Migrationsphase 1: Vorbereitung

Gilt für: Active Directory Rights Management Services, Azure Information Protection, Office 365

Relevant für: AIP-Client für einheitliche Bezeichnungen und den klassischen Client

Hinweis

Der klassische Azure Information Protection-Client und die Bezeichnungsverwaltung im Azure-Portal werden am 31. März 2021 als veraltet markiert, um eine einheitliche und optimierte Kundenumgebung zu gewährleisten. Der klassische Client funktioniert zwar weiterhin wie konfiguriert, es wird aber kein weiterer Support bereitgestellt, und es werden keine Wartungsversionen für den klassischen Client mehr veröffentlicht.

Wir empfehlen, zu einheitlichen Bezeichnungen zu migrieren und ein Upgrade auf den Client für einheitliche Bezeichnungen durchzuführen. Weitere Informationen finden Sie in unserem jüngsten Blog zu veralteten Versionen.

Verwenden Sie die folgenden Informationen für Phase 1 der Migration von AD RMS zu Azure Information Protection. Diese Verfahren behandeln die Schritte 1 bis 3 von Migrieren von AD RMS zu Azure Information Protection und bereiten Ihre Umgebung für die Migration vor, ohne Ihre Benutzer zu beeinflussen.

Schritt 1: Installieren des PowerShell-Moduls "AIPService" und Identifizieren Ihrer Mandanten-URL

Installieren Sie das AIPService-Modul, damit Sie den Dienst konfigurieren und verwalten können, der den Datenschutz für Azure Information Protection.

Anweisungen finden Sie unter Installieren des PowerShell-Moduls "AIPService".

Um einige der Migrationsanweisungen abschließen zu können, müssen Sie die Azure Rights Management-Dienst-URL für Ihren Mandanten kennen, damit Sie sie ersetzen können, wenn Verweise auf angezeigt <Your Tenant URL> werden.

Die Azure Rights Management-Dienst-URL weist das folgende Format auf: {GUID}.rms.[Region].aadrm.com. Beispiel: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

So identifizieren Sie Ihre Azure Rights Management-Dienst-URL

  1. Stellen Sie eine Verbindung mit dem Azure Rights Management-Dienst her, und geben Sie die Anmeldeinformationen für den globalen Administrator Ihres Mandanten an, wenn Sie dazu aufgefordert werden:

    Connect-AipService
    
  2. Abrufen der Konfiguration Ihres Mandanten:

    Get-AipServiceConfiguration
    
  3. Kopieren Sie den Wert für die LicensingIntranetDistributionPointUrl, und entfernen Sie /_wmcs\licensing aus dieser Zeichenfolge.

    Was zurück bleibt, ist Ihre Azure Rights Management-Dienst-URL für Ihren Azure Rights Management-Mandanten. Dieser Wert wird auf mit Ihre Mandanten-URL in den folgenden Migrationsanweisungen abgekürzt.

    Sie können überprüfen, ob Sie den korrekten Wert besitzen, indem Sie den folgenden PowerShell-Befehl ausführen.

    (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
    

Schritt 2: Vorbereitung für die Clientmigration

Für die meisten Migrationen ist es nicht sehr praktisch, alle Clients auf einmal zu migrieren, also werden Sie diese eher in Batches migrieren.

Das bedeutet, dass einige Clients über einen Zeitraum Azure Information Protection und einige noch immer AD RMS verwenden. Um jeweils zuvor migrierte und migrierte Benutzer zu unterstützen, verwenden Sie Onboarding-Steuerelemente, und stellen Sie ein Skript vor der Migration bereit.

Hinweis

Dieser Schritt ist während der Migration erforderlich, damit Benutzer, die noch nicht migriert haben, Inhalt verwenden, der durch migrierte Benutzer geschützt wurde, die jetzt Azure Rights Management verwenden.

So bereiten Sie die Clientmigration vor

  1. Erstellen Sie eine Gruppe, z.B. mit dem Namen AIPMigrated. Diese Gruppe kann in Active Directory erstellt und mit der Cloud synchronisiert oder in einem Microsoft 365 oder Azure Active Directory.

    Weisen Sie zu diesem Zeitpunkt keinen Benutzer dieser Gruppe zu. Sie fügen Benutzer erst später hinzu, wenn sie migriert werden.

  2. Notieren Sie sich die Objekt-ID dieser Gruppe mithilfe einer der folgenden Methoden:

    • Verwenden Azure AD PowerShell. Verwenden Sie beispielsweise für Version 1.0 des Moduls den Befehl Get-MsolGroup.
    • Kopieren Sie die Objekt-ID der Gruppe aus dem Azure-Portal.
  3. Konfigurieren Sie diese Gruppe für Onboarding-Steuerelemente, um nur Benutzern in dieser Gruppe zu erlauben, Azure Rights Management zu verwenden, um Inhalte zu schützen.

    Stellen Sie hierzu in einer PowerShell-Sitzung eine Verbindung mit dem Azure Rights Management her. Wenn Sie dazu aufgefordert werden, geben Sie Ihre Anmeldeinformationen für den globalen Administrator an:

    Connect-AipService
    

    Konfigurieren Sie diese Gruppe für das Onboarding von Steuerelementen, und substituieren Sie dabei die Gruppenobjekt-ID durch die in diesem Beispiel. Geben Sie zur Bestätigung Y ein, wenn Sie dazu aufgefordert werden.

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
    
  4. Laden Sie dieMigration-Scripts.zip herunter.

  5. Extrahieren Sie die Dateien, und befolgen Sie die Anweisungen unter Prepare-Client.cmd, damit sie den Servernamen für Ihre AD RMS-Extranetlizenzierungs-URL enthält. Gehen Sie wie folgt vor, um nach diesem Namen zu suchen:

    1. Klicken Sie in der Active Directory Rights Management Services-Konsole auf den Clusternamen.

    2. Kopieren Sie unter Clusterdetails den Servernamen aus dem Wert Lizenzierung aus dem Abschnitt Extranetcluster-URLs. Beispiel: rmscluster.contoso.com.

    Wichtig

    Diese Anleitung behandelt auch das Ersetzen der Beispieladressen adrms.contoso.com durch de Adressen Ihrer AD RMS-Server.

    Achten Sie dabei darauf, dass es keine zusätzlichen Leerzeichen vor oder nach Ihren Adressen gibt. Zusätzliche Leerzeichen führen zu einer Unterbrechung des Migrationsskripts und sind sehr schwer als Grundursache des Problems zu identifizieren.

    Nach dem Einfügen von Text fügen einige Bearbeitungstools automatisch ein Leerzeichen an.

  6. Stellen Sie dieses Skript für alle Windows-Computer bereit, um sicherzustellen, dass wenn Sie mit dem Migrieren von Clients beginnen, Clients, die noch migriert werden müssen, weiterhin mit AD RMS kommunizieren, auch wenn Sie Inhalt verwenden, der durch migrierte Clients geschützt ist, die nun den Azure Rights Management-Dienst nutzen.

    Sie können Gruppenrichtlinien oder einen anderen Mechanismus zum Bereitstellen von Software zur Bereitstellung dieser Skripts verwenden.

Schritt 3: Vorbereiten Ihrer Exchange-Bereitstellung für die Migration vor

Wenn Sie Exchange lokal oder Exchange Online verwenden, verfügen Sie womöglich über den zuvor integrierten Exchange-Knoten mit Ihrer AD RMS-Bereitstellung. In diesem Schritt konfigurieren Sie sie so, damit Sie die vorhandene AD RMS-Konfiguration verwenden, um Inhalt zu unterstützen, der durch Azure RMS geschützt ist.

Stellen Sie sicher, dass Sie über Ihre Azure Rights Management-Dienst-URL für Ihren Mandanten verfügen, damit Sie diesen Wert mit <IhrerMandantenURL> in den folgenden Befehlen austauschen können.

Führen Sie einen der folgenden Schritte aus, je nachdem, ob Sie lokale Exchange oder Exchange Online mit AD RMS:

Wenn Sie eine integrationsintegrierte Exchange Online in AD RMS

  1. Öffnen Sie Exchange Online PowerShell-Sitzung.

  2. Führen Sie die folgenden PowerShell-Befehle entweder nach dem anderen oder in einem Skript aus:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -internallicensingenabled $true 
    

Wenn Sie die Exchange lokalen Umgebung mit AD RMS

Fügen Sie für Exchange Organisation registrierungswerte auf jedem serverseitigen Exchange hinzu, und führen Sie dann PowerShell-Befehle aus:

  1. Wenn Sie 2013 Exchange 2013 oder Exchange 2016 haben, fügen Sie den folgenden Registrierungswert hinzu:

    • Registrierungspfad:HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Geben Sie ein: Reg_SZ

    • Wert: https://\<Your Tenant URL\>/_wmcs/licensing

    • Daten:https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

  2. Führen Sie die folgenden PowerShell-Befehle entweder nach dem anderen oder in einem Skript aus:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -RefreshServerCertificates
    Set-IRMConfiguration -internallicensingenabled $true
    IISReset
    

Nach dem Ausführen dieser Befehle für Exchange Online oder lokales Exchange unterstützt Ihre Exchange-Bereitstellung, wenn sie konfiguriert wurde, von AD RMS geschützten Inhalt zu unterstützen, auch den Inhalt, der von Azure RMS nach der Migration geschützt wird.

Ihre Exchange-Bereitstellung verwendet weiterhin AD RMS, um geschützten Inhalt bis zu einem späteren Schritt in der Migration zu schützen.

Nächste Schritte

Gehen Sie unter Phase 2: Serverseitige Konfiguration.