Migrering: fas 5 – åtgärder efter migreringenMigration phase 5 - post migration tasks

Gäller för: Active Directory Rights Management Services, Azure information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Använd följande information för fas 5 när du migrerar från AD RMS till Azure Information Protection.Use the following information for Phase 5 of migrating from AD RMS to Azure Information Protection. De här procedurerna omfattar steg 10 till och med 12 i Migrera från AD RMS till Azure Information Protection.These procedures cover steps 10 through 12 from Migrating from AD RMS to Azure Information Protection.

Steg 10.Step 10. Avetablera AD RMSDeprovision AD RMS

Ta bort tjänstanslutningspunkten (SCP) från Active Directory för att hindra datorer från att identifiera din lokala Rights Management-infrastruktur.Remove the Service Connection Point (SCP) from Active Directory to prevent computers from discovering your on-premises Rights Management infrastructure. Detta är valfritt för befintliga klienter som du har migrerat på grund av omdirigeringen som du konfigurerade i registret (till exempel genom att köra migreringsskriptet).This is optional for the existing clients that you migrated because of the redirection that you configured in the registry (for example, by running the migration script). Att ta bort SCP förhindrar dock nya klienter och eventuellt RMS-relaterade tjänster och verktyg från att hitta SCP: n när migreringen är klar.However, removing the SCP prevents new clients and potentially RMS-related services and tools from finding the SCP when the migration is complete. I det här läget bör alla dator anslutningar gå till Azure Rights Management-tjänsten.At this point, all computer connections should go to the Azure Rights Management service.

Om du vill ta bort SCP:n så se till att du är inloggad som domänföretagsadministratör, och använd dig sedan av följande procedur:To remove the SCP, make sure that you are logged in as a domain enterprise administrator, and then use the following procedure:

  1. Högerklicka på AD RMS-klustret i Active Directory Rights Management Services-konsolen och klicka sedan på Egenskaper.In the Active Directory Rights Management Services console, right-click the AD RMS cluster, and then click Properties.

  2. Klicka på SCP-fliken.Click the SCP tab.

  3. Markera kryssrutan Ändra SCP.Select the Change SCP check box.

  4. Välj Ta bort aktuell SCP och klicka sedan på OK.Select Remove Current SCP, and then click OK.

Övervaka nu dina AD RMS-servrar för aktivitet.Now monitor your AD RMS servers for activity. Du kan till exempel kontrol lera begär anden i hälso rapporten för systemet, ServiceRequest-tabellen eller Granska användarens åtkomst till skyddat innehåll.For example, check the requests in the System Health report, the ServiceRequest table or audit user access to protected content.

När du har bekräftat att RMS-klienterna inte längre kommunicerar med de här servrarna och att de använder Azure Information Protection, kan du ta bort AD RMS-serverrollen från servrarna.When you have confirmed that RMS clients are no longer communicating with these servers and that clients are successfully using Azure Information Protection, you can remove the AD RMS server role from these servers. Om du använder dedikerade servrar kan du prioritera det försiktighets steg där du först stänger av servrarna under en viss tids period.If you're using dedicated servers, you might prefer the cautionary step of first shutting down the servers for a period of time. Det ger dig tid att se till att det inte finns några rapporterade problem som kan kräva att du startar om servrarna för tjänste kontinuitet medan du undersöker varför klienterna inte använder Azure Information Protection.This gives you time to make sure that there are no reported problems that might require you to restart these servers for service continuity while you investigate why clients are not using Azure Information Protection.

När du har avetablerat AD RMS-servrarna kanske du vill gå igenom dina mallar i Azure Portal.After you have deprovisioned your AD RMS servers, you might want to take the opportunity to review your templates in the Azure portal. Du kan till exempel konvertera dem till etiketter, konsolidera dem så att användarna har färre att välja mellan eller konfigurera om dem.For example, convert them to labels, consolidate them so that users have fewer to choose between, or reconfigure them. Detta är också ett bra tillfälle att publicera standardmallarna.This would be also a good time to publish the default templates. Mer information finns i Konfigurera och hantera mallar för Azure information Protection.For more information, see Configuring and managing templates for Azure Information Protection.

Viktigt

I slutet av den här migreringen kan inte AD RMS-kluster användas med Azure Information Protection och Hold Your Own Key (HYOK).At the end of this migration, your AD RMS cluster cannot be used with Azure Information Protection and the hold your own key (HYOK) option. Om du väljer att använda HYOK för en Azure Information Protection-etikett, till följd av de omdirigeringar som nu finns, måste det AD RMS-kluster som du använder ha andra licensierings-URL:er än de i klustren som du migrerade.If you decide to use HYOK for an Azure Information Protection label, because of the redirections that are now in place, the AD RMS cluster that you use must have different licensing URLs to the ones in the clusters that you migrated.

Lägga till konfiguration för datorer som kör Office 2010Addition configuration for computers that run Office 2010

Om migrerade klienter kör Office 2010 kan användarna uppleva fördröjningar i att öppna skyddat innehåll när våra AD RMS-servrar har avetablerats.If migrated clients run Office 2010, users might experience delays in opening protected content after our AD RMS servers are deprovisioned. Eller så kan användarna se meddelanden om att de inte har autentiseringsuppgifter för att öppna skyddat innehåll.Or, users might see messages that they don't have credentials to open protected content. Lös problemen genom att skapa en omdirigering av nätverk för de här datorerna, som omdirigerar AD RMS-URL-FQDN till datorns lokala IP-adress (127.0.0.1).To resolve these problems, create a network redirection for these computers, which redirects the AD RMS URL FQDN to the local IP address of the computer (127.0.0.1). Du kan göra detta genom att konfigurera den lokala värd filen på varje dator, eller genom att använda DNS.You can do this by configuring the local hosts file on each computer, or by using DNS.

Omdirigering via lokal värd fil:Redirection via local hosts file:

  • Lägg till följande rad i den lokala värd filen och Ersätt <AD RMS URL FQDN> med värdet för AD RMS-klustret, utan prefix eller webb sidor:Add the following line in the local hosts file, replacing <AD RMS URL FQDN> with the value for your AD RMS cluster, without prefixes or web pages:

    127.0.0.1 <AD RMS URL FQDN>
    

Omdirigering via DNS:Redirection via DNS:

  • Skapa en ny värd post (A) för din AD RMS URL-FQDN, som har IP-adressen 127.0.0.1.Create a new host (A) record for your AD RMS URL FQDN, which has the IP address of 127.0.0.1.

Steg 11.Step 11. Fullständiga uppgifter för klientmigreringComplete client migration tasks

För mobila enhets klienter och Mac-datorer: ta bort de DNS SRV-poster som du skapade när du distribuerade AD RMS mobila enhets tillägget.For mobile device clients and Mac computers: Remove the DNS SRV records that you created when you deployed the AD RMS mobile device extension.

När dessa DNS-ändringar har spridits identifieras och startas de här klienterna automatiskt och börjar använda Azure Rights Management-tjänsten.When these DNS changes have propagated, these clients will automatically discover and start to use the Azure Rights Management service. Mac-datorer som kör Office Mac cachelagrar dock informationen från AD RMS.However, Mac computers that run Office Mac cache the information from AD RMS. Den här processen kan ta upp till 30 dagar för de här datorerna.For these computers, this process can take up to 30 days.

Om du vill tvinga Mac-datorer att köra identifierings processen omedelbart går du till nyckel ringen och söker efter "ADAL" och tar bort alla ADAL-poster.To force Mac computers to run the discovery process immediately, in the keychain, search for "adal" and delete all ADAL entries. Kör sedan följande kommandon på följande datorer:Then, run the following commands on these computers:


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

När alla befintliga Windows-datorer har migrerats till Azure Information Protection, finns det ingen anledning att fortsätta använda onboarding-kontroller och underhålla AIPMigrated -gruppen som du skapade för migreringsprocessen.When all your existing Windows computers have migrated to Azure Information Protection, there's no reason to continue to use onboarding controls and maintain the AIPMigrated group that you created for the migration process.

Ta bort onboarding-kontrollerna först och ta sedan bort AIPMigrated -gruppen och eventuell distributions metod för program vara som du har skapat för att distribuera-skripten för migrering.Remove the onboarding controls first, and then you can delete the AIPMigrated group and any software deployment method that you created to deploy the migration scripts.

Ta bort onboarding-kontroller:To remove the onboarding controls:

  1. I en PowerShell-session ansluter du till Azure Rights Management-tjänsten och anger din autentiseringsuppgifter som global administratör när du uppmanas till det:In a PowerShell session, connect to the Azure Rights Management service and when prompted, specify your global admin credentials:

    Connect-AipService
    
    
  2. Run the following command, and enter Y to confirm:

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
    

    Observera att det här kommandot tar bort alla licens krav för Azure Rights Management Protection-tjänsten, så att alla datorer kan skydda dokument och e-postmeddelanden.Note that this command removes any license enforcement for the Azure Rights Management protection service, so that all computers can protect documents and emails.

  3. Kontrollera att onboarding-kontroller inte längre är konfigurerade:Confirm that onboarding controls are no longer set:

    Get-AipServiceOnboardingControlPolicy
    

    I utdata ska Licens nu visa Falskt och inget GUID ska visas för SecurityGroupOjbectIdIn the output, License should show False, and there is no GUID displayed for the SecurityGroupOjbectId

Slutligen, om du använder Office 2010 och har aktiverat åtgärden AD RMS hantering av rättighets princip (automatisk) i aktivitets hanteraren i Windows, inaktiverar du den här aktiviteten eftersom den inte används av Azure information Protection-klienten.Finally, if you are using Office 2010 and you have enabled the AD RMS Rights Policy Template Management (Automated) task in the Windows Task Scheduler library, disable this task because it is not used by the Azure Information Protection client. Den här aktiviteten aktive ras normalt med hjälp av en grup princip och stöd för en AD RMS distribution.This task is typically enabled by using group policy and supports an AD RMS deployment. Du kan hitta den här uppgiften på följande plats: Microsoft > Windows > Active Directory Rights Management Services-klientYou can find this task in the following location: Microsoft > Windows > Active Directory Rights Management Services Client

Steg 12.Step 12. Uppdatera din Azure Information Protection klient nyckelRekey your Azure Information Protection tenant key

Det här steget krävs när migreringen är klar om din AD RMS-distribution använde kryptografi läge 1 för RMS, eftersom det här läget använder en 1024-bitars nyckel och SHA-1.This step is required when migration is complete if your AD RMS deployment was using RMS Cryptographic Mode 1 because this mode uses a 1024-bit key and SHA-1. Den här konfigurationen anses ge en otillräcklig skydds nivå.This configuration is considered to offer an inadequate level of protection. Microsoft kommer inte att påteckna användningen av lägre nyckel längder, till exempel 1024-bitars RSA-nycklar och den associerade användningen av protokoll som erbjuder otillräckliga skydds nivåer, till exempel SHA-1.Microsoft doesn't endorse the use of lower key lengths such as 1024-bit RSA keys and the associated use of protocols that offer inadequate levels of protection, such as SHA-1.

Omnyckelering resulterar i skydd som använder kryptografi läge 2 i RMS, vilket resulterar i en 2048-bitars nyckel och SHA-256.Rekeying results in protection that uses RMS Cryptographic Mode 2, which results in a 2048-bit key and SHA-256.

Även om din AD RMS-distribution använde kryptografi läge 2 rekommenderar vi fortfarande att du gör det här steget eftersom en ny nyckel hjälper till att skydda din klient från potentiella säkerhets överträdelser till din AD RMSs nyckel.Even if your AD RMS deployment was using Cryptographic Mode 2, we still recommend you do this step because a new key helps to protect your tenant from potential security breaches to your AD RMS key.

När du förnyar din Azure Information Protection klient nyckel (kallas även "rullande nyckel"), arkiveras den aktuella aktiva nyckeln och Azure Information Protection börjar använda en annan nyckel som du anger.When you rekey your Azure Information Protection tenant key (also known as "rolling your key"), the currently active key is archived and Azure Information Protection starts to use a different key that you specify. Den här andra nyckeln kan vara en ny nyckel som du skapar i Azure Key Vault eller standard nyckeln som skapades automatiskt för din klient.This different key could be a new key that you create in Azure Key Vault, or the default key that was automatically created for your tenant.

Att flytta från en nyckel till en annan sker inte omedelbart utan några veckor.Moving from one key to another doesn't happen immediately but over a few weeks. Eftersom det inte är omedelbart väntar du tills du misstänker att den ursprungliga nyckeln har brutits, men gör det här steget så snart migreringen är klar.Because it's not immediate, do not wait until you suspect a breach to your original key but do this step as soon as the migration is complete.

Om du vill uppdatera din Azure Information Protection-klientnyckel:To rekey your Azure Information Protection tenant key:

  • Om din klient nyckel hanteras av Microsoft: kör PowerShell-cmdleten set-AipServiceKeyProperties och ange nyckel-ID för nyckeln som skapades automatiskt för din klient.If your tenant key is managed by Microsoft: Run the PowerShell cmdlet Set-AipServiceKeyProperties and specify the key identifier for the key that was automatically created for your tenant. Du kan identifiera värdet som ska anges genom att köra cmdleten Get-AipServiceKeys .You can identify the value to specify by running the Get-AipServiceKeys cmdlet. Den nyckel som skapades automatiskt för klienten har det äldsta skapande datumet, så att du kan identifiera den med hjälp av följande kommando:The key that was automatically created for your tenant has the oldest creation date, so you can identify it by using the following command:

    (Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
    
  • Om din klient nyckel hanteras av dig (BYOK): i Azure Key Vault upprepar du skapande processen för din Azure information Protection-klient och kör sedan cmdleten use-AipServiceKeyVaultKey igen för att ange URI: n för den nya nyckeln.If your tenant key is managed by you (BYOK): In Azure Key Vault, repeat your key creation process for your Azure Information Protection tenant, and then run the Use-AipServiceKeyVaultKey cmdlet again to specify the URI for this new key.

Mer information om hur du hanterar Azure Information Protection klient nyckeln finns i åtgärder för din Azure information Protection klient nyckel.For more information about managing your Azure Information Protection tenant key, see Operations for your Azure Information Protection tenant key.

Nästa stegNext steps

Nu när du har slutfört migreringen kan du gå igenom distributionsöversikten och se vilka andra distributionsåtgärder som du kan behöva utföra.Now that you have completed the migration, review the deployment roadmap to identify any other deployment tasks that you might need to do.