Fase de migração 1 - preparação
Use as informações a seguir para a Fase 1 da migração do AD RMS para a Proteção de Informações do Azure. Esses procedimentos abrangem as etapas 1 a 3 de Migrando do AD RMS para a Proteção de Informações do Azure e preparam seu ambiente para a migração sem qualquer efeito para seus usuários.
Etapa 1: instalar o módulo do AIPService PowerShell e identificar a URL do locatário
Instale o módulo AIPService para permitir que você configure e gerencie o serviço que fornece a proteção de dados para a Proteção de Informações do Azure.
Para obter instruções, consulte Instalar o módulo AIPService do PowerShell.
Para concluir algumas das instruções de migração, você precisa conhecer a URL do serviço Azure Rights Management para seu locatário, para que possa substituí-la quando vir referências à <URL> do locatário.
Sua URL do serviço Azure Rights Management tem o seguinte formato: {GUID}.rms.[Region].aadrm.com. Por exemplo: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
Para identificar a URL do serviço Azure Rights Management
Conecte-se ao serviço Azure Rights Management e, quando solicitado, insira as credenciais para o administrador global do locatário:
Connect-AipService
Vá até a configuração de locatários:
Get-AipServiceConfiguration
Copie o valor exibido para LicensingIntranetDistributionPointUrl e, dessa cadeia de caracteres, remova
/_wmcs\licensing
.O que resta é a URL do serviço Azure Rights Management para seu locatário da Proteção de Informações do Azure. Esse valor geralmente é encurtado para Sua URL de locatário nas instruções de migração a seguir.
Você pode verificar se tem o valor correto executando o seguinte comando do PowerShell:
(Get-AipServiceConfiguration).LicensingIntranetDistributionPointUrl -match "https:\/\/[0-9A-Za-z\.-]*" | Out-Null; $matches[0]
Etapa 2: preparar para a migração do cliente
Para a maioria das migrações, não é prático migrar todos os clientes de uma só vez. Você provavelmente está migrando clientes em lotes.
Isso significa que, por algum tempo, alguns clientes usam a Proteção de Informações do Azure e alguns ainda usarão o AD RMS. Para oferecer suporte a usuários pré-migrados e migrados, use controles de integração e implante um script de pré-migração.
Observação
Esta etapa é necessária durante o processo de migração para que os usuários que ainda não migraram possam consumir conteúdo protegido por usuários migrados que agora estão usando o Azure Rights Management.
Para se preparar para a migração do cliente
Crie um grupo, por exemplo, chamado AIPMigrated. Esse grupo pode ser criado no Active Directory e sincronizado com a nuvem, ou pode ser criado no Microsoft 365 ou no Microsoft Entra ID.
Não atribua nenhum usuário a esse grupo no momento. Em uma etapa posterior, quando os usuários forem migrados, adicione-os ao grupo.
Anote a ID do objeto desse grupo usando um dos seguintes métodos.
- Use Microsoft Graph PowerShell. Por exemplo, use o comando Get-MgGroup .
- Copie a ID do objeto do grupo do portal do Azure.
Configure esse grupo para controles de integração para permitir que apenas as pessoas desse grupo usem o Azure Rights Management para proteger o conteúdo.
Para fazer essa configuração, em uma sessão do PowerShell, conecte-se ao serviço Azure Rights Management. Quando solicitado, especifique suas credenciais de administrador global.
Connect-AipService
Configure esse grupo para controles de integração, substituindo sua ID de objeto de grupo pela deste exemplo. Quando precisar, insira Y para confirmar.
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fba99fed-32a0-44e0-b032-37b419009501" -Scope WindowsApp
Baixe o arquivo Migration-Scripts.zip.
Extraia os arquivos e siga as instruções em Prepare-Client.cmd, para que ele contenha o nome do servidor para sua URL de licenciamento de extranet de cluster do AD RMS. Para localizar esse nome, execute as seguintes etapas.
No console do Active Directory Rights Management Services, selecione o nome do cluster.
Nas informações de Detalhes do Cluster, copie o nome do servidor do valor de licenciamento da seção de URLs do cluster de extranet. Por exemplo: rmscluster.contoso.com.
Importante
As instruções incluem a substituição de endereços de exemplo de adrms.contoso.com com seus endereços de servidor AD RMS.
Ao fazer isso, tenha cuidado para que não haja espaços adicionais antes ou depois de seus endereços. Espaços extras quebrarão o script de migração e é muito difícil identificar como a causa raiz do problema.
Algumas ferramentas de edição adicionam automaticamente um espaço depois de colar texto.
Implante esse script em todos os computadores Windows para garantir que, quando você começar a migrar clientes, os clientes ainda a serem migrados continuem a se comunicar com o AD RMS, mesmo que consumam conteúdo protegido por clientes migrados que agora estão usando o serviço Azure Rights Management.
Você pode usar a Política de Grupo ou outro mecanismo de implantação de software para implantar esse script.
Etapa 3: preparar a implantação do Exchange para migração
Se você usar o Exchange local ou o Exchange online, talvez tenha integrado anteriormente o Exchange à sua implantação do AD RMS. Nesta etapa, configure-os para usar a configuração existente do AD RMS para dar suporte ao conteúdo protegido pelo Azure RMS.
Certifique-se de que você tenha a URL de serviço do Azure Rights Management para seu locatário para que você possa substituir este valor para<YourTenantURL> nos seguintes comandos.
Siga um destes procedimentos, dependendo se você integrou o Exchange local ou o Exchange Online com o AD RMS:
Se você integrou o Exchange Online ao AD RMS
Abra uma sessão do PowerShell do Exchange Online.
Execute os seguintes comandos do PowerShell, um por um, ou em um script.
$irmConfig = Get-IRMConfiguration $list = $irmConfig.LicensingLocation $list += "<YourTenantURL>/_wmcs/licensing" Set-IRMConfiguration -LicensingLocation $list Set-IRMConfiguration -internallicensingenabled $false Set-IRMConfiguration -internallicensingenabled $true
Se você tiver integrado o Exchange local ao AD RMS
Para cada organização do Exchange, adicione valores do Registro em cada servidor Exchange e execute os comandos do PowerShell:
Se você tiver o Exchange 2013 ou o Exchange 2016, adicione o seguinte valor do Registro:
Caminho do registro:
HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection
Tipo: Reg_SZ
Valor:
https://\<Your Tenant URL\>/_wmcs/licensing
Dados:
https://\<AD RMS Extranet Licensing URL\>/_wmcs/licensing
Execute os seguintes comandos do PowerShell, um a um ou em um script:
$irmConfig = Get-IRMConfiguration $list = $irmConfig.LicensingLocation $list += "<YourTenantURL>/_wmcs/licensing" Set-IRMConfiguration -LicensingLocation $list Set-IRMConfiguration -internallicensingenabled $false Set-IRMConfiguration -RefreshServerCertificates Set-IRMConfiguration -internallicensingenabled $true IISReset
Depois de executar esses comandos para o Exchange Online ou o Exchange local, se sua implantação do Exchange tiver sido configurada para oferecer suporte a conteúdo protegido pelo AD RMS, ela também oferecerá suporte ao conteúdo protegido pelo Azure RMS após a migração.
Sua implantação do Exchange continua a usar o AD RMS para oferecer suporte a conteúdo protegido até uma etapa posterior da migração.