迁移第 1 阶段 – 准备

对于“从 AD RMS 迁移到 Azure 信息保护”的第 1 阶段,使用以下信息。 这些过程涉及从 AD RMS 迁移到 Azure 信息保护的步骤 1 到 3,并为迁移环境做好准备,而不会影响用户。

步骤 1:安装 AIPService PowerShell 模块并识别租户 URL

安装 AIPService 模块以便能够配置和管理为 Azure 信息保护提供数据保护的服务。

有关说明,请参阅安装 AIPService PowerShell 模块

若要完成某些迁移说明,需要知道租户的 Azure Rights Management 服务 URL,以便在看到对租户 URL><引用时替换它。

Azure Rights Management Service URL 的格式如下:{GUID}.rms.[Region].aadrm.com。 例如:5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

标识 Azure Rights Management Service URL

  1. 连接到 Azure Rights Management Service,并在出现提示时输入租户全局管理员的凭证:

    Connect-AipService
    
  2. 获取租户的配置:

    Get-AipServiceConfiguration
    
  3. 复制 LicensingIntranetDistributionPointUrl 显示的值,并从此字符串中删除 /_wmcs\licensing

    剩下的就是 Azure 信息保护租户的 Azure Rights Management Service URL。 在以下迁移说明中,此值通常简写为“租户 URL”。

    可以通过运行以下 PowerShell 命令验证是否具有正确的值:

    (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
    

步骤 2:准备客户端迁移

对于大多数迁移,一次性迁移所有客户端并不可行。 你很可能分批迁移客户端。

这意味着,在某些时间里,某些客户端使用 Azure 信息保护,有些客户端仍将使用 AD RMS。 若要支持预迁移和迁移的用户,请使用载入控件并部署预迁移脚本。

注意

迁移过程中需要执行此步骤,以便尚未迁移的用户可以使用受正在使用 Azure Rights Management 的已迁移用户保护的内容。

准备客户端迁移

  1. 例如,创建一个名为 AIPMigrated 的组。 此组可以在 Active Directory 中创建并同步到云,也可以在 Microsoft 365 或 Microsoft Entra ID 中创建。

    目前不要将任何用户分配到此组。 在后面的步骤中,在迁移用户时,将它们添加到组。

  2. 使用以下方法之一记下此组的对象 ID。

    • 使用 Microsoft Graph PowerShell。 例如,使用 Get-MgGroup 命令。
    • 通过 Azure 门户复制组的对象 ID
  3. 将此组配置为载入控件,以仅允许此组中的人员使用 Azure Rights Management 来保护内容。

    若要执行此配置,在 PowerShell 会话中,连接到 Azure Rights Management 服务。 出现提示时,请指定全局管理员凭据。

    Connect-AipService
    

    为载入控件配置此组(将你的组对象 ID 替换为此示例中的 ID)。 出现提示时,输入 Y 进行确认。

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
    
  4. 下载 Migration-Scripts.zip 文件。

  5. 提取文件并按照 Prepare-Client.cmd 中的说明进行操作,以便其中包含 AD RMS 群集 Extranet 许可 URL 的服务器名称。 若要查找此名称,请执行以下步骤。

    1. 在 Active Directory Rights Management Services 控制台中,选择群集名称。

    2. 在“群集详细信息”信息中,从 Extranet 群集 URL 部分的“许可”值复制服务器名称。 例如:rmscluster.contoso.com

    重要

    这些说明包括将 adrms.contoso.com 的示例地址替换为 AD RMS 服务器地址。

    执行此操作后,请注意地址前后无其他空格。 多余的空格将中断迁移脚本,并且很难识别问题的根本原因。

    某些编辑工具会在粘贴文本后自动添加空格。

  6. 将此脚本部署到所有 Windows 计算机,以确保在开始迁移客户端时,尚未迁移的客户端继续与 AD RMS 通信,即使它们使用受正在使用 Azure Rights Management Service 的已迁移客户端保护的内容也是如此。

    可以使用组策略或其他软件部署机制来部署此脚本。

步骤 3:准备 Exchange 部署以进行迁移

如果使用 Exchange 本地或 Exchange Online,则可能之前已将 Exchange 与 AD RMS 部署集成。 在此步骤中,将其配置为使用现有的 AD RMS 配置来支持受 Azure RMS 保护的内容。

确保为租户提供 Azure Rights Management Service URL,以便可以在以下命令中将此值 替换为 <YourTenantURL>。

请执行下列操作之一,具体取决于是将 Exchange 本地 Exchange 还是 Exchange Online 与 AD RMS 集成:

如果已将 Exchange Online 与 AD RMS 集成

  1. 打开 Exchange Online PowerShell 会话。

  2. 逐个或在脚本中运行以下 PowerShell 命令。

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -internallicensingenabled $true 
    

如果已将 Exchange 本地与 AD RMS 集成

对于每个 Exchange 组织,在每个 Exchange 服务器上添加注册表值,然后运行 PowerShell 命令:

  1. 如果你具有 Exchange 2013 或 Exchange 2016,请添加以下注册表值:

    • 注册表路径:HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • 类型:Reg_SZ

    • https://\<Your Tenant URL\>/_wmcs/licensing

    • 数据https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

  2. 逐条运行以下 PowerShell 命令,或在脚本中运行:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -RefreshServerCertificates
    Set-IRMConfiguration -internallicensingenabled $true
    IISReset
    

为 Exchange Online 或本地 Exchange 运行这些命令后,如果 Exchange 部署配置为支持受 AD RMS 保护的内容,则迁移后,它还支持受 Azure RMS 保护的内容。

在迁移的后续步骤之前,Exchange 部署继续使用 AD RMS 来支持受保护的内容。

后续步骤

转到第 2 阶段 – 服务器端配置