Fase 3 da migração – configuração do lado do clienteMigration phase 3 - client-side configuration

Aplica-se a: Serviços de Gestão de Direitos de Diretório Ativo, Proteção de Informação Azure, Escritório 365Applies to: Active Directory Rights Management Services, Azure Information Protection, Office 365

Utilize as seguintes informações para a Fase 3 da migração do AD RMS para o Azure Information Protection.Use the following information for Phase 3 of migrating from AD RMS to Azure Information Protection. Estes procedimentos incluem o passo 7 de Migrar do AD RMS para o Azure Information Protection.These procedures cover step 7 from Migrating from AD RMS to Azure Information Protection.

Passo 7.Step 7. Reconfigurar computadores Windows para utilizar a Proteção de Informação AzureReconfigure Windows computers to use Azure Information Protection

Reconfigure os seus computadores Windows para utilizar a Proteção de Informações Azure utilizando um dos seguintes métodos:Reconfigure your Windows computers to use Azure Information Protection using one of the following methods:

  • Reorientação do DNS .DNS redirection . Método mais simples e preferido, quando apoiado.Simplest and preferred method, when supported.

    Suportado para computadores Windows que usam o Office 2016 ou posteriormente aplicações de desktop click-to-run, incluindo:Supported for Windows computers that use Office 2016 or later click-to-run desktop apps, including:

    • Aplicações do Microsoft 365Microsoft 365 apps
    • Escritório 2019Office 2019
    • Clique no Office 2016 para executar aplicações de desktopOffice 2016 click to run desktop apps

    Requer que crie um novo registo SRV e que estabeleça um NTFS negar permissão para os utilizadores no ponto final de publicação de RMS AD.Requires you to create a new SRV record and set an NTFS deny permission for users on the AD RMS publishing endpoint.

    Para obter mais informações, consulte a reconfiguração do Cliente utilizando a reorientação do DNS.For more information, see Client reconfiguration by using DNS redirection.

  • Edições de registo.Registry edits . Relevante para todos os ambientes apoiados, incluindo ambos:Relevant for all supported environments, including both:

    • Computadores Windows que usam o Office 2016 ou posteriormente aplicações de desktop click-to-run, conforme listado acimaWindows computers that use Office 2016 or later click-to-run desktop apps, as listed above
    • Computadores Windows que usam outras aplicaçõesWindows computers that use other apps

    Faça as alterações de registo necessárias manualmente, ou edite e implemente scripts transferíveis para fazer as alterações de registo para si.Make the required registry changes manually, or edit and deploy downloadable scripts to make the registry changes for you.

    Para obter mais informações, consulte a reconfiguração do Cliente utilizando edições de registo.For more information, see Client reconfiguration by using registry edits.

Dica

Se tiver uma mistura de versões do Office que podem e não podem utilizar a reorientação de DNS, pode utilizar uma combinação de reorientação de DNS e editar o registo, ou editar o registo como um único método para todos os computadores Windows.If you have a mixture of Office versions that can and cannot use DNS redirection, you can either use a combination of DNS redirection and editing the registry, or edit the registry as a single method for all Windows computers.

Reconfiguração do cliente utilizando a reorientação do DNSClient reconfiguration by using DNS redirection

Este método é adequado apenas para clientes Windows que executam aplicações microsoft 365 e aplicações de desktop do Office 2016 (ou posteriormente) click-to-run.This method is suitable only for Windows clients that run Microsoft 365 apps and Office 2016 (or later) click-to-run desktop apps.

  1. Criar um registo DNS SRV utilizando o seguinte formato:Create a DNS SRV record using the following format:

    _rmsredir._http._tcp.<AD RMS cluster>. <TTL> IN SRV <priority> <weight> <port> <your tenant URL>.
    

    Para <AD RMS cluster> , especifique o FQDN do seu cluster AD RMS.For <AD RMS cluster> , specify the FQDN of your AD RMS cluster. Por exemplo, rmscluster.contoso.com.For example, rmscluster.contoso.com .

    Em alternativa, se tiver apenas um cluster AD RMS nesse domínio, pode especificar apenas o nome de domínio do cluster AD RMS.Alternatively, if you have just one AD RMS cluster in that domain, you can specify just the domain name of the AD RMS cluster. No nosso exemplo, isso seria contoso.com.In our example, that would be contoso.com . Quando especificar o nome de domínio neste registo, a reorientação aplica-se a todos os clusters AD RMS nesse domínio.When you specify the domain name in this record, the redirection applies to any and all AD RMS clusters in that domain.

    O <port> número é ignorado.The <port> number is ignored.

    Para <your tenant URL> , especifique o seu próprio URL de serviço de gestão de direitos Azure para o seu inquilino.For <your tenant URL> , specify your own Azure Rights Management service URL for your tenant.

    Se utilizar a função DNS Server no Windows Server, pode utilizar a seguinte tabela como exemplo como especificar as propriedades de gravação SRV na consola DNS Manager.If you use the DNS Server role on Windows Server, you can use the following table as an example how to specify the SRV record properties in the DNS Manager console.

    CampoField ValorValue
    DomínioDomain _tcp.rmscluster.contoso.com_tcp.rmscluster.contoso.com
    ServiçoService _rmsredir_rmsredir
    ProtocoloProtocol _http_http
    PriorityPriority 00
    PesoWeight 00
    Número do portoPort number 8080
    Anfitrião que oferece este serviçoHost offering this service 5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com5c6bb73b-1038-4eec-863d-49bded473437.rms.na.aadrm.com
  2. Desemboe uma permissão de negação no ponto final de publicação de AD RMS para utilizadores que executam aplicações microsoft 365 ou Office 2016 (ou mais tarde):Set a deny permission on the AD RMS publishing endpoint for users running Microsoft 365 apps or Office 2016 (or later):

    a.a. Num dos seus servidores AD RMS no cluster, inicie a consola do Gestor de Serviços de Informação da Internet (IIS).On one of your AD RMS servers in the cluster, start the Internet Information Services (IIS) Manager console.

    b.b. Navegue para o Web Site padrão e expanda _wmcs .Navigate to Default Web Site and expand _wmcs .

    c.c. Clique no direito para licenciar e selecione Switch to Content View .Right-click licensing and select Switch to Content View .

    d.d. No painel de detalhes, licença de clique à direita.asmx > Properties > EditIn the details pane, right-click license.asmx > Properties > Edit

    e.e. Na caixa de diálogo License.asmx, selecione Utilizadores se quiser definir reorientação para todos os utilizadores, ou clique em Adicionar e, em seguida, especifique um grupo que contenha os utilizadores que pretende redirecionar.In the Permissions for license.asmx dialog box, either select Users if you want to set redirection for all users, or click Add and then specify a group that contains the users that you want to redirect.

    Mesmo que todos os seus utilizadores estejam a utilizar uma versão do Office que suporta a reorientação de DNS, pode preferir especificar inicialmente um subconjunto de utilizadores para uma migração faseada.Even if all your users are using a version of Office that supports DNS redirection, you might prefer to initially specify a subset of users for a phased migration.

    f.f. Para o seu grupo selecionado, selecione Deny for the Read & Execute and the Read permission, e, em seguida, clique em OK duas vezes.For your selected group, select Deny for the Read & Execute and the Read permission, and then click OK twice.

    exemplo,g. Para confirmar que esta configuração está funcionando como esperado, tente ligar-se ao ficheiro licenciamento.asmx diretamente de um navegador.To confirm this configuration is working as expected, try to connect to the licensing.asmx file directly from a browser. Deverá ver a seguinte mensagem de erro, que aciona o cliente que executa as aplicações microsoft 365 ou o Office 2019 ou Office 2016 para procurar o registo SRV:You should see the following error message, which triggers the client running Microsoft 365 apps or Office 2019 or Office 2016 to look for the SRV record:

    Error message 401.3: Não tem permissões para ver este diretório ou página usando as credenciais que forneceu (acesso negado devido às Listas de Controlo de Acesso).Error message 401.3: You do not have permissions to view this directory or page using the credentials you supplied (access denied due to Access Control Lists).

Reconfiguração de clientes com edições de registoClient reconfiguration by using registry edits

Este método é adequado para todos os clientes windows e deve ser utilizado se não executarem aplicações microsoft 365, ou Office 2016 (ou mais tarde).This method is suitable for all Windows clients and should be used if they do not run Microsoft 365 apps, or Office 2016 (or later). Este método utiliza dois scripts de migração para reconfigurar clientes AD RMS:This method uses two migration scripts to reconfigure AD RMS clients:

  • Migrar-Cliente.cmdMigrate-Client.cmd

  • Migrar-Utilizador.cmdMigrate-User.cmd

O script de configuração do cliente (Migrate-Client.cmd) configura as definições de nível de computador no registo, o que significa que deve ser executado num contexto de segurança que possa efeporá-las.The client configuration script (Migrate-Client.cmd) configures computer-level settings in the registry, which means that it must run in a security context that can make those changes. Isto significa tipicamente um dos seguintes métodos:This typically means one of the following methods:

  • Use a política de grupo para executar o script como um script de arranque de computador.Use group policy to run the script as a computer startup script.

  • Utilize a instalação de software de política de grupo para atribuir o script ao computador.Use group policy software installation to assign the script to the computer.

  • Utilize uma solução de implementação de software para implantar o script nos computadores.Use a software deployment solution to deploy the script to the computers. Por exemplo, utilize pacotes e programasdo Gestor de Configuração do Sistema Center .For example, use System Center Configuration Manager packages and programs. Nas propriedades do pacote e do programa, no modo Executar, especifique que o script funciona com permissões administrativas no dispositivo.In the properties of the package and program, under Run mode , specify that the script runs with administrative permissions on the device.

  • Utilize um script de início de são se o utilizador tiver privilégios de administrador local.Use a logon script if the user has local administrator privileges.

O script de configuração do utilizador (Migrate-User.cmd) configura as definições do nível do utilizador e limpa a loja de licenças do cliente.The user configuration script (Migrate-User.cmd) configures user-level settings and cleans up the client license store. Isto significa que este script deve ser executado no contexto do utilizador real.This means that this script must run in the context of the actual user. Por exemplo:For example:

  • Use um script de logon.Use a logon script.

  • Utilize a instalação de software de política de grupo para publicar o script para o utilizador executar.Use group policy software installation to publish the script for the user to run.

  • Utilize uma solução de implementação de software para implementar o script para os utilizadores.Use a software deployment solution to deploy the script to the users. Por exemplo, utilize pacotes e programasdo Gestor de Configuração do Sistema Center .For example, use System Center Configuration Manager packages and programs. Nas propriedades do pacote e do programa, no modo Executar, especifique que o script funciona com as permissões do utilizador.In the properties of the package and program, under Run mode , specify that the script runs with the permissions of the user.

  • Peça ao utilizador para executar o script quando estiverem assinados no seu computador.Ask the user to run the script when they are signed in to their computer.

Os dois scripts incluem um número de versão e não se reexamecem até que este número de versão seja alterado.The two scripts include a version number and do not rerun until this version number is changed. Isto significa que pode deixar os scripts no lugar até que a migração esteja completa.This means that you can leave the scripts in place until the migration is complete. No entanto, se fizer alterações nos scripts que pretende que os computadores e utilizadores reexecuam nos seus computadores Windows, atualize a seguinte linha em ambos os scripts para um valor mais elevado:However, if you do make changes to the scripts that you want computers and users to rerun on their Windows computers, update the following line in both scripts to a higher value:

SET Version=20170427

O script de configuração do utilizador foi concebido para ser executado após o script de configuração do cliente e utiliza o número de versão nesta verificação.The user configuration script is designed to run after the client configuration script, and uses the version number in this check. Para se o script de configuração do cliente com a mesma versão não tiver sido executado.It stops if the client configuration script with the same version has not run. Esta verificação garante que os dois scripts funcionam na sequência certa.This check ensures that the two scripts run in the right sequence.

Quando não puder migrar todos os seus clientes Windows de uma só vez, execute os seguintes procedimentos para lotes de clientes.When you cannot migrate all your Windows clients at once, run the following procedures for batches of clients. Para cada utilizador com um computador Windows que pretende migrar no seu lote, adicione o utilizador ao grupo AIPMigrated que criou anteriormente.For each user who has a Windows computer that you want to migrate in your batch, add the user to the AIPMigrated group that you created earlier.

Modificação dos scripts para edições de registoModifying the scripts for registry edits

  1. Volte aos scripts de migração, Migrate-Client.cmd e Migrate-User.cmd, que extraiu anteriormente quando descarregou estes scripts na fase de preparação.Return to the migration scripts, Migrate-Client.cmd and Migrate-User.cmd , which you extracted previously when you downloaded these scripts in the preparation phase.

  2. Siga as instruções em Migrate-Client.cmd para modificar o script de modo a que contenha o URL do serviço de gestão de direitos Azure do seu inquilino, bem como os nomes do servidor para o URL de licenciamento de extranet de cluster AD RMS e URL de licenciamento intranet.Follow the instructions in Migrate-Client.cmd to modify the script so that it contains your tenant's Azure Rights Management service URL, and also your server names for your AD RMS cluster extranet licensing URL and intranet licensing URL. Em seguida, incremente a versão do script, que foi previamente explicada.Then, increment the script version, which was previously explained. Uma boa prática para rastrear versões de script é usar a data de hoje no seguinte formato: YYYYMMDDA good practice for tracking script versions is to use today's date in the following format: YYYYMMDD

    Importante

    Tal como anteriormente, tenha cuidado para não introduzir espaços adicionais antes ou depois dos seus endereços.As before, be careful not to introduce additional spaces before or after your addresses.

    Além disso, se os seus servidores do AD RMS utilizarem certificados de servidor SSL/TLS, verifique se os valores de URL de licenciamento incluem o número de porta 443 na cadeia.In addition, if your AD RMS servers use SSL/TLS server certificates, check whether the licensing URL values include the port number 443 in the string. Por exemplo: https://rms.treyresearch.net:443/_wmcs/licensing.For example: https://rms.treyresearch.net:443/_wmcs/licensing. Pode encontrar esta informação na consola Ative Directory Rights Management Services quando clicar no nome do cluster e ver as informações do Cluster Details.You can find this information in the Active Directory Rights Management Services console when you click the cluster name and view the Cluster Details information. Se vir o número de porta 443 incluído no URL, inclua este valor quando modificar o script.If you see the port number 443 included in the URL, include this value when you modify the script. Por exemplo, https://rms.treyresearch.net: 443.For example, https://rms.treyresearch.net:443.

    Se precisar de recuperar o url do serviço de gestão de direitos Azure para < o SeuTenantURL, > consulte para identificar o seu URL do serviço de gestão de direitos Azure.If you need to retrieve your Azure Rights Management service URL for <YourTenantURL> , refer back to To identify your Azure Rights Management service URL.

  3. Utilizando as instruções no início deste passo, configuure os seus métodos de implementação de scripts para executar Migrate-Client.cmd e Migrate-User.cmd nos computadores clientes do Windows que são utilizados pelos membros do grupo AIPMigrated.Using the instructions at the beginning of this step, configure your script deployment methods to run Migrate-Client.cmd and Migrate-User.cmd on the Windows client computers that are used by the members of the AIPMigrated group.

Passos seguintesNext steps

Para continuar a migração, veja a fase 4 – configuração de serviços de suporte.To continue the migration, go to phase 4 -supporting services configuration.