Fáze 5 migrace – úkoly po migraci

Pro fázi 5 migrace ze služby AD RMS na Azure Information Protection použijte následující informace. Tyto postupy zahrnují kroky 10 až 12 z migrace z AD RMS na Azure Information Protection.

Krok 10: Zrušení zřízení služby AD RMS

Odeberte bod služby Připojení ion (SCP) ze služby Active Directory, abyste zabránili počítačům ve zjišťování místní infrastruktury služby Rights Management. To je volitelné pro stávající klienty, které jste migrovali kvůli přesměrování, které jste nakonfigurovali v registru (například spuštěním skriptu migrace). Odebráním spojovacího bodu služby ale zabráníte novým klientům a potenciálně službám a nástrojům souvisejícím se službou RMS najít spojovací bod služby po dokončení migrace. V tuto chvíli by všechna připojení počítačů měla přejít ke službě Azure Rights Management.

Pokud chcete spojovací bod služby odebrat, ujistěte se, že jste přihlášeni jako podnikový správce domény, a pak postupujte následovně:

1. V konzole služba AD RMS (Active Directory Rights Management Services) klepněte pravým tlačítkem myši na cluster AD RMS a potom klepněte na příkaz Vlastnosti.

2. Klikněte na kartu SCP .

3. Zaškrtněte políčko Změnit spojovací bod služby .

4. Vyberte Odebrat aktuální spojovací bod služby a klepněte na tlačítko OK.

Teď monitorujte servery AD RMS pro aktivitu. Zkontrolujte například požadavky v sestavě stavu systému, tabulku ServiceRequest nebo audit přístupu uživatelů k chráněnému obsahu.

Po potvrzení, že klienti SLUŽBY RMS už s těmito servery nekomunikují a že klienti úspěšně používají Azure Information Protection, můžete z těchto serverů odebrat roli serveru AD RMS. Pokud používáte vyhrazené servery, můžete preferovat obezřetný krok při prvním vypnutí serverů po určitou dobu. Získáte tak čas, abyste měli jistotu, že neexistují žádné nahlášené problémy, které by mohly vyžadovat restartování těchto serverů kvůli kontinuitě služeb, zatímco prozkoumáte, proč klienti nepoužívají Azure Information Protection.

Po zrušení zřízení serverů AD RMS můžete chtít využít příležitost zkontrolovat šablonu a popisky. Můžete například převést šablony na popisky, konsolidovat je tak, aby uživatelé měli méně možností si je vybrat nebo je překonfigurovat. To by také byla vhodná doba k publikování výchozích šablon.

Pro popisky citlivosti a klienta sjednoceného popisování použijte Portál dodržování předpisů Microsoft Purview. Další informace najdete v dokumentaci k Microsoftu 365.

Důležité

Na konci této migrace se váš cluster AD RMS nedá použít se službou Azure Information Protection a možností hold your own key (HYOK).

Další konfigurace pro počítače se systémem Office 2010

Důležité

Rozšířená podpora Office 2010 skončila 13. října 2020. Další informace najdete v tématu AIP a starší verze Windows a Office.

Pokud migrovaní klienti používají Office 2010, můžou uživatelé po zrušení zřízení našich serverů AD RMS zaznamenat zpoždění při otevírání chráněného obsahu. Nebo se uživatelům můžou zobrazit zprávy, že nemají přihlašovací údaje k otevření chráněného obsahu. Pokud chcete tyto problémy vyřešit, vytvořte pro tyto počítače přesměrování sítě, které přesměruje plně kvalifikovaný název domény adresy URL služby AD RMS na místní IP adresu počítače (127.0.0.1). Můžete to udělat tak, že nakonfigurujete místní soubor hostitelů na každém počítači nebo pomocí DNS.

• Přesměrování prostřednictvím souboru místních hostitelů: Přidejte do souboru místních hostitelů následující řádek, přičemž nahraďte <AD RMS URL FQDN> hodnotou clusteru AD RMS bez předpon nebo webových stránek:

  127.0.0.1 <AD RMS URL FQDN>
  

• Přesměrování přes DNS: Vytvořte nový záznam hostitele (A) pro plně kvalifikovaný název domény adresy URL služby AD RMS, který má IP adresu 127.0.0.1.

Krok 11: Dokončení úloh migrace klientů

Pro klienty mobilních zařízení a počítače Mac: Odeberte záznamy DNS SRV, které jste vytvořili při nasazení rozšíření mobilního zařízení AD RMS.

Po rozšíření těchto změn DNS se tito klienti automaticky zjišťují a začnou používat službu Azure Rights Management. Počítače Mac, na kterých běží Office Mac, ale ukládají informace z AD RMS do mezipaměti. U těchto počítačů může tento proces trvat až 30 dnů.

Pokud chcete, aby počítače Mac okamžitě spustily proces zjišťování, vyhledejte v klíčence "adal" a odstraňte všechny položky knihovny ADAL. Potom na těchto počítačích spusťte následující příkazy:

rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

Pokud se všechny vaše stávající počítače s Windows migrovaly na Azure Information Protection, není důvod dál používat ovládací prvky onboardingu a udržovat skupinu AIPMigrated , kterou jste vytvořili pro proces migrace.

Nejprve odeberte ovládací prvky onboardingu a pak můžete odstranit skupinu AIPMigrated a jakoukoli metodu nasazení softwaru, kterou jste vytvořili pro nasazení skriptů migrace.

Odebrání ovládacích prvků onboardingu:

1. V relaci PowerShellu se připojte ke službě Azure Rights Management a po zobrazení výzvy zadejte přihlašovací údaje globálního správce:

   Connect-AipService
   
   

2. Spusťte následující příkaz a potvrďte zadáním Y :

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
   

   Všimněte si, že tento příkaz odebere vynucení licencí pro službu ochrany Azure Rights Management, aby všechny počítače mohly chránit dokumenty a e-maily.

3. Ověřte, že už nejsou nastavené ovládací prvky onboardingu:

   Get-AipServiceOnboardingControlPolicy
   

   Ve výstupu by licence měla zobrazit hodnotu False a pro SecurityGroupOjbectId se nezobrazuje žádný identifikátor GUID.

A konečně pokud používáte Office 2010 a povolili jste úlohu Správa šablon zásad práv SLUŽBY AD RMS (automatizovaná) v knihovně plánovače úloh systému Windows, zakažte tuto úlohu, protože ji klient Služby Azure Information Protection nepoužívá.

Tato úloha je obvykle povolena pomocí zásad skupiny a podporuje nasazení služby AD RMS. Tuto úlohu najdete v následujícím umístění: Microsoft>Windows> služba AD RMS (Active Directory Rights Management Services) Client.

Důležité

Rozšířená podpora Office 2010 skončila 13. října 2020. Další informace najdete v tématu AIP a starší verze Windows a Office.

Krok 12: Opětovné vytvoření klíče tenanta Azure Information Protection

Tento krok se vyžaduje při dokončení migrace, pokud vaše nasazení služby AD RMS používalo kryptografický režim RMS 1, protože tento režim používá 1024bitový klíč a SHA-1. Tato konfigurace se považuje za nedostačující úroveň ochrany. Microsoft nedoporučuje používat nižší délky klíčů, jako jsou 1024bitové klíče RSA a přidružené použití protokolů, které nabízejí nedostatečné úrovně ochrany, jako je SHA-1.

Opětovné vytvoření klíče vede k ochraně, která používá kryptografický režim RMS 2, což vede k 2048bitovému klíči a SHA-256.

I když vaše nasazení služby AD RMS používalo kryptografický režim 2, přesto doporučujeme tento krok provést, protože nový klíč pomáhá chránit vašeho tenanta před potenciálními porušeními zabezpečení vašeho klíče AD RMS.

Při opětovném vytvoření klíče tenanta Služby Azure Information Protection (označovaného také jako "vrácení klíče") se aktuálně aktivní klíč archivuje a Azure Information Protection začne používat jiný zadaný klíč. Tento jiný klíč může být nový klíč, který vytvoříte ve službě Azure Key Vault, nebo výchozí klíč, který se automaticky vytvořil pro vašeho tenanta.

Přechod z jednoho klíče na druhý se neprovádí okamžitě, ale během několika týdnů. Vzhledem k tomu, že není okamžité, nečekejte, až budete mít podezření na porušení vašeho původního klíče, ale tento krok proveďte, jakmile se migrace dokončí.

Opětovné vytvoření klíče tenanta služby Azure Information Protection:

• Pokud klíč tenanta spravuje Microsoft: Spusťte rutinu PowerShellu Set-AipServiceKeyProperties a zadejte identifikátor klíče pro klíč, který se automaticky vytvořil pro vašeho tenanta. Hodnotu, kterou chcete zadat, můžete identifikovat spuštěním rutiny Get-AipServiceKeys . Klíč, který byl automaticky vytvořen pro vašeho tenanta, má nejstarší datum vytvoření, abyste ho mohli identifikovat pomocí následujícího příkazu:

  (Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
  

• Pokud klíč tenanta spravujete vy (BYOK): Ve službě Azure Key Vault opakujte proces vytváření klíčů pro vašeho tenanta Azure Information Protection a pak znovu spusťte rutinu Use-AipServiceKeyVaultKey a zadejte identifikátor URI pro tento nový klíč.

Další informace o správě klíče tenanta Azure Information Protection najdete v tématu Operace pro klíč tenanta Služby Azure Information Protection.

Další kroky

Teď, když jste dokončili migraci, zkontrolujte plán nasazení AIP pro klasifikaci, označování popisky a ochranu a identifikujte všechny další úlohy nasazení, které možná budete muset provést.