Migración desde AD RMS a Azure Information ProtectionMigrating from AD RMS to Azure Information Protection

Se aplica a: Active Directory Rights Management Services, Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Use el siguiente conjunto de instrucciones para migrar su implementación de Active Directory Rights Management Services (AD RMS) a Azure Information Protection.Use the following set of instructions to migrate your Active Directory Rights Management Services (AD RMS) deployment to Azure Information Protection.

Después de la migración, los servidores de AD RMS ya no se usarán, pero los usuarios seguirán teniendo acceso a documentos y mensajes de correo electrónico que su organización protege mediante AD RMS.After the migration, your AD RMS servers are no longer in use but users still have access to documents and email messages that your organization protected by using AD RMS. El contenido protegido recientemente usará el servicio Azure Rights Management (Azure RMS) de Azure Information Protection.Newly protected content will use the Azure Rights Management service (Azure RMS) from Azure Information Protection.

¿No está seguro de si esta migración de AD RMS es conveniente para su organización?Not sure whether this AD RMS migration is right for your organization?

Aunque no es necesario, podría resultar útil leer la documentación siguiente antes de comenzar la migración.Although not required, you might find it useful to read the following documentation before you start the migration. Esta información le permite conocer mejor cómo funciona la tecnología cuando resulta relevante para el paso de migración.This knowledge provides you with a better understanding of how the technology works when it is relevant to your migration step.

  • Planear e implementar la clave de inquilino de Azure Information Protection: conocer las opciones de administración de claves que tiene para el inquilino de Azure Information Protection, en que su clave SLC equivalente en la nube es administrada por Microsoft (modo predeterminado) o por usted mismo ("traiga su propia clave" o configuración BYOK).Planning and implementing your Azure Information Protection tenant key: Understand the key management options that you have for your Azure Information Protection tenant where your SLC key equivalent in the cloud is either managed by Microsoft (the default) or managed by you (the "bring your own key", or BYOK configuration).

  • Detección de servicios de RMS: en esta sección de las notas de implementación del cliente de RMS se explica que el orden para la detección de servicios es registro, punto de conexión de servicio (SCP) y, a continuación, nube.RMS service discovery: This section of the RMS client deployment notes explains that the order for service discovery is registry, then service connection point (SCP), then cloud. Durante el proceso de migración cuando el SCP todavía está instalado, debe configurar a clientes con la configuración del registro para el inquilino de Azure Information Protection para que no usen el clúster de AD RMS devuelto desde el SCP.During the migration process when the SCP is still installed, you configure clients with registry settings for your Azure Information Protection tenant so that they do not use the AD RMS cluster returned from the SCP.

  • Información general sobre el conector Microsoft Rights Management: en esta sección de la documentación del conector RMS se explica cómo los servidores locales se pueden conectar al servicio de Azure Rights Management para proteger documentos y correos electrónicos.Overview of the Microsoft Rights Management connector: This section from the RMS connector documentation explains how your on-premises servers can connect to the Azure Rights Management service to protect documents and emails.

Además, si no está familiarizado con el funcionamiento de AD RMS, puede que le resulte útil leer ¿Cómo funciona Azure RMS? En el capó para ayudarle a identificar qué procesos tecnológicos son iguales o diferentes para la versión en la nube.In addition, if you are not familiar with how AD RMS works, you might find it useful to read How does Azure RMS work? Under the hood to help you identify which technology processes are the same or different for the cloud version.

Requisitos previos para migrar AD RMS a Azure Information ProtectionPrerequisites for migrating AD RMS to Azure Information Protection

Antes de iniciar la migración a Azure Information Protection, asegúrese de que se cumplen los siguientes requisitos previos y de que conoce las limitaciones.Before you start the migration to Azure Information Protection, make sure that the following prerequisites are in place and that you understand any limitations.

  • Una implementación de RMS compatible:A supported RMS deployment:

    • Las versiones siguientes de AD RMS admiten una migración a Azure Information Protection:The following releases of AD RMS support a migration to Azure Information Protection:

      • Windows Server 2012 (x64)Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)Windows Server 2016 (x64)

    • Se admiten todas las topologías de AD RMS válidas:All valid AD RMS topologies are supported:

      • Bosque único, un solo clúster de RMSSingle forest, single RMS cluster

      • Bosque único, varios clústeres de RMS solo con licenciasSingle forest, multiple licensing-only RMS clusters

      • Varios bosques, varios clústeres de RMSMultiple forests, multiple RMS clusters

      Nota: De forma predeterminada, varios clústeres de AD RMS se migran a un único inquilino de Azure Information Protection.Note: By default, multiple AD RMS clusters migrate to a single tenant for Azure Information Protection. Si quiere usar inquilinos independientes de Azure Information Protection, necesita considerarlos como migraciones distintas.If you want separate tenants for Azure Information Protection, you must treat them as different migrations. No se puede importar una clave de un clúster de RMS a más de un inquilino.A key from one RMS cluster cannot be imported to more than one tenant.

  • Todos los requisitos para ejecutar Azure Information Protection, incluida una suscripción para Azure Information Protection (el servicio Azure Rights Management no está activado):All requirements to run Azure Information Protection, including a subscription for Azure Information Protection (the Azure Rights Management service is not activated):

    Vea Requisitos de Azure Information Protection.See Requirements for Azure Information Protection.

    Tenga en cuenta que si tiene equipos que ejecutan Office 2010, debe instalar el cliente de Azure Information Protection o el Azure Information Protection cliente de etiquetado unificado para los usuarios, ya que estos clientes proporcionan la capacidad de autenticar a los usuarios en los servicios en la nube.Note that if you have computers that run Office 2010, you must install the Azure Information Protection client or the Azure Information Protection unified labeling client for users, because these clients provide the ability to authenticate users to cloud services. En las versiones posteriores de Office, estos clientes son necesarios para la clasificación y el etiquetado, y el Azure Information Protection cliente es opcional, pero se recomienda si solo desea proteger los datos.For later versions of Office, these clients are required for classification and labeling, and the Azure Information Protection client is optional but recommended if you want to only protect data. Para obtener más información, consulte las guías de administración para el cliente de Azure Information Protection y el cliente de etiquetado unificado de Azure Information Protection.For more information, see the admin guides for the Azure Information Protection client and the Azure Information Protection unified labeling client.

    Aunque es necesario tener una suscripción de Azure Information Protection para poder migrar de AD RMS, le recomendamos que no active el servicio Rights Management para el inquilino antes de iniciar la migración.Although you must have a subscription for Azure Information Protection before you can migrate from AD RMS, we recommend that the Rights Management service for your tenant is not activated before you start the migration. En el proceso de migración se incluye este paso de activación después de exportar las claves y plantillas de AD RMS e importarlas al inquilino de Azure Information Protection.The migration process includes this activation step after you have exported keys and templates from AD RMS and imported them to your tenant for Azure Information Protection. En cambio, si el servicio Rights Management ya está activado, aún podrá realizar la migración desde AD RMS con algunos pasos adicionales.However, if the Rights Management service is already activated, you can still migrate from AD RMS with some additional steps.

  • Preparación de Azure Information Protection:Preparation for Azure Information Protection:

  • Si ha usado la funcionalidad Information Rights Management (IRM) de Exchange Server (por ejemplo, las reglas de transporte y Outlook Web Access) o SharePoint Server con AD RMS:If you have used the Information Rights Management (IRM) functionality of Exchange Server (for example, transport rules and Outlook Web Access) or SharePoint Server with AD RMS:

    • Plan durante un breve período de tiempo si IRM no estará disponible en estos servidoresPlan for a short period of time when IRM will not be available on these servers

      Aún puede usar IRM en estos servidores después de la migración.You can continue to use IRM on these servers after the migration. Sin embargo, uno de los pasos de migración es deshabilitar temporalmente el servicio IRM, instalar y configurar un conector, volver a configurar los servidores y, a continuación, volver a habilitar IRM.However, one of the migration steps is to temporarily disable the IRM service, install and configure a connector, reconfigure the servers, and then re-enable IRM.

      Se trata de la única interrupción del servicio durante el proceso de migración.This is the only interruption to service during the migration process.

  • Si quiere administrar su propia clave de inquilino de Azure Information Protection con una clave protegida por HSM:If you want to manage your own Azure Information Protection tenant key by using an HSM-protected key:

    • Para esta configuración opcional se necesita el Almacén de claves de Azure y una suscripción de Azure compatible con un almacén de claves con claves protegidas por HSM.This optional configuration requires Azure Key Vault and an Azure subscription that supports Key Vault with HSM-protected keys. Para obtener más información, consulte la Página de precios de Azure Key Vault.For more information, see the Azure Key Vault Pricing page.

Consideraciones del modo criptográficoCryptographic mode considerations

Si el clúster de AD RMS está actualmente en el modo criptográfico 1, no lo actualice al modo criptográfico 2 antes de iniciar la migración.If your AD RMS cluster is currently in Cryptographic Mode 1, do not upgrade the cluster to Cryptographic Mode 2 before you start the migration. En su lugar, realice la migración con el modo criptográfico 1. Podrá regenerar la clave de inquilino al final de la migración como una de las tareas posteriores a esta.Instead, migrate using Cryptographic Mode 1 and you can rekey your tenant key at the end of the migration, as one of the post migration tasks.

Para confirmar el modo criptográfico de AD RMS:To confirm the AD RMS cryptographic mode:

  • Para Windows Server 2012 R2 y Windows 2012: Propiedades del clúster de AD RMS > pestaña General.For Windows Server 2012 R2 and Windows 2012: AD RMS cluster properties > General tab.

Limitaciones de la migraciónMigration limitations

  • Si tiene software y clientes que no son compatibles con el servicio Rights Management usado por Azure Information Protection, no podrán proteger o usar contenido protegido por Azure Rights Management.If you have software and clients that are not supported by the Rights Management service that is used by Azure Information Protection, they will not be able to protect or consume content that is protected by Azure Rights Management. Asegúrese de comprobar las secciones de clientes y aplicaciones compatibles con los requisitos de Azure Information Protection.Be sure to check the supported applications and clients sections from Requirements for Azure Information Protection.

  • Si su implementación de AD RMS está configurada para colaborar con asociados externos (por ejemplo, con federación o dominios de usuario de confianza), estos también necesitarán realizar la migración a Azure Information Protection al mismo tiempo o lo antes posible después de completar la migración.If your AD RMS deployment is configured to collaborate with external partners (for example, by using trusted user domains or federation), they must also migrate to Azure Information Protection either at the same time as your migration, or as soon as possible afterwards. Para seguir teniendo acceso al contenido protegido anteriormente por su organización con Azure Information Protection, necesitarán realizar cambios en la configuración del cliente similares a los que realice el usuario y que se incluyen en este documento.To continue to access content that your organization previously protected by using Azure Information Protection, they must make client configuration changes that are similar to those that you make, and included in this document.

    Debido a las posibles variaciones de configuración de los asociados, las instrucciones exactas para este cambio de configuración están fuera del ámbito de este documento.Because of the possible configuration variations that your partners might have, exact instructions for this reconfiguration are out of scope for this document. En cambio, vea la siguiente sección para obtener una guía de planeación y, para obtener ayuda adicional, póngase en contacto con el soporte técnico de Microsoft.However, see the next section for planning guidance and for additional help, contact Microsoft Support.

Planeación de la migración si colabora con asociados externosMigration planning if you collaborate with external partners

Incluya los asociados de AD RMS en la fase de planeación de la migración porque también habrá que migrarlos a Azure Information Protection.Include your AD RMS partners in your planning phase for migration because they must also migrate to Azure Information Protection. Antes de realizar los siguientes pasos de migración, asegúrese de que se cumplan las siguientes condiciones:Before you do any of the following migration steps, make sure that the following is in place:

  • Tienen un inquilino de Azure Active Directory que admite el servicio Azure Rights Management.They have an Azure Active Directory tenant that supports the Azure Rights Management service.

    Por ejemplo, tienen una suscripción a Office 365 E3 o E5, una suscripción a Enterprise Mobility + Security o una suscripción independiente a Azure Information Protection.For example, they have an Office 365 E3 or E5 subscription, or an Enterprise Mobility + Security subscription, or a standalone subscription for Azure Information Protection.

  • Su servicio de Azure Rights Management aún no está activado, pero conocen su dirección URL de servicio de Azure Rights Management.Their Azure Rights Management service is not yet activated but they know their Azure Rights Management service URL.

    Para obtener esta información, puede instalar la herramienta Azure Rights Management, conectarse al servicio (Connect-AipService) y, a continuación, ver su información de inquilino para el servicio Azure Rights Management (Get-AipServiceConfiguration).They can get this information by installing the Azure Rights Management Tool, connecting to the service (Connect-AipService), and then viewing their tenant information for the Azure Rights Management service (Get-AipServiceConfiguration).

  • Le han proporcionado las direcciones URL de su clúster de AD RMS y su dirección URL de servicio de Azure Rights Management para que pueda configurar los clientes migrados y redirigir las solicitudes de su contenido protegido de AD RMS al servicio de Azure Rights Management de sus inquilinos.They provide you with the URLs for their AD RMS cluster and their Azure Rights Management service URL, so that you can configure your migrated clients to redirect requests for their AD RMS protected content to their tenant's Azure Rights Management service. Las instrucciones para configurar el redireccionamiento cliente están en el paso 7.Instructions for configuring client redirection are in step 7.

  • Importarán sus claves raíz de clúster de AD RMS (SLC) en el inquilino antes de que empiece a migrar los usuarios.They import their AD RMS cluster root keys (SLC) into their tenant before you start to migrate your users. De forma similar, debe importar sus claves raíz de clúster de AD RMS antes de empezar a migrar sus usuarios.Similarly, you must import your AD RMS cluster root keys before they start to migrate their users. Las instrucciones para importar la clave se describen en este proceso de migración, en el paso 4. Exporte los datos de configuración de AD RMS e impórtelo a Azure Information Protection.Instructions for importing the key are covered in this migration process, Step 4. Export configuration data from AD RMS and import it to Azure Information Protection.

Información general sobre los pasos para migrar AD RMS a Azure Information ProtectionOverview of the steps for migrating AD RMS to Azure Information Protection

Los pasos de migración se pueden dividir en cinco fases que se pueden realizar en momentos diferentes y por distintos administradores.The migration steps can be divided into five phases that can be done at different times, and by different administrators.

FASE 1: PREPARACIÓN DE LA MIGRACIÓNPHASE 1: MIGRATION PREPARATION

  • Paso 1: instalar el módulo de PowerShell de AIPService e identificar la dirección URL del inquilinoStep 1: Install the AIPService PowerShell module and identify your tenant URL

    El proceso de migración requiere que ejecute uno o varios de los cmdlets de PowerShell desde el módulo AIPService.The migration process requires you to run one or more of the PowerShell cmdlets from the AIPService module. Necesitará saber la dirección URL de servicio de Azure Rights Management de su inquilino para efectuar muchos de los pasos de la migración. Puede identificar este valor mediante PowerShell.You will need to know your tenant's Azure Rights Management service URL to complete many of the migration steps, and you can identity this value by using PowerShell.

  • Paso 2. Preparación para la migración de clientesStep 2. Prepare for client migration

    Si no puede migrar todos los clientes a la vez y los migrará en lotes, use controles de incorporación e implemente un script previo a la migración.If you cannot migrate all clients at once and will migrate them in batches, use onboarding controls and deploy a pre-migration script. Pero si lo migra todo al mismo tiempo, en lugar de realizar una migración por fases, puede omitir este paso.However, if you will migrate everything at the same time rather than do a phased migration, you can skip this step.

  • Paso 3: preparación de la implementación de Exchange para la migraciónStep 3: Prepare your Exchange deployment for migration

    Este paso es necesario si usa actualmente la característica de IRM de Exchange Online o Exchange local para proteger los correos electrónicos.This step is required if you currently use the IRM feature of Exchange Online or Exchange on-premises to protect emails. Pero si lo migra todo al mismo tiempo, en lugar de realizar una migración por fases, puede omitir este paso.However, if you will migrate everything at the same time rather than do a phased migration, you can skip this step.

FASE 2: CONFIGURACIÓN DEL LADO SERVIDOR PARA AD RMSPHASE 2: SERVER-SIDE CONFIGURATION FOR AD RMS

  • Paso 4. Exportar los datos de configuración de AD RMS e importarlos a Azure Information ProtectionStep 4. Export configuration data from AD RMS and import it to Azure Information Protection

    Exporte los datos de configuración (claves, plantillas y direcciones URL) de AD RMS a un archivo XML y, a continuación, cargue ese archivo en el servicio Azure Rights Management desde Azure Information Protection, mediante el cmdlet de PowerShell Import-AipServiceTpd.You export the configuration data (keys, templates, URLs) from AD RMS to an XML file, and then upload that file to the Azure Rights Management service from Azure Information Protection, by using the Import-AipServiceTpd PowerShell cmdlet. A continuación, identifique qué clave de certificado de emisor de licencias de servidor (SLC) importada desea utilizar como la clave de inquilino para el servicio Azure Rights Management.Then, identify which imported Server Licensor Certificate (SLC) key to use as your tenant key for the Azure Rights Management service. Podrían ser necesarios pasos adicionales, dependiendo de la configuración de claves de AD RMS:Additional steps might be needed, depending on your AD RMS key configuration:

    • Migración entre claves protegidas por software:Software-protected key to software-protected key migration:

      Claves administradas de forma centralizada y basadas en contraseña en AD RMS a clave de inquilino de Azure Information Protection administrada por Microsoft.Centrally managed, password-based keys in AD RMS to Microsoft-managed Azure Information Protection tenant key. Esta es la ruta de migración más sencilla y no se necesita ningún paso adicional.This is the simplest migration path and no additional steps are required.

    • Migración entre claves protegidas por HSM:HSM-protected key to HSM-protected key migration:

      Claves almacenadas por un HSM para AD RMS en una clave de inquilino de Azure Information Protection administrada por el cliente (el escenario “aportar tu propia clave” o BYOK).Keys that are stored by an HSM for AD RMS to customer-managed Azure Information Protection tenant key (the “bring your own key” or BYOK scenario). Esto requiere pasos adicionales para transferir la clave desde el HSM de nCipher local a Azure Key Vault y autorizar al servicio Azure Rights Management para que use esta clave.This requires additional steps to transfer the key from your on-premises nCipher HSM to Azure Key Vault and authorize the Azure Rights Management service to use this key. Su clave protegida por HSM existente tiene que estar protegida por módulo, ya que Rights Management Services no admite las claves protegidas por OCS.Your existing HSM-protected key must be module-protected; OCS-protected keys are not supported by Rights Management services.

    • Migración de clave protegida por software a clave protegida por HSM:Software-protected key to HSM-protected key migration:

      Claves basadas en contraseña y administradas de forma centralizada en AD RMS para la clave de inquilino de Azure Information Protection administrada por el cliente (el escenario “aportar tu propia clave” o BYOK).Centrally managed, password-based keys in AD RMS to customer-managed Azure Information Protection tenant key (the “bring your own key” or BYOK scenario). Esto requiere la mayor parte de la configuración porque debe extraer primero la clave de software e importarla a un HSM local y, a continuación, realizar los pasos adicionales para transferir la clave desde el HSM de nCipher local a un HSM Azure Key Vault y autorizar al servicio Azure Rights Management para que use el almacén de claves que almacena la clave.This requires the most configuration because you must first extract your software key and import it to an on-premises HSM, and then do the additional steps to transfer the key from your on-premises nCipher HSM to an Azure Key Vault HSM and authorize the Azure Rights Management service to use the key vault that stores the key.

  • Paso 5. Activación del servicio Azure Rights ManagementStep 5. Activate the Azure Rights Management service

    Si es posible, realice este paso después del proceso de importación y no antes.If possible, do this step after the import process and not before. Si el servicio se activó antes de la importación, se requieren pasos adicionales.Additional steps are required if the service was activated before the import.

  • Paso 6. Configurar plantillas importadasStep 6. Configure imported templates

    Al importar las plantillas de directiva de derechos, su estado se archiva.When you import your rights policy templates, their status is archived. Si quiere que los usuarios puedan verla y usarla, debe cambiar el estado de la plantilla a publicada en el Portal de Azure clásico.If you want users to be able to see and use them, you must change the template status to be published in the Azure classic portal.

FASE 3: CONFIGURACIÓN DEL LADO CLIENTEPHASE 3: CLIENT-SIDE CONFIGURATION

  • Paso 7: reconfiguración de los equipos Windows para usar Azure Information ProtectionStep 7: Reconfigure Windows computers to use Azure Information Protection

    Debe volver a configurar los equipos Windows existentes para usar el servicio de Azure Rights Management en lugar de AD RMS.Existing Windows computers must be reconfigured to use the Azure Rights Management service instead of AD RMS. Este paso se aplica a los equipos de su organización y en los equipos de las organizaciones asociadas si ha colaborado con ellas al ejecutar AD RMS.This step applies to computers in your organization, and to computers in partner organizations if you have collaborated with them while you were running AD RMS.

FASE 4: CONFIGURACIÓN DE SERVICIOS AUXILIARESPHASE 4: SUPPORTING SERVICES CONFIGURATION

  • Paso 8: configuración de la integración de IRM en Exchange OnlineStep 8: Configure IRM integration for Exchange Online

    Este paso completa la migración de AD RMS para Exchange Online para usar ahora el servicio de Azure Rights Management.This step completes the AD RMS migration for Exchange Online to now use the Azure Rights Management service.

  • Paso 9: configuración de la integración de IRM para Exchange Server y SharePoint ServerStep 9: Configure IRM integration for Exchange Server and SharePoint Server

    Este paso completa la migración de AD RMS para Exchange o SharePoint local para usar el servicio de Azure Rights Management, que requiere la implementación del conector Rights Management.This step completes the AD RMS migration for Exchange or SharePoint on-premises to now use the Azure Rights Management service, which requires deploying the Rights Management connector.

FASE 5: TAREAS POSTERIORES A LA MIGRACIÓNPHASE 5: POST MIGRATION TASKS

  • Paso 10: desaprovisionamiento de AD RMSStep 10: Deprovision AD RMS

    Cuando haya confirmado que todos los equipos Windows usen el servicio Azure Rights Management y ya no accedan a los servidores de AD RMS, podrá desaprovisionar la implementación de AD RMS.When you have confirmed that all Windows computers are using the Azure Rights Management service and are no longer accessing your AD RMS servers, you can deprovision your AD RMS deployment.

  • Paso 11: completar tareas de migración de clienteStep 11: Complete client migration tasks

    Si ha implementado la extensión de dispositivos móviles para admitir dispositivos móviles como iPads y teléfonos iOS, teléfonos y tabletas Android, teléfonos y tabletas Windows y equipos Mac, debe quitar los registros SRV en DNS que redirigen estos clientes para usar AD RMS.If you have deployed the mobile device extension to support mobile devices such as iOS phones and iPads, Android phones and tablets, Windows phones and tablets, and Mac computers, you must remove the SRV records in DNS that redirected these clients to use AD RMS.

    Ya no son necesarios los controles de incorporación configurados durante la fase de preparación.The onboarding controls that you configured during the preparation phase are no longer needed. Pero si no ha usado controles de incorporación porque ha decidido migrarlo todo al mismo tiempo, en lugar de realizar una migración por fases, puede omitir las instrucciones para quitar los controles de incorporación.However, if you did not use onboarding controls because you chose to migrate everything at the same time rather than do a phased migration, you can skip the instructions to remove the onboarding controls.

    Si los equipos Windows ejecutan Office 2010, compruebe si es necesario deshabilitar la tarea Administración de plantillas de directiva de derechos de AD RMS (automatizada).If your Windows computers are running Office 2010, check whether you need to disable the AD RMS Rights Policy Template Management (Automated) task.

  • Paso 12: regeneración de la clave de inquilino de Azure Information ProtectionStep 12: Rekey your Azure Information Protection tenant key

    Le recomendamos este paso si no estaba ejecutando en el modo criptográfico 2 antes de la migración.This step is recommended if you were not running in Cryptographic Mode 2 before the migration.

Pasos siguientesNext steps

Para iniciar la migración, vaya a Fase 1: preparación.To start the migration, go to Phase 1 - preparation.