Migration phase 3 : configuration côté client

  • Article

Utilisez les informations suivantes pour la phase 3 de la migration d’AD RMS vers Azure Information Protection. Ces procédures couvrent l’étape 7 de la migration d’AD RMS vers Azure Information Protection.

Étape 7 : Reconfigurer les ordinateurs Windows pour utiliser Azure Information Protection

Reconfigurez vos ordinateurs Windows pour utiliser Azure Information Protection à l’aide de l’une des méthodes suivantes :

  • Redirection DNS. Méthode la plus simple et préférée, lorsqu’elle est prise en charge.

    Pris en charge pour les ordinateurs Windows qui utilisent Office 2016 ou version ultérieure, notamment :

    • Applications Microsoft 365
    • Office 2019
    • Office 2016 cliquez pour exécuter des applications de Office

    Vous devez créer un enregistrement SRV et définir une autorisation de refus NTFS pour les utilisateurs sur le point de terminaison de publication AD RMS.

    Pour plus d’informations, consultez Reconfiguration du client à l’aide de la redirection DNS.

  • Modification du registre. Pertinent pour tous les environnements pris en charge, y compris les deux :

    • Les ordinateurs Windows qui utilisent les applications de Office d'Office 2016 ou d'une version ultérieure, telles que listées ci-dessus.
    • Ordinateurs Windows qui utilisent d’autres applications

    Apportez manuellement les modifications requises au Registre, ou modifiez et déployez des scripts téléchargeables pour apporter les modifications de Registre à votre place.

    Pour plus d’informations, consultez Reconfiguration du client à l’aide des modifications du Registre.

Conseil

Si vous avez un mélange de versions Office qui peuvent et ne peuvent pas utiliser la redirection DNS, vous pouvez utiliser une combinaison de redirection DNS et modifier le Registre en tant que méthode unique pour tous les ordinateurs Windows.

Reconfiguration du client à l’aide de la redirection DNS

Cette méthode convient uniquement aux clients Windows qui exécutent Microsoft 365 Apps et Office 2016 (ou version ultérieure) des applications bureautiques en un clic.

  1. Créez un enregistrement SRV DNS au format suivant :

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    Pour <le cluster AD RMS>, spécifiez le FQDN de votre cluster AD RMS. Par exemple, rmscluster.contoso.com.

    Le numéro de <port> est ignoré.

    Pour <votre URL client>, spécifiez votre propre URL de service Azure Rights Management pour votre client.

    Si vous utilisez le rôle serveur DNS sur Windows Server, vous pouvez utiliser le tableau suivant comme exemple comment spécifier les propriétés d’enregistrement SRV dans la console de gestion DNS.

    Champ Valeur
    Domaine _tcp.rmscluster.contoso.com
    service _rmsredir
    Protocole _http
    Priorité 0
    Poids 0
    Numéro de port 80
    Hôte offrant ce service 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com

  2. Définissez une autorisation de refus sur le point de terminaison de publication AD RMS pour les utilisateurs exécutant Microsoft 365 Apps ou Office 2016 (ou version ultérieure) :

    a. Sur l’un de vos serveurs AD RMS dans le cluster, démarrez la console de gestion Internet Information Services (IIS).

    b. Accédez au site web par défaut et développez _wmcs.

    c. Faire un clic droit sur licence et sélectionner Basculer vers le mode contenu.

    d. Dans le volet détails, faire un clic droit sur license.asmx>Propriétés>Modifier

    e. Dans la zone de dialogue Autorisations pour license.asmx , sélectionnez Utilisateurs si vous souhaitez définir la redirection pour tous les utilisateurs, ou cliquez sur Ajouter , puis spécifiez un groupe qui contient les utilisateurs que vous souhaitez rediriger.

    Même si tous vos utilisateurs utilisent une version d’Office qui prend en charge la redirection DNS, vous préférerez peut-être spécifier initialement un sous-ensemble d’utilisateurs pour une migration par phases.

    f. Pour votre groupe sélectionné, sélectionnez Refuser pour l’autorisation Lecture et Exécution,puis cliquez deux fois sur OK.

    g. Pour confirmer que cette configuration fonctionne comme prévu, essayez de vous connecter au fichier licensing.asmx directement à partir d’un navigateur. Vous devez voir le message d’erreur suivant, qui déclenche le client exécutant Microsoft 365 Apps ou Office 2019 ou Office 2016 pour rechercher l’enregistrement SRV :

    Message d’erreur 401.3 : Vous n’avez pas les autorisations nécessaires pour afficher ce répertoire ou cette page à l’aide des informations d’identification que vous avez fournies (accès refusé en raison de listes de contrôle d’accès).

Reconfiguration du client à l’aide des modifications du Registre

Cette méthode convient à tous les clients Windows et doit être utilisée s’ils n’exécutent pas Microsoft 365 Apps, ou Office 2016 (ou version ultérieure). Cette méthode utilise deux scripts de migration pour reconfigurer les clients AD RMS :

  • Migrate-Client.cmd

  • Migrate-User.cmd

Le script de configuration du client (Migrate-Client.cmd) configure les paramètres au niveau de l’ordinateur dans le Registre, ce qui signifie qu’il doit s’exécuter dans un contexte de sécurité qui peut apporter ces modifications. Cela signifie généralement l’une des méthodes suivantes :

  • Utilisez la stratégie de groupe pour exécuter le script en tant que script de démarrage d’ordinateur.

  • Utilisez l’installation du logiciel de stratégie de groupe pour affecter le script à l’ordinateur.

  • Utilisez une solution de déploiement de logiciels pour déployer le script sur les ordinateurs. Par exemple, utilisez Packages et programmes dans System Center Configuration Manager. Dans les propriétés du package et du programme, sous mode Exécution, spécifiez que le script s’exécute avec des autorisations d’administration sur l’appareil.

  • Utilisez un script d’ouverture de session si l’utilisateur dispose du privilège administratif local.

Le script de configuration utilisateur (Migrate-User.cmd) configure les paramètres au niveau de l’utilisateur et propre le magasin de licences client. Cela signifie que ce script doit s’exécuter dans le contexte de l’utilisateur réel. Par exemple :

  • Utiliser un script d'ouverture de session.

  • Utilisez l’installation du logiciel de stratégie de groupe pour publier le script pour que l’utilisateur s’exécute.

  • Utilisez une solution de déploiement de logiciels pour déployer le script sur les utilisateurs. Par exemple, utilisez Packages et programmes dans System Center Configuration Manager. Dans les propriétés du package et du programme, sous mode Exécution, spécifiez que le script s’exécute avec les autorisations de l’utilisateur.

  • Demandez à l’utilisateur d’exécuter le script lorsqu’il est connecté à son ordinateur.

Les deux scripts incluent un numéro de version et ne sont pas réexécutés tant que ce numéro de version n’est pas modifié. Cela signifie que vous pouvez laisser les scripts en place tant que la migration n’est pas terminée. Toutefois, si vous apportez des modifications aux scripts que vous souhaitez que les ordinateurs et les utilisateurs réexécutent sur leurs ordinateurs Windows, mettez à jour la ligne suivante dans les deux scripts en une valeur plus élevée :

SET Version=20170427

Le script de configuration utilisateur est conçu pour s’exécuter après le script de configuration du client et utilise le numéro de version dans cette vérification. Elle s’arrête si le script de configuration du client avec la même version n’a pas été exécuté. Cette vérification garantit que les deux scripts s’exécutent dans la séquence appropriée.

Lorsque vous ne pouvez pas migrer tous vos clients Windows à la fois, exécutez les procédures suivantes pour les lots de clients. Pour chaque utilisateur disposant d’un ordinateur Windows que vous souhaitez migrer dans votre lot, ajoutez l’utilisateur au groupe AIPMigrated que vous avez créé précédemment.

Modification des scripts pour les modifications du Registre

  1. Revenez aux scripts de migration, Migrate-Client.cmd et Migrate-User.cmd, que vous avez extraits précédemment lorsque vous avez téléchargé ces scripts dans la phase de préparation.

  2. Suivez les instructions de Migrate-Client.cmd pour modifier le script afin qu'il contienne l'URL du service Azure Rights Management de votre client, ainsi que les noms de vos serveurs pour l'URL de licence extranet et l'URL de licence intranet de votre cluster AD RMS. Ensuite, incrémentez la version du script, qui a été expliquée précédemment. Une bonne pratique pour le suivi des versions de script consiste à utiliser la date d’aujourd’hui au format suivant : AAAAMMDD

    Important

    Comme avant, veillez à ne pas introduire d’espaces supplémentaires avant ou après vos adresses.

    En outre, si vos serveurs AD RMS utilisent des certificats de serveur SSL/TLS, vérification si les valeurs d’URL de licence incluent le numéro de port 443 dans la chaîne. Par exemple : https://rms.treyresearch.net:443/_wmcs/licensing. vous pouvez trouver ces informations dans la console services AD RMS (Active Directory Rights Management Services) lorsque vous cliquez sur le nom du cluster et que vous affichez les informations sur les détails du cluster. Si vous voyez le numéro de port 443 inclus dans l’URL, incluez cette valeur lorsque vous modifiez le script. Par exemple, https://rms.treyresearch.net:443.

    Si vous devez récupérer l’URL de votre service Azure Rights Management pour <YourTenantURL>, reportez-vous à La section Pour identifier votre URL de service Azure Rights Management.

  3. À l’aide des instructions au début de cette étape, configurez vos méthodes de déploiement de script pour exécuter Migrate-Client.cmd et Migrate-User.cmd sur les ordinateurs clients Windows utilisés par les membres du groupe AIPMigrated.

Étapes suivantes

Pour poursuivre la migration, accédez à la configuration des services de prise en charge de la phase 4.