Bermigrasi dari AD RMS ke Microsoft Azure Information Protection
Gunakan serangkaian instruksi berikut untuk memigrasikan penyebaran Layanan Active Directory Rights Management (AD RMS) Anda ke Perlindungan Informasi Azure.
Setelah migrasi, server AD RMS Anda tidak lagi digunakan tetapi pengguna masih memiliki akses ke dokumen dan pesan email yang dilindungi organisasi Anda dengan menggunakan AD RMS. Konten yang baru dilindungi akan menggunakan layanan Azure Rights Management (Azure RMS) dari Perlindungan Informasi Azure.
Bacaan yang direkomendasikan sebelum Anda bermigrasi ke Perlindungan Informasi Azure
Meskipun tidak diperlukan, Anda mungkin merasa berguna untuk membaca dokumentasi berikut sebelum memulai migrasi. Pengetahuan ini memberi Anda pemahaman yang lebih baik tentang cara kerja teknologi ketika relevan dengan langkah migrasi Anda.
Merencanakan dan menerapkan kunci penyewa Perlindungan Informasi Azure Anda: Pahami opsi manajemen utama yang Anda miliki untuk penyewa Perlindungan Informasi Azure tempat kunci SLC Anda yang setara di cloud dikelola oleh Microsoft (default) atau dikelola oleh Anda (konfigurasi "bawa kunci Anda sendiri", atau BYOK).
Penemuan layanan RMS: Bagian catatan penyebaran klien RMS ini menjelaskan bahwa pesanan untuk penemuan layanan adalah registri, lalu titik koneksi layanan (SCP), lalu cloud. Selama proses migrasi saat SCP masih diinstal, Anda mengonfigurasi klien dengan pengaturan registri untuk penyewa Perlindungan Informasi Azure Anda sehingga mereka tidak menggunakan kluster AD RMS yang dikembalikan dari SCP.
Gambaran umum konektor Microsoft Rights Management: Bagian ini dari dokumentasi konektor RMS menjelaskan bagaimana server lokal Anda dapat tersambung ke layanan Manajemen Hak Azure untuk melindungi dokumen dan email.
Selain itu, jika Anda tidak terbiasa dengan cara kerja AD RMS, Anda mungkin merasa berguna untuk membaca Bagaimana cara kerja Azure RMS? Di bawah tenda untuk membantu Anda mengidentifikasi proses teknologi mana yang sama atau berbeda untuk versi cloud.
Prasyarat untuk memigrasikan AD RMS ke Perlindungan Informasi Azure
Sebelum Anda memulai migrasi ke Perlindungan Informasi Azure, pastikan prasyarat berikut ini telah diberlakukannya dan Anda memahami batasan apa pun.
Penyebaran RMS yang didukung:
Rilis AD RMS berikut mendukung migrasi ke Perlindungan Informasi Azure:
Windows Server 2012 (x64)
Windows Server 2012 R2 (x64)
Windows Server 2016 (x64)
Semua topologi AD RMS yang valid didukung:
Forest tunggal, kluster RMS tunggal
Forest tunggal, beberapa kluster RMS hanya lisensi
Beberapa forest, beberapa kluster RMS
Catatan
Secara default, beberapa kluster AD RMS bermigrasi ke satu penyewa untuk Perlindungan Informasi Azure. Jika Anda menginginkan penyewa terpisah untuk Perlindungan Informasi Azure, Anda harus memperlakukannya sebagai migrasi yang berbeda. Kunci dari satu kluster RMS tidak dapat diimpor ke lebih dari satu penyewa.
Semua persyaratan untuk menjalankan Perlindungan Informasi Azure, termasuk langganan untuk Perlindungan Informasi Azure (layanan Manajemen Hak Azure tidak diaktifkan):
Lihat Persyaratan untuk Perlindungan Informasi Azure.
Klien Perlindungan Informasi Azure diperlukan untuk klasifikasi dan pelabelan, dan opsional, tetapi direkomendasikan jika Anda hanya ingin melindungi data.
Untuk informasi selengkapnya, lihat panduan admin untuk klien pelabelan terpadu Perlindungan Informasi Azure.
Meskipun Anda harus memiliki langganan untuk Perlindungan Informasi Azure sebelum dapat bermigrasi dari AD RMS, sebaiknya layanan Manajemen Hak untuk penyewa Anda tidak diaktifkan sebelum Anda memulai migrasi.
Proses migrasi mencakup langkah aktivasi ini setelah Anda mengekspor kunci dan templat dari AD RMS dan mengimpornya ke penyewa Anda untuk Perlindungan Informasi Azure. Namun, jika layanan Manajemen Hak sudah diaktifkan, Anda masih dapat bermigrasi dari AD RMS dengan beberapa langkah tambahan.
Hanya Office 2010:
Jika Anda memiliki komputer yang menjalankan Office 2010, Anda harus menginstal klien Perlindungan Informasi Azure untuk menyediakan kemampuan untuk mengautentikasi pengguna ke layanan cloud.
Penting
Dukungan yang diperpanjang Office 2010 berakhir pada 13 Oktober 2020. Untuk informasi selengkapnya, lihat Versi AIP dan Windows dan Office warisan.
Persiapan untuk Perlindungan Informasi Azure:
Sinkronisasi direktori antara direktori lokal Anda dan ID Microsoft Entra
Grup yang diaktifkan email di ID Microsoft Entra
Lihat Menyiapkan pengguna dan grup untuk Perlindungan Informasi Azure.
Jika Anda telah menggunakan fungsionalitas Manajemen Hak Informasi (IRM) Server Exchange (misalnya, aturan transportasi dan Outlook Web Access) atau SharePoint Server dengan AD RMS:
Rencanakan untuk waktu yang singkat ketika IRM tidak akan tersedia di server ini
Anda dapat terus menggunakan IRM di server ini setelah migrasi. Namun, salah satu langkah migrasi adalah menonaktifkan sementara layanan IRM, menginstal dan mengonfigurasi konektor, mengonfigurasi ulang server, lalu mengaktifkan kembali IRM.
Ini adalah satu-satunya gangguan pada layanan selama proses migrasi.
Jika Anda ingin mengelola kunci penyewa Perlindungan Informasi Azure Anda sendiri dengan menggunakan kunci yang dilindungi HSM:
- Konfigurasi opsional ini memerlukan Azure Key Vault dan langganan Azure yang mendukung Key Vault dengan kunci yang dilindungi HSM. Untuk informasi selengkapnya, lihat halaman Harga Azure Key Vault.
Pertimbangan mode kriptografi
Jika kluster AD RMS Anda saat ini dalam Mode Kriptografi 1, jangan tingkatkan kluster ke Mode Kriptografi 2 sebelum Anda memulai migrasi. Sebagai gantinya, migrasi menggunakan Mode Kriptografi 1 dan Anda dapat memberi kunci penyewa di akhir migrasi, sebagai salah satu tugas pascamigrasi.
Untuk mengonfirmasi mode kriptografi AD RMS untuk windows Server 2012 R2 dan Windows 2012: tab Umum properti >kluster AD RMS.
Batasan migrasi
Jika Anda memiliki perangkat lunak dan klien yang tidak didukung oleh layanan Manajemen Hak yang digunakan oleh Perlindungan Informasi Azure, mereka tidak akan dapat melindungi atau menggunakan konten yang dilindungi oleh Manajemen Hak Azure. Pastikan untuk memeriksa bagian aplikasi dan klien yang didukung dari Persyaratan untuk Perlindungan Informasi Azure.
Jika penyebaran AD RMS Anda dikonfigurasi untuk berkolaborasi dengan mitra eksternal (misalnya, dengan menggunakan domain atau federasi pengguna tepercaya), mereka juga harus bermigrasi ke Perlindungan Informasi Azure baik pada saat yang sama dengan migrasi Anda, atau sesegera mungkin setelahnya. Untuk terus mengakses konten yang sebelumnya dilindungi organisasi Anda dengan menggunakan Perlindungan Informasi Azure, mereka harus membuat perubahan konfigurasi klien yang mirip dengan konten yang Anda buat, dan disertakan dalam dokumen ini.
Karena kemungkinan variasi konfigurasi yang mungkin dimiliki mitra Anda, instruksi yang tepat untuk konfigurasi ulang ini berada di luar cakupan untuk dokumen ini. Namun, lihat bagian berikutnya untuk panduan perencanaan dan untuk bantuan tambahan, hubungi Dukungan Microsoft.
Perencanaan migrasi jika Anda berkolaborasi dengan mitra eksternal
Sertakan mitra AD RMS Anda dalam fase perencanaan untuk migrasi karena mereka juga harus bermigrasi ke Perlindungan Informasi Azure. Sebelum Anda melakukan salah satu langkah migrasi berikut, pastikan bahwa berikut ini sudah ada:
Mereka memiliki penyewa Microsoft Entra yang mendukung layanan Azure Rights Management.
Misalnya, mereka memiliki langganan Office 365 E3 atau E5, atau langganan Enterprise Mobility + Security, atau langganan mandiri untuk Perlindungan Informasi Azure.
Layanan Azure Rights Management mereka belum diaktifkan tetapi mereka tahu URL layanan Azure Rights Management mereka.
Mereka bisa mendapatkan informasi ini dengan menginstal Alat Manajemen Hak Azure, menyambungkan ke layanan (Koneksi-AipService), lalu melihat informasi penyewa mereka untuk layanan Manajemen Hak Azure (Get-AipServiceConfiguration).
Mereka memberi Anda URL untuk kluster AD RMS dan URL layanan Azure Rights Management mereka, sehingga Anda dapat mengonfigurasi klien yang dimigrasikan untuk mengalihkan permintaan untuk konten yang dilindungi AD RMS mereka ke layanan Azure Rights Management penyewa mereka. Instruksi untuk mengonfigurasi pengalihan klien ada di langkah 7.
Mereka mengimpor kunci akar kluster AD RMS (SLC) mereka ke penyewa mereka sebelum Anda mulai memigrasikan pengguna Anda. Demikian pula, Anda harus mengimpor kunci akar kluster AD RMS sebelum mulai memigrasikan pengguna mereka. Instruksi untuk mengimpor kunci tercakup dalam proses migrasi ini, Langkah 4. Ekspor data konfigurasi dari AD RMS dan impor ke Perlindungan Informasi Azure.
Gambaran umum langkah-langkah untuk memigrasikan AD RMS ke Perlindungan Informasi Azure
Langkah-langkah migrasi dapat dibagi menjadi lima fase yang dapat dilakukan pada waktu yang berbeda, dan oleh administrator yang berbeda.
Fase 1: Persiapan migrasi
Untuk informasi selengkapnya, lihat FASE 1: PERSIAPAN MIGRASI.
Langkah 1: Instal modul AIPService PowerShell dan identifikasi URL penyewa Anda
Proses migrasi mengharuskan Anda menjalankan satu atau beberapa cmdlet PowerShell dari modul AIPService. Anda harus mengetahui URL layanan Azure Rights Management penyewa Anda untuk menyelesaikan banyak langkah migrasi, dan Anda dapat mengidentifikasi nilai ini dengan menggunakan PowerShell.
Langkah 2. Bersiap untuk migrasi klien
Jika Anda tidak dapat memigrasikan semua klien sekaligus dan akan memigrasikannya dalam batch, gunakan kontrol onboarding dan sebarkan skrip pramigrasi. Namun, jika Anda akan memigrasikan semuanya secara bersamaan daripada melakukan migrasi bertahap, Anda dapat melewati langkah ini.
Langkah 3: Siapkan penyebaran Exchange Anda untuk migrasi
Langkah ini diperlukan jika saat ini Anda menggunakan fitur IRM Exchange Online atau Exchange lokal untuk melindungi email. Namun, jika Anda akan memigrasikan semuanya secara bersamaan daripada melakukan migrasi bertahap, Anda dapat melewati langkah ini.
Fase 2: Konfigurasi sisi server untuk AD RMS
Untuk informasi selengkapnya, lihat FASE 2: KONFIGURASI SISI SERVER UNTUK AD RMS.
Langkah 4. Mengekspor data konfigurasi dari AD RMS dan mengimpornya ke Perlindungan Informasi Azure
Anda mengekspor data konfigurasi (kunci, templat, URL) dari AD RMS ke file XML, lalu mengunggah file tersebut ke layanan Azure Rights Management dari Perlindungan Informasi Azure, dengan menggunakan cmdlet PowerShell Import-AipServiceTpd. Kemudian, identifikasi kunci Sertifikat Lisensi Server (SLC) yang diimpor untuk digunakan sebagai kunci penyewa Anda untuk layanan Manajemen Hak Azure. Langkah tambahan mungkin diperlukan, tergantung pada konfigurasi kunci AD RMS Anda:
Kunci yang dilindungi perangkat lunak untuk migrasi kunci yang dilindungi perangkat lunak:
Kunci berbasis kata sandi yang dikelola secara terpusat di AD RMS ke kunci penyewa Perlindungan Informasi Azure yang dikelola Microsoft. Ini adalah jalur migrasi paling sederhana dan tidak ada langkah tambahan yang diperlukan.
Kunci yang dilindungi HSM ke migrasi kunci yang dilindungi HSM:
Kunci yang disimpan oleh HSM untuk AD RMS ke kunci penyewa Perlindungan Informasi Azure yang dikelola pelanggan (skenario "bawa kunci Anda sendiri" atau BYOK). Ini memerlukan langkah-langkah tambahan untuk mentransfer kunci dari HSM nCipher lokal Anda ke Azure Key Vault dan mengotorisasi layanan Azure Rights Management untuk menggunakan kunci ini. Kunci yang dilindungi HSM yang ada harus dilindungi modul; Kunci yang dilindungi OCS tidak didukung oleh layanan Manajemen Hak.
Kunci yang dilindungi perangkat lunak untuk migrasi kunci yang dilindungi HSM:
Kunci berbasis kata sandi yang dikelola secara terpusat di AD RMS ke kunci penyewa Perlindungan Informasi Azure yang dikelola pelanggan (skenario "bawa kunci Anda sendiri" atau BYOK). Ini memerlukan konfigurasi terbanyak karena Anda harus terlebih dahulu mengekstrak kunci perangkat lunak Anda dan mengimpornya ke HSM lokal, lalu melakukan langkah-langkah tambahan untuk mentransfer kunci dari HSM nCipher lokal Anda ke HSM Azure Key Vault dan mengotorisasi layanan Azure Rights Management untuk menggunakan brankas kunci yang menyimpan kunci.
Langkah 5. Mengaktifkan layanan Azure Rights Management
Jika memungkinkan, lakukan langkah ini setelah proses impor dan bukan sebelumnya. Langkah tambahan diperlukan jika layanan diaktifkan sebelum impor.
Langkah 6. Mengonfigurasi templat yang diimpor
Saat Anda mengimpor templat kebijakan hak Anda, statusnya diarsipkan. Jika Anda ingin pengguna dapat melihat dan menggunakannya, Anda harus mengubah status templat agar diterbitkan di portal klasik Azure.
Fase 3: Konfigurasi sisi klien
Untuk informasi selengkapnya, lihat FASE 3: KONFIGURASI SISI KLIEN.
Langkah 7: Mengonfigurasi ulang komputer Windows untuk menggunakan Perlindungan Informasi Azure
Komputer Windows yang ada harus dikonfigurasi ulang untuk menggunakan layanan Azure Rights Management alih-alih AD RMS. Langkah ini berlaku untuk komputer di organisasi Anda, dan untuk komputer di organisasi mitra jika Anda telah berkolaborasi dengannya saat Anda menjalankan AD RMS.
Fase 4: Konfigurasi layanan pendukung
Untuk informasi selengkapnya, lihat FASE 4: KONFIGURASI LAYANAN PENDUKUNG.
Langkah 8: Mengonfigurasi integrasi IRM untuk Exchange Online
Langkah ini menyelesaikan migrasi AD RMS untuk Exchange Online untuk sekarang menggunakan layanan Azure Rights Management.
Langkah 9: Mengonfigurasi integrasi IRM untuk Server Exchange dan SharePoint Server
Langkah ini menyelesaikan migrasi AD RMS untuk Exchange atau SharePoint lokal untuk sekarang menggunakan layanan Manajemen Hak Azure, yang memerlukan penyebaran konektor Manajemen Hak.
Fase 5: Tugas pascamigrasi
Untuk informasi selengkapnya, lihat FASE 5: TUGAS PASCAMIGRASI.
Langkah 10: Deprovisi AD RMS
Ketika Anda telah mengonfirmasi bahwa semua komputer Windows menggunakan layanan Azure Rights Management dan tidak lagi mengakses server AD RMS, Anda dapat mendeprovisi penyebaran AD RMS Anda.
Langkah 11: Menyelesaikan tugas migrasi klien
Jika Anda telah menyebarkan ekstensi perangkat seluler untuk mendukung perangkat seluler seperti ponsel dan iPad iOS, ponsel dan tablet Android, ponsel dan tablet Windows, dan komputer Mac, Anda harus menghapus catatan SRV di DNS yang mengalihkan klien ini untuk menggunakan AD RMS.
Kontrol onboarding yang Anda konfigurasikan selama fase persiapan tidak lagi diperlukan. Namun, jika Anda tidak menggunakan kontrol onboarding karena Anda memilih untuk memigrasikan semuanya secara bersamaan daripada melakukan migrasi bertahap, Anda dapat melewati instruksi untuk menghapus kontrol onboarding.
Jika komputer Windows Anda menjalankan Office 2010, periksa apakah Anda perlu menonaktifkan tugas Manajemen Templat Kebijakan Hak AD RMS (Otomatis).
Penting
Dukungan yang diperpanjang Office 2010 berakhir pada 13 Oktober 2020. Untuk informasi selengkapnya, lihat Versi AIP dan Windows dan Office warisan.
Langkah 12: Kunci kunci penyewa Perlindungan Informasi Azure Anda
Langkah ini direkomendasikan jika Anda tidak berjalan dalam Mode Kriptografi 2 sebelum migrasi.
Langkah berikutnya
Untuk memulai migrasi, buka Fase 1 - persiapan.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk