Fáze migrace 1 – příprava

Pro fázi 1 migrace ze služby AD RMS na Azure Information Protection použijte následující informace. Tyto postupy zahrnují kroky 1 až 3 z migrace z AD RMS na Azure Information Protection a přípravu prostředí na migraci bez jakéhokoli účinku na uživatele.

Krok 1: Instalace modulu AIPService PowerShell a identifikace adresy URL tenanta

Nainstalujte modul AIPService, abyste mohli nakonfigurovat a spravovat službu, která poskytuje ochranu dat pro Azure Information Protection.

Pokyny najdete v tématu Instalace modulu AIPService PowerShell.

Abyste mohli dokončit některé pokyny k migraci, potřebujete znát adresu URL služby Azure Rights Management pro vašeho tenanta, abyste ji mohli nahradit, když se zobrazí odkazy na <adresu URL> vašeho tenanta.

Adresa URL služby Azure Rights Management má následující formát: {GUID}.rms.[Oblast].aadrm.com. Příklad: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

Identifikace adresy URL služby Azure Rights Management

1. Připojení do služby Azure Rights Management a po zobrazení výzvy zadejte přihlašovací údaje pro globálního správce vašeho tenanta:

   Connect-AipService
   

2. Získejte konfiguraci tenanta:

   Get-AipServiceConfiguration
   

3. Zkopírujte hodnotu zobrazenou pro LicensingIntranetDistributionPointUrl a z tohoto řetězce odeberte /_wmcs\licensing.

   Co zůstává vaší adresou URL služby Azure Rights Management pro vašeho tenanta Azure Information Protection. Tato hodnota se často zkracuje na adresu URL vašeho tenanta v následujících pokynech k migraci.

   Správnou hodnotu můžete ověřit spuštěním následujícího příkazu PowerShellu:

   (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
   

Krok 2: Příprava na migraci klientů

U většiny migrací není praktické migrovat všechny klienty najednou. Pravděpodobně migrujete klienty v dávkách.

To znamená, že někteří klienti už nějakou dobu používají Azure Information Protection a někteří budou dál používat SLUŽBU AD RMS. Pokud chcete podporovat předem připravené i migrované uživatele, použijte ovládací prvky onboardingu a nasaďte skript předběžné migrace.

Poznámka:

Tento krok se vyžaduje během procesu migrace, aby uživatelé, kteří ještě nemigrovali, mohli využívat obsah chráněný migrovanými uživateli, kteří teď používají Azure Rights Management.

Příprava na migraci klientů

1. Vytvořte skupinu, například s názvem AIPMigrated. Tuto skupinu je možné vytvořit ve službě Active Directory a synchronizovat ji do cloudu nebo ji můžete vytvořit v Microsoftu 365 nebo Microsoft Entra ID.

   V tuto chvíli nepřiřazujte k této skupině žádné uživatele. V pozdějším kroku je při migraci uživatelů přidejte do skupiny.

2. Poznamenejte si ID objektu této skupiny pomocí jedné z následujících metod.

   • Použijte Microsoft Graph PowerShell. Použijte například příkaz Get-MgGroup .
   • Zkopírujte ID objektu skupiny z webu Azure Portal.

3. Nakonfigurujte tuto skupinu pro ovládací prvky onboardingu, aby k ochraně obsahu mohli používat Azure Rights Management jenom lidé v této skupině.

   Pokud chcete tuto konfiguraci provést, připojte se v relaci PowerShellu ke službě Azure Rights Management. Po zobrazení výzvy zadejte své přihlašovací údaje globálního správce.

   Connect-AipService
   

   Tuto skupinu nakonfigurujte pro ovládací prvky onboardingu a nahraďte ID objektu skupiny id objektu skupiny v tomto příkladu. Po zobrazení výzvy zadejte Y , abyste to potvrdili.

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
   

4. Stáhněte soubor Migration-Scripts.zip.

5. Extrahujte soubory a postupujte podle pokynů v Prepare-Client.cmd, aby obsahoval název serveru pro adresu URL licencování extranetu clusteru AD RMS. Chcete-li tento název najít, proveďte následující kroky.

   1. V konzole služba AD RMS (Active Directory Rights Management Services) vyberte název clusteru.

   2. V informacích Podrobnosti o clusteru zkopírujte název serveru z hodnoty Licencování z části Adresy URL extranetového clusteru. Příklad: rmscluster.contoso.com.

   Důležité

   Pokyny zahrnují nahrazení ukázkových adres adrms.contoso.com adresami serveru AD RMS.

   Když to uděláte, dávejte pozor, aby před nebo za adresami nebyly žádné další mezery. Nadbytečné mezery přeruší skript migrace a je velmi obtížné identifikovat jako hlavní příčinu problému.

   Některé nástroje pro úpravy automaticky přidávají mezeru po vložení textu.

6. Nasaďte tento skript do všech počítačů s Windows, abyste zajistili, že když začnete migrovat klienty, klienti, kteří se mají migrovat, budou dál komunikovat se službou AD RMS i v případě, že využívají obsah chráněný migrovanými klienty, kteří teď používají službu Azure Rights Management.

   K nasazení tohoto skriptu můžete použít zásady skupiny nebo jiný mechanismus nasazení softwaru.

Krok 3: Příprava nasazení Exchange na migraci

Pokud používáte místní Exchange nebo Exchange Online, možná jste dříve integrovali Exchange s nasazením služby AD RMS. V tomto kroku je nakonfigurujte tak, aby používaly existující konfiguraci AD RMS pro podporu obsahu chráněného službou Azure RMS.

Ujistěte se, že máte adresu URL služby Azure Rights Management pro vašeho tenanta , abyste tuto hodnotu <mohli nahradit hodnotou YourTenantURL> v následujících příkazech.

V závislosti na tom, jestli jste integrují místní Exchange nebo Exchange Online se službou AD RMS, udělejte jednu z těchto věcí:

• Integrovaný místní Exchange se službou AD RMS
• Integrovaný Exchange Online se službou AD RMS

Pokud jste integrovali Exchange Online se službou AD RMS

1. Otevřete relaci Prostředí PowerShell pro Exchange Online.

2. Spusťte následující příkazy PowerShellu buď jeden po druhém, nebo ve skriptu.

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -internallicensingenabled $true 
   

Pokud jste integrovali místní Exchange se službou AD RMS

Pro každou organizaci Exchange přidejte hodnoty registru na každém serveru Exchange a spusťte příkazy PowerShellu:

1. Pokud máte Exchange 2013 nebo Exchange 2016, přidejte následující hodnotu registru:

   • Cesta k registru: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Typ: Reg_SZ

   • Hodnota: https://\<Your Tenant URL\>/_wmcs/licensing

   • Data: https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

2. Spusťte následující příkazy PowerShellu, buď jeden po druhém, nebo ve skriptu:

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -RefreshServerCertificates
   Set-IRMConfiguration -internallicensingenabled $true
   IISReset
   

Pokud jste po spuštění těchto příkazů pro Exchange Online nebo Exchange místně nakonfigurovali nasazení Exchange tak, aby podporovalo obsah chráněný službou AD RMS, bude po migraci podporovat také obsah chráněný službou Azure RMS.

Vaše nasazení Exchange bude dál používat službu AD RMS k podpoře chráněného obsahu až do pozdějšího kroku migrace.

Další kroky

Přejděte do fáze 2 – konfigurace na straně serveru.