迁移第 3 阶段 – 客户端配置

  • 项目

对于“从 AD RMS 迁移到 Azure 信息保护”的第 3 阶段,使用以下信息。 这些过程涵盖从 AD RMS 迁移到 Azure 信息保护的步骤 7。

步骤 7:将 Windows 计算机重新配置为使用 Azure 信息保护

使用以下方法之一重新配置 Windows 计算机以使用 Azure 信息保护:

  • DNS 重定向。 最简单的首选方法(如果支持)。

    支持使用 Office 2016 或更高版本的即点即用桌面应用的 Windows 计算机,包括:

    • Microsoft 365 应用
    • Office 2019
    • Office 2016 即点即用桌面应用

    要求你为 AD RMS 发布终结点上的用户创建新的 SRV 记录并设置 NTFS 拒绝权限。

    有关详细信息,请参阅通过 DNS 重定向重新配置客户端

  • 注册表编辑。 与所有支持的环境相关,包括:

    • 使用 Office 2016 或更高版本的即点即用桌面应用的 Windows 计算机,如上所述
    • 使用其他应用的 Windows 计算机

    手动进行所需的注册表更改,或者编辑和部署可下载的脚本来为你进行注册表更改。

    有关详细信息,请参阅使用注册表编辑重新配置客户端

提示

如果你混合使用能使用和不能使用 DNS 重定向的 Office 版本,则可以使用 DNS 重定向和编辑注册表的组合,或者将注册表作为所有 Windows 计算机的单一方法进行编辑。

通过使用 DNS 重定向重新配置客户端

此方法仅适用于运行 Microsoft 365 应用和 Office 2016(或更高版本)即点即用桌面应用的 Windows 客户端。

  1. 使用以下格式创建 DNS SRV 记录:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    对于 <AD RMS 群集>,请指定 AD RMS 群集的 FQDN。 例如:rmscluster.contoso.com

    忽略 <端口> 号。

    对于 <租户 URL>,请指定你自己的租户的 Azure Rights Management 服务 URL

    如果在 Windows Server 上使用 DNS 服务器角色,将下表用作如何在 DNS 管理器控制台中指定 SRV 记录属性的示例。

    字段
    _tcp.rmscluster.contoso.com
    服务 _rmsredir
    协议 _http
    优先级 0
    Weight 0
    端口号 80
    提供服务的主机 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

  2. 为运行 Microsoft 365 应用或 Office 2016(或更高版本)的用户设置 AD RMS 发布终结点的拒绝权限:

    a. 在群集中的某个 AD RMS 服务器上,启动 Internet 信息服务 (IIS) 管理器控制台。

    b. 导航到“默认网站”并展开“_wmcs”。

    c. 右键单击“许可”,然后选择“切换到内容视图”。

    d. 在详细信息窗格中,右键单击“license.asmx”>“属性”>“编辑”。

    e. 在“license.asmx 的权限”对话框中,如果你想为所有用户设置重定向,请选择“用户”,或者单击“添加”,然后指定一个包含要重定向的用户的组。

    即使所有用户都使用支持 DNS 重定向的 Office 版本,最好先指定一部分用户进行分阶段迁移。

    f. 对于所选组,为“读取和执行”选择“拒绝”和“读取”权限,然后单击“确定”两次。

    g. 要确认此配置按预期工作,尝试直接从浏览器连接到 licensing.asmx 文件。 应该会看到以下错误消息,它会触发运行 Microsoft 365 应用或 Office 2019 或 Office 2016 的客户端来查找 SRV 记录:

    错误消息 401.3:无权使用提供的凭证查看此目录或页面(由于访问控制列表导致访问被拒绝)。

使用注册表编辑重新配置客户端

此方法适用于所有 Windows 客户端,如果它们未运行 Microsoft 365 应用或 Office 2016(或更高版本),则应使用此方法。 此方法使用两个迁移脚本来重新配置 AD RMS 客户端:

  • Migrate-Client.cmd

  • Migrate-User.cmd

客户端配置脚本 (Migrate-Client.cmd) 在注册表中配置计算机级设置,这意味着此脚本必须在可以进行这些更改的安全性上下文中运行。 这通常意味着以下方法之一:

  • 使用组策略将脚本作为计算机启动脚本运行。

  • 使用组策略软件安装将脚本分配给计算机。

  • 使用软件部署解决方案将脚本部署到计算机。 例如,使用 System Center Configuration Manager 包和程序。 在包和程序的属性中,在“运行模式”下,指定脚本使用设备上的管理权限运行。

  • 如果用户具有本地管理员权限,使用登录脚本。

用户配置脚本 (Migrate-User.cmd) 配置用户级设置并清理客户端许可证存储。 这意味着此脚本必须在实际用户的上下文中运行。 例如:

  • 使用登录脚本。

  • 使用组策略软件安装发布脚本供用户运行。

  • 使用软件部署解决方案将脚本部署给用户。 例如,使用 System Center Configuration Manager 包和程序。 在包和程序的属性中,在“运行模式”下,指定脚本使用用户的权限权限运行。

  • 要求用户在登录到其计算机时运行脚本。

这两个脚本包含版本号,在更改此版本号之前不会重新运行。 这意味着在迁移完成之前,可以将脚本保留在原位。 但是,如果确实对脚本进行了更改,并且希望计算机和用户在其 Windows 计算机上重新运行,将两个脚本中的以下行更新为更高的值:

SET Version=20170427

用户配置脚本设计为在客户端配置脚本之后运行,并在此检查中使用版本号。 如果同版本的客户端配置脚本未运行,则停止。 此检查确保两个脚本按正确的顺序运行。

如果无法一次性迁移所有 Windows 客户端,对批量客户端运行以下过程。 对于拥有要在批次中迁移的 Windows 计算机的每个用户,将该用户添加到之前创建的“AIPMigerated”组。

修改注册表编辑的脚本

  1. 返回到迁移脚本 Migrate-Client.cmdMigrate-User.cmd,在准备阶段下载这些脚本时,之前提取了这些脚本

  2. 按照 Migrate-Client.cmd 中的说明修改脚本,以便它包含租户的 Azure Rights Management 服务 URL,以及 AD RMS 群集外联网许可 URL 和内联网许可 URL 的服务器名称。 然后,如前所述增加脚本版本。 跟踪脚本版本的一种好做法是使用以下格式的今天日期:YYYYMMDD

    重要

    与之前一样,注意不要在地址前后引入其他空格。

    此外,如果 AD RMS 服务器使用 SSL/TLS 服务器证书,检查许可 URL 值的字符串中是否包含端口号 443。 例如:https://rms.treyresearch.net:443/_wmcs/licensing. 单击群集名称并查看“群集详细信息”信息时,可以在 Active Directory Rights Management Services 控制台中找到此信息。 如果 URL 中包含端口号 443,在修改脚本时包含此值。 例如,https://rms.treyresearch.net:443。

    如果你需要检索 <YourTenantURL> 的 Azure Rights Management 服务 URL,请参阅识别 Azure Rights Management 服务 URL

  3. 使用此步骤开头的说明,配置脚本部署方法以在 AIPMigerated 组成员使用的 Windows 客户端电脑上运行“Migrate-Client.cmd”和“Migrate-User.cmd”。

后续步骤

要继续迁移,转到第 4 阶段 – 支持服务配置