Migrationsphase 1 – Vorbereitung

Verwenden Sie die folgenden Informationen für Phase 1 der Migration von AD RMS zu Azure Information Protection. Diese Verfahren umfassen die Schritte 1 bis 3 von der Migration von AD RMS zu Azure Information Protection und bereiten Ihre Umgebung für die Migration ohne Auswirkungen auf Ihre Benutzer vor.

Schritt 1: Installieren Sie das AIPService PowerShell-Modul und identifizieren Sie die URL Ihres Mandanten

Installieren Sie das Modul AIPService, damit Sie den Dienst, der den Datenschutz für Azure Information Protection bereitstellt, konfigurieren und verwalten können.

Anweisungen finden Sie unter Installation des AIPService PowerShell-Moduls.

Um einige der Migrationsanweisungen abzuschließen, müssen Sie die Azure Rights Management-Dienst-URL für Ihren Mandanten kennen, damit Sie diese ersetzen können, wenn Verweise auf <Ihre Mandanten-URL> angezeigt werden.

Die URL Ihres Azure Rights Management-Diensts hat das folgende Format: {GUID}.rms.[Region].aadrm.com. Zum Beispiel: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

Ermitteln der URL Ihres Azure Rights Management-Diensts

1. Stellen Sie eine Verbindung zum Azure Rights Management-Dienst her und geben Sie bei der entsprechenden Aufforderung die Anmeldedaten des globalen Administrators Ihres Mandanten an:

   Connect-AipService
   

2. Abrufen der Konfiguration Ihres Mandanten:

   Get-AipServiceConfiguration
   

3. Kopieren Sie den für LicensingIntranetDistributionPointUrl angezeigten Wert und entfernen Sie /_wmcs\licensing aus dieser Zeichenkette.

   Was übrigbleibt, ist die URL Ihres Azure Rights Management-Dienstes für Ihren Azure Information Protection-Mandant. Dieser Wert wird in den folgenden Migrationsanweisungen oft kurz als Ihre Mandanten-URL bezeichnet.

   Ob Sie den richtigen Wert haben, können Sie mit dem folgenden PowerShell-Befehl prüfen:

   (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
   

Schritt 2: Vorbereiten der Client-Migration

Bei den meisten Migrationen ist es nicht praktisch, alle Clients gleichzeitig zu migrieren. Sie migrieren Clients wahrscheinlich in Batches.

Dies bedeutet, dass einige Clients Azure Information Protection verwenden und einige weiterhin AD RMS verwenden. Verwenden Sie Onboarding-Steuerelemente, und stellen Sie ein Skript für die Vormigration bereit, um sowohl die wichtigsten als auch migrierten Benutzer zu unterstützen.

Hinweis

Dieser Schritt ist während des Migrationsprozesses erforderlich, damit die noch nicht migrierten Benutzer Inhalte nutzen können, die durch migrierte Benutzer geschützt wurden, die jetzt Azure Rights Management verwenden.

Vorbereitung der Kundenmigration

1. Erstellen Sie eine Gruppe, z. B. mit dem Namen AIPMigrated. Diese Gruppe kann in Active Directory erstellt und mit der Cloud synchronisiert werden, oder sie kann in Microsoft 365 oder Microsoft Entra ID erstellt werden.

   Weisen Sie dieser Gruppe derzeit keine Benutzer zu. Fügen Sie sie zu einem späteren Zeitpunkt, wenn Benutzer migriert werden, der Gruppe hinzu.

2. Notieren Sie sich die Objekt-ID dieser Gruppe mithilfe einer der folgenden Methoden.

   • Verwenden Sie Microsoft Graph PowerShell. Verwenden Sie beispielsweise den Befehl "Get-MgGroup ".
   • Kopieren Sie die Objekt-ID der Gruppe aus dem Azure-Portal.

3. Konfigurieren Sie diese Gruppe für Onboarding-Steuerelemente, damit nur Personen in dieser Gruppe Azure Rights Management zum Schutz von Inhalten verwenden können.

   Stellen Sie zum Ausführen dieser Konfiguration in einer PowerShell-Sitzung eine Verbindung mit dem Azure Rights Management-Dienst her. Wenn Sie dazu aufgefordert werden, geben Sie Ihre anmeldeinformationen für den globalen Administrator an.

   Connect-AipService
   

   Konfigurieren Sie diese Gruppe für Onboarding-Steuerelemente, indem Sie Ihre Gruppenobjekt-ID durch die in diesem Beispiel angegebene ersetzen. Wenn Sie dazu aufgefordert werden, geben Sie Y zur Bestätigung ein.

   Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
   

4. Laden Sie die Datei Migration-Scripts.zip herunter.

5. Extrahieren Sie die Dateien und befolgen Sie die Anweisungen in Prepare-Client.cmd, so dass sie den Servernamen für die Extranet-Lizenzierungs-URL Ihres AD RMS-Clusters enthält. Führen Sie die folgenden Schritte aus, um diesen Namen zu finden.

   1. Wählen Sie in der Active Directory Rights Management Services-Konsole den Clusternamen aus.

   2. Kopieren Sie in den Clusterdetails den Servernamen aus dem Wert Lizenzierung aus dem Abschnitt Extranetcluster-URLs. Zum Beispiel: rmscluster.contoso.com.

   Wichtig

   Die Anweisungen enthalten Beispieladressen von adrms.contoso.com, die durch Ihre AD RMS-Serveradressen zu ersetzen sind.

   Achten Sie dabei darauf, dass keine zusätzlichen Leerzeichen vor oder nach den Adressen stehen. Zusätzliche Leerzeichen machen das Migrationsskript kaputt und es ist sehr schwer, die Ursache des Problems zu erkennen.

   Manche Bearbeitungstools fügen nach dem Einfügen von Text automatisch ein Leerzeichen hinzu.

6. Stellen Sie dieses Skript auf allen Windows-Computern bereit, um sicherzustellen, dass zu Beginn der Client-Migration die noch zu migrierenden Clients weiterhin mit AD RMS kommunizieren, auch wenn sie Inhalte nutzen, die durch migrierte Clients geschützt sind, die jetzt den Azure Rights Management-Dienst verwenden.

   Sie können Gruppenrichtlinien oder einen anderen Mechanismus zur Softwarebereitstellung verwenden, um dieses Skript bereitzustellen.

Schritt 3: Vorbereiten der Exchange-Bereitstellung für die Migration

Wenn Sie Exchange lokal oder Exchange online verwenden, haben Sie Exchange möglicherweise zuvor in Ihre AD RMS-Bereitstellung integriert. Konfigurieren Sie sie in diesem Schritt so, dass sie die vorhandene AD RMS-Konfiguration verwenden, um inhalte zu unterstützen, die durch Azure RMS geschützt sind.

Stellen Sie sicher, dass die URL Ihres Azure Rights Management-Diensts für Ihren Mandanten haben, damit Sie diesen Wert in den folgenden Befehlen für <YourTenantURL> einsetzen können.

Führen Sie eine der folgenden Aktionen aus, je nachdem, ob Sie Exchange lokal oder Exchange Online mit AD RMS integriert haben:

• Integriertes Exchange vor Ort mit AD RMS
• Integriertes Exchange Online mit AD RMS

Wenn Sie Exchange Online mit AD RMS integriert haben

1. Öffnen Sie eine Exchange Online PowerShell-Sitzung.

2. Führen Sie die folgenden PowerShell-Befehle entweder einzeln oder in einem Skript aus.

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -internallicensingenabled $true 
   

Wenn Sie Exchange vor Ort mit AD RMS integriert haben

Fügen Sie für jede Exchange-Organisation Registrierungswerte auf jedem Exchange-Server hinzu, und führen Sie dann PowerShell-Befehle aus:

1. Wenn Sie Exchange 2013 oder Exchange 2016 verwenden, fügen Sie den folgenden Registrierungswert hinzu:

   • Registrierungspfad: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

   • Typ: Reg_SZ

   • Wert: https://\<Your Tenant URL\>/_wmcs/licensing

   • Daten: https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

2. Führen Sie die folgenden PowerShell-Befehle aus, entweder einzeln oder in einem Skript:

   $irmConfig = Get-IRMConfiguration
   $list = $irmConfig.LicensingLocation
   $list += "<YourTenantURL>/_wmcs/licensing"
   Set-IRMConfiguration -LicensingLocation $list
   Set-IRMConfiguration -internallicensingenabled $false
   Set-IRMConfiguration -RefreshServerCertificates
   Set-IRMConfiguration -internallicensingenabled $true
   IISReset
   

Nachdem Sie diese Befehle für Exchange Online oder lokale Exchange ausgeführt haben, unterstützt sie auch Inhalte, die durch AD RMS geschützt wurden, wenn Ihre Exchange-Bereitstellung für die Unterstützung von Inhalten konfiguriert wurde, die von Azure RMS nach der Migration geschützt wurden.

Ihre Exchange-Bereitstellung verwendet WEITERHIN AD RMS, um geschützte Inhalte bis zu einem späteren Schritt in der Migration zu unterstützen.

Nächste Schritte

Gehen Sie zu Phase 2 – Serverseitige Konfiguration.