Migrationsphase 3: Clientseitige Konfiguration

Gilt für: Active Directory Rights Management Services, Azure Information Protection, Office 365

Relevant für: AIP-Client für einheitliche Bezeichnungen und den klassischen Client

Hinweis

Der klassische Azure Information Protection-Client und die Bezeichnungsverwaltung im Azure-Portal werden am 31. März 2021 als veraltet markiert, um eine einheitliche und optimierte Kundenumgebung zu gewährleisten. Der klassische Client funktioniert zwar weiterhin wie konfiguriert, es wird aber kein weiterer Support bereitgestellt, und es werden keine Wartungsversionen für den klassischen Client mehr veröffentlicht.

Wir empfehlen, zu einheitlichen Bezeichnungen zu migrieren und ein Upgrade auf den Client für einheitliche Bezeichnungen durchzuführen. Weitere Informationen finden Sie in unserem jüngsten Blog zu veralteten Versionen.

Verwenden Sie die folgenden Informationen für Phase 3 der Migration von AD RMS zu Azure Information Protection. Diese Verfahren decken den Schritt 7 der Migration von AD RMS zu Azure Information Protection ab.

Schritt 7. Neukonfigurieren von Windows-Computern zur Verwendung von Azure Information Protection

Konfigurieren Sie Ihre Windows Computer mit einer der folgenden Methoden neu, um Azure Information Protection zu verwenden:

  • DNS-Umleitung. Die einfachste und bevorzugte Methode, sofern unterstützt.

    Wird für Windows Computer unterstützt, die Office 2016 oder höher verwenden, einschließlich:

    • Microsoft 365-Apps
    • Office 2019
    • Office 2016 klicken, um Desktop-Apps auszuführen

    Erfordert, dass Sie einen neuen SRV-Eintrag erstellen und eine NTFS-Verweigerungsberechtigung für Benutzer auf dem AD RMS Veröffentlichungsendpunkt festlegen.

    Weitere Informationen finden Sie unter Clientrefigurierung mithilfe der DNS-Umleitung.

  • Die Registrierung bearbeitet. Relevant für alle unterstützten Umgebungen, einschließlich beider:

    • Windows Computer, auf denen Office 2016 oder höher ausgeführte Desktop-Apps verwendet werden, wie oben aufgeführt
    • Windows Computer, die andere Apps verwenden

    Nehmen Sie die erforderlichen Registrierungsänderungen manuell vor, oder bearbeiten Sie herunterladbare Skripts, und stellen Sie sie bereit, um die Registrierungsänderungen für Sie vorzunehmen.

    Weitere Informationen finden Sie unter Client-Neukonfiguration mithilfe von Registrierungsbearbeitungen.

Tipp

Wenn Sie über eine Mischung aus Office Versionen verfügen, die die DNS-Umleitung verwenden können und können, können Sie entweder eine Kombination aus DNS-Umleitung und Bearbeitung der Registrierung verwenden oder die Registrierung als einzelne Methode für alle Windows-Computer bearbeiten.

Clientneukonfiguration mithilfe der DNS-Umleitung

Diese Methode eignet sich nur für Windows Clients, die Microsoft 365-Apps und Office 2016 (oder höher) Klick-zu-Ausführung-Desktop-Apps ausführen.

  1. Erstellen Sie einen DNS-SRV-Eintrag im folgenden Format:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.
    

    <AD RMS cluster> Geben Sie für den FQDN Ihres AD RMS Clusters an. Dies kann zum Beispiel rmscluster.contoso.com sein.

    Die <port> Zahl wird ignoriert.

    <your tenant URL> Geben Sie für Ihre eigene Azure Rights Management-Dienst-URL für Ihren Mandantenan.

    Wenn Sie die DNS-Serverrolle in Windows Server verwenden, können Sie sich beim Festlegen der SRV-Eintragseigenschaften in der DNS-Manager-Konsole an der folgenden Tabelle orientieren:

    Feld Wert
    Domäne _tcp.rmscluster.contoso.com
    Dienst _rmsredir
    Protokoll _http
    Priority 0
    Weight 0
    Portnummer 80
    Host, der diesen Dienst anbietet 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. Legen Sie eine Verweigerungsberechtigung für den AD RMS Veröffentlichungsendpunkt für Benutzer fest, die Microsoft 365 Apps oder Office 2016 (oder höher) ausführen:

    a. Starten Sie die IIS-Manager-Konsole auf einem der AD RMS-Server im Cluster.

    b. Navigieren Sie zur Standardwebsite, und erweitern Sie _wmcs.

    c. Klicken Sie mit der rechten Maustaste auf Lizenzierung, und wählen Sie Zur Inhaltsansicht wechseln aus.

    d. Klicken Sie im Detailbereich mit der rechten Maustaste auf license.asmx Properties Edit (Bearbeiten von "license.asmx-Eigenschaften"). > >

    e. Wählen Sie im Dialogfeld Berechtigungen für license.asmx entweder Benutzer aus, wenn Sie die Umleitung für alle Benutzer festlegen möchten, oder klicken Sie auf Hinzufügen, und geben Sie dann eine Gruppe mit den Benutzern an, die Sie umleiten möchten.

    Auch wenn alle Ihre Benutzer eine Version von Office verwenden, die DNS-Umleitung unterstützt, kann es sinnvoll sein, zunächst nur einen Teil der Benutzer festzulegen und eine phasenweise Migration durchzuführen.

    f. Wählen Sie für die ausgewählte Gruppe Verweigern für die Berechtigungen Lesen & Ausführen und Lesen aus, und klicken Sie anschließend zweimal auf OK.

    B. Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, versuchen Sie, eine Verbindung mit der Datei „licencing.asmx“ direkt über einen Browser herzustellen. Es sollte die folgende Fehlermeldung angezeigt werden, die dazu führt, dass der Client, der Microsoft 365 Apps oder Office 2019 oder Office 2016 ausführt, nach dem SRV-Eintrag sucht:

    Fehlermeldung 401.3: You do not have permissions to view this directory or page using the credentials you supplied (access denied due to Access Control Lists) (Mit den bereitgestellten Anmeldeinformationen haben Sie keine Berechtigung zum Anzeigen dieses Verzeichnisses oder dieser Seite (Zugriff aufgrund von Zugriffssteuerungslisten verweigert)).

Clientneukonfiguration mithilfe von Änderungen an der Registrierung

Diese Methode eignet sich für alle Windows Clients und sollte verwendet werden, wenn sie nicht Microsoft 365 Apps oder Office 2016 (oder höher) ausgeführt werden. Diese Methode verwendet zwei Migrationsskripts zur Neukonfiguration von AD RMS-Clients:

  • Migrate-Client.cmd

  • Migrate-User.cmd

Das Konfigurationsskript für den Client (Migrate-Client.cmd) konfiguriert die Einstellungen in der Registrierung auf Computerebene. Das bedeutet, dass es in einem Sicherheitskontext ausgeführt werden muss, in dem diese Änderungen vorgenommen werden können. Dies bezieht sich üblicherweise auf eine der folgenden Methoden:

  • Verwenden Sie die Gruppenrichtlinien, um das Skript als Startskript für den Computer zu verwenden.

  • Verwenden Sie die Softwareinstallation der Gruppenrichtlinien, um das Skript dem Computer zuzuweisen.

  • Verwenden Sie eine Lösung für die Softwarebereitstellung, um das Skript für die Computer bereitzustellen. Verwenden Sie beispielsweise die Pakete und Programme von System Center Configuration Manager. Geben Sie in den Eigenschaften des Pakets und des Programms unter Ausführungsmodus an, dass das Skript auf dem Gerät mit Administratorberechtigungen ausgeführt wird.

  • Verwenden Sie ein Anmeldeskript, wenn der Benutzer über lokale Administratorrechte verfügt.

Das Konfigurationsskript für den Benutzer (Migrate-User.cmd) konfiguriert die Einstellungen auf Benutzerebene und bereinigt den Lizenzspeicher des Clients. Das bedeutet, dass dieses Skript im Kontext des tatsächlichen Benutzers ausgeführt werden muss. Beispiel:

  • Verwenden Sie ein Anmeldeskript.

  • Verwenden Sie die Softwareinstallation der Gruppenrichtlinien, um das Skript für die Ausführung durch den Benutzer zu veröffentlichen.

  • Verwenden Sie eine Lösung für die Softwarebereitstellung, um das Skript für die Benutzer bereitzustellen. Verwenden Sie beispielsweise die Pakete und Programme von System Center Configuration Manager. Geben Sie in den Eigenschaften des Pakets und des Programms unter Ausführungsmodus an, dass das Skript mit den Berechtigungen des Benutzers ausgeführt wird.

  • Fordern Sie den Benutzer zum Ausführen des Skripts auf, wenn dieser an seinem Benutzer angemeldet ist.

Beide Skripts enthalten eine Versionsnummer und werden nicht erneut ausgeführt, bis diese Versionsnummer geändert wird. Das bedeutet, dass Sie die Skripts belassen können, bis die Migration abgeschlossen ist. Wenn Sie jedoch Änderungen an dem Skript vornehmen, das von Benutzern und Computern erneut auf deren Windows-Computern ausgeführt werden soll, aktualisieren Sie die folgende Zeile in beiden Skripts auf einen höheren Wert:

SET Version=20170427

Das Konfigurationsskript für Benutzer wurde dafür entworfen, nach dem Konfigurationsskript für den Client ausgeführt zu werden und verwendet bei dieser Überprüfung die Versionsnummer. Es wird angehalten, wenn das Konfigurationsskript für den Client mit der gleichen Version nicht ausgeführt wurde. Durch diese Überprüfung wird sichergestellt, dass die beiden Skripts in der richtigen Reihenfolge ausgeführt werden.

Wenn Sie nicht alle Ihre Windows-Clients gleichzeitig migrieren können, führen Sie die folgenden Prozeduren für Clientbatches aus. Fügen Sie jeden Benutzer, der über einen Windows-Computer verfügt, den Sie in Ihren Batch migrieren möchten, zur AIPMigrated-Gruppe hinzu, die Sie zuvor erstellt haben.

Modifizieren von Skripts für Registrierungsbearbeitungen

  1. Kehren Sie zu den Migrationsskripts Migrate-Client.cmd und Migrate-User.cmd zurück, die Sie zuvor beim Herunterladen dieser Skripts in der Vorbereitungsphase extrahiert haben.

  2. Befolgen Sie die Anweisungen in Migrate-Client.cmd, um das Skript so zu ändern, dass es die Azure Rights Management-Dienst-URL Ihres Mandanten sowie Ihre Servernamen für Ihre AD RMS Extranetlizenzierungs-URL des Clusters und die Intranetlizenzierungs-URL enthält. Erhöhen Sie dann wie zuvor erläutert die Version des Skripts. Eine bewährte Methode für die Nachverfolgung von Skriptversionen ist die Verwendung des heutigen Datums im folgenden Format: YYYYMMDD

    Wichtig

    Achten Sie auch hier wieder darauf, keine zusätzlichen Leerzeichen vor oder nach Ihren Adressen einzufügen.

    Wenn Ihre AD RMS-Server zusätzlich SSL/TLS-Serverzertifikate verwenden, überprüfen Sie, ob die Werte der Lizenzierungs-URL die Portnummer 443 in der Zeichenfolge enthalten. Beispiel: https://rms.treyresearch.net:443/_wmcs/licensing. Diese Informationen können Sie in der Active Directory Rights Management Services-Konsole finden, wenn Sie auf den Clusternamen klicken und sich die Clusterdetails ansehen. Wenn Sie sehen, dass die URL die Portnummer 443 enthält, fügen Sie diesen Wert beim Ändern des Skripts hinzu. Beispiel: https://rms.treyresearch.net:443.

    Wenn Sie Ihre Azure Rights Management-Dienst-URL für < YourTenantURL > abrufen müssen, finden Sie weitere Informationen unter So identifizieren Sie Ihre Azure Rights Management-Dienst-URL.

  3. Konfigurieren Sie Ihre Skriptbereitstellungsmethoden mithilfe der Anweisungen am Anfang dieses Schritts, um Migrate-Client.cmd und Migrate-User.cmd auf den Windows-Clientcomputern auszuführen, die von den Mitgliedern der Gruppe „AIPMigrated“ verwendet werden.

Nächste Schritte

Fahren Sie mit Phase 4: Unterstützung der Dienstekonfiguration fort, um die Migration fortzusetzen.