对于从 AD RMS 迁移到 Azure 信息保护的第 5 阶段,请使用以下信息。 这些过程涵盖从 AD RMS 迁移到 Azure 信息保护的步骤 10 到 12。
步骤 10:取消预配 AD RMS
从 Active Directory 中删除服务连接点(SCP),以防止计算机发现本地 Rights Management 基础结构。 对于由于在注册表中配置的重定向而迁移的现有客户端(例如,通过运行迁移脚本),这是可选的。 但是,删除 SCP 会阻止新客户端和潜在的 RMS 相关服务和工具在迁移完成后查找 SCP。 此时,所有计算机连接都应转到 Azure Rights Management 服务。
若要删除 SCP,请确保以域企业管理员身份登录,然后使用以下过程:
在 Active Directory Rights Management Services 控制台中,右键单击 AD RMS 群集,然后单击“ 属性”。
单击 SCP 选项卡。
选中“ 更改 SCP ”复选框。
选择 “删除当前 SCP”,然后单击“ 确定”。
现在监视 AD RMS 服务器的活动。 例如,检查 系统运行状况报告中的请求、 ServiceRequest 表 或 审核用户对受保护内容的访问权限。
如果确认 RMS 客户端不再与这些服务器通信,并且客户端已成功使用 Azure 信息保护,则可以从这些服务器中删除 AD RMS 服务器角色。 如果使用专用服务器,建议先关闭服务器一段时间的警告步骤。 这让你有时间确保没有报告的问题,可能需要重启这些服务器以保持服务连续性,同时调查客户端为何不使用 Azure 信息保护。
取消预配 AD RMS 服务器后,可能需要有机会查看模板和标签。 例如,将模板转换为标签,将其合并,以便用户选择的更少,或对其进行重新配置。 这也是发布默认模板的好时机。
对于敏感度标签和统一标记客户端,请使用 Microsoft Purview 合规性门户。 有关详细信息,请参阅 Microsoft 365 文档。
重要
在此迁移结束时,AD RMS 群集不能与 Azure 信息保护一起使用,并且保留自己的密钥(HYOK)选项。
运行 Office 2010 的计算机的其他配置
重要
Office 2010 延长支持已于 2020 年 10 月 13 日结束。
如果迁移的客户端运行 Office 2010,则取消预配 AD RMS 服务器后,用户在打开受保护内容时可能会遇到延迟。 或者,用户可能会看到没有凭据打开受保护内容的消息。 若要解决这些问题,请为这些计算机创建网络重定向,以便将 AD RMS URL FQDN 重定向到计算机的本地 IP 地址(127.0.0.1)。 为此,可以在每台计算机上配置本地主机文件,或使用 DNS。
通过本地主机文件进行重定向:在本地主机文件中添加以下行,替换为
<AD RMS URL FQDN>AD RMS 群集的值,而无需前缀或网页:127.0.0.1 <AD RMS URL FQDN>通过 DNS 重定向:为 AD RMS URL FQDN 创建新主机(A)记录,该记录的 IP 地址为 127.0.0.1。
步骤 11:完成客户端迁移任务
对于移动设备客户端和 Mac 计算机:删除在部署 AD RMS 移动设备扩展时创建的 DNS SRV 记录。
这些 DNS 更改传播后,这些客户端将自动发现并开始使用 Azure Rights Management 服务。 但是,运行 Office Mac 的 Mac 计算机会缓存 AD RMS 中的信息。 对于这些计算机,此过程最长可能需要 30 天。
若要强制 Mac 计算机立即运行发现过程,请在密钥链中搜索“adal”并删除所有 ADAL 条目。 然后,在这些计算机上运行以下命令:
rm -r ~/Library/Cache/MSRightsManagement
rm -r ~/Library/Caches/com.microsoft.RMS-XPCService
rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services
rm -r ~/Library/Containers/com.microsoft.RMS-XPCService
rm -r ~/Library/Containers/com.microsoft.RMSTestApp
rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist
killall cfprefsd
当所有现有 Windows 计算机都迁移到 Azure 信息保护时,没有理由继续使用载入控件并维护为迁移过程创建的 AIPMigrated 组。
首先删除载入控件,然后可以删除 AIPMigrated 组和为部署迁移脚本而创建的任何软件部署方法。
删除载入控件:
在 PowerShell 会话中,连接到 Azure Rights Management 服务,并在出现提示时指定全局管理员凭据:
Connect-AipService运行以下命令,并输入 Y 进行确认:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False请注意,此命令删除 Azure Rights Management 保护服务的任何许可证强制实施,以便所有计算机都可以保护文档和电子邮件。
确认不再设置载入控件:
Get-AipServiceOnboardingControlPolicy在输出中,许可证应显示 False,并且没有为 SecurityGroupOjbectId 显示 GUID
最后,如果你使用的是 Office 2010,并且已在 Windows 任务计划程序库中启用了 AD RMS 权限策略模板管理(自动化) 任务,请禁用此任务,因为它未由 Azure 信息保护客户端使用。
此任务通常通过使用组策略启用,并支持 AD RMS 部署。 可以在以下位置找到此任务: Microsoft>Windows>Active Directory Rights Management Services 客户端。
重要
Office 2010 延长支持已于 2020 年 10 月 13 日结束。
步骤 12:重新生成 Azure 信息保护租户密钥
如果 AD RMS 部署使用 RMS 加密模式 1,因为此模式使用 1024 位密钥和 SHA-1,则迁移完成此步骤是必需的。 此配置被视为提供不适当的保护级别。 Microsoft不支持使用低密钥长度(如 1024 位 RSA 密钥)以及提供不充分保护级别的协议的相关使用,例如 SHA-1。
重新生成密钥会导致使用 RMS 加密模式 2 的保护,这会导致 2048 位密钥和 SHA-256。
即使 AD RMS 部署使用的是加密模式 2,我们仍建议你执行此步骤,因为新密钥有助于保护租户免受 AD RMS 密钥的潜在安全漏洞。
重新生成 Azure 信息保护租户密钥(也称为“滚动密钥”)时,当前活动密钥会存档,Azure 信息保护将开始使用指定的其他密钥。 此不同的密钥可以是在 Azure Key Vault 中创建的新密钥,也可以是为租户自动创建的默认密钥。
从一个密钥移动到另一个密钥不会立即发生,但几个星期。 因为它不是即时的,请不要等到怀疑违反原始密钥,但一旦迁移完成,就立即执行此步骤。
若要重新生成 Azure 信息保护租户密钥,请执行以下作:
如果租户密钥由Microsoft管理:运行 PowerShell cmdlet Set-AipServiceKeyProperties 并为租户自动创建的密钥指定密钥标识符。 可以通过运行 Get-AipServiceKeys cmdlet 来标识要指定的值。 为租户自动创建的密钥具有最早的创建日期,因此可以使用以下命令来标识该密钥:
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1如果租户密钥由你(BYOK)管理:在 Azure Key Vault 中,对 Azure 信息保护租户重复密钥创建过程,然后再次运行 Use-AipServiceKeyVaultKey cmdlet 以指定此新密钥的 URI。
有关管理 Azure 信息保护租户密钥的详细信息,请参阅 [租户密钥的作](/purview/rights-management-tenant-key#operations-for-your-tenant-key-key。
后续步骤
完成迁移后,请查看 AIP 部署路线图,了解分类、标记和保护 ,以确定可能需要执行的任何其他部署任务。