Migrar do AD RMS para o Azure Information ProtectionMigrating from AD RMS to Azure Information Protection

Aplica-se a: Serviços de Gestão de Direitos do Active Directory, Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Utilize o seguinte conjunto de instruções para migrar a implementação dos Serviços de Gestão de Direitos do Active Directory (AD RMS) para o Azure Information Protection.Use the following set of instructions to migrate your Active Directory Rights Management Services (AD RMS) deployment to Azure Information Protection.

Após a migração, os servidores do AD RMS já não estão em utilização mas os utilizadores ainda têm acesso aos documentos e às mensagens de e-mail que a sua organização protegeu com o AD RMS.After the migration, your AD RMS servers are no longer in use but users still have access to documents and email messages that your organization protected by using AD RMS. Os conteúdos protegidos recentemente irão utilizar o serviço Azure Rights Management (Azure RMS) do Azure Information Protection.Newly protected content will use the Azure Rights Management service (Azure RMS) from Azure Information Protection.

Não tem a certeza se esta migração do AD RMS é adequada para a sua organização?Not sure whether this AD RMS migration is right for your organization?

Ainda que não seja obrigatório, poderá considerar útil a leitura da seguinte documentação antes de iniciar a migração.Although not required, you might find it useful to read the following documentation before you start the migration. Estes conhecimentos fornecem uma melhor compreensão da forma como a tecnologia funciona quando é relevante para o passo de migração.This knowledge provides you with a better understanding of how the technology works when it is relevant to your migration step.

  • Planear e implementar a sua chave de inquilino do Azure Information Protection: compreenda as opções de gestão de chaves que tem para o seu inquilino do Azure Information Protection em que o equivalente da sua chave SLC na cloud é gerido pela Microsoft (predefinição) ou gerido por si (a configuração "traga a sua própria chave" ou BYOK (Bring Your Own Key)).Planning and implementing your Azure Information Protection tenant key: Understand the key management options that you have for your Azure Information Protection tenant where your SLC key equivalent in the cloud is either managed by Microsoft (the default) or managed by you (the "bring your own key", or BYOK configuration).

  • Deteção do serviço RMS: esta secção das notas de implementação do cliente RMS explica que a ordem para a deteção do serviço é registo, SCP e, em seguida, cloud.RMS service discovery: This section of the RMS client deployment notes explains that the order for service discovery is registry, then SCP, then cloud. Durante o processo de migração, quando o SCP ainda está instalado, o utilizador configura clientes com as definições de registo do seu inquilino do Azure Information Protection para que estes não utilizem o cluster do AD RMS devolvido do SCP.During the migration process when the SCP is still installed, you configure clients with registry settings for your Azure Information Protection tenant so that they do not use the AD RMS cluster returned from the SCP.

  • Descrição geral do conector Microsoft Rights Management: esta secção da documentação do conector RMS explica a forma como os seus servidores no local se podem ligar ao serviço Azure Rights Management para proteger documentos e e-mail.Overview of the Microsoft Rights Management connector: This section from the RMS connector documentation explains how your on-premises servers can connect to the Azure Rights Management service to protect documents and emails.

Além disso, se estiver familiarizado com o funcionamento do AD RMS, poderá achar útil ler a secção como funciona o Azure RMS? Nos bastidores para o ajudar a identificar que processos de tecnologia são iguais ou diferentes na versão na cloud.In addition, if you are familiar with how AD RMS works, you might find it useful to read How does Azure RMS work? Under the hood to help you identify which technology processes are the same or different for the cloud version.

Pré-requisitos para migrar o AD RMS para o Azure Information ProtectionPrerequisites for migrating AD RMS to Azure Information Protection

Antes de iniciar a migração para o Azure Information Protection, certifique-se de que os seguintes pré-requisitos são cumpridos e de que compreende todas as limitações.Before you start the migration to Azure Information Protection, make sure that the following prerequisites are in place and that you understand any limitations.

  • Uma implementação RMS suportada:A supported RMS deployment:

    • As seguintes versões do AD RMS suportam uma migração para o Azure Information Protection:The following releases of AD RMS support a migration to Azure Information Protection:

      • Windows Server 2008 R2 (x64)Windows Server 2008 R2 (x64)

      • Windows Server 2012 (x64)Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)Windows Server 2016 (x64)

    • Todas as topologias válidas do AD RMS são suportadas:All valid AD RMS topologies are supported:

      • Floresta única, cluster RMS únicoSingle forest, single RMS cluster

      • Floresta única, vários clusters RMS só de licenciamentoSingle forest, multiple licensing-only RMS clusters

      • Várias florestas, vários clusters RMSMultiple forests, multiple RMS clusters

      Nota: por predefinição, vários clusters do AD RMS migram para um único inquilino do Azure Information Protection.Note: By default, multiple AD RMS clusters migrate to a single tenant for Azure Information Protection. Se quiser inquilinos separados para o Azure Information Protection, tem de tratá-los como migrações diferentes.If you want separate tenants for Azure Information Protection, you must treat them as different migrations. Uma chave de um cluster do RMS não pode ser importada para mais do que um inquilino.A key from one RMS cluster cannot be imported to more than one tenant.

  • Todos os requisitos para executar o Azure Information Protection, incluindo uma subscrição do Azure Information Protection (o serviço Azure Rights Management não está ativado):All requirements to run Azure Information Protection, including a subscription for Azure Information Protection (the Azure Rights Management service is not activated):

    Consulte Requisitos do Azure Information Protection.See Requirements for Azure Information Protection.

    Tenha em atenção que se tiver computadores a executar o Office 2010, tem de instalar o cliente do Azure Information Protection, porque este cliente permite autenticar os utilizadores para serviços cloud.Note that if you have computers that run Office 2010, you must install the Azure Information Protection client, because this client provides the ability to authenticate users to cloud services. Nas versões mais recentes do Office, o cliente do Azure Information Protection é necessário para a classificação e etiquetagem e é opcional mas recomendado se quiser apenas proteger os dados.For later versions of Office, the Azure Information Protection client is required for classification and labeling, and is optional but recommended if you want to only protect data. Para obter mais informações, veja o Guia do administrador do cliente do Azure Information Protection.For more information, see the Azure Information Protection client admin guide.

    Embora precise de ter uma subscrição do Azure Information Protection para poder migrar a partir do AD RMS, recomendamos que o serviço Rights Management do seu inquilino não seja ativado antes de iniciar a migração.Although you must have a subscription for Azure Information Protection before you can migrate from AD RMS, we recommend that the Rights Management service for your tenant is not activated before you start the migration. O processo de migração inclui este passo de ativação depois de ter exportado as chaves e modelos do AD RMS e de os ter importado para o seu inquilino do Azure Information Protection.The migration process includes this activation step after you have exported keys and templates from AD RMS and imported them to your tenant for Azure Information Protection. No entanto, se o serviço Rights Management já estiver ativado, ainda pode migrar a partir do AD RMS com alguns passos adicionais.However, if the Rights Management service is already activated, you can still migrate from AD RMS with some additional steps.

  • Preparação para o Azure Information Protection:Preparation for Azure Information Protection:

  • Se tiver utilizado a funcionalidade de Gestão de Direitos de Informação (IRM) do Exchange Server (por exemplo, regras de transporte e Outlook Web Access) ou do SharePoint Server com o AD RMS:If you have used the Information Rights Management (IRM) functionality of Exchange Server (for example, transport rules and Outlook Web Access) or SharePoint Server with AD RMS:

    • A IRM não estará disponível nestes servidores durante um curto período de tempoPlan for a short period of time when IRM will not be available on these servers

      Pode continuar a utilizar a IRM nestes servidores após a migração.You can continue to use IRM on these servers after the migration. No entanto, um dos passos da migração é a desativação temporária do serviço de IRM, a instalação e configuração de um conector, a reconfiguração dos servidores e reativação da IRM.However, one of the migration steps is to temporarily disable the IRM service, install and configure a connector, reconfigure the servers, and then re-enable IRM.

      Esta é a única interrupção no serviço durante o processo de migração.This is the only interruption to service during the migration process.

  • Se quiser gerir a sua própria chave de inquilino do Azure Information Protection com uma chave protegida por HSM:If you want to manage your own Azure Information Protection tenant key by using an HSM-protected key:

    • Esta configuração opcional requer o Azure Key Vault e uma subscrição do Azure que suporte o Key Vault com chaves protegidas por HSM.This optional configuration requires Azure Key Vault and an Azure subscription that supports Key Vault with HSM-protected keys. Para obter mais informações, veja a página de Preços do Azure Key Vault.For more information, see the Azure Key Vault Pricing page.

Considerações sobre o modo criptográficoCryptographic mode considerations

Se o cluster de AD RMS está atualmente no modo criptográfico 1, não atualize o cluster para o modo criptográfico 2 antes de começar a migração.If your AD RMS cluster is currently in Cryptographic Mode 1, do not upgrade the cluster to Cryptographic Mode 2 before you start the migration. Em vez disso, migrar através do modo criptográfico 1 e pode recodificar a chave de inquilino no final da migração, como uma das tarefas de migração post.Instead, migrate using Cryptographic Mode 1 and you can rekey your tenant key at the end of the migration, as one of the post migration tasks.

Para confirmar o Modo Criptográfico do AD RMS:To confirm the AD RMS cryptographic mode:

Limitações da migraçãoMigration limitations

  • Se tiver software e clientes que não são suportados pelo serviço Rights Management utilizado pelo Azure Information Protection, estes não poderão proteger ou consumir conteúdos protegidos pelo Azure Rights Management.If you have software and clients that are not supported by the Rights Management service that is used by Azure Information Protection, they will not be able to protect or consume content that is protected by Azure Rights Management. Certifique-se de que verifica as secções de aplicações e clientes suportados no artigo Requisitos para o Azure Rights Management.Be sure to check the supported applications and clients sections from Requirements for Azure Rights Management.

  • Se a sua implementação do AD RMS estiver configurada para colaborar com parceiros externos (por exemplo, ao utilizar federações ou domínios de utilizadores fidedignos), estes também devem migrar para o Azure Information Protection em simultâneo com a sua migração ou logo que seja possível posteriormente.If your AD RMS deployment is configured to collaborate with external partners (for example, by using trusted user domains or federation), they must also migrate to Azure Information Protection either at the same time as your migration, or as soon as possible afterwards. Para continuarem a aceder a conteúdos que a sua organização protegeu anteriormente com o Azure Information Protection, têm de fazer alterações na configuração de clientes semelhantes às que foram feitas por si e que estão incluídas neste documento.To continue to access content that your organization previously protected by using Azure Information Protection, they must make client configuration changes that are similar to those that you make, and included in this document.

    Devido às possíveis variações de configuração que os seus parceiros possam ter, as instruções exatas para esta reconfiguração não estão incluídas neste documento.Because of the possible configuration variations that your partners might have, exact instructions for this reconfiguration are out of scope for this document. No entanto, pode consultar a secção seguinte para obter orientações de planeamento e se precisar de ajuda adicional, contacte o Suporte da Microsoft.However, see the next section for planning guidance and for additional help, contact Microsoft Support.

Planeamento da migração se colaborar com parceiros externosMigration planning if you collaborate with external partners

Inclua os seus parceiros de AD RMS na fase de planeamento da migração porque estes também têm de migrar para o Azure Information Protection.Include your AD RMS partners in your planning phase for migration because they must also migrate to Azure Information Protection. Antes de efetuar os seguintes passos de migração, certifique-se de que os parceiros cumprem os seguintes requisitos:Before you do any of the following migration steps, make sure that the following is in place:

  • Têm um inquilino do Azure Active Directory que suporta o serviço Azure Rights Management.They have an Azure Active Directory tenant that supports the Azure Rights Management service.

    Por exemplo, têm uma subscrição do Office 365 E3 ou E5, uma subscrição Enterprise Mobility + Security ou uma subscrição autónoma do Azure Information Protection.For example, they have an Office 365 E3 or E5 subscription, or an Enterprise Mobility + Security subscription, or a standalone subscription for Azure Information Protection.

  • O serviço Azure Rights Management dos parceiros ainda não está ativado mas estes sabem o URL do serviço Azure Rights Management.Their Azure Rights Management service is not yet activated but they know their Azure Rights Management service URL.

    Podem obter estas informações ao instalar a Ferramenta do Azure Rights Management, ao ligar ao serviço (Connect-AadrmService) e, em seguida, ao ver as informações do inquilino do serviço Azure Rights Management (Get-AadrmConfiguration).They can get this information by installing the Azure Rights Management Tool, connecting to the service (Connect-AadrmService), and then viewing their tenant information for the Azure Rights Management service (Get-AadrmConfiguration).

  • Fornecem-lhe os URLs para o respetivo cluster do AD RMS e o URL do serviço Azure Rights Management, para que possa configurar os seus clientes migrados para redirecionar pedidos para os conteúdos protegidos do AD RMS deles para o serviço Azure Rights Management do inquilino.They provide you with the URLs for their AD RMS cluster and their Azure Rights Management service URL, so that you can configure your migrated clients to redirect requests for their AD RMS protected content to their tenant's Azure Rights Management service. As instruções para configurar o redirecionamento de clientes encontram-se no passo 7.Instructions for configuring client redirection are in step 7.

  • Importam as chaves de raiz do cluster do AD RMS (SLC) para o inquilino antes de começar a migrar os seus utilizadores.They import their AD RMS cluster root keys (SLC) into their tenant before you start to migrate your users. De igual modo, tem de importar as suas chaves de raiz do cluster do AD RMS antes de começarem a migrar os respetivos utilizadores.Similarly, you must import your AD RMS cluster root keys before they start to migrate their users. As instruções para importar a chave estão abrangidas neste processo de migração, no Passo 4. Exportar os dados de configuração do AD RMS e importá-los para o Azure Information Protection.Instructions for importing the key are covered in this migration process, Step 4. Export configuration data from AD RMS and import it to Azure Information Protection.

Descrição geral dos passos para migrar o AD RMS para o Azure Information ProtectionOverview of the steps for migrating AD RMS to Azure Information Protection

Os passos de migração podem ser divididos em cinco fases que podem ser efetuadas em alturas diferentes e por administradores diferentes.The migration steps can be divided into five phases that can be done at different times, and by different administrators.

FASE 1: PREPARAÇÃO DA MIGRAÇÃOPHASE 1: MIGRATION PREPARATION

  • Passo 1: transferir a Ferramenta de Administração do Azure RMS Management e identificar o URL de inquilinoStep 1: Download the Azure RMS Management Administration Tool and identify your tenant URL

    O processo de migração requer a execução de um ou mais cmdlets do PowerShell do módulo do Azure RMS que é instalado com a Ferramenta de Administração do Azure RMS Management.The migration process requires you to run one or more of the PowerShell cmdlets from the Azure RMS module that is installed with the Azure RMS Management Administration Tool. Também precisará de saber o URL do serviço Azure Rights Management do seu inquilino para concluir vários passos da migração.You also need to know your tenant's Azure Rights Management service URL to complete many of the migration steps. Pode identificar este valor através do PowerShell.You can identity this value by using PowerShell.

  • Passo 2: preparar a migração de clientesStep 2. Prepare for client migration

    Se não conseguir migrar todos os clientes de uma só vez e os migrar em lotes, utilize os controlos de inclusão e implemente um script de pré-migração.If you cannot migrate all clients at once and will migrate them in batches, use onboarding controls and deploy a pre-migration script. No entanto, se irá migrar tudo em simultâneo em vez de efetuar uma migração faseada, pode ignorar este passo.However, if you will migrate everything at the same time rather than do a phased migration, you can skip this step.

  • Passo 3: preparar a implementação do Exchange para a migraçãoStep 3: Prepare your Exchange deployment for migration

    Este passo é necessário se utilizar atualmente a funcionalidade da IRM do Exchange Online ou Exchange no local para proteger e-mails.This step is required if you currently use the IRM feature of Exchange Online or Exchange on-premises to protect emails. No entanto, se irá migrar tudo em simultâneo em vez de efetuar uma migração faseada, pode ignorar este passo.However, if you will migrate everything at the same time rather than do a phased migration, you can skip this step.

FASE 2: CONFIGURAÇÃO DO AD RMS DO LADO DO SERVIDORPHASE 2: SERVER-SIDE CONFIGURATION FOR AD RMS

  • Passo 4: exportar os dados de configuração do AD RMS e importá-los para o Azure Information ProtectionStep 4. Export configuration data from AD RMS and import it to Azure Information Protection

    Exporte os dados de configuração (chaves, modelos, URLs) do AD RMS para um ficheiro XML e, em seguida, carregue esse ficheiro para o serviço Azure Rights Management do Azure Information Protection através do cmdlet Import-AadrmTpd do PowerShell.You export the configuration data (keys, templates, URLs) from AD RMS to an XML file, and then upload that file to the Azure Rights Management service from Azure Information Protection, by using the Import-AadrmTpd PowerShell cmdlet. Em seguida, identifique a chave do Certificado de Licenciante para Servidor (SLC) importada para utilizar como a chave de inquilino no serviço do Azure Rights Management.Then, identify which imported Server Licensor Certificate (SLC) key to use as your tenant key for the Azure Rights Management service. Podem ser necessários passos adicionais, dependendo da configuração da sua chave do AD RMS:Additional steps might be needed, depending on your AD RMS key configuration:

    • Migração de chave protegida por software para chave protegida por software:Software-protected key to software-protected key migration:

      Chaves geridas centralmente com base em palavras-passe no AD RMS para a chave de inquilino do Azure Information Protection gerida pela Microsoft.Centrally managed, password-based keys in AD RMS to Microsoft-managed Azure Information Protection tenant key. Este é o caminho de migração mais simples e não são necessários passos adicionais.This is the simplest migration path and no additional steps are required.

    • Migração de chave protegida por HSM para chave protegida por HSM:HSM-protected key to HSM-protected key migration:

      Chaves que são armazenadas por um HSM do AD RMS para a chave de inquilino do Azure Information Protection gerida pelo cliente (o cenário "traga a sua própria chave" ou BYOK).Keys that are stored by an HSM for AD RMS to customer-managed Azure Information Protection tenant key (the “bring your own key” or BYOK scenario). Isto requer passos adicionais para transferir a chave do seu HSM da Thales no local para o Azure Key Vault e autorizar o serviço Azure Rights Management a utilizar esta chave.This requires additional steps to transfer the key from your on-premises Thales HSM to Azure Key Vault and authorize the Azure Rights Management service to use this key. A sua chave existente protegida por HSM tem de ser protegida por módulo. As chaves protegidas por OCS não são suportadas pelos Rights Management Services.Your existing HSM-protected key must be module-protected; OCS-protected keys are not supported by Rights Management services.

    • Migração de chave protegida por software para chave protegida por HSM:Software-protected key to HSM-protected key migration:

      Chaves geridas centralmente e baseadas em palavras-passe no AD RMS para a chave de inquilino do Azure Information Protection gerida pelo cliente (o cenário "traga a sua própria chave" ou BYOK).Centrally managed, password-based keys in AD RMS to customer-managed Azure Information Protection tenant key (the “bring your own key” or BYOK scenario). Esta é a migração que requer mais configuração porque tem primeiro de extrair a chave de software e importá-la para um HSM no local e, em seguida, efetuar os passos adicionais para transferir a chave do seu HSM da Thales no local para um HSM do Azure Key Vault e autorizar o serviço Azure Rights Management a utilizar o cofre de chaves que armazena a chave.This requires the most configuration because you must first extract your software key and import it to an on-premises HSM, and then do the additional steps to transfer the key from your on-premises Thales HSM to an Azure Key Vault HSM and authorize the Azure Rights Management service to use the key vault that stores the key.

  • Passo 5: ativar o serviço Azure Rights ManagementStep 5. Activate the Azure Rights Management service

    Se possível, efetue este passo depois do processo de importação e não antes.If possible, do this step after the import process and not before. Será necessário realizar passos adicionais se o serviço tiver sido ativado antes da importação.Additional steps are required if the service was activated before the import.

  • Passo 6: configurar modelos importadosStep 6. Configure imported templates

    Quando importar os seus modelos de política de direitos, o estado dos mesmos é arquivado.When you import your rights policy templates, their status is archived. Se pretender que os utilizadores os possam ver e utilizar, tem de alterar o estado do modelo para publicado no portal clássico do Azure.If you want users to be able to see and use them, you must change the template status to be published in the Azure classic portal.

FASE 3: CONFIGURAÇÃO DO LADO DO CLIENTEPHASE 3: CLIENT-SIDE CONFIGURATION

  • Passo 7: Reconfigurar computadores Windows para utilizar o Azure Information ProtectionStep 7: Reconfigure Windows computers to use Azure Information Protection

    Os computadores Windows existentes têm de ser reconfigurados para utilizar o serviço Azure Rights Management em vez do AD RMS.Existing Windows computers must be reconfigured to use the Azure Rights Management service instead of AD RMS. Este passo aplica-se aos computadores na sua organização e aos computadores nas organizações parceiras, caso tenha colaborado com as mesmas enquanto executou o AD RMS.This step applies to computers in your organization, and to computers in partner organizations if you have collaborated with them while you were running AD RMS.

FASE 4: CONFIGURAÇÃO DE SERVIÇOS DE SUPORTEPHASE 4: SUPPORTING SERVICES CONFIGURATION

  • Passo 8: configurar a integração de IRM para o Exchange OnlineStep 8: Configure IRM integration for Exchange Online

    Este passo conclui a migração do AD RMS para o Exchange Online para utilizar o serviço Azure Rights Management.This step completes the AD RMS migration for Exchange Online to now use the Azure Rights Management service.

  • Passo 9: configurar a integração de IRM para o Exchange Server e SharePoint ServerStep 9: Configure IRM integration for Exchange Server and SharePoint Server

    Este passo conclui a migração do AD RMS para o Exchange ou SharePoint no local para utilizar o serviço Azure Rights Management, que necessita da implementação do conector Rights Management.This step completes the AD RMS migration for Exchange or SharePoint on-premises to now use the Azure Rights Management service, which requires deploying the Rights Management connector.

FASE 5: TAREFAS DE PÓS-MIGRAÇÃOPHASE 5: POST MIGRATION TASKS

  • Passo 10: desaprovisionar o AD RMSStep 10: Deprovision AD RMS

    Quando tiver confirmado que todos os computadores Windows estiver a utilizar o serviço Azure Rights Management e já não acedem aos seus servidores AD RMS, pode desaprovisionar a implementação do AD RMS.When you have confirmed that all Windows computers are using the Azure Rights Management service and are no longer accessing your AD RMS servers, you can deprovision your AD RMS deployment.

  • Passo 11: Concluir tarefas de migração de clienteStep 11: Complete client migration tasks

    Se tiver implementado o extensão do dispositivo móvel para suportar dispositivos móveis, como telemóveis de iOS e iPads, telemóveis Android e tablets, Windows phone e computadores Mac, tem de remover os registos SRV no DNS que redirecionou estes clientes Para utilizar o AD RMS.If you have deployed the mobile device extension to support mobile devices such as iOS phones and iPads, Android phones and tablets, Windows phone, and Mac computers, you must remove the SRV records in DNS that redirected these clients to use AD RMS.

    Os controlos de inclusão que configurou durante a fase de preparação já não são necessários.The onboarding controls that you configured during the preparation phase are no longer needed. No entanto, se não utilizou controlos de inclusão porque optar por migrar tudo ao mesmo tempo, em vez de efetuar uma migração faseada, pode ignorar as instruções para remover os controlos de inclusão.However, if you did not use onboarding controls because you chose to migrate everything at the same time rather than do a phased migration, you can skip the instructions to remove the onboarding controls.

    Se os computadores com o Windows estiver a executar o Office 2010, verifique se tem de desativar o gestão de modelos de política de direitos de RMS do AD (automatizada) tarefas.If your Windows computers are running Office 2010, check whether you need to disable the AD RMS Rights Policy Template Management (Automated) task.

  • Passo 12: Recodificar a chave de inquilino do Azure Information ProtectionStep 12: Rekey your Azure Information Protection tenant key

    Este passo é recomendado se não estivesse a executar no modo criptográfico 2 antes da migração.This step is recommended if you were not running in Cryptographic Mode 2 before the migration.

Próximos passosNext steps

Para iniciar a migração, avance para a Fase 1 – preparação.To start the migration, go to Phase 1 - preparation.

ComentáriosComments

Antes de inserir um comentário, pedimos-lhe que reveja as nossas Regras básicas.Before commenting, we ask that you review our House rules.