Migratiefase 3: configuratie aan de clientzijde

Van toepassing op: Active Directory Rights Management Services, Azure Information Protection, Office 365

Relevant voor: Client voor eenduidige AIP-labels en klassieke client

Notitie

Om een geïntegreerde en gestroomlijnde klant ervaring te bieden, zijn de Azure Information Protection klassieke client en Label beheer in azure Portal verouderd vanaf 31 maart 2021. Terwijl de klassieke client blijft werken zoals geconfigureerd, wordt er geen verdere ondersteuning geboden en worden er geen onderhouds versies meer vrijgegeven voor de klassieke client.

We raden u aan om te migreren naar Unified labels en een upgrade uit te voeren naar de Unified labeling-client. Meer informatie vindt u in onze recente blog voor afschaffing.

Gebruik de volgende informatie voor fase 3 van de migratie van AD RMS naar Azure Information Protection. Deze procedures beslaan stap 7 van Migreren van AD RMS naar Azure Information Protection.

Stap 7. De computers Windows opnieuw configureren voor het gebruik van Azure Information Protection

Configureer uw Windows computers opnieuw voor het gebruik Azure Information Protection een van de volgende methoden:

  • DNS-omleiding. Eenvoudigste en voorkeursmethode, indien ondersteund.

    Ondersteund voor Windows computers die gebruikmaken van Office 2016 of hoger click-to-run desktop-apps, waaronder:

    • Microsoft 365-apps
    • Office 2019
    • Office 2016 klikken om bureaublad-apps uit te voeren

    Hiervoor moet u een nieuwe SRV-record maken en een NTFS-machtiging voor weigeren instellen voor gebruikers op het AD RMS publicatie-eindpunt.

    Zie Client herconfiguratie met behulp van DNS-omleiding voor meer informatie.

  • In het register wordt bewerkt. Relevant voor alle ondersteunde omgevingen, met inbegrip van beide:

    • Windows computers die gebruikmaken van Office 2016 of hoger klikken om bureaublad-apps uit te voeren, zoals hierboven wordt vermeld
    • Windows computers die gebruikmaken van andere apps

    Maak de vereiste registerwijzigingen handmatig of bewerk en implementeer downloadbare scripts om de registerwijzigingen voor u aan te brengen.

    Zie Herconfiguratie van client met behulp van registerbewerkingen voor meer informatie.

Tip

Als u een combinatie van Office-versies hebt die dns-omleiding wel en niet kunnen gebruiken, kunt u een combinatie van DNS-omleiding gebruiken en het register bewerken of het register bewerken als één methode voor alle Windows-computers.

Client herconfiguratie met behulp van DNS-omleiding

Deze methode is alleen geschikt voor clients Windows met Microsoft 365-apps en Office 2016 (of hoger) klik-en-en-voer bureaublad-apps uit.

  1. Maak een DNS SRV-record met de volgende indeling:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.
    

    Geef <AD RMS cluster> voor de FQDN van uw AD RMS cluster op. U kunt bijvoorbeeld rmscluster.contoso.com.

    Het <port> getal wordt genegeerd.

    Geef <your tenant URL> voor uw eigen url Azure Rights Management service voor uw tenant op.

    Als u de functie DNS-server op Windows Server gebruikt, kunt u de volgende tabel als voorbeeld gebruiken om de eigenschappen van de SRV-record op te geven in de DNS Manager-console.

    Veld Waarde
    Domein _tcp.rmscluster.contoso.com
    Service _rmsredir
    Protocol _http
    Priority 0
    Gewicht 0
    Poortnummer 80
    Host die deze service aanbiedt 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. Stel een machtiging voor weigeren in op AD RMS publicatie-eindpunt voor gebruikers die Microsoft 365 apps of Office 2016 (of hoger):

    a. Start op een van AD RMS servers in het cluster de Internet Information Services (IIS) Manager-console.

    b. Navigeer naar Standaardwebsite en vouw _wmcs.

    c. Klik met de rechtermuisknop op licentieverlening en selecteer Overschakelen naar inhoudsweergave.

    d. Klik in het detailvenster met de rechtermuisknop op license.asmx > Properties > Edit

    e. Selecteer in het dialoogvenster Machtigingen voor license.asmx de optie Gebruikers als u omleiding voor alle gebruikers wilt instellen of klik op Toevoegen en geef vervolgens een groep op met de gebruikers die u wilt omleiden.

    Zelfs als al uw gebruikers een versie van Office gebruiken die DNS-omleiding ondersteunt, kunt u in eerste instantie een subset van gebruikers opgeven voor een gefaseerd migreren.

    f. Selecteer voor de geselecteerde groep Weigeren voor de & uitvoeren en de machtiging Lezen en klik vervolgens twee keer op OK.

    g. Als u wilt controleren of deze configuratie werkt zoals verwacht, probeert u rechtstreeks vanuit een browser verbinding te maken met het bestand licensing.asmx. U ziet het volgende foutbericht, waarmee de client met Microsoft 365-apps of Office 2019 of Office 2016 wordt triggers om te zoeken naar de SRV-record:

    Foutbericht 401.3: U hebt geen machtigingen om deze map of pagina weer te geven met behulp van de referenties die u hebt opgegeven (toegang geweigerd vanwege Access Control lijsten).

De client opnieuw configureren door het register te bewerken

Deze methode is geschikt voor alle Windows-clients en moet worden gebruikt als deze niet worden uitgevoerd Microsoft 365 apps of Office 2016 (of hoger). Bij deze methode worden twee migratiescripts gebruikt om de AD RMS configureren:

  • Migrate-Client.cmd

  • Migrate-User.cmd

Het clientconfiguratiescript (Migrate-Client.cmd) configureert instellingen op computerniveau in het register, wat betekent dat het moet worden uitgevoerd in een beveiligingscontext die deze wijzigingen kan aanbrengen. Dit betekent doorgaans een van de volgende methoden:

  • Gebruik groepsbeleid om het script uit te voeren als een opstartscript voor de computer.

  • Gebruik de installatie van software voor groepsbeleid om het script toe te wijzen aan de computer.

  • Gebruik een oplossing voor software-implementatie om het script op de computers te implementeren. Gebruik bijvoorbeeld System Center Configuration Manager en programma's. Geef in de eigenschappen van het pakket en programma onder Modus uitvoeren op dat het script wordt uitgevoerd met beheerdersmachtigingen op het apparaat.

  • Gebruik een aanmeldingsscript als de gebruiker lokale beheerdersbevoegdheden heeft.

Het gebruikersconfiguratiescript (Migrate-User.cmd) configureert instellingen op gebruikersniveau en schoont het clientlicentieopslag op. Dit betekent dat dit script moet worden uitgevoerd in de context van de werkelijke gebruiker. Bijvoorbeeld:

  • Gebruik een aanmeldingsscript.

  • Gebruik de installatie van software voor groepsbeleid om het script te publiceren dat de gebruiker kan uitvoeren.

  • Gebruik een oplossing voor software-implementatie om het script voor de gebruikers te implementeren. Gebruik bijvoorbeeld System Center Configuration Manager en programma's. Geef in de eigenschappen van het pakket en programma onder Run mode op dat het script wordt uitgevoerd met de machtigingen van de gebruiker.

  • Vraag de gebruiker om het script uit te voeren wanneer deze is aangemeld bij de computer.

De twee scripts bevatten een versienummer en worden pas opnieuw uitvoeren als dit versienummer is gewijzigd. Dit betekent dat u de scripts kunt laten staan totdat de migratie is voltooid. Als u echter wijzigingen aan de scripts aan aangebracht die computers en gebruikers opnieuw moeten uitvoeren op hun Windows-computers, moet u de volgende regel in beide scripts bijwerken naar een hogere waarde:

SET Version=20170427

Het gebruikersconfiguratiescript is ontworpen om te worden uitgevoerd na het clientconfiguratiescript en gebruikt het versienummer in deze controle. Deze wordt gestopt als het clientconfiguratiescript met dezelfde versie niet is uitgevoerd. Deze controle zorgt ervoor dat de twee scripts in de juiste volgorde worden uitgevoerd.

Wanneer u niet alle clients tegelijk Windows migreren, moet u de volgende procedures uitvoeren voor batches van clients. Elke gebruiker die een Windows-computer heeft en die u wilt migreren in de batch, kunt u toevoegen aan de groep AIPMigrated die u eerder hebt gemaakt.

De scripts wijzigen voor registerbewerkingen

  1. Ga terug naar de migratiescripts Migrate-Client.cmd en Migrate-User.cmd, die u eerder hebt geëxtraheerd toen u deze scripts in de voorbereidingsfase downloadde.

  2. Volg de instructies in Migrate-Client.cmd om het script zo te wijzigen dat het de URL van de Azure Rights Management-service van uw tenant bevat, en ook de servernamen voor de extranetlicentie-URL van uw AD RMS-cluster en intranetlicentie-URL. Vervolgens verhoogt u de scriptversie, die eerder is uitgelegd. Een goede gewoonte voor het bijhouden van scriptversies is om de datum van vandaag te gebruiken in de volgende indeling: YYYYMMDD

    Belangrijk

    Let er ook nu weer op dat u geen extra spaties vóór of na de adressen invoegt.

    Bovendien moet u controleren of in de waarde van de licentieverlenings-URL het poortnummer 443 in de tekenreeks is opgenomen, als uw AD RMS-servers SSL/TLS-servercertificaten gebruiken. Bijvoorbeeld: https://rms.treyresearch.net:443/_wmcs/licensing. U vindt deze informatie in de Active Directory Rights Management Services console wanneer u op de clusternaam klikt en de clusterdetails bekijkt. Als u ziet dat het poortnummer 443 is opgenomen in de URL, moet u deze waarde opnemen als u het script wijzigt. Bijvoorbeeld https://rms.treyresearch.net: 443.

    Als u de URL van uw Azure Rights Management voor < YourTenantURL > wilt ophalen, raadpleegt u Om de URL van uw Azure Rights Management te identificeren.

  3. Configureer aan de hand van de instructies aan het begin van deze stap uw scriptimplementatiemethoden om Migrate-Client.cmd en Migrate-User.cmd uit te voeren op de Windows-clientcomputers die worden gebruikt door de leden van de AIPMigrated-groep.

Volgende stappen

Als u wilt doorgaan met de migratie, gaat u naar fase 4 - configuratie van ondersteuningsservices.