마이그레이션 단계 2 - AD RMS에 대한 서버 쪽 구성

:Active Directory Rights Management Services, Azure Information Protection, Office 365

관련성: AIP 통합 레이블링 클라이언트 및 클래식 클라이언트

참고 사항

통합되고 간소화된 고객 환경을 제공하기 위해 Azure Portal의 Azure Information Protection 클래식 클라이언트 및 레이블 관리는 2021년 3월 31일현재 사용되지 않습니다. 클래식 클라이언트에 대한 추가 지원은 제공되지 않고 유지 관리 버전은 더 이상 릴리스되지 않습니다.

클래식 클라이언트는 공식적으로 사용 중지되어 2022년 3월 31일 작동이 중지됩니다.

현재 모든 Azure Information Protection 클래식 클라이언트 고객은 통합 레이블 Microsoft Information Protection 플랫폼으로 마이그레이션하고 통합 레이블링 클라이언트로 업그레이드해야 합니다. 마이그레이션 블로그 에서자세히 알아보기

AD RMS에서 Azure Information Protection으로 마이그레이션하는 2단계에 대해 다음 정보를 사용하세요. 이러한 절차에서는 AD RMS에서 Azure Information Protection으로마이그레이션하는 4단계 6단계를 설명합니다.

4단계. AD RMS에서 구성 데이터를 내보내고 Azure 정보 보호로 가져오기

이 단계는 2단계 프로세스입니다.

  1. 신뢰할 수 있는 TPD(게시 도메인)를 다른 파일로 내보내서 AD RMS에서 .xml 내보낼 수 있습니다. 이 프로세스는 모든 마이그레이션에 대해 동일합니다.

  2. 구성 데이터를 Azure Information Protection으로 가져온다. 이 단계에서는 현재 AD RMS 배포 구성 및 Azure RMS 테넌트 키에 대한 기본 토폴로지에 따라 다양한 프로세스가 있습니다.

AD RMS에서 구성 데이터 내보내기

조직의 콘텐츠를 보호한 신뢰할 수 있는 모든 게시 도메인에 대해 모든 AD RMS 클러스터에서 다음 절차를 수행하세요. 라이선스 전용 클러스터에서 이 프로시저를 실행할 필요가 없습니다.

구성 데이터 내보내기(신뢰할 수 있는 게시 도메인 정보)

  1. AD RMS 관리 권한이 있는 사용자로 AD RMS 클러스터에 로그온합니다.

  2. AD RMS 관리콘솔(Active Directory Rights Management Services)에서AD RMS 클러스터 이름을 확장하고, 트러스트 정책을 확장한 다음 신뢰할 수 있는 게시 도메인을 클릭합니다.

  3. 결과 창에서 신뢰할 수 있는 게시 도메인을 선택한 다음 작업 창에서 신뢰할 수 있는 게시 도메인 내보내기 를 클릭합니다.

  4. 신뢰할 수 있는 게시 도메인 내보내기 대화 상자에서 다음을 선택합니다.

    • 다른 이름으로 저장을 클릭하고 원하는 경로 및 파일 이름을 저장합니다. 파일 이름 .xml확장명으로 지정해야 합니다(이 확장은 자동으로 추가되지 않습니다).

    • 강력한 암호를 지정하고 확인합니다. 구성 데이터를 Azure Information Protection으로 가져올 때 나중에 이 암호가 필요하기 때문에 이 암호를 기억하세요.

    • RMS 버전 1.0에서 신뢰할 수 있는 도메인 파일을 저장하려면 확인란을 선택하지 않습니다.

신뢰할 수 있는 모든 게시 도메인을 내보낼 때 이 데이터를 Azure Information Protection으로 가져오는 절차를 시작할 준비가 된 것입니다.

신뢰할 수 있는 게시 도메인에는 이전에 보호된 파일을 해독하는 SLC(Server Licensor Certificate) 키가 포함되어 있으므로 현재 활성 도메인만이 아니라 신뢰할 수 있는 모든 게시 도메인을 내보낼 수 있으며 나중에 Azure로 가져오는 것이 중요합니다.

예를 들어 AD RMS 서버를 암호화 모드 1에서 암호화 모드 2로 업그레이드하면 여러 신뢰할 수 있는 게시 도메인이 있습니다. 암호화 모드 1을 사용한 보관된 키가 포함된 신뢰할 수 있는 게시 도메인을 내보내고 가져오지 않는 경우 마이그레이션이 끝나면 사용자는 암호화 모드 1 키로 보호된 콘텐츠를 열 수 없습니다.

구성 데이터를 Azure Information Protection으로 가져오기

이 단계에 대한 정확한 절차는 현재 AD RMS 배포 구성 및 Azure Information Protection 테넌트 키에 대한 기본 토폴로지에 따라 다릅니다.

현재 AD RMS 배포는 SLC(서버 라이선스 인증서) 키에 대한 다음 구성 중 하나를 사용하고 있습니다.

  • AD RMS 데이터베이스의 암호 보호. 기본 구성입니다.

  • NCipher 하드웨어 보안 모듈(HSM)을 사용하여 HSM 보호

  • nCipher가 다른 공급업체의 HSM(하드웨어 보안 모듈)을 사용하여 HSM 보호

  • 외부 암호화 공급자를 사용하여 보호되는 암호입니다.

참고 사항

AD RMS에서 하드웨어 보안 모듈 사용에 대한 자세한 내용은 하드웨어 보안 모듈과 함께 AD RMS 사용을 참조하세요.

두 가지 Azure Information Protection 테넌트 키 토폴로지 옵션은 Microsoft에서 테넌트키(Microsoft 관리)를관리하거나 Azure Key Vault에서 테넌트 키(고객 관리)를 관리합니다. 사용자 자신의 Azure Information Protection 테넌트 키를 관리할 때 "사용자 자신의 키 가져오기"(BYOK)라고도 합니다. 자세한 내용은 Azure Information Protection 테넌트 키 문서 계획 및 구현을 참조하세요.

다음 표를 사용하여 마이그레이션에 사용할 프로시저를 식별합니다.

현재 AD RMS 배포 선택한 Azure Information Protection 테넌트 키 토폴로지 마이그레이션 지침
AD RMS 데이터베이스의 암호 보호 Microsoft 관리 후 소프트웨어로 보호된 키 마이그레이션 절차에 대한 소프트웨어로 보호된 키를 참조합니다.

이 경로는 가장 간단한 마이그레이션 경로로 구성 데이터를 Azure Information Protection에 전송해야 합니다.
nCipher nShield 하드웨어 보안 모듈(HSM)을 사용하여 HSM 보호 고객 관리(BYOK) 이 표 후 HSM에서 보호되는 키 마이그레이션 절차에 대한 HSM으로 보호된 키를 참조합니다.

이렇게 하려면 Azure Key Vault BYOK 도구 집합과 세 가지 단계 집합이 필요합니다. 먼저 Azure Key Vault HSM에서 Azure Key Vault HSM으로 키를 전송한 다음, Azure Information Protection에서 Azure Rights Management 서비스를 승인하여 테넌트 키를 사용할 수 있으며 마지막으로 구성 데이터를 Azure Information Protection에 전송해야 합니다.
AD RMS 데이터베이스의 암호 보호 고객 관리(BYOK) 이 표 후 HSM에서 보호되는 키 마이그레이션 절차에 대한 소프트웨어로 보호된 키를 참조합니다.

이렇게 하려면 Azure Key Vault BYOK 도구 세트와 4개의 단계가 필요합니다. 먼저 소프트웨어 키를 추출하고 이를 On-프레미스 HSM으로 가져온 다음, Azure Information Protection HSM으로 키를 전송하고, Key Vault 데이터를 Azure Information Protection으로 전송한 다음, 마지막으로 구성 데이터를 Azure Information Protection으로 전송해야 합니다.
nCipher가 아니고 공급업체에서 HSM(하드웨어 보안 모듈)을 사용하여 HSM 보호 고객 관리(BYOK) 이 HSM에서 nCipher nShield 하드웨어 보안 모듈(HSM)으로 키를 전송하는 방법에 대한 지침은 HSM 공급업체에 문의하세요. 그런 다음 이 표 후 HSM으로 보호된 키 마이그레이션 프로시저에 대한 HSM으로 보호된 키에 대한 지침을 따릅니다.
외부 암호화 공급자를 사용하여 보호되는 암호 고객 관리(BYOK) 키를 nCipher nShield 하드웨어 보안 모듈(HSM)으로 전송하는 방법에 대한 지침은 암호화 공급자에 문의하세요. 그런 다음 이 표 후 HSM으로 보호된 키 마이그레이션 프로시저에 대한 HSM으로 보호된 키에 대한 지침을 따릅니다.

내보낼 수 없는 HSM 보호 키가 있는 경우 읽기 전용 모드로 AD RMS 클러스터를 구성하여 Azure Information Protection으로 마이그레이션할 수 있습니다. 이 모드에서는 이전에 보호된 콘텐츠를 계속 열 수 있지만 새로 보호된 콘텐츠는 BYOK(사용자)가 관리하거나 Microsoft에서 관리하는 새 테넌트 키를 사용합니다. 자세한 내용은 AD RMS에서 Azure RMS로의 Office업데이트를 사용할 수 있습니다.

이러한 주요 마이그레이션 절차를 시작하기 전에 신뢰할 수 있는 .xml 도메인을 내보낼 때 만든 .xml 파일에 액세스할 수 있는지 확인해야 합니다. 예를 들어 이러한 드라이브는 AD RMS 서버에서 인터넷에 연결된 Workstation으로 이동하는 USB 썸 드라이브에 저장될 수 있습니다.

참고 사항

그러나 이러한 파일을 저장하고 보안 모범 사례를 사용하여 이 데이터에 개인 키가 포함되어 있기 때문에 이러한 파일을 보호합니다.

4단계를 완료하려면 마이그레이션 경로에 대한 지침을 선택하고 선택합니다.

5단계. Azure Rights Management 서비스 활성화

PowerShell 세션을 열고 다음 명령을 실행합니다.

  1. 커넥트 Azure Rights Management 서비스에 연결하고 메시지가 표시될 때 전역 관리자 자격 증명을 지정합니다.

    Connect-AipService
    
  2. Azure Rights Management 서비스를 활성화합니다.

    Enable-AipService
    

Azure Information Protection 테넌트가 이미 활성화된 경우 어떻게 하나요? Azure Rights Management 서비스가 조직에 대해 이미 활성화되어 있으며 마이그레이션 후에 사용할 사용자 지정 템플릿을 만든 경우 이러한 템플릿을 내보내고 가져와야 합니다. 이 절차는 다음 단계에서 다를 수 있습니다.

6단계. 가져온 템플릿 구성

가져온 템플릿에는 보관된 기본 상태가 있기 때문에 사용자가 Azure Rights Management 서비스에서 이러한 템플릿을 사용할 수 있도록 하려는 경우 이 상태를 게시로 변경해야 합니다.

AD RMS에서 가져오는 템플릿은 Azure Portal에서 만들 수 있는 사용자 지정 템플릿과 마찬가지로 모양과 행동을 합니다. 사용자가 해당 템플릿을 보고 애플리케이션에서 선택할 수 있도록 가져온 템플릿을 변경하려면 Azure Information Protection에 대한 템플릿 구성 및 관리를 참조하세요.

새로 가져온 템플릿을 게시하는 것 외에도 마이그레이션을 계속하기 전에 템플릿에 대해 두 가지 중요한 변경 사항이 있습니다. 마이그레이션 프로세스 중에 사용자에 대한 보다 일관된 환경을 위해 가져온 템플릿을 추가로 변경하지 말고 Azure Information Protection과 함께 제공된 두 기본 템플릿을 게시하거나 현재 새 템플릿을 만들지 않습니다. 대신 마이그레이션 프로세스가 완료될 때까지 기다렸다가 AD RMS 서버를 디프로비전하지 않습니다.

템플릿은 이 단계를 위해 변경해야 할 수도 있습니다.

  • 마이그레이션 전에 Azure Information Protection 사용자 지정 템플릿을 만든 경우 수동으로 내보내고 가져와야 합니다.

  • AD RMS의 템플릿에서 ANYONE 그룹을 사용한 경우 사용자 또는 그룹을 수동으로 추가해야 할 수 있습니다.

    AD RMS에서 ANYONE 그룹은 On-Premises Active Directory에서 인증한 모든 사용자에게 권한을 부여하며 이 그룹은 Azure Information Protection에서 지원되지 않습니다. 클로트는 Azure AD 테넌트의 모든 사용자에 대해 자동으로 생성되는 그룹입니다. AD RMS 템플릿에 대해 ANYONE 그룹을 사용하는 경우 사용자 및 부여할 권한을 추가해야 할 수 있습니다.

마이그레이션 전에 사용자 지정 템플릿을 만든 경우 프로시저

마이그레이션 전에 사용자 지정 템플릿을 만든 경우 Azure Rights Management 서비스를 활성화하기 전이나 후에 게시로 설정되어 있는 경우에도 마이그레이션 후 사용자에게 템플릿을 사용할 수 없습니다. 사용자가 사용할 수 있도록하려면 먼저 다음을 해야 합니다.

  1. Get-AipServiceTemplate를 실행하여 이러한 템플릿을 식별하고 템플릿 ID를 메모합니다.

  2. Azure RMS PowerShell cmdlet, Export-AipServiceTemplate를 사용하여 템플릿을 내보낼 수 있습니다.

  3. Azure RMS PowerShell cmdlet, Import-AipServiceTemplate를 사용하여 템플릿을 가져오기

그런 다음 마이그레이션 후에 만든 다른 템플릿과 같은 이러한 템플릿을 게시하거나 보관할 수 있습니다.

AD RMS의 템플릿이 ANYONE 그룹을 사용한 경우 절차

AD RMS의 템플릿이 ANYONE 그룹을 사용하는 경우 Azure Information Protection의 가장 가까운 그룹은 AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@ tenant_name .onmicrosoft.com. 예를 들어 이 그룹은 Contoso에 대해 다음과 같을 수 AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com 있습니다. 이 그룹에는 Azure AD 테넌트의 모든 사용자가 포함되어 있습니다.

Azure Portal에서 템플릿 및 레이블을 관리하는 경우 이 그룹은 Azure AD에서 테넌트의 도메인 이름으로 표시됩니다. 예를 들어 이 그룹은 Contoso: contoso.onmicrosoft.com. 이 그룹을 추가하기 위해 옵션에 조직 이름 추가 - 모든 > 구성원이 표시됩니다.

AD RMS 템플릿에 ANYONE 그룹이 포함되어 있는지 확실하지 않은 경우 다음 샘플 Windows PowerShell 스크립트를 사용하여 이러한 템플릿을 식별할 수 있습니다. AD RMS에서 Windows PowerShell 대한 자세한 내용은 AD RMS 관리에 Windows PowerShell 참조하세요.

이러한 템플릿을 Azure Portal의 레이블로 변환할 때 템플릿에 외부 사용자를 쉽게 추가할 수 있습니다. 그런 다음 사용 권한 추가 창에서 세부 정보 입력을 선택하고 이러한 사용자의 전자 메일 주소를 수동으로 지정합니다.

이 구성에 대한 자세한 내용은 Rights Management 보호에 대한 레이블을 구성하는 방법을 참조하세요.

ANYONE Windows PowerShell 포함된 AD RMS 템플릿을 식별하는 샘플 스크립트

이 섹션에는 앞 섹션에 설명된 바와 같이 ANYONE 그룹이 정의되어 있는 AD RMS 템플릿을 식별하는 데 도움이 되는 샘플 스크립트가 포함되어 있습니다.

고지 사항:이 샘플 스크립트는 Microsoft 표준 지원 프로그램 또는 서비스에서 지원되지 않습니다. 이 샘플 스크립트는 어떠한 종류의 보증도 없이 AS IS를 제공합니다.

import-module adrmsadmin

New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost -Force

$ListofTemplates=dir MyRmsAdmin:\RightsPolicyTemplate

foreach($Template in $ListofTemplates)
{
                $templateID=$Template.id

                $rights = dir MyRmsAdmin:\RightsPolicyTemplate\$Templateid\userright

     $templateName=$Template.DefaultDisplayName

        if ($rights.usergroupname -eq "anyone")

                         {
                           $templateName = $Template.defaultdisplayname

                           write-host "Template " -NoNewline

                           write-host -NoNewline $templateName -ForegroundColor Red

                           write-host " contains rights for " -NoNewline

                           write-host ANYONE  -ForegroundColor Red
                         }
 }
Remove-PSDrive MyRmsAdmin -force

다음 단계

3단계 - 클라이언트 쪽 구성으로 이동