移轉階段 1 - 準備
針對從 AD RMS 移轉至 Azure 資訊保護 的第 1 階段,請使用下列資訊。 這些程式涵蓋從 AD RMS 移轉至 Azure 資訊保護 的步驟 1 到 3,並準備您的環境以進行移轉,而不會影響您的使用者。
步驟 1:安裝 AIPService PowerShell 模組並識別您的租使用者 URL
安裝 AIPService 模組,可讓您設定及管理服務,以提供 Azure 資訊保護 的數據保護。
如需指示,請參閱 安裝 AIPService PowerShell 模組。
若要完成一些移轉指示,您必須知道租使用者的 Azure Rights Management 服務 URL,以便在您看到租使用者 URL> 的參考<時取代它。
您的 Azure Rights Management 服務 URL 的格式如下: {GUID}.rms.[Region].aadrm.com。 例如: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
識別您的 Azure Rights Management 服務 URL
連線 至 Azure Rights Management 服務,並在出現提示時,輸入租使用者全域管理員的認證:
Connect-AipService取得租用戶的設定:
Get-AipServiceConfiguration複製 LicensingIntranetDistributionPointUrl 所顯示的值,並從此字串中移除
/_wmcs\licensing。剩下的是 Azure 資訊保護 租使用者的 Azure Rights Management 服務 URL。 此值通常會在下列移轉指示中縮短為 您的租使用者 URL 。
您可以執行下列 PowerShell 命令來確認您有正確的值:
(Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
步驟 2:準備用戶端移轉
對於大部分的移轉而言,一次移轉所有用戶端並不實用。 您可能會以批次方式移轉用戶端。
這表示一段時間后,某些用戶端會使用 Azure 資訊保護,有些用戶端仍會使用 AD RMS。 若要支援預先移轉和移轉的使用者,請使用上線控件並部署預先移轉腳本。
注意
移轉程式期間需要此步驟,讓尚未移轉的用戶能夠取用目前使用 Azure Rights Management 的已移轉使用者所保護的內容。
準備客戶端移轉
例如,建立名為 AIPMigrated 的群組。 此群組可以在 Active Directory 中建立並同步處理至雲端,也可以在 Microsoft 365 或 Microsoft Entra 標識符中建立。
目前請勿將任何使用者指派給此群組。 在稍後的步驟中,當使用者移轉時,將它們新增至群組。
使用下列其中一種方法,記下此群組的物件標識符。
- 使用 Microsoft Graph PowerShell。 例如,使用 Get-MgGroup 命令。
- 從 Azure 入口網站 複製群組的物件標識碼。
將此群組設定為上線控件,只允許此群組中的人員使用 Azure Rights Management 來保護內容。
若要執行此設定,請在PowerShell工作階段中連線到 Azure Rights Management 服務。 出現提示時,請指定您的全域管理員認證。
Connect-AipService設定此群組以上線控件,以取代此範例中的群組對象標識碼。 出現提示時,請輸入 Y 以確認。
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp擷取檔案並遵循Prepare-Client.cmd中的指示,使其包含AD RMS叢集外部網路授權URL的伺服器名稱。 若要找出此名稱,請執行下列步驟。
從 Active Directory Rights Management Services 控制台中,選取叢集名稱。
從 [ 叢集詳細數據 ] 資訊中,從 [外部網络叢集 URL] 區段的 [授權 ] 值複製伺服器名稱。 例如: rmscluster.contoso.com。
重要
這些指示包括以您的 AD RMS 伺服器位址取代 adrms.contoso.com 的範例位址。
當您這樣做時,請小心位址之前或之後沒有額外的空格。 額外的空格會中斷移轉腳本,而且很難識別為問題的根本原因。
有些編輯工具會在貼上文字之後自動新增空格。
將此腳本部署至所有 Windows 計算機,以確保當您開始移轉用戶端時,用戶端尚未移轉仍會繼續與 AD RMS 通訊,即使用戶端取用現在使用 Azure Rights Management 服務所保護的已移轉用戶端所保護的內容也一樣。
您可以使用組策略或其他軟體部署機制來部署此腳本。
步驟 3:準備 Exchange 部署以進行移轉
如果您使用 Exchange 內部部署或 Exchange Online,您可能先前已將 Exchange 與您的 AD RMS 部署整合。 在此步驟中,設定它們以使用現有的 AD RMS 組態來支援受 Azure RMS 保護的內容。
請確定您的租使用者有 Azure Rights Management 服務 URL,以便您可以在下列命令中將此值取代為 <YourTenantURL>。
視您是否整合 Exchange 內部部署或 Exchange Online 與 AD RMS 而定,執行下列其中一項:
如果您已整合 Exchange Online 與 AD RMS
開啟 Exchange Online PowerShell 會話。
逐一或在腳本中執行下列 PowerShell 命令。
$irmConfig = Get-IRMConfiguration $list = $irmConfig.LicensingLocation $list += "<YourTenantURL>/_wmcs/licensing" Set-IRMConfiguration -LicensingLocation $list Set-IRMConfiguration -internallicensingenabled $false Set-IRMConfiguration -internallicensingenabled $true
如果您已整合 Exchange 內部部署與 AD RMS
針對每個 Exchange 組織,在每個 Exchange 伺服器上新增登錄值,然後執行 PowerShell 命令:
如果您有 Exchange 2013 或 Exchange 2016,請新增下列登錄值:
登入路徑:
HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection類型:Reg_SZ
值:
https://\<Your Tenant URL\>/_wmcs/licensing資料:
https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing
在腳本中逐一執行下列 PowerShell 命令:
$irmConfig = Get-IRMConfiguration $list = $irmConfig.LicensingLocation $list += "<YourTenantURL>/_wmcs/licensing" Set-IRMConfiguration -LicensingLocation $list Set-IRMConfiguration -internallicensingenabled $false Set-IRMConfiguration -RefreshServerCertificates Set-IRMConfiguration -internallicensingenabled $true IISReset
針對 Exchange Online 或 Exchange 內部部署執行這些命令之後,如果您的 Exchange 部署已設定為支援受 AD RMS 保護的內容,在移轉後也會支援受 Azure RMS 保護的內容。
您的 Exchange 部署會繼續使用 AD RMS 來支援受保護的內容,直到移轉的後續步驟為止。
下一步
移至 階段 2 - 伺服器端設定。