第 5 阶段 – 迁移后任务

项目
12/26/2023

对于“从 AD RMS 迁移到 Azure 信息保护”的第 5 阶段，使用以下信息。这些过程涵盖从 AD RMS 迁移到 Azure 信息保护的步骤 10 至步骤 12。

步骤 10：取消设置 AD RMS

从 Active Directory 中删除服务连接点 (SCP)，以防止计算机发现本地 Rights Management 基础结构。对于迁移的现有客户端来说，这是可选的，因为在注册表中配置了重定向（例如，通过运行迁移脚本）。但是，删除 SCP 会阻止新客户端和潜在的 RMS 相关服务和工具在迁移完成后查找 SCP。此时，所有计算机连接都应转到 Azure Rights Management Service。

要删除 SCP，确保以域企业管理员身份登录，然后使用以下过程：

在 Active Directory Rights Management Services 控制台中，右键单击 AD RMS 群集，然后单击“属性”。
单击“SCP”选项卡。
选中“更改 SCP”复选框。
选择“删除当前 SCP”，然后单击“确定”。

现在监视 AD RMS 服务器的活动。例如，检查系统健康状况状况报告中的请求、ServiceRequest 表或审核用户对受保护的内容的访问权限。

确认 RMS 客户端不再与这些服务器通信并且客户端已成功使用 Azure 信息保护后，则可以从这些服务器中删除 AD RMS 服务器角色。如果你使用的是专用服务器，你可能希望采取警告步骤，即先关闭服务器一段时间。这使你有时间确保在调查客户端不使用 Azure 信息保护的原因时，没有报告可能需要重新启动这些服务器以实现服务连续性的问题。

取消预配 AD RMS 服务器后，可能想要利用此机会来查看模板和标签。例如，将模板转换为标签，将其合并使用户有较少的选项，或重新配置它们。这也是发布默认模板的好时机。

对于敏感度标签和统一标记客户端，使用 Microsoft Purview 合规门户。有关详细信息，请参阅 Microsoft 365 文档。

重要

在此迁移结束时，AD RMS 群集不能与 Azure 信息保护和“保存自己的密钥(HYOK)”选项配合使用。

运行 Office 2010 的计算机的其他配置

重要

Office 2010 外延支持已于 2020 年 10 月 13 日结束。有关详细信息，请参阅 AIP 和旧版 Windows 和 Office 版本。

如果已迁移的客户端运行 Office 2010，则在取消预配 AD RMS 服务器后，用户可能会遇到打开受保护的内容的延迟。或者，用户可能会看到没有用于打开受保护的内容的凭据的消息。若要解决这些问题，请为这些计算机创建网络重定向，这样会将 AD RMS URL FQDN 重定向到计算机的本地 IP 地址 (127.0.0.1)。可以通过在每台计算机上配置本地主机文件或使用 DNS 来完成此操作。

通过本地主机文件的重定向：在本地主机文件中添加以下行，将 <AD RMS URL FQDN> 替换为 AD RMS 群集的值，不带前缀或网页：
```
127.0.0.1 <AD RMS URL FQDN>
```
通过 DNS 的重定向：为 AD RMS URL FQDN 创建新的主机 A 记录，它具有 IP 地址 127.0.0.1。

步骤 11：完成客户端迁移任务

对于移动设备客户端和 Mac 计算机：删除在部署 AD RMS 移动设备扩展时创建的 DNS SRV 记录。

传播这些 DNS 更改后，这些客户端将自动发现并开始使用 Azure Rights Management 服务。但是，运行 Office Mac 的 Mac 计算机会缓存 AD RMS 中的信息。对于这些计算机，此过程最长可能需要 30 天。

要强制 Mac 计算机立即运行发现过程，在密钥链中搜索“adal”并删除所有 ADAL 条目。然后，在计算机上运行以下命令：


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

所有现有 Windows 计算机都迁移到 Azure 信息保护时，没有理由继续使用载入控件并维护为迁移过程创建的“AIPMigrated”组。

首先删除载入控件，然后可以删除“AIPMigrated”组和为部署迁移脚本而创建的任何软件部署方法。

要删除载入控件，请执行以下操作：

在 PowerShell 会话中，连接到 Azure Rights Management Service，并在出现提示时指定全局管理员的凭证：
```
Connect-AipService
```
运行以下命令，然后输入“Y”以确认：
```
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
```
请注意，此命令会删除 Azure Rights Management 保护服务的任何许可强制实施，以便所有计算机都可以保护文档和电子邮件。
确认不再设置载入控件：
```
Get-AipServiceOnboardingControlPolicy
```
在输出中，“许可”应显示“False”，并且不显示“SecurityGroupOjbectId”的 GUID

最后，如果使用 Office 2010，并且已在 Windows 任务计划程序库中启用“AD RMS 权限策略模板管理（自动化）”任务，则禁用此任务，因为它未由 Azure 信息保护客户端使用。

此任务通常通过使用组策略启用，并支持 AD RMS 部署。可以在以下位置找到此任务：“Microsoft”>“Windows”>“Active Directory Rights Management Services 客户端”。

重要

Office 2010 外延支持已于 2020 年 10 月 13 日结束。有关详细信息，请参阅 AIP 和旧版 Windows 和 Office 版本。

步骤 12：重新生成 Azure 信息保护租户密钥

迁移完成时，如果 AD RMS 部署使用的是 RMS 加密模式 1，则此步骤是必需的，因为此模式使用 1024 位密钥和 SHA-1。此配置被认为无法提供充分的保护。 Microsoft 不认可使用较短的密钥长度（如 1024 位 RSA 密钥）以及相关的使用无法提供充分保护的协议（如 SHA-1）的行为。

重新生成密钥导致使用 RMS 加密模式 2 的保护，这会导致 2048 位密钥和 SHA-256。

即使 AD RMS 部署使用加密模式 2，仍建议执行此步骤，因为新密钥有助于保护租户，避免 AD RMS 密钥出现潜在的安全漏洞。

重新生成 Azure 信息保护租户密钥（也称为“滚动密钥”）时，当前处于活动状态的密钥已存档，Azure 信息保护将开始使用指定的其他密钥。此不同的密钥可以是在 Azure Key Vault 中创建的新密钥，也可以是为租户自动创建的默认密钥。

从一个密钥移到另一个密钥并不会立即发生，而是经过几周才会发生。因为这不是立即进行的，所以不要等到怀疑原始密钥遭到破坏时才执行此步骤，而是在迁移完成后立即执行此步骤。

重新生成 Azure 信息保护租户密钥：

如果租户密钥由 Microsoft 管理：运行 PowerShell cmdlet Set-AipServiceKeyProperties 并为自动为租户创建的密钥指定密钥标识符。可以通过运行 Get-AipServiceKeys cmdlet 来标识要指定的值。为租户自动创建的密钥具有最早的创建日期，因此可以使用以下命令来标识该密钥：
```
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
```
如果租户密钥由你 (BYOK) 管理：在 Azure Key Vault 中，为 Azure 信息保护租户重复密钥创建过程，然后再次运行 Use-AipServiceKeyVaultKey cmdlet 以为这一新密钥指定 URI。

有关管理 Azure 信息保护租户密钥的详细信息，请参阅 Azure 信息保护租户密钥的操作。

后续步骤

完成迁移后，即可查看用于分类、标签和保护的 AIP 部署路线图以标识可能需要执行的任何其他部署任务。