Udostępnij za pośrednictwem

Faza 3 migracji — konfiguracja po stronie klienta

  • Artykuł

Skorzystaj z poniższych informacji w fazie 3 migracji z usług AD RMS do usługi Azure Information Protection. Te procedury obejmują krok 7 z sekcji Migrowanie z usług AD RMS do usługi Azure Information Protection.

Krok 7. Ponowne konfigurowanie komputerów z systemem Windows w celu korzystania z usługi Azure Information Protection

Skonfiguruj ponownie komputery z systemem Windows do korzystania z usługi Azure Information Protection przy użyciu jednej z następujących metod:

  • Przekierowywanie DNS. Najprostsza i preferowana metoda, jeśli jest obsługiwana.

    Obsługiwane w przypadku komputerów z systemem Windows korzystających z aplikacji klasycznych pakietu Office 2016 lub nowszego, w tym:

    • Aplikacje platformy Microsoft 365
    • Office 2019
    • Kliknięcie pakietu Office 2016 w celu uruchomienia aplikacji klasycznych

    Wymaga utworzenia nowego rekordu SRV i ustawienia uprawnienia odmowy systemu plików NTFS dla użytkowników w punkcie końcowym publikowania usługi AD RMS.

    Aby uzyskać więcej informacji, zobacz Rekonfiguracja klienta przy użyciu przekierowania DNS.

  • Zmiany rejestru. Istotne dla wszystkich obsługiwanych środowisk, w tym obu:

    • Komputery z systemem Windows korzystające z aplikacji klasycznych pakietu Office 2016 lub nowszego, jak pokazano powyżej
    • Komputery z systemem Windows korzystające z innych aplikacji

    Wprowadź wymagane zmiany rejestru ręcznie lub edytuj i wdróż skrypty do pobrania, aby wprowadzić zmiany rejestru.

    Aby uzyskać więcej informacji, zobacz Rekonfiguracja klienta przy użyciu edycji rejestru.

Napiwek

Jeśli masz kombinację wersji pakietu Office, które mogą i nie mogą używać przekierowania DNS, możesz użyć kombinacji przekierowania DNS i edytowania rejestru lub edytować rejestr jako jedną metodę dla wszystkich komputerów z systemem Windows.

Ponowna konfiguracja klienta przy użyciu przekierowania DNS

Ta metoda jest odpowiednia tylko dla klientów systemu Windows z aplikacjami platformy Microsoft 365 i pakietem Office 2016 (lub nowszym) szybka obsługa aplikacji klasycznych.

  1. Utwórz rekord SRV DNS w następującym formacie:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    W przypadku <klastra> usług AD RMS określ nazwę FQDN klastra usług AD RMS. Na przykład rmscluster.contoso.com.

    Numer <portu> jest ignorowany.

    W polu <Adres URL> dzierżawy określ własny adres URL usługi Azure Rights Management dla dzierżawy.

    Jeśli używasz roli serwera DNS w systemie Windows Server, możesz użyć poniższej tabeli jako przykładu, jak określić właściwości rekordu SRV w konsoli Menedżera DNS.

    Pole Wartość
    Domeny _tcp.rmscluster.contoso.com
    Usługa _rmsredir
    Protokół _http
    Priorytet 0
    Waga 0
    Numer portu 80
    Host oferujący tę usługę 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

  2. Ustaw uprawnienie odmowy w punkcie końcowym publikowania usługi AD RMS dla użytkowników korzystających z aplikacji platformy Microsoft 365 lub pakietu Office 2016 (lub nowszego):

    a. Na jednym z serwerów usług AD RMS w klastrze uruchom konsolę Menedżera usług Internet Information Services (IIS).

    b. Przejdź do domyślnej witryny sieci Web i rozwiń _wmcs.

    c. Kliknij prawym przyciskiem myszy licencjonowanie i wybierz pozycję Przełącz do widoku zawartości.

    d. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję license.asmx>Properties Edit (Edytuj właściwości)>

    e. W oknie dialogowym Uprawnienia do licencji.asmx wybierz pozycję Użytkownicy, jeśli chcesz ustawić przekierowanie dla wszystkich użytkowników, lub kliknij przycisk Dodaj, a następnie określ grupę zawierającą użytkowników, którzy mają zostać przekierowani.

    Nawet jeśli wszyscy użytkownicy korzystają z wersji pakietu Office obsługującej przekierowywanie DNS, warto początkowo określić podzbiór użytkowników na potrzeby migracji etapowej.

    f. Dla wybranej grupy wybierz pozycję Odmów dla uprawnienia Odczyt i wykonaj, a następnie kliknij przycisk OK dwa razy.

    g. Aby potwierdzić, że ta konfiguracja działa zgodnie z oczekiwaniami, spróbuj nawiązać połączenie z plikiem licensing.asmx bezpośrednio z przeglądarki. Powinien zostać wyświetlony następujący komunikat o błędzie, który wyzwala klienta z uruchomionymi aplikacjami platformy Microsoft 365 lub Office 2019 lub Office 2016, aby wyszukać rekord SRV:

    Komunikat o błędzie 401.3: Nie masz uprawnień do wyświetlania tego katalogu lub strony przy użyciu podanych poświadczeń (odmowa dostępu z powodu list kontroli dostępu).

Ponowna konfiguracja klienta przy użyciu edycji rejestru

Ta metoda jest odpowiednia dla wszystkich klientów systemu Windows i powinna być używana, jeśli nie uruchamiają aplikacji platformy Microsoft 365 lub pakietu Office 2016 (lub nowszego). Ta metoda używa dwóch skryptów migracji do ponownego konfigurowania klientów usług AD RMS:

  • Migrate-Client.cmd

  • Migrate-User.cmd

Skrypt konfiguracji klienta (Migrate-Client.cmd) konfiguruje ustawienia na poziomie komputera w rejestrze, co oznacza, że musi działać w kontekście zabezpieczeń, który może wprowadzić te zmiany. Zazwyczaj oznacza to jedną z następujących metod:

  • Użyj zasad grupy, aby uruchomić skrypt jako skrypt uruchamiania komputera.

  • Użyj instalacji oprogramowania zasad grupy, aby przypisać skrypt do komputera.

  • Użyj rozwiązania do wdrażania oprogramowania, aby wdrożyć skrypt na komputerach. Na przykład użyj pakietów i programów programu System Center Configuration Manager. We właściwościach pakietu i programu w obszarze Tryb uruchamiania określ, że skrypt działa z uprawnieniami administracyjnymi na urządzeniu.

  • Użyj skryptu logowania, jeśli użytkownik ma uprawnienia administratora lokalnego.

Skrypt konfiguracji użytkownika (Migrate-User.cmd) konfiguruje ustawienia na poziomie użytkownika i czyści magazyn licencji klienta. Oznacza to, że ten skrypt musi działać w kontekście rzeczywistego użytkownika. Na przykład:

  • Użyj skryptu logowania.

  • Użyj instalacji oprogramowania zasad grupy, aby opublikować skrypt dla użytkownika do uruchomienia.

  • Użyj rozwiązania do wdrażania oprogramowania, aby wdrożyć skrypt dla użytkowników. Na przykład użyj pakietów i programów programu System Center Configuration Manager. We właściwościach pakietu i programu w obszarze Tryb uruchamiania określ, że skrypt jest uruchamiany z uprawnieniami użytkownika.

  • Poproś użytkownika o uruchomienie skryptu po zalogowaniu się na komputerze.

Dwa skrypty zawierają numer wersji i nie są uruchamiane ponownie, dopóki ten numer wersji nie zostanie zmieniony. Oznacza to, że można pozostawić skrypty na miejscu do momentu zakończenia migracji. Jeśli jednak wprowadzisz zmiany w skryptach, które mają być uruchamiane ponownie na komputerach z systemem Windows, zaktualizuj następujący wiersz w obu skryptach do większej wartości:

SET Version=20170427

Skrypt konfiguracji użytkownika jest przeznaczony do uruchamiania po skryscie konfiguracji klienta i używa numeru wersji w tym sprawdzaniu. Zatrzymuje się, jeśli skrypt konfiguracji klienta z tą samą wersją nie został uruchomiony. To sprawdzenie gwarantuje, że dwa skrypty są uruchamiane w odpowiedniej sekwencji.

Jeśli nie można migrować wszystkich klientów systemu Windows jednocześnie, uruchom następujące procedury dla partii klientów. Dla każdego użytkownika, który ma komputer z systemem Windows, który chcesz przeprowadzić migrację w partii, dodaj użytkownika do utworzonej wcześniej grupy AIPMigrated .

Modyfikowanie skryptów dla edycji rejestru

  1. Wróć do skryptów migracji, Migrate-Client.cmd i Migrate-User.cmd, które zostały wyodrębnione wcześniej podczas pobierania tych skryptów w fazie przygotowywania.

  2. Postępuj zgodnie z instrukcjami w pliku Migrate-Client.cmd , aby zmodyfikować skrypt tak, aby zawierał adres URL usługi Azure Rights Management dzierżawy, a także nazwy serwerów dla adresu URL licencjonowania ekstranetu klastra usług AD RMS i adresu URL licencjonowania intranetowego. Następnie zwiększ wersję skryptu, która została wcześniej wyjaśniona. Dobrym rozwiązaniem w przypadku śledzenia wersji skryptów jest użycie dzisiejszej daty w następującym formacie: RRRRMMDD

    Ważne

    Tak jak poprzednio, należy uważać, aby nie wprowadzać dodatkowych spacji przed lub po adresach.

    Ponadto jeśli serwery usług AD RMS używają certyfikatów serwera SSL/TLS, sprawdź, czy wartości adresu URL licencjonowania zawierają numer portu 443 w ciągu. Na przykład: https://rms.treyresearch.net:443/_wmcs/licensing. te informacje można znaleźć w konsoli Usługi Active Directory Rights Management po kliknięciu nazwy klastra i wyświetleniu informacji o szczegółach klastra. Jeśli zobaczysz numer portu 443 dołączony do adresu URL, dołącz tę wartość podczas modyfikowania skryptu. Na przykład:https://rms.treyresearch.net443.

    Jeśli musisz pobrać adres URL usługi Azure Rights Management dla <adresu URL yourTenantURL>, zapoznaj się z artykułem Aby zidentyfikować adres URL usługi Azure Rights Management.

  3. Korzystając z instrukcji na początku tego kroku, skonfiguruj metody wdrażania skryptu, aby uruchamiać polecenia Migrate-Client.cmd i Migrate-User.cmd na komputerach klienckich z systemem Windows używanych przez członków grupy AIPMigrated.

Następne kroki

Aby kontynuować migrację, przejdź do fazy 4 — konfiguracja usług pomocniczych.