Fáze 2 migrace – konfigurace pro službu AD RMS na straně serveruMigration phase 2 - server-side configuration for AD RMS

*Platí pro: služba AD RMS (Active Directory Rights Management Services), Azure Information Protection, Office 365**Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365*

*Relevantní pro: AIP s jednotným označením klienta a klasického klienta**Relevant for: AIP unified labeling client and classic client*

Poznámka

Pro zajištění jednotného a zjednodušeného prostředí pro zákazníky se Azure Information Protection klasický klient a Správa štítků na portálu Azure Portal od 31. března 2021.To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. I když klasický klient nadále funguje tak, jak je nakonfigurován, není k dispozici žádná další podpora a verze údržby již nebudou pro klasického klienta uvolněny.While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

Doporučujeme migrovat na jednotné označování a upgradovat na klienta jednotného označování.We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Další informace najdete na našem nedávný blogo vyřazení.Learn more in our recent deprecation blog.

Pro fázi 2 migrace ze služby AD RMS na službu Azure Information Protection použijte následující informace.Use the following information for Phase 2 of migrating from AD RMS to Azure Information Protection. Tyto postupy pokrývají kroky 4 až 6 z tématu Migrace z AD RMS na Azure Information Protection.These procedures cover steps 4 though 6 from Migrating from AD RMS to Azure Information Protection.

Krok 4:Step 4. Export údajů o konfiguraci ze služby AD RMS a jejich import do Azure Information ProtectionExport configuration data from AD RMS and import it to Azure Information Protection

Tento krok má dvě části:This step is a two-part process:

  1. Exportujte konfigurační data ze služby AD RMS tak, že vyexportujete důvěryhodné domény publikování (TPD) do souboru s příponou .xml.Export the configuration data from AD RMS by exporting the trusted publishing domains (TPDs) to an .xml file. Tento proces je pro všechny migrace stejný.This process is the same for all migrations.

  2. Import konfiguračních dat do Azure Information Protection.Import the configuration data to Azure Information Protection. Pro tento krok jsou různé procesy podle konfigurace vašeho aktuální ho nasazení AD RMS a podle preferované topologie pro váš klíč klienta Azure RMS.There are different processes for this step, depending on your current AD RMS deployment configuration and your preferred topology for your Azure RMS tenant key.

Vyexportujte konfigurační data z AD RMS.Export the configuration data from AD RMS

Tento postup proveďte na všech clusterech AD RMS pro všechny důvěryhodné domény publikování, které mají chráněný obsah vaší organizace.Do the following procedure on all AD RMS clusters, for all trusted publishing domains that have protected content for your organization. Na clusterech jen pro licence nemusíte tuto proceduru spouštět.You do not need to run this procedure on licensing-only clusters.

Export konfiguračních dat (informací o důvěryhodných doménách publikování)To export the configuration data (trusted publishing domain information)

  1. Přihlaste se do clusteru AD RMS jako uživatel s oprávněním správce AD RMS.Log on the AD RMS cluster as a user with AD RMS administration permissions.

  2. V konzole pro správu služby AD RMS (Active Directory Rights Management Services) rozbalte název clusteru AD RMS, rozbalte položku Zásady důvěryhodnosti a potom klikněte na Důvěryhodné domény publikování.From the AD RMS management console (Active Directory Rights Management Services), expand the AD RMS cluster name, expand Trust Policies, and then click Trusted Publishing Domains.

  3. V podokně výsledků vyberte důvěryhodnou doménu publikování, a potom v podokně Akce klikněte na Exportovat důvěryhodnou doménu publikování.In the results pane, select the trusted publishing domain, and then, from the Actions pane, click Export Trusted Publishing Domain.

  4. V dialogovém okně Exportovat důvěryhodnou doménu publikování:In the Export Trusted Publishing Domain dialog box:

    • Klikněte na Uložit jako a uložte ji do složky a souboru podle svého výběru.Click Save As and save to path and a file name of your choice. Nezapomeňte jako příponu souboru vybrat .xml (to je potřeba udělat ručně).Make sure to specify .xml as the file name extension (this is not appended automatically).

    • Zadejte a potvrďte spolehlivé heslo.Specify and confirm a strong password. Zapamatujte si ho, protože ho budete potřebovat později při importu konfiguračních dat do Azure Information Protection.Remember this password, because you will need it later, when you import the configuration data to Azure Information Protection.

    • Neoznačujte zaškrtávací políčko pro uložení souboru důvěryhodné domény v RMS verze 1.0.Do not select the checkbox to save the trusted domain file in RMS version 1.0.

Když vyexportujete všechny důvěryhodné domény publikování, jste připraveni zahájit postup importu těchto dat do Azure Information Protection.When you have exported all the trusted publishing domains, you're ready to start the procedure to import this data to Azure Information Protection.

Chtěli bychom upozornit, že důvěryhodné domény publikování zahrnují klíče serverového certifikátu pro vystavování licencí (SLC) k dešifrování dříve chráněných souborů, takže je důležité, abyste exportovali (a později do Azure importovali) všechny důvěryhodné domény publikování a ne jenom tu, která je aktuálně aktivní.Note that the trusted publishing domains include the Server Licensor Certificate (SLC) keys to decrypt previously protected files, so it's important that you export (and later import into Azure) all the trusted publishing domains and not just the currently active one.

Pokud jste si například upgradovali servery služby AD RMS z kryptografického režimu 1 na kryptografický režim 2, budete mít více důvěryhodných domén publikování.For example, you will have multiple trusted publishing domains if you upgraded your AD RMS servers from Cryptographic Mode 1 to Cryptographic Mode 2. Pokud neexportujete a neimportujete důvěryhodnou doménu publikování, která obsahuje váš archivovaný klíč, který použil kryptografický režim 1, nebudou moct uživatelé na konci migrace otevřít obsah, který byl chráněn pomocí klíče kryptografického režimu 1.If you do not export and import the trusted publishing domain that contains your archived key that used Cryptographic Mode 1, at the end of the migration, users will not be able to open content that was protected with the Cryptographic Mode 1 key.

Import konfiguračních dat do Azure Information ProtectionImport the configuration data to Azure Information Protection

Přesný postup pro tento krok závisí na konfiguraci vašeho aktuální ho nasazení AD RMS a podle preferované topologie pro váš klíč tenanta Azure Information Protection.The exact procedures for this step depend on your current AD RMS deployment configuration, and your preferred topology for your Azure Information Protection tenant key.

Vaše aktuální nasazení služby AD RMS používá jednu z těchto konfigurací pro klíč pro serverový certifikát pro vystavování licencí (SLC):Your current AD RMS deployment is using one of the following configurations for your server licensor certificate (SLC) key:

  • Ochrana heslem v databázi AD RMS.Password protection in the AD RMS database. Toto je výchozí konfigurace.This is the default configuration.

  • Ochrana HSM pomocí modulu hardwarového zabezpečení podpůrný software nCipher (HSM).HSM protection by using a nCipher hardware security module (HSM).

  • Ochrana HSM pomocí modulu hardwarového zabezpečení (HSM) od jiného dodavatele než podpůrný software nCipher.HSM protection by using a hardware security module (HSM) from a supplier other than nCipher.

  • Ochrana heslem s pomocí externího zprostředkovatele kryptografických služeb.Password protected by using an external cryptographic provider.

Poznámka

Další informace o používání modulů hardwarového zabezpečení s AD RMS najdete v tématu Použití AD RMS s moduly hardwarového zabezpečení.For more information about using hardware security modules with AD RMS, see Using AD RMS with Hardware Security Modules.

Jsou dvě možné topologie klíče tenanta Azure Information Protection: Klíč tenanta spravuje Microsoft (spravované Microsoftem) nebo si ho spravujete sami (spravované zákazníkem) ve službě Azure Key Vault.The two Azure Information Protection tenant key topology options are: Microsoft manages your tenant key (Microsoft-managed) or you manage your tenant key (customer-managed) in Azure Key Vault. Když spravujete vlastní klíč tenanta Azure Information Protection, někdy se označuje jako "Přineste si vlastní klíč" (BYOK).When you manage your own Azure Information Protection tenant key, it's sometimes referred to as "bring your own key" (BYOK). Další informace najdete v článku Plánování a implementace klíče tenanta služby Azure Information Protection.For more information, see Planning and implementing your Azure Information Protection tenant key article.

Podle této tabulky určete, podle kterého postupu se má provést migrace.Use the following table to identify which procedure to use for your migration.

Aktuální nasazení služby AD RMSCurrent AD RMS deployment Vybraná topologie klíče tenanta služby Azure Information ProtectionChosen Azure Information Protection tenant key topology Pokyny pro migraciMigration instructions
Ochrana heslem v databázi AD RMSPassword protection in the AD RMS database Spravované společností MicrosoftMicrosoft-managed Podívejte se na postup migrace klíče chráněného softwarem na klíč chráněný softwarem za touto tabulkou.See the Software-protected key to software-protected key migration procedure after this table.

Je to ten nejjednodušší způsob migrace, ve kterém je nutné jenom převést konfigurační data do Azure Information Protection.This is the simplest migration path and requires only that you transfer your configuration data to Azure Information Protection.
Ochrana HSM pomocí modulu hardwarového zabezpečení podpůrný software nCipher hardwarového nShield (HSM)HSM protection by using a nCipher nShield hardware security module (HSM) Spravované zákazníkem (BYOK)Customer-managed (BYOK) Podívejte se na postup Migrace klíče chráněného HSM na klíč chráněný HSM za touto tabulkou.See the HSM-protected key to HSM-protected key migration procedure after this table.

K tomu je potřeba sada nástrojů pro BYOK služby Azure Key Vault a tři postupy – přenos klíče z místního modulu HSM do modulů HSM služby Azure Key Vault, následná autorizace služby Azure Rights Management ze služby Azure Information Protection k použití příslušného klíče tenanta a nakonec přenos konfiguračních dat do Azure Information Protection.This requires the Azure Key Vault BYOK toolset and three sets of steps to first transfer the key from your on-premises HSM to the Azure Key Vault HSMs, then authorize the Azure Rights Management service from Azure Information Protection to use your tenant key, and finally to transfer your configuration data to Azure Information Protection.
Ochrana heslem v databázi AD RMSPassword protection in the AD RMS database Spravované zákazníkem (BYOK)Customer-managed (BYOK) Podívejte se na postup migrace klíče chráněného softwarem na klíč chráněný HSM za touto tabulkou.See the Software-protected key to HSM-protected key migration procedure after this table.

K tomu je potřeba sada nástrojů pro BYOK služby Azure Key Vault a čtyři postupné kroky – extrakce vašeho softwarového klíče a jeho import do místního modulu HSM, následný přenos klíče z místního modulu HSM do modulů HSM služby Azure Information Protection, přenos dat ze služby Key Vault do Azure Information Protection a nakonec přenos konfiguračních dat do Azure Information Protection.This requires the Azure Key Vault BYOK toolset and four sets of steps to first extract your software key and import it to an on-premises HSM, then transfer the key from your on-premises HSM to the Azure Information Protection HSMs, next transfer your Key Vault data to Azure Information Protection, and finally to transfer your configuration data to Azure Information Protection.
Ochrana HSM pomocí modulu hardwarového zabezpečení (HSM) od jiného dodavatele než podpůrný software nCipherHSM protection by using a hardware security module (HSM) from a supplier other than nCipher Spravované zákazníkem (BYOK)Customer-managed (BYOK) Pokyny, jak přenést klíč z tohoto HSM do modulu hardwarového zabezpečení (HSM) podpůrný software nCipher hardwarového nShield, získáte od dodavatele nástroje HSM.Contact the supplier for your HSM for instructions how to transfer your key from this HSM to a nCipher nShield hardware security module (HSM). Potom postupujte podle pokynů pro migraci klíče chráněného HSM na klíč chráněný HSM za touto tabulkou.Then follow the instructions for the HSM-protected key to HSM-protected key migration procedure after this table.
Ochrana heslem s pomocí externího zprostředkovatele kryptografických služebPassword protected by using an external cryptographic provider Spravované zákazníkem (BYOK)Customer-managed (BYOK) Pokyny, jak přenést klíč do modulu hardwarového zabezpečení podpůrný software nCipher hardwarového nShield (HSM), získáte od dodavatele vašeho zprostředkovatele kryptografických služeb.Contact the supplier for your cryptographic provider for instructions how to transfer your key to a nCipher nShield hardware security module (HSM). Potom postupujte podle pokynů pro migraci klíče chráněného HSM na klíč chráněný HSM za touto tabulkou.Then follow the instructions for the HSM-protected key to HSM-protected key migration procedure after this table.

Pokud máte klíč chráněný HSM, který nejde exportovat, můžete stále migrovat na Azure Information Protection nakonfigurováním clusteru služby AD RMS na režim jen pro čtení.If you have an HSM-protected key that you cannot export, you can still migrate to Azure Information Protection by configuring your AD RMS cluster for a read-only mode. V tomto režimu jde dříve chráněný obsah stále otevřít, ale nově chráněný obsah používá nový klíč tenanta, který je spravován vámi (BYOK) nebo Microsoftem.In this mode, previously protected content can still be opened but newly protected content uses a new tenant key that is managed by you (BYOK) or managed by Microsoft. Další informace najdete v článku o dostupné aktualizaci pro Office, která umožňuje podporu migrací z AD RMS na Azure RMS.For more information, see An update is available for Office to support migrations from AD RMS to Azure RMS.

Než začnete s těmito postupy migrace klíčů, ujistěte se, že máte přístup k souborům .xml, které jste předtím vytvořili při exportu důvěryhodných domén publikování.Before you start these key migration procedures, make sure that you can access the .xml files that you created earlier when you exported the trusted publishing domains. Můžete je například uložit na USB flash disk, který přesunete ze serveru služby AD RMS na pracovní stanici připojené k Internetu.For example, these might be saved to a USB thumb drive that you move from the AD RMS server to the internet-connected workstation.

Poznámka

Ať už tyto soubory uložíte kamkoli, chraňte je, jak nejlépe můžete, protože tato data obsahují i váš privátní klíč.However you store these files, use security best practices to protect them because this data includes your private key.

K dokončení kroku 4 zvolte a vyberte pokyny pro vaši cestu migrace:To complete Step 4, choose and select the instructions for your migration path:

Krok 5.Step 5. Aktivace služby Azure Rights ManagementActivate the Azure Rights Management service

Otevřete relaci PowerShellu a spusťte následující příkazy:Open a PowerShell session and run the following commands:

  1. Připojte se ke službě Azure Rights Management a po zobrazení výzvy zadejte přihlašovací údaje globálního správce:Connect to the Azure Rights Management service and when prompted, specify your global admin credentials:

    Connect-AipService
    
  2. Aktivujte službu Azure Rights Management:Activate the Azure Rights Management service:

    Enable-AipService
    

Co když už je tenant služby Azure Information Protection aktivní?What if your Azure Information Protection tenant is already activated? Pokud je služba Azure Rights Management už pro vaši organizaci aktivovaná a Vy jste vytvořili vlastní šablony, které chcete po migraci použít, musíte tyto šablony exportovat a importovat.If the Azure Rights Management service is already activated for your organization, and you have created custom templates that you want to use after the migration, you must export and import these templates. Tento postup je popsaný v dalším kroku.This procedure is covered in the next step.

Krok 6.Step 6. Konfigurace importovaných šablonConfigure imported templates

Protože importované šablony mají výchozí stav Archivované, musíte ho změnit na Publikované, aby uživatelé mohli tyto šablony používat se službou Azure Rights Management.Because the templates that you imported have a default state of Archived, you must change this state to be Published if you want users to be able to use these templates with the Azure Rights Management service.

Šablony, které importujete ze služby AD RMS, vypadají a chovají se stejně jako vlastní šablony, které můžete vytvořit v Azure Portal.Templates that you import from AD RMS look and behave just like custom templates that you can create in the Azure portal. Postup změny importovaných šablon, které se mají publikovat, aby je uživatelé mohli zobrazit a vybírat z aplikací, najdete v tématu Konfigurace a Správa šablon pro Azure Information Protection.To change imported templates to be published so that users can see them and select them from applications, see Configuring and managing templates for Azure Information Protection.

Kromě publikování nově importovaných šablon jsou pro šablony ještě dvě důležité změny, které pravděpodobně budete chtít udělat dřív, než budete v migraci pokračovat.In addition to publishing your newly imported templates, there are just two important changes for the templates that you might need to make before you continue with the migration. Pokud chcete, aby byl proces migrace pro uživatele co nejhladší, nedělejte v tuto chvíli v importovaných šablonách další změny, nepublikujte dvě výchozí šablony, které jsou součástí Azure Information Protection, a nevytvářejte nové šablony.For a more consistent experience for users during the migration process, do not make additional changes to the imported templates and do not publish the two default templates that come with Azure Information Protection, or create new templates at this time. Místo toho počkejte na dokončení procesu migrace a zrušení serverů AD RMS.Instead, wait until the migration process is complete and you have deprovisioned the AD RMS servers.

Změny šablon, které možná budete muset udělat pro tento krok:The template changes that you might need to make for this step:

  • Pokud jste před migrací vytvořili vlastní šablony Azure Information Protection, musíte je ručně vyexportovat a naimportovat.If you created Azure Information Protection custom templates before the migration, you must manually export and import them.

  • Pokud vaše šablony v AD RMS používaly skupinu kohokoli , možná budete muset ručně přidat uživatele nebo skupiny.If your templates in AD RMS used the ANYONE group, you might need to manually add users or groups.

    V rámci služby AD RMS Tato skupina nemá oprávnění pro všechny uživatele ověřené vaší místní službou Active Directory a tato skupina není Azure Information Protection podporována.In AD RMS, the ANYONE group granted rights to all users authenticated by your on-premises Active Directory, and this group is not supported by Azure Information Protection. Ekvivalentní skříň je skupina, která se automaticky vytvoří pro všechny uživatele ve vašem tenantovi Azure AD.The closet equivalent is a group that's automatically created for all users in your Azure AD tenant. Pokud jste pro šablony služby AD RMS používali skupinu KOHOKOLI, možná budete muset přidat uživatele a práva, která jim chcete udělit.If you were using the ANYONE group for your AD RMS templates, you might need to add users and the rights that you want to grant them.

Postup, pokud jste vlastní šablony vytvořili před migracíProcedure if you created custom templates before the migration

Pokud jste vlastní šablony vytvořili před migrací, ať už před aktivací služby Azure Rights Management nebo po ní, nebudou po migraci pro uživatele dostupné, a to ani v případě, že byly nastavené jako Publikované.If you created custom templates before the migration, either before or after activating the Azure Rights Management service, templates will not be available to users after the migration, even if they were set to Published. Pokud je chcete uživatelům zpřístupnit, musíte nejdřív:To make them available to users, you must first do the following:

  1. Identifikujte tyto šablony a poznamenejte si ID jejich šablony spuštěním Get-AipServiceTemplate.Identify these templates and make a note of their template ID, by running the Get-AipServiceTemplate.

  2. Exportujte šablony pomocí rutiny Azure RMS PowerShellu Export-AipServiceTemplate.Export the templates by using the Azure RMS PowerShell cmdlet, Export-AipServiceTemplate.

  3. Importujte šablony pomocí rutiny Azure RMS PowerShellu Import-AipServiceTemplate.Import the templates by using the Azure RMS PowerShell cmdlet, Import-AipServiceTemplate.

Tyto šablony potom můžete publikovat nebo archivovat stejným způsobem jako libovolné jiné šablony, které jste vytvořili po migraci.You can then publish or archive these templates as you would any other template that you create after the migration.

Postup, pokud vaše šablony v AD RMS používaly skupinu ANYONEProcedure if your templates in AD RMS used the ANYONE group

Pokud vaše šablony v AD RMS používaly skupinu kohokoli , nejbližší odpovídající skupina ve Azure Information Protection má název AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@ <tenant_name> . onmicrosoft.com.If your templates in AD RMS used the ANYONE group, the closest equivalent group in Azure Information Protection is named AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@<tenant_name>.onmicrosoft.com. Například tato skupina může pro společnost Contoso vypadat jako u následujících: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com .For example, this group might look like the following for Contoso: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com. Tato skupina obsahuje všechny uživatele z vašeho tenanta Azure AD.This group contains all users from your Azure AD tenant.

Když spravujete šablony a popisky v Azure Portal, tato skupina se zobrazí jako název domény vašeho tenanta ve službě Azure AD.When you manage templates and labels in the Azure portal, this group displays as your tenant's domain name in Azure AD. Tato skupina může například vypadat jako u contoso: contoso.onmicrosoft.com.For example, this group might look like the following for Contoso: contoso.onmicrosoft.com. Chcete-li přidat tuto skupinu, zobrazí možnost Přidat <organization name> všechny členy.To add this group, the option displays Add <organization name> - All members.

Pokud si nejste jisti, jestli vaše šablony služby AD RMS zahrnují skupinu ANYONE, můžete tyto šablony identifikovat pomocí následujícího ukázkového skriptu Windows PowerShellu.If you're not sure whether your AD RMS templates include the ANYONE group, you can use the following sample Windows PowerShell script to identify these templates. Další informace o používání prostředí Windows PowerShell se službou AD RMS najdete v tématu Správa služby AD RMS pomocí prostředí Windows PowerShell.For more information about using Windows PowerShell with AD RMS, see Using Windows PowerShell to Administer AD RMS.

Při převodu těchto šablon na popisky v Azure Portal můžete snadno přidat externí uživatele do šablon.You can easily add external users to templates when you convert these templates to labels in the Azure portal. Pak v podokně Přidat oprávnění zvolte zadat podrobnosti a ručně zadejte e-mailové adresy pro tyto uživatele.Then, on the Add permissions pane, choose Enter details to manually specify the email addresses for these users.

Další informace o této konfiguraci najdete v tématu Konfigurace popisku pro Rights Management ochranu.For more information about this configuration, see How to configure a label for Rights Management protection.

Ukázkový skript Windows PowerShellu pro identifikaci šablon AD RMS, které obsahují skupinu ANYONESample Windows PowerShell script to identify AD RMS templates that include the ANYONE group

Tato část obsahuje ukázkový skript, který vám usnadní identifikaci všech šablon služby AD RMS, které mají definovanou skupinu uživatelů, jak je popsáno v předchozí části.This section contains the sample script to help you identify any AD RMS templates that have the ANYONE group defined, as described in the preceding section.

Právní omezení: Tento ukázkový skript není podporován v rámci žádného programu nebo služby podpory společnosti Microsoft.Disclaimer: This sample script is not supported under any Microsoft standard support program or service. Tento vzorový skript je poskytován TAK, JAK JE, bez jakékoli záruky.This sample script is provided AS IS without warranty of any kind.

import-module adrmsadmin

New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost -Force

$ListofTemplates=dir MyRmsAdmin:\RightsPolicyTemplate

foreach($Template in $ListofTemplates)
{
                $templateID=$Template.id

                $rights = dir MyRmsAdmin:\RightsPolicyTemplate\$Templateid\userright

     $templateName=$Template.DefaultDisplayName

        if ($rights.usergroupname -eq "anyone")

                         {
                           $templateName = $Template.defaultdisplayname

                           write-host "Template " -NoNewline

                           write-host -NoNewline $templateName -ForegroundColor Red

                           write-host " contains rights for " -NoNewline

                           write-host ANYONE  -ForegroundColor Red
                         }
 }
Remove-PSDrive MyRmsAdmin -force

Další krokyNext steps

Přejděte k fázi 3 – konfigurace na straně klienta.Go to phase 3 - client-side configuration.