Fáze 5 migrace – úkoly po migraciMigration phase 5 - post migration tasks

*Platí pro: služba AD RMS (Active Directory Rights Management Services), Azure Information Protection, Office 365**Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365*

*Relevantní pro: AIP s jednotným označením klienta a klasického klienta**Relevant for: AIP unified labeling client and classic client*

Poznámka

Pro zajištění jednotného a zjednodušeného prostředí pro zákazníky se Azure Information Protection klasický klient a Správa štítků na portálu Azure Portal od 31. března 2021.To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. I když klasický klient nadále funguje tak, jak je nakonfigurován, není k dispozici žádná další podpora a verze údržby již nebudou pro klasického klienta uvolněny.While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

Doporučujeme migrovat na jednotné označování a upgradovat na klienta jednotného označování.We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Další informace najdete na našem nedávný blogo vyřazení.Learn more in our recent deprecation blog.

Pro fázi 5 migrace ze služby AD RMS na službu Azure Information Protection použijte následující informace.Use the following information for Phase 5 of migrating from AD RMS to Azure Information Protection. Tyto postupy pokrývají kroky 10 až 12 z tématu Migrace z AD RMS na Azure Information Protection.These procedures cover steps 10 through 12 from Migrating from AD RMS to Azure Information Protection.

Krok 10.Step 10. Zrušení zřízení služby AD RMSDeprovision AD RMS

Odeberte bod připojení služby (SCP) ze služby Active Directory, aby počítače nemohly zjišťovat vaši místní infrastrukturu služby Rights Management.Remove the Service Connection Point (SCP) from Active Directory to prevent computers from discovering your on-premises Rights Management infrastructure. To je volitelné pro existující klienty, které jste migrovali – kvůli přesměrování, které jste nakonfigurovali v registru (například pomocí skriptu pro migraci).This is optional for the existing clients that you migrated because of the redirection that you configured in the registry (for example, by running the migration script). Odebrání spojovacího bodu služby se ale zabrání novým klientům a službám a nástrojům souvisejícím s RMS najít SCP při dokončení migrace.However, removing the SCP prevents new clients and potentially RMS-related services and tools from finding the SCP when the migration is complete. V tomto okamžiku by měla všechna připojení počítačů přejít do služby Azure Rights Management.At this point, all computer connections should go to the Azure Rights Management service.

Pokud chcete bod připojení služby odebrat, zkontrolujte, že jste přihlášení jako firemní správce domény, a potom postupujte takto:To remove the SCP, make sure that you are logged in as a domain enterprise administrator, and then use the following procedure:

  1. V konzole Active Directory Rights Management Services klikněte pravým tlačítkem myši na cluster AD RMS a potom klikněte na Vlastnosti.In the Active Directory Rights Management Services console, right-click the AD RMS cluster, and then click Properties.

  2. Klikněte na kartu Spojovací bod služby.Click the SCP tab.

  3. Vyberte zaškrtávací políčko Změnit spojovací bod služby.Select the Change SCP check box.

  4. Vyberte Odebrat aktuální spojovací bod služby a pak klikněte na OK.Select Remove Current SCP, and then click OK.

Teď sledujte aktivitu serverů AD RMS.Now monitor your AD RMS servers for activity. Můžete například ověřit požadavky v sestavě stav systému, v tabulce ServiceRequest nebo Auditovat přístup uživatelů k chráněnému obsahu.For example, check the requests in the System Health report, the ServiceRequest table or audit user access to protected content.

Až se ujistíte, že klienti RMS už s těmito servery nekomunikují a že klienti úspěšně používají Azure Information Protection, můžete ze serverů odebrat roli serveru AD RMS.When you have confirmed that RMS clients are no longer communicating with these servers and that clients are successfully using Azure Information Protection, you can remove the AD RMS server role from these servers. Pokud používáte vyhrazené servery, můžete preferovat postupovat opatrněji krok prvního vypnutí serverů po určitou dobu.If you're using dedicated servers, you might prefer the cautionary step of first shutting down the servers for a period of time. Získáte tak čas, abyste se ujistili, že neexistují žádné nahlášené problémy, které by mohly vyžadovat, abyste tyto servery restartovali kvůli kontinuitě služeb a prozkoumali, proč klienti nepoužívají Azure Information Protection.This gives you time to make sure that there are no reported problems that might require you to restart these servers for service continuity while you investigate why clients are not using Azure Information Protection.

Až Jo naváže vaše servery AD RMS, můžete chtít zkontrolovat šablonu a štítky.After yo have de-provisioned your AD RMS servers, you might want to take the opportunity to review your template and labels. Například převod šablon na popisky, jejich konsolidace, aby uživatelé měli méně, než si zvolí, nebo je překonfigurujte.For example, convert templates to labels, consolidate them so that users have fewer to choose from, or reconfigure them. To je také dobrý čas pro publikování výchozích šablon.This would also be a good time to publish default templates.

Pro popisky citlivosti a klienta jednotného označování použijte centrum pro správu označování, včetně služby Microsoft 365 Security Center, Microsoft 365ho centra dodržování předpisů nebo Microsoft 365 Security & Security Center.For sensitivity labels and the unified labeling client, use your labeling admin center, including the Microsoft 365 security center, Microsoft 365 compliance center, or the Microsoft 365 Security & Compliance Center. Další informace najdete v dokumentaci k Microsoft 365.For more information, see the Microsoft 365 documentation.

Pokud používáte klasického klienta, použijte Azure Portal.If you're using the classic client, use the Azure portal. Další informace najdete v tématu Konfigurace a Správa šablon pro Azure Information Protection.For more information, see Configuring and managing templates for Azure Information Protection.

Důležité

Na konci této migrace se cluster služby AD RMS nedá použít s Azure Information Protection a možnost držíte vlastní klíč (HYOK).At the end of this migration, your AD RMS cluster cannot be used with Azure Information Protection and the hold your own key (HYOK) option.

Pokud používáte klasického klienta se službou HYOK, protože se teď nacházejí přesměrování, cluster služby AD RMS, který použijete, musí mít v clusterech, které jste migrovali, jiné licenční adresy URL.If you are using the classic client with HYOK, because of the redirections that are now in place, the AD RMS cluster that you use must have different licensing URLs to the ones in the clusters that you migrated.

Další konfigurace pro počítače se systémem Office 2010Additional configuration for computers that run Office 2010

Důležité

Rozšířená podpora Office 2010 skončila 13. října 2020.Office 2010 extended support ended on October 13, 2020. Další informace najdete v tématu AIP a starší verze systému Windows a sady Office.For more information, see AIP and legacy Windows and Office versions.

Pokud se u migrovaných klientů spouští Office 2010, můžou uživatelé po zrušení zřízení serverů AD RMS zaznamenat prodlevy při otevírání chráněného obsahu.If migrated clients run Office 2010, users might experience delays in opening protected content after our AD RMS servers are de-provisioned. Nebo se uživatelům mohou zobrazovat zprávy, že nemají pověření k otevření chráněného obsahu.Or, users might see messages that they don't have credentials to open protected content. Chcete-li tyto problémy vyřešit, vytvořte přesměrování sítě pro tyto počítače, které přesměruje plně kvalifikovaný název domény adresy URL služby AD RMS na místní IP adresu počítače (127.0.0.1).To resolve these problems, create a network redirection for these computers, which redirects the AD RMS URL FQDN to the local IP address of the computer (127.0.0.1). To můžete provést tak, že nakonfigurujete místní soubor hostitelů na každém počítači nebo pomocí DNS.You can do this by configuring the local hosts file on each computer, or by using DNS.

  • Přesměrování přes místní soubor hostitelů: přidejte následující řádek do souboru Local Hosts a nahraďte <AD RMS URL FQDN> hodnotu pro svůj cluster AD RMS bez prefixů nebo webových stránek:Redirection via local hosts file: Add the following line in the local hosts file, replacing <AD RMS URL FQDN> with the value for your AD RMS cluster, without prefixes or web pages:

    127.0.0.1 <AD RMS URL FQDN>
    
  • Přesměrování přes DNS: vytvořte nový záznam hostitele (a) pro plně kvalifikovaný název domény adresy URL služby AD RMS, který má IP adresu 127.0.0.1.Redirection via DNS: Create a new host (A) record for your AD RMS URL FQDN, which has the IP address of 127.0.0.1.

Krok 11.Step 11. Dokončit úlohy migrace klientůComplete client migration tasks

Pro klienty mobilních zařízení a počítače Mac: Odeberte záznamy SRV služby DNS, které jste vytvořili při nasazení rozšíření služby AD RMS pro mobilní zařízení.For mobile device clients and Mac computers: Remove the DNS SRV records that you created when you deployed the AD RMS mobile device extension.

Po rozšíření těchto změn DNS budou tito klienti automaticky zjišťovat a spouštět službu Azure Rights Management.When these DNS changes have propagated, these clients will automatically discover and start to use the Azure Rights Management service. Počítače Mac, na kterých běží Office Mac cache, ale informace ze služby AD RMS.However, Mac computers that run Office Mac cache the information from AD RMS. Pro tyto počítače může tento proces trvat až 30 dnů.For these computers, this process can take up to 30 days.

Pokud chcete vynutit, aby počítače Mac spouštěly proces zjišťování okamžitě, vyhledejte v řetězci klíčů "ADAL" a odstraňte všechny položky ADAL.To force Mac computers to run the discovery process immediately, in the keychain, search for "adal" and delete all ADAL entries. Pak na těchto počítačích spusťte následující příkazy:Then, run the following commands on these computers:


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

Pokud jste všechny stávající počítače s Windows migrovali na Azure Information Protection, neexistuje žádný důvod, proč nadále používat ovládací prvky připojování a udržovat skupinu AIPMigrated , kterou jste vytvořili pro proces migrace.When all your existing Windows computers have migrated to Azure Information Protection, there's no reason to continue to use onboarding controls and maintain the AIPMigrated group that you created for the migration process.

Nejdřív odeberte ovládací prvky pro zprovoznění a pak můžete odstranit skupinu AIPMigrated a všechny metody nasazení softwaru, které jste vytvořili pro nasazení migračních skriptů.Remove the onboarding controls first, and then you can delete the AIPMigrated group and any software deployment method that you created to deploy the migration scripts.

Odebrání ovládacích prvků postupného zprovoznění:To remove the onboarding controls:

  1. V powershellové relaci se připojte ke službě Azure Rights Management a po zobrazení výzvy zadejte přihlašovací údaje globálního správce:In a PowerShell session, connect to the Azure Rights Management service and when prompted, specify your global admin credentials:

    Connect-AipService
    
    
  2. Run the following command, and enter Y to confirm:

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
    

    Všimněte si, že tento příkaz odebere veškerá vynucení licencí pro službu Azure Rights Management Protection, aby všechny počítače mohly chránit dokumenty a e-maily.Note that this command removes any license enforcement for the Azure Rights Management protection service, so that all computers can protect documents and emails.

  3. Ověřte, že ovládací prvky postupného zprovoznění už nejsou nastavené:Confirm that onboarding controls are no longer set:

    Get-AipServiceOnboardingControlPolicy
    

    Ve výstupním výpisu by License (Licence) měla být False (Nepravda) a pro SecurityGroupObjectId (Id_objektu_skupiny_zabezpečení) by se neměl zobrazit žádný identifikátor GUID.In the output, License should show False, and there is no GUID displayed for the SecurityGroupOjbectId

Nakonec, pokud používáte Office 2010 a v knihovně Plánovač úloh Windows jste povolili úlohu správy šablon zásad práv služby AD RMS (automatizovaná) , zakažte tuto úlohu, protože ji nepoužívá klient Azure Information Protection.Finally, if you are using Office 2010 and you have enabled the AD RMS Rights Policy Template Management (Automated) task in the Windows Task Scheduler library, disable this task because it is not used by the Azure Information Protection client.

Tato úloha je obvykle povolená pomocí zásad skupiny a podporuje nasazení služby AD RMS.This task is typically enabled by using group policy and supports an AD RMS deployment. Tuto úlohu najdete v následujícím umístění: Microsoft > Windows > Služba AD RMS (Active Directory Rights Management Services) Client.You can find this task in the following location: Microsoft > Windows > Active Directory Rights Management Services Client.

Důležité

Rozšířená podpora Office 2010 skončila 13. října 2020.Office 2010 extended support ended on October 13, 2020. Další informace najdete v tématu AIP a starší verze systému Windows a sady Office.For more information, see AIP and legacy Windows and Office versions.

Krok 12.Step 12. Opětovné vytvoření klíče tenanta Azure Information ProtectionRekey your Azure Information Protection tenant key

Tento krok je nutný, když se migrace dokončí, pokud nasazení služby AD RMS používá kryptografický režim 1, protože tento režim používá 1024 klíč a SHA-1.This step is required when migration is complete if your AD RMS deployment was using RMS Cryptographic Mode 1 because this mode uses a 1024-bit key and SHA-1. Tato konfigurace je považována za nabídnutí nedostatečné úrovně ochrany.This configuration is considered to offer an inadequate level of protection. Společnost Microsoft neschvaluje použití nižších délek klíčů, jako je 1024 klíčů RSA, a přidružených použití protokolů, které nabízí nedostatečné úrovně ochrany, jako je SHA-1.Microsoft doesn't endorse the use of lower key lengths such as 1024-bit RSA keys and the associated use of protocols that offer inadequate levels of protection, such as SHA-1.

Výsledkem opětovného vytvoření klíče je ochrana, která používá kryptografický režim služby RMS 2. Výsledkem je 2048 bitový klíč a SHA-256.Rekeying results in protection that uses RMS Cryptographic Mode 2, which results in a 2048-bit key and SHA-256.

I když nasazení služby AD RMS používalo kryptografický režim 2, přesto doporučujeme tento krok provést, protože nový klíč pomáhá chránit vašeho tenanta před potenciálním porušením zabezpečení klíče AD RMS.Even if your AD RMS deployment was using Cryptographic Mode 2, we still recommend you do this step because a new key helps to protect your tenant from potential security breaches to your AD RMS key.

Když provedete opětovné vytvoření klíče tenanta Azure Information Protection (označuje se také jako "klíč"), je aktuálně aktivní klíč archivován a Azure Information Protection začne používat jiný klíč, který zadáte.When you rekey your Azure Information Protection tenant key (also known as "rolling your key"), the currently active key is archived and Azure Information Protection starts to use a different key that you specify. Tento jiný klíč může být nový klíč, který vytvoříte v Azure Key Vault, nebo výchozí klíč, který byl automaticky vytvořen pro vašeho tenanta.This different key could be a new key that you create in Azure Key Vault, or the default key that was automatically created for your tenant.

Přechod z jednoho klíče na druhý se neprovádí okamžitě, ale během několika týdnů.Moving from one key to another doesn't happen immediately but over a few weeks. Vzhledem k tomu, že není okamžitý, počkejte, dokud nebudete mít podezření na narušení původní klávesy, ale proveďte tento krok hned po dokončení migrace.Because it's not immediate, do not wait until you suspect a breach to your original key but do this step as soon as the migration is complete.

Postup opětovného vytvoření klíče tenanta služby Azure Information Protection:To rekey your Azure Information Protection tenant key:

  • Pokud je váš klíč tenanta spravovaný Microsoftem: spusťte rutinu PowerShellu set-AipServiceKeyProperties a zadejte identifikátor klíče, který se automaticky vytvořil pro vašeho tenanta.If your tenant key is managed by Microsoft: Run the PowerShell cmdlet Set-AipServiceKeyProperties and specify the key identifier for the key that was automatically created for your tenant. Hodnotu, kterou určíte, můžete určit spuštěním rutiny Get-AipServiceKeys .You can identify the value to specify by running the Get-AipServiceKeys cmdlet. Klíč, který byl automaticky vytvořen pro vašeho tenanta, má datum nejstaršího vytvoření, takže ho můžete identifikovat pomocí následujícího příkazu:The key that was automatically created for your tenant has the oldest creation date, so you can identify it by using the following command:

    (Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
    
  • Pokud váš klíč tenanta spravujete sami (BYOK): v Azure Key Vault opakujte proces vytváření klíčů pro Azure Information Protection tenanta a pak znovu spusťte rutinu Use-AipServiceKeyVaultKey , abyste zadali identifikátor URI pro tento nový klíč.If your tenant key is managed by you (BYOK): In Azure Key Vault, repeat your key creation process for your Azure Information Protection tenant, and then run the Use-AipServiceKeyVaultKey cmdlet again to specify the URI for this new key.

Další informace o správě klíče tenanta Azure Information Protection najdete v tématu operace pro Azure Information Protection klíč tenanta.For more information about managing your Azure Information Protection tenant key, see Operations for your Azure Information Protection tenant key.

Další krokyNext steps

Teď, když jste dokončili migraci, si přečtěte plán nasazení AIP, kde najdete klasifikace, značení a ochranu a Identifikujte případné další úlohy nasazení, které možná budete muset udělat.Now that you have completed the migration, review the AIP deployment roadmap for classification, labeling, and protection to identify any other deployment tasks that you might need to do.