Phase de migration 2 : Configuration côté serveur pour AD RMSMigration phase 2 - server-side configuration for AD RMS

S’applique à : Services AD RMS, Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Utilisez les informations suivantes pour la Phase 2 de la migration d’AD RMS vers Azure Information Protection.Use the following information for Phase 2 of migrating from AD RMS to Azure Information Protection. Ces procédures couvrent les étapes 4 à 6 de la rubrique Migration d’AD RMS vers Azure Information Protection.These procedures cover steps 4 though 6 from Migrating from AD RMS to Azure Information Protection.

Étape 4.Step 4. Exporter les données de configuration d’AD RMS, puis les importer dans Azure Information ProtectionExport configuration data from AD RMS and import it to Azure Information Protection

Cette étape est un processus comprenant deux phases :This step is a two-part process:

  1. Exporter les données de configuration d'AD RMS en exportant les domaines de publication approuvés (TPD) dans un fichier .xml.Export the configuration data from AD RMS by exporting the trusted publishing domains (TPDs) to an .xml file. Ce processus est identique pour toutes les migrations.This process is the same for all migrations.

  2. Importez les données de configuration dans Azure Information Protection.Import the configuration data to Azure Information Protection. Il existe différents processus pour cette étape, en fonction de la configuration actuelle de votre déploiement AD RMS et de votre topologie préférée pour votre clé de client Azure RMS.There are different processes for this step, depending on your current AD RMS deployment configuration and your preferred topology for your Azure RMS tenant key.

Exportation des données de configuration d'AD RMSExport the configuration data from AD RMS

Procédez comme suit sur tous les clusters AD RMS, pour tous les domaines de publication approuvés comprenant un contenu protégé pour votre organisation.Do the following procedure on all AD RMS clusters, for all trusted publishing domains that have protected content for your organization. Il est inutile d’exécuter cette procédure sur des clusters dédiés uniquement à la gestion des licences.You do not need to run this procedure on licensing-only clusters.

Pour exporter les données de configuration (informations du domaine de publication approuvé)To export the configuration data (trusted publishing domain information)

  1. Connectez-vous au cluster AD RMS en tant qu'utilisateur avec des autorisations d'administration AD RMS.Log on the AD RMS cluster as a user with AD RMS administration permissions.

  2. À partir de la console de gestion AD RMS (Active Directory Rights Management Services), développez le nom du cluster AD RMS, Stratégies d'approbation, puis cliquez sur Domaines de publication approuvés.From the AD RMS management console (Active Directory Rights Management Services), expand the AD RMS cluster name, expand Trust Policies, and then click Trusted Publishing Domains.

  3. Dans le volet Résultats, sélectionnez le domaine de publication approuvé, puis, dans le volet Actions, cliquez sur Exporter un domaine de publication approuvé.In the results pane, select the trusted publishing domain, and then, from the Actions pane, click Export Trusted Publishing Domain.

  4. Dans la boîte de dialogue Exporter un domaine de publication approuvé :In the Export Trusted Publishing Domain dialog box:

    • Cliquez sur Enregistrer sous, puis définissez le chemin d'accès et le nom de fichier de votre choix.Click Save As and save to path and a file name of your choice. Spécifiez .xml comme extension de nom de fichier (l’extension n’est pas ajoutée automatiquement).Make sure to specify .xml as the file name extension (this is not appended automatically).

    • Spécifiez et confirmez un mot de passe fort.Specify and confirm a strong password. N’oubliez pas ce mot de passe, car vous en aurez besoin ultérieurement pour importer les données de configuration dans Azure Information Protection.Remember this password, because you will need it later, when you import the configuration data to Azure Information Protection.

    • N'activez pas la case à cocher pour enregistrer le fichier de domaine approuvé dans RMS version 1.0.Do not select the checkbox to save the trusted domain file in RMS version 1.0.

Après avoir exporté tous les domaines de publication approuvés, vous pouvez commencer la procédure d’importation de ces données dans Azure Information Protection.When you have exported all the trusted publishing domains, you’re ready to start the procedure to import this data to Azure Information Protection.

Notez que les domaines de publication approuvés incluent les clés de certificat de licence serveur (SLC) pour déchiffrer les fichiers précédemment protégés. Il est donc important d’exporter (et d’importer ultérieurement dans Azure) tous les domaines de publication approuvés et pas uniquement le domaine actuellement actif.Note that the trusted publishing domains include the Server Licensor Certificate (SLC) keys to decrypt previously protected files, so it's important that you export (and later import into Azure) all the trusted publishing domains and not just the currently active one.

Par exemple, vous aurez plusieurs domaines de publication approuvés si vous mettez à niveau vos serveurs AD RMS du Mode de chiffrement 1 au Mode de chiffrement 2.For example, you will have multiple trusted publishing domains if you upgraded your AD RMS servers from Cryptographic Mode 1 to Cryptographic Mode 2. Si vous n’exportez et n’importez pas le domaine de publication approuvé qui contient votre clé archivée qui utilisait le Mode de chiffrement 1, les utilisateurs ne seront pas en mesure d’ouvrir le contenu protégé avec la clé du Mode de chiffrement 1 après la migration.If you do not export and import the trusted publishing domain that contains your archived key that used Cryptographic Mode 1, at the end of the migration, users will not be able to open content that was protected with the Cryptographic Mode 1 key.

Importer les données de configuration dans Azure Information ProtectionImport the configuration data to Azure Information Protection

La procédure exacte de cette étape dépend de la configuration actuelle de votre déploiement AD RMS, ainsi que de votre topologie préférée pour votre clé de propriétaire Azure Information Protection.The exact procedures for this step depend on your current AD RMS deployment configuration, and your preferred topology for your Azure Information Protection tenant key.

Votre déploiement AD RMS actuel utilise l’une des configurations suivantes pour votre clé de certificat de licence serveur (SLC) :Your current AD RMS deployment is using one of the following configurations for your server licensor certificate (SLC) key:

  • Protection par mot de passe dans la base de données AD RMS.Password protection in the AD RMS database. Il s'agit de la configuration par défaut.This is the default configuration.

  • Protection HSM à l'aide d'un module de sécurité matériel Thales.HSM protection by using a Thales hardware security module (HSM).

  • Protection HSM à l'aide d'un module de sécurité matériel d'un fournisseur que Thales.HSM protection by using a hardware security module (HSM) from a supplier other than Thales.

  • Protection par mot de passe à l'aide d'un fournisseur de services de chiffrement externe.Password protected by using an external cryptographic provider.

Note

Pour plus d'informations sur l'utilisation des modules de sécurité matériels avec AD RMS, consultez Utilisation d'AD RMS avec des modules de sécurité matériels.For more information about using hardware security modules with AD RMS, see Using AD RMS with Hardware Security Modules.

Les deux options de topologie de clé de locataire Azure Information Protection sont les suivantes : Microsoft gère votre clé de locataire (Gérée par Microsoft) ou vous la gérez vous-même (Gérée par le client) dans Azure Key Vault.The two Azure Information Protection tenant key topology options are: Microsoft manages your tenant key (Microsoft-managed) or you manage your tenant key (customer-managed) in Azure Key Vault. Le scénario dans lequel vous gérez votre propre clé de locataire Azure Information Protection est parfois appelé BYOK (« Bring Your Own Key »).When you manage your own Azure Information Protection tenant key, it’s sometimes referred to as “bring your own key” (BYOK). Pour plus d’informations, consultez l’article Planification et implémentation de votre clé de locataire Azure Information Protection.For more information, see Planning and implementing your Azure Information Protection tenant key article.

Le tableau suivant permet d'identifier la procédure à utiliser pour votre migration.Use the following table to identify which procedure to use for your migration.

Déploiement AD RMS actuelCurrent AD RMS deployment Topologie de clé de locataire Azure Information Protection choisieChosen Azure Information Protection tenant key topology Instructions de migrationMigration instructions
Protection par mot de passe dans la base de données AD RMSPassword protection in the AD RMS database Gérée par MicrosoftMicrosoft-managed Consultez la procédure Migration de clé protégée par logiciel à clé protégée par logiciel après ce tableau.See the Software-protected key to software-protected key migration procedure after this table.

Ce chemin de migration, qui est le plus simple, nécessite uniquement que vous transfériez vos données de configuration vers Azure Information Protection.This is the simplest migration path and requires only that you transfer your configuration data to Azure Information Protection.
Protection HSM à l'aide d'un module de sécurité matériel Thales nShield (HSM)HSM protection by using a Thales nShield hardware security module (HSM) Gérée par le client (BYOK)Customer-managed (BYOK) Consultez la procédure Migration de clé protégée par HSM à clé protégée par HSM après ce tableau.See the HSM-protected key to HSM-protected key migration procedure after this table.

Cette opération nécessite l’ensemble d’outils BYOK d’Azure Key Vault et trois procédures, d’abord pour transférer la clé de votre module HSM local vers les modules HSM Azure Key Vault, puis pour autoriser le service Azure Rights Management d’Azure Information Protection à utiliser votre clé de locataire, et enfin pour transférer vos données de configuration vers Azure Information Protection.This requires the Azure Key Vault BYOK toolset and three sets of steps to first transfer the key from your on-premises HSM to the Azure Key Vault HSMs, then authorize the Azure Rights Management service from Azure Information Protection to use your tenant key, and finally to transfer your configuration data to Azure Information Protection.
Protection par mot de passe dans la base de données AD RMSPassword protection in the AD RMS database Gérée par le client (BYOK)Customer-managed (BYOK) Consultez la procédure Migration de clé protégée par logiciel à clé protégée par HSM après ce tableau.See the Software-protected key to HSM-protected key migration procedure after this table.

Cette opération nécessite l’ensemble d’outils BYOK d’Azure Key Vault et quatre procédures, d’abord pour extraire votre clé logicielle et l’importer dans un module HSM local, puis pour transférer la clé de votre module HSM local vers les modules HSM Azure Information Protection, ensuite pour transférer vos données Key Vault vers Azure Information Protection, et enfin pour transférer vos données de configuration vers Azure Information Protection.This requires the Azure Key Vault BYOK toolset and four sets of steps to first extract your software key and import it to an on-premises HSM, then transfer the key from your on-premises HSM to the Azure Information Protection HSMs, next transfer your Key Vault data to Azure Information Protection, and finally to transfer your configuration data to Azure Information Protection.
Protection HSM à l'aide d'un module de sécurité matériel d'un fournisseur que ThalesHSM protection by using a hardware security module (HSM) from a supplier other than Thales Gérée par le client (BYOK)Customer-managed (BYOK) Contactez le fournisseur de votre HSM pour obtenir des instructions sur le transfert de votre clé de ce HSM vers un HSM nShield Thales.Contact the supplier for your HSM for instructions how to transfer your key from this HSM to a Thales nShield hardware security module (HSM). Suivez ensuite les instructions de la procédure Migration de clé protégée par HSM à clé protégée par HSM après ce tableau.Then follow the instructions for the HSM-protected key to HSM-protected key migration procedure after this table.
Protection par mot de passe à l'aide d'un fournisseur de services de chiffrement externePassword protected by using an external cryptographic provider Gérée par le client (BYOK)Customer-managed (BYOK) Contactez le fournisseur de votre HSM pour obtenir des instructions concernant le transfert de votre clé vers un HSM nShield Thales.Contact the supplier for your cryptographic provider for instructions how to transfer your key to a Thales nShield hardware security module (HSM). Suivez ensuite les instructions de la procédure Migration de clé protégée par HSM à clé protégée par HSM après ce tableau.Then follow the instructions for the HSM-protected key to HSM-protected key migration procedure after this table.

Si vous avez une clé protégée par HSM que vous ne pouvez pas exporter, vous pouvez quand même migrer vers Azure Information Protection en configurant votre cluster AD RMS pour un mode en lecture seule.If you have an HSM-protected key that you cannot export, you can still migrate to Azure Information Protection by configuring your AD RMS cluster for a read-only mode. Dans ce mode, le contenu précédemment protégé peut toujours être ouvert, mais le contenu nouvellement protégé utilise une nouvelle clé de locataire que vous gérez vous-même (BYOK) ou qui est gérée par Microsoft.In this mode, previously protected content can still be opened but newly protected content uses a new tenant key that is managed by you (BYOK) or managed by Microsoft. Pour plus d’informations, consultez Une mise à jour d’Office est disponible pour prendre en charge les migrations d’AD RMS vers Azure RMS.For more information, see An update is available for Office to support migrations from AD RMS to Azure RMS.

Avant de commencer ces procédures de migration de clés, vérifiez que vous avez accès aux fichiers .xml créés lors de l’exportation des domaines de publication approuvés.Before you start these key migration procedures, make sure that you can access the .xml files that you created earlier when you exported the trusted publishing domains. Par exemple, ceux-ci peuvent être enregistrés sur une clé USB que vous déplacez du serveur AD RMS vers la station de travail connectée à Internet.For example, these might be saved to a USB thumb drive that you move from the AD RMS server to the Internet-connected workstation.

Note

Quelle que soit la manière dont vous stockez ces fichiers, suivez les meilleures pratiques pour les protéger, car ces données incluent votre clé privée.However you store these files, use security best practices to protect them because this data includes your private key.

Pour effectuer l’étape 4, sélectionnez les instructions correspondant à votre chemin de migration :To complete Step 4, choose and select the instructions for your migration path:

Étape 5.Step 5. Activer le service Azure Rights ManagementActivate the Azure Rights Management service

Ouvrez une session PowerShell et exécutez les commandes suivantes :Open a PowerShell session and run the following commands:

  1. Connectez-vous au service Azure Rights Management et indiquez vos informations d’identification d’administrateur général quand vous y êtes invité :Connect to the Azure Rights Management service and when prompted, specify your global admin credentials:

     Connect-Aadrmservice
    
  2. Activez le service Azure Rights Management :Activate the Azure Rights Management service:

     Enable-Aadrm
    

Que se passe-t-il si votre locataire Azure Information Protection est déjà activé ?What if your Azure Information Protection tenant is already activated? Si le service Azure Rights Management est déjà activé pour votre organisation et que vous avez créé des modèles personnalisés que vous souhaitez utiliser après la migration, vous devez exporter et importer ces modèles.If the Azure Rights Management service is already activated for your organization, and you have created custom templates that you want to use after the migration, you must export and import these templates. Cette procédure est détaillée dans l’étape suivante.This procedure is covered in the next step.

Étape 6.Step 6. Configurer les modèles importésConfigure imported templates

Étant donné que l’état par défaut des modèles importés est Archivé, vous devez définir cet état sur Publié si vous voulez que les utilisateurs soient en mesure d’utiliser ces modèles avec le service Azure Rights Management.Because the templates that you imported have a default state of Archived, you must change this state to be Published if you want users to be able to use these templates with the Azure Rights Management service.

Les modèles que vous importez à partir d’AD RMS ressemblent à et se comportent comme des modèles personnalisés que vous pouvez créer dans le portail Azure.Templates that you import from AD RMS look and behave just like custom templates that you can create in the Azure portal. Pour changer des modèles importés et les publier pour que les utilisateurs puissent les voir et les sélectionner à partir d’applications, consultez Configuration et gestion des modèles pour Azure Rights Management.To change imported templates to be published so that users can see them and select them from applications, see Configuring and managing templates for Azure Information Protection.

En plus de publier vos modèles nouvellement importés, vous devrez peut-être effectuer deux modifications importantes pour les modèles avant de poursuivre la migration.In addition to publishing your newly imported templates, there are just two important changes for the templates that you might need to make before you continue with the migration. Pour offrir une expérience plus cohérente aux utilisateurs pendant le processus de migration, n’apportez pas de modifications supplémentaires aux modèles importés et évitez de publier les deux modèles par défaut fournis avec Azure Information Protection ou d’en créer à ce stade.For a more consistent experience for users during the migration process, do not make additional changes to the imported templates and do not publish the two default templates that come with Azure Information Protection, or create new templates at this time. Au lieu de cela, attendez que le processus de migration soit terminé et d’avoir annulé l’approvisionnement des serveurs AD RMS.Instead, wait until the migration process is complete and you have deprovisioned the AD RMS servers.

Voici les modifications que vous pouvez être amené à apporter aux modèles pour cette étape :The template changes that you might need to make for this step:

  • Si vous avez créé des modèles personnalisés Azure Information Protection avant la migration, vous devez les exporter et importer manuellement.If you created Azure Information Protection custom templates before the migration, you must manually export and import them.

  • Si vos modèles dans AD RMS utilisaient le groupe ANYONE, vous devrez peut-être ajouter des utilisateurs ou des groupes extérieurs à votre organisation.If your templates in AD RMS used the ANYONE group, you might need to add users or groups from outside your organization.

    Dans AD RMS, le groupe ANYONE accordait des droits à tous les utilisateurs authentifiés.In AD RMS, the ANYONE group granted rights to all authenticated users. Ce groupe est automatiquement converti à tous les utilisateurs dans votre locataire Azure AD.This group is automatically converted to all users in your Azure AD tenant. Si vous n’avez pas besoin d’accorder des droits à d’autres utilisateurs, aucune action supplémentaire n’est nécessaire.If you do not need to grant rights to any additional users, no further action is needed. En revanche, si vous utilisiez le groupe ANYONE pour inclure des utilisateurs externes, vous devez ajouter manuellement ces utilisateurs et les droits que vous souhaitez leur accorder.But if you were using the ANYONE group to include external users, you must manually add these users and the rights that you want to grant them.

Procédure à effectuer si vous avez créé des modèles personnalisés avant la migrationProcedure if you created custom templates before the migration

Si vous avez créé des modèles personnalisés avant la migration, que ce soit avant ou après l’activation du service Azure Rights Management, les modèles ne sont pas disponibles pour les utilisateurs après la migration, même si vous les avez définis sur Publié.If you created custom templates before the migration, either before or after activating the Azure Rights Management service, templates will not be available to users after the migration, even if they were set to Published. Pour les mettre à la disposition des utilisateurs, vous devez effectuer les opérations suivantes :To make them available to users, you must first do the following:

  1. Identifiez ces modèles et notez leur ID de modèle, en exécutant l’applet de commande Get-AadrmTemplate.Identify these templates and make a note of their template ID, by running the Get-AadrmTemplate.

  2. Exportez les modèles à l’aide de l’applet de commande PowerShell d’Azure RMS Export-AadrmTemplate.Export the templates by using the Azure RMS PowerShell cmdlet, Export-AadrmTemplate.

  3. Importez les modèles à l’aide de l’applet de commande PowerShell d’Azure RMS Import-AadrmTemplate.Import the templates by using the Azure RMS PowerShell cmdlet, Import-AadrmTemplate.

Vous pouvez ensuite publier ou archiver ces modèles comme vous le feriez pour tout autre modèle que vous créez après la migration.You can then publish or archive these templates as you would any other template that you create after the migration.

Procédure à effectuer si vos modèles dans AD RMS utilisaient le groupe ANYONEProcedure if your templates in AD RMS used the ANYONE group

Si vos modèles AD RMS utilisaient le groupe ANYONE, celui-ci est automatiquement converti pour utiliser le groupe nommé AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@<nom_client>.onmicrosoft.com. Par exemple, ce groupe peut se présenter sous la même forme que dans l’exemple suivant pour Contoso : AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com. Ce groupe contient tous les utilisateurs de votre locataire Azure AD.If your templates in AD RMS used the ANYONE group, this group is automatically converted to use the group named AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@<tenant_name>.onmicrosoft.com. For example, this group might look like the following for Contoso: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com. This group contains all users from your Azure AD tenant.

Quand vous gérez des modèles et des étiquettes dans le portail Azure, ce groupe apparaît comme le nom de domaine de votre locataire dans Azure AD.When you manage templates and labels in the Azure portal, this group displays as your tenant's domain name in Azure AD. Par exemple, ce groupe peut se présenter comme suit pour Contoso : contoso.onmicrosoft.com. Pour ajouter ce groupe, l’option affiche Ajouter <nom_organisation> - Tous les membres.For example, this group might look like the following for Contoso: contoso.onmicrosoft.com. To add this group, the option displays Add <organization name> - All members.

Si vous n’êtes pas sûr que vos modèles AD RMS incluent le groupe ANYONE, vous pouvez utiliser l’exemple de script Windows PowerShell suivant pour identifier ces modèles.If you're not sure whether your AD RMS templates include the ANYONE group, you can use the following sample Windows PowerShell script to identify these templates. Pour plus d’informations sur l’utilisation de Windows PowerShell avec AD RMS, consultez Utilisation de Windows PowerShell pour administrer AD RMS.For more information about using Windows PowerShell with AD RMS, see Using Windows PowerShell to Administer AD RMS.

Vous pouvez facilement ajouter des utilisateurs externes à des modèles quand vous convertissez ces derniers en étiquettes dans le portail Azure.You can easily add external users to templates when you convert these templates to labels in the Azure portal. Ensuite, dans le panneau Ajouter des autorisations, choisissez Entrez les détails pour spécifier manuellement les adresses e-mail de ces utilisateurs.Then, on the Add permissions blade, choose Enter details to manually specify the email addresses for these users.

Pour plus d’informations sur cette configuration, consultez Comment configurer une étiquette pour la protection offerte par Rights Management.For more information about this configuration, see How to configure a label for Rights Management protection.

Exemple de script Windows PowerShell permettant d’identifier les modèles AD RMS qui incluent le groupe ANYONESample Windows PowerShell script to identify AD RMS templates that include the ANYONE group

Cette section contient l’exemple de script qui vous permet d’identifier n’importe quel modèle AD RMS pour lequel le groupe ANYONE a été défini, comme décrit dans la section précédente.This section contains the sample script to help you identify any AD RMS templates that have the ANYONE group defined, as described in the preceding section.

Exclusion de responsabilité : Cet exemple de script n’est pris en charge dans le cadre d’aucun programme ou service de support standard de Microsoft.Disclaimer: This sample script is not supported under any Microsoft standard support program or service. Cet exemple de script est fourni TEL QUEL sans garantie d'aucune sorte.This sample script is provided AS IS without warranty of any kind.

import-module adrmsadmin 

New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost -Force 

$ListofTemplates=dir MyRmsAdmin:\RightsPolicyTemplate

foreach($Template in $ListofTemplates) 
{ 
                $templateID=$Template.id

                $rights = dir MyRmsAdmin:\RightsPolicyTemplate\$Templateid\userright

     $templateName=$Template.DefaultDisplayName 

        if ($rights.usergroupname -eq "anyone")

                         {
                           $templateName = $Template.defaultdisplayname

                           write-host "Template " -NoNewline

                           write-host -NoNewline $templateName -ForegroundColor Red

                           write-host " contains rights for " -NoNewline

                           write-host ANYONE  -ForegroundColor Red
                         }
 } 
Remove-PSDrive MyRmsAdmin -force

Étapes suivantesNext steps

Passez à la Phase 3 : Configuration côté client.Go to phase 3 - client-side configuration.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.