从 AD RMS 迁移到 Azure 信息保护

使用以下一组说明将 Active Directory Rights Management Services (AD RMS) 部署迁移到 Azure 信息保护。

迁移之后,不再使用 AD RMS 服务器,但用户仍然可以访问组织使用 AD RMS 保护的文档和电子邮件。 新受保护的内容将使用 Azure 信息保护中的 Azure Rights Management Service (Azure RMS)。

尽管不是必需的,但在开始迁移之前阅读以下文档很有帮助。 这些知识有助于更好地了解与迁移步骤相关的技术的工作原理。

  • 规划和实施 Azure 信息保护租户密钥:了解 Azure 信息保护租户的密钥管理选项,其中云中的 SLC 密钥等效项由 Microsoft 托管(默认)或由你托管(“创建自己的密钥”或 BYOK 配置)。

  • RMS 服务发现:RMS 客户端部署说明的这一部分指出服务发现的顺序依次为注册表、服务连接点 (SCP) 和云。 在迁移过程中,仍安装了 SCP 时,可以使用 Azure 信息保护租户的注册表设置配置客户端,以便它们不使用从 SCP 返回的 AD RMS 群集。

  • Microsoft Rights Management 连接器概述:RMS 连接器文档中的本节介绍了本地服务器如何连接到 Azure Rights Management Service 来保护文档和电子邮件。

此外,如果你不熟悉 AD RMS 的工作原理,阅读深入了解 Azure RMS 工作原理会很有用,可帮助你确定技术流程在云版本中是相同还是不同。

从 AD RMS 迁移到 Azure 信息保护的先决条件

在开始迁移到 Azure 信息保护之前,确保满足以下先决条件并了解任何限制。

  • 支持的 RMS 部署:

    • 以下版本的 AD RMS 支持迁移到 Azure 信息保护:

      • Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)

    • 支持所有有效的 AD RMS 拓扑:

      • 单个林、单个 RMS 群集

      • 单个林,多个仅限许可的 RMS 群集

      • 多个林、多个 RMS 群集

      注意

      默认情况下,多个 AD RMS 群集迁移到 Azure 信息保护的单个租户。 如果需要 Azure 信息保护的单独租户,则必须将它们视为不同的迁移。 无法将一个 RMS 群集中的密钥导入到多个租户。

  • 运行 Azure 信息保护的所有要求,包括 Azure 信息保护的订阅(Azure Rights Management 服务未激活):

    请参阅 Azure 信息保护的要求

    Azure 信息保护客户端对于分类和标记是必需的,如果只想保护数据,则是可选,不过推荐你使用。

    有关详细信息,请参阅 Azure 信息保护统一标记客户端的管理员指南。

    尽管必须订阅 Azure 信息保护才能从 AD RMS 迁移,但建议在开始迁移之前不要激活租户的权限管理服务。

    迁移过程包括从 AD RMS 导出密钥和模板并将其导入到 Azure 信息保护租户后的激活步骤。 但是,如果已激活权限管理服务,仍可以使用一些其他步骤从 AD RMS 迁移。

    仅适用于 Office 2010:

    如果计算机运行的是 Office 2010,则必须安装 Azure 信息保护客户端,以提供对云服务的用户进行身份验证的能力。

    重要

    Office 2010 外延支持已于 2020 年 10 月 13 日结束。 有关详细信息,请参阅 AIP 和旧版 Windows 和 Office 版本

  • Azure 信息保护的准备工作:

  • 如果已将 Exchange Server(例如传输规则和 Outlook Web Access)或 SharePoint Server 的信息权限管理 (IRM) 功能与 AD RMS 结合使用:

    • 为这些服务器在短时间内无法使用 IRM 做好计划

      迁移后,可以在这些服务器上继续使用 IRM。 但是,迁移步骤之一是暂时禁用 IRM 服务、安装和配置连接器、重新配置服务器,然后重新启用 IRM。

      这是迁移过程中唯一出现的服务中断。

  • 如果要使用受 HSM 保护的密钥来管理自己的 Azure 信息保护租户密钥:

    • 此可选配置需要 Azure Key Vault 和支持含有受 HSM 保护密钥的密钥保管库的 Azure 订阅。 有关详细信息,请参阅 Azure Key Vault 定价页

加密模式注意事项

如果 AD RMS 群集当前处于加密模式 1,在开始迁移之前不要将群集升级到加密模式 2。 而是使用加密模式 1 进行迁移,可以在迁移结束时重新生成租户密钥,作为迁移后任务之一。

若要确认适用于 Windows Server 2012 R2 和 Windows 2012 的 AD RMS 加密模式:“AD RMS 群集”属性 >“常规”选项卡。

迁移限制

  • 如果软件和客户端不受 Azure 信息保护使用的权限管理服务支持,它们将无法保护或使用受 Azure Rights Management 保护的内容。 请务必查看 Azure 信息保护的要求中受支持的应用程序和客户端部分。

  • 如果 AD RMS 部署配置为与外部合作伙伴协作(例如,通过使用受信任的用户域或联合身份验证),则它们还必须在迁移时或之后尽快迁移到 Azure 信息保护。 要继续访问组织以前使用 Azure 信息保护保护的内容,则它们必须进行与所做更改的类似的客户端配置更改,并包含在本文档中。

    由于合作伙伴可能具有不同的配置,因此重新配置的具体说明超出了本文档的范围。 但是,请参阅下一节以获取规划指南,并获取其他帮助,请联系 Microsoft 支持

与外部合作伙伴协作时的迁移规划

将 AD RMS 合作伙伴纳入迁移规划阶段,因为他们也必须迁移到 Azure 信息保护。 在执行以下任一迁移步骤之前,确保满足以下条件:

  • 他们有支持 Azure Rights Management Service 的 Microsoft Entra 租户。

    例如,他们有 Office 365 E3 或 E5 订阅、企业移动性 + 安全性订阅或 Azure 信息保护的独立订阅。

  • 其 Azure Rights Management Service 尚未激活,但他们知道 Azure Rights Management Service URL。

    他们可以通过安装 Azure Rights Management 工具、连接到服务 (Connect-AipService),然后查看 Azure Rights Management 服务的租户信息 (Get-AipServiceConfiguration) 来获取此信息。

  • 他们提供其 AD RMS 群集的 URL 及 Azure Rights Management Service URL,以便配置迁移的客户端,将其 AD RMS 受保护的内容请求重定向到其租户的 Azure Rights Management Service。 有关配置客户端重定向的说明在步骤 7 中。

  • 在开始迁移用户之前,他们将其 AD RMS 群集根密钥 (SLC) 导入到其租户中。 同样,他们在开始迁移用户之前,你必须导入 AD RMS 群集根密钥 (SLC)。 有关导入密钥的说明,请参阅此迁移过程“步骤 4. 从 AD RMS 导出配置数据并将其导入 Azure 信息保护”。

从 AD RMS 迁移到 Azure 信息保护的步骤概述

迁移步骤可以分为五个阶段,这些阶段可以在不同时间由不同的管理员执行。

阶段 1:迁移前准备

有关详细信息,请参阅阶段 1:迁移准备工作

步骤 1:安装 AIPService PowerShell 模块并识别租户 URL

迁移过程要求你从 AIPService 模块运行一个或多个 PowerShell cmdlet。 需要知道租户的 Azure Rights Management Service URL 才能完成许多迁移步骤,并且可以使用 PowerShell 标识此值。

步骤 2. 准备客户端迁移

如果无法一次性迁移所有客户端,而是要批量迁移,使用载入控件并部署预迁移脚本。 但是,如果要同时迁移所有内容,而不是进行分阶段迁移,则可以跳过此步骤。

步骤 3:准备 Exchange 部署以进行迁移

如果当前使用 Exchange Online 或本地 Exchange 的 IRM 功能来保护电子邮件,则需要执行此步骤。 但是,如果要同时迁移所有内容,而不是进行分阶段迁移,则可以跳过此步骤。

阶段 2:AD RMS 的服务器端配置

有关详细信息,请参阅阶段 2:AD RMS 的服务器端配置

步骤 4. 从 AD RMS 导出配置数据并将其导入 Azure 信息保护

可以将配置数据(密钥、模板、URL)从 AD RMS 导出到 XML 文件,然后使用 Import-AipServiceTpd PowerShell cmdlet 将该文件从 Azure 信息保护上传到 Azure Rights Management 服务。 然后,确定要用作 Azure Rights Management Service 租户密钥的导入服务器许可方证书 (SLC) 密钥。 可能需要执行其他步骤,具体取决于 AD RMS 密钥配置:

  • 受软件保护的密钥到受软件保护的密钥迁移:

    AD RMS 中集中托管基于密码的密钥到 Microsoft 托管的 Azure 信息保护租户密钥。 这是最简单的迁移路径,无需执行任何其他步骤。

  • 受 HSM 保护的密钥到受 HSM 保护的密钥的迁移:

    由 AD RMS 的 HSM 存储的密钥到客户托管的 Azure 信息保护租户密钥(“创建自己的密钥”或 BYOK 方案)。 这需要额外的步骤来将密钥从本地 nCipher HSM 传输到 Azure Key Vault,并授权 Azure Rights Management 服务使用此密钥。 现有受 HSM 保护的密钥必须受模块保护;权限管理服务不支持受 OCS 保护的密钥。

  • 受软件保护的密钥到受 HSM 保护的密钥迁移:

    AD RMS 中集中托管基于密码的密钥到客户托管的 Azure 信息保护租户密钥(“创建自己的密钥”或 BYOK 方案)。 这需要的配置最多,因为必须先提取软件密钥并将其导入到本地 HSM 中,然后再执行附加步骤以将该密钥从本地 nCipher HSM 传输到 Azure Key Vault HSM 并授权 Azure Rights Management 服务使用存储该密钥的密钥保管库。

步骤 5。 激活 Azure Rights Management Service

如果可能,在导入过程之后而不是之前执行此步骤。 如果在导入之前激活了服务,则需要执行其他步骤。

步骤 6. 配置导入的模板

导入权限策略模板时,其状态为已存档。 如果希望用户能够查看和使用模版,则必须将模板状态更改为在 Azure 经典门户中发布。

阶段 3:客户端配置

有关详细信息,请参阅阶段 3:客户端配置

步骤 7:将 Windows 计算机重新配置为使用 Azure 信息保护

必须将现有 Windows 计算机重新配置为使用 Azure Rights Management Service 而不是 AD RMS。 此步骤适用于组织中的计算机,也适用于合作伙伴组织中的计算机(如果在运行 AD RMS 时与这些计算机进行协作)。

阶段 4:支持的服务配置

有关详细信息,请参阅阶段 4:支持的服务配置

步骤 8:为 Exchange Online 配置 IRM 集成

此步骤完成 Exchange Online 的 AD RMS 迁移,现在可以使用 Azure Rights Management Service。

步骤 9:为 Exchange Server 和 SharePoint Server 配置 IRM 集成

此步骤完成 Exchange 或本地 SharePoint 的 AD RMS 迁移,现在可以使用需要部署权限管理连接器的 Azure Rights Management Service。

阶段 5:迁移后任务

有关详细信息,请参阅阶段 5:迁移后任务

步骤 10:取消设置 AD RMS

确认所有 Windows 计算机都使用 Azure Rights Management Service 并且不再访问 AD RMS 服务器时,可以取消设置 AD RMS 部署。

步骤 11:完成客户端迁移任务

如果已部署移动设备扩展以支持 iOS 手机和 iPad、Android 手机和平板电脑、Windows 手机和平板电脑以及 Mac 计算机等移动设备,则必须删除 DNS 中重定向这些客户端以使用 AD RMS 的 SRV 记录。

不再需要在准备阶段配置的载入控件。 但是,如果因为选择同时迁移所有内容而不是分阶段迁移而未使用载入控件,则可以跳过删除载入控件的说明。

如果 Windows 计算机运行的是 Office 2010,则检查是否需要禁用 AD RMS 权限策略模板管理(自动化)任务。

重要

Office 2010 外延支持已于 2020 年 10 月 13 日结束。 有关详细信息,请参阅 AIP 和旧版 Windows 和 Office 版本

步骤 12:重新生成 Azure 信息保护租户密钥

如果在迁移之前未在加密模式 2 中运行,则建议执行此步骤。

后续步骤

要开始迁移,请转到第 1 阶段 – 准备