Migrationsphase 3: Clientseitige KonfigurationMigration phase 3 - client-side configuration

Gilt für: Active Directory Rights Management Services, Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Verwenden Sie die folgenden Informationen für Phase 3 der Migration von AD RMS zu Azure Information Protection.Use the following information for Phase 3 of migrating from AD RMS to Azure Information Protection. Diese Verfahren decken den Schritt 7 der Migration von AD RMS zu Azure Information Protection ab.These procedures cover step 7 from Migrating from AD RMS to Azure Information Protection.

Schritt 7.Step 7. Neukonfigurieren von Windows-Computern zur Verwendung von Azure Information ProtectionReconfigure Windows computers to use Azure Information Protection

Für Windows-Computer, die Office 365-Apps, Office 2019- oder Office 2016-Klick-und-Los-Desktop-Apps verwenden:For Windows computers that use Office 365 apps, Office 2019, or Office 2016 click-to-run desktop apps:

  • Sie können diese Clients mit der DNS-Umleitung so neu konfigurieren, dass sie Azure Information Protection verwenden.You can reconfigure these clients to use Azure Information Protection by using DNS redirection. Dies ist die bevorzugte Methode der Clientmigration, da sie die unkomplizierteste ist.This is the preferred method for client migration because it is the simplest. Diese Methode ist allerdings auf Klick-und-Los-Desktopanwendungen von Office 2016 und höher für Windows-Computer beschränkt.However, this method is restricted to Office 2016 (or later) click-to-run desktop apps for Windows computers.

    Für diese Methode müssen Sie einen neuen SRV-Eintrag erstellen und für Benutzer auf dem AD RMS-Veröffentlichungsendpunkt eine NTFS-DENY-Berechtigung festlegen.This method requires you to create a new SRV record, and set an NTFS deny permission for users on the AD RMS publishing endpoint.

  • Für Windows-Computer, die keine Office 2016- oder Office 2019-Klick-und-Los-Desktop-Apps verwenden:For Windows computers that don't use Office 2019 or Office 2016 click-to-run:

    Sie können die DNS-Umleitung nicht verwenden und müssen stattdessen Änderungen an der Registrierung vornehmen.You cannot use DNS redirection and instead, must use registry edits. Wenn Sie eine Mischung aus Office-Versionen verwenden, die nur zum Teil mit DNS-Umleitung umgehen können, können Sie diese einzelne Methode für alle Windows-Computer oder eine Kombination aus der DNS-Umleitung und dem Ändern der Registrierung verwenden.If you have a mix of Office versions that can and cannot use DNS redirection, you can use this single method for all Windows computers, or a combination of DNS redirection and editing the registry.

    Änderungen der Registrierung werden Ihnen erleichtert, da Sie Skripts, die zum Download zur Verfügung stehen, bearbeiten und bereitstellen können.The registry changes are made easier for you by editing and deploying scripts that you can download.

Weitere Informationen zum Neukonfigurieren der Windows-Clients finden Sie in den folgenden Abschnitten.See the following sections for more information about how to reconfigure Windows clients.

Clientneukonfiguration mithilfe der DNS-UmleitungClient reconfiguration by using DNS redirection

Diese Methode eignet sich nur für Windows-Clients, auf denen Klick-und-Los-Desktop-Apps von Office 365 und Office 2016 (oder höher) ausgeführt werden.This method is suitable only for Windows clients that run Office 365 apps and Office 2016 (or later) click-to-run desktop apps.

  1. Erstellen Sie einen DNS-SRV-Eintrag im folgenden Format:Create a DNS SRV record using the following format:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.
    

    Geben Sie für den voll qualifizierten Namen <AD RMS cluster> Ihres AD RMS Clusters an.For <AD RMS cluster>, specify the FQDN of your AD RMS cluster. Dies kann zum Beispiel rmscluster.contoso.com sein.For example, rmscluster.contoso.com.

    Wenn Sie nur über einen AD RMS-Cluster in dieser Domäne verfügen, können Sie alternativ auch nur den Domänennamen des AD RMS-Clusters angeben.Alternatively, if you have just one AD RMS cluster in that domain, you can specify just the domain name of the AD RMS cluster. In unserem Beispiel ist dies contoso.com.In our example, that would be contoso.com. Wenn Sie den Domänennamen in diesem Eintrag angeben, gilt die Umleitung für jeden AD RMS-Cluster in der Domäne.When you specify the domain name in this record, the redirection applies to any and all AD RMS clusters in that domain.

    Die <port> Zahl wird ignoriert.The <port> number is ignored.

    Geben Sie für Ihren Mandanten <your tenant URL> Ihre eigene Azure Rights Management-Dienst-URL an.For <your tenant URL>, specify your own Azure Rights Management service URL for your tenant.

    Wenn Sie die DNS-Serverrolle in Windows Server verwenden, können Sie sich beim Festlegen der SRV-Eintragseigenschaften in der DNS-Manager-Konsole an der folgenden Tabelle orientieren:If you use the DNS Server role on Windows Server, you can use the following table as an example how to specify the SRV record properties in the DNS Manager console.

    FeldField WertValue
    DomäneDomain _tcp.rmscluster.contoso.com_tcp.rmscluster.contoso.com
    ServiceService _rmsredir_rmsredir
    ProtokollProtocol _http_http
    PriorityPriority 00
    WeightWeight 00
    PortnummerPort number 8080
    Host, der diesen Dienst anbietetHost offering this service 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. Legen Sie auf dem AD RMS-Veröffentlichungsendpunkt für Benutzer, die Office 365-Apps oder Office 2016 (oder höher) ausführen, eine Ablehnungsberechtigung fest:Set a deny permission on the AD RMS publishing endpoint for users running Office 365 apps or Office 2016 (or later):

    a.a. Starten Sie die IIS-Manager-Konsole auf einem der AD RMS-Server im Cluster.On one of your AD RMS servers in the cluster, start the Internet Information Services (IIS) Manager console.

    b.b. Navigieren Sie zur Standard Website , und erweitern Sie _wmcs.Navigate to Default Web Site and expand _wmcs.

    c.c. Klicken Sie mit der rechten Maustaste auf Lizenzierung , und wählen Sie zur Inhaltsansicht wechselnRight-click licensing and select Switch to Content View.

    d.d. Klicken Sie im Detailfenster mit der rechten Maustaste auf License. asmx- > Eigenschaften > Bearbeiten .In the details pane, right-click license.asmx > Properties > Edit

    e.e. Wählen Sie im Dialogfeld Berechtigungen für Lizenz. asmx entweder Benutzer aus, wenn Sie die Umleitung für alle Benutzer festlegen möchten, oder klicken Sie auf Hinzufügen , und geben Sie dann eine Gruppe an, die die Benutzer enthält, die Sie umleiten möchten.In the Permissions for license.asmx dialog box, either select Users if you want to set redirection for all users, or click Add and then specify a group that contains the users that you want to redirect.

    Auch wenn alle Ihre Benutzer eine Version von Office verwenden, die DNS-Umleitung unterstützt, kann es sinnvoll sein, zunächst nur einen Teil der Benutzer festzulegen und eine phasenweise Migration durchzuführen.Even if all your users are using a version of Office that supports DNS redirection, you might prefer to initially specify a subset of users for a phased migration.

    f.f. Wählen Sie für die ausgewählte Gruppe Verweigern für die Berechtigungen Lesen & Ausführen und Lesen aus, und klicken Sie anschließend zweimal auf OK.For your selected group, select Deny for the Read & Execute and the Read permission, and then click OK twice.

    B.g. Um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert, versuchen Sie, eine Verbindung mit der Datei „licencing.asmx“ direkt über einen Browser herzustellen.To confirm this configuration is working as expected, try to connect to the licensing.asmx file directly from a browser. Sie sollten die folgende Fehlermeldung erhalten, wodurch der Client, der Office 365-Apps, Office 2019 oder Office 2016 ausführt, nach dem SRV-Eintrag sucht:You should see the following error message, which triggers the client running Office 365 apps or Office 2019 or Office 2016 to look for the SRV record:

    Fehlermeldung 401.3: You do not have permissions to view this directory or page using the credentials you supplied (access denied due to Access Control Lists) (Mit den bereitgestellten Anmeldeinformationen haben Sie keine Berechtigung zum Anzeigen dieses Verzeichnisses oder dieser Seite (Zugriff aufgrund von Zugriffssteuerungslisten verweigert)).Error message 401.3: You do not have permissions to view this directory or page using the credentials you supplied (access denied due to Access Control Lists).

Clientneukonfiguration mithilfe von Änderungen an der RegistrierungClient reconfiguration by using registry edits

Diese Methode eignet sich für alle Windows-Clients und sollte verwendet werden, wenn Sie keine Office 365-Apps oder Office 2016 (oder höher) ausführen.This method is suitable for all Windows clients and should be used if they do not run Office 365 apps, or Office 2016 (or later). Diese Methode verwendet zwei Migrationsskripts zur Neukonfiguration von AD RMS-Clients:This method uses two migration scripts to reconfigure AD RMS clients:

  • Migrate-Client.cmdMigrate-Client.cmd

  • Migrate-User.cmdMigrate-User.cmd

Das Konfigurationsskript für den Client (Migrate-Client.cmd) konfiguriert die Einstellungen in der Registrierung auf Computerebene. Das bedeutet, dass es in einem Sicherheitskontext ausgeführt werden muss, in dem diese Änderungen vorgenommen werden können.The client configuration script (Migrate-Client.cmd) configures computer-level settings in the registry, which means that it must run in a security context that can make those changes. Dies bezieht sich üblicherweise auf eine der folgenden Methoden:This typically means one of the following methods:

  • Verwenden Sie die Gruppenrichtlinien, um das Skript als Startskript für den Computer zu verwenden.Use group policy to run the script as a computer startup script.

  • Verwenden Sie die Softwareinstallation der Gruppenrichtlinien, um das Skript dem Computer zuzuweisen.Use group policy software installation to assign the script to the computer.

  • Verwenden Sie eine Lösung für die Softwarebereitstellung, um das Skript für die Computer bereitzustellen.Use a software deployment solution to deploy the script to the computers. Verwenden Sie beispielsweise die Pakete und Programme von System Center Configuration Manager.For example, use System Center Configuration Manager packages and programs. Geben Sie in den Eigenschaften des Pakets und des Programms unter Ausführungsmodus an, dass das Skript auf dem Gerät mit Administratorberechtigungen ausgeführt wird.In the properties of the package and program, under Run mode, specify that the script runs with administrative permissions on the device.

  • Verwenden Sie ein Anmeldeskript, wenn der Benutzer über lokale Administratorrechte verfügt.Use a logon script if the user has local administrator privileges.

Das Konfigurationsskript für den Benutzer (Migrate-User.cmd) konfiguriert die Einstellungen auf Benutzerebene und bereinigt den Lizenzspeicher des Clients.The user configuration script (Migrate-User.cmd) configures user-level settings and cleans up the client license store. Das bedeutet, dass dieses Skript im Kontext des tatsächlichen Benutzers ausgeführt werden muss.This means that this script must run in the context of the actual user. Zum Beispiel:For example:

  • Verwenden Sie ein Anmeldeskript.Use a logon script.

  • Verwenden Sie die Softwareinstallation der Gruppenrichtlinien, um das Skript für die Ausführung durch den Benutzer zu veröffentlichen.Use group policy software installation to publish the script for the user to run.

  • Verwenden Sie eine Lösung für die Softwarebereitstellung, um das Skript für die Benutzer bereitzustellen.Use a software deployment solution to deploy the script to the users. Verwenden Sie beispielsweise die Pakete und Programme von System Center Configuration Manager.For example, use System Center Configuration Manager packages and programs. Geben Sie in den Eigenschaften des Pakets und des Programms unter Ausführungsmodus an, dass das Skript mit den Berechtigungen des Benutzers ausgeführt wird.In the properties of the package and program, under Run mode, specify that the script runs with the permissions of the user.

  • Fordern Sie den Benutzer zum Ausführen des Skripts auf, wenn dieser an seinem Benutzer angemeldet ist.Ask the user to run the script when they are signed in to their computer.

Beide Skripts enthalten eine Versionsnummer und werden nicht erneut ausgeführt, bis diese Versionsnummer geändert wird.The two scripts include a version number and do not rerun until this version number is changed. Das bedeutet, dass Sie die Skripts belassen können, bis die Migration abgeschlossen ist.This means that you can leave the scripts in place until the migration is complete. Wenn Sie jedoch Änderungen an dem Skript vornehmen, das von Benutzern und Computern erneut auf deren Windows-Computern ausgeführt werden soll, aktualisieren Sie die folgende Zeile in beiden Skripts auf einen höheren Wert:However, if you do make changes to the scripts that you want computers and users to rerun on their Windows computers, update the following line in both scripts to a higher value:

SET Version=20170427

Das Konfigurationsskript für Benutzer wurde dafür entworfen, nach dem Konfigurationsskript für den Client ausgeführt zu werden und verwendet bei dieser Überprüfung die Versionsnummer.The user configuration script is designed to run after the client configuration script, and uses the version number in this check. Es wird angehalten, wenn das Konfigurationsskript für den Client mit der gleichen Version nicht ausgeführt wurde.It stops if the client configuration script with the same version has not run. Durch diese Überprüfung wird sichergestellt, dass die beiden Skripts in der richtigen Reihenfolge ausgeführt werden.This check ensures that the two scripts run in the right sequence.

Wenn Sie nicht alle Ihre Windows-Clients gleichzeitig migrieren können, führen Sie die folgenden Prozeduren für Clientbatches aus.When you cannot migrate all your Windows clients at once, run the following procedures for batches of clients. Fügen Sie jeden Benutzer, der über einen Windows-Computer verfügt, den Sie in Ihren Batch migrieren möchten, zur AIPMigrated-Gruppe hinzu, die Sie zuvor erstellt haben.For each user who has a Windows computer that you want to migrate in your batch, add the user to the AIPMigrated group that you created earlier.

Modifizieren von Skripts für RegistrierungsbearbeitungenModifying the scripts for registry edits

  1. Kehren Sie zu den Migrationsskripts Migrate-Client.cmd und Migrate-User.cmd zurück, die Sie zuvor beim Herunterladen dieser Skripts in der Vorbereitungsphase extrahiert haben.Return to the migration scripts, Migrate-Client.cmd and Migrate-User.cmd, which you extracted previously when you downloaded these scripts in the preparation phase.

  2. Befolgen Sie die Anweisungen in Migrate-Client. cmd , um das Skript so zu ändern, dass es die URL des Azure-Rights Management Dienstanbieter Ihres Mandanten enthält, sowie die Servernamen für Ihre AD RMS Cluster-extranetlizenzierungs-URL und die URL für die IntranetFollow the instructions in Migrate-Client.cmd to modify the script so that it contains your tenant's Azure Rights Management service URL, and also your server names for your AD RMS cluster extranet licensing URL and intranet licensing URL. Erhöhen Sie dann wie zuvor erläutert die Version des Skripts.Then, increment the script version, which was previously explained. Zum Nachverfolgen von Skript Versionen empfiehlt es sich, das heutige Datum im folgenden Format zu verwenden: YYYYMMDDA good practice for tracking script versions is to use today's date in the following format: YYYYMMDD

    Wichtig

    Achten Sie auch hier wieder darauf, keine zusätzlichen Leerzeichen vor oder nach Ihren Adressen einzufügen.As before, be careful not to introduce additional spaces before or after your addresses.

    Wenn Ihre AD RMS-Server zusätzlich SSL/TLS-Serverzertifikate verwenden, überprüfen Sie, ob die Werte der Lizenzierungs-URL die Portnummer 443 in der Zeichenfolge enthalten.In addition, if your AD RMS servers use SSL/TLS server certificates, check whether the licensing URL values include the port number 443 in the string. Beispiel: https://rms.treyresearch.net:443/_wmcs/licensingFor example: https://rms.treyresearch.net:443/_wmcs/licensing. Diese Informationen können Sie in der Active Directory Rights Management Services-Konsole finden, wenn Sie auf den Clusternamen klicken und sich die Clusterdetails ansehen.You can find this information in the Active Directory Rights Management Services console when you click the cluster name and view the Cluster Details information. Wenn Sie sehen, dass die URL die Portnummer 443 enthält, fügen Sie diesen Wert beim Ändern des Skripts hinzu.If you see the port number 443 included in the URL, include this value when you modify the script. Beispiel: https://rms.treyresearch.net:443.For example, https://rms.treyresearch.net:443.

    Wenn Sie Ihre Azure Rights Management Service-URL für * < yourtenanturl > *abrufen müssen, informieren Sie sich unter, um Ihre Azure Rights Management Dienst-URL zu identifizieren.If you need to retrieve your Azure Rights Management service URL for <YourTenantURL>, refer back to To identify your Azure Rights Management service URL.

  3. Konfigurieren Sie Ihre Skriptbereitstellungsmethoden mithilfe der Anweisungen am Anfang dieses Schritts, um Migrate-Client.cmd und Migrate-User.cmd auf den Windows-Clientcomputern auszuführen, die von den Mitgliedern der Gruppe „AIPMigrated“ verwendet werden.Using the instructions at the beginning of this step, configure your script deployment methods to run Migrate-Client.cmd and Migrate-User.cmd on the Windows client computers that are used by the members of the AIPMigrated group.

Nächste SchritteNext steps

Fahren Sie mit Phase 4: Unterstützung der Dienstekonfiguration fort, um die Migration fortzusetzen.To continue the migration, go to phase 4 -supporting services configuration.