Migrace ze služby AD RMS do služby Azure Information Protection
Pomocí následujících pokynů můžete migrovat nasazení služba AD RMS (Active Directory Rights Management Services) (AD RMS) do služby Azure Information Protection.
Po migraci se servery AD RMS už nepoužívají, ale uživatelé mají stále přístup k dokumentům a e-mailovým zprávům, které vaše organizace chránila pomocí AD RMS. Nově chráněný obsah bude používat službu Azure Rights Management (Azure RMS) ze služby Azure Information Protection.
Doporučené čtení před migrací na Azure Information Protection
I když to není nutné, může být užitečné si před zahájením migrace přečíst následující dokumentaci. Tyto znalosti vám poskytují lepší znalosti o tom, jak technologie funguje, když je relevantní pro váš krok migrace.
Plánování a implementace klíče tenanta Služby Azure Information Protection: Seznamte se s možnostmi správy klíčů, které máte pro tenanta Služby Azure Information Protection, kde je ekvivalent klíče SLC v cloudu spravovaný microsoftem (výchozí) nebo spravovaný vámi (konfigurace Přineste si vlastní klíč nebo BYOK).
Zjišťování služby RMS: Tato část poznámek k nasazení klienta SLUŽBY RMS vysvětluje, že pořadí zjišťování služeb je registr, pak spojovací bod služby (SCP) a cloud. Během procesu migrace, když je spojovací bod služby stále nainstalovaný, nakonfigurujete klienty s nastavením registru pro vašeho tenanta Služby Azure Information Protection tak, aby nepoužívali cluster SLUŽBY AD RMS vrácený z spojovacího bodu služby.
Přehled konektoru Microsoft Rights Management: Tato část z dokumentace ke službě RMS Connector vysvětluje, jak se místní servery můžou připojit ke službě Azure Rights Management za účelem ochrany dokumentů a e-mailů.
Pokud navíc nevíte, jak SLUŽBA AD RMS funguje, může být užitečné přečíst si, jak Azure RMS funguje? Pod kapotou vám pomůže identifikovat, které technologické procesy jsou pro cloudovou verzi stejné nebo odlišné.
Požadavky pro migraci služby AD RMS na Azure Information Protection
Než začnete s migrací na Azure Information Protection, ujistěte se, že jsou splněné následující požadavky a že rozumíte všem omezením.
Podporované nasazení SLUŽBY RMS:
Následující verze služby AD RMS podporují migraci do služby Azure Information Protection:
Windows Server 2012 (x64)
Windows Server 2012 R2 (x64)
Windows Server 2016 (x64)
Podporují se všechny platné topologie služby AD RMS:
Jedna doménová struktura, jeden cluster RMS
Jedna doménová struktura, několik clusterů RMS pouze s licencováním
Více doménových struktur, více clusterů RMS
Poznámka:
Ve výchozím nastavení se několik clusterů AD RMS migruje do jednoho tenanta služby Azure Information Protection. Pokud chcete samostatné tenanty pro Azure Information Protection, musíte s nimi zacházet jako s různými migracemi. Klíč z jednoho clusteru RMS nelze importovat do více než jednoho tenanta.
Všechny požadavky na spuštění služby Azure Information Protection, včetně předplatného služby Azure Information Protection (služba Azure Rights Management není aktivovaná):
Viz Požadavky pro Azure Information Protection.
Klient služby Azure Information Protection se vyžaduje pro klasifikaci a označování a volitelné, ale doporučuje se, pokud chcete chránit pouze data.
Další informace najdete v průvodcích správcem klienta sjednoceného popisování služby Azure Information Protection.
I když před zahájením migrace ze služby AD RMS musíte mít předplatné služby Azure Information Protection, doporučujeme, abyste službu Rights Management pro vašeho tenanta neaktivovali.
Proces migrace zahrnuje tento krok aktivace po exportu klíčů a šablon ze služby AD RMS a jejich importu do vašeho tenanta pro Azure Information Protection. Pokud je však služba Rights Management už aktivovaná, můžete migrovat ze služby AD RMS pomocí dalších kroků.
Jenom Office 2010:
Pokud máte počítače s Office 2010, musíte nainstalovat klienta služby Azure Information Protection, aby bylo možné ověřovat uživatele v cloudových službách.
Důležité
Rozšířená podpora Office 2010 skončila 13. října 2020. Další informace najdete v tématu AIP a starší verze Windows a Office.
Příprava pro Azure Information Protection:
Synchronizace adresářů mezi místním adresářem a ID Microsoft Entra
Skupiny s podporou pošty v Microsoft Entra ID
Viz Příprava uživatelů a skupin pro Azure Information Protection.
Pokud jste použili funkci Správa přístupových práv k informacím (IRM) systému Exchange Server (například pravidla přenosu a Outlook Web Access) nebo SharePoint Server se službou AD RMS:
Naplánujte si krátkou dobu, kdy na těchto serverech nebude technologie IRM dostupná.
IrM můžete na těchto serverech dál používat i po migraci. Jedním z kroků migrace je dočasné zakázání služby IRM, instalace a konfigurace konektoru, změna konfigurace serverů a následné opětovné povolení IRM.
Toto je jediné přerušení služby během procesu migrace.
Pokud chcete spravovat vlastní klíč tenanta Azure Information Protection pomocí klíče chráněného HSM:
- Tato volitelná konfigurace vyžaduje Službu Azure Key Vault a předplatné Azure, které podporuje službu Key Vault s klíči chráněnými HSM. Další informace najdete na stránce s cenami služby Azure Key Vault.
Důležité informace o kryptografickém režimu
Pokud je váš cluster SLUŽBY AD RMS aktuálně v kryptografickém režimu 1, před zahájením migrace neupgradujte cluster na kryptografický režim 2. Místo toho migrujte pomocí kryptografického režimu 1 a klíč tenanta můžete na konci migrace znovu na klíč na konci migrace znovu naklíčovat jako jednu z úloh po migraci.
Pokud chcete potvrdit kryptografický režim služby AD RMS pro Windows Server 2012 R2 a Windows 2012: Karta Obecné vlastnosti >clusteru AD RMS.
Omezení migrace
Pokud máte software a klienty, kteří nejsou podporováni službou Rights Management, která je používána službou Azure Information Protection, nebudou moct chránit ani využívat obsah, který je chráněný službou Azure Rights Management. Nezapomeňte zkontrolovat podporované aplikace a klienty v části Požadavky pro Azure Information Protection.
Pokud je vaše nasazení SLUŽBY AD RMS nakonfigurované tak, aby spolupracovalo s externími partnery (například pomocí důvěryhodných domén uživatelů nebo federace), musí také migrovat na Azure Information Protection současně s migrací nebo co nejdříve potom. Pokud chcete dál přistupovat k obsahu, který vaše organizace dříve chránila pomocí služby Azure Information Protection, musí provádět změny konfigurace klienta, které jsou podobné těm, které jste udělali, a zahrnout do tohoto dokumentu.
Vzhledem k možným variantám konfigurace, které vaši partneři mohou mít, jsou přesné pokyny pro tuto rekonfiguraci pro tento dokument mimo rozsah. Pokyny k plánování a další nápovědu ale najdete v další části, kontaktujte podpora Microsoftu.
Plánování migrace, pokud spolupracujete s externími partnery
Zahrňte své partnery AD RMS do fáze plánování migrace, protože musí také migrovat na Azure Information Protection. Než provedete některý z následujících kroků migrace, ujistěte se, že platí následující:
Mají tenanta Microsoft Entra, který podporuje službu Azure Rights Management.
Mají například předplatné Office 365 E3 nebo E5, předplatné Enterprise Mobility + Security nebo samostatné předplatné pro Azure Information Protection.
Služba Azure Rights Management ještě není aktivovaná, ale zná adresu URL služby Azure Rights Management.
Tyto informace můžou získat instalací nástroje Azure Rights Management, připojením ke službě (Připojení-AipService) a následným zobrazením informací o tenantovi pro službu Azure Rights Management (Get-AipServiceConfiguration).
Poskytují adresy URL pro svůj cluster AD RMS a jejich adresu URL služby Azure Rights Management, abyste mohli migrované klienty nakonfigurovat tak, aby přesměrovávali požadavky na jejich obsah chráněný službou AD RMS do služby Azure Rights Management svého tenanta. Pokyny ke konfiguraci přesměrování klienta jsou v kroku 7.
Před zahájením migrace uživatelů naimportují své kořenové klíče clusteru AD RMS (SLC) do svého tenanta. Podobně musíte naimportovat kořenové klíče clusteru AD RMS, než začnou migrovat své uživatele. Pokyny pro import klíče jsou popsané v tomto procesu migrace– krok 4. Exportujte konfigurační data ze služby AD RMS a importujte je do služby Azure Information Protection.
Přehled kroků pro migraci služby AD RMS na Azure Information Protection
Kroky migrace je možné rozdělit do pěti fází, které je možné provádět v různých časech, a různými správci.
Fáze 1: Příprava migrace
Další informace najdete v tématu FÁZE 1: PŘÍPRAVA MIGRACE.
Krok 1: Instalace modulu AIPService PowerShell a identifikace adresy URL tenanta
Proces migrace vyžaduje spuštění jedné nebo více rutin PowerShellu z modulu AIPService. K dokončení mnoha kroků migrace budete potřebovat znát adresu URL služby Azure Rights Management vašeho tenanta a tuto hodnotu můžete identitovat pomocí PowerShellu.
Krok 2. Příprava na migraci klientů
Pokud nemůžete migrovat všechny klienty najednou a budete je migrovat v dávkách, použijte ovládací prvky onboardingu a nasaďte skript před migrací. Pokud ale budete migrovat všechno najednou, nemusíte provádět fázovanou migraci, můžete tento krok přeskočit.
Krok 3: Příprava nasazení Exchange na migraci
Tento krok se vyžaduje, pokud k ochraně e-mailů aktuálně používáte funkci IRM exchange Online nebo místního Exchange. Pokud ale budete migrovat všechno najednou, nemusíte provádět fázovanou migraci, můžete tento krok přeskočit.
Fáze 2: Konfigurace na straně serveru pro SLUŽBU AD RMS
Další informace naleznete v tématu FÁZE 2: KONFIGURACE NA STRANĚ SERVERU PRO SLUŽBU AD RMS.
Krok 4. Export konfiguračních dat ze služby AD RMS a jejich import do služby Azure Information Protection
Exportujete konfigurační data (klíče, šablony, adresy URL) ze služby AD RMS do souboru XML a pak tento soubor nahrajete do služby Azure Rights Management ze služby Azure Information Protection pomocí rutiny PowerShellu Import-AipServiceTpd. Pak určete, který importovaný klíč serverového certifikátu pro vystavování licencí (SLC), který se má použít jako klíč tenanta pro službu Azure Rights Management. V závislosti na konfiguraci klíče AD RMS můžou být potřeba další kroky:
Migrace klíče chráněného softwarem na klíč chráněný softwarem:
Centrálně spravované klíče založené na heslech ve službě AD RMS na klíč tenanta Azure Information Protection spravovaného Microsoftem Toto je nejjednodušší cesta migrace a nejsou potřeba žádné další kroky.
Migrace klíče chráněného HSM na klíč chráněný HSM:
Klíče, které jsou uložené modulem HSM pro SLUŽBU AD RMS k klíči tenanta azure Information Protection spravovanému zákazníkem (scénář Přineste si vlastní klíč nebo BYOK). To vyžaduje další kroky pro přenos klíče z místního modulu nCipher HSM do služby Azure Key Vault a autorizaci služby Azure Rights Management pro použití tohoto klíče. Váš stávající klíč chráněný modulem HSM musí být chráněný modulem; Služby Rights Management nepodporují klíče chráněné ocs.
Migrace klíče chráněného softwarem na klíč chráněný HSM:
Centrálně spravované klíče založené na heslech ve službě AD RMS na klíč tenanta Azure Information Protection spravovaný zákazníkem (scénář Přineste si vlastní klíč nebo BYOK). To vyžaduje největší konfiguraci, protože musíte nejprve extrahovat softwarový klíč a importovat ho do místního modulu HSM a pak provést další kroky pro přenos klíče z místního modulu nCipher HSM do HSM služby Azure Key Vault a autorizaci služby Azure Rights Management k používání trezoru klíčů, který tento klíč ukládá.
Krok 5. Aktivace služby Azure Rights Management
Pokud je to možné, proveďte tento krok po importu a ne dříve. Další kroky jsou vyžadovány, pokud byla služba aktivována před importem.
Krok 6. Konfigurace importovaných šablon
Při importu šablon zásad práv se jejich stav archivuje. Pokud chcete, aby je uživatelé viděli a používali, musíte změnit stav šablony, který se má publikovat na portálu Azure Classic.
Fáze 3: Konfigurace na straně klienta
Další informace naleznete v tématu FÁZE 3: KONFIGURACE NA STRANĚ KLIENTA.
Krok 7: Změna konfigurace počítačů s Windows na používání služby Azure Information Protection
Stávající počítače s Windows musí být překonfigurované tak, aby používaly službu Azure Rights Management místo služby AD RMS. Tento krok platí pro počítače ve vaší organizaci a pro počítače v partnerských organizacích, pokud jste s nimi spolupracovali během spouštění služby AD RMS.
Fáze 4: Podpora konfigurace služeb
Další informace naleznete ve FÁZI 4: PODPORA KONFIGURACE SLUŽEB.
Krok 8: Konfigurace integrace IRM pro Exchange Online
Tento krok dokončí migraci AD RMS pro Exchange Online, aby teď používal službu Azure Rights Management.
Krok 9: Konfigurace integrace IRM pro Exchange Server a SharePoint Server
Tento krok dokončí migraci služby AD RMS pro místní Exchange nebo SharePoint, aby teď používal službu Azure Rights Management, která vyžaduje nasazení konektoru Rights Management.
Fáze 5: Úlohy po migraci
Další informace naleznete ve fázi 5: ÚLOHY PO MIGRACI.
Krok 10: Zrušení zřízení služby AD RMS
Po potvrzení, že všechny počítače s Windows používají službu Azure Rights Management a už nemají přístup k vašim serverům AD RMS, můžete zrušit zřízení nasazení služby AD RMS.
Krok 11: Dokončení úloh migrace klientů
Pokud jste nasadili rozšíření mobilního zařízení pro podporu mobilních zařízení, jako jsou telefony s iOSem a iPady, telefony a tablety s Androidem, telefony a tablety s Windows a počítače Mac, musíte odebrat záznamy SRV v DNS, které tyto klienty přesměrovaly, aby mohli používat SLUŽBU AD RMS.
Ovládací prvky onboardingu, které jste nakonfigurovali během přípravné fáze, už nejsou potřeba. Pokud jste ale nepoužili ovládací prvky onboardingu, protože jste se rozhodli migrovat všechno najednou místo postupné migrace, můžete přeskočit pokyny k odebrání ovládacích prvků onboardingu.
Pokud na počítačích s Windows běží Office 2010, zkontrolujte, jestli potřebujete zakázat úlohu Správy šablon přístupových práv služby AD RMS (automatizované).
Důležité
Rozšířená podpora Office 2010 skončila 13. října 2020. Další informace najdete v tématu AIP a starší verze Windows a Office.
Krok 12: Opětovné vytvoření klíče tenanta Azure Information Protection
Tento krok se doporučuje, pokud jste před migrací neběželi v kryptografickém režimu 2.
Další kroky
Pokud chcete zahájit migraci, přejděte do fáze 1 – příprava.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro