Migrating from AD RMS to Azure Information Protection (Migrar do AD RMS para o Azure Information Protection)

Use o conjunto de instruções a seguir para migrar sua implantação do Ative Directory Rights Management Services (AD RMS) para a Proteção de Informações do Azure.

Após a migração, os servidores AD RMS não estão mais em uso, mas os usuários ainda têm acesso a documentos e mensagens de email que sua organização protegeu usando o AD RMS. O conteúdo recém-protegido usará o serviço Azure Rights Management (Azure RMS) da Proteção de Informações do Azure.

Embora não seja necessário, você pode achar útil ler a documentação a seguir antes de iniciar a migração. Esse conhecimento fornece uma melhor compreensão de como a tecnologia funciona quando é relevante para sua etapa de migração.

Além disso, se você não estiver familiarizado com o funcionamento do AD RMS, talvez seja útil ler Como funciona o Azure RMS? Sob o capô para ajudá-lo a identificar quais processos de tecnologia são iguais ou diferentes para a versão em nuvem.

Pré-requisitos para migrar o AD RMS para a Proteção de Informações do Azure

Antes de iniciar a migração para a Proteção de Informações do Azure, certifique-se de que os seguintes pré-requisitos estão em vigor e de que compreende quaisquer limitações.

  • Uma implantação do RMS suportada:

    • As seguintes versões do AD RMS dão suporte a uma migração para a Proteção de Informações do Azure:

      • Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)

    • Todas as topologias válidas do AD RMS são suportadas:

      • Floresta única, cluster RMS único

      • Floresta única, vários clusters RMS somente de licenciamento

      • Várias florestas, vários clusters RMS

      Nota

      Por padrão, vários clusters AD RMS migram para um único locatário para a Proteção de Informações do Azure. Se quiser locatários separados para a Proteção de Informações do Azure, você deve tratá-los como migrações diferentes. Uma chave de um cluster RMS não pode ser importada para mais de um locatário.

  • Todos os requisitos para executar a Proteção de Informações do Azure, incluindo uma assinatura para a Proteção de Informações do Azure (o serviço Azure Rights Management não está ativado):

    Consulte Requisitos para a Proteção de Informações do Azure.

    O cliente do Azure Information Protection é necessário para classificação e rotulagem, e opcional, mas recomendado se você quiser proteger apenas os dados.

    Para obter mais informações, consulte os guias de administração do cliente de rotulagem unificada da Proteção de Informações do Azure.

    Embora você deva ter uma assinatura da Proteção de Informações do Azure antes de migrar do AD RMS, recomendamos que o serviço Rights Management para seu locatário não seja ativado antes de iniciar a migração.

    O processo de migração inclui esta etapa de ativação depois de exportar chaves e modelos do AD RMS e importá-los para seu locatário para a Proteção de Informações do Azure. No entanto, se o serviço Rights Management já estiver ativado, você ainda poderá migrar do AD RMS com algumas etapas adicionais.

    Apenas Office 2010:

    Se você tiver computadores que executam o Office 2010, deverá instalar o cliente do Azure Information Protection para fornecer a capacidade de autenticar usuários em serviços de nuvem.

    Importante

    O suporte estendido do Office 2010 terminou em 13 de outubro de 2020. Para obter mais informações, consulte AIP e versões herdadas do Windows e do Office.

  • Preparação para a Proteção de Informações do Azure:

  • Se você tiver usado a funcionalidade Gerenciamento de Direitos de Informação (IRM) do Exchange Server (por exemplo, regras de transporte e Outlook Web Access) ou do SharePoint Server com AD RMS:

    • Planeje por um curto período de tempo quando o IRM não estará disponível nesses servidores

      Você pode continuar a usar o IRM nesses servidores após a migração. No entanto, uma das etapas de migração é desabilitar temporariamente o serviço IRM, instalar e configurar um conector, reconfigurar os servidores e, em seguida, reativar o IRM.

      Esta é a única interrupção do serviço durante o processo de migração.

  • Se você quiser gerenciar sua própria chave de locatário da Proteção de Informações do Azure usando uma chave protegida por HSM:

    • Esta configuração opcional requer o Azure Key Vault e uma subscrição do Azure que suporte o Key Vault com chaves protegidas por HSM. Para obter mais informações, consulte a página Preços do Azure Key Vault.

Considerações sobre o modo criptográfico

Se o cluster AD RMS estiver atualmente no Modo Criptográfico 1, não atualize o cluster para o Modo Criptográfico 2 antes de iniciar a migração. Em vez disso, migre usando o Modo Criptográfico 1 e você pode rechavear sua chave de locatário no final da migração, como uma das tarefas pós-migração.

Para confirmar o modo criptográfico do AD RMS para Windows Server 2012 R2 e Windows 2012: guia Geral das propriedades> do cluster AD RMS.

Limitações da migração

  • Se você tiver software e clientes que não são suportados pelo serviço Rights Management usado pela Proteção de Informações do Azure, eles não poderão proteger ou consumir conteúdo protegido pelo Azure Rights Management. Certifique-se de verificar as seções de aplicativos e clientes com suporte em Requisitos para a Proteção de Informações do Azure.

  • Se a implantação do AD RMS estiver configurada para colaborar com parceiros externos (por exemplo, usando domínios de usuário confiáveis ou federação), eles também deverão migrar para a Proteção de Informações do Azure ao mesmo tempo que a migração ou o mais rápido possível depois. Para continuar a acessar o conteúdo que sua organização protegia anteriormente usando a Proteção de Informações do Azure, eles devem fazer alterações na configuração do cliente semelhantes às que você faz e incluídas neste documento.

    Devido às possíveis variações de configuração que seus parceiros podem ter, as instruções exatas para essa reconfiguração estão fora do escopo deste documento. No entanto, consulte a próxima seção para obter orientações de planejamento e para obter ajuda adicional, entre em contato com o Suporte da Microsoft.

Planejamento de migração se você colaborar com parceiros externos

Inclua seus parceiros do AD RMS na fase de planejamento da migração, pois eles também devem migrar para a Proteção de Informações do Azure. Antes de executar qualquer uma das seguintes etapas de migração, verifique se o seguinte está em vigor:

  • Eles têm um locatário do Microsoft Entra que dá suporte ao serviço Azure Rights Management.

    Por exemplo, eles têm uma assinatura do Office 365 E3 ou E5, ou uma assinatura do Enterprise Mobility + Security ou uma assinatura autônoma da Proteção de Informações do Azure.

  • O serviço Azure Rights Management ainda não está ativado, mas eles sabem a URL do serviço Azure Rights Management.

    Eles podem obter essas informações instalando a Ferramenta Azure Rights Management, conectando-se ao serviço (Connect-AipService) e, em seguida, exibindo suas informações de locatário para o serviço Azure Rights Management (Get-AipServiceConfiguration).

  • Eles fornecem as URLs para o cluster AD RMS e a URL do serviço Azure Rights Management, para que você possa configurar seus clientes migrados para redirecionar solicitações de conteúdo protegido pelo AD RMS para o serviço Azure Rights Management do locatário. As instruções para configurar o redirecionamento do cliente estão na etapa 7.

  • Eles importam suas chaves raiz de cluster (SLC) do AD RMS para o locatário antes de começar a migrar os usuários. Da mesma forma, você deve importar as chaves raiz do cluster AD RMS antes que elas comecem a migrar seus usuários. As instruções para importar a chave são abordadas neste processo de migração, Etapa 4. Exporte dados de configuração do AD RMS e importe-os para a Proteção de Informações do Azure.

Visão geral das etapas para migrar o AD RMS para a Proteção de Informações do Azure

As etapas de migração podem ser divididas em cinco fases que podem ser feitas em momentos diferentes e por administradores diferentes.

Fase 1: Preparação da migração

Para obter mais informações, consulte FASE 1: PREPARAÇÃO DA MIGRAÇÃO.

Etapa 1: Instalar o módulo AIPService PowerShell e identificar a URL do locatário

O processo de migração requer que você execute um ou mais cmdlets do PowerShell a partir do módulo AIPService. Você precisará saber a URL do serviço Azure Rights Management do locatário para concluir muitas das etapas de migração e poderá identificar esse valor usando o PowerShell.

Passo 2. Prepare-se para a migração do cliente

Se você não puder migrar todos os clientes de uma só vez e os migrará em lotes, use controles de integração e implante um script de pré-migração. No entanto, se você migrar tudo ao mesmo tempo em vez de fazer uma migração em fases, poderá ignorar esta etapa.

Etapa 3: Preparar a implantação do Exchange para migração

Esta etapa é necessária se você usa atualmente o recurso IRM do Exchange Online ou do Exchange local para proteger emails. No entanto, se você migrar tudo ao mesmo tempo em vez de fazer uma migração em fases, poderá ignorar esta etapa.

Fase 2: Configuração do lado do servidor para AD RMS

Para obter mais informações, consulte FASE 2: CONFIGURAÇÃO DO LADO DO SERVIDOR PARA AD RMS.

Passo 4. Exportar dados de configuração do AD RMS e importá-los para a Proteção de Informações do Azure

Exporte os dados de configuração (chaves, modelos, URLs) do AD RMS para um ficheiro XML e, em seguida, carregue esse ficheiro para o serviço Azure Rights Management a partir da Proteção de Informações do Azure, utilizando o cmdlet Import-AipServiceTpd PowerShell. Em seguida, identifique qual chave de Certificado de Licenciante de Servidor (SLC) importada deve ser usada como sua chave de locatário para o serviço Azure Rights Management. Etapas adicionais podem ser necessárias, dependendo da configuração da chave do AD RMS:

  • Chave protegida por software para migração de chave protegida por software:

    Chaves baseadas em palavra-passe geridas centralmente no AD RMS para a chave de inquilino da Proteção de Informações do Azure gerida pela Microsoft. Este é o caminho de migração mais simples e nenhuma etapa adicional é necessária.

  • Chave protegida por HSM para migração de chave protegida por HSM:

    Chaves armazenadas por um HSM para AD RMS para a chave de locatário da Proteção de Informações do Azure gerenciada pelo cliente (o cenário "traga sua própria chave" ou BYOK). Isso requer etapas adicionais para transferir a chave do seu nCipher HSM local para o Azure Key Vault e autorizar o serviço Azure Rights Management a usar essa chave. Sua chave protegida por HSM existente deve ser protegida por módulo; As chaves protegidas pelo OCS não são suportadas pelos serviços Rights Management.

  • Chave protegida por software para migração de chave protegida por HSM:

    Chaves baseadas em palavra-passe geridas centralmente no AD RMS para a chave de inquilino da Proteção de Informações do Azure gerida pelo cliente (o cenário "traga a sua própria chave" ou BYOK). Isso requer mais configuração, pois você deve primeiro extrair sua chave de software e importá-la para um HSM local e, em seguida, executar as etapas adicionais para transferir a chave do HSM nCipher local para um HSM do Cofre de Chaves do Azure e autorizar o serviço Azure Rights Management a usar o cofre de chaves que armazena a chave.

Passo 5. Ativar o serviço Azure Rights Management

Se possível, faça esta etapa após o processo de importação e não antes. Etapas adicionais são necessárias se o serviço foi ativado antes da importação.

Passo 6. Configurar modelos importados

Quando você importa seus modelos de política de direitos, o status deles é arquivado. Se quiser que os usuários possam vê-los e usá-los, altere o status do modelo a ser publicado no portal clássico do Azure.

Fase 3: Configuração do lado do cliente

Para obter mais informações, consulte FASE 3: CONFIGURAÇÃO DO LADO DO CLIENTE.

Etapa 7: Reconfigurar computadores Windows para usar a Proteção de Informações do Azure

Os computadores Windows existentes devem ser reconfigurados para usar o serviço Azure Rights Management em vez do AD RMS. Esta etapa se aplica a computadores em sua organização e a computadores em organizações parceiras se você tiver colaborado com eles enquanto estava executando o AD RMS.

Fase 4: Suporte à configuração de serviços

Para obter mais informações, consulte FASE 4: CONFIGURAÇÃO DE SERVIÇOS DE SUPORTE.

Etapa 8: Configurar a integração do IRM para o Exchange Online

Esta etapa conclui a migração do AD RMS para o Exchange Online para agora usar o serviço Azure Rights Management.

Etapa 9: Configurar a integração do IRM para o Exchange Server e o SharePoint Server

Esta etapa conclui a migração do AD RMS para Exchange ou SharePoint local para agora usar o serviço Azure Rights Management, que requer a implantação do conector Rights Management.

Fase 5: Tarefas pós-migração

Para obter mais informações, consulte FASE 5: TAREFAS PÓS-MIGRAÇÃO.

Etapa 10: Desprovisionar o AD RMS

Quando tiver confirmado que todos os computadores Windows estão a utilizar o serviço Azure Rights Management e já não estão a aceder aos seus servidores AD RMS, pode anular a implementação do AD RMS.

Etapa 11: Concluir as tarefas de migração do cliente

Se você implantou a extensão de dispositivo móvel para oferecer suporte a dispositivos móveis, como telefones e iPads iOS, telefones e tablets Android, telefones e tablets Windows e computadores Mac, deverá remover os registros SRV no DNS que redirecionaram esses clientes para usar o AD RMS.

Os controles de integração que você configurou durante a fase de preparação não são mais necessários. No entanto, se você não usou controles de integração porque optou por migrar tudo ao mesmo tempo em vez de fazer uma migração em fases, poderá ignorar as instruções para remover os controles de integração.

Se os seus computadores Windows estiverem a executar o Office 2010, verifique se precisa de desativar a tarefa de Gestão de Modelo de Política de Direitos do AD RMS (Automatizada).

Importante

O suporte estendido do Office 2010 terminou em 13 de outubro de 2020. Para obter mais informações, consulte AIP e versões herdadas do Windows e do Office.

Etapa 12: Rechaveie sua chave de locatário da Proteção de Informações do Azure

Esta etapa é recomendada se você não estava executando no Modo Criptográfico 2 antes da migração.

Próximos passos

Para iniciar a migração, vá para a Fase 1 - preparação.