Fase 1 de la migración: preparación

Se aplica a: Active Directory Rights Management Services, Azure Information Protection, Office 365

Pertinente para: cliente de etiquetado unificado de AIP y cliente clásico de AIP

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso desde el 31 de marzo de 2021. Aunque el cliente clásico sigue funcionando como está configurado, no se proporcionará ningún soporte adicional, y las versiones de mantenimiento ya no se publicarán para el cliente clásico.

Se recomienda migrar al etiquetado unificado y actualizar al cliente de etiquetado unificado. Obtenga más información en nuestro último blog sobre desuso.

Use la información siguiente para la fase 1 de la migración desde AD RMS a Azure Information Protection. En estos procedimientos se describen los pasos del 1 al 3 de la Migración desde AD RMS a Azure Information Protection y se prepara el entorno para la migración sin afectar a los usuarios.

Paso 1: instalar el módulo de PowerShell de AIPService e identificar la dirección URL del inquilino

Instale el módulo AIPService para que pueda configurar y administrar el servicio que proporciona la protección de datos para Azure Information Protection.

Para obtener instrucciones, consulte instalación del módulo de PowerShell AIPService.

Para completar algunas de las instrucciones de migración, debe conocer la dirección URL del servicio de Rights Management de Azure para su inquilino, de modo que pueda sustituirlo cuando vea referencias a <Your Tenant URL> .

La dirección URL de servicio de Azure Rights Management tiene el formato siguiente: {GUID}.rms.[Región].aadrm.com. Por ejemplo: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com.

Para identificar la dirección URL de servicio de Azure Rights Management

  1. Conéctese con el servicio de Azure Rights Management y, cuando se le pida, escriba las credenciales de administrador global de su inquilino:

    Connect-AipService
    
  2. Obtenga la configuración de su inquilino:

    Get-AipServiceConfiguration
    
  3. Copie el valor mostrado para LicensingIntranetDistributionPointUrl y, de esta cadena, quite /_wmcs\licensing.

    Lo que queda es la dirección URL del servicio Azure Rights Management para su inquilino de Azure Information Protection. Este valor se suele abreviar como URL de inquilino en las siguientes instrucciones de migración.

    Para comprobar que tiene el valor correcto, ejecute el siguiente comando de PowerShell:

    (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
    

Paso 2. Preparación para la migración de clientes

En el caso de la mayoría de las migraciones, no resulta práctico migrar todos los clientes a la vez, por lo que es probable que migre los clientes en lotes.

Esto significa que, durante un período de tiempo, algunos clientes usarán Azure Information Protection y otros aún usarán AD RMS. Para admitir a los usuarios migrados y aún no migrados, use los controles de incorporación e implemente un script previo a la migración.

Nota

Este paso es necesario durante el proceso de migración para que los usuarios que aún no se hayan migrado puedan consumir contenido protegido por los usuarios migrados que ahora usen Azure Rights Management.

Para preparar la migración de clientes

  1. Cree un grupo, por ejemplo, denominado AIPMigrated. Este grupo se puede crear en Active Directory y sincronizarse con la nube, o bien se puede crear en Microsoft 365 o Azure Active Directory.

    No asigne ningún usuario a este grupo en este momento. Los agregará al grupo en un paso posterior, cuando los usuarios se migren.

  2. Tome nota del identificador de objeto de este grupo con uno de los métodos siguientes:

    • Use Azure AD PowerShell. Por ejemplo, para la versión 1,0 del módulo, use el comando Get-MsolGroup .
    • Copie el ID . de objeto del grupo del Azure portal.
  3. Configure este grupo para controles de incorporación para permitir que solo los usuarios de este grupo usen Azure Rights Management para proteger el contenido.

    Para ello, en una sesión de PowerShell, conéctese al servicio Azure Rights Management. Cuando se le solicite, especifique sus credenciales de administrador global:

    Connect-AipService
    

    Configure este grupo para controles de incorporación, sustituyendo el identificador de objeto de grupo por el de este ejemplo. Cuando se le solicite, escriba Y para confirmar.

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
    
  4. Descargue el archivo de Migration-Scripts.zip .

  5. Extraiga los archivos y siga las instrucciones de Prepare-Client. cmd para que contenga el nombre del servidor de la dirección URL de licencias de extranet de clúster de AD RMS. Para buscar este nombre, haga lo siguiente:

    1. en la consola de Active Directory Rights Management Services, haga clic en el nombre del clúster.

    2. En la información Detalles del clúster, copie el nombre del servidor del valor Licencias de la sección de direcciones URL de clúster de extranet. Por ejemplo: rmscluster.contoso.com.

    Importante

    En las instrucciones se incluye cómo reemplazar las direcciones de ejemplo de adrms.contoso.com por las direcciones de sus servidores de AD RMS.

    Al hacerlo, tenga cuidado de que no haya espacios adicionales antes ni después de las direcciones. Los espacios adicionales interrumpirán el script de migración y es muy difícil de identificar como la causa raíz del problema.

    Algunas herramientas de edición agregan automáticamente un espacio después de pegar texto.

  6. Implemente este script en todos los equipos Windows para asegurarse de que, al empezar a migrar clientes, los clientes que aún queden por migrar sigan pudiendo comunicarse con AD RMS aunque consuman contenido protegido por clientes migrados que ahora usen el servicio de Azure Rights Management.

    Puede usar la directiva de grupo u otro mecanismo de implementación de software para implementar este script.

Paso 3. Preparación de la implementación de Exchange para la migración

Si usa Exchange local o Exchange Online, es posible que haya integrado previamente Exchange con la implementación de AD RMS. En este paso, los configurará para que usen la configuración existente de AD RMS para admitir contenido protegido con Azure RMS.

Asegúrese de que tiene la dirección URL de servicio de Azure Rights Management del inquilino para que pueda reemplazar este valor por la <YourTenantURL> en los comandos siguientes.

Realice una de las siguientes acciones, en función de si ha integrado Exchange local o Exchange Online con AD RMS:

Si ha integrado Exchange Online con AD RMS

  1. Abra una sesión de PowerShell de Exchange Online.

  2. Ejecute los siguientes comandos de PowerShell uno a uno, o bien en un script:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -internallicensingenabled $true 
    

Si ha integrado Exchange local con AD RMS

Para cada organización de Exchange, agregue valores del registro en cada servidor de Exchange y, a continuación, ejecute los comandos de PowerShell:

  1. Si tiene Exchange 2013 o Exchange 2016, agregue el siguiente valor del registro:

    • Ruta de acceso del registro: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Tipo: REG_SZ

    • Valor: https://\<Your Tenant URL\>/_wmcs/licensing

    • Datos: https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

  2. Ejecute los siguientes comandos de PowerShell, ya sea uno por uno o en un script:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -RefreshServerCertificates
    Set-IRMConfiguration -internallicensingenabled $true
    IISReset
    

Después de ejecutar estos comandos para Exchange Online o Exchange local, si la implementación de Exchange se ha configurado para admitir contenido protegido por AD RMS, también admitirá contenido protegido por Azure RMS después de la migración.

La implementación de Exchange seguirá usando AD RMS para admitir contenido protegido hasta un paso posterior de la migración.

Pasos siguientes

Vaya a Fase 2: configuración del lado servidor para AD RMS.