Phase de migration 3 : Configuration côté clientMigration phase 3 - client-side configuration

S’applique à : Services AD RMS (Active Directory Rights Management Services), Azure Information Protection, Office 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Utilisez les informations suivantes pour la Phase 3 de la migration d’AD RMS vers Azure Information Protection.Use the following information for Phase 3 of migrating from AD RMS to Azure Information Protection. Ces procédures couvrent l’étape 7 de la rubrique Migration d’AD RMS vers Azure Information Protection.These procedures cover step 7 from Migrating from AD RMS to Azure Information Protection.

Étape 7.Step 7. Reconfigurer les ordinateurs Windows pour qu’ils utilisent Azure Information ProtectionReconfigure Windows computers to use Azure Information Protection

Pour les ordinateurs Windows qui utilisent des applications de bureau Office 2016 « Démarrer en un clic » :For Windows computers that use Office 2016 click-to-run desktop apps:

  • Vous pouvez reconfigurer ces clients pour qu’ils utilisent Azure Information Protection à l’aide de la redirection DNS.You can reconfigure these clients to use Azure Information Protection by using DNS redirection. Cette méthode est recommandée pour la migration des clients car elle est la plus simple.This is the preferred method for client migration because it is the simplest. Toutefois, cette méthode est limitée aux applications de bureau Office 2016 « Démarrer en un clic » (ou ultérieur) pour les ordinateurs Windows.However, this method is restricted to Office 2016 (or later) click-to-run desktop apps for Windows computers.

    S vous utilisez cette méthode, vous devez créer un enregistrement SRV et définir une autorisation de refus NTFS pour les utilisateurs sur le point de terminaison de publication AD RMS.This method requires you to create a new SRV record, and set an NTFS deny permission for users on the AD RMS publishing endpoint.

  • Pour les ordinateurs Windows qui n’utilisent pas Office 2016 « Démarrer en un clic » :For Windows computers that don't use Office 2016 click-to-run:

    Vous ne pouvez pas utiliser la redirection DNS. Vous devez utiliser des modifications du Registre à la place.You cannot use DNS redirection and instead, must use registry edits. Si vous utilisez à la fois Office 2016 et d’autres versions d’Office, vous pouvez recourir à cette méthode unique pour tous les ordinateurs Windows ou combiner la redirection DNS et les modifications du Registre.If you have a mix of Office 2016 and other versions of Office, you can use this single method for all Windows computers, or a combination of DNS redirection and editing the registry.

    Pour changer plus facilement le Registre, vous pouvez modifier et déployer des scripts disponibles en téléchargement.The registry changes are made easier for you by editing and deploying scripts that you can download.

Pour plus d’informations sur la reconfiguration des clients Windows, consultez les sections suivantes.See the following sections for more information about how to reconfigure Windows clients.

Reconfiguration des clients à l’aide de la redirection DNSClient reconfiguration by using DNS redirection

Cette méthode convient uniquement aux clients Windows qui exécutent des applications de bureau Office 2016 (ou ultérieur) « Démarrer en un clic ».This method is suitable only for Windows clients that run Office 2016 (or later) click-to-run desktop apps.

  1. Créez un enregistrement DNS SRVS au format suivant :Create a DNS SRV record using the following format:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.

    Remplacez <AD RMS cluster> par le nom de domaine complet de votre cluster AD RMS.For <AD RMS cluster>, specify the FQDN of your AD RMS cluster. Par exemple, rmscluster.contoso.com.For example, rmscluster.contoso.com.

    Si vous n’avez qu’un seul cluster AD RMS dans ce domaine, vous pouvez spécifier uniquement le nom de domaine du cluster AD RMS.Alternatively, if you have just one AD RMS cluster in that domain, you can specify just the domain name of the AD RMS cluster. Dans notre exemple, il s’agit de contoso.com. Quand vous spécifiez le nom de domaine dans cet enregistrement, la redirection s’applique à tous les clusters AD RMS de ce domaine.In our example, that would be contoso.com. When you specify the domain name in this record, the redirection applies to any and all AD RMS clusters in that domain.

    Le numéro de <port> est ignoré.The <port> number is ignored.

    Remplacez <your tenant URL> par votre propre URL du service Azure Rights Management pour votre locataire.For <your tenant URL>, specify your own Azure Rights Management service URL for your tenant.

    Si vous utilisez le rôle de serveur DNS sur Windows Server, vous pouvez utiliser le tableau suivant en guise d’exemple pour spécifier les propriétés d’un enregistrement SRV dans la console Gestionnaire DNS.If you use the DNS Server role on Windows Server, you can use the following table as an example how to specify the SRV record properties in the DNS Manager console.

    ChampField ValeurValue
    DomaineDomain _tcp.rmscluster.contoso.com_tcp.rmscluster.contoso.com
    ServiceService _rmsredir_rmsredir
    ProtocoleProtocol _http_http
    PrioritéPriority 00
    PoidsWeight 00
    Numéro de portPort number 8080
    Hôte offrant ce serviceHost offering this service 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. Définissez une autorisation Refuser pour les utilisateurs Office 2016 sur le point de terminaison de publication AD RMS :Set a deny permission for the Office 2016 users on the AD RMS publishing endpoint:

    a.a. Sur l’un de vos serveurs AD RMS dans le cluster, démarrez la console Gestionnaire des services Internet (IIS).On one of your AD RMS servers in the cluster, start the Internet Information Services (IIS) Manager console.

    b.b. Accédez à Site web par défaut > _wmcs > licensing > licensing.asmxNavigate to Default Web Site > _wmcs > licensing > licensing.asmx

    c.c. Cliquez avec le bouton droit sur licensing.asmx > Propriétés > ModifierRight-click licensing.asmx > Properties > Edit

    d.d. Dans la boîte de dialogue Autorisations pour licensing.asmx, sélectionnez Utilisateurs si vous souhaitez définir la redirection pour tous les utilisateurs, ou cliquez sur Ajouter et spécifiez un groupe contenant les utilisateurs à rediriger.In the Permissions for licensing.asmx dialog box, either select Users if you want to set redirection for all users, or click Add and then specify a group that contains the users that you want to redirect.

    Même si tous vos utilisateurs se servent d’Office 2016, vous préférerez peut-être spécifier initialement un sous-ensemble d’utilisateurs pour une migration en plusieurs phases.Even if all your users are using Office 2016, you might prefer to initially specify a subset of users for a phased migration.

    e.e. Pour votre groupe sélectionné, sélectionnez Refuser pour les autorisations Lecture et exécution et Lecture, puis cliquez deux fois sur OK.For your selected group, select Deny for the Read & Execute and the Read permission, and then click OK twice.

    f.f. Pour vérifier que cette configuration fonctionne comme prévu, essayez de vous connecter au fichier licensing.asmx directement à partir d’un navigateur.To confirm this configuration is working as expected, try to connect to the licensing.asmx file directly from a browser. Le message d’erreur suivant doit s’afficher. Le client exécutant Office 2016 recherche alors l’enregistrement SRV :You should see the following error message, which triggers the client running Office 2016 to look for the SRV record:

    Message d’erreur 401.3 : vous ne disposez pas des autorisations permettant d’afficher ce répertoire ou cette page à l’aide des informations d’identification que vous avez fournies (accès refusé en raison des listes de contrôle d’accès).Error message 401.3: You do not have permissions to view this directory or page using the credentials you supplied (access denied due to Access Control Lists).

Reconfiguration du client à l’aide des modifications du RegistreClient reconfiguration by using registry edits

Cette méthode convient à tous les clients Windows. Vous devez l’utiliser si les clients exécutent une version antérieure à Office 2016.This method is suitable for all Windows clients and should be used if they do not run Office 2016 but an earlier version. Cette méthode utilise deux scripts de migration pour reconfigurer les clients AD RMS :This method uses two migration scripts to reconfigure AD RMS clients:

  • Migrate-Client.cmdMigrate-Client.cmd

  • Migrate-User.cmdMigrate-User.cmd

Le script de configuration du client (Migrate-Client.cmd) configure les paramètres au niveau de l’ordinateur dans le Registre, ce qui signifie qu’il doit s’exécuter dans un contexte de sécurité pouvant effectuer ces changements.The client configuration script (Migrate-Client.cmd) configures computer-level settings in the registry, which means that it must run in a security context that can make those changes. Cela signifie généralement l’une des méthodes suivantes :This typically means one of the following methods:

  • Utiliser la stratégie de groupe pour exécuter le script comme script de démarrage de l’ordinateurUse group policy to run the script as a computer startup script.

  • Utiliser l’installation des logiciels de la stratégie de groupe pour affecter le script à l’ordinateurUse group policy software installation to assign the script to the computer.

  • Utiliser une solution de déploiement de logiciels pour déployer le script sur les ordinateursUse a software deployment solution to deploy the script to the computers. Par exemple, utilisez les packages et les programmes System Center Configuration Manager.For example, use System Center Configuration Manager packages and programs. Dans les propriétés du package et du programme, sous Mode d’exécution, indiquez que le script s’exécute avec des autorisations administratives sur l’appareil.In the properties of the package and program, under Run mode, specify that the script runs with administrative permissions on the device.

  • Utilisez un script d’ouverture de session si l’utilisateur dispose de privilèges d’administrateur local.Use a logon script if the user has local administrator privileges.

Le script de configuration utilisateur (Migrate-User.cmd) configure les paramètres au niveau de l’utilisateur et nettoie le magasin de licences de client.The user configuration script (Migrate-User.cmd) configures user-level settings and cleans up the client license store. Cela signifie que ce script doit s’exécuter dans le contexte de l’utilisateur réel.This means that this script must run in the context of the actual user. Par exemple :For example:

  • Utilisez un script d’ouverture de session.Use a logon script.

  • Utilisez l’installation des logiciels de la stratégie de groupe pour publier le script à exécuter par l’utilisateur.Use group policy software installation to publish the script for the user to run.

  • Utilisez une solution de déploiement de logiciels pour déployer le script sur les utilisateurs.Use a software deployment solution to deploy the script to the users. Par exemple, utilisez les packages et les programmes System Center Configuration Manager.For example, use System Center Configuration Manager packages and programs. Dans les propriétés du package et du programme, sous Mode d’exécution, indiquez que le script s’exécute avec les autorisations de l’utilisateur.In the properties of the package and program, under Run mode, specify that the script runs with the permissions of the user.

  • Demandez à l’utilisateur d’exécuter le script quand il est connecté à son ordinateur.Ask the user to run the script when they are signed in to their computer.

Les deux scripts incluent un numéro de version et ne sont pas réexécutés tant que ce numéro de version n’est pas changé.The two scripts include a version number and do not rerun until this version number is changed. Cela signifie que vous pouvez laisser les scripts en place jusqu’à ce que la migration soit terminée.This means that you can leave the scripts in place until the migration is complete. Toutefois, si vous changez les scripts que les ordinateurs et les utilisateurs doivent réexécuter sur leurs ordinateurs Windows, modifiez la ligne suivante dans les deux scripts avec une valeur plus élevée :However, if you do make changes to the scripts that you want computers and users to rerun on their Windows computers, update the following line in both scripts to a higher value:

SET Version=20170427

Le script de configuration de l’utilisateur, conçu pour s’exécuter après le script de configuration du client, utilise le numéro de version dans cette vérification.The user configuration script is designed to run after the client configuration script, and uses the version number in this check. Il s’arrête si le script de configuration du client avec la même version n’a pas été exécuté.It stops if the client configuration script with the same version has not run. Cette vérification garantit que les deux scripts sont exécutés dans la bonne séquence.This check ensures that the two scripts run in the right sequence.

Quand vous ne pouvez pas migrer tous vos clients Windows à la fois, exécutez les procédures suivantes pour des lots de clients.When you cannot migrate all your Windows clients at once, run the following procedures for batches of clients. Pour chaque utilisateur disposant d’un ordinateur Windows que vous souhaitez migrer dans votre lot, ajoutez l’utilisateur au groupe AIPMigrated que vous avez créé précédemment.For each user who has a Windows computer that you want to migrate in your batch, add the user to the AIPMigrated group that you created earlier.

Modification des scripts pour les modifications du RegistreModifying the scripts for registry edits

  1. Retournez aux scripts de migration Migrate-Client.cmd et Migrate-User.cmd que vous avez extraits après les avoir téléchargés au cours de la phase de préparation.Return to the migration scripts, Migrate-Client.cmd and Migrate-User.cmd, which you extracted previously when you downloaded these scripts in the preparation phase.

  2. Suivez les instructions de Migrate-Client.cmd pour modifier le script afin qu’il contienne l’URL du service Azure Rights Management de votre locataire ainsi que les noms des serveurs pour les URL de licences extranet et intranet du cluster AD RMS.Follow the instructions in Migrate-Client.cmd to modify the script so that it contains your tenant's Azure Rights Management service URL, and also your server names for your AD RMS cluster extranet licensing URL and intranet licensing URL. Ensuite, incrémentez la version du script comme expliqué précédemment.Then, increment the script version, which was previously explained. Une bonne pratique pour le suivi des versions de script consite à utiliser la date d’aujourd’hui au format suivant : AAAAMMJJ.A good practice for tracking script versions is to use today’s date in the following format: YYYYMMDD

    Important

    Comme avant, veillez à ne pas introduire d’espaces supplémentaires avant ou après les adresses.As before, be careful not to introduce additional spaces before or after your addresses.

    De plus, si vos serveurs AD RMS utilisent des certificats de serveur SSL/TLS, vérifiez si les valeurs des URL de licence incluent le numéro de port 443 dans la chaîne.In addition, if your AD RMS servers use SSL/TLS server certificates, check whether the licensing URL values include the port number 443 in the string. Par exemple : https://rms.treyresearch.net:443/_wmcs/licensing.For example: https://rms.treyresearch.net:443/_wmcs/licensing. Ces informations sont disponibles dans la console Active Directory Rights Management Services quand vous cliquez sur le nom du cluster et que vous consultez les informations Détails du cluster.You can find this information in the Active Directory Rights Management Services console when you click the cluster name and view the Cluster Details information. Si vous voyez le numéro de port 443 dans l’URL, incluez cette valeur quand vous modifiez le script.If you see the port number 443 included in the URL, include this value when you modify the script. Par exemple : https://rms.treyresearch.net:443.For example, https://rms.treyresearch.net:443.

    Si vous devez récupérer l’URL du service Azure Rights Management pour <URLdevotrelocataire>, consultez Pour identifier l’URL du service Azure Rights Management.If you need to retrieve your Azure Rights Management service URL for <YourTenantURL>, refer back to To identify your Azure Rights Management service URL.

  3. À l’aide des instructions fournies au début de cette étape, configurez les méthodes de déploiement de votre script pour exécuter Migrate-Client.cmd et Migrate-User.cmd sur les ordinateurs clients Windows utilisés par les membres du groupe AIPMigrated.Using the instructions at the beginning of this step, configure your script deployment methods to run Migrate-Client.cmd and Migrate-User.cmd on the Windows client computers that are used by the members of the AIPMigrated group.

Étapes suivantesNext steps

Pour poursuivre la migration, passez à la Phase 4 : Configuration des services de prise en charge.To continue the migration, go to phase 4 -supporting services configuration.

CommentairesComments

Avant de transmettre vos commentaires, nous vous demandons de consulter notre règlement interne.Before commenting, we ask that you review our House rules.