Fase 2 da migração – configuração do AD RMS do lado do servidorMigration phase 2 - server-side configuration for AD RMS

Aplica-se a: Serviços de Gestão de Direitos do Active Directory, Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Utilize as seguintes informações para a Fase 2 da migração do AD RMS para o Azure Information Protection.Use the following information for Phase 2 of migrating from AD RMS to Azure Information Protection. Estes procedimentos incluem os passos 4 a 6 de Migrar do AD RMS para o Azure Information Protection.These procedures cover steps 4 though 6 from Migrating from AD RMS to Azure Information Protection.

Passo 4:Step 4. exportar os dados de configuração do AD RMS e importá-los para o Azure Information ProtectionExport configuration data from AD RMS and import it to Azure Information Protection

Este passo divide-se em duas partes:This step is a two-part process:

  1. Exportar os dados de configuração do AD RMS através da exportação dos domínios de publicação fidedignos (TPD) para um ficheiro. xml.Export the configuration data from AD RMS by exporting the trusted publishing domains (TPDs) to an .xml file. Este processo é igual para todas as migrações.This process is the same for all migrations.

  2. Importar os dados de configuração para o Azure Information Protection.Import the configuration data to Azure Information Protection. Existem diferentes processos para este passo consoante a configuração da implementação atual do AD RMS e a topologia preferida para a sua chave de inquilino do Azure RMS.There are different processes for this step, depending on your current AD RMS deployment configuration and your preferred topology for your Azure RMS tenant key.

Exportar os dados de configuração do AD RMSExport the configuration data from AD RMS

Efetue o seguinte procedimento em todos os clusters do AD RMS de todos os domínios de publicação fidedignos que possuem conteúdos protegidos da sua organização.Do the following procedure on all AD RMS clusters, for all trusted publishing domains that have protected content for your organization. Não precisa de executar este procedimento em clusters só de licenciamento.You do not need to run this procedure on licensing-only clusters.

Para exportar os dados de configuração (informações de domínio de publicação fidedigno)To export the configuration data (trusted publishing domain information)

  1. Inicie sessão no cluster do AD RMS como utilizador com permissões de administração do AD RMS.Log on the AD RMS cluster as a user with AD RMS administration permissions.

  2. Na consola de gestão do AD RMS (Serviços de Gestão de Direitos do Active Directory), expanda o nome do cluster do AD RMS, expanda as Políticas de Fidedignidade e, em seguida, clique em Domínios de Publicação Fidedignos.From the AD RMS management console (Active Directory Rights Management Services), expand the AD RMS cluster name, expand Trust Policies, and then click Trusted Publishing Domains.

  3. No painel de resultados, selecione o domínio de publicação fidedigno e, em seguida, no painel Ações, clique em Exportar Domínio de Publicação Fidedigno.In the results pane, select the trusted publishing domain, and then, from the Actions pane, click Export Trusted Publishing Domain.

  4. Na caixa de diálogo Exportar Domínio de Publicação Fidedigno:In the Export Trusted Publishing Domain dialog box:

    • Clique em Guardar Como e guarde no caminho e com um nome de ficheiro à sua escolha.Click Save As and save to path and a file name of your choice. Certifique-se de que especifica . xml a extensão de nome de ficheiro (esta não é acrescentada automaticamente).Make sure to specify .xml as the file name extension (this is not appended automatically).

    • Especifique e confirme uma palavra-passe segura.Specify and confirm a strong password. Lembre-se desta palavra-passe, dado que precisará dela mais tarde quando importar os dados de configuração para o Azure Information Protection.Remember this password, because you will need it later, when you import the configuration data to Azure Information Protection.

    • Não marque a caixa de verificação para guardar o ficheiro de domínio fidedigno na versão 1.0 do RMS.Do not select the checkbox to save the trusted domain file in RMS version 1.0.

Após exportar todos os domínios de publicação fidedignos, estará pronto para iniciar a importação destes dados para o Azure Information Protection.When you have exported all the trusted publishing domains, you’re ready to start the procedure to import this data to Azure Information Protection.

Tenha em atenção que os domínios de publicação fidedignos incluem as chaves do Certificado de Licenciante para Servidor (SLC) para desencriptar os ficheiros protegidos anteriormente, pelo que é importante que exporte (e depois importe para o Azure) todos os domínios de publicação fidedignos e não apenas o domínio atualmente ativo.Note that the trusted publishing domains include the Server Licensor Certificate (SLC) keys to decrypt previously protected files, so it's important that you export (and later import into Azure) all the trusted publishing domains and not just the currently active one.

Por exemplo, terá vários domínios de publicação fidedignos se tiver atualizado os seus servidores do AD RMS do Modo Criptográfico 1 para o Modo Criptográfico 2.For example, you will have multiple trusted publishing domains if you upgraded your AD RMS servers from Cryptographic Mode 1 to Cryptographic Mode 2. Se não exportar e importar o domínio de publicação fidedigno que contém a chave arquivada que utilizou o Modo Criptográfico 1, no final da migração, os utilizadores não poderão abrir o conteúdo que foi protegido com a chave do Modo Criptográfico 1.If you do not export and import the trusted publishing domain that contains your archived key that used Cryptographic Mode 1, at the end of the migration, users will not be able to open content that was protected with the Cryptographic Mode 1 key.

Importar os dados de configuração para o Azure Information ProtectionImport the configuration data to Azure Information Protection

Os procedimentos exatos para este passo dependem da configuração da sua implementação atual do AD RMS e da topologia preferida para a sua chave de inquilino do Azure Information Protection.The exact procedures for this step depend on your current AD RMS deployment configuration, and your preferred topology for your Azure Information Protection tenant key.

A sua implementação atual do AD RMS utiliza uma das seguintes configurações para a sua chave do certificado de licenciante para servidor (SLC):Your current AD RMS deployment is using one of the following configurations for your server licensor certificate (SLC) key:

  • Proteção por palavra-passe na base de dados do AD RMS.Password protection in the AD RMS database. Esta é a configuração predefinida.This is the default configuration.

  • Proteção HSM através da utilização de um módulo de hardware de segurança (HSM) da Thales.HSM protection by using a Thales hardware security module (HSM).

  • Proteção HSM através da utilização de um módulo de hardware de segurança (HSM) de um fornecedor diferente da Thales.HSM protection by using a hardware security module (HSM) from a supplier other than Thales.

  • Proteção por palavra-chave através de um fornecedor de serviços de criptografia externo.Password protected by using an external cryptographic provider.

Nota

Para obter mais informações sobre a utilização de módulos de hardware de segurança com o AD RMS, veja Utilizar o AD RMS com Módulos de Hardware de Segurança.For more information about using hardware security modules with AD RMS, see Using AD RMS with Hardware Security Modules.

As duas opções de topologia de chaves de inquilino do Azure Information Protection estão relacionadas com o facto de a sua chave de inquilino poder ser gerida pela Microsoft (gerida pela Microsoft) ou por si (gerida pelo cliente) no Azure Key Vault.The two Azure Information Protection tenant key topology options are: Microsoft manages your tenant key (Microsoft-managed) or you manage your tenant key (customer-managed) in Azure Key Vault. Quando gere a sua própria chave de inquilino do Azure Information Protection, é por vezes, referido como "traga a sua própria chave" (BYOK).When you manage your own Azure Information Protection tenant key, it’s sometimes referred to as “bring your own key” (BYOK). Para obter mais informações, veja Planear e implementar a sua chave de inquilino do Azure Information Protection.For more information, see Planning and implementing your Azure Information Protection tenant key article.

Utilize a seguinte tabela para identificar o procedimento a utilizar para a sua migração.Use the following table to identify which procedure to use for your migration.

Implementação atual do AD RMSCurrent AD RMS deployment Topologia de chave de inquilino do Azure Information Protection selecionadaChosen Azure Information Protection tenant key topology Instruções de migraçãoMigration instructions
Proteção por palavra-passe na base de dados do AD RMSPassword protection in the AD RMS database Gerida pela MicrosoftMicrosoft-managed Consulte o procedimento de migração Chave protegida por software para chave protegida por software que se encontra após esta tabela.See the Software-protected key to software-protected key migration procedure after this table.

Este é o caminho de migração mais simples e requer apenas que transfira os seus dados de configuração para o Azure Information Protection.This is the simplest migration path and requires only that you transfer your configuration data to Azure Information Protection.
Proteção HSM através da utilização de um módulo de hardware de segurança (HSM) nShield da Thales.HSM protection by using a Thales nShield hardware security module (HSM) Gerida pelo cliente (BYOK)Customer-managed (BYOK) Consulte o procedimento de migração Chave protegida por HMS para chave protegida por HMS que se encontra após esta tabela.See the HSM-protected key to HSM-protected key migration procedure after this table.

Este procedimento necessita do conjunto de ferramentas BYOK do Azure Key Vault e três conjuntos de passos para transferir primeiro a chave HSM no local para os HSMs do Azure Key Vault e, em seguida, autorizar o serviço Azure Rights Management a partir do Azure Information Protection para utilizar a sua chave de inquilino e, por último, transferir os dados de configuração para o Azure Information Protection.This requires the Azure Key Vault BYOK toolset and three sets of steps to first transfer the key from your on-premises HSM to the Azure Key Vault HSMs, then authorize the Azure Rights Management service from Azure Information Protection to use your tenant key, and finally to transfer your configuration data to Azure Information Protection.
Proteção por palavra-passe na base de dados do AD RMSPassword protection in the AD RMS database Gerida pelo cliente (BYOK)Customer-managed (BYOK) Consulte o procedimento de migração Chave protegida por software para chave protegida por HMS que se encontra após esta tabela.See the Software-protected key to HSM-protected key migration procedure after this table.

Este procedimento requer o conjunto de ferramentas BYOK do Azure Key Vault e quatro conjuntos de passos para, em primeiro lugar, extrair a sua chave de software e importá-la para um HSM no local, transferir a chave do seu HSM no local para os HSMs do Azure Information Protection, em seguida transferir os dados do Key Vault para o Azure Information Protection e, por último, transferir os dados de configuração para o Azure Information Protection.This requires the Azure Key Vault BYOK toolset and four sets of steps to first extract your software key and import it to an on-premises HSM, then transfer the key from your on-premises HSM to the Azure Information Protection HSMs, next transfer your Key Vault data to Azure Information Protection, and finally to transfer your configuration data to Azure Information Protection.
Proteção HSM através da utilização de um módulo de hardware de segurança (HSM) a partir de um fornecedor que não seja a ThalesHSM protection by using a hardware security module (HSM) from a supplier other than Thales Gerida pelo cliente (BYOK)Customer-managed (BYOK) Contacte o seu fornecedor do HSM para obter instruções sobre como transferir a chave deste HSM para um módulo de hardware de segurança (HSM) nShield da Thales.Contact the supplier for your HSM for instructions how to transfer your key from this HSM to a Thales nShield hardware security module (HSM). Em seguida, siga as instruções do procedimento de migração Chave protegida por HMS para chave protegida por HMS que se encontram após esta tabela.Then follow the instructions for the HSM-protected key to HSM-protected key migration procedure after this table.
Proteção por palavra-passe através de um fornecedor de serviços de criptografia externoPassword protected by using an external cryptographic provider Gerida pelo cliente (BYOK)Customer-managed (BYOK) Contacte o seu fornecedor de serviços de criptografia para obter instruções sobre como transferir a sua chave para um módulo de hardware de segurança (HSM) nShield da Thales.Contact the supplier for your cryptographic provider for instructions how to transfer your key to a Thales nShield hardware security module (HSM). Em seguida, siga as instruções do procedimento de migração Chave protegida por HMS para chave protegida por HMS que se encontram após esta tabela.Then follow the instructions for the HSM-protected key to HSM-protected key migration procedure after this table.

Se tiver uma chave protegida por HMS que não pode exportar, ainda pode migrar para o Azure Information Protection ao configurar o seu cluster do AD RMS para o modo só de leitura.If you have an HSM-protected key that you cannot export, you can still migrate to Azure Information Protection by configuring your AD RMS cluster for a read-only mode. Neste modo, continua a poder abrir os conteúdos anteriormente protegidos, mas os conteúdos protegidos recentemente utilizam uma nova chave de inquilino gerida por si (BYOK) ou pela Microsoft.In this mode, previously protected content can still be opened but newly protected content uses a new tenant key that is managed by you (BYOK) or managed by Microsoft. Para obter mais informações, veja An update is available for Office to support migrations from AD RMS to Azure RMS (Está disponível uma atualização do Office para suportar migrações do AD RMS para o Azure RMS).For more information, see An update is available for Office to support migrations from AD RMS to Azure RMS.

Antes de começar estes procedimentos de migração de chaves, certifique-se de que consegue aceder aos ficheiros. xml que criou anteriormente, quando exportou os domínios de publicação fidedignos.Before you start these key migration procedures, make sure that you can access the .xml files that you created earlier when you exported the trusted publishing domains. Estes poderão estar guardados, por exemplo, numa pen USB que pode ser movida do servidor do AD RMS para uma estação de trabalho com ligação à Internet.For example, these might be saved to a USB thumb drive that you move from the AD RMS server to the Internet-connected workstation.

Nota

Independentemente da forma como guarda estes ficheiros, siga os procedimentos de segurança recomendados para os proteger, uma vez que estes dados incluem a sua chave privada.However you store these files, use security best practices to protect them because this data includes your private key.

Para concluir o Passo 4, escolha e selecione as instruções para o seu caminho de migração:To complete Step 4, choose and select the instructions for your migration path:

Passo 5:Step 5. ativar o serviço Azure Rights ManagementActivate the Azure Rights Management service

Abra uma sessão do PowerShell e execute os seguintes comandos:Open a PowerShell session and run the following commands:

  1. Ligue ao serviço Azure Rights Management e quando lhe for pedido, especifique as credenciais de administrador global:Connect to the Azure Rights Management service and when prompted, specify your global admin credentials:

     Connect-Aadrmservice
    
  2. Ative o serviço Azure Rights Management:Activate the Azure Rights Management service:

     Enable-Aadrm
    

E se o seu inquilino do Azure Information Protection já estiver ativado?What if your Azure Information Protection tenant is already activated? Se o serviço Azure Rights Management já se encontra ativado para a sua organização e criou modelos personalizados que pretende utilizar após a migração, tem de exportar e importar estes modelos.If the Azure Rights Management service is already activated for your organization, and you have created custom templates that you want to use after the migration, you must export and import these templates. Este procedimento é descrito no passo seguinte.This procedure is covered in the next step.

Passo 6:Step 6. configurar modelos importadosConfigure imported templates

Como os modelos que importou estão predefinidos para o estado Arquivado, tem de alterar este estado para Publicado se quiser que os utilizadores possam utilizar estes modelos com o Azure Rights Management.Because the templates that you imported have a default state of Archived, you must change this state to be Published if you want users to be able to use these templates with the Azure Rights Management service.

Os modelos que importa do AD RMS parecer e comportar-se, tal como modelos personalizados que pode criar no portal do Azure.Templates that you import from AD RMS look and behave just like custom templates that you can create in the Azure portal. Para alterar modelos importados a publicar para que os utilizadores possam ver e selecionar a partir de aplicações, consulte configurar e gerir modelos do Azure Information Protection.To change imported templates to be published so that users can see them and select them from applications, see Configuring and managing templates for Azure Information Protection.

Para além da publicação de modelos recentemente importados, existem apenas duas alterações importantes para os modelos que poderá ter de fazer antes de continuar com a migração.In addition to publishing your newly imported templates, there are just two important changes for the templates that you might need to make before you continue with the migration. Para que os utilizadores tenham uma experiência mais consistente durante o processo de migração, não faça alterações adicionais aos modelos importados, não publique os dois modelos predefinidos do Azure Information Protection nem crie novos modelos nesta altura.For a more consistent experience for users during the migration process, do not make additional changes to the imported templates and do not publish the two default templates that come with Azure Information Protection, or create new templates at this time. Em alternativa, aguarde até que o processo de migração esteja concluído e que tenha desaprovisionado os servidores do AD RMS.Instead, wait until the migration process is complete and you have deprovisioned the AD RMS servers.

As alterações de modelo que poderá ter de fazer para este passo:The template changes that you might need to make for this step:

  • Se criou modelos personalizados no Azure Information Protection antes da migração, tem de os exportar e importar manualmente.If you created Azure Information Protection custom templates before the migration, you must manually export and import them.

  • Se os modelos no AD RMS utilizavam o ANYONE grupo, poderá ter de adicionar utilizadores ou grupos a partir de fora da sua organização.If your templates in AD RMS used the ANYONE group, you might need to add users or groups from outside your organization.

    No AD RMS, o grupo qualquer pessoa direitos para todos os utilizadores autenticados.In AD RMS, the ANYONE group granted rights to all authenticated users. Este grupo é automaticamente convertido em todos os utilizadores no seu inquilino do Azure AD.This group is automatically converted to all users in your Azure AD tenant. Se não pretender conceder direitos para os utilizadores adicionais, é necessária nenhuma ação adicional.If you do not need to grant rights to any additional users, no further action is needed. Mas se estava a utilizar o grupo ANYONE para incluir utilizadores externos, tem de adicionar manualmente estes utilizadores e os direitos que pretende conceder-lhes.But if you were using the ANYONE group to include external users, you must manually add these users and the rights that you want to grant them.

Procedimento se criou modelos personalizados antes da migraçãoProcedure if you created custom templates before the migration

Se tiver criado modelos personalizados antes da migração, antes ou depois de ativar o serviço Azure Rights Management, os modelos não estarão disponíveis para os utilizadores após a migração, mesmo que tenham sido definidos como Publicado.If you created custom templates before the migration, either before or after activating the Azure Rights Management service, templates will not be available to users after the migration, even if they were set to Published. Para que fiquem disponíveis para os utilizadores, tem primeiro de:To make them available to users, you must first do the following:

  1. Identificar estes modelos e anotar o ID de modelo executando Get-AadrmTemplate.Identify these templates and make a note of their template ID, by running the Get-AadrmTemplate.

  2. Exportar os modelos utilizando o cmdlet do PowerShell do Azure RMS, Export-AadrmTemplate.Export the templates by using the Azure RMS PowerShell cmdlet, Export-AadrmTemplate.

  3. Exportar os modelos utilizando o cmdlet do PowerShell do Azure RMS, Import-AadrmTemplate.Import the templates by using the Azure RMS PowerShell cmdlet, Import-AadrmTemplate.

Em seguida, pode publicar ou arquivar estes modelos como faria com qualquer modelo criado após a migração.You can then publish or archive these templates as you would any other template that you create after the migration.

Procedimento se os modelos no AD RMS utilizavam o grupo ANYONEProcedure if your templates in AD RMS used the ANYONE group

Se os modelos no AD RMS utilizavam o ANYONE grupo, este grupo é automaticamente convertido para utilizar o grupo com o nome AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@<nome_de_inquilino >. onmicrosoft.com. Por exemplo, para a Contoso, este grupo poderá ser semelhante ao seguinte: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com. Este grupo contém todos os utilizadores do seu inquilino do Azure AD.If your templates in AD RMS used the ANYONE group, this group is automatically converted to use the group named AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@<tenant_name>.onmicrosoft.com. For example, this group might look like the following for Contoso: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com. This group contains all users from your Azure AD tenant.

Quando gere modelos e as etiquetas no portal do Azure, este grupo é apresentado como nome de domínio do seu inquilino no Azure AD.When you manage templates and labels in the Azure portal, this group displays as your tenant's domain name in Azure AD. Por exemplo, este grupo aspeto que poderá ter o seguinte procedimento para Contoso: contoso.onmicrosoft.com. Para adicionar este grupo, a opção apresenta adicionar <nome da organização >-todos os membros.For example, this group might look like the following for Contoso: contoso.onmicrosoft.com. To add this group, the option displays Add <organization name> - All members.

Se não tiver a certeza se os seus modelos do AD RMS incluem o grupo ANYONE, pode utilizar o script de exemplo do Windows PowerShell para identificar estes modelos.If you're not sure whether your AD RMS templates include the ANYONE group, you can use the following sample Windows PowerShell script to identify these templates. Para obter mais informações sobre como utilizar o Windows PowerShell com o AD RMS, consulte utilizando o Windows PowerShell para administrar o AD RMS.For more information about using Windows PowerShell with AD RMS, see Using Windows PowerShell to Administer AD RMS.

Pode facilmente adicionar utilizadores externos para modelos quando converter estes modelos para etiquetas no portal do Azure.You can easily add external users to templates when you convert these templates to labels in the Azure portal. Em seguida, no adicionar permissões painel, escolha Introduza detalhes especificar manualmente os endereços de e-mail para estes utilizadores.Then, on the Add permissions blade, choose Enter details to manually specify the email addresses for these users.

Para obter mais informações sobre esta configuração, consulte como configurar uma etiqueta para a proteção Rights Management.For more information about this configuration, see How to configure a label for Rights Management protection.

Script de exemplo do Windows PowerShell para identificar modelos do AD RMS que incluem o grupo ANYONESample Windows PowerShell script to identify AD RMS templates that include the ANYONE group

Esta secção contém o script de exemplo para ajudar a identificar os modelos de AD RMS com o grupo ANYONE definido, conforme descrito na secção anterior.This section contains the sample script to help you identify any AD RMS templates that have the ANYONE group defined, as described in the preceding section.

Exclusão de responsabilidade: este script de exemplo não é suportado por nenhum serviço ou programa de suporte padrão da Microsoft.Disclaimer: This sample script is not supported under any Microsoft standard support program or service. Este script de exemplo é fornecido TAL COMO ESTÁ, sem qualquer tipo de garantia.This sample script is provided AS IS without warranty of any kind.

import-module adrmsadmin 

New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost -Force 

$ListofTemplates=dir MyRmsAdmin:\RightsPolicyTemplate

foreach($Template in $ListofTemplates) 
{ 
                $templateID=$Template.id

                $rights = dir MyRmsAdmin:\RightsPolicyTemplate\$Templateid\userright

     $templateName=$Template.DefaultDisplayName 

        if ($rights.usergroupname -eq "anyone")

                         {
                           $templateName = $Template.defaultdisplayname

                           write-host "Template " -NoNewline

                           write-host -NoNewline $templateName -ForegroundColor Red

                           write-host " contains rights for " -NoNewline

                           write-host ANYONE  -ForegroundColor Red
                         }
 } 
Remove-PSDrive MyRmsAdmin -force

Próximos passosNext steps

Avance para a fase 3 – configuração do lado do cliente.Go to phase 3 - client-side configuration.

ComentáriosComments

Antes de inserir um comentário, pedimos-lhe que reveja as nossas Regras básicas.Before commenting, we ask that you review our House rules.