Fase 5 da migração – tarefas de pós-migraçãoMigration phase 5 - post migration tasks

Aplica-se a: Serviços de Gestão de Direitos do Active Directory, Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Utilize as seguintes informações para a Fase 5 da migração do AD RMS para o Azure Information Protection.Use the following information for Phase 5 of migrating from AD RMS to Azure Information Protection. Estes procedimentos incluem os passos 10 a 12 de Migrar do AD RMS para o Azure Information Protection.These procedures cover steps 10 through 12 from Migrating from AD RMS to Azure Information Protection.

Passo 10:Step 10. Retirar o aprovisionamento do AD RMSDeprovision AD RMS

Remova o Ponto de Ligação de Serviço (SCP) do Active Directory para impedir que os computadores detetem a sua infraestrutura da Gestão de Direitos no local.Remove the Service Connection Point (SCP) from Active Directory to prevent computers from discovering your on-premises Rights Management infrastructure. Isto é opcional para os clientes existentes que migraram devido ao redirecionamento que foi configurado no registo (por exemplo, ao executar o script de migração).This is optional for the existing clients that you migrated because of the redirection that you configured in the registry (for example, by running the migration script). No entanto, remover o SCP impede que novos clientes e serviços potencialmente relacionados com o RMS e as ferramentas de localizar o SCP quando a migração estar concluída.However, removing the SCP prevents new clients and potentially RMS-related services and tools from finding the SCP when the migration is complete. Neste momento, todas as ligações do computador devem passar para o serviço Azure Rights Management.At this point, all computer connections should go to the Azure Rights Management service.

Para remover o SCP, garanta que tem sessão iniciada como administrador da empresa do domínio e, em seguida, utilize o seguinte procedimento:To remove the SCP, make sure that you are logged in as a domain enterprise administrator, and then use the following procedure:

  1. Na consola Serviços de Gestão de Direitos do Active Directory, clique com o botão direito do rato no cluster do AD RMS e, em seguida, clique em Propriedades.In the Active Directory Rights Management Services console, right-click the AD RMS cluster, and then click Properties.

  2. Clique no separador SCP.Click the SCP tab.

  3. Selecione a caixa de verificação Alterar SCP.Select the Change SCP check box.

  4. Selecione Remover SCP atual e, em seguida, clique em OK.Select Remove Current SCP, and then click OK.

Agora a monitorizar os servidores do AD RMS para a atividade.Now monitor your AD RMS servers for activity. Por exemplo, verificar o pedidos no relatório do Estado de funcionamento do sistema, a tabela ServiceRequest ou auditar o acesso de utilizador a conteúdo protegido.For example, check the requests in the System Health report, the ServiceRequest table or audit user access to protected content.

Quando tiver confirmado que os clientes RMS já não estão a comunicar com estes servidores e que os clientes estão a utilizar o Azure Information Protection com êxito, pode remover a função de servidor do AD RMS destes servidores.When you have confirmed that RMS clients are no longer communicating with these servers and that clients are successfully using Azure Information Protection, you can remove the AD RMS server role from these servers. Se estiver a utilizar servidores dedicados, poderá preferir o passo cautelar de começar por encerrar os servidores durante um período de tempo.If you’re using dedicated servers, you might prefer the cautionary step of first shutting down the servers for a period of time. Este fornecem tempo para se certificar de que existem não existem problemas comunicados que exijam reiniciar estes servidores para a continuidade do serviço enquanto estiver a investigar por que razão os clientes não estiver a utilizar o Azure Information Protection.This gives you time to make sure that there are no reported problems that might require you to restart these servers for service continuity while you investigate why clients are not using Azure Information Protection.

Depois de ter desaprovisionada seus servidores AD RMS, pode querer aproveitar a oportunidade para rever os modelos no portal do Azure.After you have deprovisioned your AD RMS servers, you might want to take the opportunity to review your templates in the Azure portal. Por exemplo, convertê-las em etiquetas, consolidá-los para que os utilizadores tenham menos escolher entre ou reconfigurá-las.For example, convert them to labels, consolidate them so that users have fewer to choose between, or reconfigure them. É também uma boa altura para publicar os modelos predefinidos.This would be also a good time to publish the default templates. Para obter mais informações, consulte configurar e gerir modelos do Azure Information Protection.For more information, see Configuring and managing templates for Azure Information Protection.

Importante

No final desta migração, o seu cluster do AD RMS não pode ser utilizado com o Azure Information Protection e a opção "tenha a sua própria chave" (HYOK).At the end of this migration, your AD RMS cluster cannot be used with Azure Information Protection and the hold your own key (HYOK) option. Se optar por utilizar o HYOK para uma etiqueta do Azure Information Protection, por causa dos redirecionamentos que estão em vigor, o cluster do AD RMS que utilizar tem de ter URLs de licenciamento diferentes do que tem nos clusters que migrou.If you decide to use HYOK for an Azure Information Protection label, because of the redirections that are now in place, the AD RMS cluster that you use must have different licensing URLs to the ones in the clusters that you migrated.

Passo 11:Step 11. Reconfigurar clientes de dispositivos móveis e computadores Mac e remover controlos de inclusãoReconfigure mobile device clients and Mac computers, and remove onboarding controls

Para clientes de dispositivos móveis e computadores Mac: remover os registos SRV de DNS que criou quando implementou o extensão de dispositivo móvel do AD RMS.For mobile device clients and Mac computers: Remove the DNS SRV records that you created when you deployed the AD RMS mobile device extension.

Quando estas alterações DNS tem propogated, estes clientes irão detetar automaticamente e começar a utilizar o serviço Azure Rights Management.When these DNS changes have propogated, these clients will automatically discover and start to use the Azure Rights Management service. No entanto, os computadores Mac que executem Office Mac cache as informações do AD RMS.However, Mac computers that run Office Mac cache the information from AD RMS. Para estes computadores, este processo pode demorar até 30 dias.For these computers, this process can take up to 30 days.

Para forçar computadores Mac para executar o processo de deteção imediatamente, na keychain, procure "adal" e elimine todas as entradas ADAL.To force Mac computers to run the discovery process immediately, in the keychain, search for "adal" and delete all ADAL entries. Em seguida, execute os seguintes comandos nestes computadores:Then, run the following commands on these computers:


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

Quando todos os seus computadores Windows existentes tem migrado para o Azure Information Protection, não há nenhuma razão para continuar a utilizar controlos de inclusão e manter o AIPMigrated grupo que criou para o processo de migração.When all your existing Windows computers have migrated to Azure Information Protection, there's no reason to continue to use onboarding controls and maintain the AIPMigrated group that you created for the migration process.

Remova primeiro os controlos de inclusão e, em seguida, pode eliminar o AIPMigrated grupo e qualquer método de implementação de software que criou para implementar os scripts de migração.Remove the onboarding controls first, and then you can delete the AIPMigrated group and any software deployment method that you created to deploy the migration scripts.

Para remover os controlos de inclusão:To remove the onboarding controls:

  1. Numa sessão do PowerShell, ligue ao serviço Azure Rights Management e quando lhe for pedido, especifique as credenciais de administrador global:In a PowerShell session, connect to the Azure Rights Management service and when prompted, specify your global admin credentials:

     Connect-Aadrmservice
    
  2. Execute o seguinte comando e introduza Y para confirmar:Run the following command, and enter Y to confirm:

     Set-AadrmOnboardingControlPolicy -UseRmsUserLicense $False
    

    Tenha em atenção que este comando remove quaisquer imposição de licença para o serviço de proteção do Azure Rights Management, para que todos os computadores possam proteger documentos e e-mails.Note that this command removes any license enforcement for the Azure Rights Management protection service, so that all computers can protect documents and emails.

  3. Confirme que os controlos de inclusão já não estão definidos:Confirm that onboarding controls are no longer set:

     Get-AadrmOnboardingControlPolicy
    

    No resultado, a opção License deve apresentar False e não é apresentado um GUID para SecurityGroupOjbectIdIn the output, License should show False, and there is no GUID displayed for the SecurityGroupOjbectId

Passo 12:Step 12. recodificar a chave de inquilino do Azure Information ProtectionRekey your Azure Information Protection tenant key

Este passo é recomendado quando a migração estiver concluída se a sua implementação do AD RMS estava a utilizar o RMS modo criptográfico 1.This step is recommended when migration is complete if your AD RMS deployment was using RMS Cryptographic Mode 1. Rekeying resulta na proteção que utiliza o RMS modo criptográfico 2.Rekeying results in protection that uses RMS Cryptographic Mode 2.

Mesmo que a implementação do AD RMS estava a utilizar o modo criptográfico 2, recomendamos que execute este passo porque uma nova chave ajuda a proteger o seu inquilino contra potenciais falhas de segurança para a sua chave de AD RMS.Even if your AD RMS deployment was using Cryptographic Mode 2, we still recommend you do this step because a new key helps to protect your tenant from potential security breaches to your AD RMS key.

No entanto, não recodificar se foram a utilizar o Exchange Online com o AD RMS.However, do not rekey if you were using Exchange Online with AD RMS. Exchange Online não suporta a alteração modos criptográficos.Exchange Online does not support changing cryptographic modes.

Quando a recodificar a chave de inquilino do Azure Information Protection (também conhecido como "implementar a chave"), a chave atualmente ativa é arquivada e Azure Information Protection começa a utilizar uma chave diferente que especificar.When you rekey your Azure Information Protection tenant key (also known as "rolling your key"), the currently active key is archived and Azure Information Protection starts to use a different key that you specify. Esta chave diferente pode ser uma nova chave que criar no Cofre de chaves do Azure ou a chave predefinida que foi criada automaticamente para o seu inquilino.This different key could be a new key that you create in Azure Key Vault, or the default key that was automatically created for your tenant.

Mover de uma chave para outra não ocorre imediatamente mas ao longo de algumas semanas.Moving from one key to another doesn’t happen immediately but over a few weeks. Porque não é imediata, não espere até suspeitar uma violação na chave original, mas efetue este passo, assim que a migração estar concluída.Because it's not immediate, do not wait until you suspect a breach to your original key but do this step as soon as the migration is complete.

Para recodificar a chave de inquilino do Azure Information Protection:To rekey your Azure Information Protection tenant key:

  • Se a chave de inquilino é gerida pela Microsoft: executar o cmdlet do PowerShell conjunto AadrmKeyProperties e especificar o identificador da chave para a chave que foi criado automaticamente para o seu inquilino.If your tenant key is managed by Microsoft: Run the PowerShell cmdlet Set-AadrmKeyProperties and specify the key identifier for the key that was automatically created for your tenant. Pode identificar o valor para especificar executando o Get-AadrmKeys cmdlet.You can identify the value to specify by running the Get-AadrmKeys cmdlet. A chave que foi criada automaticamente para o seu inquilino tem a data de criação mais antiga, para que possa identificá-lo utilizando o seguinte comando:The key that was automatically created for your tenant has the oldest creation date, so you can identify it by using the following command:

      (Get-AadrmKeys) | Sort-Object CreationTime | Select-Object -First 1
    
  • Se a sua chave de inquilino é gerida por si (BYOK): no Cofre de chaves do Azure, repita o processo de criação de chaves para o seu inquilino do Azure Information Protection e, em seguida, execute o utilize AadrmKeyVaultKey cmdlet novamente para especificar o URI para esta chave de novo.If your tenant key is managed by you (BYOK): In Azure Key Vault, repeat your key creation process for your Azure Information Protection tenant, and then run the Use-AadrmKeyVaultKey cmdlet again to specify the URI for this new key.

Para obter mais informações sobre a gestão da chave de inquilino do Azure Information Protection, veja Operações para a chave de inquilino do Azure Rights Management.For more information about managing your Azure Information Protection tenant key, see Operations for your Azure Rights Management tenant key.

Passos seguintesNext steps

Agora que concluiu a migração, veja o plano de implementação para identificar quaisquer outras tarefas de implementação que tenha de efetuar.Now that you have completed the migration, review the deployment roadmap to identify any other deployment tasks that you might need to do.

ComentáriosComments

Antes de inserir um comentário, pedimos-lhe que reveja as nossas Regras básicas.Before commenting, we ask that you review our House rules.