步骤 2:通过软件保护的密钥进行软件保护的密钥迁移

适用于:Active Directory Rights Management Services、Azure信息保护、Office 365

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一标签客户端。 在迁移博客 中了解更多信息

这些说明是 从 AD RMS到 Azure 信息保护的迁移路径的一部分,仅适用于 AD RMS 密钥受软件保护且想要使用受软件保护的租户密钥迁移到 Azure 信息保护时。

如果这不是所选的配置方案,请返回到步骤 4。从 AD RMS 导出配置数据,将其导入 Azure RMS 并选择其他配置。

使用以下过程将 AD RMS 配置导入 Azure 信息保护,以得到由 Microsoft 管理的 Azure 信息保护租户密钥。

将配置数据导入 Azure 信息保护

  1. 在连接 Internet 的工作站上,使用 连接-AipService cmdlet 连接到 Azure Rights Management 服务:

    Connect-AipService
    

    当系统提示时,输入 Azure Rights Management 租户管理员 (凭据,通常会使用全局管理员的帐户Azure Active Directory或Office 365) 。

  2. 使用 Import-AipServiceTpd cmdlet 上传每个导出的受信任发布域 (.xml) 文件。 例如,如果为加密模式 2 升级了 AD RMS 群集,应至少有一个要导入的文件。

    若要运行此 cmdlet,需要之前为每个配置文件指定的密码。

    例如,首先运行以下代码来存储密码:

     $TPD_Password = Read-Host -AsSecureString
    

    输入指定用于导出第一个配置文件的密码。 然后,使用 E:\contosokey1.xml 作为该配置文件的示例,运行以下命令并确认要执行此操作:

    Import-AipServiceTpd -TpdFile E:\contosokey1.xml -ProtectionPassword $TPD_Password -Verbose
    
  3. 上传每个文件时,请运行 Set-AipServiceKeyProperties, 确定与 AD RMS 中当前处于活动状态的 SLC 密钥匹配的导入密钥。 此密钥将成为 Azure Rights Management 服务的活动租户密钥。

  4. 使用 Disconnect-AipService cmdlet 从 Azure Rights Management 服务断开连接:

    Disconnect-AipService
    

现在,可以转到步骤 5。激活 Azure Rights Management 服务