Migrazione da AD RMS ad Azure Information Protection

Usare il set di istruzioni seguente per eseguire la migrazione della distribuzione di Active Directory Rights Management Services (AD RMS) ad Azure Information Protection.

Dopo la migrazione, i server AD RMS non sono più in uso, ma gli utenti hanno ancora accesso a documenti e messaggi di posta elettronica protetti dall'organizzazione tramite AD RMS. Il contenuto appena protetto userà il servizio Azure Rights Management (Azure RMS) di Azure Information Protection.

Sebbene non sia necessario, potrebbe risultare utile leggere la documentazione seguente prima di avviare la migrazione. Questa conoscenza offre una migliore comprensione del funzionamento della tecnologia quando è rilevante per il passaggio di migrazione.

  • Pianificazione e implementazione della chiave del tenant di Azure Information Protection: comprendere le opzioni di gestione delle chiavi disponibili per il tenant di Azure Information Protection in cui la chiave SLC equivalente nel cloud è gestita da Microsoft (impostazione predefinita) o gestita dall'utente (la configurazione by-bring your own key o BYOK).

  • Individuazione del servizio RMS: questa sezione delle note sulla distribuzione del client RMS spiega che l'ordine per l'individuazione dei servizi è registro, quindi il punto di connessione del servizio (SCP) e quindi il cloud. Durante il processo di migrazione quando SCP è ancora installato, si configurano i client con le impostazioni del Registro di sistema per il tenant di Azure Information Protection in modo che non usino il cluster AD RMS restituito da SCP.

  • Panoramica del connettore Microsoft Rights Management: questa sezione della documentazione del connettore RMS illustra come i server locali possono connettersi al servizio Azure Rights Management per proteggere documenti e messaggi di posta elettronica.

Inoltre, se non si ha familiarità con il funzionamento di AD RMS, potrebbe risultare utile leggere Come funziona Azure RMS? In background per identificare quali processi tecnologici sono uguali o diversi per la versione cloud.

Prerequisiti per la migrazione di AD RMS ad Azure Information Protection

Prima di iniziare la migrazione ad Azure Information Protection, assicurarsi che siano soddisfatti i prerequisiti seguenti e che siano presenti eventuali limitazioni.

  • Distribuzione di RMS supportata:

    • Le versioni seguenti di AD RMS supportano una migrazione ad Azure Information Protection:

      • Windows Server 2012 (x64)

      • Windows Server 2012 R2 (x64)

      • Windows Server 2016 (x64)

    • Tutte le topologie AD RMS valide sono supportate:

      • Foresta singola, cluster RMS singolo

      • Foresta singola, più cluster RMS di sola licenza

      • Più foreste, più cluster RMS

      Nota

      Per impostazione predefinita, più cluster AD RMS eseguono la migrazione a un singolo tenant per Azure Information Protection. Se si vogliono tenant separati per Azure Information Protection, è necessario considerarli come migrazioni diverse. Una chiave di un cluster RMS non può essere importata in più tenant.

  • Tutti i requisiti per eseguire Azure Information Protection, inclusa una sottoscrizione per Azure Information Protection (il servizio Azure Rights Management non è attivato):All requirements to run Azure Information Protection, including a subscription for Azure Information Protection (the Azure Rights Management service is not activated):

    Vedere Requisiti per Azure Information Protection.

    Il client Azure Information Protection è necessario per la classificazione e l'etichettatura e facoltativo, ma consigliato se si vogliono proteggere solo i dati.

    Per altre informazioni, vedere le guide di amministrazione per il client di etichettatura unificata di Azure Information Protection.

    Sebbene sia necessario disporre di una sottoscrizione per Azure Information Protection prima di poter eseguire la migrazione da AD RMS, è consigliabile non attivare il servizio Rights Management per il tenant prima di avviare la migrazione.

    Il processo di migrazione include questo passaggio di attivazione dopo aver esportato chiavi e modelli da AD RMS e importarli nel tenant per Azure Information Protection. Tuttavia, se il servizio Rights Management è già attivato, è comunque possibile eseguire la migrazione da AD RMS con alcuni passaggi aggiuntivi.

    Solo Office 2010:

    Se si dispone di computer che eseguono Office 2010, è necessario installare il client Azure Information Protection per consentire l'autenticazione degli utenti ai servizi cloud.

    Importante

    Il supporto esteso di Office 2010 è terminato il 13 ottobre 2020. Per altre informazioni, vedere Versioni di Windows e Office legacy e AIP.

  • Preparazione di Azure Information Protection:

  • Se è stata usata la funzionalità Information Rights Management (IRM) di Exchange Server (ad esempio, regole di trasporto e Outlook Web Access) o SharePoint Server con AD RMS:

    • Pianificare un breve periodo di tempo in cui IRM non sarà disponibile in questi server

      È possibile continuare a usare IRM in questi server dopo la migrazione. Tuttavia, uno dei passaggi di migrazione consiste nel disabilitare temporaneamente il servizio IRM, installare e configurare un connettore, riconfigurare i server e quindi riabilitare IRM.

      Si tratta dell'unica interruzione del servizio durante il processo di migrazione.

  • Se si vuole gestire la propria chiave del tenant di Azure Information Protection usando una chiave protetta da modulo di protezione hardware:

    • Questa configurazione facoltativa richiede Azure Key Vault e una sottoscrizione di Azure che supporta Key Vault con chiavi protette con HSM. Per altre informazioni, vedere la pagina Prezzi di Azure Key Vault.

Considerazioni sulla modalità di crittografia

Se il cluster AD RMS è attualmente in modalità crittografia 1, non aggiornare il cluster alla modalità crittografia 2 prima di avviare la migrazione. Eseguire invece la migrazione usando la modalità crittografia 1 ed è possibile reimpostare la chiave del tenant alla fine della migrazione, come una delle attività successive alla migrazione.

Per confermare la modalità di crittografia AD RMS per Windows Server 2012 R2 e Windows 2012: scheda Generale delle proprietà> del cluster AD RMS.

Limitazioni della migrazione

  • Se si dispone di software e client non supportati dal servizio Rights Management usato da Azure Information Protection, non saranno in grado di proteggere o utilizzare contenuti protetti da Azure Rights Management. Assicurarsi di controllare le sezioni applicazioni e client supportate in Requisiti per Azure Information Protection.

  • Se la distribuzione di AD RMS è configurata per collaborare con partner esterni ,ad esempio usando domini utente attendibili o federazione, è necessario eseguire anche la migrazione ad Azure Information Protection contemporaneamente alla migrazione o il prima possibile in seguito. Per continuare ad accedere al contenuto protetto in precedenza dall'organizzazione tramite Azure Information Protection, è necessario apportare modifiche alla configurazione client simili a quelle apportate e incluse in questo documento.

    A causa delle possibili variazioni di configurazione che i partner potrebbero avere, le istruzioni esatte per questa riconfigurazione non rientrano nell'ambito di questo documento. Tuttavia, vedere la sezione successiva per indicazioni sulla pianificazione e per ulteriori informazioni, contattare supporto tecnico Microsoft.

Pianificazione della migrazione se si collabora con partner esterni

Includere i partner AD RMS nella fase di pianificazione per la migrazione perché devono anche eseguire la migrazione ad Azure Information Protection. Prima di eseguire una delle operazioni di migrazione seguenti, assicurarsi che sia presente quanto segue:

  • Hanno un tenant Di Microsoft Entra che supporta il servizio Azure Rights Management.

    Ad esempio, hanno una sottoscrizione di Office 365 E3 o E5 o una sottoscrizione enterprise Mobility + Security o una sottoscrizione autonoma per Azure Information Protection.

  • Il servizio Azure Rights Management non è ancora attivato, ma conosce l'URL del servizio Azure Rights Management.

    È possibile ottenere queste informazioni installando lo strumento Azure Rights Management, connettendosi al servizio (Connessione-AipService) e quindi visualizzando le informazioni sul tenant per il servizio Azure Rights Management (Get-AipServiceConfiguration).

  • Forniscono gli URL per il cluster AD RMS e l'URL del servizio Azure Rights Management, in modo da poter configurare i client migrati per reindirizzare le richieste per il contenuto protetto di AD RMS al servizio Azure Rights Management del tenant. Le istruzioni per la configurazione del reindirizzamento client sono disponibili nel passaggio 7.

  • Importano le chiavi radice del cluster AD RMS (SLC) nel tenant prima di iniziare a eseguire la migrazione degli utenti. Analogamente, è necessario importare le chiavi radice del cluster AD RMS prima di iniziare a eseguire la migrazione degli utenti. Le istruzioni per l'importazione della chiave sono illustrate in questo processo di migrazione, passaggio 4. Esportare i dati di configurazione da AD RMS e importarli in Azure Information Protection.

Panoramica dei passaggi per la migrazione di AD RMS ad Azure Information Protection

I passaggi di migrazione possono essere suddivisi in cinque fasi che possono essere eseguite in momenti diversi e da amministratori diversi.

Fase 1: preparazione della migrazione

Per altre informazioni, vedere PHA edizione Standard 1: MIGRATION PREPARATION.For more information, see PHA edizione Standard 1: MIGRATION PREPARATION.

Passaggio 1: Installare il modulo PowerShell AIPService e identificare l'URL del tenant

Il processo di migrazione richiede l'esecuzione di uno o più cmdlet di PowerShell dal modulo AIPService. Per completare molti dei passaggi di migrazione, è necessario conoscere l'URL del servizio Azure Rights Management del tenant ed è possibile identificare questo valore usando PowerShell.

Passaggio 2. Preparare la migrazione client

Se non è possibile eseguire la migrazione di tutti i client contemporaneamente e li eseguirà in batch, usare i controlli di onboarding e distribuire uno script di pre-migrazione. Tuttavia, se si eseguirà la migrazione di tutti gli elementi contemporaneamente anziché eseguire una migrazione in più fasi, è possibile ignorare questo passaggio.

Passaggio 3: Preparare la distribuzione di Exchange per la migrazione

Questo passaggio è necessario se attualmente si usa la funzionalità IRM di Exchange Online o Exchange locale per proteggere i messaggi di posta elettronica. Tuttavia, se si eseguirà la migrazione di tutti gli elementi contemporaneamente anziché eseguire una migrazione in più fasi, è possibile ignorare questo passaggio.

Fase 2: configurazione lato server per AD RMS

Per altre informazioni, vedere PHA edizione Standard 2: edizione Standard RVER-SIDE CONFIGURATION FOR AD RMS.

Passaggio 4. Esportare i dati di configurazione da AD RMS e importarli in Azure Information Protection

Si esportano i dati di configurazione (chiavi, modelli, URL) da AD RMS in un file XML e quindi si carica il file nel servizio Azure Rights Management da Azure Information Protection usando il cmdlet Import-AipServiceTpd di PowerShell. Identificare quindi la chiave SLC (Server Certificate) importata da usare come chiave del tenant per il servizio Azure Rights Management. Potrebbero essere necessari passaggi aggiuntivi, a seconda della configurazione della chiave AD RMS:

  • Migrazione di chiavi protette da software a chiave protetta da software:

    Chiavi basate su password gestite centralmente in AD RMS alla chiave del tenant di Azure Information Protection gestita da Microsoft. Questo è il percorso di migrazione più semplice e non sono necessari passaggi aggiuntivi.

  • Migrazione della chiave protetta da HSM alla chiave protetta da HSM:

    Chiavi archiviate da un modulo di protezione hardware per AD RMS alla chiave del tenant di Azure Information Protection gestita dal cliente (scenario "Bring Your Own Key" o BYOK). Questo richiede passaggi aggiuntivi per trasferire la chiave dal modulo di protezione hardware nCipher locale ad Azure Key Vault e autorizzare il servizio Azure Rights Management a usare questa chiave. La chiave protetta da modulo HSM esistente deve essere protetta da moduli; Le chiavi protette da OCS non sono supportate dai servizi Rights Management.

  • Migrazione della chiave protetta da software a una chiave protetta da HSM:

    Chiavi basate su password gestite centralmente in AD RMS alla chiave del tenant di Azure Information Protection gestita dal cliente (scenario "Bring Your Own Key" o BYOK). Questa operazione richiede la maggior parte della configurazione perché è prima necessario estrarre la chiave software e importarla in un modulo di protezione hardware locale e quindi eseguire i passaggi aggiuntivi per trasferire la chiave dal modulo di protezione hardware nCipher locale a un modulo di protezione hardware di Azure Key Vault e autorizzare il servizio Azure Rights Management a usare l'insieme di credenziali delle chiavi che archivia la chiave.

Passaggio 5. Attivare il servizio Azure Rights Management

Se possibile, eseguire questo passaggio dopo il processo di importazione e non prima. Sono necessari passaggi aggiuntivi se il servizio è stato attivato prima dell'importazione.

Passaggio 6. Configurare i modelli importati

Quando si importano i modelli di criteri dei diritti, lo stato viene archiviato. Se si vuole che gli utenti possano visualizzarli e usarli, è necessario modificare lo stato del modello da pubblicare nel portale di Azure classico.

Fase 3: Configurazione lato client

Per altre informazioni, vedere PHA edizione Standard 3: CLIENT-SIDE CONFIGURATION.For more information, see PHA edizione Standard 3: CLIENT-SIDE CONFIGURATION.

Passaggio 7: Riconfigurare i computer Windows per l'uso di Azure Information Protection

I computer Windows esistenti devono essere riconfigurati per usare il servizio Azure Rights Management anziché AD RMS. Questo passaggio si applica ai computer dell'organizzazione e ai computer nelle organizzazioni partner, se si è collaborato con loro durante l'esecuzione di AD RMS.

Fase 4: Configurazione dei servizi di supporto

Per altre informazioni, vedere PHA edizione Standard 4: SUPPORTING edizione Standard RVICES CONFIGURATION.

Passaggio 8: Configurare l'integrazione IRM per Exchange Online

Questo passaggio completa la migrazione di AD RMS per Exchange Online per usare ora il servizio Azure Rights Management.

Passaggio 9: Configurare l'integrazione IRM per Exchange Server e SharePoint Server

Questo passaggio completa la migrazione di AD RMS per Exchange o SharePoint locale per usare ora il servizio Azure Rights Management, che richiede la distribuzione del connettore Rights Management.

Fase 5: Attività post-migrazione

Per altre informazioni, vedere PHA edizione Standard 5: ATTIVITÀ POST-MIGRAZIONE.

Passaggio 10: Deprovisioning di AD RMS

Dopo aver verificato che tutti i computer Windows usano il servizio Azure Rights Management e non accedono più ai server AD RMS, è possibile effettuare il deprovisioning della distribuzione di AD RMS.

Passaggio 11: Completare le attività di migrazione client

Se è stata distribuita l'estensione del dispositivo mobile per supportare dispositivi mobili come telefoni iOS e iPad, telefoni e tablet Android, telefoni e tablet Windows e computer Mac, è necessario rimuovere i record SRV in DNS che hanno reindirizzato questi client per l'uso di AD RMS.

I controlli di onboarding configurati durante la fase di preparazione non sono più necessari. Tuttavia, se non sono stati usati controlli di onboarding perché si è scelto di eseguire la migrazione di tutti gli elementi contemporaneamente anziché eseguire una migrazione in più fasi, è possibile ignorare le istruzioni per rimuovere i controlli di onboarding.

Se i computer Windows eseguono Office 2010, verificare se è necessario disabilitare l'attività Gestione modelli di Criteri diritti AD RMS (automatizzato).

Importante

Il supporto esteso di Office 2010 è terminato il 13 ottobre 2020. Per altre informazioni, vedere Versioni di Windows e Office legacy e AIP.

Passaggio 12: Reimpostare la chiave del tenant di Azure Information Protection

Questo passaggio è consigliato se non si è in esecuzione in modalità crittografia 2 prima della migrazione.

Passaggi successivi

Per avviare la migrazione, passare alla fase 1 - preparazione.