移轉階段 5 - 移轉後工作

發行項
10/18/2023

針對從 AD RMS 移轉至 Azure 資訊保護的第 5 階段，請使用下列資訊。這些程式涵蓋從 AD RMS 移轉至 Azure 資訊保護的步驟 10 到 12。

步驟 10：取消布建 AD RMS

從 Active Directory 移除服務連線點（SCP），以防止電腦探索內部部署 Rights Management 基礎結構。對於您移轉的現有用戶端而言，這是選擇性的，因為您在登錄中設定的重新導向（例如，藉由執行移轉腳本）。不過，移除 SCP 可防止新的用戶端和潛在的 RMS 相關服務和工具在移轉完成時尋找 SCP。此時，所有電腦連線都應該移至 Azure Rights Management 服務。

若要移除 SCP，請確定您已以網域企業系統管理員身分登入，然後使用下列程式：

在 Active Directory Rights Management Services 主控台中，以滑鼠右鍵按一下 AD RMS 叢集，然後按一下 [ 內容 ]。
按一下 [SCP ] 索引 標籤。
選取 [ 變更 SCP] 核取方塊。
選取 [ 移除目前的 SCP ]，然後按一下 [ 確定 ]。

現在監視 AD RMS 伺服器的活動。例如，檢查系統健康情況報告中的要求、 ServiceRequest 資料表或稽核使用者對受保護內容的存取權。

當您確認 RMS 用戶端不再與這些伺服器通訊，且用戶端已成功使用 Azure 資訊保護時，您可以從這些伺服器移除 AD RMS 伺服器角色。如果您使用專用伺服器，您可能會偏好先關閉伺服器一段時間的警告步驟。這可讓您在調查用戶端未使用 Azure 資訊保護的原因時，有時間確定沒有回報的問題，可能會要求您重新開機這些伺服器以取得服務持續性。

取消布建 AD RMS 伺服器之後，您可能想要有機會檢閱您的範本和標籤。例如，將範本轉換成標籤、合併它們，讓使用者選擇較少，或重新設定它們。這也是發佈預設範本的好時機。

針對敏感度標籤和統一標籤用戶端，請使用Microsoft Purview 合規性入口網站。如需詳細資訊，請參閱 Microsoft 365 檔。

重要

在此移轉結束時，您的 AD RMS 叢集無法與 Azure 資訊保護搭配使用，且保留您自己的金鑰（ HYOK ）選項。

執行 Office 2010 的電腦的其他設定

重要

Office 2010 延長支援已于 2020 年 10 月 13 日結束。如需詳細資訊，請參閱 AIP 和舊版 Windows 和 Office 版本。

如果移轉的用戶端執行 Office 2010，在取消布建 AD RMS 伺服器之後，使用者可能會在開啟受保護的內容時遇到延遲。或者，使用者可能會看到沒有認證可開啟受保護內容的訊息。若要解決這些問題，請為這些電腦建立網路重新導向，以將 AD RMS URL FQDN 重新導向至電腦的本機 IP 位址（127.0.0.1）。您可以在每部電腦上設定本機主機檔案，或使用 DNS 來執行此動作。

透過本機主機檔案重新導向：在本機主機檔案 中新增下列這一行，將取代 <AD RMS URL FQDN> 為 AD RMS 叢集的值，不含前置詞或網頁：
```
127.0.0.1 <AD RMS URL FQDN>
```
透過 DNS 重新導向：為您的 AD RMS URL FQDN 建立新的主機（A）記錄，其 IP 位址為 127.0.0.1。

步驟 11：完成用戶端移轉工作

針對行動裝置用戶端和 Mac 電腦：移除您在部署 AD RMS 行動裝置擴充功能時所建立的 DNS SRV 記錄。

當這些 DNS 變更傳播時，這些用戶端會自動探索並開始使用 Azure Rights Management 服務。不過，執行 Office Mac 的 Mac 電腦會從 AD RMS 快取資訊。對於這些電腦，此程式最多可能需要 30 天的時間。

若要強制 Mac 電腦立即執行探索程式，請在金鑰鏈中搜尋「adal」並刪除所有 ADAL 專案。然後，在這些電腦上執行下列命令：


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

當所有現有的 Windows 電腦都移轉至 Azure 資訊保護時，沒有理由繼續使用上線控制項，並維護 您為移轉程式建立的 AIPMigrated 群組。

請先移除上線控制項，然後您可以刪除 AIPMigrated 群組和您建立以部署移轉腳本的任何軟體部署方法。

若要移除上線控制項：

在 PowerShell 會話中，連線到 Azure Rights Management 服務，並在出現提示時指定您的全域管理員認證：
```
Connect-AipService
```
執行下列命令，然後輸入 Y 以確認：
```
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
```
請注意，此命令會移除 Azure Rights Management 保護服務的任何授權強制執行，讓所有電腦都能保護檔和電子郵件。
確認已不再設定上線控制項：
```
Get-AipServiceOnboardingControlPolicy
```
在輸出中，授權應該會顯示 False ，而且沒有針對 SecurityGroupOjbectId 顯示 GUID

最後，如果您使用 Office 2010，且已在 Windows 工作排程器程式庫中啟用 AD RMS Rights Policy Template Management （自動化） 工作，請停用此工作，因為 Azure 資訊保護用戶端不會使用它。

此工作通常會使用群組原則來啟用，並支援 AD RMS 部署。您可以在下列位置找到這項工作： Microsoft > Windows > Active Directory Rights Management Services Client。

重要

Office 2010 延長支援已于 2020 年 10 月 13 日結束。如需詳細資訊，請參閱 AIP 和舊版 Windows 和 Office 版本。

步驟 12：重設 Azure 資訊保護租使用者金鑰

如果您的 AD RMS 部署使用 RMS 密碼編譯模式 1，因為此模式使用 1024 位金鑰和 SHA-1，則需要此步驟。此設定被視為提供不足的保護層級。 Microsoft 不會背書使用較低的金鑰長度，例如 1024 位 RSA 金鑰，以及提供保護層級不足的通訊協定的相關使用，例如 SHA-1。

重設金鑰會導致使用 RMS 密碼編譯模式 2 的保護，這會導致 2048 位金鑰和 SHA-256。

即使您的 AD RMS 部署使用密碼編譯模式 2，我們仍建議您執行此步驟，因為新的金鑰有助於保護您的租使用者免于 AD RMS 金鑰的潛在安全性缺口。

當您重設 Azure 資訊保護租使用者金鑰（也稱為「輪替金鑰」時，目前的作用中金鑰會封存，而 Azure 資訊保護會開始使用不同的您指定的金鑰。這個不同的金鑰可能是您在 Azure 金鑰保存庫中建立的新金鑰，或為租使用者自動建立的預設金鑰。

從一個金鑰移到另一個金鑰不會立即發生，但幾個星期。因為它不是立即的，請勿等到您懷疑違反原始金鑰，但只要移轉完成就執行此步驟。

若要重設 Azure 資訊保護租使用者金鑰：

如果您的租使用者金鑰是由 Microsoft 管理：執行 PowerShell Cmdlet Set-AipServiceKeyProperties ，並指定為租使用者自動建立之金鑰的金鑰識別碼。您可以執行 Get-AipServiceKeys Cmdlet 來識別要指定的值。為租使用者自動建立的金鑰具有最舊的建立日期，因此您可以使用下列命令來識別它：
```
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
```
如果您的租使用者金鑰是由您管理（BYOK） ：在 Azure 金鑰保存庫中，針對您的 Azure 資訊保護租使用者重複金鑰建立程式，然後再次執行 Use-AipServiceKeyVaultKey Cmdlet 來指定這個新金鑰的 URI。

如需管理 Azure 資訊保護租使用者金鑰的詳細資訊，請參閱 Azure 資訊保護租使用者金鑰的作業。

下一步

現在您已經完成移轉，請檢閱 AIP 部署藍圖中的分類、標記和保護，以識別您可能需要執行的任何其他部署工作。