Migrering fas 1 - förberedelse

Gäller för:Active Directory Rights Management Services, Azure Information Protection, Office 365

Relevant för:AIP unified labeling client and classic client

Obs!

För att ge en enhetlig och smidig kundupplevelse är den klassiska Azure Information Protection-klienten och Etiketthantering i Azure-portalen inaktuella sedan den 31 mars 2021. Inget ytterligare stöd tillhandahålls för den klassiska klienten och underhållsversioner kommer inte längre att släppas.

Den klassiska klienten upphör officiellt och slutar fungera den 31 mars 2022.

Alla aktuella kunder med Azure Information Protection för klassiska klienter måste migrera till Microsoft Information Protection unified labeling-plattformen och uppgradera till den enhetliga etikettklienten. Läs mer i vår migreringsblogg.

Använd följande information för fas 1 av migreringen från AD RMS till Azure Information Protection. De här procedurerna täcker steg 1 till 3 från att migrera från AD RMS till Azure Information Protection och förbereda miljön för migrering utan att påverka dina användare.

Steg 1: Installera AIPService PowerShell-modulen och identifiera klientorganisationens URL

Installera AIPService-modulen så att du kan konfigurera och hantera den tjänst som tillhandahåller dataskyddet för Azure Information Protection.

Instruktioner finns i Installera AIPService PowerShell-modulen.

För att kunna slutföra några av migreringsanvisningarna måste du känna till Azure Rights Management-tjänstens URL för klienten, så att du kan ersätta den när du ser referenser till din klientorganisations URL. >

Url-adressen till tjänsten Azure Rights Management har följande format: {GUID}.rms.[Region].aadrm.com. Till exempel: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

Identifiera URL-adressen till azure Rights Management-tjänsten

  1. Anslut till tjänsten Azure Rights Management och när du uppmanas att göra det anger du autentiseringsuppgifterna för klientorganisationens globala administratör:

    Connect-AipService
    
  2. Hämta klientorganisationens konfiguration:

    Get-AipServiceConfiguration
    
  3. Kopiera värdet som visas för LicensingIntranetDistributionPointUrloch ta bort från den här strängen.

    Det som återstår är URL:en för Azure Rights Management-tjänsten för din Azure Information Protection-klient. Det här värdet förkortas ofta till Klientorganisationens URL i följande migreringsinstruktioner.

    Du kan kontrollera att du har rätt värde genom att köra följande PowerShell-kommando:

    (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
    

Steg 2. Förbereda för klientmigrering

För de flesta migreringar är det inte praktiskt att migrera alla klienter på en gång, så du kommer antagligen att migrera klienter i batchar.

Det innebär att vissa klienter under en tidsperiod kommer att använda Azure Information Protection och vissa kommer fortfarande att använda AD RMS. För att stödja både förmigrerade och migrerade användare använder du onboarding-kontroller och distribuerar ett skript före migreringen.

Obs!

Det här steget krävs under migreringsprocessen för att användare som ännu inte har migrerat ska kunna använda innehåll som har skyddats av migrerade användare som nu använder Azure Rights Management.

Förbereda för klientmigrering

  1. Skapa en grupp med namnet AIPMigrated. Den här gruppen kan skapas i Active Directory och synkroniseras med molnet, eller så kan den skapas i Microsoft 365 eller Azure Active Directory.

    Tilldela inte några användare till den här gruppen för stunden. I ett senare steg, när användarna migreras, ska du lägga till dem i gruppen.

  2. Anteckna den här gruppens objekt-ID på något av följande sätt:

    • Använd Azure AD PowerShell. För version 1.0 av modulen använder du till exempel kommandot Get-MsolGroup.
    • Kopiera gruppens objekt-ID från Azure Portal.
  3. Konfigurera den här gruppen för onboarding-kontroller så att endast personer i den här gruppen kan använda Azure Rights Management för att skydda innehåll.

    Det gör du genom att ansluta till Azure Rights Management-tjänsten i en PowerShell-session. När du uppmanas att göra det anger du dina autentiseringsuppgifter som global administratör:

    Connect-AipService
    

    Konfigurera den här gruppen för onboarding-kontroller, som ersätter gruppobjekt-ID:t för det i det här exemplet. Ange Y för att bekräfta när du uppmanas att göra det.

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
    
  4. Ladda ned Migration-Scripts.zip filen.

  5. Extrahera filerna och följ instruktionerna i Prepare-Client.cmd, så att den innehåller servernamnet för AD RMS-klusterextranätslicensierings-URL: en. Så här hittar du namnet:

    1. Klicka på Active Directory Rights Management Services i konsolen.

    2. Kopiera servernamnet från värdet Licens från avsnittet URL-adresser för extranätkluster från informationen om Klusterinformation. Till exempel: rmscluster.contoso.com.

    Viktigt

    Instruktionerna ersätter exempeladresser med adrms.contoso.com AD RMS-serveradresserna.

    När du gör det måste du vara försiktig så att det inte finns några extra blanksteg före eller efter adresserna. Extra blanksteg bryter migreringsskriptet och är mycket svårt att identifiera som orsaken till problemet.

    Vissa redigeringsverktyg lägger automatiskt till ett blanksteg när du har klistrat in text.

  6. Distribuera det här skriptet på alla Windows-datorer för att säkerställa att klienter som inte har migrerats fortsätter att kommunicera med AD RMS, även om de använder innehåll som skyddas av migrerade klienter som nu använder Azure Rights Management-tjänsten.

    Du kan använda grupprinciper eller andra programdistributionsmekanismer för att distribuera det här skriptet.

Steg 3. Förbereda Exchange för migrering

Om du använder Exchange eller online Exchange kanske du tidigare har integrerat Exchange med AD RMS-distributionen. I det här steget konfigurerar du dem att använda den befintliga AD RMS-konfigurationen för att stödja innehåll som skyddas av Azure RMS.

Kontrollera att du har AZURE Rights Management-tjänst-URL:en för klienten så att du kan ersätta det här värdet med YourTenantURL i följande kommandon.

Gör något av följande, beroende på om du har integrerat Exchange lokalt eller i Exchange Online med AD RMS:

Om du har integrerat Exchange Online med AD RMS

  1. Öppna en Exchange Online PowerShell-session.

  2. Kör följande PowerShell-kommandon, antingen ett i följd eller i ett skript:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -internallicensingenabled $true 
    

Om du har integrerat Exchange lokalt med AD RMS

För varje Exchange organisation lägger du till registervärden på Exchange server och kör sedan PowerShell-kommandon:

  1. Om du har Exchange 2013 eller Exchange 2016 lägger du till följande registervärde:

    • Registersökväg:

    • Typ:Reg_SZ

    • Värde:

    • Data:

  2. Kör följande PowerShell-kommandon, antingen ett i följd eller i ett skript:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -RefreshServerCertificates
    Set-IRMConfiguration -internallicensingenabled $true
    IISReset
    

När du har kört de här kommandona för Exchange Online eller Exchange lokalt och Exchange-distributionen har konfigurerats för att stödja innehåll som skyddas av AD RMS kommer det även att stödja innehåll som skyddas av Azure RMS efter migreringen.

Distributionen Exchange att fortsätta använda AD RMS för att stödja skyddat innehåll tills ett senare steg i migreringen.

Nästa steg

Gå till fas 2 – serversidans konfiguration.