從 AD RMS 遷移至 Azure 資訊保護

  • 發行項

使用下列一組指示,將 Active Directory Rights Management Services (AD RMS) 部署移轉至 Azure 資訊保護。

移轉之後,您的 AD RMS 伺服器已不再使用,但使用者仍然可以存取組織使用 AD RMS 保護的檔和電子郵件訊息。 新受保護的內容將使用來自 Azure 資訊保護的 Azure Rights Management Service (Azure RMS)。

雖然並非必要,但在開始移轉之前,您可能會發現閱讀下列檔很有用。 這項知識可讓您更瞭解當技術與移轉步驟相關時的運作方式。

此外,如果您不熟悉 AD RMS 的運作方式,您可能會發現閱讀 Azure RMS 如何運作會很有用?在幕後 ,協助您識別雲端版本哪些技術程式是相同或不同的。

將 AD RMS 遷移至 Azure 資訊保護的必要條件

開始移轉至 Azure 資訊保護之前,請確定下列必要條件已就緒,並瞭解任何限制。

  • 支援的 RMS 部署

    • 下列 AD RMS 版本支援移轉至 Azure 資訊保護:

      • Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)

    • 支援所有有效的 AD RMS 拓撲:

      • 單一樹系、單一 RMS 叢集

      • 單一樹系,多個僅限授權的 RMS 叢集

      • 多個樹系、多個 RMS 叢集

      注意

      根據預設,多個 AD RMS 叢集會移轉至 Azure 資訊保護的單一租使用者。 如果您想要個別的 Azure 租使用者資訊保護,您必須將它們視為不同的移轉。 無法將一個 RMS 叢集中的金鑰匯入至一個以上的租使用者。

  • 執行 Azure 資訊保護的所有需求,包括 Azure 資訊保護的訂用帳戶(未啟用 Azure Rights Management 服務)

    請參閱 Azure 資訊保護 的需求。

    分類和標籤需要 Azure 資訊保護 用戶端,而且 選擇性的,但 建議您只保護資料。

    如需詳細資訊,請參閱 Azure 資訊保護統一標籤用戶端 系統管理員指南。

    雖然您必須先有 Azure 資訊保護的訂用帳戶,才能從 AD RMS 移轉,但建議您在開始移轉之前,未啟用租使用者的 Rights Management 服務。

    移轉程式會在您從 AD RMS 匯出金鑰和範本,並將其匯入 Azure 租使用者的 azure 資訊保護 之後,包含此啟用步驟。 不過,如果 Rights Management 服務已啟動,您仍然可以使用一些額外的步驟從 AD RMS 移轉。

    僅限 Office 2010:

    如果您有執行 Office 2010 的電腦,您必須安裝 Azure 資訊保護 用戶端 ,以提供向雲端服務驗證使用者的能力。

    重要

    Office 2010 延長支援已于 2020 年 10 月 13 日結束。 如需詳細資訊,請參閱 AIP 和舊版 Windows 和 Office 版本

  • 準備 Azure 資訊保護

    • 內部部署目錄與 Microsoft Entra ID 之間的目錄同步處理

    • Microsoft Entra 識別碼中啟用郵件的群組

      請參閱 準備 Azure 資訊保護 的使用者和群組。

  • 如果您已使用 Exchange Server 的資訊版權管理 (IRM) 功能(例如傳輸規則和 Outlook Web 存取)或 SharePoint Server 搭配 AD RMS:

    • 在這些伺服器上無法使用 IRM 的短時間內規劃

      移轉之後,您可以在這些伺服器上繼續使用 IRM。 不過,其中一個移轉步驟是暫時停用 IRM 服務、安裝和設定連接器、重新設定伺服器,然後重新啟用 IRM。

      這是移轉程式期間唯一的服務中斷。

  • 如果您想要使用受 HSM 保護的金鑰來管理自己的 Azure 資訊保護租使用者金鑰

    • 此選擇性設定需要 Azure 金鑰保存庫 和支援使用 HSM 保護金鑰金鑰保存庫的 Azure 訂用帳戶。 如需詳細資訊,請參閱 Azure 金鑰保存庫定價頁面

密碼編譯模式考慮

如果您的 AD RMS 叢集目前處於密碼編譯模式 1,在開始移轉之前,請勿將叢集升級為密碼編譯模式 2。 相反地,使用密碼編譯模式 1 進行移轉,您可以在移轉結束時重新設定租使用者金鑰,作為移轉後工作的其中一項。

若要確認 Windows Server 2012 R2 和 Windows 2012 的 AD RMS 密碼編譯模式: AD RMS 叢集 屬性 > [一般 ] 索引標籤。

移轉限制

  • 如果您有 Azure 資訊保護 所使用 Rights Management 服務不支援的軟體和用戶端,他們將無法保護或取用受 Azure Rights Management 保護的內容。 請務必檢查 Azure 資訊保護 需求中支援的應用程式和用戶端區段

  • 如果您的 AD RMS 部署已設定為與外部合作夥伴共同作業(例如,使用受信任的使用者網域或同盟),他們也必須同時移轉至 Azure 資訊保護,或之後儘快移轉。 若要繼續存取您組織先前使用 Azure 資訊保護保護的內容,它們必須進行類似您所做的用戶端設定變更,並包含在本檔中。

    由於合作夥伴可能擁有的設定變化,因此此重新設定的確切指示已超過本檔的範圍。 不過,請參閱下一節以取得規劃指引,如需其他說明, 請連絡Microsoft 支援服務

如果您與外部合作夥伴共同作業,則移轉規劃

在您的規劃階段中包含 AD RMS 合作夥伴以進行移轉,因為它們也必須移轉至 Azure 資訊保護。 在您執行下列任何移轉步驟之前,請確定下列專案已就緒:

  • 他們有支援 Azure Rights Management 服務的 Microsoft Entra 租使用者。

    例如,他們擁有 Office 365 E3 或 E5 訂用帳戶、Enterprise Mobility + Security 訂用帳戶,或 Azure 資訊保護的獨立訂用帳戶。

  • 其 Azure Rights Management 服務尚未啟用,但他們知道其 Azure Rights Management 服務 URL。

    他們可以安裝 Azure Rights Management Tool、連線至服務 (連線-AipService ),然後檢視其 Azure Rights Management Service 的租使用者資訊 ( Get-AipServiceConfiguration ) 來取得此資訊。

  • 它們會提供其 AD RMS 叢集及其 Azure Rights Management 服務 URL 的 URL,以便設定移轉的用戶端,將 AD RMS 受保護內容的要求重新導向至其租使用者的 Azure Rights Management 服務。 設定用戶端重新導向的指示位於步驟 7 中。

  • 他們會先將其 AD RMS 叢集根金鑰 (SLC) 匯入其租使用者,再開始移轉使用者。 同樣地,您必須先匯入 AD RMS 叢集根金鑰,才能開始移轉其使用者。 此移轉程式 的步驟 4 涵蓋匯入金鑰的指示。從 AD RMS 匯出組態資料,並將其匯入至 Azure 資訊保護

將 AD RMS 遷移至 Azure 資訊保護的步驟概觀

移轉步驟可以分成五個階段,這些階段可以在不同時間完成,並由不同的系統管理員執行。

階段 1:移轉準備

如需詳細資訊,請參閱 階段 1:移轉準備

步驟 1:安裝 AIPService PowerShell 模組並識別您的租使用者 URL

移轉程式會要求您從 AIPService 模組執行一或多個 PowerShell Cmdlet。 您必須知道租使用者的 Azure Rights Management 服務 URL,才能完成許多移轉步驟,而且您可以使用 PowerShell 來識別此值。

步驟 2。 準備用戶端移轉

如果您無法一次移轉所有用戶端,並以批次方式移轉它們,請使用上線控制項並部署移轉前腳本。 不過,如果您要同時移轉所有專案,而不是進行分階段移轉,您可以略過此步驟。

步驟 3:準備 Exchange 部署以進行移轉

如果您目前使用 Exchange Online 或 Exchange 內部部署的 IRM 功能來保護電子郵件,則需要此步驟。 不過,如果您要同時移轉所有專案,而不是進行分階段移轉,您可以略過此步驟。

階段 2:AD RMS 的伺服器端設定

如需詳細資訊,請參閱 階段 2:AD RMS 的伺服器端設定。

步驟 4. 從 AD RMS 匯出組態資料,並將其匯入 Azure 資訊保護

您可以使用 Import-AipServiceTpd PowerShell Cmdlet,將組態資料(金鑰、範本、URL)從 AD RMS 匯出至 XML 檔案,然後將該檔案上傳至 Azure 資訊保護的 Azure Rights Management 服務。 然後,識別要作為 Azure Rights Management 服務的租使用者金鑰使用的匯入伺服器授權憑證 (SLC) 金鑰。 視您的 AD RMS 金鑰組態而定,可能需要其他步驟:

  • 軟體保護金鑰移轉至軟體保護的金鑰

    AD RMS 中集中管理的密碼型金鑰到 Microsoft 管理的 Azure 資訊保護租使用者金鑰。 這是最簡單的移轉路徑,不需要其他步驟。

  • HSM 保護的金鑰移轉至受 HSM 保護的金鑰:

    HSM 針對客戶管理的 Azure 資訊保護租使用者金鑰儲存的 HSM 金鑰(「攜帶您自己的金鑰」或 BYOK 案例)。 這需要額外的步驟,才能將金鑰從內部部署 nCipher HSM 傳輸到 Azure 金鑰保存庫,並授權 Azure Rights Management 服務使用此金鑰。 您現有的 HSM 保護金鑰必須受到模組保護;Rights Management 服務不支援受 OCS 保護的金鑰。

  • 受軟體保護的金鑰移轉至 HSM 保護的金鑰

    在 AD RMS 中集中管理、密碼型金鑰到客戶管理的 Azure 資訊保護租使用者金鑰(「攜帶您自己的金鑰」或 BYOK 案例)。 這需要大部分的設定,因為您必須先擷取軟體金鑰並將其匯入內部部署 HSM,然後執行其他步驟,將金鑰從內部部署 nCipher HSM 傳輸到 Azure 金鑰保存庫 HSM,並授權 Azure Rights Management 服務使用儲存金鑰的金鑰保存庫。

步驟 5: 啟用 Azure Rights Management 服務

可能的話,請在匯入程式之後執行此步驟,而不是之前。 如果在匯入之前啟動服務,則需要額外的步驟。

步驟 6。 設定匯入的範本

當您匯入許可權原則範本時,其狀態會封存。 如果您希望使用者能夠查看並使用它們,您必須將範本狀態變更為在 Azure 傳統入口網站中發佈。

階段 3:用戶端設定

如需詳細資訊,請參閱 階段 3:用戶端設定

步驟 7:重新設定 Windows 電腦以使用 Azure 資訊保護

現有的 Windows 電腦必須重新設定為使用 Azure Rights Management 服務,而不是 AD RMS。 如果您在執行 AD RMS 時已與他們共同作業,此步驟適用于您組織中的電腦,以及合作夥伴組織中的電腦。

階段 4:支援服務設定

如需詳細資訊,請參閱 階段 4:支援服務組態

步驟 8:設定 Exchange Online 的 IRM 整合

此步驟會完成 Exchange Online 的 AD RMS 移轉,以使用 Azure Rights Management 服務。

步驟 9:設定 Exchange Server 和 SharePoint Server 的 IRM 整合

此步驟會完成 Exchange 或 SharePoint 內部部署的 AD RMS 移轉,現在使用需要部署 Rights Management 連接器的 Azure Rights Management 服務。

階段 5:移轉後工作

如需詳細資訊,請參閱 階段 5:移轉後工作

步驟 10:取消布建 AD RMS

當您確認所有 Windows 電腦都使用 Azure Rights Management 服務,且不再存取 AD RMS 伺服器時,您可以取消布建 AD RMS 部署。

步驟 11:完成用戶端移轉工作

如果您已部署行動 裝置擴充 功能以支援 iOS 手機和 iPad、Android 手機和平板電腦、Windows 手機和平板電腦和 Mac 電腦等行動裝置,您必須移除 DNS 中重新導向這些用戶端以使用 AD RMS 的 SRV 記錄。

您不再需要在準備階段設定的上線控制項。 不過,如果您未使用上線控制項,因為您選擇同時移轉所有專案,而不是進行分階段移轉,您可以略過指示來移除上線控制項。

如果您的 Windows 電腦正在執行 Office 2010,請檢查您是否需要停用 AD RMS Rights Policy Template Management (自動化) 工作。

重要

Office 2010 延長支援已于 2020 年 10 月 13 日結束。 如需詳細資訊,請參閱 AIP 和舊版 Windows 和 Office 版本

步驟 12:重設 Azure 資訊保護租使用者金鑰

如果您在移轉之前未在密碼編譯模式 2 中執行,建議您執行此步驟。

下一步

若要開始移轉,請移至 階段 1 - 準備