Fáze 2 migrace – konfigurace pro službu AD RMS na straně serveruMigration phase 2 - server-side configuration for AD RMS

Platí pro: Active Directory Rights Management Services, Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Pro fázi 2 migrace ze služby AD RMS na službu Azure Information Protection použijte následující informace.Use the following information for Phase 2 of migrating from AD RMS to Azure Information Protection. Tyto postupy pokrývají kroky 4 až 6 z tématu Migrace z AD RMS na Azure Information Protection.These procedures cover steps 4 though 6 from Migrating from AD RMS to Azure Information Protection.

Krok 4:Step 4. Export údajů o konfiguraci ze služby AD RMS a jejich import do Azure Information ProtectionExport configuration data from AD RMS and import it to Azure Information Protection

Tento krok má dvě části:This step is a two-part process:

  1. Exportujte konfigurační data ze služby AD RMS tak, že vyexportujete důvěryhodné domény publikování (TPD) do souboru s příponou .xml.Export the configuration data from AD RMS by exporting the trusted publishing domains (TPDs) to an .xml file. Tento proces je pro všechny migrace stejný.This process is the same for all migrations.

  2. Import konfiguračních dat do Azure Information Protection.Import the configuration data to Azure Information Protection. Pro tento krok jsou různé procesy podle konfigurace vašeho aktuální ho nasazení AD RMS a podle preferované topologie pro váš klíč tenanta Azure RMS.There are different processes for this step, depending on your current AD RMS deployment configuration and your preferred topology for your Azure RMS tenant key.

Vyexportujte konfigurační data z AD RMS.Export the configuration data from AD RMS

Tento postup proveďte na všech clusterech AD RMS pro všechny důvěryhodné domény publikování, které mají chráněný obsah vaší organizace.Do the following procedure on all AD RMS clusters, for all trusted publishing domains that have protected content for your organization. Na clusterech jen pro licence nemusíte tuto proceduru spouštět.You do not need to run this procedure on licensing-only clusters.

Export konfiguračních dat (informací o důvěryhodných doménách publikování)To export the configuration data (trusted publishing domain information)

  1. Přihlaste se do clusteru AD RMS jako uživatel s oprávněním správce AD RMS.Log on the AD RMS cluster as a user with AD RMS administration permissions.

  2. V konzole pro správu služby AD RMS (Active Directory Rights Management Services) rozbalte název clusteru AD RMS, rozbalte položku Zásady důvěryhodnosti a potom klikněte na Důvěryhodné domény publikování.From the AD RMS management console (Active Directory Rights Management Services), expand the AD RMS cluster name, expand Trust Policies, and then click Trusted Publishing Domains.

  3. V podokně výsledků vyberte důvěryhodnou doménu publikování, a potom v podokně Akce klikněte na Exportovat důvěryhodnou doménu publikování.In the results pane, select the trusted publishing domain, and then, from the Actions pane, click Export Trusted Publishing Domain.

  4. V dialogovém okně Exportovat důvěryhodnou doménu publikování:In the Export Trusted Publishing Domain dialog box:

    • Klikněte na Uložit jako a uložte ji do složky a souboru podle svého výběru.Click Save As and save to path and a file name of your choice. Nezapomeňte jako příponu souboru vybrat .xml (to je potřeba udělat ručně).Make sure to specify .xml as the file name extension (this is not appended automatically).

    • Zadejte a potvrďte silné heslo.Specify and confirm a strong password. Zapamatujte si ho, protože ho budete potřebovat později při importu konfiguračních dat do Azure Information Protection.Remember this password, because you will need it later, when you import the configuration data to Azure Information Protection.

    • Neoznačujte zaškrtávací políčko pro uložení souboru důvěryhodné domény v RMS verze 1.0.Do not select the checkbox to save the trusted domain file in RMS version 1.0.

Když vyexportujete všechny důvěryhodné domény publikování, jste připraveni začít s procesem importu těchto dat do Azure Information Protection.When you have exported all the trusted publishing domains, you’re ready to start the procedure to import this data to Azure Information Protection.

Chtěli bychom upozornit, že důvěryhodné domény publikování zahrnují klíče serverového certifikátu pro vystavování licencí (SLC) k dešifrování dříve chráněných souborů, takže je důležité, abyste exportovali (a později do Azure importovali) všechny důvěryhodné domény publikování a ne jenom tu, která je aktuálně aktivní.Note that the trusted publishing domains include the Server Licensor Certificate (SLC) keys to decrypt previously protected files, so it's important that you export (and later import into Azure) all the trusted publishing domains and not just the currently active one.

Pokud jste si například upgradovali servery služby AD RMS z kryptografického režimu 1 na kryptografický režim 2, budete mít více důvěryhodných domén publikování.For example, you will have multiple trusted publishing domains if you upgraded your AD RMS servers from Cryptographic Mode 1 to Cryptographic Mode 2. Pokud neexportujete a neimportujete důvěryhodnou doménu publikování, která obsahuje váš archivovaný klíč, který použil kryptografický režim 1, nebudou moct uživatelé na konci migrace otevřít obsah, který byl chráněn pomocí klíče kryptografického režimu 1.If you do not export and import the trusted publishing domain that contains your archived key that used Cryptographic Mode 1, at the end of the migration, users will not be able to open content that was protected with the Cryptographic Mode 1 key.

Import konfiguračních dat do Azure Information ProtectionImport the configuration data to Azure Information Protection

Přesný postup pro tento krok závisí na konfiguraci vašeho aktuální ho nasazení AD RMS a podle preferované topologie pro váš klíč tenanta Azure Information Protection.The exact procedures for this step depend on your current AD RMS deployment configuration, and your preferred topology for your Azure Information Protection tenant key.

Vaše aktuální nasazení služby AD RMS používá jednu z těchto konfigurací pro klíč pro serverový certifikát pro vystavování licencí (SLC):Your current AD RMS deployment is using one of the following configurations for your server licensor certificate (SLC) key:

  • Ochrana heslem v databázi AD RMS.Password protection in the AD RMS database. Toto je výchozí konfigurace.This is the default configuration.

  • Ochrana HSM pomocí modulu hardwarového zabezpečení (HSM) Thales.HSM protection by using a Thales hardware security module (HSM).

  • Ochrana HSM pomocí modulu hardwarového zabezpečení (HSM) od jiného dodavatele než Thales.HSM protection by using a hardware security module (HSM) from a supplier other than Thales.

  • Ochrana heslem s pomocí externího zprostředkovatele kryptografických služeb.Password protected by using an external cryptographic provider.

Poznámka

Další informace o používání modulů hardwarového zabezpečení s AD RMS najdete v tématu Použití AD RMS s moduly hardwarového zabezpečení.For more information about using hardware security modules with AD RMS, see Using AD RMS with Hardware Security Modules.

Jsou dvě možné topologie klíče tenanta Azure Information Protection: Klíč tenanta spravuje Microsoft (spravované Microsoftem) nebo si ho spravujete sami (spravované zákazníkem) ve službě Azure Key Vault.The two Azure Information Protection tenant key topology options are: Microsoft manages your tenant key (Microsoft-managed) or you manage your tenant key (customer-managed) in Azure Key Vault. Když spravujete svůj klíč klienta Azure Information Protection, někdy se tomu říká "přineste si vlastní klíč" (BYOK).When you manage your own Azure Information Protection tenant key, it’s sometimes referred to as “bring your own key” (BYOK). Další informace najdete v článku Plánování a implementace klíče tenanta služby Azure Information Protection.For more information, see Planning and implementing your Azure Information Protection tenant key article.

Podle této tabulky určete, podle kterého postupu se má provést migrace.Use the following table to identify which procedure to use for your migration.

Aktuální nasazení služby AD RMSCurrent AD RMS deployment Vybraná topologie klíče tenanta služby Azure Information ProtectionChosen Azure Information Protection tenant key topology Pokyny pro migraciMigration instructions
Ochrana heslem v databázi AD RMSPassword protection in the AD RMS database Spravované společností MicrosoftMicrosoft-managed Projděte si postup Migrace klíče chráněného softwarem na klíč chráněný softwarem za touto tabulkou.See the Software-protected key to software-protected key migration procedure after this table.

Je to ten nejjednodušší způsob migrace, ve kterém je nutné jenom převést konfigurační data do Azure Information Protection.This is the simplest migration path and requires only that you transfer your configuration data to Azure Information Protection.
Ochrana HSM pomocí modulu hardwarového zabezpečení (HSM) Thales nShield.HSM protection by using a Thales nShield hardware security module (HSM) Spravované zákazníkem (BYOK)Customer-managed (BYOK) Podívejte se na postup Migrace klíče chráněného HSM na klíč chráněný HSM za touto tabulkou.See the HSM-protected key to HSM-protected key migration procedure after this table.

K tomu je potřeba sada nástrojů pro BYOK služby Azure Key Vault a tři postupy – přenos klíče z místního modulu HSM do modulů HSM služby Azure Key Vault, následná autorizace služby Azure Rights Management ze služby Azure Information Protection k použití příslušného klíče tenanta a nakonec přenos konfiguračních dat do Azure Information Protection.This requires the Azure Key Vault BYOK toolset and three sets of steps to first transfer the key from your on-premises HSM to the Azure Key Vault HSMs, then authorize the Azure Rights Management service from Azure Information Protection to use your tenant key, and finally to transfer your configuration data to Azure Information Protection.
Ochrana heslem v databázi AD RMSPassword protection in the AD RMS database Spravované zákazníkem (BYOK)Customer-managed (BYOK) Projděte si postup Migrace klíče chráněného softwarem na klíč chráněný HSM za touto tabulkou.See the Software-protected key to HSM-protected key migration procedure after this table.

K tomu je potřeba sada nástrojů pro BYOK služby Azure Key Vault a čtyři postupné kroky – extrakce vašeho softwarového klíče a jeho import do místního modulu HSM, následný přenos klíče z místního modulu HSM do modulů HSM služby Azure Information Protection, přenos dat ze služby Key Vault do Azure Information Protection a nakonec přenos konfiguračních dat do Azure Information Protection.This requires the Azure Key Vault BYOK toolset and four sets of steps to first extract your software key and import it to an on-premises HSM, then transfer the key from your on-premises HSM to the Azure Information Protection HSMs, next transfer your Key Vault data to Azure Information Protection, and finally to transfer your configuration data to Azure Information Protection.
Ochrana pomocí HSM s použitím modulu hardwarového zabezpečení od jiného dodavatele, než je ThalesHSM protection by using a hardware security module (HSM) from a supplier other than Thales Spravované zákazníkem (BYOK)Customer-managed (BYOK) Požádejte dodavatele modulu HSM o pokyny, jak převést váš klíč z tohoto modulu HSM do modulu hardwarového zabezpečení (HSM) Thales nShield.Contact the supplier for your HSM for instructions how to transfer your key from this HSM to a Thales nShield hardware security module (HSM). Potom postupujte podle pokynů pro Migraci klíče chráněného HSM na klíč chráněný HSM za touto tabulkou.Then follow the instructions for the HSM-protected key to HSM-protected key migration procedure after this table.
Ochrana heslem s pomocí externího zprostředkovatele kryptografických služebPassword protected by using an external cryptographic provider Spravované zákazníkem (BYOK)Customer-managed (BYOK) Požádejte svého poskytovatele kryptografických služeb o pokyny, jak převést váš klíč do modulu hardwarového zabezpečení (HSM) Thales nShield.Contact the supplier for your cryptographic provider for instructions how to transfer your key to a Thales nShield hardware security module (HSM). Potom postupujte podle pokynů pro Migraci klíče chráněného HSM na klíč chráněný HSM za touto tabulkou.Then follow the instructions for the HSM-protected key to HSM-protected key migration procedure after this table.

Pokud máte klíč chráněný HSM, který nejde exportovat, můžete stále migrovat na Azure Information Protection nakonfigurováním clusteru služby AD RMS na režim jen pro čtení.If you have an HSM-protected key that you cannot export, you can still migrate to Azure Information Protection by configuring your AD RMS cluster for a read-only mode. V tomto režimu jde dříve chráněný obsah stále otevřít, ale nově chráněný obsah používá nový klíč tenanta, který je spravován vámi (BYOK) nebo Microsoftem.In this mode, previously protected content can still be opened but newly protected content uses a new tenant key that is managed by you (BYOK) or managed by Microsoft. Další informace najdete v článku o dostupné aktualizaci pro Office, která umožňuje podporu migrací z AD RMS na Azure RMS.For more information, see An update is available for Office to support migrations from AD RMS to Azure RMS.

Než začnete s těmito postupy migrace klíčů, ujistěte se, že máte přístup k souborům .xml, které jste předtím vytvořili při exportu důvěryhodných domén publikování.Before you start these key migration procedures, make sure that you can access the .xml files that you created earlier when you exported the trusted publishing domains. Můžete je mít třeba uložené na USB disku, který jste odpojili od serveru AD RMS a připojili ho k pracovní stanici připojené k internetu.For example, these might be saved to a USB thumb drive that you move from the AD RMS server to the Internet-connected workstation.

Poznámka

Ať už tyto soubory uložíte kamkoli, chraňte je, jak nejlépe můžete, protože tato data obsahují i váš privátní klíč.However you store these files, use security best practices to protect them because this data includes your private key.

K dokončení kroku 4 zvolte a vyberte pokyny pro vaši cestu migrace:To complete Step 4, choose and select the instructions for your migration path:

Krok 5:Step 5. Aktivace služby Azure Rights ManagementActivate the Azure Rights Management service

Otevřete relaci PowerShellu a spusťte následující příkazy:Open a PowerShell session and run the following commands:

  1. Připojte se ke službě Azure Rights Management a po zobrazení výzvy zadejte přihlašovací údaje globálního správce:Connect to the Azure Rights Management service and when prompted, specify your global admin credentials:

     Connect-Aadrmservice
    
  2. Aktivujte službu Azure Rights Management:Activate the Azure Rights Management service:

     Enable-Aadrm
    

Co když už je tenant služby Azure Information Protection aktivní?What if your Azure Information Protection tenant is already activated? Pokud služba Azure Rights Management je již aktivován pro vaši organizaci, a jste vytvořili vlastní šablony, které chcete po migraci používat, musíte exportovat a importovat tyto šablony.If the Azure Rights Management service is already activated for your organization, and you have created custom templates that you want to use after the migration, you must export and import these templates. Tento postup je popsaný v dalším kroku.This procedure is covered in the next step.

Krok 6:Step 6. Konfigurace importovaných šablonConfigure imported templates

Protože importované šablony mají výchozí stav Archivované, musíte ho změnit na Publikované, aby uživatelé mohli tyto šablony používat se službou Azure Rights Management.Because the templates that you imported have a default state of Archived, you must change this state to be Published if you want users to be able to use these templates with the Azure Rights Management service.

Šablony, které importujete z AD RMS, vypadají a chovají se stejně jako vlastní šablony, které můžete vytvořit na portálu Azure.Templates that you import from AD RMS look and behave just like custom templates that you can create in the Azure portal. Chcete-li změnit importované šablony, které chcete publikovat, aby uživatelé mohli vidět a vybrat je v aplikacích, konfigurace a Správa šablon pro Azure Information Protection.To change imported templates to be published so that users can see them and select them from applications, see Configuring and managing templates for Azure Information Protection.

Kromě publikování nově importovaných šablon jsou pro šablony ještě dvě důležité změny, které pravděpodobně budete chtít udělat dřív, než budete v migraci pokračovat.In addition to publishing your newly imported templates, there are just two important changes for the templates that you might need to make before you continue with the migration. Pokud chcete, aby byl proces migrace pro uživatele co nejhladší, nedělejte v tuto chvíli v importovaných šablonách další změny, nepublikujte dvě výchozí šablony, které jsou součástí Azure Information Protection, a nevytvářejte nové šablony.For a more consistent experience for users during the migration process, do not make additional changes to the imported templates and do not publish the two default templates that come with Azure Information Protection, or create new templates at this time. Místo toho počkejte na dokončení procesu migrace a zrušení serverů AD RMS.Instead, wait until the migration process is complete and you have deprovisioned the AD RMS servers.

Změny šablon, které možná budete muset udělat pro tento krok:The template changes that you might need to make for this step:

  • Pokud jste před migrací vytvořili vlastní šablony Azure Information Protection, musíte je ručně vyexportovat a naimportovat.If you created Azure Information Protection custom templates before the migration, you must manually export and import them.

  • Pokud vaše šablony v AD RMS používaly ANYONE skupiny, může být nutné přidat uživatele nebo skupiny z mimo vaši organizaci.If your templates in AD RMS used the ANYONE group, you might need to add users or groups from outside your organization.

    Ve službě AD RMS skupině každý, KDO udělena práva ke všem ověřeným uživatelům.In AD RMS, the ANYONE group granted rights to all authenticated users. Tato skupina je automaticky převeden na všechny uživatele v klientovi služby Azure AD.This group is automatically converted to all users in your Azure AD tenant. Pokud není nutné udělit práva pro všechny další uživatele, není vyžadována žádná další akce.If you do not need to grant rights to any additional users, no further action is needed. Ale pokud používáte skupinu ANYONE obsahovala externí uživatele, je třeba ručně přidat těchto uživatelů a práv, které chcete udělit mu.But if you were using the ANYONE group to include external users, you must manually add these users and the rights that you want to grant them.

Postup, pokud jste vlastní šablony vytvořili před migracíProcedure if you created custom templates before the migration

Pokud jste vlastní šablony vytvořili před migrací, ať už před aktivací služby Azure Rights Management nebo po ní, nebudou po migraci pro uživatele dostupné, a to ani v případě, že byly nastavené jako Publikované.If you created custom templates before the migration, either before or after activating the Azure Rights Management service, templates will not be available to users after the migration, even if they were set to Published. Pokud je chcete uživatelům zpřístupnit, musíte nejdřív:To make them available to users, you must first do the following:

  1. Určit tyto šablony a poznamenat si jejich ID, a to spuštěním Get-AadrmTemplate.Identify these templates and make a note of their template ID, by running the Get-AadrmTemplate.

  2. Vyexportovat tyto šablony pomocí rutiny Export-AadrmTemplate Azure RMS PowerShellu.Export the templates by using the Azure RMS PowerShell cmdlet, Export-AadrmTemplate.

  3. Naimportovat tyto šablony pomocí rutiny Import-AadrmTemplate Azure RMS PowerShellu.Import the templates by using the Azure RMS PowerShell cmdlet, Import-AadrmTemplate.

Tyto šablony potom můžete publikovat nebo archivovat stejným způsobem jako libovolné jiné šablony, které jste vytvořili po migraci.You can then publish or archive these templates as you would any other template that you create after the migration.

Postup, pokud vaše šablony v AD RMS používaly skupinu ANYONEProcedure if your templates in AD RMS used the ANYONE group

Pokud vaše šablony v AD RMS používaly ANYONE skupiny, tato skupina je automaticky převeden na použití skupiny s názvem AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@<Název_klíče >. onmicrosoft.com. Například pro společnost Contoso může tato skupina vypadat takto: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com. Tato skupina obsahuje všechny uživatele z vašeho klienta Azure AD.If your templates in AD RMS used the ANYONE group, this group is automatically converted to use the group named AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@<tenant_name>.onmicrosoft.com. For example, this group might look like the following for Contoso: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com. This group contains all users from your Azure AD tenant.

Když spravujete šablony a popisky na portálu Azure, tato skupina se zobrazí jako název domény vašeho klienta ve službě Azure AD.When you manage templates and labels in the Azure portal, this group displays as your tenant's domain name in Azure AD. Například tato skupina může vypadat třeba takto pro společnost Contoso: contoso.onmicrosoft.com. K přidání této skupiny, zobrazí možnost přidat <název organizace > – všechny členy.For example, this group might look like the following for Contoso: contoso.onmicrosoft.com. To add this group, the option displays Add <organization name> - All members.

Pokud si nejste jisti, jestli vaše šablony služby AD RMS zahrnují skupinu ANYONE, můžete tyto šablony identifikovat pomocí následujícího ukázkového skriptu Windows PowerShellu.If you're not sure whether your AD RMS templates include the ANYONE group, you can use the following sample Windows PowerShell script to identify these templates. Další informace o používání prostředí Windows PowerShell s AD RMS najdete v tématu pomocí prostředí Windows PowerShell ke správě AD RMS.For more information about using Windows PowerShell with AD RMS, see Using Windows PowerShell to Administer AD RMS.

Můžete snadno přidat externí uživatele do šablon při převodu těchto šablon do popisky na portálu Azure.You can easily add external users to templates when you convert these templates to labels in the Azure portal. Potom na přidat oprávnění okně zvolte zadejte podrobnosti ručně zadat e-mailové adresy pro tyto uživatele.Then, on the Add permissions blade, choose Enter details to manually specify the email addresses for these users.

Další informace o této konfiguraci najdete v tématu jak konfigurovat štítek pro ochranu Rights Management.For more information about this configuration, see How to configure a label for Rights Management protection.

Ukázkový skript Windows PowerShellu pro identifikaci šablon AD RMS, které obsahují skupinu ANYONESample Windows PowerShell script to identify AD RMS templates that include the ANYONE group

Tato část obsahuje ukázkový skript, který vám pomůže identifikovat žádné šablony služby AD RMS, které mají definovanou, skupinu ANYONE, jak je popsáno v předchozí části.This section contains the sample script to help you identify any AD RMS templates that have the ANYONE group defined, as described in the preceding section.

Právní omezení: Tento ukázkový skript se nepodporuje v žádném standardním programu ani službě podpory společnosti Microsoft.Disclaimer: This sample script is not supported under any Microsoft standard support program or service. Tento vzorový skript je poskytován TAK, JAK JE, bez jakékoli záruky.This sample script is provided AS IS without warranty of any kind.

import-module adrmsadmin 

New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost -Force 

$ListofTemplates=dir MyRmsAdmin:\RightsPolicyTemplate

foreach($Template in $ListofTemplates) 
{ 
                $templateID=$Template.id

                $rights = dir MyRmsAdmin:\RightsPolicyTemplate\$Templateid\userright

     $templateName=$Template.DefaultDisplayName 

        if ($rights.usergroupname -eq "anyone")

                         {
                           $templateName = $Template.defaultdisplayname

                           write-host "Template " -NoNewline

                           write-host -NoNewline $templateName -ForegroundColor Red

                           write-host " contains rights for " -NoNewline

                           write-host ANYONE  -ForegroundColor Red
                         }
 } 
Remove-PSDrive MyRmsAdmin -force

Další krokyNext steps

Přejděte k fázi 3 – konfigurace na straně klienta.Go to phase 3 - client-side configuration.

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.