Migratiestap 5: taken na migratie

Van toepassing op: Active Directory Rights Management Services, Azure Information Protection, Office 365

Relevant voor: Client voor eenduidige AIP-labels en klassieke client

Notitie

Om een geïntegreerde en gestroomlijnde klant ervaring te bieden, zijn de Azure Information Protection klassieke client en Label beheer in azure Portal verouderd vanaf 31 maart 2021. Terwijl de klassieke client blijft werken zoals geconfigureerd, wordt er geen verdere ondersteuning geboden en worden er geen onderhouds versies meer vrijgegeven voor de klassieke client.

We raden u aan om te migreren naar Unified labels en een upgrade uit te voeren naar de Unified labeling-client. Meer informatie vindt u in onze recente blog voor afschaffing.

Gebruik de volgende informatie voor fase 5 van de migratie van AD RMS naar Azure Information Protection. Deze procedures beslaan stap 10 t/m 12 van Migreren van AD RMS naar Azure Information Protection.

Stap 10. Deprovision AD RMS

Verwijder het SCP (Service Connection Point) uit Active Directory om te voorkomen dat computers uw lokale Rights Management-infrastructuur detecteren. Dit is optioneel voor de bestaande clients die u hebt gemigreerd vanwege de omleiding die u in het register hebt geconfigureerd (bijvoorbeeld door het migratiescript uit te voeren). Als u het SCP verwijdert, kunnen nieuwe clients en mogelijk AAN RMS gerelateerde services en hulpprogramma's de SCP echter niet vinden wanneer de migratie is voltooid. Op dit moment moeten alle computerverbindingen naar de Azure Rights Management service gaan.

Als u het SCP wilt verwijderen, moet u ervoor zorgen dat u ben aangemeld als een domeinadministrator van het bedrijf. Vervolgens gebruikt u de volgende procedure:

  1. Klik in de Active Directory Rights Management Services-console met de rechtermuisknop op het AD RMS-cluster en klik vervolgens op Eigenschappen.

  2. Klik op het tabblad SCP.

  3. Selecteer het selectievakje SCP wijzigen.

  4. Selecteer Huidig SCP verwijderen en klik vervolgens op OK.

Controleer nu uw AD RMS servers op activiteit. Controleer bijvoorbeeld de aanvragen in het rapport Systeemtoestand,de tabel ServiceRequest of controleer de gebruikerstoegang tot beveiligde inhoud.

Nadat u hebt bevestigd dat er geen RMS-clients meer communiceren met deze servers en de clients Azure Information Protection zonder fouten gebruiken, kunt u de AD RMS-serverrol van deze servers verwijderen. Als u toegewezen servers gebruikt, kunt u de voorkeur geven aan de voorzichtige stap van het eerst afsluiten van de servers voor een bepaalde periode. Dit geeft u de tijd om ervoor te zorgen dat er geen gemelde problemen zijn waarvoor u deze servers opnieuw moet opstarten voor servicecontinuïteit terwijl u onderzoekt waarom clients geen gebruik maken van Azure Information Protection.

Nadat u de inrichting van uw AD RMS-servers hebt verwijderd, kunt u de sjabloon en labels bekijken. U kunt bijvoorbeeld sjablonen converteren naar labels, deze consolideren zodat gebruikers minder keuze hebben of ze opnieuw configureren. Dit is ook een goed moment om standaardsjablonen te publiceren.

Gebruik de Microsoft 365-compliancecentrum voor gevoeligheidslabels en de client voor Microsoft 365-compliancecentrum. Zie de documentatie Microsoft 365 meer informatie.

Als u de klassieke client gebruikt, gebruikt u de Azure Portal. Zie Sjablonen configureren en beheren voormeer informatie Azure Information Protection .

Belangrijk

Aan het einde van deze migratie kan AD RMS cluster niet worden gebruikt met Azure Information Protection en de optie Hold Your Own Key(HYOK).

Als u de klassieke client met HYOK gebruikt vanwege de omleidingen die nu zijn gemaakt, moet het AD RMS-cluster dat u gebruikt verschillende licentie-URL's hebben voor de url's in de clusters die u hebt gemigreerd.

Aanvullende configuratie voor computers met Office 2010

Belangrijk

Office uitgebreide ondersteuning van 2010 is beëindigd op 13 oktober 2020. Zie voor meer informatie AIP en verouderde Windows en Office versies.

Als gemigreerde clients Office 2010 worden uitgevoerd, kunnen gebruikers vertragingen ervaren bij het openen van beveiligde inhoud nadat onze AD RMS-servers zijn verwijderd. Of gebruikers zien mogelijk berichten dat ze geen referenties hebben om beveiligde inhoud te openen. U kunt deze problemen oplossen door een netwerkomleiding te maken voor deze computers, waarmee de FQDN van de AD RMS-URL wordt omgeleid naar het lokale IP-adres van de computer (127.0.0.1). U kunt dit doen door het lokale hosts-bestand op elke computer te configureren of door DNS te gebruiken.

  • Omleiding via het lokale hosts-bestand: voeg de volgende regel toe aan het lokale hosts-bestand en vervang door de waarde voor uw AD RMS-cluster, zonder voorvoegsels of <AD RMS URL FQDN> webpagina's:

    127.0.0.1 <AD RMS URL FQDN>
    
  • Omleiding via DNS: maak een nieuwe hostrecord (A) voor uw AD RMS URL FQDN met het IP-adres 127.0.0.1.

Stap 11. Clientmigratietaken voltooien

Voor clients van mobiele apparaten en Mac-computers: verwijder de DNS SRV-records die u hebt gemaakt toen u de extensie voor mobiele apparaten AD RMS geïmplementeerd.

Wanneer deze DNS-wijzigingen zijn doorgegeven, zullen deze clients automatisch de service Azure Rights Management gaan gebruiken. Mac-computers waarop een Mac Office worden uitgevoerd, cachen echter de gegevens van AD RMS. Voor deze computers kan dit proces tot 30 dagen duren.

Als u wilt dat Mac-computers het detectieproces onmiddellijk uitvoeren, zoekt u in de sleutelhanger naar 'adal' en verwijdert u alle ADAL-vermeldingen. Voer vervolgens de volgende opdrachten uit op deze computers:


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

Wanneer al uw bestaande Windows-computers zijn gemigreerd naar Azure Information Protection, is er geen reden om onboarding-besturingselementen te blijven gebruiken en de AIPMigrated-groep te onderhouden die u voor het migratieproces hebt gemaakt.

Verwijder eerst de besturingselementen voor onboarding. Vervolgens kunt u de AIPMigrated-groep en elke software-implementatiemethode verwijderen die u hebt gemaakt om de migratiescripts te implementeren.

De voorbereidingsopties verwijderen:

  1. Maak in een PowerShell-sessie verbinding met de Azure Rights Management-service en geef desgevraagd de referenties van de globale beheerder op:

    Connect-AipService
    
    
  2. Run the following command, and enter Y to confirm:

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
    

    Houd er rekening mee dat met deze opdracht het afdwingen van licenties voor de Azure Rights Management-beveiligingsservice wordt verwijderd, zodat alle computers documenten en e-mailberichten kunnen beveiligen.

  3. Controleer of er geen voorbereidingsopties meer zijn ingesteld:

    Get-AipServiceOnboardingControlPolicy
    

    In de uitvoer moet bij Licentie****Onwaar worden aangegeven. Bovendien wordt er geen GUID weergegeven voor de SecurityGroupOjbectId

Als u ten slotte Office 2010 gebruikt en u de taak AD RMS Rights Policy Template Management (geautomatiseerd) hebt ingeschakeld in de Windows Task Scheduler-bibliotheek, schakelt u deze taak uit omdat deze niet wordt gebruikt door de Azure Information Protection-client.

Deze taak wordt doorgaans ingeschakeld met behulp van groepsbeleid en ondersteunt een AD RMS implementatie. U vindt deze taak op de volgende locatie: Microsoft > Windows > Active Directory Rights Management Services Client.

Belangrijk

Office uitgebreide ondersteuning van 2010 is beëindigd op 13 oktober 2020. Zie voor meer informatie AIP en verouderde Windows en Office versies.

Stap 12. Uw tenantsleutel Azure Information Protection opnieuw versleutelen

Deze stap is vereist wanneer de migratie is voltooid als uw AD RMS-implementatie rms cryptografische modus 1 gebruikte, omdat deze modus gebruikmaakt van een 1024-bits sleutel en SHA-1. Deze configuratie wordt beschouwd als onvoldoende beschermingsniveau. Microsoft onderschrijft het gebruik van lagere sleutellengten, zoals 1024-bits RSA-sleutels en het bijbehorende gebruik van protocollen die onvoldoende beschermingsniveaus bieden, zoals SHA-1.

Opnieuw versleutelen resulteert in beveiliging die gebruikmaakt van de cryptografische modus 2 van RMS, wat resulteert in een 2048-bits sleutel en SHA-256.

Zelfs als uw AD RMS-implementatie gebruik maakte van cryptografische modus 2, raden we u nog steeds aan deze stap uit te schakelen, omdat een nieuwe sleutel helpt uw tenant te beschermen tegen mogelijke beveiligingsschending van uw AD RMS sleutel.

Wanneer u uw Azure Information Protection-tenantsleutel opnieuw intoetst (ook wel bekend als 'uw sleutel rollen'), wordt de momenteel actieve sleutel gearchiveerd en begint Azure Information Protection een andere sleutel te gebruiken die u opgeeft. Deze andere sleutel kan een nieuwe sleutel zijn die u in Azure Key Vault of de standaardsleutel die automatisch is gemaakt voor uw tenant.

Het verplaatsen van de ene sleutel naar de andere gebeurt niet onmiddellijk, maar over een paar weken. Omdat dit niet onmiddellijk gebeurt, moet u niet wachten totdat u een inbreuk op de oorspronkelijke sleutel vermoedt, maar deze stap moet worden voltooid zodra de migratie is voltooid.

Uw Azure Information Protection-tenantsleutel opnieuw instellen:

  • Als uw tenantsleutel wordt beheerd door Microsoft: voer de PowerShell-cmdlet Set-AipServiceKeyProperties uit en geef de sleutel-id op voor de sleutel die automatisch is gemaakt voor uw tenant. U kunt de op te geven waarde identificeren door de cmdlet Get-AipServiceKeys uit te uitvoeren. De sleutel die automatisch is gemaakt voor uw tenant heeft de oudste aanmaakdatum, zodat u deze kunt identificeren met behulp van de volgende opdracht:

    (Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
    
  • Als uw tenantsleutel wordt beheerd door u (BYOK): herhaal in Azure Key Vault het proces voor het maken van de sleutel voor uw Azure Information Protection-tenant en voer vervolgens de cmdlet Use-AipServiceKeyVaultKey opnieuw uit om de URI voor deze nieuwe sleutel op te geven.

Zie Bewerkingen voor uw Azure Information Protection tenantsleutel voor meer informatie over het beheren van Azure Information Protection tenantsleutel.

Volgende stappen

Nu u de migratie hebt voltooid, bekijkt u het AIP-implementatieschema voor classificatie, labels en beveiliging om andere implementatietaken te identificeren die u mogelijk moet uitvoeren.