Geçiş aşaması 2 - AD RMS için sunucu tarafı yapılandırması
AD RMS'den Azure Information Protection'a geçişin 2. Aşaması için aşağıdaki bilgileri kullanın. Bu yordamlar AD RMS'den Azure Information Protection'a Geçiş'ten 4 ile 6. adımları kapsar.
4. Adım: Yapılandırma verilerini AD RMS'den dışarı aktarma ve Azure Information Protection'a aktarma
Bu adım iki bölümden oluşur:
Güvenilen yayımlama etki alanlarını (TPD) bir .xml dosyasına aktararak yapılandırma verilerini AD RMS'den dışarı aktarın. Bu işlem tüm geçişler için aynıdır.
Yapılandırma verilerini Azure Information Protection'a aktarın. Geçerli AD RMS dağıtım yapılandırmanıza ve Azure RMS kiracı anahtarınız için tercih ettiğiniz topolojiye bağlı olarak bu adım için farklı işlemler vardır.
YAPıLANDıRMA verilerini AD RMS'den dışarı aktarma
Kuruluşunuz için korumalı içeriğe sahip tüm güvenilen yayımlama etki alanları için tüm AD RMS kümelerinde aşağıdaki yordamı uygulayın. Bu yordamı yalnızca lisans kümelerinde çalıştırmanız gerekmez.
Yapılandırma verilerini dışarı aktarmak için (güvenilen yayımlama etki alanı bilgileri)
AD RMS kümesinde AD RMS yönetim izinlerine sahip bir kullanıcı olarak oturum açın.
AD RMS yönetim konsolundan (Active Directory Rights Management Services), AD RMS küme adını genişletin, Güven İlkeleri'ni genişletin ve Güvenilen Yayımlama Etki Alanları'na tıklayın.
Sonuçlar bölmesinde güvenilen yayımlama etki alanını seçin ve eylemler bölmesinde Güvenilen Yayımlama Etki Alanını Dışarı Aktar'a tıklayın.
Güvenilen Yayımlama Etki Alanını Dışarı Aktar iletişim kutusunda:
Farklı Kaydet'e tıklayın ve yola ve istediğiniz dosya adına kaydedin. Dosya adı uzantısı olarak .xml belirttiğinizden emin olun (bu otomatik olarak eklenmez).
Güçlü bir parola belirtin ve onaylayın. Yapılandırma verilerini Azure Information Protection'a aktarırken daha sonra ihtiyacınız olacağı için bu parolayı unutmayın.
Güvenilen etki alanı dosyasını RMS sürüm 1.0'a kaydetmek için onay kutusunu seçmeyin.
Tüm güvenilen yayımlama etki alanlarını dışarı aktardığınızda, bu verileri Azure Information Protection'a aktarma yordamını başlatmaya hazır olursunuz.
Güvenilen yayımlama etki alanlarının, daha önce korunan dosyaların şifresini çözmek için Sunucu Lisans Veren Sertifikası (SLC) anahtarlarını içerdiğini unutmayın. Bu nedenle, yalnızca şu anda etkin olanını değil tüm güvenilen yayımlama etki alanlarını dışarı aktarmanız (ve daha sonra Azure'a aktarmanız) önemlidir.
Örneğin, AD RMS sunucularınızı Şifreleme Modu 1'den Şifreleme Modu 2'ye yükselttiyseniz, birden çok güvenilen yayımlama etki alanınız olur. Şifreleme Modu 1 kullanan arşivlenmiş anahtarınızı içeren güvenilen yayımlama etki alanını dışarı ve içeri aktarmazsanız, geçişin sonunda kullanıcılar Şifreleme Modu 1 anahtarıyla korunan içeriği açamaz.
Yapılandırma verilerini Azure Information Protection'a aktarma
Bu adımın tam yordamları geçerli AD RMS dağıtım yapılandırmanıza ve Azure Information Protection kiracı anahtarınız için tercih ettiğiniz topolojiye bağlıdır.
Geçerli AD RMS dağıtımınız, sunucu lisans sertifikası (SLC) anahtarınız için aşağıdaki yapılandırmalardan birini kullanıyor:
AD RMS veritabanında parola koruması. Bu, varsayılan yapılandırmadır.
Bir nCipher donanım güvenlik modülü (HSM) kullanarak HSM koruması.
nCipher dışında bir sağlayıcının donanım güvenlik modülünü (HSM) kullanarak HSM koruması.
Dış şifreleme sağlayıcısı kullanılarak korunan parola.
Dekont
AD RMS ile donanım güvenlik modüllerini kullanma hakkında daha fazla bilgi için bkz . AD RMS'yi Donanım Güvenlik Modülleriyle Kullanma.
İki Azure Information Protection kiracı anahtarı topolojisi seçeneği şunlardır: Kiracı anahtarınızı Microsoft yönetir (Microsoft tarafından yönetilen) veya Azure Key Vault'ta kiracı anahtarınızı (müşteri tarafından yönetilen) yönetirsiniz. Kendi Azure Information Protection kiracı anahtarınızı yönettiğinizde bu anahtar bazen "kendi anahtarını getir" (KAG) olarak adlandırılır. Daha fazla bilgi için Azure Information Protection kiracı anahtarınızı planlama ve uygulama makalesine bakın.
Geçişiniz için hangi yordamın kullanılacağını belirlemek için aşağıdaki tabloyu kullanın.
Geçerli AD RMS dağıtımı | Seçilen Azure Information Protection kiracı anahtarı topolojisi | Geçiş yönergeleri |
---|---|---|
AD RMS veritabanında parola koruması | Microsoft tarafından yönetilen | Bu tablodan sonra yazılım korumalı anahtardan yazılım korumalı anahtara geçiş yordamına bakın. Bu en basit geçiş yoludur ve yalnızca yapılandırma verilerinizi Azure Information Protection'a aktarmanızı gerektirir. |
nCipher nShield donanım güvenlik modülü (HSM) kullanarak HSM koruması | Müşteri tarafından yönetilen (KAG) | Bu tablodan sonra HSM korumalı anahtardan HSM korumalı anahtara geçiş yordamına bakın. Bunun için Önce anahtarı şirket içi HSM'nizden Azure Key Vault HSM'lerine aktarmak, ardından Azure Information Protection'dan Azure Rights Management hizmetini kiracı anahtarınızı kullanması için yetkilendirmek ve son olarak yapılandırma verilerinizi Azure Information Protection'a aktarmak için Azure Key Vault BYOK araç takımı ve üç adım kümesi gerekir. |
AD RMS veritabanında parola koruması | Müşteri tarafından yönetilen (KAG) | Bu tablodan sonra HSM korumalı anahtara yazılım korumalı anahtar geçiş yordamına bakın. Bunun için Önce yazılım anahtarınızı ayıklamak ve şirket içi HSM'ye aktarmak, ardından anahtarı şirket içi HSM'nizden Azure Information Protection HSM'lerine aktarmak, ardından Key Vault verilerinizi Azure Information Protection'a aktarmak ve son olarak yapılandırma verilerinizi Azure Information Protection'a aktarmak için Azure Key Vault BYOK araç takımı ve dört adım kümesi gerekir. |
nCipher dışında bir sağlayıcıdan donanım güvenlik modülü (HSM) kullanarak HSM koruması | Müşteri tarafından yönetilen (KAG) | Anahtarınızı bu HSM'den nCipher nShield donanım güvenlik modülüne (HSM) aktarma yönergeleri için HSM'nizin sağlayıcısına başvurun. Ardından bu tablodan sonra HSM korumalı anahtardan HSM korumalı anahtara geçiş yordamına yönelik yönergeleri izleyin. |
Dış şifreleme sağlayıcısı kullanılarak korunan parola | Müşteri tarafından yönetilen (KAG) | Anahtarınızı nCipher nShield donanım güvenlik modülüne (HSM) aktarma yönergeleri için şifreleme sağlayıcınızın sağlayıcısına başvurun. Ardından bu tablodan sonra HSM korumalı anahtardan HSM korumalı anahtara geçiş yordamına yönelik yönergeleri izleyin. |
Dışarı aktaramadığınız HSM korumalı bir anahtarınız varsa, AD RMS kümenizi salt okunur mod için yapılandırarak Azure Information Protection'a geçiş yapmaya devam edebilirsiniz. Bu modda, daha önce korunan içerik hala açılabilir, ancak yeni korunan içerik sizin tarafınızdan (BYOK) veya Microsoft tarafından yönetilen yeni bir kiracı anahtarı kullanır. Daha fazla bilgi için bkz . Office'in AD RMS'den Azure RMS'ye geçişleri desteklemeye yönelik bir güncelleştirmesi var.
Bu anahtar geçiş yordamlarını başlatmadan önce, daha önce güvenilen yayımlama etki alanlarını dışarı aktarırken oluşturduğunuz .xml dosyalarına erişebildiğinizden emin olun. Örneğin, bunlar AD RMS sunucusundan İnternet'e bağlı iş istasyonuna taşıdığınız bir USB başparmak sürücüsüne kaydedilebilir.
Dekont
Bu dosyaları nasıl depolarsanız depolayın, bu veriler özel anahtarınızı içerdiği için bunları korumak için en iyi güvenlik yöntemlerini kullanın.
4. Adımı tamamlamak için geçiş yolunuz için yönergeleri seçin ve seçin:
- Yazılım korumalı anahtardan yazılım korumalı anahtara
- HSM korumalı anahtardan HSM korumalı anahtara
- Yazılım korumalı anahtardan HSM korumalı anahtara
5. Adım: Azure Rights Management hizmetini etkinleştirme
Bir PowerShell oturumu açın ve aşağıdaki komutları çalıştırın:
Azure Rights Management hizmetine Bağlan ve sorulduğunda genel yönetici kimlik bilgilerinizi belirtin:
Connect-AipService
Azure Rights Management hizmetini etkinleştirin:
Enable-AipService
Azure Information Protection kiracınız zaten etkinleştirilmişse ne olur? Kuruluşunuz için Azure Rights Management hizmeti zaten etkinleştirildiyse ve geçiş sonrasında kullanmak istediğiniz özel şablonlar oluşturduysanız, bu şablonları dışarı ve içeri aktarmanız gerekir. Bu yordam bir sonraki adımda ele alınmıştır.
6. Adım: İçeri aktarılan şablonları yapılandırma
İçeri aktardığınız şablonların varsayılan durumu Arşivlenmiş olduğundan, kullanıcıların bu şablonları Azure Rights Management hizmetiyle kullanabilmesini istiyorsanız bu durumu Yayımlandı olarak değiştirmeniz gerekir.
AD RMS'den içeri aktardığınız şablonlar, Azure portalında oluşturabileceğiniz özel şablonlar gibi görünür ve davranır. İçeri aktarılan şablonları kullanıcıların görebileceği ve uygulamalardan seçebileceği şekilde yayımlanacak şekilde değiştirmek için bkz . Azure Information Protection için şablonları yapılandırma ve yönetme.
Yeni içeri aktarılan şablonlarınızı yayımlamaya ek olarak, geçişe devam etmeden önce şablonlar için yapmanız gerekebilecek iki önemli değişiklik vardır. Geçiş işlemi sırasında kullanıcılar için daha tutarlı bir deneyim için, içeri aktarılan şablonlarda ek değişiklikler yapmayın ve Azure Information Protection ile birlikte gelen iki varsayılan şablonu yayımlamayın veya şu anda yeni şablonlar oluşturmayın. Bunun yerine, geçiş işlemi tamamlanana ve AD RMS sunucularının sağlamasını kaldırana kadar bekleyin.
Bu adım için yapmanız gerekebilecek şablon değişiklikleri:
Geçiş öncesinde Azure Information Protection özel şablonları oluşturduysanız bunları el ile dışarı ve içeri aktarmanız gerekir.
AD RMS'deki şablonlarınız ANYONE grubunu kullandıysa, kullanıcıları veya grupları el ile eklemeniz gerekebilir.
AD RMS'de, ANYONE grubu şirket içi Active Directory tarafından kimliği doğrulanmış tüm kullanıcılara haklar verdi ve bu grup Azure Information Protection tarafından desteklenmiyor. Dolap eşdeğeri, Microsoft Entra kiracınızdaki tüm kullanıcılar için otomatik olarak oluşturulan bir gruptur. AD RMS şablonlarınız için ANYONE grubunu kullanıyorsanız, kullanıcıları ve onlara vermek istediğiniz hakları eklemeniz gerekebilir.
Geçiş öncesinde özel şablonlar oluşturduysanız yordam
Geçiş öncesinde, Azure Rights Management hizmetini etkinleştirmeden önce veya etkinleştirdikten sonra özel şablonlar oluşturduysanız, şablonlar Yayımlandı olarak ayarlanmış olsalar bile geçiş sonrasında kullanıcılar tarafından kullanılamaz. Kullanıcıların kullanımına açmak için önce aşağıdakileri yapmanız gerekir:
Get-AipServiceTemplate komutunu çalıştırarak bu şablonları tanımlayın ve şablon kimliklerini not edin.
Export-AipServiceTemplate adlı Azure RMS PowerShell cmdlet'ini kullanarak şablonları dışarı aktarın.
Import-AipServiceTemplate adlı Azure RMS PowerShell cmdlet'ini kullanarak şablonları içeri aktarın.
Daha sonra bu şablonları, geçiş sonrasında oluşturduğunuz diğer tüm şablonlarda olduğu gibi yayımlayabilir veya arşivleyebilirsiniz.
AD RMS'deki şablonlarınız ANYONE grubunu kullanıyorsa yordam
AD RMS'deki şablonlarınız ANYONE grubunu kullandıysa, Azure Information Protection'daki en yakın eşdeğer grup AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@<tenant_name.onmicrosoft.com> olarak adlandırılır. Örneğin, bu grup Contoso için aşağıdaki gibi görünebilir: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com. Bu grup, Microsoft Entra kiracınızdaki tüm kullanıcıları içerir.
Azure portalında şablonları ve etiketleri yönettiğinizde, bu grup Microsoft Entra Id'de kiracınızın etki alanı adı olarak görüntülenir. Örneğin, bu grup Contoso için aşağıdaki gibi görünebilir: contoso.onmicrosoft.com. Bu grubu eklemek için, kuruluş adı ekle <- Tüm üyeler seçeneği görüntülenir.>
AD RMS şablonlarınızın ANYONE grubunu içerip içermediğinden emin değilseniz, bu şablonları tanımlamak için aşağıdaki örnek Windows PowerShell betiğini kullanabilirsiniz. AD RMS ile Windows PowerShell kullanma hakkında daha fazla bilgi için bkz. AD RMS'yi Yönetici için Windows PowerShell kullanma.
Azure portalında bu şablonları etiketlere dönüştürdüğünüzde şablonlara kolayca dış kullanıcılar ekleyebilirsiniz. Ardından, İzin ekle bölmesinde Ayrıntıları girin'i seçerek bu kullanıcıların e-posta adreslerini el ile belirtin.
Bu yapılandırma hakkında daha fazla bilgi için bkz . Rights Management koruması için etiket yapılandırma.
ANYONE grubunu içeren AD RMS şablonlarını tanımlamak için örnek Windows PowerShell betiği
Bu bölüm, önceki bölümde açıklandığı gibi ANYONE grubunun tanımlandığı TÜM AD RMS şablonlarını tanımlamanıza yardımcı olacak örnek betiği içerir.
Yasal Uyarı: Bu örnek betik herhangi bir Microsoft standart destek programı veya hizmeti altında desteklenmez. Bu örnek betik, herhangi bir garanti olmadan OLDUĞU GIBI sağlanır.
import-module adrmsadmin
New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost -Force
$ListofTemplates=dir MyRmsAdmin:\RightsPolicyTemplate
foreach($Template in $ListofTemplates)
{
$templateID=$Template.id
$rights = dir MyRmsAdmin:\RightsPolicyTemplate\$Templateid\userright
$templateName=$Template.DefaultDisplayName
if ($rights.usergroupname -eq "anyone")
{
$templateName = $Template.defaultdisplayname
write-host "Template " -NoNewline
write-host -NoNewline $templateName -ForegroundColor Red
write-host " contains rights for " -NoNewline
write-host ANYONE -ForegroundColor Red
}
}
Remove-PSDrive MyRmsAdmin -force