AD RMS에서 Azure Information Protection으로 마이그레이션

다음 지침 집합을 사용하여 AD RMS(Active Directory Rights Management Services) 배포를 Azure Information Protection으로 마이그레이션합니다.

마이그레이션 후 AD RMS 서버는 더 이상 사용되지 않지만 사용자는 여전히 조직에서 AD RMS를 사용하여 보호한 문서 및 전자 메일 메시지에 액세스할 수 있습니다. 새로 보호된 콘텐츠는 Azure Information Protection의 Azure RMS(Azure Rights Management 서비스)를 사용합니다.

Azure Information Protection으로 마이그레이션하기 전에 권장되는 읽기

필수는 아니지만 마이그레이션을 시작하기 전에 다음 설명서를 읽는 것이 유용할 수 있습니다. 이 지식을 통해 마이그레이션 단계와 관련된 경우 기술이 작동하는 방식을 더 잘 이해할 수 있습니다.

• Azure Information Protection 테넌트 키 계획 및 구현: 클라우드의 SLC 키가 Microsoft(기본값)에서 관리되거나 사용자가 관리하는 Azure Information Protection 테넌트에 대해 보유한 키 관리 옵션("사용자 고유 키 가져오기" 또는 BYOK 구성)을 이해합니다.

• RMS 서비스 검색: RMS 클라이언트 배포 노트의 이 섹션에는 서비스 검색 순서가 레지스트리, SCP(서비스 연결 지점), 클라우드라고 설명되어 있습니다. SCP가 여전히 설치되어 있는 마이그레이션 프로세스 중에 SCP에서 반환된 AD RMS 클러스터를 사용하지 않도록 Azure Information Protection 테넌트에 대한 레지스트리 설정을 사용하여 클라이언트를 구성합니다.

• Microsoft Rights Management 커넥터 개요: RMS 커넥터 설명서의 이 섹션에서는 온-프레미스 서버가 Azure Rights Management 서비스에 연결하여 문서 및 이메일을 보호하는 방법을 설명합니다.

또한 AD RMS의 작동 방식을 잘 모르는 경우 Azure RMS가 어떻게 작동하나요?를 참조하면 클라우드 버전과 동일하거나 다른 기술 프로세스를 식별하는 데 도움이 될 수 있습니다.

AD RMS를 Azure Information Protection으로 마이그레이션하기 위한 필수 구성 요소

Azure Information Protection으로 마이그레이션을 시작하기 전에 다음 필수 구성 요소가 있고 제한 사항을 이해해야 합니다.

• 지원되는 RMS 배포:

  • AD RMS의 다음 릴리스는 Azure Information Protection으로의 마이그레이션을 지원합니다.

    • Windows Server 2012(x64)

    • Windows Server 2012 R2(x64)

    • Windows Server 2016(x64)

  • 유효한 모든 AD RMS 토폴로지가 지원됩니다.

    • 단일 포리스트, 단일 RMS 클러스터

    • 단일 포리스트, 여러 라이선스 전용 RMS 클러스터

    • 여러 포리스트, 여러 RMS 클러스터

    참고 항목

    기본적으로 여러 AD RMS 클러스터는 Azure Information Protection용 단일 테넌트로 마이그레이션됩니다. Azure Information Protection에 대해 별도의 테넌트가 되도록 하려면 다른 마이그레이션으로 처리해야 합니다. 하나의 RMS 클러스터에서 키를 둘 이상의 테넌트로 가져올 수 없습니다.

• Azure Information Protection 구독을 포함하여 Azure Information Protection을 실행하기 위한 모든 요구 사항(Azure Rights Management 서비스가 활성화되지 않음):

  Azure Information Protection에 대한 요구 사항을 참조하세요.

  Azure Information Protection 클라이언트는 분류 및 레이블 지정에 필요하며, 데이터만 보호하려는 경우 선택 사항(권장)입니다.

  자세한 내용은 관리자 가이드의 Azure Information Protection 통합 레이블 지정 클라이언트를 참조하세요.

  AD RMS에서 마이그레이션하기 전에 Azure Information Protection에 대한 구독이 있어야 하지만 마이그레이션을 시작하기 전에 테넌트에 대한 Rights Management 서비스를 활성화하지 않는 것이 좋습니다.

  마이그레이션 프로세스에는 AD RMS에서 키와 템플릿을 내보내고 Azure Information Protection을 위해 테넌트에 가져온 후 이 활성화 단계가 포함됩니다. 그러나 Rights Management 서비스가 이미 활성화된 경우에도 몇 가지 추가 단계를 사용하여 AD RMS에서 마이그레이션할 수 있습니다.

  Office 2010 전용:

  Office 2010을 실행하는 컴퓨터가 있는 경우 Azure Information Protection 클라이언트를 설치하여 클라우드 서비스에 사용자를 인증하는 기능을 제공해야 합니다.

  Important

  Office 2010 확장 지원은 2020년 10월 13일에 종료되었습니다. 자세한 내용은 AIP 및 레거시 Windows 및 Office 버전을 참조하세요.

• Azure Information Protection 준비:

  • 온-프레미스 디렉터리와 Microsoft Entra ID 간의 디렉터리 동기화

  • Microsoft Entra ID의 메일 사용 그룹

    Azure Information Protection에 대한 사용자 및 그룹 준비를 참조하세요.

• Exchange Server(예: 전송 규칙 및 Outlook Web Access) 또는 SharePoint Server 의 IRM(정보 권한 관리) 기능을 AD RMS와 함께 사용한 경우:

  • 이러한 서버에서 IRM을 사용할 수 없는 짧은 시간 계획

    마이그레이션 후 이러한 서버에서 IRM을 계속 사용할 수 있습니다. 그러나 마이그레이션 단계 중 하나는 일시적으로 IRM 서비스를 사용하지 않도록 설정하고, 커넥터를 설치 및 구성하고, 서버를 다시 구성한 다음, IRM을 다시 사용하도록 설정하는 것입니다.

    이는 마이그레이션 프로세스 중 서비스에 대한 유일한 중단입니다.

• HSM 보호 키를 사용하여 사용자 고유의 Azure Information Protection 테넌트 키를 관리하려는 경우:

  • 이 선택적 구성에는 HSM으로 보호되는 키를 사용하여 Key Vault를 지원하는 Azure Key Vault 및 Azure 구독이 필요합니다. 자세한 내용은 Azure Key Vault 가격 책정 페이지를 참조하세요.

암호화 모드 고려 사항

AD RMS 클러스터가 현재 암호화 모드 1에 있는 경우 마이그레이션을 시작하기 전에 클러스터를 암호화 모드 2로 업그레이드하지 마세요. 대신 암호화 모드 1을 사용하여 마이그레이션하고 마이그레이션 후 작업 중 하나로 마이그레이션이 끝날 때 테넌트 키를 다시 입력할 수 있습니다.

Windows Server 2012 R2 및 Windows 2012에 대한 AD RMS 암호화 모드를 확인하려면: AD RMS 클러스터 속성 >일반 탭으로 이동합니다.

마이그레이션 제한 사항

• Azure Information Protection에서 사용하는 Rights Management 서비스에서 지원되지 않는 소프트웨어 및 클라이언트가 있는 경우 Azure Rights Management로 보호되는 콘텐츠를 보호하거나 사용할 수 없습니다. Azure Information Protection 요구 사항 확인하세요.

• AD RMS 배포가 외부 파트너와 공동 작업하도록 구성된 경우(예: 신뢰할 수 있는 사용자 수행기본 또는 페더레이션 사용) 마이그레이션과 동시에 또는 가능한 한 빨리 Azure Information Protection으로 마이그레이션해야 합니다. Azure Information Protection을 사용하여 조직에서 이전에 보호한 콘텐츠에 계속 액세스하려면 사용자가 수행한 내용과 비슷하고 이 문서에 포함된 클라이언트 구성을 변경해야 합니다.

  파트너가 가질 수 있는 구성 변형이 가능하기 때문에 이 재구성에 대한 정확한 지침은 이 문서의 범위를 벗어났습니다. 그러나 계획 지침에 대한 다음 섹션을 참조하고 추가 도움말을 보려면 Microsoft 지원 문의하세요.

외부 파트너와 공동 작업하는 경우 마이그레이션 계획

AD RMS 파트너도 Azure Information Protection으로 마이그레이션해야 하므로 마이그레이션을 위한 계획 단계에 AD RMS 파트너를 포함합니다. 다음 마이그레이션 단계를 수행하려면 다음 단계를 수행해야 합니다.

• Azure Rights Management 서비스를 지원하는 Microsoft Entra 테넌트가 있습니다.

  예를 들어 Office 365 E3 또는 E5 구독, Enterprise Mobility + Security 구독 또는 Azure Information Protection에 대한 독립 실행형 구독이 있습니다.

• Azure Rights Management 서비스는 아직 활성화되지 않았지만 Azure Rights Management 서비스 URL을 알고 있습니다.

  Azure Rights Management 도구를 설치하고 서비스에 연결(Connect-AipService)한 다음 Azure Rights Management 서비스(Get-AipServiceConfiguration)에 대한 테넌트 정보를 보고 이 정보를 가져올 수 있습니다.

• AD RMS 클러스터 및 해당 Azure Rights Management 서비스 URL에 대한 URL을 제공하므로 마이그레이션된 클라이언트가 AD RMS로 보호된 콘텐츠에 대한 요청을 테넌트의 Azure Rights Management 서비스로 리디렉션하도록 구성할 수 있습니다. 클라이언트 리디렉션을 구성하는 지침은 7단계에 있습니다.

• 사용자 마이그레이션을 시작하기 전에 해당 AD RMS SLC(클러스터 루트 키)를 테넌트에 가져옵니다. 마찬가지로 사용자 마이그레이션을 시작하기 전에 AD RMS 클러스터 루트 키를 가져와야 합니다. 키를 가져오기 위한 지침은 이 마이그레이션 프로세스, 4단계. AD RMS에서 구성 데이터를 내보낸 후 Azure Information Protection으로 가져오기에서 다룹니다.

AD RMS를 Azure Information Protection으로 마이그레이션하는 단계 개요

마이그레이션 단계는 서로 다른 시간에, 그리고 다른 관리자가 수행할 수 있는 5단계로 나눌 수 있습니다.

1단계: 마이그레이션 준비

자세한 내용은 1단계: 마이그레이션 준비를 참조하세요.

1단계: AIPService PowerShell 모듈 설치 및 테넌트 URL 식별

마이그레이션 프로세스를 수행하려면 AIPService 모듈에서 하나 이상의 PowerShell cmdlet을 실행해야 합니다. 많은 마이그레이션 단계를 완료하려면 테넌트의 Azure Rights Management 서비스 URL을 알고 있어야 하며 PowerShell을 사용하여 이 값을 ID로 지정할 수 있습니다.

2단계. 클라이언트 마이그레이션 준비

모든 클라이언트를 한 번에 마이그레이션할 수 없고 일괄 처리로 마이그레이션하는 경우 온보딩 컨트롤을 사용하고 마이그레이션 전 스크립트를 배포합니다. 그러나 단계적 마이그레이션을 수행하지 않고 동시에 모든 항목을 마이그레이션하는 경우 이 단계를 건너뛸 수 있습니다.

3단계: 마이그레이션을 위한 Exchange 배포 준비

현재 Exchange Online 또는 Exchange 온-프레미스의 IRM 기능을 사용하여 전자 메일을 보호하는 경우 이 단계가 필요합니다. 그러나 단계적 마이그레이션을 수행하지 않고 동시에 모든 항목을 마이그레이션하는 경우 이 단계를 건너뛸 수 있습니다.

2단계: AD RMS에 대한 서버 쪽 구성

자세한 내용은 2단계: AD RMS에 대한 서버 쪽 구성을 참조하세요.

4단계. AD RMS에서 구성 데이터를 내보내고 Azure Information Protection으로 가져오기

AD RMS에서 XML 파일로 구성 데이터(키, 템플릿, URL)를 내보낸 다음, Import-AipServiceTpd PowerShell cmdlet을 사용하여 이 파일을 Azure Information Protection에서 Azure Rights Management 서비스에 업로드합니다. 그런 다음 Azure Rights Management 서비스의 테넌트 키로 사용할 가져온 SLC(서버 라이선스 인증서) 키를 식별합니다. AD RMS 키 구성에 따라 추가 단계가 필요할 수 있습니다.

• 소프트웨어 보호 키 마이그레이션에 대한 소프트웨어 보호 키:

  AD RMS의 중앙에서 관리되는 암호 기반 키를 Microsoft 관리형 Azure Information Protection 테넌트 키로 연결합니다. 이는 가장 간단한 마이그레이션 경로이며 추가 단계가 필요하지 않습니다.

• HSM 보호 키-HSM 보호 키 마이그레이션:

  AD RMS용 HSM에서 고객 관리형 Azure Information Protection 테넌트 키("사용자 고유 키 가져오기" 또는 BYOK 시나리오)에 저장되는 키입니다. 이렇게 하려면 온-프레미스 nCipher HSM에서 Azure Key Vault로 키를 전송하고 Azure Rights Management 서비스에서 이 키를 사용할 수 있도록 권한을 부여하는 추가 단계가 필요합니다. 기존 HSM 보호 키는 모듈로 보호되어야 합니다. OCS로 보호되는 키는 Rights Management 서비스에서 지원되지 않습니다.

• HSM 보호 키 마이그레이션에 대한 소프트웨어 보호 키:

  AD RMS의 중앙에서 관리되는 암호 기반 키를 고객 관리형 Azure Information Protection 테넌트 키("사용자 고유 키 가져오기" 또는 BYOK 시나리오)에 연결합니다. 이렇게 하려면 먼저 소프트웨어 키를 추출하고 온-프레미스 HSM으로 가져온 다음, 온-프레미스 nCipher HSM에서 Azure Key Vault HSM으로 키를 전송하고 키를 저장하는 키 자격 증명 모음을 사용할 수 있도록 Azure Rights Management 서비스에 권한을 부여하는 추가 단계를 수행해야 하므로 대부분의 구성이 필요합니다.

5단계 Azure Rights Management 서비스 활성화

가능하면 가져오기 프로세스가 아닌 이전 이후에 이 단계를 수행합니다. 가져오기 전에 서비스가 활성화된 경우 추가 단계가 필요합니다.

6단계 가져온 템플릿 구성

권한 정책 템플릿을 가져올 때 해당 상태 보관됩니다. 사용자가 보고 사용할 수 있도록 하려면 Azure 클래식 포털에 게시할 템플릿 상태 변경해야 합니다.

3단계: 클라이언트 쪽 구성

자세한 내용은 3단계: 클라이언트 쪽 구성을 참조하세요.

7단계: Azure Information Protection을 사용하도록 Windows 컴퓨터 다시 구성

기존 Windows 컴퓨터는 AD RMS 대신 Azure Rights Management 서비스를 사용하도록 다시 구성해야 합니다. 이 단계는 AD RMS를 실행하는 동안 조직 내 컴퓨터 및 파트너 조직의 컴퓨터에 적용됩니다.

4단계: 서비스 구성 지원

자세한 내용은 4단계: 서비스 구성 지원을 참조하세요.

8단계: Exchange Online에 대한 IRM 통합 구성

이 단계에서는 이제 Azure Rights Management 서비스를 사용하도록 Exchange Online에 대한 AD RMS 마이그레이션을 완료합니다.

9단계: Exchange Server 및 SharePoint Server에 대한 IRM 통합 구성

이 단계에서는 Exchange 또는 SharePoint 온-프레미스에 대한 AD RMS 마이그레이션을 완료하여 이제 Rights Management 커넥터를 배포해야 하는 Azure Rights Management 서비스를 사용합니다.

5단계: 마이그레이션 후 작업

자세한 내용은 5단계: 마이그레이션 후 작업을 참조하세요.

10단계: AD RMS 프로비전 해제

모든 Windows 컴퓨터가 Azure Rights Management 서비스를 사용하고 있으며 더 이상 AD RMS 서버에 액세스하지 않는 것을 확인한 경우 AD RMS 배포를 프로비전 해제할 수 있습니다.

11단계: 클라이언트 마이그레이션 작업 완료

iOS 휴대폰 및 iPad, Android 휴대폰 및 태블릿, Windows 휴대폰 및 태블릿 및 Mac 컴퓨터와 같은 모바일 디바이스를 지원하기 위해 모바일 디바이스 확장을 배포한 경우 AD RMS를 사용하도록 이러한 클라이언트를 리디렉션한 DNS에서 SRV 레코드를 제거해야 합니다.

준비 단계에서 구성한 온보딩 컨트롤은 더 이상 필요하지 않습니다. 그러나 단계적 마이그레이션을 수행하지 않고 동시에 모든 항목을 마이그레이션하도록 선택했기 때문에 온보딩 컨트롤을 사용하지 않은 경우 온보딩 컨트롤을 제거하는 지침을 건너뛸 수 있습니다.

Windows 컴퓨터에서 Office 2010을 실행하는 경우 AD RMS 권한 정책 템플릿 관리(자동화) 작업을 사용하지 않도록 설정해야 하는지 여부를 검사.

Important

Office 2010 확장 지원은 2020년 10월 13일에 종료되었습니다. 자세한 내용은 AIP 및 레거시 Windows 및 Office 버전을 참조하세요.

12단계: Azure Information Protection 테넌트 키 다시 생성

마이그레이션 전에 암호화 모드 2에서 실행하지 않은 경우 이 단계를 사용하는 것이 좋습니다.

다음 단계

마이그레이션을 시작하려면 1단계- 준비 단계로 이동합니다.