使用以下一组说明将 Active Directory Rights Management Services (AD RMS) 部署迁移到 Azure 信息保护。
迁移后,AD RMS 服务器不再使用,但用户仍有权访问组织使用 AD RMS 保护的文档和电子邮件。 新保护的内容将使用 Azure 信息保护中的 Azure Rights Management 服务(Azure RMS)。
迁移到 Azure 信息保护之前建议阅读
虽然不需要,但在开始迁移之前,可能会发现阅读以下文档很有用。 通过此知识,可以更好地了解与迁移步骤相关的技术的工作原理。
管理 Azure Rights Management 服务的根密钥:了解 Azure 信息保护租户的密钥管理选项,其中云中的 SLC 密钥由 Microsoft(默认值)管理,或者由你管理(“自带密钥”或 BYOK 配置)。
RMS 服务发现:RMS 客户端部署说明的这一部分说明了服务发现的顺序是 注册表,然后是 服务连接点(SCP),然后 是云。 在安装 SCP 的迁移过程中,使用 Azure 信息保护租户的注册表设置配置客户端,以便它们不使用从 SCP 返回的 AD RMS 群集。
Microsoft Rights Management 连接器概述:RMS 连接器文档中的此部分介绍了本地服务器如何连接到 Azure Rights Management 服务来保护文档和电子邮件。
此外,如果你不熟悉 AD RMS 的工作原理,你可能会发现阅读 Azure Rights Management 服务的工作原理很有用:技术详细信息 ,以帮助确定云版本的技术流程是相同或不同的。
将 AD RMS 迁移到 Azure 信息保护的先决条件
在开始迁移到 Azure 信息保护之前,请确保满足以下先决条件并了解任何限制。
支持的 RMS 部署:
以下版本的 AD RMS 支持迁移到 Azure 信息保护:
Windows Server 2012 (x64)
Windows Server 2012 R2 (x64)
Windows Server 2016 (x64)
支持所有有效的 AD RMS 拓扑:
单个林、单个 RMS 群集
单个林,多个仅限许可的 RMS 群集
多个林、多个 RMS 群集
注释
默认情况下,多个 AD RMS 群集迁移到 Azure 信息保护的单个租户。 如果要为 Azure 信息保护创建单独的租户,则必须将它们视为不同的迁移。 无法将一个 RMS 群集中的密钥导入到多个租户。
运行 Azure 信息保护的所有要求,包括 Azure 信息保护订阅(未激活 Azure Rights Management 服务):
请参阅 Azure Rights Management 服务的要求。
分类和标记 需要 Azure 信息保护客户端 ,并且是可选的,但如果只想保护数据,则建议 使用。
有关详细信息,请参阅 Azure 信息保护统一标记客户端的管理员指南。
尽管必须先有 Azure 信息保护的订阅才能从 AD RMS 迁移,但建议在开始迁移之前不会激活租户的 Rights Management 服务。
迁移过程在从 AD RMS 导出密钥和模板并将其导入到租户以供 Azure 信息保护后,包括此激活步骤。 但是,如果 Rights Management 服务已激活,仍可以通过一些其他步骤从 AD RMS 迁移。
仅 Office 2010:
如果你有运行 Office 2010 的计算机,则必须安装 Azure 信息保护客户端 ,以提供对云服务用户进行身份验证的功能。
重要
Office 2010 延长支持已于 2020 年 10 月 13 日结束。
准备 Azure 信息保护:
本地目录与 Microsoft Entra ID 之间的目录同步
Microsoft Entra ID 中启用邮件的组
如果已将 Exchange Server(例如传输规则和 Outlook Web Access)或 SharePoint Server 的信息权限管理(IRM)功能用于 AD RMS:
在这些服务器上无法使用 IRM 的短时间内进行计划
迁移后,可以在这些服务器上继续使用 IRM。 但是,迁移步骤之一是暂时禁用 IRM 服务、安装和配置连接器、重新配置服务器,然后重新启用 IRM。
这是迁移过程中服务的唯一中断。
如果要使用受 HSM 保护的密钥来管理自己的 Azure 信息保护租户密钥:
- 此可选配置需要 Azure Key Vault 和支持具有 HSM 保护密钥的 Key Vault 的 Azure 订阅。 有关详细信息,请参阅 Azure Key Vault 定价页。
加密模式注意事项
如果 AD RMS 群集当前处于加密模式 1,请在开始迁移之前不要将群集升级到加密模式 2。 而是使用加密模式 1 进行迁移,可以在迁移结束时重新生成租户密钥,作为迁移后任务之一。
若要确认 Windows Server 2012 R2 和 Windows 2012 的 AD RMS 加密模式: AD RMS 群集 属性 >“常规 ”选项卡。
迁移限制
如果软件和客户端不受 Rights Management 服务支持,则它们将无法加密或使用由 Azure Rights Management 服务加密的内容。
如果 AD RMS 部署配置为与外部合作伙伴协作(例如,通过使用受信任的用户域或联合身份验证),则它们还必须在迁移时或之后尽快迁移到 Azure 信息保护。 若要继续访问以前使用 Azure 信息保护保护的组织保护的内容,它们必须进行与所做内容类似的客户端配置更改,并包含在本文档中。
由于合作伙伴可能具有的配置变体,因此此重新配置的具体说明没有本文档的范围。 但是,请参阅下一部分,了解规划指南和其他帮助, 请联系Microsoft支持部门。
如果与外部合作伙伴协作,迁移规划
在规划阶段将 AD RMS 合作伙伴包含在迁移阶段,因为它们还必须迁移到 Azure 信息保护。 在执行以下任一迁移步骤之前,请确保满足以下条件:
他们具有支持 Azure Rights Management 服务的 Microsoft Entra 租户。
例如,他们拥有 Office 365 E3 或 E5 订阅、企业移动性 + 安全性订阅或 Azure 信息保护的独立订阅。
尚未激活其 Azure Rights Management 服务,但他们知道其 Azure Rights Management 服务 URL。
他们可以通过安装 Azure Rights Management Tool、连接到服务(Connect-AipService)以及查看其 Azure Rights Management 服务的租户信息(Get-AipServiceConfiguration)来获取此信息。
它们提供其 AD RMS 群集及其 Azure Rights Management 服务 URL 的 URL,以便可以将迁移的客户端配置为将受 AD RMS 保护的内容的请求重定向到其租户的 Azure Rights Management 服务。 有关配置客户端重定向的说明在步骤 7 中。
在开始迁移用户之前,他们将其 AD RMS 群集根密钥(SLC)导入到其租户中。 同样,必须先导入 AD RMS 群集根密钥,然后才能开始迁移其用户。 此迁移过程中介绍了导入密钥的说明, 步骤 4。从 AD RMS 导出配置数据并将其导入 Azure 信息保护。
将 AD RMS 迁移到 Azure 信息保护的步骤概述
迁移步骤可以分为五个阶段,这些阶段可以在不同时间执行,并由不同的管理员执行。
阶段 1:迁移准备
有关详细信息,请参阅 阶段 1:迁移准备。
步骤 1:安装 AIPService PowerShell 模块并标识租户 URL
迁移过程要求从 AIPService 模块运行一个或多个 PowerShell cmdlet。 需要知道租户的 Azure Rights Management 服务 URL 才能完成许多迁移步骤,并且可以使用 PowerShell 标识此值。
步骤 2. 准备客户端迁移
如果无法一次性迁移所有客户端,并将批量迁移它们,请使用载入控件并部署预迁移脚本。 但是,如果要同时迁移所有内容,而不是执行分阶段迁移,则可以跳过此步骤。
步骤 3:为迁移准备 Exchange 部署
如果当前使用 Exchange Online 或 Exchange 本地的 IRM 功能来保护电子邮件,则需要执行此步骤。 但是,如果要同时迁移所有内容,而不是执行分阶段迁移,则可以跳过此步骤。
阶段 2:AD RMS 的服务器端配置
有关详细信息,请参阅 阶段 2:SERVER-SIDE AD RMS 配置。
步骤 4. 从 AD RMS 导出配置数据并将其导入 Azure 信息保护
可以使用 Import-AipServiceTpd PowerShell cmdlet 将配置数据(密钥、模板、URL)从 AD RMS 导出到 XML 文件,然后将该文件上传到 Azure 信息保护中的 Azure Rights Management 服务。 然后,确定要用作 Azure Rights Management 服务的租户密钥的导入服务器许可证书(SLC)密钥。 可能需要执行其他步骤,具体取决于 AD RMS 密钥配置:
软件保护密钥到软件保护密钥迁移:
AD RMS 中集中管理的基于密码的密钥,用于Microsoft管理的 Azure 信息保护租户密钥。 这是最简单的迁移路径,无需执行任何其他步骤。
HSM 保护密钥到 HSM 保护的密钥迁移:
由用于 AD RMS 的 HSM 存储到客户管理的 Azure 信息保护租户密钥(“自带密钥”或 BYOK 方案)的密钥。 这需要其他步骤才能将密钥从本地 nCipher HSM 传输到 Azure Key Vault,并授权 Azure Rights Management 服务使用此密钥。 现有的受 HSM 保护的密钥必须受模块保护;Rights Management 服务不支持受 OCS 保护的密钥。
软件保护密钥到受 HSM 保护的密钥迁移:
AD RMS 中集中管理的基于密码的密钥到客户管理的 Azure 信息保护租户密钥(“自带密钥”或 BYOK 方案)。 这需要大多数配置,因为必须先提取软件密钥并将其导入本地 HSM,然后执行其他步骤,将密钥从本地 nCipher HSM 传输到 Azure Key Vault HSM,并授权 Azure Rights Management 服务使用存储密钥的密钥保管库。
步骤 5. 激活 Azure Rights Management 服务
如果可能,在导入过程之后执行此步骤,而不是之前执行此步骤。 如果在导入之前激活了服务,则需要执行其他步骤。
步骤 6. 配置导入的模板
导入权限策略模板时,其状态将存档。 如果希望用户能够查看和使用它们,则必须将模板状态更改为在 Azure 经典门户中发布。
阶段 3:客户端配置
有关详细信息,请参阅 阶段 3:CLIENT-SIDE 配置。
步骤 7:将 Windows 计算机重新配置为使用 Azure 信息保护
必须将现有 Windows 计算机重新配置为使用 Azure Rights Management 服务而不是 AD RMS。 此步骤适用于组织中的计算机,如果你在运行 AD RMS 时与他们进行了协作,则适用于合作伙伴组织中的计算机。
阶段 4:支持服务配置
有关详细信息,请参阅 阶段 4:支持服务配置。
步骤 8:为 Exchange Online 配置 IRM 集成
此步骤完成 Exchange Online 的 AD RMS 迁移,以使用 Azure Rights Management 服务。
步骤 9:为 Exchange Server 和 SharePoint Server 配置 IRM 集成
此步骤完成 Exchange 或本地 SharePoint 的 AD RMS 迁移,以便现在使用需要部署 Rights Management 连接器的 Azure Rights Management 服务。
阶段 5:迁移后任务
有关详细信息,请参阅 阶段 5:迁移后任务。
步骤 10:取消预配 AD RMS
确认所有 Windows 计算机都使用 Azure Rights Management 服务并且不再访问 AD RMS 服务器时,可以取消预配 AD RMS 部署。
步骤 11:完成客户端迁移任务
如果已部署 移动设备扩展 以支持 iOS 手机和 iPad、Android 手机和平板电脑、Windows 手机和平板电脑和 Mac 计算机等移动设备,则必须删除 DNS 中的 SRV 记录,该记录重定向这些客户端以使用 AD RMS。
不再需要你在准备阶段配置的载入控件。 但是,如果不使用载入控件,因为你选择同时迁移所有内容,而不是执行分阶段迁移,则可以跳过说明以删除载入控件。
如果 Windows 计算机正在运行 Office 2010,请检查是否需要禁用 AD RMS 权限策略模板管理(自动化) 任务。
重要
Office 2010 延长支持已于 2020 年 10 月 13 日结束。
步骤 12:重新生成 Azure 信息保护租户密钥
如果在迁移之前未在加密模式 2 中运行,建议执行此步骤。
后续步骤
若要开始迁移,请转到 阶段 1 - 准备。