마이그레이션 3단계 - 클라이언트 쪽 구성

  • 아티클

AD RMS에서 Azure Information Protection으로 마이그레이션하는 3단계에 대해 다음 정보를 사용합니다. 이러한 절차는 AD RMS에서 Azure Information Protection으로 마이그레이션하는 7단계를 다룹니다.

7단계: Azure Information Protection을 사용하도록 Windows 컴퓨터 다시 구성

다음 방법 중 하나를 사용하여 Azure Information Protection을 사용하도록 Windows 컴퓨터를 다시 구성합니다.

  • DNS 리디렉션. 지원되는 경우 가장 간단하고 널리 사용되는 방법입니다.

    다음을 포함하여 Office 2016 이상 간편 실행 데스크톱 앱을 사용하는 Windows 컴퓨터에 대해 지원됩니다.

    • Microsoft 365 앱
    • Office 2019
    • Office 2016 간편 실행 데스크톱 앱

    새 SRV 레코드를 만들고 AD RMS 게시 엔드포인트 사용자에 대한 NTFS 거부 권한을 설정해야 합니다.

    자세한 내용은 DNS 리디렉션을 사용하여 클라이언트 재구성을 참조하세요.

  • 레지스트리 편집.. 다음을 포함하여 지원되는 모든 환경을 대상으로 합니다.

    • 위에 나열된 대로 Office 2016 이상 간편 실행 데스크톱 앱을 사용하는 Windows 컴퓨터
    • 다른 앱을 사용하는 Windows 컴퓨터

    필요한 레지스트리를 수동으로 변경하거나 다운로드 가능한 스크립트를 편집하고 배포하여 레지스트리를 변경합니다.

    자세한 내용은 레지스트리 편집을 사용하여 클라이언트 재구성을 참조하세요.

DNS 리디렉션을 사용할 수 있는 Office 버전과 사용할 수 없는 Office 버전이 혼합된 경우 DNS 리디렉션 및 레지스트리 편집 조합을 사용하거나 모든 Windows 컴퓨터에 대한 단일 메서드로 레지스트리를 편집할 수 있습니다.

DNS 리디렉션을 사용하여 클라이언트 재구성

이 방법은 Microsoft 365 앱 및 Office 2016 이상 간편 실행 데스크톱 앱을 실행하는 Windows 클라이언트에만 적합합니다.

  1. 다음 형식을 사용하여 DNS SRV 레코드를 만듭니다.

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    <AD RMS cluster>의 경우 AD RMS 클러스터의 FQDN을 지정합니다. 예를 들어 rmscluster.contoso.com.

    <port> 번호는 무시됩니다.

    <your tenant URL>에 대해 고유한 테넌트의 Azure Rights Management 서비스 URL을 지정합니다.

    Windows Server에서 DNS 서버 역할을 사용하는 경우 DNS 관리자 콘솔에서 SRV 레코드 속성을 지정하는 방법의 예로 다음 표를 사용할 수 있습니다.

    필드
    도메인 _tcp.rmscluster.contoso.com
    서비스 _rmsredir
    프로토콜 _http
    우선 순위 0
    Weight 0
    포트 번호 80
    이 서비스를 제공하는 호스트 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

  2. Microsoft 365 앱 또는 Office 2016 이상을 실행하는 사용자에 대한 AD RMS 게시 엔드포인트에 대해 거부 권한을 설정합니다.

    a. 클러스터의 AD RMS 서버 중 하나에서 IIS(인터넷 정보 서비스) 관리자 콘솔을 시작합니다.

    b. 기본 웹 사이트로 이동하고 _wmcs를 확장합니다.

    c. 라이선스를 마우스 오른쪽 단추로 클릭하고 콘텐츠 보기로 전환을 선택합니다.

    d. 세부 정보 창에서 license.asmx>속성>편집을 마우스 오른쪽 단추로 클릭합니다.

    e. license.asmx에 대한 사용 권한 대화 상자에서 모든 사용자에 대한 리디렉션을 설정하려는 경우 사용자를 선택하거나 추가를 클릭한 다음 리디렉션할 사용자가 포함된 그룹을 지정합니다.

    모든 사용자가 DNS 리디렉션을 지원하는 Office 버전을 사용하는 경우에도 처음에는 단계별 마이그레이션을 위해 사용자의 하위 집합을 지정하는 것이 좋습니다.

    f. 선택한 그룹의 경우 읽기 및 실행 및 읽기 권한에 대한 거부선택한 다음 확인을 두 번 클릭합니다.

    g. 이 구성이 예상대로 작동하는지 확인하려면 브라우저에서 직접 licensing.asmx 파일에 연결합니다. Microsoft 365 앱이나 Office 2019 또는 Office 2016을 실행하는 클라이언트를 트리거하여 SRV 레코드를 찾는 다음 오류 메시지가 표시됩니다.

    오류 메시지 401.3: 제공한 자격 증명을 사용하여 이 디렉터리 또는 페이지를 볼 수 있는 권한이 없습니다(액세스 제어 목록으로 인해 액세스가 거부됨).

레지스트리 편집을 사용하여 클라이언트 재구성

이 방법은 모든 Windows 클라이언트에 적합하며, Microsoft 365 앱 또는 Office 2016 이상을 실행하지 않는 경우 사용해야 합니다. 이 메서드는 두 개의 마이그레이션 스크립트를 사용하여 AD RMS 클라이언트를 다시 구성합니다.

  • Migrate-Client.cmd

  • Migrate-User.cmd

클라이언트 구성 스크립트(Migrate-Client.cmd)는 레지스트리에서 컴퓨터 수준 설정을 구성합니다. 즉, 이러한 설정을 변경할 수 있는 보안 컨텍스트에서 실행해야 합니다. 이는 일반적으로 다음 방법 중 하나를 의미합니다.

  • 그룹 정책을 사용하여 스크립트를 컴퓨터 시작 스크립트로 실행합니다.

  • 그룹 정책 소프트웨어 설치를 사용하여 컴퓨터에 스크립트를 할당합니다.

  • 소프트웨어 배포 솔루션을 사용하여 컴퓨터에 스크립트를 배포합니다. 예를 들어 System Center Configuration Manager 패키지 및 프로그램을 사용합니다. 패키지 및 프로그램의 속성에서 실행 모드에서 스크립트가 디바이스에 대한 관리 권한으로 실행되도록 지정합니다.

  • 사용자에게 로컬 관리자 권한이 있는 경우 로그온 스크립트를 사용합니다.

사용자 구성 스크립트(Migrate-User.cmd)는 사용자 수준 설정을 구성하고 클라이언트 라이선스 저장소를 클린. 즉, 이 스크립트는 실제 사용자의 컨텍스트에서 실행되어야 합니다. 예시:

  • 로그온 스크립트를 사용합니다.

  • 그룹 정책 소프트웨어 설치를 사용하여 사용자가 실행할 스크립트를 게시합니다.

  • 소프트웨어 배포 솔루션을 사용하여 사용자에게 스크립트를 배포합니다. 예를 들어 System Center Configuration Manager 패키지 및 프로그램을 사용합니다. 패키지 및 프로그램의 속성에서 실행 모드에서 스크립트가 사용자의 권한으로 실행되도록 지정합니다.

  • 사용자에게 컴퓨터에 로그인할 때 스크립트를 실행하도록 요청합니다.

두 스크립트에는 버전 번호가 포함되며 이 버전 번호가 변경될 때까지 다시 실행되지 않습니다. 즉, 마이그레이션이 완료될 때까지 스크립트를 그대로 둘 수 있습니다. 그러나 컴퓨터와 사용자가 Windows 컴퓨터에서 다시 실행하려는 스크립트를 변경하는 경우 두 스크립트에서 다음 줄을 더 높은 값으로 업데이트합니다.

SET Version=20170427

사용자 구성 스크립트는 클라이언트 구성 스크립트 후에 실행되도록 설계되었으며 이 검사 버전 번호를 사용합니다. 동일한 버전의 클라이언트 구성 스크립트가 실행되지 않으면 중지됩니다. 이 검사 두 스크립트가 올바른 순서로 실행되도록 합니다.

모든 Windows 클라이언트를 한 번에 마이그레이션할 수 없는 경우 클라이언트 일괄 처리에 대해 다음 절차를 실행합니다. 일괄 처리에서 마이그레이션하려는 Windows 컴퓨터가 있는 각 사용자에 대해 이전에 만든 AIPMigrated 그룹에 사용자를 추가합니다.

레지스트리 편집을 위한 스크립트 수정

  1. 마이그레이션 스크립트인 Migrate-Client.cmdMigrate-User.cmd로 돌아갑니다. 이 스크립트는 준비 단계에서 이러한 스크립트를 다운로드했을 때 이전에 추출한 것입니다.

  2. Migrate-Client.cmd의 지침에 따라 테넌트의 Azure Rights Management 서비스 URL과 AD RMS 클러스터 엑스트라넷 라이선스 URL 및 인트라넷 라이선스 URL에 대한 서버 이름을 포함하도록 스크립트를 수정합니다. 그런 다음 이전에 설명한 스크립트 버전을 증분합니다. 스크립트 버전을 추적하는 좋은 방법은 오늘 날짜를 YYYYMMDD 형식으로 사용하는 것입니다.

    Important

    이전과 마찬가지로 주소 앞이나 뒤에 추가 공백을 도입하지 않도록 주의하세요.

    또한 AD RMS 서버에서 SSL/TLS 서버 인증서를 사용하는 경우 라이선스 URL 값에 문자열에 포트 번호 443이 포함되는지 여부를 검사. 예를 들어 https://rms.treyresearch.net:443/_wmcs/licensing. 클러스터 이름을 클릭하고 클러스터 세부 정보 정보를 볼 때 Active Directory Rights Management Services 콘솔에서 이 정보를 찾을 수 있습니다. URL에 포함된 포트 번호 443이 표시되는 경우 스크립트를 수정할 때 이 값을 포함합니다. 예: https://rms.treyresearch.net:443.

    <YourTenantURL>에 대한 Azure Rights Management 서비스 URL을 검색해야 하는 경우 Azure Rights Management 서비스 URL을 식별하려면을 다시 참조하세요.

  3. 이 단계의 시작 부분에 있는 지침을 사용하여 AIPMigrated 그룹의 멤버가 사용하는 Windows 클라이언트 컴퓨터에서 Migrate-Client.cmdMigrate-User.cmd를 실행하도록 스크립트 배포 방법을 구성합니다.

다음 단계

마이그레이션을 계속하려면 4단계 지원 서비스 구성으로 이동합니다.