迁移第 1 阶段 – 准备

对于“从 AD RMS 迁移到 Azure 信息保护”的第 1 阶段，使用以下信息。 这些过程涉及从 AD RMS 迁移到 Azure 信息保护的步骤 1 到 3，并为迁移环境做好准备，而不会影响用户。

步骤 1：安装 AIPService PowerShell 模块并识别租户 URL

安装 AIPService 模块以便能够配置和管理为 Azure 信息保护提供数据保护的服务。

有关说明，请参阅安装 AIPService PowerShell 模块。

若要完成某些迁移说明，需要知道租户的 Azure Rights Management 服务 URL，以便在看到对租户 URL> 的<引用时替换它。

Azure Rights Management Service URL 的格式如下：{GUID}.rms.[Region].aadrm.com。 例如：5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

标识 Azure Rights Management Service URL

1. 连接到 Azure Rights Management Service，并在出现提示时输入租户全局管理员的凭证：

   Connect-AipService
   

2. 获取租户的配置：

   Get-AipServiceConfiguration
   

3. 复制 LicensingIntranetDistributionPointUrl 显示的值，并从此字符串中删除 /_wmcs\licensing。

   剩下的就是 Azure 信息保护租户的 Azure Rights Management Service URL。 在以下迁移说明中，此值通常简写为“租户 URL”。

   可以通过运行以下 PowerShell 命令验证是否具有正确的值：

   (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
   

步骤 2：准备客户端迁移

对于大多数迁移，一次性迁移所有客户端并不可行。 你很可能分批迁移客户端。

这意味着，在某些时间里，某些客户端使用 Azure 信息保护，有些客户端仍将使用 AD RMS。 若要支持预迁移和迁移的用户，请使用载入控件并部署预迁移脚本。

注意

迁移过程中需要执行此步骤，以便尚未迁移的用户可以使用受正在使用 Azure Rights Management 的已迁移用户保护的内容。

准备客户端迁移

1. 例如，创建一个名为 AIPMigrated 的组。 此组可以在 Active Directory 中创建并同步到云，也可以在 Microsoft 365 或 Microsoft Entra ID 中创建。

   目前不要将任何用户分配到此组。 在后面的步骤中，在迁移用户时，将它们添加到组。

2. 使用以下方法之一记下此组的对象 ID。

   • 使用 Microsoft Graph PowerShell。 例如，使用 Get-MgGroup 命令。
   • 通过 Azure 门户复制组的对象 ID。

3. 将此组配置为载入控件，以仅允许此组中的人员使用 Azure Rights Management 来保护内容。

   若要执行此配置，在 PowerShell 会话中，连接到 Azure Rights Management 服务。 出现提示时，请指定全局管理员凭据。

   Connect-AipService
   

   为载入控件配置此组（将你的组对象 ID 替换为此示例中的 ID）。 出现提示时，输入 Y 进行确认。

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
   

4. 下载 Migration-Scripts.zip 文件。

5. 提取文件并按照 Prepare-Client.cmd 中的说明进行操作，以便其中包含 AD RMS 群集 Extranet 许可 URL 的服务器名称。 若要查找此名称，请执行以下步骤。

   1. 在 Active Directory Rights Management Services 控制台中，选择群集名称。

   2. 在“群集详细信息”信息中，从 Extranet 群集 URL 部分的“许可”值复制服务器名称。 例如：rmscluster.contoso.com。

   重要

   这些说明包括将 adrms.contoso.com 的示例地址替换为 AD RMS 服务器地址。

   执行此操作后，请注意地址前后无其他空格。 多余的空格将中断迁移脚本，并且很难识别问题的根本原因。

   某些编辑工具会在粘贴文本后自动添加空格。

6. 将此脚本部署到所有 Windows 计算机，以确保在开始迁移客户端时，尚未迁移的客户端继续与 AD RMS 通信，即使它们使用受正在使用 Azure Rights Management Service 的已迁移客户端保护的内容也是如此。

   可以使用组策略或其他软件部署机制来部署此脚本。

步骤 3：准备 Exchange 部署以进行迁移

如果使用 Exchange 本地或 Exchange Online，则可能之前已将 Exchange 与 AD RMS 部署集成。 在此步骤中，将其配置为使用现有的 AD RMS 配置来支持受 Azure RMS 保护的内容。

确保为租户提供 Azure Rights Management Service URL，以便可以在以下命令中将此值 替换为 <YourTenantURL>。

请执行下列操作之一，具体取决于是将 Exchange 本地 Exchange 还是 Exchange Online 与 AD RMS 集成：

• 已将 Exchange 本地与 AD RMS 集成
• 已将 Exchange Online 与 AD RMS 集成

如果已将 Exchange Online 与 AD RMS 集成

1. 打开 Exchange Online PowerShell 会话。

2. 逐个或在脚本中运行以下 PowerShell 命令。

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -internallicensingenabled $true 
   

如果已将 Exchange 本地与 AD RMS 集成

对于每个 Exchange 组织，在每个 Exchange 服务器上添加注册表值，然后运行 PowerShell 命令：

1. 如果你具有 Exchange 2013 或 Exchange 2016，请添加以下注册表值：

   • 注册表路径：HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • 类型：Reg_SZ

   • 值：https://\<Your Tenant URL\>/_wmcs/licensing

   • 数据：https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

2. 逐条运行以下 PowerShell 命令，或在脚本中运行：

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -RefreshServerCertificates
   Set-IRMConfiguration -internallicensingenabled $true
   IISReset
   

为 Exchange Online 或本地 Exchange 运行这些命令后，如果 Exchange 部署配置为支持受 AD RMS 保护的内容，则迁移后，它还支持受 Azure RMS 保护的内容。

在迁移的后续步骤之前，Exchange 部署继续使用 AD RMS 来支持受保护的内容。

后续步骤

转到第 2 阶段 – 服务器端配置。