Migrera från AD RMS till Azure Information Protection
Använd följande uppsättning instruktioner för att migrera din AD RMS-distribution (Active Directory Rights Management Services) till Azure Information Protection.
Efter migreringen används inte längre dina AD RMS-servrar, men användarna har fortfarande åtkomst till dokument och e-postmeddelanden som din organisation skyddar med hjälp av AD RMS. Nyligen skyddat innehåll använder Azure Rights Management-tjänsten (Azure RMS) från Azure Information Protection.
Rekommenderad läsning innan du migrerar till Azure Information Protection
Även om det inte krävs kan det vara bra att läsa följande dokumentation innan du påbörjar migreringen. Den här kunskapen ger dig en bättre förståelse för hur tekniken fungerar när den är relevant för migreringssteget.
Planera och implementera din Azure Information Protection-klientnyckel: Förstå de viktiga hanteringsalternativ som du har för din Azure Information Protection-klient där din SLC-nyckels motsvarighet i molnet antingen hanteras av Microsoft (standard) eller hanteras av dig ("bring your own key" eller BYOK-konfigurationen).
RMS-tjänstidentifiering: I det här avsnittet i rms-klientdistributionsanteckningarna förklaras att ordningen för tjänstidentifiering är register, sedan tjänstanslutningspunkt (SCP) och sedan moln. Under migreringsprocessen när SCP fortfarande är installerad konfigurerar du klienter med registerinställningar för din Azure Information Protection-klientorganisation så att de inte använder AD RMS-klustret som returneras från SCP.
Översikt över Microsoft Rights Management-anslutningsappen: I det här avsnittet i dokumentationen för RMS-anslutningstjänsten beskrivs hur dina lokala servrar kan ansluta till Azure Rights Management-tjänsten för att skydda dokument och e-postmeddelanden.
Om du inte är bekant med hur AD RMS fungerar kan det dessutom vara bra att läsa Hur fungerar Azure RMS? Under huven för att hjälpa dig att identifiera vilka teknikprocesser som är desamma eller annorlunda för molnversionen.
Förutsättningar för att migrera AD RMS till Azure Information Protection
Innan du påbörjar migreringen till Azure Information Protection måste du se till att följande förutsättningar är uppfyllda och att du förstår eventuella begränsningar.
En RMS-distribution som stöds:
Följande versioner av AD RMS stöder en migrering till Azure Information Protection:
Windows Server 2012 (x64)
Windows Server 2012 R2 (x64)
Windows Server 2016 (x64)
Alla giltiga AD RMS-topologier stöds:
Enskild skog, enskilt RMS-kluster
Enskild skog, flera RMS-kluster med endast licensiering
Flera skogar, flera RMS-kluster
Kommentar
Som standard migrerar flera AD RMS-kluster till en enda klientorganisation för Azure Information Protection. Om du vill ha separata klienter för Azure Information Protection måste du behandla dem som olika migreringar. Det går inte att importera en nyckel från ett RMS-kluster till fler än en klientorganisation.
Alla krav för att köra Azure Information Protection, inklusive en prenumeration för Azure Information Protection (Azure Rights Management-tjänsten är inte aktiverad):
Se Krav för Azure Information Protection.
Azure Information Protection-klienten krävs för klassificering och etikettering och valfritt, men rekommenderas om du bara vill skydda data.
Mer information finns i administratörsguiderna för azure informationsskyddsklienten för enhetlig etikettering.
Även om du måste ha en prenumeration för Azure Information Protection innan du kan migrera från AD RMS rekommenderar vi att Rights Management-tjänsten för din klientorganisation inte aktiveras innan du påbörjar migreringen.
Migreringsprocessen innehåller det här aktiveringssteget när du har exporterat nycklar och mallar från AD RMS och importerat dem till din klientorganisation för Azure Information Protection. Men om Rights Management-tjänsten redan är aktiverad kan du fortfarande migrera från AD RMS med några ytterligare steg.
Endast Office 2010:
Om du har datorer som kör Office 2010 måste du installera Azure Information Protection-klienten för att kunna autentisera användare till molntjänster.
Viktigt!
Utökad support för Office 2010 upphörde den 13 oktober 2020. Mer information finns i AIP och äldre Windows- och Office-versioner.
Förberedelse för Azure Information Protection:
Katalogsynkronisering mellan din lokala katalog och Microsoft Entra-ID
E-postaktiverade grupper i Microsoft Entra-ID
Se Förbereda användare och grupper för Azure Information Protection.
Om du har använt IRM-funktionen (Information Rights Management) i Exchange Server (till exempel transportregler och Outlook Web Access) eller SharePoint Server med AD RMS:
Planera för en kort tidsperiod när IRM inte kommer att vara tillgängligt på dessa servrar
Du kan fortsätta att använda IRM på dessa servrar efter migreringen. Ett av migreringsstegen är dock att tillfälligt inaktivera IRM-tjänsten, installera och konfigurera en anslutningsapp, konfigurera om servrarna och sedan återaktivera IRM.
Det här är det enda avbrottet i tjänsten under migreringsprocessen.
Om du vill hantera din egen Azure Information Protection-klientnyckel med hjälp av en HSM-skyddad nyckel:
- Den här valfria konfigurationen kräver Azure Key Vault och en Azure-prenumeration som stöder Key Vault med HSM-skyddade nycklar. Mer information finns på sidan priser för Azure Key Vault.
Överväganden för kryptografiläge
Om ditt AD RMS-kluster för närvarande är i kryptografiskt läge 1 ska du inte uppgradera klustret till kryptografiskt läge 2 innan du påbörjar migreringen. Migrera i stället med kryptografiskt läge 1 och du kan uppdatera klientnyckeln i slutet av migreringen som en av uppgifterna efter migreringen.
Bekräfta ad RMS-kryptografiläget för Windows Server 2012 R2 och Windows 2012: fliken Allmänna egenskaper >för AD RMS-kluster.
Migreringsbegränsningar
Om du har programvara och klienter som inte stöds av Rights Management-tjänsten som används av Azure Information Protection kan de inte skydda eller använda innehåll som skyddas av Azure Rights Management. Kontrollera avsnitten program och klienter som stöds från Krav för Azure Information Protection.
Om AD RMS-distributionen har konfigurerats för att samarbeta med externa partner (till exempel genom att använda betrodda användardomäner eller federationer) måste de också migrera till Azure Information Protection samtidigt som migreringen eller så snart som möjligt efteråt. Om du vill fortsätta att komma åt innehåll som din organisation tidigare har skyddat med hjälp av Azure Information Protection måste de göra ändringar i klientkonfigurationen som liknar dem som du gör och som ingår i det här dokumentet.
På grund av de möjliga konfigurationsvariationer som dina partner kan ha är exakta instruktioner för den här omkonfigurationen utanför omfånget för det här dokumentet. Se dock nästa avsnitt för planeringsvägledning och kontakta Microsoft Support om du vill ha mer hjälp.
Migreringsplanering om du samarbetar med externa partner
Inkludera dina AD RMS-partner i planeringsfasen för migrering eftersom de också måste migrera till Azure Information Protection. Innan du utför något av följande migreringssteg kontrollerar du att följande är på plats:
De har en Microsoft Entra-klientorganisation som stöder Azure Rights Management-tjänsten.
De har till exempel en Office 365 E3- eller E5-prenumeration, en Enterprise Mobility + Security-prenumeration eller en fristående prenumeration för Azure Information Protection.
Deras Azure Rights Management-tjänst är ännu inte aktiverad, men de känner till sin URL för Azure Rights Management-tjänsten.
De kan hämta den här informationen genom att installera Azure Rights Management Tool, ansluta till tjänsten (Anslut-AipService) och sedan visa deras klientinformation för Azure Rights Management-tjänsten (Get-AipServiceConfiguration).
De ger dig URL:er för deras AD RMS-kluster och deras URL för Azure Rights Management-tjänsten, så att du kan konfigurera migrerade klienter för att omdirigera begäranden för deras AD RMS-skyddade innehåll till klientorganisationens Azure Rights Management-tjänst. Instruktioner för att konfigurera klientomdirigering finns i steg 7.
De importerar sina AD RMS-klusterrotnycklar (SLC) till sin klientorganisation innan du börjar migrera dina användare. På samma sätt måste du importera ad RMS-klusterrotnycklarna innan de börjar migrera sina användare. Instruktioner för att importera nyckeln beskrivs i den här migreringsprocessen, steg 4. Exportera konfigurationsdata från AD RMS och importera dem till Azure Information Protection.
Översikt över stegen för att migrera AD RMS till Azure Information Protection
Migreringsstegen kan delas in i fem faser som kan utföras vid olika tidpunkter och av olika administratörer.
Fas 1: Förberedelse av migrering
Mer information finns i FAS 1: FÖRBEREDELSE AV MIGRERING.
Steg 1: Installera AIPService PowerShell-modulen och identifiera din klient-URL
Migreringsprocessen kräver att du kör en eller flera PowerShell-cmdletar från AIPService-modulen. Du måste känna till klientens Azure Rights Management-tjänst-URL för att slutföra många av migreringsstegen och du kan identifiera det här värdet med hjälp av PowerShell.
Steg 2. Förbereda för klientmigrering
Om du inte kan migrera alla klienter samtidigt och migrerar dem i batchar använder du registreringskontroller och distribuerar ett skript före migreringen. Men om du migrerar allt samtidigt i stället för att utföra en stegvis migrering kan du hoppa över det här steget.
Steg 3: Förbereda Exchange-distributionen för migrering
Det här steget krävs om du för närvarande använder IRM-funktionen i Exchange Online eller Exchange lokalt för att skydda e-postmeddelanden. Men om du migrerar allt samtidigt i stället för att utföra en stegvis migrering kan du hoppa över det här steget.
Fas 2: Konfiguration på serversidan för AD RMS
Mer information finns i FAS 2: KONFIGURATION PÅ SERVERSIDAN FÖR AD RMS.
Steg 4. Exportera konfigurationsdata från AD RMS och importera dem till Azure Information Protection
Du exporterar konfigurationsdata (nycklar, mallar, URL:er) från AD RMS till en XML-fil och laddar sedan upp filen till Azure Rights Management-tjänsten från Azure Information Protection med hjälp av PowerShell-cmdleten Import-AipServiceTpd. Identifiera sedan vilken importerad SLC-nyckel (Server Licensor Certificate) som ska användas som klientnyckel för Azure Rights Management-tjänsten. Ytterligare steg kan behövas, beroende på konfigurationen av AD RMS-nyckeln:
Migrering av programvaruskyddad nyckel till programvaruskyddad nyckel:
Centralt hanterade lösenordsbaserade nycklar i AD RMS till Microsoft-hanterad Azure Information Protection-klientnyckel. Det här är den enklaste migreringsvägen och inga ytterligare steg krävs.
Migrering av HSM-skyddad nyckel till HSM-skyddad nyckel:
Nycklar som lagras av en HSM för AD RMS till kundhanterad Azure Information Protection-klientnyckel (scenariot "Bring Your Own Key" eller BYOK). Detta kräver ytterligare steg för att överföra nyckeln från din lokala nCipher HSM till Azure Key Vault och ge Azure Rights Management-tjänsten behörighet att använda den här nyckeln. Din befintliga HSM-skyddade nyckel måste vara modulskyddad. OCS-skyddade nycklar stöds inte av Rights Management-tjänster.
Migrering av programvaruskyddad nyckel till HSM-skyddad nyckel:
Centralt hanterade lösenordsbaserade nycklar i AD RMS till kundhanterad Azure Information Protection-klientnyckel (scenariot "Bring Your Own Key" eller BYOK). Detta kräver mest konfiguration eftersom du först måste extrahera din programvarunyckel och importera den till en lokal HSM och sedan utföra de ytterligare stegen för att överföra nyckeln från din lokala nCipher HSM till en Azure Key Vault HSM och auktorisera Azure Rights Management-tjänsten att använda nyckelvalvet som lagrar nyckeln.
Steg 5. Aktivera Azure Rights Management-tjänsten
Om möjligt gör du det här steget efter importprocessen och inte före. Ytterligare steg krävs om tjänsten aktiverades före importen.
Steg 6. Konfigurera importerade mallar
När du importerar dina rättighetsprincipmallar arkiveras deras status. Om du vill att användarna ska kunna se och använda dem måste du ändra mallstatusen så att den publiceras i den klassiska Azure-portalen.
Fas 3: Konfiguration på klientsidan
Mer information finns i FAS 3: KONFIGURATION PÅ KLIENTSIDAN.
Steg 7: Konfigurera om Windows-datorer så att de använder Azure Information Protection
Befintliga Windows-datorer måste konfigureras om för att använda Azure Rights Management-tjänsten i stället för AD RMS. Det här steget gäller för datorer i din organisation och för datorer i partnerorganisationer om du har samarbetat med dem när du körde AD RMS.
Fas 4: Stöd för tjänstekonfiguration
Mer information finns i FAS 4: STÖD FÖR TJÄNSTEKONFIGURATION.
Steg 8: Konfigurera IRM-integrering för Exchange Online
Det här steget slutför AD RMS-migreringen för Exchange Online för att nu använda Azure Rights Management-tjänsten.
Steg 9: Konfigurera IRM-integrering för Exchange Server och SharePoint Server
Det här steget slutför AD RMS-migreringen för Exchange eller SharePoint lokalt för att nu använda Azure Rights Management-tjänsten, som kräver distribution av Rights Management-anslutningstjänsten.
Fas 5: Uppgifter efter migrering
Mer information finns i FAS 5: UPPGIFTER EFTER MIGRERING.
Steg 10: Avetablera AD RMS
När du har bekräftat att alla Windows-datorer använder Azure Rights Management-tjänsten och inte längre har åtkomst till dina AD RMS-servrar kan du avetablera AD RMS-distributionen.
Steg 11: Slutför klientmigreringsuppgifter
Om du har distribuerat tillägget för mobila enheter för att stödja mobila enheter, till exempel iOS-telefoner och iPad-enheter, Android-telefoner och surfplattor, Windows-telefoner och surfplattor samt Mac-datorer, måste du ta bort de SRV-poster i DNS som omdirigerade dessa klienter för att använda AD RMS.
De onboarding-kontroller som du konfigurerade under förberedelsefasen behövs inte längre. Men om du inte använde onboarding-kontroller eftersom du valde att migrera allt samtidigt i stället för att utföra en stegvis migrering kan du hoppa över instruktionerna för att ta bort registreringskontrollerna.
Om dina Windows-datorer kör Office 2010 kontrollerar du om du behöver inaktivera ad RMS Rights Policy Template Management-uppgiften (automatiserad).
Viktigt!
Utökad support för Office 2010 upphörde den 13 oktober 2020. Mer information finns i AIP och äldre Windows- och Office-versioner.
Steg 12: Nyckel för Azure Information Protection-klientnyckeln
Det här steget rekommenderas om du inte körde i kryptografiskt läge 2 före migreringen.
Nästa steg
Starta migreringen genom att gå till Fas 1 – förberedelse.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för