Siirtyminen AD RMS Azure sisältöoikeuksien hallinta

 

Koskee:Active Directory Rights Management Services,Azure Rights Management

Azure Rights Management (Azure RMS) siirtäminen Active Directory Rights Management Services (AD RMS)-käyttöönoton ohjeita seuraavassa joukko avulla. Siirron jälkeen käyttäjien on edelleen oikeus tutustua asiakirjoihin ja organisaation AD RMS-suojattu ja juuri suojatun sisällön sähköpostiviestit käyttävät Azure RMS.

Etkö tiedä onko tämä AD RMS-siirron organisaatiollesi?

• Katso esittely Azure RMS, se voidaan ratkaista liiketoiminnan ongelmia, miltä se näyttää järjestelmänvalvojille ja käyttäjille, ja miten se toimii, Mitä on sisältöoikeuksien hallinta Azure?

• Katso vertailu Azure AD RMS-RMS- Azure sisältöoikeuksien hallinta sekä AD RMS-tiedostojärjestelmien vertailu.

Azure-RMS siirretään AD RMS edellytykset

Ennen kuin aloitat Azure RMS siirtymistä, varmista, että seuraavat edellytykset ovat paikoillaan ja että ymmärrät rajoitukset.

Vaatimus	Lisätietoja
Tuettu RMS-käyttöönotto	AD RMS toisesta Windows Server 2008: n Windows Server R2: 2012 – kaikki versiot tukevat siirtymistä Azure RMS: Windows Server 2008: n (x86 tai x64) Windows Server 2008 R2 (x 64) Windows Server 2012: n (x 64) Windows Server 2012 R2 (x 64) Kaikki kelpaa AD RMS-topologioissa tuetaan: Yksi toimialuepuuryhmässä, yksittäinen RMS-klusteri Yksittäisessä toimialuepuuryhmässä, useita käyttöoikeus vain RMS klusterit Useiden toimialuepuuryhmien useita RMS klusterit Note: Oletusarvon mukaan useita RMS klustereiden siirtää yhden Azure RMS-vuokralaisen. Jos haluat eri RMS vuokralaiset, niitä on käsiteltävä siirtoja eri nimellä. Yksi RMS-klusteri-avainta ei voi tuoda useita Azure RMS vuokralaisen.
Voit suorittaa RMS Azure, Azure RMS-vuokralaisen, (aktivoitu) mukaan lukien kaikki vaatimukset	Katso Azure käyttöoikeuksien hallintaa koskevat vaatimukset. Vaikka Azure RMS-vuokralaisen on oltava, ennen kuin voit siirtää AD RMS-, suosittelemme, että et aktivoi sisältöoikeuksien hallinta-palvelua ennen siirtoa. Siirtoprosessin sisältää tässä vaiheessa, kun on avaimet ja mallit AD RMS-järjestelmästä viedyt ja tuoda ne Azure RMS. Kuitenkin jos Azure RMS on jo aktivoitu, voit silti siirtää AD RMS.
Azure RMS valmistelut: Hakemiston synkronoinnin paikalliseen kansioon ja Azure Active Directory Postijärjestelmän käynnistämät Azure Active Directory-ryhmät	Katso Azure sisältöoikeuksien hallinnan valmisteleminen.
Jos olet käyttänyt Exchange Server (esimerkiksi Siirtosäännöt ja Outlook Web Access)- tai SharePoint Server (IRM, Information Rights Management) toimintoja AD RMS-ohjelmiston kanssa: Kun IRM ei ole näiden palvelinten lyhyen ajanjakson suunnitteleminen	Voit jatkossakin käyttää sisältöoikeuksien hallintaa näiden palvelinten kanssa Azure RMS siirron jälkeen. Kuitenkin yksi siirron vaiheet on IRM-palvelun poistaminen käytöstä tilapäisesti, asentaa ja määrittää yhdistimen, palvelimet uudelleen ja sitten uudelleen käyttöön sisältöoikeuksien hallinta. Tämä on ainoa keskeytys palveluun siirtoprosessin aikana.

Rajoitukset:

• Vaikka siirtoprosessin tukee siirtämistä licensing avaimen varmenteen (SLC) laitteisto:: (HSM)-moduuliin Azure RMS-palvelimeen, Exchange Online ei tällä hetkellä tue tätä kokoonpanoa. Jos haluat täyden Exchange Onlinen IRM-toiminnallisuuden Azure RMS siirron jälkeen, Azure RMS vuokralaisen avaimesi täytyy olla Microsoftin ylläpitämä. Vaihtoehtoisesti voit suorittaa IRM rajoitetun Exchange Onlinen kanssa kun Azure RMS-vuokralaisen hallinnasta, (BYOK). Saat lisätietoja Azure RMS Exchange Onlinen käyttäminen Vaihe 6. Exchange Onlinen IRM-integroinnin määrittäminen -ohjeet.

• Jos sinulla on ohjelmisto- ja asiakkaille, jotka eivät tue Azure RMS, ne eivät suojaa tai käyttää sisältöä, joka on suojattu Azure RMS. Tarkista tuettujen sovellusten ja asiakkaiden jakso Azure käyttöoikeuksien hallintaa koskevat vaatimukset aihe.

• Jos tuot Azure RMS kuin tiloissa-avain arkistoida (ei määritetä olevan aktiivisen tuontiprosessin aikana TPD) ja käyttäjien erissä vaiheittaisen siirron, siirtäminen, juuri siirretyt käyttäjät, suojattua sisältöä ei voi jäädä AD RMS-käyttäjien käytettävissä. Tässä tilanteessa aina kun mahdollista, pitää siirron aika lyhyt ja siirrä käyttäjät, loogisen erissä siten, että ne yhdessä toistensa kanssa, jos ne siirretään yhteen.

  Tämä rajoitus ei koske kun TPD arvoksi käytössä tuonnin aikana, koska kaikille käyttäjille suojaa sisältöä käyttämällä samaa avainta. Suosittelemme tätä kokoonpanoa, koska sen avulla voit siirtää kaikkien käyttäjien itsenäisesti ja omaan tahtiisi.

• Voit tehdä yhteistyötä ulkoisten kumppanien kanssa (esimerkiksi käyttämällä käyttäjän luotettujen toimialueiden tai federation), jos ne on myös siirrettävä Azure RMS joko samaan aikaan kuin siirtymistä tai mahdollisimman pian sen jälkeen. Voit edelleen käyttää sisältöä organisaation aiemmin suojattu AD RMS, että heidän on valittava asiakkaan määritysten muutokset, jotka ovat samanlaisia kuin teet ja sisällytetty tässä asiakirjassa.

  Mahdollinen kokoonpano vaihtelua, joka voi olla konsernikumppanien, koska tämän kokoonpanon uudelleenmääritys tarkat ohjeet ovat tämän asiakirjan vaikutusalueen ulkopuolella. Saat lisätietoja ottamalla yhteyttä Microsoft Customer Support Services (CSS).

Toimet siirretään AD RMS Azure RMS

Siirron vaihe	Lisätietoja
1. Lataa Azure RMS Management hallintatyökalut	Lisätietoja on ohjeaiheessa Vaihe 1: Lataa Azure Rights Management hallintatyökalu.
2. AD RMS määritystiedot viedä ja tuoda Azure RMS	AD RMS määritystiedot (näppäimet, mallit, URL-osoitteita) viedä XML-tiedostoon ja lataa tiedoston Azure RMS avulla tuo-AadrmTpd Windows PowerShell-cmdlet-komennolla. Lisätoimia saatetaan tarvita, riippuen edelleen AD RMS-avaimen määrityksen: Avaimen siirto ohjelmisto suojattu ohjelmisto suojattu avain: Keskitetysti hallittu, salasanapohjainen hallitaan Microsoftin Azure RMS vuokralaisen avaimen AD RMS-avaimet. Tämä on yksinkertaisin siirron polku ja ei lisätoimia. :: HSM suojatun avaimen siirto:: HSM suojattu avain: Avaimet, jotka tallennetaan asiakkaan hallittujen Azure RMS vuokralaisen avaimen AD RMS:: HSM ("tuomaan oma avain" tai BYOK skenaario). Tämä edellyttää lisätoimia voidaan siirtää avaimen tiloissa Thales::-HSM:: Azure-RMS HSM. Olemassa oleva:: HSM suojattu avain täytyy olla moduuli suojattu; OCS-suojattujen avainten BYOK toolset ei tueta. :: HSM suojatun avaimen siirto ohjelmisto suojattu avain: Keskitetysti hallittu, salasanapohjainen avaimet asiakkaan hallittujen Azure RMS vuokralaisen avaimen AD RMS ("tuomaan oma avain" tai BYOK skenaario). Tämä edellyttää useimmissa kokoonpano koska purettava software-avaimeen ja tuoda sen omissa tiloissa:: HSM ja tee lisätoimia voidaan siirtää avaimen tiloissa Thales::-HSM:: Azure-RMS HSM. Lisätietoja on ohjeaiheessa Vaihe 2. AD RMS määritystiedot viedä ja tuoda Azure RMS.
3. Aktivoi RMS-vuokralaisen	Jos mahdollista Älä tuonnin jälkeen ja ei ennen tätä vaihetta. Saat lisätietoja ja ohjeita Vaihe 3. Aktivoi RMS-vuokralaisen.
4. Tuotujen mallien määrittäminen	Kun tuot oikeudet-Käytäntömallit, niiden tila on arkistoida. Jos haluat, että käyttäjät voivat katsella ja käyttää niitä, Azure classic-portaalissa julkaistu malli, tila on muutettava. Lisätietoja on ohjeaiheessa Vaihe 4. Tuotujen mallien määrittäminen.
5. Asiakkaat voivat käyttää Azure RMS uudelleen	Olemassa olevat Windows-tietokoneet on määritettävä uudelleen sijaan AD RMS Azure RMS-palvelun käyttöön. Tämä vaihe koskee organisaation tietokoneet ja tietokoneiden kumppani organisaatioissa on yhdessä heidän kanssaan AD RMS olivat käynnissä. Lisäksi, jos olet ottanut käyttöön kannettavan laitteen tunnisteet tukemaan kannettavien laitteiden, kuten iOS-puhelimet ja iPads, Android puhelimet ja tabletit, Windows phone ja Mac-tietokoneissa on poistettava SRV-tietueet DNS-palvelimeen, joka käyttää AD RMS-nämä asiakkaat ohjataan. Lisätietoja on ohjeaiheessa Vaihe 5. Asiakkaat voivat käyttää Azure RMS uudelleen.
6. Exchange Onlinen IRM-integroinnin määrittäminen	Tämä vaihe on pakollinen, jos haluat käyttää Exchange Onlinen Azure RMS-ohjelmiston kanssa. Lisätietoja on ohjeaiheessa Vaihe 6. Exchange Onlinen IRM-integroinnin määrittäminen.
7. Ottaa RMS-liitin	Tämä vaihe on pakollinen, jos haluat käyttää mitä tahansa seuraavista palveluista paikalliseen Azure RMS-ohjelmiston kanssa: Exchange-palvelimen (esimerkiksi Siirtosäännöt ja Outlook Web Access) SharePoint-palvelimeen Windows-palvelimeen, joka käyttää tiedostoa luokittelu infrastruktuuri Lisätietoja on ohjeaiheessa Vaihe 7. Ottaa RMS-liitin.
8. AD RMS poistaminen käytöstä	Kun olet vahvistanut, että kaikki asiakkaat käyttävät Azure RMS ja AD RMS-palvelinten käyttäminen ei enää ole, jonka voit poistaminen käytöstä AD RMS-käyttöönottoa. Lisätietoja on ohjeaiheessa Vaihe 8. AD RMS poistaminen käytöstä.
9. Azure-RMS vuokralaisen avaimesi avaimen uusiminen	Tämä vaihe on pakollinen, jos ei käynnissä olleet Cryptographic 2-tilassa ennen siirtoa, ja valinnainen, mutta suositeltava kaikkia siirtämisiä tehosta Azure RMS vuokralaisen-avaimen suojauksen. Lisätietoja on ohjeaiheessa Vaihe 9. Azure-RMS vuokralaisen avaimesi avaimen uusiminen.

Vaihe 1: Lataa Azure Rights Management hallintatyökalu

Siirtymällä Microsoft Download Centeriin ja ladata Azure Rights Management-hallintatyökalu, joka sisältää Windows PowerShell Azure RMS hallinta-moduulin.

Vaihe 2. AD RMS määritystiedot viedä ja tuoda Azure RMS

Tämä vaihe on kaksiosainen prosessi:

1. Vie luotettu publishing toimialueet (TPDs) viemällä .xml-tiedoston määritystiedot AD RMS. Tämä prosessi on sama kaikkia siirtämisiä varten.

2. Tuo Azure RMS määritystiedot. Ei tässä vaiheessa AD RMS käyttöönoton nykyiset ja Azure RMS vuokralaisen avaimesi ensisijainen topologiassa eri prosesseja.

Vie kokoonpanotietoja AD RMS

Tee seuraavat toimet kaikkien AD RMS klustereiden kaikkien luotettujen publishing toimialueiden, joka on suojattu sisältöä organisaatiollesi. Sinun ei tarvitse suorittaa vain lisensointi-klusterit.

Konfiguraation tiedot (luotetun toimialueen julkaisutiedot)

1. Kirjaudu sisään AD RMS-klusterin käyttäjänä AD RMS tietojärjestelmänvalvojan oikeudet.

2. AD RMS-management Consolesta (Active Directory Rights Management Services), laajenna AD RMS-klusterinimi, laajenna Luota käytännöt, ja sitten luotettujen toimialueiden julkaistaan.

3. Tulokset-ruudussa publishing luotetun toimialueen ja valitse sitten Toiminnot-ruudusta Vie luotettu Publishing toimialueen.

4. - Vie luotettu Publishing toimialueen valintaikkunassa:

   • Valitse Tallenna nimellä ja tallentaa valitsemasi tiedostonimi ja polku. Varmista, että voit määrittää .xml kuin tiedostotunnisteen (tämä ei lisätä automaattisesti).

   • Määrittää ja vahvistaa vahvan salasanan. Muista tämä salasana, koska tarvitset sitä myöhemmin, kun tuot Azure RMS määritystiedot.

   • Valitse valintaruutu, jos haluat, Tallenna tiedosto luotettuun toimialueeseen RMS 1.0-version.

Kun olet vienyt luotetun publishing toimialueiden, olet valmis aloittamaan tuomisesta tiedot Azure RMS.

Tuo määritystiedot Azure RMS

Tässä vaiheessa tarkat menettelyt määräytyvät AD RMS käyttöönoton nykyiset ja Azure RMS vuokralaisen avaimesi ensisijainen topologiassa.

Nykyinen AD RMS-käyttöönoton käyttävät jotakin seuraavista kokoonpanoista, palvelimen käyttöoikeuden myöntäjän varmenteen (SLC) avaimesi:

• AD RMS-tietokannan salasanasuojaus. Tämä on oletuskokoonpano.

• :: HSM suojausta käyttämällä Thales laitteen suojauksen moduuli:: (HSM).

• :: HSM suojaaminen toimittajalta kuin Thales laitteiston:: (HSM)-moduulin avulla.

• Ulkoinen salauspalvelun avulla suojattu salasanalla.

Kaksi Azure RMS vuokralaisen topologia tärkeimmät vaihtoehdot ovat seuraavat: Microsoft ylläpitää vuokralaisen avaimesi (Microsoftin hallittujen) tai vuokralaisen-avain hallinta (asiakkaan hallittujen). Kun hallitset Azure RMS vuokralaisen oma avain, sitä joskus kutsutaan, "tuomaan oma avain" (BYOK) ja vaatii laitteiston suojausmoduuli:: (HSM)-Thales. Saat lisätietoja, Valitse oman vuokralaisen avaimen topologia: Hallita Microsoft (oletus) tai hallita sinun (BYOK) osa Suunnittelussa ja toteuttamisessa avaimesi vuokralaisen Azure Rights Management aihe.

Seuraavan taulukon avulla voit tunnistaa mitkä toimet siirtymistä varten. Yhdistelmät, joita ei ole lueteltu, ei tueta.

Nykyinen AD RMS-käyttöönotto	Valittu Azure RMS vuokralaisen avaimen topologia	Siirto-ohjeet
AD RMS-tietokannan salasanasuojaus	Microsoftin hallittujen	Katso avaimen siirto ohjelmisto suojattu ohjelmisto suojattu avain tässä taulukossa jälkeinen menettely. Tämä on yksinkertaisin siirron polku ja vaatii vain kokoonpanon tiedot siirretään Azure RMS.
Thales nShield hardware security module:: (HSM) käyttämällä suojauksen:: HSM	Asiakkaan hallittujen (BYOK)	Katso :: HSM suojatun avaimen siirto:: HSM suojattu avain tässä taulukossa jälkeinen menettely. Tämä edellyttää BYOK toolset ja avain siirretään Azure RMS HSMs yhteyttä paikalliseen:: HSM ja kokoonpanon tiedot siirretään sitten Azure RMS kaksi joukkoa.
AD RMS-tietokannan salasanasuojaus	Asiakkaan hallittujen (BYOK)	Katso :: HSM suojatun avaimen siirto ohjelmisto suojattu avain tässä taulukossa jälkeinen menettely. Tämä edellyttää BYOK toolset ja kolmenlaisia ohjeita ensimmäinen poimia avain ohjelmiston ja tuo sen tiloissa::-HSM, siirtää sitten yhteyttä paikalliseen:: HSM avain Azure RMS HSMs ja kokoonpanon tiedot siirretään lopuksi Azure RMS.
Protection:: HSM toimittajalta kuin Thales laitteiston:: (HSM)-moduulin avulla	Asiakkaan hallittujen (BYOK)	Pyydä toimittajan sinulle:: HSM ohjeita miten siirretään tämän:: HSM avaimesi Thales nShield:: Hardware Security Module (HSM). Noudata ohjeita :: HSM suojatun avaimen siirto:: HSM suojattu avain tässä taulukossa jälkeinen menettely.
Salasanalla käyttämällä ulkoista salauspalvelun	Asiakkaan hallittujen (BYOK)	Ota yhteyttä toimittaja, salauspalvelun ohjeet siirtäminen avaimesi Thales nShield hardware security module:: (HSM). Noudata ohjeita :: HSM suojatun avaimen siirto:: HSM suojattu avain tässä taulukossa jälkeinen menettely.

Ennen kuin aloitat nämä toimet, varmista, että voit käyttää .xml-tiedostoja aiemmin luomasi vietäessä publishing luotetuista toimialueista. Esimerkiksi nämä saattaa olla tallennettu USB napin asemaan, joka siirtää AD RMS-palvelimesta työasemaan Internet-yhteydessä.

Security Huomautus
Kuitenkin tallentaa tiedostot, käytä suositeltuja suojauskäytäntöjä suojaksi, koska nämä tiedot sisältää yksityisen avaimen.

Ohjelmisto on suojattu avain ohjelmiston suojatun avaimen siirto

Tämän toiminnon avulla voit tuoda RMS Azure, Azure RMS vuokralaisen key-tunnuksen, joka on Microsoftin ylläpitämä johtaa AD RMS-kokoonpano.

Tuo määritystiedot Azure RMS

1. Internetiin yhteydessä Workstation, lataa ja asenna Windows PowerShell-moduulin Azure RMS (vähintään versio 2.1.0.0), joka sisältää tuonti-AadrmTpd cmdlet-komento.

   Vihje
   Jos olet aiemmin ladannut ja asentanut moduulin, tarkista se versionumero suorittamalla: (Get-Module aadrm -ListAvailable).Version

   Asennusohjeet, katso Azure sisältöoikeuksien hallinta Windows PowerShellin asentaminen.

2. Käynnistä Windows PowerShellin kanssa Suorita järjestelmänvalvojana asetus ja käyttää Connect-AadrmService cmdlet-komento muodostaa Azure RMS-palvelu:

   Connect-AadrmService
   

   Kysyttäessä oman Azure Rights Management palveltavan järjestelmänvalvojan tunnistetietoja (yleensä käytät tiliä, jolla on yleinen järjestelmänvalvoja, Office 365 ja Azure Active Directory).

3. Käytössä tuonti-AadrmTpd cmdlet-komento lataa ensimmäisen viedä luotettu publishing toimialueen (.xml)-tiedosto. Jos sinulla on useita .xml-tiedosto, koska oli useita publishing luotetuista toimialueista, valitse tiedosto, joka sisältää viedyt luotetun publishing toimialueen, jota haluat käyttää Azure RMS suojaamaan sisältöä siirron jälkeen. Käytä seuraavaa komentoa:

   Import-AadrmTpd -TpdFile <PathToTpdPackageFile> -ProtectionPassword -Active $True -Verbose 
   

   Esimerkiksi: Import-AadrmTpd -TpdFile E:\contosokey1.xml -ProtectionPassword -Active $true -Verbose

   Kysyttäessä, joka aiemmin määritetty salasana ja vahvista, että haluat suorittaa tämän toiminnon.

4. Kun komento on suoritettu, toista vaihe 3 jokaisen jäljellä olevan .xml-tiedosto, jonka olet luonut oman publishing luotettujen toimialueiden viemällä. Mutta näiden tiedostojen -Active ja false suoritettaessa tuo-komentoa. Esimerkiksi: Import-AadrmTpd -TpdFile E:\contosokey2.xml -ProtectionPassword -Active $false -Verbose

5. Käytössä Katkaise yhteys-AadrmService cmdlet-komennolla voit katkaista Azure RMS-palvelu:

   Disconnect-AadrmService
   

Olet nyt valmis Siirry Vaihe 3. Aktivoi RMS-vuokralaisen.

:: HSM suojattu avain:: HSM suojatun avaimen siirto

Se on kaksiosainen menettely tuo RMS Azure, Azure RMS vuokralaisen avaimesi, joka hallitsee sinun (BYOK) johtaa:: HSM avain ja AD RMS-kokoonpano.

On ensin pakata:: HSM-avain, niin on valmis siirtää Azure RMS, ja tuoda sen määritystiedot.

Osa 1: Paketti:: HSM avaimesi siten, että se on valmis siirtämään Azure RMS

1. Noudattamalla Toteuttaminen Tuo oma avain (BYOK) osassa Suunnittelussa ja toteuttamisessa avaimesi vuokralaisen Azure Rights Management, ohjeita Luo ja siirtää oman vuokralaisen avain – Internetin kautta seuraavin poikkeuksin:

   • Noudata ohjeita Luo vuokralaisen-avain, koska sinulla on jo vastaava AD RMS-käyttöönotosta. On tunnistaa Thales asennuksesta AD RMS-palvelimen käyttämä avain ja käyttää tätä avainta siirtämisen aikana. Salatun avaimen tiedostot nimetään yleensä Thales key_(keyAppName)_(keyIdentifier) paikallisesti palvelimessa.

   • Noudata ohjeita siirtää vuokralaisen avaimesi Azure RMS, joka lisää AadrmKey komento käyttää. Sen sijaan siirretään valmistetut:: HSM-näppäintä kun lataat viety luotettavien publishing toimialueen tuonti-AadrmTpd-komennolla.

2. Internet-yhteys-työaseman Windows PowerShell-istunnossa muodostaa Azure RMS-palvelun.

Nyt kun valmistelemiisi:: HSM-avain Azure RMS, olet valmis tuoda avaintiedoston:: HSM ja AD RMS-määritystietoja.

Osa 2: Tuo Azure RMS:: HSM avain ja kokoonpanon tiedot

1. Edelleen työaseman Internet-yhteyden ja Windows PowerShell-istunnossa ladata ensimmäinen viety luotettavien publishing toimialueen (.xml) tiedoston. Jos sinulla on useita .xml-tiedosto, koska oli useita publishing luotetuista toimialueista, valitse tiedosto, joka sisältää viedyt luotetun publishing toimialueen, joka vastaa:: HSM-avain haluat käyttää suojaamaan sisältöä siirron jälkeen Azure RMS. Käytä seuraavaa komentoa:

   Import-AadrmTPD -AadrmTpd -TpdFile <PathToTpdPackageFile> -ProtectionPassword -HsmKeyFile <PathToBYOKPackage> -Active $True -Verbose
   

   Esimerkiksi: Import-AadrmTPD -TpdFile E:\no_key_tpd_contosokey1.xml -HsmKeyFile E:\KeyTransferPackage-contosokey.byok -ProtectionPassword -Active $true -Verbose

   Kysyttäessä, joka aiemmin määritetty salasana ja vahvista, että haluat suorittaa tämän toiminnon.

2. Kun komento on suoritettu, toista vaihe 1 jokaisen jäljellä olevan .xml-tiedosto, jonka olet luonut oman publishing luotettujen toimialueiden viemällä. Mutta näiden tiedostojen -Active ja false suoritettaessa tuo-komentoa. Esimerkiksi: Import-AadrmTpd -TpdFile E:\contosokey2.xml -HsmKeyFile E:\KeyTransferPackage-contosokey.byok -ProtectionPassword -Active $false -Verbose

3. Käytössä Katkaise yhteys-AadrmService cmdlet-komennolla voit katkaista Azure RMS-palvelu:

   Disconnect-AadrmService
   

Olet nyt valmis Siirry Vaihe 3. Aktivoi RMS-vuokralaisen.

Ohjelmisto on suojattu avain:: HSM suojatun avaimen siirto

Se on 3-osainen toimintosarja tuo RMS Azure, Azure RMS vuokralaisen avaimesi, joka hallitsee sinun (BYOK) johtaa AD RMS-kokoonpano.

On purkaa ensin palvelimen käyttöoikeuden myöntäjän varmenteen (SLC) avaimesi määritystiedot ja avain siirretään tiloissa Thales:: HSM, sitten pakata ja siirtää Azure RMS:: HSM-avain ja tuo määritystiedot.

Osa 1: Pura että SLC määritystiedot ja tuo avain oman paikallisen:: HSM

1. Seuraavat vaiheet käytössä Toteuttaminen Tuo oma avain (BYOK) osa Suunnittelussa ja toteuttamisessa avaimesi vuokralaisen Azure Rights Management Aihe:

   • Luo ja siirtää oman vuokralaisen avain – Internetin kautta: Valmistele Internet yhteys työasemasi

   • Luo ja siirtää oman vuokralaisen avain – Internetin kautta: Valmistele katkaistu työaseman

   Ohjeiden Luo vuokralaisen-avain, koska sinulla on jo vastaava viedyn määritystiedoston (.xml) tiedot. Sen sijaan suoritetaan komento purkaa tämä avain ja tuoda sen oman paikallisen:: HSM.

2. Katkaistu työasemalla Suorita seuraava komento:

   KeyTransferRemote.exe -ImportRmsCentrallyManagedKey -TpdFilePath <TPD> -ProtectionPassword -KeyIdentifier <KeyID> -ExchangeKeyPackage <BYOK-KEK-pka-Region> -NewSecurityWorldPackage <BYOK-SecurityWorld-pkg-Region>
   

   Esimerkiksi Pohjois-Amerikassa: KeyTransferRemote.exe -ImportRmsCentrallyManagedKey -TpdFilePath E:\contosokey1.xml -ProtectionPassword -KeyIdentifier contosorms1key –- -ExchangeKeyPackage <BYOK-KEK-pka-NA-1> -NewSecurityWorldPackage <BYOK-SecurityWorld-pkg-NA-1>

   Lisätiedot:

   • ImportRmsCentrallyManagedKey-parametri osoittaa, että toiminto on tuotava SLC-näppäintä.

   • Jos et määritä salasana-komentoa, sinun pyydetään määrittämään se.

   • KeyIdentifier-parametri on avaimen nimi, joka luo avaimen tiedostonimi. Käytä vain pienillä ASCII-merkkejä.

   • ExchangeKeyPackage-parametri määrittää aluekohtaisia avaintenvaihdon avaimen (KEK)-pakkaus, jossa on nimen alku on BYOK-KEK - pkg-.

   • NewSecurityWorldPackage-parametri määrittää aluekohtaisia maailman suojauspaketin, jossa on nimen alku on BYOK-SecurityWorld - pkg-.

   Tämä komento tuottaa seuraavaa:

   • :: HSM avaintiedosto: %NFAST_KMDATA%\local\key_mscapi_ < avaimen tunnus >

   • RMS SLC kokoonpano datatiedoston poistettu: %NFAST_KMDATA%\local\no_key_tpd_ < avaimen tunnus > .xml

3. Jos sinulla on useampi kuin yksi RMS kokoonpanotiedostot, toista vaihetta 2 jäljellä näistä tiedostoista.

Nyt, että SLC on purettu siten, että se on:: HSM-pohjainen avain, olet valmis pakata ja siirtää Azure RMS.

Osa 2: Pakkaa ja Siirrä Azure RMS:: HSM-avain

1. Noudattamalla seuraavia ohjeita siitä Toteuttaminen Tuo oma avain (BYOK) osa Suunnittelussa ja toteuttamisessa avaimesi vuokralaisen Azure Rights Management:

   • Luo ja siirtää oman vuokralaisen avain – Internetin kautta: Valmistele siirtoa varten vuokralaisen avaimesi

   • Luo ja siirtää oman vuokralaisen avain – Internetin kautta: Vuokralaisen-avain siirretään Azure RMS

Nyt kun olet siirtää:: HSM-avain Azure RMS, olet valmis tuomaan tietoja AD RMS kokoonpano, joka sisältää vain osoitin äskettäin siirretty vuokralaisen avain.

Osa 3: Tuo määritystiedot Azure RMS

1. Edelleen Internetiin yhteydessä workstation ja Windows PowerShell-istunnossa luodulla RMS-kokoonpanotiedostot on poistettu (katkaistu työasema %NFAST_KMDATA%\local\no_key_tpd_ < avaimen tunnus > .xml) SLC

2. Lataa ensimmäinen tiedosto. Jos sinulla on useita .xml-tiedosto, koska oli useita publishing luotetuista toimialueista, valitse tiedosto, joka sisältää viedyt luotetun publishing toimialueen, joka vastaa:: HSM-avain haluat käyttää suojaamaan sisältöä siirron jälkeen Azure RMS. Käytä seuraavaa komentoa:

   Import-AadrmTpd -TpdFile <PathToNoKeyTpdPackageFile> -ProtectionPassword -HsmKeyFile <PathToKeyTransferPackage> -Active $true -Verbose 
   

   Esimerkiksi: Import-AadrmTpd -TpdFile E:\no_key_tpd_contosorms1key.xml -ProtectionPassword -HsmKeyFile E:\KeyTransferPackage-contosorms1key.byok -Active $true -Verbose

   Kysyttäessä, joka aiemmin määritetty salasana ja vahvista, että haluat suorittaa tämän toiminnon.

3. Kun komento on suoritettu, toista vaihe 2 jokaisen jäljellä olevan .xml-tiedosto, jonka olet luonut oman publishing luotettujen toimialueiden viemällä. Mutta näiden tiedostojen -Active ja false suoritettaessa tuo-komentoa. Esimerkiksi: Import-AadrmTpd -TpdFile E:\no_key_tpd_contosorms2key.xml -ProtectionPassword -HsmKeyFile E:\KeyTransferPackage-contosorms1key.byok -Active $false -Verbose

4. Käytössä Katkaise yhteys-AadrmService cmdlet-komennolla voit katkaista Azure RMS-palvelu:

   Disconnect-AadrmService
   

Olet nyt valmis Siirry Vaihe 3. Aktivoi RMS-vuokralaisen.

Vaihe 3. Aktivoi RMS-vuokralaisen

Ohjeet tässä vaiheessa käsitellään täysin Aktivoiminen Azure sisältöoikeuksien hallinta aihe.

Vihje
Jos sinulla on Office 365-tilaus, voit aktivoida Office 365-hallintakeskukseen tai Azure klassinen portal RMS Azure. On suositeltavaa käyttää Azure klassinen portal, koska seuraavan vaiheen hallinta portaalin avulla.

Entä jos Azure RMS-vuokralaisen on jo aktivoitu? Jos organisaatiossa on jo aktivoitu Azure RMS-palvelun, käyttäjät ehkä jo käyttänyt Azure RMS suojaamaan sisältöä ja automaattisesti luotu vuokralaisen on avain (oletusarvoisten mallien) eikä aiemmin luotuja avaimia (ja mallit) AD RMS. Tämä tuskin tapahtuu tietokoneissa, jotka ovat hyvin hallittua intranetistä, koska ne määritetään automaattisesti AD RMS-infrastruktuurin. Mutta se voi tapahtua työryhmän tietokoneissa tai tietokoneissa, jotka muodostavat harvoin intranet-yhteys. Valitettavasti se on myös vaikea tunnistaa nämä tietokoneet vuoksi suosittelemme, että et aktivoi palvelu, ennen kuin tuot määritystiedot AD RMS.

Jos Azure RMS-vuokralaisen on jo aktivoitu ja voit tunnistaa tietokoneet, varmista, että suoritat komentosarjan CleanUpRMS_RUN_Elevated.cmd näissä tietokoneissa vaiheessa 5 kuvatulla tavalla. Tämän skriptin suoritusta pakottaa ne alustamaan käyttäjän ympäristössä, jotta he lataavat päivitetyn vuokralaisen avain ja tuotujen mallien.

Vaihe 4. Tuotujen mallien määrittäminen

Koska oletustilan mallit, jotka on tuotu Arkistoidut, tämän valtion on muutettava julkaistu Jos haluat, että käyttäjät voivat käyttää näitä malleja Azure RMS.

Lisäksi, jos käyttää AD RMS-malleja ANYONE ryhmä, yhteisö poistetaan automaattisesti, kun tuot Azure RMS malleja, sinun on manuaalisesti lisättävä vastaavan ryhmän tai käyttäjiä ja samat oikeudet tuotuja malleja. Azure-RMS-vastaavan ryhmän nimi on AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@ < tenant_name >. onmicrosoft.com. Esimerkiksi tämän ryhmän näyttäisi Contoso osalta seuraavaa: AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@contoso.onmicrosoft.com.

Jos et ole varma, onko AD RMS-mallit sisältävät kaikki-ryhmälle, laajentaa Esimerkki Windows PowerShellin komentosarja AD RMS-malleja, jotka sisältävät ryhmän ANYONE tunnistamiseen osan tässä vaiheessa, voit kopioida ja käyttää tunnistamiseen nämä mallit PowerShell-mallikomentosarjaa. Saat lisätietoja Windows PowerShellin käyttämisestä AD RMS- käyttämällä Windows PowerShellin hallinta AD RMS.

Voit tarkastella organisaatiosi on luodaan automaattisesti ryhmän kopioi yksi oletus oikeuksien käytäntömalleja Azure klassinen portal ja selvitä, jos käyttäjänimi - oikeudet sivun. Kuitenkin perinteinen portaalin avulla ei voi lisätä malliin, joka on luotu manuaalisesti tai tuoda ja sen sijaan on käytettävä jotakin seuraavista Azure RMS PowerShell:

• Käytössä Uusi-AadrmRightsDefinition PowerShell-cmdlet-komennolla voit määrittää ryhmän "AllStaff" ja oikeuksien määritelmä objektiksi oikeuksia ja suorita tämä komento uudelleen kunkin ryhmät tai käyttäjät jo myönnetty alkuperäisen mallin lisäksi ANYONE ryhmän oikeudet. Lisätä kaikkien näiden oikeuksien määritelmä objektien mallien avulla Set-AadrmTemplateProperty cmdlet-komento.

• Käytä Vie-AadrmTemplate cmdlet-komennolla voit viedä mallin. Voit lisätä ryhmän "AllStaff" ja aiemmin luodut ryhmät ja oikeudet muokata ja käyttää XML-tiedosto tuonti-AadrmTemplate Azure RMS takaisin cmdlet-komennolla voit tuoda tämän muutoksen.

Malleja, jotka tuodaan AD RMS näyttävät ja toimivat samalla tavalla kuin mukautettuja malleja, joita voidaan luoda Azure klassinen portal. Tuodut mallit julkaistaan jotta käyttäjät voivat nähdä ne ja valita sovellukset tai tehdä muita muutoksia mallit on ohjeaiheessa Mukautetut mallit Azure sisältöoikeuksien hallinnan määrittäminen.

Vihje
Aina yhtä laadukasta palvelua käyttäjille siirtoprosessin aikana ei tehdä muutoksia tuotuja malleja kuin nämä kaksi muutokset; ja Älä julkaista kaksi Azure RMS mukana toimitettuja oletusmalleja, tai luoda uusia malleja tällä hetkellä. Sen sijaan odottaa siirron valmistumista ja AD RMS-palvelimet on poistettu käytöstä.

Esimerkki Windows PowerShellin komentosarja AD RMS-malleja, jotka sisältävät ryhmän ANYONE tunnistamiseen

Tämä osa sisältää mallikomentosarjan avulla tunnistat AD RMS-malleja, jotka on määritetty, ANYONE ryhmän edellisen osan ohjeiden mukaisesti.

Vastuuvapauslauseke: Kaikki Microsoftin tuki ohjelmaa tai palvelua ei tueta tätä mallikomentosarjaa. Tätä mallikomentosarjaa toimitetaan sellaisenaan ilman minkäänlaista takuuta.

import-module adrmsadmin 

New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost -Force 

$ListofTemplates=dir MyRmsAdmin:\RightsPolicyTemplate

foreach($Template in $ListofTemplates) 
{ 
                $templateID=$Template.id

                $rights = dir MyRmsAdmin:\RightsPolicyTemplate\$Templateid\userright

     $templateName=$Template.DefaultDisplayName 

        if ($rights.usergroupname -eq "anyone")

                         {
                           $templateName = $Template.defaultdisplayname

                           write-host "Template " -NoNewline

                           write-host -NoNewline $templateName -ForegroundColor Red

                           write-host " contains rights for " -NoNewline

                           write-host ANYONE  -ForegroundColor Red
                         }
 } 
Remove-PSDrive MyRmsAdmin -force

Vaihe 5. Asiakkaat voivat käyttää Azure RMS uudelleen

Windows-asiakkaat:

1. Lataa siirtovaiheet:

   • CleanUpRMS_RUN_Elevated.cmd

   • Redirect_OnPrem.cmd

   Nämä komentosarjat Palauta Windows-tietokoneiden kokoonpanon niin, että ne käyttävät Azure RMS-palvelun AD RMS sijaan.

2. Muokkaa komentosarjaa osoittamaan uuteen Azure RMS-vuokralaisen uudelleenohjaus script (Redirect_OnPrem.cmd) ohjeiden mukaan.

3. Windows-tietokoneisiin Suorita nämä komentosarjat laajennetuilla oikeuksilla käyttäjän kontekstissa.

Asiakkaiden kannettavan laitteen ja Mac-tietokoneille:

• Yhteydessä voit ottaa luomasi DNS SRV-tietueiden poistaminen AD RMS-kannettavan laitteen tunniste.

Siirtovaiheet tekemät muutokset

Tämän jakson asiakirjat siirtovaiheet tekemät muutokset. Voit käyttää näitä tietoja vain viitetietoina tai vianmääritystä varten tai jos haluat tehdä nämä muutokset itse.

CleanUpRMS_RUN_Elevated.cmd:

• Poista sisältö %userprofile%\AppData\Local\Microsoft\DRM ja %userprofile%\AppData\Local\Microsoft\MSIPC kansiot, mukaan lukien kaikki alikansiot ja tiedostot on tiedostojen nimet.

• Poista sisältö seuraavat rekisteriavaimet:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Office\ (11.0|12.0|14.0) \Common\DRM

  • HKEY_CURRENT_USER\Software\Microsoft\Office\ (11.0|12.0|14.0) \Common\DRM

  • HKEY_LOCAL_MACHINE\Software\WoW6432Node\Microsoft\Office\ (11.0|12.0|14.0) \Common\DRM

  • HKEY_CURRENT_USER\Software\WoW6432Node\Microsoft\Office\ (11.0|12.0|14.0) \Common\DRM

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPC\ServiceLocation

  • HKEY_LOCAL_MACHINE\SOFTWARE\WoW6432Node\Microsoft\MSIPC\ServiceLocation

  • HKEY_LOCAL_MACHINE\Software\Microsoft\MSDRM\ServiceLocation

• Poista seuraavista rekisteriavaimista:

  • HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\DRM\DefaultServerURL

  • HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\DRM\DefaultServer

Redirect_OnPrem.cmd:

• Luo jokaisen URL-osoitteen mukaisesti seuraavista sijainneista parametrina annettu seuraavat rekisteriarvot:

  • HKEY_CURRENT_USER\Software\Microsoft\Office\ (11.0|12.0|14.0) \Common\DRM\LicenseServerRedirection

  • HKEY_CURRENT_USER\Software\WoW6432Node\Microsoft\Office\ (11.0|12.0|14.0) \Common\DRM\LicenseServerRedirection

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Office\ (11.0|12.0|14.0) \Common\DRM\LicenseServerRedirection

  • HKEY_LOCAL_MACHINE\Software\WoW6432Node\Microsoft\Office\ (11.0|12.0|14.0) \Common\DRM\LicenseServerRedirection

  • HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\LicensingRedirection

  Jokainen tapahtuma on REG_SZ-arvo on https://OldRMSserverURL/_wmcs/licensing tiedot seuraavassa muodossa: https://<YourTenantURL>/_wmcs/licensing.

  Huomautus

  < YourTenantURL > muoto on seuraava: {GUID} .rms. [alue].aadrm.com.

  Esimerkiksi: 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

  Löydät tämän arvon tunnistaminen RightsManagementServiceId arvo, kun suoritat Get-AadrmConfiguration Azure RMS-cmdlet-komennolla.

Vaihe 6. Exchange Onlinen IRM-integroinnin määrittäminen

Jos olet aiemmin tuonut oman TDP Exchange online AD RMS-tässä välttää ristiriitaisia mallit ja käytännöt sen jälkeen, kun olet siirtänyt Azure RMS, TDP on poistettava. Voit tehdä tämän Poista-RMSTrustedPublishingDomain Exchange Online-cmdlet-komennolla.

Jos valitsit Azure-RMS palveltavan avaimen topologian hallitaan Microsoft:

• Katso Exchange online-tilassa: Sisältöoikeuksien hallinnan määritys osa Azure Rights Management-sovellusten määrittäminen aihe. Tämä osa sisältää tavalliset komennot suoritetaan, joka muodostaa yhteyden Exchange Online-palveluun ja tuo avain vuokralaisen Azure RMS Exchange Onlinen IRM-toiminnallisuuden avulla. Kun olet suorittanut nämä vaiheet, sinulla on RMS täydellisesti Exchange online.

Jos valitsit Azure-RMS palveltavan avaimen topologian (BYOK) asiakkaan hallittujen:

• Sinun olet vähentänyt Exchange Onlinen toiminnallisuus RMS kuvatulla tavalla BYOK hinnoittelu ja rajoitukset osa Suunnittelussa ja toteuttamisessa avaimesi vuokralaisen Azure Rights Management aihe.

Vaihe 7. Ottaa RMS-liitin

Jos olet käyttänyt Exchange Serverin ja SharePoint Serverin (IRM, Information Rights Management) toimintoja AD RMS-ohjelmiston kanssa, on ensin näiden palvelinten sisältöoikeuksien hallinnan käytöstä ja poistaa AD RMS-kokoonpano. Ota sitten Rights Management (RMS)-liitin, joka toimii communications interface (rele) tiloissa palvelimet ja Azure RMS välillä.

Lopuksi tämän vaiheen, jos Azure RMS, joita on käytetty suojaamaan sähköpostiviestejä, jotka on tuotu useita TPDs on manuaalisesti rekisterin muokkaamista Exchange Server-tietokoneissa Voit uudelleenohjata kaikki TPDs URL-osoitteet RMS-liittimeen.

Exchange-palvelimiin sisältöoikeuksien hallinnan käytöstä ja poista AD RMS-kokoonpano

1. Jokaisen Exchange-palvelimessa, Etsi seuraava kansio ja poista kansion kaikki merkinnät: \ProgramData\Microsoft\DRM\Server\S-1-5-18

2. Yhden Exchange-palvelimet käyttävät VAIHTO Set_IRMConfiguration sisäisille vastaanottajille lähetetyt viestit, ja sisältöoikeuksien hallinta on poistettava käytöstä cmdlet-ominaisuudet:

   Set-IRMConfiguration -InternalLicensingEnabled $false
   

3. Käytä sitten samaa cmdlet viesteissä, jotka lähetetään ulkoisille vastaanottajille IRM-ominaisuuksien poistaminen käytöstä:

   Set-IRMConfiguration -ExternalLicensingEnabled $false
   

4. Seuraavaksi Käytä samaa cmdlet sisältöoikeuksien hallinta Microsoft Office Outlook Web App ja Microsoft Exchange ActiveSync poistetaan käytöstä:

   Set-IRMConfiguration -ClientAccessServerEnabled $false
   

5. Lopuksi Poista kaikki välimuistissa olevat sertifikaatit käyttää samaa cmdlet-komento:

   Set-IRMConfiguration -RefreshServerCertificates
   

6. Jokaisen Exchange Server nyt Käynnistä IIS uudelleen, esimerkiksi suorittaminen järjestelmänvalvojana komentokehote ja kirjoittamalla iisreset.

Sisältöoikeuksien hallinta SharePoint-palvelimiin käytöstä ja poista AD RMS-kokoonpano

1. Varmista, että asiakirjoja ei ole kuitattu ulos RMS-suojatut kirjastoista. Jos on, ne voi tulee tämän menettelyn lopussa ei ole käytettävissä.

2. SharePoint-keskitetyn hallinnan Web-sivusto, joka Quick Launch -osassa Security.

3. - Security sivu tietoa käytännön -osassa Sisältöoikeuksien hallinnan määrittäminen.

4. - Information Rights Management sivu Information Rights Management -osassa Käytä sisältöoikeuksien hallintaa tässä palvelimessa, valitse OK.

5. Jokaisen SharePoint Server-tietokoneita, tyhjennä kansion \ProgramData\Microsoft\MSIPC\Server\< tilin SID-tunnus käytössä SharePoint Server >.

Asenna ja määritä RMS-liitin

• Käytä ohjeita Azure oikeudet käyttäjänhallinnan yhdistimen käyttöönotto aihe.

Vain Exchange-ja useita TPDs: Rekisterin muokkaaminen

• Jokaisen Exchange Server Lisää seuraavat rekisteriavaimet manuaalisesti jokaisen muita TPD, jotka olet tuonut TPD URL-osoitteet ohjataan RMS-liitin. Nämä rekisterimerkinnät ovat siirto ja ei lisätä connector Microsoft RMS server configuration Tool-työkalussa.

  Kun teet nämä rekisterin muokkauksia, seuraavien ohjeiden avulla:

  • Korvaa ConnectorFQDN yhdistimelle määritetty DNS-nimi. Esimerkiksi rmsconnector.contoso.com.

  • Käytä HTTP- tai HTTPS-etuliitteellä connector URL-osoite, sen mukaan, jonka olet määrittänyt connector käyttää HTTP- tai https-PROTOKOLLAA tiloissa-palvelinten kanssa.

   

  Exchange-2013:

  Rekisteripolku	Tyyppi	Arvo	Tiedot
  HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection	Reg_SZ	https://<AD RMS intranetin Licensing URL-osoite >/_wmcs/lisensointi	Jokin seuraavista toimista sen mukaan, käytätkö HTTP- tai HTTPS-yhteys Exchange-palvelimeen RMS-liittimeen: http://<connectorFQDN>/_wmcs/Licensing https://<connectorFQDN>/_wmcs/Licensing
  HKLM\SOFTWARE\Microsoft\ExchangeServer\v15\IRM\LicenseServerRedirection	Reg_SZ	https://<AD RMS ekstranet-lisensointi URL >/_wmcs/lisensointi	Jokin seuraavista toimista sen mukaan, käytätkö HTTP- tai HTTPS-yhteys Exchange-palvelimeen RMS-liittimeen: http://<connectorFQDN>/_wmcs/Licensing https://<connectorFQDN>/_wmcs/Licensing

  Exchange Server 2010: n osalta:

  Rekisteripolku	Tyyppi	Arvo	Tiedot
  HKLM\SOFTWARE\Microsoft\ExchangeServer\v14\IRM\LicenseServerRedirection	Reg_SZ	https://<AD RMS intranetin Licensing URL-osoite >/_wmcs/lisensointi	Jokin seuraavista toimista sen mukaan, käytätkö HTTP- tai HTTPS-yhteys Exchange-palvelimeen RMS-liittimeen: http://<connectorFQDN>/_wmcs/Licensing https://<connectorFQDN>/_wmcs/Licensing
  HKLM\SOFTWARE\Microsoft\ExchangeServer\v14\IRM\LicenseServerRedirection	Reg_SZ	https://<AD RMS ekstranet-lisensointi URL >/_wmcs/lisensointi	Jokin seuraavista toimista sen mukaan, käytätkö HTTP- tai HTTPS-yhteys Exchange-palvelimeen RMS-liittimeen: http://<connectorFQDN>/_wmcs/Licensing https://<connectorFQDN>/_wmcs/Licensing

Kun olet tehnyt nämä toimet, muista lukea seuraavat vaiheet jakso Azure oikeudet käyttäjänhallinnan yhdistimen käyttöönotto aihe.

Vaihe 8. AD RMS poistaminen käytöstä

Valinnainen: Poistaa Active Directorysta estämään tietokoneiden selvittämästä paikallisen infrastruktuurin Rights Management Service Connection Point (SCP). Syynä on valinnainen uudelleenohjaus, joka on määritetty rekisteriin (esimerkiksi suorittamalla siirtokomentosarja). Voit poistaa palvelun yhteyspisteen avulla AD SCP rekisteri-työkalua Rights Management palvelut hallinto Toolkit.

Valvoa AD RMS-palvelinten tehtävän, esimerkiksi tarkistamalla järjestelmän kuntoraportti pyyntöjen, ServiceRequest-taulukon tai suojatun sisällön käytön seuranta. Kun olet vahvistanut RMS asiakkaat ovat yhteydessä kanssa näiden palvelinten ja että asiakkaat käyttävät onnistuneesti Azure RMS, voit poistaa nämä palvelimen AD RMS-palvelimen rooli. Jos käytät tiettyyn tarkoitukseen varattuja palvelimia, johtuvia ensimmäinen palvelimet ajanjakson aikana ja varmistaa, että ei ole raportoitu ongelmia, jotka edellyttävät uudelleen näihin palvelimiin palvelun jatkuvuuden varmistamiseksi samalla, kun voit tutkia, miksi asiakkaat eivät käytä Azure RMS ovat varoituksia vaihe voi olla sopivampi.

Jälkeen AD RMS-palvelinten käytöstä, voit halutessasi ottaa mahdollisuuden tarkistaa Azure klassinen portal-mallit ja yhdistää niitä niin, että käyttäjät voivat valita, tai määrittää niitä uudelleen tai jopa lisätä uusia malleja vähemmän. Tämä olisi myös hyvissä ajoin julkaisemiseen oletusarvoisten mallien. Lisätietoja on ohjeaiheessa Mukautetut mallit Azure sisältöoikeuksien hallinnan määrittäminen.

Vaihe 9. Azure-RMS vuokralaisen avaimesi avaimen uusiminen

Tämä vaihe on pakollinen, kun siirto on valmis, jos AD RMS-käyttöönotto oli RMS salattu tilassa 1, koska uudelleen tarvitse kirjoittaa sillä ‑työkalulla Luo uuden avaimen, jonka avulla RMS-salauksen tilaa 2 vuokralaisen. Salattu tilassa 1 Azure RMS avulla tuetaan vain siirtoprosessin aikana.

Tämä vaihe on valinnainen, mutta suositeltava, kun siirto on valmis vaikka käytössä ollut RMS Cryptographic Mode 2, koska se auttaa turvaamaan Azure RMS vuokralaisen avaimesi mahdolliset tietoturva-aukot-AD RMS-avaimeen. Kun avaimen uusiminen Azure RMS vuokralaisen avaimesi (tunnetaan myös nimellä "liikkuvan avaimesi"), uusi avain luodaan ja alkuperäinen avain on arkistoitu. Kuitenkin koska siirtämisestä toiseen yhtä näppäintä tapahdu heti, mutta muutaman viikon aikana, ei odota sinun epäillä rikkoneen alkuperäinen key-tunnuksen mutta avain RMS vuokralaisen avaimesi uudelleen heti, kun siirto on valmis.

Azure-RMS vuokralaisen avaimesi avaimeen uudelleen:

• Jos RMS vuokralaisen avaimesi on Microsoftin ylläpitämä: Kutsu Microsoft Customer Support Services (CSS) ja todistaa, että olet vuokralaisen RMS-järjestelmänvalvoja.

• Jos RMS vuokralaisen avaimesi hallitsee sinun (BYOK): Toista menettely BYOK Luo ja luo uusi avain Internetin välityksellä tai henkilökohtaisesti.

Saat lisätietoja avaimesi RMS Palveltavien kohteiden hallinnan Avaimesi vuokralaisen Azure Rights Management-toimintoja.

Katso myös

Azure sisältöoikeuksien hallinnan määrittäminen