Faza 1 migracji — przygotowanie

Dotyczy: Usługi Active Directory Rights Management, Azure Information Protection, Office 365

Istotne dla programu : Ujednolicony klient etykietowania usługi AIP i klient klasyczny

Uwaga

Aby zapewnić ujednolicone i usprawnione środowisko klienta, Azure Information Protection klasyczny klient i zarządzanie etykietami w witrynie Azure Portal są przestarzałe od 31 marca 2021. Mimo że klasyczny klient nadal działa zgodnie z konfiguracją, nie podano dalszej pomocy technicznej i wersje konserwacji nie będą już udostępniane dla klasycznego klienta.

Zalecamy przeprowadzenie migracji do ujednoliconej etykietowania i uaktualnienia do ujednoliconego klienta etykietowania. Więcej informacji znajdziesz w naszym blogu dotyczącym wycofania.

Skorzystaj z poniższych informacji dotyczących fazy 1 migrowania z usługi AD RMS do usługi Azure Information Protection. Te procedury obejmują kroki od 1 do 3 z sekcji Migrowanie z usługi AD RMS do usługi Azure Information Protection i przygotowują środowisko do migracji, nie wpływając na użytkowników.

Krok 1. Instalowanie modułu AIPService programu PowerShell i identyfikowanie adresu URL dzierżawy

Zainstaluj moduł AIPService, aby umożliwić skonfigurowanie usługi, która zapewnia ochronę danych, oraz zarządzanie Azure Information Protection.

Aby uzyskać instrukcje, zobacz Instalowanie modułu AIPService programu PowerShell.

Aby wykonać niektóre instrukcje dotyczące migracji, musisz znać adres URL usługi Azure Rights Management Service dla dzierżawy, aby można go było zastąpić, gdy zobaczysz odwołania do <Your Tenant URL> .

Adres URL usługi Azure Rights Management ma następujący format: {identyfikator GUID}.rms.[Region].aadrm.com. Na przykład: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

Aby ustalić swój adres URL usługi Azure Rights Management

  1. Połącz się z usługą Azure Rights Management i po wyświetleniu monitu podaj poświadczenia administratora globalnego swojej dzierżawy:

    Connect-AipService
    
  2. Pobierz konfigurację dzierżawy:

    Get-AipServiceConfiguration
    
  3. Skopiuj wartość wyświetlaną dla elementu LicensingIntranetDistributionPointUrl i usuń z tego ciągu fragment /_wmcs\licensing.

    To, co pozostanie, to adres URL usługi Azure Rights Management dla twojej Azure Information Protection dzierżawy. Ta wartość jest często skracana do adresu URL Dzierżawy w poniższych instrukcjach migracji.

    Możesz sprawdzić, czy masz poprawną wartość, uruchamiając następujące polecenie programu PowerShell:

    (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
    

Krok 2. Przygotowanie do migracji klientów

W przypadku większości migracji niepraktyczne jest migrowanie wszystkich klientów naraz, więc prawdopodobnie będziesz wykonywać migrację klientów partiami.

Oznacza to, że przez pewien czas niektórzy klienci będą korzystali z usługi Azure Information Protection, podczas gdy inni będą nadal korzystać z usług AD RMS. W celu obsługi użytkowników jeszcze nie poddanych migracji i już zmigrowanych użyj kontrolek dołączania i wdróż skrypt przed migracją.

Uwaga

Ten krok jest wymagany podczas procesu migracji, aby użytkownicy, których migracji jeszcze nie dokonano, mogli korzystać z zawartości chronionej przez zmigrowanych użytkowników, którzy teraz używają usługi Azure Rights Management.

Aby przygotować się do migracji klientów

  1. Utwórz grupę, na przykład o nazwie AIPMigrated. Tę grupę można utworzyć w usłudze Active Directory i zsynchronizować z chmurą albo utworzyć w usłudze Microsoft 365 lub Azure Active Directory.

    Na razie nie przypisuj żadnych użytkowników do tej grupy. Na późniejszym etapie, kiedy użytkownicy będą migrowani, dodasz ich do tej grupy.

  2. Zanotuj identyfikator obiektu tej grupy przy użyciu jednej z następujących metod:

    • Użyj programu Azure AD PowerShell. Na przykład w wersji 1.0 modułu użyj polecenia Get-MsolGroup.
    • Skopiuj identyfikator obiektu grupy z Azure Portal.
  3. Skonfiguruj tę grupę dla kontrolek dołączania, aby zezwolić tylko użytkownikom w tej grupie na używanie usługi Azure Rights Management do ochrony zawartości.

    W tym celu w sesji programu PowerShell połącz się z usługą Azure Rights Management Service. Po wyświetleniu monitu podaj poświadczenia administratora globalnego:

    Connect-AipService
    

    Skonfiguruj tę grupę dla kontrolek dołączania, zastępując identyfikator obiektu grupy identyfikatorem w tym przykładzie. Po wyświetleniu monitu wprowadź Y, aby potwierdzić.

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
    
  4. Pobierz Migration-Scripts.zip plik.

  5. Wyodrębnij pliki i postępuj zgodnie z instrukcjami w pliku Prepare-Client.cmd, aby zawierał nazwę serwera dla adresu URL licencjonowania ekstranetu AD RMS klastra. Aby zlokalizować tę nazwę, wykonaj następujące czynności:

    1. W Usługi Active Directory Rights Management kliknij nazwę klastra.

    2. Z informacji Szczegóły klastra skopiuj nazwę serwera z wartości Licencjonowanie w sekcji ekstranetowych adresów URL klastra. Na przykład: rmscluster.contoso.com.

    Ważne

    Instrukcje zawierają opis zastępowania przykładowych adresów adrms.contoso.com adresami Twoich serwerów usługi AD RMS.

    W takim przypadku należy uważać, aby nie było żadnych dodatkowych spacji przed adresami ani po nich. Dodatkowe spacje powodują uszkodzenie skryptu migracji i jest bardzo trudne do zidentyfikowania jako główna przyczyna problemu.

    Niektóre narzędzia do edycji automatycznie dodają spację po wklejeniu tekstu.

  6. Wdróż ten skrypt na wszystkich komputerach z systemem Windows, aby zapewnić, że podczas migracji klienci, którzy nie zostali jeszcze poddani migracji, będą nadal komunikować się z usługami AD RMS nawet w przypadku, gdy korzystają z zawartości chronionej przez zmigrowanych klientów, którzy teraz używają usługi Azure Rights Management.

    W celu wdrożenia tego skryptu można użyć zasad grupy lub innego mechanizmu wdrażania oprogramowania.

Krok 3. Przygotowanie wdrożenia programu Exchange na potrzeby migracji

Jeśli używasz lokalnej instalacji programu Exchange lub usługi Exchange Online, mogły one zostać wcześniej zintegrowane z Twoim wdrożeniem usług AD RMS. W tym kroku skonfigurujesz je, aby użyć istniejącej konfiguracji usług AD RMS do obsługi zawartości chronionej przez usługę Azure RMS.

Upewnij się, że masz adres URL usługi Azure Rights Management dla swojej dzierżawy, aby móc zastąpić tą wartością element <YourTenantURL> w poniższych poleceniach.

Wykonaj jedną z następujących czynności w zależności od tego, czy Exchange lokalnie, czy Exchange Online z AD RMS:

Jeśli zintegrowano usługę Exchange Online z AD RMS

  1. Otwórz sesję Exchange Online programu PowerShell.

  2. Uruchom następujące polecenia programu PowerShell jeden po drugiej lub w skrypcie:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -internallicensingenabled $true 
    

Jeśli zintegrowano lokalne Exchange z programem AD RMS

Dla każdej Exchange dodaj wartości rejestru na każdym serwerze Exchange, a następnie uruchom polecenia programu PowerShell:

  1. Jeśli masz już Exchange 2013 lub Exchange 2016, dodaj następującą wartość rejestru:

    • Ścieżka rejestru:HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Typ: Reg_SZ

    • Wartość: https://\<Your Tenant URL\>/_wmcs/licensing

    • Dane:https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

  2. Uruchom następujące polecenia programu PowerShell , jeden po drugiej lub w skrypcie:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -RefreshServerCertificates
    Set-IRMConfiguration -internallicensingenabled $true
    IISReset
    

Po uruchomieniu tych poleceń dla usługi Exchange Online lub lokalnego programu Exchange wdrożenie programu Exchange skonfigurowane do obsługi zawartości chronionej przez usługi AD RMS będzie również obsługiwać zawartość chronioną przez usługę Azure RMS po migracji.

Dopóki nie zostanie wykonany późniejszy krok w procesie migracji, wdrożenie programu Exchange będzie nadal używać usług AD RMS do obsługi chronionej zawartości.

Następne kroki

Przejdź do fazy 2 — konfiguracji po stronie serwera.