Fáze migrace 3 – konfigurace na straně klienta

  • Článek

Pro fázi 3 migrace ze služby AD RMS na Azure Information Protection použijte následující informace. Tyto postupy zahrnují krok 7 z migrace z AD RMS na Azure Information Protection.

Krok 7: Změna konfigurace počítačů s Windows na používání služby Azure Information Protection

Překonfigurujte počítače s Windows tak, aby používaly Azure Information Protection pomocí jedné z následujících metod:

  • Přesměrování DNS Nejjednodušší a upřednostňovaná metoda, pokud je podporována.

    Podporované pro počítače s Windows, které používají Office 2016 nebo novější desktopové aplikace klikni a spusť, včetně:

    • Aplikace Microsoft 365
    • Office 2019
    • Kliknutím na Office 2016 spustíte desktopové aplikace

    Vyžaduje, abyste vytvořili nový záznam SRV a nastavili oprávnění pro odepření systému souborů NTFS pro uživatele v koncovém bodu publikování služby AD RMS.

    Další informace naleznete v tématu Rekonfigurace klienta pomocí přesměrování DNS.

  • Úpravy registru Relevantní pro všechna podporovaná prostředí, včetně obou:

    • Počítače s Windows, které používají desktopové aplikace Office 2016 nebo novější klikni a spusť, jak je uvedeno výše
    • Počítače s Windows, které používají jiné aplikace

    Proveďte požadované změny registru ručně nebo upravte a nasaďte skripty ke stažení, abyste udělali změny registru za vás.

    Další informace naleznete v tématu Rekonfigurace klienta pomocí úprav registru.

Tip

Pokud máte kombinaci verzí Office, které můžou a nemůžou používat přesměrování DNS, můžete použít kombinaci přesměrování DNS a upravit registr nebo upravit registr jako jedinou metodu pro všechny počítače s Windows.

Rekonfigurace klienta pomocí přesměrování DNS

Tato metoda je vhodná jenom pro klienty Windows, kteří používají aplikace Microsoft 365 a desktopové aplikace Office 2016 (nebo novější).

  1. Vytvořte záznam DNS SRV pomocí následujícího formátu:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    V případě <clusteru> AD RMS zadejte plně kvalifikovaný název domény vašeho clusteru AD RMS. Například rmscluster.contoso.com.

    Číslo <portu> se ignoruje.

    Jako <adresu URL> tenanta zadejte vlastní adresu URL služby Azure Rights Management pro vašeho tenanta.

    Pokud používáte roli server DNS na Windows Serveru, můžete jako příklad použít následující tabulku, jak zadat vlastnosti záznamu SRV v konzole Správce DNS.

    Pole Hodnota
    Domény _tcp.rmscluster.contoso.com
    Služba _rmsredir
    Protokol _http
    Priorita 0
    Hmotnost 0
    Číslo portu 80
    Hostitel nabízející tuto službu 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

  2. Nastavte oprávnění odepření koncového bodu publikování AD RMS pro uživatele, kteří používají aplikace Microsoft 365 nebo Office 2016 (nebo novější):

    a. Na jednom ze serverů AD RMS v clusteru spusťte konzolu správce Internetová informační služba (IIS).

    b. Přejděte na výchozí web a rozbalte _wmcs.

    c. Klikněte pravým tlačítkem myši na licencování a vyberte Přepnout do zobrazení obsahu.

    d. V podokně podrobností klikněte pravým tlačítkem na license.asmx>– upravit vlastnosti.>

    e. V dialogovém okně Oprávnění pro license.asmx vyberte buď uživatele , pokud chcete nastavit přesměrování pro všechny uživatele, nebo klikněte na tlačítko Přidat a potom zadejte skupinu obsahující uživatele, které chcete přesměrovat.

    I když všichni vaši uživatelé používají verzi Office, která podporuje přesměrování DNS, můžete pro fázovanou migraci raději zadat podmnožinu uživatelů.

    f. Pro vybranou skupinu vyberte Možnost Odepřít pro čtení a spustit a oprávnění Ke čtení a potom klikněte dvakrát na TLAČÍTKO OK .

    g. Pokud chcete ověřit, že tato konfigurace funguje podle očekávání, zkuste se připojit k souboru licensing.asmx přímo z prohlížeče. Měla by se zobrazit následující chybová zpráva, která aktivuje klienta s aplikacemi Microsoft 365 nebo Office 2019 nebo Office 2016, aby vyhledaly záznam SRV:

    Chybová zpráva 401.3: Nemáte oprávnění k zobrazení tohoto adresáře nebo stránky pomocí zadaných přihlašovacích údajů (přístup byl odepřen kvůli seznamům řízení přístupu).

Rekonfigurace klienta pomocí úprav registru

Tato metoda je vhodná pro všechny klienty Windows a měla by se použít, pokud nepoužívají aplikace Microsoftu 365 nebo Office 2016 (nebo novější). Tato metoda používá k překonfigurování klientů služby AD RMS dva skripty migrace:

  • Migrate-Client.cmd

  • Migrate-User.cmd

Konfigurační skript klienta (Migrate-Client.cmd) konfiguruje nastavení na úrovni počítače v registru, což znamená, že musí běžet v kontextu zabezpečení, který může tyto změny provést. Obvykle to znamená jednu z následujících metod:

  • Pomocí zásad skupiny spusťte skript jako spouštěcí skript počítače.

  • Pomocí instalace softwaru zásad skupiny přiřaďte skript počítači.

  • Pomocí řešení pro nasazení softwaru nasaďte skript do počítačů. Například použijte balíčky a programy nástroje System Center Configuration Manager. Ve vlastnostech balíčku a programu v režimu spuštění určete, že se skript spustí s oprávněními správce na zařízení.

  • Pokud má uživatel oprávnění místního správce, použijte přihlašovací skript.

Konfigurační skript uživatele (Migrate-User.cmd) konfiguruje nastavení na úrovni uživatele a vyčistí úložiště klientských licencí. To znamená, že tento skript musí běžet v kontextu skutečného uživatele. Příklad:

  • Použijte přihlašovací skript.

  • Pomocí instalace softwaru zásad skupiny publikujte skript, který má uživatel spustit.

  • Pomocí řešení pro nasazení softwaru nasaďte skript uživatelům. Například použijte balíčky a programy nástroje System Center Configuration Manager. Ve vlastnostech balíčku a programu v režimu spuštění určete, že se skript spustí s oprávněními uživatele.

  • Požádejte uživatele, aby spustil skript, když je přihlášený ke svému počítači.

Tyto dva skripty obsahují číslo verze a neskutečí se znovu, dokud se toto číslo verze nezmění. To znamená, že skripty můžete nechat spuštěné, dokud nebude migrace dokončena. Pokud ale provedete změny skriptů, které chcete, aby se počítače a uživatelé na počítačích s Windows znovu spouštět, aktualizujte následující řádek v obou skriptech na vyšší hodnotu:

SET Version=20170427

Konfigurační skript uživatele je navržený tak, aby běžel po konfiguračním skriptu klienta a v této kontrole používá číslo verze. Zastaví se, pokud se skript konfigurace klienta se stejnou verzí nespustí. Tato kontrola zajistí, že se tyto dva skripty spustí v správné sekvenci.

Pokud nemůžete migrovat všechny klienty Systému Windows najednou, spusťte následující postupy pro dávky klientů. Pro každého uživatele, který má počítač s Windows, který chcete migrovat v dávce, přidejte uživatele do skupiny AIPMigrated , kterou jste vytvořili dříve.

Úprava skriptů pro úpravy registru

  1. Vraťte se ke skriptům migrace Migrate-Client.cmd a Migrate-User.cmd, které jste dříve extrahovali při stažení těchto skriptů ve fázi přípravy.

  2. Podle pokynů v souboru Migrate-Client.cmd upravte skript tak, aby obsahoval adresu URL služby Azure Rights Management vašeho tenanta a také názvy serverů pro extranetovou adresu URL licencování clusteru AD RMS a adresu URL licencování intranetu. Potom navyšte verzi skriptu, která byla dříve vysvětlena. Osvědčeným postupem pro sledování verzí skriptu je použít dnešní datum v následujícím formátu: RRRRMMDD

    Důležité

    Stejně jako předtím dávejte pozor, abyste před nebo za adresami nezaveďte další mezery.

    Pokud navíc vaše servery AD RMS používají certifikáty serveru SSL/TLS, zkontrolujte, jestli hodnoty adresy URL licencování obsahují v řetězci číslo portu 443 . Příklad: https://rms.treyresearch.net:443/_wmcs/licensing. Tyto informace najdete v konzole služba AD RMS (Active Directory Rights Management Services) po kliknutí na název clusteru a zobrazení informací o podrobnostech clusteru. Pokud se v adrese URL zobrazí číslo portu 443, při úpravě skriptu tuto hodnotu zahrňte. Například https://rms.treyresearch.net:443.

    Pokud potřebujete načíst adresu URL služby Azure Rights Management pro <adresu YourTenantURL>, vraťte se na adresu URL služby Azure Rights Management.

  3. Pomocí pokynů na začátku tohoto kroku nakonfigurujte metody nasazení skriptu tak, aby spouštěly migr-Client.cmd a Migrate-User.cmd na klientských počítačích s Windows, které používají členové skupiny AIPMigrated.

Další kroky

Pokud chcete pokračovat v migraci, přejděte do fáze 4 – konfigurace podpůrných služeb.