移轉階段 2 - AD RMS 的伺服器端設定
針對從 AD RMS 移轉至 Azure 資訊保護的第 2 階段,請使用下列資訊。 這些程式涵蓋從 AD RMS 移轉至 Azure 資訊保護 的步驟 4 到 6。
步驟 4:從 AD RMS 匯出組態資料,並將其匯入 Azure 資訊保護
此步驟是兩部分的程式:
將受信任的發佈網域 (TPD) 匯出至 .xml 檔案,以從 AD RMS 匯出組態資料。 對於所有移轉而言,此程式都相同。
將組態資料匯入 Azure 資訊保護。 此步驟有不同的程式,視您目前的 AD RMS 部署組態和 Azure RMS 租使用者金鑰慣用的拓撲而定。
從 AD RMS 匯出設定資料
針對所有具有組織受保護內容的受信任發佈網域,在所有 AD RMS 叢集上執行下列程式。 您不需要在僅限授權的叢集上執行此程式。
匯出設定資料(受信任的發佈網域資訊)
以具有 AD RMS 系統管理許可權的使用者身分登入 AD RMS 叢集。
從 AD RMS 管理主控台 ( Active Directory Rights Management Services ),展開 AD RMS 叢集名稱,展開 [信任 原則],然後按一下 [ 信任發佈網域 ]。
在結果窗格中,選取受信任的發佈網域,然後從 [動作] 窗格中,按一下 [匯出信任發佈網域 ]。
在 [ 匯出信任發佈網域 ] 對話方塊中:
按一下 [ 另存新檔 ],然後儲存至您選擇的路徑和檔案名。 請務必將 .xml 指定 為副檔名(不會自動附加)。
指定並確認強式密碼。 請記住此密碼,因為稍後當您將組態資料匯入 Azure 資訊保護時,將會用到密碼。
請勿選取核取方塊,將受信任的網域檔案儲存在 RMS 1.0 版中。
當您匯出所有受信任的發佈網域時,即可開始將此資料匯入 Azure 資訊保護的程式。
請注意,受信任的發佈網域包含伺服器授權者憑證 (SLC) 金鑰來解密先前受保護的檔案,因此請務必匯出 (稍後匯入 Azure)所有受信任的發佈網域,而不只是目前作用中的網域。
例如,如果您將 AD RMS 伺服器從密碼編譯模式 1 升級為密碼編譯模式 2,您將有多個受信任的發佈網域。 如果您未匯出並匯入包含使用密碼編譯模式 1 之封存金鑰的受信任發佈網域,在移轉結束時,使用者將無法開啟使用密碼編譯模式 1 金鑰保護的內容。
將設定資料匯入 Azure 資訊保護
此步驟的確切程式取決於您目前的 AD RMS 部署組態,以及 Azure 資訊保護租使用者金鑰的慣用拓撲。
您目前的 AD RMS 部署會針對伺服器授權憑證 (SLC) 金鑰使用下列其中一個設定:
AD RMS 資料庫中的密碼保護。 這是預設設定。
使用 nCipher 硬體安全性模組 (HSM) 保護 HSM。
使用來自 nCipher 以外的供應商的硬體安全性模組 (HSM) 進行 HSM 保護。
使用外部密碼編譯提供者保護的密碼。
注意
如需搭配 AD RMS 使用硬體安全性模組的詳細資訊,請參閱 搭配硬體安全性模組 使用 AD RMS。
這兩個 Azure 資訊保護租使用者金鑰拓撲選項包括:Microsoft 管理您的租使用者金鑰( Microsoft 管理 ),或您在 Azure 金鑰保存庫中管理您的租使用者金鑰( 客戶管理 )。 當您管理自己的 Azure 資訊保護租使用者金鑰時,有時稱為「攜帶您自己的金鑰」(BYOK)。 如需詳細資訊,請參閱 規劃和實作 Azure 資訊保護租使用者金鑰 一文。
使用下表來識別移轉要使用的程式。
| 目前的 AD RMS 部署 | 選擇的 Azure 資訊保護租使用者金鑰拓撲 | 移轉指示 |
|---|---|---|
| AD RMS 資料庫中的密碼保護 | Microsoft 管理 | 請參閱此表格之後軟體保護金鑰至軟體保護金鑰 移轉程式。 這是最簡單的移轉路徑,只需要您將設定資料傳輸到 Azure 資訊保護。 |
| 使用 nCipher nShield 硬體安全性模組的 HSM 保護 (HSM) | 客戶管理 (BYOK) | 請參閱此資料表之後 HSM 保護金鑰移轉程式的 HSM 保護金鑰 。 這需要 Azure 金鑰保存庫 BYOK 工具組和三組步驟,先將金鑰從內部部署 HSM 傳輸到 Azure 金鑰保存庫 HSM,然後從 Azure 資訊保護授權 Azure Rights Management 服務使用您的租使用者金鑰,最後將設定資料傳輸到 Azure 資訊保護。 |
| AD RMS 資料庫中的密碼保護 | 客戶管理 (BYOK) | 請參閱此資料表之後受軟體保護的金鑰到 HSM 保護的金鑰 移轉程式。 這需要 Azure 金鑰保存庫 BYOK 工具組和四組步驟,先擷取您的軟體金鑰,並將其匯入至內部部署 HSM,然後將金鑰從內部部署 HSM 傳輸到 Azure 資訊保護 HSM,接著將您的金鑰保存庫資料傳輸到 Azure 資訊保護,最後將設定資料傳輸到 Azure資訊保護。 |
| 使用來自 nCipher 以外的供應商的硬體安全性模組 (HSM) 進行 HSM 保護 | 客戶管理 (BYOK) | 請連絡 HSM 的供應商,以取得如何將金鑰從此 HSM 傳輸至 nCipher nShield 硬體安全性模組 (HSM) 的指示。 然後遵循此資料表之後 HSM 保護金鑰移轉至 HSM 保護金鑰 移轉程式的指示 。 |
| 使用外部密碼編譯提供者保護的密碼 | 客戶管理 (BYOK) | 請連絡密碼編譯提供者的供應商,以取得如何將金鑰傳輸至 nCipher nShield 硬體安全性模組 (HSM) 的指示。 然後遵循此資料表之後 HSM 保護金鑰移轉至 HSM 保護金鑰 移轉程式的指示 。 |
如果您有無法匯出的 HSM 保護金鑰,您仍然可以藉由設定 AD RMS 叢集的唯讀模式來移轉至 Azure 資訊保護。 在此模式中,先前受保護的內容仍可開啟,但新受保護的內容會使用由您管理的新租使用者金鑰(BYOK)或由 Microsoft 管理。 如需詳細資訊,請參閱 Office 可用的更新,以支援從 AD RMS 移轉至 Azure RMS 。
開始這些金鑰移轉程式之前,請確定您可以存取您先前匯出受信任發佈網域時所建立的 .xml 檔案。 例如,這些可能會儲存到您從 AD RMS 伺服器移至網際網路連線工作站的 USB 拇指磁片磁碟機。
注意
不過,您會儲存這些檔案,請使用安全性最佳做法來保護這些檔案,因為此資料包含您的私密金鑰。
若要完成步驟 4,請選擇並選取移轉路徑的指示:
步驟 5:啟用 Azure Rights Management 服務
開啟 PowerShell 會話並執行下列命令:
連線至 Azure Rights Management 服務,並在出現提示時指定您的全域管理員認證:
Connect-AipService啟用 Azure Rights Management 服務:
Enable-AipService
如果您的 Azure 資訊保護租使用者已啟用,該怎麼辦? 如果已為組織啟用 Azure Rights Management 服務,而且您已建立要在移轉後使用的自訂範本,您必須匯出並匯入這些範本。 下一個步驟涵蓋此程式。
步驟 6:設定匯入的範本
由於您匯入的範本預設狀態 為 [封存 ],因此如果您想要使用者能夠搭配 Azure Rights Management 服務使用這些範本,則必須將此狀態 變更為已發佈 。
您從 AD RMS 匯入的範本看起來和行為就像您可以在Azure 入口網站中建立的自訂範本一樣。 若要變更要發佈的匯入範本,讓使用者可以看到這些範本並從應用程式選取它們,請參閱 設定和管理 Azure 資訊保護 的範本。
除了發佈新匯入的範本之外,您可能還需要對範本進行兩項重要變更,才能繼續進行移轉。 如需移轉程式期間使用者更一致的體驗,請勿對匯入的範本進行其他變更,也不會發佈 Azure 資訊保護隨附的兩個預設範本,或目前建立新的範本。 相反地,請等到移轉程式完成,並取消布建 AD RMS 伺服器。
您可能需要針對此步驟進行範本變更:
如果您在移轉之前建立了 Azure 資訊保護自訂範本,則必須手動匯出和匯入範本。
如果 AD RMS 中的範本使用 ANYONE 群組,您可能需要手動新增使用者或群組。
在 AD RMS 中,ANYONE 群組已將許可權授與您內部部署的 Active Directory所驗證的所有使用者,且 Azure 資訊保護不支援此群組。 壁櫥對等專案是針對 Microsoft Entra 租使用者中所有使用者自動建立的群組。 如果您針對 AD RMS 範本使用 ANYONE 群組,您可能需要新增使用者和您想要授與他們的許可權。
如果您在移轉之前建立自訂範本,請執行程式
如果您在移轉之前建立自訂範本,在啟用 Azure Rights Management 服務之前或之後,即使範本設定為 [已發佈 ],在移轉之後,使用者也無法使用範本。 若要讓使用者使用它們,您必須先執行下列動作:
執行 Get-AipServiceTemplate 來識別這些範本並記下其範本識別碼。
使用 Azure RMS PowerShell Cmdlet Export-AipServiceTemplate 匯出範本。
使用 Azure RMS PowerShell Cmdlet Import-AipServiceTemplate 匯入範本。
然後,您可以發佈或封存這些範本,就像在移轉之後建立的任何其他範本一樣。
如果您的 AD RMS 中的範本使用 ANYONE 群組, 則為程式
如果 AD RMS 中的範本使用 ANYONE 群組,Azure 資訊保護中最接近的對等群組會命名為 AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@ < tenant_name.onmicrosoft.com > 。 例如,此群組在 Contoso 中看起來可能如下所示: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com 。 此群組包含來自 Microsoft Entra 租使用者的所有使用者。
當您管理Azure 入口網站中的範本和標籤時,此群組會在 Microsoft Entra ID 中顯示為租使用者的功能變數名稱。 例如,此群組在 Contoso 中看起來可能如下所示: contoso.onmicrosoft.com 。 若要新增此群組,此選項會顯示 [新增 < 組織名稱 > - 所有成員 ]。
如果您不確定 AD RMS 範本是否包含 ANYONE 群組,您可以使用下列範例 Windows PowerShell 腳本來識別這些範本。 如需搭配 AD RMS 使用 Windows PowerShell 的詳細資訊,請參閱 使用 Windows PowerShell 來管理員註冊 AD RMS 。
當您將這些範本轉換成Azure 入口網站中的標籤時,您可以輕鬆地將這些範本新增至範本。 然後,在 [ 新增許可權] 窗格上,選擇 [ 輸入詳細 資料] 以手動指定這些使用者的電子郵件地址。
如需此設定的詳細資訊,請參閱 如何設定 Rights Management 保護 的標籤。
範例 Windows PowerShell 腳本,以識別包含 ANYONE 群組的 AD RMS 範本
本節包含範例腳本,可協助您識別已定義 ANY 群組的任何 AD RMS 範本,如上一節所述。
免責聲明 :任何 Microsoft 標準支援計畫或服務都不支援此範例腳本。 此範例腳本提供 AS IS,不保證任何種類。
import-module adrmsadmin
New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost -Force
$ListofTemplates=dir MyRmsAdmin:\RightsPolicyTemplate
foreach($Template in $ListofTemplates)
{
$templateID=$Template.id
$rights = dir MyRmsAdmin:\RightsPolicyTemplate\$Templateid\userright
$templateName=$Template.DefaultDisplayName
if ($rights.usergroupname -eq "anyone")
{
$templateName = $Template.defaultdisplayname
write-host "Template " -NoNewline
write-host -NoNewline $templateName -ForegroundColor Red
write-host " contains rights for " -NoNewline
write-host ANYONE -ForegroundColor Red
}
}
Remove-PSDrive MyRmsAdmin -force
下一步
移至 階段 3 - 用戶端設定 。