Migration phase 5 - post migration tasks

A következőkrevonatkozik: Active Directory Rights Management Services, Azure Information Protection, Office 365

Releváns:: AIP egyesített címkéző ügyfélprogram és klasszikus ügyfélprogram

Megjegyzés

Az egységes és zökkenőmentes ügyfélélmény érdekében 2021. március 31-énelavult az Azure Information Protection klasszikus ügyfélprogramja és az Azure Portal címkekezelés szolgáltatása. A klasszikus ügyfélprogramhoz nem biztosítunk további támogatást, és a karbantartási verziók a továbbiakban nem lesznek elérhetőek.

A klasszikus ügyfél hivatalosan is kivezetve lesz, és 2022. március 31-én meg fog állni.

Az Azure Information Protection összes klasszikus ügyfélalkalmazásának át kell áttelepítést Microsoft-információvédelem egyesített címkeplatformra, és frissítenie kell az egyesített címkéző ügyfélalkalmazásra. További információt az áttelepítési blogunkban talál.

Az alábbi információkat az AD RMS-ről az Azure Information Protectionre való áttelepítés 5. fázisában kell használni. Ezek az eljárások az AD RMS-ről az Azure Information Protectionre való áttelepítéshez szükséges 10–12. lépésre vonatkoznak.

10. lépés. Deprovision AD RMS

Távolítsa el a Service Connection Point (SCP) pontot az Active Directoryból, hogy megakadályozza, hogy a számítógépek felfedezzék a helyszíni rights management infrastruktúrát. Ez a beállításjegyzékben konfigurált átirányítás (például az áttelepítési parancsfájl futtatásával) miatt nem kötelező a meglévő áttelepített ügyfelek esetén. Az SCP eltávolítása azonban meggátolja az új ügyfeleket és potenciálisan az RMS-hez kapcsolódó szolgáltatásokat és eszközöket abban, hogy megtalálják az SCP-t, amikor befejeződik az áttelepítés. Ezen a ponton az összes számítógépkapcsolatnak a Azure Tartalomvédelmi szolgáltatások kell lennie.

Az SCP eltávolításához győződjön meg arról, hogy tartományi nagyvállalati rendszergazdaként van bejelentkezve, majd használja az alábbi eljárást:

  1. A Active Directory Rights Management Services kattintson a jobb gombbal az AD RMS fürtre, és válassza a Tulajdonságok parancsot.

  2. Kattintson az SCP fülre.

  3. Jelölje be az SCP-érték módosítása jelölőnégyzetet.

  4. Válassza az Aktuális SCP eltávolítása lehetőséget,majd kattintson az OK gombra.

Most figyelje, hogy az AD RMS-kiszolgálókon nincs-e tevékenység. Ellenőrizze például a kérelmeket a System Health(Rendszer állapota) jelentésben, a ServiceRequest táblában vagy a felhasználók védett tartalmakhoz való hozzáférésében.

Ha megerősítette, hogy az RMS-ügyfelek a továbbiakban nem kommunikálnak ezekkel a kiszolgálókkal, és hogy az ügyfelek sikeresen használják az Azure Information Protection szolgáltatást, eltávolíthatja ezekről a kiszolgálókról az AD RMS-kiszolgálói szerepkört. Ha dedikált kiszolgálókat használ, érdemes lehet egy kis ideig a kiszolgálók leállításának figyelmeztető lépését részesíti előnyben. Ezzel időt biztosít arra, hogy ellenőrizze, nincsenek-e olyan jelentett problémák, amelyek szükségessé tehetik a kiszolgálók újraindítását a szolgáltatás folytonossága érdekében, miközben megvizsgálja, hogy az ügyfelek miért nem használják az Azure Information Protection szolgáltatást.

Miután kiépíti az AD RMS-kiszolgálóit, érdemes lehet átnézni a sablont és a címkéket. Például címkékké konvertálhatja a sablonokat, összevonhatja őket, hogy a felhasználók kevesebb lehetőségből válasszanak, vagy újrakonfigurálják őket. Ez az alapértelmezett sablonok közzétételére is jó alkalom.

A bizalmasság-címkéket és az egységes címkéző ügyfélalkalmazást a következő Microsoft 365 Megfelelőségi központ. További információért tekintse át a Microsoft 365 dokumentációját.

Ha a klasszikus ügyfelet használja, használja az Azure Portalot. További információ: Sablonok konfigurálása és kezelése az Azure Information Protection szolgáltatásban.

Fontos

Az áttelepítés végén az AD RMS-fürt nem használható az Azure Information Protectionvel, és nem tarthatja meg a saját kulcsát(HYOK)beállítással.

Ha a hyok segítségével használja a klasszikus ügyfelet, a most már betelepített átirányítások miatt az AD RMS-fürtnek különböző licencelési URL-címekkel kell lennie az áttelepített fürtökhöz.

További konfiguráció a 2010-es Office számítógépekhez

Fontos

Office 2010 kiterjesztett támogatása 2020. október 13-án véget ért. További információt az AIP és a régi verziók Windows és Office tartalmaz.

Ha az áttelepített ügyfelek a 2010-es Office futnak, előfordulhat, hogy a felhasználók késve nyitják meg a védett tartalmakat, miután az AD rmS-kiszolgálók kiépítése megtörtént. A felhasználók esetleg olyan üzeneteket is láthatnak, amelyekhez nincs hitelesítő adataik a védett tartalmak megnyitásához. A problémák megoldásához hozzon létre egy hálózati átirányítást ezekhez a számítógépekhez, amely átirányítja az AD RMS URL-címét a számítógép helyi IP-címére (127.0.0.1). Ehhez konfigurálja a helyi állomásfájlt az egyes számítógépeken, vagy használja a DNS-t.

  • Átirányítás a helyiállomások fájlján keresztül: Adja hozzá a következő sort a helyi hosts fájlban, az AD RMS-fürt értékével helyettesítve előtagok és weblapok nélkül:

    127.0.0.1 <AD RMS URL FQDN>
    
  • Átirányítás DNS-enkeresztül: Hozzon létre egy új állomásrekordot (A) az AD RMS URL FQDN címéhez, amelynek IP-címe 127.0.0.1.

11. lépés. Ügyfél-áttelepítési feladatok végrehajtása

Mobileszköz-ügyfelek és Mac számítógépek esetén: Távolítsa el az AD RMSmobileszköz-kiterjesztés telepítésekor létrehozott DNS SRV rekordokat.

A DNS-módosítások propagálása után ezek az ügyfelek automatikusan felfedezik és használatba Azure Tartalomvédelmi szolgáltatások szolgáltatást. A Mac gépen futó Mac számítógépek azonban Office az AD RMS szolgáltatásból származó információkat. Ezeknél a számítógépeknél a folyamat akár 30 napig is tart.

Ha azt szeretné, hogy a Mac számítógépek azonnal futtatják a feltárási folyamatot, a kulcskarikában keressen rá az "adal" szóra, és törölje az összes ADAL-bejegyzést. Ezután futtassa az alábbi parancsokat ezeken a számítógépeken:


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

Ha az összes meglévő Windows Azure Information Protectionbe migrált, nem kell tovább használnia a bevezetési vezérlőket, és karbantartani az áttelepítési folyamathoz létrehozott AIPMigrated csoportot.

Először távolítsa el a bevezetési vezérlőket, majd törölje az AIPMigrated csoportot és az áttelepítési parancsfájlok telepítéséhez létrehozott szoftvertelepítési módszert.

A be nem ható vezérlők eltávolítása:

  1. Egy PowerShell-munkamenetben csatlakozzon a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz, és amikor a rendszer kéri, adja meg a globális rendszergazdai hitelesítő adatait:

    Connect-AipService
    
    
  2. Futtassa az alábbi parancsot, és a megerősítéshez írja be az Y billentyűt:

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
    

    Vegye figyelembe, hogy ez a parancs eltávolítja a Azure Tartalomvédelmi szolgáltatások, így minden számítógép megvédheti a dokumentumokat és az e-maileket.

  3. Győződjön meg arról, hogy a beállít vezérlők már nincsenek beállítva:

    Get-AipServiceOnboardingControlPolicy
    

    A kimenetben a Licencértéknek Hamisnakkell lennie, és a SecurityGroupOjbectId azonosítóhoz nem jelenik meg GUID azonosító.

Végül, ha az Office 2010-et használja, és engedélyezte az AD RMS tartalomvédelmi házirendsablon-kezelési (automatizált) feladatát a Windows Feladatütemező tárában, tiltsa le ezt a feladatot, mert azt nem használja az Azure Information Protection ügyfélprogram.

Ez a feladat általában csoportházirend használatával engedélyezhető, és támogatja az AD RMS telepítését. Ez a feladat a következő helyen található: MicrosoftWindows Active Directory Rights Management Services ügyfél .

Fontos

Office 2010 kiterjesztett támogatása 2020. október 13-án véget ért. További információt az AIP és a régi verziók Windows és Office tartalmaz.

12. lépés. Az Azure Information Protection bérlői kulcsának újrakulcsa

Ez a lépés akkor szükséges, amikor befejeződik az áttelepítés, ha az AD RMS-telepítés 1-es rmS titkosítási módot használt, mert ez a mód 1024 bites kulcsot és SHA-1-et használ. Ez a konfiguráció nem megfelelő szintű védelmet biztosít. A Microsoft nem támogatja az alacsonyabb kulcshosszúságokat, például a 1024 bites RSA-kulcsokat és a nem megfelelő szintű védelmet (például SHA-1) szabályozó protokollok társított használatát.

Az újrakulcsolás a RMS 2 titkosítási módot használó védelmet biztosít, amelynek eredménye egy 2048 bites kulcs és az SHA-256.

Még ha az AD RMS-telepítés 2-es titkosítási módot is használt, továbbra is azt javasoljuk, hogy ezt a lépést azért javasoljuk, mert egy új kulcs segít megvédeni bérlőjét az AD RMS kulcs esetleges biztonsági visszaéléseitől.

Amikor újrakulcsot ad az Azure Information Protection bérlői kulcsának (más néven "rolling your key" (A kulcs átgördülése"), a rendszer archiválja az aktuálisan aktív kulcsot, és az Azure Information Protection egy másik, Ön által megadott kulcsot kezd használni. Ez a másik kulcs lehet egy új kulcs, amit az Azure Kulcstárban hozott létre, vagy az alapértelmezett kulcs, amely automatikusan jött létre a bérlőjéhez.

Az egyik kulcsról a másikra való továbblépés nem azonnal, hanem néhány hét alatt történik meg. Mivel nem azonnali, ne várja meg, amíg azt gyanítja, hogy az eredeti kulcs megszegését gyanítja, de ezt a lépést az áttelepítés befejeződése után kell megtennie.

Az Azure Information Protection bérlői kulcsának újrakulcsa:

  • Ha a bérlőkulcsát a Microsoft kezeli: Futtassa a Set-AipServiceKeyProperties PowerShell-parancsmagot, és adja meg a bérlői fiókhoz automatikusan létrehozott kulcs kulcsazonosítóját. A kívánt értéket a Get-AipServiceKeys parancsmag futtatásával azonosíthatja. A bérlői webhelyéhez automatikusan létrehozott kulcs létrehozási dátuma a legrégebbi, így a következő paranccsal azonosítható:

    (Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
    
  • Ha a bérlőkulcsot Ön kezeli (BYOK):Az Azure Key Vaultban ismételje meg a kulcskészítési folyamatot az Azure Information Protection-bérlőnél, majd futtassa ismét a Use-AipServiceKeyVaultKey parancsmagot az új kulcs URI-ának megadásához.

Az Azure Information Protection bérlői kulcsának kezeléséről további információt Az Azure Information Protection bérlői kulcsának műveleteiben található.

További lépések

Most, hogy befejezte az áttelepítést, tekintse át az AIP üzembe helyezési ütemtervét, amelyből megállapíthatja a besorolást, a címkézést és a védelmet, és azonosíthatja az esetleges további telepítési feladatokat.