移轉階段 3 - 客戶端設定

  • 發行項

針對從 AD RMS 移轉至 Azure 資訊保護 的第 3 階段,請使用下列資訊。 這些程式涵蓋從 AD RMS 移轉至 Azure 資訊保護 的步驟 7。

步驟 7:重新設定 Windows 計算機以使用 Azure 資訊保護

使用下列其中一種方法,重新設定 Windows 計算機以使用 Azure 資訊保護:

  • DNS 重新導向。 支援時,最簡單的慣用方法。

    支援使用 Office 2016 或更新版本的隨選即用傳統型應用程式,包括:

    • Microsoft 365 Apps
    • Office 2019
    • Office 2016 按下以執行傳統型應用程式

    您必須建立新的 SRV 記錄,併為 AD RMS 發佈端點上的使用者設定 NTFS 拒絕許可權。

    如需詳細資訊,請參閱 使用 DNS 重新導向來重新設定用戶端。

  • 登錄編輯。 與所有支持的環境相關,包括:

    • 使用 Office 2016 或更新版本的隨選即用傳統型應用程式的 Windows 電腦,如上所列
    • 使用其他應用程式的 Windows 電腦

    手動進行必要的登錄變更,或編輯和部署可下載的腳本,以為您進行登錄變更。

    如需詳細資訊,請參閱 使用登錄編輯進行用戶端重新設定。

提示

如果您有混合的 Office 版本,而且不能使用 DNS 重新導向,您可以使用 DNS 重新導向和編輯登錄的組合,或將所有 Windows 計算機編輯為單一方法。

使用 DNS 重新導向重新設定用戶端

這個方法僅適用於執行 Microsoft 365 應用程式和 Office 2016(或更新版本)隨選即用桌面應用程式的 Windows 用戶端。

  1. 使用下列格式建立 DNS SRV 記錄:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    針對 <AD RMS 叢集,指定 AD RMS 叢集>的 FQDN。 例如, rmscluster.contoso.com

    <會忽略埠>號碼。

    針對<您的租使用者 URL>,為您的租使用者指定您自己的 Azure Rights Management 服務 URL。

    如果您在 Windows Server 上使用 DNS 伺服器角色,您可以使用下表作為如何在 DNS 管理員控制台中指定 SRV 記錄屬性的範例。

    欄位
    網域 _tcp.rmscluster.contoso.com
    服務 _rmsredir
    通訊協定 _http
    優先順序 0
    Weight 0
    連接埠號碼 80
    提供這項服務的主機 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

  2. 為執行 Microsoft 365 應用程式或 Office 2016 的使用者設定 AD RMS 發佈端點的拒絕許可權(或更新版本):

    a. 在叢集中的其中一部 AD RMS 伺服器上,啟動 網際網路資訊服務 (IIS) 管理員控制台。

    b. 流覽至 [默認網站 ],然後展開 [_wmcs]。

    c. 以滑鼠右鍵按兩下 授權 ,然後選取 [切換至內容檢視]。

    d. 在詳細數據窗格中,以滑鼠右鍵按下 license.asmx>屬性>編輯

    e. 在 [license.asmx 的許可權] 對話框中,如果您想要為所有使用者設定重新導向,請選取 [使用者 ],或按兩下 [新增 ],然後指定包含您要重新導向之使用者的群組。

    即使您的所有使用者都使用支援 DNS 重新導向的 Office 版本,您還是可能偏好一開始指定使用者子集以進行分階段移轉。

    f. 針對選取的群組,針對 [讀取和執行] 和 [讀取] 許可權選取 [拒絕],然後按兩次[確定] 兩次。

    .g 若要確認此組態如預期般運作,請嘗試直接從瀏覽器連線到 licensing.asmx 檔案。 您應該會看到下列錯誤訊息,這會觸發執行 Microsoft 365 應用程式或 Office 2019 或 Office 2016 的用戶端來尋找 SRV 記錄:

    錯誤訊息 401.3:您沒有許可權使用您提供的認證來檢視此目錄或頁面(因為 存取控制 列表而拒絕存取)。

使用登錄編輯重新設定用戶端

此方法適用於所有 Windows 用戶端,如果它們未執行 Microsoft 365 應用程式或 Office 2016(或更新版本),則應該使用此方法。 此方法會使用兩個移轉腳本來重新設定AD RMS用戶端:

  • Migrate-Client.cmd

  • Migrate-User.cmd

客戶端設定文稿 (Migrate-Client.cmd) 會在登錄中設定計算機層級設定,這表示它必須在可進行這些變更的安全性內容中執行。 這通常表示下列其中一種方法:

  • 使用組策略以計算機啟動文本的形式執行腳本。

  • 使用組策略軟體安裝將文本指派給計算機。

  • 使用軟體部署解決方案將腳本部署至計算機。 例如,使用 System Center Configuration Manager 套件和程式。 在套件和程序的屬性中,於 [執行模式] 下,指定腳本在裝置上以系統管理許可權執行。

  • 如果使用者具有本機系統管理員許可權,請使用登入腳本。

用戶設定腳本 (Migrate-User.cmd) 會設定用戶層級設定,並清除客戶端授權存放區。 這表示此腳本必須在實際使用者的內容中執行。 例如:

  • 使用登入腳本。

  • 使用組策略軟體安裝來發佈腳本,讓用戶執行。

  • 使用軟體部署解決方案將腳本部署給使用者。 例如,使用 System Center Configuration Manager 套件和程式。 在封裝和程序的屬性中,於 [執行模式] 下,指定腳本以使用者的許可權執行。

  • 要求使用者在登入計算機時執行腳本。

這兩個腳本包含版本號碼,在變更此版本號碼之前,請勿重新執行。 這表示您可以保留腳本,直到移轉完成為止。 不過,如果您對您希望計算機和使用者在其 Windows 電腦上重新執行的腳本進行變更,請將這兩個腳本中的下一行更新為較高的值:

SET Version=20170427

用戶設定文本的設計目的是在用戶端設定文本之後執行,並使用此檢查中的版本號碼。 如果具有相同版本的客戶端設定文本尚未執行,則會停止。 這項檢查可確保這兩個腳本會以正確的順序執行。

當您無法一次移轉所有 Windows 用戶端時,請針對批次的用戶端執行下列程式。 針對在批次中移轉的 Windows 計算機,請將使用者新增至您稍早建立的 AIPMigrated 群組。

修改登錄編輯的腳本

  1. 返回移轉腳本 Migrate-Client.cmdMigrate-User.cmd,您在準備階段下載這些腳本時先前擷取的腳本

  2. 請遵循 Migrate-Client.cmd 中的指示來修改腳本,使其包含租使用者的 Azure Rights Management 服務 URL,以及 AD RMS 叢集外部網路授權 URL 和內部網路授權 URL 的伺服器名稱。 然後,遞增先前說明的腳本版本。 追蹤腳本版本的最佳做法是使用今天的日期,格式如下:YYYYMMDD

    重要

    和之前一樣,請小心不要在位址之前或之後引入額外的空格。

    此外,如果您的 AD RMS 伺服器使用 SSL/TLS 伺服器憑證,請檢查授權 URL 值是否在字串中包含埠號碼 443 。 例如: https://rms.treyresearch.net:443/_wmcs/licensing. 當您按兩下叢集名稱並檢視 叢集詳細 數據資訊時,您可以在 Active Directory Rights Management Services 控制台中找到此資訊。 如果您看到 URL 中包含的埠號碼 443,請在修改文稿時包含此值。 例如:https://rms.treyresearch.net443

    如果您需要擷取 YourTenantURL> 的 <Azure Rights Management 服務 URL,請參閱識別您的 Azure Rights Management 服務 URL

  3. 使用此步驟開頭的指示,設定腳本部署方法,在AIPMigrated 群組成員所使用的 Windows 用戶端電腦上執行 Migrate-Client.cmdMigrate-User.cmd

下一步

若要繼續移轉,請移至 階段 4 -supporting services 組態