Geçişin 5. aşaması - geçiş sonrası görevleri

Için geçerlidir: Active Directory Rights Management Services, Azure Information Protection, Office 365

için uygun: AIP birleşik etiketleme istemcisi ve klasik istemci

Not

Birleşik ve kolaylaştırılmış bir müşteri deneyimi sağlamak için Azure portalındaki Azure Information Protection Klasik istemci ve etiket yönetimi 31 Mart 2021 itibarıyla kullanım dışıdır . Klasik istemci yapılandırıldığı şekilde çalışmaya devam ederken, başka bir destek sağlanmaz ve artık klasik istemci için bakım sürümleri yayınlanmayacaktır.

Birleşik etiketlemeye geçiş yapmanızı ve Birleşik etiketleme istemcisineyükseltmenizi öneririz. Son kullanımdan kaldırma blogumuzhakkında daha fazla bilgi edinin.

AD RMS’den Azure Information Protection’a geçiş işleminin 5. Aşaması için aşağıdaki bilgileri kullanın. Bu yordamlar, AD RMS’den Azure Information Protection’a Geçiş konusunun 10 ila 12. adımlarını kapsar.

10. Adım AD RMS'nin AD RMS

Bilgisayarların şirket içi Rights Management altyapınızı bulmasını önlemek için Hizmet Bağlantı Noktası’nı (SCP) Active Directory’den kaldırın. Kayıt defterinde yapılandırdığınız (örneğin, geçiş betik dosyasını çalıştırarak) yeniden yönlendirme nedeniyle geçiş yaptırdığınız var olan istemciler için bunun yapılması isteğe bağlıdır. Ancak, SCP'nin kaldırılması, geçiş tamamlandığında yeni istemcilerin ve RMS ile ilgili olabilecek hizmetlerin ve araçların SCP'yi bulmasını engeller. Bu noktada, tüm bilgisayar bağlantıları Azure Rights Management gerekir.

SCP’yi kaldırmak için, etki alanı kuruluş yöneticisi olarak oturum açtığınızdan emin olun ve aşağıdaki yordamı uygulayın:

  1. Active Directory Rights Management Services konsolunda AD RMS kümesine sağ tıklayın ve sonra Özellikler’e tıklayın.

  2. SCP sekmesine tıklayın.

  3. SCP’yi değiştir onay kutusunu seçin.

  4. Geçerli SCP'yi Kaldır’ı seçin ve sonra Tamam’a tıklayın.

Şimdi etkinlik için AD RMS sunucularınızı izleyebilirsiniz. Örneğin Sistem Durumu raporunda, ServiceRequest tablosundan istekleri kontrol edin veya korumalı içeriğe kullanıcı erişimini kontrol edin.

RMS istemcilerinin bu sunucularla artık iletişim kurmadığını ve istemcilerin Azure Information Protection’ı başarıyla kullandığını onayladığınızda, AD RMS sunucu rolünü bu sunuculardan kaldırabilirsiniz. Ayrılmış sunucular kullanıyorsanız, önce sunucuları bir süre için kapatmaya yönelik uyarı adımını tercih edersiniz. Bu size, istemcilerin neden hizmet sürekliliği için bu sunucuları yeniden başlatmanızı gerektirtiren bildirilen bir sorun olmadığını araştırmanız için size zaman Azure Information Protection.

AD RMS sunucularınızı sağlamayı AD RMS sonra şablon ve etiketlerinizi gözden geçirme fırsatınız olabilir. Örneğin, şablonları etiketlere dönüştür, kullanıcıların daha az seçime sahip olması için birleştir veya yeniden yapılandır. Bu, varsayılan şablonları yayımlamak için de iyi bir zaman olabilir.

Duyarlılık etiketleri ve birleşik etiketleme istemcisi için aşağıdaki Microsoft 365 uyumluluk merkezi. Daha fazla bilgi için Microsoft 365 bakın.

Klasik istemciyi kullanıyorsanız, Azure portal. Daha fazla bilgi için, bkz. Configuring and managing templates for Azure Information Protection.

Önemli

Bu geçişin sonunda, AD RMS kümeniz Azure Information Protection ve kendi anahtarını tut ( HYOK )seçeneğiylekullanılamaz.

Klasik istemciyi HYOK ile kullanıyorsanız, artık var olan yeniden yönlendirmeler nedeniyle, kullanmakta AD RMS kümesi, geçiş yapılan kümelerde yer alanlarla farklı lisans URL'lerine sahip olmalıdır.

Office 2010 çalıştıran bilgisayarlar için ek yapılandırma

Önemli

Office 2010 genişletilmiş desteği 13 Ekim 2020'de sona erdi. Daha fazla bilgi için bkz. AIP ve eski Windows ve Office sürümleri.

Geçirilen istemciler Office 2010 çalıştırıyorsa, sunucularımız sağlandıktan sonra kullanıcılar korumalı AD RMS açmada gecikmeler yaşanıyor olabilir. Veya kullanıcılar korumalı içeriği açmak için kimlik bilgilerine sahip olmadığının iletilerini görebilir. Bu sorunları çözmek için, AD RMS URL FQDN'sini bilgisayarın yerel IP adresine (127.0.0.1) yönlendiren bir ağ yeniden yönlendirmesi oluşturun. Bunu yapmak için her bilgisayarda yerel konak dosyasını yapılandırabilirsiniz veya DNS kullanabilirsiniz.

  • Yerel konaklar dosyası üzerinden yeniden yönlendirme: Yerel konaklar dosyasına aşağıdaki satırı ekleyin; değerini ön ek veya web sayfası olmadan AD RMS kümenizin <AD RMS URL FQDN> değeriyle değiştirerek:

    127.0.0.1 <AD RMS URL FQDN>
    
  • DNS üzerinden yeniden yönlendirme: 127.0.0.1 IP adresine sahip AD RMS URL FQDN'niz için yeni bir ana bilgisayar (A) kaydı oluşturun.

11. Adım İstemci geçiş görevlerini tamamlama

Mobil cihaz istemcileri ve Mac bilgisayarlar için: Mobil cihaz uzantısını dağıtarak oluşturduğunuz DNS SRV AD RMS kaldırın.

Bu DNS değişiklikleri yayıldıklarında, bu istemciler otomatik olarak Azure Rights Management hizmetini kullanmaya başlar. Ancak, Office Mac'i çalıştıran Mac bilgisayarlar bilgileri AD RMS. Bu bilgisayarlar için bu işlem 30 gün kadar olabilir.

Mac bilgisayarları bulma işlemini hemen çalıştırmaya zorlamak için, anahtarlıkta "adal" ifadesini arayın ve tüm ADAL girişlerini silin. Ardından, bu bilgisayarlarda aşağıdaki komutları çalıştırın:


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

Tüm mevcut Windows bilgisayarlarınızı Azure Information Protection, ekleme denetimlerini kullanmaya devam etmek ve geçiş işlemi için oluşturduğunuz AIPMigrated grubunu korumak için bir neden yoktur.

Önce ekleme denetimlerini kaldırın ve ardından AIPMigrated grubunu ve geçiş betiklerini dağıtmak için oluşturduğunuz herhangi bir yazılım dağıtım yöntemini silebilirsiniz.

Ekleme denetimlerini kaldırmak için:

  1. Bir PowerShell oturumunda, Azure Rights Management hizmetine bağlanın ve istendiğinde genel yönetici kimlik bilgilerinizi belirtin:

    Connect-AipService
    
    
  2. Run the following command, and enter Y to confirm:

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
    

    Bu komutun, tüm bilgisayarların belgeleri ve e-postaları koruyabilecek şekilde Azure Rights Management koruma hizmeti için tüm lisans zorlamalarını kaldıran bir komut olduğunu unutmayın.

  3. Ekleme denetimlerinin artık ayarlı olmadığını doğrulayın:

    Get-AipServiceOnboardingControlPolicy
    

    Çıktıda Lisans değeri False olmalı ve SecurityGroupOjbectId için hiçbir GUID gösterilmemelidir

Son olarak, Office 2010 kullanıyorsanız ve Windows Görev Zamanlayıcı kitaplığında AD RMS Rights Policy Şablon Yönetimi (Otomatik) görevini etkinleştirdiyseniz, Azure Information Protection istemcisi tarafından kullanılmayarak bu görevi devre dışı ekleyebilirsiniz.

Bu görev genellikle grup ilkesi kullanılarak etkinleştirilir ve bir grup AD RMS destekler. Bu görevi şu konumda bulabilirsiniz: Microsoft > Windows Active Directory Rights Management Services > İstemcisi.

Önemli

Office 2010 genişletilmiş desteği 13 Ekim 2020'de sona erdi. Daha fazla bilgi için bkz. AIP ve eski Windows ve Office sürümleri.

12. Adım Kiracı anahtarınızı Azure Information Protection anahtarınızı yeniden oluşturun

Bu mod bir 1024 bit anahtar ve SHA-1 kullandığı için AD RMS dağıtımınız RMS Şifreleme Modu 1 kullanıyorsa, geçiş tamamlandığında bu adım gereklidir. Bu yapılandırma, yetersiz bir koruma düzeyi sunmak için kabul edilir. Microsoft, 1024 bit RSA anahtarları gibi daha düşük anahtar uzunluklarının kullanımını ve SHA-1 gibi yetersiz koruma düzeyleri sunan protokollerin kullanımını onaylamaz.

Yeniden anahtarlama, RMS Şifreleme Modu 2 kullanan korumayla sonuç verir ve bu da 2048 bit anahtar ve SHA-256 ile sonuç verir.

Yeni bir anahtar AD RMS anahtarınızı olası güvenlik ihlallerine karşı korumaya yardımcı olduğundan, bu adımı yine de AD RMS Modu 2 kullanıyor olsak da bu adımı AD RMS öneririz.

Kiracı anahtarınızı yeniden Azure Information Protection anahtar ("anahtarınızı sarmalama" olarak da bilinir) o anda etkin olan anahtar arşivlenir ve Azure Information Protection belirttiğiniz farklı bir anahtar kullanmaya başlar. Bu farklı anahtar, Azure Key Vault oluşturduğunuz yeni bir anahtar veya kiracınız için otomatik olarak oluşturulan varsayılan anahtar olabilir.

Bir anahtardan diğerine taşıma hemen değil, birkaç hafta içinde olur. Anlık bir işlem olduğundan, özgün anahtarınıza yapılan bir ihlalden şüpheleninceye kadar beklemenize gerek yok, ancak geçiş tamamlandıktan hemen sonra bu adımı at edin.

Azure Information Protection kiracı anahtarınızı yeniden oluşturmak için:

  • Kiracı anahtarınız Microsoft tarafından yönetiliyorsa: Set-AipServiceKeyProperties PowerShell cmdlet'ini çalıştırın ve kiracınız için otomatik olarak oluşturulan anahtarın anahtar tanımlayıcısını belirtin. Get-AipServiceKeys cmdlet'ini çalıştırarak belirtilen değeri tanımlayabilirsiniz. Kiracınız için otomatik olarak oluşturulan anahtar en eski oluşturma tarihine sahip olduğu için aşağıdaki komutu kullanarak anahtarı tanımlayabilirsiniz:

    (Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
    
  • Kiracı anahtarınız siz tarafından yönetiliyorsa (BYOK): Azure Key Vault'de, Azure Information Protection kiracınız için anahtar oluşturma işleminizi tekrarlayın ve ardından bu yeni anahtarın URI'lerini belirtmek için Use-AipServiceKeyVaultKey cmdlet'ini yeniden çalıştırın.

Kiracı anahtarınızı yönetme hakkında daha fazla Azure Information Protection için bkz. Azure Information Protection kiracı anahtarınız için işlemler.

Sonraki adımlar

Geçişi tamamlamış olduğunuza göre, sınıflandırma, etiketleme ve koruma için AIP dağıtımı yol haritasını gözden geçirerek gerçekleştirmeye gerek duyuyor olabileceğiniz diğer dağıtım görevlerini tanımlayabilirsiniz.