Fáze migrace 2 – konfigurace na straně serveru pro SLUŽBU AD RMS

Pro fázi 2 migrace ze služby AD RMS na Azure Information Protection použijte následující informace. Tyto postupy zahrnují kroky 4 až 6 z migrace z AD RMS na Azure Information Protection.

Krok 4: Export konfiguračních dat ze služby AD RMS a jejich import do služby Azure Information Protection

Tento krok je dvoudílný proces:

1. Exportujte konfigurační data ze služby AD RMS exportem důvěryhodných domén publikování (TPD) do souboru .xml. Tento proces je stejný pro všechny migrace.

2. Importujte konfigurační data do služby Azure Information Protection. Pro tento krok existují různé procesy v závislosti na vaší aktuální konfiguraci nasazení služby AD RMS a preferované topologii klíče tenanta Azure RMS.

Export konfiguračních dat ze služby AD RMS

Pro všechny clustery AD RMS proveďte následující postup pro všechny důvěryhodné domény publikování, které mají chráněný obsah pro vaši organizaci. Tento postup nemusíte spouštět u clusterů jen pro licencování.

Export konfiguračních dat (informace o důvěryhodném publikování domény)

1. Přihlaste se ke clusteru AD RMS jako uživatel s oprávněními pro správu AD RMS.

2. V konzole pro správu služby AD RMS (služba AD RMS (Active Directory Rights Management Services)) rozbalte název clusteru SLUŽBY AD RMS, rozbalte položku Zásady důvěryhodnosti a klikněte na položku Důvěryhodné domény publikování.

3. V podokně výsledků vyberte důvěryhodnou doménu publikování a potom v podokně Akce klikněte na exportovat důvěryhodnou doménu publikování.

4. V dialogovém okně Exportovat důvěryhodnou doménu publikování:

   • Klikněte na Uložit jako a uložte cestu a název souboru podle vašeho výběru. Nezapomeňte jako příponu názvu souboru zadat .xml (nepřidá se automaticky).

   • Zadejte a potvrďte silné heslo. Toto heslo si zapamatujte, protože ho budete potřebovat později při importu konfiguračních dat do služby Azure Information Protection.

   • Nezaškrtávejte políčko pro uložení souboru důvěryhodné domény ve službě RMS verze 1.0.

Po exportu všech důvěryhodných domén publikování jste připraveni zahájit postup importu těchto dat do služby Azure Information Protection.

Všimněte si, že důvěryhodné domény publikování obsahují klíče serverového certifikátu pro vystavování licencí (SLC) pro dešifrování dříve chráněných souborů, takže je důležité exportovat (a později importovat do Azure) všechny důvěryhodné domény publikování, a ne jenom aktuálně aktivní domény.

Pokud jste například upgradovali servery AD RMS z kryptografického režimu 1 na kryptografický režim 2, budete mít několik důvěryhodných domén publikování. Pokud neexportujete a importujete důvěryhodnou doménu publikování, která obsahuje archivovaný klíč, který používal kryptografický režim 1, nebudou uživatelé na konci migrace moct otevřít obsah chráněný klíčem kryptografického režimu 1.

Import konfiguračních dat do služby Azure Information Protection

Přesné postupy pro tento krok závisí na vaší aktuální konfiguraci nasazení služby AD RMS a preferované topologii klíče tenanta služby Azure Information Protection.

Vaše aktuální nasazení služby AD RMS používá pro klíč serverového certifikátu pro vystavování licencí (SLC) jednu z následujících konfigurací:

• Ochrana heslem v databázi SLUŽBY AD RMS. Toto je výchozí konfigurace.

• Ochrana HSM pomocí modulu hardwarového zabezpečení nCipher (HSM).

• Ochrana HSM pomocí modulu hardwarového zabezpečení (HSM) od jiného dodavatele než nCipher.

• Heslo je chráněné pomocí externího zprostředkovatele kryptografických služeb.

Poznámka:

Další informace o používání modulů hardwarového zabezpečení se službou AD RMS naleznete v tématu Použití služby AD RMS s moduly hardwarového zabezpečení.

Dvě možnosti topologie klíče tenanta Azure Information Protection jsou: Klíč tenanta spravuje Microsoft (spravovaný Microsoftem) nebo klíč tenanta (spravovaný zákazníkem) ve službě Azure Key Vault. Když spravujete vlastní klíč tenanta Azure Information Protection, někdy se označuje jako byok (Bring your own key). Další informace najdete v článku o plánování a implementaci klíče tenanta Azure Information Protection.

Pomocí následující tabulky určete, který postup se má použít pro migraci.

Aktuální nasazení služby AD RMS	Zvolená topologie klíče tenanta služby Azure Information Protection	Pokyny k migraci
Ochrana heslem v databázi SLUŽBY AD RMS	Spravovaná Microsoftem	Podívejte se na postup migrace klíče chráněného softwarem na klíč chráněný softwarem za touto tabulkou. Toto je nejjednodušší cesta migrace a vyžaduje pouze přenos konfiguračních dat do služby Azure Information Protection.
Ochrana HSM pomocí nCipher nShield modulu hardwarového zabezpečení (HSM)	Spravovaná zákazníkem (BYOK)	Podívejte se na postup migrace klíče chráněného HSM na klíč chráněný HSM za touto tabulkou. To vyžaduje sadu nástrojů BYOK služby Azure Key Vault a tři sady kroků k prvnímu přenosu klíče z místního HSM do modulů HSM služby Azure Key Vault, pak autorizaci služby Azure Rights Management ze služby Azure Information Protection k použití klíče tenanta a nakonec k přenosu konfiguračních dat do služby Azure Information Protection.
Ochrana heslem v databázi SLUŽBY AD RMS	Spravovaná zákazníkem (BYOK)	Podívejte se na postup migrace klíče chráněného softwarem na klíč chráněný HSM za touto tabulkou. To vyžaduje sadu nástrojů BYOK služby Azure Key Vault a čtyři sady kroků k prvnímu extrahování softwarového klíče a jeho importu do místního modulu HSM a následnému přenosu klíče z místního HSM do modulů HSM služby Azure Information Protection, další přenos dat služby Key Vault do služby Azure Information Protection a nakonec přenos konfiguračních dat do služby Azure Information Protection.
Ochrana HSM pomocí modulu hardwarového zabezpečení (HSM) od jiného dodavatele než nCipher	Spravovaná zákazníkem (BYOK)	Pokyny k přenosu vašeho klíče z tohoto modulu HSM do modulu hardwarového zabezpečení (HSM) nCipher nShield se obraťte na dodavatele vašeho HSM. Potom postupujte podle pokynů pro migraci klíče chráněného HSM na klíč chráněný HSM za touto tabulkou.
Ochrana heslem pomocí externího zprostředkovatele kryptografických služeb	Spravovaná zákazníkem (BYOK)	Pokyny k přenosu klíče do modulu hardwarového zabezpečení (HSM) nCipher nShield vám poskytne dodavatel vašeho kryptografického zprostředkovatele. Potom postupujte podle pokynů pro migraci klíče chráněného HSM na klíč chráněný HSM za touto tabulkou.

Pokud máte klíč chráněný modulem HSM, který nemůžete exportovat, můžete do služby Azure Information Protection migrovat tak, že nakonfigurujete cluster AD RMS pro režim jen pro čtení. V tomto režimu je možné dříve chráněný obsah otevřít, ale nově chráněný obsah používá nový klíč tenanta, který spravujete vy (BYOK) nebo spravovaný Microsoftem. Další informace najdete v tématu Aktualizace, která office umožňuje podporovat migrace z AD RMS na Azure RMS.

Než začnete s těmito postupy migrace klíčů, ujistěte se, že máte přístup k souborům .xml, které jste vytvořili dříve při exportu důvěryhodných domén publikování. Můžete je například uložit na jednotku USB, kterou přesunete ze serveru AD RMS na pracovní stanici připojenou k internetu.

Poznámka:

Tyto soubory však ukládáte pomocí osvědčených postupů zabezpečení k jejich ochraně, protože tato data zahrnují váš privátní klíč.

Pokud chcete dokončit krok 4, zvolte a vyberte pokyny pro cestu migrace:

• Klíč chráněný softwarem na klíč chráněný softwarem
• Klíč chráněný modulem HSM na klíč chráněný HSM
• Klíč chráněný softwarem na klíč chráněný HSM

Krok 5: Aktivace služby Azure Rights Management

Otevřete relaci PowerShellu a spusťte následující příkazy:

1. Připojení do služby Azure Rights Management a po zobrazení výzvy zadejte přihlašovací údaje globálního správce:

   Connect-AipService
   

2. Aktivace služby Azure Rights Management:

   Enable-AipService
   

Co když už je váš tenant Služby Azure Information Protection aktivovaný? Pokud už je služba Azure Rights Management pro vaši organizaci aktivovaná a vytvořili jste vlastní šablony, které chcete po migraci použít, musíte tyto šablony exportovat a importovat. Tento postup je popsaný v dalším kroku.

Krok 6: Konfigurace importovaných šablon

Vzhledem k tomu, že šablony, které jste naimportovali, mají výchozí stav Archivované, musíte tento stav změnit tak, aby se publikoval , pokud chcete, aby uživatelé mohli tyto šablony používat se službou Azure Rights Management.

Šablony, které importujete ze služby AD RMS, vypadají a chovají se stejně jako vlastní šablony, které můžete vytvořit na webu Azure Portal. Pokud chcete změnit importované šablony, které se mají publikovat, aby je uživatelé viděli a vybrali z aplikací, přečtěte si téma Konfigurace a správa šablon pro Azure Information Protection.

Kromě publikování nově importovaných šablon existují jenom dvě důležité změny šablon, které možná budete muset udělat, než budete pokračovat v migraci. Pokud chcete zajistit konzistentnější prostředí pro uživatele během procesu migrace, neproveďte v importovaných šablonách další změny a nepublikujte dvě výchozí šablony, které jsou součástí služby Azure Information Protection, ani v tuto chvíli nevytvořujte nové šablony. Místo toho počkejte na dokončení procesu migrace a zrušte zřízení serverů SLUŽBY AD RMS.

Změny šablony, které možná budete muset provést pro tento krok:

• Pokud jste před migrací vytvořili vlastní šablony služby Azure Information Protection, musíte je ručně exportovat a importovat.

• Pokud vaše šablony ve službě AD RMS používaly skupinu ANYONE , budete možná muset přidat uživatele nebo skupiny ručně.

  Ve službě AD RMS má skupina ANYONE udělená práva všem uživatelům ověřeným vaším místní Active Directory a azure Information Protection tuto skupinu nepodporuje. Ekvivalentem zavření je skupina, která se automaticky vytvoří pro všechny uživatele ve vašem tenantovi Microsoft Entra. Pokud jste pro šablony služby AD RMS používali skupinu ANYONE, možná budete muset přidat uživatele a práva, která jim chcete udělit.

Postup, pokud jste před migrací vytvořili vlastní šablony

Pokud jste vytvořili vlastní šablony před migrací, a to buď před aktivací služby Azure Rights Management, nebudou šablony po migraci k dispozici uživatelům ani v případě, že byly nastaveny na publikováno. Pokud je chcete uživatelům zpřístupnit, musíte nejdřív udělat toto:

1. Identifikujte tyto šablony a poznamenejte si ID šablony spuštěním rutiny Get-AipServiceTemplate.

2. Exportujte šablony pomocí rutiny Azure RMS PowerShellu Export-AipServiceTemplate.

3. Naimportujte šablony pomocí rutiny Azure RMS PowerShellu Import-AipServiceTemplate.

Tyto šablony pak můžete publikovat nebo archivovat stejně jako jakoukoli jinou šablonu, kterou vytvoříte po migraci.

Postup, pokud vaše šablony ve službě AD RMS používaly skupinu ANYONE

Pokud vaše šablony v AD RMS používaly skupinu ANYONE, nejbližší ekvivalentní skupina ve službě Azure Information Protection má název AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@<tenant_name.onmicrosoft.com>. Například tato skupina může pro Contoso vypadat takto: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com. Tato skupina obsahuje všechny uživatele z vašeho tenanta Microsoft Entra.

Když spravujete šablony a popisky na webu Azure Portal, zobrazí se tato skupina jako název domény vašeho tenanta v MICROSOFT Entra ID. Tato skupina může například vypadat takto: contoso.onmicrosoft.com. Pokud chcete přidat tuto skupinu, zobrazí se možnost Přidat <název> organizace – Všichni členové.

Pokud si nejste jistí, jestli vaše šablony SLUŽBY AD RMS obsahují skupinu ANYONE, můžete tyto šablony identifikovat pomocí následujícího ukázkového skriptu Prostředí Windows PowerShell. Další informace o používání Prostředí Windows PowerShell se službou AD RMS naleznete v tématu Použití prostředí Windows PowerShell k Správa ister AD RMS.

Když tyto šablony převedete na popisky na webu Azure Portal, můžete do šablon snadno přidávat externí uživatele. Potom v podokně Přidat oprávnění zvolte Zadat podrobnosti a zadejte e-mailové adresy pro tyto uživatele ručně.

Další informace o této konfiguraci naleznete v tématu Postup konfigurace popisku pro ochranu Rights Management.

Ukázkový skript Windows PowerShellu pro identifikaci šablon AD RMS, které zahrnují skupinu ANYONE

Tato část obsahuje ukázkový skript, který vám pomůže identifikovat všechny šablony služby AD RMS, které mají definovanou skupinu ANYONE, jak je popsáno v předchozí části.

Právní omezení: Tento ukázkový skript není podporován v žádném standardním programu nebo službě podpory společnosti Microsoft. Tento ukázkový skript je poskytován tak, jak je, bez jakékoli záruky.

import-module adrmsadmin

New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost -Force

$ListofTemplates=dir MyRmsAdmin:\RightsPolicyTemplate

foreach($Template in $ListofTemplates)
{
                $templateID=$Template.id

                $rights = dir MyRmsAdmin:\RightsPolicyTemplate\$Templateid\userright

     $templateName=$Template.DefaultDisplayName

        if ($rights.usergroupname -eq "anyone")

                         {
                           $templateName = $Template.defaultdisplayname

                           write-host "Template " -NoNewline

                           write-host -NoNewline $templateName -ForegroundColor Red

                           write-host " contains rights for " -NoNewline

                           write-host ANYONE  -ForegroundColor Red
                         }
 }
Remove-PSDrive MyRmsAdmin -force

Další kroky

Přejděte do fáze 3 – konfigurace na straně klienta.