AD RMS’den Azure Information Protection’a geçiş

Azure Rights Management Services (AD RMS) dağıtımınızı Azure Information Protection’a geçirmek için aşağıdaki yönergeleri kullanın.

Geçişten sonra AD RMS sunucularınız kullanılamaz ancak kullanıcılar, kuruluşunuzun AD RMS aracılığıyla koruduğu belgeler ve e-posta iletilerine erişmeye devam eder. Yeni korunan içerikler, Azure Information Protection’ın Azure Rights Management hizmetini (Azure RMS) kullanacaktır.

Gerekli olmamakla birlikte, geçiş işlemini başlatmadan önce aşağıdaki belgeleri okumanız yararlı olabilir. Böylece bu teknolojinin nasıl çalıştığı konusunda daha fazla fikir edinebilir ve geçiş adımlarınızda gerektiği zaman bu bilgileri değerlendirebilirsiniz.

  • Azure Information Protection kiracı anahtarınızı planlama ve uygulama: Buluttaki SLC anahtarınızın eşdeğeri Microsoft (varsayılan) veya siz (“kendi anahtarını getir veya BYOK yapılandırması) tarafından yönetildiğinde Azure Information Protection kiracınıza yönelik anahtar yönetimi seçeneklerini anlayın.

  • RMS hizmet bulma: RMS istemci dağıtım notlarının bu bölümünde, hizmet bulma sırasının kayıt defteri, hizmet bağlantı noktası (SCP) ve ardından bulut olduğu açıklanır. SCP hala yüklüyken gerçekleşen geçiş süreci sırasında, Azure Information Protection kiracınız için kayıt defteri ayarları ile istemcileri yapılandırırsınız; böylece SCP’den döndürülen AD RMS kümesini kullanmazlar.

  • Microsoft Rights Management bağlayıcısına genel bakış: RMS bağlayıcısı belgelerinin bu bölümü, şirket içi sunucularınızın belge ve e-postaları korumak için Azure Information Protection’a nasıl bağlanabildiğini açıklar.

Ayrıca, AD RMS'nin nasıl çalıştığını bilmiyorsanız Azure RMS nasıl çalışır? Bulut sürümü için hangi teknoloji işlemlerinin aynı veya farklı olduğunu belirlemenize yardımcı olmak için arka planda.

AD RMS’yi Azure Information Protection’a geçirmek için önkoşullar

Azure Information Protection’a geçiş işlemine başlamadan önce, aşağıdaki önkoşulların yerine getirilmiş olduğundan ve kısıtlamalar varsa, bunları anladığınızdan emin olun.

  • Desteklenen bir RMS dağıtımı:

    • Aşağıdaki AD RMS sürümleri, Azure Information Protection’a geçişi destekler:

      • Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)

    • Geçerli AD RMS topolojilerinin tamamı desteklenir:

      • Tek bir orman, tek bir RMS kümesi

      • Tek orman, birden çok salt lisans RMS kümesi

      • Birden çok orman, birden çok RMS kümesi

      Not

      Varsayılan olarak, birden çok AD RMS kümesi Azure Information Protection için tek bir kiracıya geçirildi. Azure Information Protection kiracılarını ayırmak istiyorsanız, bunları farklı geçişler olarak ele almanız gerekir. Bir RMS kümesindeki anahtar, birden çok kiracıya aktarılamaz.

  • Azure Information Protection aboneliği de dahil olmak üzere Azure Information Protection çalıştırmaya yönelik tüm gereksinimler (Azure Rights Management hizmeti etkinleştirilmedi):

    Bkz. Azure Information Protection Gereksinimleri.

    Azure Information Protection istemcisi sınıflandırma ve etiketleme için gereklidir ve isteğe bağlıdır, ancak yalnızca verileri korumak istiyorsanız önerilir.

    Daha fazla bilgi için bkz. Azure Information Protection birleşik etiketleme istemcisi için yönetici kılavuzları.

    AD RMS’den geçiş yapmadan önce Azure Information Protection aboneliğiniz olması gerekse de geçişi başlatmadan önce kiracınız için Rights Management hizmetinin etkinleştirilmemesini öneriyoruz.

    Geçiş işleminde, AD RMS'den dışarı aktardığınız anahtar ve şablonları Azure Information Protection kiracınıza içeri aktarma işleminin ardından bu etkinleştirme adımına geçilir. Ancak Rights Management zaten etkinleştirilmişse yine de bazı ek adımlar ile AD RMS’den geçiş yapabilirsiniz.

    Yalnızca Office 2010:

    Office 2010 çalıştıran bilgisayarlarınız varsa, bulut hizmetlerinde kullanıcıların kimliğini doğrulayabilmek için Azure Information Protection istemcisini yüklemeniz gerekir.

    Önemli

    Office 2010 genişletilmiş desteği 13 Ekim 2020'de sona erdi. Daha fazla bilgi için bkz. AIP ve eski Windows ve Office sürümleri.

  • Azure Information Protection için hazırlık:

  • Exchange Server Bilgi Hakları Yönetimi (IRM) işlevlerini (örneğin, taşıma kuralları ve Outlook Web Access) veya AD RMS ile SharePoint Server kullandıysanız:

    • IRM’nin bu sunucularda kullanılabilir olmayacağı kısa bir süre için plan yapın.

      Geçişten sonra bu sunucularda IRM’yi kullanmaya devam edebilirsiniz. Ancak geçişte, IRM hizmetini geçici olarak devre dışı bırakma, bağlayıcı yükleyip yapılandırma, sunucuları yeniden yapılandırma ve sonra IRM’yi yeniden etkinleştirme işlemlerini içeren bir adım bulunur.

      Bu, geçiş işlemi sırasındaki tek hizmet kesintisidir.

  • HSM korumalı bir anahtar kullanarak kendi Azure Information Protection kiracı anahtarınızı yönetmek istiyorsanız:

    • Bu isteğe bağlı yapılandırma, Azure Anahtar Kasası ve HSM korumalı anahtarlar içeren Anahtar Kasası’nı destekleyen bir Azure aboneliği gerektirir. Daha fazla bilgi için Bkz. Azure Key Vault Fiyatlandırma sayfası.

Şifreleme modunda dikkat edilecek noktalar

AD RMS kümeniz şu anda Şifreleme Modu 1'deyse, geçişi başlatmadan önce kümeyi Şifreleme Modu 2'ye yükseltmeyin. Bunun yerine, Şifreleme Modu 1'i kullanarak geçiş yapın; geçiş sonrası görevlerden biri olarak geçişin sonunda kiracı anahtarınızı yeniden oluşturabilirsiniz.

Windows Server 2012 R2 ve Windows 2012 için AD RMS şifreleme modunu onaylamak için: AD RMS küme özellikleri >Genel sekmesi.

Geçiş sınırlamaları

  • Azure Information Protection tarafından kullanılan ve Rights Management hizmeti tarafından desteklenmeyen yazılım ve istemcileriniz varsa, bunlar Azure Rights Management tarafından korunan içerikleri koruyamaz veya kullanamaz. Azure Information Protection gereksinimleri bölümündeki desteklenen uygulamalar ve istemciler bölümlerini gözden geçirmeyi unutmayın.

  • AD RMS dağıtımınız dış ortaklar ile işbirliği yapmak üzere yapılandırılmışsa (örneğin güvenilen kullanıcı etki alanları veya federasyon kullanarak) bu ortaklar da geçiş işlemi sırasında veya en kısa sürede Azure Information Protection’a geçirilmelidir. Kuruluşunuzun daha önce Azure Information Protection kullanarak koruduğu içeriğe erişmeye devam etmek için, bu belgede yer alan ve sizin yaptıklarınıza benzeyen istemci yapılandırması değişiklikleri yapmaları gerekir.

    Ortaklarınızın sahip olabileceği muhtemel yapılandırma farklılıkları nedeniyle, bu yeniden yapılandırmaya yönelik kesin yönergeler bu belgenin kapsamında yer almaz. Ancak planlama rehberi ve ek yardım için Microsoft Destek’e başvurun bölümüne bakın.

Dış ortaklarla işbirliği yapmanız durumunda geçiş planı yapma

Geçiş planlamasına AD RMS ortaklarınızı da dahil edin çünkü onların da Azure Information Protection’a geçmeleri gereklidir. Sonraki geçiş aşamalarını uygulamadan önce aşağıdakilerin tamamlandığından emin olun:

  • Ortakların, Azure Rights Management hizmetini destekleyen bir Azure Active Directory kiracıları olmalıdır.

    Örneğin bir Office 365 E3 veya E5 abonelikleri, Enterprise Mobility + Security abonelikleri veya tek başına Azure Information Protection abonelikleri olabilir.

  • Azure Rights Management hizmetleri etkin olmamalı ancak Azure Rights Management hizmeti URL’lerini bilmelidirler.

    Azure Rights Management Aracı'nı yükleyerek, hizmete bağlanarak (Connect-AipService) ve ardından Azure Rights Management hizmeti için kiracı bilgilerini görüntüleyerek (Get-AipServiceConfiguration) bu bilgileri alabilirler.

  • AD RMS ile korunan içeriklerine yapılan istekleri, kiracılarının Azure Rights Management hizmetine yönlendirmek üzere geçirilen istemcileri yapılandırabilmeniz için size AD RMS kümelerinin ve Azure Rights Management hizmetinin URL’lerini sağlamalıdırlar. İstemci yeniden yönlendirmesini yapılandırma yönergeleri 7. adımda verilmiştir.

  • Siz kullanıcılarınızı geçirmeye başlamadan önce AD RMS kümesi kök anahtarlarını (SLC) kiracılarına aktarmış olmalıdırlar. Benzer şekilde, onlar kullanıcılarını geçirmeye başlamadan önce sizin de AD RMS kümesi kök anahtarlarınızı kiracılarınıza aktarmış olmanız gerekir. Anahtarı içeri aktarma yönergeleri, 4. adım olan bu geçiş işleminde ele alınmıştır. Yapılandırma verilerini AD RMS'den dışarı aktarın ve Azure Information Protection'a aktarın.

AD RMS’yi Azure Information Protection’a geçirmeye yönelik adımlara genel bakış

Geçiş adımları, farklı zamanlarda ve farklı yöneticiler tarafından yapılabilecek beş aşamaya bölünebilir.

1. Aşama: Geçiş hazırlığı

Daha fazla bilgi için bkz. AŞAMA 1: GEÇİCİ HAZIRLIK.

1. Adım: AIPService PowerShell modülünü yükleme ve kiracı URL'nizi tanımlama

Geçiş işlemi, AIPService modülünden bir veya daha fazla PowerShell cmdlet'ini çalıştırmanızı gerektirir. Geçiş adımlarının çoğunu tamamlamak için kiracınızın Azure Rights Management hizmeti URL'sini bilmeniz gerekir ve PowerShell kullanarak bu değeri tanımlayabilirsiniz.

Adım 2. İstemci geçişi için hazırlanma

Tüm istemcileri tek seferde geçiremiyorsanız ve toplu halde geçirecekseniz ekleme denetimlerini kullanın ve geçiş öncesinde bir betik dağıtın. Ancak aşamalı geçiş yapmak yerine her şeyi aynı anda geçirirseniz bu adımı atlayabilirsiniz.

3. Adım: Exchange dağıtımınızı geçiş için hazırlama

E-postaları korumak için Exchange Online veya şirket içi Exchange’in IRM özelliğini kullanıyorsanız bu adım gereklidir. Ancak aşamalı geçiş yapmak yerine her şeyi aynı anda geçirirseniz bu adımı atlayabilirsiniz.

2. Aşama: AD RMS için sunucu tarafı yapılandırması

Daha fazla bilgi için bkz. 2. AŞAMA: AD RMS IÇIN SUNUCU TARAFı YAPıLANDıRMASı.

4. Adım: AD RMS'deki yapılandırma verilerini dışarı aktarma ve sonra Azure Information Protection’a aktarma

Yapılandırma verilerini (anahtarlar, şablonlar, URL'ler) AD RMS'den bir XML dosyasına aktarabilir ve ardından Import-AipServiceTpd PowerShell cmdlet'ini kullanarak bu dosyayı Azure Information Protection'dan Azure Rights Management hizmetine yüklersiniz. Ardından içeri aktarılan Sunucu Lisans Verme Sertifikalarından (SLC) hangisinin Azure Rights Management hizmeti için kiracı anahtarınız olarak kullanılacağını belirleyin. AD RMS anahtarı yapılandırmanıza bağlı olarak ek adımlar gerekebilir:

  • Yazılımla korunan anahtardan yazılımla korunan anahtara geçiş:

    AD-RMS’de merkezi olarak yönetilen parola tabanlı anahtarlardan Microsoft tarafından yönetilen Azure Information Protection kiracı anahtarına. Bu en basit geçiş yoludur, ek adım gerekmez.

  • HSM korumalı anahtardan HSM korumalı anahtara geçiş:

    AD RMS için, bir HSM tarafından depolanan anahtarlardan müşteri tarafından yönetilen Azure Information Protection kiracı anahtarına ("kendi anahtarını getir" veya BYOK senaryosu). Bunun için, anahtarı şirket içi nCipher HSM'nizden Azure Key Vault'a aktarmak ve Azure Rights Management hizmetine bu anahtarı kullanma yetkisi vermek için ek adımlar gerekir. Var olan HSM korumalı anahtarınız, modül korumalı olmalıdır; OCS korumalı anahtarlar Rights Management hizmetleri tarafından desteklenmez.

  • Yazılım tarafından korunan anahtardan HSM korumalı anahtara geçiş:

    AD RMS’deki merkezi olarak yönetilen, parola korumalı anahtarlardan, müşteri tarafından yönetilen Azure Information Protection kiracı anahtarına ("kendi anahtarınızı getir" veya BYOK senaryosu). Önce yazılım anahtarınızı ayıklamanız ve şirket içi HSM'ye aktarmanız ve ardından anahtarı şirket içi nCipher HSM'nizden bir Azure Key Vault HSM'ye aktarmak ve Azure Rights Management hizmetini anahtarı depolayan anahtar kasasını kullanma yetkisi vermek için ek adımları gerçekleştirmeniz gerektiğinden bu en fazla yapılandırmayı gerektirir.

5. Adım. Azure Rights Management hizmetini etkinleştirme

Mümkünse, bu adımı içeri aktarma işleminden önce değil, sonra yapın. Hizmetin içeri aktarma işleminden önce etkinleştirilmiş olması durumunda gerçekleştirilmesi gereken ek adımlar vardır.

6. Adım. İçeri aktarılan şablonları yapılandırma

Hak ilkesi şablonlarınızı içeri aktardığınızda durumları arşivlenir. Kullanıcıların şablonları görebilmesini ve kullanabilmesini istiyorsanız şablon durumunu klasik Azure portalında yayımlanacak şeklinde değiştirmeniz gerekir.

3. Aşama: İstemci tarafı yapılandırması

Daha fazla bilgi için bkz . 3. AŞAMA: İsteMCİ TARAFI YAPILANDIRMASI.

7. Adım: Windows bilgisayarlarını Azure Information Protection kullanacak şekilde yeniden yapılandırma

Mevcut Windows bilgisayarlar, AD RMS yerine Azure Rights Management hizmetini kullanmak üzere yeniden yapılandırılmalıdır. Bu adım, kuruluşunuzdaki bilgisayarlar için ve AD RMS çalıştırırken işbirliği yaptıysanız ortak kuruluşlardaki bilgisayarlar için geçerlidir.

4. Aşama: Destek hizmetleri yapılandırması

Daha fazla bilgi için bkz. AŞAMA 4: DESTEK HİzMETLerİ YAPILANDIRMASI.

8. Adım: Exchange Online için IRM tümleştirmesini yapılandırma

Bu adımda, AD RMS’nin Azure Rights Management hizmetini kullanmak üzere Exchange Online’a geçişi tamamlanır.

9. adım: Exchange Server ve SharePoint Server için IRM tümleştirmesini yapılandırma

Bu adımda AD RMS’nin, Rights Management bağlayıcısı dağıtmayı gerektiren Azure Rights Management hizmetini kullanmak üzere şirket içi Exchange veya SharePoint’e geçişi tamamlanır.

5. Aşama: Geçiş sonrası görevleri

Daha fazla bilgi için bkz. 5. AŞAMA: GEÇIŞ SONRASı GÖREVLER.

10. Adım: AD RMS’nin yetkisini kaldırma

Tüm Windows bilgisayarlarının Azure Rights Management hizmetini kullandığını ve artık AD RMS sunucularınıza erişmediğini onayladığınızda, AD RMS dağıtımınızın sağlamasını kaldırabilirsiniz.

11. Adım: İstemci geçiş görevlerini tamamlama

iOS telefonlar ve iPad'ler, Android telefonlar ve tabletler, Windows telefonlar ve tabletler ve Mac bilgisayarlar gibi mobil cihazları desteklemek için mobil cihaz uzantısını dağıttıysanız, dns'de bu istemcileri AD RMS kullanmaya yönlendiren SRV kayıtlarını kaldırmanız gerekir.

Hazırlık aşamasında yapılandırdığınız ekleme denetimlerine artık ihtiyacınız yoktur. Ancak, aşamalı geçiş yerine her şeyi aynı anda geçirmeyi seçtiğiniz için ekleme denetimlerini kullanmadıysanız, ekleme denetimlerini kaldırma yönergelerini atlayabilirsiniz.

Windows bilgisayarlarınız Office 2010 çalıştırıyorsa, AD RMS Rights Policy Şablon Yönetimi (Otomatik) görevini devre dışı bırakmanız gerekip gerekmediğini denetleyin.

Önemli

Office 2010 genişletilmiş desteği 13 Ekim 2020'de sona erdi. Daha fazla bilgi için bkz. AIP ve eski Windows ve Office sürümleri.

12. Adım: Azure Information Protection kiracı anahtarınızı yeniden anahtarla

Geçiş öncesinde Şifreleme Modu 2'de çalışmıyorsanız bu adım önerilir.

Sonraki adımlar

Geçişi başlatmak için 1. Aşama - hazırlık’a gidin.