Phase de migration 5 : Tâches de post-migrationMigration phase 5 - post migration tasks

S’applique à : Services AD RMS, Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Utilisez les informations suivantes pour la Phase 5 de la migration d’AD RMS vers Azure Information Protection.Use the following information for Phase 5 of migrating from AD RMS to Azure Information Protection. Ces procédures couvrent les étapes 10 à 12 de la rubrique Migration d’AD RMS vers Azure Information Protection.These procedures cover steps 10 through 12 from Migrating from AD RMS to Azure Information Protection.

Étape 10.Step 10. Déprovisionner AD RMSDeprovision AD RMS

Supprimez le point de connexion de service d'Active Directory pour empêcher des ordinateurs de découvrir votre infrastructure Rights Management locale.Remove the Service Connection Point (SCP) from Active Directory to prevent computers from discovering your on-premises Rights Management infrastructure. Ceci est facultatif pour les clients existants que vous migrez en raison de la redirection que vous avez configurée dans le Registre (par exemple en exécutant le script de migration).This is optional for the existing clients that you migrated because of the redirection that you configured in the registry (for example, by running the migration script). Cependant, la suppression du point de connexion de service empêche les nouveaux clients, et potentiellement les outils et les services RMS, de trouver le point de connexion de service quand la migration est terminée.However, removing the SCP prevents new clients and potentially RMS-related services and tools from finding the SCP when the migration is complete. À ce stade, toutes les connexions doivent accéder au service Azure Rights Management.At this point, all computer connections should go to the Azure Rights Management service.

Pour supprimer le point de connexion de service, assurez-vous que vous êtes connecté en tant qu’administrateur d’entreprise de domaine, puis procédez comme suit :To remove the SCP, make sure that you are logged in as a domain enterprise administrator, and then use the following procedure:

  1. Dans la console Active Directory Rights Management Services, cliquez sur le cluster AD RMS, puis cliquez sur Propriétés.In the Active Directory Rights Management Services console, right-click the AD RMS cluster, and then click Properties.

  2. Cliquez sur l'onglet SCP .Click the SCP tab.

  3. Activez la case à cocher Modifier le point de connexion de service .Select the Change SCP check box.

  4. Sélectionnez Supprimer le point de connexion de service actuel, puis cliquez sur OK.Select Remove Current SCP, and then click OK.

Surveillez à présent l’activité de vos serveurs AD RMS.Now monitor your AD RMS servers for activity. Par exemple, vérifiez les demandes dans le rapport sur l’intégrité du système, la table ServiceRequest ou l’audit de l’accès utilisateur au contenu protégé.For example, check the requests in the System Health report, the ServiceRequest table or audit user access to protected content.

Après avoir confirmé que les clients RMS ne communiquent plus avec ces serveurs et que les clients utilisent avec succès Azure Information Protection, vous pouvez supprimer le rôle serveur AD RMS de ces serveurs.When you have confirmed that RMS clients are no longer communicating with these servers and that clients are successfully using Azure Information Protection, you can remove the AD RMS server role from these servers. Si vous utilisez des serveurs dédiés, vous pouvez, par mesure de précaution, les arrêter pendant un certain temps.If you’re using dedicated servers, you might prefer the cautionary step of first shutting down the servers for a period of time. Cela vous donne le temps de confirmer l’absence de problèmes qui pourraient vous obliger à redémarrer ces serveurs pour garantir la continuité de service pendant que vous étudiez la raison pour laquelle les clients n’utilisent pas Azure Information Protection.This gives you time to make sure that there are no reported problems that might require you to restart these servers for service continuity while you investigate why clients are not using Azure Information Protection.

Après avoir déprovisionné vos serveurs AD RMS, vous pouvez en profiter pour passer en revue vos modèles dans le portail Azure.After you have deprovisioned your AD RMS servers, you might want to take the opportunity to review your templates in the Azure portal. Vous pouvez par exemple les convertir en étiquettes, les consolider pour limiter le choix des utilisateurs ou les reconfigurer.For example, convert them to labels, consolidate them so that users have fewer to choose between, or reconfigure them. Il serait également judicieux de publier les modèles par défaut.This would be also a good time to publish the default templates. Pour plus d’informations, consultez Configuration et gestion des modèles pour Azure Information Protection.For more information, see Configuring and managing templates for Azure Information Protection.

Important

À la fin de cette migration, vous ne pouvez pas utiliser votre cluster AD RMS avec Azure Information Protection et l’option HYOK (Hold Your Own Key).At the end of this migration, your AD RMS cluster cannot be used with Azure Information Protection and the hold your own key (HYOK) option. Si vous décidez d’utiliser HYOK pour une étiquette Azure Information Protection en raison des redirections maintenant en place, le cluster AD RMS que vous utilisez doit avoir des URL de licences différentes de celles des clusters que vous avez migrés.If you decide to use HYOK for an Azure Information Protection label, because of the redirections that are now in place, the AD RMS cluster that you use must have different licensing URLs to the ones in the clusters that you migrated.

Étape 11.Step 11. Effectuer les tâches de migration des clientsComplete client migration tasks

Pour les clients d’appareils mobiles et les ordinateurs Mac : Supprimez les enregistrements SRV DNS que vous avez créés lors du déploiement de l’extension d’appareil mobile AD RMS.For mobile device clients and Mac computers: Remove the DNS SRV records that you created when you deployed the AD RMS mobile device extension.

Une fois ces changements DNS propagés, ces clients découvrent automatiquement le service Azure Rights Management et commencent à l’utiliser.When these DNS changes have propogated, these clients will automatically discover and start to use the Azure Rights Management service. Toutefois, les ordinateurs Mac qui exécutent Office Mac mettent en cache les informations d’AD RMS.However, Mac computers that run Office Mac cache the information from AD RMS. Pour ces ordinateurs, ce processus peut prendre jusqu’à 30 jours.For these computers, this process can take up to 30 days.

Pour forcer les ordinateurs Mac à exécuter immédiatement le processus de découverte, dans le trousseau, recherchez « adal » et supprimez toutes les entrées ADAL.To force Mac computers to run the discovery process immediately, in the keychain, search for "adal" and delete all ADAL entries. Ensuite, exécutez les commandes suivantes sur ces ordinateurs :Then, run the following commands on these computers:


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

Quand tous vos ordinateurs Windows existants ont migré vers Azure Information Protection, il n’y a aucune raison de continuer à utiliser les contrôles d’intégration et à conserver le groupe AIPMigrated que vous avez créé pour le processus de migration.When all your existing Windows computers have migrated to Azure Information Protection, there's no reason to continue to use onboarding controls and maintain the AIPMigrated group that you created for the migration process.

Supprimez d’abord les contrôles d’intégration, puis éventuellement le groupe AIPMigrated et toute méthode de déploiement de logiciels que vous avez créée pour déployer les scripts de migration.Remove the onboarding controls first, and then you can delete the AIPMigrated group and any software deployment method that you created to deploy the migration scripts.

Pour supprimer les contrôles d’intégration :To remove the onboarding controls:

  1. Dans une session PowerShell, connectez-vous au service Azure Rights Management et indiquez vos informations d’identification d’administrateur général quand vous y êtes invité :In a PowerShell session, connect to the Azure Rights Management service and when prompted, specify your global admin credentials:

     Connect-Aadrmservice
    
  2. Exécutez la commande suivante, puis entrez O pour confirmer :Run the following command, and enter Y to confirm:

     Set-AadrmOnboardingControlPolicy -UseRmsUserLicense $False
    

    Notez que cette commande supprime toute application de licence pour le service de protection Azure Rights Management, et ce pour que tous les ordinateurs puissent protéger les documents et les e-mails.Note that this command removes any license enforcement for the Azure Rights Management protection service, so that all computers can protect documents and emails.

  3. Vérifiez que les contrôles d’intégration ne sont plus définis :Confirm that onboarding controls are no longer set:

     Get-AadrmOnboardingControlPolicy
    

    Dans la sortie, Licence doit indiquer False et aucun GUID n’est affiché pour SecurityGroupOjbectIdIn the output, License should show False, and there is no GUID displayed for the SecurityGroupOjbectId

Enfin, si vous utilisez Office 2010 et que vous avez activé la tâche de gestion des modèles de stratégie de droits AD RMS (automatique) dans la bibliothèque du Planificateur de tâches Windows, désactivez cette tâche parce qu’elle n’est pas utilisée par le client Azure Information Protection.Finally, if you are using Office 2010 and you have enabled the AD RMS Rights Policy Template Management (Automated) task in the Windows Task Scheduler library, disable this task because it is not used by the Azure Information Protection client. Cette tâche est généralement activée par l’utilisation d’une stratégie de groupe et prend en charge un déploiement AD RMS.This task is typically enabled by using group policy and supports an AD RMS deployment. Vous trouverez cette tâche à l’emplacement suivant : Microsoft > Windows > Active Directory Rights Management Services ClientYou can find this task in the following location: Microsoft > Windows > Active Directory Rights Management Services Client

Étape 12.Step 12. Renouveler votre clé de locataire Azure Information ProtectionRekey your Azure Information Protection tenant key

Cette étape est recommandée au terme de la migration si votre déploiement AD RMS utilisait le mode de chiffrement RMS 1.This step is recommended when migration is complete if your AD RMS deployment was using RMS Cryptographic Mode 1. Le renouvellement de la clé donne lieu à une protection qui utilise le mode de chiffrement RMS 2.Rekeying results in protection that uses RMS Cryptographic Mode 2.

Même si votre déploiement AD RMS utilisait le mode de chiffrement 2, nous vous recommandons d’effectuer cette étape dans la mesure où une nouvelle clé contribue à protéger votre locataire contre d’éventuelles infractions à la sécurité de votre clé AD RMS.Even if your AD RMS deployment was using Cryptographic Mode 2, we still recommend you do this step because a new key helps to protect your tenant from potential security breaches to your AD RMS key.

Toutefois, ne renouvelez pas votre clé si vous utilisiez Exchange Online avec AD RMS.However, do not rekey if you were using Exchange Online with AD RMS. Exchange Online ne prend pas en charge le changement du mode de chiffrement.Exchange Online does not support changing cryptographic modes.

Quand vous renouvelez votre clé de locataire Azure Information Protection (opération également appelée « déploiement de votre clé »), la clé active est archivée et Azure Information Protection commence à utiliser une autre clé que vous spécifiez.When you rekey your Azure Information Protection tenant key (also known as "rolling your key"), the currently active key is archived and Azure Information Protection starts to use a different key that you specify. Cette autre clé peut être une nouvelle clé que vous créez dans Azure Key Vault ou la clé par défaut qui a été automatiquement créée pour votre locataire.This different key could be a new key that you create in Azure Key Vault, or the default key that was automatically created for your tenant.

Le passage d’une clé à une autre ne se produit pas immédiatement mais sur plusieurs semaines.Moving from one key to another doesn’t happen immediately but over a few weeks. Pour cette raison, n’attendez pas de soupçonner une violation de votre clé d’origine, mais effectuez cette étape dès la fin de la migration.Because it's not immediate, do not wait until you suspect a breach to your original key but do this step as soon as the migration is complete.

Pour renouveler votre clé de locataire Azure Information Protection :To rekey your Azure Information Protection tenant key:

  • Si votre clé de locataire est gérée par Microsoft : exécutez l’applet de commande PowerShell Set-AadrmKeyProperties et spécifiez l’identificateur de la clé qui a été automatiquement créée pour votre locataire.If your tenant key is managed by Microsoft: Run the PowerShell cmdlet Set-AadrmKeyProperties and specify the key identifier for the key that was automatically created for your tenant. Vous pouvez identifier la valeur à spécifier en exécutant l’applet de commande Get-AadrmKeys.You can identify the value to specify by running the Get-AadrmKeys cmdlet. La clé créée automatiquement pour votre locataire a la date de création la plus ancienne. Vous pouvez donc l’identifier à l’aide de la commande suivante :The key that was automatically created for your tenant has the oldest creation date, so you can identify it by using the following command:

      (Get-AadrmKeys) | Sort-Object CreationTime | Select-Object -First 1
    
  • Si vous gérez vous-même votre clé de locataire (BYOK) : dans Azure Key Vault, répétez le processus de création de la clé pour votre locataire Azure Information Protection, puis réexécutez l’applet de commande Use-AadrmKeyVaultKey pour spécifier l’URL de cette nouvelle clé.If your tenant key is managed by you (BYOK): In Azure Key Vault, repeat your key creation process for your Azure Information Protection tenant, and then run the Use-AadrmKeyVaultKey cmdlet again to specify the URI for this new key.

Pour plus d’informations sur la gestion de votre clé de locataire Azure Information Protection, consultez Opérations pour votre clé de locataire Azure Rights Management.For more information about managing your Azure Information Protection tenant key, see Operations for your Azure Rights Management tenant key.

Étapes suivantesNext steps

Maintenant que vous avez terminé la migration, passez en revue la feuille de route de déploiement pour identifier les autres tâches de déploiement éventuellement nécessaires.Now that you have completed the migration, review the deployment roadmap to identify any other deployment tasks that you might need to do.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.