Fase di migrazione 3 - Configurazione lato client
Usare le informazioni seguenti per la fase 3 della migrazione da AD RMS ad Azure Information Protection. Queste procedure illustrano il passaggio 7 della migrazione da AD RMS ad Azure Information Protection.
Passaggio 7: Riconfigurare i computer Windows per l'uso di Azure Information Protection
Riconfigurare i computer Windows per usare Azure Information Protection usando uno dei metodi seguenti:
Reindirizzamento DNS. Metodo più semplice e preferito, se supportato.
Supportato per i computer Windows che usano app desktop di Office 2016 o versioni successive, tra cui:
- App di Microsoft 365
- Office 2019
- Fare clic su Office 2016 per eseguire app desktop
Richiede di creare un nuovo record SRV e impostare un'autorizzazione NTFS Deny per gli utenti nell'endpoint di pubblicazione DI AD RMS.
Per altre informazioni, vedere Riconfigurazione client tramite reindirizzamento DNS.
Modifiche al Registro di sistema. Rilevante per tutti gli ambienti supportati, inclusi entrambi:
- Computer Windows che usano le app desktop di Office 2016 o versioni successive, come indicato in precedenza
- Computer Windows che usano altre app
Apportare le modifiche necessarie al Registro di sistema manualmente oppure modificare e distribuire script scaricabili per apportare automaticamente le modifiche al Registro di sistema.
Per altre informazioni, vedere Riconfigurazione del client tramite le modifiche del Registro di sistema.
Suggerimento
Se si dispone di una combinazione di versioni di Office che possono e non possono usare il reindirizzamento DNS, è possibile usare una combinazione di reindirizzamento DNS e modificare il Registro di sistema o modificare il Registro di sistema come un unico metodo per tutti i computer Windows.
Riconfigurazione del client tramite reindirizzamento DNS
Questo metodo è adatto solo per i client Windows che eseguono app di Microsoft 365 e Office 2016 (o versioni successive) per le app desktop a portata di clic.
Creare un record SRV DNS usando il formato seguente:
_rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.Per <il cluster> AD RMS, specificare il nome di dominio completo del cluster AD RMS. Ad esempio, rmscluster.contoso.com.
Il <numero di porta> viene ignorato.
Per <l'URL> del tenant specificare il proprio URL del servizio Azure Rights Management per il tenant.
Se si usa il ruolo Server DNS in Windows Server, è possibile usare la tabella seguente come esempio come specificare le proprietà del record SRV nella console di Gestione DNS.
Campo Valore Dominio _tcp.rmscluster.contoso.com Servizio _rmsredir Protocollo _http Priorità 0 Weight 0 Numero di porta 80 Host che offre questo servizio 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com Impostare un'autorizzazione di negazione per l'endpoint di pubblicazione di AD RMS per gli utenti che eseguono app di Microsoft 365 o Office 2016 (o versioni successive):
a. In uno dei server AD RMS del cluster avviare la console di Gestione Internet Information Services (IIS).
b. Passare a Sito Web predefinito ed espandere _wmcs.
c. Fare clic con il pulsante destro del mouse sulle licenze e scegliere Passa alla visualizzazione contenuto.
d. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su license.asmx>Proprietà Modifica>
e. Nella finestra di dialogo Autorizzazioni per license.asmx selezionare Utenti se si desidera impostare il reindirizzamento per tutti gli utenti oppure fare clic su Aggiungi e quindi specificare un gruppo contenente gli utenti da reindirizzare.
Anche se tutti gli utenti usano una versione di Office che supporta il reindirizzamento DNS, potrebbe essere preferibile specificare inizialmente un subset di utenti per una migrazione in più fasi.
f. Per il gruppo selezionato, selezionare Nega per Read &Execute e l'autorizzazione Lettura, quindi fare clic due volte su OK.
g. Per verificare che questa configurazione funzioni come previsto, provare a connettersi al file licensing.asmx direttamente da un browser. Verrà visualizzato il messaggio di errore seguente, che attiva il client che esegue le app di Microsoft 365 o Office 2019 o Office 2016 per cercare il record SRV:
Messaggio di errore 401.3: non si dispone delle autorizzazioni necessarie per visualizzare la directory o la pagina usando le credenziali specificate (accesso negato a causa di elenchi Controllo di accesso).
Riconfigurazione del client tramite le modifiche del Registro di sistema
Questo metodo è adatto a tutti i client Windows e deve essere usato se non eseguono app di Microsoft 365 o Office 2016 (o versioni successive). Questo metodo usa due script di migrazione per riconfigurare i client AD RMS:
Migrate-Client.cmd
Migrate-User.cmd
Lo script di configurazione client (Migrate-Client.cmd) configura le impostazioni a livello di computer nel Registro di sistema, il che significa che deve essere eseguito in un contesto di sicurezza in grado di apportare tali modifiche. Questo significa in genere uno dei metodi seguenti:
Usare Criteri di gruppo per eseguire lo script come script di avvio del computer.
Usare l'installazione software di Criteri di gruppo per assegnare lo script al computer.
Usare una soluzione di distribuzione software per distribuire lo script nei computer. Ad esempio, usare pacchetti e programmi di System Center Configuration Manager. Nelle proprietà del pacchetto e del programma, in Modalità di esecuzione, specificare che lo script viene eseguito con autorizzazioni amministrative nel dispositivo.
Usare uno script di accesso se l'utente dispone di privilegi di amministratore locale.
Lo script di configurazione utente (Migrate-User.cmd) configura le impostazioni a livello di utente e pulisce l'archivio licenze client. Questo significa che questo script deve essere eseguito nel contesto dell'utente effettivo. Ad esempio:
Usare uno script di accesso.
Usare l'installazione software di Criteri di gruppo per pubblicare lo script per l'esecuzione dell'utente.
Usare una soluzione di distribuzione software per distribuire lo script agli utenti. Ad esempio, usare pacchetti e programmi di System Center Configuration Manager. Nelle proprietà del pacchetto e del programma, in Modalità di esecuzione, specificare che lo script viene eseguito con le autorizzazioni dell'utente.
Chiedere all'utente di eseguire lo script quando ha eseguito l'accesso al computer.
I due script includono un numero di versione e non vengono rieseguiti finché questo numero di versione non viene modificato. Ciò significa che è possibile lasciare invariati gli script fino al completamento della migrazione. Tuttavia, se si apportano modifiche agli script che si desidera che i computer e gli utenti eseguino nuovamente nei computer Windows, aggiornare la riga seguente in entrambi gli script con un valore superiore:
SET Version=20170427
Lo script di configurazione utente è progettato per l'esecuzione dopo lo script di configurazione client e usa il numero di versione in questo controllo. Si arresta se lo script di configurazione client con la stessa versione non è stato eseguito. Questo controllo garantisce che i due script vengano eseguiti nella sequenza corretta.
Quando non è possibile eseguire la migrazione di tutti i client Windows contemporaneamente, eseguire le procedure seguenti per batch di client. Per ogni utente che ha un computer Windows di cui si vuole eseguire la migrazione nel batch, aggiungere l'utente al gruppo AIPMigrated creato in precedenza.
Modifica degli script per le modifiche del Registro di sistema
Tornare agli script di migrazione, Migrate-Client.cmd e Migrate-User.cmd, estratti in precedenza durante il download di questi script nella fase di preparazione.
Seguire le istruzioni in Migrate-Client.cmd per modificare lo script in modo che contenga l'URL del servizio Azure Rights Management del tenant e anche i nomi dei server per l'URL delle licenze Extranet del cluster AD RMS e l'URL delle licenze Intranet. Incrementare quindi la versione dello script, illustrata in precedenza. Una procedura consigliata per tenere traccia delle versioni degli script consiste nell'usare la data odierna nel formato seguente: AAAAMMGG
Importante
Come in precedenza, prestare attenzione a non introdurre spazi aggiuntivi prima o dopo gli indirizzi.
Inoltre, se i server AD RMS usano certificati server SSL/TLS, controllare se i valori dell'URL di licenza includono il numero di porta 443 nella stringa. Ad esempio:
https://rms.treyresearch.net:443/_wmcs/licensing.è possibile trovare queste informazioni nella console di Active Directory Rights Management Services quando si fa clic sul nome del cluster e si visualizzano le informazioni sui dettagli del cluster. Se viene visualizzato il numero di porta 443 incluso nell'URL, includere questo valore quando si modifica lo script. Ad esempio,https://rms.treyresearch.net:443.Se è necessario recuperare l'URL del servizio Azure Rights Management per <YourTenantURL>, fare riferimento a Per identificare l'URL del servizio Azure Rights Management.
Usando le istruzioni all'inizio di questo passaggio, configurare i metodi di distribuzione dello script per eseguire Migrate-Client.cmd e Migrate-User.cmd nei computer client Windows usati dai membri del gruppo AIPMigrated.
Passaggi successivi
Per continuare la migrazione, passare alla fase 4 - Configurazione dei servizi di supporto.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per