Migración desde AD RMS a Azure Information Protection

Se aplica a: Active Directory Rights Management Services, Azure Information Protection, Office 365

Pertinente para: cliente de etiquetado unificado de AIP y cliente clásico de AIP

Nota

Para proporcionar una experiencia de cliente unificada y simplificada, el cliente clásico de Azure Information Protection y la administración de etiquetas en Azure Portal están en desuso desde el 31 de marzo de 2021. Aunque el cliente clásico sigue funcionando como está configurado, no se proporcionará ningún soporte adicional, y las versiones de mantenimiento ya no se publicarán para el cliente clásico.

Se recomienda migrar al etiquetado unificado y actualizar al cliente de etiquetado unificado. Obtenga más información en nuestro último blog sobre desuso.

Use el siguiente conjunto de instrucciones para migrar su implementación de Active Directory Rights Management Services (AD RMS) a Azure Information Protection.

Después de la migración, los servidores de AD RMS ya no se usarán, pero los usuarios seguirán teniendo acceso a documentos y mensajes de correo electrónico que su organización protege mediante AD RMS. El contenido protegido recientemente usará el servicio Azure Rights Management (Azure RMS) de Azure Information Protection.

Aunque no es necesario, podría resultar útil leer la documentación siguiente antes de comenzar la migración. Esta información le permite conocer mejor cómo funciona la tecnología cuando resulta relevante para el paso de migración.

  • Planear e implementar la clave de inquilino de Azure Information Protection: conocer las opciones de administración de claves que tiene para el inquilino de Azure Information Protection, en que su clave SLC equivalente en la nube es administrada por Microsoft (modo predeterminado) o por usted mismo ("traiga su propia clave" o configuración BYOK).

  • Detección del servicio RMS:en esta sección de las notas de implementación del cliente RMS se explica que el orden para la detección de servicios es registro y, a continuación, punto de conexión de servicio (SCP) y, a continuación, en la nube. Durante el proceso de migración cuando el SCP todavía está instalado, debe configurar a clientes con la configuración del registro para el inquilino de Azure Information Protection para que no usen el clúster de AD RMS devuelto desde el SCP.

  • Información general sobre el conector Microsoft Rights Management: en esta sección de la documentación del conector RMS se explica cómo los servidores locales se pueden conectar al servicio de Azure Rights Management para proteger documentos y correos electrónicos.

Además, si no está familiarizado con cómo funciona AD RMS, puede resultar útil leer ¿Cómo funciona Azure RMS trabajo? En primer lugar para ayudarle a identificar qué procesos tecnológicos son iguales o diferentes para la versión en la nube.

Requisitos previos para migrar AD RMS a Azure Information Protection

Antes de iniciar la migración a Azure Information Protection, asegúrese de que se cumplen los siguientes requisitos previos y de que conoce las limitaciones.

  • Una implementación de RMS compatible:

    • Las versiones siguientes de AD RMS admiten una migración a Azure Information Protection:

      • Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)

    • Se admiten todas las topologías de AD RMS válidas:

      • Bosque único, un solo clúster de RMS

      • Bosque único, varios clústeres de RMS solo con licencias

      • Varios bosques, varios clústeres de RMS

      Nota

      De forma predeterminada, varios clústeres de AD RMS se migran a un único inquilino de Azure Information Protection. Si quiere usar inquilinos independientes de Azure Information Protection, necesita considerarlos como migraciones distintas. No se puede importar una clave de un clúster de RMS a más de un inquilino.

  • Todos los requisitos para Azure Information Protection, incluida una suscripción para Azure Information Protection (el Azure Rights Management no está activado):

    Vea Requisitos de Azure Information Protection.

    El Azure Information Protection es necesario para la clasificación y el etiquetado, y opcional, pero se recomienda si solo desea proteger los datos.

    Para obtener más información, consulte las guías de administración de Azure Information Protection cliente de etiquetado unificado.

    Aunque es necesario tener una suscripción de Azure Information Protection para poder migrar de AD RMS, le recomendamos que no active el servicio Rights Management para el inquilino antes de iniciar la migración.

    En el proceso de migración se incluye este paso de activación después de exportar las claves y plantillas de AD RMS e importarlas al inquilino de Azure Information Protection. En cambio, si el servicio Rights Management ya está activado, aún podrá realizar la migración desde AD RMS con algunos pasos adicionales.

    Office 2010:

    Si tiene equipos que ejecutan Office 2010, debe instalar el cliente de Azure Information Protection para proporcionar la capacidad de autenticar a los usuarios en los servicios en la nube.

    Importante

    El soporte extendido de Office 2010 finalizó el 13 de octubre de 2020. Para más información, consulte AIP y versiones heredadas de Windows y Office.

  • Preparación para Azure Information Protection:

  • Si ha usado la funcionalidad Information Rights Management (IRM) de Exchange Server (por ejemplo, las reglas de transporte y Outlook Web Access) o SharePoint Server con AD RMS:

    • Plan durante un breve período de tiempo si IRM no estará disponible en estos servidores

      Aún puede usar IRM en estos servidores después de la migración. Sin embargo, uno de los pasos de migración es deshabilitar temporalmente el servicio IRM, instalar y configurar un conector, volver a configurar los servidores y, a continuación, volver a habilitar IRM.

      Se trata de la única interrupción del servicio durante el proceso de migración.

  • Si quiere administrar su propia clave de inquilino de Azure Information Protection con una clave protegida por HSM:

    • Para esta configuración opcional se necesita el Almacén de claves de Azure y una suscripción de Azure compatible con un almacén de claves con claves protegidas por HSM. Para obtener más información, vea la página Azure Key Vault precios de .

Consideraciones del modo criptográfico

Si el clúster de AD RMS está actualmente en el modo criptográfico 1, no lo actualice al modo criptográfico 2 antes de iniciar la migración. En su lugar, realice la migración con el modo criptográfico 1. Podrá regenerar la clave de inquilino al final de la migración como una de las tareas posteriores a esta.

Para confirmar el AD RMS criptográfico de Windows Server 2012 R2 y Windows 2012: AD RMS propiedades del clúster > pestaña General.

Limitaciones de la migración

  • Si tiene software y clientes que no son compatibles con el servicio Rights Management usado por Azure Information Protection, no podrán proteger o usar contenido protegido por Azure Rights Management. Asegúrese de comprobar las secciones aplicaciones y clientes compatibles en Requisitos para Azure Information Protection.

  • Si su implementación de AD RMS está configurada para colaborar con asociados externos (por ejemplo, con federación o dominios de usuario de confianza), estos también necesitarán realizar la migración a Azure Information Protection al mismo tiempo o lo antes posible después de completar la migración. Para seguir teniendo acceso al contenido protegido anteriormente por su organización con Azure Information Protection, necesitarán realizar cambios en la configuración del cliente similares a los que realice el usuario y que se incluyen en este documento.

    Debido a las posibles variaciones de configuración de los asociados, las instrucciones exactas para este cambio de configuración están fuera del ámbito de este documento. En cambio, vea la siguiente sección para obtener una guía de planeación y, para obtener ayuda adicional, póngase en contacto con el soporte técnico de Microsoft.

Planeación de la migración si colabora con asociados externos

Incluya los asociados de AD RMS en la fase de planeación de la migración porque también habrá que migrarlos a Azure Information Protection. Antes de realizar los siguientes pasos de migración, asegúrese de que se cumplan las siguientes condiciones:

  • Tienen un inquilino de Azure Active Directory que admite el servicio Azure Rights Management.

    Por ejemplo, tienen una suscripción a Office 365 E3 o E5, una suscripción a Enterprise Mobility + Security o una suscripción independiente a Azure Information Protection.

  • Su servicio de Azure Rights Management aún no está activado, pero conocen su dirección URL de servicio de Azure Rights Management.

    Para obtener esta información, instale la herramienta Azure Rights Management, se conecte al servicio(Conectar-AipService)y, a continuación, vea su información de inquilino para el servicio Azure Rights Management (Get-AipServiceConfiguration).

  • Le han proporcionado las direcciones URL de su clúster de AD RMS y su dirección URL de servicio de Azure Rights Management para que pueda configurar los clientes migrados y redirigir las solicitudes de su contenido protegido de AD RMS al servicio de Azure Rights Management de sus inquilinos. Las instrucciones para configurar el redireccionamiento cliente están en el paso 7.

  • Importarán sus claves raíz de clúster de AD RMS (SLC) en el inquilino antes de que empiece a migrar los usuarios. De forma similar, debe importar sus claves raíz de clúster de AD RMS antes de empezar a migrar sus usuarios. Las instrucciones para importar la clave se tratan en este proceso de migración, paso 4. Exporte los datos de configuración AD RMS e impórtelos a Azure Information Protection.

Información general sobre los pasos para migrar AD RMS a Azure Information Protection

Los pasos de migración se pueden dividir en cinco fases que se pueden realizar en momentos diferentes y por distintos administradores.

Fase 1: Preparación de la migración

Para obtener más información, vea FASE 1: PREPARACIÓN DE LA MIGRACIÓN.

Paso 1: Instalar el módulo de PowerShell AIPService e identificar la dirección URL del inquilino

El proceso de migración requiere que ejecute uno o varios de los cmdlets de PowerShell desde el módulo AIPService. Necesitará saber la dirección URL de servicio de Azure Rights Management de su inquilino para efectuar muchos de los pasos de la migración. Puede identificar este valor mediante PowerShell.

Paso 2. Preparación para la migración de cliente

Si no puede migrar todos los clientes a la vez y los migrará en lotes, use controles de incorporación e implemente un script previo a la migración. Pero si lo migra todo al mismo tiempo, en lugar de realizar una migración por fases, puede omitir este paso.

Paso 3: preparación de la implementación de Exchange para la migración

Este paso es necesario si usa actualmente la característica de IRM de Exchange Online o Exchange local para proteger los correos electrónicos. Pero si lo migra todo al mismo tiempo, en lugar de realizar una migración por fases, puede omitir este paso.

Fase 2: Configuración del lado servidor para AD RMS

Para obtener más información, vea PHASE 2: SERVER-SIDE CONFIGURATION FOR AD RMS.

Paso 4. Exportar datos de configuración AD RMS importarlos a Azure Information Protection

Exporte los datos de configuración (claves, plantillas y direcciones URL) de AD RMS a un archivo XML y, a continuación, cargue ese archivo en el servicio Azure Rights Management desde Azure Information Protection mediante el cmdlet de Import-AipServiceTpd PowerShell. A continuación, identifique qué clave de certificado de emisor de licencias de servidor (SLC) importada desea utilizar como la clave de inquilino para el servicio Azure Rights Management. Podrían ser necesarios pasos adicionales, dependiendo de la configuración de claves de AD RMS:

  • Migración entre claves protegidas por software:

    Claves administradas de forma centralizada y basadas en contraseña en AD RMS a clave de inquilino de Azure Information Protection administrada por Microsoft. Esta es la ruta de migración más sencilla y no se necesita ningún paso adicional.

  • Migración entre claves protegidas por HSM:

    Claves almacenadas por un HSM para AD RMS en una clave de inquilino de Azure Information Protection administrada por el cliente (el escenario “aportar tu propia clave” o BYOK). Esto requiere pasos adicionales para transferir la clave desde el HSM de nCipher local a Azure Key Vault y autorizar al servicio de Azure Rights Management a usar esta clave. Su clave protegida por HSM existente tiene que estar protegida por módulo, ya que Rights Management Services no admite las claves protegidas por OCS.

  • Migración de clave protegida por software a clave protegida por HSM:

    Claves basadas en contraseña y administradas de forma centralizada en AD RMS para la clave de inquilino de Azure Information Protection administrada por el cliente (el escenario “aportar tu propia clave” o BYOK). Esto requiere la mayor parte de la configuración, ya que primero debe extraer la clave de software e importarla en un HSM local y, a continuación, realizar los pasos adicionales para transferir la clave desde el HSM de nCipher local a un HSM de Azure Key Vault y autorizar al servicio Azure Rights Management a usar el almacén de claves que almacena la clave.

Paso 5. Activación del servicio Azure Rights Management cliente

Si es posible, realice este paso después del proceso de importación y no antes. Si el servicio se activó antes de la importación, se requieren pasos adicionales.

Paso 6. Configuración de plantillas importadas

Al importar las plantillas de directiva de derechos, su estado se archiva. Si quiere que los usuarios puedan verla y usarla, debe cambiar el estado de la plantilla a publicada en el Portal de Azure clásico.

Fase 3: Configuración del lado cliente

Para obtener más información, vea PHASE 3: CLIENT-SIDE CONFIGURATION.

Paso 7: reconfiguración de los equipos Windows para usar Azure Information Protection

Debe volver a configurar los equipos Windows existentes para usar el servicio de Azure Rights Management en lugar de AD RMS. Este paso se aplica a los equipos de su organización y en los equipos de las organizaciones asociadas si ha colaborado con ellas al ejecutar AD RMS.

Fase 4: Configuración de servicios de soporte técnico

Para obtener más información, vea PHASE 4: SUPPORTING SERVICES CONFIGURATION.

Paso 8: configuración de la integración de IRM en Exchange Online

Este paso completa la migración de AD RMS para Exchange Online para usar ahora el servicio de Azure Rights Management.

Paso 9: configuración de la integración de IRM para Exchange Server y SharePoint Server

Este paso completa la migración de AD RMS para Exchange o SharePoint local para usar el servicio de Azure Rights Management, que requiere la implementación del conector Rights Management.

Fase 5: Tareas posteriores a la migración

Para obtener más información, vea PHASE 5: POST MIGRATION TASKS.

Paso 10: desaprovisionamiento de AD RMS

Cuando haya confirmado que todos los equipos Windows usen el servicio Azure Rights Management y ya no accedan a los servidores de AD RMS, podrá desaprovisionar la implementación de AD RMS.

Paso 11: completar tareas de migración de cliente

Si ha implementado la extensión de dispositivos móviles para admitir dispositivos móviles como iPads y teléfonos iOS, teléfonos y tabletas Android, teléfonos y tabletas Windows y equipos Mac, debe quitar los registros SRV en DNS que redirigen estos clientes para usar AD RMS.

Ya no son necesarios los controles de incorporación configurados durante la fase de preparación. Pero si no ha usado controles de incorporación porque ha decidido migrarlo todo al mismo tiempo, en lugar de realizar una migración por fases, puede omitir las instrucciones para quitar los controles de incorporación.

Si los equipos Windows ejecutan Office 2010, compruebe si es necesario deshabilitar la tarea Administración de plantillas de directiva de derechos de AD RMS (automatizada).

Importante

El soporte extendido de Office 2010 finalizó el 13 de octubre de 2020. Para más información, consulte AIP y versiones heredadas de Windows y Office.

Paso 12: Volver a clave de Azure Information Protection clave de inquilino

Le recomendamos este paso si no estaba ejecutando en el modo criptográfico 2 antes de la migración.

Pasos siguientes

Para iniciar la migración, vaya a Fase 1: preparación.