移轉階段 3 - 用戶端設定

下列資訊適用于從 AD RMS 移轉到 Azure 資訊保護 階段 3。 這些程式涵蓋從 AD RMS 移轉到 Azure 資訊保護的步驟 7。

步驟 7。 重新設定Windows電腦以使用 Azure 資訊保護

使用下列其中一種方法重新設定Windows電腦以使用 Azure 資訊保護:

  • DNS 重新導向。 支援時,使用最簡單且慣用的方法。

    支援Windows使用 Office 2016 或更新版本隨選即用傳統型應用程式的電腦,包括:

    • Microsoft 365應用程式
    • Office 2019
    • Office 2016 按一下以執行傳統型應用程式

    要求您建立新的 SRV 記錄,並設定 AD RMS 發佈端點上使用者的 NTFS 拒絕許可權。

    如需詳細資訊,請參閱 使用 DNS 重新導向重新設定用戶端

  • 登錄編輯。 適用于所有支援的環境,包括:

    • Windows使用 Office 2016 或更新版本的隨選即用傳統型應用程式的電腦,如上所列
    • Windows使用其他應用程式的電腦

    手動進行必要的登錄變更,或編輯及部署可下載的腳本,為您進行登錄變更。

    如需詳細資訊,請參閱 使用登錄編輯重新設定用戶端

提示

如果您混合使用可使用且無法使用 DNS 重新導向的Office版本,您可以使用 DNS 重新導向與編輯登錄的組合,或為所有Windows電腦使用單一方法編輯登錄。

使用 DNS 重新導向重新設定用戶端

此方法僅適用于執行Microsoft 365應用程式以及 Office 2016 (或更新版本) 隨選即用傳統型應用程式的Windows用戶端。

  1. 使用下列格式建立 DNS SRV 記錄:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.
    

    針對< AD RMS 叢集 >,請指定 AD RMS 叢集的 FQDN。 例如, rmscluster.contoso.com

    移 < 轉 >號碼會被忽略。

    針對< 您的租使用者 URL >,為您的租使用者指定自己的 Azure 版權管理服務 URL

    如果您在 Windows Server 上使用 DNS Server 角色,您可以使用下表做為範例,說明如何在 DNS Manager 主機上指定 SRV 記錄屬性。

    領域 價值
    _tcp.rmscluster.contoso.com
    服務 _rmsredir
    協定 _HTTP
    優先 0
    重量 0
    埠號碼 80
    提供此服務的主機 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. 針對執行 Microsoft 365 應用程式或 Office 2016 (或更新版本的使用者,在 AD RMS 發佈端點上設定拒絕許可權) :

    a. 在叢集中的其中一個 AD RMS 伺服器上,啟動 Internet Information Services (IIS) Manager 主機。

    B。 流覽至 預設網站 並展開 _wmcs

    C。 以滑鼠右鍵按一下 授權 ,然後選 取 [切換到內容檢視]

    D。 在詳細資料窗格中,以滑鼠右鍵按一下license.asmxPropertiesEdit>>

    e. 在 [ 授權.asmx 權 限] 對話方塊中,如果您要為所有使用者設定重新導向, 請選取 [使用者],或按一下 [ 新增 ],然後指定包含您要重新導向之使用者的群組。

    即使您所有的使用者都使用支援 DNS 重新導向的Office版本,您可能還是可能想要為分階段移轉指定一部分的使用者。

    F。 針對您選取的群組,選取 [讀取執行] 和 [讀 &取] 許可權的 [拒絕],然後按兩下 [確定]

    G。 若要確認此設定如預期般運作,請嘗試直接從瀏覽器連線至 licensing.asmx 檔案。 您應該會看到下列錯誤訊息,這會觸發執行 Microsoft 365 應用程式或 Office 2019 或 Office 2016 的用戶端尋找 SRV 記錄:

    錯誤訊息 401.3:您沒有許可權使用您提供的認證檢視此目錄或頁面 (存取權遭拒存取控制清單) 。

使用登錄編輯重新設定用戶端

此方法適用于所有Windows用戶端,如果不執行Microsoft 365應用程式,或Office 2016 (或更新版本) ,應該使用此方法。 此方法使用兩個移轉腳本來重新設定 AD RMS 用戶端:

  • Migrate-Client.cmd

  • 移轉-User.cmd

用戶端組態腳本 (移轉-Client.cmd) 在登錄中設定電腦層級設定,這表示它必須在資訊安全內容中執行,才能進行這些變更。 這通常表示下列其中一種方法:

  • 使用群組原則以電腦啟動腳本的形式執行腳本。

  • 使用群組原則軟體安裝將腳本指派給電腦。

  • 使用軟體部署解決方案將腳本部署到電腦。 例如,使用System Center Configuration Manager套件和程式。 在套件和程式的內容中,在 [ 執行模式] 下,指定腳本在裝置上以系統管理許可權執行。

  • 如果使用者具有本機系統管理員許可權,請使用登入腳本。

移轉-User.cmd (使用者設定腳本) 設定使用者層級設定,並清理用戶端授權存放區。 這表示此腳本必須以實際使用者的內容執行。 例如:

  • 使用登入腳本。

  • 使用群組原則軟體安裝來發佈腳本,讓使用者執行。

  • 使用軟體部署解決方案將腳本部署到使用者。 例如,使用System Center Configuration Manager套件和程式。 在套件和程式的內容中,在 [ 執行模式] 底下,指定腳本是以使用者的許可權執行。

  • 要求使用者在登入電腦時執行腳本。

這兩個腳本包含版本號碼,在此版本號碼變更之前,請勿重新執行。 這表示您可以保留腳本,直到移轉完成為止。 不過,如果您確實變更了希望電腦和使用者在其Windows電腦上重新執行的腳本,請將這兩個腳本中的下一行更新為較高的值:

SET Version=20170427

使用者設定腳本是設計成在用戶端組態腳本之後執行,並使用此檢查中的版本號碼。 如果未執行相同版本的用戶端組態腳本,就會停止此程式。 此檢查可確保兩個腳本以正確的循序執行。

當您無法一次移轉所有Windows客戶時,請針對批次的客戶執行下列程式。 針對每位擁有您要在批次中移轉之Windows電腦的使用者,請將使用者新增至您先前建立的AIPMigrated群組。

修改登錄編輯的腳本

  1. 回到您先前在準備階段下載這些腳本時所擷取的移轉腳本:移轉-Client.cmd移轉-User.cmd

  2. 請依照 移轉-Client.cmd 中的指示修改腳本,使其包含租使用者的 Azure 版權管理服務 URL,以及 AD RMS 叢集外部網路授權 URL 和內部網路授權 URL 的伺服器名稱。 然後,增加先前所述的腳本版本。 追蹤腳本版本的一個好做法是使用以下格式的今天日期:YYYYMMDD

    重要

    和之前一樣,請小心不要在位址前後引入其他空格。

    此外,如果您的 AD RMS 伺服器使用 SSL/TLS 伺服器憑證,請檢查授權 URL 值是否包含字串中的埠號碼 443 。 例如: https://rms.treyresearch.net:443/_wmcs/licensing. 當您按一下叢集名稱並檢視叢集詳細資料時,可以在Active Directory Rights Management Services主機上找到這項資訊。 如果您在 URL 中看到埠號碼 443,請在修改腳本時包含此值。 例如: https://rms.treyresearch.net443

    如果您需要擷取您TenantURL > 的 < Azure 版權管理服務 URL,請回頭參閱識別您的 Azure 版權管理服務 URL

  3. 使用本步驟開頭的指示,設定腳本部署方法,在 AIPMigrated 群組成員使用的Windows用戶端電腦上執行Migrate-Client.cmdMigrate-User.cmd

後續步驟

若要繼續移轉,請移至 階段 4 支援的服務設定