Migrando do AD RMS para a Proteção de Informações do Azure
Use as seguintes Instruções para migrar a implementação do Active Directory Rights Management Services (AD RMS) para a Proteção de Informações do Azure.
Após a migração, seus servidores do AD RMS não estarão mais em uso, mas os usuários ainda terão acesso aos documentos e mensagens de email protegidos pela sua organização usando o AD RMS. O conteúdo recém-protegido usará o serviço Azure Rights Management (Azure RMS) da Proteção de Informações do Azure.
Leitura recomendada antes de migrar para a Proteção de Informações do Azure
Embora não seja necessário, pode ser útil ler a documentação a seguir antes de iniciar a migração. Esse conhecimento oferece uma compreensão melhor de como a tecnologia funciona quando for relevante para sua etapa de migração.
Planejamento e implementação da a chave de locatário da Proteção de Informações do Azure: entenda as opções de gerenciamento de chaves disponíveis para seu locatário da Proteção de Informações do Azure, em que o equivalente de chave SLC na nuvem é gerenciado pela Microsoft (padrão) ou gerenciado por você (configuração "traga sua própria chave" ou BYOK).
Descoberta de serviço do RMS: esta seção das notas de implantação do cliente RMS explica que a ordem de descoberta do serviço é o registro, depois o SCP (ponto de conexão de serviço) e, em seguida, a nuvem. Durante o processo de migração, quando o SCP ainda estiver instalado, defina clientes com configurações do registro para seu locatário da Proteção de Informações do Azure, para que eles não usem o cluster AD RMS do SCP.
Visão geral do conector do Microsoft Rights Management: esta seção da documentação do conector RMS explica como os servidores locais podem se conectar ao serviço Azure Rights Management para proteger documentos e emails.
Além disso, caso não conheça o funcionamento do AD RMS, talvez seja útil ler Como funciona o Azure RMS? Bastidores para identificar quais processos de tecnologia são iguais ou diferentes para a versão em nuvem.
Pré-requisitos para migrar do AD RMS para a Proteção de Informações do Azure
Antes de iniciar a migração para a Proteção de Informações do Azure, verifique se os pré-requisitos a seguir estão em vigor e se você entende as limitações.
Implantação compatível com o RMS:
As seguintes versões do AD RMS são compatíveis com uma migração para a Proteção de Informações do Azure:
Windows Server 2012 (x64)
Windows Server 2012 R2 (x64)
Windows Server 2016 (x64)
Compatível com todas as topologias válidas do AD RMS:
Floresta única, cluster RMS único
Floresta única, vários clusters RMS somente de licenciamento
Várias florestas, vários clusters RMS
Observação
Como padrão, vários clusters AD RMS migram para um único locatário da Proteção de Informações do Azure. Se quiser locatários separados para a Proteção de Informações do Azure, é preciso tratá-los como migrações diferentes. Uma chave de um cluster RMS não pode ser importada para mais de um locatário.
Todos os requisitos para executar a Proteção de Informações do Azure, incluindo uma assinatura da Proteção de Informações do Azure (o serviço Azure Rights Management não está ativado):
Consulte Requisitos para a Proteção de Informações do Azure.
O cliente da Proteção de Informações do Azure é obrigatório para a classificação e rotulagem, e opcional, mas recomendado se você quiser proteger apenas os dados.
Para obter mais informações, consulte os guias de administração para o cliente de rotulagem unificada da Proteção de Informações do Azure.
Embora você precise de uma assinatura da Proteção de Informações do Azure antes de migrar do AD RMS, recomendamos que o serviço Rights Management para seu locatário não seja ativado antes de iniciar a migração.
O processo de migração inclui essa etapa de ativação depois da exportação das chaves e dos modelos do AD RMS e os importa ao locatário para a Proteção de Informações do Azure. No entanto, se o serviço Rights Management já estiver ativado, você ainda pode migrar do AD RMS com algumas etapas adicionais.
Somente Office 2010:
Se você tiver computadores que executam o Office 2010, instale o cliente da Proteção de Informações do Azure para oferecer a capacidade de autenticar usuários nos serviços de nuvem.
Importante
O suporte estendido do Office 2010 terminou em 13 de outubro de 2020. Para obter mais informações, confira AIP e versões herdadas do Windows e do Office.
Preparação para a Proteção de Informações do Azure:
Sincronização de diretórios entre o diretório local e o Microsoft Entra ID
Grupos habilitados para email no Microsoft Entra ID
Consulte Preparar usuários e grupos para a Proteção de Informações do Azure.
Se tiver usado a funcionalidade IRM (Gerenciamento de Direitos de Informação) do Exchange Server (por exemplo, regras de transporte e Outlook Web Access) ou do SharePoint Server com o AD RMS:
Planeje por um curto período de tempo quando o IRM não estará disponível nesses servidores
Você pode continuar a usar o IRM nesses servidores após a migração. No entanto, uma das etapas de migração é desabilitar temporariamente o serviço IRM, instalar e configurar um conector, reconfigurar os servidores e reativar o IRM.
Essa é a única interrupção do serviço durante o processo de migração.
Se você quiser gerenciar sua própria chave de locatário da Proteção de Informações do Azure usando uma chave protegida por HSM:
- Essa configuração opcional requer o Azure Key Vault e uma assinatura do Azure que ofereça suporte ao Cofre de Chaves com chaves protegidas por HSM. Para obter mais informações, consulte a página de preços do Azure Key Vault.
Considerações sobre o modo criptográfico
Se o cluster AD RMS estiver atualmente no Modo Criptográfico 1, não atualize o cluster para o Modo Criptográfico 2 antes de iniciar a migração. Em vez disso, migre usando o Modo Criptográfico 1 e você poderá rechavear sua chave de locatário no final da migração, como uma das tarefas pós-migração.
Para confirmar o modo criptográfico do AD RMS para Windows Server 2012 R2 e Windows 2012: guia Propriedades do cluster do AD RMS>Geral.
Limitações da migração
Se você tiver software e clientes que não são suportados pelo serviço Rights Management usado pela Proteção de Informações do Azure, eles não poderão proteger ou consumir conteúdo protegido pelo Azure Rights Management. Verifique as seções de aplicativos e clientes com suporte em Requisitos para a Proteção de Informações do Azure.
Se sua implantação do AD RMS estiver configurada para colaborar com parceiros externos (por exemplo, usando domínios de usuário confiáveis ou federação), eles também deverão migrar para a Proteção de Informações do Azure ao mesmo tempo que a migração ou o mais rápido possível depois. Para continuar a acessar o conteúdo que sua organização protegeu anteriormente usando a Proteção de Informações do Azure, eles devem fazer alterações de configuração de cliente semelhantes às que você faz e que estão incluídas neste documento.
Devido às possíveis variações de configuração que seus parceiros podem ter, as instruções exatas para essa reconfiguração estão fora do escopo deste documento. No entanto, consulte a próxima seção para obter orientação de planejamento e obter ajuda adicional, entre em contato com o Suporte da Microsoft.
Planejamento de migração se você colaborar com parceiros externos
Inclua seus parceiros do AD RMS na fase de planejamento da migração, pois eles também devem migrar para a Proteção de Informações do Azure. Antes de executar qualquer uma das seguintes etapas de migração, verifique se o seguinte está em vigor:
Eles têm um locatário do Microsoft Entra que oferece suporte ao serviço Azure Rights Management.
Por exemplo, eles têm uma assinatura do Office 365 E3 ou E5, ou uma assinatura do Enterprise Mobility + Security ou uma assinatura autônoma da Proteção de Informações do Azure.
O serviço Azure Rights Management ainda não está ativado, mas eles conhecem a URL do serviço Azure Rights Management.
Eles podem obter essas informações instalando a Ferramenta Azure Rights Management, conectando-se ao serviço (Connect-AipService) e exibindo suas informações de locatário para o serviço Azure Rights Management (Get-AipServiceConfiguration).
Eles fornecem as URLs do cluster AD RMS e da URL do serviço Azure Rights Management, para que você possa configurar os clientes migrados para redirecionar solicitações de conteúdo protegido do AD RMS para o serviço Azure Rights Management do locatário. As instruções para configurar o redirecionamento de cliente estão na etapa 7.
Eles importam as chaves raiz de cluster do AD RMS (SLC) antes que elas comecem a migrar seus usuários. Da mesma forma, você deve importar as chaves raiz de cluster do AD RMS antes que elas comecem a migrar seus usuários. As instruções para importar a chave são abordadas neste processo de migração, Etapa 4. Exporte dados de configuração do AD RMS e importe-os para a Proteção de Informações do Azure.
Visão geral das etapas para migrar o AD RMS para a Proteção de Informações do Azure
As etapas de migração podem ser divididas em cinco fases que podem ser feitas em momentos diferentes e por administradores diferentes.
Fase 1: Preparação da migração
Para obter mais informações, consulte FASE 1: PREPARAÇÃO DA MIGRAÇÃO.
Etapa 1: Instalar o módulo do AIPService PowerShell e identificar a URL do locatário
O processo de migração requer que você execute um ou mais cmdlets do PowerShell no módulo AIPService. Você precisará saber a URL do serviço Azure Rights Management do seu locatário para concluir muitas das etapas de migração e poderá identificar esse valor usando o PowerShell.
Etapa 2. Preparar para a migração do cliente
Se você não puder migrar todos os clientes de uma só vez e os migrar em lotes, use controles de integração e implante um script de pré-migração. No entanto, se você migrar tudo ao mesmo tempo, em vez de fazer uma migração em fases, poderá ignorar esta etapa.
Etapa 3: Preparar a implantação do Exchange para migração
Esta etapa será necessária se você usar atualmente o recurso IRM do Exchange Online ou do Exchange local para proteger emails. No entanto, se você migrar tudo ao mesmo tempo, em vez de fazer uma migração em fases, poderá ignorar esta etapa.
Fase 2: configuração no lado do servidor para o AD RMS
Para obter mais informações, consulte FASE 2: CONFIGURAÇÃO DO LADO DO SERVIDOR PARA AD RMS.
Etapa 4. Exportar dados de configuração do AD RMS e importá-los para a Proteção de Informações do Azure
Você exporta os dados de configuração (chaves, modelos, URLs) do AD RMS para um arquivo XML e, em seguida, carrega esse arquivo no serviço Azure Rights Management da Proteção de Informações do Azure, usando o cmdlet Import-AipServiceTpd PowerShell. Em seguida, identifique qual chave SLC (Certificado de Licenciante de Servidor) importada será usada como sua chave de locatário para o serviço Azure Rights Management. Etapas adicionais podem ser necessárias, dependendo da configuração da chave do AD RMS:
Migração de chave protegida por software para chave protegida por software:
Chaves baseadas em senha gerenciadas centralmente no AD RMS para a chave de locatário da Proteção de Informações do Azure gerenciada pela Microsoft. Esse é o caminho de migração mais simples e nenhuma etapa adicional é necessária.
Migração de chave protegida por HSM para chave protegida por HSM:
Chaves armazenadas por um HSM para AD RMS para a chave de locatário da Proteção de Informações do Azure gerenciada pelo cliente (o cenário "traga sua própria chave" ou BYOK). Isso requer etapas adicionais para transferir a chave do HSM nCipher local para o Azure Key Vault e autorizar o serviço Azure Rights Management a usar essa chave. Sua chave protegida por HSM existente deve ser protegida por módulo; as chaves protegidas pelo OCS não são suportadas pelos serviços do Rights Management.
Migração de chave protegida por software para chave protegida por HSM:
Chaves baseadas em senha gerenciadas centralmente no AD RMS para a chave de locatário da Proteção de Informações do Azure gerenciada pelo cliente (o cenário "traga sua própria chave" ou BYOK). Isso requer a maior configuração porque você deve primeiro extrair a chave de software e importá-la para um HSM local e, em seguida, executar as etapas adicionais para transferir a chave do HSM nCipher local para um HSM do Azure Key Vault e autorizar o serviço Azure Rights Management a usar o cofre de chaves que armazena a chave.
Etapa 5. Ative o servço Azure Rights Management Service
Se possível, execute esta etapa após o processo de importação e não antes. Etapas adicionais serão necessárias se o serviço tiver sido ativado antes da importação.
Etapa 6. Configurar modelos importados
Quando você importa seus modelos de política de direitos, seu status é arquivado. Se quiser que os usuários possam vê-los e usá-los, altere o status do modelo a ser publicado no portal clássico do Azure.
Fase 3: configuração no lado do cliente
Para obter mais informações, consulte FASE 3: CONFIGURAÇÃO DO CLIENTE.
Etapa 7: Reconfigure computadores com Windows para usar a Proteção de Informações do Azure
Os computadores Windows existentes devem ser reconfigurados para usar o serviço Azure Rights Management em vez do AD RMS. Esta etapa se aplica a computadores em sua organização e a computadores em organizações parceiras se você tiver colaborado com eles enquanto executava o AD RMS.
Fase 4: configuração de serviços de suporte
Para obter mais informações, consulte o FASE 4: SUPORTE À CONFIGURAÇÃO DE SERVIÇOS.
Etapa 8: Configurar a integração do IRM para o Exchange Online
Esta etapa conclui a migração do AD RMS para o Exchange Online para agora usar o serviço Azure Rights Management.
Etapa 9: Configurar a integração do IRM para o Exchange Server e o SharePoint Server
Esta etapa conclui a migração do AD RMS para Exchange ou SharePoint local para agora usar o serviço Azure Rights Management, que requer a implantação do conector Rights Management.
Fase 5: tarefas pós-migração
Para obter mais informações, consulte FASE 5: TAREFAS PÓS MIGRAÇÃO.
Etapa 10: Desprovisionar o AD RMS
Depois de confirmar que todos os computadores Windows estão usando o serviço Azure Rights Management e não estão mais acessando seus servidores AD RMS, você pode desprovisionar sua implantação do AD RMS.
Etapa 11: Concluir tarefas de migração do cliente
Se você tiver implantado a extensão de dispositivo móvel para oferecer suporte a dispositivos móveis, como telefones e iPads iOS, telefones e tablets Android, telefones e tablets Windows e computadores Mac, deverá remover os registros SRV no DNS que redirecionaram esses clientes para usar o AD RMS.
Os controles de integração que você configurou durante a fase de preparação não são mais necessários. No entanto, se você não usou controles de integração porque optou por migrar tudo ao mesmo tempo em vez de fazer uma migração em fases, poderá ignorar as instruções para remover os controles de integração.
Se seus computadores Windows estiverem executando o Office 2010, verifique se você precisa desabilitar a tarefa Gerenciamento de Modelo de Política de Direitos do AD RMS (Automatizado).
Importante
O suporte estendido do Office 2010 terminou em 13 de outubro de 2020. Para obter mais informações, confira AIP e versões herdadas do Windows e do Office.
Etapa 12: rechavear as chave de locatário da Proteção de Informações do Azure
Esta etapa é recomendada se você não estava executando no Modo Criptográfico 2 antes da migração.
Próximas etapas
Para iniciar a migração, vá para a Fase 1 - preparação.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de