Faza 5 migracji — zadania po migracji

Dotyczy: Usługi Active Directory Rights Management, Azure Information Protection, Office 365

Istotne dla programu : Ujednolicony klient etykietowania usługi AIP i klient klasyczny

Uwaga

Aby zapewnić ujednolicone i usprawnione środowisko klienta, Azure Information Protection klasyczny klient i zarządzanie etykietami w witrynie Azure Portal są przestarzałe od 31 marca 2021. Mimo że klasyczny klient nadal działa zgodnie z konfiguracją, nie podano dalszej pomocy technicznej i wersje konserwacji nie będą już udostępniane dla klasycznego klienta.

Zalecamy przeprowadzenie migracji do ujednoliconej etykietowania i uaktualnienia do ujednoliconego klienta etykietowania. Więcej informacji znajdziesz w naszym blogu dotyczącym wycofania.

Skorzystaj z poniższych informacji dotyczących fazy 5 migrowania z usługi AD RMS do usługi Azure Information Protection. Te procedury obejmują kroki od 10 do 12 z sekcji Migrowanie z usługi AD RMS do usługi Azure Information Protection.

Krok 10. Coprowizuj AD RMS

Należy usunąć punkt połączenia usługi (SCP) z usługi Active Directory, aby uniemożliwić komputerom odnajdywanie infrastruktury lokalnej usługi Rights Management. Ten krok jest opcjonalny w przypadku migrowanych istniejących klientów z powodu przekierowania skonfigurowanego w rejestrze (np. przez uruchomienie skryptu migracji). Jednak usunięcie SCP uniemożliwia nowym klientom i potencjalnie usługom i narzędziom powiązanym z usługami RMS znajdowanie połączenia usługi po zakończeniu migracji. W tym momencie wszystkie połączenia komputerów powinny przejść do usługi Azure Rights Management Service.

Aby usunąć punkt połączenia usługi, trzeba być zalogowanym jako administrator domeny przedsiębiorstwa, a następnie użyć poniższej procedury:

  1. W konsoli Usług zarządzania prawami dostępu w usłudze Active Directory kliknij prawym przyciskiem myszy klaster AD RMS, a następnie kliknij pozycję Właściwości.

  2. Kliknij kartę Punkt połączenia usługi.

  3. Zaznacz pole wyboru Zmień punkt połączenia usługi.

  4. Wybierz pozycję Usuń bieżący punkt połączenia usługi, a następnie kliknij przycisk OK.

Teraz monitoruj AD RMS aktywności. Na przykład sprawdź żądania w raporcie kondycjisystemu , tabeli ServiceRequest lub przejmij dostęp użytkowników do chronionej zawartości.

Po potwierdzeniu, że klienci usługi RMS nie komunikują się już z serwerami i pomyślnie używają usługi Azure Information Protection, można usunąć rolę serwera usługi AD RMS z tych serwerów. Jeśli używasz serwerów dedykowanych, możesz preferować krok ostrzegawcza, który należy najpierw zamknąć serwery na określony czas. Daje to czas, aby upewnić się, że nie ma żadnych zgłoszonych problemów, które mogą wymagać ponownego uruchomienia tych serwerów w celu zapewnienia ciągłości usługi podczas badania, dlaczego klienci nie Azure Information Protection.

Po coprowizowania serwerów AD RMS możesz skorzystać z możliwości przejrzenia szablonu i etykiet. Na przykład przekonwertuj szablony na etykiety, konsoliduj je tak, aby użytkownicy mieli mniej do wyboru lub skonfiguruj je ponownie. Jest to również dobry czas na opublikowanie szablonów domyślnych.

W przypadku etykiet czułości i ujednoliconego klienta etykietowania użyj Centrum zgodności platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Microsoft 365 dokumentacji.

Jeśli używasz klienta klasycznego, użyj Azure Portal. Aby uzyskać więcej informacji, zobacz Konfigurowanie szablonów dla Azure Information Protection i zarządzanie nimi.

Ważne

Po zakończeniu tej migracji klaster AD RMS nie może być używany z Azure Information Protection i opcją hold your own key(HYOK).

Jeśli używasz klasycznego klienta z usługą HYOK, ze względu na istniejące przekierowania, klaster usługi AD RMS, który jest obecnie w użyciu, musi mieć inne adresy URL licencjonowania niż adresy URL w migrowanych klastrach.

Dodatkowa konfiguracja dla komputerów z systemem Office 2010

Ważne

Office 2010 r. wsparcie rozszerzone zakończyło się 13 października 2020 r. Aby uzyskać więcej informacji, zobacz AIP and legacy Windows and Office versions.

Jeśli zmigrowieni klienci działają Office 2010 r., użytkownicy mogą mieć opóźnienia w otwieraniu chronionej zawartości po AD RMS serwerów zarządzania usługami zostaną coprowizowane. Użytkownicy mogą też zobaczyć komunikaty, że nie mają poświadczeń do otwierania chronionej zawartości. Aby rozwiązać te problemy, utwórz przekierowywanie sieci dla tych komputerów, które przekierowuje domenę FQDN adresu URL usługi AD RMS do lokalnego adresu IP komputera (127.0.0.1). Można to zrobić, konfigurując plik hostów lokalnych na każdym komputerze lub przy użyciu systemu DNS.

  • Przekierowywanie za pośrednictwem pliku hostów lokalnych: dodaj następujący wiersz w pliku hostów lokalnych, zastępując wartość wartością klastra AD RMS, bez prefiksów lub <AD RMS URL FQDN> stron sieci Web:

    127.0.0.1 <AD RMS URL FQDN>
    
  • Przekierowywanie za pośrednictwem systemu DNS: utwórz nowy rekord hosta (A) dla nazwy FQDN adresu URL usługi AD RMS, która ma adres IP 127.0.0.1.

Krok 11. Wykonywanie zadań migracji klientów

W przypadku klientów urządzeń przenośnych i komputerów Mac: usuń rekordy SRV systemu DNS utworzone podczas wdrażania rozszerzenia AD RMS urządzenia przenośnego.

Po propagacji tych zmian DNS ci klienci automatycznie odnajdą usługę Azure Rights Management service i zaczną z nich korzystać. Jednak komputery Mac z systemem Office Mac buforuje informacje z AD RMS. W przypadku tych komputerów ten proces może potrwać do 30 dni.

Aby wymusić natychmiastowe uruchomienie procesu odnajdywania na komputerach Mac, w kluczu wyszukaj "adal" i usuń wszystkie wpisy ADAL. Następnie uruchom następujące polecenia na tych komputerach:


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

Po migracji wszystkich istniejących komputerów Windows do programu Azure Information Protection nie ma powodu, aby nadal używać kontrolek dołączania i utrzymywać grupę AIPMigrated utworzoną na potrzeby procesu migracji.

Najpierw usuń kontrolki dołączania, a następnie możesz usunąć grupę AIPMigrated i dowolną metodę wdrażania oprogramowania utworzoną w celu wdrożenia skryptów migracji.

Aby usunąć kontrolki dołączania:

  1. W sesji programu PowerShell połącz się z usługą Azure Rights Management i po wyświetleniu monitu podaj poświadczenia administratora globalnego:

    Connect-AipService
    
    
  2. Run the following command, and enter Y to confirm:

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
    

    To polecenie usuwa wszelkie wymuszanie licencji dla usługi Azure Rights Management Protection, dzięki czemu wszystkie komputery mogą chronić dokumenty i wiadomości e-mail.

  3. Potwierdź, że kontrolki dołączania nie są już ustawione:

    Get-AipServiceOnboardingControlPolicy
    

    W danych wyjściowych element License powinien wyświetlać False i nie powinien być wyświetlany żaden identyfikator GUID dla elementu SecurityGroupOjbectId.

Na koniec, jeśli używasz programu Office 2010 i włączono zadanie AD RMS Rights Policy Template Management (Automated) w bibliotece programu Windows Harmonogram zadań, wyłącz to zadanie, ponieważ nie jest ono używane przez klienta Azure Information Protection.

To zadanie jest zwykle włączone przy użyciu zasad grupy i obsługuje AD RMS wdrożenia. To zadanie można znaleźć w następującej lokalizacji: Microsoft > Windows > Usługi Active Directory Rights Management Client.

Ważne

Office 2010 r. wsparcie rozszerzone zakończyło się 13 października 2020 r. Aby uzyskać więcej informacji, zobacz AIP and legacy Windows and Office versions.

Krok 12. Ponowne wyklucz klucz Azure Information Protection dzierżawy

Ten krok jest wymagany po zakończeniu migracji, jeśli wdrożenie usługi AD RMS korzystało z trybu kryptograficznego 1 usługi RMS, ponieważ w tym trybie jest używany klucz 1024-bitowy i algorytm SHA-1. Ta konfiguracja jest uznawana za niewystarczający poziom ochrony. Firma Microsoft nie zgadza się na stosowanie niższych długości kluczy, takich jak 1024-bitowe klucze RSA i skojarzone użycie protokołów, które oferują nieodpowiedni poziom ochrony, takich jak SHA-1.

Ponowne użycie klucza powoduje ochronę, która korzysta z trybu kryptograficznego 2 usługi RMS, co powoduje użycie klucza 2048-bitowego i algorytmu SHA-256.

Nawet jeśli wdrożenie AD RMS korzystało z trybu kryptograficznego 2, nadal zalecamy ten krok, ponieważ nowy klucz pomaga chronić dzierżawę przed potencjalnymi naruszeniami zabezpieczeń klucza AD RMS zabezpieczeń.

W przypadku ponownego Azure Information Protection klucza dzierżawy (nazywanego również "stopniem klucza") obecnie aktywny klucz jest archiwizowany i Azure Information Protection używać innego klucza, który określisz. Ten inny klucz może być nowym kluczem tworzonym w Azure Key Vault lub domyślnym kluczem, który został automatycznie utworzony dla dzierżawy.

Przenoszenie z jednego klucza do innego nie odbywa się natychmiast, ale przez kilka tygodni. Ponieważ nie jest to natychmiastowe, nie czekaj, aż podejrzewasz naruszenie oryginalnego klucza, ale wykonaj ten krok zaraz po zakończeniu migracji.

Aby wymienić klucz dzierżawy usługi Azure Information Protection:

  • Jeśli klucz dzierżawy jest zarządzany przez firmę Microsoft: uruchom polecenie cmdlet programu PowerShell Set-AipServiceKeyProperties i określ identyfikator klucza, który został automatycznie utworzony dla dzierżawy. Wartość do określenia można zidentyfikować, uruchamiając polecenie cmdlet Get-AipServiceKeys. Klucz utworzony automatycznie dla dzierżawy ma najstarszą datę utworzenia, więc można go zidentyfikować za pomocą następującego polecenia:

    (Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
    
  • Jeśli klucz dzierżawy jest zarządzany przez użytkownika (BYOK): w programie Azure Key Vault powtórz proces tworzenia klucza dla dzierżawy usługi Azure Information Protection, a następnie ponownie uruchom polecenie cmdlet Use-AipServiceKeyVaultKey, aby określić adres URI dla tego nowego klucza.

Aby uzyskać więcej informacji na temat zarządzania kluczem Azure Information Protection dzierżawy, zobacz Operacje dotyczące klucza Azure Information Protection dzierżawy.

Następne kroki

Teraz, po zakończeniu migracji, przejrzyj plan wdrożenia usługi AIP dotyczący klasyfikacji, etykietowania i ochrony, aby zidentyfikować inne zadania wdrażania, które mogą być konieczne.