Fase de migración 1: Preparación

Use la siguiente información para la fase 1 de la migración de AD RMS a Azure Information Protection. Estos procedimientos abarcan los pasos del 1 al 3 de Migración de AD RMS a Azure Information Protection y preparación del entorno para la migración sin ningún efecto para los usuarios.

Paso 1: Instalación del módulo de PowerShell AIPService e identificación de la dirección URL del inquilino

Instale el módulo AIPService para permitirle configurar y administrar el servicio que proporciona la protección de datos para Azure Information Protection.

Para obtener instrucciones, consulte Instalación del módulo de PowerShell AIPService.

Para completar algunas de las instrucciones de migración, debe conocer la dirección URL del servicio Azure Rights Management del inquilino para que pueda sustituirla cuando vea referencias a <la dirección URL> del inquilino.

La dirección URL del servicio Azure Rights Management tiene el siguiente formato: {GUID}.rms.[Región].aadrm.com. Por ejemplo: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

Para identificar la dirección URL del servicio Azure Rights Management

  1. Conéctese al servicio Azure Rights Management y, cuando se le solicite, escriba las credenciales del administrador global del inquilino:

    Connect-AipService
    
  2. Obtenga la configuración del inquilino:

    Get-AipServiceConfiguration
    
  3. Copie el valor que se muestra para LicensingIntranetDistributionPointUrl y, de esta cadena, quite /_wmcs\licensing.

    Lo que queda es la dirección URL del servicio Azure Rights Management para el inquilino de Azure Information Protection. Este valor suele acortarse a la dirección URL del inquilino en las instrucciones de migración siguientes.

    Para comprobar que tiene el valor correcto, ejecute el siguiente comando de PowerShell:

    (Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
    

Paso 2: Preparación para la migración del cliente

Para la mayoría de las migraciones, no es práctico migrar todos los clientes a la vez. Es probable que migre clientes en lotes.

Esto significa que, durante algún tiempo, algunos clientes usan Azure Information Protection y algunos seguirán usando AD RMS. Para admitir usuarios previamente migrados y migrados, use controles de incorporación e implemente un script de premigración.

Nota:

Este paso es necesario durante el proceso de migración para que los usuarios que aún no hayan migrado puedan consumir contenido protegido por los usuarios migrados que ahora usan Azure Rights Management.

Para prepararse para la migración del cliente

  1. Cree un grupo, por ejemplo, denominado AIPMigrated. Este grupo se puede crear en Active Directory y sincronizarse con la nube, o bien se puede crear en Microsoft 365 o Microsoft Entra ID.

    No asigne ningún usuario a este grupo en este momento. En un paso posterior, cuando se migran los usuarios, agréguelos al grupo.

  2. Anote el identificador de objeto de este grupo mediante uno de los métodos siguientes.

    • Use PowerShell de Microsoft Graph. Por ejemplo, use el comando Get-MgGroup .
    • Copie el identificador de objeto del grupo desde Azure Portal.
  3. Configure este grupo para los controles de incorporación, de cara a permitir que solo los usuarios de este grupo usen Azure Rights Management para proteger el contenido.

    Para realizar esta configuración, en una sesión de PowerShell, conéctese al servicio Azure Rights Management. Cuando se le solicite, especifique las credenciales de administrador global.

    Connect-AipService
    

    Configure este grupo para los controles de incorporación, sustituyendo el identificador de objeto de grupo por el que se muestra en este ejemplo. Cuando se le solicite, introduzca Y para confirmar.

    Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
    
  4. Descargue el archivo Migration-Scripts.zip.

  5. Extraiga los archivos y siga las instrucciones de Prepare-Client.cmd, de modo que contenga el nombre del servidor para la dirección URL de concesión de licencias de extranet del clúster de AD RMS. Para localizar este nombre, siga estos pasos.

    1. En la consola de Active Directory Rights Management Services, seleccione el nombre del clúster.

    2. En la información de Detalles del clúster, copie el nombre del servidor del valor de Concesión de licencias de la sección de direcciones URL del clúster de extranet. Por ejemplo: rmscluster.contoso.com.

    Importante

    Las instrucciones incluyen reemplazar las direcciones de ejemplo de adrms.contoso.com por las direcciones del servidor de AD RMS.

    Al hacerlo, tenga cuidado de que no haya espacios adicionales antes o después de las direcciones. Los espacios adicionales interrumpirán el script de migración y es algo muy difícil de identificar como causa principal del problema.

    Algunas herramientas de edición agregan automáticamente un espacio después de pegar texto.

  6. Implemente este script en todos los equipos Windows para asegurarse de que, al empezar a migrar clientes, los clientes que aún no se hayan migrado continúan comunicándose con AD RMS incluso si consumen contenido protegido por clientes migrados que ahora usan el servicio Azure Rights Management.

    Puede usar la directiva de grupo u otro mecanismo de implementación de software para implementar este script.

Paso 3: Preparación de la implementación de Exchange para la migración

Si usa Exchange local o Exchange online, es posible que haya integrado Previamente Exchange con la implementación de AD RMS. En este paso, configúrelos para usar la configuración de AD RMS existente para admitir el contenido protegido por Azure RMS.

Asegúrese de que tiene la dirección URL del servicio Azure Rights Management para el inquilino para que pueda sustituir este valor por la <dirección URL del inquilino> en los siguientes comandos.

Realice una de las siguientes acciones, en función de si ha integrado Exchange local o Exchange Online con AD RMS:

Si ha integrado Exchange Online con AD RMS

  1. Abra una sesión de PowerShell de Exchange Online.

  2. Ejecute los siguientes comandos de PowerShell uno por uno o en un script.

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -internallicensingenabled $true 
    

Si ha integrado Exchange local con AD RMS

Para cada organización de Exchange, agregue valores del Registro en cada servidor Exchange y, a continuación, ejecute comandos de PowerShell:

  1. Si tiene Exchange 2013 o Exchange 2016, agregue el siguiente valor del Registro:

    • Ruta de acceso del Registro: HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection

    • Tipo: Reg_SZ

    • Valor: https://\<Your Tenant URL\>/_wmcs/licensing

    • Datos: https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing

  2. Ejecute los siguientes comandos de PowerShell uno por uno, o en un script:

    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    $list += "<YourTenantURL>/_wmcs/licensing"
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -internallicensingenabled $false
    Set-IRMConfiguration -RefreshServerCertificates
    Set-IRMConfiguration -internallicensingenabled $true
    IISReset
    

Después de ejecutar estos comandos para Exchange Online o Exchange local, si la implementación de Exchange se configuró para admitir el contenido protegido por AD RMS, también admitirá el contenido protegido por Azure RMS después de la migración.

La implementación de Exchange sigue usando AD RMS para admitir contenido protegido hasta un paso posterior en la migración.

Pasos siguientes

Vaya a Fase 2: Configuración del servidor.