Geçişin 5. aşaması - geçiş sonrası görevleriMigration phase 5 - post migration tasks

Uygulama hedefi: Active Directory Rights Management Services Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

AD RMS’den Azure Information Protection’a geçiş işleminin 5. Aşaması için aşağıdaki bilgileri kullanın.Use the following information for Phase 5 of migrating from AD RMS to Azure Information Protection. Bu yordamlar, AD RMS’den Azure Information Protection’a Geçiş konusunun 10 ila 12. adımlarını kapsar.These procedures cover steps 10 through 12 from Migrating from AD RMS to Azure Information Protection.

10. Adım.Step 10. AD RMS sağlamasını kaldırmaDeprovision AD RMS

Bilgisayarların şirket içi Rights Management altyapınızı bulmasını önlemek için Hizmet Bağlantı Noktası’nı (SCP) Active Directory’den kaldırın.Remove the Service Connection Point (SCP) from Active Directory to prevent computers from discovering your on-premises Rights Management infrastructure. Kayıt defterinde yapılandırdığınız (örneğin, geçiş betik dosyasını çalıştırarak) yeniden yönlendirme nedeniyle geçiş yaptırdığınız var olan istemciler için bunun yapılması isteğe bağlıdır.This is optional for the existing clients that you migrated because of the redirection that you configured in the registry (for example, by running the migration script). Ancak, SCP'yi kaldırmak yeni istemcilerin ve potansiyel olarak RMS-ilgili hizmetlerin ve araçların geçiş tamamlandığında SCP'yi bulmasını engeller.However, removing the SCP prevents new clients and potentially RMS-related services and tools from finding the SCP when the migration is complete. Bu noktada, tüm bilgisayar bağlantılar, Azure Rights Management hizmetine gitmeniz gerekir.At this point, all computer connections should go to the Azure Rights Management service.

SCP’yi kaldırmak için, etki alanı kuruluş yöneticisi olarak oturum açtığınızdan emin olun ve aşağıdaki yordamı uygulayın:To remove the SCP, make sure that you are logged in as a domain enterprise administrator, and then use the following procedure:

  1. Active Directory Rights Management Services konsolunda AD RMS kümesine sağ tıklayın ve sonra Özellikler’e tıklayın.In the Active Directory Rights Management Services console, right-click the AD RMS cluster, and then click Properties.

  2. SCP sekmesine tıklayın.Click the SCP tab.

  3. SCP’yi değiştir onay kutusunu seçin.Select the Change SCP check box.

  4. Geçerli SCP'yi Kaldır’ı seçin ve sonra Tamam’a tıklayın.Select Remove Current SCP, and then click OK.

Artık AD RMS sunucularınızın etkinliğini izleyin.Now monitor your AD RMS servers for activity. Örneğin, kontrol sistem durumu raporundaki istekleri, ServiceRequest tablosunu veya korunan içeriğe kullanıcı erişimi denetim.For example, check the requests in the System Health report, the ServiceRequest table or audit user access to protected content.

RMS istemcilerinin bu sunucularla artık iletişim kurmadığını ve istemcilerin Azure Information Protection’ı başarıyla kullandığını onayladığınızda, AD RMS sunucu rolünü bu sunuculardan kaldırabilirsiniz.When you have confirmed that RMS clients are no longer communicating with these servers and that clients are successfully using Azure Information Protection, you can remove the AD RMS server role from these servers. Ayrılmış sunucular kullanıyorsanız, ilk sunucuları bir süre için kapatmaya yönelik önlem adımını tercih edebilirsiniz.If you’re using dedicated servers, you might prefer the cautionary step of first shutting down the servers for a period of time. İstemcileri Azure Information Protection neden kullanmıyorsanız araştırırken hizmet sürekliliğini için bu sunucular yeniden başlatmanıza gerek duyabileceğiniz bildirilmediğinden emin olmak için zaman kazandırır.This gives you time to make sure that there are no reported problems that might require you to restart these servers for service continuity while you investigate why clients are not using Azure Information Protection.

AD RMS sunucularınızın yetkisini kaldırana sonra Azure portalında şablonlarınızı gözden geçirmek için bu fırsattan yararlanarak isteyebilirsiniz.After you have deprovisioned your AD RMS servers, you might want to take the opportunity to review your templates in the Azure portal. Örneğin, etikete dönüştürebilirsiniz, böylece kullanıcılar arasında seçim yapmanızı daha az olması veya onları yeniden yapılandırın birleştirmek.For example, convert them to labels, consolidate them so that users have fewer to choose between, or reconfigure them. Bu nokta ayrıca varsayılan şablonları yayımlamak için iyi bir zamandır.This would be also a good time to publish the default templates. Daha fazla bilgi için yapılandırma ve Azure Information Protection için şablonlarını yönetme.For more information, see Configuring and managing templates for Azure Information Protection.

Önemli

Bu geçiş sonunda AD RMS kümeniz, Azure Information Protection ve kendi anahtarını tut (HYOK) seçeneği ile kullanılamaz.At the end of this migration, your AD RMS cluster cannot be used with Azure Information Protection and the hold your own key (HYOK) option. Bir Azure Information Protection etiketi için HYOK kullanmaya karar verirseniz, yeniden yönlendirmeler artık etkin olduğu için kullandığınız AD RMS kümesinin lisans URL’leri, geçirdiğiniz kümelerdekinden farklı olmalıdır.If you decide to use HYOK for an Azure Information Protection label, because of the redirections that are now in place, the AD RMS cluster that you use must have different licensing URLs to the ones in the clusters that you migrated.

11. Adım.Step 11. Tam istemci geçiş görevleriComplete client migration tasks

Mobil cihaz istemcileri ve Mac bilgisayarlar için: AD RMS mobil cihaz uzantısını dağıttığınızda oluşturduğunuz DNS SRV kayıtlarını kaldırın.For mobile device clients and Mac computers: Remove the DNS SRV records that you created when you deployed the AD RMS mobile device extension.

Bu DNS değişiklikleri propogated varsa, bu istemciler otomatik olarak bulun ve Azure Rights Management hizmetini kullanmaya başlayın.When these DNS changes have propogated, these clients will automatically discover and start to use the Azure Rights Management service. Ancak, Office Mac çalıştıran Mac bilgisayarlara AD RMS'den bilgileri önbelleğe alır.However, Mac computers that run Office Mac cache the information from AD RMS. Bu bilgisayarlar için bu işlem 30 güne kadar sürebilir.For these computers, this process can take up to 30 days.

Mac bilgisayarları bulma işlemi Anahtarlıkta hemen çalıştırmaya zorlamak için "adal" için arama ve ADAL tüm girişleri silin.To force Mac computers to run the discovery process immediately, in the keychain, search for "adal" and delete all ADAL entries. Daha sonra bu bilgisayarlara aşağıdaki komutları çalıştırın:Then, run the following commands on these computers:


rm -r ~/Library/Cache/MSRightsManagement

rm -r ~/Library/Caches/com.microsoft.RMS-XPCService

rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services

rm -r ~/Library/Containers/com.microsoft.RMS-XPCService

rm -r ~/Library/Containers/com.microsoft.RMSTestApp

rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist

killall cfprefsd

Tüm mevcut Windows bilgisayarları Azure Information Protection'a geçirildiğinde, ekleme denetimlerini kullanın ve sürdürmek devam etmek için bir neden yoktur Aıpmigrated geçiş işlemi için oluşturduğunuz grubu.When all your existing Windows computers have migrated to Azure Information Protection, there's no reason to continue to use onboarding controls and maintain the AIPMigrated group that you created for the migration process.

Önce ekleme denetimlerini kaldırın ve sonra silebilirsiniz Aıpmigrated grubu ve geçiş betiklerini dağıtmak için oluşturduğunuz herhangi bir yazılım dağıtım yöntemi.Remove the onboarding controls first, and then you can delete the AIPMigrated group and any software deployment method that you created to deploy the migration scripts.

Ekleme denetimlerini kaldırmak için:To remove the onboarding controls:

  1. Bir PowerShell oturumunda, Azure Rights Management hizmetine bağlanın ve istendiğinde genel yönetici kimlik bilgilerinizi belirtin:In a PowerShell session, connect to the Azure Rights Management service and when prompted, specify your global admin credentials:

     Connect-Aadrmservice
    
  2. Aşağıdaki komutu çalıştırın ve Y’ye basarak onaylayın:Run the following command, and enter Y to confirm:

     Set-AadrmOnboardingControlPolicy -UseRmsUserLicense $False
    

    Bu komut tüm bilgisayarlar, belgeleri ve e-postaları koruyabilmesi için Azure Rights Management koruma hizmetini herhangi bir lisans zorlama kaldırır dikkat edin.Note that this command removes any license enforcement for the Azure Rights Management protection service, so that all computers can protect documents and emails.

  3. Ekleme denetimlerinin artık ayarlı olmadığını doğrulayın:Confirm that onboarding controls are no longer set:

     Get-AadrmOnboardingControlPolicy
    

    Çıktıda Lisans değeri False olmalı ve SecurityGroupOjbectId için hiçbir GUID gösterilmemelidirIn the output, License should show False, and there is no GUID displayed for the SecurityGroupOjbectId

Son olarak, Office 2010 kullanıyorsanız ve etkinleştirdiğiniz AD RMS haklar İlkesi şablonu Yönetimi (otomatik) görev Windows Görev Zamanlayıcı kitaplığında, Azure bilgileri tarafından kullanılmadığından bu görevi devre dışı bırakma Koruma istemcisi.Finally, if you are using Office 2010 and you have enabled the AD RMS Rights Policy Template Management (Automated) task in the Windows Task Scheduler library, disable this task because it is not used by the Azure Information Protection client. Bu görev, genellikle Grup İlkesi kullanılarak etkinleştirilir ve AD RMS dağıtımının destekler.This task is typically enabled by using group policy and supports an AD RMS deployment. Bu görev, şu konumda bulabilirsiniz: Microsoft > Windows > Active Directory Rights Management Services İstemcisiYou can find this task in the following location: Microsoft > Windows > Active Directory Rights Management Services Client

12. Adım.Step 12. Azure Information Protection Kiracı anahtarınızı yeniden oluşturmaRekey your Azure Information Protection tenant key

AD RMS dağıtımınız RMS şifreleme modu 1 kullanıyorsa geçiş tamamlandığında bu adım önerilir.This step is recommended when migration is complete if your AD RMS deployment was using RMS Cryptographic Mode 1. Yeniden anahtarlama, RMS şifreleme modu 2 kullanan koruma sonuçlanır.Rekeying results in protection that uses RMS Cryptographic Mode 2.

AD RMS dağıtımınız kullanarak şifreleme modu 2 olsa bile, yeni bir anahtar kiracınız, AD RMS anahtarınıza yönelik olası güvenlik ihlallerinden korunmasına yardımcı olduğu için bu adımı uygulayın hala öneririz.Even if your AD RMS deployment was using Cryptographic Mode 2, we still recommend you do this step because a new key helps to protect your tenant from potential security breaches to your AD RMS key.

(Ayrıca bilinen "anahtarınızı döndürme" olarak anılır) Azure Information Protection Kiracı anahtarınızı yeniden oluşturma, şu anda etkin anahtar arşivlenir ve Azure Information Protection, belirttiğiniz farklı bir anahtar kullanmaya başlar.When you rekey your Azure Information Protection tenant key (also known as "rolling your key"), the currently active key is archived and Azure Information Protection starts to use a different key that you specify. Bu farklı anahtar Azure anahtar Kasası'nda, oluşturduğunuz yeni bir anahtar ya da kiracınız için otomatik olarak oluşturulan varsayılan anahtarı olabilir.This different key could be a new key that you create in Azure Key Vault, or the default key that was automatically created for your tenant.

Bir anahtardan diğerine taşınmasını hemen ancak birkaç hafta içinde gerçekleşmez.Moving from one key to another doesn’t happen immediately but over a few weeks. Hemen olmadığı için geçiş tamamlandıktan hemen sonra bir ihlali için özgün anahtarınızda ancak bu adımı şüphelendiğiniz kadar beklemeyin.Because it's not immediate, do not wait until you suspect a breach to your original key but do this step as soon as the migration is complete.

Azure Information Protection kiracı anahtarınızı yeniden oluşturmak için:To rekey your Azure Information Protection tenant key:

  • Kiracı anahtarınız Microsoft tarafından yönetiliyorsa: PowerShell cmdlet'ini çalıştırın Set-AadrmKeyProperties ve kiracınız için otomatik olarak oluşturulan anahtarı için anahtar tanımlayıcı belirtin.If your tenant key is managed by Microsoft: Run the PowerShell cmdlet Set-AadrmKeyProperties and specify the key identifier for the key that was automatically created for your tenant. Sizi çalıştırarak belirtilecek değeri tanımlamak Get-AadrmKeys cmdlet'i.You can identify the value to specify by running the Get-AadrmKeys cmdlet. Aşağıdaki komutu kullanarak belirleyebilmeniz eski oluşturma tarihi, kiracınız için otomatik olarak oluşturulan anahtarı vardır:The key that was automatically created for your tenant has the oldest creation date, so you can identify it by using the following command:

      (Get-AadrmKeys) | Sort-Object CreationTime | Select-Object -First 1
    
  • Kiracı anahtarınızı kendiniz yönetiyorsanız (BYOK) yönetiliyorsa: Azure Key vault'ta Azure Information Protection kiracınız için anahtar oluşturma işlemi yineleyin ve ardından çalıştırın Use-AadrmKeyVaultKey cmdlet'ini yeniden bu yeni anahtar URI'sini belirtin.If your tenant key is managed by you (BYOK): In Azure Key Vault, repeat your key creation process for your Azure Information Protection tenant, and then run the Use-AadrmKeyVaultKey cmdlet again to specify the URI for this new key.

Azure Information Protection Kiracı anahtarınızı yönetme hakkında daha fazla bilgi için bkz. Azure Information Protection Kiracı anahtarınıza ilişkin işlemler.For more information about managing your Azure Information Protection tenant key, see Operations for your Azure Information Protection tenant key.

Sonraki adımlarNext steps

Geçişi tamamladıktan sonra, gerçekleştirmeniz gerekebilecek diğer herhangi bir dağıtım görevini belirlemek için, dağıtım yol haritanızı gözden geçirin.Now that you have completed the migration, review the deployment roadmap to identify any other deployment tasks that you might need to do.