Compartilhar via

Fase 3 da Migração – configuração do lado do cliente

  • Artigo

Use as informações a seguir para a fase 3 da migração do AD RMS para a Proteção de Informações do Azure. Esses procedimentos abrangem a etapa 7 de Migrando do AD RMS para a Proteção de Informações do Azure.

Etapa 7: Reconfigure computadores com Windows para usar a Proteção de Informações do Azure

Reconfigure seus computadores com Windows para usar a Proteção de Informações do Azure usando um dos seguintes métodos:

  • Redirecionamento de DNS. Método mais simples e preferido, quando suportado.

    Possui suporte em computadores com Windows que usam aplicativos para área de trabalho com Clique para Executar do Office 2016 ou posteriores, incluindo:

    • Microsoft 365 Apps
    • Office 2019
    • Aplicativos para área de trabalho com Clique para Executar do Office 2016

    Requer que você crie um novo registro SRV e defina uma permissão de negação NTFS para usuários no ponto de extremidade de publicação do AD RMS.

    Para obter mais informações, confira Reconfiguração do cliente usando o redirecionamento DNS.

  • Edições do registro. Relevante para todos os ambientes suportados, incluindo:

    • Computadores com Windows que usam aplicativos para área de trabalho com Clique para Executar do Office 2016 ou posteriores, conforme listado acima
    • Computadores com Windows que usam outros aplicativos

    Faça manualmente as alterações de registro necessárias ou edite e implante scripts para download para fazer as alterações de registro para você.

    Para obter mais informações, confira Reconfiguração do cliente usando edições de registro.

Dica

Se você tiver versões do Office que podem e não podem usar o redirecionamento DNS, você pode usar uma combinação de redirecionamento DNS e edição do Registro ou editar o Registro como um único método para todos os computadores com Windows.

Reconfiguração do cliente usando redirecionamento de DNS

Esse método é adequado apenas para clientes Windows que executam aplicativos do Microsoft 365 e aplicativos para área de trabalho com Clique para Executar do Office 2016 (ou posteriores).

  1. Crie um registro SRV DNS usando o seguinte formato:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    Para o <cluster AD RMS>, especifique o FQDN do seu cluster AD RMS. Por exemplo, rmscluster.contoso.com.

    O número da <porta> é ignorado.

    Para <sua URL de locatário>, especifique sua própria URL de serviço do Azure Rights Management para seu locatário.

    Se você usar a função de servidor do DNS no Windows Server, poderá usar a tabela a seguir como um exemplo de como especificar as propriedades do registro SRV no console de gerenciamento do DNS.

    Campo Valor
    Domínio _tcp.rmscluster.contoso.com
    Serviço _rmsredir
    Protocolo _http
    Prioridade 0
    Peso 0
    Número da porta 80
    Host que oferece esse serviço 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

  2. Defina uma permissão de negação no ponto de extremidade de publicação do AD RMS para usuários que executam aplicativos do Microsoft 365 ou do Office 2016 (ou posterior):

    a. Em um dos seus servidores AD RMS no cluster, inicie o console de gerenciamento dos Serviços de Informações da Internet (IIS).

    b. Navegue até Site padrão e expanda _wmcs.

    c. Clique com o botão direito do mouse em licenciamento e selecione Alternar para Exibição de Conteúdo.

    d. No painel de detalhes, clique com o botão direito do mouse em license.asmx>Propriedades>Editar

    e. Na caixa de diálogo Permissões para license.asmx, selecione Usuários se quiser definir o redirecionamento para todos os usuários ou clique em Adicionar e especifique um grupo que contenha os usuários que você deseja redirecionar.

    Mesmo se todos os usuários estiverem usando uma versão do Office que ofereça suporte ao redirecionamento de DNS, você pode especificar inicialmente um subconjunto de usuários para uma migração em fases.

    f. Para o grupo selecionado, selecione Negar para a permissão Ler & Executar e Lere clique em OK duas vezes.

    g. Para confirmar se essa configuração está funcionando conforme o esperado, tente se conectar ao arquivo licensing.asmx diretamente de um navegador. Você verá a seguinte mensagem de erro, que dispara o cliente que executa aplicativos do Microsoft 365 ou Office 2019 ou Office 2016 para procurar o registro SRV:

    Mensagem de erro 401.3: Você não tem permissões para ver este diretório ou página com as credenciais fornecidas (acesso negado devido a listas de controle de acesso).

Reconfiguração do cliente usando edições do registro

Esse método serve para todos os clientes Windows e deve ser usado se eles não executarem aplicativos do Microsoft 365 ou do Office 2016 (ou posterior). Esse método usa dois scripts de migração para reconfigurar clientes AD RMS:

  • Migrate-Client.cmd

  • Migrate-User.cmd

O script de configuração do cliente (Migrate-Client.cmd) define as configurações no nível do computador no registro, o que significa que ele deve ser executado em um contexto de segurança que possa fazer essas alterações. Isso normalmente implica em um dos seguintes métodos:

  • Usar a política de grupo para executar o script como um script de inicialização do computador.

  • Usar a política de grupo de instalação de software para atribuir o script ao computador.

  • Usar uma solução de implantação de software para implantar o script nos computadores. Por exemplo, use pacotes e programas do System Center Configuration Manager. Nas propriedades do pacote e do programa, em modo de execução, especifique que o script é executado com permissões administrativas no dispositivo.

  • Use um script de logon se o usuário tiver privilégios de administrador local.

O script de configuração do usuário (Migrate-User.cmd) define as configurações no nível do usuário e limpa o repositório de licenças do cliente. Isso significa que esse script deve ser executado no contexto do usuário real. Por exemplo:

  • Usar um script de logon.

  • Usar a política de grupo de instalação de software para publicar o script para o usuário executar.

  • Use uma solução de implantação de software para implantar o script para os usuários. Por exemplo, use pacotes e programas do System Center Configuration Manager. Nas propriedades do pacote e do programa, em Modo de execução, especifique que o script seja executado com as permissões do usuário.

  • Peça ao usuário para executar o script quando estiver conectado ao computador.

Os dois scripts incluem um número de versão e não são executados novamente até que esse número de versão seja alterado. Isso significa que você não precisa alterar os scripts até que a migração seja concluída. No entanto, se você fizer alterações nos scripts que deseja que os computadores e usuários executem novamente em seus computadores com Windows, atualize a seguinte linha em ambos os scripts para um valor mais alto:

SET Version=20170427

O script de configuração do usuário é projetado para ser executado após o script de configuração do cliente e usa o número da versão nessa verificação. Ele será interrompido se o script de configuração do cliente com a mesma versão não tiver sido executado. Essa verificação garante que os dois scripts sejam executados na sequência correta.

Quando não for possível migrar todos os clientes Windows de uma só vez, execute os procedimentos a seguir para lotes de clientes. Para cada usuário que tenha um computador com Windows que você deseja migrar em seu lote, adicione o usuário ao grupo AIPMigrated que você criou anteriormente.

Modificando os scripts para edições do registro

  1. Retorne aos scripts de migração, Migrate-Client.cmd e Migrate-User.cmd, que você extraiu anteriormente quando baixou esses scripts na fase de preparação.

  2. Siga as instruções em Migrate-Client.cmd para modificar o script para que ele contenha a URL do serviço Azure Rights Management do locatário e também os seus nomes dos servidores para sua URL de licenciamento da extranet de cluster do AD RMS e a URL de licenciamento da intranet. Em seguida, incremente a versão do script que foi explicada anteriormente. Uma boa prática para controlar versões de script é usar a data de hoje no seguinte formato: AAAAMMDD

    Importante

    Como antes, tenha cuidado para não introduzir espaços adicionais antes ou depois de seus endereços.

    Além disso, se os servidores AD RMS usarem certificados do servidor SSL/TLS, verifique se os valores do URL de licenciamento incluem o número da porta 443 na sequência. Por exemplo: https://rms.treyresearch.net:443/_wmcs/licensing. você pode encontrar essas informações no console do Active Directory Rights Management Services quando clicar no nome do cluster e ver as informações de detalhes do cluster. Se você vir o número da porta 443 incluído na URL, inclua esse valor ao modificar o script. Por exemplohttps://rms.treyresearch.net:443.

    Se você precisar recuperar sua URL de serviço do Azure Rights Management para <YourTenantURL,> consulte Identificar sua URL de serviço do Azure Rights Management.

  3. Usando as instruções no início desta etapa, configure seus métodos de implantação de script para executar Migrate-Client.cmd e Migrate-User.cmd nos computadores cliente Windows usados pelos membros do grupo AIPMigrated.

Próximas etapas

Para continuar a migração, vá para a fase 4 - configuração de serviços de suporte.