Geçiş aşaması 5 - geçiş sonrası görevler
AD RMS'den Azure Information Protection'a geçişin 5. Aşaması için aşağıdaki bilgileri kullanın. Bu yordamlar, AD RMS'den Azure Information Protection'a Geçiş'ten 10 ile 12 arasında adımları kapsar.
10. Adım: AD RMS sağlamasını kaldırma
Bilgisayarların şirket içi Rights Management altyapınızı bulmasını önlemek için Service Bağlan ion Point'i (SCP) Active Directory'den kaldırın. Bu, kayıt defterinde yapılandırdığınız yeniden yönlendirme nedeniyle (örneğin, geçiş betiğini çalıştırarak) geçirdiğiniz mevcut istemciler için isteğe bağlıdır. Ancak SCP'nin kaldırılması, geçiş tamamlandığında yeni istemcilerin ve RMS ile ilgili olabilecek hizmet ve araçların SCP'yi bulmasını engeller. Bu noktada, tüm bilgisayar bağlantıları Azure Rights Management hizmetine gitmelidir.
SCP'yi kaldırmak için, etki alanı kuruluş yöneticisi olarak oturum açtığınızdan emin olun ve aşağıdaki yordamı kullanın:
Active Directory Rights Management Services konsolunda AD RMS kümesine sağ tıklayın ve ardından Özellikler'e tıklayın.
SCP sekmesine tıklayın.
SCP'yi Değiştir onay kutusunu seçin.
Geçerli SCP'yi Kaldır'ı seçin ve ardından Tamam'a tıklayın.
Şimdi AD RMS sunucularınızı etkinlik için izleyin. Örneğin, Sistem Durumu raporundaki, ServiceRequest tablosundakiistekleri denetleyin veya korumalı içeriğe kullanıcı erişimini denetleyin.
RMS istemcilerinin artık bu sunucularla iletişim kurmadığını ve istemcilerin Azure Information Protection'ı başarıyla kullandığını onayladığınızda, AD RMS sunucu rolünü bu sunuculardan kaldırabilirsiniz. Ayrılmış sunucular kullanıyorsanız, ilk olarak sunucuları belirli bir süre için kapatmaya yönelik uyarı adımını tercih edebilirsiniz. Bu size, istemcilerin Neden Azure Information Protection kullanmadığını araştırırken hizmet sürekliliği için bu sunucuları yeniden başlatmanızı gerektirebilecek bildirilen bir sorun olmadığından emin olmanız için zaman verir.
AD RMS sunucularınızın sağlamasını kaldırdıktan sonra şablonunuzu ve etiketlerinizi gözden geçirme fırsatı elde etmek isteyebilirsiniz. Örneğin, şablonları etiketlere dönüştürün, kullanıcıların daha az seçim yapmalarını sağlamak için bunları birleştirin veya yeniden yapılandırın. Bu, varsayılan şablonları yayımlamak için de uygun bir zaman olacaktır.
Duyarlılık etiketleri ve birleşik etiketleme istemcisi için Microsoft Purview uyumluluk portalı kullanın. Daha fazla bilgi için Microsoft 365 belgelerine bakın.
Önemli
Bu geçişin sonunda AD RMS kümeniz Azure Information Protection ve kendi anahtarınızı tutma (HYOK) seçeneğiyle kullanılamaz.
Office 2010 çalıştıran bilgisayarlar için ek yapılandırma
Önemli
Office 2010 genişletilmiş desteği 13 Ekim 2020'de sona erdi. Daha fazla bilgi için bkz . AIP ve eski Windows ve Office sürümleri.
Geçirilen istemciler Office 2010 çalıştırıyorsa, AD RMS sunucularımızın sağlamaları kaldırıldıktan sonra kullanıcılar korumalı içeriği açmada gecikmeler yaşayabilir. Kullanıcılar korumalı içeriği açmak için kimlik bilgilerine sahip olmayan iletileri de görebilir. Bu sorunları çözmek için, bu bilgisayarlar için AD RMS URL FQDN'sini bilgisayarın yerel IP adresine (127.0.0.1) yönlendiren bir ağ yeniden yönlendirmesi oluşturun. Bunu, her bilgisayarda yerel konaklar dosyasını yapılandırarak veya DNS kullanarak yapabilirsiniz.
Yerel konaklar dosyası aracılığıyla yeniden yönlendirme: Aşağıdaki satırı yerel konaklar dosyasına ekleyin; yerine
<AD RMS URL FQDN>
ad RMS kümenizin değerini ön ekleri veya web sayfaları olmadan yazın:127.0.0.1 <AD RMS URL FQDN>
DNS aracılığıyla yeniden yönlendirme: AD RMS URL FQDN'niz için 127.0.0.1 IP adresine sahip yeni bir ana bilgisayar (A) kaydı oluşturun.
11. Adım: İstemci geçiş görevlerini tamamlama
Mobil cihaz istemcileri ve Mac bilgisayarlar için: AD RMS mobil cihaz uzantısını dağıtırken oluşturduğunuz DNS SRV kayıtlarını kaldırın.
Bu DNS değişiklikleri yayıldığında, bu istemciler Azure Rights Management hizmetini otomatik olarak bulur ve kullanmaya başlar. Ancak, Office Mac çalıştıran Mac bilgisayarlar AD RMS'den gelen bilgileri önbelleğe alır. Bu bilgisayarlar için bu işlem 30 güne kadar sürebilir.
Mac bilgisayarları bulma işlemini hemen çalıştırmaya zorlamak için anahtarlıkta "adal" araması yapın ve tüm ADAL girdilerini silin. Ardından, bu bilgisayarlarda aşağıdaki komutları çalıştırın:
rm -r ~/Library/Cache/MSRightsManagement
rm -r ~/Library/Caches/com.microsoft.RMS-XPCService
rm -r ~/Library/Caches/Microsoft\ Rights\ Management\ Services
rm -r ~/Library/Containers/com.microsoft.RMS-XPCService
rm -r ~/Library/Containers/com.microsoft.RMSTestApp
rm ~/Library/Group\ Containers/UBF8T346G9.Office/DRM.plist
killall cfprefsd
Mevcut tüm Windows bilgisayarlarınız Azure Information Protection'a geçirildiğinde, ekleme denetimlerini kullanmaya devam etmek ve geçiş işlemi için oluşturduğunuz AIPMigrated grubunu korumak için bir neden yoktur.
Önce ekleme denetimlerini kaldırın, ardından AIPMigrated grubunu ve geçiş betiklerini dağıtmak için oluşturduğunuz tüm yazılım dağıtım yöntemlerini silebilirsiniz.
Ekleme denetimlerini kaldırmak için:
PowerShell oturumunda Azure Rights Management hizmetine bağlanın ve istendiğinde genel yönetici kimlik bilgilerinizi belirtin:
Connect-AipService
Aşağıdaki komutu çalıştırın ve onaylamak için Y girin:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
Bu komutun, tüm bilgisayarların belgeleri ve e-postaları koruyabilmesi için Azure Rights Management koruma hizmeti için tüm lisans zorlamalarını kaldırdığını unutmayın.
Ekleme denetimlerinin artık ayarlanmadığını onaylayın:
Get-AipServiceOnboardingControlPolicy
Çıktıda Lisans False değerini göstermelidir ve SecurityGroupOjbectId için guid görüntülenmez
Son olarak, Office 2010 kullanıyorsanız ve Windows Görev Zamanlayıcı kitaplığında AD RMS Rights Policy Şablon Yönetimi (Otomatik) görevini etkinleştirdiyseniz, Azure Information Protection istemcisi tarafından kullanılmadığından bu görevi devre dışı bırakın.
Bu görev genellikle grup ilkesi kullanılarak etkinleştirilir ve AD RMS dağıtımlarını destekler. Bu görevi şu konumda bulabilirsiniz: Microsoft>Windows>Active Directory Rights Management Services İstemcisi.
Önemli
Office 2010 genişletilmiş desteği 13 Ekim 2020'de sona erdi. Daha fazla bilgi için bkz . AIP ve eski Windows ve Office sürümleri.
12. Adım: Azure Information Protection kiracı anahtarınızı yeniden anahtarla
Bu mod bir 1024 bit anahtar ve SHA-1 kullandığından, AD RMS dağıtımınız RMS Şifreleme Modu 1 kullanıyorsa geçiş tamamlandığında bu adım gereklidir. Bu yapılandırmanın yetersiz bir koruma düzeyi sunduğu kabul edilir. Microsoft, 1024 bit RSA anahtarları gibi daha düşük anahtar uzunluklarının ve SHA-1 gibi yetersiz koruma düzeyleri sunan protokollerin ilişkili kullanımını onaylamaz.
Yeniden anahtarlama, RMS Şifreleme Modu 2'yi kullanan korumayla sonuçlanıp 2048 bit anahtar ve SHA-256 ile sonuçlanan koruma elde olur.
AD RMS dağıtımınız Şifreleme Modu 2 kullanıyor olsa bile, yeni bir anahtar kiracınızı AD RMS anahtarınızda olası güvenlik ihlallerine karşı korumaya yardımcı olduğundan bu adımı gerçekleştirmenizi öneririz.
Azure Information Protection kiracı anahtarınızı yeniden anahtarladığınızda ("anahtarınızı döndürme" olarak da bilinir), şu anda etkin olan anahtar arşivlenir ve Azure Information Protection belirttiğiniz farklı bir anahtarı kullanmaya başlar. Bu farklı anahtar, Azure Key Vault'ta oluşturduğunuz yeni bir anahtar veya kiracınız için otomatik olarak oluşturulan varsayılan anahtar olabilir.
Bir anahtardan diğerine geçiş hemen gerçekleşmez ancak birkaç hafta içinde gerçekleşir. Hemen olmadığından, özgün anahtarınızda bir ihlal olduğundan şüphelenene kadar beklemeyin, ancak geçiş tamamlandıktan hemen sonra bu adımı uygulayın.
Azure Information Protection kiracı anahtarınızı yeniden açmak için:
Kiracı anahtarınız Microsoft tarafından yönetiliyorsa: Set-AipServiceKeyProperties PowerShell cmdlet'ini çalıştırın ve kiracınız için otomatik olarak oluşturulan anahtarın anahtar tanımlayıcısını belirtin. Get-AipServiceKeys cmdlet'ini çalıştırarak belirteceğiniz değeri tanımlayabilirsiniz. Kiracınız için otomatik olarak oluşturulan anahtarın en eski oluşturma tarihi vardır, bu nedenle aşağıdaki komutu kullanarak tanımlayabilirsiniz:
(Get-AipServiceKeys) | Sort-Object CreationTime | Select-Object -First 1
Kiracı anahtarınız sizin tarafınızdan yönetiliyorsa (BYOK):Azure Key Vault'ta, Azure Information Protection kiracınız için anahtar oluşturma işleminizi yineleyin ve sonra bu yeni anahtarın URI'sini belirtmek için Use-AipServiceKeyVaultKey cmdlet'ini yeniden çalıştırın.
Azure Information Protection kiracı anahtarınızı yönetme hakkında daha fazla bilgi için bkz . Azure Information Protection kiracı anahtarınız için işlemler.
Sonraki adımlar
Geçişi tamamladığınıza göre, yapmanız gerekebilecek diğer dağıtım görevlerini belirlemek üzere sınıflandırma, etiketleme ve koruma için AIP dağıtım yol haritasını gözden geçirin.