Migration d’AD RMS vers Azure Information ProtectionMigrating from AD RMS to Azure Information Protection

S’applique à : Services AD RMS, Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Utilisez l’ensemble d’instructions suivant pour migrer votre déploiement des services AD RMS (Active Directory Rights Management Services) vers Azure Information Protection.Use the following set of instructions to migrate your Active Directory Rights Management Services (AD RMS) deployment to Azure Information Protection.

Après la migration, les serveurs AD RMS ne sont plus utilisés, mais les utilisateurs ont toujours accès aux documents et e-mails que votre organisation a protégés à l’aide d’AD RMS.After the migration, your AD RMS servers are no longer in use but users still have access to documents and email messages that your organization protected by using AD RMS. Le contenu nouvellement protégé utilisera le service Azure RMS (Azure Rights Management Service) à partir d’Azure Information Protection.Newly protected content will use the Azure Rights Management service (Azure RMS) from Azure Information Protection.

Vous n'êtes pas certain de l'opportunité de cette migration AD RMS pour votre organisation ?Not sure whether this AD RMS migration is right for your organization?

Bien que ceci ne soit pas obligatoire, il peut s’avérer utile de lire ce qui suit avant de commencer la migration,Although not required, you might find it useful to read the following documentation before you start the migration. ceci pour une meilleure compréhension du fonctionnement de la technologie quand elle s’applique à votre étape de migration.This knowledge provides you with a better understanding of how the technology works when it is relevant to your migration step.

  • Planification et implémentation de votre clé de locataire Azure Information Protection : découvrez les options de gestion clés dont vous disposez pour votre locataire Azure Information Protection où votre clé SLC équivalente dans le cloud est gérée par Microsoft (l’option par défaut) ou gérée par vous (la configuration BYOK).Planning and implementing your Azure Information Protection tenant key: Understand the key management options that you have for your Azure Information Protection tenant where your SLC key equivalent in the cloud is either managed by Microsoft (the default) or managed by you (the "bring your own key", or BYOK configuration).

  • Découverte du service RMS : cette section des notes de déploiement du client RMS explique que l’ordre de découverte des services est Registre, SCP, puis cloud.RMS service discovery: This section of the RMS client deployment notes explains that the order for service discovery is registry, then SCP, then cloud. Pendant le processus de migration, alors que le point de connexion de service est toujours installé, vous configurez les clients avec des paramètres de Registre pour votre locataire Azure Information Protection de façon à ce qu’ils n’utilisent pas le cluster AD RMS retourné depuis le point de connexion de service.During the migration process when the SCP is still installed, you configure clients with registry settings for your Azure Information Protection tenant so that they do not use the AD RMS cluster returned from the SCP.

  • Vue d’ensemble du connecteur Microsoft Rights Management : cette section de la documentation du connecteur RMS explique comment vos serveurs locaux peuvent se connecter au service Azure Rights Management pour protéger des documents et des e-mails.Overview of the Microsoft Rights Management connector: This section from the RMS connector documentation explains how your on-premises servers can connect to the Azure Rights Management service to protect documents and emails.

En outre, si vous êtes familiarisé avec le fonctionnement d’AD RMS, il peut s’avérer utile de lire Comment fonctionne Azure RMS ? En coulisse pour vous aider à identifier les processus technologiques qui sont identiques ou différents pour la version de cloud.In addition, if you are familiar with how AD RMS works, you might find it useful to read How does Azure RMS work? Under the hood to help you identify which technology processes are the same or different for the cloud version.

Conditions préalables à une migration d’AD RMS vers Azure Information ProtectionPrerequisites for migrating AD RMS to Azure Information Protection

Avant de procéder à la migration vers Azure Information Protection, assurez-vous que les conditions préalables suivantes sont réunies et que vous comprenez les limitations de ce processus.Before you start the migration to Azure Information Protection, make sure that the following prerequisites are in place and that you understand any limitations.

  • Un déploiement RMS pris en charge :A supported RMS deployment:

    • Les versions suivantes d’AD RMS prennent en charge une migration vers Azure Information Protection :The following releases of AD RMS support a migration to Azure Information Protection:

      • Windows Server 2008 R2 (x64)Windows Server 2008 R2 (x64)

      • Windows Server 2012 (x64)Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)Windows Server 2016 (x64)

    • Toutes les topologies AD RMS valides sont prises en charge :All valid AD RMS topologies are supported:

      • Forêt unique, cluster RMS uniqueSingle forest, single RMS cluster

      • Forêt unique, plusieurs clusters RMS dédiés uniquement à la gestion des licencesSingle forest, multiple licensing-only RMS clusters

      • Plusieurs forêts, plusieurs clusters RMSMultiple forests, multiple RMS clusters

      Remarque : Par défaut, plusieurs clusters AD RMS migrent vers un seul locataire pour Azure Information Protection.Note: By default, multiple AD RMS clusters migrate to a single tenant for Azure Information Protection. Si vous voulez des locataires séparés pour Azure Information Protection, vous devez les traiter comme des migrations différentes.If you want separate tenants for Azure Information Protection, you must treat them as different migrations. Une clé d’un cluster RMS ne peut pas être importée dans plusieurs locataires.A key from one RMS cluster cannot be imported to more than one tenant.

  • Toutes les configurations requises pour exécuter Azure Information Protection, notamment un abonnement pour Azure Information Protection (le service Azure Rights Management n’est pas activé) :All requirements to run Azure Information Protection, including a subscription for Azure Information Protection (the Azure Rights Management service is not activated):

    Consultez Configuration requise pour Azure Information Protection.See Requirements for Azure Information Protection.

    Notez que, si vous avez des ordinateurs qui exécutent Office 2010, vous devez installer le client Azure Information Protection, ce dernier permettant d’authentifier les utilisateurs auprès des services cloud.Note that if you have computers that run Office 2010, you must install the Azure Information Protection client, because this client provides the ability to authenticate users to cloud services. Pour les versions ultérieures d’Office, le client Azure Information Protection est nécessaire pour la classification et l’étiquetage, et est facultatif mais recommandé si vous souhaitez uniquement protéger les données.For later versions of Office, the Azure Information Protection client is required for classification and labeling, and is optional but recommended if you want to only protect data. Pour plus d’informations, consultez le Guide de l’administrateur du client Azure Information Protection.For more information, see the Azure Information Protection client admin guide.

    Bien que vous deviez disposer d’un abonnement pour Azure Information Protection avant de pouvoir effectuer une migration à partir d’AD RMS, nous vous recommandons de ne pas activer le service Rights Management pour votre locataire avant de démarrer la migration.Although you must have a subscription for Azure Information Protection before you can migrate from AD RMS, we recommend that the Rights Management service for your tenant is not activated before you start the migration. Le processus de migration inclut cette étape d’activation après l’exportation des clés et modèles à partir d’AD RMS, et leur importation dans votre locataire pour Azure Information Protection.The migration process includes this activation step after you have exported keys and templates from AD RMS and imported them to your tenant for Azure Information Protection. Toutefois, si le service Rights Management est déjà activé, vous pouvez toujours migrer à partir d’AD RMS en suivant quelques étapes supplémentaires.However, if the Rights Management service is already activated, you can still migrate from AD RMS with some additional steps.

  • Préparation pour Azure Information Protection :Preparation for Azure Information Protection:

  • Si vous avez utilisé la fonctionnalité de Gestion des droits relatifs à l’information (IRM) d’Exchange Server (par exemple, règles de transport et Outlook Web Access) ou SharePoint Server avec AD RMS :If you have used the Information Rights Management (IRM) functionality of Exchange Server (for example, transport rules and Outlook Web Access) or SharePoint Server with AD RMS:

    • Prévoyez une courte période pendant laquelle cette fonctionnalité ne sera pas disponible sur ces serveurs.Plan for a short period of time when IRM will not be available on these servers

      Vous pouvez continuer à utiliser la fonctionnalité IRM sur ces serveurs après la migration.You can continue to use IRM on these servers after the migration. Toutefois, une des étapes de migration consiste à désactiver temporairement le service IRM, à installer et à configurer un connecteur, à reconfigurer les serveurs, puis à réactiver le service IRM.However, one of the migration steps is to temporarily disable the IRM service, install and configure a connector, reconfigure the servers, and then re-enable IRM.

      Il s'agit de l'unique interruption de service durant le processus de migration.This is the only interruption to service during the migration process.

  • Si vous voulez gérer votre propre clé de locataire Azure Information Protection en utilisant une clé protégée par HSM :If you want to manage your own Azure Information Protection tenant key by using an HSM-protected key:

    • Cette configuration facultative nécessite Azure Key Vault et un abonnement Azure qui prend en charge Key Vault avec des clés protégées par HSM.This optional configuration requires Azure Key Vault and an Azure subscription that supports Key Vault with HSM-protected keys. Pour plus d’informations, consultez la page Tarification d’Azure Key Vault.For more information, see the Azure Key Vault Pricing page.

Considérations relatives au mode de chiffrementCryptographic mode considerations

Si votre cluster AD RMS est actuellement en mode de chiffrement 1, ne le mettez pas à niveau vers le mode de chiffrement 2 avant de commencer la migration.If your AD RMS cluster is currently in Cryptographic Mode 1, do not upgrade the cluster to Cryptographic Mode 2 before you start the migration. Au lieu de cela, effectuez la migration en mode de chiffrement 1. Vous pouvez alors renouveler votre clé une fois la migration terminée (dans le cadre des tâches suivant la migration).Instead, migrate using Cryptographic Mode 1 and you can rekey your tenant key at the end of the migration, as one of the post migration tasks.

Pour confirmer le mode de chiffrement AD RMS :To confirm the AD RMS cryptographic mode:

Limites de migrationMigration limitations

  • Si vous disposez de logiciels et de clients non pris en charge par le service Rights Management qui est utilisé par Azure Information Protection, ceux-ci ne peuvent pas protéger ou utiliser du contenu protégé par Azure Rights Management.If you have software and clients that are not supported by the Rights Management service that is used by Azure Information Protection, they will not be able to protect or consume content that is protected by Azure Rights Management. Consultez les sections relatives aux applications et aux clients pris en charge dans Conditions requises pour Azure Rights Management.Be sure to check the supported applications and clients sections from Requirements for Azure Rights Management.

  • Si votre déploiement des services AD RMS est configuré pour collaborer avec des partenaires externes (par exemple, en utilisant des domaines d’utilisateurs approuvés ou une fédération), ceux-ci doivent également migrer vers Azure Information Protection, soit au moment de votre migration, soit dès que possible par la suite.If your AD RMS deployment is configured to collaborate with external partners (for example, by using trusted user domains or federation), they must also migrate to Azure Information Protection either at the same time as your migration, or as soon as possible afterwards. Pour continuer à accéder au contenu que votre organisation protégeait précédemment à l’aide d’Azure Information Protection, les utilisateurs doivent apporter à la configuration du client des modifications similaires à celles que vous apportez, qui sont incluses dans ce document.To continue to access content that your organization previously protected by using Azure Information Protection, they must make client configuration changes that are similar to those that you make, and included in this document.

    En raison de la diversité des configurations possibles de vos partenaires, des instructions précises pour cette reconfiguration sortent du cadre de ce document.Because of the possible configuration variations that your partners might have, exact instructions for this reconfiguration are out of scope for this document. Toutefois, consultez la section suivante pour obtenir des conseils sur la planification et contactez le support technique Microsoft pour une aide supplémentaire.However, see the next section for planning guidance and for additional help, contact Microsoft Support.

Planification de la migration si vous collaborez avec des partenaires externesMigration planning if you collaborate with external partners

Ajoutez vos partenaires AD RMS dans votre phase de planification de la migration, car ils doivent également migrer vers Azure Information Protection.Include your AD RMS partners in your planning phase for migration because they must also migrate to Azure Information Protection. Avant d’effectuer l’une des étapes de migration ci-après, vérifiez que les conditions suivantes sont réunies :Before you do any of the following migration steps, make sure that the following is in place:

  • Ils ont un locataire Azure Active Directory qui prend en charge le service Azure Rights Management.They have an Azure Active Directory tenant that supports the Azure Rights Management service.

    Par exemple, ils disposent d’un abonnement Office 365 E3 ou E5, ou Enterprise Mobility + Security, ou autonome pour Azure Information Protection.For example, they have an Office 365 E3 or E5 subscription, or an Enterprise Mobility + Security subscription, or a standalone subscription for Azure Information Protection.

  • Leur service Azure Rights Management n’est pas encore activé, mais ils connaissent leur URL de service Azure Rights Management.Their Azure Rights Management service is not yet activated but they know their Azure Rights Management service URL.

    Ils peuvent obtenir ces informations en installant l’outil Azure Rights Management, en se connectant au service (Connect-AadrmService), puis en affichant les informations du locataire pour le service Azure Rights Management (Get-AadrmConfiguration).They can get this information by installing the Azure Rights Management Tool, connecting to the service (Connect-AadrmService), and then viewing their tenant information for the Azure Rights Management service (Get-AadrmConfiguration).

  • Ils vous fournissent les URL de leur cluster AD RMS et l’URL de service Azure Rights Management pour que vous puissiez configurer les clients migrés afin de rediriger les demandes de contenu protégé AD RMS vers le service Azure Rights Management de leur locataire.They provide you with the URLs for their AD RMS cluster and their Azure Rights Management service URL, so that you can configure your migrated clients to redirect requests for their AD RMS protected content to their tenant's Azure Rights Management service. Les instructions pour la configuration de la redirection des clients figurent à l’étape 7.Instructions for configuring client redirection are in step 7.

  • Ils importent leurs clés racines de cluster (SLC) AD RMS dans leur locataire avant que vous ne commenciez à migrer vos utilisateurs.They import their AD RMS cluster root keys (SLC) into their tenant before you start to migrate your users. De même, vous devez importer vos clés racines de cluster AD RMS avant qu’ils ne commencent à migrer leurs utilisateurs.Similarly, you must import your AD RMS cluster root keys before they start to migrate their users. Les instructions pour l’importation de la clé sont abordées dans ce processus de migration, Étape 4. Exporter les données de configuration depuis AD RMS, puis les importer dans Azure Information Protection.Instructions for importing the key are covered in this migration process, Step 4. Export configuration data from AD RMS and import it to Azure Information Protection.

Présentation des étapes de migration d’AD RMS vers Azure Information ProtectionOverview of the steps for migrating AD RMS to Azure Information Protection

Les étapes de migration peuvent être divisées en cinq phases qui peuvent être effectuées à des moments différents et par des administrateurs différents.The migration steps can be divided into five phases that can be done at different times, and by different administrators.

PHASE 1 : PRÉPARATION DE LA MIGRATIONPHASE 1: MIGRATION PREPARATION

  • Étape 1 : Télécharger l’outil d’administration Azure Rights Management et identifier l’URL de votre locataireStep 1: Download the Azure RMS Management Administration Tool and identify your tenant URL

    Le processus de migration impose l’exécution d’une ou de plusieurs des applets de commande PowerShell à partir du module Azure RMS qui est installé avec l’outil d’administration Azure Rights Management.The migration process requires you to run one or more of the PowerShell cmdlets from the Azure RMS module that is installed with the Azure RMS Management Administration Tool. Vous devez également connaître l’URL du service Azure Rights Management de votre locataire pour accomplir un grand nombre des étapes de migration.You also need to know your tenant's Azure Rights Management service URL to complete many of the migration steps. Vous pouvez identifier cette valeur à l’aide de PowerShell.You can identity this value by using PowerShell.

  • Étape 2. Préparer la migration des clientsStep 2. Prepare for client migration

    Si vous ne pouvez pas migrer tous les clients à la fois et que vous allez les migrer par lots, utilisez les contrôles d’intégration et déployez un script de prémigration.If you cannot migrate all clients at once and will migrate them in batches, use onboarding controls and deploy a pre-migration script.

  • Étape 3 : Préparer le déploiement Exchange pour la migrationStep 3: Prepare your Exchange deployment for migration

    Cette étape est nécessaire si vous utilisez la fonctionnalité IRM d’Exchange Online ou Exchange sur site afin de protéger les e-mails.This step is required if you currently use the IRM feature of Exchange Online or Exchange on-premises to protect emails.

PHASE 2 : CONFIGURATION CÔTÉ SERVEUR POUR AD RMSPHASE 2: SERVER-SIDE CONFIGURATION FOR AD RMS

  • Étape 4 :. Exporter les données de configuration depuis AD RMS, puis les importer dans Azure Information ProtectionStep 4. Export configuration data from AD RMS and import it to Azure Information Protection

    Vous exportez les données de configuration (clés, modèles, URL) d’AD RMS vers un fichier XML, puis vous chargez ce fichier dans le service Azure Rights Management d’Azure Information Protection à l’aide de l’applet de commande PowerShell Import-AadrmTpd.You export the configuration data (keys, templates, URLs) from AD RMS to an XML file, and then upload that file to the Azure Rights Management service from Azure Information Protection, by using the Import-AadrmTpd PowerShell cmdlet. Ensuite, identifiez la clé de certificat de licence serveur (SLC) importée à utiliser comme clé de locataire pour le service Azure Rights Management.Then, identify which imported Server Licensor Certificate (SLC) key to use as your tenant key for the Azure Rights Management service. Des étapes supplémentaires peuvent être nécessaires en fonction de la configuration de votre clé AD RMS :Additional steps might be needed, depending on your AD RMS key configuration:

    • Migration de clé protégée par logiciel à clé protégée par logiciel :Software-protected key to software-protected key migration:

      De clé basée sur un mot de passe et gérée de façon centralisée dans AD RMS à clé de locataire Azure Information Protection gérée par Microsoft.Centrally managed, password-based keys in AD RMS to Microsoft-managed Azure Information Protection tenant key. Ce chemin de migration le plus simple ne nécessite aucune étape supplémentaire.This is the simplest migration path and no additional steps are required.

    • Migration de clé protégée par HSM à clé protégée par HSM :HSM-protected key to HSM-protected key migration:

      De clé stockée par un module HSM pour AD RMS à clé de locataire Azure Information Protection gérée par le client (scénario BYOK, « Bring Your Own Key »).Keys that are stored by an HSM for AD RMS to customer-managed Azure Information Protection tenant key (the “bring your own key” or BYOK scenario). Cette migration nécessite des étapes supplémentaires pour transférer la clé de votre module HSM Thales local vers Azure Key Vault et pour autoriser le service Azure Rights Management à utiliser cette clé.This requires additional steps to transfer the key from your on-premises Thales HSM to Azure Key Vault and authorize the Azure Rights Management service to use this key. Votre clé protégée par HSM existante doit être protégée par module. Les clés protégées par OCS ne sont pas prises en charge par les services RMS.Your existing HSM-protected key must be module-protected; OCS-protected keys are not supported by Rights Management services.

    • Migration de clé protégée par logiciel à clé protégée par HSM :Software-protected key to HSM-protected key migration:

      De clé basée sur un mot de passe et gérée de façon centralisée dans AD RMS à clé de locataire Azure Information Protection gérée par le client (scénario BYOK, « Bring Your Own Key »).Centrally managed, password-based keys in AD RMS to customer-managed Azure Information Protection tenant key (the “bring your own key” or BYOK scenario). Cette migration est celle qui nécessite le plus de configuration, car vous devez d’abord extraire votre clé logicielle et l’importer dans un module HSM local, puis effectuer les étapes supplémentaires pour transférer la clé de votre module HSM Thales local vers le module HSM Azure Key Vault, et enfin autoriser le service Azure Rights Management à utiliser le coffre de clés qui stocke la clé.This requires the most configuration because you must first extract your software key and import it to an on-premises HSM, and then do the additional steps to transfer the key from your on-premises Thales HSM to an Azure Key Vault HSM and authorize the Azure Rights Management service to use the key vault that stores the key.

  • Étape 5. Activer le service Azure Rights ManagementStep 5. Activate the Azure Rights Management service

    Si possible, effectuez cette étape après le processus d'importation et non avant.If possible, do this step after the import process and not before. Des étapes supplémentaires sont nécessaires si le service a été activé avant l’importation.Additional steps are required if the service was activated before the import.

  • Étape 6. Configurer les modèles importésStep 6. Configure imported templates

    Lorsque vous importez vos modèles de stratégie de droits, leur état est archivé.When you import your rights policy templates, their status is archived. Si vous souhaitez que les utilisateurs puissent voir et utiliser ces modèles, vous devez changer leur état en publié dans le portail Azure Classic.If you want users to be able to see and use them, you must change the template status to be published in the Azure classic portal.

PHASE 3 : CONFIGURATION CÔTÉ CLIENTPHASE 3: CLIENT-SIDE CONFIGURATION

  • Étape 7 : Reconfigurer les ordinateurs Windows pour qu’ils utilisent Azure Information ProtectionStep 7: Reconfigure Windows computers to use Azure Information Protection

    Les ordinateurs Windows existants doivent être reconfigurés pour utiliser le service Azure Rights Management au lieu d’AD RMS.Existing Windows computers must be reconfigured to use the Azure Rights Management service instead of AD RMS. Cette étape s'applique aux ordinateurs de votre organisation ainsi qu'à ceux des organisations partenaires avec lesquelles vous avez collaboré lorsque vous exécutiez AD RMS.This step applies to computers in your organization, and to computers in partner organizations if you have collaborated with them while you were running AD RMS.

PHASE 4 : CONFIGURATION DES SERVICES DE PRISE EN CHARGEPHASE 4: SUPPORTING SERVICES CONFIGURATION

  • Étape 8 : Configurer l’intégration de l’IRM pour Exchange OnlineStep 8: Configure IRM integration for Exchange Online

    Cette étape termine la migration AD RMS pour Exchange Online pour à présent utiliser le service Azure Rights Management.This step completes the AD RMS migration for Exchange Online to now use the Azure Rights Management service.

  • Étape 9 : Configurer l’intégration d’IRM pour Exchange Server et SharePoint ServerStep 9: Configure IRM integration for Exchange Server and SharePoint Server

    Cette étape termine la migration AD RMS pour Exchange ou SharePoint sur site pour à présent utiliser le service Azure Rights Management, qui nécessite le déploiement du connecteur Rights Management.This step completes the AD RMS migration for Exchange or SharePoint on-premises to now use the Azure Rights Management service, which requires deploying the Rights Management connector.

PHASE 5 : TÂCHES DE POST-MIGRATIONPHASE 5: POST MIGRATION TASKS

  • Étape 10 : Annuler l’approvisionnement d’AD RMSStep 10: Deprovision AD RMS

    Après avoir vérifié que tous les ordinateurs Windows utilisent le service Azure Rights Management et n’accèdent plus aux serveurs AD RMS, vous pouvez annuler l’approvisionnement de votre déploiement AD RMS.When you have confirmed that all Windows computers are using the Azure Rights Management service and are no longer accessing your AD RMS servers, you can deprovision your AD RMS deployment.

  • Étape 11 : Reconfigurer les clients d’appareils mobiles et les ordinateurs Mac, et supprimer les contrôles d’intégrationStep 11: Reconfigure mobile device clients and Mac computers, and remove onboarding controls

    Si vous avez déployé l’extension d’appareil mobile pour prendre en charge des appareils mobiles tels que des téléphones et iPad iOS, des téléphones et tablettes Android, des téléphones Windows Phone et des ordinateurs Mac, vous devez supprimer les enregistrements SRV dans le système DNS qui redirigeaient ces clients pour utiliser AD RMS.If you have deployed the mobile device extension to support mobile devices such as iOS phones and iPads, Android phones and tablets, Windows phone, and Mac computers, you must remove the SRV records in DNS that redirected these clients to use AD RMS.

    Les contrôles d’intégration que vous avez configurés au cours de la phase de préparation ne sont plus nécessaires.The onboarding controls that you configured during the preparation phase are no longer needed.

  • Étape 12 : Renouveler votre clé de locataire Azure Information ProtectionStep 12: Rekey your Azure Information Protection tenant key

    Cette étape est recommandée si vous n’utilisiez pas le mode de chiffrement 2 avant la migration.This step is recommended if you were not running in Cryptographic Mode 2 before the migration.

Étapes suivantesNext steps

Pour démarrer la migration, accédez à Phase 1 : Préparation.To start the migration, go to Phase 1 - preparation.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.