移轉階段 2 - AD RMS 的伺服器端設定

下列資訊適用于從 AD RMS 移轉到 Azure 資訊保護 階段 2。 這些程式涵蓋從 AD RMS 移轉到 Azure 資訊保護的步驟 4 到 6。

步驟 4. 從 AD RMS 匯出組態資料並匯入至 Azure 資訊保護

此步驟包含兩個部分的程式:

  1. 匯出 AD RMS 的組態資料,方法是將信任的發佈網域匯出 (TPD) 至.xml檔案。 此程式與所有移轉相同。

  2. 將組態資料匯入 Azure 資訊保護。 此步驟有不同的程式,視您目前的 AD RMS 部署設定和您 Azure RMS 租使用者金鑰的慣用拓撲而定。

從 AD RMS 匯出組態資料

針對所有已為貴組織提供保護內容的受信任發佈網域,在所有 AD RMS 叢集上執行下列程式。 您不需要在僅授權叢集上執行此程式。

若要匯出組態資料 (信任的發佈網域資訊)

  1. 以具有 AD RMS 系統管理許可權的使用者身分登入 AD RMS 叢集。

  2. 從 AD RMS 管理主控台 (Active Directory Rights Management Services) 、展開 AD RMS 叢集名稱、展開信任原則,然後按一下 [信任的發佈網域]

  3. 在結果窗格中,選取信任的發佈網域,然後從 [動作] 窗格按一下 [ 匯出信任的發佈網域]

  4. 在 [ 匯出信任的發佈網域 ] 對話方塊中:

    • 按一下 [另存新 檔],並儲存到您選擇的路徑和檔案名。 請務必將 .xml 指定為副檔名, (這不會自動附加) 。

    • 指定並確認強式密碼。 請記住此密碼,因為您稍後將組態資料匯入 Azure 資訊保護時需要密碼。

    • 請勿選取核取方塊以將信任的網域檔案儲存為 RMS 版本 1.0。

當您匯出所有受信任的發佈網域時,您已準備好開始將此資料匯入 Azure 資訊保護的程式。

請注意,受信任的發佈網域包含伺服器授權憑證 (SLC) 金鑰來解密先前受保護的檔案,因此請務必匯出 (及更新版本匯入 Azure) 所有受信任的發佈網域,而不只是目前作用中的網域。

例如,如果您將 AD RMS 伺服器從密碼編譯模式 1 升級至密碼編譯模式 2,您將會有多個受信任的發佈網域。 如果您沒有匯出並匯入包含使用密碼編譯模式 1 之封存金鑰的受信任發佈網域,在移轉結束時,使用者將無法開啟受密碼編譯模式 1 金鑰保護的內容。

將組態資料匯入 Azure 資訊保護

此步驟的確切程式取決於您目前的 AD RMS 部署設定,以及您 Azure 資訊保護租使用者金鑰的慣用拓撲。

您目前的 AD RMS 部署是針對伺服器授權憑證使用下列其中一種設定, (SLC) 金鑰:

  • AD RMS 資料庫中的密碼保護。 這是預設設定。

  • 使用 nCipher 硬體安全性模組 (HSM) 來保護 HSM。

  • 使用來自 nCipher 以外供應商的硬體安全性模組 (HSM) 來保護 HSM。

  • 使用外部密碼編譯提供者來保護密碼。

注意

如需搭配 AD RMS 使用硬體安全性模組的詳細資訊,請參閱 搭配硬體安全性模組使用 AD RMS

這兩種 Azure 資訊保護租使用者金鑰拓撲選項是:Microsoft 會 (Microsoft 管理的) 管理您的租使用者金鑰,或者您在 Azure 金鑰保存庫中 (由客戶管理的) 管理您的租使用者金鑰。 當您管理自己的 Azure 資訊保護租使用者金鑰時,有時稱為「攜帶您自己的金鑰」 (BYOK) 。 如需詳細資訊,請參閱規劃及實作您的 Azure 資訊保護租使用者金鑰一文。

請使用下表來識別移轉所用的程式。

目前的 AD RMS 部署 選擇的 Azure 資訊保護租使用者金鑰拓撲 移轉指示
AD RMS 資料庫中的密碼保護 Microsoft 管理 請參閱本表格之後 受軟體保護的金鑰 移轉程式。

這是最簡單的移轉路徑,您只需要將組態資料傳輸到 Azure 資訊保護。
使用 hSM (nCipher nShield 硬體安全性模組來保護 HSM) 由客戶管理 (BYOK) 請參閱本表格之後受 HSM 保護之金鑰移轉程式的 HSM 保護金鑰

這需要 Azure 金鑰保存庫 BYOK 工具組及三組步驟,先將金鑰從您的內部部署 HSM 移轉到 Azure 金鑰保存庫 HSM,然後從 Azure 資訊保護授權 Azure 版權管理服務使用您的租使用者金鑰,最後再將您的組態資料傳輸到 Azure 資訊保護。
AD RMS 資料庫中的密碼保護 由客戶管理 (BYOK) 請參閱本表格之後受 軟體保護的金鑰,以進行受 HSM 保護的金鑰 移轉程式。

這需要 Azure 金鑰保存庫 BYOK 工具組及四組步驟,以先擷取您的軟體金鑰並匯入到內部部署的 HSM,然後將金鑰從您的內部部署 HSM 傳輸到 Azure 資訊保護 HSM,接著將您的金鑰保存庫資料傳輸到 Azure 資訊保護,最後再將您的組態資料傳輸到 Azure資訊保護。
使用來自 nCipher 以外供應商的硬體安全性模組 (HSM) 來保護 HSM 由客戶管理 (BYOK) 請連絡供應商取得您的 HSM,以取得如何將金鑰從此 HSM 傳輸到 nCipher nShield 硬體安全模組 (HSM) 的指示。 然後依照下表後受 HSM 保護的金鑰 移轉程式的指示進行。
使用外部密碼編譯提供者保護密碼 由客戶管理 (BYOK) 如需有關如何將金鑰傳輸到 nCipher nShield 硬體安全模組 (HSM) 的指示,請連絡供應商以取得相關指示。 然後依照下表後受 HSM 保護的金鑰 移轉程式的指示進行。

如果您有無法匯出受 HSM 保護的金鑰,您仍然可以設定唯讀模式的 AD RMS 叢集,以移轉至 Azure 資訊保護。 在此模式中,先前受保護的內容仍然可以開啟,但新保護的內容會使用由您 (BYOK) 或 Microsoft 管理的新租使用者金鑰。 如需詳細資訊,請參閱可供Office使用的更新,以支援從 AD RMS 移轉到 Azure RMS

在開始這些重要的移轉程式之前,請先確認您可以存取先前在匯出受信任的發佈網域時所建立的.xml檔案。 例如,這些可能儲存到從 AD RMS 伺服器移至網際網路連線工作站的 USB 隨身碟。

注意

不過,您儲存這些檔案時,請使用安全性最佳做法來保護它們,因為這些資料包含您的私密金鑰。

若要完成步驟 4,請選擇並選取移轉路徑的指示:

步驟 5. 啟用 Azure 版權管理服務

開啟 PowerShell 會話並執行下列命令:

  1. 連線到 Azure 版權管理服務,當系統提示時,請指定您的全域系統管理員認證:

    Connect-AipService
    
  2. 啟用 Azure 版權管理服務:

    Enable-AipService
    

如果您的 Azure 資訊保護租使用者已啟用,該怎麼辦? 如果您的組織已啟用 Azure 版權管理服務,而且您已建立想要在移轉後使用的自訂範本,則必須匯出並匯入這些範本。 下一個步驟會涵蓋此程式。

步驟 6. 設定匯入的範本

由於您匯入的範本具有預設的 [ 封存] 狀態,如果您希望使用者能夠搭配 Azure 版權管理服務使用這些範本,您必須將此狀態變更為 [已 發佈 ]。

從 AD RMS 匯入的範本外觀與行為方式,就像您可以在Azure 入口網站中建立的自訂範本一樣。 若要將匯入的範本變更為要發佈,讓使用者可以看到這些範本,並從應用程式中選取範本,請參閱設定和管理 Azure 資訊保護範本

除了發佈新匯入的範本之外,在繼續移轉之前,您可能需要對範本進行兩項重要的變更。 若要讓使用者在移轉程式期間獲得更一致的體驗,請勿對匯入的範本進行其他變更,也不會發佈 Azure 資訊保護隨附的兩個預設範本,或目前建立新的範本。 請改為等到移轉程式完成,而且您已撤銷 AD RMS 伺服器。

您可能需要針對此步驟進行範本變更:

  • 如果您在移轉之前建立了 Azure 資訊保護自訂範本,則必須手動匯出並匯入它們。

  • 如果您的 AD RMS 範本使用 [ 任何人 ] 群組,您可能需要手動新增使用者或群組。

    在 AD RMS 中,ANYONE 群組已授與您內部部署的 Active Directory驗證之所有使用者的權利,且 Azure 資訊保護不支援此群組。 等同于這個群組會自動為您Azure AD租使用者中的所有使用者建立。 如果您在 AD RMS 範本中使用 ANYONE 群組,您可能需要新增使用者,以及您想要授與這些使用者的權利。

在移轉之前建立自訂範本的程式

如果您在移轉之前,或在啟用 Azure 版權管理服務之前或之後建立了自訂範本,在移轉之後,即使範本設定為 [ 發佈],使用者也無法使用範本。 若要讓使用者使用,您必須先執行下列動作:

  1. 執行 Get-AipServiceTemplate,識別這些範本並記下範本識別碼。

  2. 使用 Azure RMS PowerShell Cmdlet Export-AipServiceTemplate匯出範本。

  3. 使用 Azure RMS PowerShell Cmdlet Import-AipServiceTemplate 匯入範本

接著,您可以像在移轉之後建立的任何其他範本一樣,發佈或封存這些範本。

如果 AD RMS 中的範本使用 [ 任何人 ] 群組,請執行程式

如果您的 AD RMS 範本使用ANYONE 群組,Azure 資訊保護中最接近的對等群組名稱為AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@ < tenant_name.onmicrosoft.com >。 例如,這個群組在 Contoso 中看起來可能如下所示: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com 。 此群組包含您Azure AD租使用者的所有使用者。

當您管理Azure 入口網站中的範本和標籤時,此群組會在 Azure AD 中顯示為您租使用者的功能變數名稱。 例如,針對 Contoso: contoso.onmicrosoft.com,此群組看起來可能如下所示。 若要新增此群組,選項會顯示 [新增 < 組織名稱 > - 所有成員]

如果您不確定 AD RMS 範本是否包含 ANYONE 群組,您可以使用下列範例Windows PowerShell腳本來識別這些範本。 如需搭配 AD RMS 使用Windows PowerShell的詳細資訊,請參閱使用Windows PowerShell管理 AD RMS

當您將這些範本轉換為Azure 入口網站中的標籤時,您可以輕鬆地將外部使用者新增至範本。 然後在 [ 新增許可權 ] 窗格中,選擇 [輸入詳細資料 ] 以手動指定這些使用者的電子郵件地址。

如需有關此設定的詳細資訊,請參閱 如何設定版權管理保護標籤

範例Windows PowerShell腳本以識別包含 ANYONE 群組的 AD RMS 範本

本節包含範例腳本,可協助您識別已定義 ANYONE 群組的任何 AD RMS 範本,如上一節所述。

免責聲明:任何 Microsoft 標準支援方案或服務都不支援此範例腳本。 此範例腳本提供為 IS,不含任何種類的擔保。

import-module adrmsadmin

New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost -Force

$ListofTemplates=dir MyRmsAdmin:\RightsPolicyTemplate

foreach($Template in $ListofTemplates)
{
                $templateID=$Template.id

                $rights = dir MyRmsAdmin:\RightsPolicyTemplate\$Templateid\userright

     $templateName=$Template.DefaultDisplayName

        if ($rights.usergroupname -eq "anyone")

                         {
                           $templateName = $Template.defaultdisplayname

                           write-host "Template " -NoNewline

                           write-host -NoNewline $templateName -ForegroundColor Red

                           write-host " contains rights for " -NoNewline

                           write-host ANYONE  -ForegroundColor Red
                         }
 }
Remove-PSDrive MyRmsAdmin -force

後續步驟

移至 階段 3 - 用戶端設定