Fáze 3 migrace – konfigurace na straně klientaMigration phase 3 - client-side configuration

Platí pro: Active Directory Rights Management Services, Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Pro fázi 3 migrace ze služby AD RMS na službu Azure Information Protection použijte následující informace.Use the following information for Phase 3 of migrating from AD RMS to Azure Information Protection. Tyto postupy zahrnují krok 7 z tématu Migrace AD RMS na Azure Information Protection.These procedures cover step 7 from Migrating from AD RMS to Azure Information Protection.

Krok 7:Step 7. Změňte konfiguraci počítače se systémem Windows použít Azure Information ProtectionReconfigure Windows computers to use Azure Information Protection

Pro počítače se systémem Windows, které používají desktopové aplikace Office 2016 klikněte na tlačítko spustit:For Windows computers that use Office 2016 click-to-run desktop apps:

  • Tito klienti používat Azure Information Protection pomocí přesměrování DNS můžete změnit konfiguraci.You can reconfigure these clients to use Azure Information Protection by using DNS redirection. Toto je upřednostňovanou metodou pro migrace klientů, protože je nejjednodušší.This is the preferred method for client migration because it is the simplest. Tato metoda je ale omezený na aplikací systému Office 2016 (nebo novější) klikněte na tlačítko spustit na počítačích s Windows.However, this method is restricted to Office 2016 (or later) click-to-run desktop apps for Windows computers.

    Tato metoda vyžaduje, abyste vytvořili nový SRV zaznamenávat a sadu NTFS zakázali oprávnění pro uživatele na publikování koncový bod služby AD RMS.This method requires you to create a new SRV record, and set an NTFS deny permission for users on the AD RMS publishing endpoint.

  • Pro počítače se systémem Windows, která nepoužívají Office 2016 klikněte na tlačítko spustit:For Windows computers that don't use Office 2016 click-to-run:

    Nelze použít přesměrování DNS a místo toho musíte použít úpravy registru.You cannot use DNS redirection and instead, must use registry edits. Pokud máte směs Office 2016 a ostatních verzí sady Office, můžete tuto jedinou metodu pro všechny počítače se systémem Windows, nebo jejich kombinaci přesměrování DNS a úpravě registru.If you have a mix of Office 2016 and other versions of Office, you can use this single method for all Windows computers, or a combination of DNS redirection and editing the registry.

    Změny registru je snazší pro vás úpravy a nasazením skripty, které si můžete stáhnout.The registry changes are made easier for you by editing and deploying scripts that you can download.

Najdete v následujících částech Další informace o tom, jak změnit konfiguraci klientů systému Windows.See the following sections for more information about how to reconfigure Windows clients.

Změna konfigurace klientů pomocí přesměrování DNSClient reconfiguration by using DNS redirection

Tato metoda je vhodné pouze pro klienty systému Windows, se systémem desktopovým aplikacím Office 2016 (nebo novější) klikněte na tlačítko spustit.This method is suitable only for Windows clients that run Office 2016 (or later) click-to-run desktop apps.

  1. Vytvořte záznam SRV služby DNS v následujícím formátu:Create a DNS SRV record using the following format:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    Pro <cluster služby AD RMS >, zadejte plně kvalifikovaný název domény clusteru služby AD RMS.For <AD RMS cluster>, specify the FQDN of your AD RMS cluster. Například rmscluster.contoso.com.For example, rmscluster.contoso.com.

    Případně pokud máte pouze jeden cluster služby AD RMS v této doméně, můžete zadat jenom název domény clusteru služby AD RMS.Alternatively, if you have just one AD RMS cluster in that domain, you can specify just the domain name of the AD RMS cluster. V našem příkladu, který by byl contoso.com. Když zadáte název domény v tomto záznamu, přesměrování se vztahuje na všech clusterech AD RMS v této doméně.In our example, that would be contoso.com. When you specify the domain name in this record, the redirection applies to any and all AD RMS clusters in that domain.

    <Port > číslo je ignorována.The <port> number is ignored.

    Pro <URL vašeho klienta>, zadejte vlastní adresa URL služby Azure Rights Management pro tenanta.For <your tenant URL>, specify your own Azure Rights Management service URL for your tenant.

    Pokud použijete roli serveru DNS v systému Windows Server, můžete použít následující tabulky jako příklad určení vlastnosti záznamu SRV v konzole Správce DNS.If you use the DNS Server role on Windows Server, you can use the following table as an example how to specify the SRV record properties in the DNS Manager console.

    PoleField HodnotaValue
    DoménaDomain _tcp.rmscluster.contoso.com_tcp.rmscluster.contoso.com
    SlužbaService _rmsredir_rmsredir
    ProtokolProtocol _HTTP_http
    PrioritaPriority 00
    VáhaWeight 00
    Číslo portuPort number 8080
    Hostitel nabízející tuto službuHost offering this service 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. Nastavení Odepřít oprávnění pro uživatele Office 2016 na publikování koncový bod služby AD RMS:Set a deny permission for the Office 2016 users on the AD RMS publishing endpoint:

    a.a. Na jednom ze serverů AD RMS v clusteru spusťte konzolu nástroje Správce Internetové informační služby (IIS).On one of your AD RMS servers in the cluster, start the Internet Information Services (IIS) Manager console.

    b.b. Přejděte na Default Web Site > _wmcs > licencování > licensing.asmxNavigate to Default Web Site > _wmcs > licensing > licensing.asmx

    c.c. Klikněte pravým tlačítkem na licensing.asmx > vlastnosti > upravitRight-click licensing.asmx > Properties > Edit

    d.d. V oprávnění pro licensing.asmx dialogové okno, vyberte buď uživatelé Pokud chcete nastavit přesměrování pro všechny uživatele, nebo klikněte na tlačítko přidat a pak zadejte skupinu, obsahuje uživatele, které chcete přesměrovat.In the Permissions for licensing.asmx dialog box, either select Users if you want to set redirection for all users, or click Add and then specify a group that contains the users that you want to redirect.

    I v případě, že všichni uživatelé používají Office 2016, budete pravděpodobně chtít původně určete podmnožinu uživatelů v rámci fázované migrace.Even if all your users are using Office 2016, you might prefer to initially specify a subset of users for a phased migration.

    e.e. Pro vybranou skupinu, vyberte Odepřít pro číst a spouštět a čtení oprávnění a pak klikněte na tlačítko OK dvakrát.For your selected group, select Deny for the Read & Execute and the Read permission, and then click OK twice.

    f.f. Pokud chcete potvrdit, že tato konfigurace funguje podle očekávání, pokuste se připojit k souboru licensing.asmx přímo z prohlížeče.To confirm this configuration is working as expected, try to connect to the licensing.asmx file directly from a browser. Zobrazí následující chybová zpráva, která aktivuje klienta se systémem Office 2016 a hledat v záznamu SRV:You should see the following error message, which triggers the client running Office 2016 to look for the SRV record:

    Chybová zpráva 401.3: Nemáte oprávnění k zobrazení tohoto adresáře nebo stránky pomocí pověření zadaná (přístup odepřen v důsledku seznamy řízení přístupu).Error message 401.3: You do not have permissions to view this directory or page using the credentials you supplied (access denied due to Access Control Lists).

Změna konfigurace klientů pomocí úprav registruClient reconfiguration by using registry edits

Tato metoda je vhodná pro všechny klienty systému Windows a je užitečný v případě, že nemají systém Office 2016, ale starší verze.This method is suitable for all Windows clients and should be used if they do not run Office 2016 but an earlier version. Tato metoda používá dva skripty pro migraci k změna konfigurace klientů služby AD RMS:This method uses two migration scripts to reconfigure AD RMS clients:

  • Migrace Client.cmdMigrate-Client.cmd

  • Migrace User.cmdMigrate-User.cmd

Skript pro konfiguraci klienta (migrací-Client.cmd) konfiguruje nastavení, úrovni počítače v registru, což znamená, že musíte spustit v kontextu zabezpečení, který můžete provést tyto změny.The client configuration script (Migrate-Client.cmd) configures computer-level settings in the registry, which means that it must run in a security context that can make those changes. To obvykle znamená jednu z následujících metod:This typically means one of the following methods:

  • Pomocí zásad skupiny pro spuštění skriptu jako spouštěcí skript.Use group policy to run the script as a computer startup script.

  • Pomocí zásad skupiny pro instalaci softwaru přiřadit skript do počítače.Use group policy software installation to assign the script to the computer.

  • Použijte řešení nasazení softwaru pro skript nasazení do počítačů.Use a software deployment solution to deploy the script to the computers. Například použít System Center Configuration Manager balíčky a programy.For example, use System Center Configuration Manager packages and programs. Ve vlastnostech balíčku a programu v části režim spuštění, zadejte, zda bude skript spuštěn s oprávněním správce v zařízení.In the properties of the package and program, under Run mode, specify that the script runs with administrative permissions on the device.

  • Pomocí přihlašovacího skriptu, pokud má uživatel práva místního správce.Use a logon script if the user has local administrator privileges.

Uživatel konfigurační skript (migrací-User.cmd) nakonfiguruje individuální nastavení a vyčistí úložiště licencí klienta.The user configuration script (Migrate-User.cmd) configures user-level settings and cleans up the client license store. To znamená, že tento skript musí spustit v kontextu skutečného uživatelského.This means that this script must run in the context of the actual user. Příklad:For example:

  • Pomocí přihlašovacího skriptu.Use a logon script.

  • Instalace softwaru zásad skupiny použijte k publikování pro uživatele k spuštění skriptu.Use group policy software installation to publish the script for the user to run.

  • Řešení nasazení softwaru použijte k nasazení skriptu pro uživatele.Use a software deployment solution to deploy the script to the users. Například použít System Center Configuration Manager balíčky a programy.For example, use System Center Configuration Manager packages and programs. Ve vlastnostech balíčku a programu v části režim spuštění, zadejte, že skript se spustí s oprávněními uživatele.In the properties of the package and program, under Run mode, specify that the script runs with the permissions of the user.

  • Požádejte uživatele, bude skript spuštěn, když jsou přihlášení k jejich počítači.Ask the user to run the script when they are signed in to their computer.

Dva skripty obsahovat číslo verze a znovu nespustí, dokud toto číslo verze se nezmění.The two scripts include a version number and do not rerun until this version number is changed. To znamená, že až do dokončení migrace, můžete nechat skripty na místě.This means that you can leave the scripts in place until the migration is complete. Pokud provedete změny skripty, které chcete počítačů a uživatelům na jejich počítače se systémem Windows znovu, ale aktualizace následující řádek v obou skripty na vyšší hodnotu:However, if you do make changes to the scripts that you want computers and users to rerun on their Windows computers, update the following line in both scripts to a higher value:

SET Version=20170427

Konfigurační skript uživatele je určená ke spuštění po konfigurační skript klienta a používá číslo verze v této kontroly.The user configuration script is designed to run after the client configuration script, and uses the version number in this check. Zastaví pokud konfigurační skript klienta se stejnou verzí nebyla spuštěna.It stops if the client configuration script with the same version has not run. Tato kontrola zajistí dva skripty v pravém pořadí.This check ensures that the two scripts run in the right sequence.

Když nelze migrovat všichni klienti Windows najednou, spusťte následující postupy pro dávek klientů.When you cannot migrate all your Windows clients at once, run the following procedures for batches of clients. Každého uživatele, který má počítač se systémem Windows a kterého chcete migrovat v dávce, přidejte do dříve vytvořené skupiny AIPMigrated.For each user who has a Windows computer that you want to migrate in your batch, add the user to the AIPMigrated group that you created earlier.

Upravit skripty pro úpravy registruModifying the scripts for registry edits

  1. Vrátit do skriptů pro migraci, migrací Client.cmd a migrací User.cmd, které jste extrahovali dříve když jste si stáhli tyto skripty v fázi přípravy.Return to the migration scripts, Migrate-Client.cmd and Migrate-User.cmd, which you extracted previously when you downloaded these scripts in the preparation phase.

  2. Postupujte podle pokynů v migrací Client.cmd a upravte skript tak, že obsahuje adresu URL služby vašeho klienta Azure Rights Management a také vaše názvy serverů pro vaši službu AD RMS clusteru extranetové adresy URL licence a intranetu Adresa URL licencování.Follow the instructions in Migrate-Client.cmd to modify the script so that it contains your tenant's Azure Rights Management service URL, and also your server names for your AD RMS cluster extranet licensing URL and intranet licensing URL. Potom zvýšte verze skriptu, který byl dříve vysvětlené.Then, increment the script version, which was previously explained. Je vhodné pro sledování verze skriptu použít dnešní datum v následujícím formátu: RRRRMMDDA good practice for tracking script versions is to use today’s date in the following format: YYYYMMDD

    Důležité

    Stejně jako dřív dejte pozor, aby na začátku ani na konci adres nebyly mezery.As before, be careful not to introduce additional spaces before or after your addresses.

    Pokud navíc vaše servery AD RMS používají certifikáty serveru SSL/TLS, zkontrolujte, jestli hodnoty adresy URL licencování obsahují v řetězci číslo portu 443.In addition, if your AD RMS servers use SSL/TLS server certificates, check whether the licensing URL values include the port number 443 in the string. Příklad: https://rms.treyresearch.net:443/_wmcs/licensing.For example: https://rms.treyresearch.net:443/_wmcs/licensing. Tyto informace můžete najít v konzole Active Directory Rights Management Services klepnutím na název clusteru a zobrazení podrobnosti o clusteru informace.You can find this information in the Active Directory Rights Management Services console when you click the cluster name and view the Cluster Details information. Pokud v adrese URL vidíte číslo portu 443, přidejte tuto hodnotu, až budete upravovat skript.If you see the port number 443 included in the URL, include this value when you modify the script. Například https://rms.treyresearch.net: 443.For example, https://rms.treyresearch.net:443.

    Pokud potřebujete načíst adresu URL služby Azure Rights Management pro <YourTenantURL> (Adresa URL vašeho tenanta), vraťte se k části Identifikace adresy URL služby Azure Rights Management.If you need to retrieve your Azure Rights Management service URL for <YourTenantURL>, refer back to To identify your Azure Rights Management service URL.

  3. Pomocí pokynů na začátku tohoto kroku, nakonfigurujte metody nasazení vaší skriptu ke spuštění migrací Client.cmd a migrací User.cmd na klientských počítačích systému Windows, které jsou používány Členové skupiny AIPMigrated.Using the instructions at the beginning of this step, configure your script deployment methods to run Migrate-Client.cmd and Migrate-User.cmd on the Windows client computers that are used by the members of the AIPMigrated group.

Další krokyNext steps

Až budete chtít v migraci pokračovat, přejděte k fázi 4 – konfigurace podpůrných služeb.To continue the migration, go to phase 4 -supporting services configuration.

KomentářeComments

Před přidáním komentáře se podívejte na naše pravidla organizace.Before commenting, we ask that you review our House rules.