Phase de migration 1 : préparation

  • Article

Utilisez les informations suivantes pour la phase 1 de la migration d’AD RMS vers Azure Information Protection. Ces procédures couvrent les étapes 1 à 3 de la migration d’AD RMS vers Azure Protection des données et préparent votre environnement pour la migration sans effet sur vos utilisateurs.

Étape 1 : installer le module PowerShell AIPService et identifier l’URL de votre locataire

Installez le module AIPService pour vous permettre de configurer et de gérer le service qui fournit la protection des données pour Azure Information Protection.

Pour obtenir des instructions, consultez Installation du module PowerShell AIPService.

Pour suivre certaines des instructions de migration, vous devez connaître l’URL du service Azure Rights Management pour votre locataire afin de pouvoir la remplacer lorsque vous voyez des références à <votre URL> de locataire.

Votre URL de service Azure Rights Management a le format suivant : {GUID}.rms.[Region].aadrm.com. Par exemple : 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

Pour identifier votre URL de service Azure Rights Management

  1. Connectez-vous au service Azure Rights Management et, lorsque vous y êtes invité, saisissez les informations d'identification de l'administrateur général de votre locataire :

    Connect-AipService

  2. Obtenez la configuration de votre locataire :

    Get-AipServiceConfiguration

  3. Copiez la valeur affichée pour LicensingIntranetDistributionPointUrl, et supprimez /_wmcs\licensing de cette chaîne.

    Il ne reste que l’URL de votre service Azure Rights Management pour votre locataire Azure Information Protection. Cette valeur est souvent raccourcie à l’URL de votre locataire dans les instructions de migration suivantes.

    Vous pouvez vérifier que vous disposez de la valeur correcte en exécutant la commande PowerShell suivante :

    (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]

Étape 2 : Préparation de la migration du client

Pour la plupart des migrations, il n’est pas pratique de migrer tous les clients en même temps. Vous migrez probablement des clients par lots.

Cela signifie que pendant un certain temps, certains clients utilisent Azure Protection des données et certains utilisent toujours AD RMS. Pour prendre en charge les utilisateurs prémigrats et migrés, utilisez des contrôles d’intégration et déployez un script de prémigration.

Remarque

Cette étape est requise pendant le processus de migration afin que les utilisateurs qui n’ont pas encore migré puissent consommer du contenu protégé par des utilisateurs migrés qui utilisent désormais Azure Rights Management.

Pour préparer la migration du client

  1. Créez un groupe, par exemple, nommé AIPMigrated. Ce groupe peut être créé dans Active Directory et synchronisé avec le cloud, ou il peut être créé dans Microsoft 365 ou Microsoft Entra ID.

    N’affectez aucun utilisateur à ce groupe pour l’instant. À une étape ultérieure, lorsque les utilisateurs sont migrés, ajoutez-les au groupe.

  2. Notez l’ID d’objet de ce groupe à l’aide de l’une des méthodes suivantes.

    • Utilisez Microsoft Graph PowerShell. Par exemple, utilisez la commande Get-MgGroup .
    • Copiez l’ID d’objet du groupe à partir du portail Azure.

  3. Configurez ce groupe pour que les contrôles d’intégration autorisent uniquement les personnes de ce groupe à utiliser Azure Rights Management pour protéger le contenu.

    Pour effectuer cette configuration, dans une session PowerShell, connectez-vous au service Azure Rights Management. Lorsque vous y êtes invité, spécifiez vos informations d’identification d’administrateur général.

    Connect-AipService

    Configurez ce groupe pour les contrôles d’intégration, en remplaçant votre ID d’objet de groupe pour celui de cet exemple. Lorsque vous y êtes invité, entrez Y pour confirmer.

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp

  4. Téléchargez le fichier Migration-Scripts.zip.

  5. Extrayez les fichiers et suivez les instructions dans Prepare-Client.cmd, afin qu'il contienne le nom de serveur pour l'URL de licence extranet de votre groupement AD RMS. Pour localiser ce nom, procédez comme suit.

    1. Dans la console services AD RMS (Active Directory Rights Management Services), sélectionnez le nom du cluster.

    2. À partir des informations Détails du groupement, copiez le nom du serveur à partir de la valeur de licence de la section URL du groupement extranet. Par exemple : rmscluster.contoso.com.

    Important

    Les instructions incluent le remplacement des exemples d’adresses adrms.contoso.com par les adresses de votre serveur AD RMS.

    Lorsque vous effectuez cette opération, veillez à ce qu’il n’y ait pas d’espaces supplémentaires avant ou après vos adresses. Les espaces supplémentaires interrompent le script de migration et sont très difficiles à identifier comme étant la cause racine du problème.

    Certains outils d’édition ajoutent automatiquement un espace après avoir collé du texte.

  6. Déployez ce script sur tous les ordinateurs Windows pour vous assurer que lorsque vous commencez à migrer des clients, les clients qui n'ont pas encore été migrés continuent de communiquer avec AD RMS même s’ils consomment du contenu protégé par des clients migrés qui utilisent désormais le service Azure Rights Management.

    Vous pouvez utiliser la stratégie de groupe ou un autre mécanisme de déploiement de logiciels pour déployer ce script.

Étape 3 : Préparez votre déploiement Exchange pour la migration

Si vous utilisez Exchange en local ou Exchange online, vous avez peut-être déjà intégré Exchange à votre déploiement AD RMS. Dans cette étape, configurez-les pour utiliser la configuration AD RMS existante pour prendre en charge le contenu protégé par Azure RMS.

Assurez-vous de disposer de l'URL de votre service Azure Rights Management pour votre locataire afin de pouvoir remplacer cette valeur par <l’URL de votre locataire> dans les commandes suivantes.

Effectuez l’une des opérations suivantes, selon que vous avez intégré Exchange local ou Exchange Online à AD RMS :

Si vous avez intégré Exchange Online à AD RMS

  1. Ouvrez une session Exchange Online PowerShell.

  2. Exécutez les commandes PowerShell suivantes une par une ou dans un script.

    $irmConfig = Get-IRMConfiguration
$list = $irmConfig.LicensingLocation
$list += "<YourTenantURL>/_wmcs/licensing"
Set-IRMConfiguration -LicensingLocation $list
Set-IRMConfiguration -internallicensingenabled $false
Set-IRMConfiguration -internallicensingenabled $true

Si vous avez intégré Exchange en local à AD RMS

Pour chaque organisation Exchange, ajoutez des valeurs de registre sur chaque serveur Exchange, puis exécutez les commandes PowerShell :

  1. Si vous avez Exchange 2013 ou Exchange 2016, ajoutez la valeur de registre suivante :

    • Chemin du Registre : HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Type : Reg_SZ

    • Valeur : https://\<Your Tenant URL\>/_wmcs/licensing

    • Données : https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

  2. Exécutez les commandes PowerShell suivantes, une par une ou dans un script :

    $irmConfig = Get-IRMConfiguration
$list = $irmConfig.LicensingLocation
$list += "<YourTenantURL>/_wmcs/licensing"
Set-IRMConfiguration -LicensingLocation $list
Set-IRMConfiguration -internallicensingenabled $false
Set-IRMConfiguration -RefreshServerCertificates
Set-IRMConfiguration -internallicensingenabled $true
IISReset

Après avoir exécuté ces commandes pour Exchange Online ou Exchange localement, si votre déploiement Exchange a été configuré pour prendre en charge le contenu protégé par AD RMS, il prend également en charge le contenu protégé par Azure RMS après la migration.

Votre déploiement Exchange continue d’utiliser AD RMS pour prendre en charge le contenu protégé jusqu’à une étape ultérieure de la migration.

Étapes suivantes

Passez à la phase 2 - configuration côté serveur.