Fase de migração 3 - configuração do lado do cliente
Use as informações a seguir para a Fase 3 da migração do AD RMS para a Proteção de Informações do Azure. Estes procedimentos abrangem a etapa 7 de Migração do AD RMS para a Proteção de Informações do Azure.
Etapa 7: Reconfigurar computadores Windows para usar a Proteção de Informações do Azure
Reconfigure seus computadores Windows para usar a Proteção de Informações do Azure usando um dos seguintes métodos:
Redirecionamento de DNS. Método mais simples e preferido, quando suportado.
Compatível com computadores Windows que usam o Office 2016 ou aplicativos de área de trabalho clique para executar posterior, incluindo:
- Aplicativos do Microsoft 365
- Escritório 2019
- Clique no Office 2016 para executar aplicativos da área de trabalho
Requer que você crie um novo registro SRV e defina uma permissão de negação NTFS para usuários no ponto de extremidade de publicação do AD RMS.
Para obter mais informações, consulte Reconfiguração do cliente usando o redirecionamento de DNS.
Edições do registro. Relevante para todos os ambientes suportados, incluindo:
- Computadores Windows que usam o Office 2016 ou aplicativos de área de trabalho clique para executar, conforme listado acima
- Computadores Windows que usam outros aplicativos
Faça as alterações de registro necessárias manualmente ou edite e implante scripts para download para fazer as alterações de registro para você.
Para obter mais informações, consulte Reconfiguração do cliente usando edições do Registro.
Gorjeta
Se você tiver uma mistura de versões do Office que podem e não podem usar o redirecionamento de DNS, poderá usar uma combinação de redirecionamento de DNS e editar o Registro ou editar o Registro como um único método para todos os computadores Windows.
Reconfiguração do cliente usando o redirecionamento de DNS
Este método é adequado apenas para clientes Windows que executam aplicações Microsoft 365 e aplicações de ambiente de trabalho clique para executar do Office 2016 (ou posterior).
Crie um registro SRV DNS usando o seguinte formato:
_rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.
Para <o cluster> AD RMS, especifique o FQDN do cluster AD RMS. Por exemplo, rmscluster.contoso.com.
O <número da porta> é ignorado.
Para <sua URL de locatário, especifique sua própria URL> de serviço do Azure Rights Management para seu locatário.
Se você usar a função Servidor DNS no Windows Server, poderá usar a tabela a seguir como exemplo de como especificar as propriedades do registro SRV no console do Gerenciador DNS.
Campo valor Domínio _tcp.rmscluster.contoso.com Serviço _rmsredir Protocolo _http Prioridade 0 Peso 0 Número da porta 80 Anfitrião que oferece este serviço 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com Defina uma permissão de negação no ponto de extremidade de publicação do AD RMS para usuários que executam aplicativos do Microsoft 365 ou do Office 2016 (ou posterior):
a. Em um dos servidores AD RMS no cluster, inicie o console do Gerenciador dos Serviços de Informações da Internet (IIS).
b. Navegue até Site Padrão e expanda _wmcs.
c. Clique com o botão direito do mouse em licenciamento e selecione Alternar para a Exibição de conteúdo.
d. No painel de detalhes, clique com o botão direito do mouse em license.asmx>Properties Edit>
e. Na caixa de diálogo Permissões para license.asmx, selecione Usuários se quiser definir o redirecionamento para todos os usuários ou clique em Adicionar e especifique um grupo que contenha os usuários que deseja redirecionar.
Mesmo que todos os usuários estejam usando uma versão do Office que ofereça suporte ao redirecionamento de DNS, talvez você prefira especificar inicialmente um subconjunto de usuários para uma migração em fases.
f. Para o grupo selecionado, selecione Negar para a permissão Ler & Executar e Lere clique em OK duas vezes.
g. Para confirmar se essa configuração está funcionando conforme o esperado, tente se conectar ao arquivo licensing.asmx diretamente de um navegador. Você verá a seguinte mensagem de erro, que aciona o cliente que executa aplicativos do Microsoft 365 ou do Office 2019 ou Office 2016 para procurar o registro SRV:
Mensagem de erro 401.3: Você não tem permissões para exibir este diretório ou página usando as credenciais fornecidas (acesso negado devido a listas de controle de acesso).
Reconfiguração do cliente usando edições do registro
Esse método é adequado para todos os clientes Windows e deve ser usado se eles não executarem aplicativos do Microsoft 365 ou do Office 2016 (ou posterior). Esse método usa dois scripts de migração para reconfigurar clientes AD RMS:
Migrate-Client.cmd
Migrate-User.cmd
O script de configuração do cliente (Migrate-Client.cmd) define as configurações no nível do computador no Registro, o que significa que ele deve ser executado em um contexto de segurança que possa fazer essas alterações. Isso normalmente significa um dos seguintes métodos:
Use a diretiva de grupo para executar o script como um script de inicialização do computador.
Use a instalação do software de diretiva de grupo para atribuir o script ao computador.
Use uma solução de implantação de software para implantar o script nos computadores. Por exemplo, use pacotes e programas do System Center Configuration Manager. Nas propriedades do pacote e do programa, em Modo de execução, especifique que o script é executado com permissões administrativas no dispositivo.
Use um script de logon se o usuário tiver privilégios de administrador local.
O script de configuração do usuário (Migrate-User.cmd) define as configurações no nível do usuário e limpa o repositório de licenças do cliente. Isso significa que esse script deve ser executado no contexto do usuário real. Por exemplo:
Use um script de logon.
Use a instalação do software de diretiva de grupo para publicar o script para o usuário executar.
Use uma solução de implantação de software para implantar o script para os usuários. Por exemplo, use pacotes e programas do System Center Configuration Manager. Nas propriedades do pacote e do programa, em Modo de execução, especifique que o script é executado com as permissões do usuário.
Peça ao usuário para executar o script quando estiver conectado ao computador.
Os dois scripts incluem um número de versão e não são executados novamente até que esse número de versão seja alterado. Isso significa que você pode deixar os scripts no lugar até que a migração seja concluída. No entanto, se você fizer alterações nos scripts que deseja que os computadores e usuários executem novamente em seus computadores Windows, atualize a seguinte linha em ambos os scripts para um valor mais alto:
SET Version=20170427
O script de configuração do usuário foi projetado para ser executado após o script de configuração do cliente e usa o número da versão nessa verificação. Ele para se o script de configuração do cliente com a mesma versão não tiver sido executado. Essa verificação garante que os dois scripts sejam executados na sequência correta.
Quando não for possível migrar todos os clientes Windows de uma só vez, execute os procedimentos a seguir para lotes de clientes. Para cada usuário que tenha um computador Windows que você deseja migrar em seu lote, adicione o usuário ao grupo AIPMigrated que você criou anteriormente.
Modificando os scripts para edições do Registro
Retorne aos scripts de migração, Migrate-Client.cmd e Migrate-User.cmd, que você extraiu anteriormente quando baixou esses scripts na fase de preparação.
Siga as instruções em Migrate-Client.cmd para modificar o script para que ele contenha a URL do serviço Azure Rights Management do locatário e também os nomes dos servidores para a URL de licenciamento da extranet do cluster AD RMS e a URL de licenciamento da intranet. Em seguida, incremente a versão do script, que foi explicada anteriormente. Uma boa prática para controlar versões de script é usar a data de hoje no seguinte formato: AAAAMMDD
Importante
Como antes, tenha cuidado para não introduzir espaços adicionais antes ou depois dos seus endereços.
Além disso, se os servidores AD RMS usarem certificados de servidor SSL/TLS, verifique se os valores da URL de licenciamento incluem o número da porta 443 na cadeia de caracteres. Por exemplo:
https://rms.treyresearch.net:443/_wmcs/licensing.
você pode encontrar essas informações no console do Ative Directory Rights Management Services quando clicar no nome do cluster e exibir as informações de Detalhes do Cluster. Se vir o número da porta 443 incluído no URL, inclua este valor quando modificar o script. Por exemplo,https://rms.treyresearch.net
:443.Se você precisar recuperar a URL do serviço Azure Rights Management para <YourTenantURL,> consulte Para identificar a URL do serviço Azure Rights Management.
Usando as instruções no início desta etapa, configure seus métodos de implantação de script para executar Migrate-Client.cmd e Migrate-User.cmd nos computadores cliente Windows usados pelos membros do grupo AIPMiggrad.
Próximos passos
Para continuar a migração, vá para a fase 4 - configuração de serviços de suporte.