迁移第 3 阶段 - 客户端配置

使用以下信息,完成从 AD RMS 迁移到 Azure 信息保护的阶段 3。 这些过程涉及了从 AD RMS 迁移到 Azure 信息保护中的步骤 7。

步骤 7. 重新配置 Windows 计算机以使用 Azure 信息保护

使用以下方法之一重新配置 Windows 计算机以使用 Azure 信息保护:

  • DNS 重定向。 最简单的首选方法(如果支持)。

    支持使用 Office 2016 或更高版本的即点即用桌面应用的 Windows 计算机,包括:

    • Microsoft 365 应用
    • Office 2019
    • Office 2016 即点即用桌面应用

    要求你为 AD RMS 发布终结点上的用户创建新的 SRV 记录并设置 NTFS 拒绝权限。

    有关详细信息,请参阅通过 DNS 重定向重新配置客户端

  • 注册表编辑。 与所有支持的环境相关,包括:

    • 使用 Office 2016 或更高版本的即点即用桌面应用的 Windows 计算机,如上所述
    • 使用其他应用的 Windows 计算机

    手动进行所需的注册表更改,或者编辑和部署可下载的脚本来为你进行注册表更改。

    有关详细信息,请参阅使用注册表编辑重新配置客户端

提示

如果你混合使用能使用和不能使用 DNS 重定向的 Office 版本,则可以使用 DNS 重定向和编辑注册表的组合,或者将注册表作为所有 Windows 计算机的单一方法进行编辑。

通过 DNS 重定向重新配置客户端

此方法仅适用于运行 Microsoft 365 应用和 Office 2016(或更高版本)即点即用桌面应用的 Windows 客户端。

  1. 创建使用以下格式的 DNS SRV 记录:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.
    

    对于 <AD RMS 群集>,请指定 AD RMS 群集的 FQDN。 例如 rmscluster.contoso.com

    忽略 <端口> 号。

    对于 <租户 URL>,请指定你自己的租户的 Azure Rights Management 服务 URL

    如果在 Windows Server 上使用 DNS 服务器角色,可使用下表作为示例,在 DNS 管理器控制台中指定 SRV 记录属性。

    字段
    Domain _tcp.rmscluster.contoso.com
    服务 _rmsredir
    协议 _http
    Priority 0
    Weight 0
    端口号 80
    提供此服务的主机 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. 为运行 Microsoft 365 应用或 Office 2016(或更高版本)的用户设置 AD RMS 发布终结点的拒绝权限:

    a. 在群集中的某个 AD RMS 服务器上,启动 Internet Information Services (IIS) 管理器控制台。

    b. 导航到“默认网站”并展开“_wmcs”。

    c. 右键单击“许可”,然后选择“切换到内容视图”。

    d. 在详细信息窗格中,右键单击“license.asmx”>“属性”>“编辑”。

    e. 在“license.asmx 的权限”对话框中,如果你想为所有用户设置重定向,请选择“用户”,或者单击“添加”,然后指定一个包含要重定向的用户的组。

    即使所有用户都使用支持 DNS 重定向的 Office 版本,最好还是先指定部分用户来进行分阶段迁移。

    f. 对于你选择的组,为“读取和执行”和“读取”权限选择“拒绝”,然后单击“确定”两次。

    g. 若要确认此配置按预期工作,请尝试从浏览器直接连接到 licensing.asmx 文件。 应该会看到以下错误消息,它会触发运行 Microsoft 365 应用或 Office 2019 或 Office 2016 的客户端来查找 SRV 记录:

    错误消息 401.3: 无权使用所提供的凭据查看此目录或页面(由于访问控制列表,访问被拒绝)。

使用注册表编辑重新配置客户端

此方法适用于所有 Windows 客户端,如果它们未运行 Microsoft 365 应用或 Office 2016(或更高版本),则应使用此方法。 此方法使用两个迁移脚本重新配置 AD RMS 客户端:

  • Migrate-Client.cmd

  • Migrate-User.cmd

客户端配置脚本 (Migrate-Client.cmd) 在注册表中配置计算机级别设置,这意味着它必须在可进行这些更改的安全上下文中运行。 这通常指以下方法之一:

  • 使用组策略,将该脚本作为计算机启动脚本运行。

  • 使用组策略软件安装,将脚本分配给计算机。

  • 使用软件部署解决方案,将脚本部署给计算机。 例如,使用 System Center Configuration Manager 包和程序。 在包和程序的属性中,在“运行模式”下,指定在设备上使用管理权限运行该脚本。

  • 如果用户具有本地管理员特权,请使用登录脚本。

用户配置脚本 (Migrate-User.cmd) 配置用户级别设置,并清除客户端许可证存储。 这意味着此脚本必须在实际用户上下文中运行。 例如:

  • 使用登录脚本。

  • 使用组策略软件安装来发布脚本供用户运行。

  • 使用软件部署解决方案,将脚本部署给用户。 例如,使用 System Center Configuration Manager 包和程序。 在包和程序的属性中,在“运行模式”下,指定使用该用户的权限运行该脚本。

  • 用户登录到他们的计算机时要求其运行该脚本。

这两个脚本包含一个版本号并且不会重新运行,除非更改该版本号。 也就是说,可以一直在原位保留这两个脚本,直到迁移完成。 但如果确实对想要计算机和用户在 Windows 计算机上重新运行的脚本进行了更改,可将这两个脚本中的以下行更新为较高的值:

SET Version=20170427

用户配置脚本专门设计在客户端配置脚本之后运行,并在此检查中使用版本号。 如果版本相同的客户端配置脚本未运行,它将停止。 此检查可确保这两个脚本以正确的顺序运行。

如果无法同时迁移所有 Windows 客户端,请分批对客户端运行以下过程。 对于批次中具有要迁移的 Windows 计算机的每个用户,将用户添加到之前创建的 AIPMigrated 组。

修改脚本以实现注册表编辑

  1. 返回到迁移脚本 Migrate-Client.cmd 和 Migrate-User.cmd 中,这是之前在准备阶段下载这些脚本时提取的。

  2. 按照 Migrate-Client.cmd 中的说明修改脚本,以便它包含租户的 Azure Rights Management 服务 URL,以及 AD RMS 群集外联网许可 URL 和内联网许可 URL 的服务器名称。 然后,使上述脚本版本递增。 跟踪脚本版本的一种好做法是使用以下格式的今天日期:YYYYMMDD

    重要

    仍然注意,不要在地址前后引入多余空格。

    此外,如果 AD RMS 服务器使用 SSL/TLS 服务器证书,请检查字符串中许可 URL 值是否包括端口号 443。 例如:单击群集名称并查看群集详细信息信息时,https://rms.treyresearch.net:443/_wmcs/licensing.可以在 Active Directory Rights Management Services 控制台中找到此信息。 如果端口号 443 包含在此 URL 中,修改脚本时请将该值包括在内。 例如,https://rms.treyresearch.net:443。

    如果你需要检索 <YourTenantURL> 的 Azure Rights Management 服务 URL,请参阅识别 Azure Rights Management 服务 URL

  3. 使用此步骤开始处的说明,配置脚本部署方法,在由 AIPMigrated 组成员使用的 Windows 客户端计算机上运行 Migrate-Client.cmd 和 Migrate-User.cmd

后续步骤

若要继续迁移,请转到第 4 阶段 - 支持服务配置