Phase de migration 5 : Tâches de post-migrationMigration phase 5 - post migration tasks

S’applique à : Services AD RMS, Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Utilisez les informations suivantes pour la Phase 5 de la migration d’AD RMS vers Azure Information Protection.Use the following information for Phase 5 of migrating from AD RMS to Azure Information Protection. Ces procédures couvrent les étapes 10 à 12 de la rubrique Migration d’AD RMS vers Azure Information Protection.These procedures cover steps 10 through 12 from Migrating from AD RMS to Azure Information Protection.

Étape 10.Step 10. Déprovisionner AD RMSDeprovision AD RMS

Supprimez le point de connexion de service d'Active Directory pour empêcher des ordinateurs de découvrir votre infrastructure Rights Management locale.Remove the Service Connection Point (SCP) from Active Directory to prevent computers from discovering your on-premises Rights Management infrastructure. Ceci est facultatif pour les clients existants que vous migrez en raison de la redirection que vous avez configurée dans le Registre (par exemple en exécutant le script de migration).This is optional for the existing clients that you migrated because of the redirection that you configured in the registry (for example, by running the migration script). Cependant, la suppression du point de connexion de service empêche les nouveaux clients, et potentiellement les outils et les services RMS, de trouver le point de connexion de service quand la migration est terminée.However, removing the SCP prevents new clients and potentially RMS-related services and tools from finding the SCP when the migration is complete. À ce stade, toutes les connexions doivent accéder au service Azure Rights Management.At this point, all computer connections should go to the Azure Rights Management service.

Pour supprimer le point de connexion de service, assurez-vous que vous êtes connecté en tant qu’administrateur d’entreprise de domaine, puis procédez comme suit :To remove the SCP, make sure that you are logged in as a domain enterprise administrator, and then use the following procedure:

  1. Dans la console Active Directory Rights Management Services, cliquez sur le cluster AD RMS, puis cliquez sur Propriétés.In the Active Directory Rights Management Services console, right-click the AD RMS cluster, and then click Properties.

  2. Cliquez sur l'onglet SCP .Click the SCP tab.

  3. Activez la case à cocher Modifier le point de connexion de service .Select the Change SCP check box.

  4. Sélectionnez Supprimer le point de connexion de service actuel, puis cliquez sur OK.Select Remove Current SCP, and then click OK.

Surveillez à présent l’activité de vos serveurs AD RMS.Now monitor your AD RMS servers for activity. Par exemple, vérifiez les demandes dans le rapport sur l’intégrité du système, la table ServiceRequest ou l’audit de l’accès utilisateur au contenu protégé.For example, check the requests in the System Health report, the ServiceRequest table or audit user access to protected content.

Après avoir confirmé que les clients RMS ne communiquent plus avec ces serveurs et que les clients utilisent avec succès Azure Information Protection, vous pouvez supprimer le rôle serveur AD RMS de ces serveurs.When you have confirmed that RMS clients are no longer communicating with these servers and that clients are successfully using Azure Information Protection, you can remove the AD RMS server role from these servers. Si vous utilisez des serveurs dédiés, vous pouvez, par mesure de précaution, les arrêter pendant un certain temps.If you’re using dedicated servers, you might prefer the cautionary step of first shutting down the servers for a period of time. Cela vous donne le temps de confirmer l’absence de problèmes qui pourraient vous obliger à redémarrer ces serveurs pour garantir la continuité de service pendant que vous étudiez la raison pour laquelle les clients n’utilisent pas Azure Information Protection.This gives you time to make sure that there are no reported problems that might require you to restart these servers for service continuity while you investigate why clients are not using Azure Information Protection.

Après avoir déprovisionné vos serveurs AD RMS, vous pouvez en profiter pour passer en revue vos modèles dans le portail Azure.After you have deprovisioned your AD RMS servers, you might want to take the opportunity to review your templates in the Azure portal. Vous pouvez par exemple les convertir en étiquettes, les consolider pour limiter le choix des utilisateurs ou les reconfigurer.For example, convert them to labels, consolidate them so that users have fewer to choose between, or reconfigure them. Il serait également judicieux de publier les modèles par défaut.This would be also a good time to publish the default templates. Pour plus d’informations, consultez Configuration et gestion des modèles pour Azure Information Protection.For more information, see Configuring and managing templates for Azure Information Protection.

Important

À la fin de cette migration, vous ne pouvez pas utiliser votre cluster AD RMS avec Azure Information Protection et l’option HYOK (Hold Your Own Key).At the end of this migration, your AD RMS cluster cannot be used with Azure Information Protection and the hold your own key (HYOK) option. Si vous décidez d’utiliser HYOK pour une étiquette Azure Information Protection en raison des redirections maintenant en place, le cluster AD RMS que vous utilisez doit avoir des URL de licences différentes de celles des clusters que vous avez migrés.If you decide to use HYOK for an Azure Information Protection label, because of the redirections that are now in place, the AD RMS cluster that you use must have different licensing URLs to the ones in the clusters that you migrated.

Étape 11.Step 11. Supprimer les contrôles d’intégrationRemove onboarding controls

Quand tous vos clients existants ont migré vers Azure Information Protection, il n’existe aucune raison de continuer à utiliser les contrôles d’intégration et gérer le groupe AIPMigrated que vous avez créé pour le processus de migration.When all your existing clients have migrated to Azure Information Protection, there's no reason to continue to use onboarding controls and maintain the AIPMigrated group that you created for the migration process.

Supprimez d’abord les contrôles d’intégration, puis éventuellement le groupe AIPMigrated et toute tâche de déploiement de logiciel que vous avez créée pour déployer les redirections.Remove the onboarding controls first, and then you can delete the AIPMigrated group and any software deployment task that you created to deploy the redirections.

Pour supprimer les contrôles d’intégration :To remove the onboarding controls:

  1. Dans une session PowerShell, connectez-vous au service Azure Rights Management et indiquez vos informations d’identification d’administrateur général quand vous y êtes invité :In a PowerShell session, connect to the Azure Rights Management service and when prompted, specify your global admin credentials:

     Connect-Aadrmservice
    
  2. Exécutez la commande suivante, puis entrez O pour confirmer :Run the following command, and enter Y to confirm:

     Set-AadrmOnboardingControlPolicy -UseRmsUserLicense $False
    
  3. Vérifiez que les contrôles d’intégration ne sont plus définis :Confirm that onboarding controls are no longer set:

     Get-AadrmOnboardingControlPolicy
    

    Dans la sortie, Licence doit indiquer False et aucun GUID n’est affiché pour SecurityGroupOjbectIdIn the output, License should show False, and there is no GUID displayed for the SecurityGroupOjbectId

Étape 12.Step 12. Renouveler votre clé de locataire Azure Information Protectionrekey your Azure Information Protection tenant key

Cette étape est obligatoire au terme de la migration si votre déploiement AD RMS utilisait le mode de chiffrement RMS 1.This step is required when migration is complete if your AD RMS deployment was using RMS Cryptographic Mode 1. Le renouvellement de la clé entraîne la création d’une clé de locataire qui utilise le mode de chiffrement RMS 2.Rekeying creates a new tenant key that uses RMS Cryptographic Mode 2. Le mode de chiffrement 1 est uniquement pris en charge pour Azure Information Protection pendant le processus de migration.Cryptographic Mode 1 is supported for Azure Information Protection only during the migration process.

Le renouvellement de clé au terme de la migration permet également de protéger votre clé de locataire Azure Information Protection contre les failles de sécurité potentielles de votre clé AD RMS.Rekeying when the migration is complete also helps to protect your Azure Information Protection tenant key from potential security breaches to your AD RMS key.

Quand vous renouvelez votre clé de locataire Azure Information Protection (opération également appelée « déploiement de votre clé »), une clé est créée et la clé d’origine est archivée.When you rekey your Azure Information Protection tenant key (also known as "rolling your key"), a new key is created and the original key is archived. Toutefois, le passage d’une clé à une autre ne se produit pas immédiatement mais sur plusieurs semaines.However, moving from one key to another doesn’t happen immediately but over a few weeks. Pour cette raison, n’attendez pas de soupçonner une violation de votre clé d’origine, mais renouvelez votre clé de locataire Azure Information Protection dès la fin de la migration.Because it's not immediate, do not wait until you suspect a breach to your original key but rekey your Azure Information Protection tenant key as soon as the migration is complete.

Pour renouveler votre clé de locataire Azure Information Protection :To rekey your Azure Information Protection tenant key:

  • Si votre clé de locataire est gérée par Microsoft : contactez le support Microsoft et ouvrez un dossier de support Azure Information Protection dans lequel vous demandez le renouvellement de votre clé Azure Information Protection après une migration à partir d’AD RMS.If your tenant key is managed by Microsoft: Contact Microsoft Support and open an Azure Information Protection support case with a request to rekey your Azure Information Protection key after migration from AD RMS. Vous devez prouver que vous êtes administrateur de votre locataire Azure Information Protection et comprendre que la confirmation de ce processus prend plusieurs jours.You must prove you are an administrator for your Azure Information Protection tenant, and understand that this process takes several days to confirm. Des frais de prise en charge standard s’appliquent. Le renouvellement de votre clé de locataire n’est pas un service de support gratuit.Standard support charges apply; rekeying your tenant key is not a free-of-charge support service.

  • Si vous gérez vous-même votre clé de locataire (BYOK) : dans Azure Key Vault, renouvelez la clé que vous utilisez pour votre locataire Azure Information Protection, puis réexécutez l’applet de commande Use-AadrmKeyVaultKey pour spécifier l’URL de nouvelle clé.If your tenant key is managed by you (BYOK): In Azure Key Vault, rekey the key that you're using for your Azure Information Protection tenant, and then run the Use-AadrmKeyVaultKey cmdlet again to specify the new key URL.

Pour plus d’informations sur la gestion de votre clé de locataire Azure Information Protection, consultez Opérations pour votre clé de locataire Azure Rights Management.For more information about managing your Azure Information Protection tenant key, see Operations for your Azure Rights Management tenant key.

Étapes suivantesNext steps

Maintenant que vous avez terminé la migration, passez en revue la feuille de route de déploiement pour identifier les autres tâches de déploiement éventuellement nécessaires.Now that you have completed the migration, review the deployment roadmap to identify any other deployment tasks that you might need to do.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.