Migrazione da AD RMS a Azure Information Protection

Si applica a: Active Directory Rights Management Services, Azure Information Protection, Office 365

Pertinente per: client di etichettatura unificata AIP e client classico

Nota

Per offrire un'esperienza utente unificata e semplificata, a partire dal 31 marzo 2021 il client classico di Azure Information Protection e la gestione delle etichette nel portale di Azure. Non viene fornito ulteriore supporto per il client classico e le versioni di manutenzione non verranno più rilasciate.

  • Il client classico verrà completamente ritirato e smetterà di funzionare il 31 marzo 2022.
  • A partire dal 18 marzo 2022, il log di controllo e l'analisi AIP sono in scadenza, con una data di ritiro completa del 31 settembre 2022.

Per altre informazioni, vedere Servizi rimossi e ritirati.

Usare il set di istruzioni seguente per eseguire la migrazione della distribuzione di Active Directory Rights Management Services (AD RMS) ad Azure Information Protection.

Dopo la migrazione, i server AD RMS non sono più in uso, ma gli utenti hanno ancora accesso ai documenti e ai messaggi di posta elettronica protetti dall'organizzazione tramite AD RMS. Il nuovo contenuto protetto userà il servizio Azure Rights Management (Azure RMS) da Azure Information Protection.

Anche se non è obbligatorio, può essere utile leggere la documentazione seguente prima di avviare la migrazione. Queste informazioni forniscono una migliore comprensione del funzionamento della tecnologia quando è rilevante per il passaggio di migrazione.

  • Pianificazione e implementazione della chiave del tenant di Azure Information Protection: comprendere le opzioni di gestione delle chiavi disponibili per il tenant di Azure Information Protection in cui l'equivalente della chiave SLC nel cloud è gestito da Microsoft (impostazione predefinita) o gestito dall'utente (configurazione "porta la propria chiave" o BYOK).

  • Individuazione del servizio RMS: questa sezione delle note sulla distribuzione del client RMS spiega che l'ordine per l'individuazione del servizio è registro, quindi punto di connessione del servizio (SCP) e infine cloud. Durante il processo di migrazione, quando il servizio SCP è ancora installato, è possibile configurare i client con le impostazioni del Registro di sistema per il tenant di Azure Information Protection in modo che non usino il cluster AD RMS restituito da SCP.

  • Panoramica del connettore Microsoft Rights Management: questa sezione della documentazione del connettore RMS spiega come i server locali possono connettersi al servizio Azure Rights Management per proteggere documenti e messaggi di posta elettronica.

Inoltre, se non si ha familiarità con il funzionamento di AD RMS, può essere utile leggere Come funziona Azure RMS? Sotto il cofano per identificare i processi tecnologici uguali o diversi per la versione cloud.

Prerequisiti per la migrazione di AD RMS ad Azure Information Protection

Prima di avviare la migrazione ad Azure Information Protection, assicurarsi che siano soddisfatti i prerequisiti seguenti e di aver compreso eventuali limitazioni.

  • Una distribuzione RMS supportata:

    • Le versioni seguenti di AD RMS supportano una migrazione ad Azure Information Protection:

      • Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)

    • Sono supportate tutte le topologie AD RMS valide:

      • Singola foresta, singolo cluster RMS

      • Foresta singola, più cluster RMS con licenza

      • Più foreste, più cluster RMS

      Nota

      Per impostazione predefinita, la migrazione di più cluster AD RMS a un singolo tenant per Azure Information Protection. Se si vogliono tenant separati per azure Information Protection, è necessario trattarli come migrazioni diverse. Una chiave di un cluster RMS non può essere importata in più tenant.

  • Tutti i requisiti per eseguire Azure Information Protection, inclusa una sottoscrizione per Azure Information Protection (il servizio Azure Rights Management non è attivato):

    Vedere Requisiti per Azure Information Protection.

    Il client Information Protection Azure è necessario per la classificazione e l'etichettatura e facoltativo, ma è consigliato se si vogliono proteggere solo i dati.

    Per altre informazioni, vedere le guide per gli amministratori per il client Information Protection di etichette unificate di Azure.

    Anche se è necessario avere una sottoscrizione per Azure Information Protection prima di eseguire la migrazione da AD RMS, è consigliabile che il servizio Rights Management per il tenant non sia attivato prima di avviare la migrazione.

    Il processo di migrazione include questo passaggio di attivazione dopo aver esportato chiavi e modelli da AD RMS e averli importati nel tenant per Azure Information Protection. Tuttavia, se il servizio Rights Management è già attivato, è comunque possibile eseguire la migrazione da AD RMS con alcuni passaggi aggiuntivi.

    Office 2010:

    Se si hanno computer che eseguono Office 2010, è necessario installare il client azure Information Protection per fornire la possibilità di autenticare gli utenti ai servizi cloud.

    Importante

    Office 2010 il supporto esteso è terminato il 13 ottobre 2020. Per altre informazioni, vedere AIP e versioni legacy Windows e Office precedenti.

  • Preparazione per Azure Information Protection:

  • Se è stata usata la funzionalità Information Rights Management (IRM) di Exchange Server(ad esempio, regole di trasporto e Outlook Web Access) o SharePoint Server con AD RMS:

    • Pianificare un breve periodo di tempo in cui IRM non sarà disponibile in questi server

      È possibile continuare a usare IRM in questi server dopo la migrazione. Tuttavia, uno dei passaggi di migrazione è disabilitare temporaneamente il servizio IRM, installare e configurare un connettore, riconfigurare i server e quindi riattivare IRM.

      Si tratta dell'unica interruzione del servizio durante il processo di migrazione.

  • Se si vuole gestire la propria chiave del tenant Information Protection azure usando una chiave protetta da HSM:

    • Questa configurazione facoltativa richiede azure Key Vault e una sottoscrizione di Azure che supporta Key Vault con chiavi protette da HSM. Per altre informazioni, vedere la pagina Prezzi Key Vault azure.

Considerazioni sulla modalità di crittografia

Se il cluster AD RMS è attualmente in modalità di crittografia 1, non aggiornare il cluster alla modalità di crittografia 2 prima di avviare la migrazione. Eseguire invece la migrazione usando la modalità di crittografia 1 ed è possibile modificare la chiave del tenant al termine della migrazione, come una delle attività di post-migrazione.

Per confermare la modalità di crittografia AD RMS Windows Server 2012 R2 e Windows 2012: scheda Generale delle proprietà del cluster> AD RMS.

Limitazioni della migrazione

  • Se si hanno software e client non supportati dal servizio Rights Management usato da Azure Information Protection, non saranno in grado di proteggere o usare contenuto protetto da Azure Rights Management. Assicurarsi di controllare le sezioni delle applicazioni e dei client supportati da Requisiti per Azure Information Protection.

  • Se la distribuzione di AD RMS è configurata per collaborare con partner esterni, ad esempio usando domini utente attendibili o federazione, deve eseguire anche la migrazione ad Azure Information Protection contemporaneamente alla migrazione o il più presto possibile in un secondo momento. Per continuare ad accedere al contenuto protetto in precedenza dall'organizzazione con Azure Information Protection, devono apportare modifiche di configurazione client simili a quelle apportate dall'utente e incluse in questo documento.

    A causa delle possibili varianti di configurazione che i partner potrebbero avere, le istruzioni esatte per questa riconfigurazione non sono disponibili nell'ambito di questo documento. Tuttavia, vedere la sezione successiva per indicazioni sulla pianificazione e per altre informazioni, contattare supporto tecnico Microsoft.

Pianificazione della migrazione se si collabora con partner esterni

Includere i partner AD RMS nella fase di pianificazione per la migrazione perché devono eseguire anche la migrazione ad Azure Information Protection. Prima di eseguire una delle operazioni di migrazione seguenti, assicurarsi che siano presenti le operazioni seguenti:

  • Hanno un tenant Azure Active Directory che supporta il servizio Azure Rights Management.

    Ad esempio, hanno un abbonamento Office 365 E3 o E5, un abbonamento Enterprise Mobility + Security o un abbonamento autonomo per Azure Information Protection.

  • Il servizio Azure Rights Management non è ancora attivato, ma conosce l'URL del servizio Azure Rights Management.

    Possono ottenere queste informazioni installando lo strumento Azure Rights Management, connettendosi al servizio (Connessione-AipService) e visualizzando le informazioni sul tenant per il servizio Azure Rights Management (Get-AipServiceConfiguration).

  • Forniscono gli URL per il cluster AD RMS e l'URL del servizio Azure Rights Management, in modo da poter configurare i client di cui è stata eseguita la migrazione per reindirizzare le richieste per il contenuto protetto da AD RMS al servizio Azure Rights Management del tenant. Le istruzioni per configurare il reindirizzamento dei client sono nel passaggio 7.

  • Importano le chiavi radice del cluster AD RMS (SLC) nel tenant prima di iniziare a eseguire la migrazione degli utenti. Analogamente, è necessario importare le chiavi radice del cluster AD RMS prima che inizino a eseguire la migrazione degli utenti. Le istruzioni per l'importazione della chiave sono trattate in questo processo di migrazione, passaggio 4. Esportare i dati di configurazione da AD RMS e importarlo in Azure Information Protection.

Panoramica dei passaggi per la migrazione di AD RMS ad Azure Information Protection

I passaggi di migrazione possono essere suddivisi in cinque fasi che possono essere eseguite in momenti diversi e da amministratori diversi.

Fase 1: Preparazione della migrazione

Per altre informazioni, vedere FASE 1: PREPARAZIONE DELLA MIGRAZIONE.

Passaggio 1: Installare il modulo di PowerShell AIPService e identificare l'URL del tenant

Il processo di migrazione richiede l'esecuzione di uno o più cmdlet di PowerShell dal modulo AIPService. Per completare molti dei passaggi di migrazione, è necessario conoscere l'URL del servizio Azure Rights Management del tenant ed è possibile impostare l'identità di questo valore usando PowerShell.

Passaggio 2. Preparare la migrazione dei client

Se non è possibile eseguire la migrazione di tutti i client contemporaneamente e li eseguirà in batch, usare i controlli di onboarding e distribuire uno script pre-migrazione. Tuttavia, se si eseguirà la migrazione di tutti gli elementi contemporaneamente invece di eseguire una migrazione a fasi, è possibile ignorare questo passaggio.

Passaggio 3: Preparare la distribuzione Exchange per la migrazione

Questo passaggio è obbligatorio se attualmente si usa la funzionalità IRM di Exchange Online o Exchange locale per proteggere i messaggi di posta elettronica. Tuttavia, se si eseguirà la migrazione di tutti gli elementi contemporaneamente invece di eseguire una migrazione a fasi, è possibile ignorare questo passaggio.

Fase 2: Configurazione lato server per AD RMS

Per altre informazioni, vedere FASE 2: CONFIGURAZIONE LATO SERVER PER AD RMS.

Passaggio 4. Esportare i dati di configurazione da AD RMS e importarlo in Azure Information Protection

Esportare i dati di configurazione (chiavi, modelli, URL) da AD RMS in un file XML e quindi caricare il file nel servizio Azure Rights Management da Azure Information Protection usando il cmdlet di PowerShell di Import-AipServiceTpd. Identificare quindi la chiave SLC (Server Licensor Certificate) importata da usare come chiave del tenant per il servizio Azure Rights Management. Potrebbero essere necessari altri passaggi, a seconda della configurazione della chiave AD RMS:

  • Chiave protetta dal software per la migrazione delle chiavi protette dal software:

    Chiavi basate su password gestite centralmente in AD RMS e azure Information Protection chiave del tenant. Si tratta del percorso di migrazione più semplice e non sono necessari passaggi aggiuntivi.

  • Chiave protetta da HSM per la migrazione delle chiavi protette da HSM:

    Chiavi archiviate da un HSM per AD RMS alla chiave del tenant di Azure Information Protection gestita dal cliente (lo scenario "porta la tua chiave" o BYOK). Questa operazione richiede altri passaggi per trasferire la chiave dall'HSM nCipher locale ad Azure Key Vault e autorizzare il servizio Azure Rights Management a usare questa chiave. La chiave esistente protetta da HSM deve essere protetta dal modulo. Le chiavi protette da OCS non sono supportate dai servizi Rights Management.

  • Chiave protetta dal software per la migrazione delle chiavi protette da HSM:

    Chiavi basate su password gestite centralmente in AD RMS alla chiave del tenant di Azure Information Protection gestita dal cliente (lo scenario "porta la tua chiave" o BYOK). Questa operazione richiede la maggior parte della configurazione perché è necessario prima estrarre la chiave software e importarla in un HSM locale e quindi eseguire i passaggi aggiuntivi per trasferire la chiave dall'HSM nCipher locale a un HSM di Azure Key Vault e autorizzare il servizio Azure Rights Management a usare il vault delle chiavi in cui è archiviata la chiave.

Passaggio 5. Attivare il servizio Azure Rights Management

Se possibile, eseguire questo passaggio dopo il processo di importazione e non prima. Se il servizio è stato attivato prima dell'importazione, sono necessari altri passaggi.

Passaggio 6. Configurare i modelli importati

Quando si importano i modelli di criteri per i diritti di utilizzo, il relativo stato viene archiviato. Se si vuole che gli utenti possano vederli e usarli, è necessario modificare lo stato del modello per essere pubblicati nel portale classico di Azure.

Fase 3: configurazione lato client

Per altre informazioni, vedere FASE 3: CONFIGURAZIONE LATO CLIENT.

Passaggio 7: Riconfigurare Windows computer per l'uso di Azure Information Protection

I Windows esistenti devono essere riconfigurati per usare il servizio Azure Rights Management invece di AD RMS. Questo passaggio si applica ai computer dell'organizzazione e ai computer delle organizzazioni partner se si ha collaborato con loro mentre si esegue AD RMS.

Fase 4: Supporto della configurazione dei servizi

Per altre informazioni, vedere FASE 4: CONFIGURAZIONE DEI SERVIZI DI SUPPORTO.

Passaggio 8: Configurare l'integrazione IRM per Exchange Online

Questo passaggio completa la migrazione ad AD RMS per Exchange Online ora usare il servizio Azure Rights Management.

Passaggio 9: Configurare l'integrazione IRM per Exchange Server e SharePoint Server

Questo passaggio completa la migrazione ad AD RMS Exchange o SharePoint locale per usare ora il servizio Azure Rights Management, che richiede la distribuzione del connettore Rights Management.

Fase 5: Attività post-migrazione

Per altre informazioni, vedere FASE 5: ATTIVITÀ POST-MIGRAZIONE.

Passaggio 10: Eseguire il deprovisioning di AD RMS

Dopo aver confermato che tutti i computer Windows usano il servizio Azure Rights Management e non accedono più ai server AD RMS, è possibile eseguire il deprovisioning della distribuzione di AD RMS.

Passaggio 11: Completare le attività di migrazione dei client

Se è stata distribuita l'estensione per dispositivi mobili per supportare dispositivi mobili come telefoni iOS e iPad, telefoni e tablet Android, telefoni e tablet Windows e computer Mac, è necessario rimuovere i record SRV nel DNS che hanno reindirizzato questi client per usare AD RMS.

I controlli di onboarding configurati durante la fase di preparazione non sono più necessari. Tuttavia, se non sono stati utilizzati controlli di onboarding perché si è scelto di eseguire la migrazione di tutti gli elementi contemporaneamente invece di eseguire una migrazione a fasi, è possibile ignorare le istruzioni per rimuovere i controlli di onboarding.

Se i computer Windows eseguono Office 2010, verificare se è necessario disabilitare l'attività Ad RMS Rights Policy Template Management (automated).

Importante

Office 2010 il supporto esteso è terminato il 13 ottobre 2020. Per altre informazioni, vedere AIP e versioni legacy Windows e Office precedenti.

Passaggio 12: Aggiungere di nuovo la chiave del tenant di Azure Information Protection chiave del tenant

Questo passaggio è consigliato se non si era in esecuzione in modalità di crittografia 2 prima della migrazione.

Passaggi successivi

Per avviare la migrazione, passare alla fase 1 - preparazione.