Faza 3 migracji — konfiguracja po stronie klienta

Dotyczy: Usługi Active Directory Rights Management, Azure Information Protection, Office 365

Istotne dla programu : Ujednolicony klient etykietowania usługi AIP i klient klasyczny

Uwaga

Aby zapewnić ujednolicone i usprawnione środowisko klienta, Azure Information Protection klasyczny klient i zarządzanie etykietami w witrynie Azure Portal są przestarzałe od 31 marca 2021. Mimo że klasyczny klient nadal działa zgodnie z konfiguracją, nie podano dalszej pomocy technicznej i wersje konserwacji nie będą już udostępniane dla klasycznego klienta.

Zalecamy przeprowadzenie migracji do ujednoliconej etykietowania i uaktualnienia do ujednoliconego klienta etykietowania. Więcej informacji znajdziesz w naszym blogu dotyczącym wycofania.

Skorzystaj z poniższych informacji dotyczących fazy 3 migrowania z usługi AD RMS do usługi Azure Information Protection. Te procedury obejmują krok 7 z sekcji Migrowanie z usługi AD RMS do usługi Azure Information Protection.

Krok 7. Ponowne konfigurowanie Windows komputerów w celu używania Azure Information Protection

Skonfiguruj ponownie komputery Windows do używania Azure Information Protection przy użyciu jednej z następujących metod:

  • Przekierowywanie DNS. Najprostsza i preferowana metoda, jeśli jest obsługiwana.

    Obsługiwane w Windows, które używają Office 2016 lub nowszych aplikacji klasycznych uruchamianych po kliknięciu, w tym:

    • Aplikacje Microsoft 365
    • Office 2019 r.
    • Office 2016 kliknij, aby uruchomić aplikacje klasyczne

    Wymaga utworzenia nowego rekordu SRV i ustawienia uprawnienia odmowy systemu plików NTFS dla użytkowników w punkcie końcowym AD RMS publikowania.

    Aby uzyskać więcej informacji, zobacz Ponowne konfigurowanie klienta przy użyciu przekierowania DNS.

  • Rejestr edytuje . Dotyczy wszystkich obsługiwanych środowisk, w tym obu:

    • Windows komputerów, które używają Office 2016 lub nowszej, kliknij, aby uruchomić aplikacje klasyczne, jak podano powyżej
    • Windows komputerów, które korzystają z innych aplikacji

    Należy ręcznie wprowadzić wymagane zmiany w rejestrze lub edytować i wdrożyć skrypty do pobrania, aby wprowadzić zmiany w rejestrze.

    Aby uzyskać więcej informacji, zobacz Ponowne konfigurowanie klienta przy użyciu edycji rejestru.

Porada

Jeśli masz kombinację wersji usługi Office, które mogą i nie mogą używać przekierowania DNS, możesz użyć kombinacji przekierowania DNS i edytowania rejestru lub edytować rejestr jako pojedynczą metodę dla wszystkich komputerów Windows dns.

Rekonfiguracja klienta przy użyciu przekierowania DNS

Ta metoda jest odpowiednia tylko w przypadku klientów Windows, którzy uruchamiają aplikacje Microsoft 365 i aplikacje klasyczne w wersji Office 2016 (lub nowszej).

  1. Utwórz rekord SRV systemu DNS w następującym formacie:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.
    

    Dla <AD RMS cluster> wartości określ nazwę FQDN klastra AD RMS klastra. Na przykład rmscluster.contoso.com.

    Liczba <port> jest ignorowana.

    W <your tenant URL> przypadku usługi określ własny adres URL Rights Management Azure dla dzierżawy.

    Jeśli używasz roli serwera DNS na Windows Server, możesz użyć poniższej tabeli jako przykładu sposobu określania właściwości rekordu SRV w konsoli Menedżera DNS.

    Pole Wartość
    Domeny _tcp.rmscluster.contoso.com
    Usługa _rmsredir
    Protokół _http
    Priority 0
    Waga 0
    Numer portu 80
    Host oferujący tę usługę 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. Ustaw uprawnienie odmowy dla punktu końcowego AD RMS publikowania dla użytkowników Microsoft 365 lub Office 2016 (lub nowszego):

    a. Na jednym z serwerów AD RMS w klastrze uruchom konsolę menedżera Internet Information Services (IIS).

    b. Przejdź do domyślnej witryny sieci Web i rozwiń _wmcs.

    c. Kliknij prawym przyciskiem myszy pozycję licencjonowania i wybierz pozycję Przełącz do widoku zawartości.

    d. W okienku szczegółów kliknij prawym przyciskiem myszy pozycję license.asmx Properties Edit (Edytuj właściwości pliku license.asmx) > >

    e. W uprawnienia dla license.asmx okno dialogowe, wybierz opcję Użytkownicy, jeśli chcesz ustawić przekierowywanie dla wszystkich użytkowników, lub kliknij przycisk Dodaj, a następnie określ grupę zawierającą użytkowników, które chcesz przekierować.

    Nawet jeśli wszyscy użytkownicy korzystają z wersji usługi Office obsługującej przekierowywanie DNS, możesz początkowo określić podzbiór użytkowników do migracji etapowej.

    f. Dla wybranej grupy wybierz pozycję Odmów dla uprawnienia Odczyt & Wykonanie i Odczyt, a następnie kliknij dwukrotnie przycisk OK.

    przykład Aby upewnić się, że ta konfiguracja działa zgodnie z oczekiwaniami, spróbuj połączyć się z plikiem licensing.asmx bezpośrednio z przeglądarki. Powinien zostać wyświetlony następujący komunikat o błędzie, który wyzwala klienta z uruchomionymi aplikacjami Microsoft 365 lub Office 2019 lub Office 2016 w celu wyszukiwania rekordu SRV:

    Komunikat o błędzie 401.3: Nie masz uprawnień do wyświetlania tego katalogu lub strony przy użyciu podanych poświadczeń (odmowa dostępu z powodu Access Control list).

Ponowna konfiguracja klienta za pomocą edycji rejestru

Ta metoda jest odpowiednia dla wszystkich klientów Windows i powinna być używana, jeśli nie uruchamiają oni aplikacji Microsoft 365 lub Office 2016 (lub nowszej). Ta metoda używa dwóch skryptów migracji do ponownego skonfigurowania AD RMS klientów:

  • Migrate-Client.cmd

  • Migrate-User.cmd

Skrypt konfiguracji klienta (Migrate-Client.cmd) konfiguruje ustawienia na poziomie komputera w rejestrze, co oznacza, że musi być uruchamiany w kontekście zabezpieczeń, który może wprowadzać te zmiany. Zazwyczaj oznacza to jedną z następujących metod:

  • Użyj zasad grupy, aby uruchomić skrypt jako skrypt uruchamiania komputera.

  • Użyj instalacji oprogramowania zasad grupy, aby przypisać skrypt do komputera.

  • Użyj rozwiązania do wdrażania oprogramowania, aby wdrożyć skrypt na komputerach. Na przykład użyj System Center Configuration Manager pakietów i programów. We właściwościach pakietu i programu w obszarze Tryb uruchamiania określ, że skrypt jest uruchamiany z uprawnieniami administracyjnymi na urządzeniu.

  • Użyj skryptu logowania, jeśli użytkownik ma uprawnienia administratora lokalnego.

Skrypt konfiguracji użytkownika (Migrate-User.cmd) konfiguruje ustawienia na poziomie użytkownika i czyści magazyn licencji klienta. Oznacza to, że ten skrypt musi zostać uruchomiony w kontekście rzeczywistego użytkownika. Na przykład:

  • Użyj skryptu logowania.

  • Użyj instalacji oprogramowania zasad grupy, aby opublikować skrypt do uruchomienia przez użytkownika.

  • Użyj rozwiązania do wdrażania oprogramowania, aby wdrożyć skrypt dla użytkowników. Na przykład użyj System Center Configuration Manager pakietów i programów. We właściwościach pakietu i programu w obszarze Tryb uruchamiania określ, że skrypt jest uruchamiany z uprawnieniami użytkownika.

  • Poproś użytkownika o uruchomienie skryptu po zalogowaniu się na komputerze.

Te dwa skrypty zawierają numer wersji i nie uruchamiają się ponownie, dopóki ten numer wersji nie zostanie zmieniony. Oznacza to, że można pozostawić skrypty na miejscu do momentu ukończenia migracji. Jeśli jednak wprowadzasz zmiany w skryptach, które komputery i użytkownicy mają uruchamiać ponownie na swoich komputerach Windows, zaktualizuj następujący wiersz w obu skryptach na wyższą wartość:

SET Version=20170427

Skrypt konfiguracji użytkownika jest przeznaczony do uruchamiania po skrypcie konfiguracji klienta i używa numeru wersji w tym sprawdzaniu. Zatrzymuje się, jeśli skrypt konfiguracji klienta o tej samej wersji nie został uruchomiony. Dzięki temu można upewnić się, że dwa skrypty są uruchamiane w odpowiedniej kolejności.

Jeśli nie można migrować wszystkich klientów Windows jednocześnie, uruchom następujące procedury dla partii klientów. Każdego użytkownika posiadającego komputer z systemem Windows, którego chcesz migrować w partii, dodaj do grupy AIPMigrated utworzonej wcześniej.

Modyfikowanie skryptów na potrzeby edycji rejestru

  1. Wróć do skryptów migracji Migrate-Client.cmd i Migrate-User.cmd, które zostały wyodrębnione wcześniej podczas pobierania tych skryptów w fazie przygotowania.

  2. Postępuj zgodnie z instrukcjami w pliku Migrate-Client.cmd, aby zmodyfikować skrypt tak, aby zawierał adres URL usługi Azure Rights Management Twojej dzierżawy, a także nazwy serwerów dla adresu URL licencjonowania ekstranetu klastra AD RMS i adresu URL licencjonowania intranetu. Następnie należy zwiększyć wersję skryptu, co zostało wyjaśnione wcześniej. Dobrą praktyką do śledzenia wersji skryptów jest użycie dzisiejszej daty w następującym formacie: RRRRMMDD

    Ważne

    Tak jak poprzednio, uważaj, aby nie wprowadzić dodatkowych spacji przed adresami lub po nich.

    Ponadto jeśli serwery usług AD RMS używają certyfikatów serwera SSL/TLS, sprawdź, czy wartości adresu URL licencjonowania obejmują numer portu 443 wewnątrz ciągu. Na przykład: https://rms.treyresearch.net:443/_wmcs/licensing. Te informacje można znaleźć w konsoli Usługi Active Directory Rights Management po kliknięciu nazwy klastra i wyświetl informacje o szczegółach klastra. Jeśli widzisz numer portu 443 zawarty w adresie URL, uwzględnij tę wartość podczas modyfikowania skryptu. Na przykład https://rms.treyresearch.net: 443.

    Jeśli musisz pobrać adres URL usługi Azure Rights Management service dla < yourTenantURL, > wróć do tematu Aby zidentyfikować adres URL usługi Azure Rights Management Service.

  3. Korzystając z instrukcji na początku tego kroku, skonfiguruj metody wdrażania skryptów, aby uruchamiać skrypty Migrate-Client.cmd i Migrate-User.cmd na komputerach klienckich programu Windows, które są używane przez członków grupy AIPMigrated.

Następne kroki

Aby kontynuować migrację, przejdź do fazy 4 — konfiguracji usług pomocniczych.