Migratiefase 1 - voorbereiding

Van toepassing op : Active Directory Rights Management Services, Azure Information Protection, Office 365

Relevant voor: Client voor eenduidige AIP-labels en klassieke client

Notitie

Om een geïntegreerde en gestroomlijnde klant ervaring te bieden, zijn de Azure Information Protection klassieke client en Label beheer in azure Portal verouderd vanaf 31 maart 2021. Terwijl de klassieke client blijft werken zoals geconfigureerd, wordt er geen verdere ondersteuning geboden en worden er geen onderhouds versies meer vrijgegeven voor de klassieke client.

We raden u aan om te migreren naar Unified labels en een upgrade uit te voeren naar de Unified labeling-client. Meer informatie vindt u in onze recente blog voor afschaffing.

Gebruik de volgende informatie voor fase 1 van de migratie van AD RMS naar Azure Information Protection. Deze procedures hebben betrekking op stap 1 t/m 3 van Migreren van AD RMS naar Azure Information Protection en bereiden uw omgeving voor op migratie zonder enige gevolgen voor uw gebruikers.

Stap 1: de PowerShell-module AIPService installeren en de URL van uw tenant identificeren

Installeer de AIPService-module zodat u de service kunt configureren en beheren die de gegevensbeveiliging voor uw Azure Information Protection.

Zie Installing the AIPService PowerShell module (De AIPService PowerShell-module installeren) voor instructies.

Als u enkele van de migratie-instructies wilt voltooien, moet u de URL van de Azure Rights Management-service voor uw tenant kennen, zodat u deze kunt vervangen door wanneer u verwijzingen naar <Your Tenant URL> ziet.

De URL van uw Azure Rights Management-service heeft de volgende indeling: {GUID}.rms.[regio].aadrm.com. Bijvoorbeeld: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

De URL van uw Azure Rights Management-service identificeren

  1. Maak verbinding met de Azure Rights Management-service en voer desgevraagd de referenties voor de globale beheerder van uw tenant in:

    Connect-AipService
    
  2. Haal de configuratie van uw tenant op:

    Get-AipServiceConfiguration
    
  3. Kopieer de waarde die wordt weergegeven voor LicensingIntranetDistributionPointUrl en verwijder /_wmcs\licensing vanuit deze tekenreeks.

    Wat overblijft, is Azure Rights Management service-URL voor uw Azure Information Protection tenant. Deze waarde wordt vaak ingekort tot uw tenant-URL in de volgende migratie-instructies.

    U kunt controleren of u de juiste waarde hebt door de volgende PowerShell-opdracht uit te voeren:

    (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
    

Stap 2. Clientmigratie voorbereiden

Voor de meeste migraties is het niet praktisch alle clients tegelijk te migreren. Daarom kunt u dat ook in batches doen.

Dit betekent dat gedurende een bepaalde tijd sommige clients gebruikmaken van Azure Information Protection en andere nog steeds AD RMS gebruiken. Gebruik ter ondersteuning van vooraf gemigreerde en gemigreerde gebruikers voorbereidingsopties en implementeer een pre-migratiescript.

Notitie

Deze stap is vereist tijdens het migratieproces zodat gebruikers die nog niet zijn gemigreerd, inhoud kunnen gebruiken die beveiligd is door gemigreerde gebruikers die nu Azure Rights Management gebruiken.

Voorbereiden op clientmigratie

  1. Maak een groep, bijvoorbeeld met de naam AIPMigrated. Deze groep kan worden gemaakt in Active Directory en gesynchroniseerd met de cloud, of in een Microsoft 365 of Azure Active Directory.

    Wijs op dit moment nog geen gebruikers aan deze groep toe. In een latere stap, wanneer gebruikers worden gemigreerd, gaat u ze aan de groep toevoegen.

  2. Noteer de object-id van deze groep met behulp van een van de volgende methoden:

    • Gebruik Azure AD PowerShell. Gebruik bijvoorbeeld voor versie 1.0 van de module de opdracht Get-MsolGroup.
    • Kopieer de object-id van de groep uit de Azure Portal.
  3. Configureer deze groep voor voorbereidingsopties zodat alleen personen in deze groep Azure Rights Management kunnen gebruiken om inhoud te beveiligen.

    Maak hiervoor in een PowerShell-sessie verbinding met de Azure Rights Management service. Geef des gevraagd uw globale beheerdersreferenties op:

    Connect-AipService
    

    Configureer deze groep voor onboarding-besturingselementen, door uw groepsobject-id te vervangen door de id in dit voorbeeld. Wanneer u hier om wordt gevraagd, voert u Y in om te bevestigen.

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
    
  4. Download hetMigration-Scripts.zipbestand.

  5. Extraheren van de bestanden en volg de instructies in Prepare-Client.cmd, zodat deze de servernaam voor uw AD RMS extranet licentie-URL van het cluster bevat. Ga als volgt te werk om deze naam te vinden:

    1. Klik in Active Directory Rights Management Services console op de clusternaam.

    2. Uit de informatie bij Clusterdetails kopieert u de servernaam in de waarde Licenties uit de sectie met de cluster-URL van het extranet. Bijvoorbeeld: rmscluster.contoso.com.

    Belangrijk

    In de instructies vindt u een voorbeeld van hoe u de voorbeeldadressen van adrms.contoso.com kunt vervangen door de adressen van uw eigen AD RMS-servers.

    Wanneer u dit doet, moet u ervoor zorgen dat er geen extra spaties vóór of na uw adressen zijn. Extra spaties zullen het migratiescript breken en zijn zeer moeilijk te identificeren als de hoofdoorzaak van het probleem.

    In sommige bewerkingsprogramma's wordt na het plakken van tekst automatisch een spatie toegevoegd.

  6. Implementeer dit script op alle Windows-computers om ervoor te zorgen dat wanneer u clients gaat migreren, de nog te migreren clients blijven communiceren met AD RMS, zelfs als ze gebruikmaken van inhoud die is beveiligd door gemigreerde clients die nu van de Azure Rights Management-service gebruikmaken.

    U kunt Groepsbeleid of een ander mechanisme voor software-implementatie gebruiken om dit script te implementeren.

Stap 3. Uw Exchange-implementatie voorbereiden voor migratie

Als u Exchange on-premises of Exchange online gebruikt, hebt u Exchange mogelijk eerder geïntegreerd met uw AD RMS-implementatie. In deze stap configureert u ze voor gebruik van de bestaande AD RMS-configuratie ter ondersteuning van inhoud die door Azure RMS is beveiligd.

Zorg ervoor dat u de URL van de Azure Rights Management-service voor uw tenant hebt zodat u deze waarde kunt gebruiken in plaats van <YourTenantURL> in de volgende opdrachten.

Doe het volgende, afhankelijk van of u on-premises geïntegreerde Exchange of Exchange Online met AD RMS:

Als u geïntegreerde Exchange Online met AD RMS

  1. Open een Exchange Online PowerShell-sessie.

  2. Voer de volgende PowerShell-opdrachten één voor één of in een script uit:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -internallicensingenabled $true 
    

Als u on-premises Exchange hebt geïntegreerd met AD RMS

Voeg voor Exchange organisatie registerwaarden toe op elke Exchange server en voer vervolgens PowerShell-opdrachten uit:

  1. Als u een Exchange 2013 of Exchange 2016 hebt, voegt u de volgende registerwaarde toe:

    • Registerpad:HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Typ: Reg_SZ

    • Waarde: https://\<Your Tenant URL\>/_wmcs/licensing

    • Gegevens:https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

  2. Voer de volgende PowerShell-opdrachten één voor één of in een script uit:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -RefreshServerCertificates
    Set-IRMConfiguration -internallicensingenabled $true
    IISReset
    

Als na het uitvoeren van deze opdrachten voor Exchange Online of Exchange on-premises uw Exchange-servers zijn geconfigureerd ter ondersteuning van inhoud die is beveiligd door AD RMS, ondersteunen ze ook na de migratie inhoud die door Azure RMS is beveiligd.

Uw Exchange-implementatie blijft AD RMS gebruiken ter ondersteuning van beveiligde inhoud tot aan een latere stap in de migratie.

Volgende stappen

Ga naar fase 2 - configuratie aan serverzijde.