Bagikan melalui

Migrasi fase 3 - konfigurasi sisi klien

  • Artikel

Gunakan informasi berikut untuk Fase 3 migrasi dari AD RMS ke Perlindungan Informasi Azure. Prosedur ini mencakup langkah 7 dari Migrasi dari AD RMS ke Perlindungan Informasi Azure.

Langkah 7: Mengonfigurasi ulang komputer Windows untuk menggunakan Perlindungan Informasi Azure

Konfigurasi ulang komputer Windows Anda untuk menggunakan Perlindungan Informasi Azure menggunakan salah satu metode berikut:

  • Pengalihan DNS. Metode yang paling sederhana dan lebih disukai, jika didukung.

    Didukung untuk komputer Windows yang menggunakan aplikasi desktop office 2016 atau yang lebih baru, termasuk:

    • Aplikasi Microsoft 365
    • Office 2019
    • Klik Office 2016 untuk menjalankan aplikasi desktop

    Mengharuskan Anda membuat catatan SRV baru dan mengatur izin tolak NTFS untuk pengguna di titik akhir penerbitan AD RMS.

    Untuk informasi selengkapnya, lihat Konfigurasi ulang klien dengan menggunakan pengalihan DNS.

  • Pengeditan registri. Relevan untuk semua lingkungan yang didukung, termasuk keduanya:

    • Komputer Windows yang menggunakan Aplikasi desktop klik-untuk-menjalankan Office 2016 atau yang lebih baru, seperti yang tercantum di atas
    • Komputer Windows yang menggunakan aplikasi lain

    Buat perubahan registri yang diperlukan secara manual, atau edit dan sebarkan skrip yang dapat diunduh untuk membuat perubahan registri untuk Anda.

    Untuk informasi selengkapnya, lihat Konfigurasi ulang klien dengan menggunakan pengeditan registri.

Tip

Jika Anda memiliki campuran versi Office yang bisa dan tidak dapat menggunakan pengalihan DNS, Anda bisa menggunakan kombinasi pengalihan DNS dan mengedit registri, atau mengedit registri sebagai metode tunggal untuk semua komputer Windows.

Konfigurasi ulang klien dengan menggunakan pengalihan DNS

Metode ini hanya cocok untuk klien Windows yang menjalankan aplikasi Microsoft 365 dan aplikasi desktop klik-untuk-menjalankan Office 2016 (atau yang lebih baru).

  1. Buat catatan DNS SRV menggunakan format berikut:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    Untuk <kluster> AD RMS, tentukan FQDN kluster AD RMS Anda. Misalnya, rmscluster.contoso.com.

    Nomor <port> diabaikan.

    Untuk <URL> penyewa Anda, tentukan URL layanan Azure Rights Management Anda sendiri untuk penyewa Anda.

    Jika Anda menggunakan peran Server DNS di Windows Server, Anda bisa menggunakan tabel berikut sebagai contoh cara menentukan properti rekaman SRV di konsol DNS Manager.

    Bidang Nilai
    Domain _tcp.rmscluster.contoso.com
    Layanan _rmsredir
    Protokol _http
    Prioritas 0
    Berat badan 0
    Nomor port 80
    Host menawarkan layanan ini 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

  2. Atur izin tolak pada titik akhir penerbitan AD RMS untuk pengguna yang menjalankan aplikasi Microsoft 365 atau Office 2016 (atau yang lebih baru):

    a. Di salah satu server AD RMS Anda di kluster, mulai konsol Layanan Informasi Internet (IIS) Manager.

    b. Navigasi ke Situs Web Default dan perluas _wmcs.

    c. Klik kanan lisensi dan pilih Beralih ke Tampilan Konten.

    d. Di panel detail, klik kanan edit properti>license.asmx>

    e. Dalam kotak dialog Izin untuk license.asmx , pilih Pengguna jika Anda ingin mengatur pengalihan untuk semua pengguna, atau klik Tambahkan lalu tentukan grup yang berisi pengguna yang ingin Anda alihkan.

    Bahkan jika semua pengguna Anda menggunakan versi Office yang mendukung pengalihan DNS, Anda mungkin lebih suka menentukan subset pengguna untuk migrasi bertahap.

    f. Untuk grup yang Anda pilih, pilih Tolak untuk izin Baca & Jalankan dan Baca , lalu klik OK dua kali.

    g. Untuk mengonfirmasi konfigurasi ini berfungsi seperti yang diharapkan, coba sambungkan ke file licensing.asmx langsung dari browser. Anda akan melihat pesan kesalahan berikut, yang memicu klien yang menjalankan aplikasi Microsoft 365 atau Office 2019 atau Office 2016 untuk mencari catatan SRV:

    Pesan kesalahan 401.3: Anda tidak memiliki izin untuk melihat direktori atau halaman ini menggunakan kredensial yang Anda berikan (akses ditolak karena Daftar Kontrol Akses).

Konfigurasi ulang klien dengan menggunakan pengeditan registri

Metode ini cocok untuk semua klien Windows dan harus digunakan jika mereka tidak menjalankan aplikasi Microsoft 365, atau Office 2016 (atau yang lebih baru). Metode ini menggunakan dua skrip migrasi untuk mengonfigurasi ulang klien AD RMS:

  • Migrate-Client.cmd

  • Migrate-User.cmd

Skrip konfigurasi klien (Migrate-Client.cmd) mengonfigurasi pengaturan tingkat komputer di registri, yang berarti harus berjalan dalam konteks keamanan yang dapat membuat perubahan tersebut. Ini biasanya berarti salah satu metode berikut:

  • Gunakan kebijakan grup untuk menjalankan skrip sebagai skrip startup komputer.

  • Gunakan penginstalan perangkat lunak kebijakan grup untuk menetapkan skrip ke komputer.

  • Gunakan solusi penyebaran perangkat lunak untuk menyebarkan skrip ke komputer. Misalnya, gunakan paket dan program System Center Configuration Manager. Di properti paket dan program, di bawah Mode jalankan, tentukan bahwa skrip berjalan dengan izin administratif pada perangkat.

  • Gunakan skrip masuk jika pengguna memiliki hak istimewa administrator lokal.

Skrip konfigurasi pengguna (Migrate-User.cmd) mengonfigurasi pengaturan tingkat pengguna dan membersihkan penyimpanan lisensi klien. Ini berarti bahwa skrip ini harus berjalan dalam konteks pengguna yang sebenarnya. Misalnya:

  • Gunakan skrip masuk.

  • Gunakan penginstalan perangkat lunak kebijakan grup untuk menerbitkan skrip yang dijalankan pengguna.

  • Gunakan solusi penyebaran perangkat lunak untuk menyebarkan skrip kepada pengguna. Misalnya, gunakan paket dan program System Center Configuration Manager. Di properti paket dan program, di bawah Mode jalankan, tentukan bahwa skrip berjalan dengan izin pengguna.

  • Minta pengguna untuk menjalankan skrip ketika mereka masuk ke komputer mereka.

Kedua skrip menyertakan nomor versi dan tidak dijalankan ulang hingga nomor versi ini diubah. Ini berarti Anda dapat membiarkan skrip di tempat sampai migrasi selesai. Namun, jika Anda membuat perubahan pada skrip yang Anda inginkan agar komputer dan pengguna menjalankan ulang di komputer Windows mereka, perbarui baris berikut di kedua skrip ke nilai yang lebih tinggi:

SET Version=20170427

Skrip konfigurasi pengguna dirancang untuk dijalankan setelah skrip konfigurasi klien, dan menggunakan nomor versi dalam pemeriksaan ini. Ini berhenti jika skrip konfigurasi klien dengan versi yang sama belum berjalan. Pemeriksaan ini memastikan bahwa dua skrip berjalan dalam urutan yang tepat.

Ketika Anda tidak dapat memigrasikan semua klien Windows Sekaligus, jalankan prosedur berikut untuk batch klien. Untuk setiap pengguna yang memiliki komputer Windows yang ingin Anda migrasikan dalam batch Anda, tambahkan pengguna ke grup AIPMigrated yang Anda buat sebelumnya.

Memodifikasi skrip untuk pengeditan registri

  1. Kembali ke skrip migrasi, Migrate-Client.cmd dan Migrate-User.cmd, yang Anda ekstrak sebelumnya ketika Anda mengunduh skrip ini dalam fase persiapan.

  2. Ikuti instruksi di Migrate-Client.cmd untuk memodifikasi skrip sehingga berisi URL layanan Azure Rights Management penyewa Anda, dan juga nama server Anda untuk URL lisensi ekstranet kluster AD RMS dan URL lisensi intranet Anda. Kemudian, tingkatkan versi skrip, yang sebelumnya dijelaskan. Praktik yang baik untuk melacak versi skrip adalah menggunakan tanggal hari ini dalam format berikut: YYYYMMDD

    Penting

    Seperti sebelumnya, berhati-hatilah untuk tidak memperkenalkan ruang tambahan sebelum atau sesudah alamat Anda.

    Selain itu, jika server AD RMS Anda menggunakan sertifikat server SSL/TLS, periksa apakah nilai URL lisensi menyertakan nomor port 443 dalam string. Misalnya: https://rms.treyresearch.net:443/_wmcs/licensing. Anda dapat menemukan informasi ini di konsol Layanan Active Directory Rights Management saat mengklik nama kluster dan melihat informasi Detail Kluster. Jika Anda melihat nomor port 443 yang disertakan dalam URL, sertakan nilai ini saat Anda mengubah skrip. Misalnya, https://rms.treyresearch.net:443.

    Jika Anda perlu mengambil URL layanan Azure Rights Management untuk <YourTenantURL>, lihat kembali untuk mengidentifikasi URL layanan Azure Rights Management Anda.

  3. Dengan menggunakan instruksi di awal langkah ini, konfigurasikan metode penyebaran skrip Anda untuk menjalankan Migrate-Client.cmd dan Migrate-User.cmd pada komputer klien Windows yang digunakan oleh anggota grup AIPMigrated.

Langkah berikutnya

Untuk melanjutkan migrasi, buka fase 4 -konfigurasi layanan pendukung.