Migrationsphase 3 – Clientseitige Konfiguration

  • Artikel

Verwenden Sie die folgenden Informationen für Phase 3 der Migration von AD RMS zu Azure Information Protection. Diese Vorgehensweise umfasst Schritt 7 der Migration von AD RMS zu Azure Information Protection.

Schritt 7: Neukonfigurieren von Windows-Computern für die Verwendung von Azure Information Protection

Konfigurieren Sie Ihre Windows-Computer für die Verwendung von Azure Information Protection mithilfe einer der folgenden Methoden neu:

  • DNS-Umleitung. Diei einfachste und bevorzugte Methode, wenn sie unterstützt wird.

    Unterstützt für Windows-Computer, die Office 2016 oder spätere Klick-und-Los-Desktop-Apps verwenden, einschließlich:

    • Microsoft 365-Apps
    • Office 2019
    • Office 2016 Klick-und-Los-Desktop-Apps

    Erfordert, dass Sie einen neuen SRV-Eintrag erstellen und eine NTFS-Verweigerungsberechtigung für Benutzer auf dem AD RMS-Veröffentlichungsendpunkt festlegen.

    Weitere Informationen finden Sie unter Neukonfiguration des Clients mithilfe der DNS-Umleitung.

  • Änderungen in der Registrierung. Relevant für alle unterstützten Umgebungen, einschließlich dieser beiden:

    • Windows-Computer, die Office 2016 oder eine neuere Version der oben aufgeführten Klick-und-Los-Desktop-Apps verwenden
    • Windows-Computer, die andere Apps verwenden

    Nehmen Sie die erforderlichen Änderungen an der Registrierung manuell vor, oder bearbeiten Sie herunterladbare Skripte und stellen Sie sie bereit, um die Änderungen an der Registrierung für Sie vorzunehmen.

    Weitere Informationen finden Sie unter Neukonfiguration des Clients mithilfe von Änderungen an der Registrierung.

Tipp

Wenn Sie eine Mischung aus Office-Versionen haben, die die DNS-Umleitung verwenden können und nicht können, können Sie entweder eine Kombination aus DNS-Umleitung und Bearbeitung der Registrierung oder die Bearbeitung der Registrierung als die einzige Methode für alle Windows-Computer verwenden.

Neukonfiguration des Clients mithilfe der DNS-Umleitung

Diese Methode ist nur für Windows-Clients geeignet, auf denen Microsoft 365-Apps und Office 2016 (oder höher)-Klick-und-Los-Desktop-Apps ausgeführt werden.

  1. Erstellen eines DNS-SRV-Eintrags mit dem folgenden Format:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    Geben Sie für <AD RMS-Cluster> den FQDN Ihres AD RMS-Clusters an. Zum Beispiel rmscluster.contoso.com.

    Die <Port>-Nummer wird ignoriert.

    Geben Sie für <Ihre Mandanten-URL> Ihre eigene Azure Rights Management Service-URL für Ihren Mandanten an.

    Wenn Sie die DNS-Server-Rolle auf Windows Server verwenden, können Sie die folgende Tabelle als Beispiel für das Angeben der Eigenschaften des SRV-Eintrags in der DNS-Manager-Konsole verwenden.

    Feld Wert
    Domäne _tcp.rmscluster.contoso.com
    Dienst _rmsredir
    Protokoll _http
    Priorität 0
    Weight 0
    Portnummer 80
    Host, der diesen Dienst anbietet 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

  2. Legen Sie eine Berechtigung zum Verweigern auf dem AD RMS-Veröffentlichungsendpunkt für Benutzer fest, die Microsoft 365-Apps oder Office 2016 (oder höher) ausführen:

    a. Starten Sie auf einem Ihrer AD RMS-Server im Cluster die Manager-Konsole für Internetinformationsdienste (IIS).

    b. Gehen Sie zur Standard-Website und erweitern Sie _wmcs.

    c. Klicken Sie mit der rechten Maustaste auf Lizenzierung und wählen Sie Zur Inhaltsansicht wechseln.

    d. Klicken Sie im Fensterbereich „Details“ mit der rechten Maustaste auf license.asmx>Eigenschaften>Bearbeiten.

    e. Wählen Sie im Dialogfeld Berechtigungen für license.asmx entweder Benutzer aus, wenn Sie die Umleitung für alle Benutzer festlegen möchten, oder klicken Sie auf Hinzufügen und geben Sie eine Gruppe an, die die umzuleitenden Benutzer enthält.

    Auch wenn alle Ihre Benutzer eine Office-Version verwenden, die die DNS-Umleitung unterstützt, sollten Sie zunächst eine Teilmenge von Benutzern für eine schrittweise Migration angeben.

    f. Wählen Sie für die ausgewählte Gruppe die Option "Lesen und Ausführen" und die Berechtigung "Lesen" aus, und klicken Sie dann zweimal auf "OK".

    g. Versuchen Sie, direkt aus einem Browser eine Verbindung mit der Datei licensing.asmx herzustellen, um zu prüfen, ob diese Konfiguration wie erwartet funktioniert. Sie sollten die folgende Fehlermeldung sehen, die den Client, auf dem Microsoft 365-Apps oder Office 2019 oder Office 2016 ausgeführt werden, veranlasst, nach dem SRV-Eintrag zu suchen:

    Fehlermeldung 401.3: Sie sind mit den von Ihnen angegebenen Anmeldedaten nicht berechtigt, dieses Verzeichnis oder diese Seite anzuzeigen (Zugriff aufgrund von Zugriffssteuerungslisten verweigert).

Neukonfiguration des Clients mithilfe von Änderungen an der Registrierung

Diese Methode ist für alle Windows-Clients geeignet und sollte verwendet werden, wenn sie keine Microsoft 365-Apps oder Office 2016 (oder höher) ausführen. Diese Methode verwendet zwei Migrationsskripts zum Neukonfigurieren von AD RMS-Clients:

  • Migrate-Client.cmd

  • Migrate-User.cmd

Das Client-Konfigurationsskript (Migrate-Client.cmd) konfiguriert Einstellungen auf Computerebene in der Registrierung, was bedeutet, dass es in einem Sicherheitskontext ausgeführt werden muss, der diese Änderungen vornehmen kann. Dies bedeutet in der Regel eine der folgenden Methoden:

  • Verwenden Sie Gruppenrichtlinien, um das Skript als Computerstartskript auszuführen.

  • Verwenden Sie die Gruppenrichtlinie für die Softwareinstallation, um das Skript dem Computer zuzuweisen.

  • Verwenden Sie eine Softwarebereitstellungslösung, um das Skript auf den Computern bereitzustellen. Verwenden Sie beispielsweise Pakete und Programme des System Center Configuration Managers. Geben Sie in den Eigenschaften des Pakets und Programms unter Ausführungsmodus an, dass das Skript mit Administratorberechtigungen auf dem Gerät ausgeführt werden soll.

  • Verwenden Sie ein Anmeldeskript, wenn der Benutzer über lokale Administratorrechte verfügt.

Das Benutzer-Konfigurationsskript (Migrate-User.cmd) konfiguriert Einstellungen auf Benutzerebene und bereinigt den Client-Lizenzspeicher. Dies bedeutet, dass dieses Skript im Kontext des aktuellen Benutzers ausgeführt werden muss. Beispiel:

  • Verwenden Sie ein Anmeldeskript.

  • Verwenden Sie die Gruppenrichtlinie für die Softwareinstallation, um das Skript für den entsprechenden Benutzer zu veröffentlichen.

  • Verwenden Sie eine Softwarebereitstellungslösung, um das Skript für die Benutzer bereitzustellen. Verwenden Sie beispielsweise Pakete und Programme des System Center Configuration Managers. Geben Sie in den Eigenschaften des Pakets und Programms unter Ausführungsmodus an, dass das Skript mit den Berechtigungen des Benutzers ausgeführt werden soll.

  • Bitten Sie den Benutzer, das Skript auszuführen, wenn er an seinem Computer angemeldet ist.

Die beiden Skripts enthalten eine Versionsnummer und werden erst erneut ausgeführt, wenn diese Versionsnummer geändert wird. Das bedeutet, dass Sie die Skripts bis zum Abschluss der Migration belassen können. Wenn Sie jedoch Änderungen an den Skripts vornehmen, die Computer und Benutzer auf ihren Windows-Computern erneut ausführen sollen, aktualisieren Sie die folgende Zeile in beiden Skripts auf einen höheren Wert:

SET Version=20170427

Das Benutzer-Konfigurationsskript wird nach dem Client-Konfigurationsskript ausgeführt und nimmt diese Prüfung anhand der Versionsnummer vor. Es stoppt, wenn das Client-Konfigurationsskript mit derselben Version noch nicht ausgeführt wurde. Mit dieser Prüfung wird sichergestellt, dass die beiden Skripts in der richtigen Reihenfolge ausgeführt werden.

Wenn Sie nicht alle Windows-Clients gleichzeitig migrieren können, führen Sie die folgenden Vorgehensweisen für Batches von Clients aus. Fügen Sie für jeden Benutzer mit einem Windows-Computer, den Sie in Ihrem Batch migrieren möchten, den Benutzer zu der zuvor erstellten Gruppe AIPMigrated hinzu.

Ändern der Skripts für Änderungen an der Registrierung

  1. Kehren Sie zu den Migrationsskripts Migrate-Client.cmd und Migrate-User.cmd zurück, die Sie zuvor beim Herunterladen dieser Skripts in der Vorbereitungsphase extrahiert haben.

  2. Befolgen Sie die Anweisungen in Migrate-Client.cmd, um das Skript so zu ändern, dass es die Azure Rights Management-Dienst-URL Ihres Mandanten sowie die Servernamen für die Extranet-Lizenzierungs-URL und die Intranet-Lizenzierungs-URL Ihres AD RMS-Clusters enthält. Erhöhen Sie dann die zuvor erläuterte Skriptversion. Eine gute Praxis für die Verfolgung von Skriptversionen ist die Verwendung des heutigen Datums im folgenden Format: JJJJMMTT

    Wichtig

    Achten Sie wie zuvor darauf, keine zusätzlichen Leerzeichen vor oder nach Ihren Adressen einzuführen.

    Wenn Ihre AD RMS-Server SSL/TLS-Serverzertifikate verwenden, sollten Sie außerdem überprüfen, ob die Lizenz-URL-Werte die Portnummer 443 in der Zeichenkette enthalten. Beispiel: https://rms.treyresearch.net:443/_wmcs/licensing. Sie finden diese Informationen in der Active Directory Rights Management Services-Konsole, wenn Sie auf den Clusternamen klicken und die Informationen zu den Clusterdetails anzeigen. Wenn die Portnummer 443 in der URL enthalten ist, nehmen Sie diesen Wert beim Ändern des Skripts auf. Zum Beispiel https://rms.treyresearch.net:443.

    Wenn Sie die URL Ihres Azure Rights Management-Dienstes für <YourTenantURL> abrufen müssen, lesen Sie bitte den Abschnitt So ermitteln Sie die URL Ihres Azure Rights Management-Dienstes.

  3. Konfigurieren Sie anhand der Anweisungen zu Beginn dieses Schritts die Skriptbereitstellungsmethoden zum Ausführen von Migrate-Client.cmd und Migrate-User.cmd auf den Windows-Clientcomputern, die von den Mitgliedern der Gruppe AIPMigrated verwendet werden.

Nächste Schritte

Gehen Sie zum Fortsetzen der Migration zu Phase 4 – Konfiguration unterstützender Dienste.