对于从 AD RMS 迁移到 Azure 信息保护的第 2 阶段,请使用以下信息。 这些过程涉及从 AD RMS 迁移到 Azure 信息保护的步骤 4(从 AD RMS 迁移到 Azure 信息保护)中的步骤 6。
步骤 4:从 AD RMS 导出配置数据并将其导入 Azure 信息保护
此步骤由两部分组成:
通过将受信任的发布域(TPD)导出到 .xml 文件,从 AD RMS 导出配置数据。 对于所有迁移,此过程都是相同的。
将配置数据导入 Azure 信息保护。 此步骤有不同的过程,具体取决于当前的 AD RMS 部署配置和 Azure RMS 租户密钥的首选拓扑。
从 AD RMS 导出配置数据
对所有具有组织受保护内容的受信任发布域,对所有 AD RMS 群集执行以下过程。 无需在仅限许可的群集上运行此过程。
导出配置数据(受信任的发布域信息)
以具有 AD RMS 管理权限的用户身份登录 AD RMS 群集。
在 AD RMS 管理控制台(Active Directory Rights Management Services)中,展开 AD RMS 群集名称,展开 信任策略,然后单击“ 受信任的发布域”。
在结果窗格中,选择受信任的发布域,然后在“作”窗格中单击“ 导出受信任的发布域”。
在“ 导出受信任的发布域 ”对话框中:
单击“ 另存为 ”并保存到所选的路径和文件名。 请确保将 .xml 指定为文件扩展名(不会自动追加)。
指定并确认强密码。 请记住此密码,因为稍后在将配置数据导入 Azure 信息保护时需要密码。
不要选中复选框以在 RMS 版本 1.0 中保存受信任的域文件。
导出所有受信任的发布域后,即可开始将此数据导入 Azure 信息保护的过程。
请注意,受信任的发布域包括服务器许可证书(SLC)密钥,用于解密以前保护的文件,因此请务必将所有受信任的发布域(稍后导入到 Azure),而不仅仅是当前处于活动状态的发布域。
例如,如果将 AD RMS 服务器从加密模式 1 升级到加密模式 2,你将有多个受信任的发布域。 如果不导出并导入包含使用加密模式 1 的存档密钥的受信任发布域,则迁移结束时,用户将无法打开使用加密模式 1 密钥保护的内容。
将配置数据导入 Azure 信息保护
此步骤的确切过程取决于当前的 AD RMS 部署配置,以及 Azure 信息保护租户密钥的首选拓扑。
当前的 AD RMS 部署对服务器许可证书(SLC)密钥使用以下配置之一:
AD RMS 数据库中的密码保护。 这是默认配置。
使用 nCipher 硬件安全模块 (HSM) 保护 HSM。
使用来自 nCipher 以外的供应商的硬件安全模块(HSM)进行 HSM 保护。
使用外部加密提供程序保护的密码。
注释
有关将硬件安全模块与 AD RMS 配合使用的详细信息,请参阅 将 AD RMS 与硬件安全模块配合使用。
两个 Azure 信息保护租户密钥拓扑选项包括:Microsoft管理租户密钥(Microsoft托管),或者在 Azure Key Vault 中管理租户密钥(客户管理的)。 管理自己的 Azure 信息保护租户密钥时,有时称为“自带密钥”(BYOK)。 有关详细信息,请参阅 管理 Azure Rights Management 服务根密钥 一文。
使用下表确定要用于迁移的过程。
| 当前 AD RMS 部署 | 所选的 Azure 信息保护租户密钥拓扑 | 迁移说明 |
|---|---|---|
| AD RMS 数据库中的密码保护 | Microsoft托管 | 请参阅此表后面的 软件保护密钥到软件保护密钥 迁移过程。 这是最简单的迁移路径,只需将配置数据传输到 Azure 信息保护。 |
| 使用 nCipher nShield 硬件安全模块 (HSM) 保护 HSM | 客户管理的 (BYOK) | 请参阅此表后面的 HSM 保护密钥到受 HSM 保护的密钥 迁移过程。 这需要 Azure Key Vault BYOK 工具集和三组步骤,先将密钥从本地 HSM 传输到 Azure Key Vault HSM,然后授权 Azure 信息保护中的 Azure Rights Management 服务使用租户密钥,最后将配置数据传输到 Azure 信息保护。 |
| AD RMS 数据库中的密码保护 | 客户管理的 (BYOK) | 请参阅此表后 受软件保护的密钥到受 HSM 保护的密钥 迁移过程。 这需要 Azure Key Vault BYOK 工具集和四组步骤来先提取软件密钥并将其导入本地 HSM,然后将密钥从本地 HSM 传输到 Azure 信息保护 HSM,接下来将 Key Vault 数据传输到 Azure 信息保护,最后将配置数据传输到 Azure 信息保护。 |
| 使用来自 nCipher 以外的供应商的硬件安全模块 (HSM) 进行 HSM 保护 | 客户管理的 (BYOK) | 请联系 HSM 的供应商,了解如何将密钥从此 HSM 传输到 nCipher nShield 硬件安全模块(HSM)。 然后按照此表后面的 HSM 保护密钥到 HSM 保护密钥 迁移过程的说明进行作。 |
| 使用外部加密提供程序保护的密码 | 客户管理的 (BYOK) | 有关如何将密钥传输到 nCipher nShield 硬件安全模块(HSM)的说明,请联系加密提供程序的供应商。 然后按照此表后面的 HSM 保护密钥到 HSM 保护密钥 迁移过程的说明进行作。 |
如果具有无法导出的受 HSM 保护的密钥,仍可以通过为只读模式配置 AD RMS 群集来迁移到 Azure 信息保护。 在此模式下,以前受保护的内容仍可打开,但新保护的内容使用由你(BYOK)管理或由Microsoft管理的新租户密钥。 有关详细信息,请参阅 Office 的更新,以支持从 AD RMS 迁移到 Azure RMS。
在开始这些密钥迁移过程之前,请确保可以访问导出受信任的发布域时之前创建的 .xml 文件。 例如,这些可能会保存到从 AD RMS 服务器移动到已连接到 Internet 的工作站的 USB 拇指驱动器。
注释
但是,存储这些文件时,请使用安全最佳做法来保护这些文件,因为此数据包括私钥。
若要完成步骤 4,请选择并选择迁移路径的说明:
步骤 5:激活 Azure Rights Management 服务
打开 PowerShell 会话并运行以下命令:
连接到 Azure Rights Management 服务,出现提示时,请指定全局管理员凭据:
Connect-AipService激活 Azure Rights Management 服务:
Enable-AipService
如果 Azure 信息保护租户已激活,该怎么办? 如果已为组织激活 Azure Rights Management 服务,并且已在迁移后创建要使用的自定义模板,则必须导出并导入这些模板。 下一步将介绍此过程。
步骤 6:配置导入的模板
由于导入的模板的默认状态为 “已存档”,因此,如果希望用户能够将这些模板用于 Azure Rights Management 服务,则必须将此状态更改为 “已发布 ”。
从 AD RMS 导入的模板的外观和行为就像可以在 Azure 门户中创建的自定义模板一样。 若要更改要发布的导入的模板,以便用户可以查看它们并从应用程序中选择它们,请参阅 配置和管理 Azure 信息保护的模板。
除了发布新导入的模板之外,在继续迁移之前,可能需要对模板进行两项重要更改。 若要在迁移过程中为用户提供更一致的体验,请不要对导入的模板进行其他更改,也不会发布 Azure 信息保护附带的两个默认模板,或此时创建新模板。 相反,请等待迁移过程完成,并取消预配 AD RMS 服务器。
可能需要执行此步骤的模板更改:
如果在迁移之前创建了 Azure 信息保护自定义模板,则必须手动导出和导入它们。
如果 AD RMS 中的模板使用了 ANYONE 组,则可能需要手动添加用户或组。
在 AD RMS 中,任何人组向所有用户授予了由本地 Active Directory 身份验证的权限,Azure 信息保护不支持此组。 壁橱等效项是为Microsoft Entra 租户中的所有用户自动创建的组。 如果对 AD RMS 模板使用 ANYONE 组,则可能需要添加用户和要向其授予的权限。
迁移前创建自定义模板的过程
如果在迁移之前或在激活 Azure Rights Management 服务之前或之后创建了自定义模板,则即使模板设置为 “已发布”,在迁移后,模板也不会提供给用户。 若要让用户使用它们,必须首先执行以下作:
通过运行 Get-AipServiceTemplate 标识这些模板并记下其模板 ID。
使用 Azure RMS PowerShell cmdlet Export-AipServiceTemplate 导出模板。
使用 Azure RMS PowerShell cmdlet Import-AipServiceTemplate 导入模板。
然后,可以发布或存档这些模板,就像迁移后创建的任何其他模板一样。
AD RMS 中的模板是否使用了 ANYONE 组的过程
如果 AD RMS 中的模板使用了 ANYONE 组,Azure 信息保护中最近的等效组名为 AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@<tenant_name.onmicrosoft.com>。 例如,对于 Contoso,此组可能如下所示: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com 此组包含Microsoft Entra 租户中的所有用户。
在 Azure 门户中管理模板和标签时,此组会在 Microsoft Entra ID 中显示为租户的域名。 例如,对于 Contoso,此组可能如下所示: contoso.onmicrosoft.com。 若要添加此组,该选项将显示 “添加 <组织名称> - 所有成员”。
如果不确定 AD RMS 模板是否包含 ANYONE 组,则可以使用以下示例 Windows PowerShell 脚本来标识这些模板。 有关将 Windows PowerShell 与 AD RMS 配合使用的详细信息,请参阅 使用 Windows PowerShell 管理 AD RMS。
将这些模板转换为 Azure 门户中的标签时,可以轻松地将这些外部用户添加到模板。 然后,在 “添加权限 ”窗格中,选择 “输入详细信息 ”以手动指定这些用户的电子邮件地址。
有关此配置的详细信息,请参阅 如何为 Rights Management 保护配置标签。
用于标识包含 ANYONE 组的 AD RMS 模板的示例 Windows PowerShell 脚本
本部分包含示例脚本,可帮助你识别已定义 ANY 组的任何 AD RMS 模板,如前一部分所述。
免责声明:此示例脚本在任何Microsoft标准支持计划或服务下都不受支持。 此示例脚本按原样提供,没有任何保证。
import-module adrmsadmin
New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost -Force
$ListofTemplates=dir MyRmsAdmin:\RightsPolicyTemplate
foreach($Template in $ListofTemplates)
{
$templateID=$Template.id
$rights = dir MyRmsAdmin:\RightsPolicyTemplate\$Templateid\userright
$templateName=$Template.DefaultDisplayName
if ($rights.usergroupname -eq "anyone")
{
$templateName = $Template.defaultdisplayname
write-host "Template " -NoNewline
write-host -NoNewline $templateName -ForegroundColor Red
write-host " contains rights for " -NoNewline
write-host ANYONE -ForegroundColor Red
}
}
Remove-PSDrive MyRmsAdmin -force
后续步骤
转到 阶段 3 - 客户端配置。