Fase 5 da migração – tarefas de pós-migraçãoMigration phase 5 - post migration tasks

Aplica-se a: Active Directory Rights Management Services, Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Utilize as seguintes informações para a Fase 5 da migração do AD RMS para o Azure Information Protection.Use the following information for Phase 5 of migrating from AD RMS to Azure Information Protection. Estes procedimentos incluem os passos 10 a 12 de Migrar do AD RMS para o Azure Information Protection.These procedures cover steps 10 through 12 from Migrating from AD RMS to Azure Information Protection.

Passo 10:Step 10. Desaprovisionar o AD RMSDeprovision AD RMS

Remova o Ponto de Ligação de Serviço (SCP) do Active Directory para impedir que os computadores detetem a sua infraestrutura da Gestão de Direitos no local.Remove the Service Connection Point (SCP) from Active Directory to prevent computers from discovering your on-premises Rights Management infrastructure. Isto é opcional para os clientes existentes que migraram devido ao redirecionamento que foi configurado no registo (por exemplo, ao executar o script de migração).This is optional for the existing clients that you migrated because of the redirection that you configured in the registry (for example, by running the migration script). No entanto, remover o SCP impede que novos clientes e ferramentas e serviços potencialmente relacionados com o RMS localizem o SCP quando a migração estiver concluída.However, removing the SCP prevents new clients and potentially RMS-related services and tools from finding the SCP when the migration is complete. Neste momento, todas as ligações de computador devem ir para o serviço Azure Rights Management.At this point, all computer connections should go to the Azure Rights Management service.

Para remover o SCP, garanta que tem sessão iniciada como administrador da empresa do domínio e, em seguida, utilize o seguinte procedimento:To remove the SCP, make sure that you are logged in as a domain enterprise administrator, and then use the following procedure:

  1. Na consola Serviços de Gestão de Direitos do Active Directory, clique com o botão direito do rato no cluster do AD RMS e, em seguida, clique em Propriedades.In the Active Directory Rights Management Services console, right-click the AD RMS cluster, and then click Properties.

  2. Clique no separador SCP.Click the SCP tab.

  3. Selecione a caixa de verificação Alterar SCP.Select the Change SCP check box.

  4. Selecione Remover SCP atual e, em seguida, clique em OK.Select Remove Current SCP, and then click OK.

Agora monitorize servidores do AD RMS para a atividade.Now monitor your AD RMS servers for activity. Por exemplo, confira o pedidos no relatório do Estado de funcionamento do sistema, o tabela ServiceRequest ou auditar o acesso de utilizador a conteúdo protegido.For example, check the requests in the System Health report, the ServiceRequest table or audit user access to protected content.

Quando tiver confirmado que os clientes RMS já não estão a comunicar com estes servidores e que os clientes estão a utilizar o Azure Information Protection com êxito, pode remover a função de servidor do AD RMS destes servidores.When you have confirmed that RMS clients are no longer communicating with these servers and that clients are successfully using Azure Information Protection, you can remove the AD RMS server role from these servers. Se estiver a utilizar servidores dedicados, poderá preferir o passo cautelar de começar por encerrar os servidores durante um período de tempo.If you’re using dedicated servers, you might prefer the cautionary step of first shutting down the servers for a period of time. Este lhe dará tempo para se certificar de que não existem não existem problemas comunicados que exijam reiniciar estes servidores para continuidade do serviço enquanto estiver a investigar por que os clientes não estiver a utilizar do Azure Information Protection.This gives you time to make sure that there are no reported problems that might require you to restart these servers for service continuity while you investigate why clients are not using Azure Information Protection.

Depois de ter desaprovisionado os servidores do AD RMS, pode querer aproveitar a oportunidade para rever os seus modelos no portal do Azure.After you have deprovisioned your AD RMS servers, you might want to take the opportunity to review your templates in the Azure portal. Por exemplo, convertê-los em etiquetas, consolidá-los para que os utilizadores tenham menos por onde escolher entre ou reconfigurá-los.For example, convert them to labels, consolidate them so that users have fewer to choose between, or reconfigure them. É também uma boa altura para publicar os modelos predefinidos.This would be also a good time to publish the default templates. Para obter mais informações, consulte configurando e gerenciando modelos do Azure Information Protection.For more information, see Configuring and managing templates for Azure Information Protection.

Importante

No final desta migração, o seu cluster do AD RMS não pode ser utilizado com o Azure Information Protection e a opção "tenha a sua própria chave" (HYOK).At the end of this migration, your AD RMS cluster cannot be used with Azure Information Protection and the hold your own key (HYOK) option. Se optar por utilizar o HYOK para uma etiqueta do Azure Information Protection, por causa dos redirecionamentos que estão em vigor, o cluster do AD RMS que utilizar tem de ter URLs de licenciamento diferentes do que tem nos clusters que migrou.If you decide to use HYOK for an Azure Information Protection label, because of the redirections that are now in place, the AD RMS cluster that you use must have different licensing URLs to the ones in the clusters that you migrated.

Configuração de adição para computadores que executam o Office 2010Addition configuration for computers that run Office 2010

Se migrados os clientes que utilizam o Office 2010, os utilizadores podem ocorrer atrasos na abrir conteúdo protegido depois de nossos servidores do AD RMS são desaprovisionados.If migrated clients run Office 2010, users might experience delays in opening protected content after our AD RMS servers are deprovisioned. Em alternativa, os utilizadores poderão ver as mensagens que não tenham credenciais para abrir conteúdo protegido.Or, users might see messages that they don't have credentials to open protected content. Para resolver esses problemas, crie um redirecionamento de rede para estes computadores, que redireciona o FQDN do URL do AD RMS para o endereço IP local do computador (127.0.0.1).To resolve these problems, create a network redirection for these computers, which redirects the AD RMS URL FQDN to the local IP address of the computer (127.0.0.1). Pode fazê-lo ao configurar o arquivo local hosts em cada computador ou através de DNS.You can do this by configuring the local hosts file on each computer, or by using DNS.

Redirecionamento por meio do arquivo local hosts:Redirection via local hosts file:

  • Adicione a seguinte linha no arquivo local hosts, substituindo <AD RMS URL FQDN> com o valor para o cluster de AD RMS, sem prefixos ou páginas da web:Add the following line in the local hosts file, replacing <AD RMS URL FQDN> with the value for your AD RMS cluster, without prefixes or web pages:

      127.0.0.1 <AD RMS URL FQDN>
    

Redirecionamento através de DNS:Redirection via DNS:

  • Crie um novo anfitrião (A) registo para o seu FQDN de URL do AD RMS, que tem o endereço IP do 127.0.0.1.Create a new host (A) record for your AD RMS URL FQDN, which has the IP address of 127.0.0.1.

Passo 11:Step 11. Tarefas de migração de cliente concluídaComplete client migration tasks

Para clientes de dispositivos móveis e computadores Mac: Remova os registos SRV de DNS que criou quando implementou a extensão de dispositivo móvel do AD RMS.For mobile device clients and Mac computers: Remove the DNS SRV records that you created when you deployed the AD RMS mobile device extension.

Quando estas alterações DNS tem propogated, estes clientes irão detetar automaticamente e começar a utilizar o serviço Azure Rights Management.When these DNS changes have propogated, these clients will automatically discover and start to use the Azure Rights Management service. No entanto, computadores Mac que executem Office Mac colocar em cache as informações do AD RMS.However, Mac computers that run Office Mac cache the information from AD RMS. Para estes computadores, este processo pode demorar até 30 dias.For these computers, this process can take up to 30 days.

Para forçar computadores de Mac a executar o processo de deteção imediatamente, na keychain, procure "adal" e elimine todas as entradas da ADAL.To force Mac computers to run the discovery process immediately, in the keychain, search for "adal" and delete all ADAL entries. Em seguida, execute os seguintes comandos nestes computadores:Then, run the following commands on these computers:


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

Quando todos os seus computadores Windows existentes tem migrado para o Azure Information Protection, não há motivo para continuar a utilizar controlos de inclusão e manter o AIPMigrated grupo que criou para o processo de migração.When all your existing Windows computers have migrated to Azure Information Protection, there's no reason to continue to use onboarding controls and maintain the AIPMigrated group that you created for the migration process.

Remova os controlos de inclusão primeiro e, em seguida, pode eliminar a AIPMigrated grupo e qualquer método de implementação de software que criou para implementar os scripts de migração.Remove the onboarding controls first, and then you can delete the AIPMigrated group and any software deployment method that you created to deploy the migration scripts.

Para remover os controlos de inclusão:To remove the onboarding controls:

  1. Numa sessão do PowerShell, ligue ao serviço Azure Rights Management e quando lhe for pedido, especifique as credenciais de administrador global:In a PowerShell session, connect to the Azure Rights Management service and when prompted, specify your global admin credentials:

     Connect-Aadrmservice
    
  2. Execute o seguinte comando e introduza Y para confirmar:Run the following command, and enter Y to confirm:

     Set-AadrmOnboardingControlPolicy -UseRmsUserLicense $False
    

    Tenha em atenção que este comando remove quaisquer imposição de licença para o serviço de proteção do Azure Rights Management, para que todos os computadores possam proteger documentos e e-mails.Note that this command removes any license enforcement for the Azure Rights Management protection service, so that all computers can protect documents and emails.

  3. Confirme que os controlos de inclusão já não estão definidos:Confirm that onboarding controls are no longer set:

     Get-AadrmOnboardingControlPolicy
    

    No resultado, a opção License deve apresentar False e não é apresentado um GUID para SecurityGroupOjbectIdIn the output, License should show False, and there is no GUID displayed for the SecurityGroupOjbectId

Por fim, se estiver a utilizar o Office 2010 e tiver ativado o gestão de modelos de política de direitos de RMS do AD (automatizada) de tarefas na biblioteca do agendador de tarefas do Windows, desative esta tarefa porque não está a ser utilizado pelas informações do Azure Cliente de proteção.Finally, if you are using Office 2010 and you have enabled the AD RMS Rights Policy Template Management (Automated) task in the Windows Task Scheduler library, disable this task because it is not used by the Azure Information Protection client. Esta tarefa normalmente é ativada pela política de grupo e suporta uma implementação do AD RMS.This task is typically enabled by using group policy and supports an AD RMS deployment. Pode encontrar esta tarefa na seguinte localização: Microsoft > Windows > cliente de serviços de gestão de direitos do Active DirectoryYou can find this task in the following location: Microsoft > Windows > Active Directory Rights Management Services Client

Passo 12:Step 12. Recodificar a chave de inquilino do Azure Information ProtectionRekey your Azure Information Protection tenant key

Este passo é necessário quando a migração estiver concluída se a sua implementação do AD RMS estava a utilizar RMS modo criptográfico 1 uma vez que esse modo usa uma chave de 1024 bits e SHA-1.This step is required when migration is complete if your AD RMS deployment was using RMS Cryptographic Mode 1 because this mode uses a 1024-bit key and SHA-1. Esta configuração é considerada a fim de oferecer um nível adequado de proteção.This configuration is considered to offer an inadequate level of protection. Microsoft não apoia o uso de comprimentos de chave inferior, como chaves RSA 1024 bits e a utilização associada de protocolos que oferecem inadequados níveis de proteção, como o SHA-1.Microsoft doesn’t endorse the use of lower key lengths such as 1024-bit RSA keys and the associated use of protocols that offer inadequate levels of protection, such as SHA-1.

Recodificação resultados na proteção que utiliza o RMS modo criptográfico 2, que resulta numa chave de 2048 bits e SHA-256.Rekeying results in protection that uses RMS Cryptographic Mode 2, which results in a 2048-bit key and SHA-256.

Mesmo que sua implementação do AD RMS estava a utilizar o modo criptográfico 2, recomendamos ainda que efetuar este passo porque uma nova chave ajuda a proteger o seu inquilino de potenciais falhas de segurança para a chave do AD RMS.Even if your AD RMS deployment was using Cryptographic Mode 2, we still recommend you do this step because a new key helps to protect your tenant from potential security breaches to your AD RMS key.

Quando recodificar a chave de inquilino do Azure Information Protection (também conhecido como "implementar a chave"), a chave ativa no momento é arquivada e Azure Information Protection começa a utilizar uma chave diferente que especificar.When you rekey your Azure Information Protection tenant key (also known as "rolling your key"), the currently active key is archived and Azure Information Protection starts to use a different key that you specify. Esta chave diferente pode ser uma nova chave que criar no Azure Key Vault ou a chave predefinida que foi criada automaticamente para o seu inquilino.This different key could be a new key that you create in Azure Key Vault, or the default key that was automatically created for your tenant.

Mover de uma chave para outra não ocorre imediatamente mas ao longo de algumas semanas.Moving from one key to another doesn’t happen immediately but over a few weeks. Porque não é imediata, não espere até suspeitar que uma violação de chave original mas este passo, assim como a migração estiver concluída.Because it's not immediate, do not wait until you suspect a breach to your original key but do this step as soon as the migration is complete.

Para recodificar a chave de inquilino do Azure Information Protection:To rekey your Azure Information Protection tenant key:

  • Se a sua chave de inquilino for gerida pela Microsoft: Execute o cmdlet do PowerShell Set-AadrmKeyProperties e especifique o identificador de chave da chave que foi criado automaticamente para o seu inquilino.If your tenant key is managed by Microsoft: Run the PowerShell cmdlet Set-AadrmKeyProperties and specify the key identifier for the key that was automatically created for your tenant. Pode identificar o valor a especificar ao executar o Get-AadrmKeys cmdlet.You can identify the value to specify by running the Get-AadrmKeys cmdlet. A chave que foi criada automaticamente para o seu inquilino tem a data de criação mais antiga, para que possa identificá-lo utilizando o seguinte comando:The key that was automatically created for your tenant has the oldest creation date, so you can identify it by using the following command:

      (Get-AadrmKeys) | Sort-Object CreationTime | Select-Object -First 1
    
  • Se a sua chave de inquilino for gerida por si (BYOK) : No Azure Key Vault, repita o processo de criação da chave para o seu inquilino do Azure Information Protection e, em seguida, execute o Use-AadrmKeyVaultKey cmdlet novamente para especificar o URI para esta nova chave.If your tenant key is managed by you (BYOK): In Azure Key Vault, repeat your key creation process for your Azure Information Protection tenant, and then run the Use-AadrmKeyVaultKey cmdlet again to specify the URI for this new key.

Para obter mais informações sobre como gerir a sua chave de inquilino do Azure Information Protection, consulte operações para a chave de inquilino do Azure Information Protection.For more information about managing your Azure Information Protection tenant key, see Operations for your Azure Information Protection tenant key.

Passos SeguintesNext steps

Agora que concluiu a migração, veja o plano de implementação para identificar quaisquer outras tarefas de implementação que tenha de efetuar.Now that you have completed the migration, review the deployment roadmap to identify any other deployment tasks that you might need to do.