AD RMS'den Azure Information Protection'a geçiş

  • Makale

Active Directory Rights Management Services (AD RMS) dağıtımınızı Azure Information Protection'a geçirmek için aşağıdaki yönergeler kümesini kullanın.

Geçiş sonrasında AD RMS sunucularınız artık kullanımda değildir, ancak kullanıcılar kuruluşunuzun AD RMS kullanarak koruduğu belgelere ve e-posta iletilerine erişmeye devam eder. Yeni korunan içerik, Azure Information Protection'dan Azure Rights Management hizmetini (Azure RMS) kullanır.

Gerekli olmasa da, geçişe başlamadan önce aşağıdaki belgeleri okumanız yararlı olabilir. Bu bilgi, geçiş adımınızla ilgili olduğunda teknolojinin nasıl çalıştığını daha iyi anlamanıza olanak sağlar.

  • Azure Information Protection kiracı anahtarınızı planlama ve uygulama: Buluttaki SLC anahtarınızın eşdeğerinin Microsoft tarafından (varsayılan) veya sizin tarafınızdan ("kendi anahtarını getir" veya BYOK yapılandırması) yönetildiği Azure Information Protection kiracınız için sahip olduğunuz anahtar yönetimi seçeneklerini anlayın.

  • RMS hizmet bulma: RMS istemci dağıtım notlarının bu bölümünde, hizmet bulma sırasının kayıt defteri, ardından hizmet bağlantı noktası (SCP) ve ardından bulut olduğu açıklanır. SCP hala yüklü olduğunda geçiş işlemi sırasında, istemcileri SCP'den döndürülen AD RMS kümesini kullanmamaları için Azure Information Protection kiracınız için kayıt defteri ayarlarıyla yapılandırabilirsiniz.

  • Microsoft Rights Management bağlayıcısına genel bakış: RMS bağlayıcısı belgelerindeki bu bölümde, şirket içi sunucularınızın belgeleri ve e-postaları korumak için Azure Rights Management hizmetine nasıl bağlanabileceği açıklanmaktadır.

Ayrıca, AD RMS'nin nasıl çalıştığını bilmiyorsanız Azure RMS nasıl çalışır? Bulut sürümü için hangi teknoloji işlemlerinin aynı veya farklı olduğunu belirlemenize yardımcı olmak için arka planda .

AD RMS'yi Azure Information Protection'a geçirmek için önkoşullar

Azure Information Protection'a geçişe başlamadan önce aşağıdaki önkoşulların karşılandığından ve sınırlamaları anladığınızdan emin olun.

  • Desteklenen bir RMS dağıtımı:

    • AŞAĞıDAKI AD RMS sürümleri, Azure Information Protection'a geçişi destekler:

      • Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)

    • Tüm geçerli AD RMS topolojileri desteklenir:

      • Tek orman, tek RMS kümesi

      • Tek orman, birden çok yalnızca lisanslama RMS kümesi

      • Birden çok orman, birden çok RMS kümesi

      Dekont

      Varsayılan olarak, birden çok AD RMS kümesi Azure Information Protection için tek bir kiracıya geçirmektedir. Azure Information Protection için ayrı kiracılar istiyorsanız, bunları farklı geçişler olarak değerlendirmeniz gerekir. Bir RMS kümesindeki anahtar birden fazla kiracıya aktarılamaz.

  • Azure Information Protection aboneliği dahil olmak üzere Azure Information Protection'ı çalıştırmaya yönelik tüm gereksinimler (Azure Rights Management hizmeti etkinleştirilmedi):

    Bkz . Azure Information Protection gereksinimleri.

    Azure Information Protection istemcisi sınıflandırma ve etiketleme için gereklidir ve isteğe bağlıdır, ancak yalnızca verileri korumak istiyorsanız önerilir .

    Daha fazla bilgi için bkz. Azure Information Protection birleşik etiketleme istemcisinin yönetici kılavuzları.

    AD RMS'den geçirebilmeniz için önce Azure Information Protection aboneliğinizin olması gerekir, ancak geçişi başlatmadan önce kiracınız için Rights Management hizmetinin etkinleştirilmemiş olması önerilir.

    Geçiş işlemi, anahtarları ve şablonları AD RMS'den dışarı aktardıktan ve Azure Information Protection için kiracınıza aktardıktan sonra bu etkinleştirme adımını içerir. Ancak, Rights Management hizmeti zaten etkinleştirildiyse, bazı ek adımlarla AD RMS'den geçiş yapabilirsiniz.

    Yalnızca Office 2010:

    Office 2010 çalıştıran bilgisayarlarınız varsa, bulut hizmetlerinde kullanıcıların kimliğini doğrulama olanağı sağlamak için Azure Information Protection istemcisini yüklemeniz gerekir.

    Önemli

    Office 2010 genişletilmiş desteği 13 Ekim 2020'de sona erdi. Daha fazla bilgi için bkz . AIP ve eski Windows ve Office sürümleri.

  • Azure Information Protection için hazırlık:

  • Exchange Server (örneğin, aktarım kuralları ve Outlook Web Access) veya AD RMS ile SharePoint Server'ın Bilgi Hakları Yönetimi (IRM) işlevini kullandıysanız:

    • IRM'nin bu sunucularda kullanılamayacağı kısa bir süre için planlayın

      Geçiş sonrasında bu sunucularda IRM kullanmaya devam edebilirsiniz. Ancak, geçiş adımlarından biri IRM hizmetini geçici olarak devre dışı bırakmak, bir bağlayıcı yükleyip yapılandırmak, sunucuları yeniden yapılandırmak ve ardından IRM'yi yeniden etkinleştirmektir.

      Bu, geçiş işlemi sırasında hizmette tek kesintidir.

  • HSM korumalı bir anahtar kullanarak kendi Azure Information Protection kiracı anahtarınızı yönetmek istiyorsanız:

    • Bu isteğe bağlı yapılandırma için Azure Key Vault ve HSM korumalı anahtarlarla Key Vault'ı destekleyen bir Azure aboneliği gerekir. Daha fazla bilgi için Bkz . Azure Key Vault Fiyatlandırma sayfası.

Şifreleme modu ile ilgili dikkat edilmesi gerekenler

AD RMS kümeniz şu anda Şifreleme Modu 1'deyse, geçişi başlatmadan önce kümeyi Şifreleme Modu 2'ye yükseltmeyin. Bunun yerine, Şifreleme Modu 1'i kullanarak geçiş yapın; geçiş sonrası görevlerden biri olarak geçiş sonunda kiracı anahtarınızı yeniden anahtarlayabilirsiniz.

Windows Server 2012 R2 ve Windows 2012 için AD RMS şifreleme modunu onaylamak için: AD RMS küme özellikleri >Genel sekmesi.

Geçiş sınırlamaları

  • Azure Information Protection tarafından kullanılan Rights Management hizmeti tarafından desteklenmeyen yazılımlarınız ve istemcileriniz varsa, Azure Rights Management tarafından korunan içeriği koruyamaz veya kullanamazlar. Azure Information Protection Gereksinimleri bölümünde desteklenen uygulamalar ve istemciler bölümlerini kontrol edin.

  • AD RMS dağıtımınız dış iş ortaklarıyla işbirliği yapmak üzere yapılandırılmışsa (örneğin, güvenilen kullanıcı etki alanları veya federasyon kullanarak), geçişinizle aynı anda veya en kısa sürede Azure Information Protection'a da geçmeleri gerekir. Kuruluşunuzun daha önce Azure Information Protection kullanarak koruduğu içeriğe erişmeye devam etmek için, sizin yaptığınıza benzer ve bu belgeye dahil edilen istemci yapılandırma değişiklikleri yapmaları gerekir.

    İş ortaklarınızın sahip olabileceği olası yapılandırma varyasyonları nedeniyle, bu yeniden yapılandırmaya yönelik tam yönergeler bu belgenin kapsamı dışındadır. Ancak planlama yönergeleri için sonraki bölüme bakın ve ek yardım için Microsoft Desteği başvurun.

Dış iş ortaklarıyla işbirliği yaparsanız geçiş planlaması

Ayrıca Azure Information Protection'a geçmeleri gerektiğinden, AD RMS iş ortaklarınızı geçiş planlama aşamanıza ekleyin. Aşağıdaki geçiş adımlarından herhangi birini yapmadan önce aşağıdakilerin geçerli olduğundan emin olun:

  • Azure Rights Management hizmetini destekleyen bir Microsoft Entra kiracısı vardır.

    Örneğin, bir Office 365 E3 veya E5 aboneliği ya da Enterprise Mobility + Security aboneliği ya da Azure Information Protection için tek başına abonelikleri vardır.

  • Azure Rights Management hizmeti henüz etkinleştirilmemiş ancak Azure Rights Management hizmeti URL'sini biliyor.

    Azure Rights Management Aracı'nı yükleyerek, hizmete (Bağlan-AipService) bağlanarak ve ardından Azure Rights Management hizmeti (Get-AipServiceConfiguration) için kiracı bilgilerini görüntüleyerek bu bilgileri alabilirler.

  • Bunlar, geçirilen istemcilerinizi AD RMS korumalı içeriğine yönelik istekleri kiracılarının Azure Rights Management hizmetine yeniden yönlendirecek şekilde yapılandırabilmeniz için ad RMS kümelerinin URL'lerini ve Azure Rights Management hizmeti URL'lerini sağlar. İstemci yeniden yönlendirmesini yapılandırma yönergeleri 7. adımdadır.

  • Kullanıcılarınızı geçirmeye başlamadan önce AD RMS kümesi kök anahtarlarını (SLC) kiracılarına aktarırlar. Benzer şekilde, kullanıcılarını geçirmeye başlamadan önce AD RMS küme kök anahtarlarınızı içeri aktarmanız gerekir. Anahtarı içeri aktarma yönergeleri, 4. adım olan bu geçiş işleminde ele alınmıştır. Yapılandırma verilerini AD RMS'den dışarı aktarın ve Azure Information Protection'a aktarın.

AD RMS'yi Azure Information Protection'a geçirme adımlarına genel bakış

Geçiş adımları, farklı zamanlarda ve farklı yöneticiler tarafından gerçekleştirilebilecek beş aşamaya ayrılabilir.

1. Aşama: Geçiş hazırlığı

Daha fazla bilgi için bkz . AŞAMA 1: GEÇIŞ HAZıRLıĞı.

1. Adım: AIPService PowerShell modülünü yükleme ve kiracı URL'nizi tanımlama

Geçiş işlemi, AIPService modülünden bir veya daha fazla PowerShell cmdlet'ini çalıştırmanızı gerektirir. Geçiş adımlarının çoğunu tamamlamak için kiracınızın Azure Rights Management hizmeti URL'sini bilmeniz gerekir ve PowerShell kullanarak bu değeri tanımlayabilirsiniz.

Adım 2. İstemci geçişi için hazırlanma

Tüm istemcileri aynı anda geçiremiyorsanız ve bunları toplu olarak geçirecekseniz, ekleme denetimlerini kullanın ve geçiş öncesi betiği dağıtın. Ancak aşamalı geçiş yapmak yerine her şeyi aynı anda geçirirseniz bu adımı atlayabilirsiniz.

3. Adım: Exchange dağıtımınızı geçiş için hazırlama

Şu anda e-postaları korumak için Exchange Online veya Şirket İçi Exchange'in IRM özelliğini kullanıyorsanız bu adım gereklidir. Ancak aşamalı geçiş yapmak yerine her şeyi aynı anda geçirirseniz bu adımı atlayabilirsiniz.

2. Aşama: AD RMS için sunucu tarafı yapılandırması

Daha fazla bilgi için bkz . 2. AŞAMA: AD RMS IÇIN SUNUCU TARAFı YAPıLANDıRMASı.

4. Adım. Yapılandırma verilerini AD RMS'den dışarı aktarma ve Azure Information Protection'a aktarma

Yapılandırma verilerini (anahtarlar, şablonlar, URL'ler) AD RMS'den bir XML dosyasına aktarabilir ve ardından Import-AipServiceTpd PowerShell cmdlet'ini kullanarak bu dosyayı Azure Information Protection'dan Azure Rights Management hizmetine yüklersiniz. Ardından, Azure Rights Management hizmeti için kiracı anahtarınız olarak kullanılacak içeri aktarılan Sunucu Lisans Sertifikası (SLC) anahtarını belirleyin. AD RMS anahtar yapılandırmanıza bağlı olarak ek adımlar gerekebilir:

  • Yazılım korumalı anahtardan yazılım korumalı anahtara geçiş:

    AD RMS'de merkezi olarak yönetilen parola tabanlı anahtarlar ile Microsoft tarafından yönetilen Azure Information Protection kiracı anahtarı. Bu en basit geçiş yoludur ve ek adım gerekmez.

  • HSM korumalı anahtardan HSM korumalı anahtara geçiş:

    AD RMS için HSM tarafından müşteri tarafından yönetilen Azure Information Protection kiracı anahtarına ("kendi anahtarını getir" veya BYOK senaryosu) depolanan anahtarlar. Bunun için, anahtarı şirket içi nCipher HSM'nizden Azure Key Vault'a aktarmak ve Azure Rights Management hizmetine bu anahtarı kullanma yetkisi vermek için ek adımlar gerekir. Mevcut HSM korumalı anahtarınız modül korumalı olmalıdır; OCS korumalı anahtarlar Rights Management hizmetleri tarafından desteklenmez.

  • Yazılım korumalı anahtardan HSM korumalı anahtara geçiş:

    AD RMS'de merkezi olarak yönetilen parola tabanlı anahtarlar ile müşteri tarafından yönetilen Azure Information Protection kiracı anahtarı ("kendi anahtarını getir" veya BYOK senaryosu). Önce yazılım anahtarınızı ayıklamanız ve şirket içi HSM'ye aktarmanız ve ardından anahtarı şirket içi nCipher HSM'nizden Azure Key Vault HSM'ye aktarmak ve Azure Rights Management hizmetine anahtarı depolayan anahtar kasasını kullanma yetkisi vermek için ek adımları gerçekleştirmeniz gerektiğinden bu en fazla yapılandırmayı gerektirir.

Adım 5. Azure Rights Management hizmetini etkinleştirme

Mümkünse, bu adımı içeri aktarma işleminden sonra yapın ve daha önce gerçekleştirin. Hizmet içeri aktarma işleminden önce etkinleştirildiyse ek adımlar gereklidir.

6. Adım. İçeri aktarılan şablonları yapılandırma

Hak ilkesi şablonlarınızı içeri aktardığınızda, bu şablonların durumu arşivlenmiş durumdadır. Kullanıcıların bunları görebilmesini ve kullanabilmesini istiyorsanız, şablon durumunu klasik Azure portalında yayımlanacak şekilde değiştirmeniz gerekir.

3. Aşama: İstemci tarafı yapılandırması

Daha fazla bilgi için bkz . 3. AŞAMA: İsteMCİ TARAFI YAPILANDIRMA.

7. Adım: Windows bilgisayarlarını Azure Information Protection kullanacak şekilde yeniden yapılandırma

Mevcut Windows bilgisayarlarının AD RMS yerine Azure Rights Management hizmetini kullanacak şekilde yeniden yapılandırılması gerekir. Bu adım, kuruluşunuzdaki bilgisayarlar ve AD RMS çalıştırırken onlarla işbirliği yapmışsanız, iş ortağı kuruluşlardaki bilgisayarlar için geçerlidir.

4. Aşama: Destek hizmetleri yapılandırması

Daha fazla bilgi için bkz . AŞAMA 4: DESTEK HİzMETLerİ YAPILANDIRMASI.

8. Adım: Exchange Online için IRM tümleştirmesini yapılandırma

Bu adım, Artık Azure Rights Management hizmetini kullanmak üzere Exchange Online için AD RMS geçişini tamamlar.

9. Adım: Exchange Server ve SharePoint Server için IRM tümleştirmesini yapılandırma

Bu adım, artık Rights Management bağlayıcısının dağıtılması gereken Azure Rights Management hizmetini kullanmak üzere Exchange veya SharePoint şirket içi için AD RMS geçişini tamamlar.

5. Aşama: Geçiş sonrası görevleri

Daha fazla bilgi için bkz . AŞAMA 5: GEÇIŞ SONRASı GÖREVLER.

10. Adım: AD RMS sağlamasını kaldırma

Tüm Windows bilgisayarlarının Azure Rights Management hizmetini kullandığını ve artık AD RMS sunucularınıza erişmediğini onayladığınızda, AD RMS dağıtımınızın sağlamasını kaldırabilirsiniz.

11. Adım: İstemci geçiş görevlerini tamamlama

iOS telefonlar ve iPad'ler, Android telefonlar ve tabletler, Windows telefonlar ve tabletler ve Mac bilgisayarlar gibi mobil cihazları desteklemek için mobil cihaz uzantısını dağıttıysanız, DNS'de bu istemcileri AD RMS kullanmaya yönlendiren SRV kayıtlarını kaldırmanız gerekir.

Hazırlık aşamasında yapılandırdığınız ekleme denetimleri artık gerekli değildir. Ancak, aşamalı geçiş yerine her şeyi aynı anda geçirmeyi seçtiğiniz için ekleme denetimlerini kullanmadıysanız, ekleme denetimlerini kaldırma yönergelerini atlayabilirsiniz.

Windows bilgisayarlarınız Office 2010 çalıştırıyorsa, AD RMS Rights Policy Şablon Yönetimi (Otomatik) görevini devre dışı bırakmanız gerekip gerekmediğini denetleyin.

Önemli

Office 2010 genişletilmiş desteği 13 Ekim 2020'de sona erdi. Daha fazla bilgi için bkz . AIP ve eski Windows ve Office sürümleri.

12. Adım: Azure Information Protection kiracı anahtarınızı yeniden anahtarla

Geçiş öncesinde Şifreleme Modu 2'de çalışmıyorsanız bu adım önerilir.

Sonraki adımlar

Geçişi başlatmak için 1. Aşama - hazırlık'a gidin.