迁移阶段 1 - 准备

适用于:Active Directory Rights Management Services、Azure信息保护、Office 365

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一的标签客户端。 在迁移博客 中了解更多信息

对于从 AD RMS 迁移到 Azure 信息保护的第 1 阶段,请使用以下信息。 这些过程涵盖从 AD RMS 迁移到 Azure 信息保护的步骤 1 到步骤 3,并为迁移环境做好准备,而不会影响用户。

步骤 1:安装 AIPService PowerShell 模块并识别租户 URL

安装 AIPService 模块,以便配置和管理为 Azure 信息保护提供数据保护的服务。

有关说明, 请参阅安装 AIPService PowerShell 模块

若要完成某些迁移说明,需要知道租户的 Azure Rights Management 服务 URL,以便可以在看到对租户 URL 的引用时替换 它 >

Azure Rights Management 服务 URL 采用以下格式 :{GUID}.rms.[Region].aadrm.com。 例如 :5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

标识 Azure Rights Management 服务 URL

  1. 连接 Azure Rights Management 服务,当系统提示时,输入租户的全局管理员凭据:

    Connect-AipService
    
  2. 获取租户的配置:

    Get-AipServiceConfiguration
    
  3. 复制 LicensingIntranetDistributionPointUrl显示的值,从此字符串中删除

    保留的内容是 Azure 信息保护租户的 Azure Rights Management 服务 URL。 在下面的迁移说明中 ,此值 通常缩短为租户 URL。

    可以通过运行以下 PowerShell 命令来验证是否具有正确的值:

    (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
    

步骤 2. 准备客户端迁移

对于大多数迁移,一次迁移所有客户端并不可行,因此可能会分批迁移客户端。

这意味着,在一段时间内,某些客户端将使用 Azure 信息保护,一些客户端仍将使用 AD RMS。 若要同时支持预迁移和迁移的用户,请使用载入控件并部署迁移前脚本。

注意

在迁移过程中需要执行此步骤,以便尚未迁移的用户可以使用已迁移的用户(现在使用 Azure Rights Management)保护的内容。

为客户端迁移做准备

  1. 创建一个名为 AIPMigrated的组。 可以在 Active Directory 中创建此组并同步到云,或者可以在云中创建Microsoft 365或Azure Active Directory。

    目前不要将任何用户分配到此组。 在稍后的步骤中,迁移用户时,将将其添加到组。

  2. 使用下列方法之一记下此组的对象 ID:

    • 使用 Azure AD PowerShell。 例如,对于模块版本 1.0,请使用 Get-MsolGroup 命令。
    • Azure 门户复制组的对象 ID。
  3. 配置此组以载入控件,以便仅允许此组中人员使用 Azure Rights Management 来保护内容。

    为此,在 PowerShell 会话中,连接到 Azure Rights Management 服务。 系统提示时,请指定全局管理员凭据:

    Connect-AipService
    

    配置此组以载入控件,将你的组对象 ID 用此示例中的组对象 ID 来表示。 系统提示时,输入 Y 进行确认。

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
    
  4. 下载 Migration-Scripts.zip 文件。

  5. 提取文件并按照 Prepare-Client.cmd中的说明操作,以便它包含 AD RMS 群集 Extranet 许可 URL 的服务器名称。 若要找到此名称,请执行下列操作:

    1. 在 Active Directory Rights Management Services 控制台中,单击群集名称。

    2. 从" 群集详细信息 "信息中,从 Extranet 群集 URL 部分中 的许可 值复制服务器名称。 例如:rmscluster.contoso.com。

    重要

    这些说明包括将 adrms.contoso.com 示例 地址替换为 AD RMS 服务器地址。

    当你这样做时,请注意地址之前或之后没有额外的空格。 额外的空格会中断迁移脚本,并且很难识别为问题的根本原因。

    一些编辑工具会在粘贴文本后自动添加空格。

  6. 将此脚本部署到所有 Windows 计算机,以确保开始迁移客户端时,尚未迁移的客户端将继续与 AD RMS 通信,即使它们使用当前使用 Azure Rights Management 服务的已迁移客户端保护的内容。

    可以使用组策略或其他软件部署机制部署此脚本。

步骤 3. 准备Exchange迁移的部署

如果使用本地Exchange或联机Exchange,可能以前已Exchange AD RMS 部署集成。 在此步骤中,将配置它们以使用现有的 AD RMS 配置来支持受 Azure RMS 保护的内容。

请确保拥有租户的 Azure Rights Management 服务 URL,以便可以在以下命令中将此值替换为 YourTenantURL。

请执行下列操作之一,具体取决于是否已将 Exchange 或 Exchange Online AD RMS 集成:

如果已将 Exchange Online AD RMS 集成

  1. 打开 Exchange Online PowerShell 会话。

  2. 在脚本中一个一个地运行以下 PowerShell 命令:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -internallicensingenabled $true 
    

如果已在本地Exchange AD RMS 集成

对于每个 Exchange组织,在每个 Exchange 添加注册表值,然后运行 PowerShell 命令:

  1. 如果使用 2013 Exchange 2016 Exchange,请添加以下注册表值:

    • 注册表路径

    • 类型:Reg_SZ

    • 数据

  2. 在脚本中一个一个地运行以下 PowerShell 命令:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -RefreshServerCertificates
    Set-IRMConfiguration -internallicensingenabled $true
    IISReset
    

在本地为 Exchange Online 或 Exchange 运行这些命令后,如果 Exchange 部署配置为支持受 AD RMS 保护的内容,则迁移后它还支持受 Azure RMS 保护的内容。

你的Exchange部署将继续使用 AD RMS 来支持受保护的内容,直到迁移的下一步。

下一步

转到阶段 2 - 服务器端配置