Migrace z AD RMS na Azure Information ProtectionMigrating from AD RMS to Azure Information Protection

Platí pro: Active Directory Rights Management Services, Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Při migraci nasazení Active Directory Rights Management Services (AD RMS) na Azure Information Protection použijte následující pokyny.Use the following set of instructions to migrate your Active Directory Rights Management Services (AD RMS) deployment to Azure Information Protection.

Po migraci se už vaše servery AD RMS nebudou používat, ale uživatelé budou mít dál přístup k dokumentům a e-mailovým zprávám, u kterých vaše organizace nastavila ochranu pomocí služby AD RMS.After the migration, your AD RMS servers are no longer in use but users still have access to documents and email messages that your organization protected by using AD RMS. Nově chráněný obsah bude používat službu Azure Rights Management (Azure RMS) z Azure Information Protection.Newly protected content will use the Azure Rights Management service (Azure RMS) from Azure Information Protection.

Nejste si jistí, jestli je migrace na službu AD RMS pro vaši organizaci to pravé?Not sure whether this AD RMS migration is right for your organization?

I když to není nezbytné, může být před zahájením migrace užitečné si přečíst následující dokumentaci.Although not required, you might find it useful to read the following documentation before you start the migration. Uděláte si tak lepší představu o fungování této technologie, což se vám bude v odpovídajících krocích migrace hodit.This knowledge provides you with a better understanding of how the technology works when it is relevant to your migration step.

  • Plánování a implementace klíče tenanta Azure Information Protection: Seznamte se s možnostmi správy klíčů pro tenanta služby Azure Information Protection, když je ekvivalent klíče SLC v cloudu spravovaný buď Microsoftem (ve výchozím nastavení), nebo vámi (konfigurace „Přineste si vlastní klíč“ neboli BYOK).Planning and implementing your Azure Information Protection tenant key: Understand the key management options that you have for your Azure Information Protection tenant where your SLC key equivalent in the cloud is either managed by Microsoft (the default) or managed by you (the "bring your own key", or BYOK configuration).

  • Zjištění služby RMS: Tato část Poznámek k nasazení klienta služby RMS vysvětluje, že zjišťování služby probíhá v tomto pořadí: registr, potom bod připojení služby (SCP) a potom cloud.RMS service discovery: This section of the RMS client deployment notes explains that the order for service discovery is registry, then SCP, then cloud. Během procesu migrace – když je bod připojení služby (SCP) pořád nainstalovaný, nakonfigurujete klienty pomocí nastavení registru pro vašeho tenanta služby Azure Information Protection, aby nepoužívali cluster AD RMS vrácený z bodu připojení služby.During the migration process when the SCP is still installed, you configure clients with registry settings for your Azure Information Protection tenant so that they do not use the AD RMS cluster returned from the SCP.

  • Přehled konektoru Microsoft Rights Management: Tato část z dokumentace ke konektoru RMS vysvětluje, jak se váš místní server může připojit ke službě Azure Rights Management a chránit dokumenty a e-maily.Overview of the Microsoft Rights Management connector: This section from the RMS connector documentation explains how your on-premises servers can connect to the Azure Rights Management service to protect documents and emails.

Pokud už rozumíte tomu, jak technologie AD RMS funguje, může být užitečné přečíst si článek Jak Azure RMS funguje? Pod pokličkou, který vám pomůže rozpoznat, které technologické procesy jsou stejné nebo jiné pro cloudovou verzi.In addition, if you are familiar with how AD RMS works, you might find it useful to read How does Azure RMS work? Under the hood to help you identify which technology processes are the same or different for the cloud version.

Požadavky pro migraci služby AD RMS na Azure Information ProtectionPrerequisites for migrating AD RMS to Azure Information Protection

Než začnete s migrací do Azure Information Protection, ujistěte se, že jsou splněné následující požadavky a že rozumíte případným omezením.Before you start the migration to Azure Information Protection, make sure that the following prerequisites are in place and that you understand any limitations.

  • Podporované nasazení služby RMS:A supported RMS deployment:

    • Migraci do Azure Information Protection podporují tyto verze AD RMS:The following releases of AD RMS support a migration to Azure Information Protection:

      • Windows Server 2008 R2 (x64)Windows Server 2008 R2 (x64)

      • Windows Server 2012 (x64)Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)Windows Server 2016 (x64)

    • Podporují se všechny platné topologie služby AD RMS:All valid AD RMS topologies are supported:

      • Jediná doménová struktura, jeden cluster RMSSingle forest, single RMS cluster

      • Jedna doménová struktura, víc clusterů RMS jen pro licencováníSingle forest, multiple licensing-only RMS clusters

      • Víc doménových struktur, víc clusterů RMSMultiple forests, multiple RMS clusters

      Poznámka: Ve výchozím nastavení se několik clusterů služby AD RMS migruje na jednoho tenanta služby Azure Information Protection.Note: By default, multiple AD RMS clusters migrate to a single tenant for Azure Information Protection. Pokud chcete mít samostatné tenanty Azure Information Protection, musíte s nimi zacházet jako s různými migracemi.If you want separate tenants for Azure Information Protection, you must treat them as different migrations. Klíč z jednoho clusteru RMS nejde importovat do více než jednoho tenanta.A key from one RMS cluster cannot be imported to more than one tenant.

  • Všechny požadavky na spuštění služby Azure Information Protection, včetně předplatného služby Azure Information Protection (služba Azure Rights Management není aktivovaná):All requirements to run Azure Information Protection, including a subscription for Azure Information Protection (the Azure Rights Management service is not activated):

    Viz Požadavky služby Azure Information Protection.See Requirements for Azure Information Protection.

    Pokud máte počítače s Office 2010, musíte nainstalovat klienta služby Azure Information Protection, který zajišťuje ověřování uživatelů u cloudových služeb.Note that if you have computers that run Office 2010, you must install the Azure Information Protection client, because this client provides the ability to authenticate users to cloud services. U novějších verzí Office se klient služby Azure Information Protection požaduje pro klasifikaci a popisky. Pokud chcete jenom chránit data, je volitelný, ale doporučený.For later versions of Office, the Azure Information Protection client is required for classification and labeling, and is optional but recommended if you want to only protect data. Další informace najdete v Příručce pro správce klienta služby Azure Information Protection.For more information, see the Azure Information Protection client admin guide.

    I když před migrací z AD RMS potřebujete mít předplatné služby Azure Information Protection, doporučujeme vám před zahájením migrace neaktivovat službu Rights Management pro vašeho tenanta.Although you must have a subscription for Azure Information Protection before you can migrate from AD RMS, we recommend that the Rights Management service for your tenant is not activated before you start the migration. Proces migrace zahrnuje tento aktivační krok po exportu klíčů a šablon ze služby AD RMS a jejich importu do tenanta služby Azure Information Protection.The migration process includes this activation step after you have exported keys and templates from AD RMS and imported them to your tenant for Azure Information Protection. Pokud je už ale služba Rights Management aktivovaná, můžete z AD RMS migrovat, i když s některými dalšími kroky.However, if the Rights Management service is already activated, you can still migrate from AD RMS with some additional steps.

  • Příprava pro službu Azure Information Protection:Preparation for Azure Information Protection:

  • Pokud jste použili funkci Správa informačních práv (IRM) systému Exchange Server (například pravidla přenosu a Outlook Web Access) nebo Server služby SharePoint se službou AD RMS:If you have used the Information Rights Management (IRM) functionality of Exchange Server (for example, transport rules and Outlook Web Access) or SharePoint Server with AD RMS:

    • Krátkodobý plán, když nebude IRM na těchto serverech k dispoziciPlan for a short period of time when IRM will not be available on these servers

      Po migraci můžete IRM dál na těchto serverech používat.You can continue to use IRM on these servers after the migration. Jedním z kroků migrace ale je dočasně zakázat službu IRM, nainstalovat a nakonfigurovat konektor, znovu nakonfigurovat servery a pak znovu povolit IRM.However, one of the migration steps is to temporarily disable the IRM service, install and configure a connector, reconfigure the servers, and then re-enable IRM.

      To je jediné přerušení služby během migrace.This is the only interruption to service during the migration process.

  • Pokud chcete spravovat vlastní klíč tenanta Azure Information Protection pomocí klíče chráněného HSM:If you want to manage your own Azure Information Protection tenant key by using an HSM-protected key:

Důležité informace o kryptografickém režimuCryptographic mode considerations

Pokud váš cluster služby AD RMS je aktuálně v kryptografického režimu 1, neprovádějte upgrade cluster na kryptografický režim 2 před zahájením migrace.If your AD RMS cluster is currently in Cryptographic Mode 1, do not upgrade the cluster to Cryptographic Mode 2 before you start the migration. Místo toho migrace s využitím kryptografických režim 1 a můžete změna hodnoty klíče vašeho klíče tenanta na konci migrace, jako jednu z úloh migrace post.Instead, migrate using Cryptographic Mode 1 and you can rekey your tenant key at the end of the migration, as one of the post migration tasks.

Potvrzení kryptografického režimu AD RMS:To confirm the AD RMS cryptographic mode:

Omezení migraceMigration limitations

  • Pokud váš software a klienti nejsou podporovány službou Rights Management, kterou používá Azure Information Protection, nebudou moci chránit ani využívat obsah, který je chráněn službou Azure Rights Management.If you have software and clients that are not supported by the Rights Management service that is used by Azure Information Protection, they will not be able to protect or consume content that is protected by Azure Rights Management. Podívejte se na části věnované podporovaným aplikacím a klientům v článku Požadavky služby Azure Rights Management.Be sure to check the supported applications and clients sections from Requirements for Azure Rights Management.

  • Pokud je vaše nasazení služby AD RMS nakonfigurované pro spolupráci s externími partnery (například pomocí důvěryhodných domén uživatelů nebo federace), musí tito partneři také migrovat na Azure Information Protection – buď ve stejnou dobu jako vy, nebo co nejdříve potom.If your AD RMS deployment is configured to collaborate with external partners (for example, by using trusted user domains or federation), they must also migrate to Azure Information Protection either at the same time as your migration, or as soon as possible afterwards. Jestli chtějí mít přístup k obsahu, který vaše organizace dřív chránila pomocí služby Azure Information Protection, musí udělat změny konfigurace, které jsou podobné těm, které jste udělali vy a zahrnuli do tohoto dokumentu.To continue to access content that your organization previously protected by using Azure Information Protection, they must make client configuration changes that are similar to those that you make, and included in this document.

    Kvůli možným variacím konfigurace, které můžou používat vaši partneři, nejsou přesné pokyny pro tuto změnu konfigurace předmětem tohoto dokumentu.Because of the possible configuration variations that your partners might have, exact instructions for this reconfiguration are out of scope for this document. Ale pokyny k plánování najdete v následující části, a pokud potřebujete další pomoc, kontaktujte podporu Microsoftu.However, see the next section for planning guidance and for additional help, contact Microsoft Support.

Plánování migrace při spolupráci s externími partneryMigration planning if you collaborate with external partners

Do plánování migrace zahrňte i svoje partnery AD RMS, protože musí také migrovat na Azure Information Protection.Include your AD RMS partners in your planning phase for migration because they must also migrate to Azure Information Protection. Než uděláte některý z následujících kroků migrace, zajistěte, aby partneři splnili tyto podmínky:Before you do any of the following migration steps, make sure that the following is in place:

  • Mají tenanta služby Azure Active Directory, který podporuje službu Azure Rights Management.They have an Azure Active Directory tenant that supports the Azure Rights Management service.

    Mají například předplatné Office 365 E3 nebo E5, nebo předplatné Enterprise Mobility + Security, nebo samostatné předplatné služby Azure Information Protection.For example, they have an Office 365 E3 or E5 subscription, or an Enterprise Mobility + Security subscription, or a standalone subscription for Azure Information Protection.

  • Jejich služba Azure Rights Management ještě není aktivovaná, ale znají její adresu URL.Their Azure Rights Management service is not yet activated but they know their Azure Rights Management service URL.

    Tuto informaci můžou získat tak, že si nainstalují nástroj Azure Rights Management Tool, připojí se ke službě (Connect-Aadrmservice) a pak zobrazí informace o tenantovi služby Azure Rights Management (Get-AadrmConfiguration).They can get this information by installing the Azure Rights Management Tool, connecting to the service (Connect-AadrmService), and then viewing their tenant information for the Azure Rights Management service (Get-AadrmConfiguration).

  • Poskytnou vám adresy URL svého clusteru AD RMS a svoji adresu služby Azure Rights Management, abyste mohli migrované klienty nakonfigurovat tak, aby žádosti o jejich obsah chráněný službou AD RMS přesměrovali na službu Azure Rights Management jejich tenanta.They provide you with the URLs for their AD RMS cluster and their Azure Rights Management service URL, so that you can configure your migrated clients to redirect requests for their AD RMS protected content to their tenant's Azure Rights Management service. Pokyny ke konfiguraci přesměrování klientů jsou v kroku 7.Instructions for configuring client redirection are in step 7.

  • Naimportují si kořenové klíče (SLC) clusteru AD RMS do svého tenanta, než začnete migrovat vaše uživatele.They import their AD RMS cluster root keys (SLC) into their tenant before you start to migrate your users. Podobně i vy si musíte naimportovat kořenové klíče clusteru AD RMS, než vaši partneři začnou migrovat svoje uživatele.Similarly, you must import your AD RMS cluster root keys before they start to migrate their users. Pokyny k importu klíče jsou popsané v tomto procesu migrace – Krok 4: Export údajů o konfiguraci ze služby AD RMS a jejich import do Azure Information Protection.Instructions for importing the key are covered in this migration process, Step 4. Export configuration data from AD RMS and import it to Azure Information Protection.

Přehled kroků pro migraci služby AD RMS na službu Azure Information ProtectionOverview of the steps for migrating AD RMS to Azure Information Protection

Migrační kroky je možné rozdělit do pěti fází. Není třeba je provádět najednou a můžou je udělat různí správci.The migration steps can be divided into five phases that can be done at different times, and by different administrators.

FÁZE 1: PŘÍPRAVA NA MIGRACIPHASE 1: MIGRATION PREPARATION

  • Krok 1: Instalace modulu AADRM PowerShell a identifikovat URL vašeho klientaStep 1: Install the AADRM PowerShell module and identify your tenant URL

    Proces migrace vyžaduje, abyste spustili jednu nebo více rutin prostředí PowerShell z modulu AADRM.The migration process requires you to run one or more of the PowerShell cmdlets from the AADRM module. Budete potřebovat znát adresu URL služby Azure Rights Management svého klienta dokončit mnoho kroků migrace a můžete tuto hodnotu pro identitu pomocí prostředí PowerShell.You will need to know your tenant's Azure Rights Management service URL to complete many of the migration steps, and you can identity this value by using PowerShell.

  • Krok 2: Příprava na migraci klientůStep 2. Prepare for client migration

    Pokud nemůžete migrovat všechny klienty najednou, ale budete je přenášet v dávkách, použijte ovládací prvky postupného zprovoznění a nasaďte předmigrační skript.If you cannot migrate all clients at once and will migrate them in batches, use onboarding controls and deploy a pre-migration script. Pokud se vše migrovat ve stejnou dobu namísto postupné migraci, ale můžete přeskočit tento krok.However, if you will migrate everything at the same time rather than do a phased migration, you can skip this step.

  • Krok 3: Příprava vašeho nasazení Exchange na migraciStep 3: Prepare your Exchange deployment for migration

    Tento krok je nutný, pokud aktuálně používáte k ochraně e-mailů funkci IRM Exchange Online nebo místního Exchange.This step is required if you currently use the IRM feature of Exchange Online or Exchange on-premises to protect emails. Pokud se vše migrovat ve stejnou dobu namísto postupné migraci, ale můžete přeskočit tento krok.However, if you will migrate everything at the same time rather than do a phased migration, you can skip this step.

FÁZE 2: KONFIGURACE PRO SLUŽBU AD RMS NA STRANĚ SERVERUPHASE 2: SERVER-SIDE CONFIGURATION FOR AD RMS

  • Krok 4: Export údajů o konfiguraci ze služby AD RMS a jejich import do Azure Information ProtectionStep 4. Export configuration data from AD RMS and import it to Azure Information Protection

    Údaje o konfiguraci (klíče, šablony, adresy URL) exportujte ze služby AD RMS do souboru XML a pak tento soubor nahrajte do služby Azure Rights Management z Azure Information Protection pomocí powershellové rutiny Import-AadrmTpd.You export the configuration data (keys, templates, URLs) from AD RMS to an XML file, and then upload that file to the Azure Rights Management service from Azure Information Protection, by using the Import-AadrmTpd PowerShell cmdlet. Pak určete, který importovaný klíč serverového certifikátu pro vystavování licencí (SLC) chcete použít jako klíč tenanta pro službu Azure Rights Management.Then, identify which imported Server Licensor Certificate (SLC) key to use as your tenant key for the Azure Rights Management service. V závislosti na konfiguraci klíče služby AD RMS můžou být nutné další kroky:Additional steps might be needed, depending on your AD RMS key configuration:

    • Migrace klíče chráněného softwarem na klíč chráněný softwarem:Software-protected key to software-protected key migration:

      Centrálně spravované klíče využívající hesla klíče ve službě AD RMS na klíč tenanta spravovaného službou Microsoft Azure Information Protection.Centrally managed, password-based keys in AD RMS to Microsoft-managed Azure Information Protection tenant key. Toto je nejjednodušší způsob migrace a nejsou vyžadované žádné další kroky.This is the simplest migration path and no additional steps are required.

    • Migrace klíče chráněného HSM na klíč chráněný HSM:HSM-protected key to HSM-protected key migration:

      Klíče uložené modulem hardwarového zabezpečení pro službu AD RMS na zákazníkem spravovaný klíč tenanta Azure Information Protection (scénář Přineste si vlastní klíč neboli BYOK).Keys that are stored by an HSM for AD RMS to customer-managed Azure Information Protection tenant key (the “bring your own key” or BYOK scenario). To vyžaduje další kroky pro přenos klíče z místního modulu hardwarového zabezpečení Thales do služby Azure Key Vault a autorizaci služby Azure Rights Management k použití tohoto klíče.This requires additional steps to transfer the key from your on-premises Thales HSM to Azure Key Vault and authorize the Azure Rights Management service to use this key. Stávající klíč chráněný HSM musí být chráněný na úrovni modulu. Služba Rights Management nepodporuje klíče chráněné OCS.Your existing HSM-protected key must be module-protected; OCS-protected keys are not supported by Rights Management services.

    • Migrace klíče chráněného softwarem na klíč chráněný HSM:Software-protected key to HSM-protected key migration:

      Centrálně spravované klíče založené na hesle ve službě AD RMS na zákazníkem spravovaný klíč tenanta Azure Information Protection (scénář Přineste si vlastní klíč neboli BYOK).Centrally managed, password-based keys in AD RMS to customer-managed Azure Information Protection tenant key (the “bring your own key” or BYOK scenario). Tento postup vyžaduje největší konfiguraci, protože nejdřív je potřeba extrahovat softwarový klíč a importovat ho do místního modulu hardwarového zabezpečení a potom pomocí dalších kroků přenést tento klíč z místního modulu Thales HSM do modulu Azure Key Vault HSM a autorizovat službu Azure Rights Management k použití trezoru klíčů, ve kterém je tento klíč uložený.This requires the most configuration because you must first extract your software key and import it to an on-premises HSM, and then do the additional steps to transfer the key from your on-premises Thales HSM to an Azure Key Vault HSM and authorize the Azure Rights Management service to use the key vault that stores the key.

  • Krok 5: Aktivace služby Azure Rights ManagementStep 5. Activate the Azure Rights Management service

    Pokud je to možné, proveďte tento krok po dokončení procesu importu a ne dřív.If possible, do this step after the import process and not before. Pokud byla služba aktivována před importem, jsou nutné další kroky.Additional steps are required if the service was activated before the import.

  • Krok 6: Konfigurace importovaných šablonStep 6. Configure imported templates

    Při importu šablon zásad práv se jejich stav archivuje.When you import your rights policy templates, their status is archived. Pokud chcete, aby je uživatelé mohli zobrazovat a používat, musíte změnit stav šablony na portálu Azure Classic na Publikováno.If you want users to be able to see and use them, you must change the template status to be published in the Azure classic portal.

FÁZE 3: KONFIGURACE NA STRANĚ KLIENTAPHASE 3: CLIENT-SIDE CONFIGURATION

  • Krok 7: Překonfigurujte počítače se systémem Windows použít Azure Information ProtectionStep 7: Reconfigure Windows computers to use Azure Information Protection

    Stávající počítače s Windows je potřeba překonfigurovat tak, aby místo služby AD RMS používaly službu Azure Information Protection.Existing Windows computers must be reconfigured to use the Azure Rights Management service instead of AD RMS. Tento krok platí pro počítače ve vaší organizaci a v partnerských organizacích, pokud jste s nimi spolupracovali při používání AD RMS.This step applies to computers in your organization, and to computers in partner organizations if you have collaborated with them while you were running AD RMS.

FÁZE 4: KONFIGURACE PODPŮRNÝCH SLUŽEBPHASE 4: SUPPORTING SERVICES CONFIGURATION

  • Krok 8: Konfigurace integrace IRM pro Exchange OnlineStep 8: Configure IRM integration for Exchange Online

    Tento krok dokončí migraci AD RMS, aby Exchange Online teď používal službu Azure Rights Management.This step completes the AD RMS migration for Exchange Online to now use the Azure Rights Management service.

  • Krok 9: Konfigurace integrace IRM pro Exchange Server a SharePoint ServerStep 9: Configure IRM integration for Exchange Server and SharePoint Server

    Tento krok dokončí migraci AD RMS, aby Exchange nebo SharePoint v místním nasazení teď používal službu Azure Rights Management, což vyžaduje nasazení konektoru Rights Management.This step completes the AD RMS migration for Exchange or SharePoint on-premises to now use the Azure Rights Management service, which requires deploying the Rights Management connector.

FÁZE 5: ÚKOLY PO MIGRACIPHASE 5: POST MIGRATION TASKS

  • Krok 10: Zrušení AD RMSStep 10: Deprovision AD RMS

    Až se ujistíte, že všechny počítače se systémem Windows používají službu Azure Rights Management a jsou už nepřistupují serverů AD RMS, můžete je zrušit jejich zřízení nasazení služby AD RMS.When you have confirmed that all Windows computers are using the Azure Rights Management service and are no longer accessing your AD RMS servers, you can deprovision your AD RMS deployment.

  • Krok 11: Dokončení úlohy migrace klientůStep 11: Complete client migration tasks

    Pokud jste nasadili rozšíření pro mobilní zařízení pro podporu mobilních zařízení, jako jsou telefony s iOS a Ipady, telefony Android a tablety, Windows phone a počítače Mac, musíte odebrat záznamy SRV služby DNS, které tyto klienty přesměrovaly na používání AD RMS.If you have deployed the mobile device extension to support mobile devices such as iOS phones and iPads, Android phones and tablets, Windows phone, and Mac computers, you must remove the SRV records in DNS that redirected these clients to use AD RMS.

    Ovládací prvky postupného zprovoznění, které jste nakonfigurovali ve fázi přípravy, už nejsou potřeba.The onboarding controls that you configured during the preparation phase are no longer needed. Ale vzhledem k tomu, že jste se rozhodli migrovat všechno současně spíše než postupné migraci nepoužili ovládací prvky připojování, můžete přeskočit pokyny k odebrání ovládacích prvků připojování.However, if you did not use onboarding controls because you chose to migrate everything at the same time rather than do a phased migration, you can skip the instructions to remove the onboarding controls.

    Pokud vaše počítače se systémem Windows používají Office 2010, zkontrolujte, zda je nutné zakázat správu šablony zásad práv služby RMS AD (automatické) úloh.If your Windows computers are running Office 2010, check whether you need to disable the AD RMS Rights Policy Template Management (Automated) task.

  • Krok 12: Změna hodnoty klíče klíč klienta Azure Information ProtectionStep 12: Rekey your Azure Information Protection tenant key

    Tento krok se doporučuje, když jste nepoužívali kryptografický režim 2 před migrací.This step is recommended if you were not running in Cryptographic Mode 2 before the migration.

Další krokyNext steps

Až budete chtít zahájit migraci, přejděte k fázi 1 – příprava.To start the migration, go to Phase 1 - preparation.

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.