Fase de migración 3: Configuración del cliente

  • Artículo

Use la siguiente información para la fase 3 de la migración de AD RMS a Azure Information Protection. Estos procedimientos abarcan el paso 7 de Migración de AD RMS a Azure Information Protection.

Paso 7: Reconfiguración de equipos Windows para usar Azure Information Protection

Vuelva a configurar los equipos Windows para que usen Azure Information Protection mediante uno de los métodos siguientes:

  • Redireccionamiento de DNS. Método más sencillo y preferido, cuando se admite.

    Compatible con equipos Windows que usan aplicaciones de escritorio de hacer clic y ejecutar de Office 2016 o versiones posteriores, entre las que se incluyen:

    • Aplicaciones de Microsoft 365
    • Office 2019
    • Aplicaciones de escritorio de hacer clic y ejecutar de Office 2016

    Requiere que cree un nuevo registro SRV y establezca un permiso de denegación NTFS para los usuarios en el punto de conexión de publicación de AD RMS.

    Para más información, consulte Reconfiguración del cliente mediante el redireccionamiento DNS.

  • Ediciones del Registro Válido para todos los entornos admitidos, incluidos los dos siguientes:

    • Equipos Windows que usan aplicaciones de escritorio de hacer clic y ejecutar de Office 2016 o versiones posteriores, como se indicó anteriormente.
    • Equipos Windows que usan otras aplicaciones

    Realice los cambios del Registro necesarios manualmente o edite e implemente scripts descargables para realizar los cambios del Registro automáticamente.

    Para más información, consulte Reconfiguración del cliente mediante las ediciones del Registro.

Sugerencia

Si tiene una combinación de versiones de Office que pueden y no pueden usar el redireccionamiento DNS, puede usar una combinación de redireccionamiento DNS y editar el Registro, o editar el Registro como un único método para todos los equipos Windows.

Reconfiguración del cliente mediante el redireccionamiento DNS

Este método solo es adecuado para los clientes de Windows que ejecutan aplicaciones de Microsoft 365 y aplicaciones de escritorio de hacer clic y ejecutar de Office 2016 (o posterior).

  1. Cree un registro SRV de DNS con el formato siguiente:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    Para el <clúster de AD RMS>, especifique el FQDN del clúster de AD RMS. Por ejemplo, rmscluster.contoso.com.

    Se omite el número de <puerto>.

    Para la <dirección URL del inquilino>, especifique su propia dirección URL del servicio Azure Rights Management para el inquilino.

    Si usa el rol de servidor DNS en Windows Server, puede usar la tabla siguiente como ejemplo de procedimiento para especificar las propiedades de registro SRV en la consola del Administrador de DNS.

    Campo Valor
    Dominio _tcp.rmscluster.contoso.com
    Servicio _rmsredir
    Protocolo _http
    Prioridad 0
    Peso 0
    Número de puerto 80
    Host que ofrece este servicio 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

  2. Establezca un permiso de denegación en el punto de conexión de publicación de AD RMS para los usuarios que ejecutan aplicaciones de Microsoft 365 u Office 2016 (o posterior):

    a. En uno de los servidores de AD RMS del clúster, inicie la consola del Administrador de Internet Information Services (IIS).

    b. Vaya al Sitio web predeterminado y expanda _wmcs.

    c. Haga clic con el botón derecho en Concesión de licencias y seleccione Cambiar a vista de contenido.

    d. En el panel de detalles, haga clic con el botón derecho en license.asmx>Propiedades>Editar

    e. En el cuadro de diálogo Permisos para license.asmx, seleccione Usuarios si desea establecer el redireccionamiento para todos los usuarios, o haga clic en Agregar y, a continuación, especifique un grupo que contenga los usuarios que desea redireccionar.

    Incluso si todos los usuarios usan una versión de Office que admite el redireccionamiento DNS, es posible que prefiera especificar inicialmente un subconjunto de usuarios para una migración por fases.

    f. Para el grupo seleccionado, seleccione Denegar para leer y ejecutar y el permiso Leer y, a continuación, haga clic en Aceptar dos veces.

    g. Para confirmar que esta configuración funciona según lo previsto, intente conectarse al archivo licensing.asmx directamente desde un explorador. Debería ver el siguiente mensaje de error, que desencadena el cliente que ejecuta aplicaciones de Microsoft 365, Office 2019 u Office 2016 para buscar el registro SRV:

    Mensaje de error 401.3: No tiene permisos para ver este directorio o esta página con las credenciales proporcionadas (acceso denegado debido a listas de control de acceso).

Reconfiguración de cliente mediante ediciones del Registro

Este método es adecuado para todos los clientes de Windows y debe usarse si no ejecutan aplicaciones de Microsoft 365 u Office 2016 (o una versión posterior). Este método usa dos scripts de migración para volver a configurar los clientes de AD RMS:

  • Migrate-Client.cmd

  • Migrate-User.cmd

El script de configuración de cliente (Migrate-Client.cmd) configura los valores de nivel de equipo en el Registro, lo cual significa que debe ejecutarse en un contexto de seguridad que pueda realizar esos cambios. Normalmente, esto significa uno de los métodos siguientes:

  • Use la directiva de grupo para ejecutar el script como script de inicio del equipo.

  • Use la instalación de software de directiva de grupo para asignar el script al equipo.

  • Use una solución de implementación de software para implementar el script en los equipos. Por ejemplo, use paquetes y programas de System Center Configuration Manager. En las propiedades del paquete y el programa, en Modo de ejecución, especifique que el script se ejecuta con permisos administrativos en el dispositivo.

  • Use un script de inicio de sesión si el usuario tiene privilegios de administrador local.

El script de configuración de usuario (Migrate-User.cmd) configura los valores de nivel de usuario y limpia el almacén de licencias de cliente. Esto significa que este script debe ejecutarse en el contexto del usuario real. Por ejemplo:

  • Use un script de inicio de sesión.

  • Use la instalación de software de directiva de grupo para publicar el script para ejecución del usuario.

  • Use una solución de implementación de software para implementar el script en los usuarios. Por ejemplo, use paquetes y programas de System Center Configuration Manager. En las propiedades del paquete y el programa, en Modo de ejecución, especifique que el script se ejecuta con los permisos del usuario.

  • Pida al usuario que ejecute el script cuando inicie sesión en su equipo.

Los dos scripts incluyen un número de versión y no se vuelven a ejecutar hasta que se cambie este número de versión. Esto significa que puede dejar los scripts implementados hasta que se complete la migración. Sin embargo, si realiza cambios en los scripts que quiere que los equipos y los usuarios vuelvan a ejecutar en sus equipos Windows, actualice la siguiente línea en ambos scripts a un valor superior:

SET Version=20170427

El script de configuración de usuario está diseñado para ejecutarse después del script de configuración del cliente y usa el número de versión de esta comprobación. Se detiene si el script de configuración de cliente con la misma versión no se ha ejecutado. Esta comprobación garantiza que los dos scripts se ejecuten en la secuencia correcta.

Cuando no se pueden migrar todos los clientes de Windows a la vez, ejecute los procedimientos siguientes para lotes de clientes. Para cada usuario que tenga un equipo Windows que quiera migrar en el lote, agregue el usuario al grupo AIPMigrated que creó anteriormente.

Modificación de los scripts para las ediciones del Registro

  1. Vuelva a los scripts de migración Migrate-Client.cmd y Migrate-User.cmd, que extrajo anteriormente al descargar estos scripts en la fase de preparación.

  2. Siga las instrucciones de Migrate-Client.cmd para modificar el script para que contenga la dirección URL del servicio Azure Rights Management del inquilino y también los nombres de servidor para la dirección URL de concesión de licencias de extranet del clúster de AD RMS y la dirección URL de concesión de licencias de intranet. A continuación, aumente la versión del script, que se explicó anteriormente. Un procedimiento recomendado para realizar el seguimiento de las versiones de script es usar la fecha de hoy en el siguiente formato: AAAAMMDD

    Importante

    Como antes, tenga cuidado de no introducir espacios adicionales antes o después de las direcciones.

    Además, si los servidores de AD RMS usan certificados de servidor SSL/TLS, compruebe si los valores de dirección URL de concesión de licencias incluyen el número de puerto 443 en la cadena. Por ejemplo: https://rms.treyresearch.net:443/_wmcs/licensing. puede encontrar esta información en la consola de Active Directory Rights Management Services al hacer clic en el nombre del clúster y ver la información de Detalles del clúster. Si ve el número de puerto 443 incluido en la dirección URL, incluya este valor al modificar el script. Por ejemplo, https://rms.treyresearch.net:443.

    Si necesita recuperar la dirección URL del servicio Azure Rights Management para <YourTenantURL>, consulte de nuevo Para identificar la dirección URL del servicio Azure Rights Management.

  3. Con las instrucciones al principio de este paso, configure los métodos de implementación de scripts para ejecutar Migrate-Client.cmd y Migrate-User.cmd en los equipos cliente de Windows que usan los miembros del grupo AIPMigrated.

Pasos siguientes

Para continuar con la migración, vaya a Fase 4: Configuración de servicios compatibles.