Migratiefase 3 : configuratie aan clientzijde
Gebruik de volgende informatie voor fase 3 van de migratie van AD RMS naar Azure Information Protection. Deze procedures hebben betrekking op stap 7 van migreren van AD RMS naar Azure Information Protection.
Stap 7: Windows-computers opnieuw configureren voor het gebruik van Azure Information Protection
Configureer uw Windows-computers opnieuw om Azure Information Protection te gebruiken met een van de volgende methoden:
DNS-omleiding. Eenvoudigste en voorkeursmethode, indien ondersteund.
Ondersteund voor Windows-computers die office 2016 of hoger gebruiken voor klik-en-klaar-bureaublad-apps, waaronder:
- Microsoft 365-apps
- Office 2019
- Klik in Office 2016 om bureaublad-apps uit te voeren
Vereist dat u een nieuwe SRV-record maakt en een NTFS-machtiging voor weigeren instelt voor gebruikers op het AD RMS-publicatie-eindpunt.
Zie clientherconfiguratie met behulp van DNS-omleiding voor meer informatie.
Registerbewerkingen. Relevant voor alle ondersteunde omgevingen, waaronder beide:
- Windows-computers met Office 2016 of hoger klik-en-klaar-bureaublad-apps, zoals hierboven vermeld
- Windows-computers die gebruikmaken van andere apps
Breng de vereiste registerwijzigingen handmatig aan of bewerk en implementeer downloadbare scripts om de registerwijzigingen voor u aan te brengen.
Zie Herconfiguratie van client met behulp van registerbewerkingen voor meer informatie.
Tip
Als u een combinatie van Office-versies hebt die DNS-omleiding wel en niet kunnen gebruiken, kunt u een combinatie van DNS-omleiding en het bewerken van het register gebruiken, of het register bewerken als één methode voor alle Windows-computers.
Client opnieuw configureren met behulp van DNS-omleiding
Deze methode is alleen geschikt voor Windows-clients met Microsoft 365-apps en Office 2016 (of hoger) klik-en-klaar bureaublad-apps.
Maak een DNS SRV-record met de volgende indeling:
_rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.
<Geef voor AD RMS-cluster> de FQDN-naam van uw AD RMS-cluster op. Bijvoorbeeld rmscluster.contoso.com.
Het <poortnummer> wordt genegeerd.
Geef voor uw tenant-URL> uw eigen AZURE Rights Management-service-URL op voor uw tenant.<
Als u de dns-serverfunctie op Windows Server gebruikt, kunt u de volgende tabel gebruiken als voorbeeld van het opgeven van de SRV-recordeigenschappen in de DNS Manager-console.
Veld Waarde Domein _tcp.rmscluster.contoso.com Onderhoud _rmsredir Protocol _http Prioriteit 0 Gewicht 0 Poortnummer 80 Host die deze service aanbiedt 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com Stel een machtiging voor weigeren in voor het AD RMS-publicatie-eindpunt voor gebruikers met Microsoft 365-apps of Office 2016 (of hoger):
a. Start op een van uw AD RMS-servers in het cluster de IIS-beheerconsole (Internet Information Services).
b. Navigeer naar de standaardwebsite en vouw _wmcs uit.
c. Klik met de rechtermuisknop op licenties en selecteer Overschakelen naar inhoudsweergave.
d. Klik in het detailvenster met de rechtermuisknop op license.asmx>Properties Edit>
e. Selecteer in het dialoogvenster Machtigingen voor license.asmx gebruikers als u omleiding wilt instellen voor alle gebruikers, of klik op Toevoegen en geef een groep op die de gebruikers bevat die u wilt omleiden.
Zelfs als al uw gebruikers een versie van Office gebruiken die ONDERSTEUNING biedt voor DNS-omleiding, kunt u in eerste instantie liever een subset van gebruikers opgeven voor een gefaseerde migratie.
f. Voor de geselecteerde groep selecteert u Weigeren voor lezen en uitvoeren en de machtiging Lezen en klikt u tweemaal op OK.
g. Als u wilt controleren of deze configuratie werkt zoals verwacht, probeert u rechtstreeks vanuit een browser verbinding te maken met het bestand licensing.asmx. U ziet het volgende foutbericht, waarmee de client met Microsoft 365-apps of Office 2019 of Office 2016 wordt geactiveerd om naar de SRV-record te zoeken:
Foutbericht 401.3: U bent niet gemachtigd om deze map of pagina weer te geven met de referenties die u hebt opgegeven (toegang geweigerd vanwege toegangsbeheerlijsten).
Clientconfiguratie met behulp van registerbewerkingen
Deze methode is geschikt voor alle Windows-clients en moet worden gebruikt als ze geen Microsoft 365-apps of Office 2016 (of hoger) uitvoeren. Deze methode maakt gebruik van twee migratiescripts om AD RMS-clients opnieuw te configureren:
Migrate-Client.cmd
Migrate-User.cmd
Het clientconfiguratiescript (Migrate-Client.cmd) configureert instellingen op computerniveau in het register. Dit betekent dat het moet worden uitgevoerd in een beveiligingscontext die deze wijzigingen kan aanbrengen. Dit betekent doorgaans een van de volgende methoden:
Gebruik groepsbeleid om het script uit te voeren als een opstartscript van een computer.
Gebruik de software-installatie van groepsbeleid om het script toe te wijzen aan de computer.
Gebruik een software-implementatieoplossing om het script op de computers te implementeren. Gebruik bijvoorbeeld System Center Configuration Manager-pakketten en -programma's. Geef in de eigenschappen van het pakket en programma, onder De uitvoeringsmodus, op dat het script wordt uitgevoerd met beheerdersmachtigingen op het apparaat.
Gebruik een aanmeldingsscript als de gebruiker lokale beheerdersbevoegdheden heeft.
Het gebruikersconfiguratiescript (Migrate-User.cmd) configureert instellingen op gebruikersniveau en schoont het clientlicentiearchief op. Dit betekent dat dit script moet worden uitgevoerd in de context van de werkelijke gebruiker. Voorbeeld:
Gebruik een aanmeldingsscript.
Gebruik de software-installatie van groepsbeleid om het script te publiceren dat de gebruiker kan uitvoeren.
Gebruik een software-implementatieoplossing om het script te implementeren voor de gebruikers. Gebruik bijvoorbeeld System Center Configuration Manager-pakketten en -programma's. Geef in de eigenschappen van het pakket en programma, onder De uitvoeringsmodus, op dat het script wordt uitgevoerd met de machtigingen van de gebruiker.
Vraag de gebruiker om het script uit te voeren wanneer ze zijn aangemeld bij hun computer.
De twee scripts bevatten een versienummer en worden pas opnieuw uitgevoerd als dit versienummer is gewijzigd. Dit betekent dat u de scripts kunt behouden totdat de migratie is voltooid. Als u echter wijzigingen aanbrengt in de scripts die u wilt dat computers en gebruikers opnieuw worden uitgevoerd op hun Windows-computers, werkt u de volgende regel in beide scripts bij naar een hogere waarde:
SET Version=20170427
Het gebruikersconfiguratiescript is ontworpen om te worden uitgevoerd na het clientconfiguratiescript en gebruikt het versienummer in deze controle. Het stopt als het clientconfiguratiescript met dezelfde versie niet is uitgevoerd. Deze controle zorgt ervoor dat de twee scripts in de juiste volgorde worden uitgevoerd.
Wanneer u niet alle Windows-clients tegelijk kunt migreren, voert u de volgende procedures uit voor batches van clients. Voor elke gebruiker met een Windows-computer die u in uw batch wilt migreren, voegt u de gebruiker toe aan de groep AIPMigrated die u eerder hebt gemaakt.
De scripts voor registerbewerkingen wijzigen
Ga terug naar de migratiescripts Migrate-Client.cmd en Migrate-User.cmd, die u eerder hebt geëxtraheerd toen u deze scripts in de voorbereidingsfase hebt gedownload.
Volg de instructies in Migrate-Client.cmd om het script te wijzigen, zodat het de URL van de Azure Rights Management-service van uw tenant bevat, en ook de servernamen voor de extranet-URL van uw AD RMS-cluster en de intranetlicentie-URL. Verhoog vervolgens de scriptversie, die eerder is uitgelegd. Een goede gewoonte voor het bijhouden van scriptversies is het gebruik van de huidige datum in de volgende indeling: JJJJMMDD
Belangrijk
Net als voorheen moet u ervoor zorgen dat u geen extra spaties voor of na uw adressen introduceert.
Als uw AD RMS-servers bovendien SSL/TLS-servercertificaten gebruiken, controleert u of de licentie-URL-waarden het poortnummer 443 in de tekenreeks bevatten. Bijvoorbeeld:
https://rms.treyresearch.net:443/_wmcs/licensing.
U vindt deze informatie in de Active Directory Rights Management Services-console wanneer u op de clusternaam klikt en de informatie over clusterdetails weergeeft. Als u het poortnummer 443 ziet dat is opgenomen in de URL, neemt u deze waarde op wanneer u het script wijzigt. Bijvoorbeeldhttps://rms.treyresearch.net
: :443.Als u de URL van uw Azure Rights Management-service voor <YourTenantURL> wilt ophalen, raadpleegt u De URL van uw Azure Rights Management-service identificeren.
Configureer met behulp van de instructies aan het begin van deze stap uw scriptimplementatiemethoden om Migrate-Client.cmd en Migrate-User.cmd uit te voeren op de Windows-clientcomputers die worden gebruikt door de leden van de groep AIPMigrated.
Volgende stappen
Als u de migratie wilt voortzetten, gaat u naar de configuratie van fase 4- ondersteunende services.