Etap migracji 3 — konfiguracja po stronie klienta

Skorzystaj z następujących informacji w fazie 3 migracji z usług AD RMS do usługi Azure Information Protection. Poniższe procedury obejmują krok 7 z migrowania z usługi AD RMS do usługi Azure Information Protection.

Krok 7. Ponowne konfigurowanie komputerów Windows korzystanie z usługi Azure Information Protection

Ponownie skonfiguruj komputery Windows, aby korzystać z usługi Azure Information Protection przy użyciu jednej z następujących metod:

  • Przekierowywanie DNS. Najprostsza i preferowana metoda, gdy jest obsługiwana.

    Obsługiwane dla komputerów Windows korzystających z Office 2016 lub nowszych aplikacji klasycznych, takich jak:

    • aplikacje Microsoft 365
    • Office 2019 r.
    • Office 2016 kliknij, aby uruchomić aplikacje klasyczne

    Wymaga utworzenia nowego rekordu SRV i ustawienia odmowy uprawnień ntfs dla użytkowników w punkcie końcowym publikowania AD RMS.

    Aby uzyskać więcej informacji, zobacz Ponowne konfigurowanie klienta przy użyciu przekierowania DNS.

  • Edycje rejestru. Istotne dla wszystkich obsługiwanych środowisk, w tym obu:

    • Windows komputery korzystające z Office 2016 lub nowszych aplikacji klasycznych, jak wymieniono powyżej
    • Windows komputery korzystające z innych aplikacji

    Ręczne wprowadzanie wymaganych zmian w rejestrze lub edytowanie i wdrażanie skryptów do pobrania w celu wprowadzenia zmian w rejestrze.

    Aby uzyskać więcej informacji, zobacz Ponowne konfigurowanie klienta przy użyciu edycji rejestru.

Wskazówka

Jeśli masz połączenie Office wersjach, które mogą i nie mogą korzystać z przekierowywania DNS, możesz użyć kombinacji przekierowywania DNS i edytowania rejestru lub edytować rejestr jako pojedynczą metodę dla wszystkich komputerów Windows.

Ponowne konfigurowanie klienta przy użyciu przekierowania DNS

Ta metoda jest odpowiednia tylko dla klientów Windows, którzy uruchamiają aplikacje Microsoft 365 i Office 2016 (lub nowsze) aplikacje klasyczne z funkcją szybka instalacja.

  1. Utwórz rekord DNS SRV w następującym formacie:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.
    

    W klastrze<> AD RMS określ nazwę FQDN klastra AD RMS. Na przykład rmscluster.contoso.com.

    Numer <portu> jest ignorowany.

    W adresie< URL> dzierżawy określ własny adres URL usługi Azure Rights Management dla dzierżawy.

    Jeśli używasz roli serwera DNS w programie Windows Server, możesz użyć poniższej tabeli jako przykładu sposobu określania właściwości rekordu SRV w konsoli Menedżera DNS.

    Pole Wartość
    Domeny _tcp.rmscluster.contoso.com
    Usługi _rmsredir
    Protokół _http
    Priorytet 0
    Waga 0
    Numer portu 80
    Host oferujący tę usługę 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. Ustaw uprawnienia odmowy dotyczące punktu końcowego publikowania usługi AD RMS dla użytkowników, którzy korzystają z aplikacji Microsoft 365 lub Office 2016 (lub nowszych):

    A. Na jednym z serwerów usług AD RMS w klastrze uruchom konsolę Menedżera Internet Information Services (IIS).

    B. Przejdź do domyślnej witryny internetowej i rozwiń _wmcs.

    C. Kliknij prawym przyciskiem myszy licencjonowanie i wybierz pozycję Przełącz do widoku zawartości.

    D. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję license.asmxPropertiesEdit>>

    E. W oknie dialogowym Uprawnienia do pliku license.asmx wybierz pozycję Użytkownicy , jeśli chcesz ustawić przekierowywanie dla wszystkich użytkowników, lub kliknij pozycję Dodaj , a następnie określ grupę zawierającą użytkowników, których chcesz przekierować.

    Nawet jeśli wszyscy użytkownicy korzystają z wersji Office, która obsługuje przekierowywanie DNS, możesz wstępnie określić podzestaw użytkowników na potrzeby migracji etapowej.

    F. W wybranej grupie wybierz pozycję Odmów dla opcji Odczyt & wykonaj i Odczyt, a następnie kliknij dwukrotnie przycisk OK.

    G. Aby potwierdzić, że ta konfiguracja działa zgodnie z oczekiwaniami, spróbuj połączyć się z plikiem licensing.asmx bezpośrednio z przeglądarki. Powinien zostać wyświetlony następujący komunikat o błędzie, który wyzwala klienta działającego Microsoft 365 aplikacje lub Office 2019 lub Office 2016 w celu wyszukania rekordu SRV:

    Komunikat o błędzie 401.3: Nie masz uprawnień do wyświetlania tego katalogu lub strony przy użyciu podanych poświadczeń (odmowa dostępu z powodu listy Access Control).

Ponowne konfigurowanie klienta przy użyciu edycji rejestru

Ta metoda jest odpowiednia dla wszystkich klientów Windows i powinna być używana, jeśli nie uruchamiają Microsoft 365 aplikacji lub Office 2016 (lub nowszych). Ta metoda używa dwóch skryptów migracji do ponownej konfiguracji klientów usług AD RMS:

  • Migrate-Client.cmd

  • Migrate-User.cmd

Skrypt konfiguracji klienta (Migrate-Client.cmd) konfiguruje ustawienia na poziomie komputera w rejestrze, co oznacza, że musi być uruchamiany w kontekście zabezpieczeń, który może wprowadzać te zmiany. Zazwyczaj oznacza to jedną z następujących metod:

  • Użyj zasad grupy, aby uruchomić skrypt jako skrypt uruchamiania komputera.

  • Użyj instalacji oprogramowania zasad grupy, aby przypisać skrypt do komputera.

  • Użyj rozwiązania do wdrażania oprogramowania, aby wdrożyć skrypt na komputerach. Na przykład użyj pakietów System Center Configuration Manager i programów. We właściwościach pakietu i programu w obszarze Tryb uruchamiania określ, że skrypt jest uruchamiany z uprawnieniami administracyjnymi na urządzeniu.

  • Jeśli użytkownik ma uprawnienia administratora lokalnego, użyj skryptu logowania.

Skrypt konfiguracji użytkownika (Migrate-User.cmd) konfiguruje ustawienia na poziomie użytkownika i oczyszcza magazyn licencji klienta. Oznacza to, że ten skrypt musi być uruchamiany w kontekście rzeczywistego użytkownika. Na przykład:

  • Użyj skryptu logowania.

  • Użyj instalacji oprogramowania zasad grupy, aby opublikować skrypt dla użytkownika do uruchomienia.

  • Użyj rozwiązania do wdrażania oprogramowania, aby wdrożyć skrypt u użytkowników. Na przykład użyj pakietów System Center Configuration Manager i programów. We właściwościach pakietu i programu w obszarze Tryb uruchamiania określ, że skrypt jest uruchamiany z uprawnieniami użytkownika.

  • Poproś użytkownika o uruchomienie skryptu po zalogowaniu się na komputerze.

Te dwa skrypty zawierają numer wersji i nie są ponownie uruchamianie, dopóki ten numer wersji nie zostanie zmieniony. Oznacza to, że skrypty można pozostawić w miejscu do czasu ukończenia migracji. Jeśli jednak wprowadzisz zmiany w skryptach, które mają być ponownie uruchamianie komputerów i użytkowników na ich komputerach Windows, zaktualizuj następujący wiersz w obu skryptach do wyższej wartości:

SET Version=20170427

Skrypt konfiguracji użytkownika jest przeznaczony do uruchamiania po skrypcie konfiguracji klienta i używa numeru wersji w tym czeku. Zatrzyma się, jeśli skrypt konfiguracji klienta z tą samą wersją nie został uruchomiony. Ta kontrola gwarantuje, że dwa skrypty działają w odpowiedniej kolejności.

Jeśli nie możesz przeprowadzić migracji wszystkich klientów Windows jednocześnie, uruchom poniższe procedury dla partii klientów. Dla każdego użytkownika mającego komputer Windows, który chcesz przeprowadzić migrację w partii, dodaj użytkownika do utworzonej wcześniej grupy AIPMigrated.

Modyfikowanie skryptów na potrzeby edycji rejestru

  1. Wróć do skryptów migracji , Migrate-Client.cmd i Migrate-User.cmd, które zostały wyodrębnione wcześniej podczas pobierania tych skryptów w fazie przygotowywania.

  2. Postępuj zgodnie z instrukcjami w temacie Migrate-Client.cmd , aby zmodyfikować skrypt tak, aby zawierał adres URL usługi Azure Rights Management dzierżawy, a także nazwy serwerów dla adresu URL licencji ekstranetu klastra AD RMS i adresu URL licencjonowania intranetowego. Następnie zwiększ wersję skryptu, która została wcześniej wyjaśniona. Dobrym rozwiązaniem do śledzenia wersji skryptów jest użycie dzisiejszej daty w następującym formacie: RRRRMMDD

    Ważne

    Tak jak wcześniej, uważaj, aby nie wprowadzać dodatkowych spacji przed lub po adresach.

    Ponadto jeśli serwery usług AD RMS używają certyfikatów serwera SSL/TLS, sprawdź, czy wartości adresu URL licencji zawierają w ciągu numer portu 443 . Przykład: https://rms.treyresearch.net:443/_wmcs/licensing. Te informacje można znaleźć w konsoli Usługi Active Directory Rights Management po kliknięciu nazwy klastra i wyświetleniu informacji o szczegółach klastra. Jeśli adres URL zawiera numer portu 443, uwzględnij tę wartość podczas modyfikowania skryptu. Na przykład https://rms.treyresearch.net:443.

    Jeśli chcesz pobrać adres URL usługi Azure Rights Management dla <adresu YourTenantURL>, zobacz Aby zidentyfikować adres URL usługi Azure Rights Management.

  3. Korzystając z instrukcji na początku tego kroku, skonfiguruj metody wdrażania skryptów, aby uruchamiać polecenia Migrate-Client.cmd i Migrate-User.cmd na komputerach klienckich Windows używanych przez członków grupy AIPMigrated.

Następne kroki

Aby kontynuować migrację, przejdź do fazy 4 — konfiguracja usług pomocniczych.