Geçişin 5. aşaması - geçiş sonrası görevleri

AD RMS’den Azure Information Protection’a geçiş işleminin 5. Aşaması için aşağıdaki bilgileri kullanın. Bu yordamlar, AD RMS’den Azure Information Protection’a Geçiş konusunun 10 ila 12. adımlarını kapsar.

10. Adım AD RMS sağlamasını kaldırma

Bilgisayarların şirket içi Rights Management altyapınızı bulmasını önlemek için Hizmet Bağlantı Noktası’nı (SCP) Active Directory’den kaldırın. Kayıt defterinde yapılandırdığınız (örneğin, geçiş betik dosyasını çalıştırarak) yeniden yönlendirme nedeniyle geçiş yaptırdığınız var olan istemciler için bunun yapılması isteğe bağlıdır. Ancak SCP'nin kaldırılması, geçiş tamamlandığında yeni istemcilerin ve rms ile ilgili olabilecek hizmet ve araçların SCP'yi bulmasını engeller. Bu noktada, tüm bilgisayar bağlantıları Azure Rights Management hizmetine gitmelidir.

SCP’yi kaldırmak için, etki alanı kuruluş yöneticisi olarak oturum açtığınızdan emin olun ve aşağıdaki yordamı uygulayın:

  1. Active Directory Rights Management Services konsolunda AD RMS kümesine sağ tıklayın ve sonra Özellikler’e tıklayın.

  2. SCP sekmesine tıklayın.

  3. SCP’yi değiştir onay kutusunu seçin.

  4. Geçerli SCP'yi Kaldır’ı seçin ve sonra Tamam’a tıklayın.

Şimdi AD RMS sunucularınızı etkinlik için izleyin. Örneğin, Sistem Durumu raporundaki,ServiceRequest tablosundaki istekleri denetleyin veya korumalı içeriğe kullanıcı erişimini denetleyin.

RMS istemcilerinin bu sunucularla artık iletişim kurmadığını ve istemcilerin Azure Information Protection’ı başarıyla kullandığını onayladığınızda, AD RMS sunucu rolünü bu sunuculardan kaldırabilirsiniz. Ayrılmış sunucular kullanıyorsanız, ilk olarak sunucuları belirli bir süre için kapatmanın uyarı adımını tercih edebilirsiniz. Bu, istemcilerin neden Azure Information Protection kullanmadığını araştırırken hizmet sürekliliği için bu sunucuları yeniden başlatmanızı gerektirebilecek bildirilen bir sorun olmadığından emin olmanız için zaman sağlar.

AD RMS sunucularınızın sağlamasını kaldırdıktan sonra şablonunuzu ve etiketlerinizi gözden geçirme fırsatı elde etmek isteyebilirsiniz. Örneğin, şablonları etiketlere dönüştürün, kullanıcıların daha az seçim yapmalarını sağlamak için birleştirin veya yeniden yapılandırın. Bu, varsayılan şablonları yayımlamak için de uygun bir zaman olacaktır.

Duyarlılık etiketleri ve birleşik etiketleme istemcisi için Microsoft Purview uyumluluk portalı kullanın. Daha fazla bilgi için Microsoft 365 belgelerine bakın.

Önemli

Bu geçişin sonunda AD RMS kümeniz Azure Information Protection ve kendi anahtarınızı tutma (HYOK) seçeneğiyle kullanılamaz.

Office 2010 çalıştıran bilgisayarlar için ek yapılandırma

Önemli

Office 2010 genişletilmiş desteği 13 Ekim 2020'de sona erdi. Daha fazla bilgi için bkz. AIP ve eski Windows ve Office sürümleri.

Geçirilen istemciler Office 2010 çalıştırıyorsa, AD RMS sunucularımızın sağlamaları kaldırıldıktan sonra kullanıcılar korumalı içeriği açmada gecikmeler yaşayabilir. Veya kullanıcılar, korumalı içeriği açmak için kimlik bilgilerine sahip olmadıkları iletileri görebilir. Bu sorunları çözmek için, bu bilgisayarlar için AD RMS URL FQDN'sini bilgisayarın yerel IP adresine (127.0.0.1) yönlendiren bir ağ yeniden yönlendirmesi oluşturun. Bunu, her bilgisayarda yerel konaklar dosyasını yapılandırarak veya DNS kullanarak yapabilirsiniz.

  • Yerel konaklar dosyası aracılığıyla yeniden yönlendirme: Yerel konaklar dosyasına aşağıdaki satırı ekleyin ve değerini <AD RMS URL FQDN> önekler veya web sayfaları olmadan AD RMS kümenizin değeriyle birlikte ekleyin:

    127.0.0.1 <AD RMS URL FQDN>
    
  • DNS aracılığıyla yeniden yönlendirme: AD RMS URL FQDN'niz için 127.0.0.1 IP adresine sahip yeni bir ana bilgisayar (A) kaydı oluşturun.

11. Adım İstemci geçiş görevlerini tamamlama

Mobil cihaz istemcileri ve Mac bilgisayarlar için: AD RMS mobil cihaz uzantısını dağıtırken oluşturduğunuz DNS SRV kayıtlarını kaldırın.

Bu DNS değişiklikleri yayıldığında, bu istemciler otomatik olarak Azure Rights Management hizmetini bulur ve kullanmaya başlar. Ancak, Office Mac çalıştıran Mac bilgisayarlar AD RMS'den gelen bilgileri önbelleğe alır. Bu bilgisayarlar için bu işlem 30 güne kadar sürebilir.

Mac bilgisayarları bulma işlemini hemen çalıştırmaya zorlamak için anahtarlıkta "adal" araması yapın ve tüm ADAL girişlerini silin. Ardından, bu bilgisayarlarda aşağıdaki komutları çalıştırın:


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

Mevcut tüm Windows bilgisayarlarınız Azure Information Protection'a geçirildiğinde, ekleme denetimlerini kullanmaya devam etmek ve geçiş işlemi için oluşturduğunuz AIPMigrated grubunu korumak için bir neden yoktur.

Önce ekleme denetimlerini kaldırın, ardından AIPMigrated grubunu ve geçiş betiklerini dağıtmak için oluşturduğunuz tüm yazılım dağıtım yöntemlerini silebilirsiniz.

Ekleme denetimlerini kaldırmak için:

  1. Bir PowerShell oturumunda, Azure Rights Management hizmetine bağlanın ve istendiğinde genel yönetici kimlik bilgilerinizi belirtin:

    Connect-AipService
    
    
  2. Aşağıdaki komutu çalıştırın ve Y’ye basarak onaylayın:

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
    

    Bu komutun, tüm bilgisayarların belgeleri ve e-postaları koruyabilmesi için Azure Rights Management koruma hizmeti için tüm lisans zorlamalarını kaldırdığını unutmayın.

  3. Ekleme denetimlerinin artık ayarlı olmadığını doğrulayın:

    Get-AipServiceOnboardingControlPolicy
    

    Çıktıda Lisans değeri False olmalı ve SecurityGroupOjbectId için hiçbir GUID gösterilmemelidir

Son olarak, Office 2010 kullanıyorsanız ve Windows Görev Zamanlayıcı kitaplığında AD RMS Rights Policy Şablon Yönetimi (Otomatik) görevini etkinleştirdiyseniz, Azure Information Protection istemcisi tarafından kullanılmadığından bu görevi devre dışı bırakın.

Bu görev genellikle grup ilkesi kullanılarak etkinleştirilir ve AD RMS dağıtımlarını destekler. Bu görevi şu konumda bulabilirsiniz: Microsoft>Windows>Active Directory Rights Management Services İstemcisi.

Önemli

Office 2010 genişletilmiş desteği 13 Ekim 2020'de sona erdi. Daha fazla bilgi için bkz. AIP ve eski Windows ve Office sürümleri.

12. Adım Azure Information Protection kiracı anahtarınızı yeniden anahtarla

Bu adım, AD RMS dağıtımınız RMS Şifreleme Modu 1 kullanıyorsa geçiş tamamlandığında gereklidir çünkü bu mod 1024 bit anahtar ve SHA-1 kullanır. Bu yapılandırmanın yetersiz bir koruma düzeyi sunduğu kabul edilir. Microsoft, 1024 bit RSA anahtarları gibi daha düşük anahtar uzunluklarının ve SHA-1 gibi yetersiz koruma düzeyleri sunan protokollerin kullanılmasını onaylamaz.

Yeniden anahtarlama, RMS Şifreleme Modu 2'yi kullanan korumayla sonuçlanıp 2048 bit anahtar ve SHA-256 ile sonuçlanan bir sonuç olur.

AD RMS dağıtımınız Şifreleme Modu 2'yi kullanıyor olsa bile, yeni bir anahtar kiracınızı AD RMS anahtarınızda olası güvenlik ihlallerine karşı korumaya yardımcı olduğundan bu adımı gerçekleştirmenizi öneririz.

Azure Information Protection kiracı anahtarınızı ("anahtarınızı döndürmek" olarak da bilinir) yeniden anahtarladığınızda, şu anda etkin olan anahtar arşivlenir ve Azure Information Protection belirttiğiniz farklı bir anahtarı kullanmaya başlar. Bu farklı anahtar, Azure Key Vault'de oluşturduğunuz yeni bir anahtar veya kiracınız için otomatik olarak oluşturulan varsayılan anahtar olabilir.

Bir anahtardan diğerine geçiş hemen değil birkaç hafta içinde gerçekleşir. Hemen olmadığından, özgün anahtarınızda bir ihlal olduğundan şüphelenene kadar beklemeyin, ancak geçiş tamamlandıktan hemen sonra bu adımı uygulayın.

Azure Information Protection kiracı anahtarınızı yeniden oluşturmak için:

  • Kiracı anahtarınız Microsoft tarafından yönetiliyorsa: Set-AipServiceKeyProperties PowerShell cmdlet'ini çalıştırın ve kiracınız için otomatik olarak oluşturulan anahtarın anahtar tanımlayıcısını belirtin. Get-AipServiceKeys cmdlet'ini çalıştırarak belirteceğiniz değeri tanımlayabilirsiniz. Kiracınız için otomatik olarak oluşturulan anahtar en eski oluşturma tarihine sahiptir, bu nedenle aşağıdaki komutu kullanarak bunu tanımlayabilirsiniz:

    (Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
    
  • Kiracı anahtarınız sizin tarafınızdan yönetiliyorsa (KAG): Azure Key Vault,Azure Information Protection kiracınız için anahtar oluşturma işleminizi yineleyin ve ardından bu yeni anahtarın URI'sini belirtmek için Use-AipServiceKeyVaultKey cmdlet'ini yeniden çalıştırın.

Azure Information Protection kiracı anahtarınızı yönetme hakkında daha fazla bilgi için bkz. Azure Information Protection kiracı anahtarınız için işlemler.

Sonraki adımlar

Geçişi tamamladığınıza göre, yapmanız gerekebilecek diğer dağıtım görevlerini belirlemek için sınıflandırma, etiketleme ve koruma için AIP dağıtım yol haritasını gözden geçirin.