移轉階段 1 - 準備

下列資訊適用于從 AD RMS 移轉到 Azure 資訊保護 階段 1。 這些程式涵蓋從 AD RMS 移轉到 Azure 資訊保護的步驟 1 到 3,並準備您的環境以進行移轉,而不會對您的使用者造成任何影響。

步驟 1:安裝 AIPService PowerShell 模組並識別您的租使用者 URL

安裝AIPService模組,讓您能夠設定和管理提供 Azure 資訊保護資料保護的服務。

如需相關指示,請參閱 安裝 AIPService PowerShell 模組

若要完成部分移轉指示,您必須知道租使用者的 Azure 版權管理服務 URL,以便在看到您的租使用者 URL > 參照 <時將其取代。

您的 Azure 版權管理服務 URL 格式如下: {GUID}.rms.[Region].aadrm.com。 例如: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

若要識別您的 Azure 版權管理服務 URL

  1. 連線 Azure 版權管理服務,當系統提示時,輸入您租使用者全域系統管理員的認證:

    Connect-AipService
    
  2. 取得租使用者的設定:

    Get-AipServiceConfiguration
    
  3. 複製 LicensingIntranetDistributionPointUrl所顯示的值,然後從此字串中移除 /_wmcs\licensing

    剩下的就是 Azure 資訊保護租使用者的 Azure 版權管理服務 URL。 在下列移轉指示中,此值通常會縮短為 您的租使用者 URL

    您可以執行下列 PowerShell 命令,確認您的值正確無誤:

    (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
    

步驟 2. 準備用戶端移轉

對於大部分的移轉,一次移轉所有客戶並不實用,因此您可能會分批移轉用戶端。

這表示在一段時間內,部分用戶端會使用 Azure 資訊保護,有些用戶端仍會使用 AD RMS。 若要支援預先移轉和移轉的使用者,請使用登入控制項並部署移轉前腳本。

注意

移轉程式期間必須執行此步驟,如此一來,尚未移轉的使用者就可以使用已受移轉之使用者保護的內容,而這些使用者現在使用 Azure 版權管理。

準備用戶端移轉

  1. 例如,建立名為 AIPMigrated的群組。 這個群組可以在 Active Directory 中建立並同步處理到雲端,也可以在 Microsoft 365 或Azure Active Directory中建立。

    目前請勿將任何使用者指派至此群組。 在稍後的步驟中,當使用者移轉時,您會將他們新增至群組。

  2. 使用下列其中一種方法記下此群組的物件識別碼:

    • 使用 Azure AD PowerShell] 例如,針對模組的第 1.0 版,請使用 [Get-MsolGroup]/powershell/module/msonline/get-msolgroup) 命令。
    • 從Azure 入口網站複製群組的物件標識符。
  3. 將此群組設定為上線控制項,只允許此群組中的人員使用 Azure 版權管理來保護內容。

    若要這麼做,請在 PowerShell 會話中連線至 Azure 版權管理服務。 出現提示時,請指定您的全域系統管理員認證:

    Connect-AipService
    

    將此群組設定為上線控制項,以您的群組物件識別碼取代本範例中的群組物件識別碼。 出現提示時,輸入 Y 以確認。

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
    
  4. 下載 Migration-Scripts.zip 檔案。

  5. 擷取檔案,並依照 Prepare-Client.cmd中的指示進行,讓它包含 AD RMS 叢集外部網路授權 URL 的伺服器名稱。 若要找出這個名稱,請執行下列動作:

    1. 在Active Directory Rights Management Services主機上,按一下叢集名稱。

    2. 從叢 集詳細 資料資訊中,從外部網路叢集 URL 區段的 授權 值複製伺服器名稱。 例如: rmscluster.contoso.com

    重要

    指示包括將 adrms.contoso.com 的範例位址取代為 AD RMS 伺服器位址。

    當您執行此動作時,請小心位址前後沒有額外的空格。 額外的空格會破壞移轉腳本,而且很難找出問題的根本原因。

    某些編輯工具會在貼上文字後自動新增空格。

  6. 將此腳本部署到所有Windows電腦,以確保當您開始移轉用戶端時,尚未移轉的用戶端仍會繼續與 AD RMS 通訊,即使他們使用目前使用 Azure 版權管理服務之移轉用戶端所保護的內容。

    您可以使用群組原則或其他軟體部署機制來部署此腳本。

步驟 3. 準備移轉Exchange部署

如果您使用的是內部部署Exchange或線上Exchange,您先前可能已將Exchange與 AD RMS 部署整合。 在此步驟中,您將設定使用現有的 AD RMS 設定來支援受 Azure RMS 保護的內容。

請確定您的租使用者有 Azure 版權管理服務 URL,以便在下列命令中將此值取代為< YourTenantURL >

根據您是否已整合內部部署Exchange或使用 AD RMS Exchange Online,執行下列其中一項操作:

如果您已與 AD RMS 整合Exchange Online

  1. 開啟 Exchange Online PowerShell 會話。

  2. 逐一或在腳本中執行下列 PowerShell 命令:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -internallicensingenabled $true 
    

如果您已使用 AD RMS 整合內部部署Exchange

針對每個Exchange組織,在每個Exchange伺服器上新增登錄值,然後執行 PowerShell 命令:

  1. 如果您有 Exchange 2013 或 Exchange 2016,請新增下列登錄值:

    • 登錄路徑HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • 類型:Reg_SZ

    • https://\<Your Tenant URL\>/_wmcs/licensing

    • 資料https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

  2. 在腳本中逐一執行下列 PowerShell 命令:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -RefreshServerCertificates
    Set-IRMConfiguration -internallicensingenabled $true
    IISReset
    

針對 Exchange Online 或 Exchange 內部部署執行這些命令之後,如果您的Exchange部署設定為支援受 AD RMS 保護的內容,在移轉之後也會支援受 Azure RMS 保護的內容。

您的Exchange部署將繼續使用 AD RMS 來支援受保護的內容,直到移轉之後的步驟。

後續步驟

移至 階段 2 - 伺服器端設定