Migrando do AD RMS para a Proteção de Informações do Azure

Aplica-se a: Active Directory Rights Management Services, proteção de informações do Azure, Office 365

Relevante para: Cliente de rotulagem unificada da AIP e cliente clássico

Observação

Para unificar e simplificar a experiência do cliente, o cliente clássico da Proteção de Informações do Azure e o Gerenciamento de Rótulo no portal do Azure foram preteridos em 31 de março de 2021. Embora o cliente clássico continue a funcionar como configurado, não haverá mais suporte para ele nem o lançamento de versões de manutenção.

Recomendamos que você migre para o rotulagem unificada e atualize para o cliente de rotulagem unificada. Saiba mais no recente blog sobre substituição.

Use o seguinte conjunto de instruções para migrar sua implantação do Active Directory Rights Management Services (AD RMS) para a Proteção de Informações do Azure.

Após a migração, os servidores de AD RMS não estarão mais em uso, mas os usuários ainda terão acesso a documentos e mensagens de email que sua organização protegeu usando o AD RMS. Conteúdo protegido recentemente usará o serviço Azure Rights Management (Azure RMS) da Proteção de Informações do Azure.

Embora não seja necessário, talvez seja útil ler a documentação a seguir antes de iniciar a migração. Com essas informações, você pode compreender melhor como a tecnologia funciona quando ela é relevante para o procedimento de migração.

  • Planejando e implementando sua chave de locatário da Proteção de Informações do Azure: entender as opções de gerenciamento de chaves para seu locatário de Proteção de Informações do Azure, em que sua chave SLC equivalente na nuvem é gerenciada pela Microsoft (o padrão) ou gerenciada por você (o "traga sua própria chave" ou a configuração de BYOK).

  • Descoberta de serviço RMS: Esta seção das notas de implantação do cliente RMS explica que a ordem de descoberta de serviço é registro, o ponto de conexão de serviço (SCP) e, em seguida, nuvem. Durante o processo de migração quando o SCP ainda estiver instalado, você configura os clientes com configurações de registro para seu locatário da Proteção de Informações do Azure para que eles não usem o cluster AD RMS retornado do SCP.

  • Visão geral do conector do Microsoft Rights Management: esta seção da documentação do conector RMS explica como os servidores locais podem se conectar ao serviço Azure Rights Management para proteger documentos e emails.

Além disso, se você não estiver familiarizado com o funcionamento do AD RMS, talvez ache útil ler como o Azure RMS funciona? Nos bastidores para ajudá-lo a identificar quais processos de tecnologia são iguais ou diferentes para a versão da nuvem.

Pré-requisitos para migrar do AD RMS para a Proteção de Informações do Azure

Antes de iniciar a migração para a Proteção de Informações do Azure, lembre-se de seguir estes pré-requisitos e entender todas as limitações.

  • Uma implantação do RMS com suporte:

    • As seguintes versões do AD RMS dão suporte a uma migração para a Proteção de Informações do Azure:

      • Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)

    • Todas as topologias do AD RMS válidas têm suporte:

      • Floresta única, cluster de RMS único

      • Floresta única, vários clusters de RMS somente de licenciamento

      • Várias florestas, vários clusters de RMS

      Observação

      Por padrão, vários clusters de AD RMS migram para um único locatário da Proteção de Informações do Azure. Se desejar locatários separados para a Proteção de Informações do Azure, trate-os como migrações diferentes. Uma chave de um cluster do RMS não pode ser importada para mais de um locatário.

  • Todos os requisitos para executar a proteção de informações do Azure, incluindo uma assinatura da proteção de informações do Azure (o serviço de Rights Management do Azure não está ativado):

    Consulte Requisitos da Proteção de Informações do Azure.

    O cliente de proteção de informações do Azure é necessário para classificação e rotulagem, e opcional, mas recomendado se você quiser proteger apenas os dados.

    Para obter mais informações, consulte os guias de administração para o cliente de rotulagem unificado da proteção de informações do Azure.

    Embora você deva ter uma assinatura da Proteção de Informações do Azure antes de migrar do AD RMS, recomendamos que não ative o serviço Rights Management Service para seu locatário antes de iniciar a migração.

    O processo de migração inclui essa etapa de ativação depois de exportar chaves e modelos do AD RMS e importá-los para seu locatário da Proteção de Informações do Azure. No entanto, se o serviço Rights Management já estiver ativado, você ainda poderá migrar do AD RMS com alguns passos adicionais.

    Somente Office 2010:

    Se você tiver computadores que executam o Office 2010, você deve instalar o cliente de proteção de informações do Azure para fornecer a capacidade de autenticar usuários em serviços de nuvem.

    Importante

    O suporte estendido do Office 2010 terminou em 13 de outubro de 2020. Para saber mais, confira AIP e versões herdadas do Windows e do Office.

  • Preparação para a proteção de informações do Azure:

  • Se você usou a funcionalidade de IRM (Information Rights Management) do Exchange Server (por exemplo, regras de transporte e o Outlook Web Access) ou o SharePoint Server com o AD RMS:

    • Planeje por um curto período de tempo em que o IRM não estará disponível nesses servidores

      Você pode continuar usando o IRM nesses servidores após a migração. Porém, uma das etapas de migração é desabilitar temporariamente o serviço IRM, instalar e configurar um conector, reconfigurar os servidores e reabilitar o IRM.

      Essa é a única interrupção no serviço durante o processo de migração.

  • Se você deseja gerenciar sua chave de locatário da Proteção de Informações do Azure usando uma chave protegida por HSM:

    • Essa configuração opcional requer o Cofre de Chaves do Azure e uma assinatura do Azure que dá suporte ao Cofre de Chaves com chaves protegidas por HSM. Para obter mais informações, consulte a página de preços do Azure Key Vault.

Considerações do modo criptográfico

Se o seu cluster AD RMS estiver no Modo Criptográfico 1 no momento, não faça upgrade do cluster para o Modo Criptográfico 2 antes de iniciar a migração. Nesse caso, migre usando o Modo Criptográfico 1 e faça o rechaveamento da chave do locatário no final da migração como uma das tarefas de pós-migração.

Para confirmar o modo de criptografia AD RMS para Windows Server 2012 R2 e Windows 2012: AD RMS Propriedades do cluster > guia geral .

Limitações da migração

  • Se você tiver software e clientes que não têm suporte pelo serviço Rights Management usado pela Proteção de Informações do Azure, eles não poderão proteger nem consumir conteúdo protegido pelo Azure Rights Management. Verifique as seções aplicativos e clientes com suporte em requisitos da proteção de informações do Azure.

  • Se sua implantação do AD RMS é configurada para colaborar com parceiros externos (por exemplo, usando domínios de usuário confiáveis ou federação), eles também devem migrar para a Proteção de Informações do Azure, ao mesmo tempo que a migração ou assim que possível posteriormente. Para continuar acessando o conteúdo que a sua organização protegia anteriormente usando a Proteção de Informações do Azure, deve-se fazer alterações na configuração do cliente que sejam semelhantes às feitas por você e incluídas neste documento.

    Devido as possíveis variações de configuração que seus parceiros possam ter, as instruções exatas para essa reconfiguração está fora do escopo deste documento. No entanto, consulte a próxima seção para orientação de planejamento e para obter ajuda adicional, entre em contato com o Suporte da Microsoft.

Planejamento de migração se você colabora com parceiros externos

Inclua seus parceiros de AD RMS na sua fase de planejamento para migração, porque eles também devem migrar para a Proteção de Informações do Azure. Antes de executar qualquer uma das etapas de migração a seguir, certifique-se de que a seguir está em vigor:

  • Eles têm um locatário do Azure Active Directory que dá suporte ao serviço Azure Rights Management.

    Por exemplo, eles têm uma assinatura do Office 365 E3 ou E5, ou uma assinatura do Enterprise Mobility + Security, ou uma assinatura única para a Proteção de Informações do Azure.

  • Seu serviço Azure Rights Management ainda não foi ativado, mas conhecem a URL do serviço Azure Rights Management.

    Eles podem obter essas informações instalando a ferramenta de Rights Management do Azure, conectando-se ao serviço (Connect-AipService) e, em seguida, exibindo suas informações de locatário para o serviço de Rights Management do Azure (Get-AipServiceConfiguration).

  • Eles fornecem para você as URLs do cluster AD RMS e a URL do Azure Rights Management, para que você possa configurar seus clientes migrados, para redirecionar solicitações para o conteúdo de AD RMS protegido ao serviço Azure Rights Management do seu locatário. Instruções para configurar o redirecionamento de cliente estão na etapa 7.

  • Eles importam suas chaves de raiz do cluster AD RMS (SLC) para seu locatário antes de começar a migrar os usuários. Da mesma forma, você deve importar as chaves de raiz de cluster AD RMS antes de começar a migrar seus usuários. As instruções para importar a chave são abordadas neste processo de migração, etapa 4. Exportar dados de configuração de AD RMS e importá-los para a proteção de informações do Azure.

Visão geral das etapas para migrar do AD RMS para a Proteção de Informações do Azure

Podemos dividir as etapas de migração em cinco fases que podem ser realizadas em momentos diferentes, por administradores diferentes.

Fase 1: preparação da migração

Para obter mais informações, consulte fase 1: preparação da migração.

Etapa 1: instalar o módulo do PowerShell do AIPService e identificar a URL do locatário

O processo de migração exige que você execute um ou mais dos cmdlets do PowerShell do módulo AIPService. Você precisará saber a URL do serviço do Azure Rights Management do locatário para concluir muitas das etapas de migração, e você poderá identificar esse valor usando o PowerShell.

Etapa 2. Preparar para a migração do cliente

Se não for possível migrar todos os clientes de uma só vez e você decidir migrá-los em lotes, use os controles de integração e implante um script antes da migração. No entanto, se você migrar tudo ao mesmo tempo em vez de fazer uma migração em fases, você pode ignorar esta etapa.

Etapa 3: Preparar a implantação do Exchange para migração

Essa etapa é necessária se você usa atualmente o recurso IRM do Exchange Online ou Exchange no local para proteger emails. No entanto, se você migrar tudo ao mesmo tempo em vez de fazer uma migração em fases, você pode ignorar esta etapa.

Fase 2: configuração do lado do servidor para AD RMS

Para obter mais informações, consulte fase 2: configuração do lado do servidor para AD RMS.

Etapa 4. Exportar dados de configuração de AD RMS e importá-los para a proteção de informações do Azure

Você exporta os dados de configuração (chaves, modelos, URLs) de AD RMS para um arquivo XML e, em seguida, carrega esse arquivo para o serviço de Rights Management do Azure da proteção de informações do Azure, usando o cmdlet do Import-AipServiceTpd PowerShell. Em seguida, identifique qual chave importada do SLC (Certificado de Licenciante de Servidor) você usará como sua chave de locatário para o serviço Azure Rights Management. Etapas adicionais são necessárias, dependendo da configuração de chave do AD RMS:

  • Migração de chave protegida por software para chave protegida por software:

    Chaves com base em senha centralmente gerenciadas no AD RMS para chave de locatário gerenciada pela Microsoft da Proteção de Informações do Azure. Este é o caminho de migração mais simples e não é preciso fazer mais nada.

  • Migração de chave protegida por HSM para chave protegida por HSM:

    Chaves que são armazenadas por HSM para AD RMS para chave de locatário da Proteção de Informações do Azure gerenciada pelo cliente (o cenário “traga a sua própria chave” ou BYOK). Isso requer etapas adicionais para transferir a chave do seu nCipher HSM local para Azure Key Vault e autorizar o serviço de Rights Management do Azure a usar essa chave. Sua chave protegida por HSM existente deve ser protegida por módulo; chaves protegidas por OCS não são compatíveis com o Rights Management Services.

  • Migração de chave protegida por software para chave protegida por HSM:

    Chaves com base em senha gerenciadas centralmente no AD RMS para chave de locatário da Proteção de Informações do Azure gerenciada pelo cliente (o cenário “traga a sua própria chave” ou BYOK). Isso requer a maioria das configurações, pois você deve primeiro extrair a chave de software e importá-la para um HSM local e, em seguida, executar as etapas adicionais para transferir a chave do seu nCipher HSM local para um HSM Azure Key Vault e autorizar o serviço de Rights Management do Azure a usar o cofre de chaves que armazena a chave.

Etapa 5. Ativar o serviço de Rights Management do Azure

Se possível, siga esta etapa após o processo de importação e não antes. Etapas adicionais serão necessárias se o serviço tiver sido ativado antes da importação.

Etapa 6. Configurar modelos importados

Quando você importa seus modelos de política de direitos, o seu status é arquivado. Se desejar que os usuários possam exibi-los e usá-los, altere o status do modelo para publicado, no Portal clássico do Azure.

Fase 3: configuração do lado do cliente

Para obter mais informações, consulte fase 3: configuração do lado do cliente.

Etapa 7: reconfigurar os computadores Windows para usar a Proteção de Informações do Azure

Os computadores existentes com Windows devem ser reconfigurados para usar o serviço do Azure Rights Management, em vez do AD RMS. Essa etapa se aplica a computadores da sua organização e a computadores de organizações parceiras se você tiver colaborado com elas enquanto estava executando o AD RMS.

Fase 4: configuração de serviços de suporte

Para obter mais informações, consulte fase 4: suporte à configuração de serviços.

Etapa 8: Configurar a integração do IRM com o Exchange Online

Essa etapa conclui a migração do AD RMS para o Exchange Online, para agora usar o serviço Azure Rights Management.

Etapa 9: Configurar a integração do IRM para o servidor Exchange e o Servidor SharePoint

Essa etapa conclui a migração do AD RMS para o Exchange ou SharePoint local para usar o serviço Azure Rights Management, que exige a implantação do conector do Rights Management.

Fase 5: pós-tarefas de migração

Para obter mais informações, consulte fase 5: pós-tarefas de migração.

Etapa 10: Desprovisionar o AD RMS

Depois de confirmar que todos os computadores Windows estão usando o serviço do Azure Rights Management e não estão mais acessando seus servidores AD RMS, será possível desprovisionar a implantação do AD RMS.

Etapa 11: concluir tarefas de migração de cliente

Se você tiver implantado a extensão de dispositivo móvel para dar suporte aos dispositivos móveis como telefones iOS e iPads, telefones e tablets Android, telefones e tablets Windows e computadores Mac, remova os registros SRV no DNS que redirecionaram esses clientes para usar o AD RMS.

Os controles de integração que você configurou durante a fase de preparação não são mais necessários. No entanto, se você não usou controles de integração porque você optou por migrar tudo ao mesmo tempo em vez de fazer uma migração em fases, você poderá ignorar as instruções para remover os controles de integração.

Se seus computadores Windows estão executando o Office 2010, verifique se você precisa desabilitar a tarefa Gerenciamento do modelo de política de direitos do AD RMS (Automatizado).

Importante

O suporte estendido do Office 2010 terminou em 13 de outubro de 2020. Para saber mais, confira AIP e versões herdadas do Windows e do Office.

Etapa 12: rechaveamento da sua chave de locatário da proteção de informações do Azure

Esta etapa será recomendada se você não estiver executando no Modo Criptográfico 2 antes da migração.

Próximas etapas

Para iniciar a migração, vá para Fase 1 – Preparação.