移轉階段 1 - 準備

針對從 AD RMS 移轉至 Azure 資訊保護 的第 1 階段，請使用下列資訊。 這些程式涵蓋從 AD RMS 移轉至 Azure 資訊保護 的步驟 1 到 3，並準備您的環境以進行移轉，而不會影響您的使用者。

步驟 1：安裝 AIPService PowerShell 模組並識別您的租使用者 URL

安裝 AIPService 模組，可讓您設定及管理服務，以提供 Azure 資訊保護 的數據保護。

如需指示，請參閱 安裝 AIPService PowerShell 模組。

若要完成一些移轉指示，您必須知道租使用者的 Azure Rights Management 服務 URL，以便在您看到租使用者 URL> 的參考<時取代它。

您的 Azure Rights Management 服務 URL 的格式如下： {GUID}.rms.[Region].aadrm.com。 例如： 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

識別您的 Azure Rights Management 服務 URL

1. 連線 至 Azure Rights Management 服務，並在出現提示時，輸入租使用者全域管理員的認證：

   Connect-AipService
   

2. 取得租用戶的設定：

   Get-AipServiceConfiguration
   

3. 複製 LicensingIntranetDistributionPointUrl 所顯示的值，並從此字串中移除 /_wmcs\licensing。

   剩下的是 Azure 資訊保護 租使用者的 Azure Rights Management 服務 URL。 此值通常會在下列移轉指示中縮短為 您的租使用者 URL 。

   您可以執行下列 PowerShell 命令來確認您有正確的值：

   (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
   

步驟 2：準備用戶端移轉

對於大部分的移轉而言，一次移轉所有用戶端並不實用。 您可能會以批次方式移轉用戶端。

這表示一段時間后，某些用戶端會使用 Azure 資訊保護，有些用戶端仍會使用 AD RMS。 若要支援預先移轉和移轉的使用者，請使用上線控件並部署預先移轉腳本。

注意

移轉程式期間需要此步驟，讓尚未移轉的用戶能夠取用目前使用 Azure Rights Management 的已移轉使用者所保護的內容。

準備客戶端移轉

1. 例如，建立名為 AIPMigrated 的群組。 此群組可以在 Active Directory 中建立並同步處理至雲端，也可以在 Microsoft 365 或 Microsoft Entra 標識符中建立。

   目前請勿將任何使用者指派給此群組。 在稍後的步驟中，當使用者移轉時，將它們新增至群組。

2. 使用下列其中一種方法，記下此群組的物件標識符。

   • 使用 Microsoft Graph PowerShell。 例如，使用 Get-MgGroup 命令。
   • 從 Azure 入口網站 複製群組的物件標識碼。

3. 將此群組設定為上線控件，只允許此群組中的人員使用 Azure Rights Management 來保護內容。

   若要執行此設定，請在PowerShell工作階段中連線到 Azure Rights Management 服務。 出現提示時，請指定您的全域管理員認證。

   Connect-AipService
   

   設定此群組以上線控件，以取代此範例中的群組對象標識碼。 出現提示時，請輸入 Y 以確認。

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
   

4. 下載Migration-Scripts.zip檔案。

5. 擷取檔案並遵循Prepare-Client.cmd中的指示，使其包含AD RMS叢集外部網路授權URL的伺服器名稱。 若要找出此名稱，請執行下列步驟。

   1. 從 Active Directory Rights Management Services 控制台中，選取叢集名稱。

   2. 從 [ 叢集詳細數據 ] 資訊中，從 [外部網络叢集 URL] 區段的 [授權 ] 值複製伺服器名稱。 例如： rmscluster.contoso.com。

   重要

   這些指示包括以您的 AD RMS 伺服器位址取代 adrms.contoso.com 的範例位址。

   當您這樣做時，請小心位址之前或之後沒有額外的空格。 額外的空格會中斷移轉腳本，而且很難識別為問題的根本原因。

   有些編輯工具會在貼上文字之後自動新增空格。

6. 將此腳本部署至所有 Windows 計算機，以確保當您開始移轉用戶端時，用戶端尚未移轉仍會繼續與 AD RMS 通訊，即使用戶端取用現在使用 Azure Rights Management 服務所保護的已移轉用戶端所保護的內容也一樣。

   您可以使用組策略或其他軟體部署機制來部署此腳本。

步驟 3：準備 Exchange 部署以進行移轉

如果您使用 Exchange 內部部署或 Exchange Online，您可能先前已將 Exchange 與您的 AD RMS 部署整合。 在此步驟中，設定它們以使用現有的 AD RMS 組態來支援受 Azure RMS 保護的內容。

請確定您的租使用者有 Azure Rights Management 服務 URL，以便您可以在下列命令中將此值取代為 <YourTenantURL>。

視您是否整合 Exchange 內部部署或 Exchange Online 與 AD RMS 而定，執行下列其中一項：

• 整合 Exchange 內部部署與 AD RMS
• 整合式 Exchange Online 與 AD RMS

如果您已整合 Exchange Online 與 AD RMS

1. 開啟 Exchange Online PowerShell 會話。

2. 逐一或在腳本中執行下列 PowerShell 命令。

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -internallicensingenabled $true 
   

如果您已整合 Exchange 內部部署與 AD RMS

針對每個 Exchange 組織，在每個 Exchange 伺服器上新增登錄值，然後執行 PowerShell 命令：

1. 如果您有 Exchange 2013 或 Exchange 2016，請新增下列登錄值：

   • 登入路徑： HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • 類型：Reg_SZ

   • 值：https://\<Your Tenant URL\>/_wmcs/licensing

   • 資料：https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

2. 在腳本中逐一執行下列 PowerShell 命令：

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -RefreshServerCertificates
   Set-IRMConfiguration -internallicensingenabled $true
   IISReset
   

針對 Exchange Online 或 Exchange 內部部署執行這些命令之後，如果您的 Exchange 部署已設定為支援受 AD RMS 保護的內容，在移轉後也會支援受 Azure RMS 保護的內容。

您的 Exchange 部署會繼續使用 AD RMS 來支援受保護的內容，直到移轉的後續步驟為止。

下一步

移至 階段 2 - 伺服器端設定。