-klustrets extranätlicensierings-URL. Gör följande för att hitta det här namnet.

   1. I Active Directory Rights Management Services-konsolen väljer du klusternamnet.

   2. I informationen om klusterinformation kopierar du servernamnet från avsnittet Licensieringsvärde från avsnittet URL:er för extranätkluster. Till exempel: rmscluster.contoso.com.

   Viktigt!

   Anvisningarna omfattar att ersätta exempeladresser för adrms.contoso.com med dina AD RMS-serveradresser.

   När du gör detta bör du vara försiktig så att det inte finns några ytterligare blanksteg före eller efter dina adresser. Extra blanksteg bryter migreringsskriptet och är mycket svårt att identifiera som rotorsaken till problemet.

   Vissa redigeringsverktyg lägger automatiskt till ett blanksteg efter att text har klistrats in.

6. Distribuera det här skriptet till alla Windows-datorer för att säkerställa att klienter som ännu inte har migrerats fortsätter att kommunicera med AD RMS när du börjar migrera klienter, även om de använder innehåll som skyddas av migrerade klienter som nu använder Azure Rights Management-tjänsten.

   Du kan använda en grupprincip eller en annan mekanism för programvarudistribution för att distribuera det här skriptet.

Steg 3: Förbereda Exchange-distributionen för migrering

Om du använder Exchange lokalt eller Exchange Online kan du tidigare ha integrerat Exchange med din AD RMS-distribution. I det här steget konfigurerar du dem för att använda den befintliga AD RMS-konfigurationen för att stödja innehåll som skyddas av Azure RMS.

Kontrollera att du har url:en för Azure Rights Management-tjänsten för din klientorganisation så att du kan ersätta det här värdet med <YourTenantURL> i följande kommandon.

Gör något av följande beroende på om du har integrerat Exchange on-premises eller Exchange Online med AD RMS:

• Integrerad Exchange on-premises med AD RMS
• Integrerad Exchange Online med AD RMS

Om du har integrerat Exchange Online med AD RMS

1. Öppna en Exchange Online PowerShell-session.

2. Kör följande PowerShell-kommandon antingen en i taget eller i ett skript.

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -internallicensingenabled $true 
   

Om du har integrerat Exchange lokalt med AD RMS

För varje Exchange-organisation lägger du till registervärden på varje Exchange-server och kör sedan PowerShell-kommandon:

1. Om du har Exchange 2013 eller Exchange 2016 lägger du till följande registervärde:

   • Registersökväg: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Typ: Reg_SZ

   • Värde: https://\<Your Tenant URL\>/_wmcs/licensing

   • Data: https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

2. Kör följande PowerShell-kommandon, antingen en i taget eller i ett skript:

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -RefreshServerCertificates
   Set-IRMConfiguration -internallicensingenabled $true
   IISReset
   

När du har kört dessa kommandon för Exchange Online eller Exchange on-premises, om Exchange-distributionen har konfigurerats för att stödja innehåll som har skyddats av AD RMS, kommer den också att stödja innehåll som skyddas av Azure RMS efter migreringen.

Exchange-distributionen fortsätter att använda AD RMS för att stödja skyddat innehåll tills ett senare steg i migreringen.

Nästa steg

Gå till fas 2 – konfiguration på serversidan.