Geçişin 2. aşaması - AD RMS için sunucu tarafı yapılandırması

Uygulama hedefi: Active Directory Rights Management Services, Azure Information Protection, Office 365

İlgili: AIP birleştirilmiş etiketleme istemcisi ve klasik istemci

Not

Birleşik ve kolaylaştırılmış bir müşteri deneyimi sağlamak için Azure portalındaki Azure Information Protection Klasik istemci ve etiket yönetimi 31 Mart 2021 itibarıyla kullanım dışıdır . Klasik istemci yapılandırıldığı şekilde çalışmaya devam ederken, başka bir destek sağlanmaz ve artık klasik istemci için bakım sürümleri yayınlanmayacaktır.

Birleşik etiketlemeye geçiş yapmanızı ve Birleşik etiketleme istemcisineyükseltmenizi öneririz. Son kullanımdan kaldırma blogumuzhakkında daha fazla bilgi edinin.

AD RMS’den Azure Information Protection’a geçiş işleminin 2. Aşaması için aşağıdaki bilgileri kullanın. Bu yordamlar, AD RMS’den Azure Information Protection’a Geçiş konusunun 4 ila 6. adımlarını kapsar.

4. Adım: AD RMS'deki yapılandırma verilerini dışarı aktarma ve sonra Azure Information Protection’a aktarma

Bu adımda yapılan işlemler iki bölümden oluşur:

  1. AD RMS’deki yapılandırma verilerini dışarı aktarmak için güvenilen yayımlama etki alanlarını (TDP’ler) bir .xml dosyasına dışarı aktarın. Bu işlem tüm geçişler için aynıdır.

  2. Yapılandırma verilerini Azure Information Protection’a aktarın. Bu adımda, geçerli AD RMS dağıtım yapılandırmanıza ve Azure RMS kiracı anahtarınız için tercih edilen topolojinize bağlı olarak farklı işlemler uygulanır.

AD RMS’deki yapılandırma verilerini dışarı aktarma

Aşağıdaki yordamı, kuruluşunuz için korumalı içeriğe sahip tüm güvenilen yayımlama etki alanları için tüm AD RMS kümelerinde uygulayın. Bu yordamı, yalnızca lisans kümelerde çalıştırmanız gerekmez.

Yapılandırma verilerini dışa aktarma (güvenilen yayımlama etki alanı bilgileri)

  1. AD RMS kümesine, AD RMS yönetim izinleri olan bir kullanıcı olarak oturum açın.

  2. AD RMS yönetim konsolundan (Active Directory Rights Management Services), AD RMS küme adını genişletin, güven ilkeleri' ni genişletin ve ardından Güvenilen yayımlama etki alanları' na tıklayın.

  3. Sonuçlar bölmesinde, güvenilen yayımlama etki alanını seçin ve sonra Eylemler bölmesinde, Güvenilen yayımlama etki alanını dışarı aktar' a tıklayın.

  4. Güvenilen Yayımlama Etki Alanını Dışarı Aktar iletişim kutusunda:

    • Farklı Kaydet’e tıklayın ve seçtiğiniz yol ve dosya adıyla kaydedin. Dosya adı uzantısı olarak .xml belirttiğinizden emin olun (otomatik olarak eklenmez).

    • Güçlü bir parola belirtin ve onaylayın. Daha sonra yapılandırma verilerini Azure Information Protection’a aldığınızda ihtiyacınız olacağı için bu parolayı unutmayın.

    • Güvenilen etki alanı dosyasını RMS sürüm 1.0’a kaydetmek için onay kutusunu seçmeyin.

Tüm güvenilen yayımlama etki alanlarını dışarı aktardığınızda, bu verileri Azure Information Protection 'e aktarma yordamını başlatmaya hazırsınız demektir.

Güvenilen yayımlama etki alanlarının önceden korumalı olan dosyaların şifresini çözmek için Sunucu Lisans Verme Sertifikası (SLC) anahtarlarını içerdiğini, dolayısıyla yalnızca şu anda etkin olan güvenilen yayımlama etki alanlarını değil tümünü dışarı aktarmanızın (ve daha sonra Azure’da içeri aktarmanızın) önemli olduğunu unutmayın.

Örneğin, AD RMS sunucularınızı Şifreleme Modu 1’den Şifreleme Modu 2’ye yükselttiyseniz birden çok güvenilen yayımlama etki alanınız olacaktır. Şifreleme Modu 1’i kullanan arşivleme anahtarınızın bulunduğu güvenilen yayımlama etki alanını dışarı ve içeri aktarmazsanız, geçiş sona erdiğinde kullanıcılar Şifreleme Modu 1 anahtarıyla korunan içeriği açamaz.

Yapılandırma verilerini Azure Information Protection’a aktarma

Bu adım için tam yordamlar, geçerli AD RMS dağıtım yapılandırmanıza ve Azure Information Protection kiracı anahtarınız için tercih ettiğiniz topolojiye bağlıdır.

Geçerli AD RMS dağıtımınız, sunucu lisans sertifikası (SLC) anahtarınız için aşağıdaki yapılandırmalardan birini kullanır:

  • AD RMS veritabanında parola koruması. Bu, varsayılan yapılandırmadır.

  • NCipher donanım güvenlik modülü (HSM) kullanılarak HSM koruması.

  • NCipher dışında bir tedarikçiden donanım güvenlik modülü (HSM) kullanarak HSM koruması.

  • Harici bir şifreleme sağlayıcısı kullanılarak korunan parola.

Not

AD RMS ile donanım güvenlik modüllerini kullanma hakkında daha fazla bilgi için, bkz. AD RMS’yi Donanım Güvenlik Modülleriyle Kullanma.

İki Azure Information Protection kiracı anahtar topolojisi seçeneği şunlardır: Microsoft kiracı anahtarınızı yönetir (Microsoft tarafından yönetilen) veya Azure Anahtar Kasası’nda kiracı anahtarınızı siz yönetirsiniz (müşteri tarafından yönetilen). Kendi Azure Information Protection kiracı anahtarınızı yönetirken, bazen "kendi anahtarını getir" (BYOK) olarak adlandırılır. Daha fazla bilgi için, Azure Information Protection kiracı anahtarınızı planlama ve uygulama makalesine bakın.

Geçişiniz için hangi yordamın kullanılacağını belirlemek üzere aşağıdaki tabloyu kullanın.

Geçerli AD RMS dağıtımı Seçilen Azure Information Protection kiracı anahtarı topolojisi Geçiş yönergeleri
AD RMS veritabanında parola koruması Microsoft tarafından yönetilen Bu tablodan sonra yazılım korumalı anahtardan yazılım korumalı anahtara geçiş yordamına bakın.

Bu yol en basit geçiş yoludur ve yalnızca yapılandırma verilerinizi Azure Information Protection’a aktarmanızı gerektirir.
NCipher nShield donanım güvenlik modülünü (HSM) kullanarak HSM koruması Müşteri tarafından yönetilen (BYOK) Bu tablodan sonra HSM korumalı anahtardan HSM korumalı anahtara geçiş yordamına bakın.

Bunun için Azure Anahtar Kasası BYOK araç takımını kullanmanız ve önce anahtarın şirket içi HSM’nizden Azure Anahtar Kasası HSM’lerine aktarılması, sonra Azure Information Protection’dan Azure Rights Management hizmetine kiracı anahtarınızı kullanma yetkisi verilmesi ve son olarak yapılandırma verilerinizin Azure Information Protection’a aktarılmasından oluşan üç adımı tamamlamanız gerekir.
AD RMS veritabanında parola koruması Müşteri tarafından yönetilen (BYOK) Bu tablodan sonra Yazılım korumalı ANAHTARDAN HSM korumalı anahtara geçiş yordamına bakın.

Bunun için Azure Anahtar Kasası BYOK araç takımını kullanmanız ve önce yazılım anahtarınızın ayıklanıp şirket içi HSM’de içeri aktarılması, sonra anahtarın şirket içi HSM’nizden Azure Information Protection HSM’lerine aktarılması, ardından Anahtar Kasası verilerinizin Azure Information Protection’a aktarılması ve son olarak yapılandırma verilerinizin Azure Information Protection’a aktarılmasından oluşan dört adımı tamamlamanız gerekir.
NCipher dışında bir tedarikçiden donanım güvenlik modülü (HSM) kullanarak HSM koruması Müşteri tarafından yönetilen (BYOK) Anahtarınızı bu HSM 'den bir nCipher nShield donanım güvenlik modülüne (HSM) nasıl aktaracağınızla ilgili yönergeler için HSM 'nizin sağlayıcısına başvurun. Ardından, bu tablodan sonra HSM korumalı ANAHTARDAN HSM korumalı anahtara geçiş yordamına yönelik yönergeleri izleyin.
Harici bir şifreleme sağlayıcısı kullanılarak korunan parola Müşteri tarafından yönetilen (BYOK) Anahtarınızı bir nCipher nShield donanım güvenlik modülüne (HSM) nasıl aktaracağınızla ilgili yönergeler için şifreleme sağlayıcınızın sağlayıcısına başvurun. Ardından, bu tablodan sonra HSM korumalı ANAHTARDAN HSM korumalı anahtara geçiş yordamına yönelik yönergeleri izleyin.

Dışarı aktaramadığınız bir HSM korumalı anahtarınız varsa, AD RMS kümesini salt okunur moda yapılandırarak Azure Information Protection’a geçebilirsiniz. Bu modda, önceden korunan içerik yine açılabilir ancak yeni korunan içerik, sizin tarafınızdan (BYOK) veya Microsoft tarafından yönetilen yeni bir kiracı anahtar kullanır. Daha fazla bilgi için bkz. Office’in AD RMS’den Azure RMS’ye geçişleri desteklemesini sağlayan bir güncelleştirme mevcut.

Bu kritik geçiş yordamlarına başlamadan önce, güvenilen yayımlama etki alanlarını dışarı aktardığınızda oluşturduğunuz .xml dosyalarına erişebildiğinizden emin olun. Örneğin, bunlar AD RMS sunucusundan internet 'e bağlı iş istasyonuna taşıdığınız bir USB Thumb sürücüsüne kaydedilebilir.

Not

Bu dosyaları nasıl depolarsanız depolayın, bu veriler özel anahtarınızı içerdiğinden onları korumak için en iyi güvenlik uygulamalarını kullanın.

  1. Adımı tamamlamak adına geçiş yolunuz için yönergeleri seçin:

5. Adım. Azure Rights Management hizmetini etkinleştirme

Bir PowerShell oturumu açın ve aşağıdaki komutları çalıştırın:

  1. Azure Rights Management hizmetine bağlanın ve istendiğinde, genel yönetici kimlik bilgilerinizi belirtin:

    Connect-AipService
    
  2. Azure Rights Management hizmetini etkinleştirin:

    Enable-AipService
    

Azure Information Protection kiracınız zaten etkinleştirilmişse ne olur? Azure Rights Management hizmeti kuruluşunuz için zaten etkinleştirilmişse ve geçişten sonra kullanmak istediğiniz özel şablonlar oluşturduysanız, bu şablonları dışarı ve içeri aktarmanız gerekir. Bu yordam bir sonraki adımda ele alınmıştır.

6. Adım. İçeri aktarılan şablonları yapılandırma

İçeri aktardığınız şablonların varsayılan durumu Arşivlenmiş olduğundan, kullanıcıların bu şablonları Azure Rights Management hizmeti ile kullanabilmelerini istiyorsanız bu durumu Yayımlanmış olarak değiştirmeniz gerekir.

AD RMS içeri aktardığınız şablonlar, Azure portal oluşturabileceğiniz özel şablonlar gibi görünür ve davranır. Kullanıcıların bunları görebilmesi ve uygulamalardan seçmesini sağlamak üzere içeri aktarılan şablonları yayımlanacak şekilde değiştirmek için, bkz. Azure Information Protection şablonlarını yapılandırma ve yönetme.

Yeni içeri aktarılan şablonlarınızı yayımlamaya ek olarak, şablonlar için geçişe devam etmeden önce yapmanız gerekebilecek yalnızca iki önemli değişiklik daha vardır. Geçiş işlemi sırasında kullanıcılar için daha tutarlı bir deneyim sağlamak amacıyla, içeri aktarılan şablonlar için başka değişiklik yapmayın ve Azure Information Protection ile birlikte gelen iki varsayılan şablonu yayımlamayın veya bu noktada yeni şablonlar oluşturun. Bunun yerine, geçiş işlemi tamamlanana ve AD RMS sunucularının yetkisini kaldırana kadar bekleyin.

Bu adım için yapmanız gerekebilecek şablon değişiklikleri:

  • Geçiş işleminden önce Azure Information Protection için özel şablonlar oluşturduysanız, bunları el ile dışarı ve içeri aktarmanız gerekir.

  • AD RMS ' deki şablonlarınız Herkes grubunu kullandıysanız, kullanıcıları veya grupları el ile eklemeniz gerekebilir.

    AD RMS, herkes grubu şirket içi Active Directory tarafından kimliği doğrulanan tüm kullanıcılara haklar verdi ve bu grup Azure Information Protection tarafından desteklenmez. Closet eşdeğeri, Azure AD kiracınızdaki tüm kullanıcılar için otomatik olarak oluşturulan bir gruptur. AD RMS şablonlarınız için herkes grubunu kullanıyorsanız, kullanıcılara vermek istediğiniz kullanıcıları ve hakları eklemeniz gerekebilir.

Geçişten önce özel şablonlar oluşturduysanız izlemeniz gereken yordam

Azure Rights Management hizmetini etkinleştirdikten önce ya da sonra olduğu fark etmeksizin geçişten önce özel şablonlar oluşturduysanız, bunlar Yayımlandı olarak ayarlanmasına rağmen geçişten sonra kullanıcılar tarafından kullanılamaz. Bunların kullanıcılar tarafından kullanılabilmesini sağlamak için önce aşağıdakini yapmanız gerekir:

  1. Get-Aıpservicetemplatekomutunu çalıştırarak bu şablonları tanımlayabilir ve şablon kimliklerini bir yere göz önünde bulabilirsiniz.

  2. Export-AıpservicetemplateAzure RMS PowerShell cmdlet 'ini kullanarak şablonları dışarı aktarın.

  3. Import-AıpservicetemplateAzure RMS PowerShell cmdlet 'ini kullanarak şablonları içeri aktarın.

Daha sonra bu şablonları geçiş sonrası oluşturduğunuz diğer tüm şablonlar gibi yayımlayabilir veya arşivleyebilirsiniz.

AD RMS’deki şablonlarınız ANYONE grubunu kullandıysa izlemeniz gereken yordam

AD RMS ' deki şablonunuz Herkes grubunu kullandıysanız, Azure Information Protection en yakın eşdeğer grup allpersonelin-7184AB3F-CCD1-46f3-8233-3E09E9CF0E66@ <tenant_name> . onmicrosoft.com olarak adlandırılır. Örneğin, bu grup Contoso için aşağıdaki gibi görünebilir: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com . Bu grup Azure AD kiracınızdaki tüm kullanıcıları içerir.

Azure portal şablonlar ve Etiketler yönetirken bu grup, Azure AD 'de kiracının etki alanı adı olarak görüntülenir. Örneğin, bu grup contoso: contoso.onmicrosoft.com için aşağıdaki gibi görünebilir. Bu grubu eklemek için seçeneği, Ekle <organization name> -Tüm üyeler' i görüntüler.

AD RMS şablonlarınızın ANYONE grubunu içerip içermediğinden emin değilseniz, bu şablonları tanımlamak için aşağıdaki örnek Windows PowerShell betiğini kullanabilirsiniz. Windows PowerShell 'i AD RMS kullanma hakkında daha fazla bilgi için, bkz. AD RMS yönetmek Için Windows PowerShell kullanma.

Bu şablonları Azure portal etiketlere dönüştürdüğünüzde, şablonlara kolayca dış kullanıcı ekleyebilirsiniz. Ardından, Izin Ekle bölmesinde, bu kullanıcıların e-posta adreslerini el ile belirtmek Için ayrıntıları girin ' i seçin.

Bu yapılandırma hakkında daha fazla bilgi için bkz. Rights Management Protection için etiket yapılandırma.

ANYONE grubunu içeren AD RMS şablonlarını belirlemek için Örnek Windows PowerShell komut dosyası

Bu bölüm, önceki bölümde açıklandığı gibi, tanımlı bir grup AD RMS şablonu tanımlamanızı sağlayacak örnek betiği içerir.

Vazgeçme: Bu örnek betik, herhangi bir Microsoft standart destek programı veya hizmeti altında desteklenmez. Bu örnek betik, hiçbir garanti olmaksızın OLDUĞU GİBİ sunulmaktadır.

import-module adrmsadmin

New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost -Force

$ListofTemplates=dir MyRmsAdmin:\RightsPolicyTemplate

foreach($Template in $ListofTemplates)
{
                $templateID=$Template.id

                $rights = dir MyRmsAdmin:\RightsPolicyTemplate\$Templateid\userright

     $templateName=$Template.DefaultDisplayName

        if ($rights.usergroupname -eq "anyone")

                         {
                           $templateName = $Template.defaultdisplayname

                           write-host "Template " -NoNewline

                           write-host -NoNewline $templateName -ForegroundColor Red

                           write-host " contains rights for " -NoNewline

                           write-host ANYONE  -ForegroundColor Red
                         }
 }
Remove-PSDrive MyRmsAdmin -force

Sonraki adımlar

3. aşama - istemci tarafı yapılandırmasına gidin.