3. migrálási fázis – ügyféloldali konfiguráció

  • Cikk

Az AD RMS-ből az Azure Information Protectionbe való migrálás 3. fázisához használja az alábbi információkat. Ezek az eljárások az AD RMS-ből az Azure Information Protectionbe való migrálástól a 7. lépésig terjednek.

7. lépés: Windows rendszerű számítógépek újrakonfigurálását az Azure Information Protection használatára

Konfigurálja újra a Windows rendszerű számítógépeket az Azure Information Protection használatára az alábbi módszerek egyikével:

  • DNS-átirányítás. A legegyszerűbb és legkedveltebb módszer, ha támogatott.

    Az Office 2016-ot vagy újabb verziót használó Windows rendszerű számítógépeken támogatott asztali alkalmazások, többek között a következők:

    • Microsoft 365-alkalmazások
    • Office 2019
    • Az Office 2016 kattintással asztali alkalmazásokat futtathat

    Új SRV rekordot kell létrehoznia, és NTFS megtagadási engedélyt kell beállítania az AD RMS közzétételi végpontján lévő felhasználók számára.

    További információ: Ügyfél-újrakonfigurálás DNS-átirányítással.

  • A beállításjegyzék szerkesztései. Az összes támogatott környezethez releváns, beleértve a következőket:

    • Az Office 2016-ot vagy újabb verziót használó Windows rendszerű számítógépek kattintásra asztali alkalmazásokat használnak a fent felsoroltak szerint
    • Más alkalmazásokat használó Windows rendszerű számítógépek

    Végezze el manuálisan a szükséges beállításjegyzék-módosításokat, vagy szerkessze és telepítse a letölthető szkripteket a beállításjegyzék módosításához.

    További információ: Ügyfél-újrakonfigurálás beállításjegyzék-módosításokkal.

Tipp.

Ha olyan Office-verziók keveréke van, amelyek képesek és nem tudják használni a DNS-átirányítást, használhatja a DNS-átirányítás kombinációját és szerkesztheti a beállításjegyzéket, vagy szerkesztheti a beállításjegyzéket egyetlen módszerként az összes Windows-számítógépen.

Ügyfél-újrakonfigurálás DNS-átirányítással

Ez a módszer csak a Microsoft 365-alkalmazásokat és az Office 2016-ot (vagy újabb verziókat) futtató windowsos ügyfelek számára használható.

  1. Hozzon létre egy DNS SRV rekordot a következő formátumban:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    Az AD RMS-fürt> esetében <adja meg az AD RMS-fürt teljes tartománynevét. Például rmscluster.contoso.com.

    A <portszám> figyelmen kívül lesz hagyva.

    A bérlő URL-címéhez adja meg a saját Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címét a bérlőhöz.<>

    Ha a DNS-kiszolgálói szerepkört Windows Serveren használja, az alábbi táblázatból megtudhatja, hogyan adhatja meg az SRV rekord tulajdonságait a DNS Manager-konzolon.

    Mező Value
    Tartomány _tcp.rmscluster.contoso.com
    Service _rmsredir
    Protokoll _http
    Priority (Prioritás) 0
    Súly 0
    Portszám 80
    A szolgáltatást kínáló gazdagép 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

  2. Megtagadási engedély beállítása az AD RMS közzétételi végpontján a Microsoft 365-alkalmazásokat vagy az Office 2016-ot (vagy újabb verziót) futtató felhasználók számára:

    a. Indítsa el az Internet Information Services (IIS) Kezelő konzolt a fürt egyik AD RMS-kiszolgálóján.

    b. Lépjen az alapértelmezett webhelyre, és bontsa ki a _wmcs.

    c. Kattintson a jobb gombbal a licencelésre, és válassza a Váltás tartalomnézetre lehetőséget.

    d. A részletek panelen kattintson a jobb gombbal a license.asmx>Properties>Edit elemre

    e. A license.asmx engedélyek párbeszédpanelen válassza a Felhasználók lehetőséget, ha az összes felhasználó átirányítását szeretné beállítani, vagy kattintson a Hozzáadás gombra, majd adjon meg egy csoportot, amely tartalmazza az átirányítani kívánt felhasználókat.

    Még ha minden felhasználója a DNS-átirányítást támogató Office-verziót használja is, érdemes lehet először megadni a felhasználók egy részhalmazát egy szakaszos migráláshoz.

    f. A kijelölt csoportban válassza az Olvasás és végrehajtás megtagadása és az Olvasási engedély lehetőséget, majd kattintson kétszer az OK gombra.

    g. Ha ellenőrizni szeretné, hogy a konfiguráció a várt módon működik-e, próbáljon meg közvetlenül egy böngészőből csatlakozni a licensing.asmx fájlhoz. A következő hibaüzenet jelenik meg, amely aktiválja a Microsoft 365-alkalmazásokat, az Office 2019-et vagy az Office 2016-ot futtató ügyfelet az SRV rekord kereséséhez:

    401.3-ás hibaüzenet: Nincs engedélye arra, hogy a megadott hitelesítő adatokkal tekintse meg ezt a könyvtárat vagy lapot (hozzáférés a hozzáférés-vezérlési listák miatt megtagadva).

Ügyfél-újrakonfigurálás beállításjegyzék-módosításokkal

Ez a módszer minden Windows-ügyfél számára megfelelő, és akkor ajánlott használni, ha nem futtatnak Microsoft 365-alkalmazásokat vagy Office 2016-ot (vagy újabb verziókat). Ez a módszer két áttelepítési szkriptet használ az AD RMS-ügyfelek újrakonfigurálásához:

  • Migrate-Client.cmd

  • Migrate-User.cmd

Az ügyfélkonfigurációs szkript (Migrate-Client.cmd) számítógépszintű beállításokat konfigurál a beállításjegyzékben, ami azt jelenti, hogy olyan biztonsági környezetben kell futnia, amely képes elvégezni ezeket a módosításokat. Ez általában az alábbi módszerek egyikét jelenti:

  • Használja a csoportházirendet a szkript számítógép-indítási szkriptként való futtatásához.

  • A csoportházirend szoftvertelepítésével rendelje hozzá a szkriptet a számítógéphez.

  • Egy szoftvertelepítési megoldással helyezze üzembe a szkriptet a számítógépeken. Használja például a System Center Configuration Manager-csomagokat és programokat. A csomag és a program tulajdonságai között a Futtatás módban adja meg, hogy a szkript rendszergazdai engedélyekkel fut-e az eszközön.

  • Használjon bejelentkezési szkriptet, ha a felhasználó helyi rendszergazdai jogosultságokkal rendelkezik.

A felhasználói konfigurációs szkript (Migrate-User.cmd) felhasználói szintű beállításokat konfigurál, és törli az ügyféllicenc-tárolót. Ez azt jelenti, hogy a szkriptnek a tényleges felhasználó kontextusában kell futnia. Például:

  • Használjon bejelentkezési szkriptet.

  • A csoportházirend szoftvertelepítésével tegye közzé a szkriptet, amelyet a felhasználó futtathat.

  • Egy szoftvertelepítési megoldással helyezze üzembe a szkriptet a felhasználók számára. Használja például a System Center Configuration Manager-csomagokat és programokat. A csomag és a program tulajdonságai között a Futtatás módban adja meg, hogy a szkript a felhasználó engedélyeivel fusson.

  • Kérje meg a felhasználót, hogy futtassa a szkriptet, amikor bejelentkezik a számítógépére.

A két szkript tartalmaz egy verziószámot, és ne futtassa újra, amíg a verziószám nem változik. Ez azt jelenti, hogy a szkripteket a migrálás befejezéséig a helyén hagyhatja. Ha azonban módosítja azokat a szkripteket, amelyeket a számítógépek és a felhasználók újrafuttatnak a Windows rendszerű számítógépükön, frissítse a következő sort mindkét szkriptben magasabb értékre:

SET Version=20170427

A felhasználói konfigurációs szkript úgy lett kialakítva, hogy az ügyfélkonfigurációs szkript után fusson, és az ellenőrzésben szereplő verziószámot használja. Leáll, ha az azonos verziójú ügyfélkonfigurációs szkript nem fut. Ez az ellenőrzés biztosítja, hogy a két szkript a megfelelő sorrendben fusson.

Ha nem tudja egyszerre migrálni az összes Windows-ügyfelet, futtassa az alábbi eljárásokat az ügyfelek kötegeihez. Minden olyan felhasználóhoz, akinek windowsos számítógépe van, amelyet át szeretne telepíteni a kötegben, adja hozzá a felhasználót a korábban létrehozott AIPMigrated csoporthoz.

A beállításjegyzék-módosítások szkriptjeinek módosítása

  1. Térjen vissza a migrálási szkriptekhez, a Migrate-Client.cmd és a Migrate-User.cmd parancsmaghoz, amelyeket korábban kinyert, amikor ezeket a szkripteket az előkészítési fázisban letöltötte.

  2. A Migrate-Client.cmd parancsmag utasításait követve módosítsa a szkriptet úgy, hogy az tartalmazza a bérlő Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címét, valamint az AD RMS-fürt extranetes licencelési URL-címét és az intranetes licencelési URL-címét. Ezután növelje a szkript verzióját, amelyet korábban már elmagyaráztak. A szkriptverziók nyomon követéséhez ajánlott a mai dátumot a következő formátumban használni: YYYYMMDD

    Fontos

    A korábbiakhoz hasonlóan ügyeljen arra, hogy ne vezessen be további szóközöket a címek előtt vagy után.

    Ezenkívül ha az AD RMS-kiszolgálók SSL/TLS-kiszolgálói tanúsítványokat használnak, ellenőrizze, hogy a licencelési URL-értékek tartalmazzák-e a 443-at a sztringben. Például: https://rms.treyresearch.net:443/_wmcs/licensing. Ezeket az információkat az Active Directory Rights Management Services konzolon találja, amikor a fürt nevére kattint, és megtekinti a Fürt adatai adatokat. Ha az URL-cím tartalmazza a 443-at, a szkript módosításakor adja meg ezt az értéket. Például: https://rms.treyresearch.net:443.

    Ha le kell kérnie a Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címét a YourTenantURL-hez, tekintse meg a Azure Tartalomvédelmi szolgáltatások szolgáltatás URL-címét.<>

  3. A lépés elején található utasításokat követve konfigurálja a szkript központi telepítési módszereit a Migrate-Client.cmd és a Migrate-User.cmd futtatására az AIPMigrated csoport tagjai által használt Windows-ügyfélszámítógépeken.

További lépések

A migrálás folytatásához nyissa meg a 4. fázist támogató szolgáltatások konfigurációját.