Fáze 5 migrace – úkoly po migraciMigration phase 5 - post migration tasks

Platí pro: Active Directory Rights Management Services, Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Pro fázi 5 migrace ze služby AD RMS na službu Azure Information Protection použijte následující informace.Use the following information for Phase 5 of migrating from AD RMS to Azure Information Protection. Tyto postupy pokrývají kroky 10 až 12 z tématu Migrace z AD RMS na Azure Information Protection.These procedures cover steps 10 through 12 from Migrating from AD RMS to Azure Information Protection.

Krok 10:Step 10. Zrušení zřízení služby AD RMSDeprovision AD RMS

Odeberte bod připojení služby (SCP) ze služby Active Directory, aby počítače nemohly zjišťovat vaši místní infrastrukturu služby Rights Management.Remove the Service Connection Point (SCP) from Active Directory to prevent computers from discovering your on-premises Rights Management infrastructure. To je volitelné pro existující klienty, které jste migrovali – kvůli přesměrování, které jste nakonfigurovali v registru (například pomocí skriptu pro migraci).This is optional for the existing clients that you migrated because of the redirection that you configured in the registry (for example, by running the migration script). Ale odebrání spojovací bod služby zabrání nových klientů a potenciálně RMS související služby a nástroje pro hledání spojovací bod služby po dokončení migrace.However, removing the SCP prevents new clients and potentially RMS-related services and tools from finding the SCP when the migration is complete. Připojení všech počítačů v tomto okamžiku by měl přejděte do služby Azure Rights Management.At this point, all computer connections should go to the Azure Rights Management service.

Pokud chcete bod připojení služby odebrat, zkontrolujte, že jste přihlášení jako firemní správce domény, a potom postupujte takto:To remove the SCP, make sure that you are logged in as a domain enterprise administrator, and then use the following procedure:

  1. V konzole Active Directory Rights Management Services klikněte pravým tlačítkem myši na cluster AD RMS a potom klikněte na Vlastnosti.In the Active Directory Rights Management Services console, right-click the AD RMS cluster, and then click Properties.

  2. Klikněte na kartu Spojovací bod služby.Click the SCP tab.

  3. Vyberte zaškrtávací políčko Změnit spojovací bod služby.Select the Change SCP check box.

  4. Vyberte Odebrat aktuální spojovací bod služby a pak klikněte na OK.Select Remove Current SCP, and then click OK.

Nyní sledování serverů služby AD RMS pro aktivitu.Now monitor your AD RMS servers for activity. Například zkontrolovat požadavků v sestavě o stavu systému, tabulku ServiceRequest nebo auditovat přístup uživatelů k chráněnému obsahu.For example, check the requests in the System Health report, the ServiceRequest table or audit user access to protected content.

Až se ujistíte, že klienti RMS už s těmito servery nekomunikují a že klienti úspěšně používají Azure Information Protection, můžete ze serverů odebrat roli serveru AD RMS.When you have confirmed that RMS clients are no longer communicating with these servers and that clients are successfully using Azure Information Protection, you can remove the AD RMS server role from these servers. Pokud používáte vyhrazené servery, možná budete chtít postupovat opatrněji z první vypínání serveru pro určitou dobu.If you’re using dedicated servers, you might prefer the cautionary step of first shutting down the servers for a period of time. Tak získáte čas a ujistěte se, že neexistují žádné hlášené problémy, které mohou vyžadovat restartování těchto serverů, abyste zabránili výpadkům provozu při byste prozkoumat, proč klienti nepoužívají Azure Information Protection.This gives you time to make sure that there are no reported problems that might require you to restart these servers for service continuity while you investigate why clients are not using Azure Information Protection.

Po mají zrušit serverů AD RMS, můžete chtít využít tuto příležitost a podívat se na šablony na portálu Azure.After you have deprovisioned your AD RMS servers, you might want to take the opportunity to review your templates in the Azure portal. Například je převést na popisky, konsolidovat je tak, aby uživatelé méně si vybrat mezi nebo nakonfigurovat ho znovu.For example, convert them to labels, consolidate them so that users have fewer to choose between, or reconfigure them. Zároveň by to byla vhodná doba k publikování výchozích šablon.This would be also a good time to publish the default templates. Další informace najdete v tématu konfigurace a Správa šablon pro Azure Information Protection.For more information, see Configuring and managing templates for Azure Information Protection.

Důležité

Na konci této migrace se váš cluster AD RMS nedá použít se službou Azure Information Protection a s možností HYOK (Hold Your Own Key).At the end of this migration, your AD RMS cluster cannot be used with Azure Information Protection and the hold your own key (HYOK) option. Pokud se rozhodnete použít HYOK pro popisek služby Azure Information Protection (kvůli aktuálně platným přesměrováním), musí použitý cluster AD RMS mít jiné licenční adresy URL než ty, které jsou v clusterech, jež jste migrovali.If you decide to use HYOK for an Azure Information Protection label, because of the redirections that are now in place, the AD RMS cluster that you use must have different licensing URLs to the ones in the clusters that you migrated.

Krok 11:Step 11. Úlohy migrace klientůComplete client migration tasks

Pro klienty mobilních zařízení a počítače Mac: odebrat záznamy SRV služby DNS, které jste vytvořili při nasazení rozšíření služby AD RMS pro mobilní zařízení.For mobile device clients and Mac computers: Remove the DNS SRV records that you created when you deployed the AD RMS mobile device extension.

Pokud tyto změny DNS propogated, tito klienti automaticky vyhledat a začít používat službu Azure Rights Management.When these DNS changes have propogated, these clients will automatically discover and start to use the Azure Rights Management service. Počítače Mac se systémem Office Mac však mezipaměti informace ze služby AD RMS.However, Mac computers that run Office Mac cache the information from AD RMS. Pro tyto počítače tento proces může trvat až 30 dnů.For these computers, this process can take up to 30 days.

Chcete-li vynutit počítače Mac ke okamžitě, spusťte proces vyhledávání v řetězci klíčů, vyhledejte "adal" a odstranit všechny položky ADAL.To force Mac computers to run the discovery process immediately, in the keychain, search for "adal" and delete all ADAL entries. Potom spusťte následující příkazy v těchto počítačích:Then, run the following commands on these computers:


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

Při migraci na Azure Information Protection všechny vaše stávající počítače s Windows, neexistuje žádný důvod nadále používat ovládací prvky připojování a udržovat AIPMigrated skupinu, kterou jste vytvořili pro proces migrace.When all your existing Windows computers have migrated to Azure Information Protection, there's no reason to continue to use onboarding controls and maintain the AIPMigrated group that you created for the migration process.

Ovládací prvky připojování nejprve odeberte a pak můžete odstranit AIPMigrated skupiny a libovolné metody nasazení softwaru, která jste vytvořili pro nasazení skripty pro migraci.Remove the onboarding controls first, and then you can delete the AIPMigrated group and any software deployment method that you created to deploy the migration scripts.

Odebrání ovládacích prvků postupného zprovoznění:To remove the onboarding controls:

  1. V powershellové relaci se připojte ke službě Azure Rights Management a po zobrazení výzvy zadejte přihlašovací údaje globálního správce:In a PowerShell session, connect to the Azure Rights Management service and when prompted, specify your global admin credentials:

     Connect-Aadrmservice
    
  2. Spusťte následující příkaz a potvrďte ho zadáním Y (A):Run the following command, and enter Y to confirm:

     Set-AadrmOnboardingControlPolicy -UseRmsUserLicense $False
    

    Všimněte si, že tento příkaz odebere všechny licence vynucení pro službu ochrany Azure Rights Management, tak, aby všechny počítače můžete chránit dokumenty a e-maily.Note that this command removes any license enforcement for the Azure Rights Management protection service, so that all computers can protect documents and emails.

  3. Ověřte, že ovládací prvky postupného zprovoznění už nejsou nastavené:Confirm that onboarding controls are no longer set:

     Get-AadrmOnboardingControlPolicy
    

    Ve výstupním výpisu by License (Licence) měla být False (Nepravda) a pro SecurityGroupObjectId (Id_objektu_skupiny_zabezpečení) by se neměl zobrazit žádný identifikátor GUID.In the output, License should show False, and there is no GUID displayed for the SecurityGroupOjbectId

Nakonec pokud používáte Office 2010 a povolíte správu šablony zásad práv služby RMS AD (automatické) úloh v knihovně plánovače úloh systému Windows, zakázat tuto úlohu, protože není využíván informace o Azure Ochranu klienta.Finally, if you are using Office 2010 and you have enabled the AD RMS Rights Policy Template Management (Automated) task in the Windows Task Scheduler library, disable this task because it is not used by the Azure Information Protection client. Tato úloha je obvykle aktivovat pomocí zásad skupiny a podporuje nasazení služby AD RMS.This task is typically enabled by using group policy and supports an AD RMS deployment. Tento úkol můžete najít v následujícím umístění: Microsoft > Windows > Active Directory Rights Management Services ClientYou can find this task in the following location: Microsoft > Windows > Active Directory Rights Management Services Client

Krok 12:Step 12. Změna hodnoty klíče klíč klienta Azure Information ProtectionRekey your Azure Information Protection tenant key

Tento krok se doporučuje, když migrace je dokončená, pokud vaše služby AD RMS nasadili pomocí RMS kryptografického režimu 1.This step is recommended when migration is complete if your AD RMS deployment was using RMS Cryptographic Mode 1. Obnovení klíčů má za následek ochrany, který používá RMS kryptografický režim 2.Rekeying results in protection that uses RMS Cryptographic Mode 2.

I v případě, že vaše nasazení služby AD RMS používal kryptografický režim 2, přesto doporučujeme že provést tento krok, protože nový klíč pomáhá chránit váš klient před potenciálním narušením zabezpečení pro klíč služby AD RMS.Even if your AD RMS deployment was using Cryptographic Mode 2, we still recommend you do this step because a new key helps to protect your tenant from potential security breaches to your AD RMS key.

Když změna hodnoty klíče klíč klienta Azure Information Protection (také označované jako "vytvoříte svůj klíč"), momentálně aktivní klíč se archivuje a Azure Information Protection se začne používat jiný kód, který určíte.When you rekey your Azure Information Protection tenant key (also known as "rolling your key"), the currently active key is archived and Azure Information Protection starts to use a different key that you specify. Tento jiný klíč může být nový klíč, který vytvoříte v Azure Key Vault, nebo výchozí klíč, který byl automaticky vytvořen pro klienta.This different key could be a new key that you create in Azure Key Vault, or the default key that was automatically created for your tenant.

Přechod z jednoho klíče na jiný nedojde okamžitě, ale a trvá několik týdnů.Moving from one key to another doesn’t happen immediately but over a few weeks. Protože není okamžitý, nečekají dokud jste na známky narušení bezpečnosti původního klíče ale proveďte tento krok po dokončení migrace.Because it's not immediate, do not wait until you suspect a breach to your original key but do this step as soon as the migration is complete.

Postup opětovného vytvoření klíče tenanta služby Azure Information Protection:To rekey your Azure Information Protection tenant key:

  • Pokud váš klíč klienta spravuje Microsoft: spusťte rutinu prostředí PowerShell Set-AadrmKeyProperties a zadejte identifikátor klíče pro klíč, který byl automaticky vytvořen pro klienta.If your tenant key is managed by Microsoft: Run the PowerShell cmdlet Set-AadrmKeyProperties and specify the key identifier for the key that was automatically created for your tenant. Identifikujete hodnotu k určení spuštěním Get-AadrmKeys rutiny.You can identify the value to specify by running the Get-AadrmKeys cmdlet. Klíč, který byl automaticky vytvořen pro klienta má nejstarší datum vytvoření, abyste ji mohli identifikovat pomocí následujícího příkazu:The key that was automatically created for your tenant has the oldest creation date, so you can identify it by using the following command:

      (Get-AadrmKeys) | Sort-Object CreationTime | Select-Object -First 1
    
  • Pokud váš klíč tenanta spravujete sami (BYOK): V Azure Key Vault, opakujte váš proces vytvoření klíče vašeho klienta Azure Information Protection a poté spusťte použití AadrmKeyVaultKey rutiny zadejte identifikátor URI Tento nový klíč.If your tenant key is managed by you (BYOK): In Azure Key Vault, repeat your key creation process for your Azure Information Protection tenant, and then run the Use-AadrmKeyVaultKey cmdlet again to specify the URI for this new key.

Další informace o správě klíče klienta Azure Information Protection, najdete v části operace pro klíč klienta Azure Information Protection.For more information about managing your Azure Information Protection tenant key, see Operations for your Azure Information Protection tenant key.

Další krokyNext steps

Teď, když jste dokončili migraci, podívejte se na plán nasazení a zjistěte, které další úkoly nasazení možná bude potřeba provést.Now that you have completed the migration, review the deployment roadmap to identify any other deployment tasks that you might need to do.

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.