Migrieren von AD RMS zu Azure Information Protection

Gilt für: Active Directory Rights Management Services, Azure Information Protection, Office 365

Relevant für:AIP Unified Labeling Client and Classic Client

Hinweis

Um eine einheitliche und optimierte Benutzererfahrung zu bieten, werden der klassische Azure Information Protection-Client und die Bezeichnungsverwaltung im Azure-Portal ab dem 31. März 2021 nicht mehr unterstützt. Für den klassischen Client wird kein weiterer Support bereitgestellt, und Wartungsversionen werden nicht mehr veröffentlicht.

Der klassische Client wird offiziell eingestellt und wird am 31. März 2022 eingestellt.

Alle aktuellen Kunden des klassischen Azure Information Protection-Clients müssen zur einheitlichen Microsoft Information Protection Beschriftungsplattform migrieren und ein Upgrade auf den einheitlichen Bezeichnungsclient durchführen. Weitere Informationen finden Sie in unserem Migrationsblog.

Verwenden Sie die folgenden Anweisungen zum Migrieren Ihrer Active Directory Rights Management Services (AD RMS)-Bereitstellung zu Azure Information Protection.

Nach der Migration werden Ihre AD RMS-Server nicht mehr verwendet, aber die Benutzer haben weiterhin Zugriff auf Dokumente und E-Mail-Nachrichten, die Ihre Organisation mithilfe von AD RMS geschützt hat. Neu geschützte Inhalte verwenden den Azure Rights Management-Dienst (Azure RMS) aus Azure Information Protection.

Obwohl dies nicht erforderlich ist, kann es hilfreich sein, die folgende Dokumentation zu lesen, bevor Sie mit der Migration beginnen. Diese Kenntnisse vermitteln Ihnen ein besseres Verständnis der Funktionsweise der Technologie, wenn sie für Ihren Migrationsschritt relevant ist.

  • Planen und Implementieren Ihres Azure Information Protection-Mandantenschlüssels: Hier erhalten Sie Informationen zu den Schlüsselverwaltungsoptionen für Ihren Azure Information Protection-Mandanten, bei denen die Entsprechung Ihres SLC-Schlüssels in der Cloud entweder von Microsoft (Standardeinstellung) oder von Ihnen verwaltet wird (die "Bring your own key"- oder BYOK-Konfiguration).

  • RMS-Dienstermittlung:In diesem Abschnitt der Anmerkungen zur RMS-Clientbereitstellung wird erläutert, dass der Auftrag für die Dienstermittlung Registrierung,anschließend Dienstverbindungspunkt (Service Connection Point, SCP)und anschließend Cloud ist. Während des Migrationsprozesses, während SCP noch installiert ist, konfigurieren Sie Clients mit Registrierungseinstellungen für Ihren Azure Information Protection-Mandanten, sodass sie nicht den von SCP zurückgegebenen AD RMS-Cluster verwenden.

  • Übersicht über den Microsoft Rights Management-Connector:In diesem Abschnitt der Dokumentation zum RMS-Connector wird erläutert, wie Ihre lokalen Server eine Verbindung mit dem Azure Rights Management-Dienst herstellen können, um Dokumente und E-Mails zu schützen.

Wenn Sie mit der Funktionsweise von AD RMS nicht vertraut sind, finden Sie es möglicherweise hilfreich, wenn Sie den Artikel Wie funktioniert Azure RMS? lesen. Im Dunst können Sie feststellen, welche Technologieprozesse für die Cloudversion gleich oder unterschiedlich sind.

Voraussetzungen für die Migration von AD RMS zu Azure Information Protection

Bevor Sie mit der Migration zu Azure Information Protection beginnen, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind und dass Sie die Einschränkungen kennen.

  • Eine unterstützte RMS-Bereitstellung:

    • Die folgenden Versionen von AD RMS unterstützen eine Migration zu Azure Information Protection:

      • Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)

    • Alle gültigen AD RMS-Topologien werden unterstützt:

      • Einzelne Gesamtstruktur, einzelner RMS-Cluster

      • Einzelne Gesamtstruktur, mehrere nur für die Lizenzierung stehende RMS-Cluster

      • Mehrere Gesamtstrukturen, mehrere RMS-Cluster

      Hinweis

      Standardmäßig migrieren mehrere AD RMS-Cluster zu einem einzigen Mandanten für Azure Information Protection. Wenn Sie separate Mandanten für Azure Information Protection verwenden möchten, müssen Sie diese als unterschiedliche Migrationen behandeln. Ein Schlüssel aus einem RMS-Cluster kann nicht in mehr als einen Mandanten importiert werden.

  • Alle Anforderungen für die Ausführung von Azure Information Protection, einschließlich eines Abonnements für Azure Information Protection (der Azure Rights Management-Dienst ist nicht aktiviert):

    Siehe Anforderungen für Azure Information Protection.

    Der Azure Information Protection-Client ist für Klassifizierung und Bezeichnung erforderlich und optional, wird jedoch empfohlen, wenn Sie nur Daten schützen möchten.

    Weitere Informationen finden Sie in den Administratorhandbüchern für den einheitlichen Azure Information Protection-Beschriftungsclient.

    Obwohl Sie über ein Abonnement für Azure Information Protection verfügen müssen, bevor Sie von AD RMS migrieren können, empfehlen wir, dass der Rechteverwaltungsdienst für Ihren Mandanten nicht aktiviert wird, bevor Sie die Migration starten.

    Der Migrationsprozess umfasst diesen Aktivierungsschritt, nachdem Sie Schlüssel und Vorlagen aus AD RMS exportiert und in Ihren Mandanten für Azure Information Protection importiert haben. Wenn der Rechteverwaltungsdienst jedoch bereits aktiviert ist, können Sie mit einigen zusätzlichen Schritten trotzdem von AD RMS migrieren.

    Office 2010:

    Wenn Sie Computer haben, auf denen Office 2010 ausgeführt wird, müssen Sie den Azure Information Protection-Client installieren, um die Authentifizierung von Benutzern bei Clouddiensten zu ermöglichen.

    Wichtig

    Office 2010 erweiterter Support endet am 13. Oktober 2020. Weitere Informationen finden Sie unter AIP und Legacyversionen Windows und Office Versionen.

  • Vorbereitung für Azure Information Protection:

  • Wenn Sie die IrM-Funktionalität (Information Rights Management) von Exchange Server (z. B. Transportregeln und Outlook Web Access) oder SharePoint Server mit AD RMS verwendet haben:

    • Planen Sie einen kurzen Zeitraum, in dem IRM auf diesen Servern nicht zur Verfügung steht.

      Sie können IRM nach der Migration weiterhin auf diesen Servern verwenden. Einer der Migrationsschritte besteht jedoch im vorübergehenden Deaktivieren des IRM-Diensts, installieren und konfigurieren Sie einen Connector, konfigurieren Sie die Server neu, und aktivieren Sie DANN IRM erneut.

      Dies ist die einzige Dienstunterbrechung während des Migrationsprozesses.

  • Wenn Sie Ihren eigenen Azure Information Protection-Mandantenschlüssel mithilfe eines HSM-geschützten Schlüssels verwalten möchten:

    • Diese optionale Konfiguration erfordert Azure Key Vault und ein Azure-Abonnement, das den Schlüsseltresor mit HSM-geschützten Schlüsseln unterstützt. Weitere Informationen finden Sie auf der Seite Preise für den Azure-Schlüsseltresor.

Überlegungen zum Kryptografiemodus

Wenn sich Ihr AD RMS-Cluster derzeit im Kryptografiemodus 1 befindet, führen Sie vor dem Starten der Migration kein Upgrade des Clusters auf Kryptografiemodus 2 durch. Migrieren Sie stattdessen mithilfe von Kryptografiemodus 1, und Sie können den Mandantenschlüssel am Ende der Migration als eine der nach der Migration ausgeführten Aufgaben neu erstellen.

So bestätigen Sie den AD RMS-Kryptografiemodus für Windows Server 2012 R2 und Windows 2012: Registerkarte "Ad RMS-ClustereigenschaftenAllgemein".

Einschränkungen bei der Migration

  • Wenn Sie Software und Clients haben, die von dem von Azure Information Protection verwendeten Rechteverwaltungsdienst nicht unterstützt werden, können diese nicht Inhalte schützen oder nutzen, die durch Azure Rights Management geschützt sind. Überprüfen Sie unbedingt die Abschnitte mit den unterstützten Anwendungen und Clients unter Anforderungen für Azure Information Protection.

  • Wenn Ihre AD RMS-Bereitstellung für die Zusammenarbeit mit externen Partnern konfiguriert ist (z. B. mithilfe von vertrauenswürdigen Benutzerdomänen oder eines Verbunds), müssen diese Benutzer gleichzeitig mit der Migration oder anschließend so schnell wie möglich zu Azure Information Protection migrieren. Um weiterhin auf Inhalte zu zugreifen, die Ihre Organisation zuvor mithilfe von Azure Information Protection geschützt hat, muss die Organisation Clientkonfigurationsänderungen vornehmen, die den von Ihnen vorgenommenen und in diesem Dokument enthaltenen Änderungen ähneln.

    Aufgrund möglicher Konfigurationsvariationen, über die Ihre Partner verfügen können, sind die genauen Anweisungen für diese Neukonfiguration für dieses Dokument nicht möglich. Im nächsten Abschnitt finden Sie jedoch Anleitungen zur Planung und weitere Hilfe beim Microsoft-Support.

Migrationsplanung, wenn Sie mit externen Partnern zusammenarbeiten

Schließen Sie Ihre AD RMS-Partner in die Planungsphase für die Migration ein, da diese auch zu Azure Information Protection migrieren müssen. Bevor Sie einen der folgenden Migrationsschritte ausführen, stellen Sie sicher, dass die folgenden Informationen zur Stelle sind:

  • Sie verfügen über einen Azure Active Directory,der den Azure Rights Management-Dienst unterstützt.

    Sie verfügen beispielsweise über ein Office 365 E3 E5-Abonnement, ein Enterprise Mobility + Security-Abonnement oder ein eigenständiges Abonnement für Azure Information Protection.

  • Der Azure Rights Management-Dienst ist noch nicht aktiviert, kennt aber die Azure Rights Management-Dienst-URL.

    Sie können diese Informationen erhalten, indem sie das Azure Rights Management Tool installieren, eine Verbindung mit dem Dienst herstellen(Verbinden-AipService)und dann ihre Mandanteninformationen für den Azure Rights Management-Dienst(Get-AipServiceConfiguration) anzeigen.

  • Sie stellen die URLs für den AD RMS-Cluster und die Azure Rights Management-Dienst-URL bereit, sodass Sie Ihre migrierten Clients so konfigurieren können, dass Sie Anforderungen für ihre AD RMS-geschützten Inhalte an den Azure Rights Management-Dienst ihres Mandanten umleiten. Anweisungen zum Konfigurieren der Clientumleitung finden Sie in Schritt 7.

  • Sie importieren ihre AD RMS-Clusterstammschlüssel (Cluster Root Keys, SLC) in ihren Mandanten, bevor Sie mit der Migration Ihrer Benutzer beginnen. Ebenso müssen Sie ihre AD RMS-Clusterstammschlüssel importieren, bevor sie mit der Migration ihrer Benutzer beginnen. Anweisungen zum Importieren des Schlüssels werden in diesem Migrationsprozess, Schritt 4, behandelt. Exportieren Sie Konfigurationsdaten aus AD RMS, und importieren Sie sie in Azure Information Protection.

Übersicht über die Schritte zum Migrieren von AD RMS zu Azure Information Protection

Die Migrationsschritte können in fünf Phasen unterteilt werden, die zu unterschiedlichen Zeiten und von verschiedenen Administratoren durchgeführt werden können.

Phase 1: Migrationsvorbereitung

Weitere Informationen finden Sie unter PHASE 1: MIGRATIONSVORBEREITUNG.

Schritt 1: Installieren des AIPService PowerShell-Moduls und Identifizieren der Mandanten-URL

Für den Migrationsprozess müssen Sie mindestens eines der PowerShell-Cmdlets aus dem AIPService-Modul ausführen. Sie müssen die Azure Rights Management-Dienst-URL Ihres Mandanten kennen, um viele der Migrationsschritte ausführen zu können, und Sie können diesen Wert mithilfe von PowerShell angeben.

Schritt 2. Vorbereiten auf die Clientmigration

Wenn Sie nicht alle Clients gleichzeitig migrieren können und diese in Batches migrieren, verwenden Sie Onboarding-Steuerelemente, und stellen Sie ein Skript vor der Migration zur Verfügung. Wenn Sie jedoch alle Daten zur gleichen Zeit migrieren, anstatt eine phasenweise Migration zu machen, können Sie diesen Schritt überspringen.

Schritt 3: Vorbereiten der Exchange für die Migration

Dieser Schritt ist erforderlich, wenn Sie derzeit das IRM-Feature ihrer lokalen Exchange Online oder Exchange verwenden, um E-Mails zu schützen. Wenn Sie jedoch alle Daten zur gleichen Zeit migrieren, anstatt eine phasenweise Migration zu machen, können Sie diesen Schritt überspringen.

Phase 2: Serverseitige Konfiguration für AD RMS

Weitere Informationen finden Sie unter PHASE 2: SERVERSEITIGE KONFIGURATION FÜR AD RMS.

Schritt 4. Exportieren von Konfigurationsdaten aus AD RMS und Importieren in Azure Information Protection

Sie exportieren die Konfigurationsdaten (Schlüssel, Vorlagen, URLs) aus AD RMS in eine XML-Datei und laden diese Datei dann mit dem Import-AipServiceTpd PowerShell-Cmdlet aus Azure Information Protection in den Azure Rights Management-Dienst hoch. Identifizieren Sie dann, welcher importierte SLC-Schlüssel (Server Lizenzgeberzertifikat) als Mandantenschlüssel für den Azure Rights Management-Dienst verwendet werden soll. Je nach AD RMS-Schlüsselkonfiguration sind möglicherweise weitere Schritte erforderlich:

  • Softwaregeschützter Schlüssel zu softwaregeschützter Schlüsselmigration:

    Zentral verwaltete, kennwortbasierte Schlüssel in AD RMS zu Microsoft-verwalteten Azure Information Protection-Mandantenschlüsseln. Dies ist der einfachste Migrationspfad, und es sind keine zusätzlichen Schritte erforderlich.

  • HSM-geschützter Schlüssel zur HSM-geschützten Schlüsselmigration:

    Schlüssel, die von einem HSM für AD RMS für den vom Kunden verwalteten Azure Information Protection-Mandantenschlüssel gespeichert werden (das "Bring your own key" oder BYOK-Szenario). Dies erfordert zusätzliche Schritte, um den Schlüssel aus Ihrem lokalen nCipher HSM in den Azure Key Vault zu übertragen und den Azure Rights Management-Dienst zur Verwendung dieses Schlüssels zu autorisieren. Ihr vorhandener HSM-geschützter Schlüssel muss modulgeschützt sein. OCS-geschützte Schlüssel werden von Rights Management-Diensten nicht unterstützt.

  • Softwaregeschützter Schlüssel zur HSM-geschützten Schlüsselmigration:

    Zentral verwaltete, kennwortbasierte Schlüssel in AD RMS für vom Kunden verwaltete Azure Information Protection-Mandantenschlüssel (das "Bring your own key" oder BYOK-Szenario). Dies erfordert die meiste Konfiguration, da Sie zuerst Ihren Softwareschlüssel extrahieren und in ein lokales HSM importieren müssen, und dann die zusätzlichen Schritte ausführen müssen, um den Schlüssel von Ihrem lokalen nCipher HSM in einen Azure Key Vault HSM zu übertragen und den Azure Rights Management-Dienst zur Verwendung des Schlüsseltresor, in dem der Schlüssel gespeichert ist, zu autorisieren.

Schritt 5. Aktivieren des Azure Rights Management-Diensts

Wenn möglich, sollten Sie diesen Schritt nach dem Importvorgang und nicht vorher machen. Zusätzliche Schritte sind erforderlich, wenn der Dienst vor dem Import aktiviert wurde.

Schritt 6. Konfigurieren importierter Vorlagen

Wenn Sie Ihre Rechterichtlinienvorlagen importieren, wird deren Status archiviert. Wenn Sie möchten, dass Benutzer sie anzeigen und verwenden können, müssen Sie den Vorlagenstatus so ändern, dass er im klassischen Azure-Portal veröffentlicht wird.

Phase 3: Clientseitige Konfiguration

Weitere Informationen finden Sie unter PHASE 3: CLIENTSEITIGE KONFIGURATION.

Schritt 7: Neukonfigurieren Windows für die Verwendung von Azure Information Protection

Vorhandene Windows müssen für die Verwendung des Azure Rights Management-Diensts anstelle von AD RMS neu konfiguriert werden. Dieser Schritt gilt für Computer in Ihrer Organisation und für Computer in Partnerorganisationen, wenn Sie während der Ausführung von AD RMS mit ihnen zusammengearbeitet haben.

Phase 4: Konfiguration unterstützener Dienste

Weitere Informationen finden Sie unter PHASE 4: KONFIGURATION UNTERSTÜTZEN VON DIENSTEN.

Schritt 8: Konfigurieren der IRM-Integration für Exchange Online

Mit diesem Schritt wird die AD RMS-Exchange Online zur Verwendung des Azure Rights Management-Diensts abgeschlossen.

Schritt 9: Konfigurieren der IRM-Integration für Exchange Server und SharePoint Server

Dieser Schritt schließt die AD RMS-Migration für Exchange oder SharePoint lokal ab, um jetzt den Azure Rights Management-Dienst zu verwenden, für den die Bereitstellung des Rights Management-Connectors erforderlich ist.

Phase 5: Nach der Migration

Weitere Informationen finden Sie unter PHASE 5: NACH MIGRATIONSAUFGABEN.

Schritt 10: Deprovision AD RMS

Wenn Sie sich bestätigt haben, dass alle Windows-Computer den Azure Rights Management-Dienst verwenden und nicht mehr auf Ihre AD RMS-Server zugreifen, können Sie die Bereitstellung Ihrer AD RMS-Bereitstellung deprovisionieren.

Schritt 11: Ausführen von Clientmigrationsaufgaben

Wenn Sie die Erweiterung für mobile Geräte bereitgestellt haben, um mobile Geräte wie iOS-Smartphones und iPads, Android-Smartphones und -Tablets, Windows-Smartphones und -Tablets sowie Mac-Computer zu unterstützen, müssen Sie die SRV-Einträge im DNS entfernen, die diese Clients zur Verwendung von AD RMS umgeleitet haben.

Die onboarding-Steuerelemente, die Sie während der Vorbereitungsphase konfiguriert haben, sind nicht mehr erforderlich. Wenn Sie jedoch keine Onboarding-Steuerelemente verwendet haben, weil Sie sich dafür entschieden haben, alles zur gleichen Zeit statt einer phasenweise Migration zu migrieren, können Sie die Anweisungen zum Entfernen der Onboarding-Steuerelemente überspringen.

Wenn auf Windows-Computern Office 2010 ausgeführt wird, überprüfen Sie, ob Sie den Vorgang AD RMS Rights Policy Template Management (Automatisiert) deaktivieren müssen.

Wichtig

Office 2010 erweiterter Support endet am 13. Oktober 2020. Weitere Informationen finden Sie unter AIP und Legacyversionen Windows und Office Versionen.

Schritt 12: Neuschlüsseln des Azure Information Protection-Mandantenschlüssels

Dieser Schritt wird empfohlen, wenn Sie vor der Migration nicht im Kryptografiemodus 2 ausgeführt wurden.

Nächste Schritte

Um die Migration zu starten, wechseln Sie zu Phase 1 – Vorbereitung.