Этап 5 перехода. Задачи, выполняемые после миграции

Область применения: службы Active Directory Rights Management, Azure Information Protection, Office 365

К чему относится: клиент унифицированных меток и классический клиент AIP

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения см. в недавней записи блога о прекращении использования.

В этой статье приведены сведения по пятому этапу перехода с AD RMS на службу Azure Information Protection. Действия охватывают 10 и 12 шаги перехода с AD RMS на службу Azure Information Protection.

Шаг 10. Отмена подготовки AD RMS

Удалите точку подключения службы (SCP) из Active Directory, чтобы предотвратить обнаружение локальной инфраструктуры Rights Management локальными компьютерами. Это необязательно для переносимых существующих клиентов благодаря перенаправлению, которое было настроено в реестре (например, путем запуска сценария миграции). Но при удалении SCP новые клиенты, а также службы и инструменты, потенциально связанные с RMS, не смогут обнаружить SCP после завершения миграции. На этом этапе все подключения должны поступать в службу Azure Rights Management.

Чтобы удалить SCP, убедитесь, что вошли с правами администратора корпоративного домена. Затем сделайте следующее.

  1. В консоли служб Active Directory Rights Management щелкните правой кнопкой мыши кластер AD RMS и выберите Свойства.

  2. Перейдите на вкладку SCP.

  3. Установите флажок Сменить SCP.

  4. Выберите Удалить текущую SCP, а затем нажмите кнопку ОК.

Контролируйте активность серверов AD RMS. Например, проверяйте запросы в отчете о работоспособности системы, таблицу ServiceRequest или выполняйте аудит доступа пользователей к защищенному содержимому.

После подтверждения того, что клиенты службы RMS больше не взаимодействуют с этими серверами, а успешно используют службу Azure Information Protection, можно удалить роль сервера службы AD RMS с этих серверов. Если вы используете выделенные серверы, вы можете предпочесть предупреждающий шаг первого завершения работы серверов в течение определенного периода времени. Это позволит избежать проблем, которые могут потребовать перезагрузки этих серверов для обеспечения непрерывной работы службы в то время, когда вы будете анализировать, по какой причине клиенты не пользуются Azure Information Protection.

После отмены подготовки серверов AD RMS, возможно, потребуется ознакомиться с шаблоном и метками. Например, можно преобразовать шаблоны в метки, консолидировать их таким образом, чтобы пользователи могли выбирать из них меньше или перенастраивать их. Кроме того, будет полезно публиковать шаблоны по умолчанию.

Для меток чувствительности и клиента единой метки используйте центр соответствия Microsoft 365. Дополнительные сведения см. в документации по Microsoft 365.

Если вы используете классическое клиент, используйте портал Azure. Дополнительные сведения см. в статье Настройка шаблонов и управление ими в Azure Information Protection.

Важно!

В конце этой миграции AD RMS кластер нельзя использовать с Azure Information Protection и параметром, содержащим собственный ключ (HYOK).

Если вы используете класс Classic Client с HYOK, из-за перенаправлений, которые сейчас используются, то в используемом кластере AD RMS должны быть разные адреса URL лицензирования для тех, которые были перенесены.

Дополнительная настройка для компьютеров под управлением Office 2010

Важно!

Расширенная поддержка Office 2010 завершилась13 октября 2020 г. Дополнительные сведения см. в разделе AIP и устаревшие версии Windows и Office.

Если перенесенные клиенты работают под управлением Office 2010, пользователи могут столкнуться с задержками при открытии защищенного содержимого после отмены подготовки AD RMS серверов. Или пользователи могут видеть сообщения, у которых нет учетных данных для открытия защищенного содержимого. Чтобы устранить эти проблемы, создайте перенаправление сети для этих компьютеров, которое перенаправляет AD RMS полное доменное имя URL-адреса на локальный IP-адрес компьютера (127.0.0.1). Это можно сделать, настроив локальный файл hosts на каждом компьютере или используя DNS.

  • Перенаправление через локальный файл hosts: добавьте следующую строку в локальный файл hosts, заменив <AD RMS URL FQDN> значением AD RMS кластера без префиксов или веб-страниц:

    127.0.0.1 <AD RMS URL FQDN>
    
  • Перенаправление через DNS: Создайте новую запись узла (a) для полного доменного имени URL-адреса AD RMS с IP-адресом 127.0.0.1.

Шаг 11. Завершение задач миграции клиента

В клиентах для мобильных устройств и на компьютерах Mac удалите записи SRV DNS, созданные при развертывании расширения AD RMS для мобильных устройств.

После распространения этих изменений DNS эти клиенты автоматически обнаруживают и начинают использовать службу Rights Management Azure. При этом компьютеры Mac с Office для Mac кэшируют сведения из AD RMS. В этом случае процесс может занять до 30 дней.

Чтобы сразу принудительно запустить на компьютерах Mac процесс обнаружения, используйте в цепочке ключей поиск по запросу "adal" и удалите все записи ADAL. Затем запустите следующие команды на этих компьютерах:


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

После переноса всех существующих компьютеров с Windows в службу Azure Information Protection больше не нужно использовать элементы управления перехода и поддерживать группу AIPMigrated, созданную для выполнения процесса миграции.

Сначала удалите элементы управления перехода. После этого вы сможете удалить группу AIPMigrated и все способы развертывания программного обеспечения, созданные для развертывания скриптов миграции.

Удаление элементов управления перехода

  1. В сеансе PowerShell подключитесь к службе Azure Rights Management и при появлении запроса введите учетные данные глобального администратора.

    Connect-AipService
    
    
  2. Run the following command, and enter Y to confirm:

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
    

    Обратите внимание, что эта команда удаляет принудительно примененные лицензии для службы защиты Azure Rights Management, чтобы все компьютеры могли защищать документы и электронные письма.

  3. Убедитесь, что элементы управления перехода больше не заданы.

    Get-AipServiceOnboardingControlPolicy
    

    В выходных данных параметр License должен иметь значение False, а для SecurityGroupOjbectId не должен отображаться GUID.

Наконец, если вы используете Office 2010 и включили задачу Управление шаблоном политики прав для служб AD RMS (автоматически) в библиотеке планировщика задач Windows, отключите ее, так как клиент Azure Information Protection ее не использует.

Эта задача обычно включается с помощью групповой политики и поддерживает развертывание AD RMS. Эту задачу можно найти в следующем расположении: Microsoft > Windows > службы Active Directory Rights Management Client.

Важно!

Расширенная поддержка Office 2010 завершилась13 октября 2020 г. Дополнительные сведения см. в разделе AIP и устаревшие версии Windows и Office.

Шаг 12. Повторное создание ключа клиента Azure Information Protection

Этот шаг требуется после завершения миграции, если развертывание AD RMS использовало режим шифрования 1 RMS, так как в этом режиме используется 1024-разрядный ключ и SHA-1. Такая конфигурация предполагает предоставление недостаточного уровня защиты. Корпорация Майкрософт не имеет возможности использовать более низкие длины ключей, такие как 1024-разрядные ключи RSA, и связанное использование протоколов, которые предлагают недостаточные уровни защиты, такие как SHA-1.

Переключка приводит к защите, в которой используется режим шифрования 2 RMS, что приводит к 2048-разрядному ключу и SHA-256.

Даже если при развертывании службы AD RMS использовался режим шифрования 2, по-прежнему рекомендуется выполнить этот шаг, так как новый ключ помогает защитить ваш клиент от потенциальных угроз безопасности для ключа AD RMS.

При повторном создании ключа клиента Azure Information Protection (также называется обновлением ключа) текущий действующий ключ архивируется и Azure Information Protection начинает использовать другой указанный вами ключ. Это другой ключ может быть новым ключом, создаваемым в Azure Key Vault, или ключом по умолчанию, который был автоматически создан для вашего клиента.

Переход от одного ключа к другому происходит не сразу, а через несколько недель. Так как переход не выполняется сразу же, не стоит ожидать, пока исходный ключ будет скомпрометирован. Выполните этот шаг сразу же после завершения миграции.

Чтобы повторно создать ключ клиента Azure Information Protection, сделайте следующее:

  • Если ключ клиента управляется корпорацией Майкрософт: выполните командлет PowerShell Set-аипсервицекэйпропертиес и укажите идентификатор ключа, который был автоматически создан для вашего клиента. Можно определить значение, которое нужно указать, выполнив командлет Get-аипсервицекэйс . Ключ, который был автоматически создан для вашего клиента, имеет самую раннюю дату создания, поэтому его можно определить с помощью следующей команды:

    (Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
    
  • Если ваш ключ клиента управляется Вами (BYOK): в Azure Key Vault повторите процесс создания ключа для клиента Azure Information Protection, а затем снова выполните командлет use-аипсервицекэйваулткэй , чтобы указать универсальный код ресурса (URI) для этого нового ключа.

См. дополнительные сведения об операциях с ключом клиента службы Azure Information Protection.

Дальнейшие шаги

Теперь, когда миграция завершена, ознакомьтесь с развернутой схемой развертывания административной защиты для классификации, добавления меток и защита , чтобы найти другие задачи развертывания, которые могут потребоваться.